BAB 2 LANDASAN TEORI 2.1 Teori-Teori Umum 2.1.1 Audit Menurut
advertisement
7 BAB 2 LANDASAN TEORI 2.1 Teori-Teori Umum 2.1.1 Audit Menurut (A.Arens, 2012, p. 45): “Auditing is the accumulationand evaluation of evidence about information to determine and report the degree of correspondence between the information and establish criteria. Auditing should be done by competent, independent person” Yang berarti audit adalah akumulasi dan evaluasi bukti tentang informasi untuk menentukan dan melaporkan tingkat kesesuaian antara informasi dan kriteria yang ditetapkan. Audit harus dilakukan oleh orang yang berwenang, bebas atau berdiri sendiri. Menurut (Senft, 2008, p. 51): “Audit is an independent review and examination of system record and activities that rest for the adequacy of systems controls, ensure compliance with esthablish policy and operation procedures, and recommend any indicated changes in control, policy, and procedures” Yang berarti Audit merupakan kegiatan meninjau yang bersifat independen dengan memeriksakan catatan sistem dan kegiatan yang digunakan untuk memastikan kelayakan sistem pengendalian, kepatuhan terhadap kebijakan, prosedur operasi dan merekomendasikan perubahan yang bersifat mengendalikan, kebijakan yang independen, dan prosedur. Audit pada umumnya dibagi menjadi lima golongan, yaitu: a) Audit laporan keuangan (Financial statement audit) : 8 Audit laporan keuangan adalah audit yang dilakukan oleh auditor publik terhadap laporan keuangan kliennya untuk memberikan pendapat apakah laporan keuangan yang dibuat telah sesuai dengan kriteriakriteria yang telah ditetapkan. Hasil audit lalu dibagikan kepada pihak luar perusahaan seperti pemegang saham, kreditur, dan kantor pelayanan pajak. b) Audit kepatuhan (Compliance audit) : Audit kepatuhan adalah audit yang tujuannya untuk menentukan apakah yang diaudit sesuai dengan kondisi atau peraturan tertentu. Hasil audit kepatuhan dilaporkan kepada pihak yang berwenang untukmembuat kriteria. c) Audit operasional (Operational audit) : Audit operasional merupakan penelusuran secara sistematik aktivitas perusahaan atau departemen yang adadidalam perusahaan dengan tujuan tertentu. Tujuan audit operasional adalah untuk : 1. Mengevaluasi kinerja 2. Mengidentifikasi kesempatan untuk peningkatan 3. Membuat rekomendasi untuk perbaikan d) Audit pengendalian internal (Audit of internal control) : Audit pengendalian internal adalah suatu proses menelusuri, menginvestigasi, dan mengumpulkan bukti terhadap suatu keadaan internal dalam suatu perusahaan agar setiap kegiatan terkontrol dengan baik. e) Audit sistem informasi (Audit of information system) : Audit sistem informasi adalah proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah sistem “komputer ”yang digunakan dapat mengamankan aset, memelihara intergritas data, dandapat mendorong pencapaian tujuan dari organisasi secara efektif dan menggunakan sumber daya secara efisien. 9 2.1.2 Tujuan,Manfaat dan Tahapan Audit 2.1.2.1 Tujuan Audit Menurut (Meisser, 2003, p. 8) audit adalah proses yang sistematik dengan tujuan mengevaluasi bukti mengenai tindakan dan kejadian ekonomi untuk memastikan tingkat kesesuaian antara penugasan dan kriteria yang telah ditetapkan, hasil dari penugasan tersebut dikomunikasikan kepada pihak pengguna yang berkepentingan. 2.1.2.2 Manfaat Audit Berikut adalah manfaat-manfaat audit : 1. Penilaian pengendalian ( appraisal of control ) 2. Penilaian kerja ( Appraisal of performance ) 3. Membantu Manajemen ( Assistance to management) Dalam audit operasional dan audit kepatuhan, hasil audit lebih diarahkan untuk kepentingan kinerjannya. Dan hasilnya merupakan rekomendasi-rekomendasi yang diperlukan pihak manajemen. Manfaat audit dikelompokkan menurutpihak yang menikmati, yaitu: A. Bagi pihak yang diaudit : 1. Menambah kredibilitas laporan keuangannya sehingga laporan tersebut dapat dipercaya untuk kepentingan pihak pemegang saham, kreditur, dan pemerintah. 2. Mencegah fraud yang dilakukan oleh manajemen perusahaan. 3. Memgungkapkan kesalahan yang terjadi paada catatan keuangan. B. Bagi pemangku kepentingan dalam perusahaan : 1. Memberikan keyakinan kepada perusahaan asuransi untuk menyelesaikan klaim atas kerugian yang diasuransikan. 2. Memberikan dasar yang terpercaya kepada para investor dan calon penanam modal menilai investasi dan manajemen perusahaan. 3. Memberikan dasar yang objektif ke karyawan dan pihak yang diaudit untuk menyelesaikan sengketa upah dan tunjangan. 10 2.1.2.3 Tahapan Audit Menurut (Ron, 1999, pp. 47-55) tahapan-tahapan Audit Sistem Informasi adalah sebagai berikut: a. Perencanaan Audit (Planning the Audit) Ini merupakan fase pertama dalam pemeriksaan audit bagi auditor eksternal berarti menyelidiki dari awal atau melanjutkan yang ada untuk menentukan apakah pemeriksaan tersebut dapat diterima, penempatan staf audit yang sesuai, melakukan pengecekan informasi latar belakang klien, mengerti kewajiban utama dari klien, menganalisa memajukan bisnis klien dan mengidentifikasikan area resiko. Sedangkan bagi auditor internal berarti mengerti objek pendukung dalam pemeriksaan, penyediaan informasi pendukung staf yang handal dan mengidentifikasi area resiko. b. Pengujian Pengendalian (Tests of Controls) Biasanya dalam fase ini diawali memusatkan pada pengendalian manajemen, apabila hasil menunjukkan tidak sesuai dengan harapan maka pengendalian manajemen tidak berjalan sebagaimana mestinya. Bila auditor menemukan kelemahan serius pada pengendalian manajemen mereka akan mengemukakan opini atau mengambil keputusan dalam pengujian transaksi dan saldo untuk hasilnya. c. Pengujian Transaksi (Test of Transactions) Pengujian transaksi yang termasuk pengecekan jurnal yang masuk dari dokumen utama, menguji nilai kekayaan dan ketepatan komputasi. Komputer sangat berguna dalam pengujian ini dan auditor dapat menggunakan piranti lunak (software) audit yang umum untuk mengecek apakah pembayaran bunga dari bank telah di kalkulasi secara tepat. d. Pengujian Saldo atau Hasil Keseluruhan (Test of Balances or Overall Result) Dalam audit keuangan terhadap sistem akuntansi berbasis komputer, pengujian substantif atas saldo misalnya dilakukan dengan memeriksa apakah saldo suatu rekening telah sesuai, misalnya piutang. Teknik pemeriksaannya dapat dilakukan dengan cara membuat dan mengirimkan surat konfirmasi kepada debitur. Jawaban dari debitur akan membuktikan apakah hutang menurut 11 pengakuannya sudah sesuai dengan saldo buku pembantu piutang dalam sistem akuntansi. Sedangkan dalam audit operasional dapat dilakukan dengan memeriksa konteks efisiensi dan efektifitas dalam kegiatan komputerisasi. e. Penyelesaian Audit ( Completion of the Audit) Di tahapan akhir audit, auditor eksternal membuat kesimpulan dan rekomendasi untuk dikomunikasikan pada manajemen. Jenis-jenis pendapat auditor adalah: 1) Pernyataan tidak memberikan pendapat (Disclaimer of Opinion) Auditor tidak menyatakan pendapat atas laporan keuangan yang diaudit. 