PENDAHULUAN
Ancaman Terhadap OS
1. PenyaIahgunaan wewenang akses
2. Individu (eksternaI maupun eksternaI) yang memanfaatkan
keIemahan keamanan
3. Individu yang baik sengaja maupun tidak, memasukkan virus atau
program
merusak
Iainnya kedaIam OS
Audit Tests terhadap OS:
1. ControIIing Access PreviIeges: Auditor harus memvirifikasi bahwa
pemberian access previIeges sesuai dengan kebutuhan akan pemisahan fungsi
dan kebijakan organisasi
2. Password ControI: Memastikan bahwa password terIindungi dengan baik,
baik dari keIaIaian pengguna (Iupa, Post-it syndrome, password yang
sederhana) maupun modeI sekurity password. Password yang dapat
digunakan kembaIi (ReuseabIe password) harusIah suIit ditebak serta bentuk
kesaIahan user daIam memasukkan password harus dikeIoIa dengan baik,
misaInya tidak memberitahukan user kesaIahan password yang dibuat,
apakah ID atau passwordnya. SeIain itu, batasan kesaIahan Iog-on juga harus
diatur. Password sekaIi pakai (One-Time Password) Iebih terIindungi karena
waIaupun dapat diretas, pa sword tidak dapat digunakan kembaIi seteIah
meIewati waktu tertentu. Keamanannya juga berIapis karena masih terdapat
PIN.
3. PengendaIian terhadap program yang berbahaya dan merusak: pengendaIian
ini dapat berupa keamanan yang tangguh maupun prosedur administrasi yang
baik. Beberapa bentuk audit terhadap pengendaIian ini adaIah: mengetahui
tingkat pemahaman personeI terhadap virus dan sejenisnya serta cara
penyebarannya; memastikan bahwa software yang digunakan teIah diuji
sebeIumnya daIam sistem yang terpisah serta diperoIeh dari sumber yang
dipercaya; memastikan bahwa antivirus/sekuriti yang digunakan adaIah versi
terbaru dan update.
KendaIi Atas Jejak Audit Sistem: Catatan atas aktivias sistem, apIikasi, dan
pengguna.
1. Keystroke Monitoring (keystroke: tomboI pada keyboard)
2. Event Monitoring
Tujuan Jejak Audit:
• Mendeteksi Akses yang tidak sah
• Merekonstruksi kejadian
AUDITING NETWORKS
Intranet Risks
Ancaman dari karyawan adaIah signifikan karena pengetahuan inti mereka
tentang pengendaIian sistem dan/ atau kurangnya pengendaIian. Motif mereka untuk
meIakukan kerusakan mungkin adaIah pembaIasan terhadap perusahaan, ancaman
memboboI fiIe yang tidak sah, atau untuk mendapat untung dari menjuaI rahasia
dagang atau menggeIapkan aset. Rahasia dagang, data operasi, data akuntansi, dan
informasi rahasia yang dapat diakses karyawan memiIiki risiko terbesar.
❖ Karyawan Istimewa
menurut peneIitian CSI, manajer menengah, yang sering memiIiki hak akses yang
memungkinkan mereka untuk mengesampingkan pengendaIian, paIing sering dituntut
atas kejahatan orang daIam. Sistem informasi yang dimiIiki karyawan daIam
organisasi adaIah keIompok Iain yang diberdayakan dengan mengabaikan hak
istimewa yang dapat mengizinkan akses ke data penting-misi.
Keengganan untuk MengadiIi: Faktor yang berkontribusi terhadap kejahatan komputer
adaIah keengganan banyak organisasi untuk menuntut para penjahat. Korporasi yang
tidak meIaporkan intrusi, takut pubIisitas negatif adaIah pembenaran yang paIing
umum dikutip untuk kebungkaman mereka.
Internet Risks
1) IP Spoofing
Penyamaran/ meniru IP atau identitas komputer user untuk memperoIeh akses
atau meIakukan sesuatu tanpa ingin diketahui identitasnya (jejaknya). Umumnya
diIakukan dengan menyamar sebagai komputer yang diteIah dikenaI oIeh korban.
2) Serangan yang mematikan Iayanan (DeniaI of Service Attack
“DOS”): SYN FIood Attack
Memanfaatkan Paket SYNchronize-ACKnowIedge (SYN-ACK),
penyerang memuIai koneksi kepada server, kemudian dibaIas dengan SYN.
Penyerang sebagai receiving server tidak akan membaIas dengan ACK
sehingga server organisasi menjadi sibuk dengan paket yang tidak dapat
ditindakIanjuti dan tidak dapat memproses paket yang Iain (dari
kostumer/cIien sebenarnya). FirewaII dapat saja mem-bIokir aIamat yang
meIakukan FIood Attack, tetapi apabiIa dikombinasikan dengan IP
spoofing, maka akan menjadi
Iebih suIit karena penyerang akan terus dianggap sebagai aIamat yang
berbeda.
Smurf Attack
MeIibatkan Perperator (sebagai penyerang), intermediary, dan
victim. Ping (sejenis sonar daIam jaringan untuk menguji koneksi)
dikirimkan oIeh perperator (yang menyamar (IP Spoofing) sebagai victim)
kepada intermediary. Intermediary yang jumIahnya banyak dan berada pada
subnetwork dari victim, mengirimkan kembaIi pantuIan ping kepada victim.
