Rabu, 11 April 2018

chapter 9 "Information systems Controls for System Reliability Part 2: Confidentiality and Privacy"



dalam postingan ini saya akan membahas Sistem Informasi Akuntansi tentang Information systems Controls for System Reliability Part 2: Confidentiality and Privacy. Selamat membaca ^^ 

Menjaga Kerahasiaan

Organisasi memiliki segudang informasi sensitif, termasuk rencana strategis, rahasia dagang, informasi biaya, dokumen hukum, dan peningkatan proses. Kekayaan intelektual ini sering sangat penting bagi keunggulan kompetitif dan kesuksesan jangka panjang organisasi. Akibatnya, menjaga kerahasiaan kekayaan intelektual organisasi, dan informasi serupa yang dibagikan oleh mitra bisnisnya, telah lama diakui sebagai tujuan dasar dari keamanan informasi.

 apa saja tindakan yang dilakukan untuk menjaga kerahasiaan sistem informasi ?

  1. identifikasi dan klasifikasi informasi yang harus dilindungi. Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitif lainnya adalah mengidentifikasi di mana informasi tersebut berada dan siapa yang memiliki akses kepadanya. Ini kedengarannya mudah, tetapi melakukan inventarisasi menyeluruh atas setiap penyimpanan informasi digital dan kertas memakan waktu dan biaya karena melibatkan pemeriksaan lebih dari sekadar isi sistem keuangan organisasi. Misalnya, perusahaan manufaktur biasanya menggunakan otomatisasi pabrik berskala besar. Sistem-sistem tersebut mengandung instruksi yang dapat memberikan keuntungan biaya yang signifikan atau peningkatan kualitas produk dibandingkan dengan pesaing dan, oleh karena itu, harus dilindungi dari pengungkapan atau gangguan yang tidak sah. Setelah informasi yang perlu dilindungi telah diidentifikasi, langkah selanjutnya, sebagaimana dibahas dalam Tujuan Kontrol untuk Informasi dan Teknologi Terkait (COBIT) adalah untuk mengklasifikasikan informasi dalam hal nilainya kepada organisasi. Klasifikasi informasi bukanlah tugas yang harus didelegasikan semata-mata kepada para profesional sistem informasi; untuk mengenali nilai informasi dengan tepat, prosesnya juga membutuhkan masukan dari manajemen senior. Setelah informasi diklasifikasi, rangkaian kontrol yang sesuai dapat digunakan untuk melindunginya.
  2. enkripsi informasi sensitif, Enkripsi (akan dibahas nanti dalam bab ini) adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ini adalah satu-satunya cara untuk melindungi informasi saat transit melalui Internet. Ini juga merupakan bagian penting dari pertahanan-mendalam untuk melindungi informasi yang disimpan di situs Web atau di cloud publik. Sebagai contoh, banyak perusahaan akuntansi telah menciptakan portal aman yang mereka gunakan untuk berbagi informasi audit, pajak, atau konsultasi sensitif dengan klien. Keamanan portal seperti itu, bagaimanapun, dibatasi oleh kekuatan metode otentikasi yang digunakan untuk membatasi akses. Dalam kebanyakan kasus, ini hanya memblok otentikasi satu faktor melalui kata sandi. Mengenkripsi data klien yang disimpan di portal memberikan lapisan perlindungan tambahan jika ada akses tidak sah ke portal. Demikian pula, mengenkripsi informasi yang disimpan dalam cloud publik melindunginya dari akses tidak sah oleh karyawan penyedia layanan cloud atau oleh siapa pun yang menggunakan cloud yang sama. Enkripsi, bagaimanapun, bukanlah obat mujarab Beberapa informasi sensitif, terutama "knowhow" seperti cara pintas proses, mungkin tidak disimpan secara digital dan, karena itu, tidak dapat dilindungi dengan dienkripsi. Selain itu, enkripsi hanya melindungi informasi dalam situasi tertentu. Sebagai contoh, enkripsi dilk penuh melindungi informasi yang disimpan di laptop jika hilang atau dicuri. Orang yang mencuri atau menemukan laptop semacam itu tidak akan dapat membaca informasi apa pun yang dienkripsi, kecuali ia dapat masuk sebagai pemilik yang sah. Itu sebabnya otentikasi yang kuat juga diperlukan. Selain itu, informasi pada laptop didekripsi kapan pun pemilik telah masuk, yang berarti siapa pun yang dapat duduk di keyboard dapat melihat informasi sensitif. Oleh karena itu, kontrol akses fisik juga diperlukan. Demikian pula, dalam sistem perusahaan, mengenkripsi informasi saat disimpan dalam basis data melindunginya agar tidak dilihat oleh orang yang memiliki akses ke sistem tetapi tidak ke basis data 'Namun, database harus mendekripsi informasi untuk memprosesnya; oleh karena itu, siapa pun yang dapat mengakses ke basis data dapat berpotensi melihat informasi rahasia. Itulah mengapa kontrol akses yang kuat juga diperlukan. Singkatnya, informasi sensitif terekspos dalam tampilan biasa setiap kali sedang diproses oleh program, ditampilkan pada monitor, atau termasuk dalam laporan tercetak. Akibatnya, melindungi kerahasiaan membutuhkan penerapan prinsip pertahanan-mendalam: melengkapi enkripsi dengan kontrol akses dan pelatihan.
  3. mengontrol akses ke informasi sensitif, Bab 8 membahas bagaimana organisasi menggunakan otentikasi dan kontrol otorisasi untuk membatasi akses ke sistem informasi yang mengandung informasi sensitif. Perangkat lunak manajemen hak lnformasi (IRM) memberikan lapisan tambahan perlindungan terhadap sumber daya informasi tertentu, yang menawarkan kemampuan tidak hanya untuk membatasi akses ke file atau dokumen tertentu, tetapi juga untuk menentukan tindakan (baca, salin, cetak, unduh ke perangkat USB, dll.) bahwa individu yang diberikan akses ke sumber daya itu dapat melakukan. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi hak istimewa tersebut untuk jangka waktu tertentu dan menghapus file yang dilindungi dari jarak jauh. Entah pembuat informasi atau orang yang bertanggung jawab untuk mengelolanya harus menetapkan hak akses Untuk mengakses sumber daya yang dilindungi IRM, seseorang harus terlebih dahulu mengotentikasi ke server IRM, yang kemudian mengunduh kode yang berisi instruksi pembatasan akses ke komputer orang tersebut . Tujuan pengendalian COBIT DS 12.2 dan DS 12.3 mengatasi kontrol akses fisik, yang juga penting dalam mencegah seseorang dengan akses yang tidak diawasi dengan cepat mengunduh dan menyalin gigabyte informasi rahasia ke drive USB, iPod, ponsel, atau perangkat portal lainnya. Sangat penting untuk membatasi akses ke ruangan yang berisi printer, mesin fotokopi digital, dan mesin faks karena perangkat tersebut biasanya memiliki RAM dalam jumlah besar, yang dapat menyimpan informasi rahasia yang dicetak. Laptop dan workstation harus menjalankan screen saver yang dilindungi sandi secara otomatis. setelah beberapa