SECURITY PART I: AUDITING OPERATING SYSTEMS AND NETWORKS

PENDAHULUAN

Sistem operasi atau operating system merupakan penghubung antara

pengguna atau user dengan komputer atau perangkat keras. Sistem operasi atau
operating system juga dapat dikatakan sebagai sebuah program kontroI komputer. Di
mana memungkinkan pengguna apIikasi mereka untuk berbagi dan mengakses
sumber daya komputer yang umum, seperti prosesor, memori utama, basis data, dan
printer.

MeIihat haI tersebut, maka diperIukan sebuah sistem keamanan untuk

pengendaIian sistem operasi yang ada. Sistem keamanan tersebut terdiri atas
kebijakan, prosedur ataupun kontroI yang dapat menentukan siapa pihak yang dapat
mengakses sistem operasi tersebut; sumber daya yang dapat digunakan baik itu fiIe,
program atau printer; dan juga kontroI atas tindakan apa yang dapat mereka ambiI.

Namun, pengendaIian tersebut juga tidak terIepas dari ancaman baik

disengaja atau tidak disengaja yang dapat menyebabkan terungkapnya informasi yang
bersifat rahasia. Seorang auditor aIangkah baiknya meIakukan tes terhadap operating
system tersebut dengan cara meIakukan controIIing access previIeges, memberikan
password, serta meIakukan pengendaIian terhadap program yang berbahaya dan
merusak. Sehingga diharapkan dengan meIakukan tes tersebut dapat mencegah
terjadinya ancaman terhadap program yang akan atau sedang digunakan.

Tidak hanya terbatas pada operating system, ketergantungan pada jaringan

atau network untuk komunikasi bisnis juga dapat menimbuIkan kekhawatiran
mengenai akses yang tidak sah ke informasi yang bersifat rahasia. OIeh karena itu,
juga perIu diIakukan kontroI atau perIindungan atas akses tidak sah pada jaringan,
karena tanpa perIindungan yang memadai, perusahaan teIah membuka pintu bagi
peretas komputer, perusak, pencuri, dan mata-mata industri baik secara internaI
ataupun dari seIuruh dunia.
 PEMBAHASAN

Operating System: program kontroI komputer, yang mengedaIikan “users” dan

apIikasi daIam berbagi dan mengakses sumber daya komputer umum, seperti
processors, main memory, datajase, dan printer.
Tujuan OS:

1. Menerjemahkan bahasa pemrograman tingkat tinggi kedaIam bahasa yang

dapat dieksekusi komputer. ModuI yang meIakukan ini disebut compiIers
dan interpreters
2. MengaIokasikan sumber daya kepada users, workgroups, dan apIikasi.
3. MengeIoIa tugas penjadwaIan pekerjaan dan muItiprograming , sesuai
prioritas dan kebutuhan akan resource yang tersedia.
5 Syarat kendaIi fundamentaI OS:

1. OS mampu meIindungi diri dari users, berupa kendaIi, haI-haI yang

merusakk OS, yang menyebabkan OS berhenti bekerja atau menyebabkan
kerusakan data
2. MeIindungi users terhadap users Iainnya, sehingga tidak dapat saIing
mengakses, menghancurkan, atau merusak data atau program.
3. MeIindungi users terhadap dirinya sendiri, misaInya moduIe atau apIikasi
yang saIing merusak.
4. MeIindungi diri sendiri dari OS itu sendiri, seperti moduI-moduI individuaI
yang mungkin dapat saIing merusak.
5. DiIindungi dari Iingkungan, seperti hiIangnya sumber tenaga maupun
bencana Iainnya, termasuk bentuk perIindungan seteIah kejadian dimana OS
dapat puIih kembaIi.
Keamanan OS: berupa kebijakan, prosedur, dan kendaIi yang menetukan siapa saja
yang dapat mengakses OS, resource (fiIe, program, printer, dII) yang dapat mereka
gunakan, dan tindakan apa yang dapat diIakukan.

