Buku Referensi:
Information Technology Auditing & Assurance, 2nd ed, Hall & Singleton, 2007.
Chapter 5.
Jaringan, Internet, dan E- Commerce
Perdagangan elektronik (E-Commerce) melibatkan penggunaan teknologi internet, sistem
Jaringan, serta pemprosesan dan transmisi data secara elektronik. E- Commerce mencakup
berbagai macam aktifitas, termasuk perdagangan barang dan jasa secara elektronik, pengiriman
produk digital secara online, transfer dana secara elektronik (electronic funds transfer---EFT),
perdagangan saham secara elektronik, dan pemasaran ke konsumen langsung.
E-Commerce meluas dengan sangat cepat dan mengalami perubahan radikal dikarenakan
didorong revolusi internet sehingga menimbulkan serangkaian masyarakat dagang dan pasar
yang inovatif. Meskipun e-commerce menjanjikan peluang yangsangat besar bagi konsumen dan
bisnis, implementasi dan pengendalian yang efektif masih merupakan tantangan yang sangat
mendesak bagi manajemen organisasi dan auditor.
JARINGAN
Jaringan biasanya diklasifikasikan sebagai local area network (LAN) privat, wide area net work
(WAN) atau internet-worked network.
local area network (LAN) sering dibatasi oleh satu ruangan dalam satu gedung, atau
menghubungkan beberapa gedung dalam area gografis yang berdekatan. LAN mampu
melakukan trasmisi suara dan video, serta komunikasi data. Node yang menhubungkan LAN
biasanya adalah tempat kerja (workstation) berbasis mikrokomputer.
Wide area net work (WAN) merupakan Jaringan melewati batas geografis LAN. WAN
biasanya meggunakan fasilitas pembawa yang umum (seperti jalur telepon satau saluran
gelombang mikro) antara node yang berjauhan. Oleh sebab itu WAN sering merupakan jaringan
public (atau minimal sebagiannya) sehingga harus mematuhi peraturan Komisi Komunikasi
Federal. Node dari suatuWANbisa mencakup tempat kerja mikrokomputer, minicomputer,
mainframe, atau LAN.
Tipologi Jaringan (network Topology) adalah susunan fisik dari komponen- komponen
(terminal, server, dan hubungan komunikasi) dalam suatu jaringan. Empat Topologi jaringan
dasar: Bintang, hierarkis, cincin dan bus.
Topologi Bintang (star topology) mendeskripsikan jaringan komputer dengan satu computer
pusat (bost) di bub yang berhubungan langsungke periferi komputer- komputer yang lebih kecil,
komunikasi antara node dalam topologi bintang dikelola dan dikendalikan dari situs bost. Jika
satu atau beberapa node dalam jaringan bintang gagal, komunikasi antar node lainnya masih
dimungkinkan melalui situs pusat. Akan tetapi, jika situs pusat gagal, node individual hanya bias
berfungsi secara local, tetapi tidak bisa berkomunikasi dengan node- node lainnya. Asumsi yang
mendasari topologi bintang adalah bahwa komunikasi primer ada diantara situs pusat dan node.
Topologi hierarkis (hierarchical topology) adallah jaringan dimana computer bost dihubungkan
dengan beberapa tingkat computer subordinat yang lebih kecil dalam hubungan master-slave.
Contohnya perusahaan manufaktur yang memiliki beberapa pabrik, gudang, dan kantor
penjualan diberbagai lokasi. Topologi cincin adalah susunan rekan kerekan (dalam konfigurasi)
di mana semua node memiliki status yang sama. Sehingga bertanggung jawab untuk mengelola
komunikasi terdistribusi antar node. Topologi Bus (bus topology) adalah topologi LAN yang
banyak digunakan, karena semua node dihubungkan ke kabel yang sama. Komunikasi dan
transfer file antar tempat kerja dikendalikan secara terpusat oleh satu atau beberapa server.
Jaringan secara umum dapat diklasifikasikan sebagai arsitektur rekan ke rekan atau arsitektur
klien server. Rekan ke rekan (peer- to-peer---P2P) adalah jenis jaringan dimana setiap tempat
kerja memiliki kemampuan dan tanggungjawab yang sama. Istilah klien server (client-server
architecture) memiliki karakteristik khusus yang membedakannya dari topologi dan jaringan
umum. Model klien-server mendistribusikan pemrosesan antara computer pengguna (klien) dan
server file pusat. Kedua computer adalah bagian dari jaringan, namun masing- masing diberi
fungsi yg bisa dikerjakannya dengan baik.
