4.

Computer Center Securty and Controls ( Keamanan dan Kontrol Pusat Komputer )
Kebakaran, banjir, angin, sabotase, gempa bumi, atau bahkan pemadaman listrik dapat
menghilangkan sebuah organisasi fasilitas pengolahan data dan menghentikan fungsi yang dilakukan
atau dibantu oleh komputer. Meskipun kemungkinan kejadian bencana semacam itu jauh,
konsekuensinya bagi organisasi bisa menjadi serius. Jika terjadi bencana, organisasi tidak hanya
kehilangan investasinya di fasilitas pengolahan data, namun yang lebih penting, juga kehilangan
kemampuannya untuk berbisnis. Tujuan dari bagian ini adalah untuk menyajikan kontrol pusat
komputer yang membantu menciptakan lingkungan yang aman. Kita akan mulai dengan melihat
kontrol yang dirancang untuk mencegah dan mendeteksi ancaman ke pusat komputer. Namun, tidak
peduli berapa banyak yang diinvestasikan dalam kendali, beberapa bencana tidak dapat diantisipasi
dan dicegah.
 KONTROL PUSAT KOMPUTER
Kelemahan dalam keamanan pusat komputer berpotensi berdampak pada fungsi pengendalian aplikasi
terkait dengan proses pelaporan keuangan. Oleh karena itu, lingkungan fisik ini merupakan masalah
kontrol untuk kepatuhan SOX. Berikut adalah beberapa fitur kontrol yang berkontribusi langsung
pada keamanan pusat komputer ;
A. Lokasi fisik
Lokasi fisik yang dipilih untuk pusat komputer dapat mempengaruhi risiko bencana. Sedapat
mungkin, pusat komputer harus berada jauh dari bahaya buatan manusia dan alam, seperti pabrik
pengolahan, sumber listrik gas dan air, bandara, daerah dengan tingkat kejahatan tinggi, dataran
banjir, dan kesalahan geologi.
B. Konstruksi
Idealnya, pusat komputer harus ditempatkan di gedung berlantai satu konstruksi padat dengan akses
terkontrol (dibahas pada bagian berikut). Utilitas (tenaga dan telepon) dan jalur komunikasi harus
berada di bawah tanah. Jendela bangunan tidak boleh dibuka. Sistem penyaringan udara harus berada
di tempat yang mampu menyingkirkan serbuk sari, debu, dan tungau debu.
C. Mengakses
Akses ke pusat komputer harus dibatasi oleh operator dan karyawan lain yang bekerja di sana.
Pemrogram dan analis yang kadang-kadang perlu memperbaiki kesalahan program harus diminta
masuk dan keluar. Pusat komputer harus menyimpan catatan akurat dari semua kejadian tersebut
untuk memverifikasi fungsi kontrol akses. Pintu masuk utama ke pusat komputer harus melalui satu
pintu saja, meski ada alarm darurat dengan alarm. Untuk mencapai tingkat keamanan yang lebih
tinggi, kamera sirkuit tertutup dan sistem perekaman video harus memantau akses.
D. Pemadam kebakaran
Ancaman yang paling umum terhadap peralatan komputer perusahaan adalah kebakaran. Setengah
dari perusahaan yang mengalami kebakaran gulung tikar karena kehilangan catatan kritis, seperti
piutang usaha. Penerapan sistem pemadaman kebakaran yang efektif memerlukan konsultasi dengan
spesialis. Beberapa fitur utama dari sistem seperti itu tercantum di bagian berikut.
1. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar instalasi. Alarm
ini harus dihubungkan ke stasiun pemadam kebakaran permanen.
2. Harus ada sistem pemadam kebakaran otomatis yang mengeluarkan jenis penekan (karbon
dioksida atau halon) yang sesuai untuk lokasi tersebut. Misalnya, penyemprotan air dan bahan
kimia tertentu di komputer bisa melakukan kerusakan sebanyak api.
3. Harus ada pemadam api manual yang ditempatkan di lokasi strategis.
 4. Bangunan itu harus konstruksi yang bagus untuk menahan kerusakan air yang
menyebabkan peralatan pemadam kebakaran.
5. Pintu keluar api harus ditandai dengan jelas dan diterangi saat terjadi kebakaran.
Toleransi Toleransi Toleransi
Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya saat bagian dari sistem
gagal karena kegagalan perangkat keras, kesalahan program aplikasi, atau kesalahan operator.
Menerapkan komponen sistem yang berlebihan dapat mencapai berbagai tingkat toleransi kesalahan.
Redundant disk dan power supplies adalah dua contoh umum.
Array redundant disk independen (RAID) melibatkan penggunaan disk paralel yang mengandung
elemen data dan aplikasi yang berlebihan. Jika satu disk gagal, data yang hilang secara otomatis
direkonstruksi dari komponen berlebihan yang tersimpan pada disk lainnya.
Uninterruptible power supplies membantu mencegah kehilangan data dan korupsi sistem. Jika terjadi
kegagalan pasokan listrik, daya cadangan jangka pendek disediakan agar sistem dapat ditutup dengan
cara yang terkendali. Menerapkan kontrol toleransi kesalahan memastikan bahwa tidak ada satu titik
kegagalan sistem potensial. Kegagalan total hanya bisa terjadi jika terjadi kegagalan beberapa
komponen.