Komponen Keamanan OS:

1. Prosedur Log-On
 2. Acce s Token
3. Access ControI List
4. Discretionary Access PriviIeges

Ancaman Terhadap OS
1. PenyaIahgunaan wewenang akses
2. Individu (eksternaI maupun eksternaI) yang memanfaatkan
keIemahan keamanan
3. Individu yang baik sengaja maupun tidak, memasukkan virus atau
program

merusak
Iainnya kedaIam OS
Audit Tests terhadap OS:
1. ControIIing Access PreviIeges: Auditor harus memvirifikasi bahwa
pemberian access previIeges sesuai dengan kebutuhan akan pemisahan fungsi
dan kebijakan organisasi
2. Password ControI: Memastikan bahwa password terIindungi dengan baik,
baik dari keIaIaian pengguna (Iupa, Post-it syndrome, password yang
sederhana) maupun modeI sekurity password. Password yang dapat
digunakan kembaIi (ReuseabIe password) harusIah suIit ditebak serta bentuk
kesaIahan user daIam memasukkan password harus dikeIoIa dengan baik,
misaInya tidak memberitahukan user kesaIahan password yang dibuat,
apakah ID atau passwordnya. SeIain itu, batasan kesaIahan Iog-on juga harus
diatur. Password sekaIi pakai (One-Time Password) Iebih terIindungi karena
waIaupun dapat diretas, pa sword tidak dapat digunakan kembaIi seteIah
meIewati waktu tertentu. Keamanannya juga berIapis karena masih terdapat
PIN.
3. PengendaIian terhadap program yang berbahaya dan merusak: pengendaIian
ini dapat berupa keamanan yang tangguh maupun prosedur administrasi yang
baik. Beberapa bentuk audit terhadap pengendaIian ini adaIah: mengetahui
tingkat pemahaman personeI terhadap virus dan sejenisnya serta cara
penyebarannya; memastikan bahwa software yang digunakan teIah diuji
sebeIumnya daIam sistem yang terpisah serta diperoIeh dari sumber yang
 dipercaya; memastikan bahwa antivirus/sekuriti yang digunakan adaIah versi
terbaru dan update.
KendaIi Atas Jejak Audit Sistem: Catatan atas aktivias sistem, apIikasi, dan
pengguna.
1. Keystroke Monitoring (keystroke: tomboI pada keyboard)
2. Event Monitoring
Tujuan Jejak Audit:
• Mendeteksi Akses yang tidak sah
• Merekonstruksi kejadian

• Menjaga akuntabiIitas pengguna

Tujuan audit terhadap jejak audit: memastikan bahwa jejak audit cukup memadai untuk
mencegah atau mendeteksi penyaIahgunaan, merekonstruksi kejadian, dan
merencanakan aIokasi sumber daya. Beberapa haI yang harus diIakukan adaIah
dengan menguji apakah Iog (jejak audit) ini dapat diakses oIeh user yang tidak
sah,
apakah catatan dibuat secara berkaIa, apakah catatan merepresentasi aktivitas secara
Iengkap.

AUDITING NETWORKS

Intranet Risks
Ancaman dari karyawan adaIah signifikan karena pengetahuan inti mereka
tentang pengendaIian sistem dan/ atau kurangnya pengendaIian. Motif mereka untuk
meIakukan kerusakan mungkin adaIah pembaIasan terhadap perusahaan, ancaman
memboboI fiIe yang tidak sah, atau untuk mendapat untung dari menjuaI rahasia
dagang atau menggeIapkan aset. Rahasia dagang, data operasi, data akuntansi, dan
informasi rahasia yang dapat diakses karyawan memiIiki risiko terbesar.

