PERANCANCiAN PENCiENDALIAN SISTEM APA YANG AKAN ANDA PELAJARI DALAM BAB INn Setelah mempelaiari
o o o o
o o o
bab ini, anda diharapkan
dapat:
Memberikon gomboron luosmengenoi oncomon-oncomon terhodop sisteminformosi. Menjeloskon pengendolion inputdonmendemonstrosikon bogoimono menggunokonnyo untukmenyoring kesolohon datainput.Juga,meroncong sebuoh oudittroil(pemeriksoon-jejok) datainputuntuksebuoh sistemreo~time. Membohos perongkot-Iunok yangbersifotmerusokdonmenipuyangmembohoyokon komponen sistemdon menjeloskon bogoimono mencegoh perongkot~unok semocom itumemosuki sistem. Meneropkon pengendolion outputsistemreo~time donsistembotch. Menyojikon pengendolion database. Menyojikon pengendolion londoson teknologi, boikuntukmainframe moupun untukpersonal komputer (PO. Membohos pengendolion oksesdonmenjeloskon mengopo kendol~kendoli biometrik odolohpengendoli yangpoling efektifterhodop oksesyangtidoksoh.
215
216
PENGANTAR PERANCANGAN
SISTEM INFORMASI
PENDAHULUAN Tujuan dari bab ini adalah untuk memperlihatkan bagaimana merancang dan memelihara sebuah sistem pengendalian (koritrol)yang akan melindungi sistem informasi dari berbagai ancaman (lihatGambar 5.1). Beberapa ancaman serius terhadap sistem informasi adalah: . . . .
. .
Kesalahan manusia yang berasal daTi kesalahan akibat perbuatan dan kelalaian serta kurangnya pelatihar'l. Perangkat-lunak yang bersifat merusak dan menipu. Penyadapan dan penangkapan output oleh orang-orang yang tidak berwenang. Perubahan, atau kehilangan database. Kegagalan landasan teknologi yang disebabkan oleh rancangan lingkungan ya~g buruk, kebakaran, dan penurunan catu daya, dan pencurian.
Pengaksesanyangtidaksah.
8k-,_ Pengembanganperangkat lunakdan implementasisistem Pemeliharaan sistem
OperasJ
Gambar 5.1 Tahap SDLC dan bab-bab yang berhubungan dalam buku ini. Dalam Bab 5 kita membahas bagaimana merancang pengendalian sistem perlindungan.
---
-
- -- - - ,- --- --- --- -- - -- - - - --
PERANCANGAN
PENGENDALIAN SISTEM
217
Ancaman-ancaman seperti ini pemah disajikan,seperti yang diusulkanpada Gambar 5.2. Pengendalian yang efektif untuk mencegah kerugian akibat ancaman tersebut dapat diklasifikasikandalam tiga kategori besar:
.
Pencegahan
. .
Pendeteksian Pengkoreksian
PENGENDAUANPENCEGAHAN (preventive controls) membantu mencegah terjadinya ancaman. PENGENDAUAN PENDETEKSIAN (detective controls) membantu meli-
hat ancaman, sehingga mengurangi atau menghilangkankegiatan yang mengekspos ancaman tersebut. PENGENDAUAN PENGKOREKSIAN(corrective
controls)
mem-
bantu memulihkan sistem dari peristiwa ancaman. Semua pengendalian input, proses, output, database, landasan teknologi, dan akses yang disajikandalam bab ini berisi satu atau kombinasi dari kategori tersebut.
MENGENDALIKAN KETERPADUAN DATAYANGDIMASUKKAN KEDALAMSISTEM Seperti yang anda pelajari dalam Bab 2, terdapat dua cara dasar untuk memasukkan data: metode berbasis-dokumen-sumberdan metode entri-langsung (mis., formulir elektronik, menu-menu sentuh, suara, dan scanning). Entri-langsung mengurangi jumlah penulisan dan dapat menggabungkan instruksiumpan-balikuntuk membantu memastikan validasisecepatnya. Karena keterlibatan manusia yang lebih sedikitdan proses validasi yang lebih online pada entri-langsung, resiko terjadinya kesalahan dapat dikurangi. Komponen-komponen input bertanggungjawabdalam membawa data ke dalam sistem. Input seperti ini harus dikendalikan untuk menjamin keautentikan, keakuratan,
dan kelengkapannya.
PENGENDAUANINPUT termasuk:
. . .
Pengendalian kode Pengendalian validasiinput Pengendalian identifikasiinput
. .
Pengendalian batch Pengendalian audittrail
218
PENGANTAR PERANCANGAN
SISTEM INFORMASI
.
tr
B=..,::",,-!>-I
Destructiveand FraudulentSoftware
Process ~= . .:It....1 Output
. .
I
'\ ". . Intercepted output
Humanerror
I Database
}
;1
. Poor environment I
. Lossof
;'
database
. Fire
I
,
I. -.
.
Downgraded power
. Theft
!9... .
Unauthorizedaccess
Control points legend: Effective controls
Gambar 5.2 Ancaman terhadap sistem informasi dan titik-titik kendali. Gambar ini mengusulkan pengendalian efektif, yang merupakan subyekdari bab ini.
(Kita akhiri 'bagian ini dengan sebuah presentasi tentang bagaimana menangani kesalahan input).
Mengendalikan KesalahanKode PENGENDAUANKODE (code controls) memeriksa kesalahan kode. Ada lima tipe kesalahan kode:
PERANCANGANPENGENDALIANSISTEM
219
.
Penambahan (addition), dimana karakter ekstra ditambahkan, seperti 14351 dikodekan sebagai 143519
.
Pemotongan (truncation), dimana sebuah karakter dilupakan, seperti 14351 dikodekan sebagai 1435
.
Penyalinan (transcription), dimana sebuah karakter yang salah direkam, seperti 14351 dikodekan sebagai 64351
.
Transposisi tunggal (single transposition), dimana karakter yang berdampingan ditulisterbalik, seperti 14351 dikodekan sebagai 41351
.
Transposisi ganda (double transposition), dimana karakter yang dipisahkan oleh lebih dari satu karakter ditulisterbalik,seperti 14351 dikodekan sebagai 15341
Kesalahan ini dapat menimbulkan konsekuensi yang serius jika dibuat dalam kode kunci. Sebagai contoh, menambah atau memotong karakter dalam nomor akun depositor bank dapat mengakibatkan penyimpanan deposito kas ke akun orang lain. Menuliskan karakter yang salah dalam nomor akun seorang kreditur dapat menyebabkan pembayaran dibuat untuk seseorang yang tidak mempunyai klaim yang sah terhadap pembayaran tersebut. Transposisi karakter dalam sebuah nomor sukucadang dapat menyebabkan pengiriman sejumlah besar suku-cadang yang salah untuk sebuah pekerjaan. Sebuah kendali yang digunakan untuk menjaga dari tipe kesalahan ini adalah cek digit. CEI
-
220
PENGANTAR PERANCANGAN
- -- ....
SISTEM INFORMASI
Setelah mengalikan 1-2 pembobotan dengan tiap karakter dan menambahkan hasil-hasilnya, kita dapatkan 23. Kita bagi jumlah ini dengan modulus 10 sebagai berikut: 23
10
= 2 dengan
sisa 3
Kemudian modulustersebut kita kurangidengan sisanyadan hasilnyaadalah cek digit yang dimaksud. 10 - 3
=7
Cek digit 7 ditambahkan ke dalam kode sebagai akhiran (atau sebagai awalan atau disisipkan ke tengah kode). Kode pemeriksaan-sendiri yang dihasilkan adalah 143517. Setiap kalinomor akun dimasukkan,nomor tersebut akan dihitungkembali untuk meyakinkan bahwa cek digit tersebut sarna dengan cek digit yang diberikan sebelumnya. Cek digit melibatkan pengeluaran tambahan dalam hal: satu atau lebih karakter redundansi yang dibawa melaluisistem dan algoritmayang dibutuhkanuntuk menghitung dan memvalidasi cek digit tersebut. Karena itu, penggunaan cek digit harus dibatasi untuk kode-kode kritikalseperti nomor akun. Untuk kode-kode seperti ini, cek digit dihitung lebih dahulu dan diberikan sebagai bagian dari kode. Kapan saja memungkinkan, komputer harus membuat penunjukkan cek digit.
Mengenali KesalahanData Sebelum Pengolahan PENGENDAUAN VALIDASI INPUT(input validation controls) digunakan untuk mengenali kesalahan dalam data sebelum data diolah. Sebagai aturan umum, data harus divalidasisecepat mungkin setelah data tersebut ditangkap dan sedekat mungkin dengan sumber data. Pengendalian untukvalidasidata input dapat dilakukanpada tiga tingkat:
. .
Cekfield Cekrekord
. Cekfile
PERANCANGAN
PENGENDAUANSISTEM
221
Memeriksa Field Data Tiap field hams diperiksa oleh program untuk menjamin bahwa field tersebut berisi data yang tepat. CEI< FIElD (check field) berikut ini' hams dirancang ke dalam program:
Cek Field
Peskripsi
Kehilangan data atau kosong
Suku-eadang yang dikirim dari gudang yang berbeda harus berisi nomor suku-eadang dan kode gudang. Nomor sukueadang 1738 yang dikirim dari gudang A harus dikodekan sebagai WA1738. Field kode yang hanya berisi nomor sukueadang 1738 adalah salah. Biasanya, sebuah field tidak boleh berisi data yang diselingi kosong (blank), seperti 99b9.99. (Catatan: b berarti kosong).
Alfabetik dan numerik
Field-field alfabetik seperti nama pelanggan harus terdiri dari karakter alfabetik seluruhnya. Sebagai eontoh, AC4E adalah sebuah kesalahan jika nama yang dimaksud adalah ACME. Field-field untuk perhitungan dan berbagai field kode harus terdiri dari angka-angka seluruhnya. Sebuah field harga yang berisi 64A.21 adalah salah.
Rentang
Sejumlah field dapat ditetapkan untuk berisi nilai-nilai yang terletak dalam rentang yang diizinkan. Sebagai eontoh, rentang tingkat pembayaran pada sebuah perusahaan tertentu adalah $10.00 sampai $20.00 per jam. Suatu nilai dalam tingkat pembayaran yang teletak di luar renta.ng ini adalah salah.
Cek digit
Apakah eek digit tersebut valid untuk kode dalam field? Sebagai eontoh, kode 18743 diberi 6 sebagai eek digitnya. Tiap kali kode 187436 (yaitu, kode dengan tambahan eek digit) diproses dan eek digitnya dihitung ulang, hasilnya harus sama dengan eek digit yang diberikan sebelumnya, yaitu 6.
Ukuran
Jika digunakan field-field dengan panjang-variabel dan ditetapkan sekumpulan ukuran yang diperbolehkan, apakah batas pemisah field akan memperlihatkan field tersebut dalam salah satu ukuran yang diperbolehkan tersebut? Jika digunakan field-field dengan panjang-tetap dan ditetapkan spasi diantara field-field tersebut, apakah spasi tersebut berisi kosong (blank)?
.__u
222
'_n _u
PENGANTAR PERANCANGAN
._____
SISTEM INFORMASI
Memeriksa Rekord Untuk rekord, bagian validasi dati program membuat CEKREKORD(check record) berikut: Cek Rekord
Kelayakan
Deskripsi Walaupun sebuah field dapat melalui pemeriksaan rentang, isi dari field lain
dapat menentukan berapa niJai yang layak untuk field tersebut. Sebagai contoh, $14.50 dapat berada dalam rentang tingkat pembayaran, tetapi tidak layak untuk tukang las pada divisi 2 yang seharusnya dibayar $18.50 per jam. Dengan demikian, pek~rja dengan kode W2 (tukang las pada divisi 2) diberikan sebuah tingkat pembayaran $18.50 per jam.
Tanda
Isi dari satu field dapat menentukan tanda yang mana yang valid untuk field numerik. Jika suatu rekord mewakili sebuah kredit dari akun buku besar (general ledger account), maka rekord tersebut harus mempunyai tanda negatif untuk field jumlah. Jika rekord tersebut adalah debet, field jumlah harus mempunyai tanda posit if.
Ukuran
Urutan
Jika digunakan rekord-rekord dengan panjang-variabel, ukuran dari rekord adalah sebuah fungsi dari ukuran-ukuran field dengan panjang-variabel. Ukuran yang diperbolehkan untuk field-field dengan panjang-variabel dan panjang-tetap dapat juga tergantung pada sebuah field yang menunjukkan tipe rekord tersebut.
Pada sistem batch, rekord-rekordbiasanyadisusun dalam urutan menaik pada sebuah nomor kode seperti nomor pelanggan. Rekord-rekord
berdasarkan
file induk dan rekord-rekord transaksi harus dalam urutan yang sama untuk pengolahan yang benar.
Memeriksa File CEKFll.E (check file) memastikan bahwa file yang benar yang diproses. Tipe cek file berikut dapat diterapkan: Cek File
Deskripsi
label
Tiap file fisik, seperti tape file piutang (account receivable), harus berisi sebuah label yang dapat dikenali orang dengan jelas untuk mencegah pengaksesan dan penumpukan file yang salah. Sebagai contoh, label file harus berisi: nama file, tanggal pembuatan, tanggal penyimpanan, dan nomor file fisik tersebut, seperti 1 dari 3.
eksternal
PERANCANGAN
PENGENDALIANSISTEM
223
label judul internal
label ini disimpan pada file fisik untuk dibaca komputer. Berisi informasi yang samaseperti label eksternalnya,sehinggajika seorangoperator salah membaca label eksternal,komputer akan mendeteksinyasebagaifile yang salah dan menggagalkanpekerjaansertamenampilkan bahwa yang ditumpukkan adalahfile yang salah.
label trailer internal
label ini dapat berisi jumlah rekord dalam file, berbagaitotal kendali, dan sebuahindikator end-of-file (EOF)jika file tersebutadalah file fisik terakhir dalam sederetanfile fisiko
MengendalikandanMemvalidasikan Sumber data Ada ribuan cerita mengenai bagaimana sebuah perusahaan tertipu dengan membayar penjual (vendor) atau pegawai fiktif. Tipuan seperti ini dapat dikurangi, jika tidak dapat dihilangkan, dengan membuat tabel identifikasi(atau validasi)dan membandingkan tiap transaksi dengan entri-entri autentik dalam tabel identifikasi.ProseIDENTlFlKASI INPUT(input identification controls) seperti ini dur PENGENDALIAN disajikan dalam Gambar 5.3. Semua penjual yang sah, misalnya, diberikan nomor identifikasi dan deskripsi tertentu. Sebelum suatu rekord penjual dapat diakses untuk diperbarui atau untuk pembayaran, transaksi harus berisi data pengenal ini, dan harus cocok dengan data dalam tabel identifikasi dengan tepat. Jika program digunakan untuk membayar faktur, identifikasi dan nama penerima-bayaran harus dicek ke sebuah file dari pemasok yang disetujui. Untuk pengiriman, alamat pengiriman harus diperiksa ke sebuah file yang berisi alamat pengiriman dari pelanggan yang sesuai, untuk item yang akan dikirim. Identifikasi pegawai juga ditangani dengan cara yang sarna.
Menggunakan Pengendalian Batchuntuk Melindungi KeutuhanData Beberapa kendaliyang paling sederhana dan efektifterhadap penangkapan, persiapan dan entri data adalah PENGENDALIANBATCH (batch controls).
Berbagai kendali
dapat dijalankan terhadap batch untuk mencegah atau mendeteksi kesalcihan. Pada kasus seperti ini, rancangan dari pengendalian batch dibutuhkan untuk memastikan hal-hal berikut ini:
. . .
Seluruh dokumen sumber diproses Tidak ada dokumen sumber yang diproses lebihdari satu kali Sebuah audit trail dibuat dari input melaluipengolahan, ke output terakhir.
224
PENGANTAR PERANCANGAN
Transaction entries
. ..
SISTEM INFORMASI
Identification
tables
r :::I
a
L-: .
Processor
'1
VetIdorTobio ID
Nome
Bid 10 addRas
Ship to 8ddma
AA BB CC DD
Ian Sam Bill Mike
XXXXX DDDDD EEEEE zz:z:zz
00000 WWWWW DID 00000
Error report
I
I
.....-
Vendor Error Report VeudorX. EFR not found
I!mpl"""" Table ID
Nome
Deponment
AA BB CC DD .EE FF
Mike Bill Muy lomes ludy Sam
AOI AIO 001 F32 TS6 H89
-
Employee Error Report Employee X. LTM not found
--
Gambar 5.3 Penggunaan tabel-tabel identifikasi untuk memvalidasi transaksi.
