1

Security Part I: Auditing Operating Systems and Network

Tugas Mata Kuliah

Auditing EDP

Oleh Kelompok 9 :
1. Diaz Lucky Firmansyah 180810301036
2. Brilyan Wahyu Gemilang 180810301241
3. Hamzah Dwi Maqfiroh 180810301247

Program Studi Akuntansi

Fakultas Ekonomi Dan Bisnis
Universitas Jember
2021
 2

BAB 1. PENDAHULUAN

1.1 Latar Belakang

Dalam era globalisasi modern saat ini, tentu nya kita tidak pernah terlepas dari
penggunaan teknologi dan juga informasi. Namun dari banyaknya manfaat teknlogi, terdapat
beberapa hal negatif seperti serangan terhadap sistem komputer. Hal ini tentu merugikan
banyak pihak, maka diperlukannya suatu keamanan sistem operasi dalam komputer.
Sistem operasi atau operating system adalah sebuah penghubung antara pengguna
atau user dengan komputer atau perangkat keras. Sistem operasi ini sangat berguna bagi
auditor dalam menjalankan tugasnya dalam mengaudit. Dengan adanya sistem operasi ini,
auditor dimudahkan dalam melaksanakan tugasnya dalam mengaudit sebuah perusahaan.
Sistem operasi atau operating system mempunyai keamanan yaitu berupa kebijakan,
prosedur, dan kendali terhadap siapa yang dapat mengakses data tersebut. Namun dibalik
kecanggihan yang ditawarkan oleh operating system ini, ada sebuah ancaman yaitu
penyalahgunaan wewenang terhadap data yang ada, seperti contohnya memasukkan virus
ke dalam komputer sehingga data tersebut bisa hilang kapan saja.
Seorang auditor sebelum menggunakan program yang sudah ada, ada baiknya
melakukan tes terhadap operating system tersebut dengan cara melakukan controlling
access previleges, memberikan password, serta melakukan pengendalian terhadap program
yang berbahaya dan merusak. Sehingga diharapkan dengan melakukan tes tersebut dapat
mencegah terjadinya ancaman terhadap program yang akan atau sedang digunakan oleh
auditor.

1.2 Rumusan Masalah

Adapun rumusan masalah yaitu sebagai berikut:
1. Apa pengertian dan tujuan dari sistem operasi atau operating system?
2. Bagaimana keamanan dan ancaman bagi auditor dalam penggunaan operating
system?
3. Apa saja risiko yang akan dihadapi auditor jika menggunakan komputer?
 3

BAB 2. PEMBAHASAN

2.1 Operating System

Operating system adalah program kontrol pada komputer, yang mengedalikan
“users” dan aplikasi dalam berbagi dan mengakses sumber daya komputer umum, seperti
processors, main memory, database, dan printer.
Adapun tujuan Operating System:
1. Menerjemahkan bahasa pemrograman tingkat tinggi kedalam bahasa yang dapat
dieksekusi komputer. Modul yang melakukan ini disebut compilers dan interpreters.
2. Mengalokasikan sumber daya kepada users, workgroups, dan aplikasi.
3. tugas penjadwalan pekerjaan dan multiprograming, sesuai prioritas dan kebutuhan
akan resource yang tersedia.
2.2.1 Syarat kendali fundamental OS:
Operating system mampu melindungi diri dari users, berupa kendali, hal-hal yang
merusakk OS, yang menyebabkan OS berhenti bekerja atau menyebabkan kerusakan data.
a. Melindungi users terhadap users lainnya, sehingga tidak dapat saling mengakses,
menghancurkan, atau merusak data atau program.
b. Melindungi users terhadap dirinya sendiri, misalnya module atau aplikasi yang saling
merusak.
c. Melindungi diri sendiri dari OS itu sendiri, seperti modul-modul individual yang
mungkin dapat saling merusak.
d. Dilindungi dari lingkungan, seperti hilangnya sumber tenaga maupun bencana
lainnya, termasuk bentuk perlindungan setelah kejadian dimana OS dapat pulih
kembali.

