Anda di halaman 1dari 11

RESUME

CHAPTER 3: AUDITING OPERATING SYSTEM AND


NETWORKS

SISTEM OPERASI AUDIT

Sistem Operasi adalah program pengendalian komputer yang


memungkinkan

pengguna

dan

aplikasi

untuk

berbagi

dan

mengakses sumber daya yang umum komputer, seperti prosesor,


memori utama, database, dan printer.
Tujuan Sistem Operasi

Sistem operasi melakukan tiga tugas utama, yaitu:


1. Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++,
BASIC, dan SQL, ke dalam bahasa tingkat mesin yang dapat
dieksekusi oleh komputer. Modul penerjemah bahasa dalam
sistem operasi disebut compilers dan interpreters.
2. Mengalokasikan sumber daya kepada pengguna, kelompok
kerja (workgroups), dan aplikasi.
3. Mengelola tugas pengelolaan kerja (job scheduling) dan

multiprograming.
Untuk melakukan tugas-tugas tersebut, sistem operasi harus
mencapai lima tujuan penegnedalian fundamental:
1. Sistem operasi harus melindungi dirinya

sendiri

dari

pengguna.
2. Sistem operasi harus melindungi pengguna dari pengguna
lainnya.
3. Sistem operasi harus melindungi pengguna dari pengguna itu
sendiri.
4. Sistem operasi harus dilindungi dari sistem operasi itu sendiri.
5. Sistem operasi harus dilindungi dari lingkungannya sendiri.
Keamanan Sistem Operasi

Keamanan sistem operasi mencakup kebijakan, prosedur, dan


pengendalian yang menentukan siapa yang dapat mengakses
sistem operasi, di mana sumber daya (files, program, printers)
dapat mereka gunakan, dan tindakan apa yang dapat mereka

lakukan.
Komponen keamanan sistem operasi yang ditemukan dalam sistem
operasi yang aman, adalah prosedur log-on, access Token, Access
Control List, dan Discretionary Access Privileges.

Ancaman terhadap Sistem Operasi

Ancaman terhadap sistem operasi dapat berasal dari tiga sumber,


yaitu:
1. Pegawai berwenang yang menyalahgunakan wewenangnya.
2. Individu, baik internal maupun eksternal organisasi, yang
menelusuri

sistem

operasi

untuk

mengidentifikasi

mengeksploitasi celah-celah keamanannya.


3. Individual yang secara sengaja maupun

tidak

dan

sengaja

memasukkan virus komputer atau program destruktif bentuk


lainnya ke dalam sistem operasi.
Pengendalian Sistem Operasi dan Pengujian Audit
Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan
pengujian terkait yang dapat dilakukan oleh auditor, adalah sebagai
berikut.
1. Mengendalikan hak akses.
Tujuan audit yang berkaitan dengan hak akses.
Tujuan auditor adalah untuk memastikan bahwa hak akses yang
diberikan dengan cara yang konsisten dengan kebutuhan untuk
memisahkan fungsi yang tidak kompatibel dan sesuai dengan

kebijakan organisasi.
Prossedur audit yang berkaitan dengan hak akses.
a) Meninjau kebijakan organisasi untuk memisahkan fungsi yang
tidak

kompatibel

dan

memastikan

mempromosikan keamanan yang wajar.

bahwa

mereka

b) Meninjau hak istimewa dari pilihan kelompok pengguna dan


individu untuk menentukan apakah hak akses mereka sesuai
dengan deskripsi pekerjaan dan posisi mereka.
c) Meninjau catatan personil untuk menentukan apakah karyawan
yang diberi kewenangan menjalani pemeriksaan izin keamanan
secara intensif sesuai dengan kebijakan perusahaan.
d) Meninjau catatan karyawan untuk menentukan

apakah

pengguna telah secara formal mengakui tanggung jawab mereka


untuk menjaga kerahasiaan data perusahaan.
e) Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus
sepadan

dengan

tugas yang dilakukan.


2. Pengendalian Password
Password adalah kode rahasia yang dimasukkan oleh user untuk

dapat mengakses sistem, aplikasi, file data, atau server jaringan.


Jenis password ada dua, yaitu: reusable passwords dan one-time

passwords.
Tujuan auditor terkait password adalah untuk memastikan bahwa
organisasi memiliki kebijakan password memadai dan efektif untuk

mengendalikan akses terhadap sistem operasi.


