OPERASI KOMPUTER
Dosen Pengampu:
Indah Anisykurlillah, S. E., M. Si., Akt.
Kuat Waluyo Jati, S. E., M. Si.
Disusun Oleh:
1. Alifah Nurfarindha 7211417014
2. Ria Ronatama Marpaung 7211417018
3. Novi Wijayaningsih 7211417060
4. Muhammad Kristianto Wibisono 7211417170
FAKULTAS EKONOMI
UNIVERSITAS NEGERI SEMARANG
SEMARANG
2020
PRAKATA
Puji syukur kami panjatkan kehadirat Tuhan Yang Maha Esa karena dengan rahmat,
karunia, serta hidayah-Nya kami dapat menyelesaikan makalah tentang Operasi Komputer. Dan
juga kami berterimakasih kepada Ibu Indah Anisykurlillah, S.E., M.Si, Akt. dan Bapak Kuat
Waluyo Jati, S.E., M.Si. selaku dosen mata kuliah Audit Pengolahan Data Elektronik (EDP)
yang telah memberikan tugas ini kepada kami.
Kami sangat berharap makalah ini dapat berguna dalam rangka menambah wawasan serta
pengetahuan kita mengenai operasi komputer pada audit pengolahan data elektronik. Serta
bagaimana pengendalian sistem operasi tersebut.
Semoga makalah sederhana ini dapat dipahami oleh siapapun yang membacanya. Kami
menyadari sepenuhnya bahwa dalam makalah ini terdapat kekurangan dan jauh dari kata
sempurna. Oleh sebab itu kami berharap adanya kritik, saran, dan usulan demi perbaikan
makalah yang telah kami buat di masa yang akan datang, mengingat tidak ada sesuatu yang
sempurna tanpa saran yang membangun.
Penulis
i
Daftar Isi
PRAKATA..................................................................................................................................................... i
DAFTAR ISI.................................................................................................. Error! Bookmark not defined.
BAB I PENDAHULUAN ............................................................................................................................. 1
1.1 Latar Belakang .................................................................................................................................... 1
1.2 Rumusan Masalah ............................................................................................................................... 1
1.3 Tujuan ................................................................................................................................................. 2
BAB II PEMBAHASAN .............................................................................................................................. 3
2.1 Pengendalian Sistem Operasi Dan Pengendalian Sistem Keseluruhan............................................... 3
2.1.1 Keamanan Sistem Operasi ........................................................................................................... 3
2.1.2 Ancaman-Ancaman Terhadap Integritas Sistem Operasi ............................................................ 4
2.2 Pengendalian Keseluruhan Sistem ...................................................................................................... 5
2.2 1 Mengendalikan Hak Akses ........................................................................................................... 5
2.2.2 Pengendalian Kata Sandi............................................................................................................. 5
2.2.3 Mengendalikan Objek Yang Merusak Dan Risiko E-Mail ........................................................... 8
2.2.4 Mengendalikan Jejak Audit Elektronik ...................................................................................... 15
2.3 Sistem Komputer Pribadi (Pc) .......................................................................................................... 18
2.3.1 Sistem Operasi Pc ...................................................................................................................... 19
2.3.2 Risiko dan Pengendalian Sistem PC .......................................................................................... 20
BAB III PENUTUP .................................................................................................................................... 28
3.1 Kesimpulan ....................................................................................................................................... 28
3.2 Saran ................................................................................................................................................. 28
DAFTAR PUSTAKA ................................................................................................................................. 29
ii
BAB I PENDAHULUAN
a. Bagaimana keamanan sistem operasi dan ancaman terhadap integritas sistem operasi?
b. Bagaimana mengendalikan keseluruhan sistem operasi?
c. Bagaimana sistem operasi dalam komputer pribadi (PC) serta bagaimana risiko dan
pengendaliannya?
1
1.3 Tujuan
Tujuan penulisan makalah ini adalah sebagai berikut:
2
BAB II PEMBAHASAN
Untuk melaksanakan tiga tugas secara konsisten dan dapat diandalkan, operating
system harusmencapai lima tujuan pengendalian fundamental:
1. Logon Procedure
Sebuah logon procedure yang formal adalah garis pertahanan (defense) pertama
operating sistem terhadap akses yang tidak diotorisasi. Ketika pengguna memulai proses,
dia disajikan dengan sebuah kotak dialog yang meminta ID dan password pengguna.
Sistem tersebut membandingkan ID dan password ke database sah pengguna.
3
2. Access Token
Jika usaha logon sukses, operating sistem menciptakan sebuah tanda (bukti) yang
berisi informasi kunci mengenai pengguna, temasuk ID pengguna, password, user group, dan
hak istimewa yang diberikan kepada pengguna. Informasi dalam tanda (bukti) akses yang
digunakan untuk mengesahkan semua tindakan yang diusahakan oleh pengguna selama
session (pembahasan).
Accidental threats
Contoh: kegagalan hardware yang menyebabkan sistem operasi error
Intentational threats
Ancaman yang disengaja seperti akses data illegal atau melanggar privacy
pemakai untuk keuntungan financial.
a) Individu yang memliki hak akses istimewa menyalahgunakan hak istimewa yang
mereka miliki.
b) Individu yang mengotak-atik sistem operasi dengan tujuan merusak sistem
c) keamanan operasi.
d) Individu yang sengaja memasukkan virus atau bentuk lainnya yang dapat merusak
e) program sistem operasi.
4
2.2 Pengendalian Keseluruhan Sistem
Membahas mengenai pengendalian sistem.