2) Pendapat tidak wajar (Adverse Opinion) Auditor memberikan pendapat tidak wajar jika laporan keuangan yang diberikan tidak disusun berdasarkan prinsip akuntansi secara umum. 3) Pendapat wajar dengan pengecualian (Qualified Opinion) Auditor menyatakan bahwa laporan keuangan yang disajikan salah tetapi tidak ada yang mempengaruhi dari laporan keuangan. 4) Pendapat wajar tanpa pengecualian (Unqualified Opinion) Auditor menyimpulkan tidak ada kehilangan atau penyelewengan material atas pencatatan akuntansi. 2.1.3 Sistem Menurut (Bon, 2007, p. 15)“System is a group of interacting, interrelating, or interdependent component that form a unified whole operating together for a common purpose” Yang berarti sistem adalah sekelompok komponen yang saling berhubungan, berinteraksi atau saling bergantung yang membentuk kesatuan yang utuh untuk tujuan yang sama. 2.1.4 Data Menurut McLeod, data terdiri dari fakta-fakta dan angka-angka yang relatif tidak berarti bagi pemakai. Sedangkan, menurut O’Brien (2006,p38) data adalah observasi mentah, yang biasanya mengenai fenomena fisik atau transaksi bisnis. Dapat disimpulkan bahwa definisi data adalah observasi 12 mentah yang terdiri atas fakta-fakta dan angka-angka mengenai transaksi bisnis yang tidak berarti bagi pemakai jika belum dikelola. 2.1.5 Informasi Menurut (O'brien, 2006, p. 29) informasi adalah data yang telah diubah menjadi konteks yang berarti dan berguna bagi pemakai akhir tertentu. Dan menurut (McLeod, 2007, p. 15), informasi adalah data yang telah diproses atau data yang memiliki arti. Dapat disimpulkan bahwa informasi adalah data yang telah diolah atau diproses yang memiliki arti dan berguna bagi pemakai tertentu. 2.1.6 Sistem Informasi Menurut (O'brien, 2006, p. 5), sistem informasi adalah kombinasi dari orang, hardware, software, jaringan komunikasi dan sumber daya data yang mengumpulkan, mengubah dan menyebarkan informasi dalam sebuah organisasi. 2.1.7 Jaringan Komputer Menurut Williams dan Sawyer (2005,p5), jaringan merupakan system yang saling terhubung dari berbagai komputer, terminal, dan saluran serta peralatan komunikasi. Jaringan komputer menjadi penting bagi manusia dan organisasinya karena jaringan komputer mempunyai tujuan yang menguntungkan bagi mereka. Beberapa manfaat jaringan komputer adalah : 1. Pembagian perangkat peripheral : perangkat perferal seperti printer laser, disk driver, dan scanner biasanya sangat mahal. Akibatnya, penggunaan mereka. Biasanya, cara terbaik untuk melakukan ini adalah menghubungkan ke jaringan peripheral yang melayani beberapa pengguna komputer. 13 2. Pembagian Program dan Data: seluruh program, peralatan dan data yang dapat digunakan oleh setiap orang yang ada dijaringan tanpa dipengaruhi lokasi sumber dan pemakai. 3. Komunikasi yang baik : memungkinkan kerjasama antar orang-orang yang saling berjauhan melalui jaringan komputer baik untuk bertukar data maupun berkomunikasi. 4. Keamanan Informasi: sebelum jaringan menjadi hal yang umum, bisa saja sebuah data informasi hanya dilimiki oleh satu karyawan saja, yang disimpan di komputer yang bersangkutan. Apabila karyawan tersebut diberhentikan, atau kantor yang bersangkutan mengalami bencana kebakaran atau banjir, maka kantor tersebut akan kehilangan data informasi tersebut. Sekarang ini data-data tersebut dibuat cadangan atau digandakan pada perangkat penyimpanan jaringan yang dapat diakses oleh karyawan lain. 5. Akses ke dalam database : jaringan memungkinkan pengguna untuk memanfaatkan berbagai database, apapun database perusahaan swasta atau database public secara online melalui internet tersedia. Jaringan komputer berdasarkan geografis terbagi menjadi tiga (O'Brien, 2008, p. 276), yaitu; 1. LAN (Local Area Network) : LAN digunakan untuk menghubungkan komputer yang berada di dalam suatu gedung perkantoran atau kampus. Jarak antar komputer yang dihubungkan bisa mencapai 5 sampai 10 km. Suatu LAN biasanya bekerja pada kecepatan mulai 10-100 Mbps. LAN menjadi populer karena memungkinkan banyak pengguna untuk memakai sumber daya yang dapat digunakan, misalnya file sharing, printer sharing. 2. MAN (Metropolitan Area Netwok) : MAN merupakan suatu jaringan yang cakupanya meliputi suatu kota. MAN menghubungkan banyak LAN yang lokasinya berjauhan. 14 Jangkauan MAN mencapai 10 km sampai beberapa ratus km. Suatu MAN bisanya bekerja pada kecepatan 1.5-150 Mbps. 3. WAN (Wide Area Network) : WAN dirancang untuk menghubungkan komputer-komputer yang terletak pada suatu cakupan geografis yang luas, seperti hubungan dari suatu kota ke kota lain di dalam suatu negara. Cakupan WAN bisa meliputi 100 sampai 1000 km, dan kecepatan antarkota bisa bervariasi antar 1.5 sampai 2.4 Gbps. Dalam biaya peralatan untuk transmisi sangat tinggi, biasanya WAN dimiliki dan dioperasikan sebagai jaringan public. 2.1.8 Intranet, Internet, dan Ekstranet Menurut (McLeod, 2007, p. 117), intranet adalah jaringan yang terdapat didalam organisasi yang menggunakan teknologi internet seperti (server, web browser, TCP/IP) untuk meyediakan lingkungan yang mirip dengan internet didalam perusahaan yang memungkinkan saling berbagi informasi, komunikasi, dan dukungan proses bisnis. Menurut (McLeod, 2007, p. 117), imernet adalah jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan yang menghubungkan ratusan juta komputer dan pemakaiannya di lebih dari dua ratus negara di dunia. Menurut (McLeod, 2007, p. 117), Ekstranet adalah hubungan jaringan yang menggunakan teknologi internet untuk saling menghubungkan intranet bisnis dengan intranet pelangganya, supplier dan mitra bisnis. 2.1.9 Virus Menurut O’Brien (2007, p446),salah satu contoh kejahatan komputer yang paling bersifat merusak adalah virus komputer atau yang biasa disebut dengan worm. Virus adalah istilah yang paling popular, secara teknis, virus adalah kode program yang tidak dapat bekerja tanpa disertai atau dimasukkan ke dalam program yang lainnya. Worm sendiri merupakan program yang berbeda yang dapat berjalan tanpa bantuan. 