3.7.

4 Kontrol Manajemen Sumber Daya Data

Banyak organisasi sekarang mengakui bahwa data adalah sumber daya kritis yang harus
dikelola dengan benar dan oleh karena itu, perencanaan dan kontrol terpusat diimplementasikan.
Agar data dapat dikelola, pengguna yang lebih baik harus dapat berbagi data, data harus tersedia
bagi pengguna saat dibutuhkan, di lokasi di mana diperlukan, dan dalam bentuk yang
dibutuhkan.

3.7.5 Kontrol Manajemen Jaminan Kualitas

3.7.6 Kontrol Manajemen Keamanan

Administrator keamanan informasi bertanggung jawab untuk memastikan bahwa aset
sistem informasi aman. Aset aman ketika kerugian yang diharapkan yang akan terjadi selama
beberapa waktu berada pada tingkat yang dapat diterima. Beberapa ancaman utama dan
keamanan sistem informasi dan kontrolnya seperti yang dibahas dalam Tabel 3.7.3:

Tabel 3.7.3: Ancaman utama dan tindakan pengendaliannya

Ancaman Kontrol

Api Harus dirancang dengan baik, sistem proteksi

kebakaran yang andal diimplementasikan.

Air Fasilitas harus dirancang dan ditempatkan

untuk mengurangi kerugian akibat kerusakan
air

Variasi energi Regulator tegangan, pemutus sirkuit, dan catu

daya tak terputus dapat digunakan.

Kerusakan Struktural Fasilitas harus dirancang untuk tahan terhadap

kerusakan structural

Polusi Pembersihan fasilitas dan peralatan secara

teratur harus dilakukan.

.
 Intrusi Tanpa Izin Kontrol akses fisik dapat digunakan

Virus dan Cacing Kontrol untuk mencegah penggunaan

program yang terinfeksi virus dan untuk
menutup celah keamanan yang
memungkinkan penyebaran cacing.

Penyalahgunaan perangkat lunak, data, dan Kode etik untuk mengatur tindakan sistem
layanan informasi karyawan.

Peretas Kontrol akses yang kuat dan logis untuk

mengurangi kerugian dari aktivitas peretas.

3.7.7 Kontrol Manajemen Operasi

Manajemen operasi bertanggung jawab untuk menjalankan fasilitas perangkat keras dan
lunak setiap hari. Manajemen operasi kontrol harus terus memantau kinerja platform perangkat
keras / perangkat lunak untuk memastikan bahwa sistem mengeksekusi secara efisien, tike
respons yang dapat diterima atau waktu penyelesaian sedang dicapai, dan tingkat waktu kerja
yang dapat diterima terjadi.

3.8 Kontrol Aplikasi dan Kategorinya

Kontrol sistem aplikasi dilakukan untuk mencapai siklus pemrosesan informasi yang
andal yang melakukan proses di seluruh perusahaan. Aplikasi mewakili antarmuka antara
pengguna dan fungsi bisnis. Sebagai contoh, seorang petugas bagian di sebuah bank diharuskan
untuk melakukan berbagai kegiatan bisnis sebagai bagian dari tugasnya dan tanggung jawab
yang diberikan kepadanya. Dia dapat berhubungan dengan keunggulan teknologi ketika dia dapat
berinteraksi dengan sistem komputer dari perspektif memenuhi tujuan pekerjaannya. Dari sudut
pandang pengguna, itu adalah aplikasi yang mendorong logika bisnis. Kontrol Aplikasi yang
berbeda adalah sebagai berikut:

3.8.1 Kontrol Batas

(i) Kontrol Batas: Kontrol utama sistem batas adalah mekanisme kontrol akses. Mekanisme
kontrol akses menghubungkan pengguna otentik ke sumber daya resmi, mereka diizinkan untuk
mengakses. Mekanisme kontrol akses memiliki tiga langkah identifikasi, otentikasi, dan otorisasi
sehubungan dengan kebijakan kontrol akses yang diterapkan seperti yang ditunjukkan pada
Gambar 3.8.1.

Pengguna dapat memberikan tiga faktor informasi input untuk proses otentikasi dan
mendapatkan akses ke sumber daya yang diperlukan. Tiga faktor informasi sehubungan dengan
input yang sesuai dengan kontrol batas dirangkum dalam Tabel 3.8.1.

Tabel 3.8.1: Informasi Asli

Kelas informasi Jenis input

Informasi pribadi Nama, tanggal lahir, nomor akun, kata sandi,

PIN

Karakteristik pribadi Sidik jari, suara, ukuran tangan, tanda tangan,

pola retina.

Benda pribadi Kartu identifikasi, lencana, kunci, cincin jari.

Teknik Kontrol Batas Utama diberikan sebagai berikut:

• Kriptografi: Ini berkaitan dengan program untuk mengubah data menjadi teks sandi yang
tidak berarti bagi siapa pun, yang tidak memiliki otentikasi untuk mengakses sumber
daya sistem atau file masing-masing. Teknik kriptografi mengenkripsi data (teks jernih)
ke dalam kriptogram (teks sandi) dan kekuatannya tergantung pada waktu dan biaya
untuk menguraikan teks sandi oleh kriptanalis. Tiga teknik kriptografi adalah transposisi
(mengubah urutan karakter dalam satu set data), substitusi (ganti teks dengan teks-kunci)
dan cipher produk (kombinasi transposisi dan substitusi).

Representasi bergambar yang sama diberikan pada Gambar 3.8.2.

• Kata sandi: Identifikasi pengguna dengan mekanisme otentikasi dengan karakteristik

pribadi seperti nama, tanggal lahir, kode karyawan, fungsi, penunjukan atau kombinasi
dari dua atau lebih dari ini dapat digunakan sebagai kontrol akses batas kata sandi.
Beberapa praktik terbaik yang diikuti untuk menghindari kegagalan dalam sistem kontrol
ini adalah; panjang kata sandi minimum, hindari penggunaan kata-kata kamus umum,
perubahan kata sandi secara berkala, hashing kata sandi dan jumlah upaya entri.
• Nomor Identifikasi Pribadi (PIN): PIN mirip dengan kata sandi yang diberikan kepada
pengguna oleh suatu lembaga nomor acak yang disimpan dalam basis datanya
independen terhadap perincian identifikasi pengguna, atau nomor yang dipilih pelanggan.
Karenanya, PIN dapat terpapar pada kerentanan saat penerbitan atau pengiriman,
validasi, transmisi, dan penyimpanan.
• Kartu Identifikasi: Kartu identifikasi digunakan untuk menyimpan informasi yang
diperlukan dalam proses otentikasi. Kartu-kartu ini harus dikontrol melalui aplikasi untuk
 kartu, persiapan kartu, masalah, penggunaan dan pengembalian kartu atau fase
pemutusan kartu.
• Perangkat Biometrik: Identifikasi biometrik mis. ibu jari dan / atau kesan jari, retina
mata, dll. juga digunakan sebagai teknik kontrol batas.

3.8.2 Kontrol Input

Kontrol ini bertanggung jawab untuk memastikan keakuratan dan kelengkapan data dan
input instruksi ke dalam sistem aplikasi. Pengendalian input penting karena waktu yang cukup
banyak dihabiskan untuk input data, melibatkan intervensi manusia dan, karenanya, rawan
kesalahan dan kecurangan. Kontrol yang berkaitan dengan input data sangat penting. Mungkin
perlu untuk memproses kembali data input jika, file master hilang, rusak, atau hancur. Kontrol
yang berkaitan dengan instruksi seringkali berupa perubahan data, yang dicatat dalam jejak audit.
Dengan demikian, dokumen sumber atau daftar transaksi harus disimpan dengan aman untuk
periode yang lebih lama karena alasan - kepatuhan terhadap persyaratan hukum. Kontrol input
dibagi ke dalam kelas luas berikut:

Kontrol input dibagi ke dalam kelas luas berikut:

• Kontrol Dokumen Sumber,

• Kontrol Pengodean Data
• Kontrol Batch, dan
• Kontrol Validasi.

Rincian dari masing-masing kelas tersebut diberikan sebagai berikut:

a. Kontrol Dokumen Sumber: Dalam sistem yang menggunakan dokumen sumber fisik untuk
memulai transaksi, kontrol yang cermat harus dilakukan terhadap instrumen-instrumen ini.
Sumber penipuan dokumen dapat digunakan untuk menghapus aset dari organisasi. Misalnya,
seorang individu dengan akses ke pesanan pembelian dan laporan penerimaan dapat mengarang
transaksi pembelian ke pemasok yang tidak ada. Jika dokumen-dokumen ini dimasukkan ke
dalam aliran pemrosesan data bersama dengan faktur vendor fiktif, sistem dapat memproses
dokumen-dokumen ini seolah-olah terjadi transaksi yang sah. Dengan tidak adanya kontrol
kompensasi lain untuk mendeteksi jenis penipuan ini, sistem akan membuat akun dibayarkan dan
selanjutnya menulis cek untuk pembayaran.

Untuk mengendalikan terhadap jenis paparan ini, organisasi harus menerapkan prosedur
kontrol atas dokumen sumber untuk menjelaskan setiap dokumen, seperti dijelaskan di bawah
ini:

• Gunakan dokumen sumber yang diberi nomor terlebih dahulu: Dokumen sumber harus
berasal dari printer dengan nomor urut yang unik pada setiap dokumen. Sumber nomor
 dokumen memungkinkan akuntansi penggunaan dokumen yang akurat dan memberikan
jejak audit untuk melacak transaksi melalui catatan akuntansi.
• Gunakan dokumen sumber secara berurutan: Dokumen sumber harus didistribusikan ke
pengguna dan digunakan secara berurutan. Ini membutuhkan keamanan fisik yang
memadai untuk menjaga persediaan dokumen sumber di situs pengguna. Ketika tidak
digunakan, dokumen harus disimpan di bawah kunci dan kunci dan akses ke dokumen
sumber harus dibatasi untuk orang yang berwenang.
• Mengaudit dokumen sumber secara berkala: Dokumen sumber yang hilang harus
diidentifikasi dengan merekonsiliasi nomor urut dokumen. Secara berkala, auditor harus
membandingkan jumlah dokumen yang digunakan sampai saat ini dengan yang tersisa
dalam persediaan ditambah dengan yang dibatalkan karena kesalahan. Dokumen yang
tidak diperhitungkan harus dilaporkan kepada manajemen.

(B) Kontrol Pengodean Data: Dua jenis kesalahan dapat merusak kode data dan menyebabkan
kesalahan pemrosesan. Ini adalah kesalahan transkripsi dan transposisi, yang dibahas di bawah
ini:

• Kesalahan Transkripsi: Ini terbagi dalam tiga kelas:

a. Kesalahan penambahan terjadi ketika digit atau karakter tambahan ditambahkan ke kode.
Misalnya, nomor item inventaris 83276 dicatat sebagai 832766.
b. Kesalahan pemotongan terjadi ketika digit atau karakter dihapus dari akhir kode. Dalam
jenis kesalahan ini, item persediaan di atas akan dicatat sebagai 8327.
c. Kesalahan penggantian adalah penggantian satu digit dalam kode dengan yang lainnya.
Misalnya, nomor kode 83276 dicatat sebagai 83266.

• Kesalahan Transposisi: Ada dua jenis kesalahan transposisi.

a. Kesalahan transposisi tunggal terjadi ketika dua digit yang berdekatan dibalik. Misalnya,
12345 dicatat sebagai 21345.
b. Beberapa kesalahan transposisi terjadi ketika digit yang tidak berdekatan dialihkan.
Sebagai contoh, 12345 dicatat sebagai 3.154.

Kesalahan ini dapat menyebabkan masalah serius dalam pemrosesan data jika tidak
terdeteksi. Misalnya, pesanan penjualan untuk pelanggan 987654 yang dialihkan ke 897654
akan diposting ke akun pelanggan yang salah. Kesalahan serupa dalam kode barang inventaris
pada pesanan pembelian dapat mengakibatkan pemesanan inventaris yang tidak dibutuhkan
dan gagal memesan inventaris yang diperlukan. Kesalahan sederhana ini dapat sangat
mengganggu operasi.

(C) Kontrol Batch: Batching adalah proses pengelompokan bersama transaksi yang menanggung
beberapa jenis hubungan kaki lainnya. Berbagai kontrol dapat dilakukan selama batch untuk
mencegah atau mendeteksi kesalahan atau penyimpangan. Dua jenis batch terjadi:
 • Kontrol Fisik: Kontrol ini adalah kelompok transaksi yang membentuk unit fisik. Sebagai
contoh - dokumen sumber dapat diperoleh melalui email, dikumpulkan ke dalam batch,
dibubuhi dan diikat bersama, dan kemudian diberikan kepada petugas entri data untuk
dimasukkan ke dalam sistem aplikasi di terminal.
• Kontrol Logis: Ini adalah kelompok transaksi yang diikat bersama berdasarkan beberapa
alasan logis, daripada berdekatan secara fisik. Misalnya - pegawai yang berbeda mungkin
menggunakan terminal yang sama untuk memasukkan transaksi ke dalam sistem aplikasi.
Panitera menjaga total kontrol transaksi ke dalam sistem aplikasi.

Untuk mengidentifikasi kesalahan atau penyimpangan dalam batch fisik atau logis, tiga jenis
total kontrol dapat dihitung seperti yang ditunjukkan pada Tabel 3..8.2.

Tabel 3.8.2: Kontrol Total pada Batch Logis / Fisik

Kontrol Jenis Total Penjelasan

Total keuangan Total keseluruhan dihitung untuk setiap

bidang yang berisi jumlah uang.

Total Hash Total keseluruhan dihitung untuk kode apa

pun pada dokumen dalam kumpulan,

mis., nomor seri dokumen sumber dapat

dijumlahkan

Dokumen / Catatan Hitungan Total keseluruhan untuk jumlah dokumen

yang tercatat dalam kumpulan

Dalam hal Kontrol Fisik, total ini dapat ditulis pada lembar sampul batch dan dimasukkan
ke dalam sistem aplikasi sebelum entri kunci transaksi dalam batch. Program input kemudian
menghitung total batch ketika transaksi dimasukkan. Ketika kunci dari semua transaksi dalam
batch telah selesai, itu membandingkan total yang dihitung terhadap total yang dimasukkan dan
menandakan perbedaan.

Dalam hal batch logis, orang yang bertanggung jawab atas data kunci harus menyimpan
catatan transaksi independen yang dimasukkan ke dalam sistem aplikasi. Secara berkala, total
batch yang dihitung oleh program input kemudian harus dibandingkan dengan total batch yang
dihitung berdasarkan catatan independen ini.
(d) Kontrol Validasi: Kontrol validasi input dimaksudkan untuk mendeteksi kesalahan dalam data
transaksi sebelum data diproses. Ada tiga level kontrol validasi input:

• interogasi lapangan,
• Rekam interogasi, dan
• Menginterogasi file.