Audit Objective:
Audit procedure:
5
3) Setelah syndrome, dengan bantuan password sama dengan menulis dan menunjukkan
untuk dilihat
4) Password dapat dengan mudah mengantisipasi kejahatan dengan menggunakan
komputer.
a. Reusable Password
Kata sandi sekali pakai didesain untuk mengatasi berbagai masalah dalam
pengunaan kata sandi. Dalam pendekatan ini, kata sandi jaringan milik pengguna akan
secara konstan diubah. Untuk mengakses jaringan, pengguna harus memberikan nomor
identifikasi pribadi (personal identification number – PIN) yang dapat digunakan
berulang kali dan kata sandi sekali pakai saat ini untuk waktu tersebut. Tentu saja,
masalahnya adalah bagaimana caranya memberitahukan pengguna yang valid kata sandi
yang terkini?
Salah satu teknologi yang dapat digunakan adalah menggunakan alat seukuran
kartu kredit (kartu pintar) yang berisi sebuah mikroprosesor yang diprogram dengan
algoritme tertentu yang akan menghasilkan, dan secara elektronik menampilkan, sebuah
kata sandi yang baru dan unik setiap 60 detik. Kartu tersebut bekerja bersama dnegan
peranti lunak autentikasi khusus, hingga kapan saja, baik kartu pintar maupun peranti
lunak jaringan menghasilkan kata sandi yang sama untuk pengguna yang sama.
Untuk mengakses jaringan, pengguna memasukkan PIN diikuti dengan kata sandi
terkini yang ditampilkan di kartu. Kata sandi tersebut dapat digunakan sekali saja.
Misalnya jika seorang hacker komputer berhasil mendapatkan kata sandi dan PIN selama
transmisi serta mencoba menggunakannya dalam kerangka waktu satu menit, akses akan
ditolak. Selain itu, jika kartu pintar tersebut jatuh ke tangan seorang penjahat komputer,
maka akses tidak akan didapat karena tidak ada PIN.
6
1) Penyebaran yang tepat: Menyebarluaskannya, menggunakannya dalam pelatihan atau
orientasi karyawan, dan mencari berbagai cara untuk meningkatkan kesadaran dalam
perusahaan.
2) Panjang kata sandi yang sesuai: Menggunakan paling tidak delapan karakter. Makin
banyak karakternya, makin sulit untuk ditebak atau dipecahkan. Delapan karakter adalah
panjang yang efektif untuk mencegah proses penebakan jika digabungkan dengan hal di
bawah ini.
3) Kekuatan yang sesuai: Gunakan huruf, angka, dan berbagai karakter khusus. Makin
banyak karakter non huruf, makin sulit untuk ditebak atau dipecahkan.
4) Tingkat akses atau kompleksitas yang sesuai: Gunakan beberapa tingkat akses yang
membutuhkan beberapa kata sandi. Gunakan sebuah matriks kata sandi untuk
memberikan hak read-only, baca/tulis, atau tidak memberikan akses untuk tiap fiels data
per pengguna. Gunakan biometrik (seperti sidik jari, suara). Gunakan alat akses
tambahan, seperti kartu pintar, atau kata sandi beeper untuk login jarak jauh. Gunakan
prosedur yang ditetapkan berdasarkan pengguna.
5) Perubahan tepat waktu yang sesuai: Dalam rentang waktu yang teratur, perintahkan
karyawan untuk mengubah kata sandi mereka.
6) Perlindungan yang sesuai: Larang praktik berbagi kata sandi atau adanya kata sandi
ditulis pada kertas post-it dan diletakkan di komputer salah seorang karyawan.
7) Penghapusan yang tepat: Perintahkan penghapusan segera akun karyawan yang sudah
berhenti untuk mencegah seorang karyawan yang kecewa melakukan aktivitas negatif.
d. Tujuan Audit
Pastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai dan
efektif untuk mengendalikan akses ke sistem operasi.
e. Prosedur Audit
7
dikunci. Durasi penguncian (lockout) juga perlu dilihat. Proses ini dapat berkisar dari
penguncian dalam beberapa menit hingga permanen yang akan membutuhkan
aktivasi kembali akun terkait.
Surat elektronik (e-mail) adalah fungsi internet yang paling terkenal, dna jutaan
pesan beredar di seluruh dunia setiap hari. Kebanyakan perusahaan menerima e-mail,
bahkan walaupun mereka tidak memiliki server e-mails endiri. Akan tetapi, e-mail
memiliki berbagai risiko inheren dalam penggunaannya, yang harus dipikirkan oleh
auditor. Salah satu risiko yang signifikan bagi sistem perusahaan adalah infeksi dari
sebuah virus atau worm yang sedang berkembang luas. Virus hampir baisanya dapat
disebarkan melalui lampiran (attachment) e-mail. Penulis pesan menyembunyikan
maksudnya dengan hati-hati dan sering kali, akan menggunakan buku alamat para
korbannya untuk mengirimkan berbagai pesan ke kontak dalam buku alamat tersebut,
seolah-olah berasal dari korban, hingga menipu penerimanya. Proses ini membuat
lampiran e-mail tampak meyakinkan dan bahkan memiliki alamat pengembalian pesan e-
mail yang benar dan dieknal.
Beberapa jenis program perusak yang umum serta beberapa kekhawatiran lainnya
yang berkaitan dengan email:
1. Virus
8
Mikrokomputer adalah sumber utama penetrasi virus. Ketika dikoneksikan ke
dalam suatu jaringan atau mainframe, mikrokomputer yang terinfeksi dapat memasukkan
virus ke komputer host. Begitu berada di dalam host, virus tersebut akan menyebarkan
diri di seluruh sistem operasi dan pengguna lainnya.
Ketika program yang terinfeksi virus dijalankan, virus akan menjelajahi sistem
untuk mencari program yang belum terinfeksi dan memperbanyak dirinya ke berbagai
program ini. Virus tersebut kemudian menyebar ke berbagai aplikais pengguna lainnya
atau ke sistem operasi itu sendiri.