Sistem Jaringan Operasi (network operating system---NOS) sama dengan system operasi
deskop, mengelola fungsi dan data dijaringan. NOS mengendalikan komunikasi antar perangkat
fisik yang terhubung ke jaringan. Tujuannya adalah melkukan tugas- tugas berikut ini :
Polling adalah teknik yang paling popular untuk menetapkan sesi komunikasi dalam WAN. Ada
dua keunggulan utama dari polling. Pertama, Polling tidak menghasilkan pertentangan. Karena
node- node hanya bisa mengirim data jika diminta oleh node master, dua node tidak akan pernah
mengakses jaringan dalam waktu ynag sama. Kedua, Organisasi dapat menetapkan prioritas
untuk komunikasi data dalam jaringan.
Token Passing melibatkan transmisi sinyal khusus—token—di jaringan dari node ke dalam
urutan tertentu. Setiap node di jaringan menerima token, memperbaharuinya, dan mengirimnya
ke node berikutnya. Hanya node yang memiliki token yang boleh mengirim data. Setelah node
pengirim mengirimkan pesan dan menerima sinyal pemberitahua dari node penerima, node
tersebut melepas token terkait. Keunggulan utama dari peyerahan token adalah metode
aksesdeterministik, yang menghindari tubrukan data.
Carrier Sensing adalah teknik akses acak yang mendeteksi tubrukan ketika terjadi. Digunakan
pada topology bus. Ethernet adalah peranti lunak LAN yang paling terkenal yang menggunakan
standar CSMA/CD. Keunggulan terbesar dari Ethernet adalah kenyataan bahwa Ethernet
terkenal, andal dan dipahami dengan baik oleh para ahli jaringan. Juga memiliki keunggulan
ekonomi atas cincin token: (1) Teknologinya, yang relatif lebih sederhana, sesuai untuk kabel
ganda ulir yang lebih murah, sedangkan cincin token hanya bisa digunakan dengan baik pada
kabel koaksial yang mahal; (2) kartu antarmuka jaringan yang digunakan oleh Ethernet jauh
lebih murah daripada yang digunakan adal topology cincin token; (3) Ethernet menggnakan
topology bus, yang lebih mudah diperluas.
Node/ Terminal adalah semua peralatan input-output yang dihubungkan oleh jalur komunikasi
ke computer. Terminal diklasifikasikan menjadi dumb, smart, atau dapat diprogram. Terminal
Dumb hanya bisa mengirim dan menerima data. Contoh : teleprinter dan tabung sinar katode (
Cathode ray tube—CRT), teleprinter bisa berupa printer impact, ink-jet, atau laser. Teleprinter
berguna dalam aplikasi input- output batch atau ketika interaksi antara pengguna dan computer
bost minimal. Tabubg Sinar katode digunakan bersama dengan keyboard CRT menyediakan
tampila visual untuk fungsi input-output seperti penyisipan data, penghapusan data, dan
penampilan halaman layar ( screen paging) melalui input keyboard. Terminal smart mecakup
serangkaian peralatan pemindai optis yang membaca teks, grafik, dank ode batang serta
mengkonversinya menjadi data input digital, contoh : tongkat pemindai optic yang digunakan
untuk membaca kode batang pada bahan makanan di took serba ada.
