Dalam bab ini kita akan membahas mengenai suatu keamanan sistem yang akan membantu kita mengurangi pelanggaran-pelanggaran yang dapat terjadi.



dokumen-dokumen yang mirip
Bab 22. Keamanan Sistem

Sistem Jaringan. Pengenalan keamanan Jaringan MODUL PERKULIAHAN. Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

16 Agustus 2011 PENGANTAR KEAMANAN KOMPUTER

Implementasi E-Bisnis e-security Concept And Aplication Part-11

Berusaha melindungi data dan informasi dari orang yang tidak berada dalam ruang lingkupnya. b. Ketersediaan

BAB IV SIMPULAN DAN SARAN

Contoh : Isi pesan/ , membuka data yang bukan haknya, menjual data

Langkah langkah FRAP. Daftar Risiko. Risk

SISTEM INFORMASI MANAJEMEN

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

Etika dalam Sistem Informasi

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

8/29/2014. IS Audit Process. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Agenda

BAB V STRATEGI MITIGASI RESIKO

Etika dan Keamanan SI

BAB II LANDASAN TEORI

- 1 - UMUM. Mengingat

PENENTUAN RISIKO DAN PENGENDALIAN INTERN-PERTIMBANGAN DAN KARAKTERISTIK SISTEM INFORMASI KOMPUTER

Keamanan dan Kontrol Sistem Informasi

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

BAB V STRATEGI MITIGASI RESIKO

KEAMANAN KOMPUTER

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

Pengendalian Sistem Informasi Yang Berbasiskan Komputer Bag. II

BAB II LANDASAN TEORI. 2.1 Konsep Dasar Sistem, Informasi Dan Akuntansi

Pengendalian Sistem Informasi Berdasarkan Komputer

PENGAMANAN SQLITE DATABASE MENGGUNAKAN KRIPTOGRAFI ELGAMAL

Keamanan Komputer. Muji Lestari

MATERI 03 : KEAMANAN INFORMASI

Pada sistem terdistribusi, security berfungsi untuk: pengambilan informasi oleh penerima yang tidak berhak

PENGAMANAN SQLITE DATABASE MENGGUNAKAN KRIPTOGRAFI ELGAMAL

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

Analisa Dan Perancangan Sistem Aktivasi Lisensi Software Sesuai Dengan Spesifikasi Hardware

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

Bab I Pendahuluan 1 BAB I PENDAHULUAN

PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM

LAMPIRAN ATAS BLACKBERRY SOLUTION PERJANJIAN LISENSI UNTUK BLACKBERRY UNIFIED ENDPOINT MANAGER ("LAMPIRAN the")

2/5/2015. Internal Control Concepts. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Overview

INTRODUCTION ASPEK-ASPEK PROTEKSI SISTEM INFORMASI

Konsep Dasar Audit Sistem Informasi

KEAMANAN DAN KONTROL SISTEM INFORMASI BAB1. PENDAHULUAN

- 1 - PERATURAN BANK INDONESIA NOMOR: 9/15/PBI/2007 TENTANG PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

-KEAMANAN DAN KONTROL SISTEM INFORMASI-

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

ETIKA DAN KEMANAN DALAM SISTEM INFORMASI. OLEH : Angkatan 2015 Reguler A SISTEM INFORMASI

INFRASTRUCTURE SECURITY

KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

Bab 1 PENDAHULUAN Latar Belakang

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

EVALUASI KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

DESAIN DAN IMPLEMENTASI PRETTY GOOD PRIVACY (PGP) UNTUK KEAMANAN DOKUMEN PADA PT PUTRA JATRA MANDIRI PALEMBANG

Computer & Network Security : Information security. Indra Priyandono ST

WIRELESS SECURITY. Oleh: M. RUDYANTO ARIEF 1

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB 4 EVALUASI SISTEM INFORMASI. No Kegiatan Metode Waktu. Mencari Informasi dari Buku dan. Internet yang berkaitan dengan

Kebijakan Privasi (Privacy Policy)

