I

Air Mail
Par Avion

Audit Sistem Operasi dan Jaringan

Kelompok 5:
Geulis Rahmawati Putri 16.0102.0076
Moreel Saddhini 16.0102.0086
Vidita Eka Yanti 16.0102.0093
Lailatul Munfaida 16.0102.0102
Vina Andika K 16.0102.0109
Darmawan Wahyu Utama 16.0102.0114
Atika Rahma Yuniar 16.0102.0119
Vita Ferawaty Vawi 18.0102.0084
 SISTEM AUDIT OPERASIONAL
 Sistem operasi adalah program pengendalian komputer. Hal ini
memungkinkan pengguna dan beragam aplikasi mereka untuk
berbagi dan mengakses sumber daya komputer, seperti prosesor,
memori utama, database, dan printer.

 Tujuan Sistem Operasi

 Pertama, ia menterjemahkan Bahasa tingkat tinggi, seperti
COBOL, C++, BASIC, dan SQL ke dalam bahasa mesin
supaya computer dapat mengeksekusi.
 Kedua, sistem operasi mengalokasikan sumber daya
komputer untuk pengguna, kelompok kerja, dan aplikasi. Ini
termasuk menugaskan ruang kerja memori (partisi) untuk
aplikasi dan otorisasi akses ke terminal, link
telekomunikasi, database, dan printer.
 Ketiga, sistem operasi mengelola tugas-tugas penjadwalan
kerja dan multiprogram-ming.
 Keamanan Sistem Operasi. melibatkan kebijakan,
prosedur, dan control yang menentukan siapa yang
dapat mengakses sistem operasi, sumber daya (file,
program, printer) yang dapat mereka gunakan, dan
tindakan apa yang dapat mereka ambil.

 Ancaman terhadap Integritas Sistem Operasi

Ancaman disengaja untuk sistem operasi yang paling sering
dicoba secara ilegal untuk mengakses data atau melanggar
privasi pengguna untuk keuntungan finansial. Sumber ancaman :
1. Personil istimewa yang menyalahgunakan kewenangannya.
2. Individu, baik internal maupun eksternal organisasi, yang
menelusuri sistem operasi untuk mengidentifikasi dan
mengeksploitasi kelemahan keamanan.
3. Individu yang dengan sengaja (atau sengaja) memasukkan
virus komputer atau bentuk lain dari program yang merusak ke
dalam sistem operasi.
Kontrol Sistem Operasi dan Tes Audit
 Mengontrol Hak Akses
 Tujuan Audit Terkait dengan Hak Akses
 Prosedur Audit Berkaitan dengan Hak Akses
Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan
memastikan bahwa mereka mempromosikan keamanan yang wajar.

Tinjau hak istimewa dari pilihan kelompok pengguna dan individu untuk menentukan
apakah hak akses mereka sesuai untuk deskripsi pekerjaan mereka dan posisi.

Ulasan catatan personil untuk menentukan apakah karyawan istimewa menjalani

pemeriksaan izin keamanan memadai intensif sesuai dengan kebijakan perusahaan.

Ulasan catatan karyawan untuk menentukan apakah pengguna telah secara resmi
mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.

Tinjau pengguna diizinkan log-in. Izin harus sepadan dengan tugas-tugas yang
dilakukan.

 Sandi Kontrol A
 Password dapat digunakan kembali
 Satu-Time Password
 Tujuan Audit Yang Berkaitan
Dengan Kata Sandi
Verifikasi bahwa semua pengguna diharuskan memiliki password

Verifikasi bahwa pengguna baru diinstruksikan menggunakan kata sandi dan

pentingnya kontrol kata sandi

Tinjau kembali prosedur pengendalian kata sandi untuk memastikan bahwa

katasandi berubah secara teratur

Tinjau kembali file kata sandi untuk mengetahui kata sandi yang lemah
diidentifikasi

Pastikan file kata sandi dienkripsi dan kunci terenkripsi benar.

Menilai kecukupan standar password seperti interval panjang dan kadaluwarsa.