2.2 Keamanan Operating System

Adapun keamanan dari sistem operasi yaitu berupa kebijakan, prosedur, dan kendali
yang menetukan siapa saja yang dapat mengakses OS, resource (file, program, printer, dll)
yang dapat mereka gunakan, dan tindakan apa yang dapat dilakukan.
Komponen Keamanan dari operating sytem adalah:
1. Prosedur Log-On
2. Access Token
3. Access Control List
4. Discretionary Access Privileges
 4

2.3 Ancaman Terhadap Operating System

Berikut ini adalah beberapa ancaman terhadap operating system, yaitu:
a. Penyalahgunaan wewenang akses.
b. Individu (eksternal maupun eksternal) yang memanfaatkan kelemahan keamanan
c. Individu yang baik sengaja maupun tidak, memasukkan virus atau program merusak
lainnya kedalam OS
Audit Tests terhadap Operating System:
1. Controlling Access Previleges: Auditor harus memverifikasi bahwa pemberian
access previleges sesuai dengan kebutuhan akan pemisahan fungsi dan kebijakan
organisasi.
2. Password Control: Memastikan bahwa password terlindungi dengan baik. baik
dari kelalaian pengguna (lupa, Post-it syndrome, password yang sederhana) maupun
model sekurity password. Password yang dapat digunakan kembali (Reuseable
password) haruslah sulit ditebak serta bentuk kesalahan user dalam memasukkan
password harus dikelola dengan baik, misalnya tidak memberitahukan user
kesalahan password yang dibuat, apakah ID atau passwordnya. Selain itu, batasan
kesalahan log-on juga harus diatur. Password sekali pakai (One-Time Password)
lebih terlindungi karena walaupun dapat diretas, password tidak dapat digunakan
kembali setelah melewati waktu tertentu. Keamanannya juga berlapis karena masih
terdapat PIN.
3. Pengendalian terhadap program yang berbahaya dan merusak: pengendalian ini
dapat berupa keamanan yang tangguh maupun prosedur administrasi yang baik.
Beberapa bentuk audit terhadap pengendalian ini adalah: mengetahui tingkat
pemahaman personel terhadap virus dan sejenisnya serta cara penyebarannya;
memastikan bahwa software yang digunakan telah diuji sebelumnya dalam sistem
yang terpisah serta diperoleh dari sumber yang dipercaya; memastikan bahwa
antivirus / sekuriti yang digunakan adalah versi terbaru dan update

2.4. Kendali Atas Jejak Audit Sistem

Catatan atas aktivias sistem, aplikasi, dan pengguna.
1. Keystroke Monitoring (keystroke: tombol pada keyboard)
2. Event Monitoring

2.5 Tujuan Jejak Audit

 5

Tujuan dari jejak audit diantaranya:

1. Mendeteksi Akses yang tidak sah.
2. Merekonstruksi kejadian.
3. Menjaga akuntabilitas pengguna.
Tujuan audit terhadap jejak audit adalah memastikan bahwa jejak audit cukup
memadai untuk mencegah atau mendeteksi penyalahgunaan, merekonstruksi kejadian, dan
merencanakan alokasi sumber daya. Beberapa hal yang harus dilakukan adalah dengan
menguji apakah log (jejak audit) ini dapat diakses oleh user yang tidak sah, apakah catatan
dibuat secara berkala, apakah catatan merepresentasi aktivitas secara lengkap.

2.7 Mengaudit Jaringan

Internet atau Jaringan Lokal (LAN) Risk:
1. Sniffing yaitu mencegat arus informasi.
2. Akses ilegal ke Database.
3. Penyalahgunaan Prefileged Access
Dalam melakukan audit sebuah perusahaan, sering dilakukan pembobolan sistem namun
perusahaan tidak mengusut kasus tersebut dengan alasan alasan menjaga nama baik.
Internet Risk:
a. IP Spoofing
Penyamaran atau meniru IP atau identitas komputer user untuk memperoleh akses
atau melakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya). Umumnya
dilakukan dengan menyamar sebagai komputer yang ditelah dikenal oleh korban.
b. Serangan yang mematikan layanan (Denial of Service Attack “DOS”)
c. SYN Flood Attack
Memanfaatkan Paket SYNchronize-ACKnowledge (SYN-ACK), penyerang memulai
koneksi kepada server, kemudian dibalas dengan SYN. Penyerang sebagai receiving
server tidak akan membalas dengan ACK sehingga server organisasi menjadi sibuk
dengan paket yang tidak dapat ditindaklanjuti dan tidak dapat memproses paket yang
lain (dari pelanggan atau client sebenarnya). Firewall dapat saja memblokir alamat
yang melakukan Flood Attack, tetapi apabila dikombinasikan dengan IP spoofing,
maka akan menjadi lebih sulit karena penyerang akan terus dianggap sebagai alamat
yang berbeda.
d. Smurf Attack
Melibatkan Perperator (sebagai penyerang), intermediary, dan victim. Ping (sejenis
sonar dalam jaringan untuk menguji koneksi) dikirimkan oleh perperator (yang
menyamar (IP Spoofing) sebagai victim) kepada intermediary. Intermediary yang
 6