15 Dapat disimpulkan bahwa virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti copy file, biasanya melalui attachement email, game, program bajakan dan lain-lain. 2.1.10 OSI Layer OSI layer adalah salah satu dari arsitektur jaringan. OSI layer sendiri sering digunakan untuk menjelaskan cara kerja jaringan komputer secara logika. Secara umum model OSI membagi berbagai fungsi network menjadi 7 lapisan . sedangkan lembaga yang mempublikasikan model OSI adalah International Organization for Standartdization (ISO). Model OSI diperkenalkan pada tahun 1984. 1. Physical Layer : Layer ini menentukan masalah kelistrikan/ gelombang/ medan dan berbagai prosedur / fungsi yang berkaitan dengan link fisik, seperti besar tegangan/ arus listrik. Panjang maksimal media transmisi, pergantian fasa, jenis kabel dan konektor. 2. Data Link Layer : Layer ini menentukan pengalamatan listrik (hardware address), error notification (pendeteksian error), frame flow control (kendali aliran frame), dan topologi jaringan. Ada dua sublayer pada data link yaitu : a. Logical Link Control (LLC) LLC mengatur komunikasi, seperti error notification dan flow control. b. Media Access Control (MAC) MAC mengatur pengalamatan fisik yang digunakan dalam proses komunikasi antar adapter. 3. Network Layer : Layer ini menentukan rute yang dilalui oleh data. Layer ini juga menyediakan Logical addressing (pengalamatan logiak) dan path determination (penentuan rute tujuan). 4. Transport Layer : 16 Layer ini menyediakan end-to end communication protocol. Layer ini juga bertanggung jawab terhadap “keselamatan data” dan “segmentasi data”, seperti : mengatur flow control (mengatur aliran data), error detection (deteksi error) and correction (koreksi), data sequencing (urutan data), dan size of the packet (urutan paket). 5. Session Layer : Layer ini mengatur sesi (session) yang meliputi establishing (memulai sesi), maintaining (mempertahankan sesi), dan terminating (mengakhiri sesi) antar entitas yang dimiliki oleh presentation layer. 6. Presentation Layer : Layer ini mengatur konversi dan translasi berbagai format data, seperti kompresi data dan enkripsi data. 7. Application Layer : Layer ini menyediakan layanan bagi berbagai aplikasi network. Ketujuh layer ini jika dilihat secara fungsional dapat dikelompokan menjadi dua bagian saja, yaitu: a. Upper layers Upper layer berisi lima sampai tujuh layer. Upper layer sering disebut juga application layers. Segala sesuatu yang berkaitan dengan user interface, data formating, dan communication sessions ditangani oleh layer ini. b. Lower Layers Lower layers berisi layer satu sampai layer empat. Lower layers sering disebut juga data flowlayers. Bagaimana data mengalir pada network ditangani oleh layer ini. 17 Gambar 2.1 Osi Layer 2.1.11 Hardware Jaringan Dalam merancang jaringan, diperlukan hardware-hardware untuk menghubungkan antar user. hardware-hardware ini dapat meningkatkan efisiensi dalam pengiriman paket dan biaya yang dikeluarkan dalam merancang jaringan. beberapa hardware yang diperlukan dalam merancang jaringan yaitu : 2.1.11.1. Router Router sering digunakan untuk menghubungkan beberapa jaringan, baik jaringan yang sama maupun berbeda dari segi teknologinya. Router memiliki kemampuan routing. Artinya router secara cerdas dapat mengetahui kemana rute perjalanan informasi (packet) akan di lewatkan. Router bekerja pada layer 3 OSI (Network layer). Router dilambangkan 18 dengan sebuah tabung pipih dengan memiliki empat anak panah dari empat sisi diatasnya. 2.1.11.2 Switch Switch dikenal juga sebagai multiport bridge. Switch dapat mempelajari alamat hardware host tujuan, sehingga informasi bisa langsung dikirim ke host tujuan. Switch bekerja pada layer 2 OSI (Data Link Layer). Biasanya simbol switch digambarkan seperti sebuah balok pipih dengan empat anak panah diatasnya. Dua anak panah mengarah ke kiri dan dua anak panah lainya ke kanan. 2.1.11.3 Multi Layer Switch Switch (sumber: http://cnap.binus.ac.id/ccna, 2012) yang menyaring dan meneruskan paket berdasarkan macaddress dan network address. Jenis ini dapat berjalan di layer 2 dan layer3. Multi Layer Switch memiliki fungsi yang hampir sama dengan router yaitu untuk melakukan routing paket, tetapi tidak mendukung untuk teknologi WAN. 2.1.11.4 DSLAM (Digital subscriber Line Access Multiplexer) : DSLAM menurut (Russell, 2006, p. 183) adalah sebuah peralatan yang berfungsi untuk menggabungkan dan memisahkan sinyal data dengan saluran telepon yang digunakan untuk mentransmisikan data, peralatan ini terletak di ujung sentral telepon terdekat berfungsi juga sebagai filter voice dan data. 2.1.12 Model TCP/IP 2.1.12.1 TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol ) menurut (Lehtinen, 2006, p. 49) adalah suatu model yang di kembangkan oleh Departemen of Defense (DoD) Amerika Serikat dengan maksud untuk 19 mengirimkan paket data setiap saat dalam kondisi apapun dari suatu titik ke titik lain. TCP/IP memungkinkan terjadi komunikasi antara jaringan yang saling berhubungan dan dapat digunakan baik dalam LAN maupun WAN. Ada empat layer yang dikenal dalam TCP/IP, yaitu: Layer 4 : Application Layer Application Layer merupakan sisi paling atas dari arsitektur protokol TCP/IP. Pada layer ini terletak semua aplikasi yang menggunakan protokol TCP/IP. Pada layer ini terletak semua aplikasi yang menggunakan TCP/IP seperti FTP (File Transfer Protocol). SMTP (Simple Mail Transfer Protokol), dan HTTP (Hyper Text Transfer Protocol). Layer 3 : Transport Layer Layer ini bertanggung jawab untuk komunikasi antara aplikasi. Layer ini mengatur aluran informasi dan menyediakan pemerikasaan kesalahan (error). Data dibagi ke dalam beberapa paket yang dikirim ke internet layer dengan sebuah header. Header mengandung alamat tujuan, alamat sumber dan checksum. Checksum diperiksa oleh mesin penerima. Layer 2 : Internet Layer Layer ini berkorespodensi dengan network layer pada model OSI, dimana layer ini bertanggung jawab untuk mengirim paket data dalam jaringan menggunakan pengalamatan logikal. Layer ini berfungsi untuk melakukan penentuan best path dan packet switching. Layer 1 : Network Access Layer Protokol pada layer ini menyediakan media bagi sistem untuk mengirim data ke device lain yang berhubungan langsung. Fungsi utama dari network access layer adalah menkonversikan IP packet sehingga bisa dikirim melalui physical link. 20 Informasi Ping pada paket ICMP terdapat pada "type of message", dengan kode 8 (echo request).Quench adalah field yang berisi identifier (16bit) dan sequencenumber (16bit) dari paket ICMP. Data (optional), adalah field yang berisi waktu pengiriman paket ICMP echorequest. Pada saat host tujuan merespon echo dari host sumber, informasi ini dapat dikembalikan sama persis. data inilah yang digunakan oleh host sumber untuk mengukur Round-Trip Latency dari host sumber ke host tujuan. 