PENDAHULUAN
Topik-topik yang akan diulas pada bab ini dibagi ke dalam beberapa kategori di
antaranya strukturisasi fungsi teknologi informasi (TI), pengendalian operasi pusat
komputer, sistem operasi komputer dan pengendalian keseluruhan sistem, serta
lingkungan komputer pribadi. Dalam bab ini juga akan disajikan gambaran umum
mengenai berbagai fitur sistem operasional multi-pengguna yang umum dalam jaringan
dan mainframe serta tujuan sistem operasional mendasar dan berbagai risikonya yang
mengancam keamanan sistem.
Setelah mempelajari makalah ini, pembaca diharapkan dapat mengetahui sejarah
dan perkembangan sistem operasi komputer, memahami jenis-jenis sistem operasi
komputer, serta mampu menggunakan atau mengaplikasikan penggunaan sistem operasi
komputer dalam kehidupan sehari-hari.
PEMBAHASAN
Tata kelola TI merupakan hal yang baru dari tata kelola perusahaan yang berfokus
pada manajemen penilaian sumber daya TI. Tujuan utama tata kelola TI adalah untuk
mengurangi risiko dan memastikan bahwa investasi dalam sumber daya TI dapat
menambah nilai bagi perusahaan.
Meskipun semua masalah tata kelola TI penting bagi organisasi, tidak semuanya
merupakan masalah pengendalian internal di bawah SOX yang berdampak pada proses
pelaporan keuangan. Dalam bab ini akan dipertimbangkan mengenai tiga hal masalah tata
kelola TI yaitu:
Sktrukturisasi fungsi TI
Operasi komputer pusat
Rencana pemulihan bencana
Pemrosesan Data
Bagian pemrosesan data mengelola sumber daya komputer yang digunakan untuk
melakukan pemrosesan harian berbagai transaksi. Bagian ini terdiri atas fungsi
organisasional seperti: pengendalian data, konversi data, operasi komputer, dan
perpustakaan data.
Pengendalian Data
Konversi Data
Bagian ini mentranskripsikan data transaksi dari dokumen sumber kertas ke dalam
input komputer.
Operasi Komputer
File elektronik yang dihasilkan kemudian diproses oleh komputer pusat, yang
dikelola oleh bagian operasi komputer.
Perpustakaan Data
Sebuah ruang yang berada di sebelah pusat komputer yang memberikan tempat
penyimpanan yang aman untuk berbagai file data off-line. Contohnya DVD, CD-ROM, pita,
atau alat penyimpanan lainnya.
Tren yang muncul dalam tahun-tahun terkahir menuju pada sistem real-time,
online, dan berakses langsung hingga mengurangi kebutuhan akan penyimpanan pita
secara berurutan. Jadi, perusahaan yang hanya menggunakan pita sedikit sering kali
menugaskan fungsi pustakawan data ke operator tertentu yang melakukan pekerjaan ini
berdasarkan permintaan sebagai tambahan dari fungsi operatornya. Para operator yang
ditugaskan fungsi pustakawan harus memahami peran penting pengendalian dalam
tanggung jawab yang sudah jelas sangat besar ini.
Potensi eksposur dapat digambarkan dalam tiga skenario berikut ini:
Tujuan Audit
MODEL TERDISTRIBUSI
Kelebihan DDP
a. Penurunan biaya
Pergeseran ke DDP dapat mengurangi biaya dalam dua hal, pertama data
dapat dimasukan dan diedit di area pengguna, hingga meniadakan pekerjaan
terpusat untuk pembuatan dan pengendalian data, kedua kerumitan aplikasi
dapat dikurangi yang akhirnya akan mengurangi biaya pengembangan serta
pemeliharaan.
b. Peningkatan Tanggung Jawab Pengendalian Biaya
Jika kemampuan TI sangat penting bagi keberhasilan suatu operasi bisnis,
maka pihak manajemen harus diberikan kendali atas berbagai sumber daya
ini.Pihak – pihak yang mendukung DDP berargumentasi bahwa keuntungan
dari perbaikan sikap pihak manajemen jauh lebih bernilai daripada biaya
tambahan yang timbul dari distribusi berbagai sumber daya ini.