Rincian yang sama diberikan sebagai berikut:

• Interogasi Lapangan: Ini melibatkan prosedur terprogram yang memeriksa karakter data di
lapangan. Berikut ini adalah beberapa jenis interogasi lapangan yang umum. Berbagai
pemeriksaan lapangan yang digunakan untuk memastikan integritas data telah dijelaskan di
bawah ini:

a. Pemeriksaan Batas: Ini adalah tes dasar untuk akurasi pemrosesan data dan dapat
diterapkan pada data input dan output. Bidang ini diperiksa oleh program terhadap batas
yang telah ditentukan untuk memastikan bahwa tidak ada kesalahan input / output yang
terjadi atau setidaknya tidak ada kesalahan input yang melebihi batas yang telah
ditentukan sebelumnya.
b. Picture Checks: Ini memeriksa entri untuk memproses karakter yang salah / tidak valid.
• Cek Kode Valid: Cek dilakukan terhadap kode transaksi, tabel atau data pesanan yang telah
ditentukan untuk memastikan bahwa data input valid. Kode atau tabel yang telah ditentukan
dapat tertanam dalam program atau disimpan dalam file (akses langsung).
a. Periksa Digit: Salah satu metode untuk mendeteksi kesalahan pengkodean data
adalah digit periksa. Digit check adalah digit kontrol (atau digit) yang
ditambahkan ke kode ketika kode tersebut awalnya ditetapkan yang
memungkinkan integritas kode untuk dibuat selama pemrosesan selanjutnya.
Digit centang dapat ditemukan di mana saja dalam kode, sebagai awalan, akhiran,
atau disematkan di suatu tempat di tengah.
b. Pemeriksaan Aritmatika: Aritmatika sederhana dilakukan dengan berbagai cara
untuk memvalidasi hasil perhitungan lain dari nilai-nilai bidang data yang dipilih.
Contoh: Jumlah diskon untuk `4.000 dengan diskon 5% dapat dihitung dua kali
dengan berbagai cara berikut:
(b) 4.000 - 4.000 × 5/100 = 3.800 atau Lain kali di (3800 / (100-5)) * 100.
a. Pemeriksaan Silang: dapat digunakan untuk memverifikasi bidang yang muncul
dalam file yang berbeda untuk melihat bahwa hasilnya sesuai.

• Rekam Interogasi:

Ini dibahas sebagai berikut:

a. Pemeriksaan kewajaran: Apakah nilai yang ditentukan dalam suatu bidang layak
untuk bidang tersebut?
 b. Tanda Valid: Isi dari satu bidang dapat menentukan tanda mana yang valid untuk
bidang angka.
c. Pemeriksaan Urutan: Jika catatan fisik mengikuti urutan yang diperlukan yang
cocok dengan catatan logis.

• Interogasi File: Ini dibahas sebagai berikut:

a. Penggunaan Versi: Versi file yang benar harus digunakan untuk memproses data
dengan benar. Dalam hal ini harus dipastikan bahwa hanya file terbaru yang
diproses.
b. Pelabelan Internal dan Eksternal: Pelabelan media penyimpanan penting untuk
memastikan bahwa file yang tepat dimuat untuk proses. Di mana ada proses
manual untuk memuat file, pelabelan eksternal penting untuk memastikan bahwa
file yang benar sedang diproses. Di mana ada sistem pemuat pita otomatis,
pelabelan internal lebih penting.
c. Keamanan File Data: Akses tanpa izin ke file data harus dicegah, untuk
memastikan kerahasiaan, integritas, dan ketersediaannya. Kontrol ini memastikan
bahwa file yang benar digunakan untuk diproses.
d. Sebelum dan sesudah Gambar dan Logging: Aplikasi dapat menyediakan untuk
pelaporan sebelum dan sesudah gambar transaksi. Gambar-gambar ini
dikombinasikan dengan logging peristiwa memungkinkan membangun kembali
file data kembali ke keadaan integritas terakhirnya, setelah itu aplikasi dapat
memastikan bahwa transaksi / peristiwa tambahan digulung kembali atau maju.
e. Pembaruan dan Pemeliharaan File Otorisasi: Kontrol yang memadai harus ada
untuk memperbarui dan pemeliharaan file untuk memastikan bahwa data yang
disimpan dilindungi. Pembatasan akses dapat menjadi bagian dari program
aplikasi atau dari pembatasan akses sistem secara keseluruhan.
f. Pemeriksaan Paritas: Ketika program atau data ditransmisikan, diperlukan kontrol
tambahan. Kesalahan transmisi dikendalikan terutama dengan mendeteksi
kesalahan atau memperbaiki kode.

3.8.3 Kontrol Komunikasi

Tiga jenis paparan utama muncul dalam subsistem komunikasi:

• Gangguan transmisi dapat menyebabkan perbedaan antara data yang dikirim dan data
yang diterima;
• Data dapat hilang atau rusak karena kegagalan komponen; dan
• Pihak yang bermusuhan dapat berupaya menumbangkan data yang dikirim melalui
subsistem.

Kontrol ini membahas paparan dalam subsistem komunikasi, kontrol atas komponen fisik,
kesalahan jalur komunikasi, aliran, dan tautan, kontrol topologi, kontrol akses saluran, kontrol
atas serangan subversif, kontrol pekerja internet, kontrol arsitektur komunikasi, kontrol jejak
audit, dan kontrol keberadaan.

(a) Kontrol Komponen Fisik: Kontrol ini menggabungkan fitur yang mengurangi kemungkinan
efek dari paparan. Tabel 3.8.1 di bawah ini memberikan gambaran tentang bagaimana komponen
fisik dapat mempengaruhi keandalan subsistem komunikasi.

Tabel 3.8.1: Komponen Fisik yang mempengaruhi keandalan subsistem Komunikasi

Media transmisi Ini adalah jalur fisik di mana sinyal dapat

dikirim

antara pengirim dan penerima. Ada dua jenis:

• Media Terpandu / Terikat tempat sinyal

diangkut

jalur fisik tertutup seperti - Twisted pair,

kabel coaxial, dan

serat optik.

• Dalam Unguided Media, sinyal menyebar

melalui emisi ruang bebas seperti -
microwave satelit, frekuensi radio dan
inframerah.

Jalur Komunikasi Keandalan transmisi data dapat ditingkatkan

dengan memilih

jalur komunikasi pribadi (sewaan) daripada

jalur komunikasi publik.

Modem • Meningkatkan kecepatan pengiriman data

melalui saluran komunikasi.

• Mengurangi jumlah kesalahan garis yang

muncul melalui distorsi jika mereka
menggunakan proses yang disebut
pemerataan.

• Mengurangi jumlah kesalahan saluran yang

 muncul melalui noise.

Perangkat Perlindungan Port • Digunakan untuk mengurangi eksposur

terkait dengan akses dial-up ke sistem
komputer. Perangkat perlindungan port
melakukan berbagai fungsi keamanan untuk
mengotentikasi pengguna.

Multiplexer dan Konsentrator • Ini memungkinkan lebar pita atau kapasitas

saluran komunikasi untuk digunakan secara
lebih efektif.

• Ini berbagi penggunaan saluran transmisi

berbiaya tinggi di antara banyak pesan yang
sampai pada titik multiplekser atau
konsentrasi dari beberapa saluran sumber
berbiaya rendah.

(B) Line Error Control: Setiap kali data dikirim melalui saluran komunikasi, ingat bahwa itu
dapat diterima dalam kesalahan karena distorsi atenuasi, atau kebisingan yang terjadi pada
saluran. Kesalahan ini harus dideteksi dan diperbaiki.

• Deteksi Kesalahan: Kesalahan dapat dideteksi dengan menggunakan pengulangan (gema)

cek atau membangun beberapa bentuk redundansi ke dalam pesan yang dikirimkan.
• Koreksi Kesalahan: Ketika kesalahan garis telah terdeteksi, mereka kemudian harus
dikoreksi dengan menggunakan kode koreksi kesalahan maju atau mundur kode koreksi
kesalahan.

(c) Kontrol Aliran: Kontrol aliran diperlukan karena dua node dalam jaringan dapat berbeda
dalam hal laju pengiriman, penerimaan, dan pemrosesan data. Sebagai contoh, kerangka
utama dapat mengirimkan data ke terminal komputer mikro. Komputer mikro tidak dapat
menampilkan data pada layarnya dengan kecepatan yang sama dengan saat data berasal dari
bingkai utama. Selain itu, komputer mikro akan memiliki ruang buffer terbatas. Dengan
demikian, ia tidak dapat terus menerima data dari mainframe dan untuk menyimpan data
dalam buffer data yang tertunda pada layarnya. Kontrol aliran akan digunakan, oleh karena
 itu, untuk mencegah mainframe main-main komputer mikro dan, sebagai hasilnya, data
hilang.

(d) Kontrol Tautan: Dalam WAN, kontrol kesalahan garis dan kontrol aliran adalah fungsi penting
dalam komponen yang mengelola hubungan antara dua node dalam jaringan. Komponen
manajemen tautan terutama menggunakan dua protokol umum HDLC (kontrol Tautan Data
Level Tinggi) dan SDLC (Kontrol Tautan Data Sinkron).

(e) Kontrol Topologis: Topologi jaringan komunikasi menentukan lokasi node dalam jaringan,
cara-cara di mana node-node ini akan dihubungkan, dan kemampuan transmisi data dari
tautan antara node-node tersebut. Menentukan topologi optimal untuk jaringan dapat menjadi
masalah kompleksitas yang luar biasa.

• Topologi Jaringan Area Lokal: Jaringan Area Lokal cenderung memiliki tiga karakteristik: (1)
mereka adalah jaringan milik pribadi; (2) mereka menyediakan komunikasi kecepatan tinggi di
antara node; dan (3) mereka terbatas pada area geografis yang terbatas (misalnya, satu lantai
atau bangunan atau lokasi dalam jarak beberapa kilometer dari satu sama lain). Mereka
diimplementasikan menggunakan empat jenis dasar topologi: (1) topologi bus, (2) topologi
pohon, (3) topologi cincin, dan (4) topologi bintang. Topologi hibrida seperti topologi cincin
bintang dan topologi bus bintang juga digunakan.

3.8.3 Kontrol Komunikasi

Tiga jenis paparan utama muncul dalam subsistem komunikasi:
• Gangguan transmisi dapat menyebabkan perbedaan antara data yang dikirim dan data
yang diterima;
• Data dapat hilang atau rusak karena kegagalan komponen; dan
• Pihak yang bermusuhan dapat berupaya untuk menumbangkan data yang dikirim melalui
subsistem.
Kontrol ini membahas paparan dalam subsistem komunikasi, kontrol atas komponen fisik,
kesalahan jalur komunikasi, aliran, dan tautan, kontrol topologi, kontrol akses saluran, kontrol
atas serangan subversif, kontrol pekerja internet, kontrol arsitektur komunikasi, kontrol jejak
audit, dan kontrol keberadaan.
(a) Kontrol Komponen FisikKontrol:ini menggabungkan fitur yang mengurangi efek yang
mungkin terjadi dari paparan. Tabel 3.8.1 di bawah ini memberikan gambaran tentang
bagaimana komponen fisik dapat mempengaruhi keandalan subsistem komunikasi.
Tabel 3.8.1: Komponen Fisik yang memengaruhi keandalansubsistem Komunikasi
Transmisi Ini adalah jalur fisik di mana sinyal dapat ditransmisikan
Media antara pengirim dan penerima. Ini terdiri dari dua jenis:
• Media Terpandu / Terikat di mana sinyal diangkut
 sepanjang jalur fisik tertutup seperti - Pasangan
berpilin, kabel koaksial, dan serat optik.
• Dalam Unguided Media, sinyal menyebar melalui emisi
ruang bebas seperti - microwave satelit, frekuensi radio
dan inframerah.
Komunikasi Keandalan transmisi data dapat ditingkatkan dengan
Garis memilih jalur komunikasi pribadi (sewaan) daripada
jalur komunikasi publik.

Modem • Meningkatkan kecepatan pengiriman data melalui

saluran

komunikasi.
• Mengurangi jumlah kesalahan garis yang muncul
melalui distorsi jika mereka menggunakan proses yang
disebut pemerataan.
• Mengurangi jumlah kesalahan garis yang muncul
melalui noise.
Perlindungan • Digunakan untuk mengurangi paparan terkait dengan
Pelabuhan akses dial-up ke sistem komputer. Perangkat
Perangkat perlindungan port melakukan berbagai fungsi keamanan
untuk mengotentikasi pengguna.

