Mengontrol Risiko dari Ancaman Subversif Firewall

Firewall yang terhubung ke Internet atau jaringan publik lainnya sering menerapkan

firewall elektronik untuk mengisolasi intranet mereka dari penyusup luar. Firewall

adalah sistem yang menerapkan kontrol akses antara dua jaringan. Untuk mencapai

hal ini: • Semua lalu lintas antara jaringan luar dan intranet organisasi harus melewati

firewall. • Hanya lalu lintas resmi antara organisasi dan luar, sebagaimana ditentukan

oleh kebijakan keamanan formal, diizinkan untuk melewati firewall. Firewall harus

kebal terhadap penetrasi baik dari luar maupun dalam organisasi. Firewall dapat

digunakan untuk mengautentikasi pengguna luar jaringan, memverifikasi tingkat

otoritas aksesnya, dan kemudian mengarahkan pengguna ke program, data, atau

layanan yang diminta. Selain mengisolasi jaringan organisasi dari jaringan eksternal,

firewall juga dapat digunakan untuk mengisolasi bagian dari intranet organisasi dari

akses internal. Misalnya, LAN yang mengendalikan akses ke data keuangan dapat

diisolasi dari LAN internal lainnya. Beberapa firewall yang tersedia secara komersial

menyediakan tingkat keamanan yang tinggi, sedangkan yang lain kurang aman

tetapi lebih efisien. Firewall dapat dikelompokkan menjadi dua jenis umum: firewall

tingkat jaringan dan firewall tingkat aplikasi. Firewall tingkat jaringan menyediakan

kontrol akses yang efisien tetapi keamanannya rendah. Jenis firewall ini terdiri dari

router penyaringan yang memeriksa add-on sumber dan tujuan yang dilampirkan

pada paket pesan yang masuk. Firewall menerima atau menolak permintaan akses

berdasarkan aturan penyaringan yang telah diprogram ke dalamnya. Firewall

mengarahkan panggilan masuk ke simpul penerimaan internal yang benar. Firewall

tingkat jaringan tidak aman karena dirancang untuk memfasilitasi arus informasi yang

bebas daripada membatasi informasi tersebut. Metode ini tidak secara eksplisit

mengotentikasi pengguna luar. Firewall tingkat aplikasi menyediakan tingkat

keamanan jaringan yang lebih tinggi yang dapat disesuaikan, tetapi mereka

menambahkan overhead ke konektivitas. Sistem ini dikonfigurasikan untuk

menjalankan aplikasi keamanan yang disebut proxy yang mengizinkan layanan rutin

seperti email untuk melewati firewall, tetapi dapat melakukan fungsi-fungsi canggih
seperti otentikasi pengguna untuk tugas-tugas tertentu. Firewall tingkat aplikasi juga

menyediakan pencatatan transmisi dan alat audit yang komprehensif untuk

melaporkan aktivitas yang tidak sah. Tingkat keamanan firewall yang tinggi

dimungkinkan menggunakan sistem dual-homed. Pendekatan ini, diilustrasikan

dalam Gambar 3.3 memiliki dua antarmuka firewall. Satu layar permintaan masuk

dari Internet; yang lain menyediakan akses ke intranet organisasi. Komunikasi

langsung ke Internet dinonaktifkan dan kedua jaringan sepenuhnya terisolasi.

Aplikasi proksi yang memaksakan prosedur log-on yang terpisah menjalankan

semua akses. Memilih firewall yang tepat melibatkan pertukaran antara kenyamanan

dan keamanan. Pada akhirnya, manajemen organisasi, berkolaborasi dengan audit

internal dan profesional jaringan, harus memahami apa yang merupakan risiko yang

dapat diterima. Semakin banyak keamanan yang disediakan firewall, semakin tidak

nyaman bagi pengguna yang berwenang untuk melewatinya untuk menjalankan

bisnis.
Mengontrol Serangan Denial of Service
Sebuah bagian sebelumnya menggambarkan tiga bentuk umum penolakan

serangan service: serangan banjir SYN, serangan smurf, dan didistribusikan

serangan denial of service (DDos). Masing-masing teknik ini memiliki efek yang

sama pada korban. Dengan menyumbat port Internet dari server korban dengan

pesan yang dihasilkan secara curang, perusahaan yang ditargetkan tidak dapat

memproses transaksi yang sah dan dapat sepenuhnya diisolasi dari Internet selama

durasi serangan.
Dalam kasus serangan smurf, organisasi yang ditargetkan dapat memprogram

firewallnya untuk mengabaikan semua komunikasi dari situs penyerang, begitu

alamat IP penyerang ditentukan. Serangan banjir SYN yang menggunakan IP

spoofing untuk menyamarkan sumbernya, bagaimanapun, adalah masalah yang

lebih serius. Meskipun serangan itu mungkin sebenarnya berasal dari satu situs yang