menit tidak aktif, untuk mencegah melihat informasi sensitif. Perangkat perlindungan layar yang membatasi jarak dan sudut dari mana informasi pada laptop atau workstation monitor dapat dilihat juga berguna.Selain itu, tujuan kontrol COBIT DS 11.4 membahas pentingnya mengendalikan pembuangan sumber informasi Laporan yang dicetak dan micro film yang berisi informasi rahasia harus difilter sebelum dibuang. Prosedur khusus diperlukan untuk menghancurkan informasi yang tersimpan pada media magnetik dan optik. Menggunakan perintah sistem operasi built-in untuk menghapus informasi itu tidak cukup, karena banyak program utilitas ada yang dapat memulihkan file yang dihapus tersebut. Seringkali, orang-orang yang telah membeli komputer bekas, ponsel, mesin fotokopi digital, dan perangkat lain menemukan informasi yang sebelumnya dianggap telah dihapus oleh pemilik sebelumnya. Pembuangan yang tepat dari media komputer membutuhkan penggunaan perangkat lunak khusus yang dirancang untuk "menghapus" bersih media dengan berulang kali menimpa disk atau drive dengan pola data acak. Mungkin alternatif yang paling aman adalah menghancurkan secara fisik (misalnya, dengan insinerasi) media magnetik dan optik yang telah digunakan untuk menyimpan data yang sangat sensitif. Saat ini, organisasi terus bertukar informasi dengan mitra bisnis dan pelanggan mereka. Oleh karena itu, melindungi kerahasiaan juga membutuhkan kontrol terhadap komunikasi keluar. Salah satu alat untuk mencapai itu adalah perangkat lunak pencegahan kehilangan data (DLP), yang bekerja seperti program antivirus secara terbalik, memblokir pesan keluar (apakah e-mail, lM, atau cara lain) yang berisi kata atau frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lainnya yang ingin dilindungi oleh organisasi. Perangkat lunak DLP adalah kontrol pencegahan. Ini dapat dan harus dilengkapi dengan kode embedding dengan digita! tanda air dalam dokumen. Watermark lhedigital adalah kontrol detektif yang memungkinkan organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan. Ketika suatu organisasi menemukan dokumen yang berisi tanda air digitalnya di Internet, ia memiliki bukti bahwa kontrol preventif yang dirancang untuk protec (informasi sensitifnya telah gagal. Seharusnya, "irr" melakukan tindakan korektif yang sesuai. kontrol yang dirancang untuk memutar kerahasiaan harus terus-menerus ditinjau ulang dan dimodifikasi untuk menanggapi ancaman baru yang dihilangkan oleh kemajuan teknologi. Sebagai contoh, penggabungan kamera digital dalam ponsel memungkinkan pengunjung untuk diam-diam menangkap informasi rahasia. Akibatnya, banyak organisasi sekarang. melarang pengunjung menggunakan ponsel saat melakukan tur fasilitas manufaktur atau area lain yang mungkin berisi informasi rahasia. Karena ponsel kamera begitu mudah disembunyikan, sebagian besar organisasi juga mengharuskan pengunjung selalu dikawal oleh karyawan untuk mengurangi risiko pengunjung memotret informasi sensitif Percakapan telepon adalah sebuah daerah lain dipengaruhi untuk kemajuan teknologi. Di masa lalu, penyadapan adalah satu-satunya ancaman serius terhadap kerahasiaan percakapan telepon, dan kesulitan mengaturnya berarti bahwa risiko ancaman itu relatif rendah. Penggunaan voiceover-the-Internet (VoIP), howeveq berarti percakapan telepon sekarang dialihkan sebagai paket melalui Internet. Ini berarti bahwa percakapan telepon VoIP rentan terhadap penyadapan seperti halnya informasi lain yang dikirim melalui Internet. Karena itu, percakapan VoIP tentang sensitif topik harus dienkripsi. Virtualisasi dan komputasi awan juga memengaruhi risiko akses tidak sah ke informasi sensitif atau rahasia. Kontrol penting dalam lingkungan virtual, termasuk awan "pribadi" yang dikelola secara internal, adalah menggunakan firewall virtual untuk membatasi akses antara mesin virtual berbeda yang hidup berdampingan di server fisik yang sama. Selain itu, mesin virtual yang menyimpan data yang sangat sensitif atau rahasia tidak boleh di-host pada server fisik yang sama dengan mesin virtual yang dapat diakses melalui Internet karena risiko bahwa penyerang yang terampil mungkin dapat keluar dari yang terakhir dan kompromi bekas. Dengan cloud publik, data disimpan di tempat lain, dan akses terjadi melalui Internet melalui browser. Oleh karena itu, komunikasi antara pengguna dan cloud harus dienkripsi. Perangkat lunak browser, bagaimanapun, sering mengandung banyak kerentanan. Akibatnya, data yang sangat sensitif dan rahasia mungkin tidak boleh disimpan di cloud publik karena kurangnya kontrol terhadap di mana informasi itu sebenarnya disimpan dan karena risiko akses tidak sah oleh pelanggan cloud lain, yang mungkin termasuk pesaing, atau bahkan oleh karyawan penyedia cloud.
  4. pelatihan, Pelatihan adalah kontrol yang paling penting untuk melindungi konfidertialitas. Karyawan perlu mengetahui informasi apa yang dapat mereka bagikan dengan pihak luar dan informasi apa yang perlu dilindungi. Mereka juga perlu diajarkan cara melindungi data rahasia. Misalnya, karyawan perlu tahu cara menggunakan enkripsi, pada perangkat lunak. Mereka juga perlu belajar untuk selalu keluar dari aplikasi sebelum meninggalkan laptop atau workstation tanpa pengawasan, untuk mencegah karyawan lain mendapatkan akses tidak sah ke informasi itu. Karyawan juga perlu mengetahui cara mengodekan laporan yang dibuat untuk mencerminkan pentingnya informasi yang terkandung di dalamnya sehingga karyawan lain akan tahu cara menangani laporan tersebut. Mereka juga perlu diajarkan untuk tidak pergi, "po.tr berisi informasi sensitif dalam tampilan biasa di meja mereka ketika mereka pergi. Pelatihan sangat penting mengenai penggunaan e-mail yang tepat, pesan instan (chat), dan blog karena tidak mungkin untuk mengontrol distribusi informasi setelah dikirim atau diposting melalui salah satu metode tersebut. Sebagai contoh, penting untuk mengajari karyawan untuk tidak menggunakan opsi "balas semua" dengan e-mail karena melakukan jadi dapat mengungkapkan informasi sensitif kepada orang-orang yang seharusnya tidak melihatnya. Karyawan juga perlu diajari bagaimana berpartisipasi dalam diskusi di konferensi atau kursus pendidikan profesional sehingga mereka tidak secara tidak sengaja mengungkapkan informasi yang mungkin mengurangi keunggulan kompetitif majikan mereka. Karyawan sering tidak menyadari pentingnya informasi yang mereka miliki, seperti langkah-langkah menghemat waktu atau fitur tidak terdokumentasi yang mereka temukan ketika menggunakan

