IS Quality Assurance & Control

IS Quality Assurance & Control – TP2

/ DITO WISNU MURTI / Leave a comment

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama.

Jawaban:

Menurut Senft (2009) proses pengembangan perangkat lunak meliputi strategi sistem informasi yang menuntun pengembang dalam membangun sistem yang konsisten dengan tujuan teknis dan operasional organisasi, standar yang menuntun dalam pemilihan perangkat keras, perangkat lunak dan pengembangan sistem baru, kebijakan dan prosedur yang mendukung tujuan dan sasaran organisasi dan manajemen proyek yang memastikan proyek selesai tepat waktu, sesuai dengan anggaran dengan fungsi yang diharapkan[3].

Dapat disimpulkan bahwa dalam pengembangan perangkat lunak tujuan dan sasaran yang hendak dicapai adalah menghasilkan perangkat lunak yang sesuai dengan rencana dan harapan serta selaras dengan strategi bisnis perusahaan.

Menurut Senft (2009) dalam banyak organisasi, aplikasi yang dikembangkan oleh end-user terbatas dan tidak melalui prosedur resmi akibat dari end-user tidak memiliki latar belakang pengetahuan pengembangan aplikasi dengan kontrol atau pemeliharaan yang memadai. Selain itu Organisasi bergantung pada sistem yang dikembangkan user untuk operasi sehari-hari dan pengambilan keputusan penting. Kenyataan lain bahwa sistem end user menjadi lebih kompleks dan didistribusikan di seluruh platform dan ragam struktur organisasi. Resiko yang muncul terkait masalah ini adalah lemahnya keamanan, backup terbatas, pelatihan dan dukungan yang tidak memadai, sistem yang tidak kompatibel, sistem yang redundant, laporan yang tidak konsisten di semua departemen, dan ketergantungan pada informasi yang tidak akurat[3].

Dari penjelasan di atas dapat disimpulkan bahwa dampak jika suatu aplikasi dikembangkan oleh end user yang tidak berkompeten adalah rentannya aplikasi terhadap isu-isu keamanan, kualitas aplikasi yang dihasilkan tidak sesuai dengan bisnis perusahaan. Dalam pengambilan keputusan sering merugikan perusahaan karena kualitas data yang dimiliki tidak akurat.

Menurut Davis, Schiller dan Wheeler (2011) data center rentan terhadap bencana alam dan bencana buatan manusia. Untuk itu auditor perlu melakukan identifikasi dan mengukur fisik dan kontrol administrasi yang mampu mengurangi resiko gangguan pada pengolahan data, termasuk ketahanan sistem, backup dan pemulihan (restore) data serta perencanaan pemulihan bencana[1].

Dapat disimpulkan bahwa antisipasi bencana perlu direncanakan agar ada kesiapan dari organisasi untuk menghadapi bencana dan gangguan yang ditimbulkan akibat bencana tidak terlalu mengganggu operasional bisnis perusahaan.

Dari uraian di atas resiko yang muncul berdasarkan kasus di atas adalah:

  1. Perbedaan bahasa pemrograman yang digunakan di aplikasi yang berbeda-beda di setiap aplikasi yang sudah terintegrasi satu sama lain menimbulkan kerentanan dimana jika terjadi error pada salah satu aplikasi maka perlu ada seorang staf yang mengerti code dari aplikasi yang error tersebut.
  2. Penggunaan bahasa pemrograman yang berbeda di tiap aplikasi membuat perusahaan mengeluarkan biaya ekstra untuk menggaji staf yang memiliki keahlian bahasa pemrograman yang berbeda.
  3. Karena pengoperasian server seperti unggah dokumen tidak real time sehingga akan ada kecenderungan perubahan yang tidak terupdate dikarenakan proses uploadnya dirapel perbulan. Ketiadaan server di kantor cabang memiliki resiko kerusakan dan kehilangan data saat data tersebut di transfer menuju kantor pusat.
  4. Tidak adanya log kemampuan aplikasi dalam melihat history data atau trace data jadi hilang sehingga perusahaan tidak mengetahui setiap kegiatan yang dilakukan pada tiap aplikasi.
  5. Kekurangan management user dalam hal aplikasi membuat masing-masing user tidak pada posisi dan level tertentu sehingga berdampak pada kerentanan data pada aplikasi.
  6. Menurut SANS (2002) Business continuity mengacu kepada aktivitas yang diperlukan agar organisasi tetap berjalan selama periode perpindahan atau gangguan operasi normal[2]. Bencana bisa terjadi kapan saja untuk itu dibutuhkan persiapan untuk menghadapi bencana. BCP sangat penting karena dapat meminimalisasi kerusakan atau gangguan saat bencana terjadi dan membuat bisnis tetap kompetitif. Ketiadaan BCP membuat perusahaan tidak memiliki standar baku dalam menghadapi resiko mengalami bencana. Jika terjadi bencana, perusahaan akan membutuhkan waktu yang lama untuk menormalkan kembali sistem informasi perusahaan.
  7. Input insentif dan bonus oleh tim TI menimbulkan kerawanan akibat ketiadaan kontrol dari departemen lain.