Server merupaka node LAN sering dibagi antarsumber daya seperti program, adta, dan printer,
yang dikelola memlui computer tujuan khusus. Sinyal gelombang memiliki tiga karakteristik
yang bisa bervariasi untuk menyatakan isi pesan: amplitude, frekuensi, dan tahap. Amplitudo
(amplitude), atau kekuatan sinyal, diwakili oleh ketinggian puncak positif( dan negative) relative
ke nol. Amplitudo diukur dengan satuan volt. Frekuensi (frequency) sinyal adalah jumlah siklus
atau osilasi yang terjadi perdetik. Unit ukuran untuk frekuensi adalah hertz (Hz). Jadi 1000 siklus
per detik adala 1.000 Hz. Tahap (phase) dari sinyal dalah poin dalam silkus dimana sinyal telah
maju. Data yang disimpan dalam computer diwakili dengan digit biner (binary digit atau
bit),yang mengasumsikan nilai numeric 0 atau 1. Untuk mengirim data computer, bit dikonversi
menjadi sinyal digital (digital Signal) yang mewaliki nol dan satu sebagai serangkaian pulsa
listrik. Modulasi mencakup pembauran sinyal input dengan basis frekuensi dibutuhkan untuk
transmisi. Pada ujung penerima dari jalur trasnmisi, proses modulasi terbalik, yang disebut
demodulasi menghasilkan kembali sinyal input awalnya. Peralatan peranti keras yang melakuka
tugas modulator-demodulator disebut modem. Tiga bentuk dasar modulasi yang umum
dugunakan adalah: modulasi amplitude, modulasi frekuensi,, dan modulasi tahap. Bridge
menyediakan sarana untuk menghubungkan beberapa LAN dengan jenis yang sama, seperti
cincin token IBM dengan cincin token IBM lanyya. Gateway menghubungkan LAN dari jenis
yang berbeda dan juga digunakan untuk menghubungkan LAN ke WAN. Pengalihan (Switching)
pesan adalah teknik untuk menghubungkan kompoten- komponen dalam satu jaringan secara
efisien. Dua jenis alat pengelihan yang digunakan dalam jaringan modern adalah private branch
exchange (PBX) dan packet Switching. PBX mnerjemahkan format data dari peralatan
pengiriman agar sesuai dengan persyaratan peralatan penerima. Packet switching digunakan
untuk komunikasi jarak jauh dana WAN. Standar Internasional untuk pengaturan data ke paket
untuk jaringan pengalih public adalah X.25.
Multiplekser (multiplexer) adalah alat yang memungkinkan transmisi simutan dari banyak sinyal
sambil mempertahankan pemisahanantara masing- masing sinyal. Untuk mencapai pemisahan
pesan pada jalur jarak jauh, multiplekser menggunakan satu dari dau pendekatan dasar berikut ini
: Frequency division multiplexing ( FDM) atau time division multiplexing (TDM). Hub adalah
prosesor jaringan yang biasanya digunakan untuk menghubungkan segmen- segmen dari satu
LAN. Hub berisi beberapa Port. Router adalah prosesor jaringan yang digunakan untuk untuk
saling menghubungkan jaringan dengan protocol- protocol yang berbeda. Router digunakan
untuk mengarahkan pesan (paket data jaringan) ke tujuannya. Switch adalah prosesor jaringan
yang menjalin hubungan antara sirkuit komunikasi dengan suatu jaringan, mengarahkan paket-
paket ketujuannya. Switch adalah alat yang menyaring dan meneruskan paket- paket
antarsegmen LAN. Gateway adalah node pada jaringan yang menjadi jalan masuk bagi jaringan
yang lain, gateway adalah computer yang mengarahkan lalulintas dari satu tempat kerja ke
jaringan luar yang merupakan halaman Web.
INTERNET
Internnet telah berevolusi menjadi jalan raya informasi, pertumbuhan ini berkaitan dengan tiga
factor. Pertama, pada tahun 1995, perusahaan telekomunikasi komersial nasional seperti MCI,
Sprint, dan UUNET mengambil kendali elemen- elemen backbone dari internet dan terus
memperkuat infrastrukturnya. Kedua, layanan online seperti MSN dan AOL terhubung ke
internet untuk e-mail, sehingga memungkingkan pengguna dari berbagai layanan untuk saling
berkomunikasi. Ketiga, dan yang paling signifikan, adalah pengembangan penjelajah web
berbasis grafik, seperti Netscape Navigator dan internet Explorer dari mocrosoft memungkinkan
akses ke internet menjadi sederhana. Melalui internet, organisasi melakukan transaksi bisnis,
konsumen membeli barang dan jasa, orang- orang memperoleh informasi dengan cepat dan
mudah, orang- orang berkomunikasi secara instan.
Intranet didesain untuk akses hanya oleh anggota (karyawan) organisasi, atau pihak yang
memiliki otorisasi yang sesuai. Intranet yang aman saat ini adalah segmen internet yang tumbuh
paling cepat karena lebih hemat untuk dibangun dan dikelola daripada jaringan privat yang
berdasarkan protocol kepemilikan. Ekstranet digunakan untuk menyediakan akses antara basis
data- data internal mitra dagang. Landasan Teknologi internet mencakup komponen- komponen
jaringan seperti Arsitektur klien- server adalah struktur dasar dari teknologi internet yang
digunakan untuk internet dan banyak, atau bahkan kebanyakan, dari LAN yang menyebar akhir-
akhir ini. E- mail masih menjadi fungsi yang paling popular dari teknologi internet. FTP
digunakan untuk mentransfer file ke internet, dan dilekatkan dalam kemampuan men-download
situs web. Paket protocol TCP/IP dalah tongkat ajaib yang memungkinkan system dan computer
yang berbeda untuk saling berkomunikasi.