Sebagai contoh mengenai pengendalian batch, lihat Gambar 5.4. Pesanan Penjualan adalah dokumen sumber yang diakumulasikandan diberi stempel waktu dan tanggal. Pada pukul 4:00 sore, batch dari tiap toko cabang dikirimkan ke klerk pengendalian batch, yang melakukanbatch terhadap pesanan penjualan ke dalam 25 kelompok atau kurang dan menyiapkan sebuah kartu pengendalian (atau lembar pembungkus) batch dengan nomor cabang dan nomor batch yang unik untuk tiap batch, tanggal batch, jumlah pesanan pembelian dalam batch, total hash (total keseluruhan dari suatu bilangan seperti nomor seri pesanan penjualan), dan total keuangan (total keseluruhan atau total yang dihitung untuk tiap field yang berisi jumlah dollar). Batch-batch tersebut diangkut ke sistem pengolahan data pusat dimana tiap kartu pengendalian batch distempel waktu dan tanggal dan dimasukkan ke dalam register penerima batch. Batch-batch tersebut.laludidistribusikanke personil entri-data untuk diketik-masukke dalam magnetic disk (atau magnetic tape) untuk pengolahan komputer . Terminal intelegen menghitung total-total batch dan melakukan berbagai pemeriksaan edit (kalaudigunakan cek digit, tiap digitdihitung untuk melihat apakah cocok dengan cek digit yang diberikan sebelumnya), dan semua kesalahan akan
Document Control Systems Design
Branch sales clerk
Central data processing
Batch control clerk
D D D
SalesonIer
SalesOlder sales Oldernumber _ ~,'" Customer
Batch control ticket Branch number: 999 Batch number: 9999
I1em De$crlpIion Quantity Prk:e Dollar IIWDber sold 8IJ1OIIII1 XXX xx:xx 99 $99.99 $99.99
Today's date: MMDDYY Total number of sales orders: Hash total: 9999 Dollar quantity total:
99
$9,999.99
.
.
. Completeeach sales order . Time and date stamp each sales order . Holdin salesorder drawer each day unit!4:00 PM, then hand-carryto batch controlclerk
. Batch sales ordersinto groups of 25 or less . Sum salesorder numbersfor a hash
. .
I
.
I
.
I
.
control total
Sumdollar amountsfor a dollar control total
Enter batchcontrol ticket data into a batch register . Transmitbatchesto central data processingvia bondedcourier
filed
..
Magnetic disk Edit control list
Time and date stamp each batch control ticket and enter into the batch receipt register Key each batch of sales orders to a magnetic disk for computer processing. Compute hash and dollar control totals and compare with the totals on batch control ticket Perform edit checks during the keying process Each record is printed on an edit control list along with branch number, date, batch number, and control totals All errors are corrected immediately' Batch of processed safes.orders
'iidii'i:iT Dale: MMDDYY Branch number: 999 Batch number: 9999 TOCalIlWDberOr sakis orders: Hash toIal: 9999
"U m ~
> Z
9z
C)
~ "U m
99
Dollar quantitytOCal: $9,999.119 SaIeIi Older list
Z C) m Z o
> r
> Z VI
V;
-I Magnetic disk containing checked and edited sales orders
Gambar 5.4 Sistem pengendalian dokumen.
Update accounting files and prepare various accounting reports
~ 1-0 1-0 VI
226
PENGANTAR PERANCANGAN
SISTEM INFORMASI
dikoreksi secepatnya. Sebuat daftar edit yang berisi tanggal penyelesaian, nomor cabang, nomor batch, total hash, total dollar, dan sebuah daftar rekord dikirimkan kembali ke klerk pengendalian batch untuk diperiksa dan diisi. Pada beberapa sistem, batch-batch yang telah diselesaikan dicap dengan sebuah stempel atau dengan perforasi untuk meyakinkan bahwa batch-batch tersebut tidak diangkut ke pengolahan data pusat dan diproses kembali tanpa sengaja. File-file magnetik tersebut dapat dianggap berisi data bebas-kesalahan yang siap untuk pengolahan komputer. Pada contoh kita tidak diperlihatkan spasi untuk tandatangan (atau inisial) yang dibutuhkan dalam beberapa sistem pengendalian batch. Tandatangan biasanya termasuk tandatangan dari tiap orang yang:
.
Menyiapkan batch
. . . . .
Memeriksabatch Mengangkutbatch Mengetik-masuk batch Menyiapkandaftaredit Memeriksadan mengisibatchyangtelahdiselesaikan
Mengendalikan Kesalahan Melalui Audit Trail Jika digunakan input data berbasis-dokumen sumber, seperti yang ditemukan dalam sistem batch, data AUDITTRAIL(pemeriksaan jejak) harus disertakan pada dokumen sumber yang disiapkan. Sebagai contoh, subbagian terdahulu mengenai pengendalian batch telah mendemonstrasikan sebuah audit trail dokumen sumber yang sangat baik. Pada sistem real-time dimana digunakan beberapa tipe entri-Iangsung, audit trail harus menangkap transaksi, dan menyimpannya pada media magnetik, seperti disk atau pita magnetik, kadang-kadang ditunjuk sebagai sebuah log (catatan) transaksi, seperti yang diperlihatkan pada Gambar 5.5. Untuk tujuan pemeriksaan dan pengendalian, log transaksi harus memperlihatkan dimana transaksi berasal, pada terminal mana, kapan, dan nomor pemakai. Sebagai contoh, log transaksi pada sebuah perusahaan asuransi mendukung semua entri untuk akun buku besar. Entri ke dalam buku besar yang berupa debet piutang dan kredit premi tertulis secara simultan direkam dalam log transaksi. Log tersebut berisi rincian pendukung berikut ini: . Pemakai, terminal, dan nomor identifikasi pemakai
PERANCANGAN
EntriData
Prosesor
(Log transaksi yang digunakan untuk backup)
PENGENDALIANSISTEM
227
Database
Log transaksi yang digunakan oleh auditor .
untuk rekord-record
tertentu untuk pengujian)
Gambar 5.5 Logtransaksiuntuk sebuah sistemreal-time.
.
Waktupada hari itu
.
Haripada mingguitu
. .
Nomorpolis Data pengenallainnya
Log transaksi seperti ini tidak hanya digunakan untuk tujuan pemeriksaan, tetapi juga dapat digunakan untuk backup dan recovery dalam peristiwa kecelakaan.
228
PENGANTAR PERANCANGAN
SISTEM INFORMASI
Mengkoreksi KesalahanData Kendali atas data input harus dilaksanakanuntuk menjamin berikut ini: . Semua data dimasukkan ke dalam sistem . Semua kesalahan dikoreksi . .
Kesalahan dikoreksihanya sekali Pola kesalahan dikenali
Gambaran umum tentang bagaimana tugas-tugasini diselesaikandiperlihatkan pada Gambar 5.6. Laporan kesalahan harus mengenali secara jelas tiap kesalahanj yaitu, kesalahan field, rekord, atau file. Pada beberapa sistem, sebuah ruang-spasi diberikan untuk tandatangan dari orang mengoreksi kesalahan. Ini membantu memastikan bahwa semua kesalahan telah dikoreksi, koreksi-koreksi tidak diduplikasi, dan terdapat sebuah audit trail untuk kesalahan yang telah dikoreksi. Sekali saja sebuah kesalahan dikoreksi,kesalahan tersebut harus dihilangkandari fileyang salah sehingga duplikasipenyerahan-kembaliakan ditolak.Idealnya,laporan Input real-time Prosesor Data valid Input
batch
D
File kesalahan
Laporan kesalahan
Dokumen Sumber
Gambar 5.6 Sistem untuk menangani kesalahan input.
J
PERANCANGANPENGENDALIANSISTEM
229
kesalahan digunakan untuk membuat koreksi. Jika laporan tersebut berisi tandatangan, duplikasidapat dihindarkan. Untuk mengurangi penyebab kesalahan, dapat disiapkan sebuah pola kesalahan yang memperlihatkan frekuensikesalahan yang berbeda. Pola ini dapat menunjukkan bahwa orang-orang yang bertanggungjawabuntuk mengumpulkan, menyiapkan, dan memasukkan data memerlukan lebih banyak pelatihan. Atau dapat juga memperlihatkan bahwa komponen sistem input perlu dirancang ulang. Kunci untuk merancang dan mengimplementasikan kendali-kendaliyang akan dieksekusi oleh program komputer adalah dengan merancang pengendalian dan menulis kode yang berkenaan dengan pengendalian pada saat program dikembangkan, bukan setelah program selesai ditulis. Sebaliknya sulit, jika bukan tidak mungkin, untuk memasang kendali-kendalidalam perangkat-lunakyang telah dikembangkan dan sedang beroperasi saat ini. Semua pengendalian input yang baru diliput harus ditempelkan dalam kode program. Sebagai contoh, cek digit dihitung oleh modul program tertentuj pengendalian validasidan identifikasidiperiksa oleh modul program tertentuj total pengendalian dihitung dan ditampilkanj dan log transaksi diperbarui.
PENJAGAANTERHADAPPERANGKAT-LUNAK YANGTIDAK DAPATDIANDALKAN Perhatian khusus kita pada bagian ini adalah mengenai keandalan dari perangkat-lunak aplikasi itu sendiri. Walaupun kita akan mengabdikan cukup banyak waktu dalam buku ini untuk perancangan, pengkodean, teknik pengujian perangkat-lunak, pada bagian ini kita sajikan gambaran dari tipe khusus perangkat lunak yang tidak dapat diandalkan/dipercaya. Tipe perangkat-lunak ini sering merusak dan dalam kasus tertentu, menipu. PERANGKAT-LUNAK YANGMERUSAKDAN MENIPU(destructive and fraudulent software) berisi:
. . .
Salamitechnique Trojanhorse LogicBomb
. Worm
. Virus
230
PENGANTAR PERANCANGAN
SISTEM INFORMASI
Salami Technique Seorang programer di bank dapat menghitung bunga dari akun pelanggan dan membulatkan ke bawah tiap perhitungan ini. Neraca yang kurang dari satu sen dapat ditempatkan dalam akun pribadi programer. Ini adalah variasi dari SAlAMITECHNIQUEyang diterapkan untuk menipu prosedur pemrograman. Jika programer mengambil sepotong kedl saja, tidak ada yang menyadari bahwa sesuatu telah hilang sampai programer tersebut melarikan diri dengan sekumpulan uang yang cukup besar. Lalu biasanya sudah terlambat untuk melakukan sesuatu.
TrojanHorse TROJANHORSEadalah sekumptilan program yang kadang-kadang akan melakukan fungsi-fungsi yang tidak sah yang memungkinkan program tersebut untuk melakukan tujuan yang diinginkannya. Sebagai contohnya, seorang programer dapat mengembangkan sebuah program untuk mengolah file pelanggan dengan benar. Tetapi dalam program tersebut terdapat sekumpulan prosedur yang akan mengutip data tertentu dari rekord-rekord berdasarkan kriteria yang telah ditentukan sebelumnya dan akan menuliskan data tersebut pada sebuah tape file yang yang ditunjuk programer sebagai sebuah file uji. File uji ini, menyimpan informasi pelanggan yang berharga, dihilangkan dari premi-preminya dan dijual oleh programer ke perusahaan pengiriman-pos untuk sejumlah besar uang.
Logic Bomb LOGICBOMBmelakukan sesuatu yang merusak atau menipu baik secara tidak disengaja maupun disengaja. Sebagai contoh, logic bomb dapat berupa program yang ditulissecara buruk sehingga merusak data atau file-fileketika dieksekusi.Pada sisi lain, logic bomb dapat pula dicangkok dengan sengaja oleh programer untuk memberi efek pada tanggal tertentu, ketika suatu peristiwaterjadi, atau ketika kondisi tertentu terjadi. Terdapat banyak contoh mengenai logic bomb. Salah satunya terjadi ketika seorang programer telah menyisipkanprosedur-prosedur ke dalam program penggajian yang dapat menyebabkan aplikasi tersebut merusak file-fileyang kritikal jika nomor pegawai programer tersebut tidak muncul pada data input penggajian. Dengan demikian, jika programer tersebut sewaktu-waktudipecat, file-filetersebut akan dihancurkan sebagai balasan pemecatan.
PERANCANG~N PENGENDALIANSISTEM
231
Worm
WORM adalah sebuah program yang mereplika (ya;tu, menulis kembali dirinya secara berulang-ulang)dan menyebar, tetapi tidak membutuhkan sebuah host, atau tidak juga perlu melekatkan dirinya ke suatu program - worm dalam sebuah program yang berdiri-sendiri.Worm biasanya menyebar dalam satu komputer atau satu jaringan komputer; mereka tidak tersebar karena penggunaan-bersama perangkat-lunak, seperti yang sering terjadi pada virus (akan dibahas selanjutnya). Worm dapat mentransmisikan dirinya melalui sebuah modem link. Contoh yang paling dikenal dari worm adalah 1988 Internet worm, yang menularkan dan melumpuhkan paling sedikit 6200 komputer berbasis-UNIXdan mengacaukan pekerjaan lebih dari 8 juta pegawai pemerintah dan universitas dalam satu hari, baik secara langsung maupun tidak langsung. Worm dapat merusak atau tidak merusak data. Infeksi pada Internet tidak mempengaruhi data; komputer menjadi lumpuh karena program nakal tersebut mengambil-alih semua memori yang tersedia, sehingga komputer tidak mungkin melakukan sesuatu. Virus VIRUSadalah sebuah segmen dari kode program yang dapat mereplika-diri(yaitu, menulis kembalidan memproduksidirinya sendiri).Ketikavirusdikenalkanke dalam komputer, baik dengan menyisipkandisket yang terinfeksiatau oleh programer yang tidak puas, kode virus mengambil-alihpengendalian komputer dalam waktu yang cukup untuk menyalin dirinya ke dalam memori dan ke dalam hard disk. Ketika aplikasi perangkat-lunak lain diluncurkan kemudian, virus tersebut akan memeriksa apakah perangkat-lunak yang baru itu telah tertular. Jika belum, virus menyalin dirinya ke dalam perangkat-lunak tersebut, menularkannya. Walaupun resiko dari infeksi viral (yang disebabkan oleh virus) tidak dapat dihilangkan seluruhnya, prosedur antiviralberikutini harus dikembangkandan dikomunikasikan dengan pemakai: .
Lakukan write-protect pada disk-diskinduk segera setelah mereka dikeluarkan dari pembungkusnya.
.
Batasi pengambilan (downloading)file-filedan program-program dari bulletin boards elektronik.
.
Gunakan workstation tanpa disket untuk mengurangi cara pemasukan data dari sumber-sumberluar.
232
PENGANTAR PERANCANGAN SISTEM INFORMASI
. . . .
.
Gunakan perangkat-Iunakyang telah dinyatakanbebas-virus,dan beliperangkat-Iunakdari penjual yang mempunyai reputasi yang baik. Larang penggunaan disket yang dibawa dari rumah pegawai atau penggunaan salinan bajakan. Berhati-hati terhadap perubahan program yang tidak sah, dan uji dengan seksama perubahan yang sah. Jika booting (yaitu,loading)dilakukandari floppy disk, gunakan hanya disket yang terkunci yang diketahui bebas-virus. Pekerjakan vaksinvirus, yang juga dikenalsebagai virusfilter,yang dirancang untuk mendeteksi virussebelumvirus-virustersebut menularkan program atau data yang lain.
MENCiENDALIKAN KEUTUHAN DARIOUTPUTSISTEM Dalam Bab 1, fokus kita terletak pada perancangan output yang menarik dalam bentuk dan isi pokoknya. Pada bab ini, kita menekankan pada pengendalian yang dapat menjamin terpeliharanya keutuhan dari suatu output yang berkomunikasi dengan pemakai. Ada dua pertimbangan utama yang mempengaruhi pengendalian semacam apa yang diperlukan atas output. Pertama adalah tingkat sensitifitas informasi. Informasi dapat dikategorikan sebagai sangat-rahasia, rahasia, terbatas, dan umum. OUTPUT SANGAT-RAHASIA (top-secret output) adalah sangat sensitif, seperti rekord-rekord medis, atau rencana untuk membeli perusahaan lain. Output rahasia juga sensitif, tetapi jika dibocorkan kepada orang yang salah, efek yang ditimbulkannya tidak separah pada output yang sangat-rahasia. Contohnya informasi pelanggan, gaji, dan registrasi pemegang saham. OUTPUTTERBATAS(restricted output) disirkulasikan kepada sejumlah pemakai dalam perusahaan tetapi tidak untuk dibocorkan kepada orang-orang diluar perusahaan. Contohnya adalah berbagai laporan produksi dan laporan biaya. OUTPUTUMUM( public output) disebarkan kepada agen-agen umum, seperti Security and Exchange Commission (SEC), atau kepada pemegang saham. Faktor kedua yang mempengaruhi pilihan pengendalian output adalah rancangan proses. Yaitu, apakah output dihasilkan melalui sistem batch atau real-time? Faktor tingkat sensitifitas (yaitu, sangat-rahasia, rahasia, terbatas, dan umum) mendikte derajat dan keketatan pengendalian. Faktor perancangan proses menentukan tipe dari pengendalian.
PERANCANGANPENGENDALIANSISTEM
233
Menggunakan Pengendalian Output Sistem Real-Timeuntuk Melindungi Keutuhan Data Pada sistem real-time, output biasanya dicetak atau ditampilkan pada terminal atau workstation pemakai. Antarmuka pemakai/sistem bersifatonline dengan sistem, dan pemakai berinteraksi secara langsung dengan sistem untuk menghasilkan output yang dibutuhkan.
Dari sudut-pandang
PENGENDAUANOUTPUT SISTEM REAL-TIME
(real-time system output controls), perhatian utamanya adalah untuk: . Mencegah agar transmisi output dari sistem ke pamakai tidak ditangkap oleh orang-orang yang tidak berwenang. . Mencegah agar output yang ditampilkandi terminal tidak terlihat secara tidak sah.
.
Mencegah pemindahan output dari terminal yang mempunyai perangkat penyimpanan berpindah (removable storage device).
Gambar 5.7 menyajikan daerah-daerah yang kritis ini, dimana pengendalian harus dilakukan terhadap output real-time.