apa itu 10 praktek sehat GAAP ?
Peraturan Privasi dan Umumnya Diterima Privacy Principles Concerns tentang spam, pencurian identitas, dan melindungi privasi individu telah menghasilkan banyak regulasi pemerintah. Selain undang-undang pengungkapan negara, sejumlah peraturan federal, termasuk Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Teknologi Informasi Kesehatan untuk Ekonomi dan Klinis Kesehatan Act (HITECH), dan Modernisasi Undang-Undang Jasa Keuangan (biasa disebut sebagai Gramm-Leach-Bliley Act, mewakili nama-nama tiga sponsor Kongresnya, memberlakukan persyaratan khusus pada organisasi untuk melindungi privasi informasi pribadi pelanggan mereka. Banyak negara lain juga memiliki peraturan tentang penggunaan dan perlindungan informasi pribadi pelanggan. Untuk membantu organisasi dengan biaya yang efektif memenuhi persyaratan segudang ini, American Institute of Certified Public Accountants (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka kerja yang disebut Prinsip-Prinsip Kerahasiaan yang Diterima Umum (GAPP). GAPP mengidentifikasi dan menetapkan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan:
  1. Pengelolaan. Organisasi perlu menetapkan serangkaian prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang mereka kumpulkan dari pelanggan, serta informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit. Mereka harus menetapkan tanggung jawab dan akuntabilitas untuk menerapkan kebijakan dan prosedur tersebut kepada orang atau kelompok karyawan tertentu.
  2. Perhatikan. Suatu organisasi harus memberikan pemberitahuan tentang kebijakan privasi dan praktiknya pada atau sebelum waktu itu mengumpulkan informasi pribadi dari pelanggan, atau sesegera mungkin setelah itu. Pemberitahuan harus menjelaskan dengan jelas informasi apa yang dikumpulkan, alasan pengumpulannya, dan bagaimana informasi itu akan digunakan.
  3. Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan yang tersedia bagi individu dan memperoleh persetujuan mereka sebelum pengumpulan dan penggunaan informasi pribadi mereka. Sifat pilihan yang ditawarkan berbeda di setiap negara. Di Amerika Serikat, kebijakan default disebut opt-out, yang memungkinkan organisasi untuk mengumpulkan informasi pribadi tentang pelanggan kecuali pelanggan secara eksplisit objek. Sebaliknya, kebijakan default di Eropa adalah opsi, yang berarti bahwa organisasi tidak dapat mengumpulkan informasi pengenal pribadi kecuali customers secara eksplisit memberi mereka izin untuk melakukan sd. Namun, bahkan di Amerika Serikat, GAPP merekomendasikan agar organisasi mengikuti pendekatan opt-in dan memperoleh konsentrasi positif eksplisit sebelum mengumpulkan dan menyimpan informasi pribadi yang sensitif, seperti catatan keuangan atau kesehatan, opini politik, agama yang tidak percaya, dan sejarah kriminal sebelumnya.
  4. Collection Suatu organisasi hanya boleh mengumpulkan inlormasi yang diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. Salah satu masalah yang paling penting adalah penggunaan cookie di situs Wbb. Cookie adalah file teks yang dibuat oleh situs Web dan disimpan di hard disk pengunjung. Cookie menyimpan informasi tentang apa yang telah dilakukan pengguna di situs. Sebagian besar situs web membuat banyak cookie per kunjungan untuk memudahkan pengunjung untuk menavigasi ke bagian yang relevan dari situs Web. Penting untuk dicatat bahwa cookie adalah file teks, yang berarti bahwa mereka tidak dapat "melakukan" apa pun selain menyimpan informasi. Mereka, bagaimanapun, mengandung informasi pribadi yang dapat meningkatkan risiko pencurian identitas dan ancaman privasi lainnya. Browser dapat dikonfigurasi untuk tidak menerima cookie, dan GAPP merekomendasikan agar organisasi menggunakan prosedur untuk menyetujui permintaan tersebut dan tidak menggunakan cookie secara diam-diam.
  5. Gunakan dan retensi. Organisasi harus menggunakan informasi pribadi pelanggan hanya dengan cara yang dijelaskan dalam kebijakan privasi mereka dan menyimpan informasi tersebut hanya selama diperlukan untuk memenuhi tujuan bisnis yang sah. Ini berarti bahwa organisasi perlu membuat kebijakan retensi dan menetapkan tanggung jawab seseorang untuk memastikan kepatuhan dengan kebijakan tersebut.
  6. Mengakses. Suatu organisasi harus menyediakan individu dengan kemampuan untuk mengakses, meninjau,benar, dan hapus informasi pribadi yang tersimpan tentang mereka.
  7. Pengungkapan kepada pihak-pihak yang haus. Organisasi harus mengungkapkan informasi pribadi pelanggan mereka kepada pihak ketiga hanya dalam situasi dan perilaku yang dijelaskan dalam kebijakan privasi organisasi dan hanya untuk pihak ketiga yang memberikan tingkat perlindungan privasi yang sama seperti yang dilakukan organisasi yang pada awalnya mengumpulkan informasi. Prinsip ini memiliki implikasi untuk menggunakan komputasi awan, karena menyimpan informasi pribadi pelanggan di cloud dapat membuatnya dapat diakses oleh karyawan penyedia cloud; maka informasi semacam itu harus dienkripsi setiap saat.
