Tugas Ringkasan Auditing of Networks and Database System

Auditing of Networks
Risiko Intranet
Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari ribuan
node individu.
Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap database
perusahaan, dan karyawan-karyawan dengan hak istimewa.
Risiko Internet
IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses tidak sah ke server Web.
Denial of Service Attack (Dos), yaitu serangan terhadap server web untuk mencegah
melayani pengguna yang sah.
Risiko dari kegagalan peralatan
Mengendalikan Resiko dari Ancaman Subversif
1. Firewalls: sebuah sistem yang memberlakukan kontrol akses antara dua jaringan
2. Mengendalikan DOS Attacks: Smurf Attacks, SYN Flood Attacks, Ddos Attacks
3. Enkripsi: konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi.
4. Tanda tangan digital
5. Sertifikat digital
6. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.
7. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar, mendeteksi hacker.
8. Teknik request-response
9. Call-back devices
Tujuan Audit terkait Pengendalian dari Ancaman Subversif
Tujuan audit terkait pengendalian dari ancaman subversif untuk memverifikasi keamanan dan
keutuhan transaksi keuangan dengan menentukan bahwa pengendalian jaringan:
a) dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan atau dari internet,
b) akan menjadikan data tidak berguna dan pelaku berhasil ditangkap,
c) cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung ke jaringan.
Prosedur Audit terkait Pengendalian dari Ancaman Subversif
Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan
Memverifikasi bahwa sistem pencegahan intrusi terdapat pada organisasi yang rentan
terhadap serangan Ddos, seperti institusi keuangan.
Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data.
Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian
Meninjau log transaksi pesan
Menguji operasi fitur call-back
Pengendalian dan Risiko Sistem Komputer
Kelemahan Sistem Operasi, kontrol akses yang lemah, pemisahan tugas yang tidak memadai,
risiko pencurian, prosedur backup yang lemah, risiko infeksi virus, pengendalian password
multilevel.
Tujuan Audit terkait Kontrol dan Risiko Sistem Komputer

Memverifikasi bahwa pengendalian telah dilakukan, memverifikasi bahwa pengawasan dan

prosedur operasi yang memadai telah ada, memverifikasi bahwa prosedur backup telah
dilakukan, memverifikasi bahwa prosedur pemilihan dan akuisisi sistem memproduksi
aplikasi yang berkualitas tinggi, dan terlindungi dari perubahan yang tidak terotorisasi,
memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi.
Prosedur Audit terkait Kontrol dan Risiko Program Komputer
Mengamati PC yang ada secara fisik untuk mengurangi kesempatan pencurian.
Memverifikasi bagan organisasi, uraian tugas, dan pengamatan bahwa programmer sistem
akuntansi tidak mengoperasikan sistem itu juga.
Menentukan bahwa pengendalian password multilevel digunakan
Apabila removable atau external hard drive digunakan, auditor harus memverifikasi
bahwa drive telah dilepas dan disimpan dalam lokasi yang aman ketika tidak digunakan.
Memilih sampel PC dan memverifikasi bahwa paket software komersial dibeli dari vendor
yang terpercaya dan resmi.
Meninjau kebijakan organisasi mengenai penggunaan software antivirus.
Database System
Management Approach atas database, ada 2:
1. Flat-File Approach: data file dicatat terpisah dan
tidak saling terkoneksi satu sama lain.
2. Database Approach: mensentralisasi data
organisasi yang dibagi kepada user dengan
database management system (DBMS).
Elemen Kunci dalam Database Environment: DBMS, Data Definition Language (DDL),
user (pengguna), database administrator, database fisik, DBMS models.
Database dalam lingkungan yang terdistribusi: Centralized Database, Distributed Database:
Partitioned Database dan Replicated Database, Congcurrency Control.
Mengendalikan dan Mengaudit DMS
1. Access Control: mencegah akses yang tidak diinginkan atas individu untuk melihat,
memperoleh, merusak, atau menghacurkan data. Beberapa contohnya adalah: User
Views, Database Authorization Table, User-Defined Procedures, Data Encryption,
Biometric Device, Inference Control.
Tujuan audit terkait akses database: memastikan bahwa akses database diberikan sesuai
kebutuhan user.
2. Backup Control:
File-file environtment: GPC backup technique, Direct Access File Backup, OffSite Storage.
Database environtment: backup, transaction log, checkpoint feature, recovery
module.
Tujuan audit terkait backup: memastikan bahwa terdapat kendali yang cukup untuk
menjaga integritas dan keamanan fisik database.