Bagian Keamanan I: Audit, Sistem

Operasi & Jaringan

 Nama Kelompok :

Anggun Ariska
(150810301014)

Rima Puspita
(150810301023)

Rizka Kurnia Dewi

(150810301049)
 Sistem Operasi Audit

Sistem operasi adalah program kontrol komputer. Ini memungkinkan pengguna

dan aplikasinya untuk berbagi dan mengakses sumber daya komputer yang
umum, seperti personal, mainmemory, database, dan printer. Jika interferensi
sistem operasi terganggu, kontrol dalam aplikasi akuntansi individual juga dapat
dielakkan atau dinetralkan. Karena sistem operasi yang umum untuk semua
pengguna, semakin besar fasilitas komputer, semakin besar skala potensi
kerusakan.
 Tujuan Sistem Operasi

 Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++, BASIC,

dan SQL. Modul penerjemah bahasa dari sistem operasi disebut
kompiler dan interpreter.

 Mengalokasikan sumber daya komputer untuk pengguna, kelompok

kerja dan aplikasi. Ini termasuk menugaskan ruang kerja memori ke
aplikasi dan memberi otorisasi akses ke terminal, link telekomunikasi,
database dan printer

 Mengelola tugas penjadwalan pekerjaan dan multiprogramming

Bagaimanapun juga, banyak aplikasi pengguna mencari akses ke
sumber daya komputer di bawah kendali sistem operasi.
 Keamanan Sistem
Operasi

Sistem operasi melibatkan kebijakan, prosedur, dan kontrol yang

menentukan siapa yang dapat mengakses sistem operasi, sumber daya mana
yang dapat mereka gunakan, dan tindakan apa yang dapat mereka lakukan.

Komponen untuk Melindungi

Sistem Operasi

Daftar kontrol Menentukan

Prosedur Masuk Akses token
akses kebijakan akses
Keakuratan Sistem Operasi

Ancaman yang disengaja terhadap sistem operasi paling sering dilakukan untuk
mengakses data yang melanggar hukum atau melanggar privasi pengguna untuk
keuntungan finansial. Namun, ancaman yang mengancam adalah program
destruktif dari mana ada keuntungan yang nyata. Hal tersebut berasal dari tiga
sumber yaitu :
1. Keistimewaan personil yang menyalahgunakan kewenangannya
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan memanfaatkan kelemahan keamanan
3. Individu yang sengaja (atau sengaja) memasukkan virus komputer atau bentuk
program destruktif lainnya ke dalam sistem operasi.
 Kontrol Sistem Operasi Dan Uji
Audit

Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individual
yang berdampak pada pelaporan keuangan juga dapat dikompromikan. Alasannya,
desain dan pengujian kontrol keamanan sistem operasi adalah masalah kepatuhan
SOX. Bagian ini menyajikan berbagai teknik pengendalian untuk menjaga keutuhan
sistem operasi dan menjelaskan tes terkait yang dapat dilakukan auditor.

Kontrol Kata Sandi

Kata Sandi yang Bisa Kata Sandi yang Hanya

Digunakan Kembali Bisa Digunakan Sekali
 Tujuan Audit yang Berkaitan dengan Kata Sandi

 Verifikasi bahwa semua pengguna diharuskan memiliki password

 Verifikasi bahwa pengguna baru diinstruksikan menggunakan kata sandi dan
pentingnya kontrol kata sandi
 Tinjau kembali prosedur pengendalian kata sandi untuk memastikan bahwa kata
sandi berubah secara teratur
 Tinjau kembali file kata sandi untuk mengetahui kata sandi yang lemah
diidentifikasi
 Pastikan file kata sandi dienkripsi dan kunci terenkripsi benar. Menilai
kecukupan standar password seperti interval panjang dan kadaluwarsa.
 Tinjau kebijakan dan prosedur keluar dari akun
 Mengendalikan Program Jahat dan Merusak

Program jahat dan merusak bertanggung jawab atas jutaan dolar kerugian
perusahaan setiap tahunnya. Kehilangan diukur dari segi data korupsi dan
kehancuran, kinerja komputer terdegradasi, kerusakan perangkat keras, pelanggaran
privasi dan waktu personil yang ditujukan untuk memperbaiki kerusakan.

