study kasus 2 Sistem Informasi Akuntansi

Study Kasus 2 (Comway Corporation)

Analisa Permasalahan

·         Manajer penjualan menggunakan ISP lokal untuk terhubung dengan internet dan memasukkan informasi pesanan dan menggunakan klien web-browser untuk memasukkan informasi ke dalam web server yang dikhususkan untuk merekam pesanan

·         Klaim dari Toko Sepatu Brown bahwa pesanannya senilai $6,000 tidak pernah diterima

·         Cek ulang file pesanan oleh controller Sandra Hill bahwa pesanan dikirim ke lokasi beberapa blok dari Toko Brown.

·         Manajer penjualan kemudian mencetak pesanan yang direkam dalam layar computer segera setelah order direkam, hasil cetakan menunjukkan alamat pengiriman telah benar yakni ke Toko Brown.

·         Sandra Hill mengecek log akses ke web server yang merekam order dari manajer penjualan. Tidak ada yang mencurigakan, semua sesuai dengan seharusnya dan semua manajer menggunakan password yang benar pada saat mengakses web server.

Hasil analisa kemungkinan penyebab masalah

·         Penggunaan ISP lokal untuk terhubung dengan internet untuk mengelola pesanan memungkinkan system informasi perusahaan terkena modification attack oleh insider/outsider attack. Modification attack merupakan salah satu jenis serangan ke system informasi perusahaan untuk memodifikasi/merubah informasi untuk memperoleh keuntungan dari berubahnya informasi. Hal ini yang menyebabkan ketidakakuratan informasi pesanan sehingga pengiriman barang salah alamat. Barang yang seharusnya dikirim ke Toko Brown justru dikirim ke tempat yang berbeda.

·         File pesanan yang kemudian dicek ulang oleh Sandra Hill menunjukkan perbedaan dengan cetakan pesanan yang oleh manajer penjualan. Hal ini kemungkinan terjadi karena perbedaan waktu dalam mengakses file pesanan tersebut. Manajer penjualan yang langsung mencetak order pesanan segera setelah pesanan direkam melalui klien web server menunjukkan alamat pengiriman yang seharusnya, yakni ke toko brown. Berbeda dengan file pesanan yang ditemukan oleh Sandra Hill yang menunjukkan alamat yang tidak sesuai dengan yang seharusnya namun itulah yang terjadi. Sehingga ada kemungkinan tenggat perbedaan waktu itulah saat terjadinya modifikasi, tentunya sebelum barang dikirim / departemen pengolah data belum mencetak dokumen-dokumen terkait pengelolaan pesanan. 

·         Jika itu yang terjadi, maka kita bisa memetakan arus pengelolaan order pesanan yang menunjukkan bagaimana system ini menjadi bermasalah.

·         Skema di atas menunjukkan bagaimana system pengelolaan persediaan perusahaan secara umum yang kami asumsikan juga diterapkan oleh Comway Corporation. Pelanggan (toko brown) melakukan pesanan senilai $6,000 kepada perusahaan melalui departemen penjualan (manajer penjualan).

·         Secara kontekstual study kasus ini, departemen penjualan akan memasukkan informasi pesanan menggunakan klien web-server agar mudah diakses oleh departemen lain yang membutuhkan yang dalam hal ini departemen pengolahan data. Di sinilah ruang yang kami curigai terdapat masalah. 

·         Meskipun untuk mengakses web-server ini menggunakan system keamanan yang secara eksplisit dikatakan dengan penggunaan password, bukan berarti system keamanan ini tidak bisa ditembus. Dengan skill, pengetahuan, teknik dan penggunaan perangkat lunak dank keras atau dengan cara tertentu, penyerang bisa saja memperoleh akses web privat perusahaan (access attack) kemudian melakukan modifikasi atau mengacak-acak isi web perusahaan (modification attack).

·         Informasi pesanan yang diakses dari web pribadi, departemen pengolahan data akan meng-entry untuk kemudian dilakukan pemerosesan transaksi yang akan menghasilkan order penjualan. Dokumen ini akan dibuat dan dicetak rangkap empat (4) dan akan didistribusikan ke fungsi penagihan, pelanggan, fungsi penerimaan dan yang terakhir disimpan sebagai arsip oleh departemen pengolah data.

