Pasca Sarjana

Audit Keamanan Informasi

rahmadya IT Audit and Control, Komputer dan Masyarakat

Dulu pernah diminta mengajar mata kuliah keamanan sistem informasi, dari dasar-dasar serangan siber, enkripsi, dan sejenisnya. Tetapi ketika beralih ke jurusan sistem informasi, ternyata ada yang namanya audit keamanan sistem informasi. Nah, ini di Indonesia sedang digodok aturannya oleh Badan Siber dan Sandi Nasional (BSSN). Dulu divisi kemanan transaksi elektronik di luar BSSN dibawah Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center (ID-SIRTII/CC) dan sekarang digabung dengan lembaga sandi negara menjadi BSSN, bahkan lembaga sandi negara ditunjuk sebagai pengatur lembaga baru tersebut.

Penilaian & Audit Keamanan Transaksi Perdagangan Berbasis Elektronik

Era disrupsi memiliki konsekuensi dari sisi transaksi yang mengharuskan dalam bentuk elektronik. Bahkan dari sisi audit jika ditemukan dua jenis bukti (elektronik dan paper) maka yang elektronik memiliki kekuatan yang lebih besar. Saat ini hampir sebagian besar transaksi keuangan bersifat elektronik. Jadi audit tentang transaksi ini mutlak diperlukan.

Kekurangan Auditor

Saat ini di Indonesia jumlah auditor hanya 300-an menurut asosiasi auditor sistem informasi di Indonesia (IASII) padahal kebutuhan di tanah air cukup tinggi. Sebagai informasi negara-negara tetangga seperti Thailand, Vietnam, dan Filipina sudah kelebihan auditor dan siap-siap masuk ke Indonesia untuk mensuplai kebutuhan auditor. India? Jangan ditanya, sudah sejak lama mereka masuk bahkan IASII kerap mem-briefing auditor-auditor India yang akan bertugas di Indonesia, waduh. Apalagi perjanjian-perjanjian seperti AFTAA, WTO, MEA, dan lain-lain kebanyakan sudah ditandatangani pemerintah.

Pembentukan Aturan

Memang aturan mudah dibentuk, tetapi jika tidak memandang dunia internasional, agak sulit di era globalisasi ini. Tampak wakil dari praktisi sepertinya keberatan jika auditor harus disertifikasi ulang oleh BSSN mengingat mereka sudah memiliki sertifikasi internasional. Jika aturan dibuat sendiri sertifikasinya, tetangga apalagi internasional akan menanyakan apa itu BSSN, maklum tidak mengenalnya. Bahkan dari asosiasi mempertanyakan mengapa e-KTP yang budgetnya trilyunan tidak diaudit keamanan informasinya, sementara nanti para pengusaha dengan budget yang sedikit diharuskan untuk diaudit keamanan transaksi online-nya. Sepertinya perlu dikomunikasikan dengan para praktisi sebelum aturannya dibuat, dan segera mengingat dunia startup, terutama bidang finansial (misal fintech, paytren, dll) sudah mulai merambah. Sekian sekilas info.

Iklan

Benarkah “IT doesn’t Matter?”

rahmadya IT Audit and Control, Komputer dan Masyarakat

Salah satu mata kuliah pasca yang rumit adalah mata kuliah “IT Strategic” karena melibatkan faktor-faktor sosial yang memang sulit diukur. Dalam salah satu buku wajibnya adalah buku yang berjudul “Corporate IT Strategic” karya Lynda M. Applegate. Dalam kolom khususnya, disinggung suatu tulisan yang cukup heboh seperti judul di atas, “IT Doesn’t Matter”. Singkatnya tulisan tersebut membahas IT yang saat ini tidak menjadi faktor penentu keberhasilan suatu organisasi. Beberapa survey dilakukan ke perusahaan-perusahaan dan hasilnya ternyata IT di organisasinya tidak memiliki dampak signifikan dibanding biaya yang dikeluarkannya. Sebabnya karena IT sudah menjadi barang umum yang hampir semua organisasi memiliki atau memanfaatkannya. Seandainya suatu perusahaan menerapkan IT sebagai strategi bisnis, toh perusahaan lain dengan mudahnya ikut menerapkan lewat membeli dari vendor-vendor IT yang banyak bermunculan.

