SECURITY PART 1 : AUDITING OPERATING SYSTEM AND NETWORK

Tugas Mata Kuliah

Auditing EDP

Oleh :
Kelompok 9
Dewi Khoirun Nisa’ (160810301040)
Mery Dwi Ayuwandari (160810301081)
Vivi Ayu Ramadani (160810301113)
M. Masrukhin (160810301119)

Program Studi Akuntansi

Fakultas Ekonomi dan Bisnis
Universitas Jember
2019
 PENDAHULUAN

Kebutuhan akan pengambilan sebuah keputusan yang cepat dan akurat,

persaingan yang ketat, serta pertumbuhan dunia usaha menuntut dukungan
penggunaan tekhnologi mutakhir yang kuat dan handal. Dalam konteks ini
keberhasilan organisasi akan sangat dipengaruhi oleh kemampuan dalam
memanfaatkan teknologi informasi secara optimal. kesuksesan auditor internal sangat
tergantung kepada kemampuan menyumbang nilai terhadap organisasi melalui
pemanfaatan tekhnologi informasi secara efektif.
.
Topik ini sangat menarik sekali untuk dibahas karena dengan mengetahui risiko-
risiko yang ada didalam sistem dan teknologi informasi, kita bisa mengurangi adanya
penyalahgunaan asset yang dapat dilakukan karyawan perusahaan. Keamanan akan
informasi juga akan terjaga sehingga dapat meningkatkan nilai perusahaan.

1
 PEMBAHASAN

I. Auditing Operating Systems

Operating System adalah program kontrol komputer, yang mengedalikan “users”
dan aplikasi dalam berbagi dan mengakses sumber daya komputer umum, seperti
processors, main memory, database, dan printer.
A. Tujuan OS:
1. Menerjemahkan bahasa pemrograman tingkat tinggi kedalam bahasa yang
dapat dieksekusi komputer. Modul yang melakukan ini disebut compilers dan
interpreters
2. Mengalokasikan sumber daya kepada users, workgroups, dan aplikasi.
3. Mengelola tugas penjadwalan pekerjaan dan multiprograming, sesuai prioritas
dan kebutuhan akan resource yang tersedia.
Untuk mencapai efisiensi dan penggunaan efektif sumber daya komputer yang
terbatas, sistem operasi harus menjadwalkan proses kerja-bernyanyi sesuai dengan
prioritas yang ditetapkan dan menyeimbangkan penggunaan sumber daya di antara
perusahaan aplikasi peting.Untuk melakukan tugas-tugas ini secara konsisten dan
andal, sistem operasi harus mencapai lima tujuan kontrol mendasar:
1. Sistem operasi harus melindungi dirinya dari pengguna. Aplikasi pengguna
tidak boleh
2. mampu mengendalikan, atau merusak dengan cara apa pun, sistem operasi,
sehingga menyebabkannya untuk berhenti menjalankan atau menghancurkan
data.
3. Sistem operasi harus melindungi pengguna dari satu sama lain. Satu pengguna
tidak boleh
4. dapat mengakses, menghancurkan, atau merusak data atau program
pengguna lain.
5. Sistem operasi harus melindungi pengguna dari diri mereka sendiri. Aplikasi
pengguna dapat terdiri dari beberapa modul yang disimpan di lokasi memori
yang terpisah, masing-masing dengan sendiri data. Satu modul tidak boleh
merusak atau merusak modul lain.
6. Sistem operasi harus dilindungi dari dirinya sendiri. Sistem operasinya juga
terdiri dari modul individual. Tidak ada modul yang diizinkan untuk
dimusnahkan atau rusak modul lain.

