SECURITY PART 1 : Auditing Operating

Systems and Network

Tugas Audit Sistem Informasi

Disusun Oleh:Evelyn Natalia 127132015 Sandy 127132002Stefanus 127132001

Program Magister AkuntansiUniversitas Tarumanagara

Jakarta2015

1 | P a g e

Tujuan Pembelajaran :

Setelah mempelajari bab ini, Anda harus :

- Mampu mengidentifikasi ancaman utama untuk sistem operasi dan teknik kontrol yang digunakan untuk meminimalkan kemungkinan eksposur yang sebenarnya.

- familiar dengan risiko utama yang terkait dengan perdagangan yang dilakukan melalui intranet dan internet dan memahami teknik kontrol yang digunakan untuk mengurangi risiko ini

- familiar dengan risiko yang terkait dengan sistem komputasi personal

- Mengenali eksposur unik yang timbul sehubungan dengan pertukaran data elektronik (EDI) dan memahami bagaimana paparan tersebut dapat dikurangi.

Audit System OperasiSistem operasi adalah program control komputer. Yang mengendalikan pengguna dan aplikasinya dalam berbagi dan mengakses sumber daya komputer, umumnya seperti prosesor, memori utama, database, dan printer. Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individu juga dapat dihindari atau dinetralkan. Karena sistem operasi biasa terjadi pada semua pengguna, semakin besar fasilitas komputer, semakin besar skala kerusakan potensial. Dengan demikian, dengan berbagi lebih banyak dan lebih banyak sumber daya komputer komunitas pengguna terus berkembang, sistem operasi keamanan menjadi isu pengendalian internal terpenting.

a. Tujuan Sistem Operasi• Sistem operasi melaksanakan tiga tugas utama.

– Pertama, menerjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC, dan SQL, ke dalam tingkat bahasa mesin dimana komputer dapat mengeksekusi. Modul penerjemah bahasa dari sistem operasi disebut compiler dan interpreter.

– Kedua, sistem operasi mengalokasikan sumber daya komputer untuk pengguna, kelompok kerja, dan aplikasi. Ini termasuk menugaskan ruang kerja memori (partisi) untuk aplikasi dan otorisasi akses ke terminal, link telekomunikasi, database, dan printer.

– Ketiga, sistem operasi mengelola tugas-tugas penjadwalan kerja dan multiprogramming. Pada setiap titik, banyak aplikasi pengguna (pekerjaan) sedang mencari akses ke sumber daya komputer di bawah kendali sistem operasi. Pekerjaan yang diserahkan kepada sistem dalam tiga cara: (1) langsung oleh operator sistem, (2) dari berbagai antrian batch-job, dan (3) melalui link telekomunikasi dari workstation remote. Untuk mencapai penggunaan yang efisien dan efektif dari sumber daya yang terbatas komputer, sistem operasi harus menjadwalkan pengolahan pekerjaan sesuai dengan prioritas yang ditetapkan dan menyeimbangkan penggunaan sumber daya di antara aplikasi yang bersaing.

2 | P a g e

• 5 Syarat kendali fundamental OS:– Sistem operasi harus melindungi diri dari pengguna. Pengguna aplikasi tidak

harus mendapatkan control atas, system operasi dengan cara apapun, sehingga menyebabkan OS untuk berhenti bekerja atau atau kerusakan data (destroy data).

– Sistem operasi harus melindungi pengguna dari satu sama lain. Salah satu pengguna tidak harus dapat mengakses, merusak data atau program yang korup dari pengguna lain.

– Sistem operasi harus melindungi pengguna terhadap dirinya sendiri. Sebuah aplikasi pengguna dapat terdiri dari beberapa modul yang tersimpan di lokasi memori yang terpisah, masing-masing dengan data sendiri. Satu modul seharusnya tidak diperbolehkan untuk menghancurkan atau merusak modul lain.

– Sistem operasi harus terlindung dari dirinya sendiri. Sistem operasi ini juga terdiri dari modul individu. Tidak ada modul yang seharusnya diizinkan untuk menghancurkan atau merusak modul lain.

– Sistem operasi harus terlindung dari lingkungannya. Dalam hal terjadi kegagalan kekuasaan atau bencana lainnya, sistem operasi harus dapat mencapai pemutusan hubungan yang dikendalikan dari kegiatan yang nanti bisa pulih (recover).

b. Keamanan System OperasiSistem keamanan operasi berupa kebijakan, prosedur, dan kontrol yang menentukan siapa yang dapat mengakses sistem operasi, resources (file, program, printer) yang dapat mereka gunakan, dan tindakan apa yang dapat dilakukan. Komponen keamanan berikut ditemukan dalam sistem operasi yang aman:

Prosedur log-on (log-on procedure)Sebuah prosedur log-on formal baris pertama sistem operasi pertahanan terhadap akses yang tidak sah. Ketika pengguna memulai proses, ia disajikan dengan kotak dialog yang meminta ID dan password pengguna. Sistem ini membandingkan ID dan password untuk database pengguna yang valid. Jika sistem menemukan kecocokan, maka log on dikonfirmasi. Namun, jika password atau ID yang dimasukkan salah. Log on gagal dan pesan dikembalikan ke pengguna. Pesan tidak harus mengungkapkan apakah password atau ID yang menyebabkan kegagalan. Sistem tersebut harus memungkinkan menginformasikan pengguna untuk masuk kembali log on. Setelah sejumlah upaya tertentu (biasanya tidak lebih dari lima), sistem harus mengunci keluar pengguna dari sistem.

Akses token (access token)Jika upaya log-on ini berhasil, sistem operasi menciptakan akses token yang berisi informasi penting tentang pengguna, termasuk pengguna ID, password, kelompok pengguna, dan hak istimewa yang diberikan kepada pengguna. Informasi dalam akses token yang digunakan untuk menyetujui semua tindakan upaya pengguna selama sesi.

3 | P a g e

Daftar kontrol akses (access control list)Daftar kontrol akses ditugaskan untuk setiap sumber daya TI (direktori komputer, file data, program, atau printer), yang mengontrol akses ke sumber daya. Daftar ini berisi informasi yang mendefinisikan hak akses untuk semua pengguna yang sah dari sumber daya. Ketika pengguna mencoba untuk mengakses sumber daya, sistem membandingkan atau ID dan hak yang terkandung dalam token akses dengan yang tercantum dalam daftar kontrol akses. Jika ada cocok, pengguna diberikan akses.