disamarkan, komputer host korban memandang transmisi ini datang dari seluruh

Internet. Manajemen TI dan jaringan dapat mengambil dua tindakan untuk

mengalahkan serangan semacam ini. Pertama, host Internet harus menerapkan

kebijakan tanggung jawab sosial dengan memprogram firewall mereka untuk

memblokir paket pesan keluar yang berisi alamat IP internal yang tidak valid. Ini akan

mencegah penyerang menyembunyikan lokasi mereka dari situs yang ditargetkan

dan akan memastikan pengelolaan host perantara potensial bahwa tidak ada

serangan yang tidak terdeteksi yang dapat diluncurkan dari situs mereka. Namun,

strategi ini tidak akan mencegah serangan dari situs Internet yang menolak untuk

menyaring transmisi keluar. Kedua, perangkat lunak keamanan tersedia untuk situs

yang ditargetkan yang memindai koneksi setengah terbuka. Perangkat lunak mencari

paket-paket SYN yang belum diikuti oleh paket ACK. Port yang tersumbat kemudian

dapat dipulihkan untuk memungkinkan koneksi yang sah untuk menggunakannya.

Serangan penolakan layanan terdistribusi adalah yang paling sulit dari ketiganya

untuk dilawan. Situs korban menjadi dibanjiri dengan pesan dari ribuan situs zombie

yang didistribusikan di Internet. Perusahaan tidak berdaya karena tidak dapat secara

efektif memblokir transmisi dari berbagai lokasi.

Sebagai penanggulangan terhadap serangan DDos, banyak organisasi telah

berinvestasi dalam sistem pencegahan intranion (IPS) yang menggunakan inspeksi

paket mendalam (DPI) untuk menentukan kapan serangan sedang berlangsung. DPI

menggunakan berbagai teknik analitik dan statistik untuk mengevaluasi konten paket

pesan. Itu mencari paket individu untuk ketidakpatuhan protokol dan mempekerjakan

kriteria yang telah ditentukan untuk memutuskan apakah suatu paket dapat

melanjutkan ke tujuannya. Ini berbeda dengan inspeksi paket normal yang hanya

memeriksa bagian header paket untuk menentukan tujuannya. Dengan masuk lebih

dalam dan memeriksa muatan atau isi paket, DPI dapat mengidentifikasi dan

mengklasifikasikan paket jahat berdasarkan pada basis data tanda tangan serangan

yang diketahui. Setelah diklasifikasikan sebagai berbahaya, paket tersebut kemudian

dapat diblokir dan dialihkan ke tim keamanan dan / atau agen pelaporan jaringan.
IPS bekerja sejalan dengan firewall di sekeliling jaringan untuk bertindak sebagai

filter yang menghapus paket jahat dari aliran sebelum mereka dapat memengaruhi
server dan jaringan. IPS juga dapat digunakan di belakang firewall untuk melindungi

segmen jaringan dan server tertentu. Ini memberikan perlindungan tambahan

terhadap pengguna laptop yang ceroboh yang tanpa sengaja telah terinfeksi dengan

Trojan horse atau worm saat bekerja di luar lingkungan jaringan yang dilindungi.

Teknik IPS juga dapat digunakan untuk melindungi organisasi agar tidak menjadi

bagian dari botnet dengan memeriksa paket keluar dan memblokir lalu lintas

berbahaya sebelum mencapai Internet.

Enkripsi
Enkripsi adalah konversi data menjadi kode rahasia untuk penyimpanan dalam

database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi

untuk mengubah pesan asli (disebut cleartext) menjadi kode yang setara (disebut

ciphertext). Pada sisi penerima, ciphertext didekodekan (didekripsi) kembali menjadi

cleartext.
Metode enkripsi paling awal disebut cipher Caesar, yang dikatakan Julius

Caesar telah digunakan untuk mengirim pesan kode ke jenderalnya di lapangan.

Kuncinya adalah nilai matematika yang dipilih pengirim. Algoritma adalah prosedur

menggeser setiap huruf dalam pesan teks-bersih yang ditunjukkan oleh nilai posisi.

Misalnya, nilai kæy +3 akan menggeser setiap huruf tiga tempat ke kanan tombol. Ini

berarti bahwa huruf A di cleartext akan direpresentasikan sebagai huruf D dalam

pesan ciphertext. Penerima pesan ciphertext membalikkan proses untuk

memecahkan kode dan membuat ulang cleartext, dalam hal ini menggeser huruf

cach ciphertext tiga tempat ke Ikft. Jelas, pengirim dan penerima pesan harus

mengetahui kuncinya. Algoritma enkripsi modern, bagaimanapun, jauh lebih

kompleks, dan kunci enkripsi bahkan bisa mencapai 128 bit. Semakin banyak bit

dalam kunci, semakin kuat metode enkripsi. Hari ini, tidak kurang dari 128-bit

algoritma dianggap benar-benar aman. Dua metode enkripsi yang umum digunakan

adalah enkripsi kunci pribadi dan kunci publik.