Menurut Davis, Schiller dan Wheeler (2011) tahap melakukan audit TI adalah[1]:

  1. Tinjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi TI menyediakan untuk tugas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.

Berdasarkan studi kasus: minim kontrol terhadap tugas yang dilakukan oleh tim TI terutama dalam melakukan input data insentif dan bonus tim marketing sehingga rawan terjadinya kecurangan dalam melakukan penghitungan insetif dan bonus. Selain itu, penghitungan bonus dan insentif secara automatis oleh sistem tanpa verifikasi lebih lanjut, rawan terjadinya kesalahan dalam penghitungan bonus dan insentif

  1. Meninjau proses perencanaan strategis TI untuk memastikan bahwa itu sejalan dengan strategi bisnis. Mengevaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

Berdasarkan studi kasus: Strategi TI pada perusahaan PT. BPR Maju Bersama belum ada dimana server hanya ada di kantor pusat. Wewenang tim TI dalam menginput data insentif dan bonus tim marketing melalui sistem secara automatis tanpa verifikasi perlu untuk ditinjau ulang.

  1. Menentukan apakah teknologi dan aplikasi strategi dan roadmap ada, dan mengevaluasi proses perencanaan teknis jangka panjang.

Berdasarkan studi kasus: belum memiliki roadmap ataupun perencanaan jangka panjang. Misalnya perusahaan belum memiliki bisnis continuity plan untuk menghadapi kekacauan yang mungkin terjadi misalnya bencana alam.

  1. Tinjau indikator kinerja dan pengukuran untuk IT. Memastikan bahwa proses dan metrik pada tempatnya (dan disetujui oleh para pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk pelacakan kinerja terhadap SLA, anggaran, dan persyaratan operasional lainnya.

Berdasarkan studi kasus: Pengukuran terhadap kinerja TI belum ada, tugas dan wewenang tim TI tidak ada kontrol dan tidak ada audit log sehingga susah untuk melakukan pemeriksaan terhadap pekerjaan yang dilakukan oleh tim TI.

  1. Evaluasi standar untuk mengatur pelaksanaan proyek IT dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. Menentukan bagaimana standar tersebut dikomunikasikan dan ditegakkan.

Berdasarkan studi kasus: aplikasi yang dibuat menggunakan bahasa pemrograman yang berbeda sehingga memerlukan kesiapan berupa sumber daya manusia yang handal untuk mengatasi error yang terjadi di setiap aplikasi dengan bahasa pemrograman yang berbeda.

  1. Pastikan bahwa kebijakan keamanan TI ada dan memberikan persyaratan yang memadai untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.

Berdasarkan studi kasus: Kebijakan keamanan TI sangat lemah karena ketiadaan audit log sehingga tidak diketahui aktivitas yang dilakukan di tiap aplikasi. Data insentif dan bonus diinput oleh tim TI tanpa kontrol dari departemen lain dan input dilakukan secara automatis tanpa verifikasi.

  1. Meninjau dan mengevaluasi proses penilaian risiko di tempat bagi organisasi TI.

Berdasarkan studi kasus: belum ada evaluasi dan penilaian terhadap resiko yang muncul seperti belum adanya BCP sehingga tidak ada standar baku bagi perusahaan dalam menghadapi kerusakan pada TI.

  1. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan IT di perusahaan memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan mereka.

Berdasarkan studi kasus: Evaluasi terhadap kinerja karyawan susah dilakukan karena tidak ada audit log sehingga tidak diketahui siapa yang menjadi penanggung jawab terhadap setiap transaksi yang dilakukan.

  1. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengelompokkan data, melindungi data sesuai dengan klasifikasinya, dan mendefinisikan life cycle data.