Multiplexer • Ini memungkinkan lebar pita atau kapasitas saluran

dan komunikasi untuk digunakan secara lebih efektif.
Konsentrator • Ini berbagi penggunaan saluran transmisi berbiaya
tinggi di antara banyak pesan yang sampai pada titik
multiplexer atau konsentrasi dari beberapa saluran
sumber berbiaya rendah.
(B) Line Error Control: Setiap kali data dikirim melalui saluran komunikasi, ingat bahwa itu
dapat diterima dalam kesalahan karena distorsi atenuasi, atau kebisingan yang terjadi pada
saluran. Kesalahan ini harus dideteksi dan diperbaiki.
• Deteksi Kesalahan: Kesalahan dapat dideteksi dengan menggunakan loop (gema)
memeriksa atau membangun beberapa bentuk redundansi ke dalam pesan yang dikirimkan.
• Koreksi Kesalahan: Ketika kesalahan garis telah terdeteksi, mereka kemudian harus
diperbaiki menggunakan kode koreksi kesalahan maju atau mundur kode koreksi
kesalahan.
(c) Kontrol AliranKontrol:aliran diperlukan karena dua node dalam jaringan dapat
berbeda dalam hal laju pengiriman, penerimaan, dan pemrosesan data. Sebagai contoh,
kerangka utama dapat mengirimkan data ke terminal komputer mikro. Komputer mikro tidak
dapat menampilkan data pada layarnya dengan kecepatan yang sama dengan saat data berasal
dari bingkai utama. Selain itu, komputer mikro akan memiliki ruang buffer terbatas. Dengan
demikian, ia tidak dapat terus menerima data dari mainframe dan untuk menyimpan data dalam
buffer data yang tertunda pada layarnya. Kontrol aliran akan digunakan, oleh karena itu, untuk
mencegah mainframe main-main komputer mikro dan, sebagai hasilnya, data hilang.
(d) Kontrol Tautan: Dalam WAN, kontrol kesalahan saluran dan kontrol aliran adalah
fungsi penting dalam komponen yang mengelola tautan antara dua node dalam jaringan.
Komponen manajemen tautan terutama menggunakan dua protokol umum HDLC (kontrol
Tautan Data Level Tinggi) dan SDLC (Kontrol Tautan Data Sinkron).
(e) Kontrol Topologis: Topologi jaringan komunikasi menentukan lokasi node dalam suatu
jaringan, cara-cara di mana node-node ini akan dihubungkan, dan kemampuan transmisi data
dari tautan antara node-node tersebut. Menentukan topologi optimal untuk jaringan dapat
menjadi masalah kompleksitas yang luar biasa.
• Topologi Jaringan Area Lokal: Jaringan Area Lokal cenderung memiliki tiga karakteristik:
(1) mereka adalah jaringan milik pribadi; (2) mereka menyediakan komunikasi kecepatan
tinggi di antara node; dan (3) mereka terbatas pada area geografis yang terbatas
(misalnya, satu lantai atau bangunan atau lokasi dalam jarak beberapa kilometer dari satu
sama lain). Mereka diimplementasikan menggunakan empat jenis dasar topologi: (1)
topologi bus, (2) topologi pohon, (3) topologi cincin, dan (4) topologi bintang. Topologi
hibrida seperti topologi cincin bintang dan topologi bus bintang juga digunakan.
• Wide Area Network Topologi: Wide Area Network memiliki karakteristik sebagai berikut:
o mereka sering mencakup komponen yang dimiliki oleh pihak lain (misalnya
perusahaan telepon);
o mereka menyediakan komunikasi kecepatan relatif rendah di antara node; dan o
mereka menjangkau wilayah geografis yang luas
Dengan pengecualian topologi bus, semua topologi lain yang digunakan untuk
mengimplementasikan LAN juga dapat digunakan untuk mengimplementasikan WAN.
(f) Kontrol Akses Saluran: Dua node berbeda dalam suatu jaringan dapat bersaing untuk
menggunakan saluran komunikasi. Kapan pun kemungkinan pertikaian untuk saluran itu ada,
beberapa jenis teknik kontrol akses saluran harus digunakan. Teknik-teknik ini terbagi dalam
dua kelas: Metode polling dan metode Contention.
• Polling: Teknik Polling (bukan pertikaian) menetapkan urutan di mana sebuah node dapat
memperoleh akses ke kapasitas saluran.
• Metode Contention: Menggunakan metode contention, node dalam jaringan harus bersaing
satu sama lain untuk mendapatkan akses ke saluran. Setiap node diberikan hak akses
langsung ke saluran. Apakah node dapat menggunakan saluran dengan sukses,
bagaimanapun, tergantung pada tindakan dari node lain yang terhubung ke saluran. (g)
Kontrol Internetworking: Internetworking adalah proses menghubungkan dua atau lebih
jaringan komunikasi bersama untuk memungkinkan pengguna dari satu jaringan untuk
berkomunikasi dengan pengguna jaringan lain. Jaringan yang terhubung satu sama lain
mungkin atau mungkin tidak menggunakan platform perangkat keras-lunak yang sama.
Tiga jenis perangkat digunakan untuk menghubungkan sub-jaringan di internet seperti yang
ditunjukkan pada Tabel 3.8.3.
Tabel 3.8.3:Perangkat Internetworking
Perangk Fungsi
at

Jembata Sebuah jembatan menghubungkan jaringan area lokal yang serupa

n (mis. Satu jaringan token ring ke jaringan token ring lainnya).

Router Router melakukan semua fungsi jembatan. Selain itu, ia dapat

menghubungkan jaringan lokal yang heterogen (mis. Jaringan bus
ke jaringan token ring) dan mengarahkan lalu lintas jaringan
melalui saluran tercepat antara dua node yang berada di sub-
jaringan yang berbeda (misalnya dengan memeriksa pola lalu
lintas di dalam jaringan dan di antara jaringan yang berbeda
untuk menentukan

ketersediaan saluran.)

Gatewa Gateway adalah yang paling kompleks dari tiga perangkat

y koneksi jaringan. Fungsi utama mereka adalah untuk melakukan
konversi protokol untuk memungkinkan berbagai jenis arsitektur
komunikasi untuk berkomunikasi satu sama lain. Gateway
memetakan fungsi-fungsi yang dilakukan dalam suatu aplikasi
pada satu komputer ke fungsi-fungsi yang dilakukan oleh aplikasi
yang berbeda dengan fungsi-fungsi serupa pada komputer lain.

3.8.4 Kontrol
Pemrosesan Subsistem pemrosesan bertanggung jawab untuk menghitung, menyortir,
mengklasifikasikan, dan meringkas data. Komponen utamanya adalah Central Processor di
mana program dijalankan, memori nyata atau virtual di mana instruksi dan data program
disimpan, sistem operasi yang mengelola sumber daya sistem, dan program aplikasi yang
menjalankan instruksi untuk mencapai kebutuhan pengguna tertentu.
(i) Kontrol Prosesor: Prosesor memiliki tiga komponen: (a) Unit Kontrol, yang mengambil
program dari memori dan menentukan jenisnya; (B) Unit Aritmatika dan Logika, yang
melakukan operasi; dan (c) Register, yang digunakan untuk menyimpan hasil sementara dan
mengendalikan informasi. Empat jenis kontrol yang dapat digunakan untuk mengurangi
kerugian yang diperkirakan dari kesalahan dan penyimpangan yang terkait dengan prosesor
Central dijelaskan pada Tabel 3.8.4.
Tabel 3.8.4: KontrolSistem Operasi
Kontrol Penjelasan

Deteksi Terkadang, prosesor mungkin mengalami kegagalan fungsi.

 dan Penyebabnya bisa kesalahan desain, cacat produksi, kerusakan,
Koreksi kelelahan,
Kesalahan interferensi elektromagnetik, dan radiasi pengion. Berbagai
jenis strategi deteksi kesalahan dan koreksi harus digunakan.

Berbagai Penting untuk menentukan jumlah dan sifat dari negara

eksekusi yang ditegakkan oleh prosesor. Ini membantu auditor
Eksekusi untuk menentukan proses pengguna mana yang akan dapat
Negara melakukan kegiatan yang tidak sah, seperti mendapatkan akses
ke data sensitif yang dipelihara di wilayah memori yang
ditugaskan untuk sistem operasi atau proses pengguna lainnya.

Kontrol Suatu sistem operasi mungkin macet dalam loop tak terbatas.
Pengatura Dengan tidak adanya kontrol, program akan tetap
n Waktu menggunakan prosesor dan mencegah program lain melakukan
pekerjaan mereka.

Komponen Dalam beberapa kasus, kegagalan prosesor dapat

mengakibatkan kerugian yang signifikan. Prosesor yang
Replikasi berlebihan memungkinkan kesalahan terdeteksi dan diperbaiki.
Jika kegagalan prosesor bersifat permanen dalam arsitektur
multikomputer atau multiprosesor, sistem mungkin
mengkonfigurasi ulang dirinya untuk mengisolasi prosesor yang
gagal.

(ii) Kontrol Memori Nyata: Ini terdiri dari jumlah tetap penyimpanan utama di mana
program atau data harus disimpan agar dapat dieksekusi atau dirujuk oleh prosesor pusat.
Kontrol memori nyata berusaha mendeteksi dan memperbaiki kesalahan yang terjadi dalam sel
memori dan untuk melindungi area memori yang ditugaskan untuk suatu program dari akses
ilegal oleh program lain.
(iii) Kontrol Memori Virtual: Memori Virtual ada ketika ruang penyimpanan addressable
lebih besar dari ruang memori nyata yang tersedia. Untuk mencapai hasil ini, mekanisme
kontrol harus ada di tempat yang memetakan memori virtual alamat menjadi alamat memori
nyata.
Mekanisme Kontrol Akses: Mekanisme Kontrol Akses dikaitkan dengan pengguna yang
diidentifikasi dan diberi otorisasi sumber daya yang mereka boleh akses dan tindakan istimewa.
Mekanisme memproses permintaan pengguna untuk Memori waktu nyata dan sumber daya
Memori Virtual dalam tiga langkah:

• Identifikasi: Pertama dan terutama, pengguna harus mengidentifikasi diri mereka sendiri.
• Otentikasi: Kedua, pengguna harus mengotentikasi diri mereka sendiri dan mekanisme
tersebut harus mengotentikasi sendiri. Mekanisme mengakses informasi yang tersimpan
sebelumnya tentang pengguna, sumber daya yang dapat mereka akses, dan hak istimewa
tindakan yang mereka miliki sehubungan dengan sumber daya ini; itu kemudian
 mengizinkan atau menolak permintaan. Pengguna dapat memberikan empat faktor
informasi otentikasi seperti dijelaskan dalam Tabel 3.8.5.
Tabel 3.8.5: Kelas Otentikasi
Informasi yang diingat Nama, nomor akun, kata
sandi

Objek yang Dimiliki oleh Lencana, kartu plastik, kunci

pengguna

Karakteristik pribadi Sidik jari, cetak suara,tanda

tangan

Dialog Melalui / sekitar komputer

• Otorisasi: Ketiga, permintaan pengguna untuk spesifik sumber daya, kebutuhan mereka
akan sumber daya tersebut dan bidang penggunaan sumber daya ini. Ada dua pendekatan
untuk mengimplementasikan modul otorisasi dalam mekanisme kontrol akses:
o "pendekatan berorientasi tiket", dan o
"pendekatan berorientasi daftar".
Mempertimbangkan fungsi otorisasi dalam bentuk matriks di mana baris mewakili
pengguna dan kolom mewakili sumber daya dan elemen mewakili hak pengguna pada
sumber daya, kita dapat melihat perbedaan antara dua pendekatan ini.
• Dalam pendekatan berorientasi tiket untuk otorisasi, mekanisme kontrol akses memberikan
pengguna, tiket untuk setiap sumber daya yang diizinkan untuk mereka akses. Pendekatan
berorientasi tiket beroperasi melalui baris dalam matriks. Setiap baris bersama dengan
sumber daya pengguna memiliki hak istimewa tindakan khusus untuk pengguna tersebut.
• Dalam pendekatan berorientasi daftar, mekanisme menghubungkan setiap sumber daya
dengan daftar pengguna yang dapat mengakses sumber daya dan hak istimewa tindakan
yang dimiliki setiap pengguna sehubungan dengan sumber daya. Mekanisme ini beroperasi
melalui kolom dalam matriks. Tabel 3.8.6 yang diberikan di bawah ini menggambarkan
matriks otorisasi dalam mekanisme kontrol akses.
Tabel 3.8.6:Matriks Otorisasi
Pengguna FileFile Editor B Program

Pengguna P Baca Masuk

Pengguna Q Statistik Hanya Masuk Masukkan

Baca

Pengguna R Masukkan Tambahkan saja

Pengguna S Memasukkan Hanya Baca Kode

Sumber Daya
 Keuntungan utama dari sistem berorientasi tiket atau kemampuan adalah efisiensi waktu
berjalannya. Ketika proses pengguna dieksekusi, daftar kapabilitasnya dapat disimpan di
beberapa perangkat memori cepat. Ketika proses mencari akses ke sumber daya, mekanisme
kontrol akses hanya mencari daftar kemampuan untuk menentukan apakah sumber daya ada
dalam daftar dan apakah jika pengguna diizinkan untuk mengambil tindakan yang
diinginkan.

Keuntungan utama sistem berorientasi daftar adalah memungkinkan kemampuan

administrasi yang efisien. Setiap proses pengguna memiliki pointer ke daftar kontrol akses
untuk sumber daya. Dengan demikian, kemampuan sumber daya dapat dikendalikan karena
disimpan di satu tempat. Cukup memeriksa daftar kontrol akses hanya untuk mengetahui
siapa yang memiliki akses atas sumber daya dan juga untuk mencabut akses ke sumber
daya, entri pengguna dalam daftar kontrol akses hanya perlu dihapus.

(iv) Kontrol Pemrosesan Data: Ini melakukan pemeriksaan validasi untuk mengidentifikasi
kesalahan selama pemrosesan data. Mereka diminta untuk memastikan kelengkapan dan
keakuratan data yang sedang diproses. Biasanya, kontrol pemrosesan ditegakkan melalui sistem
manajemen basis data yang menyimpan data. Namun, kontrol yang memadai harus ditegakkan
melalui sistem aplikasi front end juga untuk memiliki konsistensi dalam proses kontrol.
Berbagai kontrol pemrosesan diberikan sebagai berikut:

• Run-to-run Total: Ini membantu dalam memverifikasi data yang dapat diproses melalui
berbagai tahapan. Jika saldo saat ini dari buku besar faktur adalah ` 150.000 dan faktur
tambahan untuk total periode` 20.000 maka total nilai penjualan harus ` 170.000. Catatan
spesifik, mungkin catatan terakhir dapat digunakan untuk mempertahankan total kontrol.
• Verifikasi Kelaikan: Dua bidang atau lebih dapat dibandingkan dan diverifikasi silang untuk
memastikan kebenarannya. Sebagai contoh, persentase hukum dari dana cadangan dapat
dihitung pada jumlah pembayaran kotor untuk memverifikasi apakah kontribusi dana
cadangan yang dikurangi akurat.
• Edit Pemeriksaan: Edit pemeriksaan yang serupa dengan kontrol validasi data juga dapat
digunakan pada tahap pemrosesan untuk memverifikasi keakuratan dan kelengkapan data.
• Inisialisasi Bidang: Limpahan data dapat terjadi, jika catatan terus ditambahkan ke tabel
atau jika bidang ditambahkan ke catatan tanpa menginisialisasi, yaitu pengaturan semua
nilai menjadi nol / kosong sebelum memasukkan bidang atau catatan.
• Laporan Pengecualian: Laporan pengecualian dihasilkan untuk mengidentifikasi kesalahan
dalam data yang diproses. Laporan pengecualian tersebut memberikan kode transaksi dan
mengapa transaksi tertentu tidak diproses atau apa kesalahan dalam memproses transaksi.
Misalnya, saat memproses entri jurnal jika hanya entri debet yang diperbarui dan entri
kredit tidak diperbarui karena tidak adanya salah satu bidang penting, maka laporan
pengecualian akan merinci kode transaksi, dan mengapa itu tidak diperbarui dalam basis
data.
3.8.5 Kontrol Basis Data
Melindungi integritas basis data ketika perangkat lunak aplikasi bertindak sebagai antarmuka
untuk berinteraksi antara pengguna dan basis data, disebut kontrol pembaruan dan kontrol
laporan. Kontrol pembaruan utama diberikan sebagai berikut:

• Pemeriksaan Urutan antara Transaksi dan File Master: Sinkronisasi dan urutan pemrosesan
yang benar antara file master dan file transaksi sangat penting untuk menjaga integritas
pembaruan, penyisipan, atau penghapusan catatan dalam file master dengan hormat ke
catatan transaksi. Jika kesalahan, pada tahap ini diabaikan, itu mengarah pada korupsi data
kritis.
• Pastikan Semua Catatan pada File diproses: Saat memproses, catatan file transaksi
dipetakan ke file master masing-masing, dan file akhir dari file transaksi sehubungan
dengan akhir file file master harus dipastikan .
• Memproses beberapa transaksi untuk catatan tunggal dalam urutan yang benar: Transaksi
ganda dapat terjadi berdasarkan catatan induk tunggal (misalnya pengiriman produk ke
pusat distribusi yang berbeda). Di sini, urutan transaksi diproses terhadap catatan induk
produk harus dilakukan berdasarkan kode transaksi yang diurutkan.
• Mempertahankan akun suspense: Saat memetakan antara catatan master ke catatan transaksi
menghasilkan ketidakcocokan karena kegagalan dalam entri catatan yang sesuai dalam
catatan master; maka transaksi ini disimpan dalam akun suspense. Saldo akun suspense
yang bukan nol mencerminkan kesalahan yang harus diperbaiki. Kontrol Laporan Utama
diberikan sebagai berikut:
• Data Berdiri: Program aplikasi menggunakan banyak tabel internal untuk melakukan
berbagai fungsi seperti perhitungan upah kotor, perhitungan tagihan berdasarkan tabel
harga, perhitungan bunga bank dll. Mempertahankan integritas tabel tingkat pembayaran,
tabel harga dan tabel minat sangat penting dalam suatu organisasi. Setiap perubahan atau
kesalahan dalam tabel ini akan berdampak buruk pada fungsi dasar organisasi. Pemantauan
berkala dari tabel internal ini dengan cara pemeriksaan manual atau dengan menghitung
total kontrol adalah wajib.
• Print-Run-to Run control Total: total kontrol Run-to-Run membantu mengidentifikasi
kesalahan atau penyimpangan seperti catatan yang dihapus dengan salah dari file transaksi,
urutan pembaruan yang salah atau kesalahan pemrosesan perangkat lunak aplikasi.
• Cetak Entri Akun Suspense: Mirip dengan kontrol pembaruan, entri akun suspense harus
dimonitor secara berkala dengan masing-masing file kesalahan dan tindakan diambil tepat
waktu.
• Kontrol Keberadaan / Pemulihan: Strategi cadangan dan pemulihan bersama-sama
mencakup kontrol yang diperlukan untuk memulihkan kegagalan dalam database. Strategi
cadangan diimplementasikan menggunakan versi sebelumnya dan log transaksi atau
perubahan ke database. Strategi pemulihan melibatkan metode roll-forward (database
keadaan saat ini dari versi sebelumnya) atau roll-back (database keadaan sebelumnya dari
versi saat ini).
3.8.6 Kontrol Keluaran Kontrol
ini memastikan bahwa data yang dikirimkan kepada pengguna akan disajikan, diformat, dan
dikirimkan secara konsisten dan aman. Keluaran bisa dalam bentuk apa pun, bisa berupa laporan
data cetak atau file basis data dalam media yang dapat dilepas seperti CD-ROM atau dapat
berupa dokumen Word pada hard disk komputer. Apa pun jenis outputnya, harus dipastikan
kerahasiaan dan integritas output tetap terjaga dan bahwa hasilnya konsisten. Kontrol keluaran
harus ditegakkan baik dalam lingkungan pemrosesan batch maupun dalam lingkungan online.
Berbagai Kontrol Keluaran diberikan sebagai berikut:Alat

• Penyimpanan dan pencatatan bentuk-bentuk sensitif dan kritis: tulis pra-cetak harus
disimpan dengan aman untuk mencegah perusakan yang tidak sah atau penghapusan dan
penggunaan. Hanya orang yang diberi wewenang yang diizinkan untuk mengakses
persediaan alat tulis seperti formulir keamanan, instrumen yang dapat dinegosiasikan, dll.
• Pencatatan eksekusi program keluaran: Ketika program yang digunakan untuk output data
dieksekusi, ini harus dicatat dan dipantau; sebaliknya kerahasiaan / integritas data dapat
dikompromikan.
• Spooling / antrian: "Spool" adalah akronim untuk "Operasi Periferal Simultan Online". Ini
adalah proses yang digunakan untuk memastikan bahwa pengguna dapat terus bekerja,
sementara operasi cetak selesai. Ketika file akan dicetak, sistem operasi menyimpan aliran
data untuk dikirim ke printer dalam file sementara di hard disk. File ini kemudian
"digulung" ke printer segera setelah printer siap menerima data. Penyimpanan output antara
ini dapat menyebabkan pengungkapan dan / atau modifikasi yang tidak sah. Antrian adalah
daftar dokumen yang menunggu untuk dicetak pada printer tertentu; ini tidak boleh
dikenakan modifikasi yang tidak sah.
• Kontrol atas pencetakan: Output harus dilakukan pada printer yang benar dan harus
dipastikan bahwa pengungkapan informasi yang dicetak secara tidak sah tidak terjadi.
Pengguna harus dilatih untuk memilih printer yang benar dan pembatasan akses dapat
ditempatkan pada workstation yang dapat digunakan untuk mencetak.
• Kontrol distribusi dan pengumpulan: laporanDistribusi laporan harus dilakukan dengan cara
yang aman untuk mencegah pengungkapan data yang tidak sah. Itu harus dilakukan segera
setelah pencetakan untuk memastikan bahwa kesenjangan waktu antara generasi dan
distribusi berkurang. Log harus dipelihara untuk laporan yang dibuat dan kepada siapa ini
didistribusikan. Di mana pengguna harus mengumpulkan laporan, pengguna harus
bertanggung jawab atas pengumpulan laporan yang tepat waktu, terutama jika dicetak di
area publik. Log harus dipelihara tentang laporan yang dicetak dan dikumpulkan. Laporan
yang tidak tertagih harus disimpan dengan aman.
• Kontrol retensi: Kontrol retensi mempertimbangkan durasi output yang harus dipertahankan
sebelum dihancurkan. Pertimbangan harus diberikan pada jenis media di mana output
disimpan. Kontrol retensi mensyaratkan bahwa tanggal harus ditentukan untuk setiap item
output yang diproduksi. Berbagai faktor mulai dari kebutuhan output, penggunaan output,
hingga persyaratan legislatif akan mempengaruhi periode retensi.
3.9 Kontrol Umum
Beberapa kontrol umum yang cukup umum digunakan diturunkan dan disajikan pada Gambar.
3.9.1.

General Controls

Operating Data System Computer Internet

Organizational Management Financial BCP Personal
Controls Controls Controls System Management Development Centre and
Controls Controls Controls Controls Security Intranet Computer
Controls Controls Controls

Fig. 3.9.1: General Control

3.9.1 Kontrol Organisasi Kontrol

ini berkaitan dengan proses pengambilan keputusan yang mengarah pada otorisasi manajemen
transaksi. Dalam lingkungan manual, tugas dapat dipisahkan dengan cara berikut:

• Memisahkan tugas otorisasi transaksi dari pemrosesan transaksi;

• Pisahkan penyimpanan catatan dari penyimpanan aset; dan
• Membagi tugas pemrosesan transaksi di antara individu.
Dalam Sistem Informasi Berbasis Komputer (CBIS), karena inisiasi transaksi adalah kegiatan
yang kritis, maka diperlukan pemisahan tugas pada otorisasi, pemrosesan, dan pencatatan
semua aspek transaksi. Segregasi dilakukan pada tingkat fungsional berikut, untuk mematuhi
prinsip-prinsip kontrol internal berikut:

• Memisahkan pembuat / pembuat dari pemeriksa;

• Memisahkan penyimpan catatan aset dari penyimpan aset fisik; dan
• Pengecekan rutin atas efektivitas pengendalian internal.
Untuk menyelamatkan dari kompromi yang mungkin terjadi karena hal di atas, diperlukan hal-
hal berikut harus dilakukan:

• Dokumentasi ditingkatkan karena kelompok pemeliharaan memerlukan dokumentasi untuk

melakukan tugas perawatannya.
Programmer ditolak akses ke lingkungan produksi, untuk mengurangi penipuan yang diprogram.
Perusahaan dengan fasilitas pemrosesan data yang besar memisahkan pemrosesan data dari unit
bisnis untuk memberikan kontrol atas perangkat keras, perangkat lunak, dan sumber daya
manusianya yang mahal. Menggabungkan pemrosesan data ke dalam unit bisnis akan terlalu
banyak tanggung jawab untuk satu manajer.
Teknik kontrol organisasi meliputi dokumentasi sebagai berikut:

• Melaporkan tanggung jawab dan wewenang setiap fungsi,

• Definisi tanggung jawab dan tujuan masing-masing fungsi,
• Kebijakan dan prosedur,
• uraian, dan
• tugasPemisahan tugas.
Ini dibahas sebagai berikut:

(i) Tanggung jawab dan tujuan: Setiap fungsi IS harus didefinisikan dan didokumentasikan
dengan jelas, termasuk perangkat lunak sistem, pemrograman aplikasi dan pengembangan
sistem, administrasi basis data, dan operasi. Manajer senior, dari semua kelompok ini, dan
manajer dari masing-masing kelompok membentuk tim manajemen SI yang bertanggung jawab
atas pemanfaatan sumber daya SI yang efektif dan efisien. Tanggung jawab mereka meliputi:

• Memberikan informasi kepada manajemen senior tentang sumber daya IS, untuk
memungkinkan manajemen senior memenuhi tujuan strategis;
• Merencanakan perluasan sumber daya SI;
• Mengontrol penggunaan sumber daya IS; dan
• Melaksanakan kegiatan dan fungsi yang mendukung pemenuhan rencana strategis
perusahaan.
(ii) Kebijakan, standar, prosedur dan praktik: Kebijakan menetapkan aturan atau batasan otoritas
yang didelegasikan kepada individu di perusahaan. Ini adalah standar dan instruksi yang harus
diikuti oleh semua personel IS saat menyelesaikan tugas yang ditugaskan kepada mereka.
Prosedur menetapkan instruksi yang harus diikuti individu untuk bersaing dalam tugas yang
ditugaskan sehari-hari. Mandat semua permintaan untuk perubahan pada program yang ada
harus disetujui oleh pengguna dan manajemen IS sebelum programmer dan analis dapat
mengatasinya adalah contoh kebijakan. Instruksi terdokumentasi untuk mengisi formulir
permintaan perubahan standar, cara menjustifikasi biaya perubahan, cara menentukan perubahan
yang diperlukan, cara mendapatkan persetujuan, dan dari siapa mendapatkan persetujuan adalah
contoh prosedur. Kebijakan yang terdokumentasi harus ada dalam IS untuk:

• Penggunaan sumber daya IS,

• Keamanan fisik,
• Keamanan data

3.9.5 Kontrol Sistem Operasi

Sistem Operasi adalah program kontrol komputer. Ini memungkinkan pengguna dan aplikasi
mereka untuk berbagi dan mengakses sumber daya komputer yang umum, seperti prosesor,
memori utama, basis data dan printer. Sistem operasi melakukan tugas-tugas utama berikut:

 Menjadwalkan Pekerjaan: Mereka dapat menentukan urutan di mana pekerjaan

dieksekusi, menggunakan prioritas ditetapkan.
 Mengelola Sumber Daya Perangkat Keras dan Perangkat Lunak: Pertama dapat
menyebabkan pengguna program aplikasi yang akan dijalankan dengan memuatnya ke
 penyimpanan utama dan kemudian menyebabkan berbagai unit perangkat keras untuk
melakukan seperti yang ditentukan oleh aplikasi.
 Menjaga Keamanan Sistem: Mereka mungkin meminta pengguna untuk memasukkan
kata sandi – sekelompok karakter yang mengidentifikasi pengguna sebagai yang
berwenang untuk memiliki akses ke sistem.
 Mengaktifkan Berbagi Banyak Sumber Daya Pengguna: Mereka dapat menangani
penjadwalan dan pelaksanaan program aplikasi untuk banyak pengguna secara
bersamaan, sebuah fitur yang disebut multiprogramming.
 Menangani Interupsi: Interupsi adalah teknik yang digunakan oleh sistem operasi untuk
sementara waktu menangguhkan pemrosesan satu program untuk memungkinkan
program lain melakukannya dieksekusi. Interupsi dikeluarkan ketika suatu program
meminta operasi yang tidak memerlukan CPU, seperti input atau output, atau ketika
program melebihi beberapa batas waktu yang telah ditentukan.
 Memelihara Catatan Penggunaan: Mereka dapat melacak jumlah waktu yang digunakan
oleh masing-masing pengguna untuk setiap unit sistem - CPU, penyimpanan sekunder,
dan perangkat input dan output.Informasi tersebut biasanya dipertahankan untuk tujuan
membebankan biaya pada departemen penggunaan sumber daya komputasi organisasi.
(a) Tujuan Pengendalian: Sistem Operasi menjadi salah satu perangkat lunak paling penting dari
semua perangkat komputer perlu bekerja di lingkungan yang terkontrol dengan baik. Berikut ini
adalah kontrol utama tujuan:
1. Melindungi diri dari pengguna;
2. Melindungi pengguna dari satu sama lain;
3. Lindungi pengguna dari diri mereka sendiri;
4. Sistem operasi harus dilindungi dari dirinya sendiri; dan
5. Sistem operasi harus dilindungi dari lingkungannya.
(B) Keamanan Sistem Operasi: Keamanan sistem operasi melibatkan kebijakan, prosedur dan
kontrol yang menentukan, ‘siapa yang dapat mengakses sistem operasi,’ resources sumber daya
apa yang mereka miliki dapat mengakses ’, dan‘ tindakan apa yang dapat mereka ambil ’.
Komponen keamanan berikut adalah ditemukan dalam sistem operasi yang aman:
• Prosedur Masuk: Prosedur masuk adalah garis pertahanan pertama melawan akses yang
tidak sah. Ketika pengguna memulai proses log-on dengan memasukkan id pengguna dan
kata sandi, sistem membandingkan ID dan kata sandi dengan database yang valid user-id
dimasukkan secara tidak benar, kemudian setelah sejumlah upaya yang salah dilakukan,
dan sistem harus mengunci pengguna dari sistem.
• Token Akses: Jika upaya masuk berhasil, Sistem Operasi akan membuat token akses
yang berisi informasi utama tentang pengguna termasuk user-id, kata sandi, grup
pengguna, dan hak istimewa yang diberikan kepada pengguna. Informasi dalam token
akses digunakan untuk menyetujui semua tindakan yang dilakukan oleh pengguna selama
sidang.
• Daftar Kontrol Akses: Daftar ini berisi informasi yang menentukan akses hak istimewa
untuk semua pengguna sumber daya yang valid. Ketika pengguna mencoba mengakses
sumber daya, sistem membagi pengguna-id dan hak istimewa yang terkandung dalam
 token akses dengan yang ada dalam daftar kontrol akses. Jika ada kecocokan, maka
pengguna diberikan akses.
• Kontrol Akses Discretionary: Administrator sistem biasanya menentukan; siapa diberikan
akses ke sumber daya tertentu dan memelihara daftar kontrol akses. Namun, dalam sistem
terdistribusi, sumber daya dapat dikontrol oleh pengguna akhir. Pemilik sumber daya
dalam pengaturan ini dapat diberikan kontrol akses diskresioner, yang memungkinkan
mereka untuk memberikan hak akses kepada pengguna lain. Misalnya pengontrol siapa
pemilik hibah buku besar hanya membaca hak istimewa untuk penganggaran departemen
sementara manajer hutang dibayar baik membaca dan menulis izin ke buku besar.
(c) Pemulihan dari program yang merusak: Berikut ini dapat digunakan sebagai solusi dari
program destruktif seperti virus, worm dll .:
1. Beli perangkat lunak dari vendor ternama;
2. Periksa semua perangkat lunak sebelum implementasi;
3. Membangun program pendidikan untuk kesadaran pengguna;
4. Instal semua aplikasi baru pada komputer mandiri dan uji secara menyeluruh;
5. Buat salinan cadangan file kunci; dan
6. Selalu gunakan perangkat lunak anti-virus yang diperbarui.
3.9.6 Kontrol Manajemen Data
Kontrol ini termasuk dalam dua kategori:
• Kontrol Akses, dan
• Kontrol Pencadangan.
(a) Kontrol Akses: Kontrol akses dirancang untuk mencegah individu yang tidak berwenang
melihat, mengambil, menghitung atau menghancurkan data entitas. Kontrol dibuat dengan cara
berikut:

• Kontrol Akses Pengguna melalui kata sandi, token, dan Kontrol biometrik; dan
 Enkripsi Data: Menyimpan data dalam basis data dalam bentuk terenkripsi.
(b) Kontrol Pencadangan: Kontrol pencadangan memastikan ketersediaan sistem jika terjadi data
kerugian karena akses yang tidak sah, kegagalan peralatan atau bencana fisik; organisasi dapat
mengambil file dan databasenya. Cadangan mengacu pada membuat salinan data sehingga
salinan tambahan ini dapat digunakan untuk mengembalikan data asli setelah kehilangan data.
Berbagai strategi cadangan diberikan sebagai berikut:

• Rekaman ganda data: Di bawah strategi ini, dua salinan lengkap dari database
dipertahankan. Basis data diperbarui secara bersamaan.
• Pembuangan data secara berkala: Strategi ini melibatkan pengambilan data semua atau
secara berkala bagian dari database. Basis data disimpan pada suatu titik waktu dengan
menyalinnya beberapa media penyimpanan cadangan - pita magnetik, removable disk,
Optical disk. Itu dump mungkin dijadwalkan.
• Mencatat transaksi input: Ini melibatkan pencatatan transaksi data input yang
menyebabkan perubahan pada basis data. Biasanya, ini bekerja bersama dengan a
 pembuangan berkala. Dalam kasus kegagalan database lengkap, dump terakhir dimuat
dan pemrosesan ulang transaksi dilakukan yang dicatat sejak terakhir membuang.
• Logging perubahan pada data: Ini melibatkan menyalin catatan setiap kali itu diubah oleh
tindakan pembaruan. Catatan yang diubah dapat segera dicatat sebelum tindakan
pembaruan mengubah catatan, segera setelah, atau keduanya. Terlepas dari strategi
cadangan basis data seperti yang disebutkan di atas, penting untuk mengimplementasikan
email dan kebijakan cadangan file pribadi. Kebijakannya bisa seperti membakar CD
dengan folder dan dokumen penting secara berkala untuk fungsi yang lebih terperinci dan
otomatis. Pilihan tergantung dan bervariasi dengan ukuran, sifat, dan kompleksitas
situasi. Pemulihan harus dilakukan untuk semua cadangan setidaknya dua kali setahun.
3.9.7 Kontrol Pengembangan Sistem
Kontrol pengembangan sistem ditargetkan untuk memastikan bahwa dokumentasi dan
otorisasi tersedia untuk setiap fase proses pengembangan sistem. Itu termasuk kontrol untuk
mengendalikan kegiatan pengembangan sistem baru: Enam kegiatan yang dibahas di bawah ini
berurusan dengan kontrol pengembangan sistem dalam pengaturan TI. Ini diberikan sebagai
berikut:

• Kegiatan Otorisasi Sistem: Semua sistem harus diberi wewenang dengan benar untuk
memastikan pembenaran dan kelayakan ekonomi mereka. Seperti halnya transaksi apa
pun, otorisasi sistem harus formal. Ini mengharuskan setiap permintaan sistem baru
diajukan secara tertulis dibentuk oleh pengguna untuk profesional sistem yang memiliki
keahlian dan wewenang untuk mengevaluasi dan menyetujui (atau menolak) permintaan.
• Aktivitas Spesifikasi Pengguna: Pengguna harus terlibat aktif dalam sistem proses
pengembangan. Keterlibatan pengguna tidak boleh diabaikan karena tingkatannya yang
tinggi kompleksitas teknis dalam sistem. Terlepas dari teknologi yang terlibat, pengguna
dapat membuat deskripsi tertulis terperinci dari kebutuhan logis yang harus dipenuhi oleh
sistem. Pembuatan dokumen spesifikasi pengguna sering melibatkan upaya bersama
pengguna dan profesional sistem. Namun, yang terpenting adalah dokumen ini tetap
merupakan pernyataan kebutuhan pengguna. Seharusnya menggambarkan pandangan
pengguna tentang masalah, bukan bahwa para profesional sistem.
• Kegiatan Desain Teknis: Kegiatan desain teknis di SDLC menerjemahkan spesifikasi
pengguna menjadi serangkaian spesifikasi teknis terperinci dari suatu sistem yang
memenuhi kebutuhan pengguna. Ruang lingkup kegiatan ini meliputi analisis sistem,
umum desain sistem, analisis kelayakan, dan desain sistem terperinci. Kecukupan ini
kegiatan diukur dengan kualitas dokumentasi yang muncul dari setiap fase. Dokumentasi
adalah kontrol dan bukti kontrol dan sangat penting untuk sistem sukses jangka panjang.
• Partisipasi Auditor Internal: Auditor internal memainkan peran penting dalam
mengendalikan kegiatan pengembangan sistem, khususnya di organisasi yang
penggunanya kurang keahlian teknis. Auditor harus terlibat pada awal SDLC proses
untuk membuat saran konseptual mengenai persyaratan dan kontrol sistem. Keterlibatan
auditor harus dilanjutkan di semua fase pengembangan proses dan ke dalam fase
pemeliharaan.
• Pengujian Program: Semua modul program harus diuji secara menyeluruh sebelum itu
diimplementasikan. Hasil tes kemudian dibandingkan dengan hasil yang telah ditentukan
untuk mengidentifikasi kesalahan pemrograman dan logika. Pengujian program memakan
 waktu, tugas utama adalah menciptakan bermakna data uji. Untuk memfasilitasi
pelaksanaan tujuan audit yang efisien, data uji disiapkan selama fase implementasi harus
dilestarikan untuk penggunaan di masa depan. Ini akan memberikan auditor kerangka
referensi untuk merancang dan mengevaluasi tes audit masa depan. Sebagai contoh, jika
suatu program tidak mengalami perubahan pemeliharaan sejak penerapannya, pengujian
hasil dari audit harus identik dengan hasil tes asli. Memiliki dasar untuk Sebagai
perbandingan, auditor dapat dengan cepat memverifikasi integritas kode program. Di
Sebaliknya, jika terjadi perubahan, data uji asli dapat memberikan bukti tentang
perubahan ini. Auditor dengan demikian dapat memusatkan perhatian pada bidang-
bidang tersebut.
• Tes Pengguna dan Prosedur Penerimaan: Tepat sebelum implementasi, individu modul
sistem harus diuji sebagai satu kesatuan. Tim uji yang terdiri dari pengguna personel,
profesional sistem, dan personel audit internal menerapkan sistem tersebut pengujian
yang ketat. Setelah tim uji puas bahwa sistem memenuhi yang dinyatakan persyaratan,
sistem diterima secara formal oleh departemen pengguna. Tes formal dan penerimaan
sistem harus mempertimbangkan yang paling penting kontrol atas SDLC. Sangat penting
bahwa penerimaan pengguna didokumentasikan. Sebelum implementasi, ini adalah titik
terakhir di mana pengguna dapat menentukan sistem kecukupan dan penerimaan.
Meskipun menemukan kelemahan utama pada titik ini mahal, menemukan kelemahan
selama operasi produksi mungkin sangat menghancurkan.
3.9.8 Keamanan dan Kontrol Pusat Komputer
Ini adalah jenis berikut:

• Keamanan fisik,
• Keamanan Perangkat Lunak & Data, dan
• Keamanan Komunikasi Data.
a. Keamanan Fisik: Keamanan yang diperlukan untuk sistem komputer dapat dikategorikan
sebagai keamanan dari pelanggaran tidak disengaja dan pelanggaran insidental. Pelanggaran
keamanan karena kecelakaan bencana alam seperti kebakaran, banjir dan gempa bumi dll.
dapat menyebabkan kehancuran total data dan informasi penting. Modifikasi insidental atau
penipuan atau perusakan catatan keuangan yang dikelola oleh organisasi dapat menyebabkan
jumlah yang cukup besar uang yang akan disalurkan kepada personel yang curang.
Demikian pula, akses tidak sah ke rahasia catatan organisasi dapat menyebabkan kebocoran
informasi penting. Karenanya, ada a kebutuhan besar akan keamanan fisik sistem komputer.
Keamanan fisik termasuk pengaturan untuk:
• deteksi kebakaran dan sistem pencegah kebakaran,
• keamanan dari kerusakan air,
• perlindungan dari variasi daya, dan
• polusi dan intrusi yang tidak sah.

Ini dibahas sebagai berikut:

• Kerusakan Kebakaran: Ini merupakan ancaman besar bagi keamanan fisik instalasi komputer.
Beberapa fitur utama dari sistem perlindungan kebakaran yang dirancang dengan baik diberikan
di bawah:
  Kedua alarm kebakaran otomatis dan manual ditempatkan di lokasi strategis.
 Panel kontrol dapat dipasang yang menunjukkan di mana di lokasi alarm otomatis atau
manual telah dipicu.
 Selain panel kontrol, sakelar master dapat dipasang untuk daya dan sistem pencegah
kebakaran otomatis.
 Alat pemadam api manual dapat ditempatkan di lokasi strategis.
 Pintu keluar api harus ditandai dengan jelas. Ketika alarm kebakaran diaktifkan, sebuah
sinyal dapat dikirim secara otomatis ke stasiun berawak permanen.
 Semua anggota staf harus tahu cara menggunakan sistem. Prosedur menjadi diikuti
selama darurat harus didokumentasikan dengan baik adalah: Kebakaran Alarm, Alat
Pemadam Kebakaran, Penyiram, Instruksi / Fire Brigade No., Smoke detektor, dan alat
pemadam kebakaran berbasis Karbon dioksida.
 Kurang kayu dan plastik harus berada di ruang komputer.
•Kerusakan Air: Kerusakan air pada instalasi komputer dapat menjadi hasil dari pipa air pecah.
Kerusakan air juga dapat disebabkan oleh sumber daya lain seperti topan, tornado, banjir dll.
Beberapa cara utama untuk melindungi instalasi terhadap kerusakan air adalah sebagai berikut:
 Sedapat mungkin memiliki langit-langit, dinding, dan lantai tahan air;
 Pastikan ada sistem drainase positif yang memadai;
 Pasang alarm di titik strategis dalam instalasi;
 Di daerah banjir ada instalasi di atas lantai atas tetapi tidak di atas lantai;
 Gunakan sistem pencegah kebakaran berbasis gas;
 Pemeriksaan air; dan
 Alarm kebocoran air.
• Variasi Catu Daya: regulator tegangan dan pemutus sirkuit melindungi perangkat keras dari
peningkatan sementara atau penurunan daya. Baterai cadangan UPS bisa disediakan jika terjadi
kehilangan daya sementara. Generator diperlukan untuk kerugian daya yang berkelanjutan untuk
periode yang panjang.
• Kerusakan Polusi: Polutan utama dalam instalasi komputer adalah debu. Debu terjebak di
antara permukaan pita magnetik / cakram dan bacaan dan tulisan kepala dapat menyebabkan
kerusakan permanen pada data atau kesalahan baca / tulis. Karena pertimbangan harus diberikan
untuk lingkungan yang bebas debu di ruang komputer. Pembersihan dinding, lantai dan peralatan
secara teratur, dll. Adalah penting. Hanya seperti itu bahan dan finishing dapat digunakan di
dalam ruangan, yang memungkinkannya tetap ada bebas debu. Ini adalah:

• kondisi udara,
• perlindungan debu, dan
• pembersihan secara teratur.

• Intrusion Tidak Resmi: intrusi yang tidak sah mengambil dua bentuk. Pertama, si penyusup
dengan memasuki ruangan secara fisik dapat mencuri aset atau melakukan sabotase. Atau,
penyusup dapat menguping instalasi dengan mengetuk kawat, menginstal bug elektronik atau
menggunakan penerima yang mengambil elektromagnetik sinyal. Entri fisik dapat dibatasi ke
ruang komputer dengan berbagai cara. Sebuah sistem lencana dapat digunakan untuk
mengidentifikasi status personel di dalam komputer kamar. Berbagai perangkat tersedia untuk
mendeteksi keberadaan bug oleh pengganggu ini adalah:
  Pencatatan secara fisik atau elektronik,
 Penjaga, anjing,
 Masuk di area komputer dibatasi,
 Buku log,
 Alarm,
 Mencegah penyadapan kawat,
 Detektor intrusi fisik, dan
 Keamanan Dokumen, data & media penyimpanan.
(B) Perangkat Lunak & Keamanan Data: Dalam dunia bisnis saat ini, perdagangan adalah
melalui jaringan & miliki tersebar di wilayah geografis, jadi keamanan adalah keharusan. Berikut
adalah beberapa contohnya persyaratan:

• Otorisasi orang untuk menggunakan data,

• Kata Sandi & PIN,
• Pemantauan setelah aktivitas jam kantor,
• Pemisahan, periksa & kontrol atas informasi penting,
• Audit yang sering,
• Penyaringan dan pemeriksaan latar belakang sebelum perekrutan,
• Enkripsi data: - Melihat & mengenali data hanya dengan PIN & kata sandi (Seperti P& L
& B / S melihat),
• perangkat lunak keamanan,
• Pemeriksaan manajemen,
• Mencadangkan data / informasi, dan
• Perangkat lunak antivirus.