Pengendalian Telekomunikasi Jika perancang sistem ingin mengurangi kemungkinan penangkapan informasiyang sangat-rahasia dan rahasia oleh orang-orang yang tidak berwenang, harus dipasang teknik-teknik ENCRYPTION ijuga disebut cryptosystems). Teknik-teknikencryption akan mengacak data ke dalam bentuk rahasia sehingga arti sebenamya tidak dapat
Prosesor
Tenninal pemakai atau workstation Floppy disk
Gambar 5.7
Daerah-daerah kritis pengendalian dari sebuah sistem real-time.
234
PENGANTAR PERANCANGAN
SISTEM INFORMASI
dirnengerti oleh orang lain selain pernakai yang dituju. Cryptosystern yang rnenonjol jatuh dalam dua kategori: kunci-tunggal (single-key) atau kunci-ganda (double-key).
The Single-Key Data Encryption Standard (DES) Cryptosystem IBM rnengernbangkan DES pada tahun 1977. Fungsi-fungsinyadiilustrasikanpada Gambar 5.8. Kunci rahasia dari cryptosystern ini diketahui baik oleh pengirirn rnaupun oleh penerirna. PengirirnA rnernasoksebuah pesan teks yang jelas dan sebuah kunci rahasia untuk sebuah algoritma encipher (encrypt), yang rnenghasilkan ciphertext. Cipertext ini kernudian dikirirndan di-decipher(decrypted)oleh penerirna B dengan rnenggunakan kunci yang sarna yang dipakai untuk rnenghasilkanciphertext. The Double-Key Public Key Cryptosystem Sistern kunci urnum kunci-ganda yang diperlihatkan pada Garnbar 5.9, adalah sebuah rnetode encryption altematif. Tidak seperti DES, sistern kunci urnum ini rnenggunakan dua kunci yang berbeda tetapi berkornplernen secara rnaternatis, satu untuk encryption dan yang lain untuk decryption. Karena kunci decryption tidak dapat diturunkan dari kunci encryption, seorang pernakai dapat rnernbiarkan kunci decryption secara umum dan tetap rnerahasiakan kunci decryption untuk rnernastikan kearnanan dari pesan yang dikirirnkan.Pernakai juga dapat tetap rnerahasiakan kunci encryption dan rnernbuat
Teksjelas Enchiphetext Ciphertext
Pengirim A
.. .. .. .. .
Ciphertext Deciphertext Teksjelas
.. .. .. .. .
Gambar 5.8 Data Encryption Standard (DES)encryption systems.
Penerima B
PERANCANGANPENGENDALIANSISTEM
235
Kunci yang komplemen secara matematis ".
PengirimA
,
".
,
, /
,,
".
".
'"
"-
""-
".
"
""-
""
...
Pesan
Penerima B
" "-
teracak
(Encrypt dengan kunci umumB)
(Decrypt dengan kunci pribadiB)
Gambar 5.9 Public key encryption system.
kunci decryption menjadi umum untuk menandatangani dokumen-dokumen secara digital. Asumsikan bahwa A berkeinginan untuk mengirim sebuah pesan sangat-rahasia kepada B menggunakan sistem kunciumurp.A meng-encryptpesan tersebut dengan menggunakan kunciumum B. Satu-satunyaorang yang dapat men-decrypt informasi tersebut adalah B, dengan menggunakan kunci rahasianya. SPOOANGadalah daerah utama dimana system kunci umum dalam keadaan bahaya. Sebagai contoh, C dapat mengirim sebuah pesan kepada B dan menyebut dirinyaA. Pesan tersebut akan munculsecara autentikke B kare~a di-encryptdengan menggunakan kunci umum B dan di-decrypt oleh kunci rahasia B. Tetapi, spoofer dapat dibungkam dengan menggunakan kombinasi dari kunci-kuncitersebut untuk menjamin keautentikannya. Sebagai contoh, A meng-encrypt pesan dengan kunci rahasia A dan kunci umum B. B laluakan men-decrypt pesan-pesan tersebut dengan kunci rahasia B dan kunci umum A. Dengan cara ini, si pengirim akan teridentifikasi secara unik, dan B dapat diyakinkan bahwa pesan-pesan tersebut memang berasal dari A.
Pengendalian Terminal Scanning informasi yang ditampilkan pada layar terminal secara tidak sah dapat dikendalikandalam beberapa cara:
236
PENGANTAR PERANCANGAN
. . . . .
SISTEM INFORMASI
Tempatkan tiap tenninal atau workstation pada ruangan yang terpisah dengan pengendalian akses yang ketat. Gunakan penutup pada tenninal. Tampilkan infonnasi pada intensitas rendah. Hitamkan layar secara otomatis setelah beberapa waktu tidak dipakai. Posisikan tenninal sehingga pemakai duduk dengan punggung menghadap dinding.
Metode-metode ini dapat melindungilayar dari penglihatan orang-orang yang tidak berwenang. Jika pemakai harus meninggalkantenninal, ia harus melakukan log off (memutuskan hubungan komunikasi). Pengaksesan dengan hak-istimewa-terkecil (least-priviledge) memberikan wewenang pengaksesan yang diperlukan untuk melakukan tugas yang diberikan. Sebagai contoh, sebuah tenninal yang ditempatkan di gudang yang dapat diakses secara mudah oleh berbagai personil, dapat diberikanbeberapa pengaksesan hak-istimewa dan hanya diizinkan untuk melakukan tugas-tugas tingkat rendah pada jaringan. Sebagai contoh, data penggajian akan dilarang untuk ditampilkan pada tenninal di gudang. Jika pemakai mempunyai akses terhadap printer yang tidak diawasi atau printer pribadi, infonnasi yang sensitif dapat dicetak dan dibawa keluar lokasi dengan mudah. Karena itu, jaringan tersebut harus dikonfigurasikanuntuk penggunaan-bersarna (share) printer-printer. Juga harus dipasang sebuah log (catatan) printer dan satu orang diberikan wewenang dan tanggungjawabuntuk memisahkan dan mengarahkan output kembali ke pemakai yang berwenang. Autentikasi tenninal memastikan bahwa tenninal yang tepat telah dihubungkan dan dioperasikan sebelum transmisi diterima. Autentifikasi perangkat-Iunak memeriksa untuk menentukan tipe transmisi dan identifikasiserta lokasitenninal. Pada situasi tertentu, jalur transmisi pribadi dan terdedikasi digunakan untuk menghubungkan tenninal tertentu. Secara periodik, komputer akan memutuskan hubungan dari sebuah tenninal dan memutar-kembalinomor tenninal tersebut untuk memastikan bahwa pemakai menghubungi sistem dari tenninal yang benar. Jika tenninal tersebut adalah tenninal palsu (bogus tenninal), maka pemanggilan kembali akan terjadi pada lokasiyang sah, bukan pada lokasitenninal palsu tersebut. Tenninal digunakan orang secara rutin untuk mengakses sistem, berapa hari dalam seminggu, dan berapa jam dalam sehari seseorang biasanya mengakses sistem dapat diperkirakan. Sebagai konsekuensinya, perangkat-Iunaksekuritas harus men-
PERANCANGAN
PENGENDALIANSISTEM
237
jamin bahwa ketiga kondisi - pemakai yang berwenang, tenninal yang sah untuk pemakai tersebut, dan hari dalam seminggu serta waktu dalam sehari yang sah untuk pemakai tersebut - sesuai sebelum memperbolehkan pengaksesan terhadap informasi yang sensitif. Pengendalian Floppy Disk Hubungan mikrokomputer-ke-mainframebiasanya sangat baik dari sudut pandang seorang pemakai. Dari sudut-pandang perancangan pengendalian, hal itu dapat menimbulkan beberapa resiko yang nyata. Data yang diambil (download)dari database bersama, diubah, dan lalu dikirimkan (upload) kembali ke database bersama (corporate database) dapat mengubah database bersama tersebut. Data yang diambil dari database bersama dan disalinke dalam floppy diskjuga menimbulkanbeberapa resiko nyata akan jatuhnya infonnasi yang sensitifke tangan yang salah. Juga, virus sering memasuki sistem melalui floppy disk. Untuk mencegah terjadinya persoalan ini, disarankan menggunakan workstation tanpa disk (disklessworkstation), karena pemakai dicegah untuk menyalin data yang sensitif dari database mainframe dan membawa data tersebut ke luar lokasi. Tidak ada cara untuk melakukan hal itu. Pemakai tidak dapat membuat salinan program secara tidak sah atau menyisipkan data atau program yang tidak sah. Menggunakan Pengendalian Output Sistem Batchuntuk Melindungi Keutuhan Data Jika kita hanya mengkonsentrasikan pada output, sistem batch biasanya membutuhkan lebih banyak pengendalian atas output, karena biasanya output batch melibatkan banyak laporan tercetak (hardcopy reports). Dengan demikian arus output melalui lebih banyak tangan dari titik output tersebut dihasilkan sampai ke tempat output diterima oleh pemakai-akhir. Gambar 5.10 menggambarkan semua tahapan yang mungkindilaluioleh laporan yang dihasilkansecara batch selama proses output. Beberapa laporan mungkin tidak melalui semua tahapan. Sebagai contoh, beberapa laporan dapat dicetak langsung tanpa spooling (disimpan sampai printer siap dipakai)beberapa laporan tidak memerlukan decollating (memisahkan salirtan-salinankertas bersambung yang dicetakrangkap) dan bursting (pemutusan kertas bersambung sehingga menjadi lembar tumpukan), dan beberapa laporan dapat didistribusikanlangsung kepada pemakaiakhir. Mengenali semua tahapan yang mungkin dilaluisebuah laporan memberikan
238
PENGANTAR PERANCANGAN
Penyimpanan dokumen
Pencetakan
·
output
·
Pengambilandan pemuatan dokl.men, program, dan file
K~dali tiriauan balPanoutput
c:H Pengangkutan
Pengolahan
C ~o.... Decollating dan
Distribusi
bursting
output
r+\ f-+I Penerimaan
8,_1 ,- ~D Gambar 5.10
SISTEM INFORMASI
Penyimpanan dan pengambilan output
;\}
re
Penghancuran
~D
Tahapan dalam pengolahan laporan yang dihasilkan secara batch.
kepada perancang sistem titik-titikkunci dimana pengendalian dapat diterapkan. Tetapi, sekumpulan kendaliyang lengkap dapat diterapkan hanya pada output yang sangat-rahasia dan rahasia saja. Pada suatu kasus, semua PENGENDAUAN OUTPUT SISTEMBATCH(batch system output controls) yang harus ada pada tiap tahapan digarnbarkan di bawah ini. Pengendalian Dokumen Biasanya, semua sistem, batch atau real-time, mencetak output pada beranekaragam dokumen, OOOOrapa darinya mengandung informasidan output yang sangat-rahasia dan dapat disalahgunakan. BeOOrapadari dokumen tersebut adalah cek pembayaran pegawai atau kreditur, sertifikatsaharn, dan OOrbagaiinstrumen untuk negosiasi. Dokumen-dokumen seperti itu hams disimpan pada tempat yang aman dan dipertanggungjawabkan serta dikendalikandengan cara yang sarna seperti item-item persediaan yang mahal. Semua dokumen vital harus diOOrinomor seOOlumnya. Hanya pemakai yang OOrwenangyang mempunyai akses terhadap dokumen terse-
PERANCANGANPENGENDALlA('-I SISTEM
239
but. Untuk dokumen sangat-rahasia, digunakan prosedur perwalian-gandaatau tandatangan-ganda yang mengharuskan dua pemakai yang berwenang secara bersamasarna untuk mengambil dan menandatangani dokumen seperti ini. Pengendalian Pemuatan Dokumen dikeluarkan hanya kepada personil yang berwenang. Program-program disimpan di bawah pengendalian sebuah paket pustakawan program (program librarian package). File-file batch disimpan pada lokasi yang aman dibawah kendali seorang pustakawan. Seperti dokumen, file-filehanya dikeluarkan kepada personil yang berwenang dan yang bertanggungjawab atasnya. Setelah pengolahan, file-file dikembalikanke perpustakaan file (filelibrary)secepatnya. Pengendalian Pengolahan Perhatian utama di sini adalah bahwa yang melakukan pengolahan adalah versi program yang benar dan tidak terjadi campur-tangan yang tidak dapat dipertanggungjawabkan. Transaksi bisnis tidak boleh dimasukkan oleh operator komputer. Hanya operator komputer yang harus mengoperasikan komputer. Akses terhadap fasilitas komputer harus dibatasi hanya kepada personil yang diberi wewenang. Console log harus dalam bentuk cetakan kertas-bersambung. Console log memberikan pertanggungjawaban penjalanan dari semua pesan yang dihasilkan oleh komputer dan semua instruksiserta entri yang dibuat oleh operator komputer pada saat pengolahan tertentu berjalan. Pengendalian Spooling dan File Printer Jika sebuah laporan tidak dapat ditulissecara langsung ke printer, outputnya akan di-spool, dan akan dibuat sebuah file printer. Ketika printer siap digunakan, perangkat-lunak spooling akan mengakses file printer dan mencetak laporan tersebut. Spooling Output ini ke printer filememberikan kesempatan pemodifikasiandan penyalinan laporan secara tidak sah. Karena itu, disarankan pengendalian akses yang ketat terhadap perangkat-lunak spooling dan printer file. Pengendalian Pencetakan Output Pengendalian atas pencetakan mempunyai dua tujuan:
240
PENGANTAR PERANCANGAN
1 2
SISTEM INFORMASI
Mencegah operator dan yang lainnyauntuk men-scan informasiyang sangatrahasia yang tercetak pada laporan. Menjamin bahwa salinan laporan yang dicetak hanya sejumlah yang diperlukan.
Prosedur manual untuk operator harus menyatakan dengan jelas jumlah salinan yang akan dicetak. Pencetakan tidak sah dari salinan dapat pula dikendalikan dengan menetapkana jumlah dari salinan dokumen sensitif yang dikeluarkan. Selain itu, jika total kendali dirancang dalam komponen proses, seperti jumlah cek gaji yang akan dicetak, kemungkinan pencetakan yang tidak sah dapat dikurangi. Dalam kasus pencetakan informasi yang sangat-rahasia, mungkin perlu untuk mencegah operator untuk melihat isi dari suatu laporan. Tujuan pengendalian ini dapat dicapai dengan beberapa cara. Laporan dapat dicetak pada lokasi yang jauh (remote location) di bawah kendali akses yang ketat, Program laporan dapat mencetak beberapa halaman penutup agar operator sempat untuk melakukan fungsi pekerjaan rumah bagi printer sebelum isi laporan yang sensitif dicetak. Dokumen multipart khusus dapat dibeli dengan bagian teratas dari salinan dihitamkan sehingga isinya tidak dapat dibaca. Pemakai yang berwenang dapat merobek bagian teratas salinan yang tidak dapat dibaca tersebut. Duplikat dari salinan tersebut berisi output yang dapat dibaca. Beberapa sumber menyarankan untuk mengisi penuh sebuah baris cetak dengan karakter sehingga pemakai yang berwenang harus menerapkan sebuah pola terhadap sebuah halaman untuk mendeteksi karakter laporan dari karakter yang digunakan untuk mengaburkan isi laporan.
Pengendallan Peninjauan Bagian pengendalian harus melakukan pemeriksaan menyeluruh pada laporan tercetak. Sebagai contoh, laporan harus di-scanterhadap kesalahan yang nyata, seperti kehilangan titel, tanggal, jam, dan indikator akhir-dari-Iaporan. Pengendalian Decollating dan Bursting Kesempatan untuk membuat salinan atau menghapus halaman dari suatu laporan harus dihilangkan. Semua laporan harus diangkut langsung ke dan dari fasilitas decollating (memisahkan salinan kertas bersambung yang dicetak-rangkap) dan bursting (pemutusan kertas bersambung sehingga menjadi lembar tumpukan). Pada pengembalian laporan ke bagian pengendalian, semua laporan harus diperiksa untuk
PERANCANGAN
PENGENDAUAN
SISTEM
241
melihat kelengkapannya. Selain itu, semua kertas karbon harus dihancurkan sehingga jejak cetakan dari laporan tidak dapat dibaca. Pengendalian
Distribusi
Laporan dapat diantarkan langsung ke pemakai-akhir, atau dapat ditempatkan pada loker dan diambil oleh pemakai yang mempunyai kunci loker yang sesuai. Atau dapat juga digunakan kurir yang diberi wewenang untuk mengantarkan laporan terse but ke lokasi yang jauh. Pemakai-akhir dapat mengambillaporan yang sangat-rahasia secara pribadi dan menandatanginya. Pengendalian
Penyimpanan dan Penahanan
Biasanya, sebuah tanggal penahanan (retention date; jangka waktu penyimpanan) ditetapkan untuk output tertentu. Tiap tipe laporan harus dipertimbangkan dengan baik untuk keperluan refemsi mendatang, seperti surat penegasan kepemilikanj pembayaran untuk krediturj klaim terhadap pihak luar; dan persyaratan oleh agenagen pemerintah. Sampai tanggal penahanan tersebut kadaluarsa, laporan harus di-file dan disimpan pada lokasi yang aman. Rekord-rekord penahanan tersebut dengan sendirinya sensitif. Mereka membutuhkan perhatian selama perancangan sistem. Pengendalian
Perusakan
Ketika laporan tidak lagi berguna, mereka harus dihancurkan.. Dengan menggunakan prosedur klasifikasi dan tanggal penahanan, laporan dapat diindeks dalam sebuah TICKLERFILE(yaitu, file-file yang dapat menarik perhatian orang terhadap suatu masalah pada waktu yang tepat). Dengan demikian laporan dapat dihancurkan secara rutin dan otomatis. Untuk keamanan dan kerahasiaan, laporan harus dihancurkan atau dibakar.
