Oleh
Zafrilda Fauziah Insani 170810301136
Sri Wulandari 170810301156
Putri Pratiwi Rahmawati 170810301173
Eva Mei Yunitasari 170810301225
Melinda Resma Devi 170810301232
1
DAFTAR ISI
DAFTAR ISI................................................................................................................... 2
PENDAHULUAN........................................................................................................... 3
Latar Belakang..........................................................................................................3
PEMBAHASAN............................................................................................................. 4
PENUTUP.................................................................................................................... 26
Kesimpulan............................................................................................................. 26
DAFTAR PUSTAKA....................................................................................................27
2
PENDAHULUAN
Latar Belakang
Perkembangan zaman yang semakin pesat dihadapkan pada persaingan yang
ketat, kebutuhan akan pengambilan sebuah keputusan yang cepat dan akurat, serta
pertumbuhan dunia usaha menuntut dukungan penggunaan teknologi mutakhir yang
kuat dan handal. Dalam konteks ini keberhasilan organisasi akan sangat dipengaruhi
oleh kemampuan dalam memanfaatkan teknologi informasi secara optimal. Begitupun
seorang auditor internal dituntut tidak hanya mampu menghadapi dan mencegah
resiko dan ancaman bisnis pada faktor non-teknologi tetapi sukses tidaknya auditor
internal sangat tergantung kepada kemampuan menyumbang nilai terhadap organisasi
melalui pemanfaatan tekhnologi informasi secara efektif.
Tujuan dari auditing operating system and network untuk pengendalian sistem.
Karena hak akses yang diberikan terhadap masing-masing pengguna dapat
memberikan pengaruh terhadap kemanan sistem. Hak akses tertentu hendaknya
diberikan secara hati-hati dan dibatasi berdasarkan keputusan yang telah
dipertimbangkan, serta diawasi penggunannya agar tidak menyimpang dari kebijakan
yang telah ditetapkan organisasi sesuai dengan internal control.
3
PEMBAHASAN
4
b) Akses Token
Jika log on berhasil, sistem operasi membuat token akses yang berisi informasi
utama tentang pengguna, termasuk ID user, grup pengguna kata sandi, dan
hak istimewa yang diberikan kepada pengguna.
c) Daftar Pengendalian Akses
Akses ke berbagai sumber daya sistem seperti direktori, file, program, dan
printer dikendalikan oleh daftar pengendalian akses (acces control list) yang
dibuat untuk tiap sumber daya. Daftar tersebut memuat informasi yang
mendefinisikan hak istimewa akses untuk semua pengguna sumber daya yang
sah.
d) Pengendalian Akses Mandiri
Administrator pusat biasanya menentukan siapa yang diberi akses ke sumber
daya tertentu dan mengelola daftar kontrol akses. Akan tetapi, dalam sistem
terdistribusi, sumber daya dapat dikendalikan oleh pengguna akhir. Pemilik
sumber daya dalam dapat diberikan pengendalian akses mandiri (discretionary
acces control) dimana mereka memberi pengguna lain. hak istimewa akses.
5
SOX. Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan menjelaskan
tes terkait yang dapat dilakukan auditor. Area-area yang diperiksa:
a. Mengendalikan Hak Akses
Hak akses para pengguna diberikan ke beberapa orang dan ke seluruh
kelompok kerja yang diotorisasi untuk menggunakan sistem. Keamanan
keseluruhan sistem dipengaruhi oleh bagaiman hak akses diberikan.
Tujuan Audit
Memverifikasi bahwa hak akses diberikan dalam cara yang konsisten
dengan kebutuhan untuk memisahkan berbagai fungsi yang tidak saling
bersesuaian
Prosedur Audit
1. Kaji kebijakan perusahaan atas berbagai fungsi yang tidak saling
bersesuaian
2. Kaji berbagai hak sekelompok pengguna dan orang-orang tertentu untuk
menentukan apakah hak akses mereka sesuai dengan deskripsi
pekerjaan.
3. Kaji catatan personalia untuk menentukan para karyawan yang
diberikan hak tersebut menjalani pemeriksaan keamanan intensif sesuai
kebijakan.
4. Kaji catatan karyawan untuk menentukan apakah para pengguna telah
mengetahui tanggung jawab mempertahankan kerahasiaan data.
