LECTURE NOTES

ISYS6334
Information System Audit fundamental

Week ke - 07

Auditing Database Systems

ISYS6334 - Information Systems Audit Fundamental

 LEARNING OUTCOMES

LO2. Memahami kontrol, tindakan pencegahan dan audit sistem informasi secara
keseluruhan diterapkan.

LO3. Mampu menerapkan pengetahuan untuk memastikan kerahasiaan, integritas, dan

ketersediaan sistem informasi.

LO4. Mampu menerapkan pengetahuan untuk melakukan audit sistem informasi di bidang
sistem operasi, pengembangan sistem atau database

OUTLINE MATERI :

1. Pendekatan Manajemen Data

a. Pendekatan File Datar

b. Pendekatan Database

2. Elemen Kunci Lingkungan Basis Data

a. Sistem Manajemen Database

b. Pengguna

c. Administrator Basis Data

d. Basis Data Fisik

e. Model DBMS

ISYS6334 - Information Systems Audit Fundamental

 ISI MATERI

File Datar (Flat File)

File datar (flat file) adalah file data yang berisi catatan tanpa hubungan terstruktur ke file lain.
Pendekatan flat-file paling sering dikaitkan dengan apa yang disebut sistem warisan. Ini
adalah sering sistem mainframe besar yang diimplementasikan pada tahun 1970-an hingga
1980-an. Beberapa organisasi saat ini masih menggunakan sistem tersebut secara ekstensif.
Akhirnya, mereka akan melakukannya digantikan oleh sistem manajemen basis data modern,
tetapi sementara itu, auditor harus terus berurusan dengan teknologi sistem warisan.

Lingkungan file datar mempromosikan pendekatan pandangan pengguna tunggal untuk

manajemen data di mana pengguna akhir memiliki file data mereka daripada membagikannya
dengan pengguna lain. Oleh karena itu, file data terstruktur, diformat, dan diatur agar sesuai
dengan kebutuhan spesifik pemilik atau pengguna utama data. Penataan seperti itu,
bagaimanapun, dapat mengecualikan data atribut yang berguna untuk pengguna lain,
sehingga mencegah integrasi data yang sukses di seluruh organisasi.

Pendekatan Database
Akses ke sumber data dikendalikan oleh sistem manajemen basis data (DBMS). DBMS
adalah sistem perangkat lunak khusus yang diprogram untuk mengetahui elemen data mana
setiap pengguna berwenang untuk mengakses. Program pengguna mengirim permintaan data
ke DBMS, yang memvalidasi dan memberikan otorisasi akses ke database sesuai dengan
tingkat otoritas pengguna. Jika pengguna meminta data yang dia tidak berwenang akses,
permintaan ditolak. Jelas, prosedur organisasi untuk menetapkan pengguna otoritas adalah
masalah kontrol penting bagi auditor untuk dipertimbangkan.

Pendekatan ini memusatkan data organisasi ke dalam database umum yang ada dibagikan
oleh pengguna lain. Dengan data perusahaan di lokasi pusat, semua pengguna memiliki akses
ke data yang mereka butuhkan untuk mencapai tujuan masing-masing. Melalui berbagi data,
masalah-masalah tradisional yang terkait dengan pendekatan flat-file dapat diatasi.

ISYS6334 - Information Systems Audit Fundamental

Setiap DBMS unik dalam cara mencapai tujuan ini, tetapi beberapa fitur khas meliputi:

1. Pengembangan program. DBMS berisi perangkat lunak pengembangan aplikasi

2. Backup dan pemulihan. Selama pemrosesan, DBMS secara berkala membuat salinan
cadangan dari database fisik. Jika terjadi suatu bencana yang membuat database tidak
dapat digunakan, DBMS dapat memulihkan data yang dibutuhkan.

3. Pelaporan penggunaan database. Fitur ini menangkap data statistik tentang apa yang
sedang terjadi, digunakan, dan siapa yang menggunakannya. Informasi ini digunakan
oleh administrator database (DBA) untuk membantu menetapkan otorisasi pengguna
dan mempertahankan database.

4. Akses basis data. Fitur terpenting dari DBMS adalah mengizinkan pengguna yang
berwenang akses, baik formal maupun informal, ke database.

Pengguna mengakses database dengan dua cara.

