0 penilaian0% menganggap dokumen ini bermanfaat (0 suara)
2 tayangan6 halaman
Dokumen tersebut membahas pengendalian sistem operasi dan pengendalian keseluruhan sistem. Sistem operasi harus melindungi dirinya, pengguna, dan sumber daya dari ancaman internal maupun eksternal. Pengendalian akses melalui prosedur logon, token akses, dan daftar kontrol akses digunakan untuk mengamankan sistem dari akses tidak sah. Hak akses pengguna perlu dikelola dengan hati-hati agar tidak bertentangan dengan kebij
Dokumen tersebut membahas pengendalian sistem operasi dan pengendalian keseluruhan sistem. Sistem operasi harus melindungi dirinya, pengguna, dan sumber daya dari ancaman internal maupun eksternal. Pengendalian akses melalui prosedur logon, token akses, dan daftar kontrol akses digunakan untuk mengamankan sistem dari akses tidak sah. Hak akses pengguna perlu dikelola dengan hati-hati agar tidak bertentangan dengan kebij
Dokumen tersebut membahas pengendalian sistem operasi dan pengendalian keseluruhan sistem. Sistem operasi harus melindungi dirinya, pengguna, dan sumber daya dari ancaman internal maupun eksternal. Pengendalian akses melalui prosedur logon, token akses, dan daftar kontrol akses digunakan untuk mengamankan sistem dari akses tidak sah. Hak akses pengguna perlu dikelola dengan hati-hati agar tidak bertentangan dengan kebij
Sistem operasi adalah program pengendalian dalam komputer. Sistem ini memungkinkan para pengguna dan aplikasi di dalamnya untuk berbagi dan mengakses sumber daya komputer bersama, seperti prosesor, memori utama, basis data dan printer. Akuntan yang modern perlu mengenali system operasi dalam gambaran umum pengendalian untuk dapat secara tepat menilai berbagai risiko yang mengancam system akuntansi. Jika integritas system operasi menjadi lemah, pengendalian dalam tiap aplikasi akuntansi mungkin akan melemah pula atau dinetralkan. Karena system operasi adalah hal yang digunakan semua pengguna, semakin besar suatu fasilitas komputer maka akan makin tinggi skala potensi kerusakannya. Jadi, dengan semakin banyaknya sumber daya komputer yang digunakan bersama dalam komunitas pengguna yang selalu bertambah, keamanan system operasi menjadi isu pengendalian yang penting. System operasi melakukan tiga pekerjaan utama. Pertama, system ini menerjemahkan Bahasa tingkat tinggi seperti COBOL, BASIC, Bahasa C dan SQL ke dalam bahasa tingkat mesin yang dapat dijalankan oleh komputer. Modul – modul penerjemah bahasa dalam system operasi disebut sebagai kompilator dan interpreter. Implikasi pengendalian atas penerjemah bahasa akan dipelajari kemudian dalam bab ini. Kedua, system operasi mengalokasikan berbagai sumber daya komputer ke para pengguna, kelompok kerja, dan aplikasi. Pekerjaan ini meliputi penugasan ruang kerja memori ke berbagai aplikasi, otorisasi akses ke berbagai terminal, saluran telekomunikasi, basis data dan printer. Ketiga, system operasi mengelola berbagai pekerjaan penjadwalan pekerjaan dan multipromrograman. Kapan saja, sejumlah aplikasi pengguna (pekerjaan) akan mencari akses ke sumber daya komputer yang berada dibawah pengendalian system operasi. Berbagai pekerjaan tersebut dimasukkan ke dalam system melalui tig acara : 1. Secara langsung oleh operator system, 2. Dari berbagai antrean batch, 3. Melalui saluran telekomunikasi dari tempat kerja jarak jauh. Untuk dapat mewujudkan pengguna yang efisien dan efektif berbagai sumber daya komputer yang terbatas, system operasi harus menjadwalkan pekerjaan pemrosesan berdasarkan prioritas yang dibuat sebelumnya yang menyeimbangkan penggunaan berbagai sumber daya tersebut di antara berbagai aplikasi