Hak akses discretionary (discretionary access privileges).Administrator sistem pusat biasanya menentukan siapa yang diberikan akses ke sumber daya tertentu dan menjaga daftar kontrol akses. Dalam sistem terdistribusi, bagaimanapun, pengguna akhir dapat mengontrol sumber daya (sendiri). Pemilik sumber daya dalam pengaturan ini dapat diberikan hak akses discretionary, yang memungkinkan mereka untuk memberikan hak akses ke pengguna lain.Misalnya, controller, yang merupakan pemilik dari buku besar, mungkin garis besar hanya membaca hak untuk manajer di departemen anggaran. Manajer Account Payable, bagaimanapun, dapat diberikan izin baik membaca dan menulis untuk buku besar. Setiap manajer budgeting yang mencoba membuat untuk menambah, menghapus atau mengubah buku besar akan ditolak. Kebutuhan kontrol akses discretionary menjadi erat diawasi untuk mencegah pelanggaran keamanan yang disebabkan dari penggunaan terlalu liberal.

c. Ancaman Untuk Integritas System OperasiTujuan pengendalian sistem opearsi tidak dapat dicapai karena kelemahan dalam sistem operasi yang dieksploitasi baik sengaja atau tidak sengaja. Ancaman disengaja termasuk kegagalan hardware yang menyebabkan sistem operasi mengalami gangguan. Kesalahan dalam program aplikasi pengguna, yang sistem operasi tidak dapat menafsirkan, juga menyebabkan kegagalan sistem operasi.Kegagalan sistem disengaja dapat menyebabkan segmen seluruh memori yang akan dibuang ke disk dan printer, sehingga disengaja mengungkapkan informasi yang rahasia. Ancaman disengaja untuk sistem operasi yang paling sering mencoba untuk secara ilegal mengakses data atau melanggar privasi pengguna untuk keuntungan finansial. Namun, ancaman yang berkembang adalah program destruktif yang tidak ada keuntungan yang jelas.

Sumber Eksposur:1. Keistimewaan Personel yang menyalahgunakan kewenangannya. Sistem

administrator dan sistem programmer membutuhkan akses tak terbatas ke sistem operasi untuk melakukan pemeliharaan dan memulihkan diri dari kegagalan

4 | P a g e

sistem. Orang tersebut dapat menggunakan otoritas ini untuk mengakses program dan file data pengguna.

2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem operasi untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan.

3. Individu yang dengan sengaja (atau sengaja) memasukkan virus komputer atau bentuk lain dari program yang merusak ke dalam sistem operasi.

d. Kontrol Sistem Operasi dan Pengujian AuditJika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individu yang berdampak pelaporan keuangan juga dapat dikompromikan. Untuk alasan ini, desain dan penilaian SOX dari kontrol keamanan sistem operasi merupakan masalah kepatuhan. Berikut adalah area yang diperiksa: hak istimewa akses, kontrol password, kontrol virus. Dan kontrol audit trail.

Mengontrol Hak AksesHak akses dengan cara yang ditugaskan mempengaruhi sistem keamanan. karena itu hendaknya Hak istimewa dikelola hati-hati dan diawasi secara ketat untuk memenuhi kebijakan organisasi dan prinsip-prinsip pengendalian internal.

o Tujuan Audit Berkaitan dengan Hak Akses

Tujuan auditor adalah untuk memverifikasi bahwa hak akses yang diberikan dengan cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan sesuai dengan kebijakan organisasi.

o Prosedur Audit Berkaitan dengan Hak Akses

Untuk mencapai tujuannya auditor dapat melakukan tes kontrol berikut :1. Review kebijakan organisasi untuk memisahkan fungsi yang tidak

kompatibel dan memastikan bahwa mereka mempromosikan  keamanan yang wajar.

2. Review hak dari pilihan kelompok pengguna dan individu untuk menentukan apakah hak akses mereka sesuai untuk deskripsi pekerjaan mereka dan posisi. Auditor harus memverifikasi bahwa individu diberikan akses ke data dan program berdasarkan mengetahui kebutuhan mereka .

3. Review catatan personil  untuk menentukan apakah keistimewaan karyawan  menjalani pemeriksaan keamanan  izin memadai  intensif  sesuai dengan kebijakan perusahaan.

4. Review catatan  karyawan untuk menentukan apakah pengguna telah secara resmi mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.

5. Review pengguna diizinkan sekali log-on  Izin harus sepadan dengan tugas-tugas yang dilakukan.

5 | P a g e

Kontrol PasswordPassword adalah kode rahasia yang dimasukkan pengguna untuk mendapatkan akses ke sistem, aplikasi, file data, atau server jaringan. Jika pengguna tidak dapat memberikan password yang benar, sistem operasi hendaknya menolak akses. Meskipun password bisa memberikan tingkat keamanan, ketika dikenakan pada bukan pengguna yang memikirkan keamanan, prosedur password dapat mengakibatkan perilaku pengguna akhir yang sesungguhnya menggagalkan keamanan.Bentuk yang paling umum dari perilaku kontra-keamanan meliputi: Melupakan password dan terkunci keluar dari sistem. Gagal untuk mengubah password secara sering. Sindrom Post-it, dimana password ditulis dan ditampilkan untuk dilihat orang

lain. Kesederhanaan password bahwa kriminal komputer dengan mudah

mengantisipasi.Metode yang paling umum dari kontrol password password dapat digunakan kembali (reusable password). Pengguna mendefinisikan password pada sistem sekali dan kemudian menggunakannya untuk mendapatkan akses masa depan. Kualitas keamanan yang password dapat digunakan kembali memberikan ini tergantung pada kualitas password itu sendiri. Jika password berkaitan dengan sesuatu yang pribadi tentang pengguna, seperti nama anak, nama hewan peliharaan, tanggal lahir, atau warna rambut, seorang penjahat komputer sering kali bisa menyimpulkan itu.Untuk meningkatkan kontrol akses, manajemen harus mensyaratkan bahwa password akan berubah secara teratur dan melarang password yang lemah. Software yang tersedia yang secara otomatis memindai file kata sandi dan memberitahu pengguna bahwa password mereka telah kedaluwarsa dan perlu diubah.Satu kali password dirancang untuk mengatasi masalah tersebut. Dalam pendekatan ini, password pengguna berubah terus menerus. Teknologi ini menggunakan kartu pintar kartu berukuran kredit yang berisi mikroprosesor diprogram dengan algoritma yang menghasilkan, dan elektronik menampilkan, password baru dan unik setiap 60 detik. Contoh lain (capcha)o Tujuan Audit Berkaitan dengan Password

Tujuan auditor di sini adalah untuk memastikan bahwa organisasi memiliki kebijakan password yang memadai dan efektif untuk mengendalikan akses ke sistem operasi.

o Prosedur Audit Berkaitan dengan Password

Auditor dapat mencapai tujuan ini dengan melakukan tes berikut:

6 | P a g e

Pastikan bahwa semua pengguna diharuskan untuk memiliki password.

Pastikan pengguna baru diinstruksikan dalam penggunaan password dan pentingnya kontrol password.

Review prosedur pengendalian sandi untuk memastikan bahwa password yang berubah secara teratur.

Tinjau file password untuk menentukan bahwa password yang lemah diidentifikasi dan dianulir. Ini mungkin melibatkan menggunakan perangkat lunak untuk memindai file password untuk password yang lemah dikenal.

Pastikan bahwa file password terenkripsi dan bahwa kunci enkripsi dijamin benar.

Menilai kecukupan standar password seperti panjang dan berakhirnya interval.

Meninjau kebijakan akun dan prosedur lockout. Sebagian besar sistem operasi memungkinkan administrator sistem untuk menentukan tindakan yang akan diambil setelah sejumlah upaya log-on gagal. Auditor harus menentukan berapa banyak yang gagal log-on upaya diperbolehkan sebelum account terkunci. Durasi lockout juga perlu ditentukan. Hal ini bisa berkisar dari beberapa menit untuk lockout permanen yang memerlukan reaktivasi formal account.