(c) Keamanan Komunikasi Data: Ini adalah aspek penting lain yang harus dicakup. Ini dapat
diimplementasikan melalui kontrol berikut:

• Mengaudit jejak kegiatan jaringan penting,

• Masuk pada pengidentifikasi pengguna,
• Kata sandi untuk mendapatkan akses,
• Kunci terminal,
• Otentikasi pengirim & penerima,
• Periksa akses dari terminal yang tidak resmi,
• Enkripsi data / informasi,
• Administrasi jaringan yang tepat,
• Perangkat keras & perangkat lunak sistem yang terintegrasi,
• Penggunaan protokol jaringan yang disetujui,
• Administrasi jaringan, dan
• Pengidentifikasi perangkat yang dikodekan secara internal.

3.9.9 Kontrol Internet dan Intranet

(a) Eksposur utama dalam sub-sistem komunikasi termasuk Internet dan Intranet, yang diberikan
sebagai berikut:
1. Kegagalan Komponen: Data dapat hilang atau rusak karena kegagalan komponen. Itu komponen
utama dalam sub-sistem komunikasi diberikan sebagai berikut:
• Jalur komunikasi yaitu. twisted pair, kabel coaxial, serat optik, microwave dan satelit dll.
• Perangkat keras - port, modem, multiplexer, sakelar dan konsentrator dll.
• Perangkat Lunak - Perangkat lunak switching paket, perangkat lunak polling, perangkat
lunak kompresi data dll.
• Karena kegagalan komponen, transmisi antara pengirim dan penerima mungkin terjadi
terganggu, hancur atau rusak dalam sistem komunikasi.
2. Ancaman Subversif: Seorang penyusup berupaya untuk melanggar integritas beberapa
komponen dalam sub-sistem. Seorang penyusup berusaha untuk melanggar integritas
beberapa komponen dalam sub-sistem oleh:
• Ketuk invasif: Dengan menginstalnya pada saluran komunikasi, ia dapat membaca dan
memodifikasi data.
• Ketuk induktif: Ini memonitor transmisi elektromagnetik dan memungkinkan data
menjadi baca saja.
• Penolakan Layanan: Ketika pengguna membuat koneksi di Internet melalui TCP / IP,
jabat tangan tiga arah terjadi antara paket Synchronize (SYN), Paket SYN ACK
(Pengakuan) dan paket ACK. Peretas mentransmisikan hacker komputer ratusan paket
SYN ke penerima tetapi tidak pernah menanggapi dengan ACK untuk menyelesaikan
koneksi. Akibatnya, port server penerima tersumbat permintaan komunikasi yang tidak
lengkap dan permintaan yang sah dapat dicegah mengakses. Ini dikenal sebagai
Connection Flooding.Serangan subversif dapat memberikan informasi penting tentang
pesan kepada penyusup sedang dikirim dan penyusup dapat memanipulasi pesan-pesan
ini dengan banyak cara.
(B) Kontrol untuk Ancaman Subversif

• Firewall: Organisasi yang terhubung ke Internet dan Intranet sering

mengimplementasikan firewall elektronik untuk melindungi jaringan mereka dari
gangguan. Firewall adalah sistem itu menegakkan kontrol akses antara dua jaringan.
Untuk mencapai ini, semua lalu lintas antara jaringan eksternal dan Intranet organisasi
harus melewati firewall. Hanya lalu lintas resmi antara organisasi dan luar yang diizinkan
untuk melewati firewall. Firewall harus kebal untuk menembus dari keduanya di luar dan
di dalam organisasi. Selain mengisolasi organisasi jaringan dari jaringan eksternal,
firewall dapat digunakan untuk melindungi bagian dari Intranet organisasi dari akses
internal juga.
• Enkripsi: Enkripsi adalah konversi data menjadi kode rahasia untuk penyimpanan
database dan transmisi melalui jaringan. Pengirim menggunakan enkripsi algoritma dan
pesan asli yang disebut teks bening diubah menjadi cipher teks. Ini didekripsi di ujung
penerima. Algoritme enkripsi menggunakan kunci. Semakin banyak bit dalam kunci,
semakin kuat pula algoritma enkripsi. Dua jendral pendekatan digunakan untuk enkripsi
yaitu. enkripsi kunci pribadi dan kunci publik.
• Pencatatan Log Transaksi: Seorang penyusup dapat menembus sistem dengan mencoba
kombinasi kata sandi dan ID pengguna yang berbeda. Semua permintaan masuk dan
keluar bersama dengan percobaan akses harus dicatat dalam log transaksi. Log
 seharusnya catat ID pengguna, waktu akses dan lokasi terminal dari mana permintaan
telah berasal.
• Panggil Kembali Perangkat: Ini didasarkan pada prinsip bahwa kunci keamanan jaringan
adalah untuk menjaga penyusup dari Intranet daripada memaksakan tindakan keamanan
setelah penjahat telah terhubung ke intranet. Perangkat panggilan balik mengharuskan
pengguna untuk melakukannya masukkan kata sandi dan kemudian sistem memutuskan
koneksi. Jika peneleponnya resmi, perangkat panggilan balik memanggil nomor
pemanggil untuk membuat yang baru koneksi. Ini membatasi akses hanya dari terminal
resmi atau nomor telepon dan mencegah penyusup yang menyamar sebagai pengguna
yang sah. Ini juga membantu hindari penerusan panggilan dan man-in-the middle attack.
3.9.10 Kontrol Komputer Pribadi
Risiko terkait diberikan sebagai berikut:

• Komputer pribadi berukuran kecil dan mudah disambungkan dan dilepas, kemungkinan
besar untuk dipindahkan dari satu lokasi ke lokasi lain atau bahkan dibawa keluar
organisasi untuk pencurian informasi.
• Pen drive dapat dengan mudah dipindahkan dari satu tempat ke tempat lain pencurian
data yang mungkin terjadi. Bahkan hard disk dapat porting dengan mudah hari ini.
• PC pada dasarnya adalah mesin yang berorientasi pengguna tunggal dan karenanya, tidak
menyediakan data yang melekat perlindungan. Masalah dapat disebabkan oleh virus
komputer dan perangkat lunak bajakan, yaitu, korupsi data, operasi lambat dan sistem
rusak dll.
• Pemisahan tugas tidak dimungkinkan, karena jumlah staf yang terbatas.
• Karena banyaknya instalasi, mobilitas staf lebih tinggi dan karenanya menjadi sumber
kebocoran informasi.
• Staf operasi mungkin tidak cukup terlatih.
a. Kontrol akses yang lemah: Sebagian besar prosedur log-on menjadi aktif hanya pada saat
booting komputer dari hard drive. Tindakan Keamanan yang dapat dilakukan untuk mengatasi
risiko-risiko tersebut adalah diberikan sebagai berikut:
• Mengunci sistem secara fisik;
• Penebangan peralatan yang benar harus dilakukan;
• Pembelian perangkat keras dan perangkat lunak secara terpusat;
• Standar yang ditetapkan untuk pengembangan, pengujian dan dokumentasi;
• Penggunaan perangkat lunak antimalware;
• Penggunaan komputer pribadi dan periferalnya harus memiliki kontrol; dan
• Penggunaan kunci disk yang mencegah akses tidak sah ke floppy disk atau pen drive a
• komputer.

3.10 Kontrol atas Integritas dan Keamanan Data

Sebelum membahas kontrol yang berkaitan dengan Integritas Data, penting untuk dipahami
konsep informasi terklasifikasi. Klasifikasi informasi dan dokumen sangat penting jika seseorang
harus membedakan antara yang nilainya kecil (jika ada), dan yang sangat tinggi sensitif dan
rahasia. Ketika data disimpan, apakah diterima, dibuat atau diubah, itu harus selalu
diklasifikasikan ke dalam tingkat sensitivitas yang sesuai. Bagi banyak organisasi, kelas 5 skala
sederhana akan cukup sebagai berikut:

• Top Secret: Informasi internal yang sangat sensitif mis. merger atau akuisisi yang
tertunda; strategi investasi; rencana atau desain; yang dapat merusak organisasi secara
serius jika informasi tersebut hilang atau dipublikasikan. Informasi diklasifikasikan
sebagai informasi Top Secret memiliki distribusi yang sangat terbatas dan harus
dilindungi setiap saat. Keamanan di level ini harus setinggi mungkin.
• Sangat Rahasia: Informasi yang, jika dipublikasikan atau bahkan dibagikan di sekitar
organisasi, dapat dengan serius menghambat operasi organisasi dan dianggap kritis untuk
operasi yang sedang berlangsung. Informasi akan mencakup informasi akuntansi, bisnis
rencana, informasi pelanggan yang sensitif dari bank, pengacara dan akuntan dll., milik
pasien catatan medis dan data yang sangat sensitif serupa. Informasi tersebut tidak boleh
disalin atau dihapus dari kontrol operasional organisasi tanpa otoritas tertentu. Keamanan
di level ini harus sangat tinggi.
• Hak Milik: Informasi yang bersifat hak milik; prosedur, rutinitas kerja operasional,
rencana proyek, desain dan spesifikasi yang menentukan cara organisasi beroperasi.
Informasi semacam itu biasanya hanya untuk penggunaan khusus bagi personel yang
berwenang. Keamanan di level ini harus tinggi.
• Penggunaan Internal saja: Informasi tidak disetujui untuk sirkulasi umum di luar
organisasi di mana kerugiannya akan merepotkan organisasi atau manajemen tetapi di
mana pengungkapan tidak mungkin mengakibatkan kerugian finansial atau kerusakan
serius pada kredibilitas. Contohnya termasuk, memo internal, risalah rapat, laporan
proyek internal. Keamanan pada level ini harus dikontrol tetapi normal.
Dokumen Publik: Informasi dalam domain publik; laporan tahunan, pernyataan pers dll; yang
telah disetujui untuk penggunaan umum. Keamanan pada level ini harus minimal.
3.10.1 Integritas Data
Organisasi harus memutuskan berbagai implementasi pengendalian integritas data. Itu
Tujuan utama dari teknik kontrol integritas data adalah untuk mencegah, mendeteksi, dan
memperbaiki kesalahan dalam transaksi saat mereka mengalir melalui berbagai tahap program
pemrosesan tanggal tertentu. Di dengan kata lain, mereka memastikan integritas input aplikasi
tertentu, data yang tersimpan, program, transmisi data, dan output. Kontrol integritas data
melindungi data dari kecelakaan atau perubahan berbahaya atau perusakan dan memberikan
jaminan kepada pengguna bahwa informasi tersebut memenuhi harapan tentang kualitas dan
integritasnya. Menilai integritas data melibatkan evaluasi prosedur kritis berikut:

• Perangkat lunak pendeteksi dan eliminasi virus diinstal dan diaktifkan.

• Kontrol integritas dan validasi data digunakan untuk memberikan jaminan bahwa
informasi tersebut belum diubah dan sistem berfungsi sebagaimana dimaksud Integritas
data adalah cerminan dari akurasi, kebenaran, validitas, dan mata uang dari data. Tujuan
utama dalam memastikan integritas adalah untuk melindungi data dari input yang salah
pengguna yang berwenang. Auditor harus peduli dengan pengujian sistem yang
dikembangkan pengguna; perubahan atau rilis data, yang tidak diketahui pengguna, dapat
terjadi karena cacat desain. Sebuah pengguna dapat berasumsi bahwa output yang terlihat
 adalah satu-satunya aktivitas sistem tetapi ada kemungkinan itu data yang keliru dapat
menyerang sistem. Seseorang selain perancang atau pengguna harus menguji aplikasi.
Sekali lagi, ini sangat penting jika meja layanan dialihkan ke layanan aplikasi pemberi.
Pelepasan informasi pelanggan kepada entitas seperti itu harus dikontrol melalui
persyaratan kontrak dengan penalti jika data dikompromikan.
Ada enam kategori kendali integritas yang dirangkum dalam Tabel 3.10.1. 

Kategori Kontrol Ancaman / Risiko Kontrol

Sumber data Tidak valid, tidak lengkap, atau Bentuk desain; formulir pra-nomor
berurutan, dokumen turnaround;
kontrol data sumber tidak akurat pembatalan dan penyimpanan dokumen,
memasukkan tinjau untuk otorisasi yang sesuai;
pemisahan tugas, pemindaian visual;
periksa digit verifikasi; dan verifikasi
kunci.

Validasi input Tidak valid atau tidak akurat Saat file transaksi diproses, edit
Program periksa bidang data utama
rutinitas data dalam komputer diproses menggunakan pemeriksaan edit ini,
transaksi file urutan, bidang, tanda, validitas, batas,
rentang, kewajaran, data yang
berlebihan, dan kapasitas memeriksa.
Masukkan pengecualian dalam log
kesalahan; selidiki, koreksi, dan kirim
kembali tepat waktu; sunting kembali

Entri data online Tidak valid atau tidak akurat

Bidang, batas, rentang, kewajaran,
tanda, validitas, dan pengecekan data
kontrol input transaksi dimasukkan yang berlebihan; id pengguna dan kata
melalui online terminal sandi; tes kompatibilitas; sistem
otomatis entri tanggal; meminta
operator selama data entri, pra-format,
uji kelengkapan; closedloop verifikasi;
log transaksi dikelola oleh sistem;
menghapus pesan kesalahan, dan data
retensi yang cukup untuk memenuhi
persyaratan hukum.

Mengolah data Tidak akurat atau data tidak Kebijakan dan prosedur (mengatur
lengkap di diproses komputer kegiatan
dan penyimpanan file master
personil pemrosesan dan penyimpanan
kontrol data; data keamanan dan kerahasiaan,
jejak audit, dan perjanjian kerahasiaan);
  pemantauan dan mempercepat entri data
oleh personel kontrol data; rekonsiliasi
pembaruan sistem dengan kontrol akun
atau laporan; rekonsiliasi basis data total
dengan total yang dipertahankan secara
eksternal; pelaporan pengecualian, cek
mata uang data, nilai default, marching
data; keamanan data (perpustakaan data
dan pustakawan, salinan cadangan data
file yang disimpan di lokasi di luar
lokasi yang aman, perlindungan
terhadap kondisi yang dapat
membahayakan data tersimpan);
menggunakan label file dan menulis
mekanisme perlindungan, perlindungan
basis data mekanisme (administrator
data yang bijaksana, data kamus, dan
kontrol pembaruan bersamaan) dan
kontrol konversi data.

Kontrol keluaran Tidak akurat atau komputer Prosedur untuk memastikan bahwa
tidak lengkap keluaran output sistem sesuai dengan tujuan
integritas organisasi, kebijakan, dan
standar, tinjauan visual output
komputer, rekonsiliasi total batch;
distribusi output yang tepat; hasil
rahasia yang dikirim dilindungi dari
yang tidak sah akses, modifikasi, dan
misrouting; peka atau out-put rahasia
yang disimpan di area aman; review
pengguna output komputer untuk
kelengkapan dan akurasi, penghancuran
keluaran rahasia tidak lagi dibutuhkan;
kesalahan dan laporan pengecualian.