Enkripsi Kunci Pribadi. Advanced enkripsi standar (AES) adalah teknik enkripsi

128-bit yang telah menjadi standar pemerintah AS untuk enkripsi kunci pribadi.
Algoritma AES menggunakan kunci tunggal yang diketahui oleh pengirim dan

penerima pesan. Untuk meng-enkode pesan, pengirim menyediakan algoritma

enkripsi dengan kunci, yang digunakan untuk menghasilkan pesan ciphertext. Pesan

memasuki saluran komunikasi dan ditransmisikan ke lokasi penerima, di mana ia

disimpan. Penerima menerjemahkan pesan dengan program daryption yang

menggunakan kunci yang sama dengan yang digunakan pengirim. Gambar 34

mengilustrasikan teknik ini Enkripsi Triple-DES adalah perangkat tambahan untuk

teknik enkripsi yang lebih tua yang disebut standar enkripsi data (DES). Triple DES

menyediakan keamanan yang jauh lebih baik dari sebagian besar teknik enkripsi

tunggal. Dua bentuk enkripsi triple-DES adalah EEE3 dan EDE3. EEE3

menggunakan tiga kunci berbeda untuk mengenkripsi pesan tiga kali. EDE4

menggunakan satu kunci untuk mengenkripsi mcssage. Kunci kedua digunakan

untuk memecahkan kode itu. Pesan yang dihasilkan kacau karena kunci yang

digunakan untuk decoding berbeda dari yang dienkripsi itu Akhirnya, kunci ketiga

digunakan untuk mengenkripsi Ue pesan rusak. Penggunaan beberapa kunci grealy

mengurangi kemungkinan memecahkan sandi. Enkripsi Triple-DIS dianggap sangat

aman, dan bank-bank besar menggunakannya untuk mengirimkan transaksi.

Sayangnya, ini juga sangat lambat. Teknik EEE3 dan EDE3 diilustrasikan pada

Gambar 3.5. Semua teknik kunci pribadi memiliki masalah umum, semakin banyak

individu yang perlu mengetahui kunci, semakin besar kemungkinan jatuh ke tangan

yang salah. Jika pelaku menemukan kunci. ia dapat mencegat dan menguraikan

pesan kode. Oleh karena itu, mengenkripsi data yang akan ditransmisikan di antara

sejumlah besar orang asing yang relatif (seperti transaksi internet antara bisnis dan

pelanggan) memerlukan pendekatan yang berbeda. Solusi untuk masalah ini adalah

enkripsi kunci publik. Enkripsi Kunci Publik. Enkripsi kunci publik menggunakan dua

kunci yang berbeda: satu untuk mengkodekan pesan dan yang lainnya untuk

menguraikannya. Setiap penerima memiliki kunci pribadi yang disimpan sccret dan

kunci publik yang diterbitkan. Pengirim pesan menggunakan kunci publik penerima

untuk mengenkripsi pesan. Penerima kemudian menggunakan kunci pribadinya

untuk memecahkan kode pesan. Pengguna tidak perlu membagikan kunci pribadi

mereka untuk mendekripsi pesan, sehingga mengurangi kemungkinan mereka jatuh

ke tangan penjahat. Pendekatan ini diilustrasikan pada Gambar 3.6. RSA (Rivest-

Shamir-Adleman) adalah metode kriptografi kunci publik yang sangat aman. Metode

ini, bagaimanapun, intensif secara komputasi dan jauh lebih lambat daripada enkripsi

DES standar. Terkadang, DES dan RSA digunakan bersama dalam apa yang disebut

amplop digital. Pesan aktual dienkripsi menggunakan DES untuk memberikan

decoding tercepat. Kunci pribadi DES yang diperlukan untuk mendekripsi pesan

dienkripsi menggunakan RSA dan dikirimkan bersama dengan pesan tersebut. Balap

pertama menerjemahkan kode DES, yang kemudian digunakan untuk mendekode

pesan. Tanda Tangan Digital Tanda tangan digital adalah otentikasi elektronik yang

tidak dapat dipalsukan. Ini memastikan bahwa pesan atau dokumen yang dikirim

pengirim tidak dirusak setelah tanda tangan diterapkan. Gambar 3.7

mengilustrasikan proses ini. Pengirim menggunakan algoritma hashing satu arah

untuk memilih intisari pesan teks. Intisari adalah nilai matematis yang dihitung dari

konten teks pesan. Intisari kemudian dienkripsi menggunakan kunci pribadi pengirim