Prosedur audit terkait password antara lain.
a) Memverifikasi bahwa semua pengguna
memiliki password.
b) Memverifikasi bahwa

pengguna

baru

diharuskan

untuk

diinstruksikan

dalam

penggunaan password dan pentingnya pengendalian password.


c) Meninjau prosedur pengendalian password untuk memastikan
bahwa password diubah secara teratur.
d) Meninjau file password untuk menentukan bahwa password yang
lemah diidentifikasi dan tidak diijinkan.
e) Memverifikasi bahwa file password dienkripsi dan bahwa kunci
enkripsi telah diamankan dengan baik.
f) Menilai kecukupan standar password

seperti

panjangnya

password dan jangka waktu kadaluwarsa password.


g) Meninjau kebijakan dan prosedur penguncian (lockout).
3. Pengendalian terhadap program yang berbahaya dan destruktif
Tujuan audit terkait virus dan program destruktif lainnya adalah
untuk memverifikasi kebijakan dan prosedur manajemen yang
efektif

telah

ditempatkan

untuk

mencegah

pemasukan

dan

penyebaran program-program destruktif, seperti virus, worms, back


doors logic bombs, dan Trojan Horse.

Prosedur audit terkait dengan virus dan program destruktif lainnya,


antara lain.
a) Melalui interview, menentukan bahwa karyawan operasional
telah dididik mengenai virus komputer dan sadar akan risiko
penggunaan

komputer

yang

dapat

memasukkan

dan

menyebarkan virus dan program berbahaya lainnya.


b) Memverifikasi bahwa software baru telah diuji pada workstation
mandiri sebelum diimplementasikan pada host atau jaringan
server.
c) Memverifikasi bahwa versi terkini software antivirus telah
diinstal pada server dan upgrade-nya diunduh secara teratur
pada workstation.
4. System Audit Trail Controls
System audit trails adalah log yang merekam aktivitas di sistem,
aplikasi, dan tingkat pengguna. Sistem operasi memungkinkan
manajemen untuk memilih tingkat audit yang akan dicatat

dalam log.
Audit trails umumnya terdiri dari dua tipe log audit, yaitu
a) Keystroke Monitoring, mencakup perekaman keystroke
pengguna dan respon sistem.
b) Event Monitoring, merangkum kegiatan kunci yang terkait

dengan sumber daya sistem


Audit Trails dapat digunakan untuk mendukung tujuan keamanan

dalam tiga cara:


a) Mendeteksi akses yang tidak diotorisasi ke dalam sistem
b) Memfasilitasi rekonstruksi kejadian
c) Mendorong akuntabilitas personal.
Tujuan audit terkait dengan System Audit Trails adalah untuk
menjamin bahwa system audit trail telah mencukupi untuk
mencegah
kejadian

dan
kunci

mendeteksi
yang

pelanggaran,

mengawali

kegagalan

merekonstruksi
sistem,

dan

merencanakan alokasi sumber daya.


Prosedur audit terkait System Audit Trails, yaitu:
a) Memverifikasi audit trail telah diaktivasi berdasarkan
kebijakan organisasi.

b) Banyak sistem operasi menyediakan penampil log audit


yang memungkinkan auditor untuk memindai log untuk
aktivitas yang tidak biasa. Ini dapat ditinjau pada layar
atau dengan pengarsipan file untuk diperiksa berikutnya.
c) Kelompok keamanan organisasi memiliki tanggung jawab
untuk memantau dan melaporkan pelanggaran keamanan.
Auditor

harus

memilih

sampel

kasus

pelanggaran

keamanan dan mengevaluasi disposisi mereka untuk


menilai efektivitas dari kelompok keamanan.
JARINGAN AUDIT
Risiko Intranet

Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin
terdiri

dari

ribuan

node

individu.

Intranet

digunakan

untuk

menghubungkan karyawan dalam suatu bangunan tunggal, antar


bangunan dalam kampus fisik yang sama, dan antar lokasi yang
tersebar secara geografis. Umumnya, aktivitas intranet meliputi
routing

e-mail,

pemrosesan

transaksi

antar

unit

bisnis,

dan

menghubungkan dengan internet luar.


Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses
terhadap database perusahaan, dan karyawan-karyawan dengan
hak istimewa.

Risiko Internet

IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses


tidak sah ke server Web dan/atau untuk mengabadikan perbuatan

melawan hukum tanpa mengungkapkan identitas seseorang.


Denial of Service Attack (Dos), yaitu serangan terhadap server web
untuk mencegah melayani pengguna yang sah. Jenis-jenis Dos
antara lain SYN flood, smurf, dan distributed denial of service

(DDos).
Risiko dari kegagalan peralatan, seperti jaringan komunikasi (kabel
coaxial, microwaves, dan serat optik), komponen perangkat keras

(modem,

multiplexers,

server,

dan

prosesor

front-end),

dan

software.
Mengendalikan Resiko dari Ancaman Subversif
1. Firewalls
Firewalls merupakan sebuah sistem yang memberlakukan kontrol
akses antara dua jaringan. Hanya lalu lintas yang berwenang
antara organisasi dan luar organisasi yang diperbolehkan untuk
melewati firewall.