  8. Keamanan. Organisasi harus mengambil langkah-langkah yang wajar untuk melindungi informasi pribadi pelanggannya dari kehilangan atau pengungkapan yang tidak sah. Memang, tidak mungkin melindungi privasi tanpa keamanan informasi yang memadai. Oleh karena itu, organisasi harus menggunakan berbagai kontrol pencegahan, detektif, dan korektif yang dibahas dalam Bab 8 untuk membatasi akses ke informasi pribadi pelanggan mereka. Namun, mencapai tingkat keamanan informasi yang dapat diterima tidak cukup untuk melindungi privasi. Juga perlu melatih karyawan untuk menghindari praktik yang dapat mengakibatkan pelanggaran privasi yang tidak disengaja atau dalam pelanggaran advertent. Satu masalah yang sering diabaikan adalah masalah pembuangan peralatan komputer. Penting untuk mengikuti saran yang disajikan di bagian tentang melindungi kerahasiaan untuk menghapus semua informasi yang disimpan di media komputer dengan benar. Mungkin salah satu insiden paling terkenal gagal untuk menghapus informasi dengan benar pada hard drive melibatkan pembuangan komputer pribadi mutlak oleh bank Inggris. Itu dijual di lelang; pembeli menemukan bahwa itu berisi informasi pribadi tentang urusan keuangan Paul McCartney. E-mail menyajikan vektor ancaman kedua yang perlu dipertimbangkan. Sebagai contoh, pada tahun2002 produsen obat, Eli Lilly mengirim e-mail tentang obat antidepresannya, Prozac, kepada 669 pasien. Namun, karena menggunakan cc: berfungsi untuk mengirim pesan ke semua pasien, e-mail mengungkapkan identitas pasien lain. Area ketiga yang sering dilupakan menyangkut pelepasan dokumen elektronik. Sama seperti prosedur khusus digunakan untuk mematikan informasi pribadi pada dokumen kertas, organisasi harus melatih karyawan untuk menggunakan prosedur untuk menghapus informasi tersebut pada dokumen elektronik dengan cara yang mencegah penerima dokumen memulihkan informasi yang disunting.
  9. Kualitas. Organisasi harus menjaga integritas informasi pribadi pelanggan mereka dan menggunakan prosedur untuk memastikan bahwa itu cukup akurat. Menyediakan pelanggan dengan cara untuk meninjau informasi pribadi yang disimpan oleh organisasi (prinsip GAPP 6) dapat menjadi cara yang efektif biaya untuk mencapai tujuan ini.
  10. Pemantauan dan penegakan hukum. Suatu organisasi harus menugaskan satu atau lebih karyawan untuk bertanggung jawab untuk memastikan kepatuhan dengan kebijakan privasi yang dinyatakannya. Organisasi juga harus secara berkala memverifikasi bahwa karyawan mereka mematuhi kebijakan privasi yang disebutkan. Selain itu, organisasi harus menetapkan prosedur untuk menanggapi keluhan pelanggan, yang melibatkan penggunaan proses penolakan sengketa pihak ketiga.
apa itu encryption ?
Enkripsi adalah kontrol pencegahan yang dapat digunakan untuk melindungi kerahasiaan dan privasi. Enkripsi melindungi data yang dikirim melalui Internet dan menyediakan satu penghalang terakhir yang harus diatasi oleh penyusup yang telah memperoleh akses tidak sah ke informasi yang disimpan. Seperti yang akan kita lihat nanti, enkripsi juga memperkuat prosedur otentikasi dan memainkan peran penting dalam memastikan dan memverifikasi keabsahan transaksi e-bisnis. Oleh karena itu, penting bagi akuntan, auditor, dan profesional sistem untuk memahami enkripsi. Seperti yang ditunjukkan pada Gambar 9-1, enkripsi adalah proses mengubah konten normal, yang disebut plaintext, menjadi omong kosong yang tidak terbaca, yang disebut ciphertext. Dekripsi membalikkan proses ini, mengubah ciphertext kembali menjadi plaintext. Baik enkripsi dan dekripsi melibatkan penggunaan kunci dan algoritma. Komputer mewakili baik plaintext dan ciphertext sebagai serangkaian digit biner (0 dan ls). Kuncinya juga merupakan serangkaian digit biner dengan panjang tetap; misalnya, kunci 128-bit terdiri dari string 128 0s dan ls. Algoritme adalah rumus untuk menggabungkan kunci dan teks. Kebanyakan dgcuments lebih panjang dari kunci, sehingga proses enkripsi dimulai dengan membagi blok intol teks biasa, setiap blok memiliki panjang yang sama dengan kunci. Kemudian algoritme diterapkan, ke tombol apa pun blok plaintext. Sebagai contoh, jika kunci 128-bit sedang digunakan, komputer pertama membagi dokumen atau file ke dalam blok 128-bit-panjang dan kemudian menggabungkan setiap blok dengan kunci dengan cara yang ditentukan oleh algoritma (misalnya, dengan menambahkannya ). Hasilnya adalah versi ciphertext dari dokumen atau file, ukurannya sama dengan aslinya. Untuk mereproduksi dokumen asli, komputer terlebih dahulu membagi teks chipher ke dalam blok 128-bit dan kemudian menerapkan kunci dekripsi ke setiap blok.
Diposting oleh di 1 komentar:

Sabtu, 07 April 2018

chapter 8 "Information systems Controls for System Reliability Part 1: lnformation Security"

dalam postingan ini saya akan membahas Sistem Informasi Akuntansi tentang Information systems Controls for System Reliabilityi Part 1: lnformation Security. Selamat membaca ^^ 

7 kriteria dari inforrmasi yang terpercaya 
  1. Efektivitas-informasi harus relevan dan tepat waktu. 
  2.  Efisiensi - informasi harus dihasilkan dengan cara yang hemat biaya. 
  3. Informasi rahasia-sensitif harus dilindungi dari pengungkapan yang tidak sah. 
  4. Integritas - informasi harus akurat, lengkap, dan valid.
  5.  Ketersediaan-informasi harus tersedia kapanpun dibutuhkan. 
  6. Kontrol kepatuhan harus memastikan kepatuhan dengan kebijakan internal dan persyaratan hukum dan peraturan eksternal. 
  7. Manajemen keandalan harus memiliki akses ke informasi yang tepat yang diperlukan untuk melakukan kegiatan sehari-hari dan untuk melaksanakan tanggung jawab fidusia dan tata kelola.

4 domain aktivitas manajemen untuk pengendalian IT menurut COBIT
Proses-proses itu dikelompokkan ke dalam empat aktivitas manajemen dasar, yang disebut COBIT sebagai domain:
  1. merencanakan dan mengatur (PO). Gambar 8-1 mendaftar 10 proses penting untuk mendesain dan mengelola sistem informasi organisasi dengan benar. 
  2. Akuisisi dan Implementasi (AI). Gambar 8-l mendaftar tujuh proses dasar untuk mendapatkan dan memasang solusi teknologi. 
  3. Memberikan Dukungan anil (DS). Gambar 8-1 mendaftar 13 proses penting untuk mengoperasikan sistem infojnasi secara efektif dan efisien dan menyediakan kebutuhan manajemen informasi untuk menjalankan organisasi 
  4. Monitor und Evaluate (ME). Gambar 8-1 mencantumkan empat proses penting untuk menilai pengoperasian sistem informasi suatu organisasi.

