BERBASIS KOMPUTER
(BAGIAN II)
Sub Pokok Bahasan :
-
Sifat Eksposur
Kerugian,
korupsi
Teknik Kontrol
penghancuran,
data
karena
Data memiliki otoritas, dan transaksi yang Kontrol otorisasi dan validasi, kontrol
illegal.
akses,
Kontrol
keutungan
karena
organisasi,
kontrol
akses,
Pada bab sebelumnya telah dibahas karakteristik operasional dari beberapa topologi
jaringan yang digunakan dalam internet dan komunikasi intranet. Topologi jaringan ini terdiri
atas berbagai konfigurasi, yaitu: (1) garis komunikasi (kabel-kabel twisted-pair, kabel
koaksial, gelombang mikro, dan serat optik), (2) komponen perangkat keras (modem,
multiplexer, server, dan prosesor front-end), serta (3) perangkat lunak (protokol dan sistem
kontrol jaringan).
Teknologi komunikasi jaringan terbuka mengekspos sistem komputer organisasi pada
dua kategori risiko umum, yaitu:
1. Risiko dari ancaman subversif. Termasuk tindakan criminal computer yang
menyisipkan sebuah pesan yang dikirim antara pengirim dan penerima, pembajak
computer yang mendapatkan akses yang tidak sah ke jaringan organisasi, dan
serangan penyangkalan jasa computer dari alokasi internet yang jauh.
2. Risiko dari kegagalan peralatan. Misalnya , transmisi diantara pengirim dan penerima
dapat dikacaukan , dirusak , atau dikorupsi oleh kegagalan peralatan dan system
komunikasi.
firewall tersebut,
hanya lalu lintas yang sah antara organisasi dan pihak luar, yang ditentukan
proxies yang
memungkinkan layanan rutin seperti e-mail untuk dapat menembus firewall, tetapi
tetap dapat menjalankan fungsi-fungsi yang canggih seperti logging atau menentukan
otentisitas pemakai untuk tugas-tugas tertentu.
b. Pengontrolan Penolakan terhadap Serangan Pelayanan
Ketika seorang pemakai sistem terkoneksi dengan internet melalui TCP/IP,
sebuah hubungan server penerima kemudian mengenal permintaan tersebut dengan
mengembalikan sebuah paket SYN/ACK. Akhirnya mesin tuan rumah yang melakukan
inisiatif menanggapinya dengan sebuah kode paket ACK. Para pembajak dan
penyusup komputer telah melakukan tindakan kriminal yang disebut menolak
serangan pelayanan (denial of service attack), dimana penyerang mengirim ratusan
paket SYN kepada penerima yang ditargetkan tetapi tidak pernah menanggapinya
dengan sebuah SCK untuk menyelesaikan hubungan tersebut. Akibatnya, server
penerima dimacetkan oleh permintaan komunikasi yang tidak selesai, yang
menghambat penerimaan dan pemrosesan transaksi sah. Organisasi yang diserang
telah dihalangi untuk menerima pesan internet selama berhari-hari.
Terdapat dua tindakan yang dapat dilakukan oleh pihak manajemen dan
akuntan untuk membatasi eksposur, yaitu:
1. Pertama, situs-situs internet yang dilengkapi dengan firewall harus terlibat
dalam kebijakan tanggung jawab sosial.
2. Kedua, keamanan perangkat lunak tersedia untuk situs-situs yang menjadi
sasaran, yang dapat menyaring hubungan-hubungan yang setengah terbuka
(half-open connections).
c. Enkripsi
Enkripsi adalah konversi data menjadi kode rahasia untuk disimpan dalam
database dan ditransmisikan melalui jaringan. Pengirim menggunakan algoritma
enkripsi yang mengkonversi pesan original yang disebut cleartext ke kode yang
ekuivalen yang disebut ciphertext. Pada akhir penerimaan, ciphertext dibalikkan
(didekripsikan) lagi menjadi clear-text. Algoritma enkripsi ini menggunakan sebuah
kunci, berupa nomor biner yang panjangnya 56 sampai 128 bit. Semakin banyak bitnya dalam kunci tersebut, semakin kuat metode enkripsinya.
Enkripsi Kunci Privat. Standar enkripsi data atau Data Encryption Standar
(DES) menggunakan sebuah kunci tunggal yang dikenal pengirim dan
penerima pesan. Gambar berikut mengilustrasikan teknik ini.
untuk
mengenkripsikan
pesan
sebanyak
tiga
kali.
