PERTEMUAN 4

PENGENDALIAN SISTEM OPERASI DAN PENGENDALIAN

KESELURUHAN SISTEM

PENGENDALIAN SISTEM OPERASI

Sistem operasi adalah program pengendalian dalam komputer. Sistem ini
memungkinkan para pengguna dan aplikasi di dalamnya untuk berbagi dan mengakses
sumber daya komputer bersama, seperti prosesor, memori utama, basis data dan printer.
Akuntan yang modern perlu mengenali system operasi dalam gambaran umum
pengendalian untuk dapat secara tepat menilai berbagai risiko yang mengancam system
akuntansi.
Jika integritas system operasi menjadi lemah, pengendalian dalam tiap aplikasi
akuntansi mungkin akan melemah pula atau dinetralkan. Karena system operasi adalah
hal yang digunakan semua pengguna, semakin besar suatu fasilitas komputer maka akan
makin tinggi skala potensi kerusakannya. Jadi, dengan semakin banyaknya sumber daya
komputer yang digunakan bersama dalam komunitas pengguna yang selalu bertambah,
keamanan system operasi menjadi isu pengendalian yang penting.
System operasi melakukan tiga pekerjaan utama. Pertama, system ini
menerjemahkan Bahasa tingkat tinggi seperti COBOL, BASIC, Bahasa C dan SQL ke
dalam bahasa tingkat mesin yang dapat dijalankan oleh komputer. Modul – modul
penerjemah bahasa dalam system operasi disebut sebagai kompilator dan interpreter.
Implikasi pengendalian atas penerjemah bahasa akan dipelajari kemudian dalam bab ini.
Kedua, system operasi mengalokasikan berbagai sumber daya komputer ke para
pengguna, kelompok kerja, dan aplikasi. Pekerjaan ini meliputi penugasan ruang kerja
memori ke berbagai aplikasi, otorisasi akses ke berbagai terminal, saluran
telekomunikasi, basis data dan printer.
Ketiga, system operasi mengelola berbagai pekerjaan penjadwalan pekerjaan dan
multipromrograman. Kapan saja, sejumlah aplikasi pengguna (pekerjaan) akan mencari
akses ke sumber daya komputer yang berada dibawah pengendalian system operasi.
Berbagai pekerjaan tersebut dimasukkan ke dalam system melalui tig acara : 1. Secara
langsung oleh operator system, 2. Dari berbagai antrean batch, 3. Melalui saluran
telekomunikasi dari tempat kerja jarak jauh. Untuk dapat mewujudkan pengguna yang
efisien dan efektif berbagai sumber daya komputer yang terbatas, system operasi harus
menjadwalkan pekerjaan pemrosesan berdasarkan prioritas yang dibuat sebelumnya yang
menyeimbangkan penggunaan berbagai sumber daya tersebut di antara berbagai aplikasi
yang saling bersaing satu sama lain.
Untuk melakukan pekerjaan ini secara konsisten dan andal, maka system operasi
harus mencapai lima tujuan pengendalian fundamental berikut :
1. System operasi harus melindungi dirinya dari para pengguna. Aplikasi pengguna tidak
boleh memperoleh kendali atas atau merusak dalam cara apapun, system operasi
hingga menyebabkanya berhenti bekerja atau menyebabkan kehancuran data.
2. System operasi harus melindungi para penggunanya dari satu sama lain. Tidak boleh
ada salah satu pengguna yang mengakses, menghancurkan atau merusak data atau
program pengguna lainnya.
3. System operasi harus melindungi para pengguna dari diri mereka sendiri. Sebuah
aplikasi pengguna dapat saja berisi beberapa modul yang disimpan dalam lokasi
memori terpisah, yang masing – masing memiliki data di dalamnya. Salah satu modul
jangan sampai dapat menghancurkan atau merusak modul lainnya.
4. System operasi harus dilindungi dari dirinya sendiri. System operasi juga terdiri atas
beberapa modul terpisah. Jangan ada modul yang di izinkan untuk menghancurkan
atau merusak modul lainnya.
5. System operasi harus dilindungi dari lingkungan sekitarnya. Jika terjadi mati listrik
atau berbagai bencana lainya, system operasi seharusnya dapat melakukan
penghentian operasi secara terkendali berbagai aktivitas yang nantinya akan
dipulihakan Kembali.