untuk menghasilkan tanda tangan digital. Selanjutnya, tanda digital dan pesan teks

dienkripsi menggunakan kunci publik penerima dan dikirim ke penerima. Di sisi

penerima, pesan didekripsi menggunakan kunci pribadi penerima untuk

menghasilkan tanda tangan digital (intisari terenkripsi) dan versi pesan teks yang

jelas. Penerima kemudian menggunakan kunci publik pengirim untuk mendekripsi

sinyal digital untuk menghasilkan intisari. Akhirnya, penerima menghitung ulang

intisari dari teks jernih menggunakan algoritma hashing asli dan membandingkannya

dengan intisari yang didekodekan. Jika pesan tersebut asli, dua nilai intisari akan

cocok. Jika bahkan satu karakter pesan diubah dalam transmisi, angka intisari tidak

akan sama.
Sertifikat Digital
Proses yang disebutkan di atas membuktikan bahwa pesan yang diterima tidak

dirusak selama pengiriman. Namun, itu tidak membuktikan bahwa pengirimnya

adalah siapa yang ia klaim. Pengirim bisa menjadi peniru. Memverifikasi identitas

pengirim memerlukan sertifikat digital, yang dikeluarkan oleh pihak ketiga tepercaya

yang disebut otoritas sertifikasi (CA). Sertifikat digital digunakan bersama dengan

sistem enkripsi kunci publik untuk mengotentikasi pengirim pesan. Proses sertifikasi

bervariasi tergantung pada tingkat sertifikasi yang diinginkan. Ini melibatkan

pembentukan identitas seseorang dengan dokumen formal, seperti SIM, notaris, dan

sidik jari, dan membuktikan kepemilikan seseorang atas kunci publik. Setelah

memverifikasi identitas pemilik, CA membuat sertifikasi, yang mencakup kunci publik

pemilik dan data lain yang telah ditandatangani CA secara digital. Sertifikat digital

dikirim dengan pesan terenkripsi untuk mengotentikasi pengirim. Penerima

menggunakan kunci publik CA, yang dipublikasikan secara luas, untuk mendekripsi

kunci publik pengirim yang dilampirkan pada pesan. Kunci publik pengirim kemudian

digunakan untuk mendekripsi pesan. Karena enkripsi kunci publik merupakan pusat

otentikasi digital, manajemen kunci publik menjadi masalah kontrol internal yang

penting. Infrastruktur kunci publik (PKI) merupakan kebijakan dan prosedur untuk

mengelola kegiatan ini.

Sistem PKI terdiri dari 1. Otoritas sertifikasi yang menerbitkan dan mencabut

sertifikat digital. Otoritas pendaftaran yang memverifikasi identitas pelamar sertifikat.

Prosesnya bervariasi tergantung pada tingkat sertifikasi yang diinginkan. Ini

melibatkan pembentukan identitas seseorang dengan dokumen formal, seperti SIM,

notaris, sidik jari, dan membuktikan kepemilikan seseorang atas kunci publik.

Repositori sertifikasi, yang merupakan basis data yang dapat diakses publik yang

berisi informasi saat ini tentang sertifikat saat ini dan daftar pencabutan sertifikasi

dari sertifikat yang telah dicabut dan alasan pencabutan. Penomoran Urutan Pesan

Seorang penyusup di saluran komunikasi dapat mencoba aliran pesan, mengubah

urutan pesan yang diterima, atau menggandakan pesan. Melalui penomoran urutan

pesan, nomor urut dimasukkan dalam pesan cache, dan setiap upaya seperti itu

akan menjadi jelas di ujung penerima. menghapus pesan dari Log Transaksi Pesan

Seorang penyusup dapat berhasil menembus sistem dengan mencoba berbagai kata
sandi dan kombinasi ID pengguna. Oleh karena itu, semua pesan masuk dan keluar,

serta upaya (gagal) akses, harus dicatat dalam log transaksi pesan. Log harus

mencatat ID pengguna, waktu akses, dan lokasi terminal atau nomor telepon dari

mana akses berasal. Teknik Permintaan-Respons Seorang penyusup dapat

berupaya mencegah atau menunda penerimaan pesan dari pengirim. Ketika

pengirim dan penerima tidak dalam kontak konstan. penerima mungkin tidak tahu

apakah saluran komunikasi terputus dan pesan telah dialihkan. Dengan

menggunakan teknik respons-permintaan, pesan kontrol dari pengirim dan respons

dari penerima dikirim secara berkala, secara tersinkronisasi. Waktu pesan harus

mengikuti tiga barang acak yang akan sulit bagi pengganggu untuk menentukan dan

mengelak. Perangkat Panggil-Kembali Seperti yang telah kita lihat, jaringan dapat

dilengkapi dengan fitur keamanan seperti perangkat otentikasi, dan enkripsi.

