Security Part I

Auditing Operating Systems and Network

Tugas Mata Kuliah

Auditing EDP

Oleh :
Elsara Savitri Anggraeni (150810301097)
Resa Sage Agustin (160810301005)
Ananda Raninaila P (160810301006)
Bahtiyar Denny (160810301108)
Kiki Afkarina (160810301131)

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2019
 PENDAHULUAN

Sistem operasi adalah program kontrol komputer. Ini memungkinkan pengguna

dan aplikasi mereka untuk berbagi dan mengakses sumber daya komputer yang umum,
seperti prosesor, memori utama, basis data, dan printer. Jika integritas sistem operasi
dikompromikan, kontrol dalam aplikasi akuntansi individu juga dapat dinetralkan.
Karena sistem operasi adalah umum untuk semua pengguna, semakin besar
fasilitas komputer, semakin besar skala potensi kerusakan. Dengan komunitas
pengguna yang terus berkembang, semakin banyak sumber daya komputer,
keamanan sistem operasi menjadi masalah kontrol internal yang penting.
Dalam bab ini mengeidentifikasi ancaman utama terhadap sistem operasi dan
kontrol. Dimana dapat mengetahui : (1) Resiko utama yang terkait dengan
perdagangan yang dilakukan melalui intranet. (2) Resiko yang terkait dengan sistem
komputasi pribadi. (3) Teknik yang digunakan untuk meminimalkan kemungkinan
paparan yang sebenarnya. (4) Teknik kontrol yang digunakan untuk mengurangi resiko
ini. kenali eksposur unik yang muncul sehubungan dengan perubahan data elektronik
(EDI) dan pahami bagaimana eksposur ini dapat dikurangi.
Bab ini melanjutkan perawatan kontrol TI umum sebagaimana didefinisikan
kontrol COSO. Fokus pada bab ini adalah kepatuhan Sarbanes-Oxley mengenai
keamanan dan kontrol sistem operasi, jaringan komunikasi, pertukaran data elektronik,
dan sistem akuntansi bebbasis PC.
Materi ini penting untuk dibahas karena membahas resiko, kontrol, tujuan audit,
danprosedur audit yang dapat dilakukan untuk memenuhi kepatuhan atau
membuktikan tanggung jawab.
 PEMBAHASAN

A. Operating Sistem Audit

Operating System merupakan program kontrol komputer, yang mengedalikan
users/pengguna dan aplikasi dalam berbagi dan mengakses sumber daya komputer
umum, seperti processors, main memory, database, dan printer.

1. Tujuan operating system (OS)

a) Menerjemahkan bahasa pemrograman tingkat tinggi kedalam bahasa yang dapat
dieksekusi komputer. Modul yang melakukan ini disebut compilers dan interpreters
b) Mengalokasikan sumber daya kepada users, workgroups, dan aplikasi.
c) Mengelola tugas penjadwalan pekerjaan dan multiprograming, sesuai prioritas dan
kebutuhan akan resource yang tersedia.

2. Lima Syarat Kendali Fundamental OS

a) OS mampu melindungi diri dari users, berupa kendali, hal-hal yang merusakk OS,
yang menyebabkan OS berhenti bekerja atau menyebabkan kerusakan data
b) Melindungi users terhadap users lainnya, sehingga tidak dapat saling mengakses,
menghancurkan, atau merusak data atau program.
c) Melindungi users terhadap dirinya sendiri, misalnya module atau aplikasi yang
saling merusak.
d) Melindungi diri sendiri dari OS itu sendiri, seperti modul-modul individual yang
mungkin dapat saling merusak.
e) Dilindungi dari lingkungan, seperti hilangnya sumber tenaga maupun bencana
lainnya, termasuk bentuk perlindungan setelah kejadian dimana OS dapat pulih
kembali.

3. Keamanan OS
Keamanan operating system (OS) berupa kebijakan, prosedur, dan kendali
yang menetukan siapa saja yang dapat mengakses OS, resource (file, program, printer,
dll) yang dapat mereka gunakan, dan tindakan apa yang dapat dilakukan.

4. Komponen Keamanan OS:

a) Prosedur Log-On
b) Access Token
c) Access Control List
d) Discretionary Access Privileges

5. Ancaman Terhadap OS
a) Penyalahgunaan wewenang akses
b) Individu (eksternal maupun eksternal) yang memanfaatkan kelemahan keamanan
c) Individu yang baik sengaja maupun tidak, memasukkan virus atau program
merusak lainnya kedalam OS

6. Audit Tests terhadap OS

a) Controlling Access Previleges: Auditor harus memvirifikasi bahwa pemberian
access previleges sesuai dengan kebutuhan akan pemisahan fungsi dan kebijakan
organisasi
b) Password Control: Memastikan bahwa password terlindungi dengan baik, baik dari
kelalaian pengguna (lupa, Post-it syndrome, password yang sederhana) maupun
model sekurity password. Password yang dapat digunakan kembali (Reuseable
password) haruslah sulit ditebak serta bentuk kesalahan user dalam memasukkan
password harus dikelola dengan baik, misalnya tidak memberitahukan user
kesalahan password yang dibuat, apakah ID atau passwordnya. Selain itu, batasan
kesalahan log-on juga harus diatur. Password sekali pakai (One-Time Password)
lebih terlindungi karena walaupun dapat diretas, password tidak dapat digunakan
kembali setelah melewati waktu tertentu. Keamanannya juga berlapis karena masih
terdapat PIN.
c) Pengendalian terhadap program yang berbahaya dan merusak: pengendalian ini
dapat berupa keamanan yang tangguh maupun prosedur administrasi yang baik.
Beberapa bentuk audit terhadap pengendalian ini adalah: mengetahui tingkat
pemahaman personel terhadap virus dan sejenisnya serta cara penyebarannya;
memastikan bahwa software yang digunakan telah diuji sebelumnya dalam sistem
yang terpisah serta diperoleh dari sumber yang dipercaya; memastikan bahwa
antivirus/sekuriti yang digunakan adalah versi terbaru dan update.
Kendali atas jejak audit sistem adalah catatan atas aktivias sistem, aplikasi, dan
pengguna. Yaitu Keystroke Monitoring (keystroke: tombol pada keyboard) dan Event
Monitoring
Tujuan Jejak Audit adalah sebagai berikut :
a) Mendeteksi Akses yang tidak sah
b) Merekonstruksi kejadian
c) Menjaga akuntabilitas pengguna
Tujuan audit terhadap jejak audit yaitu untuk memastikan bahwa jejak audit
cukup memadai untuk mencegah atau mendeteksi penyalahgunaan, merekonstruksi
kejadian, dan merencanakan alokasi sumber daya. Beberapa hal yang harus dilakukan
adalah dengan menguji apakah log (jejak audit) ini dapat diakses oleh user yang tidak
sah, apakah catatan dibuat secara berkala, apakah catatan merepresentasi aktivitas
secara lengkap.

B. Mengaudit Jaringan
1. Intranet /Jaringan Lokal (LAN) Risk:
a) Sniffing yaitu mencegat arus informasi
b) Akses ilegal ke Database
c) Penyalahgunaan Prefileged Access
Keengganan untuk mengusut yaitu perusahaan, atas alasan menjaga nama
baik, terkadang enggan untuk mengusut kasus pembobolan sistem dan informasi
mereka.

2. Internet Risk:
a) IP Spoofing: penyamaran/meniru IP atau identitas komputer user untuk
memperoleh akses atau melakukan sesuatu tanpa ingin diketahui identitasnya
(jejaknya). Umumnya dilakukan dengan menyamar sebagai komputer yang ditelah
dikenal oleh korban.
b) Serangan yang mematikan layanan (Denial of Service Attack “DOS”):
1) SYN Flood Attack - Memanfaatkan Paket SYNchronize-ACKnowledge (SYN-
ACK), penyerang memulai koneksi kepada server, kemudian dibalas dengan
SYN. Penyerang sebagai receiving server tidak akan membalas dengan ACK
sehingga server organisasi menjadi sibuk dengan paket yang tidak dapat
ditindaklanjuti dan tidak dapat memproses paket yang lain (dari kostumer/clien
sebenarnya). Firewall dapat saja mem-blokir alamat yang melakukan Flood
Attack, tetapi apabila dikombinasikan dengan IP spoofing, maka akan menjadi
lebih sulit karena penyerang akan terus dianggap sebagai alamat yang berbeda.
2) Smurf Attack: melibatkan Perperator (sebagai penyerang), intermediary, dan
victim. Ping (sejenis sonar dalam jaringan untuk menguji koneksi) dikirimkan
 oleh perperator (yang menyamar (IP Spoofing) sebagai victim) kepada
intermediary. Intermediary yang jumlahnya banyak dan berada pada
subnetwork dari victim, mengirimkan kembali pantulan ping kepada victim. Hal
ini membebani lalu lintan data victim dan dapat membuatnya tidak dapat
digunakan sebagaimana seharusnya.
3) Distributed Denial of Service (DDos): perperator menciptakan bot atau zombie
dalam komputer yang terhubung pada jaringan internet (dalam modul,
kasusnya adalah IRC). Komputer-komputer yang telah ditanamkan zombie
(disebut botnet) dikendalikan oleh perpetaor dengan zombie control program
untuk melakukan serangan yang dapat berupa SYN Flood atau smurf attack.
Karena jumlahnya berkali lipat, serangan ini lebih berbahaya.

3. Alasan Melakukan Dos Attack

Alasan melakukan Dos Attack adalah untuk menghukum organisasi atau
sekedar pamer kemampuan. Alasan keuangan juga bisa menjadi alasan, dengan
melakukan serangan dan kemudian meminta bayaran untuk menarik serangan
tersebut.
 4. Risiko Kegagalan Peralatan

Risiko kegagalan peralatan selain risiko diatas, data juga berisiko untuk
terganggu, rusak, atau hancur akibat terganggunya sistem komunikasi antara senders
dan receivers. Kerusakan peralatan juga dapat menyebabkan hilangnya database dan
program yang tersimpan di server jaringan.

C. Mengendalikan Jaringan
Mengendalikan risiko dari gangguan (subversive threats) yaitu dengan :
1) Firewall, yaitusistem yang memaksa kendali akses antara dua jaringan, dimana
setiap lalu lintas jaringan harus melewati jaringan dan hanya yang diotorisasi yang
dapat melewatinya. Firewall harus kebal dari upaya pembobolan baik dari dalam
maupun luar.
2) Network-level Firewall, yaitu keamanan yang efisien tapi lemah, bekerja dengan
menyaring permintaan akses berdasarkan aturan yang telah diprogramkan
3) Application-level Firewall, yaitu sistem yang berkerja dengan cara menjalankan
perangkat keamanan berupa proxi yang memperbolehkan layanan rutin untuk lewat,
tatapi mampu menjalankan fungsi yang canggih seperti otentifikasi users serta
 menyediakan log transmisi dan alat audit untuk melaporkan aktivitas yang tidak
diotorisasi.

Firewall berlapis juga memungkinkan untuk digunakan :

1. Mengendalikan DOS:
a) Smuff Attack, yaitu mengabaikan paket dari situs penyerang segera setelah
alamatnya diidentifikasi
b) SYN Flood, antara lain (1) Firewall akan menolak semua paket yang berasal dari
alamat yg tidak teridentifikasi (2) Software keamanan yang mampu mendeteksi
pesan yang tidak diikuti paket ACK, dan segera mengembalikan koneksi yang tidak
terbalas.
c) DDos, yaitu Intrusion Prevention System (IPS) yang menjalankam deep packet
inspection (DPI) dan mengevaluasi keseluruhan isi dari paket pesan. Berbeda
dengan inspeksi normal, dengan menginspeksi keseluruhan isi lebih dalam, DPI
mampu mengidentifikasi dan mengklasifikasikan paket jahat untuk kemudian
ditahan dan diarahkan ke tim keamanan.
d) Enkripsi, yaitu mengkonversi data menjadi kode rahasia baik dalam penyimpanan
maupun transmisi.
e) Private Key Encription vs Public Key Encryption, Sender membutuhkan Public Key
receiver untuk meng-encoding dan mengirim pesan, sedangkan Private Key
receiver digunakan untuk meng-decoding pesan agar dapat terbaca. (Figure 3.6)
2. Tanda Tangan Digital (Digital Signature)
Tanda tangan digital merupakan otentifikasi elektronik yang tidak dapat ditiru.
Cara kerja (Figure 3.7)
3. Sertifikat Digital (Digital Certificate):
Sertifikat digital yaitu memverifikasi identitas pengirim. Digital Certificate
dikeluarkan oleh certification authority (CA). Digital Certificate dikirimkan kepada
receiver dan dienkrip dengan CA public key untuk memperoleh sender publick key.
4. Penomoran Urutan Pesan (Message Sequence Numbering)
Penomoran urutan pesan digunakan untuk menanggulangi pesan yang dihapus,
diubah urutannya, atau diduplikasi oleh penggangu, maka nomor urut ditanamkan
pada tiap2 pesan.
5. Log Transaksi Pesan (Message Transaction Log)
 Log transaksi pesan memungkinkan setiap pesan masuk dan keluar, serta
upaya akses terhadap pesan dicatat dalam log transaksi pesan. Log tersebut mencatat
user ID, waktu akses, dan asal atau nomor telepon dimana akses berasal.
6. Teknik Permintaan Respon (Request-Response Technique)
Teknik permintaan respon yaitu pesan kendali dari sender dan respon dari
penerima dikirim secara periodik, interval yang tersinkronisasi. Pewaktuan pesan
bersifat random sehingga sulit diperdaya.
7. Call-Back Device
CBD merupakan otentifikasi sebelum koneksi terjadi, dimana sistem akan
memutus dan membalas permintaan koneksi dengan menghubungi caller melalui
koneksi baru.

Tujuan Audit yang berhubungan dengan Subversive Threats yaitu menjamin

keamanan dan keabsahan transaksi financial dengan menentukan apakah network
kontrol, diantaranya :
a) Mendeteksi dan mencegah akses ilegal baik dari dalam maupun dari luar
b) Setiap data yang berhasil dicuri menjadi tidak berguna
c) Secara layak menjamin integritas dan keamanan fisik dari data yang terkoneksi ke
jaringan
Beberapa contoh upaya audit terhadap Subversive Threads, yaitu :
a) Menilai kemampuan firewall
b) Menguji kemampuan IPS dengan DPI
c) Mereview kebijakan administratif penggunaan data encription key
d) Mereview log transaksi pesan, apakah semua pesan sampai tujuan
e) Menguji call-back feature
 Mengendalikan risiko dari kegagalan peralatan yaitu dengan Line Errors atau
rusaknya data (bit structure) kerena gangguan dari saluran komunikasi.
a) Echo Check, merupakan receiver mengembalikan pesan kepada sender untuk
dibandingkan.
b) Parity Check, merupakan penambahan ekstra bit dalam pesan. Jumlah parity bit (1
maupun 0) haruslah sama dari saat dikirim dengan saat diterima. Hanya saja,
 terkadang, gangguan dapat mengubah bit secara simultan, sehingga error tidak
terdeteksi. Antara Vertical Parity Bit dan Horizontal Parity Bit, Horizontal cenderung
lebih dapat diandalkan. (Figure 3.8)

D. Electronic Data Interchange (EDI)

Electronic Data Interchange merupakan supplier dan customer sebagai trading
partner membentuk perjanjian dimana pertukaran informasi yang dapat diproses
dengan computer antar perusahaan dalam format standar. Dalam EDI, transaksi
diproses secara otomatis, bahkan dalam EDI murni, keterlibatan manusai dalam
otoriasi transaksi ditiadakan. Bentuk EDI (Figure 3.9) dan EDI yang menggunakan
Value-Added Network (Figure 3.10)
 Salah satu format EDI yang digunakan di Amerika adalah American National
Standards Institute (ANSI) X.12 Format. Sedangkan standar yang digunakan secara
internasional adalah EDI for Administration, Commerce, and Transport (EDIFACT)
format. Keuntungan EDI adalah sebagai berikut :
a) Data Keying, mengurangi kebutuhan entri data
b) Error Reduction, mengurangi kesalahan interpretasi dan klasifikasi manusia, dan
kehilangan dokumen
c) Pengurangan kertas
d) Mengurangi biaya pengiriman dokumen
e) Otomatisasi Prosedur
f) Pengurangan persedian

Financial EDI, menggunakan Electronic Funds Transfer (EFT) lebih kompleks

daripada EDI pada pembelian dan penjualan. Bentuknya adalah sebagai berikut
(Figure 3.13)
 EDI pembeli menerima tagihan pemebelian dan secara otomatis menyetujui
pembayaran. Pada tanggal pembayaran, sistem pembeli secara otomatis membuat
EFT kepada bank sumber (OBK). OBK mentransfer dana dari rekening pembeli
kepada Bank Penampungan (ACH). ACH kemudian mentransfer dana tersebut kepada
RBK, yaitu rekening penjual.
Masalah dapat muncul karena cek transfer dana biasanya untuk pembayaran
beberapa tagihan, atau hanya sebagian, perbedaan persetujuan harga, kerusakan
barang, atau pengiriman yang belum diselesaikan. Permasalahan ini biasanya
diselesaikan dengan pesan melekat.

EDI Control diantaranya :

a) VAN dibekali dengan proses validasi ID dan password yang memachingkan antara
vendor dengan file pelanggan.
b) Translation Software akan memvalidasi trading partner’s ID dan password dengan
file validasi di database perusahaan
c) Sebelum memproses, software aplikasi lawan transaksi mereferensikan file
pelanggan dan vendor yang valid untuk memvalidasi transaksi.
 Access Control, agar berjalan dengan lancar, setiap partner harus berbagi
akses terhadap data file private yang sebelumnya (dalam cara tradisional) tidak
diperbolehkan. Untuk itu, pengaturan mengenai seberapa dalam akses dapat diberikan
harus diatur secara jelas. Selain itu, perlindungan juga harus dibuat misalnya data
persediaan dan harga dapat dibaca tetapi tidak dapat diubah.
EDI Audit Trail (Jejak Audit), hilangnya penggunaan dokumen menharuskan
EDI memiliki control log. (Figure 3.14)

Tujuan audit terhadap EDI diantaranya adalah :

a) Menguji terhadap Kendali Otorisasi dan Validasi
b) Menguji Access Control
c) Menguji kendali Jejak Audit
 E. PC-Based Accounting Systems

1. Risiko dan Kendali PC System:

a) Kelemahan OS
b) Access Control yang lemah
c) Pemisahan Tugas yang tidak cukup
d) Multilevel Password Control
e) Risiko kecurian
f) Prosedur Backup yang lemah
g) Risiko terinfeksi Virus

2. Tujuan Audit yang berhubungan dengan keamanan PC

a) Memastikan bahwa control pada tempatnya untuk melindungi data, program, dan
komputer dari akses yang tidak diinginkan, manipulasi, penghancuran, dan
pencurian
b) Memastikan pengawasan yang cukup dan adanya prosedur operasional untuk
mengkompensasi kurangnya pembagian tugas, programer, dan operator.
c) Memastikan prosedur backup dapat mencegah kehilangan data dan program yang
diakibatkan kegagalan sistem, eror, dan sejenisnya.
d) Memastikan bahwa prosedur pemilihan dan perolehan sistem menghasilkan
aplikasi yang berkualitas tinggi dan terlindungi dari perubahan yang tidak diinginkan
e) Memastikan bahwa sistem bebas dari virus dan dilindungi secara memadai untuk
meminimalkan risiko terindeksi virus atau sejenisnya

3. Beberapa prosedur dalam mengaudit keamanan PC

a) Meninjau apakah PC secara fisik terlindungi untuk mengurangi peluang dicuri
b) Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi tidak
terlibat sebagai pengguna sistem tersebut. Dalam organisasi yang lebih kecil,
pengawasan yang memadai ada untuk mengimbangi kelemahan pembagian tugas
tersebut.
c) Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang diupdate,
dan total control disiapkan, didistribusikan, dan direkonsiliasi oleh manajemen yang
tepat dalam interval rutin dan tepat waktu.
d) Dimana harus diaplikasikan, auditor menentukan bahwa kendali multilevel
password digunakan untuk membatasi akses data dan aplikasi sesuai dengan
deskripsi pekerjaan.
e) Jika ada, hardisk eksternal dan removeable dilepas dan disimpan di tempat yang
aman saat tidak digunakan.
f) Dengan menguji sampel backup, auditor memverifikasi apakah prosedur backup
dilaksanakan dengan benar. Dengan membandingkan isi data dan tanggal pada
tempat backup dengan file asal, auditor dapat mengetahui frekuensi dan
kecukupan prosedur backup. Jika menggunakan media backup online, auditor
harus memastikan bahwa kontraknya masih berlaku dan sesuai dengan kebutuhan
organisasi.
g) Dengan sampel PC, auditor memastikan bahwa paket software komersial diperoleh
dari vendor yang terpercaya dan merupakan salinan sah. Proses perolehan sendiri
harus mengakomodasi kebutuhan organisasi
h) Antivirus haruslah terinstal pada setiap perangkat komputer dan pengaktivannya
merupakan bagian dari prosedur startup saat komputer dinyalakan. Hal ini untuk
memastikan bahwa setiap sekmen penting dari hard disk diperiksa sebelum data
apapun ditransfer melalui jaringan. Setiap perubahan software (update) harus
terlebih dahulu dicek terhadap virus sebelum digunakan. Domain publik discan
terhadap virus sebelum digunakan. Dan antivirus versi terkini haruslah tersedia
untuk semua user.
 KESIMPULAN

Operating System merupakan program kontrol komputer, yang mengedalikan

users/pengguna dan aplikasi dalam berbagi dan mengakses sumber daya komputer
umum, seperti processors, main memory, database, dan printer.
Tujuan audit terhadap jejak audit yaitu untuk memastikan bahwa jejak audit
cukup memadai untuk mencegah atau mendeteksi penyalahgunaan, merekonstruksi
kejadian, dan merencanakan alokasi sumber daya. Beberapa hal yang harus dilakukan
adalah dengan menguji apakah log (jejak audit) ini dapat diakses oleh user yang tidak
sah, apakah catatan dibuat secara berkala, apakah catatan merepresentasi aktivitas
secara lengkap.
Mengendalikan risiko dari gangguan (subversive threats) yaitu dengan Firewall,
Network-level Firewall, dan Application-level Firewall.
Electronic Data Interchange merupakan supplier dan customer sebagai trading
partner membentuk perjanjian dimana pertukaran informasi yang dapat diproses
dengan computer antar perusahaan dalam format standar. Dalam EDI, transaksi
diproses secara otomatis, bahkan dalam EDI murni, keterlibatan manusai dalam
otoriasi transaksi ditiadakan.
 REFERENSI

Hall, James A. 2011. Information Technology Auditing and Assurance. Cengage

Learning, Inc.