MELINDUNGI DATABASE Bagian ini memeriksa PENGENDAUANDATABASE(database controls) khususnya yang dapat diterapkan pada komponen sistem database:
.
Model pengamanan DB2 dari IBM
242
PENGANTAR PERANCANGAN
. . .
SISTEM INFORMASI
Pengendaliankonkurensi Teknik-teknikencryption Pengendalianbackupdan recovery.
DB! Security Model Prosedur pengamanan DB2 dari IBM memberikan model pengendalian pemakai yang sangat baik untuk database. Filsafat keamanan DB2 adalah: "Jika obyek ditetapkan dalam DB2, maka DB2 akan mengendalikan akses terhadapnya. Suatu kegiatan yang melibatkan sebuah obyek, sumberdaya, atau fungsi-fungsidari DB2 adalah sebuah hak-istimewa(priviledge)yang membutuhkan wewenang." Wewenang implisitdiberikan melaluiperintah CREATE.Wewenang eksplisitatau kehilangan wewenang diberikan melalui masing-masingperintah GRANT dan REVOKE. Mengikuti instalasi awal dari database, atau suatu waktu sesudahnya, database administrator dapat mengabulkan wewenang untuk operasi-operasi tertentu kepada pemakai tertentu,; misalnya,GRANTSELECf, UPDATE(CUSTNAME)on CUST TABLE to SAM. Sam dapat membaca dan memperbarui semua nama pelanggan dalam file pelanggan, tetapi tidak dapat melakukan yang lain. Beberapa dari hak-istimewa ini termasuk create, display, reorganize, alter, delete, insert, dan recover. Hak-istimewadapat diberikan dan juga dapat diambilkembali.Bentuk umum dari perintah REVOKEadalah: REVOKEpriviledgeFROMuserid. Pengendalian
Konkurensi
Konkurensi berarti bahwa dua atau lebih pemakai mempunyai akses ke data yang sarna pada saat bersamaan. Walaupun ini adalah keistimewaan (feature) rancangan yang diinginkan dalam penggunaan-bersama (share) sebuah sistem real-time, konkurensi juga menaikkan kemungkinan terjadinya konflik. Sebagai contoh, dua orang penjual mungkin mencoba menjual gizmo terakhir dalam persediaan pada waktu yang sarna. Hanya satu yang dapat menang. Situasi seperti ini memerlukan PENGENDALIAN KONKURENSI (concurency
controls).
Pada beberapa database relasional yang canggih (mis, DB2 dari IBM), tersedia pengunci otomatis, pendeteksi konflik, dan keistimewaan resolusi. Pemakai pertama yang mengakses item yang dipertikaikan dapat menguncinya, mengasumsikan kepemilikan terhadap item tersebut sampai ia melakukan transaksi atau membatalkannya. Sistem mendeteksi pemakai yang "lebih muda", yang mencoba memperoleh
PERANCANGAN
PENGENDALIANSISTEM
243
kendali yang diperbarui terhadap item yang sarna, dan menyebabkan transaksi tersebut menunggu sampai transaksi yang sedang berlangsung pada saat itu selesai.
Teknik Encryption Walaupun banyak orang melihat teknik encryption sebagai penggunaan secara eksklusif untuk melindungi data yang dikirim melalui media transmisi, dapat juga diterapkan untuk melindungi kebebasan/privasi database. Media penyimpanan portabel, seperti removable disk pack dan magnetic tapes, dapat dilindungi dengan mengimplementasikan sebuah perangkat encryption yang aman dalam disk drive atau tape drive controller. Data secara otomatis di-encrypttiap kalimereka ditulisdan di-decrypttiap kali mereka dibaca oleh pemakai yang berwenang. Perencanaan Pencadangan dan Pemulihan Database Untuk sistem batch, biasanya digunakan rencana pencadangan dan pemulihan tiga file (three-files backup and recovery plan) tiga-file , yang disebut GRANDFATHER-FATHER-SONRECOVERY PLAN,diperlihatkan pada Gambar 5.11. Anak (son) atau file induk yang paling baru, berada dalam lokasi, Bapak (father) berada di ruang penyimpanan, dan kakek (grandfather) disimpan pada tempat yang aman di luar lokasi. Jika anak hilang, bapak dan file-file transaksi sebelumnya dijalankan kembali untuk membuat kembali anak. Jika bapak hilang, kakek dan file-file transaksi sebelumnya dijalankan kembali untuk membuat kembali bapak. Untuk sistem real-time, selalu terdapat pertukaran antara frekuensi dumping (mentransfer isi memori ke printer atau perangkat penyimpananj penyalinan) dan logging (mempertanggungjawabkan dan menyalin tiap transaksi yang memperbarui file). Sering melakukan dumping memberikan pemulihan yang cepat, tetapi mahal dan memakan waktu. Dumping yang jarang dan bergantung pada log/catatan untuk pemulihan adalah lambat tetapi relatif murah. Sebuah keseimbangan harus diambil diantara kedua ektrim ini. Rancangan logging dan dumping disajikan pada Gambar 5.12. Pada sembarang peristiwa, dumping dapat lengkap atau residual. Dumping lengkap berarti semua yang ada dalam database disalin. Metode dumping residual menyalin semua rekord yang tidak pemah diubah selama residual dump terakhir, dan log transaksi hanya berisi rekord-rekord sebelum- dan sesudah-pencitraan (afterimage) rekord yang telah diubah. Jika file saat ini hilang, residual dump terakhir akan berisi semua rekord yang belum pemah diubah semenjak dump terakhir. Rekord-rek-
244
PENGANTAR PERANCANGAN
SISTEM INFORMASI
Kembali ke fasililas perpustakaan atau penyimpanan (Son menjadi father pads siklusproses berikutnya)
Siklus proses I
.~
(Father menjadi grandfather pads siklus proses beikutnya) Kemba&ke fasililas perpustakaan atau penyimpanan (Son sekarang menjadi father)
(Son)
Siklus proses II
.
~ ~*~~~~*~~~~~~~~~~~~~~~~~~~~~~
Gambar
5.11
Grandfather-father-son
~ 1i;
'P ~1 ~ \:1 ?t ~ ~ SI ~
:
~
file recovery plan untuk sistem batch.
ord ini plus sesudah-pencitraan rekord-rekord yang telah diubah akan membuat kembali file yang baru.
Pencadangan di Luar Lokasi File-file backup, program-program, dan dokumen-dokumen sebuah perusahaan diletakkan di luar lokasi pada daerah yang aman untuk melindunginya dari ancaman-ancaman man usia dan alamo Dua metodenya adalah: .
.
Remote secure storage facility Televaulting
PERANCANGAN
Wor1<station
Prosesor
PENGENDALIANSISTEM
245
Database
Gambar 5.12 Sistem real-time yang me-log transaksi dan men-dump secara periodeik semua atau sebagian dari database.
Falilital Penyimpanan Aman JarakJauh Sejumlah wirausaha mempunyai tempat perlindungan born yang dikonversikan, gedung tua pemerintah, tambang yang tak dipakai, dan gua-gua untuk FASIUTAS PENYIMPANAN AMANJARAKJAUH (remote secure storage facilities). Banyak dari
fasilitasini dikonversikanmenjadi seperti lingkunganJames Bond. Gua batu gamping besar yang berukuran antara 15 sampai 20 akre telah digunakan oleh firma keamanan untuk mendirikan ruang penyimpanan, gedung, dan jalan, dan bahkan sebuah taman buatan. Fasilitasseperti ini benar-benar merupakan kota bawah tanah yang dipersembahkan untuk penyimpanan yang aman. Salinan dari database (seperti juga dokumen dan program sensitiflainnya)dibawa ke tempat jauh ini untuk penyimpanan yang aman. Televaulting Sesering apapun database backup dilakukan, data hanya seaman seperti backup yang terakhir, clan bahkan manajer yang paling hati-hatipun dapat kehilangan satu hari seharga data dalam sebuah disk crash (kerusakan disk). Untuk perusahaan
246
PENGANTAR PERANCANGAN
SISTEM INFORMASI
dengan aplikasi tugas-tugas kritis seperti perantara rumah, lapangan udara, dan bank, kehilangan data adalah suatu yang tidak dapat diterima, karena kehilangan data atau downtime Gumlah waktu sistem komputer tidak berfungsi) dapat berarti ancaman bagi kelangsungan perusahaan seperti ini. Perusahaan ini membutuhkan sistem backup dengan toleransi-kesalahan seperti sistem TELEVAULTING, yang merupakan alat pengangkut data yang penting ke lokasi backup secara elektonik. Ciri khas dalam televaulting Guga disebut electronic vaulting), sistem komputer dihubungkan ke sebuah lokasi jauh yang aman dengan menggunakan media transmisi berkecepatan tinggi. Setiap workstation dan mainframe dihubungkan ke electronic vault di luar lokasi, dan setiap transaksi ditransmisikan secara online dan dalam real-time. Metode ini menghilangkan resiko pengangkutan disk, tape files, dan dokumen secara fisik ke fasilitas di luar lokasi. Dengan televaulting, data backup dapat diakses kapan saja, dan data backup selalu baru.
Pencadangan di Dalam Lokasi Bentuk lain dari sistem backup bertoleransi-kesalahan disebut DISK-MIRRORING, yang serupa dengan televaulting kecuali bahwa data tidak ditrasmisikan ke sebuah lokai jauh tetapi ditrasmisikan ke sebuah disk sekunder lokal. Perangkat-Iunak disk-mirroring menulis data pada dua server terpisah secara simultan, sehingga jika satu disk gagal, sistem secara otomatis mengalihkan ke "mirror" atau disk sekunder tanpa kehilangan data dan tanpa system downtime. Semakain hari semakin banyak sistem yang harus dijalankan 24 jam sehari, sehingga disk-mirroring sang at kritis.
MELINDUNCITEKNOLOCIPERANCKAT.KERAS Sasaran utama kita pada bagian ini adalah untuk menyajikan PENGENDALIAN LANDASANTEKNOLOGI (technology platform controls) yang terutama dapat diterapkan ke mainframe dan personal komputer. Kita mulai dengan pengendalian mainframe.
Pengandalian Pusat Data Mainframe Untuk suatu perusahaan, sebuah pusat data mainframe adalah sesuatu yang mahal dan sulituntuk dibangun. Keistimewaanpengendalian akan menambah kompleksitas
PERANCANGAN
PENGENDALIANSISTEM
247
pengeluaran dan pembangunannya. Beberapa keistimewaan pengendalian yang membantu membuat sebuah pusat data mainfranme yang aman adalah berikut:
Lokasi Fisik Pusat data harus dilokasikan jauh dari pabrik pengolahan, menara radar, saluran gas dan air, jalan bebas hambatan yang padat, lapangan terbang, daerah berkejahatan-tinggi, dan kesalahan geologis. Lokasi harus berada jauh di atas tingkat luapan air dan harus dilengkapisaluran pembuangan yang baik. Konstruksi Biasanya, pusat data harus berupa sebuah blok bangunan satu lantai dengan pintu masuk dan keluar yang terbatas. Jalur daya dan komunikasi harus di bawah tanah. Saluran udara dan jendela harus dilapisi kawat jala, semua pipa saluran harus berisi alat pencegah api. Filtrasi Lokasi sebersih ruang operasi adalah keharusan bagi teknologi komputer yang sensitif. Sistem filtrasi khusus dapat menangani debu kertas atau tinta dan kutu buku yang terkumpul di tembok dalam lingkungan pencetakan tinggi.
Pendingin Udara Setiap pembuat komputer mengharapkan peralatannya dipelihara pada lingkunganyang nyaman, biasanya pada suhu 70 sampai 75 derajat Fahrenheit dan kelembaban relatif 50 persen. Jika sebuah lokasi memperbolehkan pelaksanaan standar yang meleset, penjual tidak akan memberlakukan garansi. Air Pendukung Pasokan air dari pemerintah daerah mungkin tidak mencukupi jika terjadi kebakaran. Karena itu lokasi memb\ :1kan sumber air dan tangki penyimpanan air tambahan. Biasanya, sebuah menara air ditempatkan dekat dengan pusat data untuk memberikan air pendingin ke lokasi komputer jika dalam keadaan darurat atau sebagai pendingin tambahan.
Perlindungan terhadap Pemancaran Komputer dan periferalmemancarkan (emanate) informasi sensitif yang dapat ditangkap oleh orang-orang yang tidak berwenang. Dua metode yang digunakan untuk mencegah pemancaran data: 1
Pengurungan yang melingkupipusat data dan peralatannya dengan bahan emanation-proof (dapat menahan-pancaran).
248
PENGANTAR PERANCANGAN SISTEM INFORMASI
2
Penyembunyian sumber membuat papan sirkuit dan kabel peralatan itu sendiri menjadi emanation-proof.
Spesifikasi untuk penyembunyian sumber ditemui dalam petunjuk keamanan TRANSIENTELECTROMAGNETIC PULSEEMANATIONS STANDARD(TEMPEST)milik pemerintahan federal. TEMPEST menghasilkan batas tingkat pancaran elektronik, sehingga sulit menggunakan peralatan penginderaan untuk menyadap transmisi data. Walaupun produk tersebut pada saat ini digunakan hampir secara eksklusif oleh sektor pemerintahan, beberapa penjual menargetkan penawaran mereka ke bidang usaha, khususnya sektor keuangan. Sistem Penahan Kebakaran Lebih dan separuh dari seluruh perusahaan yang menderita kebakaran mengalami kebangkrutan. Komputer dapat diganti, tetapi tanpa dilindungi dengan baik, data yang kritikal dapat hilang tanpa jejak. Kehilangan master piutang, misalnya, sudah cukup untuk menyebabkan banyak perusahaan jungkir balik. Sistem penahan kebakaran untuk menjaga terhadap bencana seperti itu menekankan deteksi dan penahanan dini. Uninterruptible Power Supplies Sulit, jika bukan tidak mungkin, untuk menjalankan komputer saat ini, peralatan switching telecommunication, dan electronic peripherals pada tenaga listrik tingkat-komersial dengan persoalan bawaannya. Persoalan tenaga listrik termasuk berkedip, turun tegangan, sentakan, meredup, mati dan variasi frekuensi. Peralatan yang digunakan untuk menangani berbagai kombinasi dari perseoalan-persoalan tersebut termasuk voltage regulators, surge suppressors, isolation transformers, power conditioners, dan motor generator. Akan tetapi, UNINTERRUPTIBLE POWERSUPPUES (UPS) adalah satu-satunya sistem yang melindungi komputer dari seluruh persoalan tenaga tersebut. Saat ini, tersedia tiga tipe UPS:
. Statik . Rotari . Hibrid Tiap tipe mempunyai keuntungan dan kerugian masing-masing, tetapi sistem rotari dan hibrid biasanya lebih berat dan mahal. Sistem statik bergantung terutama pada baterei. Sistem rotari menggunakan sebuah generator sebagai cadangan. Sistem seperti ini biasanya dikemudikan oleh mesin disel untuk alasan ekonomis dan keamanan. Sistem hibrid terdiri dari baterei dan sebuah generator. Ketikabaterei mulaihabis, generator hidup untuk melanjutkan
PERANCANGANPENGENDALlA,.N SISTEM
249
pembangkitan tenaga selama bahan bakar tersedia. UPS sistem rotari dan hibrid digunakan untuk situasi dimana downtime (waktu tidak berfungsinya sistem komputer) yang panjang tidak dapat ditolerir. Pengendalian
Personal Komputer
Beberapa pengendalian mainframe dapat diterapkan ke personal komputer (PC), dan sebaliknya. Tetapi, pada subbagian ini kita ingin menekankan pengendalian khususnya yang dapat diterapkan pada pc. Pengendalian Lingkungan pc harus ditempatkan dalam sebuah lokasi tertutup dan terkunci jauh dari umum atau daerah-daerah yang mudah diakses. Jangan pemah meninggalkan pc tanpa pengurus pada saat PC tersebut hidup. Tetapkan kendali akses setelah-jam kerja untuk personil Ycmg berwenang. Batasi akses ke perpustakaan file dan kunci disket dalam penyimpanan yang aman. Larang merokok, minun, dan makan di dekat pc. Jauhi PC dari magnet, telepon, dan radio. Pada daerah yang sensitif, sebarkan kamera pengintai dan alarm. Perintahkan penjaga malam untuk memeriksa lokasi secara acak. Tuntut agar suku cadang yang rusak, seperti cip memori, diserahkan kembali setelah pemeliharaan perangkatkeras. Pelihara persediaan fisik dari pc. Simpan sebuah daftar di luar lokasi mengenai uraiaI1, nomor seri, dan pemindahan atau penambahan yang terakhir. Gunakan perangkat pelabelan yang mengandung label identifikasi permanen. Gunakan formulir pemindahan kepemilikan, lembar penugasan, dan surat-surat jalan untuk mengendalikan pemindahan pc. Lakukan pemeriksaan persediaan peralatan secara periodik. Jangan tempatkan PC pada sebuah jalur tenaga listrik berstop-kontak-ganda (multiplug) yang primitif yang digunakan-bersama dengan peralatan listrik yang lain, karena akan membuat PC terkena fluktuasi voltase yang dapat merusak cip dan menghancurkan data. Pada suatu lingkungan, dibutuhkan voltage regulators dan surge suppressors. Uninterruptible power supplies mungkin diperlukan atau tidak diperlukan oleh pc. Jika eksposumya tinggi dan pengolahannya kritikal, UPS untuk PC mungkin dibenarkan.
