Uploaded by nindasilviani

AUDIT SISTEM INFORMASI CHAPTER 3

advertisement
Controlling Risk from Subversive Threats
Firewall
Firewall adalah suatu perangkat lunak maupun keras yang memberi otorisasi pada lalu
lintas jaringan komputer yang dianggapnya aman untuk melaluinya dan melakukan pencegahan
terhadap jaringan yang dianggap tidak aman. Perlindungan dengan firewall ini sangat penting
untuk diterapkan pada komputer atau perangkat lainnya sebagai komputasi perangkat yang
diaktifkan dengan koneksi internat. Meningkatkan tingkat keamanan jaringan komputer dengan
memberikan informasi rinci tentang pola-pola lalu lintas jaringan.
Fungsi firewall
Sebelum memahami fungsi dari firewall, mari pahami beberapa atribut firewall, sebagai berikut :
-
Semua jaringan komunikasi melewai firewall
Hanya lalu lintas resmi yang diperbolehkan oleh firewall
Memiliki kemampuan untuk menahan dari serangan internet
Fungsi Firewall untuk mengatur, memfilter dan mengontrol lalu lintas data yang diizinkan untuk
mengakses jaringan privat yang dilindungi.
Jenis-jenis firewall, antara lain :
a) Network-level Firewall, menyaring router yang memeriksa alamat sumber dan
tujuan.
b) Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.
1. Mengendalikan DOS Attacks.
Denial of Service atau biasa disebut dengan DOS adalah serangan untuk menyerang suatu
sistem dan juga server website. Biasanya serangan ini dijumpai pada website-website
terkenal, khususnya website milik pemerintah. Serangan DOS ini sangat membahayakan
karena dapat mematikan pelayanan pada sistem website tersebut.
Serangan-serang DOS dapat dikendalikan dengan beberapa cara yaitu :
 Smurf Attacks
Organisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika
terdeteksi.
 SYN Flood Attacks
a) Menggunakan firewall pada host internet yang dapat memblokir alamat IP yang
tidak valid.
b) Menggunakan software pengaman yang dapat memindai koneksi yang setengah
terbuka.
 Ddos Attacks
Banyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan
inspeksi paket mendalam (deep packet inspection – DPI)
2.
3.
4.
5.
6.
7.
Enkripsi
 Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan transmisi.
Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki panjang 56
hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode enkripsinya.
 Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key.
a)
Private key encryption
 Standar enkripsi lanjutan (Advance Encryption Standard – AES),
menggunakan kunci tunggal yang diketahui oleh pengirim dan penerima
pesan.
 Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua
bentuk
enkripsi
triple-DES
adalah
EEE3
dan
EDE3.
b)
Public Key Encription
 Menggunakan dua kunci yang berbeda, satu untuk encoding pesan, dan
yang lainnya untuk decoding pesan.
 Masing-masing penerima memiliki private key yang disimpan secara
rahasia dan public key yang di-published.
Tanda Tangan Digital
 Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa pesan
yang ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak dirusak
setelah tanda tangan dimasukkan.
Sertifikat digital
 Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi
public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan.
Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.
Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi
adanya upaya hacker.
Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan respon
dari penerima yang dikirimkan dalam interval periodik dan tersinkronisasi.
Call-back devices, merupakan suatu alat di mana penerima memanggil kembali pengirim pada
nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi diselesaikan.
Tujuan Audit terkait Pengendalian dari Ancaman Subversif