yang saling bersaing satu sama lain. Untuk melakukan pekerjaan ini secara konsisten dan andal, maka system operasi harus mencapai lima tujuan pengendalian fundamental berikut : 1. System operasi harus melindungi dirinya dari para pengguna. Aplikasi pengguna tidak boleh memperoleh kendali atas atau merusak dalam cara apapun, system operasi hingga menyebabkanya berhenti bekerja atau menyebabkan kehancuran data. 2. System operasi harus melindungi para penggunanya dari satu sama lain. Tidak boleh ada salah satu pengguna yang mengakses, menghancurkan atau merusak data atau program pengguna lainnya. 3. System operasi harus melindungi para pengguna dari diri mereka sendiri. Sebuah aplikasi pengguna dapat saja berisi beberapa modul yang disimpan dalam lokasi memori terpisah, yang masing – masing memiliki data di dalamnya. Salah satu modul jangan sampai dapat menghancurkan atau merusak modul lainnya. 4. System operasi harus dilindungi dari dirinya sendiri. System operasi juga terdiri atas beberapa modul terpisah. Jangan ada modul yang di izinkan untuk menghancurkan atau merusak modul lainnya. 5. System operasi harus dilindungi dari lingkungan sekitarnya. Jika terjadi mati listrik atau berbagai bencana lainya, system operasi seharusnya dapat melakukan penghentian operasi secara terkendali berbagai aktivitas yang nantinya akan dipulihakan Kembali.
Keamanan Sistem Informasi melibatkan kebijakan prosedur dan pengendalian
yang menentukan siapa saja yang dapat mengakses system operasi, sumber daya mana (file, program, printer) yang dapat di akses dan ditingkatkan apa yang dapat dilakukan. Berbagai komponen keamanan berikut ini dapat ditentukann dalam system operasi yang aman : prosedur logon, access, token, daftar pengendalian akses dan pengendalian akses mandiri. Prosedur Logon Prosedur logon yang formal adalah pertahanan garis depan system operasi dari akses tidak sah. Ketika pengguna melalui proses tersebut, ia akan disajikan sebuah kotak dialog yang meminta ID dan kata sandinya. System kemudian akan membandingkan ID dan kata sandi tersebut dengan basis data para pengguna yang valid. Jika system menenemukan kesesuaian, maka usaha untuk dimasukkan salah, maka usaha logon gagal dan akan ada sebuah pesan untuk pengguna. Pesan tersebut tidak boleh memberitahukan apakah ID atau kata sandi yang menyebabkan kegagalan logon. Setelah beberapa kali percobaan logon dilakukan (biasanya tidak lebih dari lima kali), system akan membawa pengguna keluar dari system. Access Token Jika usaha logon berhasil, system operasi akan membuat access token yang berisi informasi utama mengenai pengguna, termasuk ID, kata sandi, kelompok pengguna dan hak – hak yang diberikan pada pengguna tersebut. Informasi dalam access token tersebut akan digunakan untuk menyetujui semua Tindakan yang dilakukan oleh pengguna selama sesi penggunaan sistemnya. Daftar Pengendalian Akses Akses keberbagai sumber daya system seperti direktori, file, program dan printer dikendalikan oleh daftar pengendalian akses yang dibuat untuk tiap sumber daya. Daftar ini berisi informasi yang menetapkan hak akses semua pengguna valid atas semua sumber daya terkait. Ketika ada seorang pengguna yang berusaha mengakses suatu sumber daya, system akan membandingkan ID dan haknya di access token dengan data yang berada dalam daftar pengendalian akses. Jika sesuai, maka pengguna akan diberikan akses. Pengendalian Akses Mandiri Administrator system pusat biasanya menetapkan siapa yang diberikan akses ke sumber daya tertentu dan memelihara daftar pengendalian akses. Akan tetapi, dalam system terdistribusi, sumber daya dapat dikembalikan (dimiliki) oleh