Analisis Keamanan Dan Integritas Sistem Informasi Akuntansi Bank
advertisement
Analisis Keamanan Dan Integritas Sistem Informasi Akuntansi Bank DKI Pada DBMS AS/400 Dengan Basis Pengukuran COBIT 4.1 Akhmad Zaki Al-Safi Komplek Peternakan No.31 RT 03/08 Tanah Baru, Beji, Depok [email protected] ABSTRAK Analisis keamanan dan integritas sistem informasi akuntansi adalah penelitian mengenai aspek CIA (Confidentiality-Integrity-Availability) dari manajemen keamanan sistem informasi akuntansi, baik dari sisi application controls dan access controls. Keamanan dan integritas sistem informasi akuntansi yang dimaksud adalah keamanan dan integritas serta ketersediaan data transaksi akuntansi, yang realibilitasnya dan relevansinya bisa dijaga agar informasi akuntansi dan laporan keuangan akuntansi bisa dipastikan kebenaran dan validitasnya. Informasi yang valid dan relevan juga tepat waktu, bisa memberikan gambaran yang utuh mengenai performa keuangan dan non keuangan perusahaan. Informasi tersebut juga sangat bermanfaat bagi stakeholders dan shareholders terkait investasi dan kepentingan lainnya. Untuk dapat menghasilkan dan mengetahui apakah informasi yang dihasilkan sistem informasi akuntansi tersebut sudah terjaga, pada penelitian ini digunakan standar CISA (Certified Information Systems Auditor) yang diterbitkan oleh ISACA menggunakan pendekatan CobiT 4.1. Hasil penelitian ini menunjukkan bahwa manajemen pengendalian aplikasi dan pengendalian manajemen keamanan sistem informasi akuntansi di Bank DKI sudah berjalan dengan baik, namun perlu ditingkatkan dan dioptimalkan. Kata Kunci : Sistem Informasi Akuntansi, IT Security, CobiT 4.1, Analisis Sistem PENDAHULUAN Latar Belakang Masalah Dunia bisnis pada masa sekarang sangat mengandalkan teknologi informasi dan komunikasi untuk menjalankan proses bisnisnya. Oleh karena itu, adalah suatu hal yang penting bagi dunia bisnis untuk memahami dan mengerti aspek teknologi informasi dan komunikasi untuk dapat menerapkannya baik secara manajerial maupun teknikal pada proses bisnis dan kegiatan ekspansinya (Gondodiyoto, 2007). Pritoritas utama diberikan terhadap suatu mekanisme kontrol atau pengendalian, baik intern maupun ekstern, untuk memastikan bahwa laporan dan keputusan yang diterima dan dihasilkan oleh manajemen merupakan suatu pengambilan keputusan yang jujur dan mempunyai integritas tinggi berdasarkan hasil proses audit yang dilakukan terhadap sistem akuntansi berbasis teknologi informasi dan komunikasi organisasi bisnis bersangkutan. Adapun tujuan yang diinginkan dari audit sistem informasi ini adalah untuk menciptakan Good Corporate Governance di dalam suatu perusahaan. Pengendalian internal masa depan, tidak hanya cukup dengan pengendalian umum (general controls) dan pengendalian aplikasi dan formulir (application controls), melainkan dibutuhkan juga pengendalian akses (access control), pengendalian otentisitas pengguna (authentication), pengendalian masukan (repudiation), dan pengendalian keamanan (security systems). IT Governance adalah suatu bagian yang tidak terpisahkan dari suatu organisasi bisnis. Salah satu standar penting dan efektif untuk diterapkan adalah CobiT atau Control Objectives for Information and Related Technology. CobiT dikeluarkan oleh organisasi bernama ISACA pada tahun 1992 dan merupakan standar yang berorientasi pada proses, berfokus pada sasaran bisnis dan merupakan alat manajerial dan teknikal untuk unit TI. Penelitian ini mengambil Analisis Keamanan dan Integritas Sistem Informasi Akuntansi Pada DBMS AS/400 Dengan Basis Pengukuran CobiT 4.1 untuk mendukung tujuan bisnis tersebut. Tujuan Penelitian Tujuan dari penulisan tesis ini adalah untuk mengetahui bagaimana sistem keamanan dan integritas data secara fisik dan aplikasi (software) dengan menganalisis menggunakan alat analisis dan desain sistem yang ada (DFD, UML, flowchart), dengan kerangka acuan CobiT 4.1 pada Aspek AI2 dan DS5. Penelitian juga bertujuan menilai pengendalian dan risiko dari sistem informasi akuntansi Bank DKI. TINJAUAN PUSTAKA Aspek Information Systems Security (Keamanan Sistem Informasi) Pada CobiT 4.1 Aspek keamanan sistem informasi terutama sistem informasi akuntansi telah banyak diatur dalam standar-standar internasional yang bertujuan untuk menjamin kerahasiaan (confidentiality), integritas data (integrity), dan jaminan ketersediaan informasi pada saat dibutuhkan (Availability). Standar internasional yang berkaitan dengan keamanan sistem infomasi adalah ISO/IEC 27002 yang menjadi acuan dalam sertifikasi CISA (Certified Information Security Auditor) yang diterbitkan ISACA yang juga menerbitkan CobiT 4.1. CobiT 4.1 menghubungkan antara pengendalian bisnis dan teknologi informasi dan menjembatani gap atau rentang diantara dua model pengendalian diatas. Control Objectives for Acquire and Maintain Application Software (AI 2) Keberhasilan pengendalian ini diukur dengan jumlah dari permasalahan di level produksi per aplikasi yang menyebabkan potensi downtime. Pengukuran lain terhadap pengendalian ini meliputi