5. Kaji waktu logon yang diizinkan untuk para pengguna (Harus sesuai
dengan pekerjaan yang dilakukan)
6
Kata sandi yang dapat digunakan kembali. Pengguna menentukan kata sandi
di sistem satu kali kemudian menggunakannya berulang kali untuk akses
selanjutnya. Jika kata sandi tersebut berhubungan dengan hal pribadi dari
pengguna, penjahat komputer akan dapat menebaknya.
Kata sandi sekali pakai. Teknologi yang dapat digunakan adalah alat
seukuran kartu kredit (kartu pintar) yang berisi sebuah mikroprosesor yang
diprogram dengan algoritme tertentu yang akan menghasilkan, dan secara
elektronik menampilkan, sebuah kata sandi yang baru dan unik setiap 60 detik.
Kartu tersebut bekerja bersama dengan pirantu lunak autentikasi khusus kapan
saja, baik kartu pintar maupun piranti lunak jaringan menghasilkan kata sandi
yang sama untuk pengguna yang sama.
Tujuan audit yang berkaitan dengan kata sandi
Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai dan
efektif untuk mengendalikan akses ke sistem operasi.
Prosedur audit yang berkaitan dengan kata sandi
1. Verifikasi bahwa semua pengguna diharuskan memiliki kata sandi
2. Verifikasi bahwa semua pengguna diberikan arahan dalam penggunaan
kata sandi mereka dan peran penting pengendalian kata sandi.
3. Tinjau prosedur kontrol kata sandi untuk memastikan bahwa kata sandi
diubah secara teratur.
4. Tinjau file kata sandi untuk menentukan bahwa kata sandi yang lemah
diidentifikasi dan tidak diizinkan.
5. Verifikasi bahwa file kata sandi dienkripsi dan kunci enkripsi diamankan
dengan benar.
6. Menilai kecukupan standar kata sandi seperti panjang dan interval
kedaluwarsa.
7. Tinjau kembali kebijakan dan prosedur penguncian akun. Auditor harus
menentukan berapa banyak usaha logon gagal yang dibiarkan terjadi
sebelum akun tersebut dikunci.
7
2) Tetapkan kebijakan perusahaan berkaitan dengan penggunaan piranti
lunak tidak sah atau bootleg atas piranti lunak yang memiliki hak cipta.
3) Pelajari pembarauan dari semua vendor piranti lunak untuk mendeteksi
virus sebelum diimplementasikan.
4) Periksa perangkat lunak domain publik untuk infeksi virus sebelum
digunakan.
5) Menetapkan prosedur untuk membuat perubahan pada program produksi.
6) Tetapkan sebuah program edukasi untuk meningkatkan kesadaran
pengguna tentang ancaman dari virus dan program jahat.
7) Pasang semua aplikasi baru pada komputer yang berdiri sendiri dan uji
coba mereka dengan perangkat lunak antivirus sebelum menerapkannya di
server jaringan mainframe atau area lokal.
8) Secara rutin menyalin salinan file kunci yang tersimpan pada mainframe,
server dan workstatio.
9) Batasi pengguna untuk membaca dan mengeksekusi dengan benar saja.
10) Meminta protokol yang secara eksplisit memanggil log sistem operasi pada
prosedur untuk memotong kuda trojan.
11) Gunakan perangkat lunak antivirus untuk memeriksa program aplikasi dan
sistem operasi dan menghapusnya dari program yang terkena dampak.
Tujuan Audit terkait dengan Virus dan Program Merusak Lainnya
Tujuan auditor adalah untuk memverifikasi bahwa ada kebijakan dan prosedur
manajemen yang efektif untuk mencegah pengenalan dan penyebaran
program-program destruktif, termasuk virus, worm, bom logika, dan kuda troya.
Prosedur Audit terkait dengan Virus dan Program Merusak Lainnya
1. Melalui wawancara, tentukan bahwa personel operasi telah dididik
tentang virus komputer dan mengetahui praktik komputasi berisiko.
2. Verifikasi bahwa perangkat lunak baru diuji pada workstation mandiri
sebelum diimplementasikan pada host atau server jaringan.
3. Verifikasi bahwa versi perangkat lunak antivirus saat ini diinstal pada
server dan bahwa pembaruan diunduh secara teratur ke workstation.
8
untuk memilih tingkat audit yang akan dicatat dalam log. Jejak audit biasanya
terdiri dari:
Pemantauan keystroke.