Jenis-jenis firewall:
a) Network-level Firewall, menyaring router yang memeriksa
alamat sumber dan tujuan.
b) Application-level Firewall, menjalankan keamanan aplikasi yang

disebut proxy.
2. Mengendalikan DOS Attacks.
Smurf Attacks
Organisasi dapat memprogram firewall untuk mengabaikan situs

penyerang ketika terdeteksi.


SYN Flood Attacks
a) Menggunakan firewall pada host internet yang dapat memblokir
alamat IP yang tidak valid.
b) Menggunakan software pengaman

yang

dapat

memindai

koneksi yang setengah terbuka.


Ddos Attacks
Banyak organisasi menggunakan Intrusion Prevention Systems
(IPS) yang melakukan inspeksi paket mendalam (deep packet

inspection DPI)
3. Enkripsi
Enkripsi adalah konversi data ke dalam kode rahasia untuk
penyimpanan dan transmisi. Algoritma enkripsi menggunakan
kunci (keys), yang umumnya memiliki panjang 56 hingga 128 bit.
Semakin

banyak

bit

dalam

kunci,

semakin

kuat

metode

enkripsinya.
Pendekatan umum dalam enkripsi adalah enkripsi private key dan
public key.
a) Private key encryption

Standar enkripsi lanjutan (Advance Encryption Standard


AES), menggunakan kunci tunggal yang diketahui oleh
pengirim dan penerima pesan.
Triple Data Encryption Standard (DES), menggunakan
tiga kunci. Dua bentuk enkripsi triple-DES adalah EEE3
dan
EDE3.

b) Public Key Encription


Menggunakan dua kunci yang berbeda, satu untuk
encoding pesan, dan yang lainnya untuk decoding
pesan.
Masing-masing penerima memiliki private key yang
disimpan secara rahasia dan public key yang dipublished.
4. Tanda Tangan Digital
Tanda tangan digital

merupakan

teknik

otentikasi

untuk

memastikan bahwa pesan yang ditransmisikan berasal dari


pengirim yang berwenang dan pesan tidak dirusak setelah tanda
tangan dimasukkan.
5. Sertifikat digital
Sertifikat digital mirip seperti kartu identifikasi elektronik dengan
sistem enkripsi public key. Berfungsi untuk memverifikasi
kewenangan pengirim pesan.
6. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan
yang hilang.
7. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar
untuk mendeteksi adanya upaya hacker.
8. Teknik request-response, merupakan suatu pengendalian pesan dari
pengirim dan respon dari penerima yang dikirimkan dalam interval
periodik dan tersinkronisasi.
9. Call-back devices, merupakan suatu alat di mana penerima memanggil
kembali

pengirim

pada

nomor

telepon

sebelumnya, sebelum transmisi diselesaikan.

yang

telah

diotorisasi

Tujuan Audit terkait Pengendalian dari Ancaman Subversif

Tujuan audit terkait pengendalian dari ancaman subversif adalah


untuk

memverifikasi

keamanan

dan

keutuhan

transaksi

keuangan dengan menentukan bahwa pengendalian jaringan


a) dapat mencegah dan mendeteksi akses ilegal dari internal
perusahaan atau dari internet,
b) akan menjadikan data tidak berguna dan pelaku berhasil
ditangkap,
c) cukup untuk menjaga keutuhan dan keamanan fisik dari
data yang terhubung ke jaringan.

Prosedur Audit terkait Pengendalian dari Ancaman Subversif

Meninjau kecukupan firewall dalam menyeimbangkan kontrol


dan kenyamanan
Fleksibilitas,

firewall

harus

cukup

fleksibel

untuk

mengakomodasi layanan baru.


Layanan Proxy, aplikasi proxy yang memadai harus pada
tempatnya

untuk

menyediakan

otentikasi

pengguna

secara eksplisit terhadap layanan, aplikasi, dan data yang


sensitif.
Filtering, firewall harus membedakan layanan mana yang
diizinkan untuk diakses oleh pengguna, mana yang tidak.
Perangkat
Audit,
firewall
harus
menyediakan
keseluruhan kumpulan audit dan me-log perangkat yang
mengidentifikasi dan mencatat aktivitas mencurigakan.
Pemeriksaan
Kelemahan,
memeriksa
kelemahan

firewall secara periodik yang dapat ditemukan oleh hacker.


Memverifikasi bahwa sistem pencegahan intrusi (intrusion
prevention system IPS) terdapat pada organisasi yang rentan

terhadap serangan Ddos, seperti institusi keuangan.


