LECTURE NOTES

ISYS6508
Information System Audit Fundamental

Week ke - 06

Auditing Operating Systems and

Networks

ISYS6334 - Information Systems Audit Fundamental

 LEARNING OUTCOMES

LO2. Memahami kontrol, tindakan pencegahan dan audit sistem informasi secara
keseluruhan diterapkan.

LO3. Mampu menerapkan pengetahuan untuk memastikan kerahasiaan, integritas, dan

ketersediaan sistem informasi.

LO4. Mampu menerapkan pengetahuan untuk melakukan audit sistem informasi di bidang
sistem operasi, pengembangan sistem atau database

OUTLINE MATERI :

1. Sistem Operasi Audit

a. Tujuan Sistem Operasi

b. Keamanan Sistem Operasi

c. Ancaman terhadap Integritas Sistem Operasi

d. Kontrol Sistem Operasi dan Tes Audit

2. Jaringan Audit

a. Risiko Intranet

b. Risiko Internet

c. Mengendalikan Jaringan

ISYS6334 - Information Systems Audit Fundamental

 ISI MATERI

Sistem operasi adalah program kontrol komputer yang memungkinkan pengguna dan aplikasi
untuk berbagi dan mengakses sumber daya komputer umum, seperti prosesor, memori utama,
database, dan printer. Jika integritas sistem operasi dikompromikan, kontrol dalam individu
aplikasi akuntansi juga dapat dielakkan atau dinetralisasi. Karena operasinya sistem umum
untuk semua pengguna, semakin besar fasilitas komputer, semakin besar skalanya kerusakan
potensial. Dengan demikian, dengan komunitas pengguna yang terus berkembang berbagi
lebih banyak dan lebih banyak sumber daya komputer, keamanan sistem operasi menjadi hal
yang penting.

Tujuan Sistem Operasi

Sistem operasi melakukan tiga tugas utama.
1. Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC, dan SQL, ke
dalam bahasa tingkat mesin yang komputer dapat mengeksekusi. Modul penerjemah
bahasa dari sistem operasi disebut kompiler dan interpreter.

2. Sistem operasi mengalokasikan sumber daya komputer untuk pengguna, workgroup,

dan aplikasi. Ini termasuk menetapkan ruang kerja memori (partisi) ke aplikasi dan
memberi otorisasi akses ke terminal, tautan telekomunikasi, basis data, dan printer.

3. Sistem operasi mengelola tugas penjadwalan pekerjaan dan multiprogramming. Pada

titik tertentu, banyak aplikasi pengguna (pekerjaan) mencari akses ke komputer
sumber daya di bawah kendali sistem operasi. Pekerjaan diproses ke sistem dalam tiga
cara: (1) secara langsung oleh operator sistem, (2) dari berbagai antrian batch-job, dan
(3) melalui hubungan telekomunikasi dari workstation jarak jauh. Untuk mencapai
efisien dan penggunaan yang efektif dari sumber daya komputer yang terbatas, sistem
operasi harus menjadwalkan pemrosesan pekerjaan sesuai dengan prioritas yang
ditetapkan.

Untuk melakukan tugas-tugas ini secara konsisten dan andal, sistem operasi harus
mencapainya lima tujuan pengendalian mendasar:

ISYS6334 - Information Systems Audit Fundamental

 1. Sistem operasi harus melindungi dirinya dari pengguna. Aplikasi pengguna tidak
boleh mampu mengendalikan, atau merusak dengan cara apa pun, sistem operasi,
sehingga menyebabkannya untuk berhenti menjalankan atau menghancurkan data.

2. Sistem operasi harus melindungi pengguna dari satu sama lain. Satu pengguna tidak
boleh dapat mengakses, menghancurkan, atau merusak data atau program dari
pengguna lain.

3. Sistem operasi harus melindungi pengguna dari dirinya sendiri. Aplikasi pengguna
dapat terdiri dari beberapa modul yang disimpan di lokasi memori terpisah, masing-
masing dengan miliknya sendiri data.

4. Sistem operasi harus dilindungi dari dirinya sendiri. Sistem operasinya juga terdiri
dari modul individu. Tidak ada modul yang boleh dibiarkan rusak atau rusak modul
lain.

5. Sistem operasi harus dilindungi dari lingkungannya. Dalam hal terjadi kegagalan daya
atau bencana lainnya, sistem operasi harus dapat mencapai kontrol penghentian
kegiatan yang nantinya dapat dipulihkan.

Keamanan Sistem Operasi

Keamanan sistem operasi melibatkan kebijakan, prosedur, dan kontrol yang menentukan
siapa dapat mengakses sistem operasi, sumber daya mana (file, program, printer) yang dapat
mereka gunakan, dan tindakan apa yang bisa mereka ambil. Komponen keamanan berikut ini
ditemukan dengan aman sistem operasi: prosedur log-on, token akses, daftar kontrol akses,
dan diskresioner akses hak istimewa.

Prosedur Masuk
Prosedur log-on formal adalah garis pertahanan sistem operasi pertama terhadap yang tidak
sah mengakses. Ketika pengguna memulai proses, dia disajikan dengan dialog kotak meminta
ID dan kata sandi pengguna. Sistem membandingkan ID dan kata sandi ke database pengguna
yang valid.

ISYS6334 - Information Systems Audit Fundamental

Token Akses
Jika upaya log-on berhasil, sistem operasi membuat token akses yang berisi informasi utama
tentang pengguna, termasuk ID pengguna, kata sandi, grup pengguna, dan hak istimewa
diberikan kepada pengguna. Informasi di token akses digunakan untuk menyetujui semua
tindakan yang dilakukan pengguna selama sesi.

Daftar Kontrol Akses

Daftar kontrol akses ditugaskan untuk setiap sumber daya TI (direktori komputer, file data,
program, atau printer), yang mengontrol akses ke sumber daya. Daftar ini mengandung
informasi yang menentukan hak akses untuk semua pengguna yang sah dari sumber daya.
Ketika seorang pengguna mencoba untuk mengakses sumber daya.

Hak Akses Diskresioner

Administrator sistem pusat biasanya menentukan siapa yang diberi akses ke spesifik sumber
daya dan mempertahankan daftar kontrol akses. Namun dalam sistem terdistribusi, akhirnya
pengguna dapat mengontrol sumber daya (sendiri). Pemilik sumber daya dalam pengaturan
ini dapat diberikan diskresioner akses hak istimewa, yang memungkinkan mereka untuk
memberikan hak akses ke pengguna lain.

Ancaman terhadap Integritas Sistem Operasi

Tujuan pengendalian sistem operasi tidak dapat dicapai karena kekurangan dalam operasi
sistem yang dieksploitasi secara tidak sengaja atau sengaja. Ancaman yang tidak disengaja
termasuk kegagalan perangkat keras yang menyebabkan sistem operasi macet. Kesalahan
dalam aplikasi pengguna program, yang tidak dapat diinterpretasikan oleh sistem operasi,
juga menyebabkan kegagalan sistem operasi. Kegagalan sistem yang tidak disengaja dapat
menyebabkan seluruh segmen memori untuk dibuang disk dan printer, menghasilkan
pengungkapan informasi rahasia yang tidak disengaja.

Ancaman yang disengaja terhadap sistem operasi yang paling sering mencoba untuk
mengakses secara ilegal data atau melanggar privasi pengguna untuk keuntungan finansial.
Eksposur ini berasal dari tiga sumber:

1. Personil istimewa (user administrator) yang menyalahgunakan otoritas mereka.

Sistem administrator dan sistem programmer membutuhkan akses tak terbatas ke

ISYS6334 - Information Systems Audit Fundamental

 sistem operasi untuk melakukan pemeliharaan dan pulih dari kegagalan sistem.
Orang-orang semacam itu dapat menggunakan otoritas ini untuk mengakses program
dan file data pengguna.

2. Individu, baik internal maupun eksternal organisasi, yang menelusuri operasi sistem
untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan.

3. Individu yang dengan sengaja (atau secara tidak sengaja) memasukkan virus
komputer atau lainnya bentuk-bentuk program yang merusak ke dalam sistem operasi.

Kontrol Sistem Operasi dan Pengujian Audit

Jika integritas sistem operasi dikompromikan, kontrol dalam aplikasi yang mempengaruhi
pelaporan keuangan juga dapat dikompromikan.

Mengontrol Hak Akses

Hak akses pengguna diberikan kepada individu dan kepada seluruh grup kerja yang
berwenang gunakan sistem. Hak istimewa menentukan direktori, file, aplikasi, dan sumber
daya lainnya seorang individu atau kelompok dapat mengakses. Manajemen harus
memastikan bahwa individu tidak diberikan hak yang tidak sesuai dengan

Tujuan Audit yang Berkaitan dengan Hak Akses

Tujuan auditor adalah untuk memverifikasi bahwa hak akses diberikan dengan cara yang
benar konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan
sesuai dengan kebijakan organisasi.

Prosedur Audit Berkaitan dengan Hak Akses

Untuk mencapai tujuan mereka, auditor dapat melakukan tes kontrol berikut:

 Tinjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan
pastikan bahwa mereka mempromosikan keamanan yang masuk akal.

 Tinjau hak istimewa dari pilihan kelompok pengguna dan individu untuk menentukan
apakah mereka hak akses sesuai untuk deskripsi dan posisi pekerjaan mereka.

 Tinjau catatan personil untuk menentukan apakah karyawan istimewa menjalani

pemeriksaan izin keamanan yang cukup intensif sesuai dengan kebijakan perusahaan.

ISYS6334 - Information Systems Audit Fundamental

  Tinjau catatan karyawan untuk menentukan apakah pengguna telah diakui secara
resmi tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.

 Tinjau waktu log-on pengguna yang diizinkan. Izin harus sepadan dengan tugas yang
dilakukan.

Prosedur Audit Berkaitan dengan Kata Sandi

 Verifikasi bahwa semua pengguna harus memiliki kata sandi.
 Verifikasi bahwa pengguna baru diinstruksikan dalam penggunaan kata sandi dan
pentingnya kontrol kata sandi.
 Tinjau prosedur kontrol kata sandi untuk memastikan bahwa kata sandi diubah secara
teratur.
 Tinjau file kata sandi untuk menentukan bahwa kata sandi yang lemah diidentifikasi
dan dianulir.
 Pastikan file kata sandi dienkripsi dan kunci enkripsinya benar diamankan.
 Menilai kecukupan standar kata sandi seperti panjang dan interval kedaluwarsa.
 Tinjau kebijakan dan prosedur lockout akun. Sebagian besar sistem operasi
memungkinkan administrator sistem untuk menentukan tindakan yang akan diambil
setelah sejumlah kegagalan tertentu upaya log-on. Auditor harus menentukan berapa
banyak upaya log-on yang gagal diizinkan sebelum akun terkunci.

Resiko Internet
 Spoofing IP. Spoofing IP adalah bentuk menyamar untuk mendapatkan akses yang
tidak sah ke server Web dan / atau untuk melakukan tindakan yang melanggar hukum
tanpa mengungkapkan identitas seseorang
 Serangan penolakan layanan (Dos) adalah serangan pada server Web untuk
mengganggu servis atau pelayanan terhadap pengguna yang sah.
 Pelaku menyerang smurf menggunakan program untuk membuat pesan ping berisi
alamat IP yang dipalsukan dari komputer korban (spoofing IP), bukan dari komputer
yang yang sebenarnya. Pesan ping kemudian dikirim ke broadband, yang sebenarnya
merupakan seluruh jaringan komputer. Dengan mengirimkan ping ke alamat
penyiaran jaringan IP, memastikan bahwa setiap node di jaringan menerima gema

ISYS6334 - Information Systems Audit Fundamental

 minta secara otomatis. Setiap node node mengirim respons gema ke pesan ping, yang
dibuang ke alamat IP korban, bukan dari komputer sumber. Gema banjir yang dapat
membanjiri komputer korban dan menyebabkan gangguan jaringan kemacetan.
 Serangan distributed denial of service (DDos) merupakan bentuk serangan SYN
banjir atau smurf yang menggunakan kumpulan computer korban yang sudah
terinfeksi atau diambil alih oleh pelaku.

Mengontrol Jaringan
Pada bagian berikutnya, berbagai teknik kontrol yang digunakan untuk mengurangi risiko
yang diuraikan di bagian sebelumnya termasuk firewall, inspeksi paket yang mendalam,
enkripsi, dan pesan teknik kontrol. Organisasi yang terhubung ke Internet atau jaringan
publik lainnya sering menerapkan firewall elektronik untuk melindungi intranet mereka dari
penyusup luar. Firewall adalah sebuah system yang memberlakukan kontrol akses antara dua
jaringan. Sebagai tindakan pertahanan terhadap serangan DDos, banyak organisasi telah
berinvestasi dalam intrusion prevention systems (IPS) yang menggunakan deep packet
inspection (DPI) untuk menentukan ketika sebuah serangan sedang berlangsung. DPI
menggunakan berbagai analitik dan teknik statistik untuk mengevaluasi isi paket pesan

ISYS6334 - Information Systems Audit Fundamental

 KESIMPULAN

Ancaman utama untuk sistem operasi adalah akses yang tidak sah, penyisipan virus yang
disengaja atau tidak disengaja, dan hilangnya data karena malfungsi sistem. Beberapa kontrol
prosedur dan teknik dalam pemeriksaan agar sistem operasi dapat berfungsi dengan
sebagaimana mestinya harus senantiasa diperhatikan.

Perkembangan internet dan intranet yang semakin cepat juga menimbulkan resiko resiko
yang harus di perhatikan dengan baik agar keamanan dan integritas data yang terdapat di
dalamnya dapat senantiasa dijaga dan dipertanggung jawabkan. Hal ini juga menjadi penting
dalam memastikan layanan yang dilakukan dapat senantiasa tersedia.

ISYS6334 - Information Systems Audit Fundamental

 DAFTAR PUSTAKA

1. Information Technology Auditing and Assurance, Chapter 3

ISYS6334 - Information Systems Audit Fundamental