Anda di halaman 1dari 2

Nama

NIM / Kelas
Sumber referensi

: Syaefur Rizal
: JP021362 / Audit (B)
: Hall, A. James, Information Technology Auditing and Assurance.

Resume Auditing Networks and Database Systems


Auditing Networks
Mengapa kita perlu melakukan audit jaringan? ada beberapa alasan, antara lain: untuk
memonitor setiap perubahan pada konfigurasi kemanan jaringan, mengetahui siapa saja yang
mengakses file-file tertentu, memonitor aktifitas dari sejumlah user jaringan, dan menyimpan
rekaman kegiatan login dan logout berdasarkan tanggal dan waktu.
Risiko Intranet
Intranet digunakan untuk menghubungkan karyawan dalam suatu bangunan tunggal,
antar bangunan dalam kampus fisik yang sama, dan antar lokasi yang tersebar secara
geografis. Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap
database perusahaan, dan karyawan-karyawan dengan hak istimewa.
Risiko Internet
a) IP Spoofing, bentuk penyamaran untuk mendapatkan akses tidak sah ke server Web. b)
Denial of Service Attack (Dos), serangan terhadap server web untuk mencegah melayani
pengguna yang sah. c) Risiko dari kegagalan peralatan, seperti jaringan komunikasi,
komponen perangkat keras, dan software.
Mengendalikan Risiko dari Ancaman Subversif
Ada sembilan cara mengendalikan risiko antara lain: a) Firewalls: Network-level
Firewall dan Application-level Firewall. b) Mengendalikan DOS Attacks: Smurf Attacks, SYN
Flood Attacks dan Ddos Attacks. c) Enkripsi adalah konversi data ke dalam kode rahasia
untuk penyimpanan dan transmisi. Pendekatan enkripsi adalah enkripsi private key dan
public key. d) Tanda Tangan Digital. e) Sertifikat digital. f) Penomoran urutan pesan. g) Log
transaksi pesan. h) Teknik request-response. i) Call-back devices.
Tujuan Audit, a) Dapat mencegah dan mendeteksi akses ilegal dari internal
perusahaan atau dari internet, b) Akan menjadikan data tidak berguna dan pelaku berhasil
ditangkap, c) Cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung
ke jaringan.
Prosedur Audit:
a) Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan. Kriteria:
Fleksibilitas, Layanan Proxy, Filtering, Perangkat Audit, Pemeriksaan Kelemahan.
b) Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system IPS)
terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti institusi keuangan.
c) Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data.
d) Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa
konten pada berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan.
e) Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam
urutan yang sesuai.
f) Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak terotorisasi
dari luar instalasi.
Mengendalikan Risiko Kegagalan Peralatan
Permasalahan umum hilangnya data disebabkan oleh kesalahan jaringan (line error).
Pengendalian dalam kegagalan peralatan ini adalah Echo Check (penerima pesan
mengembalikan pesan kepada pengirim) dan Parity Check (menambahkan bit tambahan (bit
paritas) ke dalam struktur suatu string bit ketika dibuat atau ditransmisikan).
Tujuan audit, untuk memverifikasi keutuhan transaksi dengan menentukan bahwa
pengendalian telah dilakukan untuk mendeteksi dan mengkoreksi pesan yang hilang akibat
kegagalan peralatan.

Prosedur audit: Memilih sampel pesan dari log transaksi dan mengujinya untuk konten yang
kacau yang disebabkan oleh gangguan jalur serta Memverifikasi bahwa semua pesan yang
korup telah ditransmisikan ulang dengan sukses
Auditing Database Systems
Pendekatan manajemen data dibagi menjadi 2:
1. Pendekatan Flat-File adalah file data yang berisi catatan tanpa hubungan yang terstruktur
ke file lain. Masalah yang signifikan: Penyimpanan data, Pembaruan data, Kekinian
informasi dan Ketergantungan Task-Data.
2. Pendekatan Database, akses terhadap sumber daya data dikontrol oleh database
management system (DBMS). DBMS adalah suatu sistem software khusus yang
diprogram untuk mengetahui elemen data mana yang dapat diakses oleh pengguna.
Elemen elemen kunci dalam lingkungan database
1. Database Management System (DBMS), fitur-fitur umum: Program development,
Backup and recovery, Database usage reporting dan Database access (Data Definition
Language (DDL), Data Manipulation Language, dan Query Language).
2. Pengguna (Users), dengan interface aplikasi formal dan dengan bahasa Query
3. Database Administrator (DBA), tugas DBA meliputi perencanaan database; desain
database; implementasi, operasi, dan pemeliharaan database; serta pertumbuhan dan
perubahan database.
4. Database Fisik, terdiri dari titik-titik magnetik pada disk yang berlapis logam. Tingkat
lain dari database (tampilan pengguna, pandangan konseptual, dan pandangan internal).
5. Model-model DBMS, terdapat tiga model DBMS, yaitu model hirarkis, jaringan, dan
relasional.
Database dalam lingkungan yang terdistribusi
a) Database Terpusat, b) Database Terdistribusi (Database terpartisi dan Database
terreplikasi) dan c) Kontrol Konkurensi (keberadaan data yang lengkap dan akurat pada
semua situs pengguna).
Pengendalian dan audit sistem manajemen data
1. Pengendalian Akses, dirancang untuk mencegah individu yang tidak berwenang untuk
melihat, mengambil, mengorupsi, atau merusak data entitas. Kontrol akses yang dapat
dilakukan antara lain: User views, Tabel Otorisasi Database, Prosedur yang ditetapkan
pengguna, Enkripsi data, Alat-alat Biometrik (seperti fingerprint, voice print, retina
prints, atau karakteristik tanda tangan), Kontrol Inferensi.
Tujuan audit, memverifikasi bahwa wewenang dan hak istimewa diberikan kepada
pengguna sesuai dengan kebutuhan mereka.
2. Pengendalian Backup, dirancang untuk memastikan bahwa apabila terjadi kehilangan
data akibat akses yang tidak terotorisasi, kegagalan peralatan, atau bencana fisik,
organisasi dapat memulihkan databasenya.
Pengendalian backup dalam lingkungan flat-file: Teknik Backup GPC, Backup file akses
langsung dan Penyimpanan di tempat lain (off-site).
Tujuan audit, untuk memverifikasi apakah kontrol backup dilakukan dengan efektif
dalam melindungi file data dari kerusakan fisik, kehilangan, penghapusan yang tidak
disengaja, dan korupsi data melalui kegagalan sistem dan kesalahan program.
Pengendalian backup dalam lingkungan database: Backup keseluruhan database secara
periodik, Log transaksi (jurnal), Fitur cekpoin (checkpoint feature) dan Modul pemulihan
(recovery module).
Tujuan audit, untuk memverifikasi bahwa kontrol terhadap sumber daya data cukup
untuk menjaga keutuhan dan keamanan fisik database.