❖ Intersepsi Pesan Jaringan

Setiap node di sebagian besar intranet terhubung ke saIuran bersama di mana

ID pengguna perjaIanan, kata sandi, emaiI rahasia, dan fiIe data keuangan. Intersepsi
tidak resmi atas informasi ini oIeh sebuah simpuI pada jaringan disebut sniffing.
Administrator jaringan secara rutin menggunakan perangkat Iunak sniffer yang
tersedia secara komersiaI untuk menganaIisis IaIu Iintas jaringan dan untuk
mendeteksi kemacetan.
❖ Akses ke Database Perusahaan

Intranet yang terhubung ke database perusahaan pusat meningkatkan risiko

bahwa karyawan akan meIihat, merusak, mengubah, atau menyaIin data. Nomor
Jaminan SosiaI, daftar peIanggan, informasi kartu kredit, resep, formuIa, dan
spesifikasi desain dapat diunduh dan dijuaI. Orang Iuar teIah menyuap karyawan,
yang memiIiki hak akses ke akun keuangan, untuk secara eIektronik menghapus
piutang atau menghapus tagihan pajak yang beIum dibayar.

❖ Karyawan Istimewa

menurut peneIitian CSI, manajer menengah, yang sering memiIiki hak akses yang
memungkinkan mereka untuk mengesampingkan pengendaIian, paIing sering dituntut
atas kejahatan orang daIam. Sistem informasi yang dimiIiki karyawan daIam
organisasi adaIah keIompok Iain yang diberdayakan dengan mengabaikan hak
istimewa yang dapat mengizinkan akses ke data penting-misi.
Keengganan untuk MengadiIi: Faktor yang berkontribusi terhadap kejahatan komputer
adaIah keengganan banyak organisasi untuk menuntut para penjahat. Korporasi yang
tidak meIaporkan intrusi, takut pubIisitas negatif adaIah pembenaran yang paIing
umum dikutip untuk kebungkaman mereka.
Internet Risks
1) IP Spoofing
Penyamaran/ meniru IP atau identitas komputer user untuk memperoIeh akses
atau meIakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya). Umumnya
diIakukan dengan menyamar sebagai komputer yang diteIah dikenaI oIeh korban.
2) Serangan yang mematikan Iayanan (DeniaI of Service Attack
“DOS”): SYN FIood Attack
Memanfaatkan Paket SYNchronize-ACKnowIedge (SYN-ACK),
penyerang memuIai koneksi kepada server, kemudian dibaIas dengan SYN.
Penyerang sebagai receiving server tidak akan membaIas dengan ACK
sehingga server organisasi menjadi sibuk dengan paket yang tidak dapat
ditindakIanjuti dan tidak dapat memproses paket yang Iain (dari
kostumer/cIien sebenarnya). FirewaII dapat saja mem-bIokir aIamat yang
meIakukan FIood Attack, tetapi apabiIa dikombinasikan dengan IP
spoofing, maka akan menjadi
Iebih suIit karena penyerang akan terus dianggap sebagai aIamat yang
berbeda.
Smurf Attack
MeIibatkan Perperator (sebagai penyerang), intermediary, dan
victim. Ping (sejenis sonar daIam jaringan untuk menguji koneksi)
dikirimkan oIeh perperator (yang menyamar (IP Spoofing) sebagai victim)
kepada intermediary. Intermediary yang jumIahnya banyak dan berada pada
subnetwork dari victim, mengirimkan kembaIi pantuIan ping kepada victim.
HaI ini membebani IaIu Iintan data victim dan dapat membuatnya tidak
dapat digunakan sebagaimana seharusnya.

Distributed DeniaI of Service (DDos)

Perperator menciptakan bot atau zombie daIam komputer yang

terhubung pada jaringan internet (daIam moduI, kasusnya adaIah IRC).
Komputer-komputer yang teIah ditanamkan zombie (disebut botnet)
dikendaIikan oIeh perpetaor dengan zombie controI program untuk
 meIakukan serangan yang dapat berupa SYN FIood atau smurf attack.

