SECURITY PART 1 : Auditing Operating

Systems and Network

Tugas Audit Sistem Informasi

Disusun Oleh:
Evelyn Natalia 127132015
Sandy 127132002
Stefanus 127132001

Program Magister Akuntansi

Universitas Tarumanagara
Jakarta
2015

Tujuan Pembelajaran :
1|Page
Setelah mempelajari bab ini, Anda harus :
- Mampu mengidentifikasi ancaman utama untuk sistem operasi dan teknik kontrol yang
digunakan untuk meminimalkan kemungkinan eksposur yang sebenarnya.
- familiar dengan risiko utama yang terkait dengan perdagangan yang dilakukan melalui
intranet dan internet dan memahami teknik kontrol yang digunakan untuk mengurangi
risiko ini
- familiar dengan risiko yang terkait dengan sistem komputasi personal
- Mengenali eksposur unik yang timbul sehubungan dengan pertukaran data elektronik
(EDI) dan memahami bagaimana paparan tersebut dapat dikurangi.

Audit System Operasi

Sistem operasi adalah program control komputer. Yang mengendalikan pengguna dan aplikasinya
dalam berbagi dan mengakses sumber daya komputer, umumnya seperti prosesor, memori utama,
database, dan printer. Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi
individu juga dapat dihindari atau dinetralkan. Karena sistem operasi biasa terjadi pada semua
pengguna, semakin besar fasilitas komputer, semakin besar skala kerusakan potensial. Dengan
demikian, dengan berbagi lebih banyak dan lebih banyak sumber daya komputer komunitas
pengguna terus berkembang, sistem operasi keamanan menjadi isu pengendalian internal
terpenting.
a. Tujuan Sistem Operasi
• Sistem operasi melaksanakan tiga tugas utama.
– Pertama, menerjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC,
dan SQL, ke dalam tingkat bahasa mesin dimana komputer dapat mengeksekusi.
Modul penerjemah bahasa dari sistem operasi disebut compiler dan interpreter.
– Kedua, sistem operasi mengalokasikan sumber daya komputer untuk pengguna,
kelompok kerja, dan aplikasi. Ini termasuk menugaskan ruang kerja memori
(partisi) untuk aplikasi dan otorisasi akses ke terminal, link telekomunikasi,
database, dan printer.
– Ketiga, sistem operasi mengelola tugas-tugas penjadwalan kerja dan
multiprogramming. Pada setiap titik, banyak aplikasi pengguna (pekerjaan)
sedang mencari akses ke sumber daya komputer di bawah kendali sistem operasi.
Pekerjaan yang diserahkan kepada sistem dalam tiga cara: (1) langsung oleh
operator sistem, (2) dari berbagai antrian batch-job, dan (3) melalui link
telekomunikasi dari workstation remote. Untuk mencapai penggunaan yang
efisien dan efektif dari sumber daya yang terbatas komputer, sistem operasi harus
menjadwalkan pengolahan pekerjaan sesuai dengan prioritas yang ditetapkan dan
menyeimbangkan penggunaan sumber daya di antara aplikasi yang bersaing.

• 5 Syarat kendali fundamental OS:

– Sistem operasi harus melindungi diri dari pengguna. Pengguna aplikasi tidak
harus mendapatkan control atas, system operasi dengan cara apapun, sehingga
menyebabkan OS untuk berhenti bekerja atau atau kerusakan data (destroy data).
2|Page
 – Sistem operasi harus melindungi pengguna dari satu sama lain. Salah satu
pengguna tidak harus dapat mengakses, merusak data atau program yang korup
dari pengguna lain.
– Sistem operasi harus melindungi pengguna terhadap dirinya sendiri. Sebuah
aplikasi pengguna dapat terdiri dari beberapa modul yang tersimpan di lokasi
memori yang terpisah, masing-masing dengan data sendiri. Satu modul
seharusnya tidak diperbolehkan untuk menghancurkan atau merusak modul lain.
– Sistem operasi harus terlindung dari dirinya sendiri. Sistem operasi ini juga
terdiri dari modul individu. Tidak ada modul yang seharusnya diizinkan untuk
menghancurkan atau merusak modul lain.
– Sistem operasi harus terlindung dari lingkungannya. Dalam hal terjadi kegagalan
kekuasaan atau bencana lainnya, sistem operasi harus dapat mencapai pemutusan
hubungan yang dikendalikan dari kegiatan yang nanti bisa pulih (recover).

b. Keamanan System Operasi

Sistem keamanan operasi berupa kebijakan, prosedur, dan kontrol yang menentukan siapa
yang dapat mengakses sistem operasi, resources (file, program, printer) yang dapat
mereka gunakan, dan tindakan apa yang dapat dilakukan. Komponen keamanan berikut
ditemukan dalam sistem operasi yang aman:
 Prosedur log-on (log-on procedure)
Sebuah prosedur log-on formal baris pertama sistem operasi pertahanan terhadap
akses yang tidak sah. Ketika pengguna memulai proses, ia disajikan dengan kotak
dialog yang meminta ID dan password pengguna. Sistem ini membandingkan ID
dan password untuk database pengguna yang valid.
Jika sistem menemukan kecocokan, maka log on dikonfirmasi. Namun, jika
password atau ID yang dimasukkan salah. Log on gagal dan pesan dikembalikan
ke pengguna. Pesan tidak harus mengungkapkan apakah password atau ID yang
menyebabkan kegagalan. Sistem tersebut harus memungkinkan
menginformasikan pengguna untuk masuk kembali log on. Setelah sejumlah
upaya tertentu (biasanya tidak lebih dari lima), sistem harus mengunci keluar
pengguna dari sistem.
 Akses token (access token)
Jika upaya log-on ini berhasil, sistem operasi menciptakan akses token yang berisi
informasi penting tentang pengguna, termasuk pengguna ID, password, kelompok
pengguna, dan hak istimewa yang diberikan kepada pengguna. Informasi dalam
akses token yang digunakan untuk menyetujui semua tindakan upaya pengguna
selama sesi.
 Daftar kontrol akses (access control list)
Daftar kontrol akses ditugaskan untuk setiap sumber daya TI (direktori komputer,
file data, program, atau printer), yang mengontrol akses ke sumber daya. Daftar
ini berisi informasi yang mendefinisikan hak akses untuk semua pengguna yang
sah dari sumber daya. Ketika pengguna mencoba untuk mengakses sumber daya,
sistem membandingkan atau ID dan hak yang terkandung dalam token akses

3|Page
 dengan yang tercantum dalam daftar kontrol akses. Jika ada cocok, pengguna
diberikan akses.
 Hak akses discretionary (discretionary access privileges).
Administrator sistem pusat biasanya menentukan siapa yang diberikan akses ke
sumber daya tertentu dan menjaga daftar kontrol akses. Dalam sistem
terdistribusi, bagaimanapun, pengguna akhir dapat mengontrol sumber daya
(sendiri). Pemilik sumber daya dalam pengaturan ini dapat diberikan hak akses
discretionary, yang memungkinkan mereka untuk memberikan hak akses ke
pengguna lain.
Misalnya, controller, yang merupakan pemilik dari buku besar, mungkin garis
besar hanya membaca hak untuk manajer di departemen anggaran. Manajer
Account Payable, bagaimanapun, dapat diberikan izin baik membaca dan menulis
untuk buku besar. Setiap manajer budgeting yang mencoba membuat untuk
menambah, menghapus atau mengubah buku besar akan ditolak. Kebutuhan
kontrol akses discretionary menjadi erat diawasi untuk mencegah pelanggaran
keamanan yang disebabkan dari penggunaan terlalu liberal.