ETIKA & KEAMANAN SISTEM INFORMASI

Pengantar E-Business dan E-Commerce

PEDOMAN KERJA KOMITE AUDIT

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

BAB III ANALISIS MASALAH

Pengantar Komputer. Keamanan Komputer. Salhazan Nasution, S.Kom

Virtual Private Network

BAB I PERSYARATAN PRODUK

LAMPIRAN SURAT EDARAN BANK INDONESIA NOMOR 16/11/DKSP TANGGAL 22 JULI 2014 PERIHAL PENYELENGGARAAN UANG ELEKTRONIK (ELECTRONIC MONEY)

BAB 7 KESIMPULAN, KETERBATASAN DAN REKOMENDASI. Berdasarkan hasil Internal Control Questionnaire (ICQ) mengenai Sistem

PENGAMANAN BASIS DATA. Sistem Keamanan Teknologi Informasi

BAB III METODE PENELITIAN

PERATURAN DEPARTEMEN AUDIT INTERNAL

KENDALI MANAJEMEN MUTU

No. 11/10 /DASP Jakarta, 13 April 2009 S U R A T E D A R A N

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

KERANGKA KENDALI MANAJEMEN (KENDALI UMUM)

PANDUAN AUDIT SISTEM INFORMASI

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

Mengapa masalah keamanan basis data menjadi penting? Kemampuan menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam

Hanya kunci publik yang dipertukarkan antara pengirim dan penerima. Sebelum transmisi sebenarnya dimulai antaraa dua host, host pengirim mengirimkan

No. 11/11/DASP Jakarta, 13 April 2009 S U R A T E D A R A N. Perihal : Uang Elektronik (Electronic Money)

Security Sistem Informasi.

BAB X KEAMANAN KOMPUTER. "Pengantar Teknologi Informasi" 1

www. dickyprihandoko.worpress.com

BAB I PENDAHULUAN 1.1. Latar Belakang Masalah

SistemKeamanan Komputer

BAB IV AUDIT OPERASIONAL ATAS PENGELOLAAN PERSEDIAAN BAHAN BAKU PADA PT NORITA MULTIPLASTINDO

OTORITAS JASA KEUANGAN REPUBLIK INDONESIA

Keamanan Jaringan.

Mengamankan Sistem Informasi. Pertemuan IV

BAB 1 PENDAHULUAN. Peran teknologi informasi di era globalisasi ini dinilai sangat penting bagi

Oleh :Tim Dosen MK Pengantar Audit SI

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

Keamanan Komputer. Pengertian Keamanan Komputer

Rachma Rizqina Mardhotillah Dr. Ir. Achmad Affandi, DEA

PERTEMUAN 12 Keamanan dan Administrasi Database. (Chap. 20 Conolly)

BAB 2 LANDASAN TEORI

Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking)

Transkripsi:

51. Kemananan Sistem 51.1. Pendahuluan Suatu sistem baru dapat dikatakan aman apabila dalam resource yang digunakan dan yang diakses, sesuai dengan kehendak user dalam berbagai keadaan. Sayangnya, tidak ada satu sistem komputer pun yang memiliki sistem keamanan yang sempurna. Data atau informasi penting yang seharusnya tidak dapat diakses oleh orang lain mungkin dapat diakses, baik dibaca ataupun diubah oleh orang lain. Oleh karena itu dibutuhkan suatu keamanan sistem untuk menanggulangi kemungkinan tersebut. Akan tetapi setidaknya kita harus mempunyai suatu mekanisme yang membuat pelanggaran jarang terjadi. Dalam bab ini kita akan membahas mengenai suatu keamanan sistem yang akan membantu kita mengurangi pelanggaran-pelanggaran yang dapat terjadi. 51.2. Manusia dan Etika Sebagian besar orang memiliki hati yang baik dan selalu mencoba untuk menaati peraturan. Akan tetapi, ada beberapa orang jahat yang ingin menyebabkan kekacauan. Dalam konteks keamanan, orang-orang yang membuat kekacauan di tempat yang tidak berhubungan dengan mereka disebut intruder (pengacau). Ada dua macam intruder: 1. Passive intruder Hanya ingin membaca file yang tidak boleh mereka baca. 2. Active intruder Lebih berbahaya dari passive intruder. Mereka ingin membuat perubahan yang tidak diijinkan (unauthorized) pada data. Ketika merancang sebuah sistem yang aman terhadap intruder, penting untuk mengetahui sistem tsb akan dilindungi dari intruder macam apa. Empat contoh kategori: 1. Keingintahuan seseorang tentang hal-hal pribadi orang lain Banyak orang mempunyai PC yang terhubung ke suatu jaringan dan beberapa orang dalam jaringan tsb akan dapat membaca e-mail dan file-file orang lain jika tidak ada 'penghalang' yang ditempatkan. Sebagai contoh, sebagian besar sistem UNIX mempunyai default bahwa semua file yang baru diciptakan dapat dibaca oleh orang lain. 2. Penyusupan oleh orang-orang dalam Pelajar, system programmer, operator, dan teknisi menganggap bahwa me"matah"kan sistem keamanan komputer lokal adalah suatu tantangan. Mereka biasanya sangat ahli dan bersedia mengorbankan banyak waktu untuk usaha tsb. 3. Keinginan untuk mendapatkan uang Beberapa programmer bank mencoba mencuri uang dari bank tempat mereka bekerja dengan cara-cara seperti mengubah software untuk memotong bunga daripada membulatkannya, menyimpan uang kecil untuk mereka sendiri, menarik uang dari account yang sudah tidak digunakan selama bertahun-tahun, untuk memeras ("Bayar saya, atau saya akan menghancurkan semua record bank anda").

4. Espionase komersial atau militer Espionase adalah usaha serius yang diberi dana besar oleh saingan atau negara lain untuk mencuri program, rahasia dagang, ide-ide paten, teknologi, rencana bisnis, dan sebagainya. Seringkali usaha ini melibatkan wiretaping atau antena yang diarahkan pada suatu komputer untuk menangkap radiasi elektromagnetisnya. Perlindungan terhadap rahasia militer negara dari pencurian oleh negara lain sangat berbeda dengan perlindungan terhadap pelajar yang mencoba memasukkan message-of-the-day pada suatu sistem. Terlihat jelas bahwa jumlah usaha yang berhubungan dengan keamanan dan proteksi tergantung pada siapa "musuh"nya. 51.3. Kebijaksanaan Pengamanan Kebijaksanaan pengamanan yang biasa digunakan yaitu yang bersifat sederhana dan umum. Dalam hal ini berarti tiap pengguna dalam sistem dapat mengerti dan mengikuti kebijaksanaan yang telah ditetapkan. Isi dari kebijaksanaan itu sendiri berupa tingkatan keamanan yang dapat melindungi data-data penting yang tersimpan dalam sistem. Data-data tersebut harus dilindungi dari tiap pengguna yang menggunakan sistem tersebut. Beberapa hal yang perlu dipertimbangkan dalam menentukan kebijaksanaan pengamanan adalah: siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem, siapa sajakah memiliki datadata tertentu, perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem. 51.4. Keamanan Fisik Lapisan keamanan pertama yang harus diperhitungkan adalah keamanan secara fisik dalam sistem komputer. Siapa saja yang memiliki akses secara langsung ke sistem? Apakah mereka memang berhak? Dapatkah sistem terlindung dari maksud dan tujuan mereka? Apakah hal tersebut perlu dilakukan? Banyak keamanan fisik yang berada dalam sistem memiliki ketergantungan terhadap anggaran dan situasi yang dihadapi. Apabila pengguna adalah pengguna rumahan, maka kemungkinan keamanan fisik tidak banyak dibutuhkan. Akan tetapi, jika pengguna bekerja di laboratorium atau jaringan komputer, banyak yang harus dipikirkan. Saat ini, banyak komputer pribadi memiliki kemampuan mengunci. Biasanya kunci ini berupa socket pada bagian depan casing yang bisa dimasukkan kunci untuk mengunci ataupun membukanya. Kunci casing dapat mencegah seseorang untuk mencuri dari komputer, membukanya secara langsung untuk memanipulasi ataupun mencuri perangkat keras yang ada. Kunci ini juga berguna untuk mencegah orang lain mereboot komputer dari disket mau pun perangkat keras lainnya. Kunci casing ini melakukan hal-hal yang berbeda menurut fasilitas yang ditawarkan oleh motherboard dan bagaimana struktur casing itu sendiri. Pada banyak komputer pribadi, perusahaan pembuat menciptakan casing sedemikian rupa sehingga casing harus dihancurkan dulu untuk membukanya. Sedangkan pada tipe casing yang lain, keyboard mau pun mouse baru tidak dapat dipasangkan ke dalamnya.

