SISTEM
OPERASI AUDIT
·
Sistem
Operasi adalah program pengendalian komputer yang memungkinkan pengguna dan
aplikasi untuk berbagi dan mengakses sumber daya yang umum komputer, seperti
prosesor, memori utama, database, dan
printer.
Tujuan Sistem Operasi
·
Sistem
operasi melakukan tiga tugas utama, yaitu:
1.
Menerjemahkan
bahasa tingkat tinggi, seperti COBOL, C++, BASIC, dan SQL, ke dalam bahasa
tingkat mesin yang dapat dieksekusi oleh komputer. Modul penerjemah bahasa
dalam sistem operasi disebut compilers dan
interpreters.
2.
Mengalokasikan
sumber daya kepada pengguna, kelompok kerja (workgroups), dan aplikasi.
3.
Mengelola
tugas pengelolaan kerja (job scheduling)
dan multiprograming.
·
Untuk
melakukan tugas-tugas tersebut, sistem operasi harus mencapai lima tujuan
penegnedalian fundamental:
1.
Sistem
operasi harus melindungi dirinya sendiri dari pengguna.
2.
Sistem
operasi harus melindungi pengguna dari pengguna lainnya.
3.
Sistem
operasi harus melindungi pengguna dari pengguna itu sendiri.
4.
Sistem
operasi harus dilindungi dari sistem operasi itu sendiri.
5.
Sistem
operasi harus dilindungi dari lingkungannya sendiri.
Keamanan Sistem Operasi
·
Keamanan
sistem operasi mencakup kebijakan, prosedur, dan pengendalian yang menentukan
siapa yang dapat mengakses sistem operasi, di mana sumber daya (files, program, printers) dapat mereka gunakan, dan tindakan apa yang dapat mereka
lakukan.
·
Komponen
keamanan sistem operasi yang ditemukan dalam sistem operasi yang aman, adalah
prosedur log-on, access Token, Access Control List, dan Discretionary
Access Privileges.
Ancaman terhadap Sistem Operasi
·
Ancaman
terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:
1.
Pegawai
berwenang yang menyalahgunakan wewenangnya.
2.
Individu,
baik internal maupun eksternal organisasi, yang menelusuri sistem operasi untuk
mengidentifikasi dan mengeksploitasi celah-celah keamanannya.
3.
Individual
yang secara sengaja maupun tidak sengaja memasukkan virus komputer atau program
destruktif bentuk lainnya ke dalam sistem operasi.
Pengendalian Sistem Operasi dan Pengujian Audit
Berbagai teknik kontrol untuk menjaga integritas sistem
operasi dan pengujian terkait yang dapat dilakukan oleh auditor, adalah sebagai
berikut.
1.
Mengendalikan
hak akses.
·
Tujuan
audit yang berkaitan dengan hak akses.
Tujuan auditor adalah untuk memastikan bahwa hak akses
yang diberikan dengan cara yang konsisten dengan kebutuhan untuk memisahkan
fungsi yang tidak kompatibel dan sesuai dengan kebijakan organisasi.
·
Prossedur
audit yang berkaitan dengan hak akses.
a)
Meninjau
kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan memastikan
bahwa mereka mempromosikan keamanan yang wajar.
b)
Meninjau
hak istimewa dari pilihan kelompok pengguna dan individu untuk menentukan
apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan posisi mereka.
c)
Meninjau
catatan personil untuk menentukan apakah karyawan yang diberi kewenangan
menjalani pemeriksaan izin keamanan
secara intensif sesuai dengan kebijakan perusahaan.
d)
Meninjau
catatan karyawan untuk menentukan apakah pengguna telah secara formal mengakui
tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.
e)
Meninjau
berapa kali log-on pengguna yang
diizinkan. Izin harus sepadan dengan
tugas yang dilakukan.
tugas yang dilakukan.
2.
Pengendalian
Password
·
Password
adalah kode rahasia yang dimasukkan oleh user
untuk dapat mengakses sistem, aplikasi, file
data, atau server jaringan.
·
Jenis
password ada dua, yaitu: reusable
passwords dan one-time passwords.
·
Tujuan
auditor terkait password adalah untuk
memastikan bahwa organisasi memiliki kebijakan password memadai dan efektif untuk mengendalikan akses terhadap
sistem operasi.
·
Prosedur
audit terkait password antara lain.
a)
Memverifikasi
bahwa semua pengguna diharuskan untuk memiliki password.
b)
Memverifikasi
bahwa pengguna baru diinstruksikan dalam penggunaan password dan pentingnya
pengendalian password.
c)
Meninjau
prosedur pengendalian password untuk memastikan bahwa password diubah secara
teratur.
d)
Meninjau
file password untuk menentukan bahwa
password yang lemah diidentifikasi dan tidak diijinkan.
e)
Memverifikasi
bahwa file password dienkripsi dan bahwa kunci enkripsi telah diamankan dengan
baik.
f)
Menilai
kecukupan standar password seperti panjangnya password dan jangka waktu
kadaluwarsa password.
g)
Meninjau
kebijakan dan prosedur penguncian (lockout).
3.
Pengendalian
terhadap program yang berbahaya dan destruktif
·
Tujuan
audit terkait virus dan program destruktif lainnya adalah untuk memverifikasi
kebijakan dan prosedur manajemen yang efektif telah ditempatkan untuk mencegah
pemasukan dan penyebaran program-program destruktif, seperti virus, worms, back doors¸ logic bombs,
dan Trojan Horse.
·
Prosedur
audit terkait dengan virus dan program destruktif lainnya, antara lain.
a)
Melalui
interview, menentukan bahwa karyawan operasional telah dididik mengenai virus
komputer dan sadar akan risiko penggunaan komputer yang dapat memasukkan dan
menyebarkan virus dan program berbahaya lainnya.
b)
Memverifikasi
bahwa software baru telah diuji pada workstation mandiri sebelum
diimplementasikan pada host atau
jaringan server.
c)
Memverifikasi
bahwa versi terkini software antivirus
telah diinstal pada server dan upgrade-nya
diunduh secara teratur pada workstation.
4.
System Audit Trail Controls
·
System audit trails adalah log yang merekam aktivitas di sistem, aplikasi,
dan tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih
tingkat audit yang akan dicatat dalam log.
·
Audit trails umumnya terdiri dari dua tipe log audit, yaitu
a)
Keystroke Monitoring, mencakup perekaman keystroke
pengguna dan respon sistem.
b)
Event Monitoring, merangkum kegiatan kunci yang terkait dengan sumber daya
sistem
·
Audit Trails dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara:
a)
Mendeteksi
akses yang tidak diotorisasi ke dalam sistem
b)
Memfasilitasi
rekonstruksi kejadian
c)
Mendorong
akuntabilitas personal.
·
Tujuan
audit terkait dengan System Audit Trails
adalah untuk menjamin bahwa system audit
trail telah mencukupi untuk mencegah dan mendeteksi pelanggaran,
merekonstruksi kejadian kunci yang mengawali kegagalan sistem, dan merencanakan
alokasi sumber daya.
·
Prosedur
audit terkait System Audit Trails,
yaitu:
a)
Memverifikasi
audit trail telah diaktivasi berdasarkan kebijakan organisasi.
b)
Banyak
sistem operasi menyediakan penampil log audit yang memungkinkan auditor untuk
memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau pada layar
atau dengan pengarsipan file untuk diperiksa berikutnya.
c)
Kelompok
keamanan organisasi memiliki tanggung jawab untuk memantau dan melaporkan
pelanggaran keamanan. Auditor harus memilih sampel kasus pelanggaran keamanan
dan mengevaluasi disposisi mereka untuk menilai efektivitas dari kelompok
keamanan.
JARINGAN
AUDIT
Risiko Intranet
·
Intranet
terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari ribuan node individu. Intranet digunakan untuk
menghubungkan karyawan dalam suatu bangunan tunggal, antar bangunan dalam kampus
fisik yang sama, dan antar lokasi yang tersebar secara geografis. Umumnya,
aktivitas intranet meliputi routing
e-mail, pemrosesan transaksi antar unit bisnis, dan menghubungkan dengan
internet luar.
·
Risiko
intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap database
perusahaan, dan karyawan-karyawan dengan hak istimewa.
Risiko Internet
·
IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses tidak sah ke server Web
dan/atau untuk mengabadikan perbuatan melawan hukum tanpa mengungkapkan
identitas seseorang.
·
Denial of Service Attack (Dos), yaitu serangan terhadap server web untuk mencegah
melayani pengguna yang sah. Jenis-jenis Dos
antara lain SYN flood, smurf, dan distributed denial of service (DDos).
·
Risiko
dari kegagalan peralatan, seperti jaringan komunikasi (kabel coaxial, microwaves, dan serat optik), komponen perangkat keras (modem,
multiplexers, server, dan prosesor front-end),
dan software.
Mengendalikan Resiko dari Ancaman Subversif
1.
Firewalls
·
Firewalls merupakan
sebuah sistem yang memberlakukan kontrol akses antara dua jaringan. Hanya lalu
lintas yang berwenang antara organisasi dan luar organisasi yang diperbolehkan
untuk melewati firewall.