Berdasarkan studi kasus: Input data dilakukan oleh tim TI tanpa melakukan verifikasi. Data rentan untuk dimanipulasi akibat ketiadaan verifikasi terhadap data yang diinput.

  1. Tinjau dan evaluasi proses untuk memastikan bahwa end user lingkungan TI memiliki kemampuan untuk melaporkan masalah, secara tepat terlibat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.

Berdasarkan studi kasus: end user tidak memiliki akses untuk memberikan masukkan terkait pelayanan TI yang diberikan oleh tim TI.

  1. Meninjau dan mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan pemantauan kinerja mereka.

Berdasarkan studi kasus: belum ada peran dan tanggung jawab yang jelas terkait layanan pihak ketiga.

  1. Meninjau dan mengevaluasi proses untuk mengontrol akses login non karyawan.

Berdasarkan studi kasus: kontrol akses login non karyawan tidak ada karena audit log tidak digunakan sehingga tidak diketahui aktivitas yang dilakukan dan siapa yang melakukan aktivitas tersebut.

  1. Meninjau dan mengevaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi perangkat lunak yang berlaku.

Berdasarkan studi kasus: Perlu dilakukan pemeriksaan bahwa perangkat lunak yang digunakan perusahan memiliki lisensi.

Saran:

  1. Perlu dipersiapkan sumber daya manusia yang handal di setiap bahasa pemrograman yang digunakan sehingga jika terjadi error di setiap aplikasi yang berbeda akan memudahkan penanganan error yang cepat dan proses bisnis bisa berjalan normal kembali. Aplikasi yang digunakan harus memiliki lisensi.
  2. Perlu dibuatkan BCP dengan tujuan ketika terjadi bencana maka tim TI bisa segera melakukan tindakan-tindakan yang diperlukan agar sistem bisa segera berjaan normal kembali. Untuk infrastruktur TI yang dikelola oleh pihak ketiga perlu dibuat aturan dan wewenang yang jelas kepada pihak ketiga terkait dengan peran dan tanggung jawab pihak ketiga dalam mengelola infrastruktur TI yaitu server.
  3. Perlu ada audit log dengan tujuan agar setiap tindakan yang dilakukan di masing-masing aplikasi diketahui aktivitas yang dilakukan dan siapa yang melakukan aktivitas tersebut. Dalam menghitung dan menginput data insentif dan bonus sebaiknya ada proses verifikasi agar tidak terjadi kesalahan data.
  4. Hak akses tiap anggota TI dan end user harus jelas dengan membuatkan username dan password. Setiap karyawan diberi hak akses sesuai dengan peran dan tanggung jawab masing-masing karyawan. Setiap kegiatan yang dilakukan karyawan disimpan dalam audit log sehingga mudah untuk melakukan pemeriksaan.

Pustaka:

[1]        Davis, Chris., Schiller, Mike., dan Kevin Wheeler. 2011. IT Auditing Using Control To Protect Information Assets. Edisi Kedua. ISBN: 978-0-07-174239-9.

[2]        SANS. 2002. Introduction to Business Continuity Planning. SANS Institute, diakses tanggal 2 april 2017, di situs: https://www.sans.org/reading-room/whitepapers/recovery/introduction-business-continuity-planning-559

[3]        Senft, Sandra., Gallegos, Frederick. 2009. Information Technology Control and Audit. Edisi Ketiga. CRC Press.

IS Quality Assurance & Control – TP1

/ DITO WISNU MURTI / Leave a comment
  1. Apa yang dimaksud dengan Audit Teknologi Informasi (TI)? Apa saja cakupannya atau yang terlibat didalamnya?
  2. Mengapa kontrol TI dan audit begitu penting di lingkungan virtual saat ini?
  3. Apa saja masalah utama terkait kontrol dan audit di lingkungan global saat ini?
  4. Apa yang dimaksud dengan E-Cash? Apa saja yang menjadi perhatian kontrol TI terkait dengan E-Cash?
  5. Mengapa Auditor TI perlu mengetahui tentang lingkungan hukum Sistem Informasi (SI)?

Jawaban No. 1

Menurut Senft (2009) Audit Teknologi Informasi (TI) adalah evaluasi terhadap teknologi informasi, pelaksanaan, operasional untuk menjamin integritas setiap entitas informasi[4].