Tinjau kebijakan dan prosedur keluar dari akun

 Pengendalian Terhadap Obyek
Yang Merusak Dan Berbahaya

Melakukan tanya
jawab dengan
personil operasi,
Memeriksa Membuktikan
memastikan Membuktikan Membuktikan
prosedur operasi bahwa software
mereka telah bahwa sistem software yang
untuk memastikan antivirus telah
mengerti tentang pengelola rutin baru telah
jika CD yang rutin diperbaharui
virus komputer melakukan scan diperikasa sesuai
digunakan untuk dengan jarak yang
dan mengetahui workstation pada standalone yang
memindahkan teratur dan
resiko file server, email diimplementasikan
data antar didownload untuk
menggunakan server dari pada host atau
kelompok kerja pusat kerja per-
komputer serta serangan virus. network server.
tidak berisi virus. individu.
penyebaran virus
dan program jahat
lainnya.
 Pengendalian Jejak Audit
Elektronik

Keystroke Event Audit Trail

Monitoring Monitoring Objectives

Implementing Audit Audit

an Audit Trail Objective Procedures
 JARINGAN AUDIT
Ketergantungan pada jaringan untuk komunikasi
bisnis menimbulkan kekhawatiran tentang akses
tidak sah ke informasi rahasia. Organisasi
terhubung dengan pelanggan dan mitra bisnis
melalui internet, khususnya yang rentan. Tanpa
perlindungan yang memadai, perusahaan
membuka pintu mereka untuk hacker komputer,
pengacau, pencuri dan mata-mata industri baik
secara internal maupun dari seluruh dunia.
 INTRANET
Intranet terdiri dari LAN kecil dan WAN besar yang
mungkin berisi ribuan node vidual puncak. Intranet
digunakan untuk menghubungkan karyawan dalam satu
bangunan, antara bangunan fisik yang sama dan antara
geografis lokasi. Kegiatan intranet umum termasuk
routing e-mail, pemrosesan transaksi antara unit dan
menghubungkan ke luar internet.

Kegiatan karyawan internal yang tidak sah dan illegal

akan mengancam intranet. Motif mereka untuk
merugikan, mungkin balas dendam terhadap
perusahaan, tantangan break ke file yang tidak sah, atau
untuk mendapatkan keuntungan dari menjual rahasia
dagang atau menggelapkan aset.
 RISIKO INTERNET

IP Spoofing

Denial of Service
Attack
SYN Flood

Smurf Attack

Distributed Denial of Service

Mengontrol Jaringan
Mengontrol Risiko dari Ancaman
Subversif

Sebuah Firewall adalah sistem yang memaksa kontrol akses antara dua internet dari penyusup
luar. SEBUAH firewall adalah sistem yang memaksa kontrol akses antara dua jaringan

Firewall dapat digunakan untuk otentikasi pengguna di luar jaringan, memverifikasi nya tingkat
kewenangan akses, dan kemudian mengarahkan pengguna ke program, data, atau layanan
yang diminta.

Level aplikasi firewall memberikan tingkat keamanan yang lebih tinggi pada jaringan yang
telah disesuaikan, tetapi biasanya perusahaan menambahkan overhead untuk konektivitas.
Sistem ini dikonfigurasi untuk menjalankan keamanan aplikasi komplikasi yang disebut proxy
yang memungkinkan layanan rutin seperti e-mail untuk melewati firewall, tetapi dapat melakukan
fungsi canggih seperti otentikasi pengguna untuk tugas-tugas tertentu.
 Mengontrol Serangan Denial of Service
Perusahaan tidak berdaya karena tidak dapat secara efektif memblokir
transmisi dari begitu banyak lokasi yang berbeda. Sebagai balasan
terhadap serangan DDos, banyak organisasi telah berinvestasi di
sistem pencegahan sion Sebagai balasan terhadap serangan DDos,

Dengan memeriksa muatan atau bagian paket, DPI dapat mengidentifikasi dan
mengklasifikasikan paket berbahaya berdasarkan database tanda tangan serangan
yang dikenal. Setelah diklasifikasikan sebagai berbahaya, paket kemudian dapat
diblokir dan diarahkan ke tim keamanan dan / atau net- agen pelaporan kerja.

IPS juga dapat digunakan di belakang firewall untuk melindungi segmen jaringan
tertentu dan server. Hal ini memberikan perlindungan tambahan terhadap pengguna
laptop yang telah unknowingly terinfeksi dengan Trojan horse atau worm saat
bekerja di luar lingkungan jaringan yang dilindungi.

Enskripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dalam
database dan transmisi melalui jaringan.Pengirim menggunakan algoritma enkripsi
untuk mengkonversi pesan asli (disebut cleartext) menjadi setara kode (disebut
ciphertext).
 Dua Metode yang Umum digunakan Enkripsi

Enkrispsi Kunci Pribadi

menggunakan satu kunci yang
Advance
diketahui baik pengirim dan
enkrispsi
standard (AES) penerima pesan
memberikan keamanan yang jauh lebih EEE3
Enkripsi Triple-
baik dari kebanyakan teknik enkripsi
DES
tunggal EDE3

Enkripsi Kunci Publik

menggunakan dua kunci yang RSA (Rivest-

berbeda: satu untuk Shamir-Adleman)
menyandikan pesan dan yang
lainnya untuk mendekode pesan
 Tanda Tangan
Sertifikat digital
Digital

Tanda Tangan Digital adalah otentikasi Memverifikasi identitas pengirim membutuhkan

elektronik yang tidak dapat dipalsukan. Ini sebuah sertifikat digital, yang dikeluarkan oleh pihak

memastikan bahwa pesan atau dokumen yang ketiga terpercaya yang disebut otoritas sertifikasi-

dikirim pengirim tidak dirusak setelah tanda (CA). Sebuah sertifikat digital digunakan bersama

tangan diterapkan dengan sistem enkripsi kunci publik untuk

mengotentikasi pengirim pesan

kebijakan dan
prosedur untuk
PKI mengelola
kegiatan
 • Pesan Urutan
• Pesan Log Transaksi
Penomoran

• Tujuan Audit Terkait

dengan Ancaman
Subversif

Dapat mencegah dan Akan membuat sia-sia data Cukup untuk menjaga
mendeteksi akses ilegal yang pelaku keberhasilan- integritas dan keamanan
baik akhirnya antar dan sepenuhnya menangkap fisik data terhubung ke
dari Internet jaringan.
 Tinjau kecukupan firewall dalam mencapai keseimbangan
yang tepat antara control dan kenyamanan berdasarkan
tujuan bisnis organisasi dan potensi risiko.

Memverifikasi bahwa sistem pencegahan intrusi (IPS)

dengan pemeriksaan paket dalam (DPI) di tempat untuk
organisasi yang rentan terhadap serangan DDos, seperti
lembaga keuangan.

Tinjau prosedur keamanan yang mengatur

administrasi kunci enkripsi data.
• Prosedur Audit
Berkaitan dengan Verifikasi proses enkripsi dengan mengirimkan pesan uji
Ancaman Subversif dan memeriksa con yang tenda di berbagai titik di
sepanjang saluran antara lokasi pengiriman dan
penerimaan.

Tinjau log transaksi pesan untuk memverifikasi

bahwa semua pesan yang diterima di mereka
urutan yang tepat.

Menguji pengoperasian fitur panggilan-kembali

dengan menempatkan panggilan yang tidak sah
dari out sisi instalasi.
 Mengontrol Risiko dari
Peralatan Kegagalan

• Kesalahan Lini • Tujuan Audit Terkait • Prosedur Audit Berkaitan

dengan Peralatan dengan Peralatan
Kegagalan Kegagalan

Periksa Paritas
Echo. Periksa.
 AUDIT Electronic Data
Interchange (EDI)
 Untuk mengkoordinasikan penjualan dan operasi
produksi dan mempertahankan aliran terganggu
bahan baku, banyak organisasi masuk ke dalam
perjanjian mitra dagang dengan tang dukungan-
mereka dan pelanggan. Perjanjian ini adalah dasar
untuk proses bisnis sepenuhnya otomatis disebut
pertukaran data elektronik (EDI). Definisi umum dari
EDI adalah:
Pertukaran antar informasi bisnis komputer-dapat
diproses dalam format dard-standar.
 Amerika Serikat ->
American National
Standar EDI Standars Institute (ANSI)

Internasional -> EDI untuk

administration, commerce,
and transport (EDIFACT).
Penguncian data
Pengurangan kesalahan
Manfaat EDI Pengurangan kertas
Ongkos kirim
Prosedur otomatis
Pengurangan inventaris

Electroinic Funds Transfer

Keuangan EDI (EFT)
 Mencegah akses tidak sah
ke file data
Transaksi berwenang dan
Kontrol Edi
valid
Memelihara jejak audit
transaksi

Setiap mitra dagang EDI harus

Kontrol Akses mengizinkan tingkat akses ke file
data pribadi yang akan dilarang di
lingkungan tradisional. Perjanjian
mitra dagang akan menentukan
tingkat kontrol akses di tempat.
 Semua transaksi EDI
berwenang,divalidasi, dan sesuai
Tujuan audit terkait dengan perjanjian mitra dagang
dengan EDI
Tidak ada organisasi yang tidak
sah mendaatkan akses ke
catatan database
Mitra dagang resmi hanya
memiliki akses ke data yang
disetujui

Kontrol yang memadai untuk

memastikan jejak audit lengkap
dari semua transaksi EDI

PC Sistem Risiko Pemisahan tidak memadai tugas

dan Kontrol
Multilevel sandi kontrol

Risiko infeksi virus