Kelemahan umum untuk semua teknologi ini adalah bahwa mereka menerapkan

tindakan keamanan setelah penjahat terhubung ke server jaringan. Banyak yang

percaya bahwa kunci keamanan adalah menjaga penyusup dari jaringan untuk

memulainya Perangkat panggilan balik mengharuskan pengguna masuk untuk

memasukkan kata sandi dan diidentifikasi. Sistem kemudian memutuskan koneksi

untuk melakukan otentikasi pengguna. Jika pemanggil berwenang, perangkat

panggilan balik memanggil nomor pemanggil untuk membuat koneksi baru. Hal ini

membatasi akses ke terminal atau nomor telepon yang disahkan dan mencegah

penyusup yang menyamar sebagai pengguna yang sah, Tujuan Audit Terkait dengan

Ancaman Subversif Tujuan auditor adalah untuk memverifikasi keamanan dan

integritas transaksi keuangan dengan menentukan bahwa kontrol jaringan (1) dapat

mencegah dan mendeteksi akses ilegal baik secara internal maupun dari Internet, (2)

akan membuat data apa pun yang berhasil ditangkap oleh pelaku, dan (3) cukup

untuk menjaga integritas dan keamanan fisik data yang terhubung ke jaringan.

Prosedur Audit Terkait dengan Ancaman Subversif Untuk mendukung tujuan-tujuan

kontrol ini, auditor dapat melakukan tes kontrol berikut: 1. Meninjau kecukupan

firewall dalam mencapai keseimbangan yang tepat antara kontrol dan kenyamanan
berdasarkan pada tujuan bisnis organisasi dan risiko potensial. Kriteria untuk menilai

efektivitas firewall meliputi: • FHexibility. Firewall harus cukup fleksibel untuk

mengakomodasi layanan baru karena kebutuhan keamanan organisasi berubah.

Layanan prexy. Aplikasi proxy yang memadai harus tersedia untuk memberikan

otentikasi pengguna yang jelas ke layanan, aplikasi, dan data yang sensitif. •

Pengarsipan. Teknik penyaringan yang kuat harus dirancang untuk menolak semua

layanan yang tidak diizinkan secara eksplisit. Dengan kata lain, firewall harus

menentukan hanya layanan yang diizinkan untuk diakses oleh pengguna, alih-alih

menentukan layanan yang ditolak. Pemisahan sistem. Sistem yang tidak

memerlukan akses publik harus dipisahkan dari Internet. Audit juga. Firewall harus

menyediakan seperangkat alat audit dan logging yang menyeluruh yang

mengidentifikasi dan mencatat aktivitas mencurigakan. Selidiki kelemahannya. Untuk

memvalidasi keamanan, auditor (atau analis keamanan profesional) harus secara

berkala menyelidiki kelemahan firewall seperti halnya yang dilakukan oleh peretas

Internet komputer. Sejumlah produk perangkat lunak saat ini tersedia untuk

mengidentifikasi kelemahan keamanan. "Pastikan bahwa sistem pencegahan

intnision (IPS) dengan inspeksi paket mendalam (DPI) tersedia untuk organisasi

yang rentan terhadap serangan DDos, seperti 2. lembaga keuangan. 3. Meninjau

prosedur keamanan yang mengatur administrasi kunci enkripsi data 4. Memverifikasi

proses enkripsi dengan mentransmisikan pesan pengujian dan memeriksa konten di

berbagai titik di sepanjang saluran antara lokasi pengirim dan penerima. Meninjau

log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam urutan

yang tepat. Uji operasi fitur panggilan balik dengan menempatkan panggilan tidak

sah dari luar instalasi.

AUDITING ELECTRONIC DATA INTERCHANGE (EDI) Untuk mengoordinasikan

operasi penjualan dan produksi dan untuk menjaga aliran bahan baku yang tidak

terputus, banyak organisasi mengadakan perjanjian mitra dagang dengan pemasok

dan pelanggan mereka. Perjanjian ini adalah dasar untuk proses bisnis yang

sepenuhnya otomatis yang disebut Electronic data interchange (EDI). Definisi umum

EDI adalah: Pertukaran informasi bisnis antar perusahaan yang dapat diproses

dengan komputer dalam format standar. Definisi tersebut memperbaiki beberapa fitur

penting EDI First. EDI adalah upaya interorganisasi. Perusahaan tidak terlibat dalam