persentasi kepuasan pengguna program aplikasi terhadap fungsionalitas yang diterapkan. Secara umum, kontrol objektif ini memfokuskan pada sumber daya TI yaitu Aplikasi, dengan prioritas utama pada kriteria informasi yaitu efektifitas dan efisiensi, serta prioritas sekunder yaitu integritas dan realibilitas atau kehandalan informasi yang dihasilkan dari program aplikasi. Pengendalian ini ditujukan untuk menerjemahkan persyaratan bisnis kepada desain spesifikasi. Mengaitkan setiap perubahan sistem terhadap standar pengembangan aplikasi. Memisahkan antara aktivitas operasional atau produksi, pengujian, dan pengembangan program aplikasi. Application Controls (Pengendalian Internal terhadap Aplikasi) Aplikasi Software menerima, memproses, menyimpan, dan mentransmisikan informasi. Kecuali dikonfigurasi dan diprogram secara spesifik, aplikasi software mempunyai kemampuan yang rendah untuk memisahkan atau memilah antara transaksi yang valid dan yang tidak valid. Pengendalian atau kontrol sangat diperlukan untuk meyakinkan bahwa informasi di setiap tahapan proses mempertahankan integritas yang diperlukan dari informasi itu sendiri. Walaupun banyak perbedaan diantara arsitektur aplikasi software, pendekatan yang umum adalah untuk mengaplikasikan pengendalian pada titik masukan, proses, dan keluaran. Dengan kata lain, pengendalian meliputi input, proses, output sangat dibutuhkan. Pengendalian Masukan Semua data yang menjadi masukkan atau input ke dalam sistem harus diotorisasi oleh manajemen. Metode untuk otorisasi atau persetujuan memiliki banyak bentuk, antara lain User Access Control, Workstation Identification, Approved Transactions and Batches, dan Source Documents. Validasi Masukan Proses validasi input digunakan untuk meyakinkan bahwa tipe dan nilai dari informasi tersebut sudah sepatutnya dan bersifat rasional. Tipe dari validasi masukan meliputi Pengecekan Tipe, Pengecekan Jarak (Range Checking) dan Nilai Masukan, Keberadaan (Completeness), Konsistensi, Length atau Panjang Variabel, Cek Digit, Pengecekan Kata, Karakter Yang Tidak Diinginkan, dan Pengendalian data batches. Penanganan Error Program ini juga harus diprogram dan dikonfigurasikan untuk mengambil aksi spesifik jika validasi masukan yang sudah disebutkan sebelumnya gagal. Banyak kemungkinan respon yang bisa dilakukan, tergantung pada data yang diinput dan metode penginputannya semisal Batch Rejection, Transaction Rejection, dan Request Re-input. Pengendalian Proses Semua data baru yang baru dihasilkan harus dicek rasionalitas hasil kalkulasinya, untuk meyakinkan bahwa kalkulasi tersebut sudah bekerja dengan semestinya dan informasi yang jelek dan kode program yang jelek tidak menjalarkan kepada maksud yang tidak diinginkan. Pengendalian untuk memastikan bahwa data di dalam sistem mempertahankan integritasnya didiskusikan pada bagian ini meliputi: 1. Pengeditan, 2. Perhitungan/Kalkulasi yang meliputi run to run totals, limit checking, batch totals, manual recalculation, reconciliation, dan hash value. 3. Kontrol Data File yang meliputi Penggunaan File Data, Penanganan Error, Internal dan External Labelling, Sources File, dan Transaction Logs. 4. Kesalahan Proses, Error yang terjadi selama proses berlangsung harus dicatat dalam logfile atau media keluaran lainnya yang bisa dievaluasi oleh personil. Semua kesalahan/error harus dialamatkan, apakah dengan menginput ulang, atau bentuk lainnya. Pengendalian keluaran Aplikasi menerima input data, melakukan perhitungan, dan menghasilkan data keluaran. Hasil dari perhitungan akhir dan transformasinya harus dicek untuk melihat kerasionalan dan validitasnya. Beberapa tipe dari pengendalian keluaran tersedia, tergantung dari tipe aktivitas dan data. Pengendalian ini meliputi: 1. Mengendalikan Format Tertentu 2. Distribusi dan Penerimaan Laporan Control Objectives for Ensure Systems Security (DS 5) Kebutuhan untuk memelihara integritas dari informasi dan untuk melindungi aset teknologi informasi (TI) membutuhkan proses manajemen keamanan. Proses ini meliputi pendirian dan pemeliharaan peran dan pertanggungjawaban, kebijakankebijakan, standar-standar, dan prosedur IT Security. Manajemen keamanan informasi juga meliputi penyelenggaraan pengawasan keamanan (security monitoring) dan pengujian periodik (periodic testing) dan pengimplementasian tindakan koreksi untuk mengidentifikasikan kelemahan keamanan dan kejadiannya. Manajemen keamanan yang efektif melindungi semua aset TI untuk mengeliminir dampak kelemahan pengamanan dan kejadiannya terhadap bisnis. Pengendalian ini difokuskan dalam pendefinisian kebijakan IT security, perencanaan dan prosedur, dan pemantauan, pendeteksian, pelaporan, dan menyelesaikan permasalahan kelemahan keamanan dan kejadiannya. Tingkat keberhasilan dari pengendalian ini diukur dengan banyaknya insiden yang merusak citra perusahaan di muka umum. Pengukuran lain adalah banyak sistem atau subsistem dimana persyaratan keamanannya tidak ditemukan. Kemudian keberhasilan dari pengendalian ini juga diukur dengan banyak pelanggaran terhadap