BEBERAPA ISTILAH KEAMANAN SISTEM
Pengertian Audit Sistem Informasi
Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.
“Audit sistem informasi adalah proses
pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem
komputer dapat mengamankan aset, memelihara integritas data, dapat
mendorong pencapaian tujuan organisasi secara efektif dan menggunakan
sumberdaya secara efisien”.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
-Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability
system, reliability, confidentiality, dan integrity, serta
aspek security.
-Selanjutnya adalah audit atas proses, modifikasi program, audit atas
sumber data, dan data file.
Proses audit sistem informasi dilakukan berdasarkan prosedur melalui
tahap-tahap sebagai berikut :
a. Perencanaan Audit (Planning The Audit)
b. Pengujian Pengendalian (Test Of Controls)
c. Pengujian Transaksi (Test Of Transaction)
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances
or Overal Result)
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Berikut penjelasan dari tahap-tahap Audit :
a. Perencanaan Audit (Planning The Audit)
Perencanaan merupakan fase pertama dari
kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan
investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit
dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit,
menghasilkan informasi latar belakang klien, mengerti tentang masalah
hukum klien dan melakukan analisa tentang prosedur yang ada untuk
mengerti tentang bisnis klien dan mengidentifikasikanresiko audit.
b. Pengujian Pengendalian (Test Of Controls)
Auditor melakukan kontrol
test ketika mereka menilai bahwa kontrol resiko berada pada level kurang
dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk
mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui
apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena
itu diperlukan evaluasi yang spesifik.
c. Pengujian Transaksi (Test Of Transaction)
Auditor menggunakan test
terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang
tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan
pencatatan material pada laporan keuangan. Tes transaksi ini termasuk
menelusuri jurnal dari sumber dokumen, memeriksa file dan mengecek
keakuratan.
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances
or Overal Result)
Untuk mengetahui pendekatan
yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan
harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan
adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan
ulang aktiva tetap.
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Pada fase akhir audit,
eksternal audit akan menjalankan beberapa test tambahan terhadap bukti
yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada
umumnya difokuskan kepada seluruh sumber daya sistem informasi yang ada,
yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
2.3. Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek
utama dari ketatakelolaan IT,
yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini
audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity
(Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit
sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek
kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi),
Reliability (Kehandalan).
2.4 Contoh audit sistem informasi
contoh adalah jika data nasabah sebuah bank hilang akibat
rusak, maka
informasi yang terkait akan hilang, misalkan siapa saja nasabah yang
mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga
misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito
nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi
bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga
keamanan datanya. Kehilangan data juga dapat terjadi karena tiadanya
pengendalian yang memadai, seperti tidak adanya prosedur back-up file.
Kehilangan data dapat disebabkan karena gangguan sistem operasi
pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi,
kebakaran atau banjir.
2. Informasi Audit Trail
Audit trail (atau log audit) adalah keamanan-yang relevan kronologis catatan, set catatan, atau tujuan dan sumber catatan yang memberikan bukti dokumenter dari urutan kegiatan yang telah mempengaruhi setiap saat operasi tertentu, prosedur, atau peristiwa. [1] [2] Audit catatan biasanya hasil dari kegiatan seperti transaksi keuangan, [3] penelitian ilmiah dan perawatan data kesehatan transaksi, [4] atau komunikasi oleh orang-orang individu, sistem, rekening, atau badan lainnya.
Proses yang menciptakan jejak audit biasanya dituntut untuk selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, user biasa seharusnya tidak diperbolehkan untuk berhenti / mengubahnya. Selain itu, untuk alasan yang sama, jejak file atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal. Cara lain untuk menangani masalah ini adalah melalui penggunaan model keamanan berbasis peran dalam perangkat lunak [5]. Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai 'sistem tertutup, "seperti yang dipersyaratkan oleh banyak perusahaan saat menggunakan mengaudit fungsi trail.
