Security Management Controls Controls Last

Resorts
Case Study 7.6 Money Mover
Mata kuliah Audit Sistem Informasi
Dosen: DR. Setyo Hari Wijanto
1406589770
1506700556
1406515223
1406515293
1406590311

Agnes Simanjuntak
Astrini Aning Widoretno
Maria Diajeng Widyorini
Ninik Diyah Perwitasari
Stephanie Kathleen

Pentingnya Informasi Bagi

Manajemen
Sistem Informasi Manajemen adalah sebuah kesatuan, sistem
mesin pengguna yang terintegrasi dalam memeberikan informasi
untuk mendukung operasi, manajemen, dan fungsi pembuatan
keputusan dalam suatu organisasi.(Menurut Gordon B. Davis
(1984:6)
Penyalahgunaan Software, Data Perusahaan :
1.Software dan Database Perusahaan dicuri oleh karyawan atau
competitor. Hal ini dapat mengakibatkan perusahaan kehilangan
potensi revenue.
2.
Perusahaan gagal untuk melindungi kerahasiaan data data
karyawan yang tersimpan di database. Hal ini dapat diakibatkan
karena pelanggaran aturan untuk publish.
3.Perusahaan mengunakan akses sistem informasi perusahaan
untuk kepentingan diri sendiri. Seperti menggunakan computer
atau internet perusahaan untuk mengerjakan pekerjaan pribadi
diluar pekerjaan kantor.

Control of Last Resorts

Disaster Recovery Plan

Control of Last Resorts Disaster

Recovery Plan
Rencana pemulihan bencana yang
komprehensif meliputi empat bagian
(Cerullo 1981), yaitu:
1. An Emergency Plan,
2. A Backup Plan,
3. A Recovery Plan,
4. A Test Plan.

Disaster Recovery PlanEmergency Plan

Definisi:
Tindakan yang harus langsung dilakukan ketika
bencana terjadi.
Cerullo (1981) menjelaskan bahwa ada empat aspek
emergency
plan
yang
harus
dijelaskan
dalam
merencanakan suatu emergency plan:
1. Pihak yang harus langsung diberi tahu ketika
bencana,
2. Tindakan yang harus dilakukan ketika bencana
terjadi,
3. Prosedur evakuasi , dan
4. Arti kategori kondisi aman.

A Backup Plan
Definisi : Backup Plan secara spesifik meliputi hal-hal

apa saja yang harus disimpan, seberapa sering

perusahaan harus melakukan backup data, prosedur
untuk melakukan backup, lokasi tempat penyimpanan,
orang-orang yang bertanggung jawab, dan lain-lain.
Hal hal yang harus diperhatikan untuk back up data :

1.Cold Site
2. Hot Site
3.Warm Site
4.Reciprocal agreement

Recovery Plan (Rencana

Pemulihan)
Definisi

: recovery plan adalah prosedur untuk

memperbaiki semua data data original perusahaan yang
rusak. Jangka waktu dan seberapa sulit data diperbaiki
tergantung seberapa besar bencana yang terjadi.

Hal hal yang harus diperhatikan untuk Recovery Plan :

1. Komite pemulihan harus memahami tugas dan

tanggung
jawabnya
karena
permasalahanpermasalahan yang akan mereka tangani akan
bervariasi dan mungkin unfamiliar.
2. Secara berkala, komite pemulihan harus mereview
tugas dan tanggung jawab mereka sehingga meraka
akan siap ketika terjadi sebuah bencana.

Test Plan (Rencana

Pengujian).
Tujuan dari rencana ini adalah mengidentifikasi

kekurangan-kekurangan dari rencana-rencana

sebelumnya (emergency, backup, recovery).
Hal yang harus diperhatikan : Rencana pengujian

harus dilakukan review dan disimulasikan secara

berkala.

Kasus Money Mover

Auditor Report to BOD Money

Mover
Argumen Managing Director of MM
Para programmer harus siap 24 jam menerima complain dari
pelanggan. Sehingga jika ada complain, programmer dapat
langsung masuk ke sistem komputer dan memperbaiki
permasalahan yang dihadapi pelanggan dengan system
computer.
Programmer diberikan tanggung jawab untuk menjaga keamanan
sistem dan jika programmer melanggar, akan langsung
diberhentikan oleh Perusahaan.
Programmer perusahaan hanya terdiri dari 4 karyawan sehingga
jika ada yang melakukan pelanggaran dapat langsung
teridentifikasi

Auditor Report to BOD Money

Mover
Rekomendasi Auditor:
Perusahaan harus menetapkan kebijakan pembatasan
akses kontrol demi keamanan ruang komputer dan sistem
kepada pihak-pihak yang memiliki wewenang dan jabatan,
misalkan dengan penunjukan adanya manajer yang
memegang akses kunci area ke room computer.

Bila ada complain dari pelanggan dan jika programmer

diharuskan memperbaiki masalah yang dihadapi oleh
sistem komputer, programmer tersebut diharapkan
mengkomunikasikan ke satu pihak yang bertanggung
jawab.

Auditor Report to BOD Money

Mover
Argumen Managing Director of MM
Membuat rencana pemulihan bencana sangat tidak efisien dari sisi
biaya
Ketika bencana terjadi, pemulihan tidak dapat segera dilakukan dan
membutuhkan beberapa hari untuk perusahaan telekomunikasi untuk
mengkonfigurasi ulang semua data perusahaan ke cabang lain.
Walaupun jika perusahaan memiliki system untuk langsung melakukan
pemulihan, system perusahaan tidak dapat bisa langsung
dioperasikan selama periode pemulihan.
Rencana pemulihan jangka panjang tidak dapat diimplementasikan
oleh perusahaan karena para pelanggan tidak akan mentolerir jika
terjadi penurunan kualitas jaringan ketika proses rencana pemulihan
bencana sedang berjalan.

Auditor Report to BOD Money

Mover
Rekomendasi Auditor
Demi keamanan aset perusahaan, setiap perusahaan harus
memiliki dua kontrol untuk mengurangi kerugian dari bencana
yang akan terjadi, yakni Disaster Recovery Planning dan Asuransi.
Disaster Recovery Center yang dapat dilakukan adalah dengan 4
tahap: Emergency Plan, Back up plan, Recovery plan, dan Test
Plan.
Diperlukannya asuransi bila terjadi hal-hal kritikal.
Disaster Discovery Planning bertujuan untuk menyelamatkan
data informasi perusahaan dan menyelamatkan data sistem
informasi agar bisnis perusahaan dapat terus berjalan
kedepannya

Auditor Report to BOD Money

Mover
Argumen Managing Director of MM
Pemberian pelatihan penanggulangan bencana tidak efisien dari
sisi biaya.

Rekomendasi Auditor
Harus adanya program penanggulangan bencana untuk
para karyawan agar pada saat terjadi bencana, para
karyawan sudah terlatih dan siap siaga.
Walaupun perusahaan harus mengeluarkan biaya yang
tidak sedikit untuk rencana pemulihan bencana baik jangka
pendek atau jangka panjang dan pelatihannya, namun
dampak yang akan terjadi jika perusahaan tidak memiliki
rencana dan pelatihan tersebut justru lebih besar biayanya
dan akan mengakibatkan hilangnya pelanggan yang akan