Mengontrol Terhadap Program Berbahaya dan MerusakAncaman dari program yang merusak dapat dikurangi secara substansial melalui kombinasi teknologi kontrol dan prosedur administratif. Contoh-contoh berikut relevan dengan sebagian besar sistem operasi.a. software Pembelian hanya dari vendor terkemuka dan hanya menerima

produk-produk yang di asli, paket pabrik-disegel mereka.b. Isu kebijakan entitas-lebar (entity-wide policy) yang berkaitan dengan

penggunaan perangkat lunak yang tidak sah atau ilegal (bajakan) salinan perangkat lunak hak cipta.

c. Periksa semua upgrade ke software vendor untuk virus sebelum mereka diimplementasikan.

d. Periksa semua perangkat lunak publik-domain untuk infeksi virus sebelum menggunakan.

e. Menetapkan prosedur entitas-lebar untuk membuat perubahan untuk program produksi.

f. Menetapkan program pendidikan untuk meningkatkan kesadaran pengguna tentang ancaman dari virus dan program jahat.

g. Instal semua aplikasi baru pada komputer yang berdiri sendiri dan benar-benar menguji mereka dengan perangkat lunak antivirus sebelum

7 | P a g e

mengimplementasikannya pada mainframe atau server jaringan area lokal (LAN).

h. Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di mainframe, server, dan workstation.

i. Jika memungkinkan, membatasi pengguna untuk membaca dan mengeksekusi hak saja. Hal ini memungkinkan pengguna untuk mengambil data dan menjalankan aplikasi resmi, tapi menolak mereka kemampuan untuk menulis langsung ke mainframe dan server direktori.

j. Memerlukan protokol yang secara eksplisit memanggil sistem operasi log-on prosedur untuk menghilangkan Trojan Horse

k. Gunakan software antivirus (juga disebut vaksin) untuk memeriksa aplikasi dan sistem operasi program untuk kehadiran virus dan menghapusnya dari program yang terkena.o Tujuan Audit Terkait dengan Virus dan Program Merusak Lainnya

Kunci untuk kontrol virus komputer adalah pencegahan melalui ketaatan kebijakan organisasi dan prosedur yang menjaga terhadap infeksi virus. Tujuan auditor adalah untuk memverifikasi bahwa kebijakan dan prosedur manajemen yang efektif di tempat untuk mencegah pengenalan dan penyebaran program yang merusak, termasuk viruses, worms, back doors, logic bombs, and Trojan horses.

o Prosedur Audit Terkait dengan Virus dan Program Merusak Lainnya

Melalui wawancara, menentukan bahwa personil operasi telah diajarkan tentang virus komputer dan menyadari praktek komputasi berisiko yang bisa memperkenalkan dan menyebarkan virus dan program berbahaya lainnya.

Pastikan bahwa perangkat lunak baru diuji pada workstation standalone sebelum dilaksanakan pada host atau server jaringan.

Pastikan bahwa versi terbaru dari perangkat lunak antivirus yang diinstal pada server dan yang upgrade secara teratur download ke workstation.

o Sistem Audit Trail Kontrol

Audit sistem yang log yang merekam aktivitas di sistem, aplikasi, dan tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit untuk direkam dalam log. Manajemen perlu memutuskan di mana untuk mengatur batas antara informasi dan fakta-fakta yang tidak relevan. Kebijakan audit yang efektif akan menangkap semua peristiwa penting tanpa mengacaukan log dengan aktivitas sepele. Jejak audit biasanya terdiri dari dua jenis:

8 | P a g e

a. Keystroke monitoringmelibatkan merekam keystrokes baik pengguna dan respon sistem. Bentuk log dapat digunakan setelah fakta untuk merekonstruksi detail dari suatu peristiwa atau sebagai kontrol real-time untuk mencegah intrusi yang tidak sah.

b. Event Monitoringmerangkum kegiatan kunci yang berhubungan dengan sumber daya sistem. Log peristiwa biasanya mencatat ID dari semua pengguna yang mengakses sistem; waktu dan durasi sesi pengguna; program yang dieksekusi selama sesi; dan file, database, printer, dan sumber daya lainnya diakses.

Menerapkan Sistem Audit TrailAudit dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara: (1) mendeteksi akses tidak sah ke sistem, (2) memfasilitasi rekonstruksi peristiwa, dan (3) mempromosikan akuntabilitas pribadi.

o Implementasi Sistem Audit Trail

Informasi yang terkandung dalam audit log berguna untuk akuntan dalam mengukur potensi kerusakan dan kerugian finansial yang terkait dengan kesalahan aplikasi, penyalahgunaan wewenang, atau akses yang tidak sah oleh penyusup luar. Audit log, bagaimanapun, bisa menghasilkan data secara detail yang luar biasa. Informasi penting dapat dengan mudah tersesat di antara rincian berlebihan dari operasi sehari-hari. Jadi, log dirancang buruk sebenarnya dapat disfungsional. Melindungi eksposur dengan potensi kerugian keuangan materi harus mendorong keputusan manajemen sebagai yang pengguna, aplikasi, atau operasi untuk memantau, dan berapa banyak detail untuk login. Seperti dengan semua kontrol, manfaat log audit harus seimbang terhadap biaya pelaksanaan mereka.

o Tujuan Audit Terkait dengan Sistem Audit Trail

Tujuan auditor adalah untuk memastikan bahwa didirikan audit sistem jejak memadai untuk mencegah dan mendeteksi pelanggaran, merekonstruksi peristiwa penting yang mendahului sistem kegagalan, dan alokasi sumber daya perencanaan.

o Prosedur Audit Terkait dengan Sistem Audit Trail

Sebagian besar sistem operasi menyediakan beberapa bentuk fungsi manajer audit untuk menentukan peristiwa yang akan diaudit. Auditor harus memverifikasi bahwa jejak audit telah diaktifkan sesuai dengan kebijakan organisasi.

Banyak sistem operasi menyediakan penampil log audit yang memungkinkan auditor untuk memindai log untuk aktivitas yang

9 | P a g e

tidak biasa. Ini bisa ditinjau pada layar atau dengan pengarsipan file untuk diperiksa berikutnya. Auditor dapat menggunakan alat ekstraksi data untuk keperluan umum untuk mengakses file log arsip untuk mencari kondisi yang didefinisikan seperti:

o pengguna tidak sah atau dihentikan

o Periode tidak aktif

o Kegiatan oleh pengguna, workgroup, atau departemen

o Log-on dan log-off kali

o upaya log-on Gagal

o Akses ke file tertentu atau aplikasi

Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau dan melaporkan pelanggaran keamanan. Auditor harus memilih sampel kasus pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai efektivitas kelompok keamanan.

Audit JaringanKetergantungan pada jaringan untuk komunikasi bisnis menimbulkan kekhawatiran tentang akses tidak sah ke informasi rahasia. Sebagai LAN menjadi platform untuk aplikasi mission-critical dan data, informasi kepemilikan, data pelanggan, dan catatan keuangan beresiko. Organisasi terhubung ke pelanggan dan mitra bisnis melalui internet, khususnya yang rentan. Tanpa perlindungan yang memadai, perusahaan membuka pintu mereka untuk hacker komputer, pengacau, pencuri, dan mata-mata industri baik secara internal maupun dari seluruh dunia.

Paradoks jaringan adalah bahwa jaringan ada untuk menyediakan akses pengguna ke sumber daya bersama, namun tujuan yang paling penting dari jaringan adalah untuk mengontrol akses tersebut. Oleh karena itu, untuk setiap argumen produktivitas yang mendukung akses remote, ada argumen keamanan terhadap itu. Manajemen organisasi terus mencari keseimbangan antara peningkatan akses dan risiko bisnis terkait.

a. Resiko Intranetterdiri dari LAN kecil dan besar WAN yang mungkin berisi ribuan node individu. Intranet digunakan untuk menghubungkan karyawan dalam sebuah bangunan tunggal, antara bangunan di kampus fisik yang sama, dan antara geografis lokasi. Kegiatan intranet khas termasuk routing e-mail, pemrosesan transaksi antara unit bisnis, dan menghubungkan ke Internet di luar.• Intersepsi Jaringan Pesan• Akses ke Database Perusahaan• Penyalahgunaan istimewa Karyawan Authority• Intersepsi Jaringan Pesan• Akses ke Database Perusahaan• Penyalahgunaan istimewa Karyawan Authority

10 | P a g e

•b. Resiko Internet

• IP spoofing adalah bentuk menyamar untuk mendapatkan akses tidak sah ke server Web dan / atau untuk mengabadikan suatu tindakan yang melanggar hukum tanpa mengungkapkan identitas seseorang. Untuk melakukan hal ini, pelaku memodifikasi alamat IP komputer berasal untuk menyamarkan identitasnya.

• Denial of service attacks (Dos) Adalah serangan terhadap server web untuk mencegah pelayanan pengguna yang sah. Meskipun serangan tersebut dapat ditujukan untuk semua jenis situs Web, mereka sangat menghancurkan badan usaha yang menghalangi dari menerima dan memproses transaksi bisnis dari pelanggan mereka. Tiga jenis umum dari serangan Dos adalah: SYN flood, smurf, dan distributed denial of service (Ddos).

SYN FLOOD DOS ATTACK

Dalam DOS Attack, pengirim mengirimkan ratusan pesan, menerima paket SYN / ACK, tapi tidak respon dengan paket ACK. Hal ini membuat penerima dengan port transmisi tersumbat, dan pesan yang sah tidak dapat diterima. Firewall dapat saja memblokir alamat yang melakukan flood attack tetapi apabila dikombinasikan dengan IP spoofing, maka akan lebih sulit karena penyerang akan terus dianggap sebagai alamat yang berbeda.

SMURF Attack

11 | P a g e

Melibatkan preparatory (sebagai penyerang), intermediary dan victim. Ping (sejenis sonar dalam jaringan untuk menguji koneksi) dikirmkan oleh preparatory (yang menyamar (IP Spoofing) sebagai victim ) kepada intermediary. Intermediary yang jumlahnya banyak dan berada pada subnetwork dari victim, mengirimkan kembali pantual ping kepada victim. Hal ini membebani lalu lintas data victim dan dapat membuatnya tidak dapat digunakan sebagaimana mestinya.

Distributed Denial of Service Attack

12 | P a g e

Preparatory menciptakan bot atau zombie dalam computer yang terhubung pada jaringan internet (dalam modul, kasusnya adalah IRC). Computer-komputer yang telah ditanamkan zombie (disebut botnet) dikendalikan oleh preparatory dengan Zombie Control Program untuk melakukan serangan yang dapat berupa SYN Flood atau smurf attack. Karena jumlahnya berkali lipat, serangan ini lebih berbahaya.Alasan melakukan Dos attack : menghukum organisasi atau sekedar pamer kemampuan. Alasan keuangan juga bisa menjadi alas an, dengan melakukan serangan dan kemudian meminta bayaran untuk serangan tersebut.

• Risiko dari Kegagalan Peralatan Topologi jaringan terdiri dari berbagai konfigurasi (1) jalur komunikasi (kabel twisted-pair, kabel koaksial, oven microwave, dan serat optik), (2) komponen perangkat keras (modem, multiplexer, server, dan prosesor front-end), dan (3 ) software (protokol dan sistem kontrol jaringan).

c. Controlling NetworksPada bagian berikut, kita meneliti berbagai teknik kontrol yang digunakan untuk mengurangi risiko diuraikan dalam bagian sebelumnya. Kami mulai dengan meninjau beberapa kontrol untuk menangani ancaman subversif termasuk firewall, inspeksi paket yang mendalam, enkripsi dan teknik kontrol pesan. Ini diikuti dengan tujuan audit dan

13 | P a g e

prosedur terkait dengan kontrol ini. Bagian kemudian kontrol ini, tujuan audit, dan prosedur audit yang berkaitan dengan ancaman dari kegagalan peralatan

d. Controlling Risk from Subversive Threats• Organisasi terhubung ke Internet atau jaringan publik lainnya sering kali menerapkan

firewall elektronik untuk melindungi intranet mereka dari penyusup luar. Firewall adalah sebuah sistem yang memberlakukan kontrol akses antara dua jaringan. Untuk melakukan hal ini:1. Semua lalu lintas antara jaringan luar dan intranet organisasi harus melewati

firewall.2. Hanya berwenang lalu lintas antara organisasi dan di luar, seperti

menspesifikasikan kebijakan keamanan formal, diperbolehkan untuk melewati firewall.

3. Firewall harus kebal terhadap Penetrasi akan dari luar dan dalam organisasi. Network-level firewalls menyediakan efisien tetapi akses-keamanan rendah kontrol. Jenis firewall terdiri dari screening router yang meneliti sumber dan tujuan alamat yang melekat pada paket pesan yang masuk. Application-level firewalls memberikan penyesuaian tingkat keamanan jaringan yang lebih tinggi tetapi mereka menambahkan overhead untuk konektivitas.

Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan dalam database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk mengubah pesan asli (disebut cleartext) menjadi setara kode (disebut ciphertext). Pada sisi penerima, ciphertext tersebut diterjemahkan (didekripsi) kembali ke dalam bentuk clear text.

Digital signature merupakan otentikasi elektronik yang tidak dapat dipalsukan. Ini memastikan bahwa pesan atau dokumen yang dikirimkan pengirim tidak dirusak setelah tanda tangan diterapkan.

Memverifikasi identitas pengirim membutuhkan sertifikat digital, yang dikeluarkan oleh pihak ketiga yang terpercaya disebut otoritas sertifikasi (CA). Sebuah sertifikat digital digunakan dalam hubungannya dengan sistem enkripsi kunci publik untuk mengotentikasi pengirim pesan.

Penyusup dalam saluran komunikasi mungkin mencoba untuk menghapus pesan dari aliran pesan, mengubah urutan pesan yang diterima, atau menggandakan pesan. Melalui pesan penomoran urut, nomor urut dimasukkan dalam setiap pesan, dan upaya tersebut akan menjadi jelas pada akhir penerima.

Penyusup mungkin berhasil menembus sistem dengan mencoba kata sandi dan kombinasi. ID pengguna yang berbeda Oleh karena itu, semua pesan masuk dan keluar, serta upaya akses(gagal) harus dicatat dalam log transaksi pesan. Log harus mencatat pengguna ID, waktu akses, dan lokasi atau dari akses telepon terminal nomor asal.