2
 7. Sistem operasi harus dilindungi dari lingkungannya. Dalam hal terjadi
kegagalan daya atau bencana lain, sistem operasi harus dapat mencapai
mengendalikan penghentian kegiatan yang nantinya dapat dipulihkan.
B. Keamanan OS
Berupa kebijakan, prosedur, dan kendali yang menetukan siapa saja yang
dapat mengakses OS, resource (file, program, printer, dll) yang dapat mereka
gunakan, dan tindakan apa yang dapat dilakukan. Komponen Keamanan OS:
1. Prosedur Log-On
2. Access Token
3. Access Control List
4. Discretionary Access Privileges
C. Ancaman Terhadap OS
A. Penyalahgunaan wewenang akses
B. Individu (eksternal maupun eksternal) yang memanfaatkan kelemahan
keamanan
C. Individu yang baik sengaja maupun tidak, memasukkan virus atau program
merusak lainnya kedalam OS
D. Kontrol Sistem Operasi Dan Tes Audit
Controlling Access Previleges: Auditor harus memvirifikasi bahwa
pemberian access previleges sesuai dengan kebutuhan akan pemisahan fungsi
dan kebijakan organisasi
  Password Control: Memastikan bahwa password terlindungi dengan baik,
baik dari kelalaian pengguna (lupa, Post-it syndrome, password yang sederhana)
maupun model sekurity password. Password yang dapat digunakan kembali
(Reuseable password) haruslah sulit ditebak serta bentuk kesalahan user dalam
memasukkan password harus dikelola dengan baik, misalnya tidak
memberitahukan user kesalahan password yang dibuat, apakah ID atau
passwordnya. Selain itu, batasan kesalahan log-on juga harus diatur. Password
sekali pakai (One-Time Password) lebih terlindungi karena walaupun dapat
diretas, password tidak dapat digunakan kembali setelah melewati waktu tertentu.
Keamanannya juga berlapis karena masih terdapat PIN.
Pengendalian terhadap program yang berbahaya dan merusak: pengendalian
ini dapat berupa keamanan yang tangguh maupun prosedur administrasi yang
baik. Beberapa bentuk audit terhadap pengendalian ini adalah: mengetahui tingkat
pemahaman personel terhadap virus dan sejenisnya serta cara penyebarannya;

3
 memastikan bahwa software yang digunakan telah diuji sebelumnya dalam sistem
yang terpisah serta diperoleh dari sumber yang dipercaya; memastikan bahwa
antivirus/sekuriti yang digunakan adalah versi terbaru dan update.
Kendali Atas Jejak Audit Sistem: Catatan atas aktivias sistem, aplikasi, dan
pengguna.
1. Keystroke Monitoring (keystroke: tombol pada keyboard)
2. Event Monitoring
Tujuan Jejak Audit:
1. Mendeteksi Akses yang tidak sah
2. Merekonstruksi kejadian
3. Menjaga akuntabilitas pengguna
Tujuan audit terhadap jejak audit: memastikan bahwa jejak audit cukup
memadai untuk mencegah atau mendeteksi penyalahgunaan, merekonstruksi
kejadian, dan merencanakan alokasi sumber daya. Beberapa hal yang harus
dilakukan adalah dengan menguji apakah log (jejak audit) ini dapat diakses oleh
user yang tidak sah, apakah catatan dibuat secara berkala, apakah catatan
merepresentasi aktivitas secara lengkap.

II. Auditing Networks

ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan kekhawatiran
tentang akses tidak sah ke informasi rahasia. karena LAN menjadi platform untuk
aplikasi dan data penting-misi, informasi hak milik, data pelanggan, dan catatan
keuangan berisiko. organisasi yang terhubung dengan pelanggan dan mitra bisnis
mereka melalui internet sangat terbuka. tanpa perlindungan yang memadai,
perusahaan membuka pintu bagi peretas komputer, perusak, pencuri, dan mata-mata
industri baik secara internal maupun dari seluruh dunia.
paradoks dari jaringan adalah bahwa jaringan ada untuk menyediakan akses
pengguna ke sumber daya bersama, namun tujuan paling penting dari jaringan apa
pun adalah untuk mengontrol akses tersebut. karenanya, untuk setiap argumen
produktivitas yang mendukung akses jarak jauh, ada argumen keamanan yang
menentangnya. manajemen organisasi secara konstan mencari keseimbangan antara
peningkatan akses dan risiko bisnis terkait.
bagian berikut menyajikan berbagai bentuk risiko yang mengancam jaringan. ini
termasuk risiko intranet yang ditimbulkan oleh karyawan yang tidak jujur yang memiliki
pengetahuan teknis dan posisi untuk melakukan penipuan, dan risiko internet yang

