1

Sistem PC
Lingkungan kendali PC
 Kendali
o Menilai resiko
o Kelemahan
o Kendali akses lemah
o Kendali password multilevel
 Resiko kehilangan fisik
o Laptop, dll. dapat hilang
 Resiko kehilangan data
o Mudah bagi multiple users untuk mengakses data
o End user dapat mencuri, menghancurkan, manipulasi
o Prosedur backup tidak memadai
 Backup lokal pada medium yang tepat
 Dual hard disk pada PC
 Eksternal/removable hard disk pada PC

2
 2
Sistem PC
Lingkungan kendali PC
 Resiko berkaitan dengan infeksi virus
o Kebijakan pengadaan software
o Kebijakan penggunaan software anti-
virus
o Verifikasi software tidak berijin pada PC
 Resiko prosedur SDLC yang tidak benar
o Penggunaan software komersil
o Prosedur formal pemilihan software

3
 3
Sistem PC
Audit Sistem PC
Tujuan audit
 Verifikasi kendali untuk melindungi data, program, dan
komputer dari akses ilegal, manipulasi, perusakan, dan
pencurian
 Verifikasi prosedur pengawasan dan operasi untuk
mengkompensasi kurangnya pemisahan tugas user,
programmer, dan operator
 Verifikasi prosedur backup untuk mencegah hilangnya
data dan program karena kegagalan dan kesalahan
sistem
 Verifikasi terhadap prosedur seleksi dan akuisisi sistem
untuk menghasilkan aplikasi berkualitas, dan terlindung
terhadap perubahan
 Verifikasi sistem bebas virus dan terlindungi untuk
mengurangi resiko terinfeksi oleh virus

4
 Kebijakan Password
4
Proper Dissemination – Promote it, use it during employee training or orientation, and find
ways to continue to raise awareness within the organization.

Proper Length: Use at least 8 characters. The more characters, the more difficult to guess
or crack. Eight characters is an effective length to prevent guessing, if combined with below.

Proper Strength: Use alphabet (letters), numbers (at least 1), and special characters (at
least 1). The more non-alpha, the harder to guess or crack. Make them case sensitive and
mix upper and lower case. A “Strong” password for any critical access or key user.
Password CANNOT contain a real word in the content.
Proper Access Levels or Complexity: Use multiple levels of access requiring multiple
passwords. Use a password matrix of data to grant read-only, read/write, or no access per
data field per user. Use biometrics {such as fingerprints, voice prints}. Use supplemental
access devices, such as smart cards, or beeper passwords in conjunction with remote logins.
Use user-defined procedures.
Proper Timely Changes: At regular intervals, make employees change their passwords.

Proper Protection: Prohibit the sharing of passwords or “post-its” with passwords located
near one’s computer.

Proper Deletion: Require the immediate deletion of accounts for terminated employees, to
prevent an employee from being able to perpetrate adverse activities.
 5
Pusat Komputer
Kendali pusat komputer
 Lokasi Fisik
o Hindari gangguan alam dan buatan manusia
o Contoh: Chicago Board of Trade
 Konstruktsi
o Idealnya satu lantai, utilitas di bawah tanah, tanpa jendela,
penggunaan filter
o Bila bangunan bertingkat, gunakan lantai teratas (jauh dari
arus lalu lintas, dan potensi banjir di basement)
 Akses
o Fisikal: pintu terkunci, kamera
o Manual: daftar pengunjung

6
 6
Pusat Komputer
Kendali pusat komputer
 Air Conditioning
o Khususnya mainframe
o Jumlah panas yang dikeluarkan PC
 Pemadaman Api
o Otomatis: biasanya korsleting
• Gas, seperti halon, dapat melemahkan api dengan
membuang oksigen yang dapat membunuh orang yang
terjebak
• Korslet dan bahan kimia dapat menghancurkan
komputer dan peralatan
o Metode manual
 Sumber Listrik
o Butuh listrik yang stabil, pada level tertentu
o Uninterrupted power supply (UPS)

7
 7
Pusat Komputer
Kendali pusat komputer
 Tujuan Audit
o Verifikasi kendali keamanan fisik yang memadai
o Verifikasi cakupan asuransi yang memadai
o Verifikasi dokumentasi operasi yang memadai bila terjadi
kegagalan
 Prosedur Audit
o Uji konstruksi fisik
o Uji deteksi api
o Uji kontrol akses
o Uji sumber listrik cadangan
o Uji cakupan asuransi
o Uji kendali dokumentasi operasi

8
 Kendali Sistem 8

Keseluruhan
Resiko E-mail:
 Spamming
 Hoax virus warnings
 Flaming
 Malicious attachments (e.g., viruses)
 Pharming

9
 Kendali Sistem 9

Keseluruhan
Resiko obyek berbahaya:
 Virus
 Worm
 Trojan horse
 Potential control procedures
 Audit objective
 Audit procedures

10
 Kendali Sistem 10

Keseluruhan
Disaster recovery planning (DRP)
 Aplikasi penting diidentifikasi dan
dirangking
 Membangun tim disaster recovery
dengan tanggung jawab

11
 Kendali Sistem 11

Keseluruhan
Disaster recovery planning (DRP)
Site backup
 “Hot site” – Recovery Operations
Center
 “Cold site” – empty shell
 Mutual aid pact
 Internally provided backup

12
 Disaster Recovery Plan
1. Critical Applications – Rank critical applications so an orderly and effective restoration12
of
computer systems is possible.

2. Create Disaster Recovery Team – Select team members, write job descriptions, describe recovery
process in terms of who does what.

3. Site Backup – a backup site facility including appropriate furniture, housing, computers, and
telecommunications. Another valid option is a mutual aid pact where a similar business or branch of
same company swap availability when needed.

4. Hardware Backup – Some vendors provide computers with their site – known as a hot site or
Recovery Operations Center. Some do not provide hardware – known as a cold site. When not
available, make sure plan accommodates compatible hardware (e.g., ability to lease computers).

5. System Software Backup – Some hot sites provide the operating system. If not included in the site
plan, make sure copies are available at the backup site.
6. Application Software Backup – Make sure copies of critical applications are available at the
backup site
7. Data Backup – One key strategy in backups is to store copies of data backups away from the
business campus, preferably several miles away or at the backup site. Another key is to test the
restore function of data backups before a crisis.

8. Supplies – A modicum inventory of supplies should be at the backup site or be able to be delivered
quickly.
9. Documentation – An adequate set of copies of user and system documentation.
10. TEST! – The most important element of an effective Disaster Recovery Plan is to test it before a
crisis occurs, and to test it periodically (e.g., once a year).
 Kendali Sistem 13

Keseluruhan
Disaster recovery planning (DRP)
Tujuan Audit
 Verifikasi manajemen DRP memadai
Prosedur Audit
 Verifikasi second-site backup memadai
 Tinjauan kelengkapan daftar aplikasi penting
 Verifikasi backup software aplikasi disimpan terpisah
 Verifikasi data penting di-backup dan dapat diakses
tim DRP
 Verifikasi sumberdaya supplai, dokumen, dan
dokumentasi di-backup dan disimpan terpisah
 Verifikasi anggota tim adalah karyawan dan
memahami tanggung jawabnya

14
 14

Client Server Systems

15
 15
Proxy Servers

16
Demilitarized 16

Zone/Firewall

17
 17
Mengaudit Komputer
Contoh penyalahgunaan komputer
 Pengungkapan informasi rahasia tanpa ijin
 Ketidaktersediaan sistem TI yang penting
 Modifikasi sistem TI tanpa ijin
 Pencurian hardware dan software
 Pencurian data
 Penggunaan sumberdaya TI untuk penggunaan
personal

18
 Masalah dengan 18

Pengauditan Komputer
 Perkembangan teknologi
 TI dapat menjadi black box dan serangan sering
tidak terduga
 Auditor kurang memiliki skill TI
 Data dapat sulit diakses
 Catatan komputer dan audit trail dapat tidak
lengkap
 Sistem on-line real time dapat mendukung fraud
yang sering terjadi tanpa sempat bereaksi
 Bukti elektronik sangat rentan

19
 19
Pengembangan Sistem
• Penggunaan manajemen proyek
• Penggunaan metodologi seperti SDLC, RAD
• Steering Committee
• Pemantauan perkembangan berkelanjutan
(milestones)
• Prototyping

20
 20
Kendali Aplikasi TI
• Kendali Input: semua data dimasukkan harus
diperiksa, lengkap, akurat, dan hanya sekali
• Kendali Proses: transaksi diproses lengkap, akurat,
dan tepat waktu
• Kendali Output: hasil dikomunikasikan dengan pihak
yang berwenang secara tepat waktu dan efisien

21
 21
Kendali Umum
• Identifikasi, prioritisasi, dan pengembangan sistem
baru dan modifikasi sistem yang ada
• Operasi dan pemeliharaan berkelanjutan
• Akses fisik
• Akses hak dan keistimewaan
• Kendali manajemen perubahan
• Pemisahan tugas yang incompatible
• Perencanaan contingency

22
Prinsip Dasar Manajemen 22

Proyek yang Baik

 Secara jelas menjelaskan tanggung jawab manajemen
 Tujuan dan lingkup yang jelas
 Perencanaan dan pengendalian yang efektif
 Garis tanggung jawab yang jelas
 Pengawasan steering committee
 Milestones
 Keterlibatan end-user
 Metodologi seperti SDLC atau RAD
 Kemungkinan penggunaan prototipe
 Kemungkinan penggunaan pengembangan bertahap

23