Pengendalian Fisik Pengendalian fisiktermasuk detektor gerak, pengunci, dan perangkat penguncian fisikoDetektor gerak akan menyalakan alarm jika PC yang terpasang sedikit saja digerakkan. Pengunci akan mengamankan casis PC dan
250
PENGANTAR PERANCANGAN
SISTEM INFORMASI
papan-ketik, dan dapat juga digunakan untuk meyakinkan bahwa sistem tidak hidup. Dengan demikian pengunci adalah pertahanan lini-pertama yang baik. Bahkan setelah casis PC diamankan dengan kunci, sistem tetap dalam keadaan bahaya terhadap pencurian. Jika pegawai keamanan lemah, PC dan periferal-periferalnya dapat diangkat dan dibawa keluar. Karena itu, PC itu sendiri harus diamankan ke meja dengan sebuah kabel atau grendel. Untuk monitor atau printer yang tidak mempun~ai grendel pengaman, dapat digunakan kabel berlapis-metal yang terpasang tetap yang dipasang secara pepnanen dengan lem cyancrylate. Pengendalian Database Siapkan sebuah perpustakaan disket dan simpan sebuah catatan disket yang up-to-date. Buat kode pelabelan pada disket yang isinya sensitifdan berlakukan sebuah prosedur pelabelan yang terstandardisasiuntuk disketdisket lainnya. Buat salinan backup secara rutin. Jangan pemah membiarkan disket atau cartridge yang sedang tidak dipakai tanpa pengawasan. Simpan disket-disket tersebut di perpustakaan ketika sedang tidak digunakan. Membuat sebuah Rencana Pemulihan darl Bencana Kasus berikut akan memberikan kepada anda pengetahuan untuk PERENCANAAN PEMUUHANDAHlBENCANA(Disaster Recovery Planning).
Disaster Recovery
Planning: Berpikir yang Tidak Terpikirkan
Beberapa tahun yang lalu, Marla Cauto bekerja sebagai sistem analis senior untuk sebuah perusahaan pemasok rumah sakit berukuran sedang yang bertempat di San Fransisco. Marla baru bekerja beberapa bulan pada perusahaan tersebut ketika terjadi gempa bumi, yang menghancurkan hampir seluruh bangunan perusahaan dan melenyapkan sistem informasi perusahaan. Beberapa file yang kritikal, seperti file induk piutang, dibackup dan disimpan pada gudang jarak jauh, tetapi gudang tersebut bersama seluruh isinya habis terbakar oleh api yang dipicu oleh gempa bumi. Setelah terjadi bencana, perusahaan mencoba melanjutkan usahanya, tetapi merupakan hal yang tidak mungkin untuk merekonstruksi data, dokumen-dokumen, dan program-program perusahaan. Perusahaan diajukan untuk mendapat perlindungan dari kebangkrutan, tetapi pada akhirnya harus keluar dilri bisnis. Sejak itu Marla bekerja sebagai ajun profesor pada sebuah universitas di San Fransisco dan sebagai konsultan sistem paruh-waktu.
PERANCANGANPENGENDALIANSISTEM
Hari ini Marla diwawancara untuk posisi analis sistem senior di Medico, sebuah perusahaan pemasok rumah sakit yang bertempat di Houston. Carl Armstrong, pegawai kepala keuangan (chief financial officer; CFO), bertanya kepada Marla apa yang ingin ia lakukan jika diterima di Medico. "Seperti yang telah diberitahukan pada saya, Medico merencanakan untuk membuat penggantian sistem besar-besaran. Saya juga mengerti bahwa pengambil-alihan ini telah diberi nama; yaitu sistem informasi untuk keuntungan kompetitif, atau disingkat ISCA(information systems for competitive advantage). Saya sangat senang menjadi bagian dari proyek ini. Bersamaan dengan perencanaan sistem strategi, saya akan sangat mengusulkan suatu perencanaan pemulihan dari bencana." "Mengapa perencanaan terhadap bencana?" Carl bertanya. "Bukankah pengendalian pencegahan yang kita rancang ke dalam sistem pada saat sistem dikembangkan sudah mencukupi?" "Saya setuju bahwa pengendalian harus dirancang ke dalam sistem pada saat sistem dikembangkan, tetapi itu belum cukup. Jika sebuah bencana, seperti gempa bumi, angin topan, banjir, atau kebakaran melanda, perusahaan harus sudah memiliki mempunyai sebuah rencana untuk menjaga agar bisnis tetap berjalan. Agar bisnis tetap berjalan membutuhkan seluruh atau sebagian dari sistem informasi untuk tetap terus beroperasi. Jika semuanya hancur dan tidak terdapat rencana terhadap bencana pada tempatnya, bisnis tidak akan mampu melayani pelanggan, mengolah gaji, dan lainlain. Juga, seluruh data, dokumentasi, dan program-program mungkin hilang, tanpa ada kemungkinan dipulihkan." "Anda tampaknya yakin sekali bahwa memang diperlukan suatu perencanaan terhadap bencana," kata Carl. "Saya percaya itu imperatif," kata Marla, "Resikonya terlalu besar tanpa sebuah rencana pemulihan dari bencana. Saya berkata atas dasar pengalaman pribadi." "Maukah anda menceritakan pengalaman anda kepada kami?" tanya Bill Lawson, pengaudit intern. "Seperti yang anda ketahui dari percakapan awal saya dengan anda, perusahaan tempat saya bekerja sangat mirip dengan Medico, keluar dari bisnis karena gempa bumi. Jika kita mempunyai rencana pemulihan dari bencana pada tempatnya, saya percaya perusahaan itu tetap dapat melakukan bisnis hari ini. Saya meminta kepada manajemen puncak untuk memasang sebuah rencana pemulihan dari bencana secepatnya setelah saya dipekerjakan. Sayang sekali, permohonan saya jatuh di telinga yang tuli." "Apa yang sebenarnya terjadi?" tanya Bill. 'Well, gempa bumi melanda tanpa peringatan. Tidak ada kejutan awal, tidak ada tanda-tanda dari seismolog. Itu berlangsung selama 15 detik, energi yang dilepaskan
251
--
252
-
~---------
PENGANTAR PERANCANGAN SISTEM INFORMASI
selama waktu itu ekivalen dengan seratus bom atom. Puncak Transamerica Pyramid bergoyang tiga kaki ke setiap arah, seperti juga dua menara pendukung Golden Gate Bridge. Bay Bridge roboh. Api berkobar di Marina District, dimana kita melakukan backup file-file kita. Gedung dimana prosesor, file, dan berbagai periferal ditempatkan hancur." "Saya mengerti maksud anda mengenai kebutuhan perencanaan terhadap bencana," kata Carl. "Semua itu dapat saja menimpa kita." "Mungkin bukan gempa bumi, tetapi topan, banjir, kebakaran, atau bencana-bencana lain dapat terjadi. jika terjadi, rencana pemulihan terhadap bencana akan membekali anda dengan sebuah kekayaan untuk tetap beroperasi," tanggap Marla. "Sejak gempa bumi itu, saya telah memikirkan tentang sebuah rencana pemulihan dari bencana sebagai suatu kemauan. Itu memaksa anda berpikir tentang yang tidak terpikirkan. Apa yang harus dilakukan jika terjadi bencana? Apa yang akan terjadi setelah terjadinya bencana? Bagaimana perusahaan bisa pulih dari bencana?" "Setelah perencanaan pemulihan dari bencana dikembangkan, apa lagi yang harus dilakukan?" tanya Bill. "Saya senang anda menanyakan pertanyan penting ini," Marla menanggapi. "Rencan a pemulihan dari bencana, setelah dikembangkan, harus diuji. Orang-orang harus melatih tugas yang diberikan kepada mereka. Latihan harus dilakukan. Anda harus meyakinkan bahwa rencana anda benar-benar melakukan apa yang dijanjikan, sebaliknya, mereka hanyalah dokumen-dokumen yang terletak pada rak-rak pengumpul debu, atau seperti yang dikatakan orang, mereka hanya perangkat dari sebuah rak." "Marla, kita menghargai presentasi anda mengenai rencana pemulihan bencana," kata Carl. "Anda benar-benar telah membuka mata saya. Saya yakin kami akan menjadi sangat bergantung pada ISCAbaru kami. Downtime (waktu tidak berfungsinya sistem) tidak dapat lagi diterima. Anda memang telah membuat saya menerima ide rencana bencana itu."
Ketika sebuah bencana melanda, itu akan terjadi secara tiba-tiba dan tak terduga. Akan terdapat sedikit sekali peTingatan waktu untuk penelitian dan perencanaan. Keputusan yang cepat harus dibuat. Perencanaan pemulihan daTi bencana membantu memastikan bahwa keputusan yang tepat telah dibuat dan perusahaan dapat bertahan hidup.
PERANCANGAN
PENGENDALIANSISTEM
253
Komponen dari sebuah Rencana Pemulihan Bencana RENCANAPEMUUHAN BENCANAberisi empat subrencana:
. .
Rencanapencegahan Rencanaperjuangan
. .
Rencanakontingensi RencanaPemulihan
Rencana Pencegahan (preventive plan) Sebuah sistem lengkap dari pengendalian dirancang ke dalam sistem informasi pada saat sistem itu dibangun, atau pengendalian dipasang dalam sebuah sistem lama. Pada kedua kasus itu, tipe dan tingkat pengendalian yang dipasang adalah sebuah fungsi dari penaksiran resiko. Rencana ini memerinci bagaimana melindungi sistem dan menghindari bencana pada mulanya.
Rencana Persaingan (contention plan) Rencana pencegahan tidak dapat menjamin pencegahan. Karena itu, sebuah rencana harus dikembangkan untuk menentukan bagaimana bereaksi dan tetap berjalan pada saat terjadi bencana. Beberapa jam pertama dari bencana adalah yang paling kritikal dan kacau-balau.
Rencana Ketidaktentuan (contingency plan) Rencana ini menggambarkan bagaimana perusahaan akan beroperasi dan mengadakan bisnis pada saat usaha-usaha pemulihan dilakukan, seperti apapun kondisi dari sistem informasi perusahaan itu. Rencana tersebut berisi prosedur altematif dan darurat. Rencana ketidaktentuan memungkinkan perusahaan bertahan hidup dan beroperasi. Penekanannya adalah pada kekacauan-kekacauan yang mengancam kelangsungan bisnis.
Rencana Pemulihan (recovery plan) Bencana telah teerjadi, dan telah merusak sistem. Rencana pemulihan terdiri dari prosedur untuk memulihkan sistem agar dapat beroperasi penuh. Rencana pemulihan jangka-panjang dapat memerlukan apa saja, dari memperoleh beberapa periferal baru sampai pada membangun sebuah pusat data baru yang lengkap dengan peralatan baru.
-.-
......
PENGANTAR PERANCANGANSISTEMINFORMASI
254
Menyiapkan Rencana Ketldaktentuan Fokus utama dari subbagian ini adalah bagaimana menyiapkan rencana ketidaktentuan (contingency plan). Yang diberikan berikut ini adalah langkah-langkah untuk melakukan persiapan tersebut.
Langkah 1. Mengenali Fungsi-fungsi Kritikal Langkah pertama dalam mengembangkan sebuah rencana ketidaktentuan adalah untuk mengenali fungsi-fungsi yang diperlukan untuk menjaga agar perusahaan tetap beropetasi. Ciri khas dari fungsi-fungsikritikalberisi:
.
Pengolahantransaksidan pesanan
. Piutang . Utang . . .
Pengendalianpersediaan Penetapanhargadan penagihan Penggajian
Salinan dari seluruh aplikasiini, termasuk program-program, data, dan dokumentasi, harus disimpan pada tempat yang .amandi luar lokasi. Langkah 2. Memilih Opsion-opsion kontinjensi Satu opsion yang sederhana adalah kembali ke metode manual untuk beberapa aplikasi. Atau sebuah fungsi kritikal,seperti penggajian, dapat dilakukanoleh sebuah pelayanan dari luar. Opsion kontinjensiyang lebih luas berisi:
. .
Fasilitasbackupmilikperusahaan Persetujuantimbal-balik
. . .
Lokasipanas Lokasidingin Pusatdatabergerak.
Jika sebuah perusahaan mempunyai sebuah sistem komputer terpusat (mis., pusat data yang besar), FASILITASBACKUPMILIK-PERUSAHAAN (Company-owned backup facility) diduplikasikan di suatu tempat yang jauh dari sistem saat ini. Jika sebuah perusahaan mempunyai jaringan yang besar dengan lokasi yang banyak dan sebuah lokasi yang menderita bencana, lokasi lain dapat mengolah fungsi-fungsi
PERANCANGANPENGENDALIANSISTEM
255
kritikal dan penting dari lokasi yang terkena bencana. Opsion kontijensi milik-perusahaan seperti irii membutuhkan cukup banyak redundansi peralatan dalam landasan teknologinya, dan lebih mahal dari opsion kontinjensi yang lain. Jika campuran dari komputer dan peralatan jaringan yang digunakan sangat besar dan kompleks, opsion seperti ini mungkin satu-satunya yang memungkinan. PERSETUJUANTIM8AL-BAUK (reciprocal agreemant) dapat dibuat dengan sebuah organisasi yang mempunyai sistem yang sebanding. Persetujuan timbal-balik mempunyai kesulitan-kesulitan yang terpasang-tetap, termasuk kemungkinan perubahan konfigurasi setelah persetujuan ditandatangani, kapasitas yang tidak mencukupi, persoalan penjadwalan. LOKASIPANAS(hot sites) adalah fasilitas pengaman yang menyediakan konfigurasi sistem yang mencerminkan sistem milik organisasi. Lokasi-panas ini dimiliki oleh perusahaan (mis., Comdisco Disaster Recovery, Inc.) yang memberikan fasilitas pengolahan backup kepada klien. Lokasi-panas terse bar di seluruh negara tetapi dikaitkan-bersama dengan sebuah jaringan berkecepatan-tinggi. Dalam beberapa kasus, perusahaan klien memasang hubungan langsung diantara mainframe-mainframe mereka dengan yang ada di lokasi-panas. Informasi di lokasi-backup terusmenerus diperbarui. Jika terjadi bencana, informasi terakhir sudah menunggu di lokasi-panas. Sebuah sistem lokasi-panas yang memakai jaringan akan bekerja jauh lebih baik dibandingkan lokasi-panas yang berdiri sendiri. Dengan sebuah sistem lokasi-panas yang berdiri sendiri, jika suatu fasilitas backup tertentu tidak tersedia bagi lokasi-panas yang dipilih klien, klien harus pergi ke lokasi-panas yang jauh dan menyiapkan operasi backup di sana. Lokasi-panas adalah salah satu opsion kontinjensi yang paling populer karena mereka memberikan salah satu strategi pemulihan yang paling cepat, dan dapat diuji secara periodik tanpa mengacaukan bisnis. LOKASIDINGIN(cold sites) kadang-kadang disebut shell, adalah bangunan-bangunan yang ditempatkan di sekitar klien. Lokasi-dingin berisi outlet-outlet dan koneksi yang diperlukan yang siap untuk menerima sebuah konfigurasi komputer. Lokasi-dingin dapat dibangun oleh sebuah organisasi untuk digunakan sendiri atau berlangganan kepada pemilik sebuah lokasi-dingin komersial. Lokasi-dingin jauh lebih murah dibandingkan lokasi-panas, tetapi dibutuhkan beberapa hari untuk mengkonfigurasikannya. PUSATDATABERGERAK(mobile data center) adalah sebuah sistem di atas roda, biasanya bertempat di sebuah van yang besar yang diangkut ke lokasi bencana. Bagian depan dari van adalah tempat pertemuan, tempat tinggal, dan ruang kantor. Bagian tengah mempunyai workstation dan supplies yang terpasang tetap. Bagian belakang berisi prosesor utama, disk drive, dan printer. Pusat data bergerak selalu siap setiap waktu di sebuah lokasi pusat yang aman.
256
PENGANTAR PERANCANGAN SISTEM INFORMASI
Menguji Rencana Secara efektif, sistem tidak mempunyai rencana persaingan dan ketidaktentuan yang dapat dilaksanakan sampai mereka diuji. Lebih jauh lagi, semua rencana harus dipelihara pada basis yang terus-menerus untuk mewakili kondisi paling akhir dari perusahaan. Lebih baik mengetahui apa persoalan yang timbul pada saat diuji daripada mempelajarinya pada saat terjadi bencana. Para analis dan auditor menyarankan bahwa organisasi menguji rencana mereka dua kali setahun tanpa peringatan terlebih dahulu. Pendekatan pengujian pasif berisi pengamatan, inspeksi, peninjauan daftar pemeriksaan, dan menyelesaikannya. Pengujian aktif berisi pengujian fisik yang dapat disimulasikan, seperti latihan dan pengulangan, atau pengujian langsung yang berisi regu harimau dan prosedur pecahkan-kaca atau tarik-steker. Lebih jauh lagi, semua personil yang bertanggungjawab untuk memprakarsai rencana persaingan dan mengaktifkan rencana ketidaktentuan harus dilatih dan diperbarui pada basis rutin untuk memastikan bahwa orang-orang tersebut sadar sepenuhnya mengenai revisi terakhir. Simulasi serangan bencana penuh adalah cara yang terbaik untuk menemukan jika rencana akan benar-benar menarik perusahan melewati sebuah bencana.