pemisahan tugas atau segregation of duties. Access Control Logical Access Control digunakan untuk mengontrol terhadap cara subjek (bisaaya manusia) dapat mengakses objek (biasanya data). Pengendalian logical access mengendalikan pekerjaan dengan beberapa cara, utamanya Akses Subjek dan Akses Layanan. Dalam membicarakan mengenai access control, profesional keamanan biasanya menggunakan istilah yang tidak digunakan dalam disiplin sistem informasi. Terminologi ini diantaranya Subject dan Object, Fail Open dan Fail Closed, Least Privillege, Segregation of Duties, dan Split Custody. Pendekatan pengendalian akses sudah dikembangkan dari tahun 1970-an. Pendekatan-pendekatan ini adalah mekanisme sederhana untuk memahami dan membangun sistem pengendalian akses. Pendekatan yang pertama kali dikembangkan termasuk pendekatan Biba, Bell-La Padula, Clark-Wilson, Lattice, Brewer, dan Nash, TakeGrant, serta Non-Interference. Pendekatan yang menarik perhatian auditor sistem informasi meliputi Mandatory Access Control (MAC) dan Discretionary Access Control (DAC). Ancaman terhadap Keamanan Sistem Informasi Karena pengendalian akses hanya terbatas pada aset yang diproteksi dengan pengguna sistem, pengendalian akses seringkali diserang oleh pihak yang ingin melewatinya. Dan memang kebanyakan serangan terhadap komputer-komputer dan jaringan-jaringan yang menyimpan aset yang berharga adalah serangan terhadap pengendalian aksesnya melalui menipu, mengalahkan, dan melewati kontrol terhadap akses sistem. Ancaman terhadap pengendalian akses meliputi malware (kode virus, trojan, dan lainnya yang bertujuan untuk melewati pengendalian akses), Eavesdropping (pemasangan alat sniffing tools untuk mengambil informasi sensitif dari sistem), Backdoor (Suatu alat atau kode program yang dibuat untuk membuat kerusakan atau sebagai pintu masuk bagi penyerang untuk masuk ke dalam sistem tanpa melewati prosedur pengendalian akses), dan Scanning attacks (suatu usaha yang dilakukan oleh penyerang untuk melihat kelemahan pada pengendalian akses melalui jaringan komputer). Kelemahan Sistem atau Vulnerability Kelemahan sistem yang umum terjadi meliputi Sistem yang tidak dipatch, Konfigurasi sistem pabrik, Default Password, Application Logic. Access Control melalui Identification, Authentication, dan Authorization Identifikasi dan otentikasi (I&A) di dalam logical access control untuk software adalah proses untuk membuat dan membuktikan identitas pengguna. I&A adalah suatu blok bangunan pengamanan yang kritis, dikarenakan I&A sangat dibutuhkan untuk sebagian besar tipe dari pengendalian akses dan merupakan persyaratan untuk memastikan identitas pengguna. Beberapa kelemahan dari tidak melakukan I&A yang bisa saja dieksploitasi untuk mendapatkan akses yang tidak diotentikasi ke dalam sistem meliputi Metode otentikasi yang lemah, Potensi pengguna melewati (bypass) mekanisme otentikasi, Kurangnya kerahasiaan dan integritas dari informasi otentikasi yang disimpan, Kurangnya enkripsi, dan Kurangnya pengetahuan pengguna mengenai bahaya dari sharing elemen-elemen otentikasi semisal password, security tokens, dan lainnya. Otentikasi secara umum dikategorikan sebagai “Sesuatu yang Anda ketahui” misalnya password, “Sesuatu yang Anda punya” misalnya token cards , atau “Sesuatu yang memang Anda” misalnya biometrics. Proses otorisasi digunakan yang digunakan untuk mengontrol akses mensyaratkan bahwa sistem bisa mengidentifikasi dan membedakan antara setiap pengguna. Kendali akses (access rules) atau otorisasi menspesifikasikan siapa yang bisa melakukan akses terhadap sesuatu. Sebagai contoh, pengendalian akses seringkali berbasis pada least privilege atau sedikit kewenangan, yang menunjukkan bahwa setiap pengguna hanya diberi wewenang untuk mengakses objek sistem sesuai jabatannya. Akses hanya akan diberikan pada prosedur terdokumentasi berbasis tipe akses “Harus diketahui” dan “Harus dikerjakan”. Akses ke komputer bisa disetting ke berbagai tingkatan. Sebagai contoh, pembatasan akses pada tingkatan file secara garis besar meliputi beberapa hal berikut: • • • • Read, Inquiry, atau Copy saja. Write, Create, Update, atau Delete saja. Execute saja Kombinasi dari setiap hak akses diatas. Daftar file terkomputerisasi dan infrastruktur/fasilitas yang digunakan secara garis besar di setiap tingkatan dari jaringan komputer, platforms, basis data, dan aplikasi yang harus dilindungi oleh pengendalian akses non-fisik meliputi Data, Data Dictionary/ Directory, Jalur telekomunikasi dan jalur telpon, Sistem operasi untuk router jaringan dan switches, DNS atau Domain Name Servers, Systems Software, Libraries/Directories, Application Software (Development dan Production), Web Applications, System Procedure Libraries, System Utilities, Operator Systems Exits, Access Control Software, Passwords, Logging Files, Temporary Disk Files, Tape Files, Spool Queues. Physical Security Control Physical security control terutama berkonsentrasi pada proteksi fasilitasfasilitas yang bernilai dan sensitif (meliputi komputer-komputer