Upload File

sistem operasi audit

13
SISTEM OPERASI AUDIT Sistem operasi adalah program pengendalian komputer. Hal ini memungkinkan pengguna dan aplikasi mereka untuk berbagi dan mengakses sumber daya umum komputer, seperti prosesor, memori utama, database, dan printer. Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individu juga dapat dielakkan atau dinetralkan. Karena sistem operasi umum bagi semua pengguna, semakin besar fasilitas komputer, semakin besar skala dari potensi kerusakan. Dengan demikian, dengan terus berkembang berbagi komunitas pengguna lebih dan lebih banyak sumber daya komputer, sistem operasi keamanan menjadi pengendalian internal pentingisu. Tujuan Sistem Operasi Sistem operasi melakukan tiga tugas utama. Pertama, menerjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC, dan SQL, ke dalam bahasa mesin tingkat bahwa komputer dapat mengeksekusi. Modul penerjemah bahasa dari sistem operasi disebut compiler dan interpreter. Implikasi pengendalian penerjemah bahasa diperiksa dalam Bab 5. Kedua, sistem operasi mengalokasikan sumber daya komputer untuk pengguna, kelom- pok kerja, dan aplikasi. Ini termasuk menugaskan ruang kerja memori (partisi) untuk aplikasi dan otorisasi akses ke terminal, link telekomunikasi, database, dan printer. Ketiga, sistem operasi mengelola tugas-tugas penjadwalan kerja dan multiprogramming. Pada setiap titik, banyak aplikasi pengguna (pekerjaan) sedang mencari akses ke sumber daya komputer di bawah kendali sistem operasi. Pekerjaan yang diserahkan kepada sistem dalam tiga cara: (1) langsung oleh operator sistem, (2) dari berbagai antrian batch-job, dan (3) melalui link telekomunikasi dari workstation remote. Untuk mencapai efisien dan penggunaan efektif sumber daya yang terbatas komputer, sistem operasi harus menjadwalkan pengolahan pekerjaan sesuai dengan prioritas yang ditetapkan dan menyeimbangkan penggunaan sumber daya di antara aplikasi yang bersaing. Untuk melakukan tugas ini secara konsisten dan andal, sistem operasi harus mencapai lima tujuan pengendalian mendasar:

Upload: mujibur-rahman

Post on 20-Feb-2016

8 views

Category:

Documents


2 download

Report

DESCRIPTION

Pengauditan Sistem Informasi

TRANSCRIPT

Page 1: Sistem Operasi Audit

SISTEM OPERASI AUDIT

Sistem operasi adalah program pengendalian komputer. Hal ini memungkinkan pengguna dan aplikasi mereka untuk berbagi dan mengakses sumber daya umum komputer, seperti prosesor, memori utama, database, dan printer. Jika integritas sistem operasi terganggu, kontrol dalam aplikasi akuntansi individu juga dapat dielakkan atau dinetralkan. Karena sistem operasi umum bagi semua pengguna, semakin besar fasilitas komputer, semakin besar skala dari potensi kerusakan. Dengan demikian, dengan terus berkembang berbagi komunitas pengguna lebih dan lebih banyak sumber daya komputer, sistem operasi keamanan menjadi pengendalian internal pentingisu.

Tujuan Sistem Operasi

Sistem operasi melakukan tiga tugas utama. Pertama, menerjemahkan bahasa tingkat tinggi, seperti COBOL, C ++, BASIC, dan SQL, ke dalam bahasa mesin tingkat bahwa komputer dapat mengeksekusi. Modul penerjemah bahasa dari sistem operasi disebut compiler dan interpreter. Implikasi pengendalian penerjemah bahasa diperiksa dalam Bab 5.

Kedua, sistem operasi mengalokasikan sumber daya komputer untuk pengguna, kelom- pok kerja, dan aplikasi. Ini termasuk menugaskan ruang kerja memori (partisi) untuk aplikasi dan otorisasi akses ke terminal, link telekomunikasi, database, dan printer.

Ketiga, sistem operasi mengelola tugas-tugas penjadwalan kerja dan multiprogramming. Pada setiap titik, banyak aplikasi pengguna (pekerjaan) sedang mencari akses ke sumber daya komputer di bawah kendali sistem operasi. Pekerjaan yang diserahkan kepada sistem dalam tiga cara: (1) langsung oleh operator sistem, (2) dari berbagai antrian batch-job, dan (3) melalui link telekomunikasi dari workstation remote. Untuk mencapai efisien dan penggunaan efektif sumber daya yang terbatas komputer, sistem operasi harus menjadwalkan pengolahan pekerjaan sesuai dengan prioritas yang ditetapkan dan menyeimbangkan penggunaan sumber daya di antara aplikasi yang bersaing.

Untuk melakukan tugas ini secara konsisten dan andal, sistem operasi harus mencapai lima tujuan pengendalian mendasar:

1. Sistem operasi harus melindungi diri dari pengguna. Aplikasi pengguna tidak harus mampu menguasai, atau kerusakan dengan cara apapun, sistem operasi, sehingga menyebabkan ia untuk menghentikan menjalankan atau menghancurkan data.

2. Sistem operasi harus melindungi pengguna dari satu sama lain. Salah satu pengguna tidak harus bisa mengakses, merusak, atau merusak data atau program dari pengguna lain.