Bentuk log ini sebagai kontrol real time untuk mencegah instrusi yang tidak
sah. Pemantauan keystroke adalah komputer yang setara dengan
penyadapan telepon.
Pemantauan acara
Log peristiwa biasanya mencatat Id semua pengguna yang mengakses
sistem; waktu dan durasi sesi pengguna, program yang dijalankan selama
sesi berlangsung, dan file, database, printer dan sumber daya lainnya
diakses.
9
Pengguna yang tidak diotorisasi atau diakhiri
Masa tidak aktif
Aktivitas oleh pengguna, kelompok kerja, atau departemen
Waktu log-on dan log-out
Gagal mencatat usaha
Akses ke file atau aplikasi tertentu
3. Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau
dan melaporkan pelanggaran keamanan. Auditor harus memilih kasus
pelanggaran keamanan yang sederhana dan mengevaluasi disposisi
mereka untuk mengakses keefektifan kelompok keamanan.
10
untuk kepentingan pribadinya. Bentuk tidak illegal karyawan yang menjadi resiko
intranet adalah
1. Interpersepsi pesan jaringan, setiap informasi perusahaan terhubung dalam
intranet. Karyawan memiliki ID pengguna yang dapat mereka akses kapanpun
membuat resiko kebocoran informasi cukup tinggi. Tindakan interpersepsi
pesan disebut sniffing. Resiko ini akan semakin besar ketika intranet terbung
dengan jaringan internet. Administrator akan secara berkala melakukan
pengecekan terhadap sistem, sehingg dapat memungkinkan mereka
melakukan tindakan untuk mencegat informasi masuk melalui jaringan intranet.
2. Akses kedatabase perusahaan, intranet yang terhubung dengan database
perusahaan pusat meningkatkkan resiko bahwa karyawan akan mengubah,
merusak, melihat dan menyalin data.
3. Karyawan Istimewa, manajer menengah sering memiliki hak akses ⁸yang
memungkinkan mereka untuk mengesampingkan kontrol, paling sering dituntut
atas7 kejahatan orang dalam. Sistem informasi yang dimiliki karyawan dalam
organisasi adalah kelompok lain yang diberdayakan dengan mengabaikan hak
istimewa yang dapat mengizinkan akses ke data penting-misi.
11
dicapai dengan tidak mengirimkan pengakuan akhir ke respons SYN-ACK
server, yang menyebabkan server terus memberi sinyal untuk pengakuan
sampai server kehabisan waktu. Individu atau organisasi yang melakukan
SYN flood attack mentransmisikan ratusan paket SYN ke penerima yang
ditargetkan, tetapi tidak pernah menanggapi dengan ACK untuk
menyelesaikan koneksi. Akibatnya, port server penerima tersumbat
dengan permintaan komunikasi tidak lengkap yang mencegah transaksi
yang sah diterima dan diproses. Dengan demikian, organisasi yang
diserang dapat dicegah untuk menerima pesan Internet selama berhari-
hari. Jika organisasi target dapat mengidentifikasi server yang
meluncurkan serangan, dapat diprogram untuk mengabaikan semua
komunikasi dari situs itu. Namun serangan semacam itu, merupakan
sumber pesan yang sulit. Program spoofing IP yang mengacak alamat
sumber penyerang telah ditulis dan didistribusikan secara publik melalui
Internet. Oleh karena itu, ke situs penerima, tampak bahwa transmisi
datang dari seluruh Internet. mencegah karena mereka menggunakan
spoofing IP untuk menyamarkan.
b. Smurf
12
komputer asli. Salah satu metode untuk mengalahkan serangan smurf
adalah dengan menonaktifkan opsi alamat penyiaran IP di setiap firewall
jaringan dan dengan demikian menghilangkan peran perantara.
Menanggapi langkah ini, bagaimanapun, penyerang telah
mengembangkan alat untuk mencari jaringan yang tidak menonaktifkan
pengalamatan siaran. Jaringan ini selanjutnya dapat digunakan sebagai
perantara dalam serangan smurf. Juga, pelaku telah mengembangkan
alat yang memungkinkan mereka untuk meluncurkan serangan smurf
secara bersamaan dari beberapa jaringan perantara untuk efek
maksimum pada korban.