jumlahnya banyak dan berada pada subnetwork dari victim, mengirimkan kembali
pantulan ping kepada victim. Hal ini membebani lalu lintas data victim dan dapat
membuatnya tidak dapat digunakan sebagaimana seharusnya.
e. Distributed Denial of Service (DDos)
Perperator menciptakan bot atau zombie dalam komputer yang terhubung pada
jaringan internet (dalam modul, kasusnya adalah IRC). Komputer-komputer yang telah
ditanamkan zombie (disebut botnet) dikendalikan oleh perpetaor dengan zombie
control program untuk melakukan serangan yang dapat berupa SYN Flood atau smurf
attack. Karena jumlahnya berkali lipat, serangan ini lebih berbahaya. Alasan
Melakukan Dos Attack adalah menghukum organisasi atau sekedar pamer
kemampuan. Namun, alasan keuangan juga bisa menjadi penyebab, dengan
melakukan serangan dan kemudian meminta bayaran untuk menarik serangan
tersebut.
 7

Risiko Kegagalan Peralatan: selain risiko diatas, Data juga berisiko untuk terganggu,
rusak, atau hancur akibat terganggunya sistem komunikasi antara senders dan
receivers. Kerusakan peralatan juga dapat menyebabkan hilangnya database dan
program yang tersimpan di server jaringan.
Mengendalikan risiko dari gangguan (subversive threats):
1. Firewalls
Firewalls adalah system yang menerapkan control akses antara dua
jaringan. Untuk melakukan ini dibutuhkan hal-hal berikut :
 Semua lalu lintas antara jaringan luar dan intranet organisasi harus
melewati firewall
 Hanya mengizinkan lalu lintas antar organisasi dan luar karena
kebijakan keamanan formal khusus yang diizinkan melewati firewall
 Firewall harus kebal terhadap ancaman baik dari luar maupun dalam
organisasi
2. Mengontrol Denial of Service Attacks (DOS)
 Smurf Attack dapat dilakukan dengan mengabaikan paket dari situs
penyerang segera setalah alamatnya diidentifikasi
 SYN Flood
1. Firewall akan menolak semua paket yang berasal dari alamat yang
tidak diidentifikasi
2. Software keamanan yang mampu mendeteksi pesan yang tidak diikuti
paket ACK dan segera mengembalikan koneksi yang tidak terbatas.
 DDos
Intrusion Prevention System (IPS) yang menjalankan deep packet
inspection (DPI) dan mengevaluasi keseluruhan isi dari paket pesan.
Berbeda dengan inspeksi normal dengan menginspeksi keseluruhan isi
 8

lebih dalam, DPI mampu mengidentifikasi dan mengklasifikasi paket

jahat untuk kemudian ditahan dan diarahkan ke tim kemanan.
3. Enkripsi, mengkonversi data menjadi kode rahasia baik dalam
penyimpanan maupun transmisi. Diantaranya, yaitu:
a) Private Key Encription vs Public Key Encryption, Sender
membutuhkan Public Key receiver untuk meng-encoding dan mengirim
pesan, sedangkan Private Key receiver digunakan untuk mengdecoding
pesan agar dapat terbaca.
b) Tanda Tangan Digital (Digital Signature), otentifikasi elektronik yang
tidak dapat ditiru.
c) Sertifikat Digital (Digital Certificate), memverifikasi identitas pengirim.
Digital Certificate dikeluarkan oleh certification authority (CA). Digital
Certificate dikirimkan kepada receiver dan dienskrip dengan CA public
key untuk memperoleh sender publick key.
d) Penomoran Urutan Pesan (Message Sequence Numbering), untuk
menanggulangi pesan yang dihapus, diubah urutannya, atau diduplikasi
oleh penggangu, maka nomor urut ditanamkan pada tiap2 pesan.
e) Log Transaksi Pesan (Message Transaction Log), setiap pesan
masuk dan keluar, serta upaya akses terhadap pesan dicatat dalam log
transaksi pesan. Log tersebut mencatat user ID, waktu akses, dan asal
atau nomor telepon dimana akses berasal.
f) Teknik Permintaan Respon (Request Response Technique), pesan
kendali dari sender dan respon dari penerima dikirim secara periodik,
interval yang tersinkronisasi. Pewaktuan pesan bersifat random
sehingga sulit diperdaya.
g) Call-Back Device, otentifikasi sebelum koneksi terjadi, dimana sistem
akan memutus dan membalas permintaan koneksi dengan
menghubungi caller melalui koneksi baru.
4. Tujuan Audit yang berhubungan dengan Subversive Threats,
diantaranya:
a. Menjamin keamanan dan keabsahan transaksi financial dengan
menentukan apakah network kontrol.
b. Mendeteksi dan mencegah akses ilegal baik dari dalam maupun dari
luar.
c. Setiap data yang berhasil dicuri menjadi tidak berguna.
d. Secara layak menjamin integritas dan keamanan fisik dari data yang
terkoneksi ke jaringan.
 9

