Anda di halaman 1dari 36

Assalamualaikum

✘ 1. Opy Nurdianti (160810301037)


✘ 2. Muh Rofidatul Huda (160810301055)
✘ 3. Afista Syah jaya Pratama (160810301114)
✘ 4. Moh. Ali Hamdani (160810301138)

1
Auditing, Operating
Systems and
Networks
1. pengamanan dan system operasi,
jaringan komunikasi
2. pertukaran data elektronik
3. PC berdasarkan system akuntansi
4. memeriksa mengenai resiko,
pengendalian / control
5. tujuan audit
6.prosedur audit yang mungkin
memberikan kepuasan kesesuaian /
kepatuhan yang dilakukan atau
membuktikan tanggungjawab.

3
Auditing Operating Systems

System operasi program pengendalian program


computer, di ijinkan pengguna dan aplikasi mereka
untuk menyebarkan dan mengakses sumberdaya
computer secara umum, seperti processors, memori
utama, database, dan printer.
Didalam system operasi
computer terdapat 3 bagian
yang perlu diperhatikan antara
lain :
✘ Tujuan system operasi
✘ Pengamanan system operasi
✘ Ancaman system operasi

5
Didalam system kerjanya system operasi terdapat
3 kerja utama yaitu :
✘ High level languages.
Ini adalah level bahasa pemrograman dimana
computer dapat bekerja
✘ Pengalokasian sumberdaya system operasi
pada pengguna, kelompok kerja dan aplikasi
Ini termasuk juga penerimaan ruang kerja memori
untuk aplikasi dan memberikan akses pada
sambungan, link telekomunikasi, database dan
printer.
6
✘ Pengelolaan system penjadwalan kerja
operasi dan multiprogramming.
Kapan saja, dapat terjadi hal ini banyak
sekali pengguna aplikasi akan melihat
kesempatan untuk mengakses dibawah
sumberdaya pengendalian system operasi.

7
Pengamanan system
operasi
• Log on
• Akses token
• IT list control
• Hak akses diskresioner
Ancaman system
• Kebebasan personel yang menyalahgunakan operasi
wewenang mereka
• Individu, antara intenal dan eksternal
organisasi, yang menelusuri sitem operasi
untuk mengidentifikasi dan mengekploitasi
kelemahan keamanan
• Individu yang sengaja (atau tidak sengaja)
memasukkan virus atau program lain yang
merusak kedalam sistem operasi.
Pengendalian system
operasi dan tes audit
• Pengendalian hak akses
• Pengendalian kata sandi
• Pengendalian terhadap malware
dan program – program yang
dapat merusak atau berbahaya
• pengendalian jejak audit
Pengendalian hak akses

Pengguna yang
memiliki hak akses atau
kewenangan baik
individu dan seluruh
kelompok kerja yang Place your screenshot here

telah diotorisasi untuk


menggunakan sistem.
Kewenangan yang
ditentukan yaitu
direktori, files, aplikasi
dan sumberdaya lain
baik individu maupun
kelompok bisa
11 mengaksesnya.
Pengendalian kata sandi
ancaman keamanan
meliputi :
- melupakan kata sandi dan
mengunci sistem
- gagal mengganti kata
- Reusable password sandi
- the post it syndrome,
- One time password dimana kata sandi ditulis
dan ditampilkan untuk
dilihat orang lain
- kata sandi sederhana
yang mudah ditebak oleh
penjahat

12
Prosedur audit yang berhubungan dengan kata sandi
✘ Verifikasi semua pengguna yang memiliki kata sandi
✘ Verifikasi semua pengguna baru apakah telah diinstruksikan untuk
menggunakan kata sandi dan pentingnya untuk pengendalian
✘ Tinjau prosedur pengendalian kata sandi untuk memastikan kata sandi
diganti secaara teratur
✘ Tinjau file kata sandi untuk menentukan bahwa kata sandi yang lemah
diidentifikasi atau tidak diijinkan
✘ Verifikasi file kata sandi terenkripsi dan keamanan penguncian enkripsi
✘ Akses standar kata sandi seperti panjangnya kata sandi dan batas waktu
kadaluarsanya
✘ Tinjau keamanan penguncian kata sandi dan prosedur keamanannya
13
Pengendalian terhadap malware dan program – program
yang dapat merusak atau berbahaya

Prosedur audit yang berkaitan dengan virus dan program yang


merusak lainnya

1. Lakukan wawancara, untuk menentukan personel operasi telah


diedukasi mengenai virus – virus computer dan sadar dengan resiko
praktik komputasi yang dapat mengenalkan dan menyebarkan virus
dan malware lainnya
2.memverifikasi bahwa perangkat lunak baru telah diuji pada pusat
kerja mandiri sebelum diimplementasikan pada host atau server
jaringan
3. verifikasi versi sekarang antivirus siftware di install pada server dan
sudah di perbarui dan di unduh pada pusat kerja