MENCiENDALIKAN AKSESKEDATA Istilah "pengendalian akses" telah digunakan atau dinyatakan secara tidak langsung di sepanjang bab ini ketika dihubungkan dengan input, output, proses, database, dan teknologi. Karena itu, kita akhiri bab ini dengan sebuah presentasi dari PENGENDALIANAKSESaccess controls). Pengendalian akses adalah berdasarkan pada apa yang diketahui pemakai, apa yang dimiliki pemakai, dan siapa pemakainya.
Memperbolehkan Pengaksesan Berdasarkan pada Apa yang Diketahui Pemakai: Passwords Pemakai diperbolehkan untuk mengakses sumberdaya sistem informasi berdasarkan pada apa yang mereka ketahui. Password adalah sebuah kata yang unik yang diberikan kepada pemakai yang berwenang untuk memperoleh akses ke sistem. Password dapat dikombinasikan dengan sebuah nomor identifikasi pribadi (PIN; personal identification number). Teknik pengendalian akses seperti ini dipakai secara tradisional dan tersebar luas.
PERANCANGAN
PENGENDAUAN
SISTEM
257
Bentuk lain dari pengetahuan yang unik dapat digunakan untuk mengendalikan akses. Sebagai contoh, sebuah sistem mengkin bertanya, "Apa hobi yang disukai suami anda?" "Apa warna kesukaan istri anda?" Atau sistem mungkin menanyakan sebuah pertanyaan, seperti, "Apa ibukota California?"Jawaban yang "benar" mungkin adalah Cleveland. Pemakai harus diwajibkanuntuk memodifikasipassword mereka pada basis acak dan siklus jangka-pendek. Prosedur ini dapat diprogram ke dalam sistem sehingga ketika seorang pemakai yangbelum pernah mengubah passwordnya selama periode waktu pengaksesan sistem tertentu, perangkat-Iunak pengamanan tidak akan mengizinkan pemakai tersebut untuk meneruskan, atau log off (memutuskanhubungan/keluar dari sistem), sampai pemakai tersebut mengubah passwordnya. Mempebolehkan Pengaksesan Berdasarkanpad a Apa yang Dimiliki Pemakai: KartuPintar Pengendalian akses dipengaruhi oleh sebuah perangkat berukuran kartu-kredityang dipasangi cip komputer, kadang-kadang disebut sebagai.kartu pintar (smart card). untuk menggunakannnya, pemegang kartu memasukkan kartu mereka ke dalam sebuah terminal dan memasukkan nomor identifikasipribadi (PIN)mereka. Ketika PIN yang sah dimasukkan, kartu akan memeriksa programnya untuk melihat wewenang apa saja yang dimilikipemakai, laluhanya akan membukakan kuncifungsi yang berwenang. Jika pemakai yang tidak berwenang mencoba memalsukan PIN dan memasukkan nomor yang salah tiga kali berturut-turut, kartu akan membuat dirinya tidak dapat dipakai secara permanen dan harus diganti. Perangkat pengendalian akses berbasis-kepemilikanlainnya termasuk kunci untuk mengunci, lencana, dan kunci encryption.
Memperbolehkan Akses Berdasarkan pada Sifat Psikologis dan Tingkah-Iaku Pemakai Jika seorang pemakai mengetahui sesuatu, terdapat probabilitas yang cukup tinggi bahwa orang yang tidak berwenang dapat memperoleh pengetahuan yang sarna. Jika seorang pemakai memiliki sesuatu, itu dapat dicuri. Tetapi sulit dan tidak mungkin untuk mencuri sifat-sifat seseorang. Karena itu, merancang pengendalian akses berdasarkan pemakai berwenang yang mana yang memberikan pengendalian yang paling kuat dan dapat diandalkan.
258
PENGANTAR PERANCANGAN SISTEM INFORMASI
Secara teknis, istilah PENGENDAUAN BIOMETRIK (biometric controls) menggambarkan kendali-kendali tersebut berdasarkan pada siapa pemakainya. Mereka dibagi ke dalam sifat-sifat psikologis dan tingkah-Iaku, seperti yang digambarkan pada Gambar 5.13. .
Sifat-sifat psikologis termasuk berikut ini:
. .
Geometritangan Sidik/tandatangan retina
. .
Sidik jari
Beratbadan
Geometri tangan menggunakan ukuran dan rekaman, serta membandingkan panjang jari, kejemihan kulit, ketebalan tangan, atau bentuk telapak tangan. Biasanya digunakan untuk sistem akses fisik seperti penguncian pintu. Scan retina menggu-
Perangkat
pengenclalianakses biometrik
Psikologis
Geometri 1angan
Retina
Sidik jari
lingkah-Iaku
Berat baclan
Tancla1angan
a. \ . /1. fnfYl'tA
Gambar5.13 Tipe-tipedariperangkatpengendalianaksesbiometrik
Suara
Penekanan tombol
.
PERANCANGANPENGENDALIANSISTEM
259
nakan sebuah sumber cahaya berintensitas-rendah untuk men-scan bagian bundar dari retina. Sidik/tandatangan retina dari pemakai yang berwenang direkam dalam sebuah mikroprosesor. Biasanya, perangkat ini digunakan untuk pengendalian akses fisikdan aplikasipengaksesan data. Perangkat pengendalian sidikjari membuat pola dari sebuah sidik jari dengan mengukur dan men-digitasi ridges (sulur), loops (lingkaran),dan bifurcations (percabangan) yang unik dari sidik pemakai. Sidik jari dapat digunakan untuk pengendalian akses baik fisik maupun data. Sistem pengamanan juga dapat memasukkan perangkat yang dapat menimbang berat orang yang mencoba memperoleh entri dan lalu memeriksa berat tersebut pada sebuah file pengamanan. Perangkat ini mencegah pengekoran, yaitu orang lain yang mencoba masuk ke fasilitasbersama (mengekor)orang yang berwenang. Sifat-sifattingkah laku termasuk berikut ini: Verifikasikedinamisan tandatangan Pengenalan suara . Kedinamisan penekanan tombol
. .
Perangkat verifikasi kedinamisan dari tandatangan melacak tekanan clan kecepatan dari tandatangan pemakai, bukan keutamaan dari garis-garis lengkungnya. Mereka berkerja bagus untuk pengendalian akses baik fisik maupun data. Perangkat pengenalan suara mengambil kegunaan dari pola-pola dan perubahan nada suara untuk membuat template yang unik. Mereka digunakan terutama untuk pengendalian akses fisiko Kedinamisan penekanan tombol mengidentifikasikan individu-individu berdasarkan pola ketikan dan irama mereka. Perangk~t ini biasanya memantau kelompok-kelompok karakter seperti i-n-g, t-h-e, e-d, t-u-r-~ dan t-i-o-n. Kedinamisan penekanan tombol biasanya digunakan unutk pengendalian akses data di workstation. Perangkat biometrik dapat membuat frustrasi para pemakai. Kebanyakan dari perangkat tersebut berbuat kekeliruan pada sisi konservatisme, yang berarti bahwa pada suatu saat sistem bisa saja mencegah pemakai yang berwenang untuk mengakses sistem. Jika akses seorang pemakai yang berwenang ditolak, itu disebut sebuah alpha error atau kesalahan tipe 1. Penolakan ini jelas menjengkelkan pemakai. Tetapi kesalahan yang lebih serius dari sudut-pandang pengendalian ketat adalah sebuah beta error atau kesalahan tipe 2, dimana pemakai yang tidak berwenang diperbolehkan mengakses. Pada sistem yang membutuhkan pengamanan tingkat tinggi, tingkat alpha error yang lebih tinggi dari rata-rata dapat dimaafkan untuk menjamin bahwa beta error tidak terjadi.
260
PENGANTARPERANCANGANSISTEMINFORMASI
TINJAUANSASARANIELAJARUNTUKIAI INI Tujuan utama dari bab ini adalah memungkinkantiap mahasiswa untuk memperoleh tujuh sasaran belajar yang penting. Sekarang kita akan merangkum tanggapan-tanggapan terhadap sasaran belajar tersebut.
Sasaranbelaiar 1: Memberikan .sebuah tinjauan luas mengenaiancaman-ancaman masi.
terhadap sistem infor-
Sebuahsistempengendalianberusahauntukmelindungisisteminformasidari beraneka-ragamancaman,seperti: . Kesalahanmanusia . Perangkat-lunakyangmerusakdan merugikan . Penyingkapanoutputuntukpenangkapanyangtidaksah . Kegagalancatu-daya . Pencurian . Lingkunganyangbermusuhan . Kehilangandatabase . Berbagaibahayayangmerusak,sepertikebakaran,banjir,gempa bumi,dan topan.
Sasaranbelaiar 2:
Menjelaskan pengehdalian input dan mendemostrasikan bagairnana rnereka digunakan untuk menyaring kesalahan memasukkan data. Juga, merancang sebuah audit trail (pemeriksaan-jejak)untuk sebuah sistem real-time.
Tujuan dari pengendalian input adalah untuk menyaring kesalahan dan mencegah terjadinya pemasukan data yang tidak tepat, karena akan menghasilkan data yang tidak tepat pula (garbage in, garbage out; GIGO).Pengendalian input termasuk: . Pengkodean
PERANCANGAN PENGENDALIAN SISTEM
.
. . .
261
Validasi Identifikasi
Batch Audittrail
Penggunaan cek digit membantu memastikan bahwa yang diproses adalah kode yang tepat. Pengendalian validasi digunakan pada tiga tingkat:
. .
Field
Rekord
. File Tabel identifikasi memastikan bahwa yang sedang diproses adalah transaksi yang bisa dipercaya (bona fide). Pengendalian batch dirancang dan diimplememtasikan untuk memastikan bahwa semua dokumen sumber diproses. j tidak ada dokumen sumber yang diproses lebih dari sekali; dan ada pemeriksaan-jejak tercetak (hardcopy audit trail) dari input, melalui pengolahan, dan ke output akhir. Pemeriksaan-jejak untuk sebuah sistem batch dihasilkan dengan sebuah jejak dari dokumen-dokumen yang dihasilkan pada tiap tahapan dari input ke output terakhir. Tetapi, dalam sistem real-time, jejak dokumen seperti itu tida ada. Karena itu kita harus membuatnya dengan menyalin semua transaksi ke dalam log transaksi, biasanya sebuah tape file. Log transaksi ini melayani dua tujuan: 1 Menyediakan backup jika terjadi sebuah kecelakaan dalam pengolahan. 2 Menyediakan sebuah rekord transaksi yang lengkap yang dapat diproses dengan mudah oleh auditor. Kesalahan yang terjadi harus diperbaiki secepatnya dan harus dibuat sebuah rekord mengenai perbaikan tersebut. Sebuah tambahan yang juga penting, keistimewaan (feature) adalah sebuah profil atau pola dari tipe-tipe kesalahan yang terjadi. Berdasarkan pada pola kesalahan ini, tindakan balasan dapat dijalankan untuk mengurangi kesalahan seperti ini.
.-
- -- --
... -
Sasaran belaiar 3: Membahas perangkat-Iunak yang merusak dan menipu yaQg membahayakan komponen ..sistemdan menje1il$kan bagaim<}na mencegah perangkat",l!Jnak semacam ini memasuki sistem.
-----
---
- --
- ---
-----
262
PENGANTAR PERANCANGAN
SISTEM INFORMASI
Perangkat-Iunak yang merusak dan menipu mempunyai potensi melumpuhkan dan merusakkan sebuah perusahaan dengan melakukan perbuatan jahat atau pencurian kekayaan. Perangkat -Iunak seperti ini termasuk:
.
Salami technique
. .
Trojanhorse Logicbomb
. Worm . Virus
Semua perangkat-Iunak yang bertipe merusak dan menipu ini dapat dikendalikan dengan mengikuti SDLC dan prosedur pemrograman terstruktur, merancang sebuah sistem pengendalian yang kuat, dan melakukan pengujian perangkat-Iunak yang keras.
,I I
SasarCJD belaiar
4:
- ---
- -.~-~-
.-1 f
Menerapkan pengendalian output sistem real.time. dan.pengendalian output sistem I batch. - ---
Pengendalian output yang sangat-rahasia dan rahasia adalah penting sekali, baik itu dihasilkan dari sistem real-time atau sistem batch.Pengendalian output sistem realtime melibatkan tiga daerah kritikal: . Media transmisi
. Terminal .
Penyimpanan yang dapat dipindahkan seperti floppy disk
Encryption (yaitu, cryptography) adalah cara yang telah terbukti, praktis untuk melindungi transmisi telekomunikasi. Teknik-teknik encryption merubah bentuk data sedemikian rupa sehingga tidak berguna bagi calon penangkapnya. Dua metode cryptography yang mendominasi adalah Data Encryption Standard (DES) dan public key system. Informasi sensitif yang ditampilkan pada layar dapat juga di-scan oleh seorang pengintip. Untuk mencegah pengintipan seperti itu, terminal harus diletakkan di lokasi yang dilindungi dengan pengendalian akses yang kuat (mis., pengendalian
PERANCANGANPENGENDALIANSISTEM
263
biometrik). Juga, pemasangan penutup dan pengaturan posisi dari terminal yang jauh dari calon pengintip menambah sebuah derajat pengamanan. Terminal itu sendiri dapat diidentifikasi,diautentikasi,dan diotorisasiuntuk melakukantugas-tugas tertentu pada sebuah basis pengaksesan least-priviledge(yang diberi hak istimewa paling sedikit). Cara pokok untuk mencegah pengambilan (downloading)data dari database yang menggunakan media penyimpanan yang dapat dipindahkan (mis., disket)adalah memasang workstation tanpa-disk. Ouput yang dihasilkan secara batch'membutuhkan lebih banyak kendali intermediat daripada output yang dihasilkan secara real-time, karena tidak seperti output real-time, output batch mengalir melaluisejumlahbesar perantara sebelum mencapai pemakai-akhir..Pengendalian harus dibuat pada daerah-daerah berikut: . Oi mana dokumen, program, dan filedimuat. . Pada tahap pengolahan . Selama operasi spooling Oimana dokumen dicetak
.
. .
Pada titik dimana dokumen disiapkan untuk distribusi Selama transportasi
Setelah output diterima, output tersebut harus disimpan secara aman. Pada saat tanggal penahanan kadaluarsa, output harus dihancurkan atau dibakar.
Sasaranbelaiar S: Menyajikan pengendalian database.
Model pengamanan DB2 untuk database dari IBMadalah salah satu yang baik untuk emulasi. Ia mempunyai metode yang dirancang dengan baik untuk pembuatan tingkat kewenangan dan pemberian serta pencabutan hak-istimewadalam pengaksesan dan pewenangan. Oalam database modem yang memberikan akses kepada sejumlahbesar pemakai, persoalan mengenai dua atau lebih pemakai yang memperoleh akses ke data item yang sarna pada waktu bersamaan adalah lazim. Karena itu, pengendalian konkurensi yang efektif harus dibangun ke dalam DBMS untuk mengatasi konflikkonflikseperti ini dengan cara berurutan.
264
PENGANTAR PERANCANGAN
SISTEM INFORMASI
Metoda cryptographic dapat diterapkan untuk database yang sensitif. Seperti teknik-teknikencryption pada telekomunikasiyang mengacaukan data untuk mengacaukan calon penangkap dan lalu menyusun kembalidata tersebut untuk pemakaiakhir, teknik-teknik encryption meng-encrypt database untuk membuatnya tidak berguna sebagai penetrasi dan, dengan kunci yang tepat, men-decrypt data tersebut sehingga dapat dibaca oleh pemakai-akhir. Haruskah sebuah organisasi kehilangan database mereka, itu adalah resiko ekstrim dari kegagalan. Jelasnya, salah satu aspek yang paling penting dari pengendalian database adalah untuk merancang sistem backup yang tepat dan efisien. Grandfather-father-son filerecoveryplan adalah efektifdan efisienbagi file-filebat<1l. Untuk sistem real-time, tak terhitung jumlah prosedur yang tersedia untuk backup database secara online. Biasanya, prosedur backup memaasukkan sebuah kombinasi dumping rekord-rekord tertentu dari database dan me-logging transaksi terusmenerus pada lokasi produksi. Perusahaan-perusahaan lain menggunakan media telekomunikasiberkecepatan-tinggiuntuk mengirimkan baik database maupun transaksi ke lokasi yjauh yang aman. Yang lainnya menggunakan disk-mirroringtechniques.
Sasaranbelaiar6: Menyajikan pengendalian landasan teknologi, baik untl.lk mainframemal.lpun personal komputer (PC).
untuk
Pengendalian pusat data mainframe termasuk melokasikan pusat data sedekat mungkin ke lingkungan yang bebas-ancaman dan mendirikannya secara spesifik untuk pengolahan data komputer. Pengendalian tambahan termasuk:
. . . . .
.
Perangkatfiltrasi Pendinginudara Pemasokairtambahan Pelindungpancaran Sistempenekanankebakaran Uninterruptiblepowersupply(UPS)
PC juga membutuhkanberbagai pengendaliantambahan dan pengendalianlingkungan yang serupa dengan mainframe.
PERANCANGAN
PENGENDALIANSISTEM
265
Rencana pemulihan dari bencana adalah aspek kunci dari perancangan sebuah sistem pengendalian yang lengkap untuk landasan teknologi. Rencana persaingan dan rencana ketidaktentuan adalah dua sub rencana kritikaldari rencana pemulihan bencana. Rencana persaingan menjawab pertanyaan, "Bagaimana kita bisa yakin bahwa kita dapat melanjutkan pengolahan setelah terjadinya bencana?" Opsion backup kontinjensi yang utama adalah: . Fasilitasbackup milik-perusahaan . Perjanjian timbal-balik . Lokasi-panas . Lokasi-dingin . Pusat data bergerak Setelah rencana pemulihan dsri bencana dirancang dan diimplementasikan,rencana tersebut harus diperbarui untuk mencerminkan perubahan dalam organisasi dan diuji secara periodik untuk melihat apakah bekerja sesuai dengan yang diharapkan.