Tulisan yang dipublikasi di majalah Harvard Business Review (HBR) oleh Carr edisi Mei 2003 tersebut membuat heboh bidang sistem/teknologi informasi. Maklum majalah terkenal itu merupakan bacaan wajib para pemerhati bisnis. Protes pun bermunculan.

Surat dari Petinggi Xerox

Terus terang buku itu tebal dan berat sekali bagi yang baru belajar membaca teks bahasa Inggris, termasuk saya waktu kuliah pasca dulu. Tapi sebenarnya sangat berbobot dan memiliki dampak yang signifikan terhadap perkembangan bisnis saat ini. Beragam surat balasan bermunculan, salah satunya dari Brown, seorang petinggi dari Xerox.

Brown menyindir Carr yang dalam menganalogikan IT dengan mesin, listrik, dan komponen-komponen industri lainnya. Sebaliknya IT sesungguhnya memiliki dampak yang tidak langsung dalam memberi keuntungan suatu perusahaan. Strategi yang dimunculkan oleh suatu perusahaan yang menerapkan IT dalam proses bisnisnya terletak pada inovasi-inovasi yang bermunculan dengan adanya perkembangan teknologi IT seperti internet yang kian cepat dan terjangkau, aplikasi-aplikasi yang kian mudah dibuat, dan sebagainya.

Disrupsi

Memang buku karya Applegate muncul sebelum era disrupsi yang mengahantam perusahaan-perusahaan besar hingga runtuh. Tetapi ternyata tidak membutuhkan waktu lama ketika era disrupsi yang dimotori oleh startup-startup seperti grab, gojek, fintech, airbnb, dan kawan-kawan menghancurkan perusahaan-perusahaan yang lalai bahwa perkembangan IT memungkinkan inovasi-inovasi bisnis yang bahkan muncul bukan dari pesaing tetapi dari pendatang baru yang tidak pernah dideteksi sebelumnya lewat metode konvensional, seperti Strengths, Weaknesses, Opportunity, and Threats (SWOT).

Bagaimana respon dari petinggi-petinggi organisasi lainnya selain dari Xerox, silahkan baca rujukan aslinya yang sangat seru (termasuk co-author buku tersebut, McFarlan), mirip baca novel-novel, tapi seputar dunia bisnis, dan sistem/teknologi informasi.

Referensi

Lynda M. Applegate, R.D. Austin, and F. W. McFarlan. “Corporate Information Strategy and Management – 7th Ed, Text and Cases”. New york, McGraw-Hill.

Mengenal Istilah-Istilah dalam Audit Sistem Informasi

rahmadya IT Audit and Control

Audit SI merupakan subyek sistem informasi yang kian penting bahkan untuk bidang lainnya seperti accounting. Hal ini terjadi karena peran IT pada suatu organisasi yang kian penting dan melekat dengan sistem yang ada. Untuk bisa mengikuti perkembangan audit SI ada baiknya mengenal terlebih dahulu istilah-istilah yang kerap digunakan dalam literatur Audit SI.

  • GEIT: Governance of Enterprise IT. Atau sering diistilahkan dengan IT governance.
  • COBIT: Control Objective for Information and Related Technology. Saat tulisan ini dibuat masuk COBIT versi 5.
  • ITIL: Information Technology Infrastructure Library.
  • TOGAF: The Open Group Architecture Framework.
  • ISO: International Organization for Standardization. Untuk audit: ISO27001 dan ISO/IEC 38500:2008.
  • ISACA: Information Systems Audit & Control Association. Merupakan badan pencetus COBIT.
  • GRC: Governance, Risk, and Compliance
  • ISCA: Information Systems Control and Audit. Istilah lain dari Audit SI yang sering digunakan di kampus lain di luar negeri.
  • CEO: Chief Executive Officers, CFO: Chief Financial Officer, dan CIO: Chief Information Officers. Merupakan jabatan-jabatan level atas dalam manajemen.
  • ERM: Enterprise Risk Management
  • FAS: Financial Accounting Standards
  • IAS: International Accounting Standards

Mungkin istilah-istilah di atas merupakan istilah yang sering dijumpai berualang kali di buku Audit SI. Ada baiknya selalu diingat agar membacanya jadi lancar. Juga istilah-istilah asing seperti compliance, conformance, governance, dan lain-lain ketika membaca rujukan asing. Berikutnya istilah-istilah dalam proses audit, antra lain:

  • Exposure. Yaitu seberapa besar kehilangan yang diakibatkan dari resiko yang terjadi.
  • Threat. Suatu entitas, lingkungan, kejadian, atau hal-hal lain yang berpotensi membahayakan sistem perangkat lunak atau komponen-komponennya lewat akses yang tidak diperbolehkan/diijinkan, perusakan, modifikasi ilegal, denial of service, dan sejenisnya.
  • Likelihood. Seberapa besar kemungkinan threat menyerang sistem yang ada. Oleh karena pengamanan harus diberikan menyesuaikan likelihood suatu threat yang dianalisa.
  • Attack. Merupakan aksi nyata dari threat yang mengakses sistem secara ilegal. Biasanya attack ini berasal dari luar yang mengeksploitasi ketersediaan sistem yang ada agar berhenti/tidak bekerja.
  • CIA: Confidentiality, Integrity or Availability. Tiga komponen kemananan yang menjaga sistem yang ada dan selalu dijadikan target sasaran attack.
  • Risk. Potensi yang mungkin terjadi ketika ada eksploitasi dari attack yang merusak availability/ketersediaan, sehingga merusak aset yang ada. Risk analysis diperlukan untuk menganalisa seberapa besar potensi suatu resiko berpengaruh terhadap organisasi.

Mungkin istilah-istilah di atas dapat membantu untuk membaca literatur tentang Audit Sistem Informasi. Mudah-mudahan bermanfaat, salah satunya bagi saya yang sering lupa, selamat belajar Audit SI.

Mengenal Istilah “SOLID” dalam Disain Berbasis Objek

rahmadya Analysis and Design, Object Oriented Programming

Selain Unified Modeling Language (UML) dikenal istilah lain yang agak baru lagi, yaitu SOLID (dalam disain berbasis objek). Istilah ini muncul dari saran Uncle Bob (Robert C. Martin), yang berisi empat prinsip dalam disain berbasis objek. Lima prinsip tersebut antara lain:

1. S – Single-responsibility principle

Prinsip ini mewajibkan suatu kelas (class) sebaiknya hanya memiliki satu tugas. Jangan sampai satu kelas memiliki lebih dari satu tugas. Sebagai contoh suatu program bermaksud menghitung luas seluruh bentuk, misal lingkaran, bujur sangkar, dan lain-lain. Suatu kelas yang berisi perhitungan total area beserta outputnya sebaiknya dihindari. Sesuai prinsip “single-responsibility principle (SRP)” sebaiknya kelas totalArea(shape) dipisahkan dengan outputArea(area). Jadi kelas totalArea hanya berisi perhitungan area sementara outputArea memiliki tugas menampilkan keluaran apakah JASON, HTML, atau format lainnya.

2. O – Open-closed principle

Terbuka di sini menyatakan suatu kelas bisa di extend tetapi “closed” dalam artian tidak perlu memodifikasi kelas sebelumnya. Misal kasus sebelumnya, menghitung total luas area beberapa bangun. Dengan memisahkan kelas totalArea dan outputArea, SRP terpenuhi. Tetapi jika ingin menambah satu bentuk baru, misalnya segitiga maka kelas totalArea terkadang harus di-modif, terutama di loopingnya. Hal ini melanggar prinsip “tak memodif”. Untuk mengatasi hal tersebut, tiap kelas bentuk/bangun, Shape, menyertakan suatu interface berupa implement, yaitu metode/fungsi berisi penentuak jari2/sisi/parameter lain disertai luasnya, misalnya diberi nama shapeInterface. Kemudian kelas totalArea memiliki fungsi sum yang memanggil interface dengan for each terhadap seluruh bangun/bentuk. Jika ada satu bentuk/bangun baru, maka asalkan disertai interface dengan nama shapeInterface maka akan otomatis ikut terhitung. Dan karena tidak ada modif di kelas totalArea, maka prinsip “open-closed” terpenuhi.

3. L – Liskov substitution principle

Jika tipe S adalah sub-tipe dari tipe T, maka fungsi q(x) yang bisa menjalankan objek x dari tipe T bisa juga menjalankan q(y) dimana y adalah objek S.

“Let q(x) be a property provable about objects of x of type T. Then q(y) should be provable for objects y of type S where S is a subtype of T.”

Contoh sederhananya kembali ke kelas perhitungan luas. Karena volume adalah sub-tipe dari luas, maka perhitungan volume bisa mengambil fungsi dari perhitungan area/luas. Misal persegi panjang, maka volume balok bisa mengambil luas persegi panjang dikalikan tinggi, dengan memanfaatkan extend.

4. I – Interface segregation principle

Prinsip ini menganjurkan agar tidak memaksa pemesan/client mempunyai metode (method) yang tidak mereka butuhkan. Misalnya kita diminta menghitung bentuk 3D seperti kotak, bola, dll maka pada metode shapeInterface akan diisi luas dan volume yang harus dimiliki oleh kelas-kelas lain yang tidak memiliki volume (lingkaran, bujur sangkar, dll). Oleh karena itu agar tidak melanggar prinsip “interface segregation” yang memaksa perhitungan volume, maka perlu membedakan kelas solid dengan yang tidak memiliki volmue. Dengan kata lain perlu interface solidShapeInterface dengan fungsi perhitungan volume.

5. D – Dependency Inversion Principle

Prinsip ini mengharuskan tiap entitas tergantung dari hasil abstraksi (pemodelan fungsi dari kondisi real). Suatu kelas pengingat pasword, passwordReminder tidak boleh tergantung dari koneksi ke MySQL atau Oracle atau database lain. Jika ada pergantian jenis database, misal dari MySQL ke SQL Server, maka tidak melanggar juga prinsip ini “Open-closed principle” yang tidak boleh lagi memodifikasi fungsi sebelumnya (koneksi ke MySQL). Solusinya adalah menambah interface koneksi database, misal DBConnectionInterface. Jika sebelumnya class MySQLConnection implements DBConnectionInterface, jika diganti SQLSERVER maka tinggal menggati dengan SQLSERVERConnection implemetns DBConnectionInterface.

Prinsip SOLID ini sangat penting, itulah mengapa dalam videonya di youtube bu Inge menyinggung masalah SOLID ini. Bahkan merupakan hal yang wajib diketahui oleh para developer.

Referensi

https://scotch.io/bar-talk/s-o-l-i-d-the-first-five-principles-of-object-oriented-design

Merekam dan Memainkan Suara dengan Matlab (Versi Lama dan Baru)

rahmadya Decision Support System, Matlab

Banyak aplikasi cerdas dengan Matlab yang membutuhkan pengolahan sinyal suara. Sebelum mengolah, salah satu fungsi penting adalah menangkap suara yang akan diolah. Postingan berikut ini membahas fungsi-fungsi yang diperlukan untuk menangkap suara, termasuk juga membunyikan hasil tangkapan suara tersebut (untuk menguji apakah fungsi perekaman berhasil).

Versi Lama

Matlab versi 2008 (versi 7.7) sedikit berbeda dengan versi terbaru. Versi lama ini menggunakan fungsi wavrecord, wavplay, dan wavwrite yang berfungsi berturut-turut untuk merekam, memainkan dan menulis. Kode singkat berikut ini bermaksud merekam, menyimpan dan memainkan suara. Tentu saja diperlukan fasilitas mic dan speaker (biasanya sudah ada pada setiap laptop).

  • clear all;
  • fs=8000;
  • y= wavrecord(5.0*fs, fs, ‘double’); %merekam suara
  • wavwrite(y,fs,‘aiueo.wav’);        %simpan rekaman ke hardisk
  • wavplay(y,fs);                %mainkan hasil rekaman
  • figure,plot(y);                %sinyal hasil rekaman di plot

Versi 2013 ke atas (Baru)

Sebenarnya kode sebelumnya bisa digunakan, hanya saja ada pesan (warning) dari Matlab bahwa wavrecord dan wavplay sebaiknya diganti dengan audiorecorder dan audioplayer untuk merekam dan memainkan.

Ganti kode sebelumnya dengan fungsi yang terbaru berikut ini, lihat referensinya di link resminya. Disini frekuensi sampling dan parameter lainnya standar 8000 Hz dan 8 bit.

