Audit Teknologi Informasi (T3)
RESUME
MATERI
AUDIT TEKNOLOGI INFORMASI
Disusun
oleh:
Nama : Muhammad Rifaldi Aditama. S
NPM : 10120783
Kelas : 4KA22
Mata Kuliah : Audit Teknologi Informasi
Dosen : Kurniawan B. Prianto, S.Kom. SH. MM.
PROGRAM
STUDI SISTEM INFORMASI
FAKULTAS
ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS
GUNADARMA
2024
Materi SAP M11 – M14
Aspek – aspek dalam
application control framework
1.
Boundary Control
Boundary control merujuk pada konsep pengelolaan batas
antara dua entitas yang berbeda, seperti organisasi atau negara. Ini melibatkan
pengaturan dan pemeliharaan garis batas untuk memastikan bahwa setiap entitas
mempertahankan otonomi dan identitasnya sendiri, sambil memungkinkan kerja sama
atau interaksi di antara mereka. Dalam konteks organisasi, boundary control
dapat mencakup pengaturan batas antara departemen atau divisi yang berbeda
untuk memastikan koordinasi yang efektif dan mencegah tumpang tindih atau
konflik. Sedangkan dalam konteks negara, boundary control dapat melibatkan
pengelolaan perbatasan untuk memfasilitasi perdagangan, keamanan, dan hubungan
internasional.
Pengendalian batas-batas sistem aplikasi / boundary
control adalah interface antara users dengan sistem berbasis teknologi
informasi. Tujuan utama Boundary Controls adalah antara lain:
-
Untuk mengenal identitas dan otentik atau
tidaknya pemakai sistem, artinya suatu sistem yang didesain dengan baik
seharusnya dapat mengidentifikasi dengan tepat siapa users tersebut, dan apakah
identitas diri yang dipakainya otentik.
-
Untuk menjaga agar sumber daya sistem
informasi digunakan oleh user dengan cara yang telah ditetapkan.
Contoh
dari pengendalian batas:
-
Otoritas akses ke sistem aplikasi
-
Identitas dan otentisitas pengguna
a. Cryptographic
control
·
Transposition ciphers: menggunakan
permutasi urutan karakter dari sederet string
·
Subtitution ciphers: mengganti karakter
dengan karakter lain sesuai aturan tertentu
·
Product ciphers: kombinasi transposition
dan subtitution ciphers
b. Access
control
·
Acccess controls yang digunakan dan
kemungkinan masalahnya
·
Ukuran proteksi yang ditekankan pada
mekanisme access controls
·
Apakah organisasi menggunakan access
controls yang disediakan dalam paket perangkat lunak
c. Personal
Identification Numbers (PIN)
·
Generasi PIN
·
Penerbitan dan penyampaian PIN kepada
pengguna
·
Validasi PIN
·
Transmisi PIN di seluruh jalur komunikasi
·
Pemrosesan PIN
·
Penyimpanan PIN
·
Perubahan PIN
·
Penggantian PIN
·
Penghentian PIN
d. Digital
signature
Pengujian sistem
manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan
penyebarannya.
e. Plastic
cards
·
Pengajuan kartu
·
Persiapan kartu
·
Penerbitan kartu
·
Penggunaan kartu
·
Pengembalian / penghancuran kartu
Referensi:
https://www.academia.edu/6935495/Pengendalian_Aplikasi
https://www.scribd.com/doc/165960786/Boundary-Control
https://www.cleverism.com/management-control-system-guide/
https://tisnaldianto.wordpress.com/2019/10/30/aspek-management-control-framework/
2.
Input Control
Pengendalian
masukan (input control) dirancang dengan tujuan untuk mendapat keyakinan bahwa
data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan peyalahgunaan.
Input control ini merupakan pengendalian aplikasi yang penting karena input
yang salah akan menyebabkan output yang juga akan keliru. Mekanisme masukan
data input ke sistem dapat dikategorikan ke dalam dua cara yaitu:
-
Batch System (Delayed Processing Systems)
-
Online Transaction Processing System (Pada umumnya bersifat real time system)
2.1 Batch
System
Dalam sistem ini, data
diolah dengan satuan kelompok dokumen, dan delayed processing system
(pengolahan bersifat tertunda). Contoh pengendalian input dengan sistem batch:
Ø Data
capturing
Ø Batch
data preparation
Ø Batch
data entry
Ø Validation
2.2 Online
Transaction Processing System
Pada sistem tersebut data
masukan dientri dengan workstation/terminal atau jenis input device seperti ATM
(automatic teller machine) dan POS (point of sales). Meskipun online tetapi
bisa saja dengan memakai pola batch, tetapi biasanya online dikaitkan dengan
real time system, artinya updating data di komputer bersamaan dengan terjadinya
transaksi.
Contoh dari pengendalian
input:
Ø Otoritas
dan validasi masukin
Ø Transmisi
dan konversi data
Ø Penanganan
kesalahan
1. Semakin
banyak intervensi manusia dalam metode input data, kemungkinan munculnya
kesalahan semakin besar.
2. Semakin
besar jarak waktu antara deteksi adanya kejadian dengan input dari kejadian
tersebut, kemungkinan munculnya kesalahan semakin tinggi.
3. Tipe
perangkat input tertentu dapat digunakan untuk memfasilitasi kontrol dalam
subsistem input.
Referensi:
https://www.academia.edu/6935495/Pengendalian_Aplikasi
https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/
3.
Communication Control
Communication
control adalah serangkaian
prosedur dan kebijakan yang diterapkan dalam suatu organisasi untuk mengelola
dan mengarahkan aliran informasi dan komunikasi. Tujuan utamanya adalah untuk
memastikan bahwa komunikasi internal dan eksternal dilakukan dengan efisien,
efektif, dan sesuai dengan kebijakan serta tujuan organisasi.