EDI sendiri. Kedua, sistem informasi dari mitra dagang secara otomatis memproses

transaksi. Dalam lingkungan EDI murni, tidak ada perantara manusia untuk

menyetujui atau mengesahkan transaksi. Otorisasi, kewajiban timbal balik, dan

praktik bisnis yang berlaku untuk transaksi semuanya ditentukan terlebih dahulu di

bawah perjanjian mitra dagang. Ketiga, informasi transaksi dikirim dalam format yang

standar. Ini memungkinkan perusahaan dengan sistem internal yang berbeda dapat

bertukar informasi dan melakukan bisnis. Gambar 3.8 menunjukkan gambaran

koneksi EDI antara dua perusahaan. Asumsikan transeksi yang diilustrasikan pada

Gambar 359 adalah punchase inventaris pelanggan (Perusahaan A) dari pemasok

(Perusahaan B) sistem pembelian Perusahaan A secara otomatis menciptakan

pesanan pembelian elektronik (PO), yang dikirimkan ke sotware terjemahan EDI. Di

sini, PO dikonversi ke pesan clectronic format standar siap untuk transmisi. Pesan

tersebut dikirim ke perangkat lunak terjemahan Perusahaan B, di mana pesan itu

dikonversi ke format internal pemasok. Sistem pemrosesan pesanan penjualan

Perusahaan B menerima pesanan pelanggan dan memprosesnya secara otomatis.

Gambar 3.9 menunjukkan hubungan komunikasi pribadi langsung antara dua

perusahaan. Namun, banyak perusahaan. memilih untuk menggunakan jaringan nilai

tambah pihak ketiga (VAN) untuk terhubung ke mitra dagang mereka, Gambar 3.10

menggambarkan pengaturan ini. Perusahaan asal mentransmisikan pesan EDI-nya

ke jaringan daripada langsung ke komputer mitra dagang. Jaringan mengarahkan

setiap transmisi EDI ke tujuannya dan menyimpan pesan di kotak surat elektronik

yang sesuai. Pesan tetap berada di kotak surat sampai sistem perusahaan penerima

mengambilnya. VANS juga dapat memberikan tingkat kontrol penting atas transaksi

EDI, Kami memeriksa masalah kontrol EDI nanti di bagian ini.

EDI STANDARDS
Kunci keberhasilan EDI adalah penggunaan format standar untuk pengiriman pesan

antar sistem yang berbeda. Selama bertahun-tahun, baik di Amerika Serikat maupun

internasional, sejumlah format telah diusulkan. Standar di Amerika Serikat adalah

format American National Standards Institute (ANSI) X.12. Standar yang digunakan

secara internasional adalah EDI untuk administrasi. perdagangan, dan transportasi

(EDII ACT) tormat. Gambar 3.11 menggambarkan formalitas X.12. Amplop elektronik

X-12 berisi alamat elektronik penerima, protokol komunikasi, dan informasi kontrol.

Grup fungsional adalah kumpulan set transaksi (dokumen electrunic) untuk aplikasi

bisnis tertentu, seperti grup faktur penjualan atau pesanan pembelian. Set transaksi

terdiri dari segmen data dan data clements. Gambar 3.12 menghubungkan istilah-

istilah ini dengan dokumen konvensional. Setiap segmen data adalah kategori

informasi pada dokumen, seperti nomor bagian, unit prce, atau nama vendor. Klem

data adalah item spesifik dari data yang terkait dengan segmen. Dalam contoh pada

Gambar 12.18, ini termasuk item seperti REXX-446, S127.86, Ozment Supply anal.

Manfaat EDI EDI telah membuat terobosan besar di sejumlah industri, termasuk

otomotif, bahan makanan, ritel, perawatan kesehatan, dan elektronik. Berikut ini

adalah beberapa tabungan EDI umum yang membenarkan pendekatan ini. •

Penguncian data. EDI mengurangi atau membatasi kebutuhan akan data. Alasan

kesalahan. Perusahaan yang menggunakan EDI melihat pengurangan kesalahan

penguncian data, interpretasi manusia dan kesalahan klasifikasi, dan kesalahan

pengarsipan (kehilangan dokumen).

BENEFITS EDI
EDI telah membuat terobosan besar di sejumlah industri, termasuk otomotif, bahan

makanan, ritel, perawatan kesehatan, dan elektronik. Berikut ini adalah beberapa

tabungan EDI umum yang membenarkan pendekatan ini.

1. Penguncian data. EDI mengurangi atau membatasi kebutuhan akan data.

Pengurangan kesalahan.
2. Perusahaan yang menggunakan EDI melihat pengurangan kesalahan penguncian
data, interpretasi manusia dan kesalahan klasifikasi, dan kesalahan pengarsipan

(kehilangan dokumen).
3. Pengurangan kertas. Penggunaan amplop dan dokumen clectronic secara drastis

mengurangi bentuk kertas dalam sistem.

4. Postage. Dokumen yang dikirim diganti dengan transmisi data yang jauh lebih

murah. 5. Prosedur yang diautorisasi. EDI mengotomatiskan kegiatan manual yang

terkait dengan pembelian. pemrosesan pesanan penjualan, pengeluaran uang tunai,

dan penerimaan uang tunai.

