1. Mampu mengidentifikasi ancaman utama terhdap system operasi dan control teknik yang
digunakan untuk meminimalkan kemungkinan paparan yang sebenarnya.
2. Akrab dengan resiko utama yang terkait dengan perdagangan yang dilakukan melalui
internet serta memahami teknik control yang digunakan.
3. Terbiasa dengan resiko yang terkait dengan system komputerisasi pribadi
4. Kenali ekspour unik yang muncul sehubung dengan pertukaran data elektronik ( EDI )
dan paham bagaimana ekspour ini dapat dikurangi
f. iewi
2. Operating System Security
Berikut ini komponen dari keamanan system operasi adalah ;
a. Log on procedure. Garis pertahanan pertama melawan akses yang tidak terdeteksi atau
diotorisasi.
b. Access Token. Jika log on berhasil maka system operasi akan membuat token yang
berisi informasi kunci tentang pengguna yang digunakan untuk membuktikan semua
tindakan yang dicoba oleh pengguna selama sesi berlangsung.
c. Access control list. Ditugaskan untuk setiap sumber daya IT dan digunakan untuk
mengontrol akses ke sumber.
d. Discretionary access privileges. Mengizinkan pengguna untuk memperbolehkan akses
kepada pengguna lain
e. iuheh
3. Threats to Operating System Integrity
Ancaman kegagal/kecelakaan mencakup perangkat keras yang gagal dan aplikasi pengguna
eror. Sedangkan kegagalan yang disengajasering diupayakan untuk mengakses data secara illegal
atau merusak privasi untuk keuntungan secara financial. Dan ancaman yang berkembang adalah
program yang merusak tanpa keuntungan nyata yang bisanya berasal dari tiga sumber yaitu ;
a. Personil istemewa yang menyalhkan wewenang mereka. Administrator dan programmer
memilki kebebasan untuk mengakses program hal ini sering disalhgunakan oleh mereka.
b. Individu yang berasal baik dari dalam ataupun dari luar perusahaan berusahaan untuk
mengidentifikasi atau mengekploitasi kelemahan dari keamanan suatu system
c. Orang yang dengan sengaja (tidak sengaja) memasukkan virus ataupun merusak program
dalam system operasi
d. isyfi
4. Operating System Control
a. Control Access Privileges
Akses Istimewa – Objek Audit
Memverifikasi bahwa hak akses diberikan dengan cara konsisten dengan kebutuhan
untuk memisahkan fungsi yang tidak kompitabel dan sesuai dengan kebijakan organisasi
Akses Istimewa - Prosedur Audit
Tinjau kebijakan untuk memisahkan fungsi yang tidak kompitebel
Tinjau sebuah sampel dari hak isntimewa, terkhusus mengakses data dan
program
Tinjauan catatan para karyawan untuk melihat apakah mereka telah menjaga
kerahasiaan data perusahaan
Tinjau catatan personel untuk menentukan apakah karywan yang berhak
menjalankan pemeriksaan izin keamanan intensif yang memadai sesuai dengan
kebijakan perusahaan
Tinjau waktu log – on yang diizinkan pengguna
uyyr
b. Password Control
Sebuah password adalah kode masuk pengguna untuk dapat mengakses program atau data.
Kebiasaan – kebiasaan umum yang dilakukan antara lain ;
Lupa password atau gagal untuk mengubah password
Menyimpan password dilayar display
Password yang mudah yang kemudian dapat dengan mudah untuk digunakan
oleh tindak kejahatan
Kebanyakan password dapat digunakan kembali, manajemen harus mengubah dan melarang
password yang dinilai lemah. Dan on – time password adalah otomatisasi yang dihasilkan terus
– menerus oleh system saat pengguna memasukkan pin.
AUDITING NETWORK
1. Intranet Risk
a. Intercepting network messages. Melacak penangkapan dari ID pengguna, password,
email yang kurang meyakinkan, dan dokumen – dokumen data keuangan
b. Accessing corporate database. Menghubungkan kepada pusat database tentang
peningkatan resiko yang dapat diakses oleh pegawai
c. Pegawai dengan hak istimewa.