2.1.13. PING Ping (Packet Internet Network Grupper) adalah utilitas yang umum digunakan dalam jaringan komputer untuk : 1. Mengetahui status aktif / tidak aktfi dari suatu remote-host. 2. Mengukur round-trip latency untuk komunikasi dengan host. 3. Menghitung Packetloss. Ping beroprasi dengan mengirimkan paket ICMP (Internet Control Message Protocol) echo request ke host target, lalu menunggu respon ICMP dari host target. Susunan dari paket ICMP adalah : 2.1.14 Firewall Firewall mempunyai arti "sebuah perangkat atau sistem operasi, atau aplikasi yang menerapkan aturan akses antar jaringan dengan cara menyaring, membatasi dan menolak suatu hubungan atau kegiatan dari segmen pada jaringan komputer. (RFC 2647). Firewall merupakan perangkat jaringan yang berada di dalam kategori perangkat Layer 3 (Network Layer) dan Layer 4 (Transport Layer) dari protokol 7 OSI layer. Seperti diketahui, Layer 3 adalah Layer yang mengurus masalah pengalamatan IP, dan Layer 4 adalah menangani 21 permaslaahan port-port komunikasi (TCP/UDP). Terdapat tiga tipe firewall yang sering digunakan, diantaranya : 1. Packet-Filtering Router Menurut Stailling (2003, p.618), packet filtering mengaplikasi sekumpulan rule untuk mengatur setiap paket IP. Pada tipe ini paket tersebut akan diatur apakah akan di terima dan diterukan atau ditolak. Packet filtering ini di konfigurasikan untuk menyaring packet yang akan dit transfer secara dua arah (baik dari dan ke jaringan lokal). Rule yang digunakan berdasarkan pada informasi yang terkandung dalam IP Header, seperti source dan destination IP address, source dan destination port, protokol yang digunakan pada Transport Layer (TCP atau UDP). Kelebihan tipe ini adalah mudah untuk diimplementasikan, transparan ntuk pemakai, relatif lebih cepat. adapun kelemahanya adalah cukup rumit dalam melakukan konfigurasi terhadap paket yang akan difilter secara tepat, serta lemah dalam hal authentikasi. 2. Application-Level Gateway Menurut Stailling (2003, p.624) Application-level Gateway atau yang biasa dikenal sebagai proxy server, yang mana berfungsi untuk menyalurkan aplikasi. Cara kerjanya adalah apabila ada pengguna yang menggunakan salah satu aplikasi seperti FTP untuk mengakses secara remote, maka gateway akan meminta user memasukan alamat remote host yang akan di akses. Saat pengguna mengirimkan user ID serta informasi lainya yang sesuai maka gateway akan melakukan hubungan terhadap aplikasi tersebut yang terdapat pada remote host, dan menyalurkan data diantara kedua titik. Apabila data tersebut tidak sesuai maka firewall tidak akan meneruskan data tersebut atau menolaknya. Pada tipe ini firewall dapat di konfigurasikan untuk hanya mendukung beberapa aplikasi saja dan menolak aplikasi lainya untuk melewati firewall. Kelebihan adalah relatif lebih aman dari tipe packet filtering router lebih mudah 22 untuk memeriksa dan mendata semua aliran data yang masuk pada level aplikasi. Kekuranganya adalah pemrosesan tambahan yang berlebih pada setiap hubungan. Yang akan mengakibatkan terdapat dua buah sambungan koneksi antara pemakai dan gateway, diamana gateway akan memeriksa dan meneruskan semua arus dari dua arah. 3. Circuit-level Gateway Menurut Stailling (2003, p.624) Circuit-level Gateway merupakan sebuah sistem yang berdiri sendiri, atau juga merupakan fungsi khusus yang terbentuk dari tipe application-level gateway. Tipe ini dapat mengijinkan koneksi TCP end to end (langsung). Gateway akan mengatur kedua hubungan TCP tersebut, yaitu antara Gateway dengan pengguna TCP luar (outside host). Saat dua buah hubungan terlaksana, Gateway akan menyalurkan TCP segment dari satu hubungan ke hubungan lainya tanpa memeriksa isinya. Fungsi pengamanan terletak pada penentuan hubungan mana yang di ijinkan. 2.1.15 Bandwidth Bandwith adalah luas atau lebar frekuensi yang dapat digunakan oleh sinyal dalam medium frekuensi. Bandwith juga merupakan suatu penghitungan atau ukuran dari banyak informasi yang dapat mengalir dari suatu tempat ke tempat lain dalam kurun waktu tertentu. Satuan yang di pakai untuk bandwith adalah bit per second atau sering disingkat sebagai bps. Seperti kita tahu bahwa bit atau binary digit adalah basis angka yang terdiri dari angka 0 dan 1. Satuan ini menggambarkan seberapa banyak bit (angka 0 dan 1) yang dapat mengalir dari suatu tempat ketempat lainya dalam setiap detiknya melalui suatu media. 23 Bandwith seringkali disamakan dengan throughput, walaupun sebenarnya kedua istilah ini memiliki perbedaan.Bandwidth adalah ukuran seberapa banyak adata dalam satuan bit, dapat melewati media pada satu waktu yang bersamaan. Sedangkan throughput adalah data faktual dalam satuan bit yang melewati media pada satu waktu tertentu. Analogi dari bandwidth adalah lebar dari sebuah jalan raya sedangkan throughput adalah jumlah mobil yang melewati jalan raya dalam waktu bersamaan. 2.1.16 Computer Assisted Audit Technique (CAAT) 2.1.16.1 Pengertian CAAT Menurut (Sayana, 2003), melakukan audit tanpa menggunakan teknologi merupakan suatu pilihan yang sulit. Hal ini dikarenakan semua informasi yang dibutuhkan untuk melakukan audit terdapat pada sistem komputer. Oleh karena itu, dalam melaksanakan audit dibutuhkan suatu software yang mendukung untuk melakukan audit dan mencapai tujuan audit, pendekatan ini disebut dengan CAATs. CAATs diklasifikasikan menjadi 4 kategori utama yaitu: a. Data Analysis Software Data analysis software merupakan kategori yang paling banyak digunakan untuk membantu tujuan audit secara umum. Salah satu produk data analysis software adalah GAS (Generalized Audit Software). b. Network Security Evaluation Software/Utilities Network Security Evaluation Software/Utilities merupakan salah satu software yang membantu auditor dalam mengevaluasi keamanan jaringan dengan menemukan kerentanan-kerentanan (vulnerabilitas) yang ada dari serangan-serangan orang yang tidak bertanggung jawab pada sebuah jaringan dengan menggunakan tool seperti scanner. 