--
--------
--
-
--
- "'--
Sasaranbelaiar 7: Membahas pengendalian akses dan menjelaskan mengapa pengendalian biometrik adalah pengendalian yang paling efektif terhadap akses-----yang tidah sah.
Untuk tingkat yang besar, sebuah sistem pengendalian yang kuat bergantung pada pengendalian akses yang kuat untuk menjaga kekacauan yang dibuat para penembus. Pengendalian akses dapat didasarkan pada tiga metode umum: 1 Apa yang diketahui orang tersebut. 2 Apa yang dimilikiorang tersebut. 3 Siapa orang tersebut. Mendasari pengendalian akses pada sifat-sifatbiometrikdari seseorang memberikan pengendalian yang jauh lebih kuat. Sifat-sifatbiometriktermasuk berikut ini:
. .
Geometritangan Sidik/tandatangan retina
.
Sidikjari
.
Beratbadan
266
PENGANTAR PERANCANGAN
SISTEM INFORMASI
.
Kedinamisantandatangan
. .
pengenalansuara Kedinamisan penekanantombol
Perangkat pengendalian akses untuk membaca tiap-tiap sifat tersebut tersedia secar:a komersial untuk implementasi yang cepat dan mudah.
DAFTARPERIKSAPERANCANGAN PENGENDALIAN Berikut ini adalah daftar periksa tentang bagaimana untuk merancang pengendalian untuk melindungi sistem dari beraneka ragam ancaman. 1 Pasang sebuah sistem cek digit untuk kode dan nomor akun yang penting. 2 Kembangkan pemeriksaan field, rekord, dan file untuk memvalidasi data input. 3 Siapkan tabel identifikasidalam penyimpanan komputer untuk memeriksa dan memvalidasitransaksi yang sensitifatau kritikal. 4 Buat pengendalian batch yang memeriksa transaksi batch dari saat terjadi sampai diproses oleh sistem. 5 Buat peme~ksaan-jejak (audit trail) dengan menggunakan media penyimpanan komputer untuk merekam dan mencatat semua transaksi yang diproses oleh sistem. 6 Buat sebuah prosedur untuk mendamaikan semua kesalahan pengolahan. 7 Undungi sistem dari perangkat-lunak yang merusak dan menipu, seperti Salami technique, Trojan horse, logicbomb, worm, dan virus,dengan menggunakan prosedur-prosedur perancangan, pengkodean dan pengujian perangkat-Iunakyang tepat dan pengukuran anti-viral. 8 Pekerjakan teknik encryption, pengendalian terminal dan floppy disk, dan pengendalian batch untuk menjaga output yang snesitif. 9 Buat prosedur pewenangan database, pengendalian konkurensi, teknikteknik encryption, dan backup untuk menjaga database. 10 Pasang pusat data mainframe, sistem penekana kebakaran, uninterruptible power supplies, berbagai pengendalian PC, dan sebuah rencana pemulihan dari bencana untuk melindungilandasan teknologi sistem. 11 Implementasikan pengendalian akses pada basis apa yang diketahui orang, apa yang dimilikiorang tersebut, dan siapa orang tersebut secara psikologis
... --- - -- --- - -- - --
-
---
PERANCANGAN
PENGENDALIAN SISTEM
267
dan tingkah-Iakunya. Pengendalian akses yang paling kuat adalah berdasarkan siapa orangnya.
PERTANYAAN TINJAUAN 5.1 5.2 5.3 5.4 5.5 5.6 5.7
5.8
5.9 5.10 5.11 5.12
5.13 5.14
Buat daftar dan berikan sebuah contoh dari ancaman-ancamanyang menonjol terhadap sistem informasi. Ada tiga kategori pengendalian efektif. Sebutkan dan berikan sebuah contoh dari tiap kategori. Jelaskan dengan singkat sifat dari: cek field, cek rekord, dan cek file. Berikan sebuah contoh singkat dari tiap-tiap cek. Bedakan antara cek rentang dengan cek kelayakan. Mengapa cek kelayakan bukan merupakan sebuah cek tingkat-field? Jelaskan tujuan dari pengendalian validasiinput. Berikan sebuah contoh. Definisikandan jelaskan kegunaan dari total pengendalian. Berikan sebuah contoh sederhana dari ketiga tipenya. Definisikan dan jelaskan kegunaan dari log (catatan) transaksi. bagaimana log tersebut menyediakan pemeriksaan-jejak (audit trail) untuk sistem real-time? Mengapa penting sekali untuk merancang pengendalian ke dalam sistem informasi pada saat sistem tersebut dikembangkan, bukan setelah sistem informasi tersebut diimplementasikan? Buat daftar dan beri sebuah contoh dari tiap tipe perangkat-Iunakyang merusak dan menipu. Buat daftar dan jelaskan dengan singkat tiga pengukuran anti-viral. Mengapa sebuah sistem output batch biasanya membutuhkan lebih banyak kendalidibandingkan dengan sebuah sistem output real-time? Apa saja tiga daerah kriticaluntuk mengendalikan output dalam sebuah sistem real-time?Berikan sebuah contoh tentang bagaimana tiap daerah dikendalikan. Sebutkan dan definisikan dengan singkat dua teknik encryption yang menonjol. Jelaskan mengapa workstationtanpa-disk (diskless)sebuah keistimewaan pengendalian tambahan, khususnyayang berhubungan dengan pengendalian output. Juga, jelaskan bagaimana workstation tanpa-disk menjaga sistem informasidari virus.
268
PENGANTAR PERANCANGAN
5.15
Bagaimana penglihatan secara tidak sah dari output yang ditampilkan pada terminal online dapat dicegah? Gambarkan dengan singkat empat teknik yang dapat digunakan untuk mencegah penonton tidak sah atau operator dari membaca dengan teliti sebuah laporan selama proses pencetakan. Mengapa penting untuk tiap halaman dari laporan untuk mempunyai sebuah judul dan sebuah nomor halaman? Apa tujuan dari pencetakan sebuah label akhir-dari-Iaporansegera setelah entri terakhir pada laporan. Mengapa pita printer dan kertas karbon dapat mewakili persoalan pengendalian? Apa yang harus dilakukan terhadap item-item ini segera setelah digunakan? Apa yang hams dilakukan dengan laporan setelah tanggal penahanannya kadaluarsa? Jelaskan dengan singkat mengenai model pengamanan DB2 dari IBM. Jelaskan mengapa teknik-teknikencrYptiondapat digunakan dalam beberapa database.
5.16
5.17
5.18
5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33
SISTEM INFORMASI
.
Jelaskanbagaimanaperencanaanpemulihanfilegrandfather-father-son bekerja. Definisikan televaulting dan berikan sebuah contoh singkat. Bedakan disk-mirroringdengan televaulting. Apa tujuan dari hasil-hasilTEMPEST? Tentukan dan jelaskan dengan singkat tiga tipe dari UPS. Buat daftar dan berikan contoh-contoh dari empat pengendalian pc. Buat daftar dan definisikan dengan singkat empat subrencana dari sebuah rencana pemulihan bencana. Apa yang membedakan lokasi-panasdengan lokasi-dingin? Apa kerugian utama dari fasilitasbackup milik-perusahaan? Apa kerugian utama dari opsion kontinjensipersetujuan timbal-balik? Jelaskan bagaimana sebuah opsion kontinjensi pusat data bergerak bekerja? Jelaskan mengapa perlu untuk mengujirancana persaingan dan ketidaktentuan. Bedakan antara pengujian pasif dengan pengujian aktif. Gambarkan tiga metode yang digunakan untuk mengendalikan akses orang-orang, Metode pengendalian akses yang mana yang menyediakan pengendalian terkuat?
PERANCANGANPENGENDALIANSISTEM
5.34
269
Apa yang disebutalpha error atau kesalahantipe 1? Apa yang disebut beta error atau kesalahan tipe 2? Kesalahan seperti apa yang mungkin lebih dapat dimaafkan jika perusahaan mencari sebuah sistem pengendalian yang ketat? Jelaskan mengapa.
SOAL SPESIFIK BAB IMI Soal-soal ini membutuhkan jawaban eksak y'anglangsung didasarkan pada konsepkonsep dan teknik-teknikyang disampaikan dalam teks. 5.35 Hitung cek digit untuk diserahkan ke kode-kodeberikut:
5.36
Modulus
Bobot
85143
11
1-2-1-2-1
46624
10
6-5-4-3-2
67129
11
5-4-3-2-1
Transpos nomor dalam kode dan hitung kembali cek digitnya. Apakah cek digit tersebut sama dengan yang diberikan? Identifikasikan tipe-tipe perangkat-lunak yang merusak dan menipu berikut ini. 1 Dalam program piutang, ada sebuah modul yang mengumpulkan nama-nama pelanggan menurut kriteria penyeleksian. Programer yang menulis program ini menjualdata tersebut. 2 Sebuah segmen dari kode program yang dapat mereplika-diridisisipkan ke dalam sistem melalui sebuah disket demo milik seorang mekanik. 3
5.37
Kode
Sebuah modul menghitungjumlahperiodegaji melalaikansebuah
nomor pegawai 78492. Jika jumlah gaji yang luput lebih dari tiga, modul tersebut diprogram untuk menghapus master filegaji. Identifikasikan rencana komponen dari rencana pemulihan bencana yang berhubungan dengan situasiberikut ini. 1 Sebuah cara untuk menjaga agar bisnistetap berjalan. 2 Sebuah cara untuk berurusan dengan bencana ketika sedang terjadi
270
PENGANTAR PERANCANGAN SISTEM INFORMASI
3 4
Sebuah cara W1tukmenaikkan probabilitasbahwa sistem tidak akan menderita sebuah bencana. Sebuah cara untuk memperoleh kembali status sebelumnya dart sistem, atau untuk memperbaiki status, setelah terjadi sebuah bencana.
SOALUMUM Soal-soal ini lebih memerlukan suatu pendekatan yang masuk akal (feasible), daripada suatu penyelesaian yang tepat. Walaupun soal-soal tersebut didasarkan pada bahan dalam bab, bacaan ekstra dan kreativitasmungkindiperlukan untuk mengembangkan penyelesaian yang dapat dikerjakan. 5.38 Dengan menggunakan bahasa Inggristerstruktur, dan contoh anda, tulis pemyataan yang diperlukan untuk: Cek kelayakan {Reasonablecheck} Cek rentang (Range check) Digit pengecekan-sendiri (Self-checkingdigit) Cek fieldnumerik {Reidnumeric check} Sebagi contoh, sebuah pemyataan bahasa Inggris terstruktur untuk sebuah cek rentang adalah IF PAYROLL-AMOUNT IS GREATER THAN RANGE-AMOUNT, THEN PERFORM DISPLAY-ERROR-ROUTINE
5.39
data berikut ini muncul pada lembar waktu yang anda rancang untuk sebuah sistem penggajian: Field
Picture
Nomor pegawai
9(5)
Jam rutin
9(2)
Jam lembur
9(2)
Komisi
9(5)V99
Waktu sakit
9(2)
Waktu libur
9(2)
PERANCANGAN
5.40
5.41
5.42
PENGENDALIANSISTEM
271
Tugas: Cek validasi field dan input apa yang anda ajukan ke dalam program aplikasi penggajian? Buat suatu nilai parameter yang anda anggap perlu. Semua fielddalam panjang-tetap. Sebuah aplikasi penggajian sedang dikembangkan untuk Marvous Department Store. Beberapa fielddari rekord penggajian adalah: Nama pegawai Nomor pegawai Gaji kotor Potongan Gaji bersih Tingkat gaji Tugas: Buat daftar dan jelaskan pemeriksaan validasiinput yang anda anggap harus ditempelkan pada program penggajian. Sebagai contoh, apakah anda menyarankan sebuah hash total (nilai-pemeriksaankesalahan total)? Jika ya, field apa yang akan anda gunakan untuk menghitung hash total? Berikut ini adalah transaksi bisnis biasa yang diproses oleh sistem: Sebuah perusahaan penyediaan-sarana umum menyiapkan tagihan pemakaian sarana berdasarkan pada pembacaan meteran. Sebuah perusahaan asuransi mengolah aplikasi pemegang-polis untuk tunjangan persalinan. Sebuah perusahaan konstruksimenyiapkan cek upah mingguan. Sebuah toko buku universitasmemesan bukuteks untuk semester mendatang. Internal Revenue Service(IRS)mengolah keuntungan pajak pendapatan perorangan. Tugas: gambarkan cek kelayakanyang dapat diimplementasikandalam sebuah proses pengeditan terkomputerisasidari situasidi atas. Sebuah sistem berbasis-kelompokyang baru sedang dikembangkan untuk departemen personalia di Thor Enterprises. Firma tersebut mempekerjakan 2000 orang pada berbagai lokasi perkantoran dan konstruksi. Anda adalah seorang ahli pengendalian pada sebuah regu SWAT yang mengembangkan sistem tersebut. Anda menemukan dari analisa anda bahwa berbagai lokasi perkantoran dan konstruksi mengirimkan informasi perubahan status personil ke departemen personalia di kantor pusat. Dokumen sumber tentang perubahan status disiapkan setelah
_ .hn...____..__
272
PENGANTAR PERANCANGAN SISTEM INFORMASI
dokumentasi pendukung telah diperiksa. Batch dari dokumen sumber dikirimkanke pusat data untuk memperbarui master tape filepenggajian. Tugas: Perlihatkan bentuk sistem pengendalian batch untuk sistem baru tersebut. 5.43
Berikut ini adalah daftar skenario dimana kegiatan yang salah atau menipu berlangsung: 1 Pembayaran seorang pelanggan dilampirkan bersama pemberitahuan pembayarannya yang memperlihatkan $28.50, tetapi dimasukkan ke dalam sistem komputer sebagai 2850.00 2 Master file piutang dimuat secara tidak benar pada drive yang seharusnya menyimpan master file penggajian. Ketika program penggajian dijalankan, program tersebut merusak filepiutang. 3 Sebuah cek penggajian yang dikeluarkan untuk pekerja jam-jaman berdasarkan 98 jam dalam seminggu kerja, bukannya 40 jam. 4 Seorang salesperson bahan kimia memasukkan pesanan dari seorang pelanggan dari sebuah terminal portabel menggunakan sebuah nomor produk yang validtetapi tidak benar, sehingga menghasilkan pengiriman 16 drum pengkilap lantai, bukan insektisida. 5 Transaksi pelanggan dari sebuah bank dikodekan dengan sebuah nomor akun pelanggan yang salah dan tidak terdeteksi sampai pelanggan tersebut menerima laporan bulanan, yang tidak memperlihatkan transaksi tersebut. 6
5.44
Dalam mengolah cek-cek penggajian, komputer tiba-tiba mengabaikan empat dari seluruh 3052 cek yang seharusnya diproses. Kelalaianini tidak ditemukan sampai cek-cektersebut didistribusikan oleh tiap departemen. 7 Kebakaranmenghancurkanmasterfilepersediaan,dan harusdilakukan inventarisasilengkapuntukmenyiapkansebuah filepengganti. Tugas: Untuk tiap skenario, sarankan pengendalian yang dapat mencegah atau paling tidak mengurangi kemungkinan situasi tersebut terulang kembali. Baru-baru ini anda dipekerjakan untuk membantu Fourth National Bank dalam merancang sebuah sistem pengendalian untuk 900 terminal yang tersebar di seluruh 12 cabang bank dalam daerah metropolitan yang luas. Sebagian besar terminal tersebut adalah untuk teller, tetapi yang lain
PERANCANGAN
PENGENDALIANSISTEM
273
adalah untuk petugas peminjaman dan personil lain di seluruh operasi bank. Semua terminal ini, bahkan termasuk tiga buah di ruang perbekalan, dihubungkan ke sebuah hub pengolahan pusat yang ditempatkan di bangunan utama bank. Saat ini, system tersebut tidak menggunakan suatu pengendalian akses. Lebih jauh lagi, prosesor pusat tidak mempunyai car~ untuk mengidentifikasi dan membedakan terminalnya. Tugas: Rancang sebuah sistem pengendalian untuk terminal di Fourth National Bank. 5.45
Mark Tick adalah seorang auditor ekstemal yang telah diberi tugas untuk memeriksa pusat data di Nept Company. Memasuki ruang komputer, Mark melambaikan tangan ke satu-satunya penghuni, seorang operator mesin yang dengan tergesa-gesa melubangi kartu (punching up cards) dan memasukkannya ke dalam sebuah deck yang berlabel "Payroll Source Code." "Jelas sekali seorang pegawai yang sanag berharga," renung Mark. "Senang sekali melihat seseorang bersedia mementingkan usaha tambahan. " Mark menuangkan secangkir kopi, dan ketika ia mulai menghitung kas kedl, ia meletakkan cangkir kopinya di atas tumpukan disk pack setinggi 4 kaki dan berlapis debu. Melihat cangkir yang panas tersebut menyebabkan plastik penutup dari disk menjadi sedikit melengkung, ia menarik beberapa kartu dari deck yang berlabel "Daily Sales Update," yang tergeletak pada console untuk digunakan sebagai alas. Mark memperhatikan bahwa operator mesin itu, yang sedang menjalankan cek gaji yang tidak bemomor melalui penanda cek, sedang memisahkan karbon dari cek-cek tesebut. Mesin mendengung dengan halus, memberikan operator kesempatan untuk merokok dan berbicara tentang berapa banyak pembayaran yang diterima oleh berbagai wakil presiden, dengan dua pengantar-surat yang baru saja masuk. Mark terkesan atas perhatian sang operator mengenai kerapihan, yang ditampilkan oleh lembar console logyang dijalankannya melalui mesin penghancur segera setelah ia menyelesaikan pengolahan penggajian. Mark memberi sebuah senyum menghargai dari operator tersebut pada saat ia bercanda, " Tidak seorangpun yang dapat membuat sesuatu dari uraian yang berbelit-belit yang baru saja dicetak mesin ketik, jadi lebih baik dihancurkan saja daripada kita terkubur di
bawahnya. "
274
PENGANTAR PERANCANGAN SISTEM INFORMASI
Mark memandang sekilas ke papan buletin dan segera mendapat petunjuk bahwa seberapa baik manajer pusat data dalam mengorganisir data dan menunjukkan bahwa ia bukan orang bOOoh.Dua tanda yang paling mengesankan baginya terbaca: Ini adalah operasi pengolahan data, bukan pelayanan pengiriman. Semua output untuk minggu ini akan ditempatkan pada meja besar di kafetaria sebelum jam $ sore tiap Jumat. Silahkan ambil sendiri. Untuk melancarkan pengolahan dan mengurangi pembolak-balikan kertas yang tidak perlu, semua dokumen yang ditolak oleh komputer karena pengendalian yang tidak seimbang atau data yang invalid akan segera dikoreksi dan dimasukkan kembali oleh operator mesin.