4
mengancam konsumen dan entitas bisnis. materi tersebut mengasumsikan bahwa
pembaca sudah terbiasa dengan istilah dan akronim jaringan. bagi mereka yang tidak
memiliki latar belakang ini, lampiran bab ini menyediakan dan ikhtisar teknologi
jaringan dasar
A. Intranet Risks
intranet terdiri dari jaringaN LAN kecil dan WAN besar yang mungkin terdiri
dari dari ribuan node individu. intranet digunakan untuk menghubungkan karyawan
dalam suatu bangunan tunggal, antar bangunan dalam kampus fisik yang sama,
dan antar lokasi yang tersebar secara geografis. Umumnya, aktivitas intranet
meliputi routing e-mail, pemprosesan transaksi antar uni bisnis dan
menghubungkan dengan internet luar
aktivitas karyawan yang tidak sah dan ilegal secara internal menimbulkan
ancaman intranet. motif mereka untuk melakukan kerusakan mungkin adalah
pembalasan dendam terhadap perusahaan, pembalasan karena membobol file
yang tidak sah, atau untuk mendapat untung dari menjual rahasia dagang atau
menggelapkan aset ancaman dari karyawan (baik saat ini dan sebelumnya)
sangat penting karena pengetahuan mereka yang mendalam tentang kontrol
sistem . karyawan yang diberhentikan, atau mereka yang meninggalkan situasi
yang kontroversial, menyampaikan kekhawatiran tertentu. rahasia dagang, data
operasi, data akuntansi, dan informasi rahasia yang dapat diakses karyawan
dengan risiko terbesar.
Risiko intranet antara lain:
1. Sniffing
masing-masing node di sebagian besar intranet terhubung ke saluran
bersama yang menghubungkan ID pengguna, kata sandi, email rahasia,
dan file data keuangan. intersepsi yang tidak sah dari informasi ini oleh
sebuah node pada jaringan disebut sniffing
2. Akses terhadap database perusahaan
intranet yang terhubung ke database perusahaan pusat meningkatkan
risiko bahwa karyawan akan melihat, merusak, memotong, atau menyalin
data. nomor jaminan sosial, daftar pelanggan, resep informasi kartu kredit,
formula, dan spesifikasi desain dapat diunduh dan dijual
3. Hak karyawan istimewa
menurut studi CSI, manajer menengah yang sering memiliki hak akses
memungkinkan mereka untuk mengesampingkan control dan sering