6. Pengurangan inventaris. Dengan memesan langsung sesuai kebutuhan dari

vendor, EDI mengurangi jeda waktu yang mempromosikan akumulasi persediaan.

FINANCIAL EDI
Menggunakan transfer dana ekctronic (EFT) untuk pembayaran tunai dan

pemrosesan penerimaan kas lebih rumit daripada menggunakan EDI untuk kegiatan

pembelian dan penjualan. EFT membutuhkan bank perantara di antara mitra

dagang. Pengaturan ini ditunjukkan pada Gambar 3.13.

Sistem EDI pembeli menerima faktur pembelian dan secara otomatis menyetujuinya

untuk pembayaran, Pada tanggal pembayaran. sistem pembeli secara otomatis

membuat EFT ke bank asal (OBK). OBK mengeluarkan dana dari rekening pembeli

dan mengirimkannya secara elektronik ke bank ckaringhouse otomatis (ACH). ACH

adalah bank sentral yang membawa rekening untuk bank-bank anggotanya. ACH

mentransfer dana dari OBK ke bank penerima (RBK), yang pada gilirannya

menerapkan dana ke akun penjual. Mentransfer dana dengan EFT tidak

menimbulkan masalah khusus. Suatu cek dapat dengan mudah diwakili dalam

format X.12. Masalah muncul dengan informasi saran pengiriman uang yang

menyertai cek Informasi saran pengiriman uang sering cukup luas karena

kompleksitas dalam transaksi. Cek mungkin dalam pembayaran beberapa faktur

atau hanya sebagian faktur. Mungkin ada jumlah yang disengketakan karena

ketidaksepakatan harga, barang yang rusak, atau pengiriman yang tidak lengkap.

Dalam sistem tradisional, memodifikasi saran pengiriman akhir / atau melampirkan

surat menjelaskan pembayaran menyelesaikan perselisihan ini.
Mengubah informasi pengiriman uang ke bentuk elektronik dapat menghasilkan data

yang sangat besar. Anggota sistem ACH diharuskan untuk menerima dan

memproses hanya format EFT terbatas pada 94 karakter data - ukuran catatan yang

cukup untuk hanya pesan yang sangat mendasar. Tidak semua bank dalam sistem

ACH mendukung format standar ANSI untuk pengiriman uang, ANSI 820. Dalam

kasus seperti itu, informasi pengiriman uang harus dikirim ke penjual melalui

transmisi EDI yang terpisah atau surat konvensional. Penjual kemudian harus

menerapkan prosedur terpisah untuk mencocokkan transmisi EDI bank dan

pelanggan dalam menerapkan pembayaran ke rekening pelanggan. Menyadari

kekosongan antara layanan yang diminta dan yang didukung sistem ACH, banyak

bank telah menetapkan mereka sebagai bank nilai tambah (VAB) untuk bersaing

dalam pasar ini. VAB dapat menerima pembayaran elektronik dan saran pengiriman

uang dari klien dalam format apa pun. Ini mengkonversi transaksi EDI ke format

ANSI X.12 dan 820 untuk pemrosesan elektronik. Dalam hal transaksi non-EDI, VAB

menulis cek tradisional kepada kreditor. Layanan yang ditawarkan VABS

memungkinkan klien mereka untuk menggunakan sistem pencairan tunggal yang

mengakomodasi pelanggan non-EDI.

Kontrol EDI Tidak adanya intervensi manusia dalam proses EDI menghadirkan twist

unik untuk masalah kontrol tradisional, termasuk memastikan bahwa transaksi

diotorisasi dan valid, mencegah akses yang tidak sah ke file data, dan

mempertahankan jejak audit transaksi. Teknik-teknik berikut digunakan dalam

menangani masalah ini. Otorisasi dan Validasi Transaksi Baik pelanggan dan

pemasok harus menetapkan bahwa transaksi yang sedang diproses adalah untuk

(atau dari) mitra dagang yang sah dan diotorisasi. Ini dapat dicapai pada tiga poin

dalam proses. Beberapa VANS memiliki kemampuan untuk memvalidasi kata sandi

dan kode ID pengguna untuk vendor dengan mencocokkannya dengan file

pelanggan yang valid. VAN menolak transaksi mitra dagang yang tidak resmi

sebelum mencapai sistem vendor. Sebelum dikonversi, perangkat lunak terjemahan

dapat memvalidasi ID dan kata sandi mitra dagang terhadap file validasi dalam

database perusahaan. 3. Sebelum diproses, perangkat lunak aplikasi mitra dagang

mereferensikan pelanggan dan file vendor yang valid untuk memvalidasi transaksi.