c. Peningkatan Kepuasan Pengguna
Hasil ini berasal dari tiga area kebutuhan yang seringkali tidak terpenuhi dalam
pendekatan pusat yaitu sumber daya yang mempengaruhi profitabilitas
pengguna, kinginan adanya professional sistem dan pengguna ingin dilibatkan
secara aktif dalam pengembangan dan implementasi sistem mereka sendiri.
d. Fleksibilitas Cadangan
Kemampuan untuk membuat cadangan fasilitas computer agar terlindung dari
potensi bencana caranya denagn menyediakan fasilitas komputer kedua.
2. Tujuan Audit
Untuk memastikan bahwa struktur fungsi IT terpisah dari area yang tidak
kompatibel dengan tingkat risiko potensial.
Untuk memastikan bahwa terdapat hubungan yang benar dan sesuai.
PUSAT KOMPUTER
Tujuan dari bagian ini adalah menyajikan pengendalian pusat computer yang dapat
membantu menciptakan lingkungan yang aman. Berikut ini yaitu fitur pengendalian yang
secara langsung dapat berkontribusi pada keamanan lingkungan pusat computer
a. Pengendalian Pusat Komputer
Lokasi fisik
Lokasi ini secara langsung mempengaruhi berbagai resiko bencana dan
ketersediaan. Sebisa mungkin pusat computer harus jauh dari berbagai ahaya yang
ditimbulkan alam dan manusia seperti pabrik pemrosesan, pipa gas, air, bandara dan
wilayah yang tingkat kejahatannya tinggi, dataran yang banjir dan struktur geologi
yang tidak tepat.
Konstruksi
Idealnya, pusat computer harus ditempatkan di dalam bangunan berlantai satu
yang konstruksinya solid dengan akses terkendali. Utilitas dan saluran komunikasi
seharusnya ditanam dibawah tanah dan juga jendela bangunan tidak boleh terbuka
Akses
Akses pusat komputer harusnya dibatasi hanya untuk para operator dan
karyawanlainnya yang bekerja ditempat tersebut.pengendalian fisik dapat berupa
pintu terkunci yang dapat diakses hanya dengan keypad atau kartu gesek.
Pengatur suhu udara
Suhu udara computer berkisar dari 70 hingga 75 derajat Fahrenheit dengan
kelembapan relative 50%.
Pemadam kebakaran
Beberapa fitur utama dari system yang meliputI:
Alarm otomati dan manual
System pemadam kebakaran otomatis
Alat pemadam kebakaran manual
Konstruksi bangunan harus bagus
Pintu keluar darurat ditandai dengan jelas
Toleransi kesalahan
Susunan Redundant of Independent Disks (RAID) yaitu dengan menggunakan disk
paralel. Sumber Daya listrik yaitu diperlukan tenaga yang bersih dan memiliki daya
cadangan (daya tanpa gangguan)
Tujuan audit
Yaitu untuk mengevaluasi bebrgaia pengendalian yang mengatur keamanan pusat
computer. Auditor harus meverifikasi bahwa:
Pengendalian kemanan fisik memadai untuk secara wajar melindungi perusahaan
dari eksposur fisik
Jaminan perlengkapan telah memadai untuk meberikan kompnesasi pada
perusahaan jika terjadi kerusakan atau kehancuran
Dokumentasi operator memadai untuk menangani kegagalan system
Prosedur audit
Pengujian konstruksi fisik
Auditor harus menetapakan pakah psuat computer telah dibangun secara kuat dari
bahan yang sudah tahan api harus ada drainase di bawah lantai yang ditinggikan
untuk memungkinkan air mengalir keluar jika terjadi banjir.