c. Distributed Denial of Services (DDoS)
Ancaman ini merupakan beentuk kolaborasi dari acaman sebelumnya,
yaitu SYN flood attack dan smurf. Perbedaanya terletak dari ruang
lingkup serangan ini. Pelaku serangan DDos dapat menggunakan
pasukan virtual komputer yang disebut zombie atau bot (robot) untuk
meluncurkan serangan. Karena dibutuhkan sejumlah besar perantara
yang tidak curiga, serangan itu sering melibatkan satu atau lebih
jaringan obrolan Internet-relay (IRC) sebagai sumber zombie. IRC
adalah layanan interaktif populer di Internet yang memungkinkan ribuan
orang dari seluruh dunia terlibat dalam komunikasi waktu nyata melalui
komputer mereka. Masalah dengan jaringan IRC adalah bahwa mereka
cenderung memiliki keamanan yang buruk. Dengan demikian, pelaku
dapat dengan mudah mengakses IRC dan mengunggah program jahat
seperti Trojan yang berisi skrip serangan ini. Program ini selanjutnya
diunduh ke PC dari ribuan orang yang mengunjungi situs IRC. Program
serangan berjalan di latar belakang pada komputer zombie baru, yang
sekarang berada di bawah kendali pelaku. Serangan DDOS merupakan
ancaman yang jauh lebih besar bagi korban daripada serangan SYN
13
tradisional atau serangan smurf. Misalnya, banjir SYN yang berasal dari
ribuan komputer terdistribusi dapat melakukan kerusakan jauh lebih
banyak daripada satu dari satu komputer. Juga, serangan smurf yang
berasal dari subnetwork komputer perantara semuanya berasal dari
server yang sama. Pada waktunya, server dapat ditemukan dan
diisolasi dengan memprogram firewall korban untuk mengabaikan
transmisi dari situs penyerang. Sebaliknya, serangan DDOS secara
harfiah berasal dari situs di seluruh Internet. Ribuan komputer serangan
individu lebih sulit untuk dilacak dan dimatikan.
Risiko dari topologi Kegagalan Peralatan terdiri dari berbagai konfigurasi (1) jalur
komunikasi (kabel twisted-pair, kabel coaxial, gelombang mikro, dan serat optik), (2)
komponen perangkat keras (modem, multiplexer, server, dan ujung depan) prosesor),
dan (3) perangkat lunak (protokol dan sistem kontrol jaringan). Selain ancaman
subversif yang dijelaskan di bagian sebelumnya, topologi jaringan berisiko terhadap
kegagalan peralatan. Sebagai contoh, kegagalan peralatan dalam sistem komunikasi
dapat mengganggu, menghancurkan, atau merusak transmisi antara pengirim dan
penerima. Kegagalan peralatan juga dapat menyebabkan hilangnya database dan
program yang disimpan di server jaringan.
14
Network-level Firewall
Tingkat keamanan sudah efisien tetapi masih tergolong lemah karena bekerja
dengan menyaring permintaan akes dari luar hanya berdasarkan aturan yang telah
diprogramkan.
Application-level Firewall
Sistem firewall yang berkerja dengan cara menjalankan perangkat keamanan
berupa proxi yang memperbolehkan layanan rutin untuk lewat. Sistem firewall mampu
menjalankan fungsi yang canggih seperti otentifikasi pengguna serta menyediakan log
transmisi dan alat audit untuk melaporkan aktivitas yang tidak mendapatkan izin atau
tidak diotorisasi.
Enkripsi
Enkripsi addalah mengkonversi data menjadi kode rahasia baik dalam
penyimpanan maupun transmisi.
15
Public Key Encryption. Pengirim membutuhkan public key receiver untuk meng-
encoding dan mengirim pesan. Encoding adalah proses konversi informasi dari suatu
sumber (objek) menjadi data.
Private Key Encription. private key receiver digunakan untuk meng-decoding pesan
agar dapat terbaca. Proses decoding adalah menerjemahkan kode yang tidak
dimengerti oleh manusia, sehingga lebih bisa dimengerti.
Tanda Tangan Digital (Digital Signature) yaitu otentifikasi elektronik yang tidak dapat
ditiru dan dapat dikirimkan melalui elektronik.
Log Transaksi Pesan (Message Transaction Log) yaitu setiap pesan masuk dan
keluar, serta upaya akses terhadap pesan dicatat dalam log transaksi pesan. Log
tersebut mencatat user ID, waktu akses, dan asal atau nomor telepon dimana akses
berasal.
