Audit Teknologi Informasi (T3)

 

RESUME

MATERI AUDIT TEKNOLOGI INFORMASI

 

 

Disusun oleh:

                                    Nama               : Muhammad Rifaldi Aditama. S

                                    NPM               : 10120783

                                    Kelas               : 4KA22

                                    Mata Kuliah    : Audit Teknologi Informasi

                                    Dosen              : Kurniawan B. Prianto, S.Kom. SH. MM.

 

 

PROGRAM STUDI SISTEM INFORMASI

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

UNIVERSITAS GUNADARMA

2024



Materi SAP M11 – M14

Aspek – aspek dalam application control framework

1.      Boundary Control

Boundary control merujuk pada konsep pengelolaan batas antara dua entitas yang berbeda, seperti organisasi atau negara. Ini melibatkan pengaturan dan pemeliharaan garis batas untuk memastikan bahwa setiap entitas mempertahankan otonomi dan identitasnya sendiri, sambil memungkinkan kerja sama atau interaksi di antara mereka. Dalam konteks organisasi, boundary control dapat mencakup pengaturan batas antara departemen atau divisi yang berbeda untuk memastikan koordinasi yang efektif dan mencegah tumpang tindih atau konflik. Sedangkan dalam konteks negara, boundary control dapat melibatkan pengelolaan perbatasan untuk memfasilitasi perdagangan, keamanan, dan hubungan internasional.

Pengendalian batas-batas sistem aplikasi / boundary control adalah interface antara users dengan sistem berbasis teknologi informasi. Tujuan utama Boundary Controls adalah antara lain:

-          Untuk mengenal identitas dan otentik atau tidaknya pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa users tersebut, dan apakah identitas diri yang dipakainya otentik.

-          Untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang telah ditetapkan.

Contoh dari pengendalian batas:

-          Otoritas akses ke sistem aplikasi

-          Identitas dan otentisitas pengguna

 

a.       Cryptographic control

·         Transposition ciphers: menggunakan permutasi urutan karakter dari sederet string

·         Subtitution ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu

·         Product ciphers: kombinasi transposition dan subtitution ciphers

 

b.      Access control

·         Acccess controls yang digunakan dan kemungkinan masalahnya

·         Ukuran proteksi yang ditekankan pada mekanisme access controls

·         Apakah organisasi menggunakan access controls yang disediakan dalam paket perangkat lunak

 

c.       Personal Identification Numbers (PIN)

·         Generasi PIN

·         Penerbitan dan penyampaian PIN kepada pengguna

·         Validasi PIN

·         Transmisi PIN di seluruh jalur komunikasi

·         Pemrosesan PIN

·         Penyimpanan PIN

·         Perubahan PIN

·         Penggantian PIN

·         Penghentian PIN

 

d.      Digital signature

Pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannya.

 

e.       Plastic cards

·         Pengajuan kartu

·         Persiapan kartu

·         Penerbitan kartu

·         Penggunaan kartu

·         Pengembalian / penghancuran kartu

 

Referensi:

https://www.academia.edu/6935495/Pengendalian_Aplikasi

https://www.scribd.com/doc/165960786/Boundary-Control

https://www.cleverism.com/management-control-system-guide/

https://tisnaldianto.wordpress.com/2019/10/30/aspek-management-control-framework/

 

2.      Input Control

Pengendalian masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan peyalahgunaan. Input control ini merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output yang juga akan keliru. Mekanisme masukan data input ke sistem dapat dikategorikan ke dalam dua cara yaitu:

- Batch System (Delayed Processing Systems)

- Online Transaction Processing System (Pada umumnya bersifat real time system)

 

2.1  Batch System

Dalam sistem ini, data diolah dengan satuan kelompok dokumen, dan delayed processing system (pengolahan bersifat tertunda). Contoh pengendalian input dengan sistem batch:

Ø  Data capturing

Ø  Batch data preparation

Ø  Batch data entry

Ø  Validation

 

2.2  Online Transaction Processing System

Pada sistem tersebut data masukan dientri dengan workstation/terminal atau jenis input device seperti ATM (automatic teller machine) dan POS (point of sales). Meskipun online tetapi bisa saja dengan memakai pola batch, tetapi biasanya online dikaitkan dengan real time system, artinya updating data di komputer bersamaan dengan terjadinya transaksi.

Contoh dari pengendalian input:

Ø  Otoritas dan validasi masukin

Ø  Transmisi dan konversi data

Ø  Penanganan kesalahan

 

1.      Semakin banyak intervensi manusia dalam metode input data, kemungkinan munculnya kesalahan semakin besar.

2.      Semakin besar jarak waktu antara deteksi adanya kejadian dengan input dari kejadian tersebut, kemungkinan munculnya kesalahan semakin tinggi.

3.      Tipe perangkat input tertentu dapat digunakan untuk memfasilitasi kontrol dalam subsistem input.

 

Referensi:

https://www.academia.edu/6935495/Pengendalian_Aplikasi

https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/

 

3.      Communication Control

Communication control adalah serangkaian prosedur dan kebijakan yang diterapkan dalam suatu organisasi untuk mengelola dan mengarahkan aliran informasi dan komunikasi. Tujuan utamanya adalah untuk memastikan bahwa komunikasi internal dan eksternal dilakukan dengan efisien, efektif, dan sesuai dengan kebijakan serta tujuan organisasi.