Meninjau prosedur keamanan yang mengelola administrasi kunci
enkripsi data.

Memverifikasi proses enkripsi denan mentransmisikan pesan


pengujian dan memeriksa konten pada

berbagai poin di

sepanjang saluran antara lokasi pengiriman dan penerimaan.


Meninjau log transaksi pesan untuk memverifikasi bahwa semua

pesan diterima dalam urutan yang sesuai.


Menguji operasi fitur call-back dengan menempatkan panggilan
yang tidak terotorisasi dari luar instalasi.

Mengendalikan Risiko Kegagalan Peralatan

Permasalahan yang umum terjadi dalam komunikasi data adalah

hilangnya data yang disebabkan oleh kesalahan jaringan.


Pengendalian dalam kegagalan peralatan ini adalah:
a) Echo Check, penerima pesan mengembalikan pesan kepada
pengirim
b) Parity Check, menambahkan bit tambahan (bit paritas) ke

dalam struktur suatu string bit ketika dibuat atau ditransmisikan.


Tujuan audit terkait pengendalian risiko kegagalan peralatan adalah
untuk memverifikasi keutuhan transaksi dengan menentukan bahwa
pengendalian telah dilakukan untuk mendeteksi dan mengkoreksi

pesan yang hilang akibat kegagalan peralatan.


Prosedur audit:
a) Memilih sampel pesan dari log transaksi dan mengujinya untuk
konten yang kacau yang disebabkan oleh gangguan jalur.
b) Memverifikasi bahwa semua pesan yang korup

telah

ditransmisikan ulang dengan sukses


Pengendalian dan Risiko Sistem Komputer

Kelemahan Sistem Operasi


Minimalnya keamanan untuk file dan program data
Data yang tersimpan dalam mikro komputer yang dibagikan
oleh banyak pengguna terekspos ke akses yang tidak

terotorisasi, manipulasi, dan perusakan.


Kontrol akses yang lemah
Prosedur log-on biasanya aktif hanya ketika komputer booting
dari hard drive, bagaimana jika booting dari CD-ROM?
Pemisahan tugas yang tidak memadai
Komputer digunakan bersama oleh end user
Operator juga bertindak sebagai developer

Risiko pencurian
PC dan Laptop mudah dicuri
Kebijakan untuk mengelola data yang senstif
Prosedur backup yang lemah
Kegagalan disk, merupakan penyebab utama dari kehilangan
data dalam lingkungan PC
End user harus mem-backup PC mereka sendiri, namun

kebanyakan mereka tidak berpengalaman.


Risiko infeksi virus
Memastikan bahwa software antivirus dipasang pada PC dan

tetap terbaharui.
Pengendalian password multilevel
Ketika komputer digunakan bersama oleh karyawan, masingmasing karyawan diharuskan memasukkan password untuk
mengakses aplikasi dan data mereka.

Tujuan Audit terkait Kontrol dan Risiko Sistem Komputer

Memverifikasi

bahwa

pengendalian

telah

dilakukan

untuk

melindungi data, program, dan komputer dari akses yang tidak

terotorisasi, manipulasi, perusakan, dan pencurian.


Memverifikasi bahwa pengawasan dan prosedur operasi yang
memadai telah ada untuk mengimbangi kurangnya pemisahan

tugas antara pengguna, programmer, dan operator.


Memverifikasi bahwa prosedur backup telah dilakukan

untuk

mencegah hilangnya data dan program akibat kegagalan sistem,

error, dan sebagainya,


Memverifikasi bahwa prosedur

pemilihan

dan

akuisisi

sistem

memproduksi aplikasi yang berkualitas tinggi, dan terlindungi dari

perubahan yang tidak terotorisasi.


Memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi
untuk meminimalkan risiko infeksi dari virus atau sejenisnya.

Prosedur Audit terkait Kontrol dan Risiko Program Komputer

Mengamati PC yang ada secara fisik untuk mengurangi kesempatan


pencurian.

Memverifikasi bagan organisasi, uraian tugas, dan pengamatan


bahwa programmer sistem akuntansi tidak mengoperasikan sistem

itu juga.
Menentukan bahwa pengendalian password multilevel digunakan
untuk membatasi akses terhadap data dan aplikasi serta bahwa
otoritas akses yang diberikan konsisten dengan uraian tugas

karyawan.
Apabila removable atau external hard drive digunakan, auditor
harus memverifikasi bahwa drive telah dilepas dan disimpan dalam

lokasi yang aman ketika tidak digunakan.


Memilih sampel PC dan memverifikasi bahwa paket software

komersial dibeli dari vendor yang terpercaya dan resmi.


Meninjau kebijakan organisasi mengenai penggunaan software
antivirus.