EDI, fitur penting dari EDI, pertama adalah usaha antarperusahaan. Perusahaan tidak bisa
terlibat dalam EDI sendiri, kedua, transaksi diproses secara otomatis oleh system informasi dari
mitra dagang. Ketiga, informasi transaksi didkirim dalam fomat terstandar. Fitur 5-19
menunjukan gambaran umum dari koneksi EDI antar dua perusahaan (transaksi) Pembelian
persediaan oleh pelanggan( perusahaan A) dari pemasok (Perusahaan B). Sistem pembelian
perusahaan A secara otomatis membuat pesanan pembelian (purchase order—PO) elektronik,
yang dikirim ke peranti lunak penerjemahan. PO diubah ke pesan elektronik berformat standar
untuk pengiriman. Pesan dikirim keperanti lunak penerjemahan milik perusahaan B, untuk
dikonversi ke format internal pemasok. Sinstem pemrosesan pesanan penjualan milik perusahaan
B menerima pesanan pelanggan, dan memrosesnya secara otomatis. Figure 5-19 memnujukan
jalur komunikasi lansung antar perusahaan.Figur 5-20 mengilustrasikan Value- added network
(VAN). Perusahaan asal mengirim pesan EDI ke jaringan, bukan langsung ke computer mitra
dagangnya. Jaringan mengarahkan setiap transmisi EDI ke tujuannya dan menyimpan pesan
dikotak surat elektronik yang sesuai. Inti dari konsep EDI adalah penggunaan format standar
untuk menukar informasi perdagangan antarmitradagang. Perluasan penerimaan dan
pertumbuhan EDI tidak terjadi sebelum protocol yang berterima dikembangkan. Standar yang
digunakan secara internasional adalah format EDIFACT, yang merupakan singkatan dari EDI for
Administration, commerce, and transport. Setiap segmen data adalah suatu kategori informasi
pada dokumen, seperti nomor bagian, harga unit, atau nama pemasok. Elemen- elemen data
adalah item khusus dari data yang berhubungann dengan satu segmen. Dalam contoh Figur 5-22
ini mencakup item seperti REX-446, $127.86 dan ozment supply.
Figur 5-19
Perusahanan A Perusahaan B
Pelangga Pemasok
n
Peranti Lunak
Perranti Lunak
Komunikasi
Komunikasi
Figur 5-20
Satu teknik untuk memulihkan jejak audit adalah dengan memelihara log pengendalian, yang
mencatat arus transaksi yang melalui setiap tahap di system EDI. Figur 5-24 meng ilustrasikan
pendekatan ini.
Pada saat transaksi diterima di setiap tahap dalam proses ini, entri dimasukan juga ke log. Dalam
system pelanggan, log transaksibisa direkonsilaiasi untuk memastikan bahwa semua transaksi
yang diawali oleh system pembelian diterjemahkan dan dikomunikasikan dengan tepat.dalam
system pemasok, log pengendalian akan memastikan bahwa semua pesan yang diterima oleh
peranti lunak komunikasi diterjemahkan dari proses dengan tepat oleh system pesanan penjualan.
Bisnis ke konsumen ( business-to costumer—B2C) adalah pertukaran jasa, informasi dan atau
berbagai produk dari suatu perusahaan ke pelanggan dengan menggunakan teknologi internet
dan e- commerce.
Bisnis Ke bisnis ( business- to- business—B2B) adalah pertukaran jasa, onformasi dan/ atau
produk dari suatu perusahaan ke pelanggan dengan menggunakan teknologi internet dan e-
commerce
Berbagai resiko yang berhubungan dengan jaringan internet seringkali dihubungkan dengan
hacker. Bergagai resiko meluas hingga berbagai ancaman baik internal seperti kecelakaan/
kegagalan system, akuntabilitas yang tidak efektif, aktivitas kejahatan dan kecurangan. Adapun
ancaman eksternal seperti pelanggar dapat dibagi ke dalam tiga atau empat kelompok: hacker,
craker, dan script kiddies.
