T3 : Aspek-aspek dalam application control framework dan proses pengumpulan bukti

 

RESUME

MATERI AUDIT TEKNOLOGI INFORMASI

 

 


Disusun untuk memenuhi tugas

 

Mata Kuliah           : Audit Teknologi Informasi

Dosen Pengampu   : Kurniawan B. Prianto, S. Kom. SH. MM.

 

Oleh :

Ervan Maulana Fernando (10120354)

 

 

 

 

KELAS 4KA21

PROGRAM STUDI SISTEM INFORMASI

UNIVERSITAS GUNADARMA

2024

 

POKOK BAHASAN : ASPEK-ASPEK DALAM APPLICATION CONTROL FRAMEWORK

Adapun aspek-aspek yang terdapat pada Application Control Framework adalah sebagai berikut:

1.    Boundary Control (Pengendalian Batasan)

Boundary adalah interface antara para pengguna (user) dengan sistem berbasis teknologi informasi. Tujuan utama boundary control antara lain:

a.      Untuk mengenal identitas pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa pengguna tersebut, danapakah identitas diri yang dipakainya otentik.

b.     Untuk menjaga agar sumber daya sistem informasi digunakan oleh pengguna dengan carayang ditetapkan.

Contoh dari boundary control (pengendalian batasan) yaitu:

-        Otoritas akses ke sistem aplikasi

-        Identitas dan otentikasi (keaslian) pengguna

Terdapat beberapa kontrol yang diimplementasikan dalam pengendalian batasan, yaitu:

a.      Cryptographic Control (Pengendalian Kriptografi)

Crytographic control (pengendalian kriptografi) dirancang untuk melindungi privasi data danmencegah modifikasi data yang tidak sah. Teknik ini mengenkripsi data (cleartext) menjadi bentuk yang tidak beraturan (ciphertext) sehingga tidak dapat dipahami oleh pihak yang tidak berkepentingan. Macam-macam teknik kriptografi:

o   Transposition ciphers: menggunakan permutasi urutan karakter dari sederet string (deret symbol dalam pemrograman komputer)

o   Substitution ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu

o   Product ciphers: kombinasitransposition dan substitution ciphers.

b.     Access Controls (Pengendalian Akses)

Kontrol ini membatasi akses pengguna terhadap sumber daya dan aksi yang dapat dilakukanoleh pengguna yang sah. Otentikasi memastikan bahwa sistem hanya dapat diakses oleh pengguna otentik, sekaligus meyakinkan pengguna bahwa sistem yang digunakan adalah otentik. Auditor mengevaluasi:

o   Access control yang digunakan dan kemungkinan masalahnya.

o   Ukuran proteksi yang ditekankan pada mekanisme access control.

o   Apakah organisasi menggunakan access control yang disediakan dalam paket perangkat lunak

c.      Personal Identification Numbers (PIN) / Nomor Identifikasi Seseorang

PIN adalah sejenis password yang digunakan untuk identifikasi dan verifikasi otentikasi seseorang. Kontrol yang harus disiapkan terhadap PIN, yaitu:

o   Generasi PIN

o   Penerbitan dan penyampaian PIN kepada pengguna

o   Validasi PIN

o   Transmisi PIN di seluruh jalur komunikasi

o   Pemrosesan PIN

o   Penyimpanan PIN

o   Perubahan PIN

o   Penggantian PIN

o   Penghentian PIN.

d.     Digital Signatures (Tandatangan Digital)

Tandatangan digital adalah string 0 dan 1 yang setara dengan tandatangan analog untuk menandatangani dokumen. Kontrol yang berkaitan dengan digital signatures adalah pengujian sistem manajemen yang digunakan untuk mengelola tandatangan digital, penggunaan dan penyebarannya. Tujuan tandatangan digital adalah untuk otentikasi pengguna dan mencegah penyangkalan oleh pihak pengirim dokumen.

e.      Plastic Card (Kartu Plastik)

Kartu plastik digunakan untuk mengidentifikasi individu pengguna sistem komputer. Kontrolterkait penggunaan kartu plastik:

o   Pengajuan kartu

o   Persiapan kartu

o   Penerbitan kartu

o   Penggunaan kartu

o   Pengembalian/penghancuran kartu.