2 konsep dasar dari pengamanan informasi
  1. Keamanan lsue Manajemen, Bukan Teknologi. keamanan informasi adalah fondasi untuk keandalan sistem. Akibatnya, keamanan informasi adalah tanggung jawab manajemen. Oleh karena itu, meskipun keamanan informasi adalah subjek teknis yang rumit, ini adalah pertama dan terutama masalah manajemen, bukan masalah teknologi informasi. Pentingnya peran manajemen dalam keamanan informasi tercermin dalam fakta bahwa tujuan pengendalian keamanan terperinci pertama COBIT (DS 5.1) meminta keamanan informasi untuk dikelola pada tingkat tertinggi yang sesuai. keterlibatan aktif dan dukungan manajemen senior diperlukan dalam setiap aspek keamanan informasi. Keterlibatan manajemen sangat penting dalam tahap perencanaan. Ingat bahwa COSO menekankan pentingnya "nada di atas" untuk menciptakan lingkungan internal yang baik; dengan cara yang sama, sikap dan perilaku manajemen senior sangat penting untuk membentuk budaya keamanan organisasi. Identifikasi dan penilaian sumber daya informasi juga membutuhkan masukan manajemen; sama seperti manajemen senior tidak memiliki pengetahuan yang diperlukan untuk memilih perangkat lunak enkripsi atau firewall mana yang harus dibeli, para profesional keamanan informasi tidak dapat secara akurat menilai nilai informasi organisasi. Meskipun para profesional keamanan informasi dapat mengidentifikasi dan memperkirakan risiko berbagai ancaman, hanya manajemen senior yang dapat menilai dampaknya dengan tepat dan memilih respons risiko yang sesuai. Akhirnya, karyawan lebih cenderung mematuhi kebijakan dan prosedur ketika mereka tahu bahwa manajemen senior sepenuhnya mendukung mereka.
  2. Defense-in-Depth dan Model Keamanan Informasi Berbasis WaktuIde pertahanan-mendalam adalah menggunakan beberapa lapisan kontrol untuk menghindari satu titik kegagalan. Sebagai contoh, banyak organisasi tidak hanya menggunakan firewall tetapi juga beberapa metode otentikasi (kata sandi, token, dan biometrik) untuk membatasi akses. Penggunaan kontrol yang tumpang tindih, saling melengkapi, dan berlebihan meningkatkan keefektifan secara keseluruhan karena jika satu kontrol gagal atau terhindar, yang lain dapat berfungsi seperti yang direncanakan. Pertahanan-mendalam biasanya melibatkan penggunaan kombinasi kontrol pencegahan, detektif, dan korektif. Peran kontrol pencegahan adalah untuk membatasi tindakan terhadap individu tertentu sesuai dengan kebijakan keamanan organisasi. Namun, auditor sudah lama menyadari hal itukontrol preventif tidak pernah dapat memberikan perlindungan 1007o. Berikan waktu dan daya ledak yang cukup, setiap kontrol preventif dapat dicegah. Oleh karena itu, penting untuk menerapkan kontrol pencegahan dengan metode untuk mendeteksi insiden dan prosedur untuk mengambil perbaikan korektiftindakan. Saya Mendeteksi pelanggaran keamanan dan memulai tindakan perbaikan korektif harus tepat waktu, karena begitu kontrol pencegahan telah dilanggar, dibutuhkan sedikit waktu untuk menghancurkan, berkompromi, atau mencuri sumber daya ekonomi dan informasi organisasi. Oleh karena itu, tujuan dari model waktu jangka panjang adalah menggunakan kombinasi kontrol detektif dan korektif yang mengidentifikasi informasi mengamankan insiden cukup dini untuk mencegah hilangnya atau kompromi informasi.
  
pengertian P, D, C pada time based model of security
P: waktu yang dibutuhkan penyerang untuk menerobos kontrol pencegahan organisasi
D: waktu yang dibutuhkan untuk mendeteksi bahwa serangan sedang berlangsung
C: waktu yang dibutuhkan untuk menanggapi serangan itu
Ketiga variabel tersebut kemudian dievaluasi sebagai berikut: Jika P> D * C, maka prosedur keamanan organisasi efektif. Kalau tidak, keamanan tidak efektif.Model keamanan berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi pendekatan yang paling efektif. biaya untuk meningkatkan keamanan dengan membandingkan efek dari investasi tambahan dalam kontrol pencegahan, detektif, atau korektif. Sebagai contoh, manajemen mungkin mempertimbangkan investasi tambahan $ 100.000 untuk meningkatkan keamanan. Salah satu pilihan mungkin adalah pembelian firewall baru yang akan meningkatkan nilai P hingga 10 menit. Pilihan kedua mungkin untuk meningkatkan sistem deteksi intrusi organisasi dengan cara yang akan menurunkan nilai D selama 12 menit. Pilihan ketiga mungkin untuk berinvestasi dalam metode baru untuk menanggapi insiden keamanan informasi sehingga dapat menurunkan nilai C hingga 30 menit. Dalam contoh ini, pilihan yang paling hemat biaya adalah berinvestasi dalam kontrol korektif tambahan yang memungkinkan organisasi merespons serangan lebih cepat. Meskipun model keamanan berbasis waktu memberikan dasar teoritis yang kuat untuk mengevaluasi dan mengelola praktik keamanan informasi organisasi, itu harus dilihat sebagai alat strategis dan bukan sebagai rumus matematika yang tepat. Satu masalah adalah sulit, jika tidak mustahil, untuk mendapatkan pengukuran parameter P, D, dan C. yang akurat dan andal. Selain itu, bahkan ketika nilai-nilai parameter tersebut dapat dihitung dengan andal, perkembangan IT baru dapat dengan cepat mengurangi validitasnya. Misalnya, penemuan kerentanan baru yang besar dapat secara efektif mengurangi nilai P ke nol. Konsekuensinya, model keamanan berbasis waktu paling baik digunakan sebagai kerangka kerja tingkat tinggi untuk analisis strategis. Untuk manajemen keamanan taktis dan harian, sebagian besar organisasi mengikuti prinsip pertahanan-mendalam dan menggunakan beberapa kontrol pencegahan, detektif, dan korektif.
 
Diposting oleh di 1 komentar:

chapter 7 "Kontrol dan Informasi Akuntansi Sistem"

dalam postingan ini saya akan membahas Sistem Informasi Akuntansi tentang Control and Accounting Information System. Selamat membaca ^^ 

Apa itu Sistem Pengendalian Internal? 
Pengendalian internal adalah proses yang diterapkan untuk memberikan jaminan yang wajar bahwa tujuan pengendalian sudah tercapai.
 

apa saja tujuan pengendalian internal itu?
  • Safeguard assets : mencegah atau mendeteksi akuisisi, penggunaan, atau disposisi yang tidak sah.  
  • Mempertahankan catatan dalam detail yang memadai untuk melaporkan aset perusahaan secara akurat dan jujur.  
  • Berikan informasi yang akurat dan dapat diandalkan. 
  • Siapkan laporan keuangan sesuai dengan kriteria yang telah ditentukan. 
  • Promosikan dan tingkatkan efisiensi operasional. 
  • Dorong kepatuhan terhadap kebijakan manajerial yang ditentukan.  
  • Patuhi hukum dan peraturan yang berlaku.