Akses dimungkinkan oleh antarmuka aplikasi formal. Program pengguna, yang

disiapkan oleh para profesional sistem, mengirim permintaan akses data (panggilan)
ke DBMS, yang memvalidasi permintaan dan mengambil data untuk diproses.

Bahasa manipulasi data (DML) adalah bahasa pemrograman proprietary yang

digunakan DBMS tertentu untuk mengambil, memproses, dan menyimpan data.
Seluruh program pengguna dapat ditulis dalam DML atau, alternatifnya, perintah
DML yang dipilih dapat dimasukkan ke dalam program yang ditulis dalam bahasa
universal, seperti JAVA, C ++, dan bahkan bahasa yang lebih tua seperti COBOL dan
FORTRAN

Pemrosesan Data Terpusat

Di bawah model pemrosesan data terpusat, semua pemrosesan data dilakukan oleh satu atau
komputer yang lebih besar ditempatkan di situs pusat yang melayani pengguna di seluruh
organisasi. Kegiatan layanan TI dikonsolidasikan dan dikelola sebagai sumber daya
organisasi bersama. Pengguna akhir bersaing untuk ini sumber daya atas dasar kebutuhan.

ISYS6334 - Information Systems Audit Fundamental

Fungsi layanan TI biasanya diperlakukan sebagai pusat biaya yang biaya operasinya
dibebankan kembali ke pengguna akhir.

Model Terdistribusi
Selama bertahun-tahun, skala ekonomi menguntungkan komputer besar yang kuat dan
terpusat pengolahan. Namun sekarang, sistem yang kecil, kuat, dan murah telah berubah
gambar ini secara dramatis. Alternatif untuk model terpusat adalah konsep terdistribusi
pengolahan data (DDP). Topik DDP cukup luas, menyentuh seperti itu topik terkait seperti
komputasi pengguna akhir, perangkat lunak komersial, jaringan, dan otomatisasi kantor.

Secara sederhana, DDP melibatkan reorganisasi fungsi TI pusat menjadi IT kecil unit yang
ditempatkan di bawah kendali pengguna akhir. Unit TI dapat didistribusikan sesuai dengan
fungsi bisnis, lokasi geografis, atau keduanya. Semua atau salah satu fungsi TI dapat
didistribusikan. Sejauh mana mereka didistribusikan akan bervariasi tergantung pada filosofi
dan tujuan organisasi pengelolaan.

ISYS6334 - Information Systems Audit Fundamental

Kontrol atas sistem manajemen data dibagi menjadi dua kategori umum:

1. Kontrol akses

a. Tampilan Pengguna (view), tampilan pengguna atau subschema adalah

subkumpulan dari total basis data yang mendefinisikan data pengguna domain
dan menyediakan akses ke database.

b. Tabel otorisasi basis data berisi aturan yang membatasi tindakan yang dapat
dilakukan pengguna. Teknik ini mirip dengan daftar kontrol akses yang
digunakan dalam sistem operasi. Setiap pengguna diberikan hak tertentu yang
dikodekan dalam tabel otoritas, yang digunakan untuk memverifikasi
permintaan akses pengguna.

c. Prosedur yang ditentukan pengguna (stored procedure) memungkinkan

pengguna untuk membuat program keamanan pribadi atau rutin untuk
memberikan identifikasi pengguna yang lebih positif daripada satu kata sandi.

d. Sistem database juga menggunakan prosedur enkripsi untuk melindungi data

sensitive yang tersimpan di dalamnya, seperti rumus produk, tarif gaji
personil, file kata sandi, dan data keuangan.

e. Prosedur otentikasi pengguna yang lain adalah penggunaan perangkat

biometrik, yang mengukur berbagai karakteristik pribadi, seperti sidik jari,
cetakan suara, cetakan retina, atau karakteristik tanda tangan. Karakteristik

ISYS6334 - Information Systems Audit Fundamental

 pengguna ini didigitalkan dan disimpan secara permanen dalam file keamanan
basis data atau pada kartu identitas yang dibawa pengguna. Ketika seseorang
mencoba mengakses database, perangkat pemindaian khusus menangkap
karakteristik biometriknya, yang dibandingkan dengan data profil yang
tersimpan dalam file atau kartu ID.