 

·         Passive attacks (Membaca pesan, Analisis trafik)

·         Active attacks

Ø  Menyisipkan pesan

Ø  Menghapus pesan

Ø  Modifikasi pesan

Ø  Mengubah urutan pesan

Ø  Duplikasi pesan

Ø  Membuat pesan corrupt

Ø  Spamming

Yang perlu diperhatikan oleh auditor:

1.      Physical component control

2.      Line error control

3.      Flow control

4.      Link control

5.      Topological control

6.      Channel access control

7.      Internetworking control

8.      Communication architecture control

 

Referensi:

https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/

https://manprountel.wordpress.com/project-communication/control-communication/

 

4.      Processing Control

Pengendalian proses diperlukan dalam pengendalian intern utntuk mendeteksi terjadinya perubahan data yang sudah valid menjadi error karena kesalahan proses. Kesalahan yang paling mungkin terjadi adalah kesalahan logika program, salah rumus, salah urutan program, dan sebagainya. Contoh pengendalian proses antara lain:

- Dokumentasi program dan tes secara lengkap

- Source code dijadikan absolute code

- Prosedur program change request yang formal

- Count untuk read and write

- Processing logic check

- Run to run check

- Inter subsystems check

- File and program check

- Audit trail linkage

- Data reasonable test

- Cross footing test

 

 

 

a.       Processor control

Tipe – tipe kontrol:

·         Deteksi dan koreksi kesalahan

·         Kemungkinan terjadinya beberapa status eksekusi yang sama

·         Penentuan batas waktu eksekusi, untuk menghindari infinite loop

·         Replikasi komponen, berupa struktur multicomputer maupun multiprocessor

 

b.      Real memory control

Kontrol terhadap real memory berupaya untuk:

·         Mendeteksi dan memperbaiki kesalahan pada sel-sel memori

·         Melindungi area memori yang berkaitan dengan sebuah program dari akses ilegal oleh program lain

 

c.       Virtual memory control

Dua tipe kontrol yang harus dievaluasi:

·         Saat sebuah proses mengacu lokasi pada virtual memory, displacement harus dipastikan berada dalam block

·         Harus dilakukan pengecekan priviledge saat sebuah proses mengakses block tertentu.

 

d.      Integritas OS

Kontrol OS yang handal:

·         OS harus terlindungi dari proses-proses pengguna

·         Pengguna harus terlindungi satu sama lain

·         Pengguna harus dilindungi dari dirinya sendiri

·         OS harus terlindungi dari dirinya sendiri

·         Saat terjadi kegagalan lingkungan, OS harus kuat

 

e.       Application software control

·         Pengecekan validasi serta identifikasi kesalahan

·         Pencegahan kesalahan pemrosesan

f.        Audit trial control

·         Accounting audit trail

Dilakukan dengan menelusuri proses yang dilalui oleh data berdasarkan identifikasi proses

·         Operational audit trail

Meliputi data konsumsi sumber daya, penelusuran kejadian yang terkait keamanan, kegagalan fungsi perangkat keras, serta kejadian khusus yang ditentukan oleh pengguna.

 

g.      Audit checkpoint

Auditor mengevaluasi:

1.      Informasi checkpoint/ restart yang tertulis dalam log harus aman

2.      Fasilitas checkpoint/ restart harus efektif dan efisien

3.      Fasilitas checkpoint/ restart harus terdokumentasi dengan baik

4.      Fasilitas checkpoint/ restart harus handal

 

Referensi:

https://www.academia.edu/6935495/Pengendalian_Aplikasi

https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/

 

5.      Database Control

Kontrol basis data (database control) merujuk pada serangkaian langkah-langkah dan mekanisme yang digunakan untuk mengelola, memantau, dan mengamankan basis data dalam suatu sistem informasi. Tujuan utamanya adalah untuk memastikan bahwa data dalam basis data terlindungi, tersedia, dan akurat sesuai dengan kebutuhan organisasi.

a.       Access control

·         Discretionary access controls

Dengan membatasi berdasarkan nama, konten, konteks, atau sejarah akses

·         Mandatory access controls

Dilakukan berdasarkan pengelompokan level sumber daya dan level pengguna.

 

b.      Integrity control

·         ER model integrity constraints

Uniqueness, min&max cardinality, entity ID, value type&set of ID

·         Relational data model integrity constraints

Key, entity and referential constraints

·         Object data model integrity constraints

Unique ID&key, value type&set of attribute, tipes and inheritance

 

c.       Application software control

·         Update protocols

Memastikan bahwa perubahan pada basis data menggambarkan perubahan entitas nyata dan asosiasi antar entitas

·         Report protocols

Menyediakan informasi bagi pengguna basis data yang memungkinkan identifikasi kesalahan yang muncul saat update basis data

 

d.      Concurrency control

memungkinkan pengguna basis data berbagi sumber daya yang sama

 

e.       Cryptographic control

melindungi integritas data yang disimpan dalam basis data

 

f.        Audit trail control

·         Accounting audit trail

Subsistem basis data harus menjalankan tiga fungsi:

·         Seluruh transaksi harus memiliki unique time stamp

·         Subsistem harus mencatat beforeimages dan afterimages dari data sebelum dan sesudah transaksi

·         Subsistem harus menyediakan fasilitas untuk define, create, modify, delete, dan retrieve data pada audit trail

Operational audit trail

·         Mengelola kronologi kejadian penggunaan sumber daya yang mempengaruhi basis data

g.      Existence control

Referensi:

https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/

https://prezi.com/rihmj4udjisj/database-control/

Komentar

Postingan populer dari blog ini

Audit Teknologi Informasi (T1)

MANAJEMEN