c. Ancaman Untuk Integritas System Operasi

Tujuan pengendalian sistem opearsi tidak dapat dicapai karena kelemahan dalam sistem
operasi yang dieksploitasi baik sengaja atau tidak sengaja. Ancaman disengaja termasuk
kegagalan hardware yang menyebabkan sistem operasi mengalami gangguan. Kesalahan
dalam program aplikasi pengguna, yang sistem operasi tidak dapat menafsirkan, juga
menyebabkan kegagalan sistem operasi.
Kegagalan sistem disengaja dapat menyebabkan segmen seluruh memori yang akan
dibuang ke disk dan printer, sehingga disengaja mengungkapkan informasi yang rahasia.
Ancaman disengaja untuk sistem operasi yang paling sering mencoba untuk secara ilegal
mengakses data atau melanggar privasi pengguna untuk keuntungan finansial. Namun,
ancaman yang berkembang adalah program destruktif yang tidak ada keuntungan yang
jelas.

Sumber Eksposur:
1. Keistimewaan Personel yang menyalahgunakan kewenangannya. Sistem
administrator dan sistem programmer membutuhkan akses tak terbatas ke sistem
operasi untuk melakukan pemeliharaan dan memulihkan diri dari kegagalan
sistem. Orang tersebut dapat menggunakan otoritas ini untuk mengakses program
dan file data pengguna.
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan.
3. Individu yang dengan sengaja (atau sengaja) memasukkan virus komputer atau
bentuk lain dari program yang merusak ke dalam sistem operasi.

d. Kontrol Sistem Operasi dan Pengujian Audit

4|Page
 Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individu yang
berdampak pelaporan keuangan juga dapat dikompromikan. Untuk alasan ini, desain dan
penilaian SOX dari kontrol keamanan sistem operasi merupakan masalah kepatuhan.
Berikut adalah area yang diperiksa: hak istimewa akses, kontrol password, kontrol virus.
Dan kontrol audit trail.
 Mengontrol Hak Akses
Hak akses dengan cara yang ditugaskan mempengaruhi sistem keamanan. karena
itu hendaknya Hak istimewa dikelola hati-hati dan diawasi secara ketat untuk
memenuhi kebijakan organisasi dan prinsip-prinsip pengendalian internal.
o Tujuan Audit Berkaitan dengan Hak Akses
Tujuan auditor adalah untuk memverifikasi bahwa hak akses yang
diberikan dengan cara yang konsisten dengan kebutuhan untuk
memisahkan fungsi yang tidak kompatibel dan sesuai dengan kebijakan
organisasi.
o Prosedur Audit Berkaitan dengan Hak Akses
Untuk mencapai tujuannya auditor dapat melakukan tes kontrol berikut :
1. Review kebijakan organisasi untuk memisahkan fungsi yang tidak
kompatibel dan memastikan bahwa mereka mempromosikan
keamanan yang wajar.
2. Review hak dari pilihan kelompok pengguna dan individu
untuk menentukan apakah hak akses mereka sesuai
untuk deskripsi pekerjaan mereka dan posisi. Auditor harus
memverifikasi bahwa individu diberikan akses ke data
dan program berdasarkan mengetahui kebutuhan mereka .
3. Review catatan personil untuk menentukan apakah keistimewaan
karyawan menjalani pemeriksaan keamanan izin memadai
intensif sesuai dengan kebijakan perusahaan.
4. Review catatan karyawan untuk menentukan apakah pengguna
telah secara resmi mengakui tanggung jawab mereka untuk menjaga
kerahasiaan data perusahaan.
5. Review pengguna diizinkan sekali log-on Izin harus sepadan dengan
tugas-tugas yang dilakukan.
 Kontrol Password
Password adalah kode rahasia yang dimasukkan pengguna untuk mendapatkan
akses ke sistem, aplikasi, file data, atau server jaringan. Jika pengguna tidak dapat
memberikan password yang benar, sistem operasi hendaknya menolak akses.
Meskipun password bisa memberikan tingkat keamanan, ketika dikenakan pada
bukan pengguna yang memikirkan keamanan, prosedur password dapat
mengakibatkan perilaku pengguna akhir yang sesungguhnya menggagalkan
keamanan.
Bentuk yang paling umum dari perilaku kontra-keamanan meliputi:
 Melupakan password dan terkunci keluar dari sistem.

5|Page
  Gagal untuk mengubah password secara sering.
 Sindrom Post-it, dimana password ditulis dan ditampilkan untuk dilihat orang
lain.
 Kesederhanaan password bahwa kriminal komputer dengan mudah
mengantisipasi.
Metode yang paling umum dari kontrol password password dapat digunakan
kembali (reusable password). Pengguna mendefinisikan password pada sistem
sekali dan kemudian menggunakannya untuk mendapatkan akses masa depan.
Kualitas keamanan yang password dapat digunakan kembali memberikan ini
tergantung pada kualitas password itu sendiri. Jika password berkaitan dengan
sesuatu yang pribadi tentang pengguna, seperti nama anak, nama hewan
peliharaan, tanggal lahir, atau warna rambut, seorang penjahat komputer sering
kali bisa menyimpulkan itu.
Untuk meningkatkan kontrol akses, manajemen harus mensyaratkan bahwa
password akan berubah secara teratur dan melarang password yang lemah.
Software yang tersedia yang secara otomatis memindai file kata sandi dan
memberitahu pengguna bahwa password mereka telah kedaluwarsa dan perlu
diubah.
Satu kali password dirancang untuk mengatasi masalah tersebut. Dalam
pendekatan ini, password pengguna berubah terus menerus. Teknologi ini
menggunakan kartu pintar kartu berukuran kredit yang berisi mikroprosesor
diprogram dengan algoritma yang menghasilkan, dan elektronik menampilkan,
password baru dan unik setiap 60 detik. Contoh lain (capcha)
o Tujuan Audit Berkaitan dengan Password
Tujuan auditor di sini adalah untuk memastikan bahwa organisasi
memiliki kebijakan password yang memadai dan efektif untuk
mengendalikan akses ke sistem operasi.
o Prosedur Audit Berkaitan dengan Password
Auditor dapat mencapai tujuan ini dengan melakukan tes berikut:
 Pastikan bahwa semua pengguna diharuskan untuk memiliki
password.
 Pastikan pengguna baru diinstruksikan dalam penggunaan password
dan pentingnya kontrol password.
 Review prosedur pengendalian sandi untuk memastikan bahwa
password yang berubah secara teratur.
 Tinjau file password untuk menentukan bahwa password yang lemah
diidentifikasi dan dianulir. Ini mungkin melibatkan menggunakan
perangkat lunak untuk memindai file password untuk password yang
lemah dikenal.
 Pastikan bahwa file password terenkripsi dan bahwa kunci enkripsi
dijamin benar.

6|Page
  Menilai kecukupan standar password seperti panjang dan berakhirnya
interval.
 Meninjau kebijakan akun dan prosedur lockout. Sebagian besar
sistem operasi memungkinkan administrator sistem untuk
menentukan tindakan yang akan diambil setelah sejumlah upaya log-
on gagal. Auditor harus menentukan berapa banyak yang gagal log-on
upaya diperbolehkan sebelum account terkunci. Durasi lockout juga
perlu ditentukan. Hal ini bisa berkisar dari beberapa menit untuk
lockout permanen yang memerlukan reaktivasi formal account.
 Mengontrol Terhadap Program Berbahaya dan Merusak
Ancaman dari program yang merusak dapat dikurangi secara substansial melalui
kombinasi teknologi kontrol dan prosedur administratif. Contoh-contoh berikut
relevan dengan sebagian besar sistem operasi.
a. software Pembelian hanya dari vendor terkemuka dan hanya menerima
produk-produk yang di asli, paket pabrik-disegel mereka.
b. Isu kebijakan entitas-lebar (entity-wide policy) yang berkaitan dengan
penggunaan perangkat lunak yang tidak sah atau ilegal (bajakan) salinan
perangkat lunak hak cipta.
c. Periksa semua upgrade ke software vendor untuk virus sebelum mereka
diimplementasikan.
d. Periksa semua perangkat lunak publik-domain untuk infeksi virus sebelum
menggunakan.
e. Menetapkan prosedur entitas-lebar untuk membuat perubahan untuk program
produksi.
f. Menetapkan program pendidikan untuk meningkatkan kesadaran pengguna
tentang ancaman dari virus dan program jahat.
g. Instal semua aplikasi baru pada komputer yang berdiri sendiri dan benar-benar
menguji mereka dengan perangkat lunak antivirus sebelum
mengimplementasikannya pada mainframe atau server jaringan area lokal
(LAN).
h. Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di
mainframe, server, dan workstation.
i. Jika memungkinkan, membatasi pengguna untuk membaca dan mengeksekusi
hak saja. Hal ini memungkinkan pengguna untuk mengambil data dan
menjalankan aplikasi resmi, tapi menolak mereka kemampuan untuk menulis
langsung ke mainframe dan server direktori.
j. Memerlukan protokol yang secara eksplisit memanggil sistem operasi log-on
prosedur untuk menghilangkan Trojan Horse
k. Gunakan software antivirus (juga disebut vaksin) untuk memeriksa aplikasi
dan sistem operasi program untuk kehadiran virus dan menghapusnya dari
program yang terkena.
o Tujuan Audit Terkait dengan Virus dan Program Merusak Lainnya

7|Page
 Kunci untuk kontrol virus komputer adalah pencegahan melalui ketaatan
kebijakan organisasi dan prosedur yang menjaga terhadap infeksi virus.
Tujuan auditor adalah untuk memverifikasi bahwa kebijakan dan prosedur
manajemen yang efektif di tempat untuk mencegah pengenalan dan
penyebaran program yang merusak, termasuk viruses, worms, back doors,
logic bombs, and Trojan horses.
o Prosedur Audit Terkait dengan Virus dan Program Merusak Lainnya
 Melalui wawancara, menentukan bahwa personil operasi telah
diajarkan tentang virus komputer dan menyadari praktek komputasi
berisiko yang bisa memperkenalkan dan menyebarkan virus dan
program berbahaya lainnya.
 Pastikan bahwa perangkat lunak baru diuji pada workstation
standalone sebelum dilaksanakan pada host atau server jaringan.
 Pastikan bahwa versi terbaru dari perangkat lunak antivirus yang
diinstal pada server dan yang upgrade secara teratur download ke
workstation.
o Sistem Audit Trail Kontrol
Audit sistem yang log yang merekam aktivitas di sistem, aplikasi, dan
tingkat pengguna. Sistem operasi memungkinkan manajemen untuk
memilih tingkat audit untuk direkam dalam log. Manajemen perlu
memutuskan di mana untuk mengatur batas antara informasi dan fakta-
fakta yang tidak relevan. Kebijakan audit yang efektif akan menangkap
semua peristiwa penting tanpa mengacaukan log dengan aktivitas sepele.
Jejak audit biasanya terdiri dari dua jenis:

a. Keystroke monitoring
melibatkan merekam keystrokes baik pengguna dan respon sistem.
Bentuk log dapat digunakan setelah fakta untuk merekonstruksi detail
dari suatu peristiwa atau sebagai kontrol real-time untuk mencegah
intrusi yang tidak sah.
b. Event Monitoring
merangkum kegiatan kunci yang berhubungan dengan sumber daya
sistem. Log peristiwa biasanya mencatat ID dari semua pengguna
yang mengakses sistem; waktu dan durasi sesi pengguna; program
yang dieksekusi selama sesi; dan file, database, printer, dan sumber
daya lainnya diakses.
 Menerapkan Sistem Audit Trail
Audit dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara: (1)
mendeteksi akses tidak sah ke sistem, (2) memfasilitasi rekonstruksi peristiwa,
dan (3) mempromosikan akuntabilitas pribadi.
o Implementasi Sistem Audit Trail

8|Page
 Informasi yang terkandung dalam audit log berguna untuk akuntan dalam
mengukur potensi kerusakan dan kerugian finansial yang terkait dengan
kesalahan aplikasi, penyalahgunaan wewenang, atau akses yang tidak sah
oleh penyusup luar. Audit log, bagaimanapun, bisa menghasilkan data
secara detail yang luar biasa. Informasi penting dapat dengan mudah
tersesat di antara rincian berlebihan dari operasi sehari-hari. Jadi, log
dirancang buruk sebenarnya dapat disfungsional. Melindungi eksposur
dengan potensi kerugian keuangan materi harus mendorong keputusan
manajemen sebagai yang pengguna, aplikasi, atau operasi untuk
memantau, dan berapa banyak detail untuk login. Seperti dengan semua
kontrol, manfaat log audit harus seimbang terhadap biaya pelaksanaan
mereka.
o Tujuan Audit Terkait dengan Sistem Audit Trail
Tujuan auditor adalah untuk memastikan bahwa didirikan audit sistem
jejak memadai untuk mencegah dan mendeteksi pelanggaran,
merekonstruksi peristiwa penting yang mendahului sistem kegagalan, dan
alokasi sumber daya perencanaan.
o Prosedur Audit Terkait dengan Sistem Audit Trail
 Sebagian besar sistem operasi menyediakan beberapa bentuk fungsi
manajer audit untuk menentukan peristiwa yang akan diaudit. Auditor
harus memverifikasi bahwa jejak audit telah diaktifkan sesuai dengan
kebijakan organisasi.
 Banyak sistem operasi menyediakan penampil log audit yang
memungkinkan auditor untuk memindai log untuk aktivitas yang
tidak biasa. Ini bisa ditinjau pada layar atau dengan pengarsipan file
untuk diperiksa berikutnya. Auditor dapat menggunakan alat ekstraksi
data untuk keperluan umum untuk mengakses file log arsip untuk
mencari kondisi yang didefinisikan seperti:
o pengguna tidak sah atau dihentikan
o Periode tidak aktif
o Kegiatan oleh pengguna, workgroup, atau departemen
o Log-on dan log-off kali
o upaya log-on Gagal
o Akses ke file tertentu atau aplikasi
 Kelompok keamanan organisasi memiliki tanggung jawab untuk
memantau dan melaporkan pelanggaran keamanan. Auditor harus
memilih sampel kasus pelanggaran keamanan dan mengevaluasi
disposisi mereka untuk menilai efektivitas kelompok keamanan.
Audit Jaringan
Ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan kekhawatiran tentang
akses tidak sah ke informasi rahasia. Sebagai LAN menjadi platform untuk aplikasi mission-
critical dan data, informasi kepemilikan, data pelanggan, dan catatan keuangan beresiko.
9|Page
Organisasi terhubung ke pelanggan dan mitra bisnis melalui internet, khususnya yang rentan.
Tanpa perlindungan yang memadai, perusahaan membuka pintu mereka untuk hacker komputer,
pengacau, pencuri, dan mata-mata industri baik secara internal maupun dari seluruh dunia.

Paradoks jaringan adalah bahwa jaringan ada untuk menyediakan akses pengguna ke sumber
daya bersama, namun tujuan yang paling penting dari jaringan adalah untuk mengontrol akses
tersebut. Oleh karena itu, untuk setiap argumen produktivitas yang mendukung akses remote, ada
argumen keamanan terhadap itu. Manajemen organisasi terus mencari keseimbangan antara
peningkatan akses dan risiko bisnis terkait.

a. Resiko Intranet
terdiri dari LAN kecil dan besar WAN yang mungkin berisi ribuan node individu. Intranet
digunakan untuk menghubungkan karyawan dalam sebuah bangunan tunggal, antara
bangunan di kampus fisik yang sama, dan antara geografis lokasi. Kegiatan intranet khas
termasuk routing e-mail, pemrosesan transaksi antara unit bisnis, dan menghubungkan ke
Internet di luar.
• Intersepsi Jaringan Pesan
• Akses ke Database Perusahaan
• Penyalahgunaan istimewa Karyawan Authority
• Intersepsi Jaringan Pesan
• Akses ke Database Perusahaan
• Penyalahgunaan istimewa Karyawan Authority
•
b. Resiko Internet
• IP spoofing adalah bentuk menyamar untuk mendapatkan akses tidak sah ke server
Web dan / atau untuk mengabadikan suatu tindakan yang melanggar hukum tanpa
mengungkapkan identitas seseorang. Untuk melakukan hal ini, pelaku
memodifikasi alamat IP komputer berasal untuk menyamarkan identitasnya.
• Denial of service attacks (Dos) Adalah serangan terhadap server web untuk
mencegah pelayanan pengguna yang sah. Meskipun serangan tersebut dapat
ditujukan untuk semua jenis situs Web, mereka sangat menghancurkan badan
usaha yang menghalangi dari menerima dan memproses transaksi bisnis dari
pelanggan mereka. Tiga jenis umum dari serangan Dos adalah: SYN flood, smurf,
dan distributed denial of service (Ddos).
SYN FLOOD DOS ATTACK

10 | P a g e
 Dalam DOS Attack, pengirim mengirimkan ratusan pesan, menerima paket SYN / ACK, tapi tidak
respon dengan paket ACK. Hal ini membuat penerima dengan port transmisi tersumbat, dan pesan
yang sah tidak dapat diterima. Firewall dapat saja memblokir alamat yang melakukan flood attack
tetapi apabila dikombinasikan dengan IP spoofing, maka akan lebih sulit karena penyerang akan
terus dianggap sebagai alamat yang berbeda.

SMURF Attack

Melibatkan preparatory (sebagai penyerang), intermediary dan victim. Ping (sejenis sonar dalam
jaringan untuk menguji koneksi) dikirmkan oleh preparatory (yang menyamar (IP Spoofing)
sebagai victim ) kepada intermediary. Intermediary yang jumlahnya banyak dan berada pada
subnetwork dari victim, mengirimkan kembali pantual ping kepada victim. Hal ini membebani lalu
lintas data victim dan dapat membuatnya tidak dapat digunakan sebagaimana mestinya.
Distributed Denial of Service Attack

11 | P a g e
 Preparatory menciptakan bot atau zombie dalam computer yang terhubung pada jaringan internet
(dalam modul, kasusnya adalah IRC). Computer-komputer yang telah ditanamkan zombie (disebut
botnet) dikendalikan oleh preparatory dengan Zombie Control Program untuk melakukan serangan
yang dapat berupa SYN Flood atau smurf attack. Karena jumlahnya berkali lipat, serangan ini lebih
berbahaya.
Alasan melakukan Dos attack : menghukum organisasi atau sekedar pamer kemampuan. Alasan
keuangan juga bisa menjadi alas an, dengan melakukan serangan dan kemudian meminta bayaran
untuk serangan tersebut.
• Risiko dari Kegagalan Peralatan
Topologi jaringan terdiri dari berbagai konfigurasi (1) jalur komunikasi (kabel
twisted-pair, kabel koaksial, oven microwave, dan serat optik), (2) komponen
perangkat keras (modem, multiplexer, server, dan prosesor front-end), dan (3 )
software (protokol dan sistem kontrol jaringan).
c. Controlling Networks
Pada bagian berikut, kita meneliti berbagai teknik kontrol yang digunakan untuk
mengurangi risiko diuraikan dalam bagian sebelumnya. Kami mulai dengan meninjau
beberapa kontrol untuk menangani ancaman subversif termasuk firewall, inspeksi paket
yang mendalam, enkripsi dan teknik kontrol pesan. Ini diikuti dengan tujuan audit dan
prosedur terkait dengan kontrol ini. Bagian kemudian kontrol ini, tujuan audit, dan
prosedur audit yang berkaitan dengan ancaman dari kegagalan peralatan
12 | P a g e
 d. Controlling Risk from Subversive Threats
• Organisasi terhubung ke Internet atau jaringan publik lainnya sering kali menerapkan
firewall elektronik untuk melindungi intranet mereka dari penyusup luar. Firewall
adalah sebuah sistem yang memberlakukan kontrol akses antara dua jaringan. Untuk
melakukan hal ini:
1. Semua lalu lintas antara jaringan luar dan intranet organisasi harus melewati
firewall.
2. Hanya berwenang lalu lintas antara organisasi dan di luar, seperti
menspesifikasikan kebijakan keamanan formal, diperbolehkan untuk melewati
firewall.
3. Firewall harus kebal terhadap Penetrasi akan dari luar dan dalam organisasi.
Network-level firewalls menyediakan efisien tetapi akses-keamanan rendah kontrol.
Jenis firewall terdiri dari screening router yang meneliti sumber dan tujuan alamat
yang melekat pada paket pesan yang masuk.
Application-level firewalls memberikan penyesuaian tingkat keamanan jaringan
yang lebih tinggi tetapi mereka menambahkan overhead untuk konektivitas.
 Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan dalam
database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi
untuk mengubah pesan asli (disebut cleartext) menjadi setara kode (disebut
ciphertext). Pada sisi penerima, ciphertext tersebut diterjemahkan (didekripsi)
kembali ke dalam bentuk clear text.
 Digital signature merupakan otentikasi elektronik yang tidak dapat dipalsukan. Ini
memastikan bahwa pesan atau dokumen yang dikirimkan pengirim tidak dirusak
setelah tanda tangan diterapkan.
 Memverifikasi identitas pengirim membutuhkan sertifikat digital, yang dikeluarkan
oleh pihak ketiga yang terpercaya disebut otoritas sertifikasi (CA). Sebuah sertifikat
digital digunakan dalam hubungannya dengan sistem enkripsi kunci publik untuk
mengotentikasi pengirim pesan.
 Penyusup dalam saluran komunikasi mungkin mencoba untuk menghapus pesan dari
aliran pesan, mengubah urutan pesan yang diterima, atau menggandakan pesan.
Melalui pesan penomoran urut, nomor urut dimasukkan dalam setiap pesan, dan
upaya tersebut akan menjadi jelas pada akhir penerima.
 Penyusup mungkin berhasil menembus sistem dengan mencoba kata sandi dan
kombinasi. ID pengguna yang berbeda Oleh karena itu, semua pesan masuk dan
keluar, serta upaya akses(gagal) harus dicatat dalam log transaksi pesan. Log harus
mencatat pengguna ID, waktu akses, dan lokasi atau dari akses telepon terminal
nomor asal.
 Menggunakan teknik permintaan-respon, pesan kontrol dari pengirim dan tanggapan
dari penerima yang dikirim pada periodik, interval disinkronkan. Waktu dari pesan
harus mengikuti pola acak yang akan sulit bagi penyusup untuk mengetahui dan
mengakali.

13 | P a g e
  Perangkat panggilan-kembali (call back device) mengharuskan pengguna dial-in
untuk memasukkan password dan diidentifikasi.Sistem kemudian memecahkan
koneksi untuk melakukan otentikasi pengguna. Jika penelepon adalah resmi,
perangkat panggilan-kembali memanggil nomor pemanggil untuk membuat
sambungan baru.Ini membatasi akses ke terminal resmi atau nomor telepon dan
mencegah penyusup menyamar sebagai pengguna yang sah.

Tujuan auditor adalah untuk memverifikasi keamanan dan integritas transaksi keuangan
dengan menentukan bahwa kontrol jaringan (1) dapat mencegah dan mendeteksi akses
ilegal baik secara internal dan dari Internet, (2) akan membuat sia-sia data yang pelaku
berhasil ditangkap, dan (3) cukup untuk menjaga integritas dan keamanan fisik data yang
terhubung ke jaringan.
Audit Procedure :
 Meninjau kecukupan firewall dalam mencapai keseimbangan yang tepat antara
kontrol dan kenyamanan didasarkan pada tujuan bisnis organisasi dan potensi
risiko.
 Memverifikasi bahwa sistem pencegahan intrusi (IPS - intrusion prevention
system ) dengan paket pemeriksaan mendalam (DPI) di tempat untuk organisasi
yang rentan terhadap serangan DDos, seperti lembaga keuangan.
 Meninjau prosedur keamanan yang mengatur administrasi kunci enkripsi data.
 Verifikasi proses enkripsi dengan mengirimkan pesan uji dan memeriksa isi di
berbagai titik di sepanjang saluran antara lokasi pengirim dan penerima.
 Tinjau log transaksi pesan (message transaction logs) untuk memverifikasi bahwa
semua pesan yang diterima dalam urutan yang tepat.
 Menguji pengoperasian fitur panggilan-kembali (call-back feature ) dengan
menempatkan panggilan yang tidak sah dari luar instalasi.

e. Controlling Risks From Equipment Failure

Masalah yang paling umum dalam komunikasi data adalah kehilangan data karena
kesalahan lini (line error). Struktur sedikit pesan dapat rusak melalui suara di garis
komunikasi. Kebisingan terdiri dari sinyal acak yang dapat mengganggu sinyal pesan
ketika mereka mencapai tingkat tertentu. Listrik motor, kondisi atmosfer, kabel yang
rusak, komponen yang rusak dalam peralatan, atau kebisingan tumpah dari saluran
komunikasi yang berdekatan dapat menyebabkan sinyal-sinyal secara acak.
 Cek gema (echo check )melibatkan penerima pesan kembali pesan ke pengirim.
Pengirim membandingkan pesan kembali dengan salinan yang tersimpan dari aslinya.
Jika ada perbedaan antara pesan kembali dan asli, menunjukkan kesalahan transmisi,
pesan tersebut ditransmisikan ulang.
 Cek paritas (parity check) menggabungkan bit tambahan (bit paritas) ke dalam
struktur string bit ketika dibuat atau dikirim. Paritas dapat menjadi vertikal dan
horizontal (memanjang).

14 | P a g e
 parity check :penambahan ekstra bit dalam pesan. Jumlah parity bit (1 maupun
0) haruslah sama dari saat dikirm dengan saat diterima. Hanya saja terkadang
gangguan dapat mengubah bit secara simultan, sehingga eror tidak terdeteksi.
Antara vertikal Parity Bit dan Horizontal Parity Bit, Horizontal cenderung lebih
dapat diandalkan.
Tujuan Audit Terkait Kegagalan Peralatan
Tujuan auditor adalah untuk memverifikasi integritas dari transaksi perdagangan
elektronik dengan menentukan bahwa kontrol berada di tempat untuk mendeteksi dan
kehilangan pesan yang benar karena kegagalan peralatan.
Prosedur Audit Berkaitan dengan Kegagalan Peralatan
Untuk mencapai tujuan kontrol, auditor dapat memilih sampel dari pesan dari log
transaksi dan memeriksa mereka untuk konten yang kacau disebabkan oleh garis
kebisingan. Auditor harus memverifikasi bahwa semua pesan rusak berhasil dipancarkan
kembali.

Audit Electronic Data Interchange (EDI)

EDI adalah pertukaran antar komputer informasi bisnis dapat diproses dalam format standar.
Dalam lingkungan EDI murni, tidak ada perantara manusia untuk menyetujui atau mengotorisasi
transaksi. Otorisasi, kewajiban bersama, dan praktik bisnis yang berlaku untuk semua transaksi
yang ditentukan di awal perjanjian perdagangan mitra.

1. Manfaat EDI
o Data keying. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk entri
data.
o Error reduction (Pengurangan kesalahan). Perusahaan menggunakan EDI melihat
pengurangan kesalahan data keying, interpretasi dan klasifikasi kesalahan manusia,
dan pengajuan (dokumen hilang) kesalahan.
o Reduction of paper (Pengurangan kertas.) Penggunaan amplop elektronik dan
dokumen secara drastis mengurangi bentuk kertas dalam sistem
o Postage /Ongkos kirim. Dokumen dikirimkan diganti dengan transmisi data yang
jauh lebih murah.
o Automated procedures /Prosedur otomatis. EDI mengotomatiskan kegiatan pengguna
yang terkait dengan pembelian, pemrosesan order penjualan, pengeluaran kas, dan
penerimaan kas.
o Inventory reduction /Pengurangan persediaan. Dengan memesan langsung yang
diperlukan dari vendor, EDI mengurangi jeda waktu yang mempromosikan akumulasi
persediaan.

2. Financial EDI
Ini adalah proses menggunakan EDI untuk transfer dana, penerimaan kas, pengeluaran
kas dan kegiatan pembelian dan penjualan lainnya.

15 | P a g e
 3. Kontrol EDI
Otorisasi transaksi dan Validasi
Baik pelanggan dan pemasok harus menetapkan bahwa transaksi sedang diproses adalah
untuk (atau dari) mitra dagang yang valid dan berwenang. Hal ini dapat dicapai pada tiga
poin dalam proses.
1. Beberapa VAN (Value Added Networks) memiliki kemampuan untuk memvalidasi
password dan kode ID pengguna untuk vendor dengan mencocokkan ini terhadap
file pelanggan valid. The VAN menolak setiap transaksi mitra dagang yang tidak
sah sebelum mereka mencapai sistem vendor.
2. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID dan
password mitra dagang terhadap file validasi dalam database perusahaan.
3. Sebelum diolah, perangkat lunak aplikasi mitra dagang yang merujuk pelanggan
dan vendor file yang valid untuk memvalidasi transaksi.

4. Access Control
Untuk berfungsi dengan lancar, mitra dagang EDI harus mengizinkan tingkat akses ke
file data pribadi yang akan dilarang di lingkungan tradisional. Perjanjianmitra
Perdagangan akan menentukan tingkat kontrol akses di tempat.
EDI Audit Trail
Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan jejak audit tradisional dan
membatasi kemampuan akuntan untuk memverifikasi keabsahan, kelengkapan, waktu, dan
akurasi transaksi. Salah satu teknik untuk memulihkan jejak audit adalah untuk mempertahankan
log kontrol, yang mencatat aliran transaksi melalui setiap fase dari sistem EDI

 Tujuan audit adalah untuk menentukan bahwa :

◦ semua transaksi EDI berwenang, divalidasi, dan sesuai dengan perjanjian
perdagangan mitra;
◦ tidak ada organisasi yang tidak sah mendapatkan akses ke catatan database;

16 | P a g e
 ◦ mitra dagang resmi hanya memiliki akses ke data yang disetujui;
◦ kontrol yang memadai untuk memastikan jejak audit lengkap dari semua transaksi
EDI.
Audit Procedure :
1. Pengujian Otorisasi dan Validasi Kontrol.
Auditor harus menetapkan bahwa kode identifikasi mitra dagang diverifikasi sebelum
transaksi diproses. Untuk mencapai hal ini, auditor harus (1) perjanjian ulasan dengan
fasilitas VAN untuk memvalidasi transaksi dan memastikan bahwa informasi mengenai
mitra dagang yang valid secara lengkap dan benar, dan (2) mengkaji perdagangan berkas
pasangan valid organisasi untuk akurasi dan kelengkapan.
2. Pengujian Akses Kontrol. Keamanan selama untuk perdagangan berkas mitra valid dan
database merupakan pusat kerangka kontrol EDI. Auditor dapat memverifikasi
kecukupan pengendalian dengan cara berikut:
i) Auditor harus menentukan bahwa akses ke valid vendor atau pelanggan file dibatasi
pada karyawan yang berwenang saja. Auditor harus memverifikasi bahwa password
dan tabel otoritas mengontrol akses ke file ini dan bahwa data dienkripsi.
ii) Perjanjian perdagangan akan menentukan tingkat akses mitra dagang harus memiliki
catatan database perusahaan (seperti tingkat persediaan dan daftar harga). Auditor
harus mencocokkan persyaratan perjanjian perdagangan terhadap hak akses mitra
dagang yang tercantum dalam tabel otoritas basis data.
iii) Auditor harus mensimulasikan akses berdasarkan sampel mitra dagang dan berupaya
untuk melanggar hak akses.
3. Pengujian Kontrol Audit Trail. Auditor harus memverifikasi bahwa sistem EDI
menghasilkan log transaksi yang melacak transaksi melalui semua tahapan pengolahan.
Dengan memilih sampel transaksi dan melacak ini melalui proses, auditor dapat
memverifikasi bahwa nilai data kunci dicatat dengan benar pada setiap titik.

Audit System Akuntansi Berbasis PC

Pasar perangkat lunak menawarkan ratusan sistem akuntansi berbasis PC. Berbeda dengan
mainframe dan client-server sistem yang sering dirancang khusus untuk memenuhi kebutuhan
pengguna tertentu, aplikasi PC cenderung sistem tujuan umum yang melayani berbagai macam
kebutuhan.

17 | P a g e
 Modul Sistem PC Accounting

a. PC Systems Risks and Control

a. Kelemahan Sistem Operasi
Berbeda dengan sistem mainframe, PC menyediakan keamanan hanya minimal
untuk file data dan program yang terkandung di dalamnya. Kelemahan Kontrol ini
melekat dalam filosofi di balik desain sistem operasi PC. Dimaksudkan terutama
sebagai sistem single-user, mereka dirancang untuk menggunakan komputer
dengan mudah dan untuk memfasilitasi akses, tidak ada pembatasan itu.
b. Weak Access Control/ Lemahnya Access Control
Keamanan perangkat lunak yang menyediakan prosedur logon yang tersedia
untuk PC. Sebagian besar program-program ini, bagaimanapun, menjadi aktif
hanya saat komputer boot dari hard drive. Seorang penjahat komputer mencoba
untuk menghindari prosedur logon dapat melakukannya dengan memaksa
komputer untuk boot dari CD-ROM, dimana sistem operasi yang tidak terkendali
dapat dimuat ke dalam memori komputer.

c. Inadequate Segregation of Duties / Pemisahan Tugas yang kurang memadai

Karyawan di lingkungan PC, terutama mereka dari perusahaan-perusahaan kecil,
mungkin memiliki akses ke beberapa aplikasi yang merupakan tugas yang tidak
kompatibel. Misalnya, satu individu mungkin bertanggung jawab untuk
memasukkan semua data transaksi, termasuk order penjualan, penerimaan kas,
faktur, dan pengeluaran.
d. Multilevel Password Control
digunakan untuk membatasi karyawan yang berbagi komputer yang sama ke
direktori tertentu, program, dan file data. Dalam pendekatan ini, password yang
berbeda digunakan untuk mengakses fungsi yang berbeda.

e. Risiko Pencurian (Risk of Theft)

Karena ukuran mereka, PC adalah obyek pencurian dan portabilitas laptop
menempatkan mereka pada risiko tertinggi. Kebijakan formal harus berada di
tempat untuk membatasi data sensitif keuangan dan lainnya untuk PC desktop
saja. Selain itu, organisasi sebaiknya memberikan pelatihan karyawan tentang
penggunaan komputer yang sesuai.

f. Lemahnya Prosedur Backup

Kegagalan komputer, biasanya kegagalan disk, adalah penyebab utama
kehilangan data di lingkungan PC. Dari harddisk dari PC gagal, memulihkan data
yang tersimpan di dalamnya mungkin mustahil. Untuk menjaga integritas data
dan program mission-critical, organisasi perlu prosedur cadangan formal.

g. Resiko Infeksi Virus

18 | P a g e
 Infeksi virus adalah salah satu yang paling umum untuk ancaman integritas PC
dan ketersediaan sistem. Ketaatan terhadap kebijakan organisasi dan prosedur
yang menjaga terhadap infeksi virus sangat penting untuk mengendalikan virus
yang efektif.

h. Tujuan Audit Terkait dengan Keamanan PC

i. Verifikasi bahwa pengawasan berada di tempat untuk melindungi data,
program, dan komputer dari akses yang tidak sah, manipulasi, kehancuran,
dan pencurian.
ii. Pastikan bahwa pengawasan yang memadai dan prosedur operasi ada
untuk mengimbangi kurangnya pemisahan antara tugas pengguna,
programmer, dan operator.
iii. Pastikan backup prosedur berada di tempat untuk mencegah data dan
kehilangan Program akibat kegagalan sistem, kesalahan, dan sebagainya.
iv. Pastikan bahwa sistem seleksi dan prosedur akuisisi menghasilkan aplikasi
yang berkualitas tinggi, dan dilindungi dari perubahan yang tidak sah.
v. Pastikan bahwa sistem ini bebas dari virus dan cukup dilindungi untuk
meminimalkan risiko terinfeksi dengan virus atau benda serupa