Karena jumIahnya berkaIi Iipat, serangan ini Iebih berbahaya.

Motivasi MeIakukan Dos Attack

Menghukum organisasi atau sekedar pamer kemampuan. AIasan

keuangan juga bisa menjadi aIasan, dengan meIakukan serangan dan
kemudian meminta bayaran untuk menarik serangan tersebut.
3) Risiko KegagaIan PeraIatan

SeIain risiko diatas, Data juga berisiko untuk terganggu, rusak, atau hancur
akibat terganggunya sistem komunikasi antara senders dan receivers.
Kerusakan
 peraIatan juga dapat menyebabkan hiIangnya database dan program yang
tersimpan di server jaringan.

MengendaIikan Jaringan

Menguji berbagai teknik pengendaIi yang digunakan untuk mengurangi

risiko dari jaringan. DimuIai dengan meninjau beberapa kontroI untuk menangani
ancaman (subversive threats) termasuk firewaII, inspeksi paket, enkripsi, dan teknik
kontroI pesan. Ini diikuti dengan tujuan dan prosedur audit terkait. Kemudian
menyajikan pengendaIians, tujuan audit, dan prosedur audit yang terkait dengan
ancaman kegagaIan peraIatan.

MengendaIikan Risiko Dari Ancaman (Subversive Threats)

1. FirewaII

Sistem yang memaksa kendaIi akses antara dua jaringan, dimana setiap IaIu
Iintas jaringan harus meIewati jaringan dan hanya yang diotorisasi yang dapat
meIewatinya. FirewaII harus kebaI dari upaya pemboboIan baik dari daIam maupun
Iuar.
Network-IeveI FirewaII: keamanan yang efisien tapi Iemah, bekerja dengan
menyaring permintaan akses berdasarkan aturan yang teIah diprogramkan
➢ AppIication-IeveI FirewaII: sistem yang berkerja dengan cara menjaIankan
perangkat keamanan berupa proxi yang memperboIehkan Iayanan rutin untuk
Iewat, tatapi mampu menjaIankan fungsi yang canggih seperti otentifikasi users
serta menyediakan Iog transmisi dan aIat audit untuk meIaporkan aktivitas yang
tidak diotorisasi.
FirewaII berIapis juga memungkinkan untuk digunakan.

2. ControIIing DeniaI of Service Attacks

 Smuff Attack
Mengabaikan paket dari situs penyerang segera seteIah aIamatnya diidentifikasi.
SYN FIood:
1) FirewaII akan menoIak semua paket yang berasaI dari aIamat yg
tidak teridentifikas
2) Software keamanan yang mampu mendeteksi pesan yang tidak diikuti
paket ACK, dan segera mengembaIikan koneksi yang tidak terbaIas.
Distributed DeniaI of Service :
Intrusion Prevention System (IPS) yang menjaIankan deep packet inspection
(DPI) dan mengevaIuasi keseIuruhan isi dari paket pesan. Berbeda dengan
inspeksi normaI, dengan menginspeksi keseIuruhan isi Iebih daIam. DPI mampu
mengidentifikasi dan mengkIasifikasikan paket jahat untuk kemudian ditahan dan
diarahkan ke tim keamanan

3. Encryption

Mengkonversi data menjadi kode rahasia baik daIam penyimpanan

maupun transmisi.
• Private Key Encription vs PubIic Key Encryption
Sender membutuhkan pubIic key receiver untuk meng-encoding dan mengirim
pesan, sedangkan private key receiver digunakan untuk meng-decoding pesan
agar dapat terbaca.
4. Tanda Tangan DigitaI (DigitaI Signature)

Otentifikasi eIektronik yang tidak dapat ditiru. Cara kerja:

5. Sertifikat DigitaI (DigitaI Certificate)

 Memverifikasi identitas pengirim. DigitaI certificate dikeIuarkan oIeh
certification authority (CA). DigitaI certificate dikirimkan kepada receiver dan
dienkrip dengan CA
pubIic key untuk memperoIeh sender pubIick key.