Pengujian system deteksi kebakaran
Auditor harus meyakini bahwa alat pendeteki kebakaran ada, baik manual atau
otomatis serta diuji secara teratur
Pengujian pengendalian akses
Auditor harus meyakini bahwa akses rutin ke pusat computer terbatas hanya untuk
orang yang berhak.
Pengujian pasokan listrik cadangan
Harus dilakukan pengujian secara berkala untuk memastikan bahwa tempat
tersebut memiliki kapasitas yang cukup untuk menjalankan computer dan pengatur
suhu udara.
Pengujian RAID
Menentukan apakah level RAID memadai untuk organisasi, berikan level jika risiko
bisnis terkait dengan kegagalan disk. Jika tidak ada RAID, tinjau prosedur untuk
memulihkan dari kegagalan disk
Pengujian cakupan asuransi
Auditor setiap tahunnya harus mengkaji cakupan asuransi perusahaan atas peranti
keras, lunak dan fasilitas fisiknya. Pengadaan baru harsu didaftarkan dalam polis
asuransi dan perlengkapan serta peranti yang using harus diganti.
Prioritas ini dapat berubah setiap waktu, oleh karenanya keputusan ini harus dinilai
kembali secara terukur dan teratur. Begitu pula DRP yang harus diperbarui untuk
mencerminkan perkembangan baru dan mengidentifikasi berbagai aplikasi yang sangat
penting. Pekerjaan untuk mengidentifikasi hal yang sangat penting dan memprioritaskan
berbagai aplikasi akan membutuhkan keterlibatan aktif berbagai departemen pengguna,
akuntan, serta auditor. Pekerjaan ini merupakan keputusan bisnis dan seharusnya dibuat
oleh mereka yang paling memahami masalahnya.
Hot Site/Pusat Operasional Pemulihan. Karena banyak sekali investasi yang dilibatkan,
hot site biasanya digunakan bersama dengan beberapa perusahaan. Perusahaan-
perusahaan ini dapat membeli sebagian atau menjadi pelanggan hot site terkait dengan
membayar biaya bulanan atas hak penggunaannya. Hot site dapat dibuat sesuai
kebutuhan untuk melayani berbagai kebutuhan para anggotanya atau di desain untuk
mengakomodasi sejumlah besar sistem komputer. Keuntungan pilihan hot site apabila
dibandingkan dengan cold site adalah akan benar-benar mengurangi masa pemulihan
awal. Hot site memiliki berbagai fasilitas, perlengkapan, dan bahkan sistem operasi di
dalamnya. Lokasi ini bahkan dapat diatur agar sistem sistem siap dipakai sepanjang
waktu.
Cold Site/Ruang Kosong. Pendekatan ini melibatkan dua lokasi komputer, tetapi tanpa
adanya perlengkapan komputer serta periferal. Pendekatan ruang kosong ini memiliki dua
masalah besar. Pertama, pemulihan tergantung pada ketersediaan peranti keras komputer
yang dibutuhkan untuk memulihkan fungsi pemrosesan data secara tepat waktu. Pihak
manajemen harus mendapatkan jaminan dari vendor peranti keras bahwa para vendor
tersebut akan memberikan prioritas untuk memenuhi berbagai kebutuhan perusahaan jika
terjadi bencana. Masalah kedua adalah potensi adanya persaingan antara beberapa
pengguna atas sumber daya ruangan.
Cadangan yang Disediakan secara Internal. Perusahaan yang lebih besar cenderung
lebih suka mengandalkan diri sendiri dengan syarat adanya pembentukan kelebihan
kapasitas internal. Pilihan ini memungkinkan perusahaan mengembangkan konfigurasi
perangkat keras dan lunak, yang dapat memastikan kesesuaian fungsional antarpusat
pemrosesan datanya dan meminimalkan masalah perpindahan ketika terjadi bencana.
Cadangan Peranti Keras. Jika entitas terkait menggunakan metode cold site untuk
menyediakan lokasi cadangan, maka entitas tersebut harus mendapatkan suatu jaminan
bahwa perlengkapan dalam bantu peranti keras komputer akan siap tersedia ketika terjadi
kondisi darurat.