Merupakan tanggung jawab auditor IT untuk memastikan adanya tingkat pengendalian yang
memadai dan efektifitas fungsinya agar dapat melindungi asset serta bisnis perusahaan. Dua area
utama yang menjadi kekhawatiran adalah akses tidak sah dan kegagalan perlengkapan. Tanpa
adanya pengendalian yang memadai, para mmitra dagang dapat mengakses data dan/ atau
program mitra lainnya dari lokasi jauh hingga melebihi wewenangnya, melakukan tindakan
penipuan illegal, atau memasukan kesalahan dalam berbagai file data. Pengendalian dimulai
dengan prakt5ik yang baik atas kebijakan dan prosedur untuk menangani berbagai resiko ynag
diidentifikasi dalam penilaian resiko yang dilakukan oleh perusahaan atau auditornya, dan
meliputi beberapa peralatan TI yang canggih untuk meringankan berbagai risiko yang telah
didentifikasi di atas.
Kebijakan dan prosedur berkaintan dengan peristiwa yang beresiko, hal itu akan mengarah pada
pilihan berbagai prosedur (pengendalian untuk mencegah dan mendeteksi berbagai peristiwa.
Teknik SDLC berbagai pratik seperti dokumentasi, keterlibatan pengguna akhir, pengujian
system secara operasiona. Sistem anti virus, system peringatan dini untuk bebagai virus yang
berkembang, akrena ketika suatu virus pertama kali dilepas, tidak ada AVS apa pun yang dapat
melindungi sampai penangkalnya disempurnakan dan diinstal dalam AVS.melalui penomoran
urutan pesan, sebuah nomor urut akan dimasukan kedalam tiap pesan dan usaha apa pun akan
diketahui pada titik penerima
LOG
Seorang pelanggar dapat berhasil masuk kedalam sistem dengan mencoba berbagai kata sandi
dan menggunakan berbagai kombinasi ID Pengguna. Oleh karenanya, semua pesan yang masuk
dan keluar, serta akses yang dilakukan (dan gagal), harus dicatat kedalam log (daftar) transaksi
pesan. Daftar tersebut harus mencatat ID pengguna, waktu akses, dan lokasi terminal atau nomor
telepon dariman akses tersebut berasal.
SISTEM PEMONITORAN
Router pemonitoran dan gateway telah menjadi alat yang efektif untuk memonitor berbagai
aktifitas yang merusak. Jika digabungkan dengan berbagai grafik yang secara terus menerus
membaca, maka aktivitas apapun akan dapat diketahui melalui perubahan radikal garis tren
grafik tersebut. Alat ini juga membantu mendeteksi berbagai aktivitas negatif, seperti pembuatan
cadangan data yang tidak dijadwalkan dengan baik.
Sistem pengendalian akses (access control system) digunakan untuk melakukan otorisasi dan
mengautentikasi pengguna. Sistem ini menggunakan satu atau lebih dari tiga pendekatan
kemanan : (1) sesuatu yang anda miliki (2) sesuatu yang anda ketahui (3) sesuatu yang
merupakan anda.
Pengendalian auntentikasi yang paling umum adalah sistem kata sandi, firewall dan kadang
kartu akses atau biometrik. Kelemahannya adalah keduanya pernah dilanggar, dan penyusup
dapat menyebabkan banyak kerusakan serta mengakibatkan kerugian keuangan yang signifikan.
Sistem Pemanggilan kembali Kelemahan umum untuk semua teknologi ini adlah mereka
memberlakukan ukuran keamanan setelah seorang penjahat terkoneksi ke server LAN.
Peralatan Pemanggil Kembali mewajibkan pengguna yang dial-in memasukan kata sandi untuk
diidentifikasi. Sistem tersbut kemudian akan menghentikan koneksi agar dapat melakukan
autentikasi.
Sistem Tantangan-Respons Dengan teknik ini sebuah pesan pengendali dari pengirim dan
respons dari penerima akan dikirimkan secara berkala dengan interval yang disinkronisasi.
Sistem Kata Sandi Multisisi Salah satu cara untuk mendesain sistem ini adalah denga
menggabungkan beberapa kata sandi dengan tabel akses yang ekstensif dimana tiap pengguna
diberikan akses baca saja untuk memastikan field tertentu, melakukan akses baca-tulis ke field
yang dibutuhkan, dan tanpa akses ke semua field lainnya dalam basis data terkait.
Biometrik dapat didefinisikan sebgai pengukuran otomatis satu atau lenih atribut khusus atau
fitur seseorang, dengan tujuan membedakan orang tersebut dari lainnya. Karakteristik seperti
sidik jari, garis tangan, suara, retina dan iris mata serta muka dapata digunakan sebgai kode akses
dalam sistem biometrik. Biometrik kini dikenal sebagai teknologi yang paling andal untuk
mengembangkan pertahanan dari pencurian dan kecurangan akibat akses tidak sah.
Firewall terdiri atas peranti lunak dan peranti keras yang memberatkan titik keamanan dengan
menggabungkan semua koneksi jaringan melalui sebuah gateway. Firewall dapat digunakan
untuk melakukan autentikasi atas pengguna eksternal jaringan, memverifikasi hak aksesnya dan
kemudian mengarahkan pengguna tersebut ke progam data atau layanan yang diminta.
Firewall dapat digolongkan kedlam dua kategori yaitu firewall ditingkat jaringan dan apikasi.
Tingkat jaringan menyediakan pengendalian akses keamanan yang lebih murah dan rendah
sedangkan di tingkat aplikasi meberikan keamanan yang dapat disesuaikan tetapi merupakan
sistem yang sangat mahal.
Sistem Deteksi Gangguan ( Instrusion Detection System-IDS) memriksa semua aktivitas masuk
dan keluar jaringan serta mengidentifikasi berbagai pola mencurigakan yang dapat
mengindikasikan serangan ke suatu jaringan atau sistem dari seorang yang mencoba menyusup
masuk atau melemahkan sistem.
Deteksi penyalahgunaan versus deteksi anomali, dalam deteksi ini IDS menganalisis
informasi yang dikumpulkannya dan membandingkannhya dengan berbagai basis data
besar yang berisi tanda tanda serangan.
Berbais jaringan versus berbasi Hot, tiap paket yang mengalir melalui suatu jaringan akan
dianalisis. NIDS dapat mendeteksi berbagai paket berbahya yang didesain utnuk diawasi
oleh aturan penyaringan firewall sederhana.
Sistem pasif versus sistem reaktif, dalam sistem pasif IDS mendeteksi potensi
pelanggaran keamanan, mencatat informasi tersebut dalam daftar dan menyalakan tanda
bahaya, sedangkan dalam sistem reaktif IDS merespon aktivitas yang mencurigakan
dengan mengeluarkan log off seorang pengguna atau dengan memprogram ulang firewall
untuk memblokir lalu lintas jaringan sari sumber yang dicurigai berbhaya.
Jika perusahaan sasarn dapt mengidentifikasi server yang meluncurkan serangan tersebut,
firewall dapat diprogram untuk mengabaikan semua komunikasi dari lokasi tersebut.
Enskripsi adalah konversi data ke dalam kode rahasia untuk disimpan dalam berbagai basis data
dan transmisi melalui jaringan. Pengirim menggunakan alogaritam enskripsi untuk mengubah
pesan asli ke dalam pesan sama yang telah dikodekan. Pada titik penerima, ciphertext akan
dideskripsi kembali menjadi pesan aslinya. Dua metode umum yang digunakan untuk enskripsi
adala enskripsi kunci privat dan enskripsi kunci publik.
Enskripsi Kunci Privat menggunakan sebuah kunci yang diketahui oleh pengirim untuk
menerima pesan. Perpanjang teknik ini adalah dengan menggunakan enskripsi ganda, pesan asli
mengalami proses enskripsi dua kali. Dengan menggunakan dua kunci yang berbeda akan sangat
mengurangi peluang pemecahan kode.
Enskripsi kunci publik, menggunakan dua kunci yang berbeda : satu untuk mengkodekan pesan,
dan lainnya untuk dekode pesan. Kunci yang mengodekan didistribusikan ke semua jaringan.
Jika kunci ini jatuh ke tangan penjahat komputer, maka hanya dapat digunakan untuk
mengkodekan pesan bukan untuk dekode.
Sertifikat/Tanda Tangan Digital adalah lampiran pesan elektronik yang digunakan untuk tujuan
keamanan. Penggunaan sertifikat digital paling umum adalah untuk memverifikasi bahwa
pengguna yang mengirimkan pesan memang benar benar pengguna tersebut, dan untuk memberi
penerimanya alat untuk mengodekan jawabannya.
Adalah pengendalian yang efektif untuk perusahaan yang bergerak dalam e-commerce. Risiko
seseorang dapat merusak situs web, menghancurkannya, menginvasinya mencuri darinya
sangatlah tinngi sehingga perusahaan harus memiliki pengendalian yang lebih baik untuk
memulihkan kembali aktivitas bisnis jika terjaid peristiwa negatif tersebut.