3 sistem utama pengendalian internal
  1. Kontrol pencegahan (preventive control) mencegah masalah sebelum muncul. Contohnya termasuk perekrutan yang berkualitas personil, memisahkan tugas karyawan, dan mengendalikan akses fisik terhadap aset dan informasi. 
  2. Kontrol detektif menemukan masalah yang tidak dicegah. Contohnya termasuk duplikat
    memeriksa perhitungan dan mempersiapkan rekonsiliasi bank dan saldo uji coba bulanan. 
  3. Kontrol korektif mengidentifikasi dan memperbaiki masalah ketika terjatuh sebagai benar dan pulih dari menghasilkan kesalahan. Contohnya termasuk mempertahankan backuf salinan file, memperbaiki entri data kesalahan, dan mengirim ulang transaksi untuk pemrosesan selanjutnya.

kontrol internal sering dipisahkan menjadi dua kategori
  1. Kontrol umum memastikan lingkungan pengendalian organisasi stabil dan dikelola dengan baik. Contohnya termasuk keamanan; Infrastruktur TI; dan akuisisi perangkat lunak, pengembangan, dan kontrol pemeliharaan. 
  2. Kontrol aplikasi memastikan transaksi diproses dengan benar. Mereka khawatir
    dengan akurasi, kelengkapan, validitas, dan otorisasi data yang diambil, dimasukkan,
    diproses, disimpan, dikirim ke sistem lain, dan dilaporkan.

apa itu COBIT ?
Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT.
Bagian ini membahas tiga kerangka kerja yang digunakan untuk mengembangkan sistem pengendalian internal. 
Kerangka kerja COBIT Audit Sistem Informasi dan Pengendalian Asosiasi (ISACA) mengembangkan kontrol obiectives untuk informasi dan terkait Technologt (COBIT) kerangka. CoBIT mengkonsolidasikan standar kontrol dari 36 sumber yang berbeda ke dalam satu kerangka kerja yang memungkinkan : 
(1) manajemen untuk patokan keamanan dan praktik pengendalian lingkungan TI, 
(2) pengguna untuk diyakinkan bahwa keamanan dan kontrol TI yang memadai ada, dan 
(3) auditor untuk memperkuat opini kontrol internat mereka dan memberi nasihat tentang keamanan dan kontrol TI penting.Kerangka kerja ini membahas kontrol dari tiga titik yang menguntungkan:
  1. Tujuan bisnis. Untuk memuaskan, tujuan bisnis, informasi harus sesuai dengan kategori kriteria yang dipetakan ke dalam tujuan yang ditetapkan oleh Komite Organisasi Sponsor (COSO; lihat bagian selanjutnya). 
  2. sumber daya IT' Ini termasuk orang, sistem aplikasi, teknologi, fasilitas, dan data.  
  3. proses IT' Ini dibagi menjadi empat domain: perencanaan dan pengorganisasian, akuisisi dan implementasi, derivery dan dukungan, pemantauan dan evakuasi 

apa itu ERM ? 
Untuk meningkatkan proses manajemen risiko, COSO mengembangkan kerangka kendali kedua yang disebut Enterprise Risk Management-Integrateil Framework (ERM). ERM adalah proses dewan
penggunaan direksi dan manajemen untuk menetapkan strategi, mengidentifikasi peristiwa yang dapat mempengaruhi entitas, menilai dan mengelola risiko, dan memberikan jaminan yang wajar bahwa perusahaan mencapai tujuannya. 

prinsip dasar dibalik konsep ERM ? 
Prinsip-prinsip dasar di balik ERM adalah sebagai berikut: 
  • Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya. 
  • Manajemen harus memutuskan berapa banyak ketidakpastian yang akan diterima karena menciptakan nilai.
  •  Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu yang negatif mempengaruhi kemampuan perusahaan untuk menciptakan atau mempertahankan nilai. 
  • Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu berdampak positif kemampuan perusahaan untuk menciptakan atau mempertahankan nilai.
  •  Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai. 

framework menurut COSO 
Kerangka kerja IC telah diadopsi secara luas sebagai cara untuk mengevaluasi kontrol internal, sebagaimana diperlukan oleh Sarbanes-Oxley. Namun, itu memeriksa kontrol tanpa melihat tujuan dan risiko proses bisnis dan memberikan sedikit konteks untuk mengevaluasi hasil. Di bawah kerangka IC.
  1. Control environment.
    Inti dari bisnis apa pun adalah orang-orangnya — atribut individual mereka, termasuk integritas, nilai-nilai etis, dan kompetensi — dan lingkungan tempat mereka beroperasi. Mereka adalah mesin yang menggerakkan organisasi dan fondasi di mana semuanya berada.
  2. Control activities.
    Kebijakan dan prosedur kontrol membantu memastikan bahwa tindakan yang diidentifikasi oleh manajemen diperlukan untuk mengatasi risiko dan mencapai tujuan organisasi dilakukan secara efektif.
  3.  Risk assessment.
    Organisasi harus mengidentifikasi, menganalisis, dan mengelola risikonya. Itu harus menetapkan tujuan sehingga organisasi beroperasi dalam konser.
  4.  Information and communication.
    Sistem informasi dan komunikasi menangkap dan bertukar informasi yang diperlukan untuk melakukan, mengelola, dan mengendalikan operasi organisasi.
  5. Monitoring. Seluruh proses harus dipantau, dan modifikasi dilakukan seperlunya sehingga sistem dapat berubah sesuai dengan kondisi yang menjamin.