Cadangan Peranti Lunak: Sistem Operasi. Jika perusahaan menggunakan metode cold
site atau metode yang lainnya yang tidak meliputi sistem operasi yang kompatibel, maka
DRP harus mencakup prosedur untuk membuat salinan dari sistem operasi entitas terkait
yang siap diakses jika terjadi bencana.
Cadangan Peranti Lunak: Aplikasi. DRP harus memasukkan suatu prosedur untuk
menyediakan salinan aplikasi-aplikasi peranti lunak yang penting. Prosedur ini dapat
dicapai dengan menyediakan salinan yang cukup berbagai aplikasi yang sangat penting di
lokasi cadangan yang tepat.
File Data Cadangan. Basis data seharusnya disalin setiap hari ke media berkapasitas
dan berkecepatang tinggi, seperti CD/DVD dan lokasi aman yang berada di luar
perusahaan.
Tujuan Audit. Memverifikasi bahwa rencana pemulihan bencana cukup untuk memenuhi
kebutuhan perusahaan dan bahwa implementasinya dapat dilakukan.
Prosedur Audit. Memverifikasi bahwa DRP pihak manajemen adalah solusi untuk
menangani suatu bencana yang dapat meniadakan sumber daya komputer perusahaan.
Berbagai pengujian berikut ini memfokuskan diri pada area yang paling banyak
dikhawatirkan.
Daftar Aplikasi Penting. Hal ini dilakukan untuk memastikan bahwa daftar tersebut
lengkap. Aplikasi yang terlewat dapat menyebabkan kegagalan pemulihan. Begitupun
ketika memasukkan aplikasi yang tidak terlalu dibutuhkan dalam daftar aplikasi maka akan
memecah perhatian dari tujuan utama selama masa pemulihan.
Cadangan Data. Auditor harus memverifikasi bahwa salinan file data penting dibuat
cadangannya sesuai DRP.
Tim Pemulihan dari Bencana. DRP harus jelas memncantumkan nama, alamat,, dan
nomor telepon darurat para anggota tim pemulihan bencana. Auditor harus memverifikasi
anggota tim merupakan karyawan yang masih bekerja dan menyadari tanggung jawab
yang diberikan.
Risiko Pengalihdayaan IT
Prosedur logon yang formal adalah pertahanan garis depan sistem operasi dari akses
tidak sah, dimana pengguna akan disajikan sebuah kotak dialog yang meminta ID dan
kata sandinya.
Acces Token
Jika usaha logon berhasil, sistem operasi akan membuat acces token yang berisi
informasi utama pengguna, termasuk ID, kata sandi, kelompok pengguna, dan hak yang
diberikan kepada pengguna tersebut.
Akses ke berbagai sumber daya sistem seperti direktori, file, program dikendalikan oleh
daftar ini yang dibuat untuk setiap sumber daya. Daftar ini berisi informasi yang
menetapkan hak akses semua pengguna valid atas sumber daya yang terkait.
Dalam sistem terdistribusi, sumber daya dapat dikendalikan oleh pengguna akhi. Para
pemilik sumber daya dapat diberikan pengendalian akses mandiri yang memungkinkan
mereka memberikan hak akses ke pengguna lainnya. Contohnya kontroler, orang yang
merupakan pemilik file buku besar, memberikan hak baca saja kepada seorang manajer di
bagian penganggaran.
PENGENDALIAN PASSWORD
Password adalah kode rahasia yang dimasukkan oleh pemakai untuk dapat
mengakses sistem, aplikasi, file data, atau sebuah jaringan server. Apabila pemakai tidak
dapat memberikan password yang benar, sistem operasi akan menunda akses. Walaupun
password dapat memberikan keamanan, bila membebankan pada nonsecurityminded
pemakai, prosedur password dapat mengakibatkan kesulitan dalam akses sistem operasi
itu sendiri. Keadaan yang sering terjadi berkaitan dengan penggunaan password:
1. Password lupa dan sistem menjadi terkunci
2. Terlalu sering mengganti password dapat menjadi kelemahan
3. Setelah syndrome, dengan bantuan password sama dengan menulis dan menunjukkan
untuk dilihat
4. Password dapat dengan mudah mengantisipasi kejahatan dengan menggunakan
komputer.