14 | P a g e

Menggunakan teknik permintaan-respon, pesan kontrol dari pengirim dan tanggapan dari penerima yang dikirim pada periodik, interval disinkronkan. Waktu dari pesan harus mengikuti pola acak yang akan sulit bagi penyusup untuk mengetahui dan mengakali.

Perangkat panggilan-kembali (call back device) mengharuskan pengguna dial-in untuk memasukkan password dan diidentifikasi.Sistem kemudian memecahkan koneksi untuk melakukan otentikasi pengguna. Jika penelepon adalah resmi, perangkat panggilan-kembali memanggil nomor pemanggil untuk membuat sambungan baru.Ini membatasi akses ke terminal resmi atau nomor telepon dan mencegah penyusup menyamar sebagai pengguna yang sah.

Tujuan auditor adalah untuk memverifikasi keamanan dan integritas transaksi keuangan dengan menentukan bahwa kontrol jaringan (1) dapat mencegah dan mendeteksi akses ilegal baik secara internal dan dari Internet, (2) akan membuat sia-sia data yang pelaku berhasil ditangkap, dan (3) cukup untuk menjaga integritas dan keamanan fisik data yang terhubung ke jaringan.Audit Procedure :

Meninjau kecukupan firewall dalam mencapai keseimbangan yang tepat antara kontrol dan kenyamanan didasarkan pada tujuan bisnis organisasi dan potensi risiko.

Memverifikasi bahwa sistem pencegahan intrusi (IPS - intrusion prevention system ) dengan paket pemeriksaan mendalam (DPI) di tempat untuk organisasi yang rentan terhadap serangan DDos, seperti lembaga keuangan.

Meninjau prosedur keamanan yang mengatur administrasi kunci enkripsi data. Verifikasi proses enkripsi dengan mengirimkan pesan uji dan memeriksa isi di

berbagai titik di sepanjang saluran antara lokasi pengirim dan penerima. Tinjau log transaksi pesan (message transaction logs) untuk memverifikasi bahwa

semua pesan yang diterima dalam urutan yang tepat. Menguji pengoperasian fitur panggilan-kembali (call-back feature ) dengan

menempatkan panggilan yang tidak sah dari luar instalasi.

e. Controlling Risks From Equipment FailureMasalah yang paling umum dalam komunikasi data adalah kehilangan data karena kesalahan lini (line error). Struktur sedikit pesan dapat rusak melalui suara di garis komunikasi. Kebisingan terdiri dari sinyal acak yang dapat mengganggu sinyal pesan ketika mereka mencapai tingkat tertentu. Listrik motor, kondisi atmosfer, kabel yang rusak, komponen yang rusak dalam peralatan, atau kebisingan tumpah dari saluran komunikasi yang berdekatan dapat menyebabkan sinyal-sinyal secara acak. Cek gema (echo check )melibatkan penerima pesan kembali pesan ke pengirim.

Pengirim membandingkan pesan kembali dengan salinan yang tersimpan dari aslinya.

15 | P a g e

Jika ada perbedaan antara pesan kembali dan asli, menunjukkan kesalahan transmisi, pesan tersebut ditransmisikan ulang.

Cek paritas (parity check) menggabungkan bit tambahan (bit paritas) ke dalam struktur string bit ketika dibuat atau dikirim. Paritas dapat menjadi vertikal dan horizontal (memanjang).

parity check :penambahan ekstra bit dalam pesan. Jumlah parity bit (1 maupun 0) haruslah sama dari saat dikirm dengan saat diterima. Hanya saja terkadang gangguan dapat mengubah bit secara simultan, sehingga eror tidak terdeteksi. Antara vertikal Parity Bit dan Horizontal Parity Bit, Horizontal cenderung lebih dapat diandalkan.

Tujuan Audit Terkait Kegagalan Peralatan Tujuan auditor adalah untuk memverifikasi integritas dari transaksi perdagangan elektronik dengan menentukan bahwa kontrol berada di tempat untuk mendeteksi dan kehilangan pesan yang benar karena kegagalan peralatan.Prosedur Audit Berkaitan dengan Kegagalan PeralatanUntuk mencapai tujuan kontrol, auditor dapat memilih sampel dari pesan dari log transaksi dan memeriksa mereka untuk konten yang kacau disebabkan oleh garis kebisingan. Auditor harus memverifikasi bahwa semua pesan rusak berhasil dipancarkan kembali.

Audit Electronic Data Interchange (EDI)EDI adalah pertukaran antar komputer informasi bisnis dapat diproses dalam format standar.Dalam lingkungan EDI murni, tidak ada perantara manusia untuk menyetujui atau mengotorisasi transaksi. Otorisasi, kewajiban bersama, dan praktik bisnis yang berlaku untuk semua transaksi yang ditentukan di awal perjanjian perdagangan mitra.

1. Manfaat EDIo Data keying. EDI mengurangi atau bahkan menghilangkan kebutuhan untuk entri

data.o Error reduction (Pengurangan kesalahan). Perusahaan menggunakan EDI melihat

pengurangan kesalahan data keying, interpretasi dan klasifikasi kesalahan manusia, dan pengajuan (dokumen hilang) kesalahan.

o Reduction of paper (Pengurangan kertas.) Penggunaan amplop elektronik dan

dokumen secara drastis mengurangi bentuk kertas dalam sistem o Postage /Ongkos kirim. Dokumen dikirimkan diganti dengan transmisi data yang

jauh lebih murah.o Automated procedures /Prosedur otomatis. EDI mengotomatiskan kegiatan pengguna

yang terkait dengan pembelian, pemrosesan order penjualan, pengeluaran kas, dan penerimaan kas.

16 | P a g e

o Inventory reduction /Pengurangan persediaan. Dengan memesan langsung yang

diperlukan dari vendor, EDI mengurangi jeda waktu yang mempromosikan akumulasi persediaan.

2. Financial EDIIni adalah proses menggunakan EDI untuk transfer dana, penerimaan kas, pengeluaran kas dan kegiatan pembelian dan penjualan lainnya.

3. Kontrol EDIOtorisasi transaksi dan Validasi Baik pelanggan dan pemasok harus menetapkan bahwa transaksi sedang diproses adalah untuk (atau dari) mitra dagang yang valid dan berwenang. Hal ini dapat dicapai pada tiga poin dalam proses.

1. Beberapa VAN (Value Added Networks) memiliki kemampuan untuk memvalidasi password dan kode ID pengguna untuk vendor dengan mencocokkan ini terhadap file pelanggan valid. The VAN menolak setiap transaksi mitra dagang yang tidak sah sebelum mereka mencapai sistem vendor.

2. Sebelum dikonversi, perangkat lunak terjemahan dapat memvalidasi ID dan password mitra dagang terhadap file validasi dalam database perusahaan.

3. Sebelum diolah, perangkat lunak aplikasi mitra dagang yang merujuk pelanggan dan vendor file yang valid untuk memvalidasi transaksi.

4. Access ControlUntuk berfungsi dengan lancar, mitra dagang EDI harus mengizinkan tingkat akses ke file data pribadi yang akan dilarang di lingkungan tradisional. Perjanjianmitra Perdagangan akan menentukan tingkat kontrol akses di tempat.