Beberapa mesin terutama SPARC dan Mac mempunyai pengaman di bagian belakangnya, sehingga jika ada yang memasukkan kabel ke dalamnya, si penyerang harus memotong kabelnya atau merusak casing untuk masuk ke dalamnya. Meletakkan padlock atau combo lock akan menjadi pengamanan yang cukup baik untuk mencegah orang lain mencuri mesin anda. 51.5. Keamanan Perangkat Lunak Contoh dari keamanan perangkat lunak yaitu BIOS. BIOS merupakan perangkat lunak tingkat rendah yang mengkonfigurasi atau memanipulasi perangkat keras tertentu. BIOS dapat digunakan untuk mencegah penyerang mereboot ulang mesin dan memanipulasi sistem LINUX. Contoh dari keamanan BIOS dapat dilihat pada LINUX, dimana banyak PC BIOS mengizinkan untuk mengeset password boot. Namun, hal ini tidak banyak memberikan keamanan karena BIOS dapat direset, atau dihapus jika seseorang dapat masuk ke case. Namun, mungkin BIOS dapat sedikit berguna. Karena jika ada yang ingin menyerang sistem, untuk dapat masuk ke case dan mereset ataupun menghapus BIOS akan memerlukan waktu yang cukup lama dan akan meninggalkan bekas. Pada Linux/SPARC, SPARC EEPROM dapat diset agar memerlukan password bootup. Hal ini untuk memperlambat sesorang yang ingin menyerang sistem. 51.6. Keamanan Jaringan Pada dasarnya, jaringan komputer adalah sumber daya (resource) yang dishare dan dapat digunakan oleh banyak aplikasi dengan tujuan berbeda. Kadang-kadang, data yang ditransmisikan antara aplikasiaplikasi merupakan rahasia, dan aplikasi tsb tentu tidak mau sembarang orang membaca data tsb. Sebagai contoh, ketika membeli suatu produk melalui internet, pengguna (user) memasukkan nomor kartu kredit ke dalam jaringan. Hal ini berbahaya karena orang lain dapat dengan mudah "mencuri dengar" dan membaca data tsb pada jaringan. Oleh karena itu, user biasanya ingin mengenkripsi (encrypt) pesan yang mereka kirim, dengan tujuan mencegah orangorang yang tidak diinginkan membaca pesan tsb. Dasar enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plaintext, ciphertext yang dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi (decryption) untuk mendapatkan plaintext semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan penerima. Ketika kunci dan enkripsi ini digunakan, sulit bagi pencuri dengar untuk me'matah'kan ciphertext, sehingga komunikasi data antara pengirim dan penerima aman. Kriptografi macam ini dirancang untuk menjamin privacy: mencegah informasi menyebar luas tanpa ijin. Akan tetapi, privacy bukan satu-satunya layanan yang disediakan kriptografi. Kriptografi dapat juga digunakan untuk mendukung authentication (memverifikasi identitas user) dan integritas (memastikan bahwa pesan belum diubah).

