SISTEM INFORMASI PAYROLL
A. Pendahuluan
Sistem Informasi payroll dapat digunakan untuk menstandarisasi cara perusahaan menangani kalkulasi (penghitungan) dan pengolahan (processing) pembayaran gaji (payroll) mereka. Software payroll dapat digunakan tidak hanya untuk menghitung uang yang berkaitan dengan karyawan, namun juga menyediakan kemudahan penyimpanan record yang akurat. Pada dasarnya, software payroll dapat membantu mempersingkat proses keseluruhan, membuat pengelolaan payroll lebih hemat waktu dan tidak rumit. Pada intinya adalah Payroll system merupakan sebuah aplikasi untuk melakukan proses penggajian.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi), bahkan di dalam system informasi penggajian, keamanan merupakan prioritas utama dalam membangun sebuah system. Dikarenakan menyangkut kehidupan orang banyak.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:
- Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat.
- Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.
- Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.
- Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
B. Keamanan Sistem Informasi Payroll
Keamanan data penggajian dan catatan penting untuk memastikan kerahasiaan dan harus diberi prioritas tinggi setiap saat dengan proses penggajian.In the management of payroll systems you may need to assist your payroll staff to develop their own confidentiality protocols to ensure that the data they access or process is only used for the purpose for which it was intended. Dalam pengelolaan sistem penggajian, Anda mungkin harus membantu staf gaji anda untuk mengembangkan protokol kerahasiaan mereka sendiri untuk memastikan bahwa data yang mereka akses hanya digunakan untuk tujuan yang dimaksudkan. Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut.
Payroll memiliki kebutuhan khusus untuk keamanan di atas yang berlaku dalam sebuah organisasi pada umumnya. Masalah-masalah khusus keamanan berhubungan dengan:
1. Ancaman (threats) atas system payrol
2. Kelemahan (vulnerability) atas system payroll.
Ancaman (threats)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 2 hal utama, yaitu :
- Ancaman Manusia
- Ancaman Alam
Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
• Malicious code
• Virus, Trojan horse, Worm
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak
• Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
• Ancaman air, seperti : Banjir, badai.
• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir.
Kelemahan (vulnerability)
Vulnerability adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki. Pelanggaran hak cipta perangkat lunak. Contoh yang mungkin terjadi seperti, Setting firewall yang membuka telnet sehingga dapat diakses dari luar.
C. Metode keamanan
Teknik keamanan adalah hal penting dalam menjaga kerahasiaan data. Teknik keamanan yang umum dilakukan oleh banyak system adalah penggunaan enkripsi sebagai metode untuk kemanan sistem. Di dalam system payroll, enkripsi juga digunakan untuk keamanan data penggajian. Proses enkripsi di dalam teknik keamanan merupakan proses pengkodean pesan untuk menyembunyikan isi. Algoritma enkripsi modern menggunakan kunci kriptografi dimana hasil enkripsi tidak dapat didekripsi tanpa kunci yang sesuai. Kriptografi adalah suatu ilmu yang mempelajari bagaimana membuat suatu pesan menjadi aman selama pengiriman dari pengirim (sender) sampai ke penerima (receiver). Pesan tersebut disebut plaintext, proses untuk mengubah plaintext menjadi suatu bentuk yang tidak dapat dibaca isinya disebut enkripsi. Pesan yang terenkrip disebut ciphertext. Proses untuk mengubah ciphertext ke pesan aslinya (plaintext) disebut dekripsi.
Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki celah keamanan, sementara usaha-usaha pengobatan dilakukan apabila celah keamanan system tersebut sudah dieksploitasi.
Secara fisik, sistem payroll dapat juga diamankan dengan menggunakan "firewall" yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat dilakukan di tingkat aplikasi sehingga data-data yang terkait penggajian karyawan serta database penggajian tidak dapat dibaca oleh orang yang tidak berhak.
1. Pengaturan Akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme "access control". Implementasi dari mekanisme ini antara lain dengan menggunakan "password". Di sistem Informasi Payroll, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan "userid" dan "password". Informasi yang diberikan ini dibandingkan dengan userid dan password yang berada di sistem. Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan userid dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan. Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan program password cracker, maka memilih password memerlukan perhatian khusus.
2. Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
o Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall.
GAMBAR. Contoh sebuah Firewall
Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall.
- Audit : Mengamati Berkas Log
Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya.
- Backup Secara Rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Sehingga di dalam sistem payroll sangat diperlukan bacup secara rutin karena sangat renta dengan manipulasi data oleh orang yang tidak bertanggung jawab. Bayangkan apabila yang dihapus oleh tamu ini adalah daftar gaji pegawai, laporan keuangan yang telah ada bertahuntahun. Atau intruder memanipulasi data dengan mengacak – acak gaji pegawai, memanipulasi hasil laporan keuangan yang ada.
Untuk sistem yang sangat esensial layaknya system informasi payroll, secara berkala perlu dibuat backup yang letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.
o Pemantau Adanya Serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.
Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain:
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
• Shadow dari SANS
3. Penggunaan Enkripsi Untuk Meningkatkan Keamanan
Salah satu metode untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap (sniffer).
Contoh servis yang menggunakan plain text antara lain:
• akses jarak jauh dengan menggunakan telnet dan rlogin
• transfer file dengan menggunakan FTP
• akses email melalui POP3 dan IMAP4
• pengiriman email melalui SMTP
• akses web melalui HTTP
4. Tellnet Atau Shell Aman
Telnet atau remote login digunakan untuk mengakses sebuah “remote site” atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan dengan menggunakan hubungan TCP/IP dengan menggunakan userid dan password. Informasi tentang userid dan password ini dikirimkan melalui jaringan komputer secara terbuka. Akibatnya ada kemungkinan seorang yang nakal melakukan “sniffing” dan mengumpulkan informasi tentang pasangan userid dan password ini.
Untuk menghindari hal ini, enkripsi dapat digunakan untuk melindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan RSA atau IDEA sehingga tidak dapat dibaca oleh orang yang tidak berhak. Salah satu implementasi mekanisme ini adalah SSH (Secure Shell).jati.staff.unisbank.ac.id
Tidak ada komentar:
Posting Komentar