·
Jenis-jenis
firewall:
a)
Network-level Firewall, menyaring router yang memeriksa alamat sumber dan
tujuan.
b)
Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.
2.
Mengendalikan
DOS Attacks.
·
Smurf Attacks
Organisasi
dapat memprogram firewall untuk
mengabaikan situs penyerang ketika terdeteksi.
·
SYN Flood Attacks
a)
Menggunakan
firewall pada host internet yang dapat memblokir alamat IP yang tidak valid.
b)
Menggunakan
software pengaman yang dapat memindai
koneksi yang setengah terbuka.
·
Ddos Attacks
Banyak
organisasi menggunakan Intrusion
Prevention Systems (IPS) yang melakukan inspeksi paket mendalam (deep packet inspection – DPI)
3.
Enkripsi
·
Enkripsi
adalah konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi.
Algoritma enkripsi menggunakan kunci (keys),
yang umumnya memiliki panjang 56 hingga 128 bit. Semakin banyak bit dalam
kunci, semakin kuat metode enkripsinya.
·
Pendekatan
umum dalam enkripsi adalah enkripsi private
key dan public key.
a)
Private key encryption
Ø
Standar
enkripsi lanjutan (Advance Encryption
Standard – AES), menggunakan kunci tunggal yang diketahui oleh pengirim dan
penerima pesan.
Ø
Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua bentuk enkripsi triple-DES adalah EEE3 dan
EDE3.
EDE3.
b)
Public Key Encription
Ø
Menggunakan
dua kunci yang berbeda, satu untuk encoding
pesan, dan yang lainnya untuk decoding
pesan.
Ø
Masing-masing
penerima memiliki private key yang
disimpan secara rahasia dan public key
yang di-published.
4.
Tanda
Tangan Digital
·
Tanda
tangan digital merupakan teknik otentikasi untuk memastikan bahwa pesan yang
ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak dirusak
setelah tanda tangan dimasukkan.
5.
Sertifikat
digital
·
Sertifikat
digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi public key. Berfungsi untuk
memverifikasi kewenangan pengirim pesan.
6.
Penomoran
urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.
7.
Log
transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi
adanya upaya hacker.
8.
Teknik
request-response, merupakan suatu
pengendalian pesan dari pengirim dan respon dari penerima yang dikirimkan dalam
interval periodik dan tersinkronisasi.
9.
Call-back devices, merupakan suatu alat di mana penerima memanggil kembali
pengirim pada nomor telepon yang telah diotorisasi sebelumnya, sebelum
transmisi diselesaikan.
Tujuan Audit terkait Pengendalian dari Ancaman Subversif
·
Tujuan
audit terkait pengendalian dari ancaman subversif adalah untuk memverifikasi
keamanan dan keutuhan transaksi keuangan dengan menentukan bahwa pengendalian
jaringan
a) dapat mencegah dan mendeteksi akses ilegal dari internal
perusahaan atau dari internet,
b) akan menjadikan data tidak berguna dan pelaku berhasil
ditangkap,
c) cukup untuk menjaga keutuhan dan keamanan fisik dari data
yang terhubung ke jaringan.
Prosedur Audit terkait Pengendalian dari Ancaman
Subversif
·
Meninjau
kecukupan firewall dalam
menyeimbangkan kontrol dan kenyamanan
ü Fleksibilitas, firewall harus
cukup fleksibel untuk mengakomodasi layanan baru.
ü Layanan
Proxy, aplikasi proxy yang
memadai harus pada tempatnya untuk menyediakan otentikasi pengguna secara
eksplisit terhadap layanan, aplikasi, dan data yang sensitif.
ü Filtering, firewall harus membedakan
layanan mana yang diizinkan untuk diakses oleh pengguna, mana yang tidak.
ü Perangkat
Audit, firewall harus menyediakan keseluruhan
kumpulan audit dan me-log perangkat
yang mengidentifikasi dan mencatat aktivitas mencurigakan.
ü Pemeriksaan
Kelemahan, memeriksa
kelemahan firewall secara periodik
yang dapat ditemukan oleh hacker.
·
Memverifikasi
bahwa sistem pencegahan intrusi (intrusion
prevention system – IPS) terdapat pada organisasi yang rentan terhadap
serangan Ddos, seperti institusi keuangan.
·
Meninjau
prosedur keamanan yang mengelola administrasi kunci enkripsi data.
·
Memverifikasi
proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa konten pada
berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan.
·
Meninjau
log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam urutan
yang sesuai.