dan peralatan jaringan) dari personil yang tidak terotorisasi. Kontrol atau pengendalian digunakan untuk mendeteksi dan mencegah masuknya orang yang tidak dikehendaki ke fasilitas ini. Beberapa pengendalian bisa digunakan untuk meningkatkan keamanan fisik dari suatu tempat kerja atau worksite, mengurangi ancaman dari penyusup dan pencuri serta ancaman kerusakan. Beberapa pengendalian ini adalah Keycard Systems, dan bentuk pengendalian lainnya semisal Chiper Locks, Video Surveillance, Security Guards, dan lainnya. METODE PENELITIAN Dalam penulisan akhir ini, penulis melakukan analisis rancang bangun atau engineering analysis untuk melihat persyaratan, struktur, mekanisme, sistem dan dimensi sistem yang ada dengan standar dan penerapan terbaik yang dijadikan penulis sebagai pembanding untuk menganalisis terhadap desain dan implementasi sistem informasi akuntansi pada objek penelitian. HASIL DAN PEMBAHASAN Bab ini penulis mulai dengan melakukan penjelasan secara garis besar, namun jelas dan padat terhadap komponen dari sistem informasi akuntansi yang ada di Bank DKI sesuai dengan dekomposisi modul bisnisnya yang terdiri dari modul deposito (TDS), modul tabungan dan giro (DDS), modul pinjaman (LNS), dan modul buku besar (GLS). Penulis juga menjelaskan arti pentingnya dua file database yaitu file history dan file data balance management. Selanjutnya penulis menjelaskan mengenai modul bawaan sistem yaitu modul XAS untuk menjamin keamanan sistem informasi akuntansi Bank DKI. Penulis juga menjelaskan komponen sistem informasi akuntansi meliputi komponen input (menu) boundary, komponen pelaporan (output), komponen teknologi, komponen database, dan komponen kontrol atau pengendalian. Kemudian penulis membahas bagaimana sistem pemrosesan teknologi sistem informasi akuntansi yang ada di Bank DKI, dan perlunya SIA Bank DKI untuk meningkatkan manajemen keamanan sistem informasi. Pada sub-bab selanjutnya, penulis kemudian menjelaskan mengenai pengendalian aplikasi dan pengendalian akses. Untuk pengendalian aplikasi, penulis membaginya menjadi 3 pengendalian, yaitu pengendalian masukan, pengendalian proses, dan pengendalian keluaran. Masing-masing pengendalian penulis bahas dari 4 sisi pembahasan, yaitu pembahasan mengenai deskripsi sistem itu sendiri, pembahasan mengenai kelayakan sistem, pembahasan mengenai kelemahan sistem, dan yang terakhir adalah pembahasan mengenai solusi pengembangan sistem yang penulis sarankan. Untuk membantu pembahasan terhadap sub-bab tersebut, penulis menggunakan alat analisis berupa UML, DFD dan Flowchart yang efektif dalam memberikan gambaran mengenai bagaimana sistem informasi akuntansi Bank DKI berjalan berdasarkan setiap aspek yang dibahas pengendaliannya. Dalam membahas mengenai pengendalian akses, penulis menggunakan standar CISA dari ISACA untuk kemudian dianalisis terhadap penerapan manajemen keamanan sistem informasi akuntansi yang ada di Bank DKI. Pengendalian akses ini meliputi pengendalian akses non-fisik (logical control) dan pengendalian akses fisik (physical control). Hasil dari pembahasan deskriptif dan analisis yang penulis lakukan, bisa dilihat dari matriks penilaian risiko dan pengendalian keamanan sistem informasi akuntansi Bank DKI. Penilaian Risiko dan Pengendalian Keamanan Sistem Informasi Akuntansi Bank DKI. Matriks penilaian risiko merupakan sebuah metode analisis dengan menghitung aspek tingkat risiko (dampak) dan tingkat keterjadian risiko. Sedangkan pada matriks pengendalian merupakan metode analisis efektifitas desain (rancangan) pengendalian intern dan tingkat efektivitas pengendalian intern itu sendiri. Matriks penilaian risiko meliputi penilaian tingkat dampak risiko dan tingkat keterjadian risiko masing-masing dapat dinyatakan dengan nilai : L (low) diberi nilai -1, M (medium) diberi nilai -2, H (high) diberi nilai -3. Aturan yang ditetapkan oleh buku The Essential Handbook of Internal Auditing (IIA, 2005) adalah bahwa nilai dampak risiko dan nilai keterjadian risiko dikalikan, jika dari perkalian absolut hasilnya ada pada range -1 dan -2 , maka risiko yang ada dinilai kecil. Jika nilai risiko hasil perkalian keduanya adalah -3 dan -4, maka risiko yang ada dinilai sedang, artinya risiko yang ada masih bisa dianggap tidak secara signifikan mempengaruhi CI-A dari SIA Bank DKI. Jika nilai risiko hasil perkalian keduanya adalah -6 dan -9, maka risiko dinilai sangat signifikan mempengaruhi C-I-A dari SIA Bank DKI. Matriks penilaian pengendalian meliputi penilaian efektifitas desain pengendalian dan efektifitas pengendalian internal masing-masing dapat dinyatakan dengan nilai : L (low) diberi nilai 1, M (medium) diberi nilai 2, H (high) diberi nilai 3. Aturan yang ditetapkan oleh buku The Essential Handbook of Internal Auditing (IIA, 2005) adalah bahwa nilai efektifitas desain dan pengendalian dikalikan, jika dari perkalian absolut hasilnya ada pada range 1 dan 2 , maka pengendalian yang ada dinilai kecil. Jika nilai pengendalian hasil perkalian keduanya adalah 3 dan 4, maka pengendalian yang ada dinilai