Manajer pusat data datang dan memperkenalkan diri ke Mark. Ia meminta maaf karena cukup lama meninggalkan mark. Ia menjelaskan bahwa ia mendapatkan kesulitan untuk menemukan sebuah penyemprot kebun yang cukup panjang untuk mencapai pusat data melalui sebuah lubang di partisi kayu yang memisahkannya dari ruang pembakaran yang berdampingan.
"Ide yang bagus," Mark berkata menyetujui. " jauh lebih murah daripada membeli alat pemadam kebakaran untuk pusat data. "
5.46
"Well, bagaimana kelihatannya tempat ini ?" tanya manajer, sedikit berkeringat di ruang sepanas 90-derajat. "Bagus!" kata Mark, "Hanya akan ada satu item dalam laporan saya. Ada masalah serius mengenai kekurangan sebesar 23-sen yang tidak dapat diterangkan dalam dana kas kedl $5 anda." Tugas: Tulis sebuah kritik yang lengkap mengenai pemeriksaan Mark. Spesialisasi anda adalah merancang dan menguji rencana pemulihan bencana untuk bank komersial yang besar. Anda telah dipekerjakan oleh dewan direksi dari Firts Interstate Bank untuk meninjau rencana pemulihan bencana mereka. Lawrence Kleinrock, orang yang bertanggungjawab atas pemasangan rencana pemulihan bencana pada saat ini, telah menjawaban "ya" untuk setiap pertanyaan pada kuestioner tinjauan anda. Sebagai contoh, Lawrence menunjukkan bahwa persetujuan timbal-balik telah ditandatangani antara First Interstate dengan Stateside Bank, dan sistem mereka tersedia dalam waktu pendek untuk digunakan First Interstate. Juga ditunjukkan dari jawabannya bahwa semua individu siap siaga dari berbagai prosedur ketidaktentuan; bahwa prosedur
PERANCANGAN
PENGENDALIANSISTEM
275
darurat terpasang untuk pembuatan kembali file-filedan item-item kritikal lainnya yang hilang; bahwa prosedur darurat didirikan untuk kebakaran, sabotase, kegagalan tenaga, dan bencana alam; dan bahwa latihan keadaan darurat dilakukansecara periodik. Tugas: Siapkan sebuah laporan untuk dewan direksi pada First Interstate tentang apa yang anda akan lakukan mengenai pengujian rencana pemulihan bencana yang dikembangkan oleh Lawrence Kleinrock.
BACAAN YANCi DISARANKAN Beamguard, Bud. "Disaster Palnning." Interact, January 1991. Brill, Alan E. "Computer Fraud: What you Can Do to Prevent It." Computers in Accounting, June 1988. Brown, Bob. "Disaster Recovery Company links Backup Sites Into Net." Network World, January 19, 1990. Burch, john G. "Disaster Recovery Plan: A Moral and proffesional Responsibility." Internal Auditor, June 1989. Chalmers, Leslie. "Fighting the Common virues." Journal of Accounting and fOP, Spring 1990. Fiderio, Janet. "Voice, Finger, and retina Scans: Can Biometrics Secure Your Shop?" Computerworld, February 15, 1998. Flach, Joseph P. "Increasing programming While Preventing the 'F' Word." DP&CS, Fall 1987. Francis, Bob. "A Secure Future for Diskless Workstations." Datamation, November 15, 1990. Gondek, Chris. "Establishing Information Security." Management Accounting, April 1989. Graggs, Tuseda A. "Foreign Virus Strains Emerge as Latest Threat to U.s. PCs." Infoworld, February 4, 1991. Hirsch, Steven A. "Disaster! Could Your Company Recover?" Management Accounting, March 1990. Hunter, John. "Savvy Users Can Fight Threat of Viral Infection." Network World, July 17, 1989.
Johnson, Paul D. "MarkTick'sdata Center Audit."fDPACS,June 1974. Joseph, Gilbert W. "Computer Virus Recovery Planning ing and fOP, Spring 1990.
-
An Auditor's Concerns." Journal of Account-
Korzeniowski, Paul. "How to Avoid Disaster with a Recovery Plan." Software Magazine, February 1990. Maher, John J., and James O. Hicks. "Computer Viruses: Controller's Nightmare." Management Accounting, Odober 1989. Moad, Jeff. "Disaster-Proof Your data." Datamation, november 1, 1990. Perdue, lewis. "Blanket Security." PC World, February 1989. Perry, William E. "Recognizing and Controlling Computer Viruses." Journal of Accounting and fOP, Summer 1989.
276
PENGANTAR PERANCANGAN
--.- - -
-
SISTEM INFORMASI
... - -- ...-
---
- ......--
- -- -- -
KASUS JOCS: Merancang Pengendalian "Tetapi tidak seorangpun yang akan menggunakan sistem jika kita membuatnya terlalu rumit!" tegas Christine Meyer, salah satu anggota regu SWAT untuk sistem penetapan biaya pesanan-pekerjaan (job-order costing system; JOCS) yang sedang dibangun di Peerless, Inc. la melanjutkan argumentasinya dengan mengatakan, "Saya berpengalaman sepuluh tahun dalam sistem informasi, dan saya pikir perluasan pengendalian yang sedang kita bahas benar-benar menggelikan. Apa gunanya membuat semua pengendalian ini untuk sebuah sistem yang tidak akan dipakai orang?" "Christine, sistem ini berisi data pemanufakturan yang sensitif. Kita tidak ingin para pesaing kita mempelajari proses produksi kita," kata Carla Mills, anggota lain dari regu SWAT. "Saya telah bekerja di akunting selama tiga tahun, dan kita memiliki pengendalian yang lebih ketat dari ini. Saya pikir kamu agak berlebihan." Corey Basset mencoba untuk menemukan kompromi diantara dua posisi. "Saya rasa Christine ada benarnya. Jika kita membuatnya terlalu sulit bagi pemakai-akhir untuk mengakses sistem, tidak ada yang akan mencoba untuk log-on (memasuki sistem melalui serangkaian proses identifikasi difi) sekalipun. jika kita membuat pengenda1ian terlalu longgar, kita tidak akan mempunyai kepercayaan mengenai kebenaran data kita. Mari kita bahas tiap pengendaliansecara individual." Tom Pearson, pendorong argumentasi ini, memperjelas posisinya dengan menyatakan, " Jake meminta saya untuk melakukan rancangan pendahuluan dari pengendalian sistem. lalu saya buat daftar daerah-daerah pengendalian yang penting dan menggambarkan secara garis besar apa yang saya anggap perlu untuk membuat sistem yang aman. Apa yang salah dari pengendalian ini?" Regu SWAT membuat pertemuan perancangan dan melihat ke lembar kerja pengendalian yang dibuat oleh Tom Pearson. lembar kerja yang diperlihatkan 5.14, hanya berisi Halaman Pertama dan Kedua dari sebuah dokumen empat-halaman. lembar kerja ini tidak berisi pengendalian landasan teknologi dan rencana pemulihan dari bencana yang juga dirancang oleh Tom. "Saya pikir pengendalian akses tidak diperlukan," kata Christine. "Kita bukan CIA yang melindungi keamana nasional atau semacamnya. Inikan cuma sebuah sistem pemanufakturan yang dibuat untuk membantu menelusuri biaya." "Kita mempunyai para pelanggan dan pesaing yang berkeluyuran disekeliling gedung kita." kata Tom, "Manajemen telah memutuskan bahwa gedung ini tetap terbuka. Seseorang dapat saja berjalan ke workstation dan mengakses database. Kita harus mencegah orang-orang untuk melihat data kita." "Apa salahnya jika menggunakan sistem password?" tanya Carla. "Saya menggunakan password pada sistem di kampus."
-
---
PERANCANGANPENGENDALIANSISTEM
PENGENDALIAN INPUT Validasi Data OM (Computer-Integrated
Manufacturing)
:
Validasikan nomor pekerjaan, nomor bagian, nomor operasi, dan nomor pekerja. Harus dipertimbangkan mengenai penggunaan cek digit untuk tiap nomor pengenal yang kritikal ini. 2
lakukan cek rentang yang valid pad a kuantitas bahan yang diberikan ke tiap operasi untuk pekerjaan tertentu. Buat sebuah laporan eksepsi untuk suatu kuantitas yang terletak di luar rentang yang valid untuk umpan-balik secepatnya ke penyelia produksi.
3
lakukan validasi untuk total bahan yang diberikan ke suatu pekerjaan. Buat sebuah laporan eksepsi dan hubungi manajer produksi mengenai suatu ketidaksesuaian.
4
lakukan pemeriksaan rentang terhadap jam yang dikeluarkan tiap operasi untuk suatu pekerjaan.
5
Validasikan total jumlah jam kerja dari tiap pegawai pad a tiap akhir hari.
Validasi Data Input Manusia secara Online: lakukan pemeriksaan alfabetik dan numerik pada data. 2
Periksa data saat ini.
3
Buat program input ke dalam field-field yang relevan seperrti tanggal, filed-filed logik, dan nomor kendali batch.
4
Validasikan nomor pelanggan setelah input.
Pengendalian pemeriksaan-jejak: Catat setiap transaksi manusia. 2
Catat tiap transaksi yang diterapkan dari sistem ClM - dapat dipertimbangkan melakukan batch transaksi dari CIM dan menerapkan nya pada waktu tertentu pada hari itu.
3
Dump semua data pad a akhir hari itu.
Gambar 5.14
Rancangan awal dari pengendalian untukJOCS.
277
278
PENGANTAR PERANCANGAN
SISTEM INFORMASI
PENGENDALIAN PROSES DAN PENGENDALIAN OUTPUT PERTANYAAN YANG AKAN DlJAWAB PDA SAAT INI
-
Apakah kita akan menggunakan sistem operasi dengan jaringan? 2
Periksa antarmuka antara minikomputer departeman teknik dengan sistem JOCS yang baru. Apakah kedua sistem ini dapat berkomunikasi?
3
Jika JOCs akan dihubungkan dengan minikomputer teknik, apakah minikomputer teknik berhubungan dengan dunia luar melalui Internet?
4
Apakah kita memperbolehkan pihak luar berkomunikasi dengan sistem kita?
5
Apakah kita menginginkan pemakai berkomunikasi dengan dunia luar melalui sistem kita?
6
Apakah kita akan menghubungkan JOCS dengan sistem akunting?
7
Apakah sistem akunting berhubungan dengan dunia luar?
PENGENDALIAN DATABASE Beli sebuah sistem manajemen database (database management system; DBMS) baik dengan pengunci tingkat field atau tingkat rekorduntuk pengendalian konkiurensi. 3
Simpan data dump dari granfather-father-son pada fasilitas penyimpanan yang berada di luar lokasi.
PENGENDALIAN AKSES Dapatkan akses biometrik untuk semua interaksi manusia secara online dengan workstaion komputer JOCS. 2
Beli perangkat pengenalan sidik-jari untuk tiap workstation komputer.
Gambar 5.14
Lanjutan.
PERANCANGAN
PENGENDALIANSISTEM
"Saya juga." kata Cory. "Masalahnya adalah semua orang selalu menulis password mereka dan orang-orang membacanya dan masuk ke dalam sistem. Kadang-kadang orang akan memilih password yang sangat mudah sehingga orang lain dapat menebaknya. Kita akan mendapat banyak masalah keamanan." "Ini bukan kampus. Kita dapat membuat para pemakai kita mengerti tentang pentingnya sebuah sistem yang aman. Saya setuju dengan sistem password," kata Christine. "Kita dapat memastikan bahwa sistem operasi kita menyimpan password dalam sebuah format yang di-encrypt. Bahkan saya akan membuat para pemakai kita untukmengubah password mereka tiap minggu. Saya bahkan akan melakukan lebih jauhlagi untuk menganjurkan mereka menggunakan password yang bukan berupakata sebenarnya sehingga seseorang tidak dapat menulis sebuah program kamus untuk membandingkan password yang diencrypt tersebut dengan semua kata yang ada di kamus. Tetapi coba untuk berpikir bijaksana mengenai keamanan dan pengendalian." jake ikut campur pada tahap ini danherkata, "Tom hanya mengikuti instruksi-instruksi say~ untuk membuat jOCS aman. Tetapi anda benar Christine. Pemakai kita akan merasa terintimidasi mengenai akses yang dikendalikan sidik...jari.Mari gunakan sistem password yang ter-encrypt untuk pengendalian akses. Sekarang, apa pendapat anda mengenai pengendalian input yang telah diidentifikasi Tom?" "Kelihatannya sesuai sasaran." Kita mempunyai persoalan dalam akul1ting del1gan data CIM, dan kendali-kendali ini akan mencegah persoalan mendatang." "Saya setuju dengan semua pengendalianinput kecuali cek digit," kata Chri~tine. "Cek digit akan menghasilkan dua persoalan bagi kita. Pertama, kita haru~ mengubah semua nomor pekerjaan, operasi, clan pegawai kita. ftu berarti semua sistem yang dipakai saat ini yang menggunakan .nomor-nomor tersebut harus dimodifikas.L Kedua, cek digit ban yak menyita waktu pengolahankomputer. Itu mungkin akan memperlambat waktu tanggap kecuali kalau kitamembeli komputer yang cukup kuat." "Ayolah Christine," kata Tom. "Yang dibutuhkan oleh cek digit paling hanya beberapa penghitungan. Sebuah komputer biasa dapat melakukannya dalam beberapa mikrosekon." "Christine juga benar mengenai perubahan semua sistem yang lain." kata Carla bijaksana. "Saya lupa mengenai sistem akunting kita saat ini. Jika kita mengubah semua nomor-nomor itu, semua sistem yang lain harus diubah juga, atau kita akan bekerja dengan nomor-nomor yang tidak kompatibel. Saya pikir kita harus memeriksakannya ke departemen lain sebelum kita melaksanakan ide kita." "Baiklah, jadi kita tunda cek digit dan membahasnya di pertemuan berikutnya," kata jake. " Tampaknya kita juga harus mengadakan pertemuan untuk membahas pengendalian proses. JOCS tidak dirancang di ruang hampa. JOCs harus dihubungkan dengan OM, mikrokomputer di departemen teknik, dan bahkan mungkin .dengan
279
280
PENGANTAR PERANCANGAN
SISTEM INFORMASI
sistem akunting saat ini. Kita harus mengadakan pertemuan lain untuk membicarakan tentang pengendalian yang diperlukan untuk semua komputer tersebut. Tom, tolong gambarkan dua buah diagram yang memperlihatkan semua koneksi potensial yang dapat kita.pakai untuk semua komputer tersebut. Kita akan bertemu besok pagi menentukan antarmuka komputer yang terbaik untuk JOCS. lalu saya akan atur pertemuan dengan kelompok lain untuk membicarakan tentang pengendalian proses dan output. Yang lain dapat melanjutkan tugas perancangan masing-masing." "Paling tidak kalian setuju kao denganpengendalian database?" keluh Tom. ''Va, kelihatannya bagus!" setuju seluruh regu SWAT yang lain. "Tetapi saya ingin bicara mengenai rencana pemulihan bencanamu/' kata Christine. " Kamu tahu, kemungkinan terjadinya topan tornado di sini luarbiasa rendah, dan anda telah menyiapkan untuk hampir segala macam bencana alam ". "Christine," Jake menginterupsi, "mari kita simpan diskusi ini dsampai kita putuskan mengenai antarmukan sistem yang potensiaL Pertemuan kita berikutnya akan berpengaruh terhadap rencana pemulihan bencana juga. Kenapa sih tidak ada yang setuju mengenai perluasan pengendalian komputer?"
Steinberg, Steve. "A Student's View of Cryptography in Computer Science." Communications of the ACM, Vol. 34, No.2, February 1991 . Weber, Ron. fOP Auditing Conceptual Foundations and Practice, 2nd ed. New York: McGraw-Hili, 1988. Winship, Sally. "Disk-Mirroring Product Offer true Fault tolerance." PC Week, February 4, 1991. Zajac, Bernard P., Jr. "Disaster Recovery." Interact, February 1990.