51.7. Kriptografi Dari contoh diatas kita telah mendapatkan gambaran singkat mengenai kriptografi. Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi, sehingga kerahasiaan data dapatdilindungi. Secara garis besar, kriptografi digunakan untuk mengirim dan menerima pesan. Kriptografi pada dasarnya berpatokan pada key yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu jaringan dan digunakan untuk memproses suatu pesan. 51.8. Operasional Keamanan operasional (operations security) adalah tindakan apa pun yang menjadikan sistem beroperasi secara aman, terkendali, dan terlindung. Kategori utama dari kontrol keamanan operasional antara lain: 1. Preventative Control (kontrol pencegahan) Untuk mengurangi jumlah dan pengaruh dari error yang tidak disengaja yang memasuki sistem dan mencegah intruder. 2. Detective Control (kontrol pendeteksian) Untuk mendeteksi error pada saat error tsb terjadi. 3. Corrective/Recovery Control (kontrol perbaikan) Membantu mengurangi pengaruh dari suatu event yang hilang melalui prosedur recovery data. 4. Deterrent Control Untuk mendorong pemenuhan (compliance) dengan kontrol eksternal. 5. Application Control (kontrol aplikasi) Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak biasa, operasi perangkat lunak. 6. Transaction Control (kontrol transaksi) Untuk menyediakan kontrol di berbagai tahap transaksi (dari inisiasi sampai output, melalui kontrol testing dan kontrol perubahan). Administrative Control: kontrol yang diatur oleh manajemen admin untuk mengurangi ancaman atau dampak yang disebabkan oleh pelanggaran keamanan. Contoh administrative control: - Personnel security (keamanan personil) Kontrol sumber daya manusia. - Separation of Duties and Responsibilities (pemisahan antara kewajiban dan tanggung jawab)menugaskan hal-hal yang menyangkut keamanan kepada beberapa orang. - Least Privilege (hak akses terbatas) Setiap orang diberikan hak akses yang terbatas yang dibutuhkan dalam pelaksanaan tugas mereka. - Need to Know (keingintahuan) Yang dimaksud dengan need to know adalah akses ke, pengetahuan akan informasi yang dibutuhkan dalam melakukan suatu pekerjaan. - Change/Configuration Management Controls (kontrol manajemen perubahan/konfigurasi) Digunakan untuk melindungi sistem dari masalah dan error yang dapat disebabkan dari pengeksekusian sistem yang tidak wajar atau perubahan sistem

- Record Retention and Documentation Administrasi kontrol keamanan pada dokumentasi dan prosedur yang diimplementasikan untuk record retention berpengaruh pada keamanan operasional. Operations Controls (kontrol operasi) adalah prosedur yang dijalankan setiap hari untuk melindungi operasi pada komputer. Aspek-aspek penting dari kontrol operasi adalah proteksi sumber daya, kontrol perangkat keras, kontrol perangkat lunak, kontrol media, kontrol akses fisik, dan privileged-entity controls. 51.9. BCP/DRP Berdasarkan pengertian, BCP (Business Continuity Plan) yaitu rencana bisnis yang berkesinambungan, sedangkan DRP (Disaster Recovery Plan) yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi. Aspek yang terkandung di dalam suatu rencana bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan kerusakan yang terjadi. Dengan kata lain, DRP terkandung di dalam BCP. Rencana untuk pemulihan dari kerusakan, baik yang disebabkan oleh alam maupun manusia, tidak hanya berdampak pada kemampuan proses komputer suatu perusahaan, tetapi juga akan berdampak pada operasi bisnis perusahaan tersebut. Kerusakan-kerusakan tersebut dapat mematikan seluruh sistem operasi. Semakin lama operasi sebuah perusahaan mati, maka akan semakin sulit untuk membangun kembali bisnis dari perusahaan tersebut. Konsep dasar pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi yaitu harus dapat diterapkan pada semua perusahaan, baik perusahaan kecil maupun perusahaan besar. Hal ini tergantung dari ukuran atau jenis prosesnya, baik yang menggunakan proses manual, proses dengan menggunakan komputer, atau kombinasi dari keduanya. Pada perusahaan kecil, biasanya proses perencanaannya kurang formal dan kurang lengkap. Sedangkan pada perusahaan besar, proses perencanaannya formal dan lengkap. Apabila rencana tersebut diikuti maka akan memberikan petunjuk yang dapat mengurangi kerusakan yang sedang atau yang akan terjadi. 51.10. Proses Audit Tujuh langkah proses audit: 1.Implementasikan sebuah strategi audit berbasis risk management serta control practice yang dapat disepakati semua pihak. 2.Tetapkan langkah-langkah audit yang rinci. 3.Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat. 4.Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan. 5.Telaah apakah tujuan audit tercapai.