2. Kontrol pencadangan (backup)

a. Backup. Fitur cadangan membuat cadangan periodik dari seluruh basis data,
merupakan prosedur otomatis yang harus dilakukan setidaknya sekali sehari.
Salinan cadangan kemudian harus disimpan di area yang aman.

b. Log Transaksi (Jurnal). Fitur log transaksi menyediakan jejak audit semua
transaksi yang diproses. Ini daftar transaksi dalam file log transaksi dan
mencatat mengakibatkan perubahan pada basis data dalam log perubahan basis
data terpisah.

c. Fitur Checkpoint. Fasilitas ini menghentikan semua pemrosesan data dan

memberikan waktu bagi sistem untuk merekonsiliasi log transaksi dan log
perubahan basis data terhadap database.

d. Modul Pemulihan. Modul pemulihan menggunakan log dan file cadangan

untuk memulihkan sistem dan data setelah terjadinya kegagalan.

Prosedur Audit untuk Menguji Kontrol Database

Tanggung jawab untuk Tabel Otoritas dan Sub-bidang. Auditor harus memverifikasi
personil administrasi basis data (DBA) memiliki tanggung jawab eksklusif untuk
membuat tabel otoritas dan merancang pandangan pengguna. Bukti dapat berasal dari
tiga sumber: (1) peninjauan kebijakan perusahaan dan deskripsi pekerjaan, yang
menentukan tanggung jawab teknis ini; (2) dengan memeriksa tabel otoritas
pemrogram untuk akses hak untuk data bahasa definisi (DDL) perintah; dan (3)
melalui wawancara pribadi dengan para pemrogram dan personil DBA.

ISYS6334 - Information Systems Audit Fundamental

Otoritas Akses yang Tepat. Auditor dapat memilih sampel pengguna dan
memverifikasi bahwa hak akses mereka yang disimpan dalam tabel otoritas konsisten
dengan pekerjaan mereka deskripsi tingkat organisasi. Kontrol Biometrik. Auditor
harus mengevaluasi biaya dan manfaat biometric kontrol.

Kontrol Enkripsi. Auditor harus memverifikasi bahwa data sensitif, seperti kata sandi,
dienkripsi dengan benar.

Pastikan bahwa kontrol cadangan di tempat efektif dalam melindungi file data dari
fisik kerusakan, kehilangan, penghapusan disengaja, dan korupsi data melalui
kegagalan sistem dan kesalahan program.

File Sekuensial (GPC) Cadangan. Auditor harus memilih contoh sistem dan
menentukan dari dokumentasi sistem bahwa jumlah file cadangan GPC ditentukan
untuk setiap sistem memadai. Jika versi cadangan tidak mencukupi, pemulihan dari
beberapa kemungkinan jenis kegagalan.

Backup Transaction Files. Auditor harus memverifikasi melalui pengamatan fisik file
transaksi yang digunakan untuk merekonstruksi file master.

Penyimpanan Off-Site. Auditor harus memverifikasi keberadaan dan kecukupan off-

site penyimpanan. Prosedur audit ini dapat dilakukan sebagai bagian dari tinjauan
terhadap bencana rencana pemulihan atau kontrol operasi pusat komputer.

ISYS6334 - Information Systems Audit Fundamental

 KESIMPULAN

Manajemen data dapat dibagi menjadi dua pendekatan umum: model file datar dan model
basis data. Bab ini dimulai dengan deskripsi manajemen data file datar, yang digunakan
dalam banyak sistem lama. Kepemilikan pribadi atas data mencirikan model ini dan
merupakan penyebab beberapa masalah yang menghambat integrasi data. Gambaran
konseptual tentang model database digunakan untuk menggambarkan bagaimana masalah
yang terkait dengan file datar model dapat diselesaikan melalui pembagian data dan kontrol
data terpusat.

Pada bagian akhir, dibahas tentang kontrol yang umumnya diimplementasikan untuk
keamanan database, dan prosedur prosedur audit yang umumnya dilakukan.

ISYS6334 - Information Systems Audit Fundamental

 DAFTAR PUSTAKA

1. Information Technology Auditing and Assurance, Chapter 4

2. CISA Review Manual, 26th Edition, Chapter 4 "Information Systems Operations,
Maintenance and Service Management"

ISYS6334 - Information Systems Audit Fundamental