pengguna akhir. Para pemilik sumber daya dalam kondisi ini dapat diberikan pengendalian akses mandiri yang memungkinkan mereka hak akses ke pengguna lainnya. Contohnya kontroler orang yang merupakan pemilik file buku besar, memberikan hak baca saja kepada seorang manajer dibagian penganggaran. Akan tetapi, manajer bagian utang usaha diberikan ijin untuk membaca dan menulis ke buku besar tersebut. Jika manajer bagian penganggaran mencoba untuk menambah, menghapus atau mengubah buku besar usaha tersebut akan ditolak. Penggunaan pengendalian akses mandiri perlu diawasi secara dekat untuk mencegah pelanggaran keamanan karena penggunaan yang bebas. Tujuan pengendalian system operasi kadang tidak dapat dicapai karena adanya berbagai kesalahan dalam system operasi yang terjadi secara tidak sengaja atau disengaja. Ancaman yang tidak disengaja meliputi kegagalan piranti keras yang menyebabkan system operasi gagal (crash). Kegagalan system operasi juga dapat disebabkan berbagai kesalahan oleh system operasi. Kegagalan system yang tidak disengaja dapat menyebabkan keseluruhan segmen memori masuk kedalam disket dan printer, hingga mengakibatkan pengungkapan secara tidak sengaja berbagai informasi rahasia. Ancaman yang dilakukan dengan sengaja terhadap system operasi biasanya berupa usaha untuk dapat mengakses data secara tidak sah atau melanggar privasi pengguna, untuk mendapatkan keuntungan financial. Akan tetapi bentuk ancaman yang berkembang saat ini berasal dari program penghancur yang tidak jelas keuntunganya untuk apa. Berbagai eksposur ini berasal dari tiga sumber : 1. Personel dengan hak tertentu yang menyalahgunakan wewenangnya. Administrator system dan programmer system membutuhkan akses tidak terbatas ke system operasi untuk melakukan pemeliharaan dan untuk melakukan pemulihan dari kegagalan system. Orang semacam ini dapat saja menggunakan wewenang mereka untuk mengakses program dan file data para pengguna system. 2. Orang – orang yang menjelajahi system operasi untuk mengidentifikasi dan mengekploitasi kelemahan keamanan. Mereka dapat berasal dari dalam maupun luar perusahaan. 3. Orang yang menyelipkan virus komputer atau bentuk lain program penghancur lainnya kedalam system operasi. Kadang – kadang kejadian ini dapat tidak sengaja (contohnya membawa flesdisk dari rumah yang berisi virus atau mendownload permainan yang terinfeksi virus dari internet). Kadang – kadang kejadian ini memang disengaja dan virus secara sengaja dimasukkan ke dalam system operasi.
PENGENDALIAN KESELURUHAN SISTEM
Pembahasan selebihnya dari bagian ini akan menjelaskan berbagai jenis isu ancaman dan pengendalian keseluruhan system. Berbagai kemungkinan hasil dari kegiatan audit yang berkaitan dengan berbagai isu ancaman dan pengendalian tersebut akan dibahas pula. Hak akses para pengguna diberikan kebeberpa orang dan keseluruh kelompok kerja yang diotorisasi untuk menggunakan system. Hak tersebut menentukan direktori, file, aplikasi dan sumber daya lainnya yang dapat diakses oleh seorang atau kelompok. Hak tersebut juga menentukan jenis berbagai tindakan yang dapat dilakukan. Ingatlah Kembali berbagai administrator system atau pemilik sumber daya dapat memberikan hak semacam ini. Pihak menajemen seharusnya khawatir bahwa para pengguna tidak diberikah hak yang tidak memisahkan pekerjaan yang tidak saling bersesuaian. Misalnya, seorang staff administrasi bagian penerimaan kas diberikan hak untuk mengakses dan mengubah file piutang usaha. Keamanan keseluruhan system dipengaruhi oleh bagaimana hak akses diberikan. Oleh karenanya, hak semacam ini harus dikelola dengan hati – hati dan diawasi