5
 dituntut atas kejahatan orang dalam. karyawan sistem informasi dalam
organisasi adalah kelompok lain yang diberdayakan dengan
mengesampingkan hak istimewa yang dapat mengizinkan akses ke data
penting
Keengganan untuk mengusut: biasanya alasan perusahaan tidak mengusut
untuk menjaga nama baik
B. Internet Risks
Bagian ini membahas tiga risiko bisnis yang lebih signifikan terkait dengan
perdagangan risiko internet. ini adalah IP spoofing, serangan yang mematikan
layanan, dan kegagalan peralatan
1. IP spoofing
penyamaran/meniru IP atau identitas komputer user untuk memperoleh akses
atau melakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya).
Umumnya dilakukan dengan menyamar sebagai komputer yang ditelah dikenal
oleh korban
2. Serangan yang mematikan layanan (Denial of Service Attack “DOS”)
 SYN Flood Attack - Memanfaatkan Paket SYNchronize-ACKnowledge
(SYN-ACK), penyerang memulai koneksi kepada server, kemudian dibalas
dengan SYN. Penyerang sebagai receiving server tidak akan membalas
dengan ACK sehingga server organisasi menjadi sibuk dengan paket yang
tidak dapat ditindaklanjuti dan tidak dapat memproses paket yang lain (dari
kostumer/clien sebenarnya). Firewall dapat saja mem-blokir alamat yang
melakukan Flood Attack, tetapi apabila dikombinasikan dengan IP spoofing,
maka akan menjadi lebih sulit karena penyerang akan terus dianggap
sebagai alamat yang berbeda.
 Smurf Attack: melibatkan Perperator (sebagai penyerang), intermediary,
dan victim. Ping (sejenis sonar dalam jaringan untuk menguji koneksi)
dikirimkan oleh perperator (yang menyamar (IP Spoofing) sebagai victim)
kepada intermediary. Intermediary yang jumlahnya banyak dan berada
pada subnetwork dari victim, mengirimkan kembali pantulan ping kepada
victim. Hal ini membebani lalu lintan data victim dan dapat membuatnya
tidak dapat digunakan sebagaimana seharusnya.
 Distributed Denial of Service (DDos): perperator menciptakan bot atau
zombie dalam komputer yang terhubung pada jaringan internet (dalam
modul, kasusnya adalah IRC). Komputer-komputer yang telah ditanamkan

6
 zombie (disebut botnet) dikendalikan oleh perpetaor dengan zombie control
program untuk melakukan serangan yang dapat berupa SYN Flood atau
smurf attack. Karena jumlahnya berkali lipat, serangan ini lebih berbahaya.
Alasan Melakukan Dos Attack : menghukum organisasi atau sekedar
pamer kemampuan. Alasan keuangan juga bisa menjadi alasan, dengan
melakukan serangan dan kemudian meminta bayaran untuk menarik serangan
tersebut.
3. Risiko kegagalan peralatan
selain risiko diatas, Data juga berisiko untuk terganggu, rusak, atau hancur
akibat terganggunya sistem komunikasi antara senders dan receivers.
Kerusakan peralatan juga dapat menyebabkan hilangnya database dan
program yang tersimpan di server jaringan.
C. Controlling Networks
Bagian ini menjelaskan tentang bagaimana pengendalian, tujuan audit, dan
prosedur audit yang terkait dengan ancaman dari kegagalan peralatan
a. Controlling risk from subseversive threats
1. Firewall
sistem yang memaksa kendali akses antara dua jaringan, dimana setiap
lalu lintas jaringan harus melewati jaringan dan hanya yang diotorisasi yang
dapat melewatinya. Firewall harus kebal dari upaya pembobolan baik dari
dalam maupun luar. Jenis-jenis firewall :
 Network-level Firewall: keamanan yang efisien tapi lemah, bekerja
dengan menyaring permintaan akses berdasarkan aturan yang telah
diprogramkan
 Application-level Firewall: sistem yang berkerja dengan cara
menjalankan perangkat keamanan berupa proxi yang memperbolehkan
layanan rutin untuk lewat, tatapi mampu menjalankan fungsi yang
canggih seperti otentifikasi users serta menyediakan log transmisi dan
alat audit untuk melaporkan aktivitas yang tidak diotorisasi.
2. Mengendalikan DOS
 Smuff Attack: mengabaikan paket dari situs penyerang segera setelah
alamatnya diidentifikasi
 SYN Flood: (1) Firewall akan menolak semua paket yang berasal dari
alamat yg tidak teridentifikasi (2) Software keamanan yang mampu