Transmisi data Akses yang tidak sah Monitor jaringan untuk

mendeteksi titik minggu,
kontrol menjadi data
 ditransmisikan atau ke cadangan

sistem itu sendiri; sistem komponen, desain jaringan

untuk menangani puncak
kegagalan; kesalahan dalam
data pemrosesan, banyak jalur
komunikasi
transmisi
antar komponen jaringan,
preventif

pemeliharaan, enkripsi data,

perutean

verifikasi (label tajuk,

otentikasi bersama

skema, sistem panggilan

balik), pemeriksaan paritas;

dan prosedur pengakuan

pesan

(gema cek, label trailer, bets

bernomor)

3.73-3.83
3.10.2 Kebijakan Integritas Data
Kebijakan integritas data utama diberikan sebagai berikut:
• Pembaruan Tanda Tangan Virus: Tanda tangan virus harus diperbarui secara otomatis ketika
tanda tangan tersebut
tersedia dari vendor melalui pengaktifan pembaruan otomatis.
• Pengujian Perangkat Lunak: Semua perangkat lunak harus diuji dalam lingkungan pengujian
yang sesuai sebelumnya
instalasi pada sistem produksi.
• Divisi Lingkungan: Divisi lingkungan menjadi Pengembangan, Uji, dan
Diperlukan produksi untuk sistem kritis.
• Penyimpanan Cadangan di Luar Lokasi: Cadangan yang lebih dari satu bulan harus dikirim ke
luar untuk
penyimpanan permanen.
• Pencadangan Kuartal Akhir dan Akhir Tahun: Pencadangan triwulan dan akhir tahun harus
dilakukan
terpisah dari jadwal normal, untuk keperluan akuntansi
• Pemulihan Bencana: Rencana pemulihan bencana yang komprehensif harus digunakan untuk
memastikan
kelangsungan bisnis perusahaan dalam hal terjadi pemadaman.

3.10.3 Keamanan Data

Keamanan data mencakup perlindungan data terhadap pengungkapan yang disengaja atau tidak
disengaja
kepada orang yang tidak berwenang serta pencegahan modifikasi dan penghapusan yang tidak
sah
data. Diperlukan beberapa tingkat keamanan data dalam lingkungan sistem informasi;
mereka termasuk perlindungan basis data, integritas data, dan keamanan perangkat keras dan
perangkat lunak
kontrol, keamanan fisik atas pengguna, dan kebijakan organisasi. Auditor SI adalah
bertanggung jawab untuk mengevaluasi hal-hal berikut sambil meninjau kecukupan kontrol
keamanan data:
• Siapa yang bertanggung jawab atas keakuratan data?
• Siapa yang diizinkan untuk memperbarui data?
• Siapa yang diizinkan membaca dan menggunakan data?
• Siapa yang bertanggung jawab untuk menentukan siapa yang dapat membaca dan memperbarui
data?
• Siapa yang mengontrol keamanan data?
• Jika sistem IS di-outsourcing-kan, kontrol keamanan dan mekanisme perlindungan melakukan
apa
vendor sudah siap untuk mengamankan dan melindungi data?
• Secara kontrak, hukuman atau ganti rugi apa yang ada untuk melindungi yang nyata dan
nilai tak berwujud dari informasi?
• Pengungkapan informasi sensitif merupakan masalah serius bagi organisasi dan
wajib pada daftar prioritas auditor.

3.11 Penipuan Cyber

Dengan kemajuan dalam teknologi, penipuan cyber juga meningkat dari hari ke hari
Dunia. Salah satu alasan utama di balik munculnya penipuan tersebut adalah:
• Kegagalan sistem kontrol internal,
• Kegagalan organisasi untuk memperbarui diri ke set risiko baru, dan
• Penipu pintar: Mereka adalah orang yang dapat menargetkan kelemahan dalam sistem,
kekosongan dalam kontrol internal, bahkan sebelum organisasi menyadari bahwa ada celah
seperti itu.
Semua hal di atas adalah bahan utama untuk meningkatkan kasus penipuan cyber. Di India, itu
Amandemen Teknologi Informasi, 2000 dan diubah pada 2008 memiliki bagian-bagian tertentu
berurusan dengan penipuan cyber. Hal yang sama telah dibahas di bawah masalah peraturan PT
Bab 7 dari Bahan Studi. Pembahasan dalam bagian ini didasarkan pada sifat umum dari
penipuan cyber.
Penipuan, sebagaimana didefinisikan oleh SA 240 (Revisi), tentang “Tanggung jawab Auditor
untuk mempertimbangkan penipuan dan kesalahan
dalam audit laporan keuangan ”, mendefinisikan penipuan sebagai“ penyajian keuangan yang
disengaja
informasi oleh satu atau lebih individu di antara karyawan, manajemen, mereka yang dituduh
tata kelola, atau pihak ketiga. ”Definisi ini dalam konteks informasi keuangan; bisa sama
diterapkan pada informasi apa pun yang digunakan untuk pengambilan keputusan. Penipuan juga
telah didefinisikan sebagai “Disengaja
Kesalahan". Penipuan Cyber adalah penipuan yang dilakukan dengan menggunakan teknologi.
Penipuan dunia maya mengacu pada apa saja
jenis penipuan yang disengaja untuk keuntungan tidak adil atau melanggar hukum yang terjadi
secara online. Bentuk paling umum
adalah pencurian kartu kredit online. Bentuk umum lainnya adalah penipuan cyber moneter
termasuk non-pengiriman
produk berbayar yang dibeli melalui lelang online dll.
Berdasarkan fungsi, ini terdiri dari dua jenis:
• Pure Cyber Frauds: Frauds, yang hanya ada di dunia cyber. Mereka tidak digunakan lagi
teknologi. Misalnya: Peretasan situs web.
• Penipuan Diaktifkan Cyber: Penipuan, yang dapat dilakukan di dunia fisik juga tetapi dengan
penggunaan teknologi; ukuran, skala dan lokasi perubahan penipuan. Sebagai contoh:
Penarikan uang dari rekening bank dengan mencuri nomor PIN.
Penipu mungkin berasal dari dalam organisasi atau dari luar organisasi. Tapi, sudah
telah diamati bahwa sebagian besar penipuan cyber mencakup lebih dari satu individu dan satu
dari tim
anggota dalam banyak kasus adalah orang dalam organisasi.

3.11.1 Serangan Cyber

Berikut ini adalah bagan yang menampilkan serangan cyber besar selama tahun 2011:
Masing-masing di atas dibahas sebagai berikut:
• Phishing: Ini adalah tindakan berusaha memperoleh informasi seperti nama pengguna,
kata sandi, dan detail kartu kredit (dan kadang-kadang, secara tidak langsung, uang) dengan
menyamar
sebagai entitas yang dapat dipercaya dalam komunikasi elektronik. Komunikasi dimaksudkan
untuk menjadi
dari situs web sosial populer, situs lelang, pemroses pembayaran online atau TI
administrator biasanya digunakan untuk memikat publik yang tidak menaruh curiga.
• Pemindaian Jaringan: Ini adalah proses untuk mengidentifikasi host yang aktif dari suatu
sistem, untuk tujuan
mendapatkan informasi tentang alamat IP dll.

• Virus / Kode Berbahaya: Sesuai Bagian 43 dari Undang-Undang Teknologi Informasi, 2000,
"Virus Komputer" berarti setiap instruksi komputer, informasi, data atau program yang
menghancurkan, merusak, menurunkan atau mempengaruhi kinerja komputer sumber daya atau
melampirkan sendiri ke sumber daya komputer lain dan beroperasi saat suatu program, data atau
instruksi dieksekusi atau beberapa peristiwa lain terjadi di komputer itu sumber; • Spam:
Mengirimkan pesan yang sama kepada semua orang di satu atau lebih Grup Berita Usenet atau
Daftar LISTSERV disebut sebagai spam. • Situs Web Kompromi / Propagasi Malware: Ini
termasuk defacements situs web. Hosting malware di situs web dengan cara yang tidak sah. •
Lainnya: Ini diberikan sebagai berikut: Cracking: Cracker adalah peretas dengan niat jahat. o
Menguping: Ini mengacu pada mendengarkan suara pribadi atau transmisi data, sering
menggunakan penyadapan. o Pemalsuan Email: Mengirim pesan email yang kelihatannya
dikirim oleh orang lain disebut sebagai pemalsuan Email.
o Ancaman E-mail: Mengirim pesan yang mengancam untuk mencoba dan meminta penerima
untuk melakukannya
sesuatu yang memungkinkan untuk menipu dirinya disebut sebagai ancaman Email.
o Memulung: Ini mendapatkan akses ke informasi rahasia dengan mencari
catatan perusahaan.
3.11.2 Dampak Penipuan Maya terhadap Perusahaan
Dampak penipuan cyber pada perusahaan dapat dilihat di bawah dimensi berikut:
• Kerugian Finansial: Penipuan dunia maya menyebabkan kerugian tunai aktual untuk
menargetkan perusahaan / organisasi.
Misalnya, penarikan uang secara keliru dari rekening bank.
• Dampak Hukum: Entitas yang terkena penipuan cyber terjebak dalam kewajiban hukum kepada
mereka
pelanggan. Bagian 43A dari Undang-Undang Teknologi Informasi, 2000, memperbaiki
kewajiban untuk
perusahaan / organisasi yang telah mengamankan data pelanggan. Entitas-entitas ini perlu
memastikan bahwa data tersebut terlindungi dengan baik. Jika penipu menerobos ke dalam basis
data tersebut, itu
menambah tanggung jawab entitas.
• Kehilangan kredibilitas atau Keunggulan Kompetitif: Berita yang dimiliki oleh database
organisasi
dipukul oleh penipu, menyebabkan hilangnya keunggulan kompetitif. Ini juga menyebabkan
kehilangan
kredibilitas. Ada kasus di mana harga saham perusahaan tersebut turun,
karena berita tentang pasang tersebut meresap ke pasar.
• Pengungkapan Informasi Rahasia, Sensitif atau Memalukan: Serangan dunia maya
dapat mengekspos informasi penting dalam domain publik. Misalnya, contoh dari
orang yang membocorkan informasi tentang program rahasia pemerintah.
• Sabotase: Situasi di atas dapat menyebabkan penyalahgunaan informasi tersebut oleh negara
musuh.

3.11.3 Teknik untuk Melakukan Penipuan Cyber

Berikut ini adalah teknik utama untuk melakukan penipuan cyber:
• Peretasan: Ini mengacu pada akses tidak sah dan penggunaan sistem komputer, biasanya oleh
sarana komputer pribadi dan jaringan telekomunikasi. Biasanya, peretas tidak
berniat menyebabkan kerusakan.
• Cracking: Cracker adalah peretas dengan niat jahat, yang berarti, tidak diotorisasi
masuk. Sekarang di seluruh dunia peretasan adalah istilah umum, dengan dua nomenklatur yaitu:
Peretasan etis dan tidak etis. Peretasan yang tidak etis diklasifikasikan sebagai Peretasan.
• Data Diddling: Mengubah data sebelum, selama, atau setelah data dimasukkan ke dalam sistem
Untuk menghapus, mengubah, atau menambah data sistem utama disebut data diddling.
• Kebocoran Data: Ini mengacu pada penyalinan data perusahaan yang tidak sah seperti
komputer
file.
• Serangan Denial of Service (DoS): Ini merujuk pada tindakan atau serangkaian tindakan yang
mencegah
akses ke sistem perangkat lunak oleh pengguna yang dituju / diizinkan; menyebabkan
keterlambatannya
operasi kritis waktu; atau mencegah bagian mana pun dari sistem berfungsi.
• Terorisme Internet: Ini mengacu pada penggunaan Internet untuk mengganggu perdagangan
elektronik dan
menghancurkan komunikasi perusahaan dan individu.
• Logic Time Bombs: Ini adalah program yang tidak digunakan sampai beberapa ditentukan
keadaan atau waktu tertentu memicu itu. Setelah dipicu, bom itu menyabotase
sistem dengan menghancurkan program, data atau keduanya.
• Penyamaran atau Peniruan: Dalam hal ini, pelaku memperoleh akses ke sistem
dengan berpura-pura menjadi pengguna resmi.
• Password Cracking: Penyusup menembus pertahanan sistem, mencuri file yang berisi
kata sandi yang valid, mendekripsi mereka dan kemudian menggunakannya untuk mendapatkan
akses ke sumber daya sistem
seperti program, file, dan data.
• Piggybacking: Ini mengacu pada penyadapan jalur telekomunikasi dan menempel pada a
pengguna yang sah sebelum login ke sistem.
• Round Down: Komputer membulatkan semua perhitungan bunga menjadi 2 tempat desimal.
Fraksi yang tersisa ditempatkan di akun yang dikendalikan oleh pelaku.
• Pemulung atau Menyelam Tempat Sampah: Ini mengacu pada mendapatkan akses ke rahasia
informasi dengan mencari catatan perusahaan.
• Teknik Rekayasa Sosial: Dalam hal ini, pelaku menipu seorang karyawan agar memberi
keluar informasi yang diperlukan untuk masuk ke sistem.
• Super Zapping: Ini mengacu pada penggunaan yang tidak sah dari program sistem khusus
untuk memotong
sistem reguler mengontrol dan melakukan tindakan ilegal.
• Trap Door: Dalam teknik ini, pelaku masuk ke dalam sistem menggunakan pintu belakang itu
melewati kontrol sistem normal dan melakukan penipuan.
Meskipun memiliki berbagai kontrol dan juga penanggulangan, penipuan cyber tetap ada
terjadi dan meningkat secara berkelanjutan. Untuk mengatasi penipuan ini, ada
kebutuhan mendesak untuk melakukan penelitian di bidang-bidang terkait dan menghasilkan
yang lebih tepat
mekanisme keamanan, yang dapat membuat sistem informasi lebih aman.

3.12 Ringkasan
Bab ini berkaitan dengan Keamanan Sistem Informasi dan pentingnya untuk suatu organisasi. Itu
bab mendefinisikan kategori informasi yang dapat dianggap sensitif dan seberapa sama
perlu dilindungi. Selain itu, bab ini juga menguraikan konsep Informasi
Kebijakan Keamanan Sistem dan berbagai komponen yang sama. Ada diskusi terperinci
pada masing-masing komponen Kebijakan Keamanan Sistem Informasi. Ini menguraikan
langkah-langkah untuk
mengubah kebijakan menjadi Standar, Pedoman dan Prosedur.
Bagian selanjutnya dari bab ini membahas tentang kontrol dan tipenya. Bab ini menguraikan
kebutuhan
untuk kontrol seperti itu. Ada diskusi terperinci tentang sifat kontrol dan implementasinya
lintas organisasi. Kegagalan untuk menerapkan kontrol tersebut dan penipuan yang dihasilkan
juga
telah dibahas dalam bab ini.