i. Prosedur Audit Terkait dengan Keamanan PC

i. Auditor harus mengamati bahwa PC secara fisik tertambat untuk
mengurangi kesempatan pencurian.
ii. Auditor harus memverifikasi dari bagan organisasi, uraian tugas, dan
pengamatan bahwa programmer dari sistem akuntansi tidak juga
beroperasi sistem tersebut. Dalam unit organisasi yang lebih kecil di mana
pemisahan fungsional tidak praktis, auditor harus memverifikasi bahwa
ada pengawasan yang memadai atas tugas-tugas ini.
iii. Auditor harus mengkonfirmasi bahwa laporan transaksi diproses, daftar
rekening diperbarui, dan total control disusun, didistribusikan, dan
didamaikan berdasarkan manajemen yang tepat secara berkala dan tepat
waktu.
iv. Apabila diperlukan, auditor harus menentukan bahwa kontrol sandi
multilevel digunakan untuk membatasi akses ke data dan aplikasi dan
bahwa otoritas akses yang diberikan konsisten dengan deskripsi pekerjaan
karyawan.
v. Jika hard drive removable atau eksternal yang digunakan, auditor harus
memverifikasi bahwa drive akan dihapus dan disimpan di lokasi yang
aman jika tidak digunakan.
vi. Dengan memilih sampel dari file backup, auditor dapat memverifikasi
bahwa cadangan prosedur sedang diikuti. Dengan membandingkan nilai
data dan tanggal pada disk cadangan untuk file produksi, auditor dapat
menilai frekuensi dan kecukupan prosedur cadangan. Jika layanan backup

19 | P a g e
 online yang digunakan, auditor harus memverifikasi bahwa kontrak adalah
saat ini dan cukup untuk memenuhi kebutuhan organisasi.
vii. Dengan memilih sampel dari PC, auditor harus memverifikasi bahwa
paket perangkat lunak komersial yang dibeli dari vendor terkemuka dan
salinan hukum. Auditor harus meninjau seleksi dan akuisisi prosedur
untuk memastikan bahwa kebutuhan pengguna akhir sepenuhnya
dipertimbangkan dan bahwa software yang dibeli memenuhi kebutuhan.
viii. Auditor harus meninjau kebijakan organisasi untuk menggunakan
perangkat lunak antivirus. Kebijakan ini dapat mencakup hal berikut:
1. software antivirus harus diinstal pada semua mikrokomputer dan
dipanggil sebagai bagian dari prosedur startup ketika komputer
dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari
hard disk diperiksa sebelum data ditransfer melalui jaringan.
2. Semua upgrade ke vendor perangkat lunak harus diperiksa untuk
virus sebelum mereka diimplementasikan.
3. Semua perangkat lunak publik-domain harus diperiksa untuk
infeksi virus sebelum digunakan.
4. versi sekarang dari perangkat lunak antivirus harus tersedia untuk
semua pengguna. Memverifikasi bahwa terbaru file data virus
sedang didownload secara teratur, dan bahwa program antivirus ini
memang berjalan di latar belakang PC terus menerus, dan dengan
demikian dapat memindai semua dokumen yang masuk. Versi
perusahaan umumnya mencakup "push" pembaruan di mana
perangkat lunak secara otomatis memeriksa situs Web rumah
vendor antivirus untuk update baru setiap kali terhubung ke
Internet dan PC boot.

Pembahasan Kasus:
 Pada tahun 2002, Mr Roller Ball memulai Mighty Mouse, Inc, sebuah, perusahaan 75-
karyawan kecil yang memproduksi dan menjual keyboard nirkabel dan perangkat lain
untuk vendor melalui pabrik manufaktur di Little Rock, Arkansas. Dalam 2 tahun
pertama bisnis, MM melihat pertumbuhan substansial dalam penjualan dan pada
kapasitas saat ini tidak mampu memenuhi permintaan. Untuk bersaing, MM
memperbesar fasilitas manufaktur. Fasilitas baru meningkat menjadi 250 karyawan.
Selama periode ini ekspansi, MM telah membayar sedikit perhatian untuk prosedur
pengendalian internal.
 Keamanan
 Baru-baru ini, masalah sistem dan kegagalan hardware telah menyebabkan sistem
operasi mengalami gangguan. Mr Roller ball sangat prihatin untuk menemukan
bahwa informasi rahasia perusahaan telah dicetak pada printer sebagai akibat dari

20 | P a g e
 kecelakaan tersebut. Juga, dokumen digital penting terhapus dari media
penyimpanan.
 Beberapa program berbahaya seperti virus, worm, dan trojan horse telah melanda
perusahaan dan menyebabkan korupsi data yang signifikan. MM telah
mengabdikan dana yang signifikan dan waktu mencoba untuk memperbaiki
kerusakan yang disebabkan ke sistem operasi.
 Karena kebutuhan untuk mendapatkan pekerjaan yang dilakukan, serta untuk
alasan filosofis, administrator sistem dan programmer telah menyediakan
pengguna akses relatif bebas ke sistem operasi. Membatasi akses ditemukan untuk
menghambat bisnis dan menghambat pemulihan dari kegagalan sistem. Dari awal,
pendekatan terbuka dianggap sebagai cara yang efisien dan efektif untuk
memastikan bahwa setiap orang memperoleh informasi yang mereka butuhkan
untuk melakukan pekerjaan mereka.
 PERTANYAAN
 Apa masalah pengendalian internal yang Anda temukan?
Jawab :
o Adanya kegagalan sistem disengaja yang menyebabkan segmen seluruh
memori terhapus di disk dan printer, sehingga sengaja mengungkapkan
informasi yang rahasia. Ancaman disengaja untuk sistem operasi
perusahaan Mighty Mouse mencoba secara ilegal mengakses data atau
melanggar privasi pengguna untuk keuntungan financial (MM
mmengalami pertumbuhan substansial dalam penjualan).
o Penyalahgunaan wewenang. Sistem administrator dan sistem programmer
melakukan akses tak terbatas ke sistem operasi untuk melakukan
pemeliharaan dan memulihkan diri dari kegagalan sistem. Orang tersebut
dapat menggunakan otoritas ini untuk mengakses program dan file data
pengguna.
o Adanya Individu yang dengan sengaja (atau sengaja) memasukkan virus
komputer atau bentuk lain dari program yang merusak ke dalam sistem
operasi.

 Bagaimana MM dapat meningkatkan internal kontrol?

Jawab :
a. Instal semua aplikasi baru pada komputer yang berdiri sendiri dan benar-benar
menguji dengan software antivirus sebelum mengimplementasikannya pada
mainframe atau server jaringan area lokal (LAN).
b. Memerlukan protokol yang secara eksplisit memanggil sistem operasi log-on
prosedur untuk menghilangkan Trojan Horse

21 | P a g e
 c. Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di
mainframe, server, dan workstation.
d. Membatasi pengguna untuk membaca dan mengeksekusi haknya saja.