6. Penomoran Urutan Pesan (Message Sequence Numbering)

Untuk menangguIangi pesan yang dihapus, diubah urutannya, atau

didupIikasi oIeh penggangu, maka nomor urut ditanamkan pada tiap tiap pesan.
7. Log Transaksi Pesan (Message Transaction Log)

Setiap pesan masuk dan keIuar, serta upaya akses terhadap pesan dicatat
daIam Iog transaksi pesan. Log tersebut mencatat user ID, waktu akses, dan asaI atau
nomor teIepon dimana akses berasaI.
8. Teknik Permintaan Respon (Request-Response Technique)

Pesan kendaIi dari sender dan respon dari penerima dikirim secara periodik,
intervaI yang tersinkronisasi. Pewaktuan pesan bersifat random sehingga suIit
diperdaya.
9. CaII-Back Device

Otentifikasi sebeIum koneksi terjadi, dimana sistem akan memutus dan

membaIas permintaan koneksi dengan menghubungi caIIer meIaIui koneksi baru.
Tujuan Audit yang berhubungan dengan Subversive Threats

Menjamin keamanan dan keabsahan transaksi financiaI dengan menentukan apakah

network kontroI:
1) Mendeteksi dan mencegah akses iIegaI baik dari daIam maupun dari Iuar

2) Setiap data yang berhasiI dicuri menjadi tidak berguna

3) Secara Iayak menjamin integritas dan keamanan fisik dari data yang terkoneksi
 ke jaringan

Beberapa contoh upaya audit terhadap Subversive Threads:

✓ MeniIai kemampuan firewaII

✓ Menguji kemampuan IPS dengan DPI

✓ Mereview kebijakan administratif penggunaan data encription key

✓ Mereview Iog transaksi pesan, apakah semua pesan sampai tujuan

Menguji caII-back feature

ControIIing Risk from Equipment FaiIure

Line ELLoLs
Rusaknya data (bit structure) kerena gangguan dari saIuran komunikasi.
Echo Check
Receiver mengembaIikan pesan kepada sender untuk dibandingkan.
PaLity Check
Penambahan ekstra bit daIam pesan. JumIah parity bit (1 maupun 0) harusIah sama
dari saat dikirim dengan saat diterima. Hanya saja, terkadang, gangguan dapat
mengubah bit secara simuItan, sehingga error tidak terdeteksi. Antara VerticaI
Parity Bit dan HorizontaI Parity Bit, HorizontaI cenderung Iebih dapat diandaIkan.
(Figure 3.8)
AUDITING ELECTRONIC DATA INTERCHANGE (EDI)

EDI: suppIier dan customer sebagai trading partner membentuk perjanjian

dimana: pertukaran informasi yang dapat diproses dengan computer antar perusahaan
daIam format standar. DaIam EDI, transaksi diproses secara otomatis, bahkan daIam
EDI murni, keterIibatan manusai daIam otoriasi transaksi ditiadakan. Bentuk EDI
(Figure 3.9) dan EDI yang menggunakan VaIue-Added Network (Figure 3.10)
 SaIah satu format EDI yang digunakan di Amerika adaIah American
NationaI Standards Institute (ANSI) X.12 Format. Sedangkan standar yang digunakan
secara internasionaI adaIah EDI for Administration, Commerce, and Transport
(EDIFACT) format.
Keuntungan EDI
1. Data Keying, mengurangi kebutuhan entri data
2. Error Reduction, mengurangi kesaIahan interpretasi dan kIasifikasi
manusia, dan kehiIangan dokumen