24 c. OS and DBMS Security Evaluation Software/Utilities OS and DBMS Security Evaluation Software/Utilities merupakan salah satu software yang digunakan untuk mengevaluasi keamanan pada platform dan database yang digunakan pada sebuah sistem. d. Software and Code Testing Tools Software and Code Testing Toolsdigunakan untuk melakukan pengujian terhadap fungsionalitas sebuah software dan kode program dengan tujuan untuk menemukan bug. Selain itu untuk menentukan apakah software itu telah menemui requirement dan berjalan sesuai dengan yang diharapkan. Menurut ISACA yang diterjemahkan oleh Gondodiyoto (2007, p237), pedoman teknik audit berbantuan komputer (CAATs) berada pada Guidline ketiga (G3) yang diterbitkan pada tanggal 1 Desember 1998. G3 Use of Computer Assisted Audit Techniques 1. Latar Belakang a. Guideline ini berkaitan dengan standard S6 (Kinerja Pelaksanaan Audit), S5 (Audit Planning), dan S3 (Professional Ethics and Standards). b. Guidline ini disusun dengan tujuan memperjelas beberapa hal: • CAATs terdiri dari berbagai tipe alat den teknik, seperti General Software Audit, Utility Software, Tes Data atau Tes Data Generation, pemetaan software aplikasi, dan sistem pakar (expert system) audit, merupakan teknik yang sangat penting bagi kinerja auditor SI. • CAATs dapat digunakan untuk mengerjakan beberapa prosedur audit: a) Uji transaksi/saldo b) Prosedur analisis c) Uji pengendalian umum SI d) Uji pengendalian aplikasi SI 25 e) Tes penetrasi • CAATs dapat menghasilkan banyak bukti audit pada audit SI, karena itu IT auditor harus merencanakan penggunaan CAATs dengan seksama. 2. Pokok – Pokok Isi a. Faktor – faktor yang harus dipertimbangkan auditor dalam perencanaan audit, apakah akan melakukan audit secara manual, dengan CAATs, atau kombinasi antara keduanya, bergantung pada: • Pengetahuan komputer, keahlian, dan pengalaman dari auditor SI. • Cocok atau tidakanya memakai fasilitas CAATs • Efisiensi dan efektifitas penggunaan CAATs dibanding manual.dalam pertimbangan waktu • Integritas sistem informasi dan lingkungannya • Tingkat resiko audit yang ditetapkan b. Langkah – Langkah yang harus dilakukan oleh auditor dalam CAATs: • Menentukan tujuan pemakaian CAATs dalam audit. • Menentukan accessibility dan availiability system atau program dan data yang akan diaudit. • Menentukan prosedur yang akan dilakukan dengan CAATs, misalnya sampling, rekalkulasi, penyiapan konfirmasi, dsb. • Menentukan kebutuhan output • Menentukan sumber daya antara lain personil, lingkungan SI yang akan diaudit dengan bantuan komputer. • Menentukan akses untuk mengetahui spesifikasi program atau sistem, data pada SI perusahaan termasuk definisi file yang akan diaudit. • Dokumentasi CAATs yang diperlukan yang mungkin perlu digunakan, termasuk diantaranya tujuan/manfaat CAATs 26 tersebut, high level flowchart, dan instruksi atau panduan menjalankan. c. Persiapan dengan auditan • Test file atau data transaksi mungkin tidak lama berada di komputer, untuk itu auditor SI harus meminta data lama (retensi) sesuai dengan kebutuhan periode ruang lingkup jangka waktu audit. • Akses terhadap fasilitas, program/sistem dan data SI organisasi harus diatur dengan baik agar sedikit mungkin atau untuk mengurangi efek terhadap lingkungan produksi organisasi yang sedang di audit. • Auditor SI harus memperkirakan efek memakai CAATs, kemungkinan diubahnya program produksi atau data yang diaudit, serta integritas pelaksanaan CAAT tersebut. d. Test CAATs Auditor SI harus yakin terhadap integrity, realibility, dan keamanan CAATs dengan perencanaan, perancangan, pengujian, pemrosesan, dan review dokumentasi yang memadai sebelum benar-benar melakukan audit bantuan komputer tersebut. e. Data Security dan CAATs • Pada waktu menggunakan CAATs, extract data untuk analisis, auditor SI memverifikasi integritas data dari sistem informasi dan lingkungan TI dari data yang diesktrak. • CAATs dapat digunakan untuk mengekstrak program atau data dengan tetap harus dijaga kerahasiaannya. • Auditor SI harus mendokumentasikan hasil prosedur audit berbantuan komputer tersebut dengan benar untuk mendukung integritas, reliabilitas, kegunaan dan keamanan CAATs. Contoh harus diperiksa apakah program yang diaudit benar-benar production program, 27 apakah ada mekanisme program changes control yang memadai. • Ketika CAATs berada pada lingkungan yang tidak dalam kontrol auditor, auditor SI tetap harus mendapat keyakinan bahwa integrity, reliability, usefulness, dan security tetap terjaga. f. Pemakaian CAATs pada pengumpulan bukti audit ialah untuk mendukung keyakinan memadai, oleh karena itu auditor SI harus: • Sedapat mungkin melakukan rekonsiliasi kontrol total. • Review output mengenai kelayakan datanya • Melakukan review logika, parameter yang digunakan dan ciri/karakteristik lain dari CAATs. • Review pengendalian umum yang mungkin berkontribusi pada integritas CAATs, misalnya program change controls, akses terhadap data/file atau program. g. Generalized Audit Software (GAS) Dalam menggunakan GAS untuk akses data, auditor SI harus mengikuti langkah yang benar untuk melindungi integritas data yang akan diaudit. h. Utility Software Jika memakai utility software (software yang umumnya bagian sistem software, bahkan operating system) auditor SI harus yakin bahwa tidak ada intervensi dan software tersebut diambil dari kepustakaan file (library) yang benar, dan bahwa sistem dan data yang diaudit terlindungi dari kerusakan. i. Test Data Jika menggunakan data uji, auditor SI harus waspada bahwa data uji dapat member potensi error dan bahwa yang dievaluasi adalah ukuran data yang aktual. Sistem data uji sering perlu ketelitian dan waktu lama, dan auditor harus 28 yakin bahwa setelah test maka data uji tidak mengkontaminasi data sesungguhnya (real actual data). j. Application Software Tracing and Mapping Jika menggunakan software untuk penelusuran dan pemberitaan aplikasi, auditor SI harus yakin bahwa source code yang dievaluasi adalah benar-benar yang menjadi program object code yang digunakaN dalam produksi. k. Audit Expert System Jika menggunakan sistem pakar audit, auditor SI harus paham benar mengenai konsep operasi sistem pakar tersebut agar yakin bahwa keputusan yang akan diikuti adalah benar keputusan yang diambil dengan jalur yang benar sesuai dengan kondisi dan tujuan lingkungan audit. l. Dalam perencanaan audit Jika perlu dilakukan dokumentasi yang mencakup tujuan/manfaat CAATs, CAATs yang digunakan, pengendalian intern yang diuji atau di-test, personil/staff yang terkait dengan waktu. Pada Work Papers (kertas kerja pemeriksaan), langkah-langakh CAATs harus didokumentasi untuk mendukung bukti audit yang memadai. Kertas kerja audit harus memiliki dokumentasi yang mendeskripsikan aplikasi CAATs yang digunakan dan hal-hal berikut: • Persiapan dan prosedur pengujian pengendalian CAATs • Rincian kerja pengujian CAATs • Rincian input (data yang diuji, file layout), proses (high level, flowchart, logic), output (log file, laporan). • Listing parameter yang digunakan dan source code. • Output yang dihasilkan dan gambaran hasil analisisnya. • Temuan audit, kesimpulan dan rekomendasi. m. Uraian penjelasan CAATs dalam pelaporan • Laporan audit harus secara jelas menguraikan tujuan, ruang lingkup, dan metodologi CAATs yang digunakan. 29 • Penjelasan CAATs harus juga tercantum pada batang tubuh laporan, temuan sebagai hasil pemakaian CAATs harus juga diungkapkan. • Jika uraian tentang CAATs akan terlalu banyak (terkait beberapa temuan) atau terlalu rinci maka dapat diuraikan pada bagian laporan yang memuat tujuan, ruang lingkup, dan metodologi audit. 2.1.16.2 Tools CAATs Dalam melakukan audit CAATs memiliki tools yang dapat digunakan untuk memudahkan dalam mengaudit. Beberapa tools tersebut adalah: a. Dalam audit database dapat menggunakan tools CAATs ACL. b. Dalam audit web dapat menggunakan tools CAATs Acunetix. c. Dalam audit jaringan khususnya Local Area Network dapat menggunakan tools CAATs GFI LANguard. 2.1.17 Port Menurut (Dulaney, 2009, p. 29), port mengindentifikasi bagaimana suatu komunikasi dapat terjadi. Port merupakan alamat khusus yang memungkinkan terjadinya komunikasi antar host. Berdasarkan sumber Wikipedia, terdapat 3 jenis status port yang dikenal oleh yaitu: a. Open Port berstatus terbuka menunjukan bahwa sebuah aplikasi secara aktif menyediakan layanan yang tersedia untuk digunakan pada jaringan. Menemukan port yang terbuka merupakan tujuan utama dari portscanning dimana orang yang ahli dalam security mengetahui bahwa tiap-tiap port yang berstatus open merupakan celah bagi para penyerang. b. Closed Pada port yang berstatus closed tidak terdapat aplikasi yang menyediakan layanan untuk digunakan pada jaringan namun dapat dideteksi oleh GFI. 30 c. Filtered Port berstatus filtered karena GFI tidak dapat menentukan apakah port tersebut terbuka atau tertutup yang disebabkan oleh adanya perangkat GFI LANguard mencapai port tersebut. Port berstatus filtered memberikan sedikit informasi untuk penyerang sehingga sulit untuk melakukan penyerangan melalui port ini. 2.1.18 Vulnerability 2.1.18.1 Pengertian Vulnerability Menurut (Lehtinen, 2006, p. 12), vulnerability (kerentanan) adalah titik dimana sistem rentan terhadap serangan.Sehingga dapat disimpulkan bahwa vulnerability (kerentanan) merupakan kelemahan sistem yang merupakan titik dimana sistem rentan terhadap serangan dari para attacker yang dapat menganggu fungsionalitas dan integritas sistem tersebut. 2.1.18.2 Jenis – Jenis Vulnerability Menurut (Lehtinen, 2006, p. 12), setiap komputer maupun jaringan tentunya rentan terhadap suatu serangan, dimana terdapat beberapa jenis dari kerentanan pada sebuah sistem komputer yaitu: a. Physical Vulnerabilities Kerentanan terhadap jaringan komputer anda, dimana terdapat orang yang terautorisasi mencoba untuk masuk ke dalam server jaringan dan menyabotase peralatan jaringan, kemudian mencuri data back up, printouts ataupun informasi penting yang memungkinkan mereka untuk lebih mudah masuk ke server dilain waktu. b. Natural Vulnerabilities Kerentanan terhadap komputer atau jaringan yang disebabkan oleh bencana alam dan ancaman lingkungan seperti kebakaran, banjir, 31 gempa bumi, petir, kehilangan daya yang dapat merusak data dan komputer. Debu, kelembapan, dan kondisi suhu yang tidak merata juga dapat menyebabkan kerusakan. c. Hardware and Software Vulnerabilities Kerentanan pada sebuah jaringan atau komputer diakibatkan karena hardware failure yang menyebabkan mudahnya bagi orangorang yang tidak terautorisasi untuk membuka lubang kemanan (security hole). Sedangkan software failure dapat mengakibatkan sistem menjadi gagal. d. Media Vulnerabilities Kerentanan dapat terjadi pada sebauh media backup seperti kemasan disk, tape, cartridge, chip memori printoutkarena dapat dicuri atau rusak karena debu atau medan magnet. e. Emanation Vulnerabilities Kerentanan dapat terjadi pada semua peralatan elektronik yang memancarkan radiasi elektronik dan elektromagnetik, dikarenakan adanya penyadap elektronik dapat mencegat sinyal yang berasal dari komputer, jaringan dan sistem nirkabel yang mengakibatkan informasi yang disimpan dan ditransmisikan menjadi rentan. f. Communication Vulnerabilities Kerentanan dapat timbul apabila komputer anda terhubung dengan jaringan atau dapat diakses melalui modem atau internet, yang mengakibatkan orang yang tidak terautorisasi dapat menembus sistem Anda. g. Human Vulnarabilities Kerentanan terbesar yang mungkin timbul adalah dikarenakan orang-orang yang mengelola dan menggunakan sistem (administrator). 32 h. Exploiting Vulnerabilities Kerentanan dapat diekspoitasi dengan berbagai cara, salah satunya seperti menggunakan loggingkarena logging merupakan sistem yang tidak terproteksi oleh password dan memiliki kontrol yang minimal. 2.1.19 Demilitarized Zone Demilitarized Zone (DMZ) merupakan mekanisme untuk melindungi sistem internal dari serangan hacker ataupun pihak – pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses. Secara esensial, DMZ melakukan perpindahan semua layanan suatu jaringan ke jaringan lain yang berbeda. DMZ terdiri dari semua port terbuka, yang dapat dilihat oleh pihak luar. 2.1.20 Domain Name Server(DNS) Domain Name Server menurut (DNS (Sourour, 2009, p. 233)) adalah sebuah sistem yang menyimpan informasi tentang nama host maupun nama domain dalam bentuk basis data tersebar (distributed database) didalam jaringan komputer. DNS menyediakan alamat IP untuk setiap nama host dan mendata setiap server transmisi surat (mail exchange server) yang menerima surel (email) untuk setiap domain. DNS menyediakan servis yang cukup penting untuk internet. Bilamana perangkat keras komputer dan jaringan kerja dengan alamat IP untuk mengerjakan tugas seperti pengalamatan dan pejaluran (routing), manusia pada umumnya lebih memilih untuk menggunakan nama host dan nama domain. Contohnya adalah penunjukan sumber universal (URL) dan alamat surel. Analogi yang umum digunakan untuk menjelaskan fungsinya adalah DNS bisa 33 dianggap seperti buku telepon internet dimana saat pengguna mengetikkan alamat di peramban web maka pengguna akan diarahkan ke alamat IP 192.0.32.10 (IPv4) dan 2620:0:2d0:200:10 (IPv6). 2.1.21 Proxy Server Proxy Server adalah sebuah server (sistem komputer atau aplikasi) yang bertindak sebagai perantara permintaan dari klien mencari sumber daya dari server lain. Klien A terhubung ke server perantara, meminta beberapa service, seperti berkas, koneksi, halaman web, atau sumber daya lainnya, yang tersedia dari server yang berbeda. Server perantara mengevaluasi permintaan menurut aturan penyaringan. Sebagai contoh, mungkin filter lalu lintas oleh (alamat(IP)) atau protikol. Jika permintaan divalidasi oleh filter, perantara menyediakan layanan atas nama klien. Sebuah server perantara secara operasional dapat mengubah permohonan klien atau menanggapi di server, dan kadang-kadang mungkin melayani permintaan tanpa menghubungi server yang ditetapkan. Dalam hal ini, tanggapan yang tembolok dari remote server, dan selanjutnya kembali permintaan konten yang sama secara langsung. 