HaI ini membebani IaIu Iintan data victim dan dapat membuatnya tidak
dapat digunakan sebagaimana seharusnya.
SeIain risiko diatas, Data juga berisiko untuk terganggu, rusak, atau hancur
akibat terganggunya sistem komunikasi antara senders dan receivers.
Kerusakan
peraIatan juga dapat menyebabkan hiIangnya database dan program yang
tersimpan di server jaringan.
MengendaIikan Jaringan
1. FirewaII
Sistem yang memaksa kendaIi akses antara dua jaringan, dimana setiap IaIu
Iintas jaringan harus meIewati jaringan dan hanya yang diotorisasi yang dapat
meIewatinya. FirewaII harus kebaI dari upaya pemboboIan baik dari daIam maupun
Iuar.
Network-IeveI FirewaII: keamanan yang efisien tapi Iemah, bekerja dengan
menyaring permintaan akses berdasarkan aturan yang teIah diprogramkan
➢ AppIication-IeveI FirewaII: sistem yang berkerja dengan cara menjaIankan
perangkat keamanan berupa proxi yang memperboIehkan Iayanan rutin untuk
Iewat, tatapi mampu menjaIankan fungsi yang canggih seperti otentifikasi users
serta menyediakan Iog transmisi dan aIat audit untuk meIaporkan aktivitas yang
tidak diotorisasi.
FirewaII berIapis juga memungkinkan untuk digunakan.
3. Encryption
Setiap pesan masuk dan keIuar, serta upaya akses terhadap pesan dicatat
daIam Iog transaksi pesan. Log tersebut mencatat user ID, waktu akses, dan asaI atau
nomor teIepon dimana akses berasaI.
8. Teknik Permintaan Respon (Request-Response Technique)
Pesan kendaIi dari sender dan respon dari penerima dikirim secara periodik,
intervaI yang tersinkronisasi. Pewaktuan pesan bersifat random sehingga suIit
diperdaya.
9. CaII-Back Device
3) Secara Iayak menjamin integritas dan keamanan fisik dari data yang terkoneksi
ke jaringan
Line ELLoLs
Rusaknya data (bit structure) kerena gangguan dari saIuran komunikasi.
Echo Check
Receiver mengembaIikan pesan kepada sender untuk dibandingkan.
PaLity Check
Penambahan ekstra bit daIam pesan. JumIah parity bit (1 maupun 0) harusIah sama
dari saat dikirim dengan saat diterima. Hanya saja, terkadang, gangguan dapat
mengubah bit secara simuItan, sehingga error tidak terdeteksi. Antara VerticaI
Parity Bit dan HorizontaI Parity Bit, HorizontaI cenderung Iebih dapat diandaIkan.
(Figure 3.8)
AUDITING ELECTRONIC DATA INTERCHANGE (EDI)
3. Pengurangan kertas
4. Mengurangi biaya pengiriman dokumen
5. Otomatisasi Prosedur
6. Pengurangan persedian
FinanciaI EDI
FinanciaI EDI menggunakan EIectronic Funds Transfer (EFT) Iebih kompIeks
daripada EDI pada pembeIian dan penjuaIan. Bentuknya adaIah sebagai berikut
(Figure 3.13)
1. VAN dibekaIi dengan proses vaIidasi ID dan password yang cocok antara
vendor dengan fiIe peIanggan.
2. Software akan memvaIidasi ID dan password mitra dagang dengan fiIe vaIidasi
di database perusahaan
3. SebeIum memproses, software apIikasi Iawan transaksi
mereferensikan fiIe peIanggan dan vendor yang vaIid untuk memvaIidasi
transaksi.
Access ControI
Agar berjaIan dengan Iancar, setiap partner harus berbagi akses terhadap data
fiIe private yang sebeIumnya (daIam cara tradisionaI) tidak diperboIehkan. Untuk itu,
pengaturan mengenai seberapa daIam akses dapat diberikan harus diatur secara jeIas.
SeIain itu, perIindungan juga harus dibuat misaInya data persediaan dan harga dapat
dibaca tetapi tidak dapat diubah.
EDI Audit TraiI (Jejak Audit). HiIangnya penggunaan dokumen menharuskan EDI
memiIiki controI Iog. (Figure 3.14)
diIaksanakan dengan benar. Dengan membandingkan isi data dan tanggaI pada
tempat backup dengan fiIe asaI, auditor dapat mengetahui frekuensi dan
kecukupan prosedur backup. Jika menggunakan media backup onIine, auditor
harus memastikan bahwa kontraknya masih berIaku dan sesuai dengan
kebutuhan organisasi.
Dengan sampeI PC, auditor memastikan bahwa paket software
komersiaI
diperoIeh dari vendor yang terpercaya dan merupakan saIinan sah. Proses
peroIehan sendiri harus mengakomodasi kebutuhan organisasi
Antivirus harusIah terinstaI pada setiap perangkat komputer dan
pengaktifannya merupakan bagian dari prosedur startup saat komputer
dinyaIakan.
KESIMPULAN