sedang, artinya pengendalian yang ada masih bisa dianggap bisa mengendalikan efisiensi dan C-I-A dari SIA Bank DKI. Jika nilai pengendalian hasil perkalian keduanya adalah 6 dan 9, maka pengendalian dinilai sangat baik mengendalikan efisiensi dan C-I-A dari SIA Bank DKI. Adapun secara detail mengenai matriks penilaian risiko dan pengendalian yang nantinya akan dibuat adalah sebagai berikut : 1. Matriks Penilaian Risiko Manajemen Keamanan Sistem Informasi akan ditampilkan pada tabel 1 2. Matriks Penilaian Risiko Masukan akan ditampilkanpada tabel 2 3. Matriks Penilaian Risiko Proses akan ditampilkan pada tabel 3 4. Matriks Penilaian Risiko Keluaran akan ditampilkanpada tabel 4 5. Matriks Penilaian Pengendalian Manajemen Keamanan Sistem Informasi akan ditampilkan pada tabel 5 6. Matriks Penilaian Pengendalian Masukan akan ditampilkan pada tabel 6 7. Matriks Penilaian Pengendalian Proses akan ditampilkan pada tabel 7 8. Matriks Penilaian Pengendalian Keluaran akan ditampilkan pada tabel 8 9. Matriks Perbandingan Penilaian Risiko dan Pengendalian pada tabel 9 No. 1. 2. 3. 4. 5. Tabel 1 Matriks Penilaian Risiko Manajemen Keamanan Sistem Informasi Risiko Dampak Keterjadian Nilai Risiko Keterangan Akses Ilegal/Tidak Diotorisasi Security Risiko Administrator -2 -1 -2 Kecil Ke Sistem Informasi Penyalahgunaan Wewenang Otorisasi Transaksi Kegiatan Network Scanning, Eavesdropping, MITM Attacks, Dan Aktivitas Penyadapan Transmisi Transaksi Lainnya. Instalasi Malware, Spyware, Backdoor, Virus, Dan Malicious Code Akses Ilegal Ke Database -3 -1 -3 Risiko Sedang -2 -1 -2 Risiko Kecil -3 -1 -3 Risiko Sedang -3 -1 -3 Risiko Sedang 6. 7. 8. 9. Penyalahgunaan User ID &Password Aktivitas Skimmer dan Pencurian PIN ATM Kegiatan Tapping Kabel Jaringan Gangguan Kelistrikan Dan Suhu Udara Data Center &DRC -3 -1 -3 Risiko Sedang -3 -1 -3 Risiko Sedang -3 -1 -3 Risiko Sedang -3 -1 -3 Risiko Sedang -3 0 0 -3 -1 -3 Kebakaran 10. Polusi 11. Total Rata-Rata Nilai Risiko No. 1. 2. 3. 4. 5. 6. -2.36 Tabel 2 Matriks Penilaian Risiko Otorisasi Masukan Risiko Dampak Keterjadian Nilai Risiko Transaksi fraud -3 -2 -6 Penyalahgunaan Password supervisi Transaksi Kesalahan Input Transaksi Transaksi Diatas Limit Pengguna Kehilangan Dokumen Sumber Kesalahan Penginputan Tidak Pernah Terjadi Risiko Sedang Keterangan Risiko Tinggi -3 -2 -6 Risiko Tinggi -3 -2 -6 Risiko Tinggi -3 -2 -6 Risiko Tinggi -3 -2 -6 Risiko Tinggi -3 -3 -9 Risiko Tinggi No. 7. Risiko Informasi Terkait Transaksi Buffer Overflow Attacks Dampak Keterjadian Nilai Risiko Keterangan -3 -1 -3 Risiko Sedang -3 -3 -9 Risiko Tinggi -3 -9 Risiko Tinggi Human Error 8. 9. No. 1. Penyalahgunaan Password -3 Pengguna TPS Total Rata-Rata Nilai Risiko Risiko Kehilangan Data Transaksi Sebelum Kegagalan Proses Terjadi -6.67 Tabel 3 Matriks Penilaian Risiko Proses Dampak Keterjadian Nilai Risiko -3 -1 -3 Keterangan Risiko Sedang 2. Kesalahan Application Logic -3 -1 -3 3. Error Program Code -3 -2 -6 4. Redudansi Kalkulasi Proses -3 -2 -6 Risiko Tinggi -3 -2 -6 Risiko Tinggi -3 -3 -9 Risiko Tinggi -3 -1 -3 Risiko Kecil 5. 6. 7. Penyalahgunaan Scheduling Transaksi Auto Transfer Salah Jurnal Transaksi Pada Proses Otomatis Kehilangan Data Transaksi Waktu Tertentu Risiko Tinggi Risiko Tinggi No. Risiko Kehilangan Dokumen Sumber Data Transaksi Di database mengalami out of date 8. 9. Dampak Keterjadian Nilai Risiko -3 -2 -6 -3 -1 -3 Risiko Kecil -3 -3 -9 Risiko Kecil -3 -2 -6 Risiko Tinggi -3 -1 -3 Risiko Tinggi Transmisi Data Transaksi Mengalami Error Atau Salah Nominal Atau Dicatat Dalam Jurnal Lebih dari 1 Kali 10. Akses Database Ilegal 11. Update dan Maintain Database secara ilegal 12 Total Rata-Rata Nilai Risiko No. 1. 2. 3. 4. Risiko Kesalahan Nilai Keluaran/ Laporan -5.7 Tabel 4 Matriks Penilaian Risiko Keluaran Dampak Keterjadian Nilai Risiko Pencurian Hasil Keluaran / Laporan Perusahaan Penyalahgunaan Hasil Keluaran /Laporan Perusahaan Usaha Menghilang Kan Laporan Perusahaan Keterangan Risiko Tinggi Keterangan Risiko Tinggi -3 -2 -6 -3 -2 -6 Risiko Tinggi -3 -3 -9 Risiko Tinggi -3 -2 -6 Risiko Tinggi Total Rata-Rata Nilai Risiko -6.75 No. 1. 2. 3. 4. 5. 6. 7. Tabel 5 Matriks Penilaian Pengendalian Manajemen Keamanan Sistem Informasi Efektifitas Efektifitas Nilai Pengendalian Keterangan Desain Pengendalian Pengendalian Proses Pendaftaran User ID Baru dan Penentuan Limit Transaksi, Wewenang Pengendalian 3 2 6 Limit otorisasi, menu Tinggi Yang diakses dan Jumlah hak akses Penggunaan MAC Dan DAC Control Untuk membatasi Wewenang otorisasi Penggunaan IDS/IPS, Aplikasi File Jurnal Transaksi dan File Jurnal Security, Penggunaan aplikasi Monitoring Menggunakan mekanisme Active Directory pada Jaringan komputer Penggunaan Konfigurasi Sistem yaitu Authorization list, Adopted Authority, Dan least privillege Logon Session Management Dan Masa guna password yang hanya 1 bulan, dan mekanisme penggantian dengan password yang sama hanya bisa setelah 10 kali penggunaan password yang berbeda Menggunakan smart card 3 3 9 Pengendalian Tinggi 2 3 6 Pengendalian Tinggi 1 3 3 Pengendalian Kecil 3 2 6 Pengendalian Tinggi 3 3 9 Pengendalian Tinggi 3 3 9 Pengendalian No. Efektifitas Desain Pengendalian Efektifitas Pengendalian Nilai Pengendalian untuk kartu ATM dan kartu debit JAKCARD 8. 