Call-Back Device yaitu otentifikasi sebelum koneksi terjadi, dimana sistem akan
memutus dan membalas permintaan koneksi dengan menghubungi caller melalui
koneksi baru.
Tujuan Audit yang berhubungan dengan Subversive Threats yaitu menjamin
keamanan dan keabsahan transaksi financial dengan menentukan apakah network
kontrol:
16
1. Mendeteksi dan mencegah akses ilegal baik dari dalam maupun dari luar
2. Setiap data yang berhasil dicuri menjadi tidak berguna
3. Secara layak menjamin integritas dan keamanan fisik dari data yang terkoneksi
ke jaringan
Beberapa contoh upaya audit terhadap Subversive Threads:
a. menilai kemampuan firewall
b. menguji kemampuan IPS dengan DPI
c. Mereview kebijakan administratif penggunaan data encription key
d. Mereview log transaksi pesan, apakah semua pesan sampai tujuan
e. Menguji call-back feature
17
b) auditor harus memverifikasi bahwa semua pesan yang rusak berhasil dikirim
ulang.
18
secara internasional adalah format EDI untuk administrasi, perdagangan, dan
transportasi (EDIFACT) format.
19
barang, atau pengiriman yang belum diselesaikan. Permasalahan ini biasanya
diselesaikan dengan pesan melekat.
20
dagang yang sah hanya memiliki akses ke data yang disetujui; dan (4) kontrol
yang memadai untuk memastikan jejak audit lengkap dari semua transaksi EDI.
21
kontrol inventaris, dan penggajian. Desain modular mereka memberikan pengguna
beberapa tingkat fleksibilitas dalam menyesuaikan sistem untuk kebutuhan spesifik
mereka. Banyak vendor menargetkan produk mereka untuk kebutuhan unik industri
tertentu, seperti perawatan kesehatan, transportasi, dan layanan makanan, Dengan
melakukan hal itu, perusahaan-perusahaan ini melepaskan keuntungan dari
fleksibilitas untuk mencapai ceruk pasar. Teknik desain modular diilustrasikan pada
Gambar 3.15.
22
penjahat mungkin memiliki akses tidak terbatas ke data dan program pada
drive hard disk.
Risiko Pencurian
Karena ukurannya, PC adalah objek pencurian dan portabilitas laptop
menempatkan mereka pada risiko tertinggi. Kebijakan formal harus ada untuk
membatasi data keuangan dan data sensitif lainnya hanya untuk PC desktop.
23
Risiko Infeksi Virus
Infeksi virus adalah salah satu ancaman paling umum terhadap integritas PC
dan ketersediaan sistem. Ketaatan yang ketat terhadap kebijakan dan
prosedur organisasi yang menjaga dari infeksi virus sangat penting untuk
pengendalian virus yang efektif. Organisasi juga harus memastikan bahwa
perangkat lunak antivirus yang efektif diinstal pada PC dan selalu terbarui.
24
Jika hard drive yang dapat dilepas atau eksternal digunakan, auditor harus
memverifikasi bahwa drive dilepas dan disimpan di lokasi yang aman saat
tidak digunakan.
Dengan memilih sampel file cadangan, auditor dapat memverifikasi bahwa
prosedur cadangan sedang diikuti
Dengan memilih sampel PC, auditor harus memverifikasi bahwa paket
perangkat lunak komersialnya dibeli dari vendor terkemuka dan merupakan
salinan legal.
Auditor harus meninjau kebijakan organisasi untuk menggunakan perangkat
lunak antivirus. Kebijakan ini dapat mencakup hal-hal berikut:
1. Perangkat lunak antivirus harus diinstal pada semua mikrokomputer dan
dipanggil sebagai bagian dari prosedur startup ketika komputer
dihidupkan.
2. Semua upgrade ke perangkat lunak vendor harus diperiksa untuk virus
sebelum diterapkan.
3. Semua perangkat lunak domain publik harus diperiksa untuk
mengetahui infeksi virus sebelum digunakan.
4. Verifikasi bahwa file data virus terbaru sedang diunduh secara teratur,
dan bahwa program antivirus memang berjalan di latar belakang PC
terus menerus, dan dengan demikian dapat memindai semua dokumen
yang masuk.
25
PENUTUP
Kesimpulan
DAFTAR PUSTAKA
26
Hall, J. A., 2011. Information Technology Auditing and Assurance. Third penyunt.
Natrop Blvd, Deerfield: South-Westren.
27