Menurut Senft (2009) pada awalnya audit TI berkembang sebagai perluasan audit tradisional dimana kebutuhan terhadap audit TI disebabkan oleh[4]:

  • Auditor menyadari bahwa komputer telah memberi dampak pada kemampuan mereka untuk melakukan fungsi atestasi atau pembuktian.
  • Komputer adalah sumber utama untuk bersaing dalam lingkungan bisnis dan serupa dengan sumber daya bisnis yang berharga lainnya di dalam organisasi.
  • Asosiasi dan organisasi professional serta pemerintahan mengakui kebutuhan untuk kontrol TI dan audit.

Dalam melakukan audit TI diperlukan pemeriksaan terhadap organisasi TI yaitu pihak manajemen yang mengontrol TI, pemeriksaan terhadap infrastruktur TI, pusat data (data center), data komunikasi, pemeriksaan terhadap aplikasi TI, serta pemeriksaan terhadap implementasi TI yang sudah dilakukan.

Menurut Senft (2009) audit TI mencakup[4]:

  • Penerapan pendekatan audit yang berorientasi risiko.
  • Penggunaan alat-alat bantu untuk melakukan audit.
  • Penerapan standar (nasional atau internasional) seperti ISO 9000/3 dan ISO 17799 untuk meningkatkan dan menerapkan sistem mutu dalam pengembangan perangkat lunak dan memenuhi standar keamanan.
  • Pemahaman peranan bisnis dan harapan dalam audit sistem dalam pengembangan serta pembelian kemasan perangkat lunak dan manajemen proyek.
  • Penilaian masalah keamanan informasi dan privasi yang dapat menempatkan organisasi pada risiko.
  • Pemeriksaan dan verifikasi kepatuhan organisasi dengan masalah hukum terkait IT yang dapat membahayakan atau menempatkan organisasi pada risiko.
  • Evaluasi SDLC atau teknik pengembangan baru misalnya prototyping, end user computing, rapid system atau pengembangan aplikasi.
  • Pelaporan kepada manajemen dan melakukan tinjauan ulang tindak lanjut untuk memastikan tindakan yang diambil di tempat kerja.

Dari uraian di atas dapat disimpulkan bahwa audit TI merupakan ekstensifikasi atau perluasan dari audit tradisional yang dilakukan karena semakin pesatnya perkembangan teknologi informasi dan pentingnya peran teknologi informasi dalam pengembangan bisnis. Audit dilakukan untuk melakukan penilaian terhadap efektifitas, efisiensi dan melihat ekonomis tidaknya pengelolaan teknologi informasi. Hasil penilaian akan dilaporkan kepada manajemen agar mempunyai penilaian yang jernih mengenai pengelolaan teknologi informasi.

Jawaban No. 2

Menurut Davis dkk (2011) kontrol internal adalah mekanisme yang menjamin berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis yang spesifik. Auditor harus mencari keberadaan risiko untuk tujuan tersebut dan kemudian memastikan bahwa kontrol internal berada di tempat untuk mengurangi risiko tersebut. Jenis kontrol ada 3 yaitu kontrol pencegahan (preventive control), kontrol detektif (detective control), dan kontrol reaktif (reactive control)[2].

  • Preventive control dimaksudkan untuk menghentikan ancaman buruk yang terjadi misalnya mencegah orang yang tidak memiliki autorisasi untuk mengakses sistem. Maka diperlukan user ID dan password untuk mengakses suatu sistem.
  • Detective control dimaksudkan untuk merekan kejadian buruk yang telah terjadi. Misalnya, login pada semua kegiatan yang dilakukan pada sistem akan memungkinkan untuk meninjau log untuk mencari kegiatan tidak patut setelah kejadian.
  • Reactive control berada di antara preventive control dan detective control. Reactive control lebih ke kontrol korektif dimana tidak melakukan pencegahan terhadap peristiwa buruk yang terjadi namun menyediakan cara sistematis untuk mendeteksi ketika peristiwa buruk telah terjadi dan memperbaiki situasi.

Auditor internal memandang kontrol sebagai penggunaan semua sarana perusahaan untuk meningkatkan, mengarahkan, mengendalikan, dan mengawasi berbagai aktivitas dengan tujuan untuk memastikan bahwa tujuan perusahaan tercapai. Sarana kontrol ini meliputi bentuk organisasi, kebijakan, sistem, prosedur, induksi, standar, komite, bagan akun, perkiraan, anggaran, jadwal, laporan, catatan, daftar pemeriksaan, metode, rencana dan audit internal. Namun, bagi auditor internal kontrol akan memadai dan berguna jika dirancang untuk mencapai suatu tujuan.

