Resume Ausia Chapter 3
Resume Ausia Chapter 3
Program kontrol komputer yang memungkinkan pengguna dan aplikasinya untuk berbagi
dan mengakses sumber daya komputer umum seperti prosesor, memori utama, dll.
Untuk melakukan tugas, sistem operasi harus mencapai 5 tujuan pengendalian fundamental:
Eksposur ancaman berasal dari 3 sumber; 1) memberikan hak istimewa kepada personel
yang menyalahgunakan wewenangnya, 2) individu, baik internal maupun eksternal
organisasi, yang menelusuri sistem operasi untuk mengidentifikasi dan mengeksploitasi
kelemahan keamanan, 3) individu yang dengan sengaja memasukkan virus komputer, dll.
Ke dalam sistem
1. Mengontrol Hak Istimewa - hak istimewa menentukan jenis tindakan yang dapat diambil,
hak istimewa harus dikelola dengan hati-hati dan dipantau secara ketat.
Tujuan audit - memverifikasi bahwa hak akses diberikan dengan cara yang konsisten
dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel
Prosedur audit - tinjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel,
tinjau apakah hak akses sesuai dengan deskripsi pekerjaan mereka, tinjau catatan personel
untuk menentukan apakah karyawan menjalani izin keamanan dan kepatuhan terhadap
kebijakan perusahaan, tinjau apakah pengguna telah mengakui tanggung jawab mereka
untuk menjaga kerahasiaan dan meninjau perm pengguna itted login time
2. Password Control - kode rahasia yang dimasukkan pengguna untuk mendapatkan akses
ke sistem, aplikasi, file data, atau server jaringan. Perilaku kontra-keamanan yang paling
umum termasuk lupa sandi. Metode kontrol kata sandi termasuk kata sandi yang dapat
digunakan kembali, kata sandi satu kali
Tujuan Audit - memastikan organisasi memiliki kebijakan kata sandi yang memadai dan
efektif untuk mengontrol akses ke sistem operasi
Prosedur audit - melakukan tes berikut: semua pengguna diharuskan memiliki kata sandi,
meninjau prosedur pengendalian kata sandi untuk memastikan bahwa kata sandi diubah
secara teratur, tinjau file kata sandi untuk menentukan bahwa kata sandi minggu itu
diidentifikasi dan tidak diizinkan, verifikasi bahwa file kata sandi dienkripsi dan diamankan
3. Mengontrol Terhadap Berbahaya dan Merusak Program- termasuk virus, worm, bom
logika, pintu belakang dan Trojan Horses
Tujuan Audit- memverifikasi bahwa kebijakan dan prosedur manajemen yang efektif tersedia
untuk mencegah pengenalan dan penyebaran program yang merusak
Prosedur audit - melalui wawancara, verifikasi bahwa perangkat lunak baru telah diuji,
verifikasi bahwa versi perangkat lunak antivirus saat ini telah diinstal
4. Audit Sistem Kontrol Jejak Tujuan audit terhadap jejak audit: memastikan bahwa jejak
audit cukup memadai untuk mencegah atau mendeteksi penyalahgunaan, merekonstruksi
kejadian, dan merencanakan alokasi sumber daya. Beberapa hal yang harus dilakukan
adalah dengan menguji apakah log (jejak audit) ini dapat diakses oleh user yang tidak sah,
apakah catatan dibuat secara berkala, apakah catatan merepresentasi aktivitas secara
lengkap.
MENGAUDIT JARINGAN
Internet Risk:
-IP Spoofing: penyamaran/meniru IP atau identitas komputer user untuk memperoleh akses
atau melakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya). Umumnya dilakukan
dengan menyamar sebagai komputer yang ditelah dikenal oleh korban.