Reusable Password
Metode yang paling banyak digunakan untuk pengawasan password adalah
reusable password. Pemakai menetapkan password sekali kepada sistem dan kemudian
digunakan kembali untuk mendapat akses di masa datang. Sistem operasi yang sering
digunakan hanya mengatur standar utama untuk menerima password. Kualitas dari
keamanan ditetapkan oleh reusable password tergantung pada kualitas password itu
sendiri. Alternatif penggunaan reusable password adalah one-time password.
One Time Password
Pemakai on-time password hanya memasukkan password sekali. Salah satu
teknologi yang menggunakan one time password adalah smart card.
Password Policy
Eksekutif manajemen dan manajemen information sistem sebaiknya memikirkan
kebijakan password yang efektif berdasar pada resiko dan pengawasan. Kebijakan dimulai
dengan komunikasi yakni manajemen harus yakin semua pekerja dan pemakai
mengetahui tentang kebijakan password. Panjang password harus ditentukan,
Audit Objectives
Memastikan bahwa organisasi memiliki kebijakan password yang memadai dan
efektif untuk pengaturan akses ke sistem operasi.
Audit Procedures
Memeriksa apakah semua pemakai telah memiliki password
Memeriksa apakah pemakai baru telah diajarkan cara penggunaan password dan
pentingnya pengaturan password.
Menentukan prosedur-prosedur yang ditempatkan untuk mengidentifikais kelemahan
passwords
Menilai kecukupan standar password seperti lamanya dan waktu berakhirnya
Mereview kebijakan dan prosedur akun lokout.
Virus
Virus komputer merupakan program komputer yang dapat menggandakan atau
menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam
program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis
yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus
komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat
pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat
secara langsung merusak perangkat keras komputer dengan cara memuat program yang
memaksa over process ke perangkat tertentu misalnya VGA, Memory bahkan Procesor.
Efek negatif virus komputer terutama adalah perbanyakan dirinya sendiri, yang membuat
sumber daya pada komputer (seperti CPU Time, penggunaan memori) menjadi berkurang
secara signifikan. Serangan virus dapat dicegah atau ditanggulangi dengan menggunakan
perangkat lunak antivirus. Jenis perangkat lunak ini dapat juga mendeteksi dan
menghapus virus komputer, asalkan basis data virus komputer yang dimiliki oleh
perangkat lunak antivirus telah mengandung kode untuk menghapus virus tersebut.
Contoh virus antara lain Worm, Trojan, dll. Contoh antivirus yang bisa diandalkan dan
menangkal virus adalah KasperSky, AVG, AntiVir, PCMAV, Norton, Norman, dan McAfee.
Worm
Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk
sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan
menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Sebuah worm
dapat menggandakan dirinya dalam sebuah sistem komputer sehingga dapat
menyebabkan sistem tersebut mengalami crash sehingga mengharuskan server harus di-
restart. Beberapa worm juga menghabiskan bandwidth yang tersedia. Worm merupakan
evolusi dari virus komputer.
Virus komputer memang dapat menginfeksi berkas-berkas dalam sebuah sistem
komputer, tapi worm dapat melakukannya dengan lebih baik. Selain dapat menyebar
dalam sebuah sistem, worm juga dapat menyebar ke banyak sistem melalui jaringan yang
terhubung dengan sistem yang terinfeksi. Beberapa worm, juga dapat mencakup kode-
kode virus yang dapat merusak berkas, mencuri dokumen, e-mail, atau melakukan hal
lainnya yang merusak, atau hanya menjadikan sistem terinfeksi tidak berguna.
Beberapa contoh dari worm adalah sebagai berikut:
ADMw0rm: Worm yang dapat melakukan ekspolitasi terhadap layanan jaringan
Berkeley Internet Name Domain (BIND), dengan melakukan buffer-overflow.
Code Red: Worm yang dapat melakukan eksploitasi terhadap layanan Internet
Information Services (IIS) versi 4 dan versi 5, dengan melakukan serangan
buffer-overflow.
LoveLetter: Worm yang menyebar dengan cara mengirimkan dirinya melalui e-
mail kepada semua akun yang terdaftar dalam Address Book Microsoft Outlook
Express/daftar kontak dalam Microsoft Outlook dengan cara menggunakan kode
Visual Basic Script (VBScript).
Nimda
SQL-Slammer
LOGIC BOMB
Salah satu program jahat yang ditempelkan pada program komputer agar
memeriksa suatu kumpulan kondisi di sistem. Ketika kondisi-kondisi yang dimaksud
ditemui, logic bomb mengeksekusi suatu fungsi yang menghasilkan aksi-aksi tak
diotorisasi. Logic bomb menempel pada suatu program resmi yang diset meledak ketika
kondisi-kondisi tertentu dipenuhi. Contoh kondisi-kondisi untuk memicu logic bomb adalah
ada atau tidak adanya file tertentu, hari tertentu dari minggu atau tanggal, atau pemakai
menjalankan aplikasi tertentu. Begitu terpicu, bomb mengubah atau menghapus data atau
seluruh file, menyebabkan mesin berhenti, atau mengerjakan perusakan lain.
BACKDOOR/TRAP DOOR
Trapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu
dengan menjalankan ID pemakai tertentu atau barisan tertentu. Trapdoor menjadi
ancaman ketika digunakan pemrogram jahat untuk memperoleh pengaksesan tak
diotorisasi.
TROJAN HORSE
Trojan Horse adalah sebuah program komputer yang dibalik fungsinya/kegunaan
yang terlihat juga memiliki fungsi tambahan tersembunyi (sengaja disembunyikan oleh
pembuatnya) yang akan mengeksploitasi komputer yang menggunakannya serta secara
signifikan akan menurunkan tingkat keamanan komputer. Program trojan horse digunakan
untuk melakukan fungsi-fungsi secara tidak langsung dimana pemakai tak diotorisasi tidak
dapat melakukannya secara langsung. Contoh untuk dapat mengakses file-file pemakai
lain pada sistem dipakai bersama, pemakai dapat menciptakan program trojan horse.
Trojan horse ini ketika program dieksekusi akan mengubah ijin-ijin file sehingga file dapat
dibaca oleh sembarang pemakai. Program trojan horse yang sulit dideteksi adalah
kompilator yang dimodifikasi sehingga menyisipkan kode tambahan ke program-program
tertentu ketika dikompilasi, seperti program login. Kode menciptakan Trapdoor pada
program login yang mengijinkan pencipta log ke sistem menggunakan password khusus.
Trojan horse ini tak pernah dapat ditemukan jika hanya membaca program sumber.
Motifasi dari trojan horse adalah penghancuran data. Program muncul sebagai melakukan
fungsi-fungsi berguna, seperti kalkulator, tapi juga secara diam-diam menghapus file-file
pemakai. Trojan horse biasa ditempelkan pada program-program atau rutin-rutin yang
diambil dari BBS, internet, dan sebagainya.
Spoofing
Pemalsuan IP Address untuk menyerang sebuah server di internet, kegiatan ini
biasanya dilakukan oleh para hacker/cracker.
Spamming
Spamming adalah pengiriman mail yang mungkin tidak diinginkan/tidak disukai
penerima email. Posting yang sering mengakibatkan SPAMMING, misalnya: berita
warning virus, media buyer, multi level marketing, surat berantai, surat yang tidak berarti
(junk mail), bomb mail (mengirim email sama berulang-ulang) dan hoax email (email
bohong, dari sumber yang tidak jelas). Tujuan dari Spamming merupakan kegiatan "nakal"
lainnya di Internet seperti hacking, cracking, carding.