Tujuan Audit yang Sesuai dengan Virus dan

Program Destruktif Lainnya

Kunci pengendalian virus komputer adalah pencegahan kepatuhan ketat terhadap

kebijakan dan prosedur organisasi yang menjaga terhadap infeksi virus. Tujuan
auditor adalah untuk memverifikasi bahwa kebijakan dan prosedur pengelolaan
yang efektif diterapkan untuk mencegah penyebaran dan penyebaran program yang
merusak, termasuk virus, worm, back doors dan trojan.
 Prosedur Audit yang Berkaitan dengan Virus dan Program
Destruktif Lainnya

 Melalui wawancara, tentukan bahwa personil operasi telah dididik

tentang virus komputer dan tidak terbiasa dengan praktik komputasi
berisiko yang dapat mengenalkan dan menyebarkan virus dan program
berbahaya lainnya.
 Verifikasi bahwa perangkat lunak baru diuji pada pekerjaan mandiri
sebelum diimplementasikan pada jaringan server.
 Verifikasi bahwa versi perangkat lunak antivirus saat ini terinstal di
server dan upgrade itu secara teratur didownload ke workstation.
 Sistem Audit Kontrol Jejak

Sistem audit jejak adalah log yang mencatat aktivitas pada sistem, aplikasi dan
tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat
audit yang akan dicatat dalam log. Catatan audit biasanya dihasilkan dari aktivitas
seperti transaksi keuangan, penelitian ilmiah dan data transaksi perawatan kesehatan,
atau komunikasi oleh orang perorangan, sistem, akun, atau entitas lainnya.

Menetapkan Tujuan Audit

Trail

Mendeteksi Akses Akuntabilitas

Resmi Rekonstruksi Acara Pribadi
 Menerapkan Jejak Audit Sistem

Informasi yang terkandung dalam log audit berguna untuk memperhitungkan dalam
mengukur potensi kerusakan dan kerugian finansial yang terkait dengan penerapan,
penyalahgunaan, wewenang atau akses tidak sah oleh penyusup yang keluar. Log
audit, bagaimanapun bisa menghasilkan data dengan detail overhelming.

Tujuan Audit yang Sesuai dengan Jalur

Sistem Audit

Tujuan auditor adalah memastikan bahwa jalur audit sistem yang mapan memadai
untuk mencegah dan mendeteksi penyalahgunaan, merekonstruksi peristiwa penting
yang mendahului kegagalan sistem, dan merencanakan alokasi sumber daya.
 Prosedur Audit yang Berkaitan dengan Jalur Sistem Audit

 Sebagian besar sistem operasi menyediakan beberapa fungsi audit manager

untuk menentukan kejadian yang akan diaudit.
 Banyak sistem operasi memonitor penampil log audit yang memungkinkan
auditor memindai log untuk aktivitas yang tidak biasa.
 Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau
dan melaporkan pelanggaran keamanan. Auditor harus memilih contoh kasus
pelanggaran keamanan yang mengevaluasi penilaian mereka tentang pengaruh
kelompok keamanan.

Jaringan Audit

Bagian berikut menyajikan berbagai bentuk risiko yang mengancam jaringan

yang meliputi :
 Risiko intranet yang diajukan oleh karyawan yang tidak jujur yang memiliki
pengetahuan dan posisi teknis untuk mengatasi penipuan
 Risiko internet yang mengancam baik entitas konsumen maupun konsumen.
Bagian ini melihat ada risiko bisnis yang lebih signifikan terkait dengan
perdagangan internet. Ini adalah spoofing IP, penolakan serangan layanan dan
kegagalan peralatan.
 Risiko Dari Kegagalan Peralatan

Topologi jaringan terdiri dari berbagai konfigurasi jalur komunikasi (kabel

twisted pair, kabel coaxial, gelombang mikro, dan serat optik), komponen
perangkat keras (modem, multiplexer, server dan front end proccessor) dan
perangkat lunak (protokol dan sistem kontrol jaringan)

Mengendalikan Jaringan

Pada bagian berikut, kami memeriksa berbagai teknik kontrol yang digunakan
untuk mengurangi risiko yang diuraikan pada bagian sebelumnya. Kami mulai
dengan meninjau beberapa kontrol untuk menangani ancaman subversif
termasuk firewall, teknik pengiriman paket dalam, encrytion dan pesan. Ini
sesuai dengan tujuan dan prosedur audit yang terkait dengan kontrol ini. Bagian
ini kemudian menyajikan kontrol, tujuan audit, dan prosedur audit yang
berkaitan dengan ancaman dari kegagalan peralatan.
 Motivasi DOS Attack

Motivasi di balik serangan Dos mungkin awalnya adalah untuk menghukum

sebuah organisasi dengan pelaku memiliki keluhan atau hanya untuk
mendapatkan hak membual karena dapat melakukannya. Panggilan telepon
menuntut agar sejumlah uang disetorkan ke rekening di luar negeri, atau
serangan akan dilanjutkan. Dibandingkan dengan potensi kerugian kepercayaan
pelanggan, reputasi yang rusak, dan kehilangan pendapatan, uang tebusan
mungkin tampak sebagai harga yang harus dibayar.