9
2. Worm
Istilah worm (cacing) dianggap hampir sama dengan virus. Worm adalah program
peranti lunak yang menyembunyikan diri ke dalam memori komputer dan mereplikasi
dirinya ke berbagai area memori yang tidak digunakan. Worm secara sistematis akan
menempati memori yang tidak digunakan hingga memori akan penuh dan sistem gagal.
Worm berbeda dari virus dalam hal modul repliaksi worm tetap berhubungan dengan
worm aslinya yang mengendalikan perkembangannya. Sebaliknya, modul virus yang
direplikasi akan berkembang secara independen dari virus aslinya.
3. Bom Logika
Bom logika (logic bom) adalah program perusak, seperti virus, yang dipicu oleh
beberapa peristiwa yang telah ditentukan sebelumnya. Seringkali berupa tanggal (seperti
jumat tanggal 13, April Mop, atau hari ulang tahun) akan menjadi logika pemicu bom.
Virus Michaelangelo yang terkenal (yang dipicu oleh tanggal lahirnya) adalah contoh
dari bom logika. Bom logika juga dapat dipicu oleh berbagai peringatan peristiwa yang
tidak terlalu umum, seperti penghentian seorang karyawan. Conthnya, dalam periode
pemecatan kerja normal dua minggu, programer yang dipecat dapat saja melekatkan
sebuah bom logika ke dalam sistem akan aktif enam bulan setelah kepergiannya dari
perusahaan tersebut.
4. Pintu Belakang
Pintu belakang (back door, disebut juga sebagai pintu jebakan atau trap door)
adalah program peranti lunak yang memungkinkan akses secara tidak sah ke sistem tanpa
melalui prosedur logon yang normal (pintu depan atau front door). Para progamer yang
ingin memiliki akses tidak terbatas ke program yang mereka kembangakn bagi pengguna
dapat membuat prosedur logon yang akan menerima kata sandi pribadi pengguna serta
kata sandi rahasia mereka sendiri, hingga menciptakan pintu belakang dalam sistem.
Tujuan dari pintu belakang dapat saja untuk menyediakan akses yang mudah dalam
melakukan pemeliharaan program, atau dapat untuk melakukan penipuan atau
menyelipkan sebuah virus ke dalam sistem.
5. Kuda Troya
Kuda troya (trojan horse) adalah program yang tujuannya menangkap ID dan kata
sandi dari pengguna yang tidak menaruh curiga. Program tersebut didesain untuk
menyerupai prosedur logon yang normal dalam sistem operasi terkait. Ketika pengguna
memasukkan ID dan kata sandinya, maka kuda troya akan menyimpan salinannya dalam
sebuah file tersembunyi. Beberapa hari kemudian, pembuat kuda troya akan
menggunakan ID dan kata sandi untuk mengakses sistem dan menyamar sebagai
pengguna yang sah.
10
Ancaman dari berbagai program yang merusak dapat secara substansial dikurangi
melalui penggabungan pengendalian teknologi dan prosedur administrasi. Contoh-contoh
berikut ini dapat digunakan dalam kebanyakan sistem operasi.
Beli peranti lunak hanya dengan vendor yang bereputasi dan terima produk aslinya,
dengan segel dari pabriknya.
Tetapkan kebijakan keseluruhan perusahaan berkaitan dengan penggunaan peranti lunak
tidak sah atau penyalinan tidak sah (bootleg) atas peranti lunak yang memiliki hak cipta.
Pelajari semua pembaruan (upgrade) dari semua vendor peranti lunak untuk mendeteksi
virus sebelum diimplementasikan.
Mengawasi semua peranti lunak domain publik akan adanya infeksi virus sebelum
digunakan.
Buat prosedur keseluruhan perusahaan untuk perubahan dalam program produksi.
Buat program pendidikan untuk meningkatkan kesadaran pengguna mengenai berbagai
ancaman akibat virus serta berbagai program perusak lainnya.
Instal semua aplikasi baru dalam sebuah komputer terpisah dan uji secara keseluruhan
dan mendalam dengan peranti lunak antivirus sebelum mengimplementasikannya di
mainframe atau di dalam server LAN.
Secara rutin buat salinan cadangan berbagai file penting yang disimpan dalam
mainframe, server, dan terminal kerja.
Jika memungkinkan, batasi pengguna dengan hak hanya untuk membaca atau
menjalankan saja. Kebijakan ini memungkinkan paar pengguna untuk mengekstraksi data
dan menjalankan aplikasi yang diotorisasi, tetapi akan tidak mengakui kemampuan untuk
menulis secara langsung ke mainframe dan direktori server.
Syaratkan adanya berbagai protokol yang secara eksplisit mendukung prosedur logon
sistem operasi agar memotong akses kuda troya. Skenario yang umum adalah seorang
pengguna duduk di sebuah terminal yang telah menunjukkan layar untuk logon dan
memasukkan ID serta kata sandi miliknya. Akan tetapi, layar logon tersebut dapat saja
merupakan kuda troya, bukan prosedur sah sesungguhnya. Beberapa sistem operasi
mengijinkan penggunanya untuk secara langsung mendukung prosedur logon sistem
operasi dengan memasukkan urutan karakter seperti CTRL + ALT + DEL. Pengguna
kemudian mengetahui bahwa prosedur logon di layar adalah prosedur yang sah.
Secara teratur, pindai sistem. Pemindaian ini menggunakan peranti lunak antivirus (yang
juga disebut sebagi vaksin) untuk mempelajari apakah dalam program aplikasi serta
sistem operasi terdapat virus atau tidak dan jika ada menyingkirkannya dari program
yang terkena virus. Program antivirus digunakan untuk menjaga mainframe, server
jaringan, dan PC. Kebanyakan program antivirus berjalan di belakang komputer host dan
secara otomatis menguji semua file yang dimasukkan ke dalam komputer host. Akan
tetapi, peranti lunak tersebut hanya jalan untuk virus yang telah diketahuinya. Jika ada
11
sebuah virus yang dimodifikasi sedikit saha (bermutasi) maka tidak ada jaminan bahwa
vaksin akan bekerja. Oleh karenanya, penting untuk memelihara kekinian versi vaksin.
6. Spoofing
Spoofing melibatkan penipuan yang membuat sebuah pesan tampak berasal dari
seseorang atau perusahaan yang memiliki otorisasi, padahal sesungguhnya tidak
demikian. Pesan tersebut tidak berisi tanda tangan yang benar atau tidak menggunakan
logo yang sesungguhnya. Jadi, tidak mudah bagi kebanyakan orang untuk bias
memastikan kebenaran pengirimnya. Tujuannya adalah untuk membodohi penerima agar
melakukan tindakan tertentu yang diyakini sebagai permintaan sah dari nama orang yang
berada diakhir pesan. Contohnya, sebuah pesan dapat disebarkan ke semua karyawan
dengan menggunakan nama CEO di akhir pesan serta mengumumkan hari libur bagi
semua karyawan, padahal, kenyataanya, pesan tersebut dikirim oleh orang lain, bukan
CEO terkait. Pengendalian yang tepat adalah berupa pelatihan bagi semua karyawan
mengenai tanda-tanda spoofing.
7. Spamming
Mungkin semua orang yang menggunakan email pernah menerima surat yang
tidak diinginkan atau tidak diminta. Spam secara umum didefinisikan sebagai email yang
tidak diharapkan. Akan tetapi, spam juga dihubungkan dengan permintaan jenis penipuan
yang melibatkan uang (con artist). Pesan semacam itu dapat saja menawarkan untuk
menjual cetak biru sebuah bom atom yang dijatuhkan di Hiroshima, atau proposal disuatu
negara lain. Spamming adalah hal yang mengkhawatirkan karena volume pesan yang
dapat mengisi server e-file tidak penting, karyawan juga butuh banyak waktu untuk
menghapus berbagai pesan tersebut. Peranti lunak anti spam tersedia untuk menyaring
spam, dengan tingkat keberhasilan yang berbeda-beda, sebelum server email entitas
menerimanya.
8. Surat Berantai
Jenis pesan lainnya yang tidak berguna adalah surat berantai (chain letters). Pesan
jenis ini biasanya berkaitan dengan beberapa hal yang menarik secara emosional bagi
12
penerimanya. Sebagai contoh, salah satu surat berantai menyatakan bahwa Bill Gates
akan memberikan uang bagi anak-anak yang berhak berdasarkan jumlah pesan yang
dikirim. Surat berantai lainnya menjanjikan diskon di Gap atau berupa cerita lain yang
“terlalu indah untuk benar-benar terjadi.” Tujuan penulis pesan ini adalah untuk melihat
seberapa banyak salinan dari pesan tersebut beredar di seluruh dunia, atau seberapa lama
pesan tersebut akan kembali ke pengirim aslinya. Surat tersebut akan selalu diakhiri
dengan petunjuk yang tegas untuk mengirimkan surat tersebut kesemua teman seseorang.
Surat berantai, seperti juga spam, memenuhi kotak email. Sekali lagi pelatihan atau
penyaringan email yang masuk dapat berfungsi sebagai pengendalian.
9. Cerita Legenda
Berbagai cerita sejenis ini telah ada selama berabad-abad. Contohnya, anda
mungkin pernah mendengar cerita (urban legend) mengenai pembicaraan antara kapten
sebuah kapal dengan sesorang yang dikiranya adalah kapten kapal lainnya dalam arah
yang bertabrakan. Masing-masing berargumentasi bahwa pihak satunyalah yang harus
mengubah haluan. Akhirnya orang kedua memberitahukan kapten kapal pertama bahwa
dia sendiri juga bukan kapten kapal, tetapi penjaga menara mercusuar. Cerita semacam
ini umumnya menghibur, dan baris terakhir dalam pesan tersebut akan mendorong
penerima untuk meneruskannya ke teman-temannya.
Perhatikan bahwa masalah ini dan dua masalah sebelumnya memiliki tujuan yang
sama, yaitu penggandaan (multiplikasi). Baris terakhir pesan sebenarnya adalah
13
peringatan yang dapat membantu untuk mengidentifikasi ketiga jenis email negatif dan
agak merusak ini.
11. Pencacimakian
Perilaku manusia di internet ada batasan fisik berupa interaksi melalui tatap muka.
Oleh karenanya, banyak yang akan melakukan atau mengatakan (menulis) berbagai hal
yang tidak akan diwujudkannya di muka umum. Pencacimakian (flaming) adalah sebuah
pesan dimana penulisnya menyerang penerimanya dengan berbagai istilah yang terlalu
kasar. Pesan semacam ini meliputi kata-kata yang bersifat menghina mengenai pihak lain
atau perusahaan. Risiko pencacimakian akan lebih serius karena adanya hukum federal
yang berkaitan dengan berbagai isu seperti pelecehan seksual. Pengendaliannya meliputi
pelatihan dan kebijakan untuk melarang pencacimakian dengan menerapkan bebagai
hukuman jika tertangkap.
Tujuan Audit
Memverifikasi bahwa ada kebijakan dan prosedur manajemen yang efektif untuk mencegah
masuknya dan menyebarnya objek yang merusak.
Prosedur Audit
a. Melalui wawancara dengan personel operasional, tentukan apakah mereka pernah dididik
mengenai virus komputer dan menyadari praktik penggunaan komputer yang beresiko yang
dapat memasukkan serta menyebarkan virus dan berbagai program merusak lainnya.
b. Mengkaji berbagai prosedur operasional untuk menentukan apakah disket atau CD yang
dapat berisi virus secara rutin digunakan untuk mentransfer data antarkelompok kerja
c. Memverifikasi bahwa para administrator sistem secara rutin memindai terminal kerja, server
file, dan server email untuk mendeteksi virus.
d. Memverifikasi bahwa peranti lunak baru diuji di terminal kerja yang terpisah sebelum
diimplementasikan deserver host atau jaringan.
e. Memverifikasi bahwa peranit lunak antivirus diperbaiki secara teratur dan di download ke
tiap terminal kerja.
14
2.2.4 Mengendalikan Jejak Audit Elektronik
Jejak audit (audit trail) adalah daftar yang dapat didesain untuk mencatat
berbagai aktivitas dalam tingkat sistem, aplikasi, dan pengguna. Jika diimplementasikan
dengan benar, jejak audit memberikan pengendalian deteksi yang penting untuk
membantu mewujudkan tujuan kebijakan keamanan. Banyak sistem operasi mengizinkan
pihak manajemen perusahaan untuk memilih peristiwa (event) mana saja yang akan
dicatat dalam daftar tersebut. Kebijakan audit yang efektif akan memenangkan semua
peristiwa yang signifikan tanpa mengacaukan daftar tersebut dengan aktivitas yang tidak
penting. Setiap perusahaan harus memutuskan batas antara informasi dengan fakta yang
tidak penting. Jejak audit biasanya terdiri atas dua jenis data audit: (1) daftar terperinci
mengenai tiap ketikan, dan (2) daftar yang berorientasi pada peristiwa (event oriented
log).
a) Pengawasan Ketikan
Pengawasan ketikan (keystroke monitoring) melibatkan pencatatan ketikan
pengguna dan respon sistem. Daftar semacam ini dapat digunakan sebagai bukti setelah
kejadian untuk merekonstruksi perincian suatu peristiwa atau sebagai pengendali real
time untuk memonitor atau mencegah pelanggaran tidak sah. Pengawasan ketikan dapat
disamakan dengan penyadapan telepon, tetapi versi komputernya. Beberapa kondisi dapat
saja membenarkan tingkat pengawasan ini. Akan tetapi, dalam beberapa kondisi,
pengawasan ketikan dapat dianggap sebagai pelanggaran atas privasi. Sebelum
mengimplementasikan pengendalian jenis ini, pihak manajemen dan para auditor harus
mempertimbangkan kemungkinan implikasi hukum, etika, dan keperilakuannya.
b) Pengawasan Peristiwa
Pengawasan peristiwa (event monitoring) meringkas berbagai aktivitas utama
yang berkaitan dengan pengguna, aplikasi, dan sumber daya sistem. Daftar peristiwa
biasanya mencatat ID semua pengguna yang mengakses sistem, waktu, dan durasi
15
penggunaan, program yang dijalankan selama penggunaan, dan semua file, basis data,
printer, dan sumber daya lain yang diakses.
16
Daftar audit juga dapat berfungsi sebagai pengendali deteksi untuk membebankan
akuntabilitas personal atas berbagai tindakan yang dilakukan dan yang melanggar
kebijakan keamanan kesalahan yang serius dan penyalahgunaan wewenang adalah hal
yang paling jadi perhatian. Mungkin lebih mudah mencegah pelanggar tidak sah masuk
mengakses sistem daripada memastikan bahwa para pengguna yang sah hanya bertindak
sesuai dengan wewenang yang diberikan padanya. Contohnya, seorang staf administrasi
bagian putang usaha diberikan otorisasi untuk mengakses catatan pelanggan. Daftar audit
dapat mengungkapkan bahwa staf administrasi tersebut telah mencetak catatan dalam
jumlah tidak wajar yang dapat menjadi indikasi bahwa staf tersebut menjual informasi
pelanggan.
e) Tujuan Audit
Memastikan bahwa audit para pengguna dan peristiwa cukup untuk mencegah dan
mendeteksi barbagai penyalahgunaan, rekonstruksi berbagai peristiwa penting yang
mengawali kegagalan sistem, dan untuk merencanakan alokasi sumber daya.
17
f) Prosedur Audit
Kebanyakan sistem operasi memberikan beberapa fungsi bagian manajer audit
untuk spesifikasi berbagai peristiwa yang akan diaudit. Auditor terkait harus
memverifikasi jejak audit peristiwa apa yang diaktifkan sesuai dengan kebijakan
perusahaan.
Banyak sistem operasi menyediakan tampilan daftar audit yang memungkinkan para
auditor memindai daftar untuk mencari aktivitas yang tidak biasa. Daftar tersebut dapat
dikaji di layar atau melalui arsip file untuk kajian selanjutnya.
Auditor dapat menggunakan alat ekstraksi data bertujuan umum seperti ACL
untuk menilai berbagai file daftar yang diarsip untuk mencari keberadaan berbagai
kondisi yang telah ditetapkan, seperti:
1) Pengguna yang tidak sah atau yang sudah diberhentikan
2) Periode ketidakaktifan
3) Aktivitas disusun berdasar pengguna, kelompok kerja, atau departemen
4) Waktu logon dan logoff
5) Usaha untuk logon yang gagal
6) Akses ke file atau aplikasi tertentu.
18
penting yang merupakan ciri dan membedakannya dari lingkungan mainframe dan klien-
server. Beberapa bagian yang paling penting dari fitur ini dicantumkan dibawah ini:
1) Sistem PC relatif sederhana untuk dioperasikan dan diprogram serta tidak
membutuhkan pelatihan profesional yang ekspresif.
2) Sistem ini sering kali dikendalikan dan dioperasikan oleh pengguna akhir, bukan oleh
administrator sistem.
3) PC menggunakan pemrosesan data yang interaktif, bukan pemrosesan batch.
4) PC biasanya menjalankan berbagai peranti lunak aplikasi komersial yang didesain
untuk meminimalkan usaha. Biasanya, data dimasukkan oleh pengguna akhir dan
dapat dimasukkan ke mainframe atau server jaringan untuk pemrosesan lebih lanjut..
5) Sistem mainframe dan klien-server bekerja dibelakang layar. PC mendownload data
dari mesin ini untuk pemrosesan lokal.
6) Pengguna dapat mengembangkan peranti lunaknya sendiri dan memelihara datanya
(di spreadsheet dan basis data).
19
lunak aplikasi untuk komputer DOS. Selanjutnya, Microsoft memodifikasi sistem
operasinya untuk mengakomodasi multitasking (yang memungkinkan lebih dari satu
pekerjaan dijalankan secara bersamaan oleh sebuah komputer), multipengguna (jaringan),
dan memori yang lebih besar, hingga sistem operasi yang baru tersebut masuk kedalam
keluarga lingkungan operasi Windows. Sistem operasi ini memanfaatkan kelebihan
berbagai chip mikroprosesor yang lebih baru dan lebih canggih, seperti Intel Pentium,
yang menangani lebih banak memori dan jauh lebih cepat daripada mikroprosesor yang
lama.
Sistem operasi komputer menentukan keluarga peranti lunak yang dapat
digunakan komputer. Peranti lunak aplikasi ditulis untuk sistem operasi tertentu.
Contohnya, pengguna mikrokomputer yang sesuai dengan IBM dengan sistem operasi
Windows harus memilih berbagai program dari peranti lunak yang tersedia dan yang
ditulis untuk sistem operasi tersebut dan, bahkan, mungkin versi mikrokomputer tersebut
(contohnya, kebanyakan aplikasi ditulis untuk Windows versi yang lebih awal [‟98 atau
sebelumnya] tidak akan dapat jalan diversi terbarunya). Pengguna mikrokomputer yang
kompatibel dengan IBM yang memiliki sistem operasi berbeda, seperti OS/2 atau Linux,
biasanya harus memilih peranti lunak yang berbeda.
Salah satu fungsi auditor yang paling penting saat ini, baik auditor internal
maupun eksternal, adalah pekerjaan untuk menilai risiko. Standar audit internal
mensyaratkan auditor untuk memulai rencana audit dengan melakukan penilaian risikc.
Audit keuangan selalu berkaitan dengan risiko, dan telah dibahas di Bab 1, namun
Sarbanes-Oxley membuatnya menjadi keharusan bagi auditor eksternal untuk melakukan
analisis menyeluruh atas risiko yang berkaitan dengan audit. PC memperkenalkan banyak
sekali risiko tambahan, atau risiko yang berbeda, yang tidak ada kaitannya dengan sistem
lama dan mainframe. Oleh karenanya, auditor harus menganalisis semua aspek PC untuk
memastikan berbagai risiko yang dihadapi oleh perusahaan karena adanya PC. Dalam
beberapa kondisi, risiko yang berkaitan dengan lingkungan PC dapat tetap merupakan
eksposur, karena tidak ada cara yang efektif dari segi biaya untuk mengatasinya.
2) Kelemahan Inheren
20
Kebalikan dari sistem mianframe, PC hanya menyediakan kcamanan minimal atas
file data dan program. Kelemahan pengendalian ini inheren dalam filosofi di belakang
desain sistem Operasi PC. Ditujukan terutama sebagai sistem berpengguna tunggal, PC
didesain untuk membuat komputer mudah digunakan dan untuk memfasilitasi akses,
bukan untuk membatasinya. Filosofi ini, walaupun perlu untuk mendorong komputasi
pengguna akhir (end-user computing), kadang bertentangan dengan tujuan pengendalian
internal. Data yang disimpan dalam mikrokomputer dan yang digunakan bersama oleh
beberapa pengguna akan terekspos ke akses yang tidak sah, manipulasi, dan perusakan.
Ketika seorang pelaku kejahatan komputer mendapatkan akses ke mikrokomputer
pengguna, maka akan ada sedikit atau tidak ada sama sekali cara untuk
mengendalikannya dari mencuri atau memanipulasi data yang disimpan dalam hard drive
internal.
Teknologi yang canggih dan kelebihan sistem PC yang modern sangat berbeda
dengan lingkungan operasional yang relatif tidak canggih tempat PC berada.
Pengendalian lingkungan ini sangat tergantung pada pengendalian fisik Bcherapa nsiko
yang lebih Signifikan dan teknik pengendalian yang memungkinkan, dijelaskan secara
gans besar dalam beberapa bagian berikut ini.
Peranti Iunak keamanan menyediakan prosedur logon yang tersedia untuk PC„
Akan tetapi, kebanyakan dari program ini hanya akan aktif ketika komputer diaktifkan
dari hard drive. Seorang pelaku keiahatan komputer yang mencoba nntuk memasuki
prosedur logon dapat melakukan hal tersebut dcngan memaksa komputer untuk
diaktifkan dari drive A:, atau drive CD-ROM, sementara sebuah sistem operasi yang
tidak terkendali dapat dimasukkan ke dalam memori kbmputer. Dengan memotong
sistem operasi yang tersimpan di dalam komputer dan peranti lunak keamanannya, pelaku
kejahatan tersebut memiliki akses tidak terbatas ke data dan program di hard disk drive.
Dalam lingkungan PC, terutama dalam pcrusahaan kecil, seorang karyawan dapat
memiliki akses ke beberapa aplikasi yang memproses berbagai transaksi vang tidak
saling bersesuaian. Contohnya, seorang karyawan mungkin bertanggung jawab untuk
memasukkan semua data cransaksi, termasuk pesanan penjualan, penerimaan kas, dan
pengeluaran. Biasanya, buku besar dan buku pembantu diperbarui secara otomatis dari
berbagai sumber inpUt ini. Tingkat Otoritas ini akan hampir sama saja, dalam sistem
manual, dengan memberikan tanggung jawab yang berkaitan dengan piutang usaha, utang
usaha, penerimaan kas, pengeluaran kas, dan buku besar kc satu orang yang sama.
Eksposur ini akan makin bertambah ketika operator juga bertanggung jawab untuk
21
mengembangkan (memprogram) aplikasi yang dijalankannya. Dalam Operasi perusahaan
kecil, mungkin hanya sedikit yang dapat dilakukan untuk meniadakan konflik pekerjaan
yang inheren ini. Akan tetapi, pengendalian kata sandi multitingkat dapat mengurangi
berbagai risiko ini.
Karena ukurannya, PC mudah dicuri. Hal yang sama tidak akan terjadi pada
mainframe dan minikomputer. Portabilitas laptop menempatkan laptop pada risiko yang
tertinggi. Harus ada prosedur untuk membuat pengguna bertanggung jawab atas PC.
Paling tidak, entitas terkait harus menyimpan daftar PC yang digunakan. Daftar tcrsebut
hams berisi nomor seri PC, lokasinya di perusahaan, clan pihak yang bertanggung jawab.
22
Dalam sistem komputer saat ini, data menjadi makin bernilai secara intrinsik. Jika
data hancur, ada biaya (nilai) tertentu yang timbul karena memulihkan data tersebut. Jadi,
ada yang menggunakan data sebagai alat yang strategis, hingga bagi entitas semacam ini,
data memiliki nilai tertinggi untuk skenarioskenario berikut ini. Olch karenanya, terdapat
risiko kehila..gan data akibat kegagalan sisrem, sabocase, backer/cracker, dan
sebagainya. Kehati-hatian harus diterapkan untuk melindungi data sebagai aset, seperti
juga yang auditor harus lakukan untuk aset berharga lainnya.
Risiko Pengguna Akhir. Risiko lain atas data adalah dari penggunanya sendiri.
Pengguna akhir yang terkoneksi ke sistem jaringan memiliki peluang untuk dengan
sengaja menghapus hard drive, merusak, atau menyabotase nilai data, mencuri data, dan
menimbulkan kerugian serius dalam data perusahaan di lingkungan PC. Jika ada
perhatian lebih untuk membatasi risiko ini melalui pengendalian seperti pelatihan dan
pembuatan kebijakan yang efektif mengenai penggunaan komputer, termasuk penalti
yang akan dikenakan untuk pencurian atau perusakan data.
Cadangan lokal di media yang tepat. Berbagai media dapat digunakan untuk membuat
cadangan file data di PC lokal. Media tersebut dapat meliputi disket floppy (walaupun
makin kurang praktis), CD-R/CD-RW (compart disc), DVD, dan disket Zip. File harus
dibuat cadangannya secara lokal dari PC ke media yang tepat sebagai bagian dari
kegiatan rutin. Disket data ini kemudian dapat disimpan jauh dari komputer. Jika terjadi
kegagalan mikrokomputer, file data dapat direkonstruksi dari disket cadangannya. Proses
23
ini membutuhkan usaha yang sadar dari pengguna. Kegagalan untuk membuat cadangan
data bahkan walaupun sekali saja, dapat mengakibatkan kehilangan data.
Hard drive internal ganda. Mikrokomputer dapat dikonfigurasikan untuk dua hard disk
internal fisik. Salah satu disket dapat digunakan untuk menyimpan data produksi
sementara lainnya menyimpan file cadangan. Sebuah program batch atau program peranti
lunak khusus yang dijalankan sebelumnya atau segera secelah tiap kali sesi pemrosesan
data, dapat menyalin berbagai file data ke alat salinan cadangan. Jadi, pembuatan
cadangan hampir transparan bagi pengguna dan tidak membutuhkan banyak usaha. Ini
adalah teknik yang berguna untuk membuat cadangan berbagai file berukuran besar yang
tidak dapat disimpan secara efektif di disket floppy. Jika salah satu hard drive internal
gagal, file data dapat ditarik dari hard drive yang tersisa.
Hard drive eksternal. Pilihan pembuatan cadangan yang terkenal adalah hard drive
eksternal dengan cartridge disket yang dapat dipindahkan dan yang dapat menyimpan
data dalam beberapa gigabyte per media. Peralatan media semacam itu meliputi CD,
DVD, dan disket Zip. Ketika sebuah alat disket telah diisi, pengguna dapat
memindahkannya dan memasukkan yang baru. Drive yang dapat dipindahkan
menawarkan kelebihan berupa kapasitas penyimpanan yang tidak terbatas, kemudahan
dibawa, dan keamanan fisik. Teknologi ini tidak secara material menurunkan kinerja
kornputer. Hard drive eksternal lebih baik daripada hard drive internal dalam hal
kecepatan aksesnya.
Hard drive eksternal dapat digunakan sebagai teknik pembuatan cadangan yang
efektif dan sederhana. Drive eksternal ganda dapat digunakan untuk menyimpan file
produksi dan cadangannya. Dengan menggunakan dua drive terpisah, pembuatan
cadangan dapat dilakukan secara otomatis sebelum, selama, atau setelah sesi pemrosesan
data. Oleh karenanya, pengguna tidak perlu secara fisik mengganti cartridge dan secara
sadar melakukan prosedur pembuatan cadangan hingga peluang terjadinya kesalahan
manusia dapat dikurangi. Selain itu, dengan kedua versi kedua data di dalam driue
eksternal, pengendalian akses akan lebih baik. Cadangan maupun file aslinya dapat
dipindahkan dan disimpan di b_eberapa lokasi terpisah jauh dari mikrokomputernya.