6.Sampaikan laporan kepada pihak yang berkepentingan. 7.Pastikan bahwa organisasi mengimplementasikan risk management serta control practice. Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan top-management, dan metode audit. Berdasarkan tujuannya, audit dibagi menjadi empat kategori: 1.Financial audit: mengetahui kebenaran dari laporan keuangan perusahaan. 2.Operational audit: mengetahui ada/tidaknya, berfungsi/tidaknya interal controls dalam suatu perusahaan. 3.Administrative audit: mengetahui efisiensi produktivitasoperasional dari sebuah perusahaan. 4. IS audit Metodologi audit: 1.Audit subject: menentukan apa yang akan diaudit. 2.Audit objective: menentukan tujuan dari audit. 3.Audit scope: menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. 4.Preaudit planning: mengidentifikasi sumber daya & SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit. 5.Audit procedures & steps for data gathering: menentukan cara melakukan audit untuk memeriksa & menguji kontrol, menentukan siapa yang akan diwawancara. 6.Evaluasi hasil pengujian & pemeriksaan: spesifik pada tiap organisasi. 7.Prosedur komunikasi dengan pihak manajemen: spesifik pada tiap organisasi. 8.Audit report preparation (menentukan bagaimana cara mereview hasil audit): evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit. Dalam menjalankan audit, tentu saja ada risiko yang harus ditempuh. Ada tiga macam audit risk: 1. Inherent risk: resiko yang sudah ada dari awal, karena sifat dari bisnis yang bersangkutan. Misal: kalkulasi 10.000 posting lebih bisa error ketimbang kalkulasi 10 posting; uang kas lebih mudah dicuri ketimbang mobil di inventory. 2. Control risk: resiko yang baru bisa dideteksi pada kontrol internal. 3. Detection risk: resiko karena suatu ancaman tidak dideteksi karena auditor menggunakan teknik/prosedur yang kurang memadai. Struktur & isi laporan audit tidak baku, tapi umumnya terdiri atas: - Pendahuluan: tujuan, ruang lingkup, lamanya audit, prosedur audit. - Kesimpulan umum dari auditor. - Hasil audit: apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak. - Rekomendasi - Tanggapan dari manajemen (bila perlu) - Exit interview: interview terakhir antara auditor dengan pihak

manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih. 51.11 Rangkuman Data atau informasi penting yang seharusnya tidak dapat diakses oleh orang lain mungkin dapat diakses, baik dibaca ataupun diubah oleh orang lain. Kita harus mempunyai suatu mekanisme yang membuat pelanggaran jarang terjadi. Ketika merancang sebuah sistem yang aman terhadap intruder, penting untuk mengetahui sistem tersebut akan dilindungi dari intruder macam apa. Untuk menjaga sistem keamanan sebuah komputer dapat dicapai dengan berbagai cara, antara lain: - keamanan fisik hal ini tergantung oleh anggaran dan situasi yang dihadapi. - keamanan perangkat lunak contoh dari keamanan perangkat lunak yaitu BIOS. - keamanan jaringan yaitu dengan cara kriptografi DRP (Disaster Recovery Plan) terkandung di dalam BCP (Business Continuity Plan). Metode untuk mendeteksi instrusi adalah dengan proses audit.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan