Anda di halaman 1dari 3

Information Technology Auditing adn Assurance 3rd ed J.

Hall 2011
Chapter IV - Security Part II: Auditing Database System
Chapter ini membahas mengenai keamanan dan kendali atas database organisasi.
A. Management Approach atas database, ada 2:
1. Flat-File Approach: data file dicatat secara terpisah dan tidak saling terkoneksi satu sama lain.
Pendekatan ini memiliki 4 masalah yang signifikan:
a. Data Storage: data yang terduplikasi dan terpisah memakan penyimpanan yang besar dan
sulit untuk diakses.
b. Data Updating: karena data terpisah, maka update dilakukan sendiri-sendiri
c. Currency of Information: karena masalah data updating, data mungkin tidak sinkron dan
usang
d. Task-Data Dependency: user hanya bisa dekerja berdasarkan data yang dalam kendalinya.
2. Database Approach: mensentralisasi data organisasi yang dibagi kepada user dengan
database management system (DBMS). Database approach berusaha menanggulangi
permasalahan pada flat-file approach.
B. Elemen Kunci dalam Database Environment
1) DBMS memiliki 4 fitur utama:
a. Program Development
b. Backup and recovery
c. Database Usage Reporting
d. Database Access
Cara kerja DBMS: (Figure 4.3)

Eko Sulistyono | 8C Akuntansi | 2014|Page 1

Information Technology Auditing adn Assurance 3rd ed J.Hall 2011


2) Data Definition Language (DDL): bahasa yang mengidentifikasi hubungan antar data, elemen,
dan file dalam database. Pendefinisian ini ada tiga tingkat:
a. Internal/Physical View
b. Conceptual/Logical View (Schema)
c. External/User View (Subschema)
3) USERS (Pengguna): pengguna dapat mengakses database dengan dua cara:
a. Formal Access (Application Interface): yaitu melalui program yang sudah disiapkan. User
mengunakan tanpa mengetahui DBMS dan seolah-oleh masih menggunakan flat-file
database. Formal access mengunakan Data Manipulation Language (DML) untuk
memperoelh, memproses, dan menyimpan data.
b. Informal Access (Query Language): metode untuk mengekstrak data secara langsung.
Menggunakan Structured Query Language (SQL) untuk melakukan perintah.
4) DATABASE Administrator: berfungsi untuk: Database Planning, Design, Implementation,
Operation and Maintenance, Change an Growth.
5) DATABASE FISIK: satu-satunya database dalam bentuk fisik, bagaimana disk/storage dikelola.
Struktur brik dari disk berpengaruh terhadap bagaimana database berpindah atau diubah dari
disk. Data Organization adalah pengorganisasian dimana dan bagaimana storage device
disimpan. Data access methods adalah bagaimana database dalam storage device dapat diakses.
6) DBMS Models:
a. Hierarchical Model: DBMS disusun sesaca hirarki, kadang sesuai atau mirip dengan hirarki
organisasi. Contoh yang paling mirip adalah Information Management System (IMS) IBM.
Kelemahan model ini adalah 1) Parent record mungkin memiliki dua atau lebih child record;
dan 2) child record hanya mempunyai satu parent record. Dalam model ini, data association
terbilang rendah.
b. Network Model: database disusun berdasarkan gugus tugas. Bentuk yang diperkenalkan
adalah dengan Committee on Development of Applied Symbolic Languages (CODASYL).
c. Ralational Model: database berelasi satu sama lain, tapi masih dalam bentuk terpisah.
Dihubungkan dengan algoritma tersendiri.
C. Database dalam lingkungan yang terdistribusi
1) Centralized Database: Unit-unit client di lokasi yang terpisah mengirimkan permintaan data ke
lokasi pusat yang memproses permintaan dan mengirin data kembali ke unit client yang
memintanya.
2) Distributed Database:
a. Partitioned Database: database didistribusi ke segmen-segmen. Keuntungannya: data dapat
lebih dekat diolah oleh penguna utama dan lebih terjaga dari bencana. Kelamahannya, ada
kemungkinan terjadi Deadlock Phenimenon.
b. Replicated Database: data diduplikasi kepada setiap klien, karena pengunaan data sangat
besar dan tidak terdefinisi siapa pengguna utama.
3) Congcurrency Control: memastikan bahwa data tersedia secara lengkap dan akurat disetiap sites
pengguna. Dua cara yang lazim digunakan adalah grouping transaction dan scheduling
transaction. Selain itu, metode dan model yang digunakan harus sesuai dengan kebutuhan.
D. Mengendalikan dan Mengaudit DMS
1) Access Control: mencegah akses yang tidak diinginkan atas individu untuk melihat, memperoleh,
merusak, atau menghacurkan data. Beberapa contohnya adalah:
a. User Views: pembatasan data apa saja yang bisa dilihat oleh user yang sudah ditentukan.
b. Database Authorization Table: mengatur/membatasi kegiatan yang dapat dilakukan user.
c. User-Defined Procedures: lapis keamanan untuk identifikasi pengguna sebelum bisa
mengakses database
d. Data Encryption: chapter sebelumnya.
Eko Sulistyono | 8C Akuntansi | 2014|Page 2

Information Technology Auditing adn Assurance 3rd ed J.Hall 2011


e. Biometric Device: alat otentikasi dengan menganalisa karekteristik seperti sidik jari, suara,
retina, atau tanda tangan.
f. Inference Controls: mencegah adanya akses yang tidak diinginkan melalui permainan akses
yang diperbolehkan. Pengendalian inferensi berusaha mencegah tiga komponen basis data,
yaitu kompromi positif (pengguna menentuka nilai tertentu daru suatu item data), kompromi
negative (pengguna menentukan bahwa suatu item data tidak memiliki nilai tertentu), dan
kompromi perkiraan (pengguna tidak bisa menentukan nilai yang tepat dari suatu item
namun mampu memperkirakannya dengan keakuratan yang memadai guna melanggar
kerahasiaan data).
Tujuan Audit terkait Akses Database: memastikan bahwa akses datebase diberikan sesuai
kebutuhan user.
2) Backup Control:
- Flat-File Environment:
a. GPC (grandparent-parent-children) Backup technique: master database semula (parent)
akan digantikan oleh children sebagai master database yang baru (parent) dan parent
menjadi grandparent, dst. Jumlah generasi akan menjadi banyak dan jumlah yang sesuai
perlu ditentukan oleh menejemen atau auditor.
b. Direct Access File Backup: database yang baru akan sepenuhnya menggantikan data lama,
dan backup dilakukan tepat sebelum database diganti.
c. Off-Site Storage: database cadangan yang berada terpisah secara fisik dari sistem utama.
- Database Environment:
a. Backup yang periodik, otomatis, dan disimpan di lokasi terpisah
b. Transaction Log (Journal)
c. Checkpoint Feature: cekpoin dimana proses akan parkir atau menunggu saat server
dalam quite state karena transaction log dan database log direkonsiliasi.
d. Recovery Module: prosedur pengembalian database saat terjadi kegagalan sistem.
Tujuan Audit terkait Backup: memastikan bahwa terdapat kendali yang cukup untuk menjaga
integritas dan keamanan fisik database.

--- Jangan pikirkan kegagalan kemarin --hari ini sudah lain


sukses pasti diraih selama semangat masih menyengat

Eko Sulistyono | 8C Akuntansi | 2014|Page 3