  • % Record your voice for 5 seconds.
  • recObj = audiorecorder;
  • disp(‘Start speaking.’)
  • recordblocking(recObj, 5);
  • disp(‘End of Recording.’);
  • % Play back the recording.
  • play(recObj);
  • % Store data in double-precision array.
  • myRecording = getaudiodata(recObj);
  • % Plot the waveform.
  • plot(myRecording);

Jika fungsi menangkap bisa dijalankan, maka untuk mengolah lanjut dapat dilakukan dengan mudah. Banyak terapan-terapan yang menggunakan sinyal suara, antara lain:

  • Pengenalan suara
  • Deteksi kelainan detak jantung
  • Deteksi kerusakan mesin, dll

Suara yang terekam dapat dilihat grafiknya seperti di bawah ini. Sekian, semoga postingan singkat ini bermanfaat.

Penjelasan Sederhana Jaringan Syaraf Tiruan – Kasus Logika OR

rahmadya Artificial Neural Network, Decision Support System

Dulu sempat ambil mata kuliah “Artificial Intelligent & Neuro-Fuzzy” dengan buku referensi yang digunakan adalah “Neural Network Design” karangan Hagan. Materinya cukup berat karena satu buku tersebut harus dikuasai dalam setengah semester (sampai UTS/Midterm Examination). Selain itu buku tersebut sepertinya ditujukan untuk level advance (lanjut). Postingan ini bermaksud menjelaskan secara sederhana prinsip kerja jaringan syaraf tiruan. Kasus yang dijadikan contoh adalah bagaimana jaringan syaraf tiruan (JST) sederhana mampu menjalankan Logika OR.

Gambar berikut adalah JST dengan jumlah neuron hanya satu buah. Neuron adalah sel di otak yang memiliki kemampuan menyimpan dan mentransfer informasi. Disimpan dalam bentuk bobot dan bias serta mentransfer dengan fungsi aktivasi.

W1 dan W2 adalah bobot yang mengalikan tiap input yang akan diteruskan ke neuron lainnya. Sementara itu b adalah bias yang menjumlahkan total masukan yang telah dikalikan bobot. Pada gambar di atas fungsi aktivasi belum dilibatkan. Persamaan matematis gambar di atas adalah sebagai berikut:

Dengan cara training, misal backpropagation, W dan b dapat ditemukan. Tetapi sebenarnya dengan intuisi kita dapat menemukan bahwa W1 dan W2 berharga masing-masing “1” dan biasnya “nol”. Kita coba memasukan ke persamaan y di atas diperoleh akurasi yang baik hanya saja di bagian akhir, yaitu ketika masukan X1 dan X2 kedua-duanya “1” yang seharusnya keluaran y = 1 di sini berharga “2”. Oleh karena itu diperlukan fungsi aktivasi seperti gambar di bawah ini.

Di antara ketiga fungsi aktivasi, yaitu tangen sigmoid, tangga, dan purelin, yang cocok dengan kasus kita adalah tangen sigmoid. Di sini tangga bisa diterapkan, tetapi agak sulit jika digunakan untuk backpropagation yang membutuhkan diferensiasi. Tangen sigmoid (juga log sigmoid) jika diturunkan berharga -1, mudah untuk dikalkulasi saat proses pembobotan ulang (rambat balik dari target ke input). Sementara purelin tidak cocok karena jika input 2 keluarnya akan 2 juga (jika y=x persamaan purelin-nya). Dengan menambah fungsi aktivasi sebelum ke output, nilai 2 dengan fungsi tangen sigmoid bernilai 1 sehingga sesuai dengan table kebenaran logika OR. Gambar di atas sebenarnya cuplikan video yang saya upload di youtube berikut ini:

 

 

 

Pilih Waterfall atau Iterasi?

rahmadya Analysis and Design

Waterfall merupakan teknik perancangan sistem yang telah lama digunakan. Banyak yang berhasil menggunakan metode ini tetapi banyak juga yang gagal, bahkan kerugiannya pun cukup besar. Hal ini karena tahapan yang mengalir seperti air terjun itu, penentuan keberhasilannya di akhir, yaitu setelah tahap implementasi. Padahal sampai tahap itu telah banyak dana yang digelontorkan.

Untuk mengurangi dampak negatif tersebut, diperkenalkanlah metode iterasi. Metode ini mempercepat waktu pemodelan seperti metode waterfall (kebutuhan, analisa, disain, implementasi dan test) tetapi diulang kembali pada iterasi berikutnya. Karena satu iterasi merupakan fasa waterfal maka proyek pembuatan sistem informasi mampu mendeteksi resiko ketika satu iterasi terlaksana.

Misalnya iterasi 1 dan 2 pada gambar di atas (diambil dari buku UP karangan Jim Arlow (Arlow & Neustadt, 2005)) tahap requirements hingga test dilaksanakan. Jika sukses maka iterasi berikutnya (konstruksi dan transisi) siap dilaksanakan dan peluang berhasilnya lebih tinggi dibanding tanpa adanya iterasi. Metode iterasi juga bisa mengantisipasi perubahan-perubahan, terutama requirements, ketika di tengah jalan ada hal mendesak yang harus ditambahkan.

Contoh Kasus

Di suatu kampus tidak ada SIM yang mengelola baik urusan akademik (KRS, Bimbingan, dll) maupun urusan kepegawaian (absen, surat menyurat, dll). Kampus tersebut mencoba untuk membuat proyek pengadaan SIM tersebut dengan membayar perusahaan yang bersedia membuatkannya. Metode yang digunakan adalah waterfall dimana pihak kampus menunjukan alur proses dan kebutuhan-kebutuhannya lengkap. Setelah beberapa tahun ternyata tidak jadi walaupun uang sudah banyak keluar.

Kemudian vendor pun diganti. Rancangan sudah dijalankan, namun hampir dua tahun belum juga terlaksana. Sepertinya proyek tersebut terlampau sulit dan besar bagi vendor pembuatnya. Testing dan implementasi tak kunjung terlaksana karena seluruh requirements belum beres. Terpaksa manual masih dijalankan total.

Di awal perkuliahan, seorang dosen menanyakan e-learning, apakah sudah tersedia. Pihak IT mengatakan sudah, dan akun pun dibuatkan untuk dosen tersebut. Namun, baik mata kuliah maupun siswa tidak ada. Ketika ingin mendaftarkan mata kuliah yang ingin diajarkan, ternyata tidak bisa. Ketika menanyakan ke pihak IT jawabannya adalah mata kuliah didaftarkan oleh pihak rektorat. Namun pihak rektorat belum siap. Padahal si dosen hanya membutuhkan alat/tools untuk berkomunikasi, memberikan materi (text atau video) ke siswa. Pihak IT pun dengan “PD” mengatakan ke dosen tersebut bahwa e-learning akan dibuat canggih seperti universitas terbuka (UT). Tentu saja dengan kata “akan” yang artinya entah kapan. Akhirnya dosen tersebut menggunakan Whatsupp untuk berkomunikasi dengan mahasiswa, dan berhasil secara efektif.

Bagaimana jika menggunakan metode iterasi? Tentu saja mudah. Lakukan saja yang urgen terlebih dahulu, misalnya yang melibatkan perkuliahan. KRS online dan informasi nilai UTS dan UAS. Buat e-learning sementara yang dengan fleksibel pengajar berinteraksi dengan si mahasiswa. Toh tidak e-learning murni dimana nilai dan perkuliahan tidak 100% online. Lalu jika sudah OK, buat iterasi berikutnya yang menambahkan fitur-fitur SIM tersebut hingga sempurna. Dengan metode iterasi ini, pihak kampus bisa langsung menerapkan SIM, berbeda dengan metode waterfall yang menunggu 100% jadi baru diterapkan entah kapan, yang beresiko mengalami kegagalan seperti sebelumnya. Tapi tetap saja keputusan di pihak kita, menggunakan metode waterfall atau iterasi, kedua-duanya berpotensi berhasil, hanya saja iterasi memiliki resiko yang lebih kecil, katanya .. silahkan baca buku-buku yang bertema analisa dan disain sistem informasi baik konvensional atau berorientasi obyek. Sekian semoga bisa menginspirasi.

Referensi

  • Singer, PW., & Cole, A. Ghost Fleet… Ups .. sorry salah
  • Arlow, J., & Neustadt, I. (2005). UML 2 and the Unified Process (Second). United States: Pearson Education Limited.