EDE3
untuk menguraikan
diterima
Sebelum
diproses,
perangkat
lunak
aplikasi
mitra
dagang
dapat
Tingkat kontrol akses dalam sebuah sistem ditetapkan oleh perjanjian dagang di
antara mitra-mitra dagang. Agar EDI berfungsi dengan baik,mitra dagang harus mengizinkan
tingkat akses tertentu ke file-file data privat yang akan dilarang dalam lingkungan tradisonal.
Misalnya, sebelum menempatkan pesanan, sistem pelanggan mungkin perlu mengakses filefile persedian pemasok, untuk menentukan apakah persediaannya ada atau tidak. Juga, agar
pemasok tidak harus menyiapkan faktur dan supaya pelanggan tidak harus mencocokannya
dengan pesanan pembelian, masing-masing pihak dapat mengadakan persetujuan bahwa
harga pada pesanan pembelian akan mengikat kedua belah pihak.
Untuk menjaga sistem dari akses-akses yang tidak memiliki otorisasi, setiap perusahaan
harus memiliki file pelanggan dan file pemasok yang sah sehingga pertanyaan-pertanyaan
terhadap database dapat divalidasi dan usaha-usaha akses yang tidak sah dapat ditolak.
Pengendalian Akses
10
3.
11
Teknologi maju dan daya sistem komputer pribadi (PC) modern sangat berbeda dengan
lingkungan operasional yang relatif tidak canggih di tempatnya berada. Terdapat beberapa
risiko yang lebih signifikan dan kemungkinan teknik pengendalian, yaitu :
inheren dengan teknik pengendalian yang lebih konvensional. Berikut ini adalah
contoh yang dapat membantu mengurangi risiko tersebut :
1. Menggunakan Peranti Lunak Komerisal
Sampai pada batas tertentu yang mungkin, para pengguna harus membeli peranti
lunak komersial dari pemasok yang kompeten untuk aplikasi akuntansi bagi PC
mereka. Peranti lunak komersial yang dibeli dari pemasok yang kompeten biasanya
akan diuji secara menyeluruh dan sangat bisa diandalkan.
2. Prosedur Pemilihan Peranti Lunak
Perusahaan-perusahaan kecil harus menggunakan prosedur pemilihan peranti lunak
yang menjalankan langkah-langkah berikut ini :
mereka
untuk
memenuhi
kebutuhan
yang
telah
diidentifikasi.
Menghubungi pihak-pihak yang pernah memakai paket peranti lunak
potensial untuk mendapatkan opini mereka tentang produk tersebut.
Melakukan seleksi.
Control batch
Control validasi
mengendalikan
eksposur jenis
ini
, organisasi
harus
transmisi batch (batch transmittal sheet) dan sebuah catatan harian control
batch (batch control log)
1. Lembar kerja transmisi batch (batch transmittal sheet)
Lembar kerja transmisi batch menangkap informasi yang relevan dengan
batch, misalnya:
Interogasi field
Introgasi Field melibatkan prosedur yang terprogram yang memeriksa
karakteristik data dalam sebuah field. Berikut ini adalah beberapa tipe
umum dari introgasi field.
Pemeriksaan data yang hilang (missing data checks) digunakan
untuk memeriksa isi ada tidaknya bentuk data yang benar
dalam suatu field.
16
Interogasi record
Prosedur introgasi
record
mensahkan
seluruh
record
dengan
Interogasi file
Tujuan interogasi file adalah untuk memastikan bahwa file yang benar
sedang diproses oleh sistem.
Pemeriksaan label internal (internal label check) memverifikasi
bahwa file yang diproses adalah file yang memang dipanggil
oleh program.
17
Pemeriksaan
versi
(version
check)
digunakan
untuk
2. Pengendalian Pemrosesan
Pengendalian pemrosesan dibagi menjadi tiga kategori, yaitu :
a) Pengendalian Run-to-Run
Pengendalian
run-to-run
menggunakan
angka-angka
batch
untuk
Pemeriksaan
Urutan.
Pengendalian
pemeriksaan
urutan
untuk
memastikan
telah
dilakukannya
proses
tindakan
tertentu,
seperti
misalnya
memasukkan
total
19
sama seperti halnya sebuah jurnal. Terdapat dua alasan untuk menciptakan
sebuah catatan harian transaksi, yaitu :
1. Catatan harian transaksi merupakan sebuah record permanen dari
transaksi-transaksi.
2. Tidak semua record dalam file transaksi yang divalidasi dapat berhasil
diproses.
Membuat Daftar Transaksi. Sistem harus menghasilkan sebuah daftar
transaksi tertentu dibasis data yang berisi ribuan bahkan jutaan record.