Kesimpulan
Bab ini melanjutkan pembahasan umum IT kontrol dan pengujian audit dimulai pada Bab 3.
meneliti risiko dan kontrol atas sistem operasi, jaringan, EDI, dan sistem akuntansi berbasis PC.
Ancaman utama untuk sistem operasi adalah:
 Akses tidak sah
 penyisipan virus Disengaja atau tidak disengaja
 Kehilangan data karena kerusakan sistem.
Link Jaringan dan komunikasi yang rentan terhadap paparan dari kedua kejahatan Subversion
dan kegagalan peralatan. Ancaman subversif dapat diminimalkan melalui berbagai langkah-
langkah keamanan dan kontrol akses termasuk firewall, IPS, DPI, enkripsi data, dan memanggil
kembali perangkat. Kegagalan peralatan biasanya mengambil bentuk kesalahan garis (line error)
yang kebisingan di jalur komunikasi menyebabkan. Ini dapat secara efektif dikurangi melalui cek
echo dan cek paritas.
Diskusi kemudian beralih ke EDI, di mana perusahaan-perusahaan dihadapkan dengan berbagai
paparan yang timbul sehubungan dengan kekosongan lingkungan perantara manusia untuk
mengotorisasi atau review transaksi. Kontrol dalam lingkungan EDI dicapai terutama melalui
prosedur yang diprogram untuk mengotorisasi transaksi, membatasi akses ke file data, dan
memastikan bahwa transaksi proses sistem yang berlaku.
Bab ini menyimpulkan dengan risiko dan kontrol yang terkait dengan lingkungan PC. Terdapat
paparan paling serius adalah:
1. Kurangnya pemisahan tugas dengan benar
2. PC sistem operasi yang tidak memiliki kecanggihan mainframe dan mengekspos data
akses yang tidak sah
3. kegagalan Komputer dan prosedur cadangan yang tidak memadai terlalu bergantung pada
intervensi manusia dan dengan demikian mengancam keamanan catatan akuntansi

Internal control and Fraud

Stephanie baskil, staff akuntansi yang menganggur, tinggal satu block dari Cleaver
Msnufacturing Company. Ketika dia berjalan santai dengan anjing peliharaannya tahun lalu, dia
menyadari beberapa manual ERP dalam tempat pembuangan. Penasaran, dia membawa pulang
manual ke rumahnya. Dia menemukan dokumentasi pada dua bulan sebelumnya, jadi dia
berpikir informasi tersebut masih termasuk baru. Sebulan setelah itu, stephani lanjut
mengumpulkan semua tipe manual dari tempat pembuangan selama mengajak anjing

22 | P a g e
peliharaannya jalan – jalan. Cleaver manufacturing company kelihatannya baru saja melakukan
pembaruan untuk semua dokumen manualnya dan membuatnya menjadi online. Sampai akhirnya
Stephanie menemukan cara pemesanan kembali persediaan, sistem tagihan, sistem penjualan,
sistem utang, dan sistem operasi. Stephanie pergi ke perpustakaan untuk membaca sebanyak
mungkin yang dia dapat mengenai sistem operasi.
Untuk mendapatkan akses ke organisasi, Dia menyamar sebagai petugas kebersihan,
mendapatkan semua akses ke bangunan. Ketika bekerja, dia mengintai melalui kantor, melihat
orang yang lambat dalam mengetik password. Dan menebak paswordnya. Dia mencetak semua
user id dan password dengan menggunakan virus Trojan. Dengan begitu ida mendapatkan
password yang dia butuhkan untuk menjadikannya supplier, konsumen, sistem operator, dan
sistem pustaka.
Sebagai konsumen, dia memesan barang dengan cukup untuk memicu secara otomatis sistem
persediaan untuk memesan lebih banyak bahan baku. Lalu sebagai supplier dia mengantar
barangnya dengan spesifikasi harga tersebut. Dia menyesuaikan catatan transaksinya ketika
tagihan sudah dibayar untuk menutupi jejaknya. Dia berhasil menggelapkan rata – rata sekitar
$126.000. setelah 16 bulan bekerja disana . controller melihatnya makan di restoran perancis
yang malam ketika sore hari dan mengendarai jaguar. Dia menceritakan kepada internal auditor
untuk tetap mengawasi dia dan menangkapnya ketika beraksi.

Jawaban.
Dengan menmbaca cerita diatas terdapat beberapa kesalahan yang dilakukan oleh Cleaver
Manufacturing Company yaitu
1. Beberapa manual ERP Cleaver Manufacturing Company dalam tempat pembuangan.
2. Komputer perusahaan tidak memiliki anti virus sehingga data dengan mudah dapat diambil
oleh virus Trojan.
3. Dari proses pembayaran apakah Cleaver Manufacturing Company dengan single otorisasi
atau multi otorisasi karena dari cerita tidak disebutkan. Diasumsikan dengan single
autorisasi.
4. Dari kelengkapan apakah minim atau tidak dokumen pelengkap untuk proses pembayaran
karena dalam cerita tidak dijelaskan bagaimana proses pembayaran.
5. Dari sisi internal auditor, apakah tidak melakukan audit dalam 16 bulan terakhir sehingga
peristiwa terjadi sampai 16 bulan lamanya
6. Apakah dari Cleaver Manufacturing Company tidak melakukan penggantian password
pengguna secara berkala.
Sarannya:

23 | P a g e
1. Melakukan pemasangan software anti virus untuk tiap computer. software antivirus harus
diinstal pada semua mikrokomputer dan dipanggil sebagai bagian dari prosedur startup
ketika komputer dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari hard disk
diperiksa sebelum data ditransfer melalui jaringan.
2. Melakukan penggantian password secara berkala untuk tiap computer.
3. Untuk proses pembayaran harus dilengkapi dengan beberapa dokumen seperti bill of
landing, purchase order, Invoice, Faktur pajak, serta beberapa dokumen lainnya sehingga
bisa digunakan untuk melakukan kontrol pembayaran.
4. Untuk pembayaran/ proses uang keluar sebaiknya dilakukan dengan multi otorisasi sehingga
5. Melakukan Event Monitoring merangkum kegiatan kunci yang berhubungan dengan sumber
daya sistem. Log peristiwa biasanya mencatat ID dari semua pengguna yang mengakses
sistem; waktu dan durasi sesi pengguna; program yang dieksekusi selama sesi; dan file,
database, printer, dan sumber daya lainnya diakses.
6. Inadequate Segregation of Duties / Pemisahan Tugas yang memadai. Karyawan di
lingkungan PC, terutama mereka dari perusahaan-perusahaan kecil, mungkin memiliki akses
ke beberapa aplikasi yang merupakan tugas yang tidak kompatibel. Misalnya, satu individu
mungkin bertanggung jawab untuk memasukkan semua data transaksi, termasuk order
penjualan, penerimaan kas, faktur, dan pengeluaran. Sehingga dilakukan pemisahan, dengan
adanya pemisahan maka dapat memperkecil kemungkinan terjadinya pencurian data dan
kasus diatas.
7. Multilevel Password Control digunakan untuk membatasi karyawan yang berbagi komputer
yang sama ke direktori tertentu, program, dan file data. Dalam pendekatan ini, password
yang berbeda digunakan untuk mengakses fungsi yang berbeda.
8. Application-level firewalls memberikan penyesuaian tingkat keamanan jaringan yang lebih
tinggi tetapi mereka menambahkan overhead untuk konektivitas.
9. Melakukan Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan
dalam database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi
untuk mengubah pesan asli (disebut cleartext) menjadi setara kode (disebut ciphertext). Pada
sisi penerima, ciphertext tersebut diterjemahkan (didekripsi) kembali ke dalam bentuk clear
text.
10. Menerapkan Digital signature merupakan otentikasi elektronik yang tidak dapat dipalsukan.
Ini memastikan bahwa pesan atau dokumen yang dikirimkan pengirim tidak dirusak setelah
tanda tangan diterapkan.
11. Memverifikasi identitas pengirim dengan sertifikat digital, yang dikeluarkan oleh pihak
ketiga yang terpercaya disebut otoritas sertifikasi (CA). Sebuah sertifikat digital digunakan
dalam hubungannya dengan sistem enkripsi kunci publik untuk mengotentikasi pengirim
pesan.

24 | P a g e