Audit trail (atau log audit) adalah keamanan-yang relevan kronologis catatan, set catatan, atau tujuan dan sumber catatan yang memberikan bukti dokumenter dari urutan kegiatan yang telah mempengaruhi setiap saat operasi tertentu, prosedur, atau peristiwa. [1] [2] Audit catatan biasanya hasil dari kegiatan seperti transaksi keuangan, [3] penelitian ilmiah dan perawatan data kesehatan transaksi, [4] atau komunikasi oleh orang-orang individu, sistem, rekening, atau badan lainnya.
Proses yang menciptakan jejak audit biasanya dituntut untuk selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, user biasa seharusnya tidak diperbolehkan untuk berhenti / mengubahnya. Selain itu, untuk alasan yang sama, jejak file atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal. Cara lain untuk menangani masalah ini adalah melalui penggunaan model keamanan berbasis peran dalam perangkat lunak [5]. Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai 'sistem tertutup, "seperti yang dipersyaratkan oleh banyak perusahaan saat menggunakan mengaudit fungsi trail.
Contoh Informasi audit trail
Contoh audit trail yaitu log
dan listing, hal ini diungkapkan oleh Allison
(2003), yakni: “Log dan listing mencatat semua usaha untuk menggunakan
sistem yang biasanya mencatat antara lain: tanggal dan waktu, kode yang
digunakan, tipe akses, aplikasi dan data yang digunakan”.
3. Pengertian Fault Tolerant
fault tolerant adalah suatu
sistem yang dapat melanjutkantugasnya dengan benar meskipun
terjadi kegagalan perangkat keras (hardware failure)dan kesalahan
perangkat lunak (software error).Fault tolerance perlengkapan
yangmemungkinkan sistem untuk mencapai operasi fault-tolerant.
Istilah fault-tolerant
komputing menggambarkan proses pelaksanaan perhitungan seperti yang
dilakukan komputer, dalam cara fault-tolerant. Konsep fault tolerance
menjadi semakin penting dalam dekade belakanganini karena bertambahnya
penggunaan komputer dalam aspek vital kehidupan hampir
semua orang. Komputer tidak lagi terbatas digunakan sebagai kalkulator
serbaguna dimana kesalahan
yang dihasilkannya dapat mengakibatkan lebih dari sekedar frustasi atau
kerugian waktu.Bahkan, komputer sekarang digabungkan dalam
bidang komersil, sistem kontrol penerbangan pesawat militer,
pengontrol industri, aplikasi antariksa, dan sistem perbankan.
Dalam setiap aplikasi kesalahan kerja komputer
dapat merusak catatan keuangan, keselamatan lingkungan, keamanan
nasional, bahkan nyawa manusia. Singkatnya, fault tolerance
menjadi lebih penting karena fungsi komputer dan sistem digital
lainnya menjadi lebih kritis.
Contoh Fault Tolerant
sebagai
contoh saya memiliki 1 buah cluster yang terdiri dari 3 buah
server (A, B dan C), server C sebagai fault tolerant, Jika salah satu
server mati baik A atau B maka traffic akan dialihkan ke server C.
4. Pengertian Firewall
Firewall adalah suatu perangkat lunak (software) yang
dipasang dalam sebuah jaringan komputer dan berfungsi sebagai penghalang
dari pembobolan akses untuk kepentingan tertentu layaknya sebuah
saringan. Semua aktivitas masuk dan keluar ke suatu jaringan harus
melalui penyaringan ini sehingga akses yang berbahaya bisa dibatasi.
Saringan ini juga bisa digunakan untuk mencegah adanya pencurian data
berharga dari jaringan dari pihak luar jaringan tersebut.Firewall bertindak bahkan sebelum serangan terjadi. Firewall dapat berupa software atau hardware atau keduanya yang melindungi komputer anda dengan cara memonitor dan menyaring semua paket data yang keluar masuk komputer anda ke internet. Firewall menganalisa paket data dan mempelajarinya :
- Sumber paket data,
- komputer yang dituju oleh paket data,
- protokol yang digunakan,
- isi paket data,
- Memblokir paket data dari alamat-alamat tertentu,
- memblokir pertukaran data antara satu PC dengan lainnya sesuai dengan yang ditentukan,
- mencegah pemakaian protokol tertentu,
- menolak paket data dengna kata-kata tertentu di dalamnya.