f.      Audit Trails Control

Audit trail  adalah fitur dalam sistem komputer yang berfungsi untuk mencatat dan melacak aktivitas pengguna dalam satu waktu. Tujuan utamanya adalah sebagai bukti dan transparansi apabila ada permasalahan di kemudian hari. Seluruh kejadian dalam boundary control harus tercatat dalam audit trail. Jika sistem boundary gagal , para calon pengguna sistem komputer tidak dapat membangun antarmuka dengan sistem. Audit trail dapat berupa:

o   Accounting audit trail, untuk mengelola catatan kejadian dalam sebuah subsistem.

o   Operations audit tral, untuk mengelola catatan penggunaan sumber daya yang berkaitan dengan setiap kejadian dalam subsitem.

Sumber : ( https://ukipradana.wordpress.com/2019/10/31/aspek-pada-management-control-framework-contohnya/ )


2.     Input Control (Pengendalian Masukan)

Input control (pengendalian masukan) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input control ini merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output juga keliru. Mekanisme masuknya data input ke sistem dapat dikategorikan ke dalam 2 cara, yaitu:

-        Batch system: pada umumnya bersifat delayed processing system

-        Online transaction processing system: pada umumnya bersifat real time system

Aspek-aspek yang harus diperhatikan oleh auditor:

·       Semakin banyak intervensi manusia dalam metode input data, kemungkinan munculnyakesalahan semakin besar.

·       Semakin besar jarak waktu antara deteksi adanya kejadian dengan input dari kejadian tersebut, kemungkinan munculnya kesalahan semakin tinggi.

·       Tipe perangkat input tertentu dapat digunakan untuk memfasilitasi kontrol dalam subsistem input. Contoh: pengamanan fisik untuk keuangan, fasilitas kriptografi untuk meningkatkan privasi data, perangkat lunak panduan bagi pelanggan untuk mengurangi kemungkinan kesalahan input.

Sumber : ( https://turundarilangit15.blogspot.com/2020/01/aspek-aspek-di-dalam-application.html )


3.     Communication Control (Pengendalian Komunikasi)

Pengendalian komunikasi merupakan jenis pengendalianintern yang didesain untuk menangani kesalahan selama proses transmisi data dan untuk menjaga keamanan dari data selama pengiriman informasi tersebut.

-        Passive attacks: Membaca pesan, Analisis trafik.

-        Active attacks

o   Menyisipkan pesan

o   Menghapus pesan

o   Modifikasi pesan

o   Mengubah urutan pesan

o   Duplikasi pesan

o   Membuat pesan corrupt

o   Spamming

Sumber : ( https://slideplayer.info/slide/12249236/ )


4.     Processing Control (Pengendalian Proses)

Processing control (pengendalian proses) ialah pengendalian internal untuk mendeteksi jangansampai data menjadierror  karena adanya kesalahan proses. Tujuannya adalah untuk mencegahagar tidak terjadi kesalahan-kesalahan selama proses pengolahan data.

a.     Processor control

Tipe-tipe kontrol:

o   Deteksi dan koreksi kesalahan

o   Kemungkinan terjadinya beberapa status eksekusi yang sama

o   Penentuan batas waktu eksekusi, untuk menghindari infinite loop (merupakan pengulangan data yang terjadi secara terus-menerus)

o   Replikasi komponen, berupa struktur multicomputer maupun multiprocessor

b.     Real memory control

Kontrol terhadap real memory berupaya untuk:

o   Mendeteksi dan memperbaiki kesalahan pada sel-sel memori

o   Melindungi area memori yang berkaitan dengan sebuah program dari akses ilegaloleh program lain

c.      Aplication software control

o   Pengecekan validasi serta identifikasi kesalahan

o   Pencegahan kesalahan pemrosesan

d.     Audit trial control

o   Accounting audit trail : dilakukan dengan menelusuri proses yang dilalui olehdata berdasarkan identifikasi proses

o   Operational audit trail : meliputi data konsumsi sumber daya, penelusuran kejadian yang terkait keamanan, kegagalan fungsi perangkat keras, serta kejadian khusus yang ditentukan oleh pengguna.