Mengesampingkan izin akses critical data yang tidak terautorisasi
Organisasi enggan untk menuntut
Kelalaian pekerjaan memerlukan atasan untuk memeriksa latar belakang
pegawai. Pengadilan menanggapi aduan atasan untuk tindak kejahatan pegawai
yang dapat dicegah dengan memeriksa latar belakang.
hfq
2. Internet Risk
a. IP Spoofing
menyamar untuk dapat mengakses sebuah server web dan/atau untuk tindakan melawan hokum
tanpa mengungkapkan siapa. DOS Attack adalah serangan untuk server web agar tidak dapat
menjalankan layanan pengguna.
Terutama hancur pada entitas bisnis yang tidak dapat menerima dan memproses
transaksi bisnis.
Motivasi boleh untuk menghukum perusahaan untuk sebuah keluhan atau boleh
melkaukan untuk keuntungan financial.
gyuu
b. Denial of service Attack
Topologi jaringan kerja adalah subjek – subjek untuk resiko – resiko kegagalan alat yang
dapat disebabkan oleh corrupt atau kerusakan. Ada 3 jenis umum dari DOS Attacks ;
SYN Flood. Ketika pihak ketiga membutuhkan kecukupan kesempatan
hubungan internet, informasi akhir tidak dikirim oleh DOS Attack, dengan
demikian mengikat server penerimaan sambil menunggu.
Smurf. DOS menggunakan banyak sekali computer menengah untuk arus target
computer dengan pesang “pings” karena kemacetan jaringan kerja.
Distributed Denial of Services. Memperbolehkan mengambil bentuk dari Smurf
SYN attacks tetapi dibedakan oleh nomor dari computer yang dibajak untuk
meluncurkan perlawanan.
bsfdig
3. Controlling Risks From Subversive Threats
a. Firewall
Mencegah akses yang tidak terautorisasi atau jaringan kerja yang bersifat privat.
Untuk menyelesaikan ini ;
Semua lalu lintas antara jaringan luar dan hubungan didalam perusahaan harus
lulus melalui firewall
Hanya lalu lintas resmi antara organisasi dan luar, sebagai keamanan formal,
kebijakan penentu, diizinkan melewati firewall.
Firewall harus kebal terhadap penetrasi baik dari dalam maupun dari luar
perusahaan
Tingkat jaringan firewall menyediakan control keamanan yang rendah. Tipe firewall
terdiri dari router penyaringan yang memeriksa sumber dan tujuan alamat yang dilampirkan ke
paket pesan masuk. Firewall menerima atau menolak mengakases permintaan berdasarkan aturan
penyaringan yang elah deprogram kedalamnya. Firewall mengarahkan panggilan masuk ke
simpul penerimaan internal yang benar. Tingkat jaringan firewall tidak aman karena mereka
dirancang untuk memfasilitasi arus informai yang bebas daripada membatasi. Metode ini tidak
secara eksplisit mengontetikasi pengguna luar.
Tingkat aplikasi firewall menyediakan tingkat keamanan jaringan yang lebih tinggi,
tetapi mereka menambahkan overhead kepada kenektivitas. System ini dikonfigurasi untuk
menjalankan aplikasi keamanan yang disebut proxy yang mengizinkan layanan rutin seperti
email untuk melewati internet firewall tetapi dapat melakukan fungsi – fungsi canggih seperti
otentikasi pengguna untuk spesifik tugas. Firewall tingkat aplikasi juga menyediakan pencatatan
dan transmisi yang komprehensif alat audit untuk melaporkan aktivitas yang tidak sah.
c. Encryption
Enkripsi adalah konversi data menjadi kode rahasia untuk penyimpanan dalam database dan
tranmisi melalui jaringan. Pengirim menggunakan alogaritma enkripsi untuk mengkonversi
pesan asli ( cleartext ) menjadi kode yang setara ( ciphertext ). Pada penerima kahir ciphertext
dikodekan kembali menjadi cleartext. Meode enkripsi paling awal disebut cipher Caesar
dikatakan telah biasa mengirim pesan berkode ke jendralnya dilapangan.seperti zaman modern
enkripsi memiliki dua komponen mendasar ; kunci dan alogaritma.