·
Passive attacks (Membaca pesan, Analisis
trafik)
·
Active attacks
Ø Menyisipkan
pesan
Ø Menghapus
pesan
Ø Modifikasi
pesan
Ø Mengubah
urutan pesan
Ø Duplikasi
pesan
Ø Membuat
pesan corrupt
Ø Spamming
Yang
perlu diperhatikan oleh auditor:
1. Physical
component control
2. Line
error control
3. Flow
control
4. Link
control
5. Topological
control
6. Channel
access control
7. Internetworking
control
8. Communication
architecture control
Referensi:
https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/
https://manprountel.wordpress.com/project-communication/control-communication/
4.
Processing Control
Pengendalian
proses diperlukan dalam pengendalian intern utntuk mendeteksi terjadinya
perubahan data yang sudah valid menjadi error karena kesalahan proses. Kesalahan
yang paling mungkin terjadi adalah kesalahan logika program, salah rumus, salah
urutan program, dan sebagainya. Contoh pengendalian proses antara lain:
-
Dokumentasi program dan tes secara lengkap
-
Source code dijadikan absolute code
-
Prosedur program change request yang formal
-
Count untuk read and write
-
Processing logic check
-
Run to run check
-
Inter subsystems check
-
File and program check
-
Audit trail linkage
-
Data reasonable test
-
Cross footing test
a. Processor
control
Tipe – tipe kontrol:
·
Deteksi dan koreksi kesalahan
·
Kemungkinan terjadinya beberapa status
eksekusi yang sama
·
Penentuan batas waktu eksekusi, untuk
menghindari infinite loop
·
Replikasi komponen, berupa struktur
multicomputer maupun multiprocessor
b. Real
memory control
Kontrol terhadap real
memory berupaya untuk:
·
Mendeteksi dan memperbaiki kesalahan pada
sel-sel memori
·
Melindungi area memori yang berkaitan
dengan sebuah program dari akses ilegal oleh program lain
c. Virtual
memory control
Dua tipe kontrol yang
harus dievaluasi:
·
Saat sebuah proses mengacu lokasi pada
virtual memory, displacement harus dipastikan berada dalam block
·
Harus dilakukan pengecekan priviledge saat
sebuah proses mengakses block tertentu.
d. Integritas
OS
Kontrol OS yang handal:
·
OS harus terlindungi dari proses-proses
pengguna
·
Pengguna harus terlindungi satu sama lain
·
Pengguna harus dilindungi dari dirinya
sendiri
·
OS harus terlindungi dari dirinya sendiri
·
Saat terjadi kegagalan lingkungan, OS
harus kuat
e. Application
software control
·
Pengecekan validasi serta identifikasi
kesalahan
·
Pencegahan kesalahan pemrosesan
f.
Audit trial control
·
Accounting audit trail
Dilakukan dengan
menelusuri proses yang dilalui oleh data berdasarkan identifikasi proses
·
Operational audit trail
Meliputi data konsumsi
sumber daya, penelusuran kejadian yang terkait keamanan, kegagalan fungsi
perangkat keras, serta kejadian khusus yang ditentukan oleh pengguna.
g. Audit
checkpoint
Auditor mengevaluasi:
1. Informasi
checkpoint/ restart yang tertulis dalam log harus aman
2. Fasilitas
checkpoint/ restart harus efektif dan efisien
3. Fasilitas
checkpoint/ restart harus terdokumentasi dengan baik
4. Fasilitas
checkpoint/ restart harus handal
Referensi:
https://www.academia.edu/6935495/Pengendalian_Aplikasi
https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/
5.
Database Control
Kontrol
basis data (database control) merujuk pada serangkaian langkah-langkah dan
mekanisme yang digunakan untuk mengelola, memantau, dan mengamankan basis data
dalam suatu sistem informasi. Tujuan utamanya adalah untuk memastikan bahwa
data dalam basis data terlindungi, tersedia, dan akurat sesuai dengan kebutuhan
organisasi.
a. Access
control
·
Discretionary access controls
Dengan membatasi berdasarkan nama, konten,
konteks, atau sejarah akses
·
Mandatory access controls
Dilakukan berdasarkan pengelompokan level
sumber daya dan level pengguna.
b. Integrity
control
·
ER model integrity constraints
Uniqueness, min&max cardinality,
entity ID, value type&set of ID
·
Relational data model integrity
constraints
Key, entity and referential constraints
·
Object data model integrity constraints
Unique ID&key, value type&set of attribute,
tipes and inheritance
c. Application
software control
·
Update protocols
Memastikan bahwa perubahan pada basis data
menggambarkan perubahan entitas nyata dan asosiasi antar entitas
·
Report protocols
Menyediakan informasi bagi pengguna basis
data yang memungkinkan identifikasi kesalahan yang muncul saat update basis
data
d. Concurrency
control
memungkinkan pengguna basis data berbagi
sumber daya yang sama
e. Cryptographic
control
melindungi integritas data yang disimpan
dalam basis data
f.
Audit trail control
·
Accounting audit trail
Subsistem basis data harus menjalankan
tiga fungsi:
·
Seluruh transaksi harus memiliki unique
time stamp
·
Subsistem harus mencatat beforeimages dan
afterimages dari data sebelum dan sesudah transaksi
·
Subsistem harus menyediakan fasilitas
untuk define, create, modify, delete, dan retrieve data pada audit trail
Operational audit trail
·
Mengelola kronologi kejadian penggunaan
sumber daya yang mempengaruhi basis data
g. Existence
control
Referensi:
https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/
Komentar
Posting Komentar