9. 10. 11. Tinggi Sistem cabeling yang sudah rapih dan aman dengan plester Penggunaan UPS dan sistem pendingin udara data center dan DRC Sistem keamanan dari bencana kebakaran meliputi 3 fase pengamanan dan sistem pengaman manual dan saluran air anti bocor Kebijakan kebersihan data center dan larangan memasukan makanan dan minuman ke data center 1 2 2 Pengendalian Kecil 3 3 9 Pengendalian Tinggi 3 3 9 Pengendalian Tinggi 2 2 4 Pengendalian Sedang Total Rata-Rata Nilai Pengendalian No. 1. 2. 3. Pengendalian Pengendalian Login dengan User ID dan Password , juga adanya Metode otorisasi Supervisi, dan Penerapan PINPAD Dan EDC untuk Mitigasi Risiko Otorisasi Online Dan kebijakan Penyalahgunaan User ID dan password Dengan nomor Resi transaksi Dan kode transaksi Keterangan 6.5 Tabel 6 Matriks Penilaian Pengendalian Masukan Efektifitas Efektifitas Nilai Desain Pengendalian Pengendalian Keterangan 2 3 6 Pengendalian Tinggi 2 3 6 Pengendalian Tinggi 3 3 9 Pengendalian Tinggi No. Pengendalian Efektifitas Desain Efektifitas Pengendalian Nilai Pengendalian Keterangan 3 3 9 Pengendalian Tinggi 1 2 2 Pengendalian Rendah 2 2 4 Pengendalian Sedang 3 6 Pengendalian Tinggi 2 4 Pengendalian Sedang 3 6 Pengendalian Kecil Reversal 4. 5. 6. 7. 8. 9. Pengendalian transaksi Berganda dengan otori Sasi manual dan online Batasan limit nominal transaksi pengguna Dan supervisinya Mekanisme penyimpanan Dokumen sumber dan Dokumen yang sudah lebih dari 5 tahun umurnya dikirimkan ke gudang arsip dan pengelolaan arsip Bank DKI Kebijakan untuk mengisi informasi terkait transaksi Dengan benar sesuai formulir dokumen sumber dan mekanisme pengkinian data secara periodik Kontrol program terhadap limit checking dan fieldfield isian terutama yang 2 berisikan nominal transaksi Standar Operating Procedure dan pelatihan 2 karyawan Peraturan Penyalahgunaan password 2 dan hukumannya Total Rata-Rata Nilai Pengendalian 5.78 No. 1. 2. 3. 4. 5. 6. 7. 8. Pengendalian Tabel 7 Matriks Penilaian Pengendalian Proses Efektifitas Efektifitas Nilai Desain Pengendalian Pengendalian Melakukan Backup Data Transaksi Before Proses Kontrol Program Dari kesalahan Logika Program Dengan Program Message Kontrol Program Dari Kesalahan Dengan Message ID Pengecekan run-to-run Totals dan penggunaan Kodtran dan tipe record Serta nomor resi transaksi untuk penjurnalan dan perhitungan transaksi Setiap aktivitas scheduling transaksi auto transfer tercatat pada file jurnal security dan pada saat terjadi prosesnya dicatat pada file jurnal transaksi akuntansi Penggunaan dua file dalam transaksi dan kalkulasi saldo balance, yaitu file data balance management dan file transaction history. Menyimpan hasil proses dalam backup proses after dan pelabelan media simpanan dengan label internal (save file) dan label eksternal (label tape ) Dokumen sumber diarsip Keterangan 3 3 9 Pengendalian Tinggi 3 3 9 Pengendalian Tinggi 3 3 9 Pengendalian Tinggi 3 2 6 Pengendalian Tinggi 3 2 6 Pengendalian Tinggi 2 2 4 Pengendalian Sedang 3 3 9 Pengendalian Tinggi 1 2 2 Pengendalian No. Pengendalian Efektifitas Desain Efektifitas Pengendalian Nilai Pengendalian dan disimpan di dalam gudang kantor per 15 hari kerja 9. 10. 11. Prosedur pengecekan current date sebelum proses operasional harian dan end of day. Pengendalian transmisi transaksi dengan menggunakan log file transaksi yang bisa dicek melalui no trace dan bit paritas data transaksi Kebijakan authorization list, dan penggunaan user ID khusus untuk proses otomasi end of day setiap harinya. Kecil 3 2 6 Pengendalian Tinggi 2 2 4 Pengendalian Sedang 3 3 9 Pengendalian Tinggi Total Rata-Rata Nilai Pengendalian No. 1. 2. 3. 6.6 Tabel 8 Matriks Penilaian Pengendalian Keluaran Efektifitas Efektifitas Nilai Pengendalian Desain Pengendalian Pengendalian Rekonsiliasi Hasil Keluaran Laporan Dengan Inquiry 3 1 3 Saldo balance Secara manual Pengendalian Dari Intrusi terhadap Laporan secara ilegal Dengan user ID dan password Setiap laporan Diberi header judul, Tanggal, nama cabang, Keterangan Keterangan Pengendalian Kecil 1 2 2 Pengendalian Kecil 1 1 1 Pengendalian Kecil No. Pengendalian Efektifitas Desain Efektifitas Pengendalian Nilai Pengendalian Keterangan 3 2 6 Pengendalian Tinggi Nama Bank, untuk Menghindari penyalahgunaan laporan 4. Menggunakan aplikasi Compleo Explorer untuk Menyimpan, melakukan Backup, dan mengelola Laporan yang ada. Total Rata-Rata Nilai Pengendalian 3 Scoring Penilaian Risiko dan Pengendalian Keamanan Sistem Informasi Akuntansi Bank DKI Tabel 9 Matriks Perbandingan Penilaian Risiko dan Pengendalian Nilai RataNilai Aspek Keamanan Nilai Rata-Rata Rata Pengendalian Sistem Informasi Pengendalian Risiko Internal Manajemen Keamanan Sistem 6.50 -2.36 4.14 Informasi Otorisasi Masukan 5.78 -6.67 -0.89 Proses 6.60 -5.70 0.90 Keluaran/Laporan 3.00 -6.75 -3.75 Keterangan