Kunci adalah nilai matematika yang dipilih pengirim.
Alogaritma dsalah prosedur menggeser setiap huruf dalam pesan teks, jumlah
posisi yang menunjukan nilai
Dua metode umum dalam enkripsi yaitu ;
Private key encryption , advance enkripsi standar adalah enkripsi 128 – bit
teknik yang telah menjadi standar pemerintah AS untuk enkripsi kunci privat.
AES menggunakan satu kunci yang diketahu oleh pengirim dan penerima pesan.
Public Key Encryption menggunakan dua kunci berbedan ; satu untuk
menyadikan pesan dan yang lain untuk mengkode pesan. Setiap penerima
memiliki kunci pribadi yang diismpan secara rahasia dan kunci public yang
diterbitkan.
hsdifaai
d. Digital Signature And Certifite
Tanda tangan digital adalah otentikasi elektronik yang tidak dapat dipalsukan. Memastikan
pesan atau dokumen yang dikirim pengirim tidak rusak setelah tanda tangan diterapkan
b. Audit procedure
Prosedur pemeriksaan terkait dengan kegagalan peralatan untuk mencapai tujuan control ini,
auditor dapat memilih sampel pesan dari log transaksi dan memeriksanyauntuk konten kacau
yang disebabkan oleh derau baris. Auditor harus memverifikasi bahwa semua pesan yang rusak
berhasil dikirim ulang.
AUDITING ELECTRONIC DATA INTERCHANGE ( EDI )
EDI adalah pertukaran antar perusahaaan dari informasi bisnis yang dapat diproses
dengan computer dalam format standar.
Kunci keberhasilan EDI adalah penggunaan format standar untuk pengiriman pesan antar
system yang berbeda. Berikut ini adalah manfaat dari EDI yaitu ;
a. Penguncian data. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk entri
data
b. Pengurangan kesalahan. Perusahaan yang menggunakan EDI melihat pengurangan
kesalahan penguncian data, kesalahan interpretasi dan klarifikasi manusia, dan kesalahan
pengarsipan (kehilangan dokumen)
c. Pengurangan kertas. Penggunaan amplop dan dokumen elektronik secara drastic
mengurangi bentuk kertas dalam system
d. Ongkos kirim. Dokumen yang dikirim diganti dengan tranmisi data yang jauh lebih
murah
e. Prosedur otomatis. EDI mengotomatiskan kegiatan manual yang terkait dengan
pembelian, pemrosesan pesanan penjualan, pengeluaran uang tunai, dan penerimaan uang
tunai.
f. Pengurangan inventaris. Dengan memesan langsung sesuai kebutuhan dari vendor, EDI
mengurangi jeda waktu yang mempromosikan akumulasi persediaan
Menggunakan transfer dana elektronik ( EFT ) untuk pembayaran tunai dan pemrosesan
penerimaan kas lebih rumit daripada menggunakn EDI untuk kegiatan pembelian dan penjualan.
Pelanggan dan pemasok harus memastikan bahwa transaksi yang sedang diproses ke (atau
dari) mitra dagang yang valid dan disahkan. Ini bias dicapai pada tiga poin dalam proses ;
a. Beberapa VAN memiliki kemmapuan untuk memvalidasi kata sandi dan kode ID
pengguna untuk vendor dengan mencocokkan ini dengan file pelanggan yang valid. VAN
menolak transaksi mitra dagang tidak resmi sebelum mencapai system vendor
b. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID mitra dagang dan
kata sandi terhadap file validasi dalam basisdata perusahaan
c. Sebelum diproses, perangkat lunak aplikasi mitra dagang merefrensikan pelanggan dan
file vendor yang valid untuk memvalidasi transaksi.
Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan audit tradisional
melacak dan membatasi kemampuan akuntan untuk memverifikasi validitas, kelengkapan,
waktu, dan akurasi transaksi.
d. Risk Of Threat
Karena ukurannya, PC adalah objek pencurian dan portabilitas laptop menempatkannya
dengan resiko tertinggi.
Oleh ;
S1 AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS SUMATERA UTARA
MEDAN
2019