e.      Audit checkpoint

Auditor mengevaluasi:

o   Informasi checkpoint/ restart yang tertulis dalam log harus aman

o   Fasilitas checkpoint/ restart harus efektif dan efisien.

o   Fasilitas checkpoint/ restart harus terdokumentasi dengan baik

o   Fasilitas checkpoint/ restart harus handal

Sumber : ( https://turundarilangit15.blogspot.com/2020/01/aspek-aspek-di-dalam-application.html )


5.     Database Control  (Pengendalian Basis Data)

Pengendalian basis data merupakan jenis pengendalian intern yang didesain untuk menjaga akseske dalam database dan menjaga integritas dari data tersebut. Adapun bagian dari pengendalian database, yaitu:

a.     Access Control

Kontrol akses dalam basis data berupaya mencegah akses dan penggunaan data yang tidak sah. Hal ini berdasarkan kebijakan keamanan dan mekanisme kontrol yang sesuai untuk subsistem basis data. Tipe-tipe kebijakan keamanan :

o   Discretionary access control : dengan membatasi berdasarkan nama, konten,konteks, atau sejarah akses.

o   Mandatory access control  : dilakukan berdasarkan pengelompokan level sumber daya dan level pengguna.

b.     Integrity Control

Database management system (DBMS) adalah sistem software yang digunakan untuk menyimpan, mengatur, dan memastikan data-data tersebut tersimpan dengan aman. DBMS yang baik menerapkan beberapa tipe integrity constrains untuk mengelola akurasi, kelengkapan, dan keunikan dari instansi dan pemodelan data untuk merepresentasikan fenomena dunia nyata tentang data yang disimpan dalam subsistem basis data.

c.      Application Software Control

Integritas subsistem basis data bergantung pada control yang diterapkan pada program aplikasi pengguna basis data. Adapun protokol untuk melindungi integritas basis data:

o   Update Protocols: memastikan bahwa perubahan pada basis datamenggambarkan perubahan entitas nyata dan asosiasi antar entitas.

o   Report Protocols: menyediakan informasi bagi pengguna basis data yang memungkinkan identifikasi kesalahan yang muncul saat update basis data.

d.     Concurrency Controls

Kontrol ini bertujuan untuk memungkinkan pengguna basis data berbagi sumber dayayang sama. Masalah yang sering adalah deadlock. Deadlock adalah keadaan Dimana sejumlah permintaan yang tidak bisa dijalankan oleh scheduler karena permintaan- permintaan tersebut saling tunggu menunggu. Deadlock adalah masalah utama dalam penggunaan data secara bersama-sama. Dapat dicegah dengan property ACID pada transaksi:

o   Atomicity : setiap aksi harus dapat dipisahkan dari aksi lainnya

o   Consistency : transaksi harus menjaga konsistensi basis data.

o   Isolation : kejadian dalam transaksi harus transparan terhadap transaksi lain.

o   Durability : saat sebuah transaksi dilakukan, sistem harus menjamin bahwa perubahan yang terjadi tidak menyebabkan kegagalan di basis data.

Penanganan deadlock juga dapat dilakukan dengantwo-phase locking protocol :

o   sebelum transaksi dapat membaca data, harus memiliki hak “read-lock”. Demikian juga sebelum bisa menulis data, harus punya hak “write-lock ”.

o   transaksi-transaksi yang berbeda tidak bisa memiliki hak lock yang sama secara bersamaan.

Locks dapat dilepas saat :

o   seluruh perubahan dalam transaksi sudah committed

o   transaksi tidak dapat memperoleh seluruh locks yang diperlukan.

e.      Crytographic Controls

Kontrol kriptografis juga dapat diterapkan untuk melindungi integritas data yang disimpan dalam basis data. Cara utamanya adalah dengan block encryption, yang beroperasi pada blok data tunggal. Penggunaan kontrol kriptografis pada subsistem basisdata semakin kompleks pada distributed database.

Strategi:

o   Keys harus didistribusikan dengan aman

o   Tersimpan di beberapa lokasi sehingga penanganan resiko harus lebih handal

o   Perubahan keys di sebuah lokasi juga harus disinkronkan dengan keys di lokasilainnya.

Sumber : ( https://slideplayer.info/slide/12078601/ )

Komentar

Posting Komentar

Postingan Populer