Risiko dari Kegagalan Peralatan

Topologi jaringan terdiri dari berbagai konfigurasi

1. Jalur komunikasi (kabel twisted-pair, kabel coaxial, gelombang mikro, dan
serat optik)
2. Komponen perangkat keras (modem, multiplexer, server, dan prosesor front-
end), dan
3. Perangkat lunak (protokol dan sistem kontrol jaringan).
 Mengendalikan Jaringan

Meninjau beberapa kontrol untuk menangani ancaman subversif termasuk

firewall, teknik pemeriksaan paket dalam, enkripsi, dan kontrol pesan. Hal ini
diikuti dengan tujuan audit, dan prosedur audit yang berkaitan dengan
ancaman akibat kegagalan peralatan.

Mengendalikan Risiko dari

Ancaman Subversif

 Log Transaksi Pesan

 Firewall
 Permintaan-Respon Teknik
 Menganggap Serangan Denial of Service
 Perangkat Call-Back
 Enkripsi
 Tujuan Audit Berkaitan dengan Ancaman
 Tanda Tangan Digital
Subversif
 Sertifikat Digital
 Prosedur Audit Berkaitan dengan Ancaman
 Urutan Urutan Nomor
Subversif
 Kesalahan Baris

Cek Paritas

Mengendalikan Resiko dari

Kegagalan Peralatan
Tujuan Audit
Berkaitan dengan
Kegagalan Peralatan

Prosedur Audit
Berkaitan dengan
Kegagalan Peralatan
Auditing Data Electronik Interchange
(EDI)

EDI merupakan pertukaran antarperusahaan informasi bisnis yang

dapat diproses dalam format standar.

Standar EDI

Kunci keberhasilan edi adalah penggunaan format standar untuk

perpesanan antara tahun syatem.over yang berbeda, baik negara-
negara bersatu dan internasional sejumlah format telah diajukan.
Standar di Amerika Serikat adalah standar nasional amerika yang
intitute (ANSI) x , 12 format. Standar yang digunakan secara
internasional adalah edi untuk format administrasi, perdagangan, dan
transportasi (EDIFACT).
 Data Keying

Eror Reducation

Reducations Kertas
Manfaat EDI
Postage

Prosedur yang Aman

Inventory Reduction
EDI Keuangan
 Kontrol EDI

Transaksi otorisasi dan validasi

 Beberapa VAN memiliki kemampuan kata sandi dan kode ID pengguna untuk
vendor dengan mencocokkan hal ini dengan file pelanggan yang valid. Van menolak
transaksi mitra dagang yang tidak terancam sebelum mereka mencapai sistem vendor.
 Sebelum menolak perangkat lunak validasi dapat memvalidasi ID mitra dagang dan
kata kunci mengenai file validasi di database perusahaan.
 Sebelum memproses perangkat lunak aplikasi mitra dagang, rujuklah file pelanggan
dan vendor yang valid untuk memvalidasi transaksi

Kontrol Akses

 Untuk berfungsi dengan lancar, mitra dagang EDI harus mengizinkan akses ke file
data pribadi yang dilarang di lingkungan tradisional.
 Untuk mencegah akses yang tidak sah, setiap perusahaan harus membuat file vendor
dan pelanggan yang valid.
 Jejak Audit EDI

Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan

audit tradisional dan membatasi kemampuan akuntan untuk
membedakan, melengkapi, menentukan waktu, dan akurasi transaksi.
Salah satu teknik untuk memulihkan jejak audit adalah mempertahankan
kontrol yang mencatat arus transaksi. melalui setiap fase sistem EDI.

Tujuan Audit yang Berkaitan

dengan EDI

Tujuan auditor adalah untuk menentukan bahwa (1) semua transaksi EDI
diotorisasi, divalidasi, dan sesuai dengan perjanjian partlier perdagangan
(2) tidak ada organisasi yang tidak sah yang mendapatkan akses ke
catatan database, (3) mitra dagang yang berwenang hanya memiliki
akses terhadap data yang disetujui ; (4) kontrol yang memadai tersedia
untuk memastikan jalan audit yang lengkap dari semua transaksi EDI.
 Prosedur Audit yang Berkaitan
dengan EDI

Uji Otorisasi dan Kontrol

Uji Kontrol Akses Tes Kontrol Jejak Audit
Validasi

Mengaudit sistem akuntansi berbasis PC

Pasar perangkat lunak menawarkan ratusan sistem akuntansi berbasis komputer.

Berbeda dengan sistem mainframe dan client-server yang sering dirancang
khusus untuk memenuhi persyaratan pengguna tertentu, aplikasi pc cenderung
merupakan sistem tujuan umum yang melayani berbagai kebutuhan. Strategi ini
memungkinkan vendor perangkat lunak memproduksi secara massal produk
standar berbiaya rendah dan bebas kesalahan.
 Kelemahan
Sistem Operasi

Lemahnya
Kontrol Akses

Kontrol Password
Bertingkat
Sistem Risiko dan
Kontrol
Risiko Pencurian

Prosedur Cadangan
yang Lemah

Risiko Infeksi
Virus