·         Dokumen (order penjualan) yang dikirim ke fungsi penerimaan akan menjadi bagian dari tiket pengambilan barang untuk memperoleh dokumen surat muat barang dan seterusnya hingga barang dikirim ke pemesan/pelanggan sesuai dengan alamat yang ada pada order penjualan.

·         Sementara, mengingat data pesanan yang diakses oleh departemen pengolah data sudah dimodifikasi di web pribadi perusahaan. Sehingga ketidakberesan bisa dikatakan dimulai dari akses informasi pesanan oleh departemen pengolahan data. Al-hasil, pesanan tidak sampai pada yang seharusnya.

·         Hal ini dapat terlihat dari perbedaan file pesanan (dihasilkan oleh departemen pengolahan data) yang ditemukan oleh controller dengan order pesanan (dikelola dan dicetak oleh manajer penjualan). Sebab file pesanan merupakan informasi yang sudah dimodifikasi sedangkan order pesanan merupakan informasi asli, belum dirubah karena langsung dicetak segera setelah order direkam.

·         Terkait dengan pemeriksaan log yang tidak mengindikasikan adanya sesuatu yang salah, kami pikir hal ini terkait dengan bagaimana penyerang bisa mengakses web perusahaan, apakah dengan mencuri password atau teknik tertentu hingga lognya tidak terdeteksi yang bisa jadi karena lemahnya system keamanan dari pengelolaan web perusahaan.

Informasi tambahan yang dibutuhkan   

·         Akses informasi tentang pesanan lain dengan kasus yang sama untuk memastikan kesamaan penyebab terjadinya klaim.

·         Informasi tentang produk system keamanan informasi terbaru untuk kemudian dibandingkan dengan system keamanan yang dimiliki untuk memastikan layak tidaknya system keamanan masih dipakai atau harus di-upgrade.

·         Tanggapan dari departemen PDE (system informasi) meliputi analis system, programmer, dan operator pemasuk data untuk mengetahui apakah system saat ini sedang berjalan dengan baik atau mengalami gangguan.

·         Hasil audit internal terhadap system informasi, khususnya dalam hal penggunaan web untuk mengelola order pesanan.

Tambahan system keamanan yang diperlukan

1. JARINGAN Metode Virtual Private Network (VPN)
2.  DATA

Penggunaan teknologi kriptografi, enkripsi

Ø  mengatasi masalah privacy, integrity, authentication, non-repudiation, access control (kecuali availability)

Ø  mengubah data menjadi sulit dibaca oleh orang yang tidak berhak

Ø  private key vs public key systemPenggunaan kunci publik (public key)

Ø  RSA, RSA di bidang kriptografi adalah sebuah algoritma pada enkripsi public key. RSA merupakan algoritma pertama yang cocok untuk digital signature seperti halnya ekripsi, dan salah satu yang paling maju dalam bidang kriptografi public key.

3. WEBSITE

·         Penggunaan sertifikat SSL

SSL atau Secure Sockets Layer adalah sebuah protokol keamanan data yang digunakan untuk menjaga pengiriman data web server dan pengguna situs web tersebut  SSL memastikan data transaksi yang terjadi secara online di enkripsi/acak

·         IDS

(Intrusion Detection Sytems). IDS dapat berupa piranti keras atau piranti lunak, kegunaan dari piranti IDS adalah untuk mengetahui jika terjadi suatu penyusupan atau data yang bersifat berbahaya pada sebuah jaringan. Tentu saja hal tersebut dapat dilakukan oleh seorang admin jaringan namun dengan adanya aplikasi IDS, akan membantu kerja dari seorang admin, karena aliran data dalam sebuah jaringan berlangsung selama 24 jam

·         One Time Pasword. Penggunaan password yang hanya dapat dipakai sebanyak satu kali. Biasanya password angka digital yang merandom angka setiap kali transaksi.

·         Konsultan keamanan. Konsultan, organisasi, dan institusi yang bergerak di bidang keamanan dapat membantu meningkatkan dan menjaga keamanan. Contoh organisasi yang bergerak di bidang ini adalah IDCERT.

Tweet