EDI Audit Trail

17 | P a g e

Tidak adanya dokumen sumber dalam transaksi EDI menghilangkan jejak audit tradisional dan membatasi kemampuan akuntan untuk memverifikasi keabsahan, kelengkapan, waktu, dan akurasi transaksi. Salah satu teknik untuk memulihkan jejak audit adalah untuk mempertahankan log kontrol, yang mencatat aliran transaksi melalui setiap fase dari sistem EDI

Tujuan audit adalah untuk menentukan bahwa :◦ semua transaksi EDI berwenang, divalidasi, dan sesuai dengan perjanjian

perdagangan mitra;◦ tidak ada organisasi yang tidak sah mendapatkan akses ke catatan database; ◦ mitra dagang resmi hanya memiliki akses ke data yang disetujui; ◦ kontrol yang memadai untuk memastikan jejak audit lengkap dari semua transaksi

EDI. Audit Procedure :

1. Pengujian Otorisasi dan Validasi Kontrol. Auditor harus menetapkan bahwa kode identifikasi mitra dagang diverifikasi sebelum transaksi diproses. Untuk mencapai hal ini, auditor harus (1) perjanjian ulasan dengan fasilitas VAN untuk memvalidasi transaksi dan memastikan bahwa informasi mengenai mitra dagang yang valid secara lengkap dan benar, dan (2) mengkaji perdagangan berkas pasangan valid organisasi untuk akurasi dan kelengkapan.

2. Pengujian Akses Kontrol. Keamanan selama untuk perdagangan berkas mitra valid dan database merupakan pusat kerangka kontrol EDI. Auditor dapat memverifikasi kecukupan pengendalian dengan cara berikut:i) Auditor harus menentukan bahwa akses ke valid vendor atau pelanggan file dibatasi

pada karyawan yang berwenang saja. Auditor harus memverifikasi bahwa password dan tabel otoritas mengontrol akses ke file ini dan bahwa data dienkripsi.

ii) Perjanjian perdagangan akan menentukan tingkat akses mitra dagang harus memiliki catatan database perusahaan (seperti tingkat persediaan dan daftar harga). Auditor harus mencocokkan persyaratan perjanjian perdagangan terhadap hak akses mitra dagang yang tercantum dalam tabel otoritas basis data.

iii) Auditor harus mensimulasikan akses berdasarkan sampel mitra dagang dan berupaya untuk melanggar hak akses.

3. Pengujian Kontrol Audit Trail. Auditor harus memverifikasi bahwa sistem EDI menghasilkan log transaksi yang melacak transaksi melalui semua tahapan pengolahan. Dengan memilih sampel transaksi dan melacak ini melalui proses, auditor dapat memverifikasi bahwa nilai data kunci dicatat dengan benar pada setiap titik.

Audit System Akuntansi Berbasis PCPasar perangkat lunak menawarkan ratusan sistem akuntansi berbasis PC. Berbeda dengan mainframe dan client-server sistem yang sering dirancang khusus untuk memenuhi kebutuhan pengguna tertentu, aplikasi PC cenderung sistem tujuan umum yang melayani berbagai macam kebutuhan.

18 | P a g e

Modul Sistem PC Accounting

a. PC Systems Risks and Controla. Kelemahan Sistem Operasi

Berbeda dengan sistem mainframe, PC menyediakan keamanan hanya minimal untuk file data dan program yang terkandung di dalamnya. Kelemahan Kontrol ini melekat dalam filosofi di balik desain sistem operasi PC. Dimaksudkan terutama sebagai sistem single-user, mereka dirancang untuk menggunakan komputer dengan mudah dan untuk memfasilitasi akses, tidak ada pembatasan itu.

b. Weak Access Control/ Lemahnya Access ControlKeamanan perangkat lunak yang menyediakan prosedur logon yang tersedia untuk PC. Sebagian besar program-program ini, bagaimanapun, menjadi aktif hanya saat komputer boot dari hard drive. Seorang penjahat komputer mencoba untuk menghindari prosedur logon dapat melakukannya dengan memaksa komputer untuk boot dari CD-ROM, dimana sistem operasi yang tidak terkendali dapat dimuat ke dalam memori komputer.

c. Inadequate Segregation of Duties / Pemisahan Tugas yang kurang memadaiKaryawan di lingkungan PC, terutama mereka dari perusahaan-perusahaan kecil, mungkin memiliki akses ke beberapa aplikasi yang merupakan tugas yang tidak kompatibel. Misalnya, satu individu mungkin bertanggung jawab untuk memasukkan semua data transaksi, termasuk order penjualan, penerimaan kas, faktur, dan pengeluaran.

d. Multilevel Password Controldigunakan untuk membatasi karyawan yang berbagi komputer yang sama ke direktori tertentu, program, dan file data. Dalam pendekatan ini, password yang berbeda digunakan untuk mengakses fungsi yang berbeda.

e. Risiko Pencurian (Risk of Theft)19 | P a g e

Karena ukuran mereka, PC adalah obyek pencurian dan portabilitas laptop menempatkan mereka pada risiko tertinggi. Kebijakan formal harus berada di tempat untuk membatasi data sensitif keuangan dan lainnya untuk PC desktop saja. Selain itu, organisasi sebaiknya memberikan pelatihan karyawan tentang penggunaan komputer yang sesuai.

f. Lemahnya Prosedur Backup Kegagalan komputer, biasanya kegagalan disk, adalah penyebab utama kehilangan data di lingkungan PC. Dari harddisk dari PC gagal, memulihkan data yang tersimpan di dalamnya mungkin mustahil. Untuk menjaga integritas data dan program mission-critical, organisasi perlu prosedur cadangan formal.

g. Resiko Infeksi VirusInfeksi virus adalah salah satu yang paling umum untuk ancaman integritas PC dan ketersediaan sistem. Ketaatan terhadap kebijakan organisasi dan prosedur yang menjaga terhadap infeksi virus sangat penting untuk mengendalikan virus yang efektif.

h. Tujuan Audit Terkait dengan Keamanan PCi. Verifikasi bahwa pengawasan berada di tempat untuk melindungi data,

program, dan komputer dari akses yang tidak sah, manipulasi, kehancuran, dan pencurian.

ii. Pastikan bahwa pengawasan yang memadai dan prosedur operasi ada untuk mengimbangi kurangnya pemisahan antara tugas pengguna, programmer, dan operator.

iii. Pastikan backup prosedur berada di tempat untuk mencegah data dan kehilangan Program akibat kegagalan sistem, kesalahan, dan sebagainya.

iv. Pastikan bahwa sistem seleksi dan prosedur akuisisi menghasilkan aplikasi yang berkualitas tinggi, dan dilindungi dari perubahan yang tidak sah.

v. Pastikan bahwa sistem ini bebas dari virus dan cukup dilindungi untuk meminimalkan risiko terinfeksi dengan virus atau benda serupa

i. Prosedur Audit Terkait dengan Keamanan PCi. Auditor harus mengamati bahwa PC secara fisik tertambat untuk

mengurangi kesempatan pencurian.ii. Auditor harus memverifikasi dari bagan organisasi, uraian tugas, dan

pengamatan bahwa programmer dari sistem akuntansi tidak juga beroperasi sistem tersebut. Dalam unit organisasi yang lebih kecil di mana pemisahan fungsional tidak praktis, auditor harus memverifikasi bahwa ada pengawasan yang memadai atas tugas-tugas ini.

