SISTEM OPERASI AUDIT

SISTEM OPERASI AUDIT

·         Sistem Operasi adalah program pengendalian komputer yang memungkinkan pengguna dan aplikasi untuk berbagi dan mengakses sumber daya yang umum komputer, seperti prosesor, memori utama, database, dan printer.

Tujuan Sistem Operasi

·         Sistem operasi melakukan tiga tugas utama, yaitu:

1.      Menerjemahkan bahasa tingkat tinggi, seperti COBOL, C++, BASIC, dan SQL, ke dalam bahasa tingkat mesin yang dapat dieksekusi oleh komputer. Modul penerjemah bahasa dalam sistem operasi disebut compilers dan interpreters.

2.      Mengalokasikan sumber daya kepada pengguna, kelompok kerja (workgroups), dan aplikasi.

3.      Mengelola tugas pengelolaan kerja (job scheduling) dan multiprograming.

·         Untuk melakukan tugas-tugas tersebut, sistem operasi harus mencapai lima tujuan penegnedalian fundamental:

1.      Sistem operasi harus melindungi dirinya sendiri dari pengguna.

2.      Sistem operasi harus melindungi pengguna dari pengguna lainnya.

3.      Sistem operasi harus melindungi pengguna dari pengguna itu sendiri.

4.      Sistem operasi harus dilindungi dari sistem operasi itu sendiri.

5.      Sistem operasi harus dilindungi dari lingkungannya sendiri.

Keamanan Sistem Operasi

·         Keamanan sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang menentukan siapa yang dapat mengakses sistem operasi, di mana sumber daya (files, program, printers) dapat mereka gunakan, dan tindakan apa yang dapat mereka lakukan.

·         Komponen keamanan sistem operasi yang ditemukan dalam sistem operasi yang aman, adalah prosedur log-on, access Token, Access Control List,  dan Discretionary Access Privileges.

Ancaman terhadap Sistem Operasi

·         Ancaman terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:

1.      Pegawai berwenang yang menyalahgunakan wewenangnya.

2.      Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem operasi untuk mengidentifikasi dan mengeksploitasi celah-celah keamanannya.

3.      Individual yang secara sengaja maupun tidak sengaja memasukkan virus komputer atau program destruktif bentuk lainnya ke dalam sistem operasi.

Pengendalian Sistem Operasi dan Pengujian Audit

Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan pengujian terkait yang dapat dilakukan oleh auditor, adalah sebagai berikut.

1.        Mengendalikan hak akses.

·         Tujuan audit yang berkaitan dengan hak akses.

Tujuan auditor adalah untuk memastikan bahwa hak akses yang diberikan dengan cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan sesuai dengan kebijakan organisasi.

·         Prossedur audit yang berkaitan dengan hak akses.

a)         Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan memastikan bahwa mereka mempromosikan keamanan yang wajar.

b)        Meninjau hak istimewa dari pilihan kelompok pengguna dan individu untuk menentukan apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan posisi mereka.

c)         Meninjau catatan personil untuk menentukan apakah karyawan yang diberi kewenangan menjalani pemeriksaan izin keamanan  secara intensif sesuai dengan kebijakan perusahaan.

d)        Meninjau catatan karyawan untuk menentukan apakah pengguna telah secara formal mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.

e)         Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus sepadan dengan
tugas yang dilakukan.

2.        Pengendalian Password

·         Password adalah kode rahasia yang dimasukkan oleh user untuk dapat mengakses sistem, aplikasi, file data, atau server jaringan.

·         Jenis password ada dua, yaitu: reusable passwords dan one-time passwords.

·         Tujuan auditor terkait password adalah untuk memastikan bahwa organisasi memiliki kebijakan password memadai dan efektif untuk mengendalikan akses terhadap sistem operasi.