·
Menguji
operasi fitur call-back dengan
menempatkan panggilan yang tidak terotorisasi dari luar instalasi.
Mengendalikan Risiko Kegagalan Peralatan
·
Permasalahan
yang umum terjadi dalam komunikasi data adalah hilangnya data yang disebabkan
oleh kesalahan jaringan.
·
Pengendalian
dalam kegagalan peralatan ini adalah:
a)
Echo
Check, penerima pesan
mengembalikan pesan kepada pengirim
b)
Parity
Check, menambahkan
bit tambahan (bit paritas) ke dalam struktur suatu string bit ketika dibuat atau ditransmisikan.
·
Tujuan
audit terkait pengendalian risiko kegagalan peralatan adalah untuk
memverifikasi keutuhan transaksi dengan menentukan bahwa pengendalian telah
dilakukan untuk mendeteksi dan mengkoreksi pesan yang hilang akibat kegagalan
peralatan.
·
Prosedur
audit:
a)
Memilih
sampel pesan dari log transaksi dan mengujinya untuk konten yang kacau yang
disebabkan oleh gangguan jalur.
b)
Memverifikasi
bahwa semua pesan yang korup telah ditransmisikan ulang dengan sukses
Pengendalian dan Risiko Sistem Komputer
·
Kelemahan
Sistem Operasi
ü Minimalnya keamanan untuk file dan program data
ü Data yang tersimpan dalam mikro komputer yang dibagikan
oleh banyak pengguna terekspos ke akses yang tidak terotorisasi, manipulasi,
dan perusakan.
·
Kontrol
akses yang lemah
ü Prosedur log-on
biasanya aktif hanya ketika komputer booting
dari hard drive, bagaimana jika booting dari CD-ROM?
·
Pemisahan
tugas yang tidak memadai
ü Komputer digunakan bersama oleh end user
ü Operator juga bertindak sebagai developer
·
Risiko
pencurian
ü PC dan Laptop mudah dicuri
ü Kebijakan untuk mengelola data yang senstif
·
Prosedur
backup yang lemah
ü Kegagalan disk, merupakan penyebab utama dari kehilangan
data dalam lingkungan PC
ü End
user harus mem-backupPC mereka sendiri, namun
kebanyakan mereka tidak berpengalaman.
·
Risiko
infeksi virus
ü Memastikan bahwa software antivirus dipasang pada PC dan
tetap terbaharui.
·
Pengendalian
password multilevel
ü Ketika komputer digunakan bersama oleh karyawan,
masing-masing karyawan diharuskan memasukkan password untuk mengakses aplikasi
dan data mereka.
Tujuan Audit terkait Kontrol dan Risiko Sistem Komputer
·
Memverifikasi
bahwa pengendalian telah dilakukan untuk melindungi data, program, dan komputer
dari akses yang tidak terotorisasi, manipulasi, perusakan, dan pencurian.
·
Memverifikasi
bahwa pengawasan dan prosedur operasi yang memadai telah ada untuk mengimbangi
kurangnya pemisahan tugas antara pengguna, programmer,
dan operator.
·
Memverifikasi
bahwa prosedur backup telah dilakukan
untuk mencegah hilangnya data dan program akibat kegagalan sistem, error, dan
sebagainya,
·
Memverifikasi
bahwa prosedur pemilihan dan akuisisi sistem memproduksi aplikasi yang
berkualitas tinggi, dan terlindungi dari perubahan yang tidak terotorisasi.
·
Memverifikasi
bahwa sistem bebas dari virus dan cukup terlindungi untuk meminimalkan risiko
infeksi dari virus atau sejenisnya.
Prosedur Audit terkait Kontrol dan Risiko Program
Komputer
·
Mengamati
PC yang ada secara fisik untuk mengurangi kesempatan pencurian.
·
Memverifikasibagan
organisasi, uraian tugas, dan pengamatan bahwa programmer sistem akuntansi
tidak mengoperasikan sistem itu juga.
·
Menentukan
bahwa pengendalian password multilevel digunakan untuk membatasi akses terhadap
data dan aplikasi serta bahwa otoritas akses yang diberikan konsisten dengan
uraian tugas karyawan.
·
Apabila
removable atau external hard drive digunakan, auditor harus memverifikasi bahwa drive telah dilepas dan disimpan dalam
lokasi yang aman ketika tidak digunakan.
·
Memilih
sampel PC dan memverifikasi bahwa paket software
komersial dibeli dari vendor yang terpercaya dan resmi.
·
Meninjau
kebijakan organisasi mengenai penggunaan software antivirus.
Komentar
Posting Komentar