Daftar Periksa Utama tentang Kontrol Akses Logis

Berikut ini adalah Daftar Periksa ilustrasi yang dapat digunakan untuk meninjau Kontrol Akses
Logis dalam sistem aplikasi dan basis data.
No Pos Pemeriksaan

Kebijakan dan Prosedur Manajemen Akses Pengguna

1 Apakah kebijakan dan prosedur manajemen akses pengguna didokumentasikan?

2 Apakah kebijakan dan prosedur manajemen akses pengguna disetujui oleh

pengelolaan?
3 Apakah dokumen kebijakan dan prosedur manajemen akses pengguna mencakup:
- Cakupan dan tujuan.
- Prosedur untuk pembuatan ID pengguna, persetujuan, ulasan, penangguhan, dan
penghapusan.
- Memberikan akses ke pihak ketiga.
- Manajemen kata sandi.
- Penugasan & modifikasi hak akses pengguna.
- Pemberian akses darurat.
- Memantau pelanggaran akses.
- Tinjau dan perbarui dokumen.
Manajemen Akses Pengguna

1 Apakah ID Pengguna & hak akses diberikan dengan persetujuan dari tingkat yang
sesuai
IS dan kepala fungsional?
(Verifikasi pembuatan ID pengguna, pemberian hak akses dan proses persetujuan)
2 Apakah organisasi mengikuti prinsip pemisahan tugas secara memadai
memberikan hak akses?
3 Apakah IDS Pengguna dalam format unik?
(Verifikasi konvensi penamaan untuk ID pengguna)
4 Apakah upaya masuk yang tidak valid dimonitor dan ID Pengguna ditangguhkan pada
upaya spesifik?
(Verifikasi parameter yang ditetapkan untuk upaya login yang tidak berhasil)
5 Apakah organisasi mengikuti komposisi kompleks untuk parameter kata sandi?
(Komposisi parameter kata sandi yang kompleks harus digunakan untuk menyulitkan
untuk menebak dan mencegah pengguna yang tidak sah mengakses, mis. karakter
khusus dan
nomor harus menjadi bagian dari kata sandi, Batasi penggunaan nama organisasi, 123,
xyz
atau istilah umum lainnya sebagai kata sandi)
6 Apakah memberikan akses ke pihak ketiga sesuai dengan Akses Pengguna
Kebijakan dan prosedur manajemen? (Organisasi harus menentukan dan menerapkan
proses pemberian akses ke pihak ketiga seperti kontraktor, pemasok, auditor, konsultan,
dll.)
7 Apakah pengguna dipaksa untuk mengubah kata sandi saat masuk pertama dan secara
berkala interval? (Verifikasi parameter kata sandi untuk login pertama dan penuaan
 kata sandi)
8 Apakah organisasi menerapkan kebijakan layar yang jelas dan meja yang jelas? (Pada
desktop informasi rahasia tidak boleh tersedia, demikian juga tidak ada rahasia
informasi harus tersedia di meja tanpa pengawasan)
9 Apakah organisasi membatasi log-on bersamaan? (Satu ID pengguna tidak boleh masuk
dari dua terminal yang berbeda secara bersamaan waktu)
10 Apakah ID pengguna dibagikan?
(Verifikasi apakah ID pengguna dibagikan di antara karyawan / pengguna atau tidak?)
11 Apakah beberapa ID pengguna dialokasikan untuk satu orang?

12 Apakah kebijakan akses pengguna dan dokumen prosedur dikomunikasikan / tersedia

untuk
pengguna masing-masing?
13 Apakah ID Pengguna dan Kata Sandi dikomunikasikan kepada pengguna secara aman
cara?
(Verifikasi prosedur untuk mengkomunikasikan ID pengguna dan kata sandi untuk
pertama kalinya dan
setelah suspensi)
14 Apakah organisasi meninjau ID pengguna dan hak akses secara berkala?

15 Apakah organisasi memonitor log untuk akses pengguna?

16 Apakah kebijakan dan prosedur merupakan dokumen yang ditinjau dan diperbarui
secara berkala
interval?
17 Apakah akses ke pekerjaan yang dijadwalkan dibatasi untuk yang berwenang?

18 Apakah pembuatan pengguna darurat sesuai dengan kebijakan dan prosedur untuk
Manajemen Akses Pengguna?
(Verifikasi prosedur pemberian akses darurat, termasuk persetujuan dan
pemantauan)
19 Apakah proses peninjauan berkala memastikan akun pengguna sejajar dengan
kebutuhan bisnis
dan penghapusan pada penghentian / transfer?
(Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan pastikan itu
akun dibuat hanya ketika ada kebutuhan bisnis yang sah dan itu
akun dihapus atau dinonaktifkan secara tepat waktu jika terjadi penghentian atau
perubahan pekerjaan.)
20 Apakah kata sandi dibayangi dan menggunakan fungsi hash yang kuat? (Pastikan
algoritma hashing kekuatan dari.)
21 Tinjau proses pengaturan kata sandi awal untuk pengguna baru dan komunikasi
kata sandi tersebut dan mengevaluasi pelacakan setiap akun ke karyawan tertentu.
22 Apakah penggunaan grup dan tingkat akses yang ditetapkan untuk grup tertentu
menentukan
pembatasan penggunaannya?
(Mengevaluasi penggunaan kata sandi, hak akses di tingkat grup)
23 Pastikan bahwa fasilitas untuk masuk sebagai pengguna super / root dibatasi untuk
 konsol sistem
alasan keamanan.
24 Periksa apakah parameter untuk mengontrol jumlah maksimum masuk tidak valid
upaya telah ditentukan dengan benar dalam sistem sesuai dengan kebijakan keamanan.
25 Periksa apakah pemeliharaan riwayat kata sandi telah diaktifkan di sistem untuk
melarang kata sandi yang sama agar tidak digunakan berulang-ulang berdasarkan rotasi
26 Verifikasi parameter dalam sistem untuk mengontrol log-on otomatis dari jarak jauh
sistem, koneksi konkuren yang dapat dimiliki pengguna, pengguna masuk ke sistem di
waktu ganjil (tengah malam, liburan, dll) dan memastikan apakah semuanya telah
diatur dengan benar
sesuai dengan kebijakan keamanan.
Pemeliharaan akun pengguna yang sensitive

1 Pastikan siapa pemelihara kata sandi sensitif seperti pengguna super / root
dan verifikasi apakah orang tersebut menjaga kerahasiaan kata sandi, baik itu
kata sandi telah disimpan dalam amplop tertutup dengan catatan perpindahan
penggunaan dalam keadaan darurat.
2 Dari file log, identifikasikan contoh penggunaan kata sandi sensitif seperti super
pengguna dan verifikasi apakah catatan telah disimpan dengan alasan yang sama.
Memastikan
bahwa kejadian semacam itu telah disetujui / diotorisasi oleh manajemen.

3 Dari file log, identifikasikan contoh upaya logon yang gagal ke pengguna super
akun dan periksa ID terminal / alamat IP dari mana itu terjadi. Periksa apakah
prosedur pelaporan dan eskalasi yang sesuai tersedia untuk pelanggaran tersebut

Daftar Periksa Utama untuk Keamanan Fisik dan Lingkungan

Untuk memastikan bahwa aset IS dikelola dengan cara yang aman di dalam kendali
lingkungan, daftar periksa berikut diberikan:
Sr. Pos Pemeriksaan
No

Akses Fisik Aman

1 Apakah Kebijakan Kontrol Akses Fisik didokumentasikan dan disetujui?

2 Apakah kebijakan berikut ini sesuai dan mencakup:

- Lay out fasilitas
- Keamanan Fisik aset
- Akses fisik ke aset
- Pemeliharaan aset
- Rambu pada fasilitas
- Label untuk aset
- Otorisasi dan rekaman pengunjung
- Prosedur masuk dan keluar
 - Persyaratan hukum & peraturan
3 Apakah fasilitas Sistem Informasi kritis (seperti pusat data) berada
secara tepat?
(Verifikasi lokasi sebagai berikut: -
- Perlindungan terhadap bencana alam seperti gempa bumi, banjir, ekstrim
cuaca dll
- Tidak di tempat padat
- Tidak berada di lantai dasar atau atas
- Tidak berada di bawah permukaan tanah untuk menghindari kebocoran air, dll.
- Tidak memiliki etalase
- Tidak memiliki akses langsung dari luar atau melalui lorong umum
- Tempat yang tidak jelas secara eksternal)
4. Apakah akses ke fasilitas IS dikendalikan melalui mekanisme yang aman?
(Verifikasi mekanisme kontrol akses - mis. Kartu akses, kunci, dan kunci atau berawak
penerimaan)
5 Apakah akses ke fasilitas IS terbatas hanya untuk orang yang disetujui?
(Orang yang disetujui dapat mencakup karyawan, vendor, dan pelanggan)
6 Apakah prosedur kontrol akses fisik memadai dan sesuai untuk
orang yang disetujui?
(Akses harus disediakan jika perlu dilakukan dan perlu diketahui dasar)
7 Apakah pengunjung ke fasilitas IS kritis dikawal oleh karyawan?
(Catatan untuk akses pengunjung harus disimpan)
8 Apakah tinjauan berkala terhadap hak akses dilakukan?

9 Apakah keamanan fisik terus ditangani?

10 Apakah semua rute akses diidentifikasi dan kontrol ada?

11 Apakah kesadaran keamanan dibuat tidak hanya dalam fungsi IS tetapi juga lintas
organisasi?
12 Apakah keamanan fisik dipastikan di fasilitas pemasok juga dalam kasus di mana
Aset organisasi (baik fisik atau data) diproses di pemasok
fasilitas?
13 Apakah penggunaan peralatan apa pun di luar tempat bisnis untuk informasi
pengolahan diotorisasi oleh manajemen?
14 Apakah keamanan diberikan untuk peralatan yang digunakan di luar tempat usaha
serupa dengan /
sama seperti yang ditawarkan untuk peralatan yang digunakan di dalam tempat bisnis?
15 Apakah ada peralatan pemantauan yang memadai untuk memantau pergerakan
dari personil di dalam fasilitas?
16 Dalam hal perangkat lunak outsourcing, apakah semua pekerjaan pemeliharaan hanya
dilakukan di
keberadaan / dengan pengetahuan staf IS yang sesuai?
17 Apakah kontrol akses yang tepat seperti kata sandi, kartu gesek, perangkat bio-metrik
dll. ada di sana dan ada kontrol yang memadai untuk menyimpan data / informasi
mereka?
Apakah ada kontrol untuk memastikan bahwa masalah dan pengumpulan ulang
 perangkat akses tersebut
disahkan dan dicatat?
18 Apakah pelanggaran akses dicatat, ditingkatkan ke otoritas yang lebih tinggi dan
tindakan yang tepat diambil?
19 Apakah karyawan diharuskan menyimpan dokumen kritis / sensitif
tempat aman?
20 Periksa apakah fasilitas IS diakses untuk risiko terkait keamanan informasi sehubungan
dengan
pencahayaan, orientasi bangunan, signage dan karakteristik lingkungan
teridentifikasi?
21 Pastikan sistem pengawasan dirancang dan beroperasi dengan baik?

22 Pastikan prosedur kontrol akses fisik menyeluruh dan lengkap

diikuti oleh staf keamanan.
23 Periksa apakah kontrol keamanan yang ada sudah sesuai untuk mencegah intrusi
Fasilitas IS sensitif - pusat data, hub komunikasi, daya darurat
fasilitas layanan?
24 Tinjau langkah-langkah pemantauan fasilitas untuk memastikan bahwa kondisi alarm
ditangani
tepat.
Pengendalian Lingkungan

1 Apakah kebijakan Pengendalian Lingkungan didokumentasikan dan disetujui?

2 Apakah fasilitas IS berada di tempat yang tahan api?

(Pastikan dinding, lantai, plafon palsu, furnitur, dan kabel tidak dapat terbakar /
terbakar
tahan / tahan api)
3 Apakah ada pembatasan merokok di fasilitas IS?

4 Apakah detektor asap / suhu yang memadai dipasang, terhubung ke

sistem alarm kebakaran dan diuji?
5 Apakah instruksi pencegahan kebakaran diposting dengan jelas dan tombol alarm
kebakaran terlihat jelas?
6 Apakah prosedur mematikan daya darurat telah ditetapkan dan rencana evakuasi
dengan
tanggung jawab yang jelas di tempat?
7 Apakah tindakan pencegahan dan pengendalian kebakaran yang diterapkan sudah
memadai dan
diuji secara berkala?
8 Apakah latihan dan pelatihan kebakaran dilakukan secara berkala?

9. Apakah ada prosedur pengaturan suhu udara, ventilasi dan kelembaban,

diuji secara berkala dan dipantau secara berkelanjutan?
10 Apakah pengaturan daya alternatif yang memadai tersedia?
Jika demikian, apakah ini termasuk dalam pemeliharaan?
11 Apakah sumber air, bahan bakar, pendingin udara dan kontrol kelembaban alternatif
 tersedia?

12 Periksa apakah sistem pemanas, ventilasi, dan AC tetap konstan

suhu dalam pusat data dan fasilitas IS lainnya?
13 Mengevaluasi penggunaan perisai elektronik pusat data untuk memverifikasi emisi
radio itu
tidak mempengaruhi sistem komputer atau bahwa emisi sistem tidak dapat digunakan
untuk mendapatkan
akses tidak sah ke informasi sensitif.
14 Pastikan apakah ada sistem cadangan baterai yang memadai yang menyediakan daya
terus-menerus
selama pemadaman sementara dan pemadaman bersama dengan generator yang
melindungi
terhadap kehilangan daya yang berkepanjangan dan berada dalam kondisi kerja.
15 Pastikan alarm kebakaran melindungi fasilitas IS kritis seperti pusat data dari
risiko kebakaran, sistem air dikonfigurasikan untuk mendeteksi air di area berisiko
tinggi
pusat data dan alarm kelembaban dikonfigurasikan untuk memberi tahu personel pusat
data tentang
baik kondisi kelembaban tinggi atau rendah.
16 Periksa log dan laporan pada konsol pemantau alarm dan sistem alarm
yang akan dipantau secara terus menerus oleh staf pusat data / IS.
17 Pastikan alat pemadam kebakaran ditempatkan setiap 50 kaki di dalam pulau pusat data
dan
dirawat dengan benar dengan sistem pencegah kebakaran untuk melindungi pusat data
dari
api.
18 Apakah ada rencana darurat yang membahas berbagai skenario bencana untuk
contoh data cadangan segera dari fasilitas penyimpanan di luar situs?
19 Pastikan jika ada rencana pemulihan bencana komprehensif yang menjadi kunci
karyawan mengetahui peran mereka jika terjadi bencana dan diperbarui dan diuji
secara teratur.
20 Pastikan bahwa detail inventaris bagian dan perjanjian vendor akurat dan
lancar dan dikelola sebagai aset penting.