ASSIGNMENT CHAPTER 3
“SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS”
Answer to Question from Problem 7
A. The systems operator opened a bag of burned microwave popcorn directly under a smoke
detector in the computing room where two mainframes, three high speed printers, and
approximately 40 tapes are housed. The extremely sensitive smoke detector triggered the
sprinkler system. Three minutes passed before the sprinklers could be turned off.
Possible damages:
- Kemungkinan adanya file data yang hilang atau rusak
- Kemungkinan rusaknya mainframe dan high speed printer karena alat penyiram
(sprinkler) yang dipicu oleh microwave tersebut
- Kemungkinan adanya sabotase
Preventive control:
- Membuat peraturan terkait makanan/minuman yang ketat di dalam ruang
komputer (misal, tidak boleh membawa atau membuat makanan/minuman)
- Operator sistem harus memiliki bekal dan pengetahuan dalam melakukan
pencegahan yang tepat untuk menghindari kecelakaan dalam kerja seperti kasus
diatas
B. A system programmer intentionally placed an error into a program that causes the
operating system to fail and dump certain confidential information to disks and printers.
Possible damages:
- Pencurian data
- Prinsip dasar keamanan informasi, yaitu Kerahasiaan, Ketersediaan, dan
Integritas mungkin menjadi tidak ada. Hal ini berarti informasi bisa akan bisa
diakses oleh siapapun, informasi dapat diubah oleh siapapun, dan informasi tidak
tersedia kapan pun.
- Terjadinya serangan denial of service (DoS) yang mana sistem yang ada akan
tidak tersedia sesaat atau sampai waktu yang ditentukan oleh penyerang.
Preventive control:
- Memperkuat manajemen kontrol akses
- Melakukan penetration testing sebelum sistem digunakan untuk mengantisipasi
celah-celah yang rawan disusupi oleh hacker
C. Jane’s employer told her she would be laid off in 3 weeks. After 2 weeks, Jane realized
that finding another secretarial job was going to be very tough. She became bitter. Her
son told her about a virus that had infected his school’s computers and that one of his
disks had been infected. Jane took the infected disk to work and copied it onto the
network server, which is connected to the company’s mainframe. One month later, the
company realized that some data and application programs had been destroyed.
Possible damages:
- Kemungkinan virus
- Kemungkinan adanya file data yang hilang atau rusak
- Kemungkinan adanya peretasan ataupun sabotase sistem perusahaan
- Serangan DoS
Preventive control:
- Pengaplikasian anti-virus
- Membatasi akses ke siapa yang diizinkan untuk menempatkan perangkat lunak
baru ke sistem
- Sistem deteksi intrusi
- Menolak akses ke poin ketika terlalu banyak orang yang mencoba mengakses
(DDos).
- Mendata siapa yang masih dapat mengakses database perusahaan, dan memetakan
individu yang berpotensi merugikan perusahaan karena akses yang dimiliki
- Membuat peraturan yang ketat terhadap akses untuk menghindari potensi
kerusakan dan masalah dikemudian hari.
- Kebijakan tata kelola TI yang tidak mengizinkan orang menginstal program pada
program kecuali admin
D. Robert discovered a new sensitivity analysis public domain program on the Internet. He
downloaded the software to his microcomputer at home, then took the application to
work and placed it onto his networked personal computer. The program had a virus on it
that eventually spread to the company’s mainframe.
Possible damages:
- Kemungkinan virus yang ada merusak komputer Robert bahkan sistem utama
perusahaan
- Adanya kemungkinan data perusahaan dicuri
- Peretasan dan sabotase sistem perusahaan
- Serangan DoS
Preventive control:
Untuk mencegah kemungkinan konsekuensi atas tindakan ini, perusahaan dapat
melakukan langkah preventif berupa:
- Instalasi Anti-Virus untuk mengamankan mikrokomputer dan mainframe sistem
perusahaan.
- Perusahaan mengeluarkan kebijakan terkait pembatasan ketat untuk memasang
program atau aplikasi melalui mikrokomputer tanpa persetujuan perusahaan atau
tidak terkait dengan aktivitas perusahaan.
E. Murray, a trusted employee and a systems engineer, had access to both the computer
access control list and user passwords. The firm’s competitor recently hired him for twice
his salary. After leaving, Murray continued to browse through his old employer’s data,
such as price lists, customer lists, bids on jobs, and so on. He passed this information on
to his new employer.
Possible damages:
1. Pencurian data oleh Murray. Hal ini dikarenakan oleh akses yang masih dipegang
oleh Murray memberikan keleluasaan dalam melakukan pencurian data rahasia
dari database perusahaan yang dapat disalahgunakan oleh kompetitor.
2. Perusakan data oleh Murray. Murray dapat melakukan penghapusan, penggantian
dan manipulasi data karena kepentingan perusahaan barunya yang merupakan
kompetitor.
Preventive control:
Mengelola kembali akses terhadap database perusahaan, dengan melakukan beberapa hal:
a. Mengubah password
b. Mendata siapa yang masih dapat mengakses database perusahaan, dan memetakan
individu yang berpotensi merugikan perusahaan karena akses yang dimiliki
c. Membuat peraturan yang ketat terhadap akses untuk menghindari potensi
kerusakan dan masalah dikemudian hari.
ASSIGNMENT CHAPTER 4
“SECURITY PART II: AUDITING DATABASE SYSTEMS”
Answer to Question from Problem 2
Design a relational database system for a large costume rental store. The store has approximately
3,200 customers each year. It is stocked with over 500 costumes in various sizes. The rental
costumes and other items that may be purchased by the customer (e.g., make-up and teeth) are
purchased from approximately thirty-five different suppliers. Design the necessary database files.
Make sure they are in third normal form, and indicate the necessary linkages
Daftar file database. Key field yang digunakan untuk melinkan berupa yang dibold.
Otoritas:
Read Y Y N Y
Insert Y N N Y
Modify Y N N Y
Delete Y N N Y
B. Discuss any potential exposure if the right prevention devices are not in place or if Bogey
and Bacall collude
Mengenai Employee Master File, dapat terjadi beberapa permasalahan:
1. Pekerja Fiktif, Bogey dan Bacall dapat melakukan manipulasi data pekerja
dengan merubah data perusahaan untuk kepentingan pribadi mereka. Artinya,
mereka dapat melakukan korupsi dengan data pekerja fiktif tersebut karena
memiliki akses terhadap database pekerja perusahaan.
2. Aksi kriminal lainnya, karena berhubungan dengan data pekerja dan gaji yang
dialokasikan maka berpotensi untuk melakukan fraud dengan pekerja lainnya.
Terutama data jam kerja, pendapatan dan bonus setiap pekerja karena
berhubungan dengan uang perusahaan. Seperti pekerja fiktif, maka mereka dapat
melakukan korupsi dengan mengotak-atik data perusahaan.
Referensi
Hall, J. A. (2010). Information Technology Auditing (3rd ed.). Cengage Learning.
Wells, Joseph T. (2008). Principles of fraud examination. Hoboken, N.J. :John Wiley.