-Serangan yang mematikan layanan (Denial of Service Attack “DOS”):
•SYN Flood Attack - Memanfaatkan Paket SYNchronize-ACKnowledge (SYN-ACK),
penyerang memulai koneksi kepada server, kemudian dibalas dengan SYN. Penyerang
sebagai receiving server tidak akan membalas dengan ACK sehingga server organisasi
menjadi sibuk dengan paket yang tidak dapat ditindaklanjuti dan tidak dapat memproses
paket yang lain (dari customer/client sebenarnya).
•Smurf Attack: melibatkan Perperator (sebagai penyerang), intermediary, dan victim. Ping
(sejenis sonar dalam jaringan untuk menguji koneksi) dikirimkan oleh perperator (yang
menyamar (IP Spoofing) sebagai victim) kepada intermediary.
•Distributed Denial of Service (DDos): perperator menciptakan bot atau zombie dalam
komputer yang terhubung pada jaringan internet (dalam modul, kasusnya adalah IRC).
Digital Signatures : pembuktian keaslian yang memastikan bahwa pesan atau dokumen
yang dikirim tidak dirusak setelah penandatanganan dilakukan.
Digital Certificate : digunakan untuk memverifikasi identitas pengirim dan dikeluarkan oleh
certification authority (CA).
Message Sequence Numbering : Melakukan penomoran urutan pesan yang berfungsi untuk
mencegah penyusup menghapus aliran pesan, mengubah urutan pesan yang diterima, atau
menggandakan pesan.
Message Transaction Log : Mencatat ID pengguna, waktu akses, dan lokasi terminal atau
nomor telepon dari mana akses tersebut berasal.
Request-Response Technique : Menggunakan teknik ini, memanage pesan dari pengirim
dan respons dari penerima dikirim secara berkala dan disinkronkan dengan interval.
Call-Back Devices: Teknik ini untuk membatasi akses ke terminal resmi atau nomor telepon
dan mencegah penyusup menyamar sebagai pengguna yang sah.
Tujuan auditor adalah untuk memverifikasi keamanan dan integritas transaksi keuangan
dengan menentukan kontrol jaringan tersebut
1. Dapat mencegah dan mendeteksi akses ilegal baik secara internal maupun dari
Internet,
2. Akan membuat tidak berguna data apa pun yang berhasil ditangkap oleh pelaku, dan
3. Cukup untuk menjaga integritas dan keamanan fisik data yang terhubung ke
jaringan.
Hal 98-105
Financial EDI
Penggunaan EDI dalam aktivitas pembelian dan penjualan lebih sederhana jika
dibandingkan dengan EFT (Electronic Funds Transfer) yang digunakan untuk penerimaan
dan pengeluaran kas. Dengan menggunakan EDI faktur pembelian otomatis terhubung
dengan pembayaran, dan pada saat pembayaran sistem akan otomatis membuat EFT untuk
bank asal. Proses transfer dana ini memerlukan proses kliring otomatis sebelum dana yang
dibayarkan sampai ke bank tujuan.
EDI Control
Dengan tidak adanya intervensi manusia dalam sistem EDI, maka pengendalian yang dapat
dilakukan adalah dengan menerapkan teknik otorisasi dan validasi, yang dapat dilakukan
dengan :
● VAN dapat memvalidasi password dan ID pengguna untuk pemasok untuk
dicocokkan dengan file pelanggan yang valid
● Sebelum dikonversi, translasi perangkat lunak dapat divalidasi dengan transaksi
partner terhadap validasi file dalam data base
● Sebelum transaksi, aplikasi perangkat lunak mereferensikan file pelanggan dan
pemasok yang valid untuk tujuan validitas transaksi.
Acsess Control
Untuk melindungi dari akses yang tidak sah, setiap perusahaan harus membuat file vendor
dan pelanggan yang valid.
EDI Audit Trail
Salah satu teknik yang diterapkan memulihkan jejak audit adalah dengan mempertahankan
log kontrol, yang mencatat aliran transaksi melalui setiap fase sistem EDI.