Keamanan Sistem Informasi melibatkan kebijakan prosedur dan pengendalian

yang menentukan siapa saja yang dapat mengakses system operasi, sumber daya mana
(file, program, printer) yang dapat di akses dan ditingkatkan apa yang dapat dilakukan.
Berbagai komponen keamanan berikut ini dapat ditentukann dalam system operasi yang
aman : prosedur logon, access, token, daftar pengendalian akses dan pengendalian akses
mandiri.
Prosedur Logon
Prosedur logon yang formal adalah pertahanan garis depan system operasi dari
akses tidak sah. Ketika pengguna melalui proses tersebut, ia akan disajikan sebuah kotak
dialog yang meminta ID dan kata sandinya. System kemudian akan membandingkan ID
dan kata sandi tersebut dengan basis data para pengguna yang valid. Jika system
menenemukan kesesuaian, maka usaha untuk dimasukkan salah, maka usaha logon gagal
dan akan ada sebuah pesan untuk pengguna. Pesan tersebut tidak boleh memberitahukan
apakah ID atau kata sandi yang menyebabkan kegagalan logon. Setelah beberapa kali
percobaan logon dilakukan (biasanya tidak lebih dari lima kali), system akan membawa
pengguna keluar dari system.
Access Token
Jika usaha logon berhasil, system operasi akan membuat access token yang berisi
informasi utama mengenai pengguna, termasuk ID, kata sandi, kelompok pengguna dan
hak – hak yang diberikan pada pengguna tersebut. Informasi dalam access token tersebut
akan digunakan untuk menyetujui semua Tindakan yang dilakukan oleh pengguna selama
sesi penggunaan sistemnya.
Daftar Pengendalian Akses
Akses keberbagai sumber daya system seperti direktori, file, program dan printer
dikendalikan oleh daftar pengendalian akses yang dibuat untuk tiap sumber daya. Daftar
ini berisi informasi yang menetapkan hak akses semua pengguna valid atas semua sumber
daya terkait. Ketika ada seorang pengguna yang berusaha mengakses suatu sumber daya,
system akan membandingkan ID dan haknya di access token dengan data yang berada
dalam daftar pengendalian akses. Jika sesuai, maka pengguna akan diberikan akses.
Pengendalian Akses Mandiri
Administrator system pusat biasanya menetapkan siapa yang diberikan akses ke
sumber daya tertentu dan memelihara daftar pengendalian akses. Akan tetapi, dalam
system terdistribusi, sumber daya dapat dikembalikan (dimiliki) oleh pengguna akhir.
Para pemilik sumber daya dalam kondisi ini dapat diberikan pengendalian akses mandiri
yang memungkinkan mereka hak akses ke pengguna lainnya. Contohnya kontroler orang
yang merupakan pemilik file buku besar, memberikan hak baca saja kepada seorang
manajer dibagian penganggaran. Akan tetapi, manajer bagian utang usaha diberikan ijin
untuk membaca dan menulis ke buku besar tersebut. Jika manajer bagian penganggaran
mencoba untuk menambah, menghapus atau mengubah buku besar usaha tersebut akan
ditolak. Penggunaan pengendalian akses mandiri perlu diawasi secara dekat untuk
mencegah pelanggaran keamanan karena penggunaan yang bebas.
Tujuan pengendalian system operasi kadang tidak dapat dicapai karena adanya
berbagai kesalahan dalam system operasi yang terjadi secara tidak sengaja atau disengaja.
Ancaman yang tidak disengaja meliputi kegagalan piranti keras yang menyebabkan
system operasi gagal (crash). Kegagalan system operasi juga dapat disebabkan berbagai
kesalahan oleh system operasi. Kegagalan system yang tidak disengaja dapat
menyebabkan keseluruhan segmen memori masuk kedalam disket dan printer, hingga
mengakibatkan pengungkapan secara tidak sengaja berbagai informasi rahasia.
Ancaman yang dilakukan dengan sengaja terhadap system operasi biasanya berupa
usaha untuk dapat mengakses data secara tidak sah atau melanggar privasi pengguna,
untuk mendapatkan keuntungan financial. Akan tetapi bentuk ancaman yang berkembang
saat ini berasal dari program penghancur yang tidak jelas keuntunganya untuk apa.
Berbagai eksposur ini berasal dari tiga sumber :
1. Personel dengan hak tertentu yang menyalahgunakan wewenangnya. Administrator
system dan programmer system membutuhkan akses tidak terbatas ke system operasi
untuk melakukan pemeliharaan dan untuk melakukan pemulihan dari kegagalan
system. Orang semacam ini dapat saja menggunakan wewenang mereka untuk
mengakses program dan file data para pengguna system.
2. Orang – orang yang menjelajahi system operasi untuk mengidentifikasi dan
mengekploitasi kelemahan keamanan. Mereka dapat berasal dari dalam maupun luar
perusahaan.
3. Orang yang menyelipkan virus komputer atau bentuk lain program penghancur lainnya
kedalam system operasi. Kadang – kadang kejadian ini dapat tidak sengaja (contohnya
membawa flesdisk dari rumah yang berisi virus atau mendownload permainan yang
terinfeksi virus dari internet). Kadang – kadang kejadian ini memang disengaja dan
virus secara sengaja dimasukkan ke dalam system operasi.