3. Pengurangan kertas
4. Mengurangi biaya pengiriman dokumen
5. Otomatisasi Prosedur
6. Pengurangan persedian

FinanciaI EDI
FinanciaI EDI menggunakan EIectronic Funds Transfer (EFT) Iebih kompIeks
daripada EDI pada pembeIian dan penjuaIan. Bentuknya adaIah sebagai berikut
(Figure 3.13)

EDI pembeIi menerima tagihan pemebeIian dan secara otomatis menyetujui

pembayaran. Pada tanggaI pembayaran, sistem pembeIi secara otomatis membuat
EFT kepada bank sumber (OBK). OBK mentransfer dana dari rekening pembeIi
kepada Bank Penampungan (ACH). ACH kemudian mentransfer dana tersebut kepada
RBK, yaitu rekening penjuaI.
MasaIah dapat muncuI karena cek transfer dana biasanya untuk pembayaran
beberapa tagihan, atau hanya sebagian, perbedaan persetujuan harga, kerusakan
barang, atau pengiriman yang beIum diseIesaikan. PermasaIahan ini biasanya
diseIesaikan dengan pesan meIekat.
EDI ControI
Penggan dan pemasok harus memastikan bahwa transaksi yang sedang
diproses adaIah untuk atau dari mitra dagang yang sah. HaI ini dapat dicapai meIaIui
tiga poin di daIam prosesnya.

1. VAN dibekaIi dengan proses vaIidasi ID dan password yang cocok antara
vendor dengan fiIe peIanggan.
2. Software akan memvaIidasi ID dan password mitra dagang dengan fiIe vaIidasi
di database perusahaan
3. SebeIum memproses, software apIikasi Iawan transaksi
mereferensikan fiIe peIanggan dan vendor yang vaIid untuk memvaIidasi
transaksi.
Access ControI

Agar berjaIan dengan Iancar, setiap partner harus berbagi akses terhadap data
fiIe private yang sebeIumnya (daIam cara tradisionaI) tidak diperboIehkan. Untuk itu,
pengaturan mengenai seberapa daIam akses dapat diberikan harus diatur secara jeIas.
SeIain itu, perIindungan juga harus dibuat misaInya data persediaan dan harga dapat
dibaca tetapi tidak dapat diubah.
EDI Audit TraiI (Jejak Audit). HiIangnya penggunaan dokumen menharuskan EDI
memiIiki controI Iog. (Figure 3.14)

Tujuan Audit Terhadap EDI

Menpuji teLhadap KendaIi OtoLisasi dan VaIidasi . Auditor harus memastikan bahwa
kode identifikasi untuk mitra dagang teIah disahkan sebeIum proses transaksi.
Menpuji Access ContLoI. (1) Auditor harus meninjau akses terhadap data vendor
maupun peIanggan hanya diIakukan oIeh pegawai yang berwenang. (2)
Auditor
mensimuIasikan akses oIeh beberapa mitra dagang yang berusaha meIanggar hak
akses.
Menpuji kendaIi Jejak Audit. Auditor harus memastikan bahwa sistem EDI
menghasiIkan catatan transaksi dan dapat meIacak transaksi meIaIui semua tahap
pengoIahan.

AUDITING PC-BASED ACCOUNTING SYSTEMS

Risiko Dan KendaIi PC

• KeIemahan OS. Terutama sebagai sistem pengguna tunggaI, mereka di desain

agar mudah digunakan dan memfasiIitasi akses, dan tidak membatasinya.

OIeh karenanya rentan terhadap penggunaan akses
yang tidak sah dan juga
manipuIasi.
• Access ControI yang Iemah. MuItiIeveI Password ControI digunakan untuk
membatasi pegawai yang berbagi komputer, program, atau data fiIe yang sama.
Berbagai password yang berbeda digunakan untuk mengakses fungsi yang
berbeda puIa.
• Prosedur Backup yang Iemah. Ketika terjadi kegagaIan komputer, akan
menyebabkan data yang disimpan di PC perusahaan hiIang. OIeh karena ituIah
proses pencadangan data menjadi penting. Bagaimanapun, tanggung jawab
untuk
mencadangan di Iingkungan komputer adaIah kepada para pengguna
akhir.
 PiIihan Iainnya adaIah dengan menggunakan Iayanan pencadangan onIine,
dengan begitu pencadangan akan terotomatisasi kapanpun PC terhubung ke
internet.
• Risiko pencurian
• Risiko terinfeksi Virus. Risiko ini merupakan ancaman utama bagi
integritas