20 | P a g e

iii. Auditor harus mengkonfirmasi bahwa laporan transaksi diproses, daftar rekening diperbarui, dan total control disusun, didistribusikan, dan didamaikan berdasarkan manajemen yang tepat secara berkala dan tepat waktu.

iv. Apabila diperlukan, auditor harus menentukan bahwa kontrol sandi multilevel digunakan untuk membatasi akses ke data dan aplikasi dan bahwa otoritas akses yang diberikan konsisten dengan deskripsi pekerjaan karyawan.

v. Jika hard drive removable atau eksternal yang digunakan, auditor harus memverifikasi bahwa drive akan dihapus dan disimpan di lokasi yang aman jika tidak digunakan.

vi. Dengan memilih sampel dari file backup, auditor dapat memverifikasi bahwa cadangan prosedur sedang diikuti. Dengan membandingkan nilai data dan tanggal pada disk cadangan untuk file produksi, auditor dapat menilai frekuensi dan kecukupan prosedur cadangan. Jika layanan backup online yang digunakan, auditor harus memverifikasi bahwa kontrak adalah saat ini dan cukup untuk memenuhi kebutuhan organisasi.

vii. Dengan memilih sampel dari PC, auditor harus memverifikasi bahwa paket perangkat lunak komersial yang dibeli dari vendor terkemuka dan salinan hukum. Auditor harus meninjau seleksi dan akuisisi prosedur untuk memastikan bahwa kebutuhan pengguna akhir sepenuhnya dipertimbangkan dan bahwa software yang dibeli memenuhi kebutuhan.

viii. Auditor harus meninjau kebijakan organisasi untuk menggunakan perangkat lunak antivirus. Kebijakan ini dapat mencakup hal berikut:

1. software antivirus harus diinstal pada semua mikrokomputer dan dipanggil sebagai bagian dari prosedur startup ketika komputer dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari hard disk diperiksa sebelum data ditransfer melalui jaringan.

2. Semua upgrade ke vendor perangkat lunak harus diperiksa untuk virus sebelum mereka diimplementasikan.

3. Semua perangkat lunak publik-domain harus diperiksa untuk infeksi virus sebelum digunakan.

4. versi sekarang dari perangkat lunak antivirus harus tersedia untuk semua pengguna. Memverifikasi bahwa terbaru file data virus sedang didownload secara teratur, dan bahwa program antivirus ini memang berjalan di latar belakang PC terus menerus, dan dengan demikian dapat memindai semua dokumen yang masuk. Versi perusahaan umumnya mencakup "push" pembaruan di mana perangkat lunak secara otomatis memeriksa situs Web rumah

21 | P a g e

vendor antivirus untuk update baru setiap kali terhubung ke Internet dan PC boot.

Pembahasan Kasus:

Pada tahun 2002, Mr Roller Ball memulai Mighty Mouse, Inc, sebuah, perusahaan 75-karyawan kecil yang memproduksi dan menjual keyboard nirkabel dan perangkat lain untuk vendor melalui pabrik manufaktur di Little Rock, Arkansas. Dalam 2 tahun pertama bisnis, MM melihat pertumbuhan substansial dalam penjualan dan pada kapasitas saat ini tidak mampu memenuhi permintaan. Untuk bersaing, MM memperbesar fasilitas manufaktur. Fasilitas baru meningkat menjadi 250 karyawan. Selama periode ini ekspansi, MM telah membayar sedikit perhatian untuk prosedur pengendalian internal.

Keamanan

Baru-baru ini, masalah sistem dan kegagalan hardware telah menyebabkan sistem operasi mengalami gangguan. Mr Roller ball sangat prihatin untuk menemukan bahwa informasi rahasia perusahaan telah dicetak pada printer sebagai akibat dari kecelakaan tersebut. Juga, dokumen digital penting terhapus dari media penyimpanan.

Beberapa program berbahaya seperti virus, worm, dan trojan horse telah melanda perusahaan dan menyebabkan korupsi data yang signifikan. MM telah mengabdikan dana yang signifikan dan waktu mencoba untuk memperbaiki kerusakan yang disebabkan ke sistem operasi.

Karena kebutuhan untuk mendapatkan pekerjaan yang dilakukan, serta untuk alasan filosofis, administrator sistem dan programmer telah menyediakan pengguna akses relatif bebas ke sistem operasi. Membatasi akses ditemukan untuk menghambat bisnis dan menghambat pemulihan dari kegagalan sistem. Dari awal, pendekatan terbuka dianggap sebagai cara yang efisien dan efektif untuk memastikan bahwa setiap orang memperoleh informasi yang mereka butuhkan untuk melakukan pekerjaan mereka.

PERTANYAAN

Apa masalah pengendalian internal yang Anda temukan?

Jawab :

o Adanya kegagalan sistem disengaja yang menyebabkan segmen seluruh

memori terhapus di disk dan printer, sehingga sengaja mengungkapkan informasi yang rahasia. Ancaman disengaja untuk sistem operasi perusahaan Mighty Mouse mencoba secara ilegal mengakses data atau melanggar privasi pengguna untuk keuntungan financial (MM mmengalami pertumbuhan substansial dalam penjualan).

22 | P a g e

o Penyalahgunaan wewenang. Sistem administrator dan sistem programmer

melakukan akses tak terbatas ke sistem operasi untuk melakukan pemeliharaan dan memulihkan diri dari kegagalan sistem. Orang tersebut dapat menggunakan otoritas ini untuk mengakses program dan file data pengguna.

o Adanya Individu yang dengan sengaja (atau sengaja) memasukkan virus

komputer atau bentuk lain dari program yang merusak ke dalam sistem operasi.

Bagaimana MM dapat meningkatkan internal kontrol?

Jawab :

a. Instal semua aplikasi baru pada komputer yang berdiri sendiri dan benar-benar menguji dengan software antivirus sebelum mengimplementasikannya pada mainframe atau server jaringan area lokal (LAN).

b. Memerlukan protokol yang secara eksplisit memanggil sistem operasi log-on prosedur untuk menghilangkan Trojan Horse

c. Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di mainframe, server, dan workstation.

d. Membatasi pengguna untuk membaca dan mengeksekusi haknya saja.

Kesimpulan

Bab ini melanjutkan pembahasan umum IT kontrol dan pengujian audit dimulai pada Bab 3. meneliti risiko dan kontrol atas sistem operasi, jaringan, EDI, dan sistem akuntansi berbasis PC. Ancaman utama untuk sistem operasi adalah:

Akses tidak sah

penyisipan virus Disengaja atau tidak disengaja

Kehilangan data karena kerusakan sistem.

Link Jaringan dan komunikasi yang rentan terhadap paparan dari kedua kejahatan Subversion dan kegagalan peralatan. Ancaman subversif dapat diminimalkan melalui berbagai langkah-langkah keamanan dan kontrol akses termasuk firewall, IPS, DPI, enkripsi data, dan memanggil kembali perangkat. Kegagalan peralatan biasanya mengambil bentuk kesalahan garis (line error) yang kebisingan di jalur komunikasi menyebabkan. Ini dapat secara efektif dikurangi melalui cek echo dan cek paritas.