7
 mendeteksi pesan yang tidak diikuti paket ACK, dan segera
mengembalikan koneksi yang tidak terbalas.
 DDos: Intrusion Prevention System (IPS) yang menjalankam deep
packet inspection (DPI) dan mengevaluasi keseluruhan isi dari paket
pesan. Berbeda dengan inspeksi normal, dengan menginspeksi
keseluruhan isi lebih dalam, DPI mampu mengidentifikasi dan
mengklasifikasikan paket jahat untuk kemudian ditahan dan diarahkan
ke tim keamanan.
3. Enkripsi
mengkonversi data menjadi kode rahasia baik dalam penyimpanan
maupun transmisi. Algoritma enkripsi menggunakan kunci (keys), yang
umumnya memiliki panjang 56 hingga 128 bit. Semakin banyak bit dalam
kunci, semakin kuat metode enkripsinya. Pendekatan umum dalam enkripsi
adalah enkripsi private key dan public key.
a. Private key encryption
 Standar enkripsi lanjutan (Advance Encryption Standard – AES),
menggunakan kunci tunggal yang diketahui oleh pengirim dan
penerima pesan.
 Triple Data Encryption Standard (DES), menggunakan tiga kunci.
Dua bentuk enkripsi triple-DES adalah EEE3 dan EDE3.
b. Public Key Encription
 Menggunakan dua kunci yang berbeda, satu untuk encoding pesan,
dan yang lainnya untuk decoding pesan.
 Masing-masing penerima memiliki private key yang disimpan secara
rahasia dan public key yang di-published.
4. Tanda Tangan Digital, otentfikasi elekronik yang tidak dapat ditiru.
5. Sertifikat Digital, memverifikasi identitas pengirim. Sertifikat digital
dikeluarkan oleh certification authority (CA). Sertifikat digital dikirimkan
kepada receiver dan dienkrip dengan CA Publict Key untuk memperoleh
sender public key.
6. Penomoran Urutan Pesan, untuk menanggulangi pesan yang dihapus,
diubah urutannya, atau diduplikasi oleh pengganggu, maka nomer urut
ditanamkan pada tiap-tiap pesan.

8
7. Log Transaksi Pesan, setiap pesan masuk dan keluar, serta upaya akses
terhadap pesan dicatat dalam log transaksi pesan. Log tersebut mencatat
user ID, waktu akses, dan asal atau nomortelepon dimana akses berasal.
8. Teknik Permintaan Respon, pesan kendali dari sender dan respon dari
penerima dikirim secara periodik , interval yang tersinkronisasi. Pewaktuan
pesan bersifat random sehingga sulit diperdaya.
9. Call-Back Device, otentifikasi sebelum koneksi trjadi, dimana sistem akan
memutus dan membalas permintaa koneksi dengan menghubungi celler
melalui koneksi baru.
Tujuan Audit yag Berhubungan Dengan Subersive Threats
Menjamin keamanan dan keabsahan transaksi financial dengan
menentukan apakah network kontrol :
a. Mendeteksi dan mencegah akses ilegal baik dari dalam maupun luar.
b. Setiap data yang berhasil dicuri menjadi tidak berguna.
c. Secara layak menjamin integritas dan keamanan fisik dari data yang
terkoneksi ke jaringan.
Beberapa contoh upaya audit terhadap Subersive Threats :
a. Menilai kemampuan firewall.
b. Menguji kemampuan IPS dengan DPI.
c. Merevew kebijakan administratif penggunaan data encription key.
d. Mereview log transaksi pesan, apakah semua pesan sampai tujuan.
e. Menguji call-back feature.

Mengendalikan Risiko dari Kegagalan Peralatan

1. Line Errors : rusaknya data ( bit structure) karena gangguan dar
saluran komunikasi.
- Echo Check : receiver mengembalikan pesan kepada sender
untuk dibandingkan.
- Parity Check : penambahan ekstra bit dalam pesan. Jumlah parity
bit (1 ataupun 0) haruslah sama dari saat dikirim dengan saat
diterima. Hanya saja, terkadang gangguan dapat mengubah bit
secara simultan, sehingga error tidak terdeteksi. Antara vertical
parity bit dan horizontal parity bit, horizontan cenderung lebih
dapat diandalkan.