Tujuan audit terkait pengendalian dari ancaman subversif adalah untuk
memverifikasi keamanan dan keutuhan transaksi keuangan dengan menentukan
bahwa pengendalian jaringan :
1) dapat mencegah dan mendeteksi akses ilegal dari internal perusahaan atau
dari internet,
2) akan menjadikan data tidak berguna dan pelaku berhasil ditangkap,
3) cukup untuk menjaga keutuhan dan keamanan fisik dari data yang terhubung
ke jaringan.
Prosedur Audit terkait Pengendalian dari Ancaman Subversif
1. Meninjau kecukupan firewall dalam menyeimbangkan kontrol dan kenyamanan
o Fleksibilitas, firewall harus cukup fleksibel untuk mengakomodasi layanan baru.
o Layanan Proxy, aplikasi proxy yang memadai harus pada tempatnya untuk
menyediakan otentikasi pengguna secara eksplisit terhadap layanan, aplikasi, dan
data yang sensitif.
o Filtering, firewall harus membedakan layanan mana yang diizinkan untuk diakses
oleh pengguna, mana yang tidak.
o Perangkat Audit, firewall harus menyediakan keseluruhan kumpulan audit dan
me-log perangkat yang mengidentifikasi dan mencatat aktivitas mencurigakan.
o Pemeriksaan Kelemahan, memeriksa kelemahan firewall secara periodik yang
dapat ditemukan oleh hacker.
2. Memverifikasi bahwa sistem pencegahan intrusi (intrusion prevention system – IPS)
terdapat pada organisasi yang rentan terhadap serangan Ddos, seperti institusi keuangan.
3. Meninjau prosedur keamanan yang mengelola administrasi kunci enkripsi data.
4. Memverifikasi proses enkripsi denan mentransmisikan pesan pengujian dan memeriksa
konten pada berbagai poin di sepanjang saluran antara lokasi pengiriman dan penerimaan.
5. Meninjau log transaksi pesan untuk memverifikasi bahwa semua pesan diterima dalam
urutan yang sesuai.
6. Menguji operasi fitur call-back dengan menempatkan panggilan yang tidak terotorisasi
dari luar instalasi.
BAGIANNINDA AKSES EDI HAL 101
EDI Control:
1. VAN dibekali dengan proses validasi ID dan password yang memachingkan antara vendor
dengan file pelanggan.
2. Translation Software akan memvalidasi trading partner’s ID dan password dengan file validasi di
database perusahaan
3. Sebelum memproses, software aplikasi lawan transaksi mereferensikan file pelanggan dan
vendor yang valid untuk memvalidasi transaksi.
Access Control: agar berjalan dengan lancar, setiap partner harus berbagi akses terhadap data file
private yang sebelumnya (dalam cara tradisional) tidak diperbolehkan. Untuk itu, pengaturan mengenai
seberapa dalam akses dapat diberikan harus diatur secara jelas. Selain itu, perlindungan juga harus
dibuat misalnya data persediaan dan harga dapat dibaca tetapi tidak dapat diubah.
EDI Audit Trail (Jejak Audit): hilangnya penggunaan dokumen menharuskan EDI memiliki control log.
(Figure 3.14)
Tujuan Audit Terhadap EDI:
- menguji terhadap Kendali Otorisasi dan Validasi
- menguji Access Control
- menguji kendali Jejak Audit
PC-BASED ACCOUNTING SYSTEMS
Risiko dan Kendali PC System:
- Kelemahan OS
- Access Control yang lemah
- Pemisahan Tugas yang tidak cukup
- Multilevel Password Control
- Risiko kecurian
- Prosedur Backup yang lemah
- Risiko terinfeksi Virus
Tujuan Audit yang berhubungan dengan keamanan PC
- Memastikan bahwa control pada tempatnya untuk melindungi data, program, dan komputer
dari akses yang tidak diinginkan, manipulasi, penghancuran, dan pencurian
- Memastikan pengawasan yang cukup dan adanya prosedur operasional untuk mengkompensasi
kurangnya pembagian tugas, programer, dan operator.
- Memastikan prosedur backup dapat mencegah kehilangan data dan program yang diakibatkan
kegagalan sistem, eror, dan sejenisnya.
- Memastikan bahwa prosedur pemilihan dan perolehan sistem menghasilkan aplikasi yang
berkualitas tinggi dan terlindungi dari perubahan yang tidak diinginkan
- Memastikan bahwa sistem bebas dari virus dan dilindungi secara memadai untuk meminimalkan
risiko terindeksi virus atau sejenisnya
Beberapa prosedur dalam mengaudit keamanan PC
- Meninjau apakah PC secara fisik terlindungi untuk mengurangi peluang dicuri
- Memastikan dari bagan organisasi, apakah programer dari sistem akuntansi tidak terlibat
sebagai pengguna sistem tersebut. Dalam organisasi yang lebih kecil, pengawasan yang
memadai ada untuk mengimbangi kelemahan pembagian tugas tersebut.
-
-
-
-
Auditor mengkonfirmasi apakah transaksi yang diproses, daftar akun yang diupdate, dan total
control disiapkan, didistribusikan, dan direkonsiliasi oleh manajemen yang tepat dalam interval
rutin dan tepat waktu.
Dimana harus diaplikasikan, auditor menentukan bahwa kendali multilevel password digunakan
untuk membatasi akses data dan aplikasi sesuai dengan deskripsi pekerjaan.
Jika ada, hardisk eksternal dan removeable dilepas dan disimpan di tempat yang aman saat
tidak digunakan.
Dengan menguji sampel backup, auditor memverifikasi apakah prosedur backup dilaksanakan
dengan benar. Dengan membandingkan isi data dan tanggal pada tempat backup dengan file
asal, auditor dapat mengetahui frekuensi dan kecukupan prosedur backup. Jika menggunakan
media backup online, auditor harus memastikan bahwa kontraknya masih berlaku dan sesuai
dengan kebutuhan organisasi.
Dengan sampel PC, auditor memastikan bahwa paket software komersial diperoleh dari vendor
yang terpercaya dan merupakan salinan sah. Proses perolehan sendiri harus mengakomodasi
kebutuhan organisasi
Antivirus haruslah terinstal pada setiap perangkat komputer dan pengaktivannya merupakan
bagian dari prosedur startup saat komputer dinyalakan. Hal ini untuk memastikan bahwa setiap
sekmen penting dari hard disk diperiksa sebelum data apapun ditransfer melalui jaringan. Setiap
perubahan software (update) harus terlebih dahulu dicek terhadap virus sebelum digunakan.
Domain publik discan terhadap virus sebelum digunakan. Dan antivirus versi terkini haruslah
tersedia untuk semua user.
Download