PENGENDALIAN KESELURUHAN SISTEM

Pembahasan selebihnya dari bagian ini akan menjelaskan berbagai jenis isu
ancaman dan pengendalian keseluruhan system. Berbagai kemungkinan hasil dari
kegiatan audit yang berkaitan dengan berbagai isu ancaman dan pengendalian tersebut
akan dibahas pula.
Hak akses para pengguna diberikan kebeberpa orang dan keseluruh kelompok kerja
yang diotorisasi untuk menggunakan system. Hak tersebut menentukan direktori, file,
aplikasi dan sumber daya lainnya yang dapat diakses oleh seorang atau kelompok. Hak
tersebut juga menentukan jenis berbagai tindakan yang dapat dilakukan. Ingatlah
Kembali berbagai administrator system atau pemilik sumber daya dapat memberikan hak
semacam ini. Pihak menajemen seharusnya khawatir bahwa para pengguna tidak
diberikah hak yang tidak memisahkan pekerjaan yang tidak saling bersesuaian. Misalnya,
seorang staff administrasi bagian penerimaan kas diberikan hak untuk mengakses dan
mengubah file piutang usaha.
Keamanan keseluruhan system dipengaruhi oleh bagaimana hak akses diberikan.
Oleh karenanya, hak semacam ini harus dikelola dengan hati – hati dan diawasi secara
dekat agar sesuai dengan kebijakan perusahaan dan prinsip pengendalian internal.
Kata sandi adalah kode rahasia yang dimasukkan oleh pengguna untuk mendapat
akses ke system, aplikasi, file, data atau server jaringan. Jika pengguna tidak dapat
memberikan kata sandi yang benar system operasi akan menolak akses. Dasar dari
pengendalian akses dan prosedur logon adalah penggunaan yang efektif system
pengendalian atau kata sandi pengendalian akses adalah sesuatu yang anda telah ketahui
(sebuah kata sandi), yang anda miliki (contohnya kartu pintar) atau sesuatu yang
merupakan bawaan anda (biometrik). Akan tetapi bukan berarti Ketika memiliki kata
sandi sudah efektif. Pilihan isi kata sandi sebenernya adalah hal yang penting seperti juga
managemen kata sandi dan proses yang digunakan dalam system pengendalian akses
Walaupun kata sandi dapat memberikan keamanan pada tingkat tertentu, ketika
diterapkan pada pengguna yang tidak memiliki konsep keamanan, prosedur kata sandi
dapat mengakibatkan perilaku pengguna yang melemahkan keamanan.
Kata sandi yang dapat digunakan Kembali
Metode yang paling umum pada pengendalian kata sandi adalah melakukan kata
sandi yang dapat digunakan Kembali. Pengguna menentukan kata sandi disistem satu kali
kemudian menggunakannya berulang kali untuk akses selanjutnya. Kebanyakan system
operasi hanya menetapkan standar dasar untuk penerimaan kata sandi. Kualitas keamanan
yang disediakan oleh kata sandi yang dapat digunakan Kembali bergantung pada kualitas
kata sandi itu sendiri, jika kata sandi berhubungan dengan hal pribadi dari pengguna
seperti nama kecil, tanggal lahir penjahat komputer akan menebaknya. Bahkan jika kata
sandi berasal dari data nonpribadi, seperti rangkaian karakter (seperti A S D F) atau huruf
yang sama digunakan beberapa kali, penajahat komputer akan menggunakan tabel
frekuensi untuk menemukan kata sandi yang paling sering digunakan dengan cepat. Kata
sandi yang dapat digunakan Kembali dan berisi huruf dan angka acak adalah paling sulit
untuk ditelusuri, akan tetapi sulit untuk di ingat oleh pengguna.
Kata sandi sekali pakai
kata sandi sekali pakai didesain untuk mengatasi berbagai masalah yang baru
dibahas di atas. Dalam pendekatan ini, kata sandi jaringan milik pengguna akan secara
konstan di ubah. Untuk mengakses jaringan pengguna harus memberikan nomor
identifikasi pribadi yang dapat digunakan berulang kali dan kata sandi sekali pakai saat
ini untuk waktu tersebut. Tentu saja masalahnya adalah bagaimana caranya
memberitahukan pengguna yang valid kata sandi yang terkini.
Salah satu teknologi yang dapat digunakan adalah menggunakan alat seukuran
kartu kredit yang berisi mikroprosesor yang deprogram dengan algoritma tertentu yang
akan menghasilkan dan secara elektronik menampilkan sebuah kata sandi yang baru dan
unik setiap 60 detik. Kartu tersebut bekerja bersama dengan peranti lunak autentikasi
kusus, hingga kapan saja, baik kartu pintar maupun piranti lunak jaringan menghasilkan
kata sandi yang sama untuk pengguna yang sama.
Kebijakan kata sandi
Pihak manajemen eksekutif dan manajemen SI harus membentuk kebijakan kata
sandi yang dapat mengatasi berbagai risiko dan menyediakan potensi pengendalian.
Kebijakan yang disarankan dapat dilihat pada tabel 1. Kebijakan ini akan dimulai dengan
komunikasi. Pihak manajemen membutuhkan suatu cara untuk memastikan bahwa semua
karyawan dan pengguna menyadari kebijakan kata sandi. Cara tersebut dapat diwujudkan
melalui program orientasi karyawan, jika perusahaan memilikinya. Panjangnya kata sandi
juga harus ditetapkan. Makin Panjang isi kata sandi maka akan makin sulit untuk
dipecahkan.