9
III. Auditing Electronic Data Interchange (EDI)
A. EDI Standards
 EDI adalah supplier dan customer sebagai trading partner membentuk perjanjian
dimana pertukaran informasi yang dapat diproses dengan computer antar perusahaan
dalam format standar. Dalam EDI, transaksi diproses secara otomatis, bahkan dalam
EDI murni, keterlibatan manusai dalam otoriasi transaksi ditiadakan.

Bentuk EDI (Figure 3.9)

EDI yang menggunakan Value-Added Network (Figure 3.10)

10
B. Benefits of EDI
 Data Keying: mengurangi kebutuhan entri data
 Error Reduction: mengurangi kesalahan interpretasi dan klasifikasi manusia,
dan kehilangan dokumen
 Pengurangan kertas
 Mengurangi biaya pengiriman dokumen
 Otomatisasi Prosedur
 Pengurangan persedian
C. Financial EDI
menggunakan Electronic Funds Transfer (EFT) lebih kompleks daripada
EDI pada pembelian dan penjualan. EDI pembeli menerima tagihan pemebelian
dan secara otomatis menyetujui pembayaran. Pada tanggal pembayaran, sistem
pembeli secara otomatis membuat EFT kepada bank sumber (OBK). OBK
mentransfer dana dari rekening pembeli kepada Bank Penampungan (ACH). ACH
kemudian mentransfer dana tersebut kepada RBK, yaitu rekening penjual.
Masalah dapat muncul karena cek transfer dana biasanya untuk pembayaran
beberapa tagihan, atau hanya sebagian, perbedaan persetujuan harga, kerusakan
barang, atau pengiriman yang belum diselesaikan. Permasalahan ini biasanya
diselesaikan dengan pesan melekat.
D. EDI Controls
1. VAN dibekali dengan proses validasi ID dan password yang memachingkan
antara vendor dengan file pelanggan.
2. Translation Software akan memvalidasi trading partner’s ID dan password
dengan file validasi di database perusahaan
3. Sebelum memproses, software aplikasi lawan transaksi mereferensikan file
pelanggan dan vendor yang valid untuk memvalidasi transaksi.
E. Acces Control
agar berjalan dengan lancar, setiap partner harus berbagi akses terhadap data
file private yang sebelumnya (dalam cara tradisional) tidak diperbolehkan. Untuk
itu, pengaturan mengenai seberapa dalam akses dapat diberikan harus diatur
secara jelas. Selain itu, perlindungan juga harus dibuat misalnya data persediaan
dan harga dapat dibaca tetapi tidak dapat diubah.
EDI Audit Trail (Jejak Audit): hilangnya penggunaan dokumen menharuskan EDI
memiliki control log.
Tujuan Audit Terhadap EDI:

11
  menguji terhadap Kendali Otorisasi dan Validasi
 menguji Access Control
 menguji kendali Jejak Audit

IV. Auditing PC-Based Accounting Systems
A. PC System Risk and Control
 Kelemahan OS
 Access Control yang lemah
 Pemisahan Tugas yang tidak cukup
 Multilevel Password Control
 Risiko kecurian
 Prosedur Backup yang lemah
 Risiko terinfeksi Virus
B. Tujuan Audit yang berhubungan dengan keamanan PC
 Memastikan bahwa control pada tempatnya untuk melindungi data,
program, dan komputer dari akses yang tidak diinginkan, manipulasi,
penghancuran, dan pencurian
 Memastikan pengawasan yang cukup dan adanya prosedur operasional
untuk mengkompensasi kurangnya pembagian tugas, programer, dan
operator.
 Memastikan prosedur backup dapat mencegah kehilangan data dan
program yang diakibatkan kegagalan sistem, eror, dan sejenisnya.
 Memastikan bahwa prosedur pemilihan dan perolehan sistem
menghasilkan aplikasi yang berkualitas tinggi dan terlindungi dari
perubahan yang tidak diinginkan
 Memastikan bahwa sistem bebas dari virus dan dilindungi secara memadai
untuk meminimalkan risiko terindeksi virus atau sejenisnya.
C. Beberapa prosedur dalam mengaudit keamanan PC
 Meninjau apakah PC secara fisik terlindungi untuk mengurangi peluang
dicuri
 Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi
tidak terlibat sebagai pengguna sistem tersebut. Dalam organisasi yang
lebih kecil, pengawasan yang memadai ada untuk mengimbangi kelemahan
pembagian tugas tersebut.