Tingkat Pengendalian Sedang Tingkat Risiko Kecil Tingkat Pengendalian Kecil Tingkat Risiko Sedang Dari hasil pembahasan sub bab ini, ditemukan bahwa secara umum sistem informasi akuntansi terjamin keamanannya dalam menjaga kerahasiaan-integritasketersediaan dari data transaksi akuntansi yang ditransmisikan, diproses, dan eksekusi oleh pengguna TPS Bank DKI. Berpatokan pada tabel 9, masih ditemukan tingkat risiko kecil pada pengendalian terhadap otorisasi masukan dengan nilai -0.89 dan ditemukan tingkat risiko sedang dengan nilai -3.75 pada pengendalian terhadap keluaran. pada aspek pengamanan masukan masih ditemukan kelemahan pengendalian berdasarkan temuan dan pembahasan penulis pada sub bab pengendalian masukan seperti masih ditemukan mudahnya password dan user ID pengguna TPS disalahgunakan, dan masih adanya celah dalam melakukan transaksi fraud dengan memalsukan dokumen sumber nasabah, juga masih adanya dualisme otorisasi pengaktifan user ID dan password pengguna TPS. Adapun dalam pengendalian terhadap keluaran, maka penulis menemukan bahwa belum adanya otorisasi terhadap pencetakan dan melakukan viewing terhadap laporan sehingga setiap pengguna TPS dengan bebas bisa mencetak dan menyalahgunakan laporan-laporan internal dan laporan keuangan untuk kepentingan pribadi dan keuntungan sendiri. Demikian pula dengan pengendalian untuk melihat laporan yang ada oleh pengguna TPS hanya dengan menggunakan mekanisme login menggunakan user ID dan passwordnya dan tidak ada mekanisme tambahan terhadap pengendalian. Matriks Maturity Level untuk Pengendalian Aplikasi dan Auditabilitas (AI2) dan Pengamanan Pengendalian Akses (DS5) pada Sistem Informasi Akuntansi Bank DKI Penentuan tingkat kematangan atau maturiy level ini berorientasi pada tiga faktor, yaitu good validity, good realibility, dan low cost (Simonsson et. al., 2007). Dari hasil analisis penulis terhadap pengendalian aplikasi dan pengendalian manajemen keamanan sistem informasi khususnya sistem informasi akuntansi Bank DKI, penulis menentukan dasar kematangan dari berdasarkan 3 faktor diatas dan menyimpulkan beberapa poin untuk melakukan pengukuran maturity level yaitu sebagai berikut: 1. Proses analisis keamanan sistem informasi akuntansi yang dilakukan oleh penulis sudah konsisten dan mengikuti konsepsi umum pengendalian aplikasi dan akses dan pengendalian manajemen keamanan sistem informasi akuntansi yang penulis temukan pada literatur akademis dan sumber-sumber bacaan IT Governance 2. Metode pengendalian yang dianalisis oleh penulis telah berjalan secara deskriptif berdasarkan pembuktian yang dilakukan penulis terhadap manajemen keamanan sistem informasi dan pengendalian aplikasi yang ada di sistem informasi akuntansi Bank DKI. 3. Metode pengendalian yang dianalisis oleh penulis yaitu SIA Bank DKI telah mengimplementasikan IT Governance yang mengikuti persyaratan bisnis dan telah didokumentasikan walaupun belum terstruktur dan dioptimisasikan. 4. Efisiensi pengumpulan data yang penulis lakukan di mesin development yang tidak digunakan untuk operasional sehari-hari SIA Bank DKI dan Efisiensi waktu analisis terhadap sistem yang ada. Dari hasil pengukuran berdasarkan analisis penulis pada sub-bab sebelumnya, maka penulis merangkum tingkat kematangan dalam setiap proses dari control objectives yang penulis rumuskan sebelumnya sebagai berikut, Tabel 10 Kuisioner Tingkat Kematangan Aktivitas untuk Proses CobiT 4.1 AI2 atau Acquire and Maintain Application Software Aktivitas Status (Ada/Tidak Ada) Mentranslasikan Persyaratan Bisnis ke dalam Desain high Tidak Ada level Menyiapkan Desain rinci dan persyaratan aplikasi software Tidak Ada secara teknis Menspesifikasikan pengendalian aplikasi di Ada dalam desain Mengkustomasi dan mengimplementasi fungsionalitas yang Ada terotomasi dari aplikasi yang dibeli dari vendor Mengembangkan metodologi formal dan proses-proses Ada untuk mengelola proses pengembangan aplikasi Mengembangkan perencanaan QA terhadap aplikasi baru Ada untuk setiap proyek Melakukan tracking dan mengelola persyaratan Ada aplikasi Mengembangkan perencanaan untuk pemeliharaan dari Ada aplikasi software Nilai Rata-Rata Tingkat Kematangan Keterangan 2 – Repeatable But Intuitive 2 – Repeatable But Intuitive 3 – Defined 3 - Defined 2 – Repeatable But Intuitive 2 – Repeatable But Intuitive 2 – Repeatable But Intuitive 2 – Repeatable But Intuitive 2.25 Tabel 11 Kuisioner Tingkat Kematangan Aktivitas untuk Proses CobiT 4.1 DS5 atau Ensure Systems Security Aktivitas Status (Ada/Tidak Ada) Mendefinisikan dan memelihara perencanaan Ada IT Security Mendefinisikan, membangun, dan mengoperasikan identity Ada management process Mengawasi insiden keamanan Ada yang potensial dan aktual. Secara periodik memeriksa dan memvalidasi kembali hak Ada akses dan wewenang akses Membangun dan memelihara prosedur untuk memelihara Tidak Ada dan menjaga cryptography keys. Mengimplementasikan dan memelihara pengendalian teknis dan prosedur untuk Ada melindungi arus informasi yang melewati jaringan komputer Melakukan