AK311-111062-790-03 892KB Oct 04 2011 04:09:05
advertisement
Operasi Komputer
Sistem PC
Lingkungan kendali PC
Kendali
Menilai resiko
Kelemahan
Kendali akses lemah
Kendali password multilevel
Resiko kehilangan fisik
Laptop, dll. dapat hilang
Resiko kehilangan data
Mudah bagi multiple users untuk mengakses data
End user dapat mencuri, menghancurkan, manipulasi
Prosedur backup tidak memadai
Backup lokal pada medium yang tepat
Dual hard disk pada PC
Eksternal/removable hard disk pada PC
Lingkungan kendali PC
Resiko berkaitan dengan infeksi virus
o Kebijakan pengadaan software
o Kebijakan penggunaan software anti
virus
o Verifikasi software tidak berijin pada PC
Resiko prosedur SDLC yang tidak benar
o Penggunaan software komersil
o Prosedur formal pemilihan software
Audit Sistem PC
Tujuan audit
Verifikasi kendali untuk melindungi data, program, dan
komputer dari akses ilegal, manipulasi, perusakan, dan
pencurian
Verifikasi prosedur pengawasan dan operasi untuk
mengkompensasi kurangnya pemisahan tugas user,
programmer, dan operator
Verifikasi prosedur backup untuk mencegah hilangnya
data dan program karena kegagalan dan kesalahan
sistem
Verifikasi terhadap prosedur seleksi dan akuisisi sistem
untuk menghasilkan aplikasi berkualitas, dan terlindung
terhadap perubahan
Verifikasi sistem bebas virus dan terlindungi untuk
mengurangi resiko terinfeksi oleh virus
FIGURE 2.8 – Password Policy
Proper Dissemination – Promote it, use it during employee training or orientation,
and find ways to continue to raise awareness within the organization.
Proper Length: Use at least 8 characters. The more characters, the more difficult to guess or
crack. Eight characters is an effective length to prevent guessing, if combined with below.
Proper Strength: Use alphabet (letters), numbers (at least 1), and special characters (at least 1).
The more non-alpha, the harder to guess or crack. Make them case sensitive and mix upper and
lower case. A “Strong” password for any critical access or key user. Password CANNOT contain
a real word in the content.
Proper Access Levels or Complexity: Use multiple levels of access requiring multiple
passwords. Use a password matrix of data to grant read-only, read/write, or no access per data field
per user. Use biometrics {such as fingerprints, voice prints}. Use supplemental access devices,
such as smart cards, or beeper passwords in conjunction with remote logins. Use user-defined
procedures.
Proper Timely Changes: At regular intervals, make employees change their passwords.
Proper Protection: Prohibit the sharing of passwords or “post-its” with passwords
located near one’s computer.
Proper Deletion: Require the immediate deletion of accounts for terminated
employees, to prevent an employee from being able to perpetrate adverse activities.
Pusat Komputer
Kendali pusat komputer
Lokasi Fisik
o Hindari gangguan alam dan buatan manusia
o Contoh: Chicago Board of Trade
Konstruktsi
o Idealnya satu lantai, utilitas di bawah tanah, tanpa
jendela, penggunaan filter
o Bila bangunan bertingkat, gunakan lantai teratas
(jauh dari arus lalu lintas, dan potensi banjir di
basement)
Akses
o Fisikal: pintu terkunci, kamera
o manual : daftar pengunjung
Kendali Pusat Komputer
Kendali pusat komputer
Air Conditioning
Khususnya mainframe
Jumlah panas yang dikeluarkan PC
Pemadaman Api
Otomatis: biasanya korsleting
Gas, seperti halon, dapat melemahkan api dengan
membuang oksigen yang dapat membunuh orang yang
Terjebak
Korslet dan bahan kimia dapat menghancurkan komputer
dan peralatan
Metode manual
Sumber Listrik
Butuh listrik yang stabil, pada level tertentu
Uninterrupted power supply (UPS)
Kendali Pusat Komputer
Kendali pusat komputer
Tujuan Audit
o Verifikasi kendali keamanan fisik yang memadai
o Verifikasi cakupan asuransi yang memadai
o Verifikasi dokumentasi operasi yang memadai bila
terjadi kegagalan
Prosedur Audit
Uji konstruksi fisik
Uji deteksi api
Uji kontrol akses
Uji sumber listrik cadangan
Uji cakupan asuransi
Uji kendali dokumentasi operasi
Kendali Sistem Keseluruhan
Resiko E-mail:
Spamming
Hoax virus warnings
Malicious attachments (e.g., viruses)
Resiko obyek berbahaya:
Virus
Worm
Trojan horse
Potential control procedures
Audit objective
Audit procedures
Kendali Sistem Keseluruhan
Disaster recovery planning (DRP)
Aplikasi penting diidentifikasi dan
dirangking
Membangun tim disaster recovery
dengan tanggung jawab
Kendali Sistem Keseluruhan
Site backup
“Hot site” – Recovery Operations
Center
“Cold site” – empty shell
Mutual aid pact
Internally provided backup
Kendali Sistem Keseluruhan
Disaster recovery planning (DRP)
Tujuan Audit
Verifikasi manajemen DRP memadai
Prosedur Audit
Verifikasi second-site backup memadai
Tinjauan kelengkapan daftar aplikasi penting
Verifikasi backup software aplikasi disimpan terpisah
Verifikasi data penting di-backup dan dapat diakses tim
DRP
Verifikasi sumberdaya supplai, dokumen, dan
dokumentasi di-backup dan disimpan terpisah
Verifikasi anggota tim adalah karyawan dan memahami
tanggung jawabnya
Thank You …