Diskusi kemudian beralih ke EDI, di mana perusahaan-perusahaan dihadapkan dengan berbagai paparan yang timbul sehubungan dengan kekosongan lingkungan perantara manusia untuk mengotorisasi atau review transaksi. Kontrol dalam lingkungan EDI dicapai terutama melalui prosedur yang diprogram untuk mengotorisasi transaksi, membatasi akses ke file data, dan memastikan bahwa transaksi proses sistem yang berlaku.23 | P a g e

Bab ini menyimpulkan dengan risiko dan kontrol yang terkait dengan lingkungan PC. Terdapat paparan paling serius adalah:

1. Kurangnya pemisahan tugas dengan benar

2. PC sistem operasi yang tidak memiliki kecanggihan mainframe dan mengekspos data akses yang tidak sah

3. kegagalan Komputer dan prosedur cadangan yang tidak memadai terlalu bergantung pada intervensi manusia dan dengan demikian mengancam keamanan catatan akuntansi

Internal control and Fraud

Stephanie baskil, staff akuntansi yang menganggur, tinggal satu block dari Cleaver Msnufacturing Company. Ketika dia berjalan santai dengan anjing peliharaannya tahun lalu, dia menyadari beberapa manual ERP dalam tempat pembuangan. Penasaran, dia membawa pulang manual ke rumahnya. Dia menemukan dokumentasi pada dua bulan sebelumnya, jadi dia berpikir informasi tersebut masih termasuk baru. Sebulan setelah itu, stephani lanjut mengumpulkan semua tipe manual dari tempat pembuangan selama mengajak anjing peliharaannya jalan – jalan. Cleaver manufacturing company kelihatannya baru saja melakukan pembaruan untuk semua dokumen manualnya dan membuatnya menjadi online. Sampai akhirnya Stephanie menemukan cara pemesanan kembali persediaan, sistem tagihan, sistem penjualan, sistem utang, dan sistem operasi. Stephanie pergi ke perpustakaan untuk membaca sebanyak mungkin yang dia dapat mengenai sistem operasi.

Untuk mendapatkan akses ke organisasi, Dia menyamar sebagai petugas kebersihan, mendapatkan semua akses ke bangunan. Ketika bekerja, dia mengintai melalui kantor, melihat orang yang lambat dalam mengetik password. Dan menebak paswordnya. Dia mencetak semua user id dan password dengan menggunakan virus Trojan. Dengan begitu ida mendapatkan password yang dia butuhkan untuk menjadikannya supplier, konsumen, sistem operator, dan sistem pustaka.

Sebagai konsumen, dia memesan barang dengan cukup untuk memicu secara otomatis sistem persediaan untuk memesan lebih banyak bahan baku. Lalu sebagai supplier dia mengantar barangnya dengan spesifikasi harga tersebut. Dia menyesuaikan catatan transaksinya ketika tagihan sudah dibayar untuk menutupi jejaknya. Dia berhasil menggelapkan rata – rata sekitar $126.000. setelah 16 bulan bekerja disana . controller melihatnya makan di restoran perancis yang malam ketika sore hari dan mengendarai jaguar. Dia menceritakan kepada internal auditor untuk tetap mengawasi dia dan menangkapnya ketika beraksi.

Jawaban.

Dengan menmbaca cerita diatas terdapat beberapa kesalahan yang dilakukan oleh Cleaver Manufacturing Company yaitu

1. Beberapa manual ERP Cleaver Manufacturing Company dalam tempat pembuangan.24 | P a g e

2. Komputer perusahaan tidak memiliki anti virus sehingga data dengan mudah dapat diambil oleh virus Trojan.

3. Dari proses pembayaran apakah Cleaver Manufacturing Company dengan single otorisasi atau multi otorisasi karena dari cerita tidak disebutkan. Diasumsikan dengan single autorisasi.

4. Dari kelengkapan apakah minim atau tidak dokumen pelengkap untuk proses pembayaran karena dalam cerita tidak dijelaskan bagaimana proses pembayaran.

5. Dari sisi internal auditor, apakah tidak melakukan audit dalam 16 bulan terakhir sehingga peristiwa terjadi sampai 16 bulan lamanya

6. Apakah dari Cleaver Manufacturing Company tidak melakukan penggantian password pengguna secara berkala.

Sarannya:

1. Melakukan pemasangan software anti virus untuk tiap computer. software antivirus harus diinstal pada semua mikrokomputer dan dipanggil sebagai bagian dari prosedur startup ketika komputer dihidupkan. Ini akan memastikan bahwa semua sektor kunci dari hard disk diperiksa sebelum data ditransfer melalui jaringan.

2. Melakukan penggantian password secara berkala untuk tiap computer.

3. Untuk proses pembayaran harus dilengkapi dengan beberapa dokumen seperti bill of landing, purchase order, Invoice, Faktur pajak, serta beberapa dokumen lainnya sehingga bisa digunakan untuk melakukan kontrol pembayaran.

4. Untuk pembayaran/ proses uang keluar sebaiknya dilakukan dengan multi otorisasi sehingga

5. Melakukan Event Monitoring merangkum kegiatan kunci yang berhubungan dengan sumber daya sistem. Log peristiwa biasanya mencatat ID dari semua pengguna yang mengakses sistem; waktu dan durasi sesi pengguna; program yang dieksekusi selama sesi; dan file, database, printer, dan sumber daya lainnya diakses.

6. Inadequate Segregation of Duties / Pemisahan Tugas yang memadai. Karyawan di lingkungan PC, terutama mereka dari perusahaan-perusahaan kecil, mungkin memiliki akses ke beberapa aplikasi yang merupakan tugas yang tidak kompatibel. Misalnya, satu individu mungkin bertanggung jawab untuk memasukkan semua data transaksi, termasuk order penjualan, penerimaan kas, faktur, dan pengeluaran. Sehingga dilakukan pemisahan, dengan adanya pemisahan maka dapat memperkecil kemungkinan terjadinya pencurian data dan kasus diatas.

7. Multilevel Password Control digunakan untuk membatasi karyawan yang berbagi komputer yang sama ke direktori tertentu, program, dan file data. Dalam pendekatan ini, password yang berbeda digunakan untuk mengakses fungsi yang berbeda.

25 | P a g e

8. Application-level firewalls memberikan penyesuaian tingkat keamanan jaringan yang lebih tinggi tetapi mereka menambahkan overhead untuk konektivitas.

9. Melakukan Encryption adalah konversi data ke dalam kode rahasia untuk penyimpanan dalam database dan transmisi melalui jaringan. Pengirim menggunakan algoritma enkripsi untuk mengubah pesan asli (disebut cleartext) menjadi setara kode (disebut ciphertext). Pada sisi penerima, ciphertext tersebut diterjemahkan (didekripsi) kembali ke dalam bentuk clear text.

10. Menerapkan Digital signature merupakan otentikasi elektronik yang tidak dapat dipalsukan. Ini memastikan bahwa pesan atau dokumen yang dikirimkan pengirim tidak dirusak setelah tanda tangan diterapkan.

11. Memverifikasi identitas pengirim dengan sertifikat digital, yang dikeluarkan oleh pihak ketiga yang terpercaya disebut otoritas sertifikasi (CA). Sebuah sertifikat digital digunakan dalam hubungannya dengan sistem enkripsi kunci publik untuk mengotentikasi pengirim pesan.

26 | P a g e