Salah satu ancaman yang paling serius bagi integritas PC dan ketersediaan sistem
adalah infeksi virus. Ketaatan yang mutlak dengan kebijakan dan prosedur perusahaan
yang menjaga dari infeksi virus adalah hal yang sangat pcnting untuk dapat secara efektif
mengendalikan virus. Auditor harus memveriflkasi bahwa kebijakan dan proseciur
semacam itu ada dan bahwa berbagai prosedur dan kebijakan tersebut dipatuhi. Akan
tetapi, kebijakan saja tidak akan mencegah pelaku penipuan yang keras kepala.
Perusahaan karenanya harus mencari berbagai pengendalian teknis tambahan dalam
24
bentuk peranti lunak antivirus. Auditor bisa mendapatkan bukti yang mendukung
mengenai kecukupan pengendalian virus dengan melakukan berbagai pengujian berikut
ini:
3. Auditor harus memvcrifikasi bahwa hanya peranti lunak yang sah saka yang
dimasukkan ke dalam PC. Langkah ini tidak hanya penting dalam kaitannya dengan
virus, tetapi juga penting karena risiko yang ditimbulkan peranti lunak bajakan.
Sejauh mungkin, para pengguna harus mendapatkan peranti lunak komersial dari
penjual yang bereputasi untuk aplikasi akuntansi di PC-nya. Banyak dari ratusan paket
25
peranti lunak di pasar adalah sistem akuntansi bertujuan umum. Lainnya adalah sistem
bertujuan khusus yang didesain untuk memcnuhi kebutuhan khusus dari industri tertentu.
Peranti lunak komersial yang dibeli dari vendor yang bereputasi biasanya teruji
seluruhnya dan sangat andal.
3. Mengevaluasi berbagai produk yang bersaing dalam hal kemampuan mereka untuk
memenuhi kebutuhan yang celah diidentifikasi. (Pada poin ini, sering kali akan lebih
bijak jika mencari bantuan konsultan ahli.)
4. Menghubungi para pengguna saat ini peranti lunak komersial yang akan digunakan
untuk mendapat berbagai pendapat mereka atas produk terkait.
5. Membuat pilihan. (Perusahaan harus ingat tingkat dukungan yang dibutuhkan dan
pastikan bahwa vendor bersedia serta mampu untuk menyediakan dukungan tersebut.
Tujuan Audit
Prosedur Audit
Auditor harus memverifikasi bahwa mikrokomputer serta file nya secara fisik
terkendali. Komputer desktop seharusnya buat permanen untuk mengurangi peluang
26
terjadinya pemindahan. Kunci harus ada untuk menutup kemungkinan mput dari
keyboard dan drive A.
Auditor harus memverifikasi dari struktur organisasi, deskripsi pekerjaan, dan
observasinya bahwa para programer aplikasi yang melakukan fungsi keuangan yang
signifikan tidak mengoperasikan pula berbagai sistem tersebut. Dalam unit
perusahaan yang lebih kecil di mana pemisahan fungsi akan menjadi tidak praktis,
auditor harus memverifikasi bahwa ada supervisi yang memadai atas berbagai
pekerjaan ini.
Auditor harus mengonfimasikan bahwa laporan transaksi yang diproses, daftar akun
yang diperbarui, dan total pengendali dibuat, disebarluaskan, dan direkonsiliasi oleh
pihak manajemen yang terkait secara reguler dan tepat waktu.
Jika dibutuhkan, auditor harus menentukan apakah pengendalian kata sandi
multitingkat digunakan untuk membatasi akses ke data dan aplikasi.
Jika digunakan hard drive yang dapat dipindahkan. auditor hams memveriiikasi
bahwa drive terkait dipindahkan dan disimpan dalam sebuah lokasi yang aman ketika
tidak digunakan.
Dengan memilih suatu sampel file cadangan, auditor dapat memverifikasi bahwa
prosedur pembuatan cadangan ditaati. Dengan membandingkan nilai data dan tanggal
di disket cadangan, untuk file produksi, auditor dapat menilai frekuensi dan
kecukupan prosedur pembuatan cadangan.
Auditor harus memverifikasi bahwa kode sumber aplikasi secara fisik aman (seperti
disimpan dalam lemari besi) dan bahwa hanya versi kompilasinya saja yang disimpan
di mikrokomputer.
Dengan mengkaji pengendalian pemilihan dan pengadaan sistem, auditor harus
memverifikasi bahwa pcranti lunak komersial yang digunakau dalam mikrokomputer
dibeli dari vendor yang bereputasi untuk memastikan bahwa kebutuhan pengguna
telah dipertimbangkan penuh dan bahwa peranti lunak yang dibcli memenuhi
kebutuhan tersebut.
Auditor harus mengkaii berbagai teknik pengendalian virus.
27
BAB III PENUTUP
3.1 Kesimpulan
Keamanan sistem operasi komputer dapat ditemukan dalam berbagai komponen
keamanan, berupa prosedur logon, access token, daftar pengendalian akses, dan
pengendalian akses mandiri. Berbagai ancaman dalam integritas sistem berasal dari tiga
sumber, yaitu personel dengan hak tertentu yang menyalahgunakan wewenangnya,
orang-orang yang menjelajahi sistem operasi untuk mengidentifikasi dan mengeksploitasi
kelemahan keamanan, dan orang yang mneyelipkan virus komputer ke dalam sistem
operasi.
3.2 Saran
Keseluruhan sistem operasi harus dapat dikendalikan dengan baik serta dapat
dikembangkan dan dipelihara dengan prosedur yang memadai. Hal ini dikarenakan
banyaknya ancaman terhadap integritas sistem operasi dan risiko yang mungkin terjadi.
Oleh karena itu dibutuhkan pengendalian dan prosedur audit operasi komputer yang
sesuai untuk mencapai tujuan audit.
28
DAFTAR PUSTAKA
Hall, James A dan Tommie Singleton. 2011. Information Technology Auditing and
Assurance. Jakarta: Salemba Empat.
29