Anda di halaman 1dari 17

AUDIT OPERATING SYSTEM (OS)

DAN JARINGAN (NETWORKS)

OPERATING SYSTEM CONTROLS AND AUDIT TESTS

Controlling Access Privileges


Hak Akses yang diberikan terhadap masing masing user profile dapat memberikan pengaruh
terhadap keamanan sistem. Hak akses tertentu hendaknya diberikan secara hati hati
berdasarkan pertimbangan tertentu serta diawasi penggunaannya agar tidak menyimpang dari
kebijakan organisasi serta sesuai dengan internal control
Tujuan Audit Access Privileges
Memverifikasi bahwa hak akses istimewa (privilege / administrator) diberikan berdasarkan
ketentuan / kebijakan yang berkaitan dengan pemisahan wewenang
Prosedur Audit Sehubungan Dengan Access Privileges
o Tinjau ulang kebijakan organisasi sehubungan dengan pemisahan fungsi serta pastikan
tingkat keamanannya
o Tinjau ulang hak akses dari sekelompok pengguna tertentu dan individu yang dapat
menggambarkan bahwa hak akses yang dimiliki sesuai berdasarkan job desk dan posisi
mereka. Hak akses bisa juga diberikan hanya terhadap program atau data tertentu
o Tinjau ulang data dan sistem (records / history) yang dapat memberikan gambaran
bahwa hak akses yang dimiliki pegawai melewati proses pengecekan keamanan sesuai
dengan kebijakan perusahaan
o Tinjau ulang data dan sistem (records / history) pegawai yang dapat memberikan
gambaran bahwa user telah memenuhi kewajiban untuk untuk menjaga kerahasiaan
o Tinjau ulang waktu login yang diperbolehkan oleh para pengguna. Ijin akses harus
disesuaikan dengan tugas yang diberikan / dikerjakan
Password Control
Password adalah kode rahasia yang dimasukkan user untuk memperoleh akses terhadap sistem,
aplikasi, file data, atau server jaringan. Apabila pengguna tidak dapat memberikan password
yang benar, OS yang memblok akses user tersebut. Walaupun password dapat memberikan
tingkat keamanan tersendiri, namun bagi sebagian pengguna yang tidak aware dengan
password yang dimiliknya, dapat mempengaruhi tingkat keamanan sistem atau hak akses yang
dimilikinya.
Beberapa hal yang dimaksud dengan tidak aware terhadap password control adalah :
o Lupa password sehingga terkunci oleh sistem
o Tidak mengganti password secara regular
o Kebiasaan menulis password (Post It Syndromes) yang menyebabkan mudah dilihat
oleh orang lain
o Password yang simple dan mudah ditebak
Kualitas tingkat keamanan dari password ditentukan berdasar isi dari password itu sendiri.
Apabila password berisi data pribadi seperti nama pribadi, nama anak, nama hewan, tanggal
lahir atau tempat lahir, biasanya akan lebih mudah ditebak
Guna meningkatkan kualitas keamanan password control procedure, manajemen seharusnya
mewajibkan pengguna untuk mengganti password secara regular dan tidak memperbolehkan
password yang lemah. Ada beberapa situs dan aplikasi yang dapat mengecek bahwa password
yang digunakan terindikasi lemah atau perlu dirubah
Tujuan Audit Yang Berhubungan Dengan Password
Memastikan bahwa organisasi mempunyai kebijakan mengenai password yang efektif
sehubungan dengan akses control utama dari OS
Prosedur Audit Yang Berhubungan Dengan Password Control
o Verifikasi bahwa semua pengguna perlu untuk memiliki password
o Verifikasi bahwa tiap pengguna baru paham akan pentingnya password
o Tinjau ulang prosedur password control guna memastikan bahwa password diganti secara
berkala
o Tinjau ulang database password guna menentukan bahwa password yang lemah dapat
diidentifikasi dan tidak diperbolehkan
o Verifikasi bahwa password terenkripsi
o Berikan penilaian terhadap standar password seperti panjang dan waktu daluwarsanya
o Tinjau ulang kebijakan dan prosedur penguncian akun (gagal password berapa kali)

Tools yang dapat digunakan untuk Password Control pada Operating System (OS) contohnya
adalah Credential Manager :
Controlling Against Malicious And Destructive Programs
Ancaman dari program yang merusak dapat dikurangi melalui kombinasi dari teknologi dan
prosedur administrative. Berikut ini adalah contoh yang sesuai dengan hal tersebut :
o Belilah software dari vendor terkenal dan terpercaya yang original
o Buat kebijakan untuk larangan penggunaan software bajakan
o Periksa semua upgrade dari vendor software sebelum dipasang
o Tetapkan prosduer terkait perubahan program
o Buat program pendidikan untuk meningkatkan awareness dari bahaya virus dan
program berbahaya
o Pasang aplikasi baru secara manual dengan terlebih dahulu dicek dengan program
antivirus
o Buat backup dari file penting yang ada di mainframe, server, dan workstation
o Apabila dimungkinkan, batasi pengguna pada read and execute saja
o Gunakan software antivirus untuk memeriksa aplikasi dan operating system
Tujuan Audit Terkait Virus dan Program Program Berbahaya
Memverifikasi bahwa kebijakan dan prosedur manajemen secara efektif mencegah penyebaran
program yang merusak, seperti virus dan worms
Prosedur Audit Terkait Virus dan Program Program Berbahaya
o Melalui interview, tentukan bahwa pegawai mengetahui seputar virus computer dan paham
akan resikonya
o Verifikasi bahwa setiap software baru dicek terlebih dahulu
o Verifikasi bahwa versi terbaru dari program antivirus telah terpasang dan diupgrade seara
berkala

Antivirus yang umum ada pada system bawaan di Windows adalah Windows Defender. Antivirus
ini termasuk cukup kuat dan bisa didapatkan secara cuma Cuma.
System Audit Trail Controls
Semacam buku harian yang merekam aktivitas sistem, aplikasi dan tingkat pengguna. Sistem
Operasi (OS) dapat merekam aktivitas pada buku harian (log) berdasarkan tingkatan yang
ditetapkan oleh manajamen. Sebuah kebijakan audit yang efektif akan mampu merekam semua
kejadian kejadian signifikan tanpa tercampur dengan rekaman rekaman yang tidak penting.
Audit trail terdiri dari 2 jenis audit logs yaitu.:
o Detailed logs of individual keystrokes
o Event Oriented Logs
Tujuan audit trail adalah untuk mendukung tujuan keamanan dengan cara :
o Mendeteksi akses yang tanpa ijin kedalam sistem (unauthorized access)
o Memfasilitasi reka ulang kejadian
o Mendorong adanya tanggung jawab personal

Tools yang dapat digunakan untuk audit trail pada OS contohnya Windows adalah menggunakan
Event Viewer
AUDITING NETWORKS
Intranet Risks
o Interception Of Network Messages
o Access To Corporate Databases
o Privileged Employees
Internet Risks
o IP Spoofing
o Denial Service Attack
SYN Flood Attack
Snurf Attack
Distributed Denial of Service
DDoS
Equipment Failure

Network Risk Control


Firewalls
o Network Level Firewall
o Application Level Firewall
Third Party Program
Encryption