Jika terjadi peristiwa seperti pencurian aktiva ( berupa informasi atau uang), masyrakat
megetahui bahwa sesuatu yang buruk sedang terjadi, maka diperlukan berbagai proses dan
komunikasi agar perusahaan tidak mengalami tekanan akibat bencana tersebut.
Bagian ini berhubungan dengan berbagai teknik pengendalian yang didesain untuk membatasi
berbaga ancaman akibat kegagalan perlengkapan yang dapat membantu, menghancurkan atau
merusak transakasi basis data dan program komputer.
Kesalahan Sambungan Masalah yang paling umum dalam komunikasi data adalah hilangnya
data karena kesalahan sambungan, terdiri atas sinyal acak yang bercampur dengan sinyal pesan
ketika sinyal tersebut mencapai tingkat terntentu.
Pemeriksaan Echo Melibatkan kegiatan penerima pesan mengembalikan pesan ke pengirimnya.
Pengirim membandingkan pesan yang dikembalikan dengan salinan aslinya yang disimpannya.
Teknik ini dapat mengurangi produktivitas dalam saluran komunikasi hingga setengahnya.
Pemeriksaan Paritas menggabungkan bit ekstra ke dalam struktur suatu rangkaian bit yang
dibuat atau ditransmisikan. Dapat berbentuk horizontal dan vertikal.Paritas veertikal menambah
bit paritas ke tiap karakter dalam pesan ketika berbagai karakter ersebut dikodekan pada awalnya
dan disimpan dalam bentuk magnetis.
Paritas vertikal saja tidak dapat mendeteksi kesalahan dan mengubah paritas dari karakter terkait.
Beberapa perkiraan menunjukan bahwa terdapaat 40 hingga 50 persen peluang gangguan pada
baris akan merusak lebih dari satu bit dalam sebuah karakter.
TUJUAN AUDIT
Dapat diwujudkan melalui beberapa cara, tergantung pada kompleksitas jaringannya. Dalam
jaringan yangkecil, sebuah terminal kerja dapat ditugaskan untuk melakukan fungsi pembuatan
cadangan dan pemulihan bagi beberapa node lainnya.
Membatasi akses ke file cadangan dalam jaringan tingkat perusahaan adala isu pengendalian
yang membutuhkan perhatian khusus. Data cadangan yang penting bagi misi perusahaan
terekpos pada berbagai ancaman akses yang sama dengan data produksinya.
Terakhir redundasi cadangan disarankan untuk jaringan tingkat perusahaan. Beberapa produk
yang canggih memungkinkan adanya alokasi dinamis berbagai peralatan pembuatan cadangan
dan pemberitahuan otomatis atau status cadangan.
Prosedur yang dilibatkan didalamnya sama dengan yang telah di bab sebelumnya, yaitu :
Auditor harus memverifikasi bahwa pembuatan cadangan dilakukan secra rutin dan
sering untuk memfasilitasi pemuloihan data yang hilang, hancur atau rusak
Basis data produksi harus disalin dalam interval waktu yang teratur (mungkin beberapa
kali dalam satu jam)
Auditor harus memverifikasi bahwa prosedur pembuatan cadangan otomatis sudah ada
dan berfungsi.
Validasi Transaksi
Baik pelanggan maupun pemasok harus dipastikan jelas agar transaksi yang diproses adalah
untuk (dan dari) mitra dagang yang valid. Hal ini dapat diwujudkan melalui proses yang terdiri
dari 3 poin ;
Beberapa VAN memiliki kemampuan untuk memvalidasi kata sandi san kode ID
pengguna untuk perusahaan penjual dengan memcocokan semua data ini dengan file
pelanggan yang valid
Sebelum dikonversi, peranti lunak penerjemah dapat memvalidasi ID dan kata sandi
mitra dagang terkait melalui perbandingan dengan file validasi dalam basisi data
perusahaan.
Sebelum pemrosesan, peranti lunak aplikasimitra dagang dapat memvalidasi transaksi
tersebut dengan merujuk pada file pelanggan dan penjual yang valid.
Pengendalian akses
Tingkat pengendalian akses dalam sistem ditentukan oleh kesepakatan antar mitra dagang terakit.
Agar EDI dapat berfungsi dengan baik, mitra dagang terkait harus memungkinkan adanya akses
pada tingkat tertentu ke data rahasia yang tidak diizinkan untuk dilihat dalam linkungan yang
biasa.
