Controlling Risk from Subversive Threats Firewall Firewall adalah suatu perangkat lunak maupun keras yang memberi otorisasi pada lalu lintas jaringan komputer yang dianggapnya aman untuk melaluinya dan melakukan pencegahan terhadap jaringan yang dianggap tidak aman. Perlindungan dengan firewall ini sangat penting untuk diterapkan pada komputer atau perangkat lainnya sebagai komputasi perangkat yang diaktifkan dengan koneksi internat. Meningkatkan tingkat keamanan jaringan komputer dengan memberikan informasi rinci tentang pola-pola lalu lintas jaringan. Fungsi firewall Sebelum memahami fungsi dari firewall, mari pahami beberapa atribut firewall, sebagai berikut : - Semua jaringan komunikasi melewai firewall Hanya lalu lintas resmi yang diperbolehkan oleh firewall Memiliki kemampuan untuk menahan dari serangan internet Fungsi Firewall untuk mengatur, memfilter dan mengontrol lalu lintas data yang diizinkan untuk mengakses jaringan privat yang dilindungi. Jenis-jenis firewall, antara lain : a) Network-level Firewall, menyaring router yang memeriksa alamat sumber dan tujuan. b) Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy. 1. Mengendalikan DOS Attacks. Denial of Service atau biasa disebut dengan DOS adalah serangan untuk menyerang suatu sistem dan juga server website. Biasanya serangan ini dijumpai pada website-website terkenal, khususnya website milik pemerintah. Serangan DOS ini sangat membahayakan karena dapat mematikan pelayanan pada sistem website tersebut. Serangan-serang DOS dapat dikendalikan dengan beberapa cara yaitu : Smurf Attacks Organisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika terdeteksi. SYN Flood Attacks a) Menggunakan firewall pada host internet yang dapat memblokir alamat IP yang tidak valid. b) Menggunakan software pengaman yang dapat memindai koneksi yang setengah terbuka. Ddos Attacks Banyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan inspeksi paket mendalam (deep packet inspection – DPI) 2. 3. 4. 5. 6. 7. Enkripsi Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi. Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki panjang 56 hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode enkripsinya. Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key. a) Private key encryption Standar enkripsi lanjutan (Advance Encryption Standard – AES), menggunakan kunci tunggal yang diketahui oleh pengirim dan penerima pesan. Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua bentuk enkripsi triple-DES adalah EEE3 dan EDE3. b) Public Key Encription Menggunakan dua kunci yang berbeda, satu untuk encoding pesan, dan yang lainnya untuk decoding pesan. Masing-masing penerima memiliki private key yang disimpan secara rahasia dan public key yang di-published. Tanda Tangan Digital Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa pesan yang ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak dirusak setelah tanda tangan dimasukkan. Sertifikat digital Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi adanya upaya hacker. Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan respon dari penerima yang dikirimkan dalam interval periodik dan tersinkronisasi. Call-back devices, merupakan suatu alat di mana penerima memanggil kembali pengirim pada nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi diselesaikan. Tujuan Audit terkait Pengendalian dari Ancaman Subversif Tujuan audit terkait pengendalian dari ancaman subversif adalah untuk memverifikasi keamanan dan keutuhan transaksi keuangan dengan menentukan bahwa pengendalian jaringan : 1) dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan atau dari internet, 2) akan menjadikan data tidak berguna dan pelaku berhasil ditangkap, 3) cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung ke jaringan. Prosedur Audit terkait Pengendalian dari Ancaman Subversif 1. Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan o Fleksibilitas, firewall harus cukup fleksibel untuk mengakomodasi layanan baru. o Layanan Proxy, aplikasi proxy yang memadai harus pada tempatnya untuk menyediakan otentikasi pengguna secara eksplisit terhadap layanan, aplikasi, dan data yang sensitif. o Filtering, firewall harus membedakan layanan mana yang diizinkan untuk diakses oleh pengguna, mana yang tidak. o Perangkat Audit, firewall harus menyediakan keseluruhan kumpulan audit dan me-log perangkat yang mengidentifikasi dan mencatat aktivitas mencurigakan. o Pemeriksaan Kelemahan, memeriksa kelemahan firewall secara periodik yang dapat ditemukan oleh hacker. 2. Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system – IPS) terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti institusi keuangan. 3. Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data. 4. Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa konten pada berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan. 5. Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam urutan yang sesuai. 6. Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak terotorisasi dari luar instalasi. BAGIANNINDA AKSES EDI HAL 101 EDI Control: 1. VAN dibekali dengan proses validasi ID dan password yang memachingkan antara vendor dengan file pelanggan. 2. Translation Software akan memvalidasi trading partner’s ID dan password dengan file validasi di database perusahaan 3. Sebelum memproses, software aplikasi lawan transaksi mereferensikan file pelanggan dan vendor yang valid untuk memvalidasi transaksi. Access Control: agar berjalan dengan lancar, setiap partner harus berbagi akses terhadap data file private yang sebelumnya (dalam cara tradisional) tidak diperbolehkan. Untuk itu, pengaturan mengenai seberapa dalam akses dapat diberikan harus diatur secara jelas. Selain itu, perlindungan juga harus dibuat misalnya data persediaan dan harga dapat dibaca tetapi tidak dapat diubah. EDI Audit Trail (Jejak Audit): hilangnya penggunaan dokumen menharuskan EDI memiliki control log. (Figure 3.14) Tujuan Audit Terhadap EDI: - menguji terhadap Kendali Otorisasi dan Validasi - menguji Access Control - menguji kendali Jejak Audit PC-BASED ACCOUNTING SYSTEMS Risiko dan Kendali PC System: - Kelemahan OS - Access Control yang lemah - Pemisahan Tugas yang tidak cukup - Multilevel Password Control - Risiko kecurian - Prosedur Backup yang lemah - Risiko terinfeksi Virus Tujuan Audit yang berhubungan dengan keamanan PC - Memastikan bahwa control pada tempatnya untuk melindungi data, program, dan komputer dari akses yang tidak diinginkan, manipulasi, penghancuran, dan pencurian - Memastikan pengawasan yang cukup dan adanya prosedur operasional untuk mengkompensasi kurangnya pembagian tugas, programer, dan operator. - Memastikan prosedur backup dapat mencegah kehilangan data dan program yang diakibatkan kegagalan sistem, eror, dan sejenisnya. - Memastikan bahwa prosedur pemilihan dan perolehan sistem menghasilkan aplikasi yang berkualitas tinggi dan terlindungi dari perubahan yang tidak diinginkan - Memastikan bahwa sistem bebas dari virus dan dilindungi secara memadai untuk meminimalkan risiko terindeksi virus atau sejenisnya Beberapa prosedur dalam mengaudit keamanan PC - Meninjau apakah PC secara fisik terlindungi untuk mengurangi peluang dicuri - Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi tidak terlibat sebagai pengguna sistem tersebut. Dalam organisasi yang lebih kecil, pengawasan yang memadai ada untuk mengimbangi kelemahan pembagian tugas tersebut. - - - - Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang diupdate, dan total control disiapkan, didistribusikan, dan direkonsiliasi oleh manajemen yang tepat dalam interval rutin dan tepat waktu. Dimana harus diaplikasikan, auditor menentukan bahwa kendali multilevel password digunakan untuk membatasi akses data dan aplikasi sesuai dengan deskripsi pekerjaan. Jika ada, hardisk eksternal dan removeable dilepas dan disimpan di tempat yang aman saat tidak digunakan. Dengan menguji sampel backup, auditor memverifikasi apakah prosedur backup dilaksanakan dengan benar. Dengan membandingkan isi data dan tanggal pada tempat backup dengan file asal, auditor dapat mengetahui frekuensi dan kecukupan prosedur backup. Jika menggunakan media backup online, auditor harus memastikan bahwa kontraknya masih berlaku dan sesuai dengan kebutuhan organisasi. Dengan sampel PC, auditor memastikan bahwa paket software komersial diperoleh dari vendor yang terpercaya dan merupakan salinan sah. Proses perolehan sendiri harus mengakomodasi kebutuhan organisasi Antivirus haruslah terinstal pada setiap perangkat komputer dan pengaktivannya merupakan bagian dari prosedur startup saat komputer dinyalakan. Hal ini untuk memastikan bahwa setiap sekmen penting dari hard disk diperiksa sebelum data apapun ditransfer melalui jaringan. Setiap perubahan software (update) harus terlebih dahulu dicek terhadap virus sebelum digunakan. Domain publik discan terhadap virus sebelum digunakan. Dan antivirus versi terkini haruslah tersedia untuk semua user.