secara dekat agar sesuai dengan kebijakan perusahaan dan prinsip pengendalian internal. Kata sandi adalah kode rahasia yang dimasukkan oleh pengguna untuk mendapat akses ke system, aplikasi, file, data atau server jaringan. Jika pengguna tidak dapat memberikan kata sandi yang benar system operasi akan menolak akses. Dasar dari pengendalian akses dan prosedur logon adalah penggunaan yang efektif system pengendalian atau kata sandi pengendalian akses adalah sesuatu yang anda telah ketahui (sebuah kata sandi), yang anda miliki (contohnya kartu pintar) atau sesuatu yang merupakan bawaan anda (biometrik). Akan tetapi bukan berarti Ketika memiliki kata sandi sudah efektif. Pilihan isi kata sandi sebenernya adalah hal yang penting seperti juga managemen kata sandi dan proses yang digunakan dalam system pengendalian akses Walaupun kata sandi dapat memberikan keamanan pada tingkat tertentu, ketika diterapkan pada pengguna yang tidak memiliki konsep keamanan, prosedur kata sandi dapat mengakibatkan perilaku pengguna yang melemahkan keamanan. Kata sandi yang dapat digunakan Kembali Metode yang paling umum pada pengendalian kata sandi adalah melakukan kata sandi yang dapat digunakan Kembali. Pengguna menentukan kata sandi disistem satu kali kemudian menggunakannya berulang kali untuk akses selanjutnya. Kebanyakan system operasi hanya menetapkan standar dasar untuk penerimaan kata sandi. Kualitas keamanan yang disediakan oleh kata sandi yang dapat digunakan Kembali bergantung pada kualitas kata sandi itu sendiri, jika kata sandi berhubungan dengan hal pribadi dari pengguna seperti nama kecil, tanggal lahir penjahat komputer akan menebaknya. Bahkan jika kata sandi berasal dari data nonpribadi, seperti rangkaian karakter (seperti A S D F) atau huruf yang sama digunakan beberapa kali, penajahat komputer akan menggunakan tabel frekuensi untuk menemukan kata sandi yang paling sering digunakan dengan cepat. Kata sandi yang dapat digunakan Kembali dan berisi huruf dan angka acak adalah paling sulit untuk ditelusuri, akan tetapi sulit untuk di ingat oleh pengguna. Kata sandi sekali pakai kata sandi sekali pakai didesain untuk mengatasi berbagai masalah yang baru dibahas di atas. Dalam pendekatan ini, kata sandi jaringan milik pengguna akan secara konstan di ubah. Untuk mengakses jaringan pengguna harus memberikan nomor identifikasi pribadi yang dapat digunakan berulang kali dan kata sandi sekali pakai saat ini untuk waktu tersebut. Tentu saja masalahnya adalah bagaimana caranya memberitahukan pengguna yang valid kata sandi yang terkini. Salah satu teknologi yang dapat digunakan adalah menggunakan alat seukuran kartu kredit yang berisi mikroprosesor yang deprogram dengan algoritma tertentu yang akan menghasilkan dan secara elektronik menampilkan sebuah kata sandi yang baru dan unik setiap 60 detik. Kartu tersebut bekerja bersama dengan peranti lunak autentikasi kusus, hingga kapan saja, baik kartu pintar maupun piranti lunak jaringan menghasilkan kata sandi yang sama untuk pengguna yang sama. Kebijakan kata sandi Pihak manajemen eksekutif dan manajemen SI harus membentuk kebijakan kata sandi yang dapat mengatasi berbagai risiko dan menyediakan potensi pengendalian. Kebijakan yang disarankan dapat dilihat pada tabel 1. Kebijakan ini akan dimulai dengan komunikasi. Pihak manajemen membutuhkan suatu cara untuk memastikan bahwa semua karyawan dan pengguna menyadari kebijakan kata sandi. Cara tersebut dapat diwujudkan melalui program orientasi karyawan, jika perusahaan memilikinya. Panjangnya kata sandi juga harus ditetapkan. Makin Panjang isi kata sandi maka akan makin sulit untuk dipecahkan.