Pembuatan Daftar Kesalahan. Daftar dari semua record yang salah harus
diberikan ke pengguna yang sesuai untuk dapat mendukung koreksi
kesalahan dan penyerahan kembali data-data.
4. Pengendalian Output
Pengendalian output memastikan bahwa output sistem tidak hilang, tidak salah arah, dan
tidak dilanggar. Eksposur untuk jenis ini dapat menimbulkan gangguan serius bagi
kegiatan operasi dan membuat perusahaan merugi dari sisi keuangan. Hal-hal ini dapat
merusak rating
20
Gulungan Output. Dalam operasi pemrosesan data skala besar, perangkat output
seperti saluran printer dapat dipenuhi oleh tumpukan banyak program pada waktu
yang bersamaan menuntutsumber daya yang terbatas yang dapat menimbulkan
situasi bottleneck (mempengaruhi output yang dihasilkan sistem). Untuk
mengurangi dan meringankan beban yang memenuhi memori komputer, aplikasiaplikasi sering kali didesain untuk mengarahkan output mereka ke sebuah kaset
file magnetis daripada langsung ke printer, hal ini disebut spooling
(penggulungan). Penciptaan sebuah file output sebagai langkah perantara dalam
proses pencetakan membuka peluang bagi ekposur tembahan. Seorang kriminal
komputer dapat menggunakan kesempatan ini untuk melakukan tindakan yang
ilegal berikut :
1. Mengakses file output dan mengubah nilai-nilai data penting
2. Mengakses file dan mengubahjumlah salinan output yang akan dicetak
3. Membuat satu salinan dari file output untuk menghasilkan laporan-laporan
output yang ilegal
4. Menghancurkan file output sebelum tahap pencetakan dimulai
Auditor harus selalu waspada terhadap eksposur potensial ini dan memastikan
bahwa prosedur akses dan backup yang benartelah dilakukan untuk melindungi
file output.
Program Pencetakan.
sistem yang kompleks dan memerlukan intervensi operator. Empat tindakan yang
biasa dilakukan oleh opertaor adalah :
21
1.
2.
3.
4.
Memindahkan output yang sudah dicetak dari printer untuk diperiksa dan
dibagikan
Kontrol program pencetakan didesain untuk menangani dua jenis eksposur yang
disajikan oleh lingkungan ini : (1) produksi salinan output yangsecara tidak sah,
dan (2)karyawan yang melihat-lihat ke data-data yang sensitif. Untuk mencegah
operator melihat yang sensitif, kertas khusus yang memiliki banyak bagian
dengan lembar atas kertas diberi warna hitam agar tidak dapat terbaca, contoh
seperti ini sering kali digunakan untuk slip pembayaran gaji. Salah satu kontrol
privasi alternatif lainnya adalah dengan mengarahkan output ke sebuah printer
khusus yang letaknya terpisah dan dapat diawasai dengan lebih teliti.
Meluap. Ketika laporan output dipindahkan dari printer , mereka memasuki tahap
peluapan yaitu dipenuhi oleh banyak dokumen hasilpencetakan yang perlu
dipisah-pisahkandan disusun.
Sampah. Sampah output dari komputer mewakili salah satu eksposur potensial,
penting untuk membuang laporan-laporan yang tidak terpakai secara benar
Distribusi Laporan resiko utama yang berkaitan antara lain resiko hilang atau
dicurinya dokumen atau kesalahan dalam pengiriman laporanke pemakai. Untuk
laporan-laporan yang sangat sensitif, teknis distribusi berikut ini dapat digunakan :
1.
Laporan tersebut bisa diletakkan dalam sebuah kotak surat yang aman di
mana hanya pemakainya saja yang memiliki kunci kotak surat tersebut
2.
Penetapan
bahwa
pemakaianya
secara
pribadi
harus
datang
3.
Kontrol Pemakai Akhir. Ketika sudah berada ditangan pemakai, laporan tersebut
harusdiperiksa kembali untuk melihat jika ada kesalahan yang mungkin terlewati
oleh petugas kontrol. Ketika laporan tersebut memenuhi fungsinya, laporan
tersebut harus ditempatkan dalam lokasi yang aman sampai periode penahanannya
berakhir. Faktor-faktor yang mempengaruhi lamanya sebuah laporan hardcopy
dipertahankan antara lain :
1.
2.
3.
Ketika tanggal retensi (penahanan laporan) tersebut telah berlalu, laporan tersebut
harus dihancurkan dengan cara yang konsisten, sesuai dengan tingkat sensitivitas
dari laporan tersebut.
b.
2.
23