·         Prosedur audit terkait password antara lain.

a)         Memverifikasi bahwa semua pengguna diharuskan untuk memiliki password.

b)        Memverifikasi bahwa pengguna baru diinstruksikan dalam penggunaan password dan pentingnya pengendalian password.

c)         Meninjau prosedur pengendalian password untuk memastikan bahwa password diubah secara teratur.

d)        Meninjau file password untuk menentukan bahwa password yang lemah diidentifikasi dan tidak diijinkan.

e)         Memverifikasi bahwa file password dienkripsi dan bahwa kunci enkripsi telah diamankan dengan baik.

f)         Menilai kecukupan standar password seperti panjangnya password dan jangka waktu kadaluwarsa password.

g)        Meninjau kebijakan dan prosedur penguncian (lockout).

3.        Pengendalian terhadap program yang berbahaya dan destruktif

·      Tujuan audit terkait virus dan program destruktif lainnya adalah untuk memverifikasi kebijakan dan prosedur manajemen yang efektif telah ditempatkan untuk mencegah pemasukan dan penyebaran program-program destruktif, seperti virus, worms, back doors¸ logic bombs, dan Trojan Horse.

·      Prosedur audit terkait dengan virus dan program destruktif lainnya, antara lain.

a)         Melalui interview, menentukan bahwa karyawan operasional telah dididik mengenai virus komputer dan sadar akan risiko penggunaan komputer yang dapat memasukkan dan menyebarkan virus dan program berbahaya lainnya.

b)        Memverifikasi bahwa software baru telah diuji pada workstation mandiri sebelum diimplementasikan pada host atau jaringan server.

c)         Memverifikasi bahwa versi terkini software antivirus telah diinstal pada server dan upgrade-nya diunduh secara teratur pada workstation.

4.        System Audit Trail Controls

·         System audit trails adalah log yang merekam aktivitas di sistem, aplikasi, dan tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit yang akan dicatat dalam log.

·         Audit trails umumnya terdiri dari dua tipe log audit, yaitu

a)      Keystroke Monitoring, mencakup perekaman keystroke pengguna dan respon sistem.

b)      Event Monitoring, merangkum kegiatan kunci yang terkait dengan sumber daya sistem

·      Audit Trails dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara:

a)      Mendeteksi akses yang tidak diotorisasi ke dalam sistem

b)      Memfasilitasi rekonstruksi kejadian

c)      Mendorong akuntabilitas personal.

·      Tujuan audit terkait dengan System Audit Trails adalah untuk menjamin bahwa system audit trail telah mencukupi untuk mencegah dan mendeteksi pelanggaran, merekonstruksi kejadian kunci yang mengawali kegagalan sistem, dan merencanakan alokasi sumber daya.

·      Prosedur audit terkait System Audit Trails, yaitu:

a)      Memverifikasi audit trail telah diaktivasi berdasarkan kebijakan organisasi.

b)      Banyak sistem operasi menyediakan penampil log audit yang memungkinkan auditor untuk memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau pada layar atau dengan pengarsipan file untuk diperiksa berikutnya.

c)      Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau dan melaporkan pelanggaran keamanan. Auditor harus memilih sampel kasus pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai efektivitas dari kelompok keamanan.

JARINGAN AUDIT

Risiko Intranet

·         Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari ribuan node individu. Intranet digunakan untuk menghubungkan karyawan dalam suatu bangunan tunggal, antar bangunan dalam kampus fisik yang sama, dan antar lokasi yang tersebar secara geografis. Umumnya, aktivitas intranet meliputi routing e-mail, pemrosesan transaksi antar unit bisnis, dan menghubungkan dengan internet luar.

·         Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap database perusahaan, dan karyawan-karyawan dengan hak istimewa.

Risiko Internet

·         IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses tidak sah ke server Web dan/atau untuk mengabadikan perbuatan melawan hukum tanpa mengungkapkan identitas seseorang.

·         Denial of Service Attack (Dos), yaitu serangan terhadap server web untuk mencegah melayani pengguna yang sah. Jenis-jenis Dos antara lain SYN flood, smurf, dan distributed denial of service (DDos).

·         Risiko dari kegagalan peralatan, seperti jaringan komunikasi (kabel coaxial, microwaves, dan serat optik), komponen perangkat keras (modem, multiplexers, server, dan prosesor front-end), dan software.

Mengendalikan Resiko dari Ancaman Subversif

1.        Firewalls

·           Firewalls merupakan sebuah sistem yang memberlakukan kontrol akses antara dua jaringan. Hanya lalu lintas yang berwenang antara organisasi dan luar organisasi yang diperbolehkan untuk melewati firewall.

·           Jenis-jenis firewall:

a)        Network-level Firewall, menyaring router yang memeriksa alamat sumber dan tujuan.

b)        Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.

2.        Mengendalikan DOS Attacks.

·           Smurf Attacks

Organisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika terdeteksi.

·           SYN Flood Attacks

a)        Menggunakan firewall pada host internet yang dapat memblokir alamat IP yang tidak valid.

b)        Menggunakan software pengaman yang dapat memindai koneksi yang setengah terbuka.

·           Ddos Attacks

Banyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan inspeksi paket mendalam (deep packet inspection – DPI)

3.        Enkripsi

·           Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi. Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki panjang 56 hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode enkripsinya.

·           Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key.

a)             Private key encryption

Ø  Standar enkripsi lanjutan (Advance Encryption Standard – AES), menggunakan kunci tunggal yang diketahui oleh pengirim dan penerima pesan.

Ø  Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua bentuk enkripsi triple-DES adalah EEE3 dan
EDE3.

b)             Public Key Encription

Ø   Menggunakan dua kunci yang berbeda, satu untuk encoding pesan, dan yang lainnya untuk decoding pesan.

Ø   Masing-masing penerima memiliki private key yang disimpan secara rahasia dan public key yang di-published.

4.        Tanda Tangan Digital

·         Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa pesan yang ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak dirusak setelah tanda tangan dimasukkan.

5.        Sertifikat digital

·         Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan.

6.        Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.

7.        Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi adanya upaya hacker.

8.        Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan respon dari penerima yang dikirimkan dalam interval periodik dan tersinkronisasi.

9.        Call-back devices, merupakan suatu alat di mana penerima memanggil kembali pengirim pada nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi diselesaikan.

Tujuan Audit terkait Pengendalian dari Ancaman Subversif

·         Tujuan audit terkait pengendalian dari ancaman subversif adalah untuk memverifikasi keamanan dan keutuhan transaksi keuangan dengan menentukan bahwa pengendalian jaringan

a)      dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan atau dari internet,

b)      akan menjadikan data tidak berguna dan pelaku berhasil ditangkap,

c)      cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung ke jaringan.

Prosedur Audit terkait Pengendalian dari Ancaman Subversif

·         Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan

ü  Fleksibilitas, firewall harus cukup fleksibel untuk mengakomodasi layanan baru.

ü  Layanan Proxy, aplikasi proxy yang memadai harus pada tempatnya untuk menyediakan otentikasi pengguna secara eksplisit terhadap layanan, aplikasi, dan data yang sensitif.

ü  Filtering, firewall harus membedakan layanan mana yang diizinkan untuk diakses oleh pengguna, mana yang tidak.

ü  Perangkat Audit, firewall harus menyediakan keseluruhan kumpulan audit dan me-log perangkat yang mengidentifikasi dan mencatat aktivitas mencurigakan.

ü  Pemeriksaan Kelemahan, memeriksa kelemahan firewall secara periodik yang dapat ditemukan oleh hacker.

·         Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system – IPS) terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti institusi keuangan.

·         Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data.

·         Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa konten pada berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan.

·         Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam urutan yang sesuai.

·         Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak terotorisasi dari luar instalasi.

Mengendalikan Risiko Kegagalan Peralatan

·         Permasalahan yang umum terjadi dalam komunikasi data adalah hilangnya data yang disebabkan oleh kesalahan jaringan.