Seperti yang dijelaskan dalam buku “IT Auditing: Using Controls To Protect Information Asset” karya Chris David dkk (2011) bahwa semua organisasi tidak lepas dari penggunaan teknologi informasi[2]. Organisasi sangat tergantung pada kelancaran informasi yang akurat. Para ahli telekomunikasi berpendapat jaringan telekomunikasi harus dapat mencapai siapapun di seluruh dunia dan mendukung berbagi informasi dalam bentuk suara, data, pesan teks.

Teknologi informasi adalah pendukung utama bagi terselenggaranya globalisasi. Perkembangan teknologi informasi yang begitu pesat memang memberikan kesempatan bagi semua orang untuk mengakses secara real-time informasi terkini yang terjadi di belahan dunia manapun dan tidak ada batasan sama sekali (borderless). Dengan dukungan teknologi informasi dan komunikasi, informasi dalam bentuk apapun dan untuk berbagai kepentingan, dapat disebarluaskan dengan mudah sehingga dapat dengan cepat mempengaruhi cara pandang dan gaya hidup hingga budaya suatu bangsa. Semakin canggih dukungan teknologi tersebut, semakin besar pula arus informasi dapat dialirkan dengan jangkauan dan dampak global.

Jawaban No. 3

Masalah utama terkait kontrol dan audit di lingkungan global saat ini menurut Senft (2009) adalah akibat dari runtuhnya kepercayaan dalam laporan keuangan dari industri swasta[4]. Perkembangan pesat teknologi informasi memberikan kemudahan dalam melakukan akses online ke data elektronik. Kemudahan akses ini memunculkan resiko terjadinya akses yang tidak sah oleh pihak eksternal. Untuk itu perlu pembatasan akses agar tidak terjadi akses yang tidak sah dengan cara menggunakan user ID dan password saat melakukan akses. Selain itu berkurangnya keterlibatan manusia menjadi akibat dari kemampuan teknologi informasi yang mampu melakukan transaksi secara automatis. Untuk itu perlu dilakukan pemberian otorisasi terhadap prosedur perangkat lunak dan keakuratan suatu file induk yang akan digunakan untuk membuat keputusan otorisasi. Kerusakan data menjadi ancaman serius mengingat sebagian besar data elektronik disimpan secara terpusat. Perlu dilakukan pemeriksaan secara berkala untuk mengantisipasi kerusakan data yang mungkin terjadi.

Jawaban No. 4

E-cash adalah uang elektronik berbasis server yang memanfaatkan teknologi USSD dan aplikasi di telepon seluler yang memungkinkan penggunanya untuk melakukan transaksi perbankan seperti Top up e-Money, penyetoran dan penarikan tunai, pengecekan saldo, transfer antar rekening mandiri e-cash dan fitur transaksi lainnya yang akan dikembangkan tanpa harus melakukan pembukaan rekening ke cabang Bank Mandiri[1]. Menurut Razali, masalah kontrol TI terkait e-cash adalah[3]:

  • Keamanan (Security). Keaslian pesan yang ditransfer antara konsumen, pedagang dan bank harus diamankan untuk menghindari individu yang tidak sah mencegat atau mengubah isi pesan. Untuk melindungi e-cash dari aktivitas ilegal, sistem e-cash harus memiliki kualitas seperti integritas, non-repudiation dan mampu mengotentikasi. Semua pihak harus tahu kepada siapa mereka berhadapan dengan, sebelum terlibat atau melakukan transaksi apapun. Integritas datang di tempat di mana pesan yang dikirim oleh konsumen, pedagang dan bank harus utuh saat mencapai penerima masing-masing. Setelah integritas dan otentikasi yang dicapai, konsumen, pedagang atau bank tidak bisa lagi menolak transaksi.
  • Privacy. Privasi di e-cash berarti adanya anonimitas bagi konsumen yang melakukan pembayaran. Tidak diperbolehkan adanya jejak atau link untuk indvidu yang menggunakan e-cash. Fitur ini diperlukan untuk melindungi privasi konsumen dari yang dimonitor untuk tujuan pengawasan keuangan. Namun, anonimitas tidak memberlakukan bahaya tertentu seperti pemalsuan, pencucian uang dan pemerasan artinya e-cash tidak menawarkan tingkat keamanan bagi pengguna.