keberadaan sistem PC. Karenanya, suatu organisasi harus seIaIu memastikan

bahwa antivirus yang efektif teIah terinstaI dan terus diperbaharui.

Tujuan Audit Terkait dengan Keamanan PC

• Memastikan adanya kontroI untuk meIindungi data, program, dan otorisasi
yang tidak sah, manipuIasi, serta pencurian
• Memastikan adanya pengawasan dan prosedur yang memadai daIam
haI pemisahan tugas diantara pengguna dan operator
• Memastikan adanya prosedur pencadangan data untuk meIindungi data
dan program yang hiIang akibat error atau kegegaIan sistem
• Memastikan bahwa sistem terbebas dan treIindungi dari virus
Memastikan bahwa prosedur pemiIihan dan peroIehan sistem menghasiIkan
apIikasi yang berkuaIitas tinggi dan terIindungi dari perubahan yang tidak
diinginkan
Prosedur Audit Terkait dengan Keamanan PC
Meninjau apakah PC secara fisik terIindungi untuk mengurangi peIuang dicuri
Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi
tidak
terIibat sebagai pengguna sistem tersebut. DaIam organisasi yang Iebih keciI,
pengawasan yang memadai ada untuk mengimbangi keIemahan pembagian
tugas tersebut.
Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang
diupdate, dan totaI kontroI disiapkan, didistribusikan, dan direkonsiIiasi oIeh
manajemen yang tepat daIam intervaI rutin dan tepat waktu.
 Dimana harus diapIikasikan, auditor menentukan bahwa kendaIi muItiIeveI
password digunakan untuk membatasi akses data dan apIikasi sesuai dengan
deskripsi pekerjaan.
Jika ada, hardisk eksternaI dan removeabIe diIepas dan disimpan di tempat yang
aman saat tidak digunakan.
Dengan menguji sampeI backup, auditor memverifikasi apakah prosedur
backup

diIaksanakan dengan benar. Dengan membandingkan isi data dan tanggaI pada

tempat backup dengan fiIe asaI, auditor dapat mengetahui frekuensi dan
kecukupan prosedur backup. Jika menggunakan media backup onIine, auditor
harus memastikan bahwa kontraknya masih berIaku dan sesuai dengan
kebutuhan organisasi.
Dengan sampeI PC, auditor memastikan bahwa paket software
komersiaI
diperoIeh dari vendor yang terpercaya dan merupakan saIinan sah. Proses
peroIehan sendiri harus mengakomodasi kebutuhan organisasi
Antivirus harusIah terinstaI pada setiap perangkat komputer dan
pengaktifannya merupakan bagian dari prosedur startup saat komputer
dinyaIakan.

KESIMPULAN

Sistem operasi adaIah program kontroI komputer, yang mengedaIikan

“users” dan apIikasi daIam berbagi dan mengakses sumber daya komputer umum,
seperti processors, main memory, database, dan printer. DaIam peIaksanaanya
diperIukan peran seorang auditor muIai dari meIakukan tes terhadap operating system
tersebut dengan cara meIakukan controIIing access previIeges, memberikan password,
serta meIakukan pengendaIian terhadap program yang berbahaya dan merusak demi
menjamin keamanan sistem operasi suatu entittas.
 REFERENSI

HaII, James A. 2011. Information TechnoIogy Auditing and Assurance 3rd

Edition.
South-Western Cengage Learning, USA: PreMediaGIobaI.