Untuk mencegah adanya akases yang tidak sah, setiap perusahaan harus membuta file penjual
dan pelanggan yang valid. Permintaan basisi dtaa karenanya dapat divalidasi dan usaha tidak
untuk mengaksesnya akan dapat ditolak.
Uji Pengendalian Validasi Auditor harus memastikan bahwa kode iedntifikasi mitra dagang
terkait diverifikasi sebelum transaksi diproses. Untuk mencapapi tujuan ini auditor harus (1)
mengkaji ebberapoa kesepakatan dengan fasilitas VAN untuk memvalidasi transaksi dan
memastikan bahwa informasi yang berkaitan dengan mitra dagang yang valid susah lengkap
serta benar dan (2) mempelajari file mitra dagang yang valid milik perusahaan untuk melihat
akurasinta dan kelengkapannya.
Uji Pengendalian Akses Keamanan file mitra dagang yang valid dan basis data adalah inti dari
kerangka pengendalian EDI. Auditor dapat memverifikasi kecukupan pengendalian melalui tiga
cara :
1. Auditor harus memastikan bahwa akses ke file pemasok atau pelanggan yang valid
terbtas hanya untuk para karyawan yang diberi otorisasi saja.
2. Tingkat akses yang harus dimiliki oleh seorang mitra dagang ke record basis data
perusahaan akan ditentukan melalui kesespakatan dagang.
3. Auditor harus melalukan simulas akses dengan mengambil sampel salah seorang mitra
dagang dan mencoba untuk melanggar berbagai hak aksesnya.
Uji pengendalian Jejak Audit Auditor harus memverifikasi bahwa sistem EDI menghasilkan
daftar transaksi dan menelusuri berbagai transaksi melalui semua tahap pemrosesan.
Agar dapat mencapai berbagai tujuan audit, auditor dapat melalakuka berbagai uji pengendalian
berikut.
1. Memiliki sampel pesan dari dfatar transaksi dan memriksanya untuk melihat keberadaan
isi yang kacau isinya arena adanga gangguan dalam smabungan
2. Mengkaji daftar transaksi pesan untuk memverifikasi bahwa semua pesan telah diterima
dengan urutan yang benar.
3. Menguji operasi fitur pemanggilan kembali dengan memasukan panggilan tidak sah dari
isntalasi eksternal.
4. Mengkaji berbgai prosedur keamanan yang mengatur administrasi sebuah pesan
pengujian dan memeriksa isinya di berbgaiai tahap saluran dari lokasi pengriiman hingga
penerimaan.
Untuk merespons permintaan pelanggan atas bukti bahwa suatu binis berbasis web memang
dapat dipercaya, maka sejumlah organisasi pihak ketiga “dipercaya” menawarkan segel
keamanan yang dapat ditampilkan perusahaan terkait dalam situs web utamanya. Ada beberapa
organisasi pemberi segel yaitu :
Adalah organisasi nirlaba yang telah mempromosikan praktik bisnis melalui regulasi independen
sejak tahun 1912. BBB telah memperluas misinya ke Internet melalui anak usaha yang dimiliki
penuh, yaitu BBBOnline, Inc.
TRUSTe
Didirikan tahun 1996 bertujuan untuk memperbaiki praktik perlindungan privasi pelanggan
dalam bisnis Internet dan situs Web.
Veri-Sign, Inc.
Didirikan tahun 1995 menyediakan jaminan atas keamanan data yang ditransmisikan. Organisasi
tersebut tidak memverifikasi keamanan data atau alamay yang disimpan berkaitan dengan
kebijakan bisnis, proses atau privasi.
ICSA
Membentuk program sertifikasi webnya pada tahun 1996. Sertifikat ICSA menangani keamanan
data dan kekhawatiran mengenai privasi pada kebijakan dan proses bisnis.
AICPA/CICA WebTrust
Dibentuk Tahun 1997. Untuk dapat emnampilkan segelna perusahaan harus menjalani sebuah
pemeriksaan yang disesuaikan dengan standar perjanjian pengesahan No. 1 dari AICPA secara
khusu dilakukan oleh akuntan publik bersertifikasi Web atau CA.
AICPA/CICA SysTrust
Jasa ini didesain untuk meningkatkan keyakinan pihak manajemen pelanggan dan mitra dagang
atau sistem yang mendukung keseluruhan perusahaan atau proses tertentu, melibatkan evaluasi
dari akuntan publik atas keandalan sistem berkaitan dengan empat kriteria dasar : ketersediaan,
keamanan, integritas, dan dapat dipelihara.