vulnerability Ada assessment secara rutin Nilai Rata-Rata Tingkat Kematangan Keterangan 3 – Defined 3 - Defined 2 – Repeatable but Intuitive 2 – Repeatable but Intuitive 0 – Non Existent 1 – Initial / Ad Hoc 2 – Repeatable but Intuitive 1.86 Dari pengukuran diatas dapat penulis simpulkan bahwa tingkat kematangan dari AI2 pada sistem informasi akuntansi Bank DKI berada pada level ke 2 atau level Repeatable but Intuitive dan perlu ditingkatkan lagi menuju menuju level 3 atau 4, dengan memperkuat aspek dokumentasi dan kebijakan pengendalian aplikasi SIA Bank DKI. Adapun tingkat kematangan dari DS5 sudah bisa dikatakan terdefinisi dengan baik atau berada pada level 3 dan agar diperkuat lagi dengan melakukan pengukuran terhadap setiap hasil pencatatan aplikasi otomatis yang digunakan secara terpisah untuk masing-masing objek yang dikendalikan. Dengan memperkuat pengukuran terhadap aspek pengendalian manajemen keamanan sistem informasi dan pengendalian aplikasi akan menaikan level kematangan SIA Bank DKI menjadi level 4. KESIMPULAN DAN SARAN Kesimpulan Manajemen keamanan dan pengendalian internal sistem informasi akuntansi di Bank DKI secara umum telah berjalan baik, walaupun masih ditemukan kekurangan dan kelemahan yang merupakan indikator tidak adanya peningkatan proses pengendalian aplikasi dan keamanan sistem informasi akuntansi. Tingkat kematangan aspek proses CobiT 4.1 pada proses AI2 mendapatkan tingkat kematangan level 2. DS5 mendapatkan tingkat kematangan definisi level 3 yang menunjukkan bahwa belum adanya pengukuran yang berkesinambungan melalui SDLC atau system development life cycle terhadap sistem informasi yang ada khususnya sistem informasi akuntansi. Saran Agar Bank DKI meningkatkan C-I-A (Confidentiality-Integrity-Availability) dan efektifitas serta efisiensi dari sistem informasi khususnya SIA di Bank DKI dengan langkah-langkah yang meliputi pengurangan celah terjadinya transaksi fraud, metode otentikasi pengguna TPS yang aman dengan menerapkan media otentikasi tambahan, menghilangkan dualisme otorisasi dan manajemen keamanan SI lainnya. DAFTAR PUSTAKA Abu Musa, Ahmad. 2003. The Perceived Threats To The Security Of Computerized Accounting Information Systems. Journal of American Academy of Business, Cambridge Al-Fatta, Hanif. 2007. Analisis Dan Perancangan Sistem Informasi Untuk Keunggulan Bersaing Perusahaan Dan Organisasi Modern. Penerbit Andi, Yogyakarta. Allen-Senft, Sandra & Gallegos, Fredercik & Manson, Daniel. 2009. Information Technology Control and Audit Third Edition. Auerbach Publications. Boca Raton, United States Burch, John G. & Felix R. Starter & Gary Grudnitski. 1989. Information Systems: Theory and Practice. Wiley, Canada Chiang, Robert H.L. & Hardgrave, Bill C. & Keng, Siau .2009. Systems Analysis and Design Techniques Methodologies. M.E Sharpe, Inc. Davis, Chris & Schiller, Mike. 2011. IT Auditing: Using Controls to Protect Information Assets. McGraw-Hill, New York. Davis, K. Roscoe & Leitch, Robert A. 1992. Accounting Information Systems: Theory and Practice. Prentice-Hall, New Jersey Dixit, JB. 2007. Structured Systems Analysis and Design. Laxmi Publications, New Delhi, India Fitzgerald, Jerry & Fitzgerald, Ardra F. 1981. Fundamentals of Systems Analysis. John Wiley & Sons Inc., Canada Gupta, Preeti. 2008. Structured Systems Analysis and Design. Firewall Media, New Delhi, India Gregory, Peter H.. 2010. CISA All-in-On Exam Guide. McGraw-Hill, New York Gundodiyoto, Sanyoto. 2007. Audit Sistem Informasi + Pendekatan Cobit. Mitra Wacana Media. Jakarta Hall, James A. 2010. Accounting Information Systems. Cengage Learning, Canada ISACA. 2006. COBIT 4.1. ISACA, 2006 ISACA. 2007. CISA Review Manual 2007. ISACA, 2007 ITGI. 2007.IT Governance based on CobiT 4.1: A Management Guide, ITSM Library.ITGI, Netherland Jatnika, Dadang Eka.2006. Evaluasi Terhadap Kualitas Internal Audit Melalui Pendekatan Program Quality Assurance (Studi Kasus Pada PT. Bank Tabungan Negara). Universitas Dipenogoro, Semarang. Jogiyanto. 1989. Analisis dan Desain Sistem Informasi : Pendekatan Terstruktur Teori dan Praktek Aplikasi Bisnis. Penerbit Andi Offset, Yogyakarta Naiburg, Eric J..2011.UML For Database Design. Addison-Wesley, Inc, United States Neuschel, Richard F. 1960. Management by Systems. McGraw-Hill, New York. Podeswa, Howard. 2010. UML For IT Business Analyst. Cengage Learning, United States Purnomo, Lukman Hadi Dwi. Perancangan Model Tata Kelola Ketersediaan Layanan Ti Menggunakan Framework Cobit Pada BPK-RI. ITS, Surabaya Rivai, Ahmad. 2010. Analisis Dan Evaluasi Pengendalian Intern Dalam Sistem Informasi Akuntansi Terkomputerisasi Pada PT Transavia Otomasi Pratama. Universitas Gunadarma, Depok Simonsson, et. al..Model-Based It Governance Maturity Assessments With Cobit. Department of Industrial Information and Control Systems, KTH, Royal Institute of Technology. Wim Van Grembergen. 2003. Strategies for Information Technology Governance. University of Antwerp, Belgium HTTP://WWW.ELSEVIER.COM HTTP://WWW.MISQ.ORG HTTP://WWW.WIKIPEDIA.COM