Contoh Firewall
Firewall terdiri
dari satu atau lebih elemen software yang berjalan pada satu atau lebih
host.
Tipe-tipe
firewall adalah sebagai berikut:
-
Packet-filtering Firewall
- Dual-homed
Gateway Firewall
- Screened
Host Firewall
- Screened
Subnet Firewall
Packet-filtering
Firewall
•Terdiri dari
sebuah router yang diletakkan diantara jaringan eksternal dan jaringan
internal yang aman.
•Rule
Packet Filtering didefinisikan untuk mengijinkan atau menolak traffic.
Dual-homed
Gateway Firewall
•Dual-home host
sedikitnya mempunyai dua interface jaringan dan dua IP address.
•IP
forwarding dinonaktifkan pada firewall, akibatnya trafik IP pada kedua
interface tersebut kacau di firewall karena tidak ada jalan lain bagi IP
melewati firewall kecuali melalui proxy atau SOCKS.
•Serangan
yang datang dari layanan yang tidak dikenal akan diblok.
Screened
Host Firewall
•Terdiri dari sebuah packet-filtering router dan application
level gateway
•Host
berupa application level gateway yang dikenal sebagai “bastion host”
•Terdiri dari dua router packet filtering dan sebuah bastion
host
Screened
Subnet Firewall
•Menyediakan tingkat keamanan yang tinggi daripada tipe
firewall yang lain
•Membuat
DMZ(Demilitarized Zone) diantara jaringan internal dan
eksternal,sehingga router luar hanya mengijinkan akses dari luar bastion
host ke information server dan router dalam hanya mengijinkan akses
dari jaringan internal ke bastion host
•Router
dikonfigurasi untuk meneruskan semua untrusted traffic ke bastion host
dan pada kasus yang sama juga ke information server.
5. Pengertian Sistem Rollback
mengembalikan sistem anda mengambil kembali ke titik
sebelumnya
dalam waktu memungkinkan Anda untuk memperbaiki masalah komputer yang
mungkin terjadi sebagai akibat dari infeksi virus atau menginstal
perangkat lunak yang buruk. Rollback Rx dapat memperbaiki
masalah komputer, memulihkan sistem Anda, bersama dengan registri,
pengaturan dan seluruh data Anda. Ada pilihan mengambil beberapa
snapshot dari sistem Anda dan Anda dapat kembalikan ke bulan bahkan,
mengembalikan hard drive Anda untuk tanggal tersebut. Anda juga dapat
memilih folder dan file dapat dikecualikan dari pc restore. Rollback Rx
mengembalikan sistem perangkat lunak hanya membutuhkan sekitar 0,07%
dari total ruang disk drive Anda sementara membiarkan Anda mengambil
foto hingga 60.000.
Contoh Sistem Rollback
contoh: Anda memiliki Rollback Rx terinstal di sistem Anda,
mengambil
snapshot dijadwalkan. Misalkan virus masuk ke sistem Anda, perangkat
lunak antivirus Anda memberitahu Anda dan mengambil tindakan. Hal
pertama yang harus dilakukan adalah untuk menghentikan Anda lalu
lintas Internet
segera karena Anda tidak ingin cacing mengirimkan data pribadi dan
rahasia kepada beberapa situs aneh di luar sana. Sekarang, komputer
Anda terinfeksi. Anda tidak perlu panik. Anda memiliki cara yang
sangat mudah untuk memutar kembali ke titik ketika komputer Anda tidak
terinfeksi. Anda dapat reBoot komputer Anda. Anda sistem
operasi Windows tidak akan boot up, jelas. Sekarang sampai
pada bagian yang terbaik. Anda menekan tombol Home
dan ketika Anda melihat lampu hijau, pilih snapshot yang Rollback Rx
dibuat hanya sebelum infeksi. Rollback Rx hanya akan memakan waktu
sekitar 2-3 detik untuk memperbaiki masalah komputer dan memulai proses
boot. Sebuah cek virus pada komputer Anda akan menampilkan komputer
yang bersih. Rollback Rx tidak kekurangan keajaiban dalam hal waktu dan
usaha,kan?