Sesuai dengan penjelasan tersebut, isu privasi dan keamanan menjadi isu utama terkait produk     e-cash. Pihak bank harus bisa menjamin data informasi pribadi pengguna e-cash harus aman dari serangan penyusup (hacker). Hal ini akan memberikan kenyamanan dan kepercayaan pada pengguna dalam bertransaksi menggunakan e-cash.

Jawaban No. 5

Saat ini kemajuan teknologi informasi memunculkan masalah terkait dengan keamanan dan privasi. Internet yang awalnya hanya digunakan oleh pemerintah pada akhirnya menyebar penggunaannya ke seluruh dunia yang digunakan oleh hampir semua orang. penggunaan umum untuk Internet meliputi segala sesuatu dari pemasaran, penjualan, dan tujuan hiburan untuk e-mail, penelitian, perdagangan, dan hampir semua jenis lain dari berbagi informasi. Sayangnya, karena dengan terobosan teknologi, kemajuan juga menimbulkan berbagai masalah baru yang harus diatasi, seperti keamanan dan privasi[4].

Menurut Senft (2009), meskipun banyak produk efisien dalam mengamankan mayoritas serangan pada suatu jaringan namun tidak ada produk yang benar-benar lepas dari serangan penyusup (hacker). Adanya undang-undang keamanan informasi dari penyusup (hacker) seringkali bisa bebas dari tuduhan terlepas dari tindakan melanggar akses yang dilakukan[4]. Selain itu undang-undang tersebut tidak dilakukan tinjauan berkala sehingga mengakibatkan materi dari undang-undang tersebut tidak sesuai dengan zamannya atau bisa disebut sudah kadaluwarsa.

Industri jaringan komputer berubah dengan sangat cepat. Untuk itu perlu untuk memperbaharui hukum, prosedur dan petunjuk. Di era online saat ini, informasi pribadi dapat diakses oleh penyusup. Hal ini menimbulkan ketidaknyamanan pengguna dan melanggar privasi. Undang-undang yang melindungi privasi pengguna dari penyusup mengandung banyak kelemahan yang justru membiarkan penyusup yang melakukan pelanggaran bebas dari hukuman.

Untuk auditor TI, perlu untuk terus mengikuti perkembangan pada undang-undang baru dan perubahan dalam hukum yang ada dan cyber law[4]. Auditor dapat memberikan pengaruh dalam membantu organisasi memahami risiko yang mereka hadapi dan potensi akan dampaknya.

Menurut Senft (2009) meskipun tidak ada jaminan keamanan sistem, namun terdapat penetapan dan implementasi kebijakan keamanan komputer yang baik seperti:

  • Spesifikasi fitur keamanan yang dibutuhkan.
  • Mendefinisikan “harapan yang masuk akal” terhadap privasi mengenai isu-isu seperti pemantauan kegiatan masyarakat.
  • Mendefinisikan hak akses dan hak istimewa dan melindungi aset dari kerugian, pengungkapan, atau kerusakan dengan menentukan pedoman penggunaan bagi pengguna dan juga, memberikan pedoman untuk komunikasi eksternal (jaringan).
  • Mendefinisikan tanggung jawab dari semua pengguna.
  • Membangun kepercayaan melalui kebijakan password yang efektif.
  • Menentukan prosedur pemulihan (recovery).
  • Mewajibkan pencatatan pelanggaran.
  • Menyediakan pengguna dengan informasi pendukung

Melalui penerapan kebijakan ini, diharapkan meminimalisasi tindakan akses yang tidak berhak dari penyusup (hacker). Penerapan kebijakan keamanan ini setidaknya memberikan transparansi dan kepercayaan kepada pengguna terkait dengan keamanan data informasi pribadi bagi pengguna.

Pustaka:

[1]        Bank Mandiri. FREQUENTLY ASKED QUESTIONS (FAQ) mandiri e-cash. http://www.bankmandiri.co.id/article/e-cash_faq.aspx  diakses tanggal 12 Maret 2017

[2]        Davis, Chris., Mike Schiller, Kevin Wheeler. 2011. IT Auditing: Using Controls To Protect Information Asset. Edisi ke-2. McGraw-Hill.

[3]        Razali, Rosehaslina. The Overview of E-cash: Implementation and Security Issues. https://www.giac.org/paper/gsec/1799/overview-e-cash-implementation-security-issues/103204  diakses tanggal 13 maret 2017.

[4]        Senft, Sandra., Gallegos, Frederick. 2009. Information Technology Control and Audit. Edisi ke-3. Auerbach Publication