Chain Letters
Surat berantai, yaitu surat yang dikirimkan kepada seseorang untuk dikirim lagi ke
penerima yang lain. Surat berantai sebagian besar berisi berita-berita yang tidak dapat
dipertanggungjawabkan isinya. Cara penyebarannya surat berantai dalam surat berantai
biasanya menawarkan ganjaran uang atau keberuntungan yang akan kita terima jika kita
meneruskan email tersebut kepada orang kita kenal. Mereka menakuti kita dengan
ancaman “bad luck” dan konsekuensi yang akan kita terima kalau kita tidak meneruskan
surat tersebut.
Urban Legends
Contoh dari urban legends adalah percakapan antara kapten kapal dengan kapal
lain yang ia kira berada dalam jalur tabrakan. Masing-masing meperdebatkan siapa yang
harus keluar dari jalur. Akhirnya orang kedua menginformasikan kepada kapten kapal
bahwa dia bukanlah kapten kapal melainkan penjaga mercusuar.Pada umumnya cerita ini
menarik, dan baris terakhir pada pesan menganjurkan penerima untuk mengirim pesan
tersebut kepada teman-temannya.
Hoax Virus Warning
Pada dasarnya hoax memiliki kesamaan dengan chain letters perbedaannya
dalam hoax tidak memberikan ganjaran uang atau keberuntungan yang akan diterima bila
mengirimkan pesan kepada orang yang dikenalnya. Trik dari hoax virus warning adalah
memberikan peringatan tentang konsekuensi yang serius akibat virus, dan pada akhir
pesan membuat seruan untuk memberitahukan semua teman sebelum mereka terinfeksi.
Dengan membuat pernyataan tersebut penulis mempunyai tujuan untuk mengedarkan
pesannya ke seluruh dunia.
Flamming
Kelakuan manusia dalam internet tidak dapat dibatasi untuk melakukan interaksi.
Karena itu, kebanyakan melakukan atau menulis sesuatu yang tidak mereka lakukan di
depan umum. Flamming adalah pesan yang dibuat penulis untuk menyerang partisipan
lain dengan sangat kasar dan sering menyangkut hubungan perorangan. Flamming juga
memasukkan kata-kata yang menghina orang lain atau suatu organisasi. Resiko dari
flaming lebih serius karena undang-undang federal mengatur mengenai pokok persoalan
seperti pelecehan seksual. Pengawasan akan memasukkan pendidikan dan kebijakan
melarang flaming dengan konsekuensinya.
Audit Objective
Memeriksa efektifitas kebijakan manajemen dan prosedur untuk mencegah pengenalan
dan penyebaran tujuan untuk merusak.
Prosedur Audit
Wawancara personel operasi apakah pernah dididik mengenai virus dan praktik
penggunaan komputer yang beresiko memasukkan dan menyebarkan virus dan
program perusak lainnya.
Mengkaji prosedur operasional
Memverifikasi administrator sistem rutin memindai terminal kerja, server file, dan
server e-mail untuk mendeteksi virus; Peranti lunak baru di uji di terminal yang
terpisah sebelum diterapkan di server host; Peranti lunak antivirus diperbarui
secara teratur dan di unduh ke tiap terminal kerja.
d. Mengendalikan Jejak Audit Elektronik
Jejak audit adalah daftar untuk mencatat berbagai aktivitas dalam tingkatan sistem,
aplikasi, dan pengguna.Jejak audit membantu mewujudkan tujuan kebijakan
keamanan. Jejak audit terdiri atas 2 jenis data audit: (1) daftar terperinci mengenai
tiap ketikan dan (2) daftar yang berorientasi pada peristiwa.
Pengawasan Ketikan
Pengawasan ketikan melibatkan pencatatan ketikan pengguna dan respons
sistem. Daftar tersebut digunakan sebagai bukti untuk merekonstruksi perincian
sebuah peristiwa atau pengendali real-time untuk memonitor atau mencegah
pelanggaran tidak sah.