·         Pengendalian dalam kegagalan peralatan ini adalah:

a)         Echo Check, penerima pesan mengembalikan pesan kepada pengirim

b)        Parity Check, menambahkan bit tambahan (bit paritas) ke dalam struktur suatu string bit ketika dibuat atau ditransmisikan.

·         Tujuan audit terkait pengendalian risiko kegagalan peralatan adalah untuk memverifikasi keutuhan transaksi dengan menentukan bahwa pengendalian telah dilakukan untuk mendeteksi dan mengkoreksi pesan yang hilang akibat kegagalan peralatan.

·         Prosedur audit:

a)         Memilih sampel pesan dari log transaksi dan mengujinya untuk konten yang kacau yang disebabkan oleh gangguan jalur.

b)        Memverifikasi bahwa semua pesan yang korup telah ditransmisikan ulang dengan sukses

Pengendalian dan Risiko Sistem Komputer

·         Kelemahan Sistem Operasi

ü  Minimalnya keamanan untuk file dan program data

ü  Data yang tersimpan dalam mikro komputer yang dibagikan oleh banyak pengguna terekspos ke akses yang tidak terotorisasi, manipulasi, dan perusakan.

·         Kontrol akses yang lemah

ü  Prosedur log-on biasanya aktif hanya ketika komputer booting dari hard drive, bagaimana jika booting dari CD-ROM?

·         Pemisahan tugas yang tidak memadai

ü  Komputer digunakan bersama oleh end user

ü  Operator juga bertindak sebagai developer

·         Risiko pencurian

ü  PC dan Laptop mudah dicuri

ü  Kebijakan untuk mengelola data yang senstif

·         Prosedur backup yang lemah

ü  Kegagalan disk, merupakan penyebab utama dari kehilangan data dalam lingkungan PC

ü  End user harus mem-backupPC mereka sendiri, namun kebanyakan mereka tidak berpengalaman.

·         Risiko infeksi virus

ü  Memastikan bahwa software antivirus dipasang pada PC dan tetap terbaharui.

·         Pengendalian password multilevel

ü  Ketika komputer digunakan bersama oleh karyawan, masing-masing karyawan diharuskan memasukkan password untuk mengakses aplikasi dan data mereka.

Tujuan Audit terkait Kontrol dan Risiko Sistem Komputer

·         Memverifikasi bahwa pengendalian telah dilakukan untuk melindungi data, program, dan komputer dari akses yang tidak terotorisasi, manipulasi, perusakan, dan pencurian.

·         Memverifikasi bahwa pengawasan dan prosedur operasi yang memadai telah ada untuk mengimbangi kurangnya pemisahan tugas antara pengguna, programmer, dan operator.

·         Memverifikasi bahwa prosedur backup telah dilakukan untuk mencegah hilangnya data dan program akibat kegagalan sistem, error, dan sebagainya,

·         Memverifikasi bahwa prosedur pemilihan dan akuisisi sistem memproduksi aplikasi yang berkualitas tinggi, dan terlindungi dari perubahan yang tidak terotorisasi.

·         Memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi untuk meminimalkan risiko infeksi dari virus atau sejenisnya.

Prosedur Audit terkait Kontrol dan Risiko Program Komputer

·         Mengamati PC yang ada secara fisik untuk mengurangi kesempatan pencurian.

·         Memverifikasibagan organisasi, uraian tugas, dan pengamatan bahwa programmer sistem akuntansi tidak mengoperasikan sistem itu juga.

·         Menentukan bahwa pengendalian password multilevel digunakan untuk membatasi akses terhadap data dan aplikasi serta bahwa otoritas akses yang diberikan konsisten dengan uraian tugas karyawan.

·         Apabila removable atau external hard drive digunakan, auditor harus memverifikasi bahwa drive telah dilepas dan disimpan dalam lokasi yang aman ketika tidak digunakan.

·         Memilih sampel PC dan memverifikasi bahwa paket software komersial dibeli dari vendor yang terpercaya dan resmi.

·         Meninjau kebijakan organisasi mengenai penggunaan software antivirus.