Pengendalian Aplikasi

Pengendalian Aplikasi (Application Controls)

Menurut Weber (1999, p365), pengendalian aplikasi bertujuan untuk memastikan bahwa setiap aset sistem aplikasi dijaga, menjaga integritas data, serta mencapai tujuan dengan efektif dan efisien.

Menurut Weber (1999, pp365-366), pengendalian aplikasi terdiri dari :

1. Boundary Controls

2. Input Controls

3. Communiation Controls

4. Processing Controls

5. Database Controls

6. Output Controls

Pada pengendalian aplikasi tidak semua pengendalian akan dibahas,   yang   dibahas   hanya   pengendalian   batasan   (boundary (output control).

Pengendalian Batasan

Menurut Weber (1999, p370), subsistem batasan menentukan hubungan antara pengguna dengan sistem informasi. Terdapat tiga tujuan pengendalian batasan, yaitu : a.  Memastikan identitas dan otentifikasi pengguna sistem.

b.  Memastikan identitas dan otentifikasi sumber daya yang digunakan pengguna.

c.  Membatasi tindakan pengguna dalam penggunaan sistem informasi.

Menurut Weber (1999, pp371-405), terdapat enam pengendalian pada pengendalian batasan, yaitu :

1.   Pengendalian Cryptographic (Cryptographic Control) Pengendalian  cryptographic  dibuat  untuk  melindungi kerahasiaan data dan untuk mencegah modifikasi data yang  tidak  berwenang.  Hal  di  atas  dapat  dilakukan dengan  cara  mengubah  data  (cleartext)  menjadi  kode (cryptograms atau chipertext) agar tidak memiliki arti bagi orang yang tidak dapat menguraikannya. Terdapat tiga teknik encipherment, yaitu :

a.   Transposition Chipers posisi karakter data.

b.   Substitution Chiphers

Substitution chiphers tetap mempertahakan posisi karakter yang ada tetapi menyembunyikan identitas karakter dengan cara menukarnya dengan karakter lain sesuai dengan aturan tertentu.

c.   Product Chipers

Product chipers menggunakan kombinasi antara metode transposisi dan substitusi.

2.   Pengendalian Akses (Access Control)

Pengendalian akses membatasi penggunaan sistem informasi hanya kepada pengguna yang berwenang, membatasi  tindakan  yang  dapat  dilakukan  pengguna, dan   memastikan   bahwa   pengguna   hanya   mendapat sistem komputer yang asli.

a.   Identifikasi   dan   Otentifikasi   (Identification   and Authentication)

Pengguna mengidentifikasi dirinya sendiri pada mekanisme pengendalian akses dengan cara memberikan informasi seperti nama atau nomor account. Informasi identifikasi ini membuat mekanisme dapat memilih file yang otentik bagi pengguna.  Pengguna  dapat  menggunakan  tiga  tipe otentifikasi, yaitu informasi yang dapat diingat (seperti nama, ulang tahun, password), objek berwujud (seperti kartu plastik, kunci), dan karakter pribadi (seperti sidik jari, suara, ukuran tangan, tanda tangan, pola retina mata).

b.   Object Resources

Digunakan pengguna pada sistem informasi berbasis komputer  dapat  diklasifikasikan  ke  dalam  empat tipe, yaitu perangkat keras (contohnya terminal, printer, prosesor), perangkat lunak (contohnya program  sistem  aplikasi),  komoditi  (contohnya tempat penyimpanan), serta data (contohnya file, gambar,  suara).  Setiap  sumber  daya  harus  diberi nama agar dapat teridentifikasi.

c.   Hak istimewa (Action Privileges)

Hak istimewa memberikan pengguna suatu hak yang tergantung  tingkat  otoritas  dan  tipe  sumber  daya yang diperlukan pengguna.

d.   Kebijakan   Pengendalian   Akses   (Access   Control Policies)

Terdapat dua tipe kebijakan, yaitu :

1)   Discretionary Access Control. Kebijakan ini membebaskan penggunanya menentukan mekanisme  pengendalian  akses,  dan  pengguna dapat memilih untuk membagikan file pengguna kepada pengguna lain atau tidak.

2)      Mandatory Access Control. Pada kebijakan ini pengguna dan sumber daya diberikan kategori keamanan yang tetap.

3)      Personal Identification Numbers (PIN). PIN merupakan teknik yang digunakan untuk mengotentifikasi pengguna. PIN harus terjaga kerahasiaannya. Terdapat sembilan fase pada daur hidup PIN, yaitu :

Pembuatan PIN (PIN generation) Terdapat tiga cara pembuatan PIN, yaitu :

1)      Derived PIN, yaitu institusi membuat PIN berdasarkan        nomor   account   pengguna   atau identitas pengguna lainnya.

2)      Random  PIN,  yaitu  institusi  membuat  nomor acak dengan panjang yang tetap sebagai PIN.

3)      Customer-selected PIN, yaitu pengguna dapat memilih PIN mereka sendiri.

Penerbitan dan Pengiriman PIN (PIN Issuance and Delivery) Metode penerbitan dan pengiriman PIN tergantung pada metode pembuatan PIN. Jika institusi yang membuat  PIN  (metode  derived  PIN  dan  random PIN) maka digunakan PIN mailer. Tetapi terdapat empat cara jika pengguna yang memilih PIN mereka sendiri (customer-selected PIN), yaitu :

1)     Mail solicitation, yaitu mengirim PIN melalui surat.

2)  Telephone solicitation, yaitu pengguna memilih PIN melalui telepon setelah mendapatkan PIN mailer.

3)   PIN entry via a secure terminal, yaitu pengguna datang ke institusi untuk mengisi PIN pada terminal yang tersedia.

4)      PIN entry at the issuer’s facility, yaitu pengguna memilih PIN pada saat membuka account.