5. Beberapa contoh upaya audit terhadap Subversive Threads

a. Menilai kemampuan firewall.
b. Menguji kemampuan IPS dengan DPI.
c. Mereview kebijakan administratif penggunaan data encription key.
d. Mereview log transaksi pesan, apakah semua pesan sampai tujuan.
e. Menguji call back feature.

6. Mengendalikan Risiko dari Kegagalan Peralatan:

 10

a. Line Errors, rusaknya data (bit structure) kerena gangguan dari

saluran komunikasi.
b. Echo Check, receiver mengembalikan pesan kepada sender untuk
dibandingkan.
c. Parity Check, penambahan ekstra bit dalam pesan. Jumlah parity bit
(1 maupun 0) haruslah sama dari saat dikirim dengan saat diterima.
Hanya saja, terkadang, gangguan dapat mengubah bit secara
simultan, sehingga error tidak terdeteksi. Antara Vertical Parity Bit
dan Horizontal Parity Bit, Horizontal cenderung lebih dapat
diandalkan.

2.8 ELECTRONIC DATA INTERCHANGE (EDI)

EDI supplier dan customer sebagai trading partner membentuk perjanjian dimana:
pertukaran informasi yang dapat diproses dengan computer antar perusahaan dalam format
standar. Dalam EDI, transaksi diproses secara otomatis, bahkan dalam EDI murni,
keterlibatan manusai dalam otoriasi transaksi ditiadakan. Bentuk EDI (Figure 3.9) dan EDI
yang menggunakan Value-Added Network (Figure 3.10)

Salah satu format EDI yang digunakan di Amerika adalah American National Standards
Institute (ANSI) X.12 Format. Sedangkan standar yang digunakan secara internasional
adalah EDI for Administration, Commerce, and Transport (EDIFACT) format.
 11

Keuntungan EDI:
1. Data Keying: mengurangi kebutuhan entri data.
2. Error Reduction: mengurangi kesalahan interpretasi dan klasifikasi manusia, dan
kehilangan dokumen.
3. Pengurangan kertas.
4. Mengurangi biaya pengiriman dokumen.
5. Otomatisasi Prosedur.
6. Pengurangan persedian

Financial EDI: menggunakan Electronic Funds Transfer (EFT) lebih kompleks daripada EDI
pada pembelian dan penjualan. Bentuknya adalah sebagai berikut (Figure 3.13)
 12

EDI pembeli menerima tagihan pemebelian dan secara otomatis menyetujui pembayaran.
Pada tanggal pembayaran, sistem pembeli secara otomatis membuat EFT kepada bank
sumber (OBK). OBK mentransfer dana dari rekening pembeli kepada Bank Penampungan
(ACH). ACH kemudian mentransfer dana tersebut kepada RBK, yaitu rekening penjual.
Masalah dapat muncul karena cek transfer dana biasanya untuk pembayaran beberapa
tagihan, atau hanya sebagian, perbedaan persetujuan harga, kerusakan barang, atau
pengiriman yang belum diselesaikan. Permasalahan ini biasanya diselesaikan dengan
pesan melekat.
EDI Control:
1. VAN dibekali dengan proses validasi ID dan password yang memachingkan antara
vendor dengan file pelanggan.
2. Translation Software akan memvalidasi trading partner’s ID dan password dengan file
validasi di database perusahaan.
3. Sebelum memproses, software aplikasi lawan transaksi mereferensikan file pelanggan
dan vendor yang valid untuk memvalidasi transaksi.
EDI Audit Trail (Jejak Audit): hilangnya penggunaan dokumen menharuskan EDI
memiliki control log. (Figure 3.14)
 13

Tujuan Audit Terhadap EDI:

a. Menguji terhadap Kendali Otorisasi dan Validasi.
b. Menguji Access Control.
c. Menguji kendali Jejak Audit
 14

