Scribd Logo
Unggah

Selamat datang di Scribd!

  • AUDIT SISTEM OPERASI

    Diunggah oleh

    arista yulianasari
    38 tayangan5 halaman
    CHAPTER 3: AUDITING OPERATING SYSTEM AND NETWORKS

    Judul Asli

    AUDIT SISTEM INFORMASI

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    DOCX, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    CHAPTER 3: AUDITING OPERATING SYSTEM AND NETWORKS

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    38 tayangan5 halaman

    AUDIT SISTEM OPERASI

    Diunggah oleh

    arista yulianasari
    CHAPTER 3: AUDITING OPERATING SYSTEM AND NETWORKS

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai DOCX, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 5

    RESUME

    CHAPTER 3: AUDITING OPERATING SYSTEM AND NETWORKS

    SISTEM OPERASI AUDIT

     Sistem Operasi adalah program pengendalian komputer yang memungkinkan pengguna


    dan aplikasi untuk berbagi dan mengakses sumber daya yang umum komputer, seperti
    prosesor, memori utama, database, dan printer.

    Tujuan Sistem Operasi

     Sistem operasi melakukan tiga tugas utama, yaitu:


    1. Menerjemahkan bahasa tingkat tinggi, seperti Java, C++, BASIC, dan SQL, ke dalam
    bahasa tingkat mesin yang dapat dieksekusi oleh komputer. Modul penerjemah
    bahasa dalam sistem operasi disebut compilers dan interpreters.
    2. Mengalokasikan sumber daya kepada pengguna, kelompok kerja (workgroups),
    dan aplikasi.
    3. Mengelola tugas pengelolaan kerja (job scheduling) dan multiprograming.
     Untuk melakukan tugas-tugas tersebut, sistem operasi harus mencapai lima tujuan
    penegnedalian fundamental:
    1. Sistem operasi harus melindungi dirinya sendiri dari pengguna.
    2. Sistem operasi harus melindungi pengguna dari pengguna lainnya.
    3. Sistem operasi harus melindungi pengguna dari pengguna itu sendiri.
    4. Sistem operasi harus dilindungi dari sistem operasi itu sendiri.
    5. Sistem operasi harus dilindungi dari lingkungannya sendiri.

    Keamanan Sistem Operasi

     Keamanan sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang


    menentukan siapa yang dapat mengakses sistem operasi, di mana sumber daya (files,
    program, printers) dapat mereka gunakan, dan tindakan apa yang dapat mereka lakukan.
     Komponen keamanan sistem operasi yang ditemukan dalam sistem operasi yang aman,
    adalah prosedur log-on, access Token, Access Control List, dan Discretionary Access
    Privileges.

    Ancaman terhadap Sistem Operasi

     Ancaman terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:
    1. Pegawai berwenang yang menyalahgunakan wewenangnya.
    2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
    operasi untuk mengidentifikasi dan mengeksploitasi celah-celah keamanannya.
    3. Individual yang secara sengaja maupun tidak sengaja memasukkan virus komputer
    atau program destruktif bentuk lainnya ke dalam sistem operasi.

    Pengendalian Sistem Operasi dan Pengujian Audit

    Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan pengujian terkait yang dapat
    dilakukan oleh auditor, adalah sebagai berikut.