2.1.22 Web Server Menurut (Sukandi, 2010, p. 41) web server adalah sebuah perangkat lunak server yang berfungsimenerimapermintaanmelalui http atau https dari klien yang dikenal dengan web browser dan mengirimkan kembali permintaan dalam bentuk halaman-halaman web berbentuk HTML. 2.1.23 Mail Server Menurut (Margaret, 2010, p. 95)adalah perangkat lunak yang berfungsi mendistribusikan file atau informasi sebagai respon atas permintaan yang dikirim via email 34 . 2.1.24 Down Time Down Time (Lehtinen, 2006) merupakan istilah yang merujuk kepada periode dimana sebuah sistem tidak dapat berfungsi, tidak dapat menyediakan, atau tidak dapat melakukan fungsi utamanya. Sistem tersebut tidak dapat digunakan karena adanya gangguan hardware, software, ataupun komunikasi. 2.1.25 Risiko Menurut (Peltier, 2005, p. 41), risiko adalah seseorang atau sesuatu yang menimbulkan ataupun menunjukan bahayanya. Menurut Gondodiyoto (Gondodiyoto, 2007). risiko adalah suatu kesempatan perusahaan dapat memperkecil risiko dengan melakukan antisipasi berupa pengendalian namun tidak mungkin dapat sepenuhnya menghindari exposure, bahkan dengan struktur pengendalian semaksimal sekalipun. 2.1.25.1 Kategori Risiko Teknologi Informasi Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam enam kategori, yaitu: 1. Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang, misalnya: kejahatan pada komputer, kebocoran internal dan terorisme cyber. 2. Ketersediaan Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), konfigurasi perusahaan, dan kurangnya pengurangan arsitektur. 3. Daya pulih 35 Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau perangkat keras, ancaman eksternal, atau bencana alam. 4. Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. 5. Daya skala Risiko dimana perkembangan bisnis, pengaturan bottleneck, dan bentuk arsitektur menyebabkan perusahaan tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. 6. Ketaatan Risiko yang manajemen atau penggunaan informasinya melanggar keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal. 2.1.26 Threat Menurut (Peltier, 2005, p. 161) threat adalah kejadian yang memiliki dampak yang negatif pada tujuan bisnis dari suatu perusahaan. 2.2 Teori-Teori Khusus : 2.2.1 Evaluasi Evaluasi menurut (Mehren dan Lehman, 1978:5) adalah suatu proses merencanakan, memperoleh, dan menyediakan informasi yang sangat diperlukan untuk membuat alternatif-alternatif keputusan. 2.2.2 Infrastruktur 36 Infrastruktur menurut (Perkins, 2008, p. 41) adalah seluruh komponen dan konfigurasi yang dibutuhkan untuk memberikan layanan teknologi informasi kepada pelanggan. 2.2.2.1 Infrastruktur Teknologi Informasi 2.2.2.1.1 Hardware Menurut O’Brien (2007,p6), hardware mencakup semua peralatan fisik yang digunakan dalam pemrosesan informasi. Hardware berkaitan dengan peralatan keras dengan media komunikasi, yang menghubungkan berbagai jaringan dan pemrosesan paket-paket data sehingga tranmisi data lebih efektif. Hardware adalah semua mesin peralatan di komputer yang juga sering dikenal sebagai sistem komputer. Ada 6 kategori dasar dalam sistem komputer, yaitu : 1. Input device. berkaitan dengan peralatan, proses, atau saluran yang dilibatkan dalam pemasukan data ke sistem pemrosesan data. Alat input komputer mencakup keyboard, touch screen, pena, mouse dan lain-lain. Alat-alat tersebut mengonversi data ke dalam bentuk elektronik dengan entri langsung atau melalui jaringan telekomunikasi ke dalam sistem komputer. 2. Proses. Central Processing Unit (CPU) adalah komponen pemrosesan utama dari sistem komputer. 3. Storage device. Fungsi storage dari sistem komputer berada pada sirkuit penyimpanan dari unit penyimpanan primer (primary storage unit) atau memori, yang didukung oleh alat penyimpanan sekunder (secondaru storage), seperti disket, magnetis, dan disk drive optical, memory card, flashdisk dan lain sebagainya. 4. Output device. Berkaitan dengan peralatan, proses, atau saluran yang dilibatkan dalam transfer data atau informasi ke luar dari sistem pemrosesan informasi. Alat output dari sistem mencakup unit tampilan visual, printer, unit respons audio, dan lain-lain. Alat-alat ini mengubah informasi elektronik yang dihasilkan oleh sistem komputer menjadi bentuk yang dapat dipresentasi ke pemakai, seperti monitor, printer, speaker. 37 5. Communicating device. Berkaitan dengan pengiriman informasi dan meneriman informasi dari orang atau komputer lain dalam satu jaringan. Contohnya, modem. 6. Connecting hardware. Termasuk hal-hal seperti terminal pararel yang menghubungkan printer, kabel penghubung yang menghubungkan printer ke terminal pararel dan peralatan penghubung internal yang sebagian besar termasuk alat pengantar untuk perjalanan informasi dari satu bagian hardware ke bagian lainnya. 2.2.2.1.2 Software Menurut O’Brien (2007, p104) software meliputi semua rangkaian perintah pemrosesan informasi. Konsep umum software ini meliputi tidak hanya rangkaian perintah informasi yang disebut program dengan hardware komputer pengendalian dan langsung, tetapi juga rangkaian perintah pemrosesan informasi yang disebut prosedur yang dibutuhkan orang-orang. Menurut Williams and Sawyer, software adalah program yang secara elektronik mengkodekan instruksi yang memberitahukan hardware komputer untuk melakukan tugas. Ada 2 tipe utama dari software, yaitu application software dan system software. Application software manajemen risiko berkaitan dengan potensi kerugian, termasuk kerugian ekonomi, penderitaan manusia, atau yang dapat mencegah organisasi dari yang untuk mencapai tujuannya, sedangkan system software memungkinkan perangkat lunak aplikasi untuk berinteraksi dengan komputer dan membantu komputer mengelola sumber daya internal dan eksternal. System software dibagi menjadi 2 sistem, yakni operating system dan utility software. Oprating system software adalah komponen utama dari perangkat lunak sistem dalam sistem komputer, sedangkan Utility software umumnya digunakan untuk mendukung, meningkatkan, atau memperluas program yang ada dalam sistem komputer. 