2.9 PC-BASED ACCOUNTING SYSTEMS

Risiko dan Kendali PC System:

a. Kelemahan OS
b. Access Control yang lemah
c. Pemisahan Tugas yang tidak cukup
d. Multilevel Password Control
e. Risiko kecurian
f. Prosedur Backup yang lemah
g. Risiko terinfeksi Virus
Tujuan Audit yang berhubungan dengan keamanan PC, diantaranya:
1. Memastikan bahwa control pada tempatnya untuk melindungi data, program, dan
komputer dari akses yang tidak diinginkan, manipulasi, penghancuran, dan pencurian.
2. Memastikan pengawasan yang cukup dan adanya prosedur operasional untuk
mengkompensasi kurangnya pembagian tugas, programer, dan operator.
3. Memastikan prosedur backup dapat mencegah kehilangan data dan program yang
diakibatkan kegagalan sistem, eror, dan sejenisnya.
4. Memastikan bahwa prosedur pemilihan dan perolehan sistem menghasilkan aplikasi
yang berkualitas tinggi dan terlindungi dari perubahan yang tidak diinginkan.
5. Memastikan bahwa sistem bebas dari virus dan dilindungi secara memadai untuk
meminimalkan risiko terindeksi virus atau sejenisnya
Beberapa prosedur dalam mengaudit keamanan PC
a. Meninjau apakah PC secara fisik terlindungi untuk mengurangi peluang dicuri.
b. Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi tidak
terlibat sebagai pengguna sistem tersebut. Dalam organisasi yang lebih kecil,
 15

pengawasan yang memadai ada untuk mengimbangi kelemahan pembagian tugas

tersebut.
c. Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang di-update,
dan total control disiapkan, didistribusikan, dan direkonsiliasi oleh manajemen yang
tepat dalam interval rutin dan tepat waktu.
d. Dimana harus diaplikasikan, auditor menentukan bahwa kendali multilevel password
digunakan untuk membatasi akses data dan aplikasi sesuai dengan deskripsi
pekerjaan.
e. Jika ada, hardisk eksternal dan removeable dilepas dan disimpan di tempat yang
aman saat tidak digunakan.
f. Dengan menguji sampel backup, auditor memverifikasi apakah prosedur backup
dilaksanakan dengan benar. Dengan membandingkan isi data dan tanggal pada
tempat backup dengan file asal, auditor dapat mengetahui frekuensi dan kecukupan
prosedur backup. Jika menggunakan media backup online, auditor harus memastikan
bahwa kontraknya masih berlaku dan sesuai dengan kebutuhan organisasi.
g. Dengan sampel PC, auditor memastikan bahwa paket software komersial diperoleh
dari vendor yang terpercaya dan merupakan salinan sah. Proses perolehan sendiri
harus mengakomodasi kebutuhan organisasi
h. Antivirus haruslah ter-install pada setiap perangkat komputer dan pengaktivannya
merupakan bagian dari prosedur start up saat komputer dinyalakan. Hal ini untuk
memastikan bahwa setiap sekmen penting dari hard disk diperiksa sebelum data
apapun ditransfer melalui jaringan. Setiap perubahan software (update) harus terlebih
dahulu dicek terhadap virus sebelum digunakan. Domain publik di-scan terhadap virus
sebelum digunakan. Dan antivirus versi terkini haruslah tersedia untuk semua user.
 16

BAB 3. KESIMPULAN

Sistem Operasi adalah suatu perangkat yang mengelola seluruh sumber daya yang
terdapat pada sistem komputer dan menyediakan layanan ke pengguna sehingga
memberikan kemudahan dan kenyamanan pengguna. Adapun tujuan operating sytem untuk
jejak audit sistem yaitu
1. Merekonstruksi kejadian.
2. Merencanakan alokasi sumber daya, dan
3. Memastikan bahwa jejak audit cukup memadai untuk mencegah atau mendeteksi
penyalahgunaan.

Ancaman utama terhadap sistem operasi adalah adanya akses yang tidak sah,
penyisipan virus yang disengaja atau tidak disengaja serta adanya risiko kehilangan data
karena kegagalan fungsi sistem. Jaringan dan tautan komunikasi rentan terhadap paparan
dari kedua subversi kriminal dan kegagalan peralatan. Ancaman subversif dapat
diminimalisir melalui berbagai langkah keamanan dan kontrol akses termasuk firewall, IPS,
DPI, enkripsi data, dan peralatan panggilan balik. Kegagalan peralatan biasanya berupa
kesalahan saluran, yang menyebabkan gangguan pada jalur komunikasi. Ini dapat dikurangi
secara efektif melalui pemeriksaan gema dan pemeriksaan paritas.
 17

DAFTAR PUSTAKA

Hall, James A. 2011. Information Technology Auditing and Assurance, 3rd Edition.
United States: Cengage Learning.