ACCESS CONTROL
Kontrol Akses Agar fumction lancar, mitra dagang FDI harus mengizinkan penurunan

akses ke file data pribadi yang akan dilarang di lingkungan tradisional. Agrocment

mitra dagang akan menentukan tingkat kontrol akses dalam placc. Untuk examplc.

hal itu dapat mempengaruhi sistem persediaan pelanggan untuk mengetahui file

inventaris yang harus ditelusuri jika ada fitur yang tersedia. Selain itu, mitra dagang

dapat menyetujui bahwa harga pesanan pembelian akan mengikat kedua belah

pihak. Mereka harus. karena itu. secara berkala mengakses file daftar harga vetidur

dengan menjaga informasi harga tetap terkini, vendor mungkin perlu akses ke daftar

harga pelanggan untuk memperbarui harga. Untuk menjaga dari akses yang tidak

sah, perusahaan cach harus membuat file pelanggan dan vendar yang valid. Dengan

demikian, penyelidikan terhadap basis data dapat divalidasi, dan upaya akses yang

tidak sah dapat ditolak. Tabel authonty pengguna juga dapat dibuat. yang

menentukan tingkat akses yang dimiliki mitra dagang. Misalnya, mitra mungkin

diotorisasi untuk membaca inventaris atau data harga tetapi tidak mengubah nilai.

Jejak Audit EDI Tidak adanya sumber dokumen dalam transaksi EDI mengurangi

kelemahan audit tradisional dan membatasi kemampuan akuntan untuk

memverifikasi valid, kelengkapan, pengapuran, dan akurasi transaksi. Salah satu

teknik untuk memulihkan jejak audit adalah mempertahankan log kontrol. yang

mencatat aliran transaksi melalui cach phasc dari sistem EDI. Gambar 3.14

menggambarkan bagaimana aplikasi ini dapat digunakan. Karena transeksi diterima

pada setiap tahap dalam proses, sebuah entri dibuat dalam log. Dalam sistem

pelanggan, log transaksi dapat direkonsiliasi untuk memastikan bahwa semua

transaksi yang dilakukan sistem pur.hases diterjemahkan dan dimutakhirkan dengan

lancar. Demikian juga, dalam sistem vendor, log kontrol akan menetapkan bahwa
sistem pesanan penjualan menerjemahkan dan memproses semua pesan yang

diterima perangkat lunak komunikasi dengan benar.

Tujuan Audit Terkait dengan EDI Tujuan auditor adalah untuk menentukan bahwa (1)

semua transaksi EDI disahkan, divalidasi, dan sesuai dengan perjanjian mitra

dagang; (2) tidak ada organisasi yang tidak sah mendapatkan akses ke catatan basis

data: (3) mitra dagang yang sah hanya memiliki akses ke data yang disetujui; dan (4)

kontrol yang memadai untuk memastikan jejak audit lengkap dari semua transaksi

EDI, Prosedur Audit Terkait dengan EDI Untuk mencapai tujuan kontrol ini, auditor

dapat melakukan tes kontrol berikut. Tes Kontrol Otorisasi dan Validasi. Auditor harus

menetapkan bahwa kode identifikasi mitra dagang diverifikasi sebelum transaksi

diproses. Untuk mencapai hal ini, auditor harus (1) meninjau perjanjian dengan

fasilitas VAN untuk memvalidasi transaksi dan memastikan bahwa informasi

mengenai mitra dagang yang valid lengkap dan benar, dan (2) memeriksa file mitra

dagang yang valid dari organisasi untuk akurasi dan kelengkapan Tes Kontrol

Akses . Keamanan atas file mitra dagang yang valid dan database merupakan pusat

kerangka kerja kontrol EDI. Auditor dapat memverifikasi kecukupan comtrol dengan

cara-cara berikut: 1. Auditor harus menentukan bahwa akses ke vendor atau file

pelanggan yang valid dibatasi hanya untuk karyawan yang berwenang. Auditor harus

memverifikasi bahwa passwards dan tabel otoritas mengontrol akses ke masalah ini

dan data dienkripsi. 2. Perjanjian perdagangan akan menentukan tingkat akses yang

harus dimiliki oleh mitra dagang ke catatan basis data Eirm (sach sebagai kvel

persediaan dan daftar harga). Auditor harus merekonsiliasi ketentuan perjanjian

perdagangan dengan hak akses mitra dagang yang dinyatakan dalam tabel otoritas

basis data. 3. Auditor harus mensimulasikan akses oleh sampel mitra dagang dan

berupaya melanggar hak akses. Tes Kontrol Jejak Audit. Auditor harus memverifikasi

bahwa sistem EDI menghasilkan log transaksi yang melacak transaksi melalui

semua tahap pemrosesan. Dengan menghitung sampel transaksi dan melacaknya

melalui proses ini, auditor dapat memverifikasi bahwa nilai data utama dicatat

dengan benar di setiap titik.