38 2.2.3 GFI LANguard GFI Languard (GFI.com, 2013) adalah salah satu software keamanan jaringan. Fungsinya untuk memindai setiapkomputer di jaringan dan melaporkan port apa saja yang terbuka, mengelompokan vulnerability yang ditemukan (high, medium, low). Aplikasi yang sedang dijalankan, folder yang di sharing, Service yang sedang berjalan didalam komputer, patch-patch penting yang belum terinstall, informasi hardware dan mengetahui software yang di install dalam komputer. 2.2.3.1 Features Product GFI Languard a. Patch management for operating system Patch manajemen memindai jaringan secara otomatis atau sesuai permintaan. Ini memberi tahukan fungsi dan peralatan yang diperlukan untuk menginstal dan mengelola patch pada semua komputer dan berbagai sistem dan aplikasi pada Microsoft dan Mac OS dalam berbagai bahasa yang mendukung secara efektif. b. Patch management for third-party GFI LANguard menawarkan dukungan manajemen patch untuk perangkat lunak pihak ketiga (melebihi dan melampaui Microsoft dan Mac OS) yang memungkin administrator untuk mendeteksi, download dan menyebarkan patch yang hilang untuk aplikasi yang mendukung dengan cara yang sama seperti yang dilakukan oleh Microsoft dan Mac OS. c. Vulnerability assessment Pemindai jaringan IP dengan menggunakan GFI LANguard dapat dilakukan scan multi-platform (Windows, Mac OS ®, Linux) di semua lingkungan, termasuk mesin virtual, dan menganalisis pengaturan keamanan dan status jaringan. d. Track latest vulnerabilities and missing updates 39 Dengan mengggunakan GFI LANguard dapat menilai kerentanan jaringan secara menyeluruh dan lengkap,termasuk standar seperti OVAL (5.000 + cek) dan SANS Top 20. Database ini secara teratur diperbarui dengan informasi dari bugtraq, SANS Corporation, OVAL, CVE dan lain-lain. e. Integration with security applications GFI Languard terintegrasi dengan lebih dari 2.500 aplikasi keamanan penting dalam kategori berikut: antivirus, antispyware, firewall, anti-phishing, backup klien, klien VPN, URL filtering, manajemen patch, web browser, instant messaging, peer-to-peer , enkripsi disk, pencegahan hilangnya data dan kontrol akses perangkat. f. Network device vulnerability Selain menjalankan pemeriksaan kerentanan pada komputer pada jaringan, GFI Languard juga mendukung sejumlah perangkat jaringan seperti printer, router dan switch dari produsen seperti HP dan Cisco. g. Network and software auditing Audit jaringan GFI Languard memberikan pandangan yang komprehensif dari jaringan, perangkat USB yang terhubung, software apa yang terinstal, setiap saham terbuka, port terbuka dan password yang digunakan lemah, dan informasi hardware.Laporan mendalam Solusi ini memberikan snapshot penting dan real-time status jaringan. h. Powerful interactive dashboard Ini memberikan ringkasan status keamanan jaringan saat ini dan riwayat semua perubahan yang relevan dalam jaringan dari waktu ke waktu. i. Support for virtual environments GFI Languard mendukung dan berjalan pada teknologi virtualisasi yang paling umum digunakan, yaitu VMware ®, 40 Microsoft Virtual Server, Microsoft Hyper-V ®, Citrix ® dan Paralel. Hal ini juga mendeteksi mesin virtual host oleh komputer yang dipindai. j. Helps you comply with PCI DSS and other regulations GFI Languard menyediakan manajemen kerentanan yang lengkap ditambah dengan pelaporan yang luas. Yang membuat GFI Languard unggul karena menggunakan biaya yang efektif dengan memberikan solusi untuk organisasi juga untuk menjaga jaringan dan mengukur efektivitas Anda PCI DSS, HIPAA, SOX, GLB / GLBA atau PSN program kepatuhan CoCo. k. Powerful reporting Laporan yang terintegrasi dalam aplikasi utama GFI Languard. Semua laporan didasarkan pada status komputer, dan bukan pada scan tertentu. Laporan-laporan ini dapat diekspor ke format populer seperti PDF, HTML, XLS, XLSX, RTF dan CVS, dan dapat dijadwalkan dan dikirim melalui email. Laporan juga dapat digunakan sebagai template untuk membuat laporan yang baru dan sepenuhnya re-brandable. l. Agent technology Teknologi ini memungkinkan audit keamanan jaringan otomatis dan mendistribusikan beban pemindaian ke seluruh komputer klien. Administrator hanya perlu menentukan parameter jaringan dan memberikan mandat untuk memungkinkan penemuan jaringan otomatis, penyebaran agen dan audit dari komputer klien. Intervensi manual diperlukan hanya bila fine-tuning diperlukan. GFI Languard membantu Anda dalam bidang utama • Patch manajemen • Pengkajiankerentanan 41 • Jaringandanperangkatlunak audit • Perubahan manajemen • Analisis risiko dan kepatuhan Kelebihan GFI LanGuard: a. Flexible : GFI LanGuard dikatakan flexible karena mendukung banyak teknik untuk identifikasi dalam sebuah sistem dan jaringan untuk mendeteksi kelemahan dengan menggunakan pengecekan kerentanan database. b. Powerful : GFI LanGuard dikatakan Powerful karena GFI LanGuard dapat mendeteksi dan menghasilkan filter berupa tingkatan kerentanan jaringan yang ada pada LAN. c. Portable : GFI LanGuard dikatakan portable karena didukung oleh format Patch Management untuk Windows (Microsoft Service Packs, Customs Software) dan Mac OS x dalam sistem operasinya dan aplikasinya, serta hasil perbandingan, hasil penyaringan dan pendeteksian keamanan. d. Easy : GFI LanGuard dikatakan mudah karena menggunakan tampilan dalam basis GUI dan Features (File, Tools, Configure dan Help) yang dapat dipilih sesuai dengan kebutuhan pengguna. e. Well Documented : Dokumentasi GFI LanGuard menggunakan penjadwalan pendeteksian hasil yang tersedia dalam berbagai fitur, dan menggunakan dua hasil dari pendeteksian, berupa dua format data, (Database File Dan XML File). f. Acclaimed : GFI LanGUard didukung oleh beberapa penghargaan dari tabloid SC : bintang lima untuk GFI LanGuard, karena telah 42 terintegrasi dengan baik, GFI LanGuard Memenangkan penghargaan pemilihan pembaca (runner up pertama dan kedua) dari windowssecurity.com, GFI LanGuard Memenangkan Penghargaan "Best Intrusion-Detection Product" dalam kategori majalah redmond. g. Supported : GFI LanGuard didukung oleh berbagai mitra multi perusahaan teknologi seperti : Intel, VersaDev, VersaSRS, CoreImpact, RazLee, LOGbinder, AutoTask, Cloud, IASO. Mitra Partner dalam GFI FaxMaker : Acclamare, Alliant Systems, Allscripts, Antek, Aprima, BabyTEL, Dialogic, FUJIFILM, MedFlow, MedFORCE, NUANCE, ResWare, ShoreTel, SuncoastSolutions, XCapi. h. Popular : GFI LanGuard telah dikenal banyak orang di dunia karena telah membuktikan dengan ribuan perusahaan yang menjadi mitra GFI LanGuard dan membayar lisensi pertahun dan termasuk dalam 75 Penghargaan di dunia. i. Free : GFI LanGuard hanya tersedia dalam downloads free-trials dalam 4 kategori, untuk bisnis, untuk service providers, untuk rumah dan untuk OEMS dan Cloud Providers.