14
Pengendalian jejak audit

jejak audit sistem adalah log yang mencatat aktivitas di


tingkat sistem, aplikasi, dan pengguna. Sistem operasi
mengijinkan management untuk mencatatnya. Jejak audit
terdiri dari dua log audit yaitu :
1. detailed logs of individual keystrokes
biasanya digunakan untuk memperbarui detail kegiatan
pada waktu yang benar untuk mengendalikan dan
mencegah intruksi yang tidak sah.
2. event oriented logs
berkaitan dengan sumberdaya seperti akses seluruh ID
sistem.
15
Penggunaan sistem jejak audit adalah untuk
memastikan informasi yang hubungan dengan
akuntan , untuk memastikan potensi kerusakan
dan kerugian keuangan yang diakibatkan aplikasi
yang eror, penyalahgunaan otoritas, dan akses yang
tidak sah pengganggu dari luar.

16
Prosedur audit yang berhubungan dengan sistem
jejak audit

auditor dapat auditor harus memilih


Auditor harus menggunakan alat
memeriksa sampel kasus
ekstraksi data tujuan pelanggaran keamanan
bahwa jejak audit umum untuk mengakses
telah diaktifkan dan mengevaluasi
file log yang diarsipkan disposisi mereka untuk
sesuai dengan
kebijakan mengakses keefektifan
organisasi. dan keamanan
17 kelompok
AUDITING NETWORKS

ketergantungan pada jaringan untuk komunikasi bisnis


menimbulkan kekhawatiran tentang akses tidak sah ke
informasi rahasia. LAN menjadi platform untuk aplikasi kritis
misi dan data, informasi kepemilikan, data pelanggan, dan
catatan keuangan yang berisiko.

Paradoks jaringan adalah bahwa jaringan ada untuk


menyediakan akses pengguna ke sumber daya bersama,
namun tujuan terpenting dari setiap jaringan adalah
mengendalikan akses semacam itu.

18
INTRANET RISK
Intranet terdiri dari LAN kecil dan WAN besar yang mungkin berisi
beberapa simpul individu. Intranet digunakan untuk
menghubungkan pekerja tanpa bangunan tunggal, antara
bangunan di tempat yang sama dan antar lokasi yang tersebar
secara gegografis.

Intercription of Network Massages

Access to Corporate Database

Previleged Employees
INTERNET RISK

✘ IP Spoofing
Ip Spoofing adalah salah satu teknik yang digunakan di internet untuk
menyembunyikan atau memalsukan source IP address sehingga asal
dari paket jaringan tersebut tidak bisa dilacak ataupun untuk
mengelabuhi komputer tujuan.
✘ Denial of service attack (dos)
Syn flooding attack
Smurf Attack
Distributed denial of service (DDos)
✘ Equipment Failure

20
CONTROLLING NETWORKS

Mengendalikan Risiko dari Ancaman Subversif


1. Firewalls
Firewall adalah sebuah sistem yang mengontrol akses antara dua
jaringan. Firewall digunakan untuk melindungi perusahaan yang
terhubung dengan internet dari penyusup
✘ Network-level firewalls, ✘ Application-level firewalls
memberikan kontrol secara lebih memberikan tingkat keamanan
efisien namun dengan level keamanan jaringan yang lebih tinggi, namun
yang rendah. Tipe ini terdiri dari mereka menambahkan overhead ke
screening router yang memeriksa konektivitas.
sumber dan alamat tujuan yang
dilampirkan pada paket pesan masuk.
21
Mengendalikan Risiko dari Ancaman
Subversif

2. Controlling Denial of Service Attacks


Untuk mencegah serangan Ddos, banyak organisasi telah
menggunakan instrusion prevention system (IPS)yang
menggunakan deep packet inspection (DPI)untuk
menentukan kapan sebuah serangan berlangsung. DPI
menggunakan berbagai teknik analisis dan statistik untuk
mengevaluasi isi paket pesan. Dengan mencari paket individual
untuk ketidakpatuhan protokol dan menggunakan kriteria yang
telah ditentukan untuk memutuskan apakah sebuah paket
dapat dilanjutkan ke tempat tujuannya.

22
Mengendalikan Risiko dari Ancaman
Subversif

3. Enkripsi 4. Digital Signatures 5. Digital Certificate 6. Message Sequence


Terdapat dua metode enkripsi adalah tanda tangan digital atau Proses yang disebutkan di atas
Numbering
yang biasa digunakan, yaitu otentikasi elektronik yang tidak membuktikan bahwa pesan yang Melalui penomoran urutan pesan,
private key dan public key bisa dipalsukan diterima tidak dirusak selama nomor urut disisipkan di setiap
encryption. transmisi berlangsung. Namun, pesan, dan upaya semacam itu
tidak terbukti bahwa pengirimnya akan menjadi jelas di pihak
adalah siapa yang mekaimnya. penerima.