12
 Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang
diupdate, dan total control disiapkan, didistribusikan, dan direkonsiliasi oleh
manajemen yang tepat dalam interval rutin dan tepat waktu.
 Dimana harus diaplikasikan, auditor menentukan bahwa kendali multilevel
password digunakan untuk membatasi akses data dan aplikasi sesuai
dengan deskripsi pekerjaan.
 Jika ada, hardisk eksternal dan removeable dilepas dan  disimpan  di
tempat yang aman saat tidak digunakan.
 Dengan menguji sampel backup, auditor memverifikasi apakah prosedur
backup dilaksanakan dengan benar. Dengan membandingkan isi data dan
tanggal pada tempat backup dengan file asal, auditor dapat mengetahui
frekuensi dan kecukupan prosedur backup. Jika menggunakan media
backup online, auditor harus memastikan bahwa kontraknya masih berlaku
dan sesuai dengan kebutuhan organisasi.
 Dengan sampel PC, auditor memastikan bahwa paket software komersial
diperoleh dari vendor yang terpercaya dan merupakan salinan sah. Proses
perolehan sendiri harus mengakomodasi kebutuhan organisasi
 Antivirus haruslah terinstal pada setiap perangkat komputer dan
pengaktivannya merupakan bagian dari prosedur startup saat komputer
dinyalakan. Hal ini untuk memastikan bahwa setiap sekmen penting dari
hard disk diperiksa sebelum data apapun ditransfer melalui jaringan. Setiap
perubahan software (update) harus terlebih dahulu dicek terhadap virus
sebelum digunakan. Domain publik discan terhadap virus sebelum
digunakan. Dan antivirus versi terkini haruslah tersedia untuk semua user.

13
 KESIMPULAN

Operating System adalah program kontrol komputer, yang mengedalikan

“users” dan aplikasi dalam berbagi dan mengakses sumber daya komputer umum,
seperti processors, main memory, database, dan printer. Tujuan OS adalah
Menerjemahkan bahasa pemrograman tingkat tinggi, mengalokasikan sumber daya
kepada users, workgroups, dan aplikasi, dan mengelola tugas penjadwalan pekerjaan
dan multiprograming, sesuai prioritas dan kebutuhan akan resource yang tersedia.
Ketergantungan pada jaringan untuk komunikasi bisnis menimbulkan
kekhawatiran tentang akses tidak sah ke informasi rahasia. karena LAN menjadi
platform untuk aplikasi dan data penting-misi, informasi hak milik, data pelanggan, dan
catatan keuangan berisiko. organisasi yang terhubung dengan pelanggan dan mitra
bisnis mereka melalui internet sangat terbuka. tanpa perlindungan yang memadai,
perusahaan membuka pintu bagi peretas komputer, perusak, pencuri, dan mata-mata
industri baik secara internal maupun dari seluruh dunia.
Untuk itu diperlukan adanya pengendalian seperti materi diatas terkait dengan
sistem informasi dan jaringan.

14
 REFERENSI
Hall, James. 2011. Information Technology Auditing and Assurance. Third
Edition. USA:Cengage Learning.
http://anggitpangestuuu.blogspot.com/2017/11/security-auditing-operating-
systems-and.html?m=1 diakses 17 Maret 2019

15