Audit Objectives Relating to Computer Center Security
The auditor’s objective is to evaluate the controls governing computer center security. Specifically,
the auditor must verify that (1) physical security controls are adequate to reasonably protect the
organization from physical exposures; (2) insurance coverage on equipment is adequate to
compensate the organization for the destruction of, or damage to, its computer center; and (3) operator
documentation is adequate to deal with routine operations as well as system failures.
 Prosedur Audit untuk Menilai Kontrol Keamanan Fisik
Berikut ini adalah beberapa tes kontrol keamanan fisik.
1. UJI KONSTRUKSI FISIK. Auditor harus memperoleh rencana arsitektural untuk
menentukan bahwa pusat komputer kokoh terbuat dari bahan tahan api. Harus ada drainase
yang memadai di bawah lantai yang terangkat agar air mengalir jika terjadi kerusakan air dari
api di lantai atas atau dari sumber lain. Selain itu, auditor harus menilai lokasi fisik pusat
komputer. Fasilitas ini harus ditempatkan di area yang meminimalkan keterpaparannya
terhadap kebakaran, kerusuhan sipil, dan bahaya lainnya.
2. UJI SISTEM DETEKSI KEBAKARAN. Auditor harus menetapkan alat deteksi kebakaran
dan penindasan, baik manual maupun otomatis, ada di tempat dan diuji secara berkala. Sistem
deteksi kebakaran harus mendeteksi asap, panas, dan asap yang mudah terbakar. Buktinya
dapat diperoleh dengan meninjau catatan tes api resmi dari tes yang disimpan di pusat
komputer.
3. UJI PENGENDALIAN AKSES Auditor harus menetapkan bahwa akses rutin ke pusat
komputer dibatasi pada pegawai yang berwenang. Rincian tentang akses pengunjung (oleh
pemrogram dan lainnya), seperti waktu kedatangan dan keberangkatan, tujuan, dan frekuensi
akses, dapat diperoleh dengan meninjau log akses. Untuk menetapkan kebenaran dokumen
ini, auditor dapat secara diam-diam mengamati proses dimana akses diizinkan.
  Pengujian Toleransi Toleransi Toleransi
1. SERANGAN. Banyak konfigurasi RAID menyediakan pemetaan grafis dari penyimpanan
disk mereka yang berlebihan. Dari pemetaan ini, auditor harus menentukan apakah tingkat
RAID yang ada memadai untuk organisasi, mengingat tingkat risiko bisnis yang terkait
dengan kegagalan disk. Jika organisasi tidak menggunakan RAID, potensi satu titik kegagalan
sistem ada. Auditor harus meninjau ulang dengan prosedur alternatif administrator sistem
untuk pemulihan dari kegagalan disk.
2. Cadangan bahan bakar. Auditor harus melakukan verifikasi dari catatan uji bahwa personil
pusat komputer melakukan tes berkala terhadap catu daya cadangan untuk memastikan bahwa
ia memiliki kapasitas yang cukup untuk menjalankan komputer dan penyejuk udara. Tes
penting ini dan hasilnya harus dicatat secara formal.
 Prosedur Audit untuk Memeriksa Cakupan Asuransi
Auditor setiap tahun harus meninjau cakupan asuransi organisasi di perangkat keras komputer,
peralatan lunak, dan fasilitas fisiknya. Auditor harus memverifikasi bahwa semua akuisisi baru
tercantum pada polis dan peralatan dan perangkat usang telah dihapus. Polis asuransi harus
mencerminkan kebutuhan manajemen dalam hal cakupan. Misalnya, perusahaan mungkin ingin
diasuransikan sebagian dan memerlukan pertanggungan minimum. Di sisi lain, perusahaan dapat
mencari cakupan biaya penggantian yang lengkap.
 Prosedur Audit untuk Memeriksa Kecukupan Dokumentasi Operator
Operator komputer menggunakan dokumentasi yang disebut run manual untuk menjalankan
aspekaspek tertentu dari sistem. Secara khusus, sistem batch yang besar seringkali memerlukan
perhatian khusus dari operator. Sepanjang hari, operator komputer dapat melakukan puluhan program
komputer yang masing-masing memproses beberapa file dan menghasilkan banyak laporan. Untuk
mencapai operasi pengolahan data yang efektif, manual yang dijalankan harus cukup rinci untuk
memandu operator dalam tugas mereka. Auditor harus meninjau manual yang dijalankan untuk
kelengkapan dan akurasi. Isi khas dari run manual meliputi:
1. Nama sistem, seperti '' Purchases System ''
2. Jadwal lari (harian, mingguan, waktu dalam sehari)
3. Perangkat perangkat keras yang dibutuhkan (kaset, disk, printer, atau perangkat keras
khusus)
4. Persyaratan berkas menentukan semua file (input) transaksi, file induk, dan file
output yang digunakan dalam sistem
5. Instruksi run-time yang menjelaskan pesan kesalahan yang mungkin muncul,
tindakan yang akan diambil, dan nama dan nomor telepon pemrogram yang sedang
dihubungi, jika sistem gagal
6. Daftar pengguna yang menerima output dari pelarian Selain itu, auditor harus
memverifikasi bahwa dokumentasi sistem tertentu, seperti diagram alir sistem,
diagram alur logika, dan daftar kode program, bukan merupakan bagian dari
dokumentasi operator. Untuk alasan yang telah dibahas sebelumnya, operator
seharusnya tidak memiliki akses terhadap rincian operasional logika internal sistem.