klasifikasi dari tujuan organisasi menurut konsep ERM
  1. "Tujuan strategis", yang merupakan sasaran tingkat tinggi yang selaras dengan misi perusahaan, mendukungnya, dan menciptakan nilai pemegang saham, ditetapkan pertama. Manajemen harus mengidentifikasi cara-cara alternatif untuk mencapai tujuan strategis; mengidentifikasi dan menilai risiko dan implikasi dari setiap alternatif; merumuskan strategi perusahaan; dan menetapkan operasi, kepatuhan, dan tujuan pelaporan. 
  2. "Tujuan operasi", yang berkaitan dengan efektivitas dan efisiensi operasi perusahaan, menentukan cara mengalokasikan sumber daya. Mereka mencerminkan preferensi manajemen, penilaian, dan gaya dan merupakan faktor kunci dalam kesuksesan perusahaan. Mereka bervariasi secara signifikan-satu perusahaan dapat memutuskan untuk menjadi adopter teknologi awal, yang lain dapat mengadopsi teknologi ketika terbukti. dan sepertiga mungkin mengadopsinya hanya setelah diterima secara umum. 
  3. "Tujuan pelaporan" membantu memastikan keakuratan, kelengkapan, dan keandalan laporan perusahaan; meningkatkan pengambilan keputusan; dan memonitor aktivitas dan kinerja perusahaan. Sasaran kepatuhan membantu perusahaan mematuhi semua hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan, dan banyak tujuan pelaporan, diberlakukan oleh entitas eksternal sebagai tanggapan terhadap undang-undang atau peraturan. Seberapa baik perusahaan memenuhi kepatuhan dan tujuan pelaporannya dapat berdampak signifikan terhadap reputasi perusahaan. 

inheren risk dan residual risk
Risiko dari peristiwa yang teridentifikasi dinilai dengan beberapa cara berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori, pengaruhnya pada unit organisasi lain, dan atas dasar inheren dan residual. 
Risiko inheren ada sebelum manajemen mengambil langkah untuk mengendalikan kemungkinan atau dampak dari suatu peristiwa. Risiko residual adalah apa yang tersisa setelah manajemen menerapkan pengendalian internal atau beberapa tanggapan lain terhadap risiko. Perusahaan harus menilai risiko yang melekat, mengembangkan tanggapan, dan kemudian menilai risiko residual. 

cara manajemen dalam menghadapi risiko
Untuk menyelaraskan risiko yang teridentifikasi dengan toleransi perusahaan terhadap risiko, manajemen harus mengambil pandangan risiko di seluruh entitas. Mereka menilai kemungkinan dan dampak risiko, serta biaya dan manfaat dari tanggapan alternatif. Manajemen dapat merespons risiko dengan salah satu dari empat cara: 
  • Kurangi (reduce). Kurangi kemungkinan dan dampak risiko dengan menerapkan sistem yang efektif kontrol internal.
  • Terima (accept). Terima kemungkinan dan dampak risiko
  • Bagikan (share). Bagikan risiko atau transfer ke orang lain dengan membeli asuransi, outsourcing aktivitas, atau memasuki transaksi lindung nilai.
  • Hindari (avoid). Hindari risiko dengan tidak terlibat dalam aktivitas yang menghasilkan risiko. Ini mungkin membutuhkan perusahaan untuk menjual divisi, keluar dari lini produk, atau tidak berkembang seperti yang diantisipasi.

Pemeriksaan independen pada KinerjaPemeriksaan independen terhadap kinerja, dilakukan oleh seseorang selain orang yang melakukan operasi awal, membantu memastikan bahwa transaksi diproses secara akurat. Mereka termasuk yang berikut:
  • Ulasan tingkat atas. Manajemen harus memantau hasil perusahaan dan secara berkala membandingkan kinerja perusahaan aktual (a) kinerja yang direncanakan, seperti yang ditunjukkan dalam anggaran, target, dan prakiraan; (b) kinerja periode sebelumnya; dan (c) kinerja pesaing. 
  • Ulasan analitis. Tinjauan analitis adalah pemeriksaan hubungan antara set data yang berbeda. Misalnya, dengan peningkatan penjualan kredit, maka harus piutang. Selain itu, ada hubungan antara penjualan dan akun seperti harga pokok penjualan, persediaan, dan pengiriman barang. Rekonsiliasi catatan yang dipelihara secara independen. Rekaman harus direkonsiliasi dengan
    dokumen atau catatan dengan saldo yang sama. Misalnya, rekonsiliasi bank memverifikasi bahwa saldo rekening giro perusahaan sesuai dengan saldo laporan bank. Contoh lain adalah membandingkan total buku besar pembantu dengan total buku besar umum.
  • Perbandingan jumlah aktual dengan jumlah yang tercatat. Aset signifikan dihitung secara periodik dan direkonsiliasi dengan catatan perusahaan. Pada akhir giliran panitera, uang tunai di laci kasir harus sesuai dengan jumlah pada pita kasir. Inventarisasi harus dihitung secara periodik dan direkonsiliasi dengan catatan inventaris.
  •  Akuntansi double-entry. Pepatah yang mendebit kredit yang sama menyediakan banyak
    peluang untuk pemeriksaan independen. Debet dalam entri penggajian dapat dialokasikan ke banyak inventaris dan / atau rekening pengeluaran; kredit dialokasikan ke akun kewajiban untuk pembayaran gaji, pajak yang dipotong, asuransi karyawan, dan iuran serikat pekerja. Setelah entri penggajian, membandingkan total debit dan kredit adalah pemeriksaan powedul pada keakuratan dari kedua proses. Setiap perbedaan menunjukkan adanya kesalahan. 
  • Ulasan Ind.ependen. Setelah transaksi diproses, orang kedua meninjau karya yang pertama, memeriksa otorisasi yang tepat, meninjau dokumen pendukung, dan memeriksa keakuratan harga, kuantitas, dan ekstensi. 
Diposting oleh di 1 komentar:
Langganan: Postingan (Atom)