7. Message Transaction 8. Request-Response 9. Call-Back Devices


Log Technique
Perangkat ini mengharuskan
Dengan menggunakan request- pengguna memasukkan kata
Log harus mencatat ID pengguna,
responses technique, pesan sandi yang dapat dikenali. Sistem
waktu akses, dan lokasi terminal
kontrol dari pengirim dan respon kemudian memutus koneksi
atau nomor telepon tempat asal
dari penerima dikirim pada untuk melakukan otentikasi
akses.
interval periodik dan pengguna.
23 disinkronkan.
Audit Terkait Ancaman Subversif

Meninjau kecukupan firewall Verifikasi bahwa sistem Meninjau ulang prosedur


dalam mencapai pencegahan intrusi (IPS) keamanan yang mengatur
keseimbangan antara kontrol dengan inskripsi paket dalam administrasi kunci enkripsi
dan kenyamanan berdasarkan (DPI) ada pada organisasi data.
tujuan bisnis organisasi dan yang rentan terhadap
potensi risiko. serangan DDos, seperti
lembaga keuangan.
24
Audit Terkait Ancaman Subversif

Verifikasi proses enkripsi Uji pengoperasian fitur


Meninjau log pesan untuk
dengan mentransmisikan call-back dengan
memverifikasi bahwa
pesan tes dan memeriksa memasang panggilan
semua pesan diterima
isinya di berbagai titik di tidak sah dari luar
sesuai urutannya.
sepanjang saluran antara instalasi.
lokasi pengiriman dan
penerimaan.

25
Mengendalikan Risiko dari Kegagalan
Peralatan

✘ LINE ERROR
Struktur bit pesan bisa rusak melalui kebisingan pada jalur
komunikasi. Kebisingan terdiri dari sinyal acak yang dapat
mengganggu sinyal pesan saat mencapai tingkat tertentu.
Motor listrik, kondisi atmosfir, kabel yang rusak, komponen
cacat pada peralatan, atau kebisingan yang tumpah dari saluran
komunikasi yang berdekatan dapat menyebabkan sinyal acak
ini.

Terdapat 2 teknik untuk mengecek dan memperbaiki yaitu


echo check dan parity check
26
Audit Terkait Kegagalan Perlatan

✘ Tujuan ✘ Prosedur
Tujuan auditor adalah untuk Auditor dapat memilih sampel
memverifikasi integritas pesan melalui transaction log
transaksi perdagangan dan memeriksa pesan tersebut
elektronik dengan menentukan untuk konten rusak yang
bahwa terdapat kontrol untuk disebabkan oleh kebisingan.
mendeteksi dan memperbaiki Auditor harus memastikan
pesan yang hilang akibat bahwa semua pesan corrupt dan
kegagalan peralatan. dengan sukses dikirim ulang
atau diperbaiki.

27
AUDITING ELECTRONIC DATA INTERCHANGE (EDI)

EDI adalah pergantian informasi bisnis


antar perusahaan yang diproses oleh
komputer dalam format standar

28
a. Keuntungan EDI
•Data Keying. Dimaksudkan untuk mengurangi waktu untuk melakukan entri karena sistem dapat
membaca elemen-elemen dalam data tersebut.
•Mengurangi Eror. Karena dilakukan secara otomatis dengan sistem yang terintegrasi, EDI mengurangi
faktor-faktor kesalahan dalam pengolahan data.
•Mengurangi Pemakaian Kertas. Karena dilakukan secara otomatis di komputer, penyimpanan data
pun secara elektronik dalam hardware penyimpanan.
•Pengendalian Persediaan. EDI dapat secara real-time meng-update jumlah persediaan sesuai
dengan proses transaksi yang terjadi tanpa ada senjang waktu
29
b. EDI Keuangan

EDI secara internal


menerjemahkan data
finansial yang terjadi
sesuai dengan transaksi
terhadap jumlah-jumlah
invoice dan nilai akun
terkait

30
c. Pengendalian EDI

pengendalian EDI
membutuhkan jenis
pengendalian yang
sama namun dengan
target yang berbeda.
Pengendalian ini
utamanya
membutuhkan kerja-
sama dari kedua-
belah pihak pengguna
EDI

31
d. Pengendalian Akses

Agar berfungsi secara baik, terdapat beberapa informasi yang


membutuhkan pihak pemasok ataupun pelanggan untuk mengakses
32 beberapa data internal satu sama lain
e. Audit EDI

auditor dapat
memusatkan
perhatiannya dalam
pengawasan catatan
berkala atas semua
histori transaksi
yang pernah
dilakukan oleh EDI

33
f. Tujuan Audit EDI

Tujuan audit EDI ini adalah


untuk memastikan bahwa
seluruh otorisasi dan validasi Place your screenshot here

atas seluruh transaksi telah


dilaksanakan sesuai dengan
kesepakatan yang disetujui oleh
kedua belah pihak

34
g. Prosedur Audit EDI

•Uji pengendalian wewenang


dan validasi
•Uji pengendalian terhadap jejak
audit

35
spaciba
Any questions?

36