Pengawasan Peristiwa
Meringkas aktivitas utama yang berkaitan dengan pengguna, aplikasi, dan sumber
daya sistem. Biasanya mencatat ID yang mengakses sistem; waktu dan durasi
penggunaan; program yang dijalankan; file, basis data, printer, dan sumber daya lain
yang diakses.
Tujuan Jejak Audit
Digunakan untuk mendukung tujuan keamanan melalui 3 cara:
1. Mendeteksi akses tidak sah ke sistem
Dapat terjadi secara real-time atau setelah kejadian. Tujuan deteksi secara real-
time adalah melindungi sistem dari pihak luar yang mencoba menembus
pengendalian sistem dan untuk melaporkan perubahan kinerja sistem yang
mengindikasikan adanya virus atau worm.
2. Rekonstruksi peristiwa
Pengetahuan mengenai kondisi yang ada pada waktu terjadinya kegagalan sistem
digunakan untuk membagi tanggungjawab dan menghindari situasi yang sama di
masa yang akan datang.
3. Meningkatkan akuntabilitas personal
Jejak audit digunakan untuk memonitor aktivitas pengguna pada tingkat perincian
yang terendah dan sebagai pengendali deteksi untuk membebankan akutabilitas
personal atas berbagi tindakan yang dilakukan dan yang melanggar kebijakan
keamanan.
Mengimplementasikan Jejak Audit
Informasi dalam daftar audit berguna untuk mengukur potensi kerusakan dan
kerugian finansial terkait kesalahan aplikasi, penyalahgunaan wewenang, serta akses
tidak sah oleh pelanggar tidak sah dari luar, dan juga menyediakan bukti yang
berharga untuk menilai kecukupan penegndalian yang ada dan kebutuhan
pengendalian tambahan. Manfaat dan daftar audit harus dipertimbangkan bersama
dengan biaya implementasinya.
Tujuan Audit
Untuk mencegah dan mendeteksi penyalahgunaan, rekonstruksi peristiwa penting
yang mengawali kegagalan sistem dan merencanakan alokasi sumber daya.
Prosedur Audit
Mengkaji daftar audit di layar atau melalui arsip file untuk kajian selanjutnya.
Auditor dapat menggunakan alat ekstraksi data bertujuan umum seperti ACL
untuk menilai file daftar yang diarsip untuk mencari keberadaan kondisi yang
ditetapkan, seperti:
Pengguna yang tidak sah atau yang sudah dihentikan
Periode ketidakaktifan
Aktivitas disusun berdasarkan pengguna, kelompok kerja, atau departemen
Waktu logon atau logoff
Usaha untuk logon yang gagal
Akses ke file atau aplikasi tertentu
Tujuan Audit
Prosedur Audit
Pemrosesan data terpusat yaitu semua pemrosesan data yang dilakukan oleh satu
atau lebih komputer besar yang diletakkan di sebuah lokasi terpusat yang melayani
berbagai pengguna di seluruh perusahaan. Sedangkan saat ini perkembangan sistem
yang lebih kecil, canggih, dan murah telah mengubah secara drastis, yang disebut dengan
konsep pemrosesan data terdistribusi. Sistem operasi memungkinkan para pengguna dan
aplikasinya berbagi serta mengakses berbagai sumber daya komputer bersama, seperti
prosesor, memori utama, basis data, dan printer. Integritas sistem operasi berdampak
pada semua program yang dijalankan di sistem terkait. Jika integrasi sistem operasi turun,
pengendalian dalam tiap aplikasi akuntansi mungkin saja telah dinetralkan.
Hall, James A. 2011. Information Technology Auditing and Assurance 3rd Edition. South-
Western Cengage Learning, USA: PreMediaGlobal.
Hall, James A; dan Tommie Singleton. 2007. Audit Teknologi Informasi dan Assurance
Edisi 2 Buku 1. Jakarta Selatan: Salemba Empat.