    1. Mengendalikan hak akses.


     Tujuan audit yang berkaitan dengan hak akses.
    Tujuan auditor adalah untuk memastikan bahwa hak akses yang diberikan dengan cara
    yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan
    sesuai dengan kebijakan organisasi.
     Prossedur audit yang berkaitan dengan hak akses.
    a) Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan
    memastikan bahwa mereka mempromosikan keamanan yang wajar.
    b) Meninjau hak istimewa dari pilihan kelompok pengguna dan individu untuk
    menentukan apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan posisi
    mereka.
    c) Meninjau catatan personil untuk menentukan apakah karyawan yang diberi
    kewenangan menjalani pemeriksaan izin keamanan secara intensif sesuai dengan
    kebijakan perusahaan.
    d) Meninjau catatan karyawan untuk menentukan apakah pengguna telah secara formal
    mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.
    e) Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus sepadan dengan
    tugas yang dilakukan.
    2. Pengendalian Password
     Password adalah kode rahasia yang dimasukkan oleh user untuk dapat mengakses sistem,
    aplikasi, file data, atau server jaringan.
     Jenis password ada dua, yaitu: reusable passwords dan one-time passwords.
     Tujuan auditor terkait password adalah untuk memastikan bahwa organisasi memiliki
    kebijakan password memadai dan efektif untuk mengendalikan akses terhadap sistem
    operasi.
     Prosedur audit terkait password antara lain.
    a) Memverifikasi bahwa semua pengguna diharuskan untuk memiliki password.
    b) Memverifikasi bahwa pengguna baru diinstruksikan dalam penggunaan password
    dan pentingnya pengendalian password.
    c) Meninjau prosedur pengendalian password untuk memastikan bahwa password
    diubah secara teratur.
    d) Meninjau file password untuk menentukan bahwa password yang lemah
    diidentifikasi dan tidak diijinkan.
    e) Memverifikasi bahwa file password dienkripsi dan bahwa kunci enkripsi telah
    diamankan dengan baik.
    f) Menilai kecukupan standar password seperti panjangnya password dan jangka waktu
    kadaluwarsa password.
    g) Meninjau kebijakan dan prosedur penguncian (lockout).
    3. Pengendalian terhadap program yang berbahaya dan destruktif
     Tujuan audit terkait virus dan program destruktif lainnya adalah untuk memverifikasi
    kebijakan dan prosedur manajemen yang efektif telah ditempatkan untuk mencegah
    pemasukan dan penyebaran program-program destruktif, seperti virus, worms, back
    doors¸ logic bombs, dan Trojan Horse.
     Prosedur audit terkait dengan virus dan program destruktif lainnya, antara lain.
    a) Melalui interview, menentukan bahwa karyawan operasional telah dididik mengenai
    virus komputer dan sadar akan risiko penggunaan komputer yang dapat memasukkan
    dan menyebarkan virus dan program berbahaya lainnya.
    b) Memverifikasi bahwa software baru telah diuji pada workstation mandiri sebelum
    diimplementasikan pada host atau jaringan server.
    c) Memverifikasi bahwa versi terkini software antivirus telah diinstal pada server dan
    upgrade-nya diunduh secara teratur pada workstation.
    4. System Audit Trail Controls
     System audit trails adalah log yang merekam aktivitas di sistem, aplikasi, dan tingkat
    pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit
    yang akan dicatat dalam log.
     Audit trails umumnya terdiri dari dua tipe log audit, yaitu
    a) Keystroke Monitoring, mencakup perekaman keystroke pengguna dan respon
    sistem.
    b) Event Monitoring, merangkum kegiatan kunci yang terkait dengan sumber
    daya sistem
     Audit Trails dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara:
    a) Mendeteksi akses yang tidak diotorisasi ke dalam sistem
    b) Memfasilitasi rekonstruksi kejadian
    c) Mendorong akuntabilitas personal.
     Tujuan audit terkait dengan System Audit Trails adalah untuk menjamin bahwa
    system audit trail telah mencukupi untuk mencegah dan mendeteksi pelanggaran,
    merekonstruksi kejadian kunci yang mengawali kegagalan sistem, dan merencanakan
    alokasi sumber daya.
     Prosedur audit terkait System Audit Trails, yaitu:
    a) Memverifikasi audit trail telah diaktivasi berdasarkan kebijakan organisasi.
    b) Banyak sistem operasi menyediakan penampil log audit yang memungkinkan
    auditor untuk memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau
    pada layar atau dengan pengarsipan file untuk diperiksa berikutnya.
    c) Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau
    dan melaporkan pelanggaran keamanan. Auditor harus memilih sampel kasus
    pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai
    efektivitas dari kelompok keamanan.

    Anda mungkin juga menyukai