Chapter 3-Audit OS Dan Network
Chapter 3-Audit OS Dan Network
Disusun Oleh:
Evelyn Natalia 127132015
Sandy 127132002
Stefanus 127132001
Tujuan Pembelajaran :
1|Page
Setelah mempelajari bab ini, Anda harus :
- Mampu mengidentifikasi ancaman utama untuk sistem operasi dan teknik kontrol yang
digunakan untuk meminimalkan kemungkinan eksposur yang sebenarnya.
- familiar dengan risiko utama yang terkait dengan perdagangan yang dilakukan melalui
intranet dan internet dan memahami teknik kontrol yang digunakan untuk mengurangi
risiko ini
- familiar dengan risiko yang terkait dengan sistem komputasi personal
- Mengenali eksposur unik yang timbul sehubungan dengan pertukaran data elektronik
(EDI) dan memahami bagaimana paparan tersebut dapat dikurangi.
3|Page
dengan yang tercantum dalam daftar kontrol akses. Jika ada cocok, pengguna
diberikan akses.
Hak akses discretionary (discretionary access privileges).
Administrator sistem pusat biasanya menentukan siapa yang diberikan akses ke
sumber daya tertentu dan menjaga daftar kontrol akses. Dalam sistem
terdistribusi, bagaimanapun, pengguna akhir dapat mengontrol sumber daya
(sendiri). Pemilik sumber daya dalam pengaturan ini dapat diberikan hak akses
discretionary, yang memungkinkan mereka untuk memberikan hak akses ke
pengguna lain.
Misalnya, controller, yang merupakan pemilik dari buku besar, mungkin garis
besar hanya membaca hak untuk manajer di departemen anggaran. Manajer
Account Payable, bagaimanapun, dapat diberikan izin baik membaca dan menulis
untuk buku besar. Setiap manajer budgeting yang mencoba membuat untuk
menambah, menghapus atau mengubah buku besar akan ditolak. Kebutuhan
kontrol akses discretionary menjadi erat diawasi untuk mencegah pelanggaran
keamanan yang disebabkan dari penggunaan terlalu liberal.
Sumber Eksposur:
1. Keistimewaan Personel yang menyalahgunakan kewenangannya. Sistem
administrator dan sistem programmer membutuhkan akses tak terbatas ke sistem
operasi untuk melakukan pemeliharaan dan memulihkan diri dari kegagalan
sistem. Orang tersebut dapat menggunakan otoritas ini untuk mengakses program
dan file data pengguna.
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan.
3. Individu yang dengan sengaja (atau sengaja) memasukkan virus komputer atau
bentuk lain dari program yang merusak ke dalam sistem operasi.
4|Page
Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individu yang
berdampak pelaporan keuangan juga dapat dikompromikan. Untuk alasan ini, desain dan
penilaian SOX dari kontrol keamanan sistem operasi merupakan masalah kepatuhan.
Berikut adalah area yang diperiksa: hak istimewa akses, kontrol password, kontrol virus.
Dan kontrol audit trail.
Mengontrol Hak Akses
Hak akses dengan cara yang ditugaskan mempengaruhi sistem keamanan. karena
itu hendaknya Hak istimewa dikelola hati-hati dan diawasi secara ketat untuk
memenuhi kebijakan organisasi dan prinsip-prinsip pengendalian internal.
o Tujuan Audit Berkaitan dengan Hak Akses
Tujuan auditor adalah untuk memverifikasi bahwa hak akses yang
diberikan dengan cara yang konsisten dengan kebutuhan untuk
memisahkan fungsi yang tidak kompatibel dan sesuai dengan kebijakan
organisasi.
o Prosedur Audit Berkaitan dengan Hak Akses
Untuk mencapai tujuannya auditor dapat melakukan tes kontrol berikut :
1. Review kebijakan organisasi untuk memisahkan fungsi yang tidak
kompatibel dan memastikan bahwa mereka mempromosikan
keamanan yang wajar.
2. Review hak dari pilihan kelompok pengguna dan individu
untuk menentukan apakah hak akses mereka sesuai
untuk deskripsi pekerjaan mereka dan posisi. Auditor harus
memverifikasi bahwa individu diberikan akses ke data
dan program berdasarkan mengetahui kebutuhan mereka .
3. Review catatan personil untuk menentukan apakah keistimewaan
karyawan menjalani pemeriksaan keamanan izin memadai
intensif sesuai dengan kebijakan perusahaan.
4. Review catatan karyawan untuk menentukan apakah pengguna
telah secara resmi mengakui tanggung jawab mereka untuk menjaga
kerahasiaan data perusahaan.
5. Review pengguna diizinkan sekali log-on Izin harus sepadan dengan
tugas-tugas yang dilakukan.
Kontrol Password
Password adalah kode rahasia yang dimasukkan pengguna untuk mendapatkan
akses ke sistem, aplikasi, file data, atau server jaringan. Jika pengguna tidak dapat
memberikan password yang benar, sistem operasi hendaknya menolak akses.
Meskipun password bisa memberikan tingkat keamanan, ketika dikenakan pada
bukan pengguna yang memikirkan keamanan, prosedur password dapat
mengakibatkan perilaku pengguna akhir yang sesungguhnya menggagalkan
keamanan.
Bentuk yang paling umum dari perilaku kontra-keamanan meliputi:
Melupakan password dan terkunci keluar dari sistem.
5|Page
Gagal untuk mengubah password secara sering.
Sindrom Post-it, dimana password ditulis dan ditampilkan untuk dilihat orang
lain.
Kesederhanaan password bahwa kriminal komputer dengan mudah
mengantisipasi.
Metode yang paling umum dari kontrol password password dapat digunakan
kembali (reusable password). Pengguna mendefinisikan password pada sistem
sekali dan kemudian menggunakannya untuk mendapatkan akses masa depan.
Kualitas keamanan yang password dapat digunakan kembali memberikan ini
tergantung pada kualitas password itu sendiri. Jika password berkaitan dengan
sesuatu yang pribadi tentang pengguna, seperti nama anak, nama hewan
peliharaan, tanggal lahir, atau warna rambut, seorang penjahat komputer sering
kali bisa menyimpulkan itu.
Untuk meningkatkan kontrol akses, manajemen harus mensyaratkan bahwa
password akan berubah secara teratur dan melarang password yang lemah.
Software yang tersedia yang secara otomatis memindai file kata sandi dan
memberitahu pengguna bahwa password mereka telah kedaluwarsa dan perlu
diubah.
Satu kali password dirancang untuk mengatasi masalah tersebut. Dalam
pendekatan ini, password pengguna berubah terus menerus. Teknologi ini
menggunakan kartu pintar kartu berukuran kredit yang berisi mikroprosesor
diprogram dengan algoritma yang menghasilkan, dan elektronik menampilkan,
password baru dan unik setiap 60 detik. Contoh lain (capcha)
o Tujuan Audit Berkaitan dengan Password
Tujuan auditor di sini adalah untuk memastikan bahwa organisasi
memiliki kebijakan password yang memadai dan efektif untuk
mengendalikan akses ke sistem operasi.
o Prosedur Audit Berkaitan dengan Password
Auditor dapat mencapai tujuan ini dengan melakukan tes berikut:
Pastikan bahwa semua pengguna diharuskan untuk memiliki
password.
Pastikan pengguna baru diinstruksikan dalam penggunaan password
dan pentingnya kontrol password.
Review prosedur pengendalian sandi untuk memastikan bahwa
password yang berubah secara teratur.
Tinjau file password untuk menentukan bahwa password yang lemah
diidentifikasi dan dianulir. Ini mungkin melibatkan menggunakan
perangkat lunak untuk memindai file password untuk password yang
lemah dikenal.
Pastikan bahwa file password terenkripsi dan bahwa kunci enkripsi
dijamin benar.
6|Page
Menilai kecukupan standar password seperti panjang dan berakhirnya
interval.
Meninjau kebijakan akun dan prosedur lockout. Sebagian besar
sistem operasi memungkinkan administrator sistem untuk
menentukan tindakan yang akan diambil setelah sejumlah upaya log-
on gagal. Auditor harus menentukan berapa banyak yang gagal log-on
upaya diperbolehkan sebelum account terkunci. Durasi lockout juga
perlu ditentukan. Hal ini bisa berkisar dari beberapa menit untuk
lockout permanen yang memerlukan reaktivasi formal account.
Mengontrol Terhadap Program Berbahaya dan Merusak
Ancaman dari program yang merusak dapat dikurangi secara substansial melalui
kombinasi teknologi kontrol dan prosedur administratif. Contoh-contoh berikut
relevan dengan sebagian besar sistem operasi.
a. software Pembelian hanya dari vendor terkemuka dan hanya menerima
produk-produk yang di asli, paket pabrik-disegel mereka.
b. Isu kebijakan entitas-lebar (entity-wide policy) yang berkaitan dengan
penggunaan perangkat lunak yang tidak sah atau ilegal (bajakan) salinan
perangkat lunak hak cipta.
c. Periksa semua upgrade ke software vendor untuk virus sebelum mereka
diimplementasikan.
d. Periksa semua perangkat lunak publik-domain untuk infeksi virus sebelum
menggunakan.
e. Menetapkan prosedur entitas-lebar untuk membuat perubahan untuk program
produksi.
f. Menetapkan program pendidikan untuk meningkatkan kesadaran pengguna
tentang ancaman dari virus dan program jahat.
g. Instal semua aplikasi baru pada komputer yang berdiri sendiri dan benar-benar
menguji mereka dengan perangkat lunak antivirus sebelum
mengimplementasikannya pada mainframe atau server jaringan area lokal
(LAN).
h. Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di
mainframe, server, dan workstation.
i. Jika memungkinkan, membatasi pengguna untuk membaca dan mengeksekusi
hak saja. Hal ini memungkinkan pengguna untuk mengambil data dan
menjalankan aplikasi resmi, tapi menolak mereka kemampuan untuk menulis
langsung ke mainframe dan server direktori.
j. Memerlukan protokol yang secara eksplisit memanggil sistem operasi log-on
prosedur untuk menghilangkan Trojan Horse
k. Gunakan software antivirus (juga disebut vaksin) untuk memeriksa aplikasi
dan sistem operasi program untuk kehadiran virus dan menghapusnya dari
program yang terkena.
o Tujuan Audit Terkait dengan Virus dan Program Merusak Lainnya
7|Page
Kunci untuk kontrol virus komputer adalah pencegahan melalui ketaatan
kebijakan organisasi dan prosedur yang menjaga terhadap infeksi virus.
Tujuan auditor adalah untuk memverifikasi bahwa kebijakan dan prosedur
manajemen yang efektif di tempat untuk mencegah pengenalan dan
penyebaran program yang merusak, termasuk viruses, worms, back doors,
logic bombs, and Trojan horses.
o Prosedur Audit Terkait dengan Virus dan Program Merusak Lainnya
Melalui wawancara, menentukan bahwa personil operasi telah
diajarkan tentang virus komputer dan menyadari praktek komputasi
berisiko yang bisa memperkenalkan dan menyebarkan virus dan
program berbahaya lainnya.
Pastikan bahwa perangkat lunak baru diuji pada workstation
standalone sebelum dilaksanakan pada host atau server jaringan.
Pastikan bahwa versi terbaru dari perangkat lunak antivirus yang
diinstal pada server dan yang upgrade secara teratur download ke
workstation.
o Sistem Audit Trail Kontrol
Audit sistem yang log yang merekam aktivitas di sistem, aplikasi, dan
tingkat pengguna. Sistem operasi memungkinkan manajemen untuk
memilih tingkat audit untuk direkam dalam log. Manajemen perlu
memutuskan di mana untuk mengatur batas antara informasi dan fakta-
fakta yang tidak relevan. Kebijakan audit yang efektif akan menangkap
semua peristiwa penting tanpa mengacaukan log dengan aktivitas sepele.
Jejak audit biasanya terdiri dari dua jenis:
a. Keystroke monitoring
melibatkan merekam keystrokes baik pengguna dan respon sistem.
Bentuk log dapat digunakan setelah fakta untuk merekonstruksi detail
dari suatu peristiwa atau sebagai kontrol real-time untuk mencegah
intrusi yang tidak sah.
b. Event Monitoring
merangkum kegiatan kunci yang berhubungan dengan sumber daya
sistem. Log peristiwa biasanya mencatat ID dari semua pengguna
yang mengakses sistem; waktu dan durasi sesi pengguna; program
yang dieksekusi selama sesi; dan file, database, printer, dan sumber
daya lainnya diakses.
Menerapkan Sistem Audit Trail
Audit dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara: (1)
mendeteksi akses tidak sah ke sistem, (2) memfasilitasi rekonstruksi peristiwa,
dan (3) mempromosikan akuntabilitas pribadi.
o Implementasi Sistem Audit Trail
8|Page
Informasi yang terkandung dalam audit log berguna untuk akuntan dalam
mengukur potensi kerusakan dan kerugian finansial yang terkait dengan
kesalahan aplikasi, penyalahgunaan wewenang, atau akses yang tidak sah
oleh penyusup luar. Audit log, bagaimanapun, bisa menghasilkan data
secara detail yang luar biasa. Informasi penting dapat dengan mudah
tersesat di antara rincian berlebihan dari operasi sehari-hari. Jadi, log
dirancang buruk sebenarnya dapat disfungsional. Melindungi eksposur
dengan potensi kerugian keuangan materi harus mendorong keputusan
manajemen sebagai yang pengguna, aplikasi, atau operasi untuk
memantau, dan berapa banyak detail untuk login. Seperti dengan semua
kontrol, manfaat log audit harus seimbang terhadap biaya pelaksanaan
mereka.
o Tujuan Audit Terkait dengan Sistem Audit Trail
Tujuan auditor adalah untuk memastikan bahwa didirikan audit sistem
jejak memadai untuk mencegah dan mendeteksi pelanggaran,
merekonstruksi peristiwa penting yang mendahului sistem kegagalan, dan
alokasi sumber daya perencanaan.
o Prosedur Audit Terkait dengan Sistem Audit Trail
Sebagian besar sistem operasi menyediakan beberapa bentuk fungsi
manajer audit untuk menentukan peristiwa yang akan diaudit. Auditor
harus memverifikasi bahwa jejak audit telah diaktifkan sesuai dengan
kebijakan organisasi.
Banyak sistem operasi menyediakan penampil log audit yang
memungkinkan auditor untuk memindai log untuk aktivitas yang
tidak biasa. Ini bisa ditinjau pada layar atau dengan pengarsipan file
untuk diperiksa berikutnya. Auditor dapat menggunakan alat ekstraksi
data untuk keperluan umum untuk mengakses file log arsip untuk
mencari kondisi yang didefinisikan seperti:
o pengguna tidak sah atau dihentikan
o Periode tidak aktif
o Kegiatan oleh pengguna, workgroup, atau departemen
o Log-on dan log-off kali
o upaya log-on Gagal
o Akses ke file tertentu atau aplikasi
Kelompok keamanan organisasi memiliki tanggung jawab untuk
memantau dan melaporkan pelanggaran keamanan. Auditor harus
memilih sampel kasus pelanggaran keamanan dan mengevaluasi
disposisi mereka untuk menilai efektivitas kelompok keamanan.
Audit Jaringan
Ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan kekhawatiran tentang
akses tidak sah ke informasi rahasia. Sebagai LAN menjadi platform untuk aplikasi mission-
critical dan data, informasi kepemilikan, data pelanggan, dan catatan keuangan beresiko.
9|Page
Organisasi terhubung ke pelanggan dan mitra bisnis melalui internet, khususnya yang rentan.
Tanpa perlindungan yang memadai, perusahaan membuka pintu mereka untuk hacker komputer,
pengacau, pencuri, dan mata-mata industri baik secara internal maupun dari seluruh dunia.
Paradoks jaringan adalah bahwa jaringan ada untuk menyediakan akses pengguna ke sumber
daya bersama, namun tujuan yang paling penting dari jaringan adalah untuk mengontrol akses
tersebut. Oleh karena itu, untuk setiap argumen produktivitas yang mendukung akses remote, ada
argumen keamanan terhadap itu. Manajemen organisasi terus mencari keseimbangan antara
peningkatan akses dan risiko bisnis terkait.
a. Resiko Intranet
terdiri dari LAN kecil dan besar WAN yang mungkin berisi ribuan node individu. Intranet
digunakan untuk menghubungkan karyawan dalam sebuah bangunan tunggal, antara
bangunan di kampus fisik yang sama, dan antara geografis lokasi. Kegiatan intranet khas
termasuk routing e-mail, pemrosesan transaksi antara unit bisnis, dan menghubungkan ke
Internet di luar.
• Intersepsi Jaringan Pesan
• Akses ke Database Perusahaan
• Penyalahgunaan istimewa Karyawan Authority
• Intersepsi Jaringan Pesan
• Akses ke Database Perusahaan
• Penyalahgunaan istimewa Karyawan Authority
•
b. Resiko Internet
• IP spoofing adalah bentuk menyamar untuk mendapatkan akses tidak sah ke server
Web dan / atau untuk mengabadikan suatu tindakan yang melanggar hukum tanpa
mengungkapkan identitas seseorang. Untuk melakukan hal ini, pelaku
memodifikasi alamat IP komputer berasal untuk menyamarkan identitasnya.
• Denial of service attacks (Dos) Adalah serangan terhadap server web untuk
mencegah pelayanan pengguna yang sah. Meskipun serangan tersebut dapat
ditujukan untuk semua jenis situs Web, mereka sangat menghancurkan badan
usaha yang menghalangi dari menerima dan memproses transaksi bisnis dari
pelanggan mereka. Tiga jenis umum dari serangan Dos adalah: SYN flood, smurf,
dan distributed denial of service (Ddos).
SYN FLOOD DOS ATTACK
10 | P a g e
Dalam DOS Attack, pengirim mengirimkan ratusan pesan, menerima paket SYN / ACK, tapi tidak
respon dengan paket ACK. Hal ini membuat penerima dengan port transmisi tersumbat, dan pesan
yang sah tidak dapat diterima. Firewall dapat saja memblokir alamat yang melakukan flood attack
tetapi apabila dikombinasikan dengan IP spoofing, maka akan lebih sulit karena penyerang akan
terus dianggap sebagai alamat yang berbeda.
SMURF Attack
Melibatkan preparatory (sebagai penyerang), intermediary dan victim. Ping (sejenis sonar dalam
jaringan untuk menguji koneksi) dikirmkan oleh preparatory (yang menyamar (IP Spoofing)
sebagai victim ) kepada intermediary. Intermediary yang jumlahnya banyak dan berada pada
subnetwork dari victim, mengirimkan kembali pantual ping kepada victim. Hal ini membebani lalu
lintas data victim dan dapat membuatnya tidak dapat digunakan sebagaimana mestinya.
Distributed Denial of Service Attack
11 | P a g e
Preparatory menciptakan bot atau zombie dalam computer yang terhubung pada jaringan internet
(dalam modul, kasusnya adalah IRC). Computer-komputer yang telah ditanamkan zombie (disebut
botnet) dikendalikan oleh preparatory dengan Zombie Control Program untuk melakukan serangan
yang dapat berupa SYN Flood atau smurf attack. Karena jumlahnya berkali lipat, serangan ini lebih
berbahaya.
Alasan melakukan Dos attack : menghukum organisasi atau sekedar pamer kemampuan. Alasan
keuangan juga bisa menjadi alas an, dengan melakukan serangan dan kemudian meminta bayaran
untuk serangan tersebut.
• Risiko dari Kegagalan Peralatan
Topologi jaringan terdiri dari berbagai konfigurasi (1) jalur komunikasi (kabel
twisted-pair, kabel koaksial, oven microwave, dan serat optik), (2) komponen
perangkat keras (modem, multiplexer, server, dan prosesor front-end), dan (3 )
software (protokol dan sistem kontrol jaringan).
c. Controlling Networks
Pada bagian berikut, kita meneliti berbagai teknik kontrol yang digunakan untuk
mengurangi risiko diuraikan dalam bagian sebelumnya. Kami mulai dengan meninjau
beberapa kontrol untuk menangani ancaman subversif termasuk firewall, inspeksi paket
yang mendalam, enkripsi dan teknik kontrol pesan. Ini diikuti dengan tujuan audit dan
prosedur terkait dengan kontrol ini. Bagian kemudian kontrol ini, tujuan audit, dan
prosedur audit yang berkaitan dengan ancaman dari kegagalan peralatan
12 | P a g e
d. Controlling Risk from Subversive Threats
• Organisasi terhubung ke Internet atau jaringan publik lainnya sering kali menerapkan
firewall elektronik untuk melindungi intranet mereka dari penyusup luar. Firewall
adalah sebuah sistem yang memberlakukan kontrol akses antara dua jaringan. Untuk
melakukan hal ini:
1. Semua lalu lintas antara jaringan luar dan intranet organisasi harus melewati
firewall.
2. Hanya berwenang lalu lintas antara organisasi dan di luar, seperti
menspesifikasikan kebijakan keamanan formal, diperbolehkan untuk melewati
firewall.
3. Firewall harus kebal terhadap Penetrasi akan dari luar dan dalam organisasi.
Network-level firewalls menyediakan efisien tetapi akses-keamanan rendah kontrol.
Jenis firewall terdiri dari screening router yang meneliti sumber dan tujuan alamat
yang melekat pada paket pesan yang masuk.
Application-level firewalls memberikan penyesuaian tingkat keamanan jaringan
yang lebih tinggi tetapi mereka menambahkan overhead untuk konektivitas.
Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan dalam
database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi
untuk mengubah pesan asli (disebut cleartext) menjadi setara kode (disebut
ciphertext). Pada sisi penerima, ciphertext tersebut diterjemahkan (didekripsi)
kembali ke dalam bentuk clear text.
Digital signature merupakan otentikasi elektronik yang tidak dapat dipalsukan. Ini
memastikan bahwa pesan atau dokumen yang dikirimkan pengirim tidak dirusak
setelah tanda tangan diterapkan.
Memverifikasi identitas pengirim membutuhkan sertifikat digital, yang dikeluarkan
oleh pihak ketiga yang terpercaya disebut otoritas sertifikasi (CA). Sebuah sertifikat
digital digunakan dalam hubungannya dengan sistem enkripsi kunci publik untuk
mengotentikasi pengirim pesan.
Penyusup dalam saluran komunikasi mungkin mencoba untuk menghapus pesan dari
aliran pesan, mengubah urutan pesan yang diterima, atau menggandakan pesan.
Melalui pesan penomoran urut, nomor urut dimasukkan dalam setiap pesan, dan
upaya tersebut akan menjadi jelas pada akhir penerima.
Penyusup mungkin berhasil menembus sistem dengan mencoba kata sandi dan
kombinasi. ID pengguna yang berbeda Oleh karena itu, semua pesan masuk dan
keluar, serta upaya akses(gagal) harus dicatat dalam log transaksi pesan. Log harus
mencatat pengguna ID, waktu akses, dan lokasi atau dari akses telepon terminal
nomor asal.
Menggunakan teknik permintaan-respon, pesan kontrol dari pengirim dan tanggapan
dari penerima yang dikirim pada periodik, interval disinkronkan. Waktu dari pesan
harus mengikuti pola acak yang akan sulit bagi penyusup untuk mengetahui dan
mengakali.
13 | P a g e
Perangkat panggilan-kembali (call back device) mengharuskan pengguna dial-in
untuk memasukkan password dan diidentifikasi.Sistem kemudian memecahkan
koneksi untuk melakukan otentikasi pengguna. Jika penelepon adalah resmi,
perangkat panggilan-kembali memanggil nomor pemanggil untuk membuat
sambungan baru.Ini membatasi akses ke terminal resmi atau nomor telepon dan
mencegah penyusup menyamar sebagai pengguna yang sah.
Tujuan auditor adalah untuk memverifikasi keamanan dan integritas transaksi keuangan
dengan menentukan bahwa kontrol jaringan (1) dapat mencegah dan mendeteksi akses
ilegal baik secara internal dan dari Internet, (2) akan membuat sia-sia data yang pelaku
berhasil ditangkap, dan (3) cukup untuk menjaga integritas dan keamanan fisik data yang
terhubung ke jaringan.
Audit Procedure :
Meninjau kecukupan firewall dalam mencapai keseimbangan yang tepat antara
kontrol dan kenyamanan didasarkan pada tujuan bisnis organisasi dan potensi
risiko.
Memverifikasi bahwa sistem pencegahan intrusi (IPS - intrusion prevention
system ) dengan paket pemeriksaan mendalam (DPI) di tempat untuk organisasi
yang rentan terhadap serangan DDos, seperti lembaga keuangan.
Meninjau prosedur keamanan yang mengatur administrasi kunci enkripsi data.
Verifikasi proses enkripsi dengan mengirimkan pesan uji dan memeriksa isi di
berbagai titik di sepanjang saluran antara lokasi pengirim dan penerima.
Tinjau log transaksi pesan (message transaction logs) untuk memverifikasi bahwa
semua pesan yang diterima dalam urutan yang tepat.
Menguji pengoperasian fitur panggilan-kembali (call-back feature ) dengan
menempatkan panggilan yang tidak sah dari luar instalasi.
14 | P a g e
parity check :penambahan ekstra bit dalam pesan. Jumlah parity bit (1 maupun
0) haruslah sama dari saat dikirm dengan saat diterima. Hanya saja terkadang
gangguan dapat mengubah bit secara simultan, sehingga eror tidak terdeteksi.
Antara vertikal Parity Bit dan Horizontal Parity Bit, Horizontal cenderung lebih
dapat diandalkan.
Tujuan Audit Terkait Kegagalan Peralatan
Tujuan auditor adalah untuk memverifikasi integritas dari transaksi perdagangan
elektronik dengan menentukan bahwa kontrol berada di tempat untuk mendeteksi dan
kehilangan pesan yang benar karena kegagalan peralatan.
Prosedur Audit Berkaitan dengan Kegagalan Peralatan
Untuk mencapai tujuan kontrol, auditor dapat memilih sampel dari pesan dari log
transaksi dan memeriksa mereka untuk konten yang kacau disebabkan oleh garis
kebisingan. Auditor harus memverifikasi bahwa semua pesan rusak berhasil dipancarkan
kembali.
1. Manfaat EDI
o Data keying. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk entri
data.
o Error reduction (Pengurangan kesalahan). Perusahaan menggunakan EDI melihat
pengurangan kesalahan data keying, interpretasi dan klasifikasi kesalahan manusia,
dan pengajuan (dokumen hilang) kesalahan.
o Reduction of paper (Pengurangan kertas.) Penggunaan amplop elektronik dan
dokumen secara drastis mengurangi bentuk kertas dalam sistem
o Postage /Ongkos kirim. Dokumen dikirimkan diganti dengan transmisi data yang
jauh lebih murah.
o Automated procedures /Prosedur otomatis. EDI mengotomatiskan kegiatan pengguna
yang terkait dengan pembelian, pemrosesan order penjualan, pengeluaran kas, dan
penerimaan kas.
o Inventory reduction /Pengurangan persediaan. Dengan memesan langsung yang
diperlukan dari vendor, EDI mengurangi jeda waktu yang mempromosikan akumulasi
persediaan.
2. Financial EDI
Ini adalah proses menggunakan EDI untuk transfer dana, penerimaan kas, pengeluaran
kas dan kegiatan pembelian dan penjualan lainnya.
15 | P a g e
3. Kontrol EDI
Otorisasi transaksi dan Validasi
Baik pelanggan dan pemasok harus menetapkan bahwa transaksi sedang diproses adalah
untuk (atau dari) mitra dagang yang valid dan berwenang. Hal ini dapat dicapai pada tiga
poin dalam proses.
1. Beberapa VAN (Value Added Networks) memiliki kemampuan untuk memvalidasi
password dan kode ID pengguna untuk vendor dengan mencocokkan ini terhadap
file pelanggan valid. The VAN menolak setiap transaksi mitra dagang yang tidak
sah sebelum mereka mencapai sistem vendor.
2. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID dan
password mitra dagang terhadap file validasi dalam database perusahaan.
3. Sebelum diolah, perangkat lunak aplikasi mitra dagang yang merujuk pelanggan
dan vendor file yang valid untuk memvalidasi transaksi.
4. Access Control
Untuk berfungsi dengan lancar, mitra dagang EDI harus mengizinkan tingkat akses ke
file data pribadi yang akan dilarang di lingkungan tradisional. Perjanjianmitra
Perdagangan akan menentukan tingkat kontrol akses di tempat.
EDI Audit Trail
Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan jejak audit tradisional dan
membatasi kemampuan akuntan untuk memverifikasi keabsahan, kelengkapan, waktu, dan
akurasi transaksi. Salah satu teknik untuk memulihkan jejak audit adalah untuk mempertahankan
log kontrol, yang mencatat aliran transaksi melalui setiap fase dari sistem EDI
16 | P a g e
◦ mitra dagang resmi hanya memiliki akses ke data yang disetujui;
◦ kontrol yang memadai untuk memastikan jejak audit lengkap dari semua transaksi
EDI.
Audit Procedure :
1. Pengujian Otorisasi dan Validasi Kontrol.
Auditor harus menetapkan bahwa kode identifikasi mitra dagang diverifikasi sebelum
transaksi diproses. Untuk mencapai hal ini, auditor harus (1) perjanjian ulasan dengan
fasilitas VAN untuk memvalidasi transaksi dan memastikan bahwa informasi mengenai
mitra dagang yang valid secara lengkap dan benar, dan (2) mengkaji perdagangan berkas
pasangan valid organisasi untuk akurasi dan kelengkapan.
2. Pengujian Akses Kontrol. Keamanan selama untuk perdagangan berkas mitra valid dan
database merupakan pusat kerangka kontrol EDI. Auditor dapat memverifikasi
kecukupan pengendalian dengan cara berikut:
i) Auditor harus menentukan bahwa akses ke valid vendor atau pelanggan file dibatasi
pada karyawan yang berwenang saja. Auditor harus memverifikasi bahwa password
dan tabel otoritas mengontrol akses ke file ini dan bahwa data dienkripsi.
ii) Perjanjian perdagangan akan menentukan tingkat akses mitra dagang harus memiliki
catatan database perusahaan (seperti tingkat persediaan dan daftar harga). Auditor
harus mencocokkan persyaratan perjanjian perdagangan terhadap hak akses mitra
dagang yang tercantum dalam tabel otoritas basis data.
iii) Auditor harus mensimulasikan akses berdasarkan sampel mitra dagang dan berupaya
untuk melanggar hak akses.
3. Pengujian Kontrol Audit Trail. Auditor harus memverifikasi bahwa sistem EDI
menghasilkan log transaksi yang melacak transaksi melalui semua tahapan pengolahan.
Dengan memilih sampel transaksi dan melacak ini melalui proses, auditor dapat
memverifikasi bahwa nilai data kunci dicatat dengan benar pada setiap titik.
17 | P a g e
Modul Sistem PC Accounting
18 | P a g e
Infeksi virus adalah salah satu yang paling umum untuk ancaman integritas PC
dan ketersediaan sistem. Ketaatan terhadap kebijakan organisasi dan prosedur
yang menjaga terhadap infeksi virus sangat penting untuk mengendalikan virus
yang efektif.
19 | P a g e
online yang digunakan, auditor harus memverifikasi bahwa kontrak adalah
saat ini dan cukup untuk memenuhi kebutuhan organisasi.
vii. Dengan memilih sampel dari PC, auditor harus memverifikasi bahwa
paket perangkat lunak komersial yang dibeli dari vendor terkemuka dan
salinan hukum. Auditor harus meninjau seleksi dan akuisisi prosedur
untuk memastikan bahwa kebutuhan pengguna akhir sepenuhnya
dipertimbangkan dan bahwa software yang dibeli memenuhi kebutuhan.
viii. Auditor harus meninjau kebijakan organisasi untuk menggunakan
perangkat lunak antivirus. Kebijakan ini dapat mencakup hal berikut:
1. software antivirus harus diinstal pada semua mikrokomputer dan
dipanggil sebagai bagian dari prosedur startup ketika komputer
dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari
hard disk diperiksa sebelum data ditransfer melalui jaringan.
2. Semua upgrade ke vendor perangkat lunak harus diperiksa untuk
virus sebelum mereka diimplementasikan.
3. Semua perangkat lunak publik-domain harus diperiksa untuk
infeksi virus sebelum digunakan.
4. versi sekarang dari perangkat lunak antivirus harus tersedia untuk
semua pengguna. Memverifikasi bahwa terbaru file data virus
sedang didownload secara teratur, dan bahwa program antivirus ini
memang berjalan di latar belakang PC terus menerus, dan dengan
demikian dapat memindai semua dokumen yang masuk. Versi
perusahaan umumnya mencakup "push" pembaruan di mana
perangkat lunak secara otomatis memeriksa situs Web rumah
vendor antivirus untuk update baru setiap kali terhubung ke
Internet dan PC boot.
Pembahasan Kasus:
Pada tahun 2002, Mr Roller Ball memulai Mighty Mouse, Inc, sebuah, perusahaan 75-
karyawan kecil yang memproduksi dan menjual keyboard nirkabel dan perangkat lain
untuk vendor melalui pabrik manufaktur di Little Rock, Arkansas. Dalam 2 tahun
pertama bisnis, MM melihat pertumbuhan substansial dalam penjualan dan pada
kapasitas saat ini tidak mampu memenuhi permintaan. Untuk bersaing, MM
memperbesar fasilitas manufaktur. Fasilitas baru meningkat menjadi 250 karyawan.
Selama periode ini ekspansi, MM telah membayar sedikit perhatian untuk prosedur
pengendalian internal.
Keamanan
Baru-baru ini, masalah sistem dan kegagalan hardware telah menyebabkan sistem
operasi mengalami gangguan. Mr Roller ball sangat prihatin untuk menemukan
bahwa informasi rahasia perusahaan telah dicetak pada printer sebagai akibat dari
20 | P a g e
kecelakaan tersebut. Juga, dokumen digital penting terhapus dari media
penyimpanan.
Beberapa program berbahaya seperti virus, worm, dan trojan horse telah melanda
perusahaan dan menyebabkan korupsi data yang signifikan. MM telah
mengabdikan dana yang signifikan dan waktu mencoba untuk memperbaiki
kerusakan yang disebabkan ke sistem operasi.
Karena kebutuhan untuk mendapatkan pekerjaan yang dilakukan, serta untuk
alasan filosofis, administrator sistem dan programmer telah menyediakan
pengguna akses relatif bebas ke sistem operasi. Membatasi akses ditemukan untuk
menghambat bisnis dan menghambat pemulihan dari kegagalan sistem. Dari awal,
pendekatan terbuka dianggap sebagai cara yang efisien dan efektif untuk
memastikan bahwa setiap orang memperoleh informasi yang mereka butuhkan
untuk melakukan pekerjaan mereka.
PERTANYAAN
Apa masalah pengendalian internal yang Anda temukan?
Jawab :
o Adanya kegagalan sistem disengaja yang menyebabkan segmen seluruh
memori terhapus di disk dan printer, sehingga sengaja mengungkapkan
informasi yang rahasia. Ancaman disengaja untuk sistem operasi
perusahaan Mighty Mouse mencoba secara ilegal mengakses data atau
melanggar privasi pengguna untuk keuntungan financial (MM
mmengalami pertumbuhan substansial dalam penjualan).
o Penyalahgunaan wewenang. Sistem administrator dan sistem programmer
melakukan akses tak terbatas ke sistem operasi untuk melakukan
pemeliharaan dan memulihkan diri dari kegagalan sistem. Orang tersebut
dapat menggunakan otoritas ini untuk mengakses program dan file data
pengguna.
o Adanya Individu yang dengan sengaja (atau sengaja) memasukkan virus
komputer atau bentuk lain dari program yang merusak ke dalam sistem
operasi.
21 | P a g e
c. Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di
mainframe, server, dan workstation.
d. Membatasi pengguna untuk membaca dan mengeksekusi haknya saja.
Kesimpulan
Bab ini melanjutkan pembahasan umum IT kontrol dan pengujian audit dimulai pada Bab 3.
meneliti risiko dan kontrol atas sistem operasi, jaringan, EDI, dan sistem akuntansi berbasis PC.
Ancaman utama untuk sistem operasi adalah:
Akses tidak sah
penyisipan virus Disengaja atau tidak disengaja
Kehilangan data karena kerusakan sistem.
Link Jaringan dan komunikasi yang rentan terhadap paparan dari kedua kejahatan Subversion
dan kegagalan peralatan. Ancaman subversif dapat diminimalkan melalui berbagai langkah-
langkah keamanan dan kontrol akses termasuk firewall, IPS, DPI, enkripsi data, dan memanggil
kembali perangkat. Kegagalan peralatan biasanya mengambil bentuk kesalahan garis (line error)
yang kebisingan di jalur komunikasi menyebabkan. Ini dapat secara efektif dikurangi melalui cek
echo dan cek paritas.
Diskusi kemudian beralih ke EDI, di mana perusahaan-perusahaan dihadapkan dengan berbagai
paparan yang timbul sehubungan dengan kekosongan lingkungan perantara manusia untuk
mengotorisasi atau review transaksi. Kontrol dalam lingkungan EDI dicapai terutama melalui
prosedur yang diprogram untuk mengotorisasi transaksi, membatasi akses ke file data, dan
memastikan bahwa transaksi proses sistem yang berlaku.
Bab ini menyimpulkan dengan risiko dan kontrol yang terkait dengan lingkungan PC. Terdapat
paparan paling serius adalah:
1. Kurangnya pemisahan tugas dengan benar
2. PC sistem operasi yang tidak memiliki kecanggihan mainframe dan mengekspos data
akses yang tidak sah
3. kegagalan Komputer dan prosedur cadangan yang tidak memadai terlalu bergantung pada
intervensi manusia dan dengan demikian mengancam keamanan catatan akuntansi
Stephanie baskil, staff akuntansi yang menganggur, tinggal satu block dari Cleaver
Msnufacturing Company. Ketika dia berjalan santai dengan anjing peliharaannya tahun lalu, dia
menyadari beberapa manual ERP dalam tempat pembuangan. Penasaran, dia membawa pulang
manual ke rumahnya. Dia menemukan dokumentasi pada dua bulan sebelumnya, jadi dia
berpikir informasi tersebut masih termasuk baru. Sebulan setelah itu, stephani lanjut
mengumpulkan semua tipe manual dari tempat pembuangan selama mengajak anjing
22 | P a g e
peliharaannya jalan – jalan. Cleaver manufacturing company kelihatannya baru saja melakukan
pembaruan untuk semua dokumen manualnya dan membuatnya menjadi online. Sampai akhirnya
Stephanie menemukan cara pemesanan kembali persediaan, sistem tagihan, sistem penjualan,
sistem utang, dan sistem operasi. Stephanie pergi ke perpustakaan untuk membaca sebanyak
mungkin yang dia dapat mengenai sistem operasi.
Untuk mendapatkan akses ke organisasi, Dia menyamar sebagai petugas kebersihan,
mendapatkan semua akses ke bangunan. Ketika bekerja, dia mengintai melalui kantor, melihat
orang yang lambat dalam mengetik password. Dan menebak paswordnya. Dia mencetak semua
user id dan password dengan menggunakan virus Trojan. Dengan begitu ida mendapatkan
password yang dia butuhkan untuk menjadikannya supplier, konsumen, sistem operator, dan
sistem pustaka.
Sebagai konsumen, dia memesan barang dengan cukup untuk memicu secara otomatis sistem
persediaan untuk memesan lebih banyak bahan baku. Lalu sebagai supplier dia mengantar
barangnya dengan spesifikasi harga tersebut. Dia menyesuaikan catatan transaksinya ketika
tagihan sudah dibayar untuk menutupi jejaknya. Dia berhasil menggelapkan rata – rata sekitar
$126.000. setelah 16 bulan bekerja disana . controller melihatnya makan di restoran perancis
yang malam ketika sore hari dan mengendarai jaguar. Dia menceritakan kepada internal auditor
untuk tetap mengawasi dia dan menangkapnya ketika beraksi.
Jawaban.
Dengan menmbaca cerita diatas terdapat beberapa kesalahan yang dilakukan oleh Cleaver
Manufacturing Company yaitu
1. Beberapa manual ERP Cleaver Manufacturing Company dalam tempat pembuangan.
2. Komputer perusahaan tidak memiliki anti virus sehingga data dengan mudah dapat diambil
oleh virus Trojan.
3. Dari proses pembayaran apakah Cleaver Manufacturing Company dengan single otorisasi
atau multi otorisasi karena dari cerita tidak disebutkan. Diasumsikan dengan single
autorisasi.
4. Dari kelengkapan apakah minim atau tidak dokumen pelengkap untuk proses pembayaran
karena dalam cerita tidak dijelaskan bagaimana proses pembayaran.
5. Dari sisi internal auditor, apakah tidak melakukan audit dalam 16 bulan terakhir sehingga
peristiwa terjadi sampai 16 bulan lamanya
6. Apakah dari Cleaver Manufacturing Company tidak melakukan penggantian password
pengguna secara berkala.
Sarannya:
23 | P a g e
1. Melakukan pemasangan software anti virus untuk tiap computer. software antivirus harus
diinstal pada semua mikrokomputer dan dipanggil sebagai bagian dari prosedur startup
ketika komputer dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari hard disk
diperiksa sebelum data ditransfer melalui jaringan.
2. Melakukan penggantian password secara berkala untuk tiap computer.
3. Untuk proses pembayaran harus dilengkapi dengan beberapa dokumen seperti bill of
landing, purchase order, Invoice, Faktur pajak, serta beberapa dokumen lainnya sehingga
bisa digunakan untuk melakukan kontrol pembayaran.
4. Untuk pembayaran/ proses uang keluar sebaiknya dilakukan dengan multi otorisasi sehingga
5. Melakukan Event Monitoring merangkum kegiatan kunci yang berhubungan dengan sumber
daya sistem. Log peristiwa biasanya mencatat ID dari semua pengguna yang mengakses
sistem; waktu dan durasi sesi pengguna; program yang dieksekusi selama sesi; dan file,
database, printer, dan sumber daya lainnya diakses.
6. Inadequate Segregation of Duties / Pemisahan Tugas yang memadai. Karyawan di
lingkungan PC, terutama mereka dari perusahaan-perusahaan kecil, mungkin memiliki akses
ke beberapa aplikasi yang merupakan tugas yang tidak kompatibel. Misalnya, satu individu
mungkin bertanggung jawab untuk memasukkan semua data transaksi, termasuk order
penjualan, penerimaan kas, faktur, dan pengeluaran. Sehingga dilakukan pemisahan, dengan
adanya pemisahan maka dapat memperkecil kemungkinan terjadinya pencurian data dan
kasus diatas.
7. Multilevel Password Control digunakan untuk membatasi karyawan yang berbagi komputer
yang sama ke direktori tertentu, program, dan file data. Dalam pendekatan ini, password
yang berbeda digunakan untuk mengakses fungsi yang berbeda.
8. Application-level firewalls memberikan penyesuaian tingkat keamanan jaringan yang lebih
tinggi tetapi mereka menambahkan overhead untuk konektivitas.
9. Melakukan Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan
dalam database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi
untuk mengubah pesan asli (disebut cleartext) menjadi setara kode (disebut ciphertext). Pada
sisi penerima, ciphertext tersebut diterjemahkan (didekripsi) kembali ke dalam bentuk clear
text.
10. Menerapkan Digital signature merupakan otentikasi elektronik yang tidak dapat dipalsukan.
Ini memastikan bahwa pesan atau dokumen yang dikirimkan pengirim tidak dirusak setelah
tanda tangan diterapkan.
11. Memverifikasi identitas pengirim dengan sertifikat digital, yang dikeluarkan oleh pihak
ketiga yang terpercaya disebut otoritas sertifikasi (CA). Sebuah sertifikat digital digunakan
dalam hubungannya dengan sistem enkripsi kunci publik untuk mengotentikasi pengirim
pesan.
24 | P a g e