3. Sistem operasi harus melindungi pengguna dari diri mereka sendiri. Aplikasi A pengguna mungkin terdiri dari beberapa modul yang tersimpan di lokasi memori yang terpisah, masing-masing dengan sendiri Data. Satu modul harus tidak diperbolehkan untuk menghancurkan atau merusak modul lain.

4. Sistem operasi harus dilindungi dari dirinya sendiri. Sistem operasi ini juga terdiri dari modul individu. Tidak ada modul harus diperbolehkan untuk menghancurkan atau merusak modul lain.

Page 2: Sistem Operasi Audit

5. Sistem operasi harus dilindungi dari lingkungannya. Dalam hal terjadi listrik atau bencana lainnya, sistem operasi harus dapat mencapai penghentian dikendalikan dari kegiatan yang nanti bisa sembuh.

Sistem operasi Keamanan

Sistem keamanan operasi melibatkan kebijakan, prosedur, dan kontrol yang menentukan siapa dapat mengakses sistem operasi, yang sumber (file, program, printer) dapat mereka gunakan, dan tindakan apa yang mereka dapat mengambil. Komponen keamanan berikut ditemukan di aman sistem operasi: log-on prosedur, akses token, daftar kontrol akses, dan diskresioner hak akses.

Log-On Prosedur

Sebuah prosedur log-on formal baris pertama sistem operasi pertahanan terhadap akses yang tidak sah. Ketika pengguna memulai proses, ia disajikan dengan dialog kotak meminta ID dan password pengguna. Sistem ini membandingkan ID dan password ke database dari pengguna yang sah. Jika sistem menemukan kecocokan, maka log-on upaya dikonfirmasi. Namun, jika password atau ID yang dimasukkan salah, log-on upaya gagal dan pesan dikembalikan ke pengguna. Pesan tidak harus mengungkapkan apakah password atau ID yang menyebabkan kegagalan. Sistem ini harus memungkinkan pengguna untuk masuk kembali log-on informasi. Setelah sejumlah tertentu upaya (biasanya tidak lebih dari lima), sistem harus mengunci keluar pengguna dari sistem.

Akses Token

Jika log-on upaya ini berhasil, sistem operasi menciptakan akses token yang berisi informasi penting tentang pengguna, termasuk pengguna ID, password, kelompok pengguna, dan hak istimewa yang diberikan kepada pengguna. Informasi dalam token akses digunakan untuk menyetujui semua tindakan upaya pengguna selama sesi.

Access Control List

Daftar kontrol akses ditugaskan untuk setiap sumber daya TI (direktori komputer, file data, program, atau printer), yang mengontrol akses ke sumber daya. Daftar ini berisi informasi yang mendefinisikan hak akses untuk semua pengguna yang sah dari sumber daya. Ketika upaya pengguna untuk mengakses sumber daya, sistem membandingkan atau ID dan hak nya yang terkandung dalam akses token dengan yang tercantum dalam daftar kontrol akses. Jika ada pertandingan, pengguna diberikan akses.

Discretionary Hak Akses

Administrator sistem pusat biasanya menentukan siapa yang diberikan akses ke tertentu sumber daya dan mempertahankan daftar kontrol akses. Dalam sistem terdistribusi, namun, akhir pengguna dapat mengontrol sumber daya (sendiri). Pemilik sumber daya dalam pengaturan ini dapat diberikan hak akses discretionary, yang memungkinkan mereka untuk memberikan hak akses ke pengguna lain. Misalnya, controller, yang adalah pemilik dari buku besar, dapat memberikan read-only hak untuk manajer di departemen anggaran. Rekening Manajer hutang, Namun, dapat diberikan baik membaca dan menulis izin untuk buku besar. Setiap usaha manajer penganggaran membuat untuk menambah, menghapus, atau mengubah buku besar akan ditolak.

Page 3: Sistem Operasi Audit

Kontrol akses discretionary perlu diawasi ketat untuk mencegah pelanggaran keamanan disebabkan dari penggunaan terlalu liberal. Ancaman terhadap Sistem Operasi Integritas Tujuan pengendalian sistem operasi tidak dapat dicapai karena kelemahan dalam operasi sistem yang dieksploitasi baik sengaja atau tidak sengaja. Ancaman disengaja termasuk kegagalan hardware yang menyebabkan sistem operasi crash. Kesalahan dalam program aplikasi pengguna, yang sistem operasi tidak dapat menafsirkan, juga menyebabkan kegagalan sistem operasi. Kegagalan sistem disengaja dapat menyebabkan segmen seluruh memori yang akan dibuang ke disk dan printer, sehingga dalam pengungkapan disengaja informasi rahasia.

Ancaman disengaja untuk sistem operasi yang paling sering mencoba untuk secara ilegal mengakses data atau melanggar privasi pengguna untuk keuntungan finansial. Namun, ancaman yang berkembang adalah merusak program yang tidak ada keuntungan yang jelas. Eksposur ini berasal dari tiga sumber:

1. personel Keistimewaan yang menyalahgunakan kewenangannya. Sistem administrator dan sistem programmer membutuhkan akses tak terbatas ke sistem operasi untuk melakukan pemeliharaan dan untuk pulih dari kegagalan sistem. Orang tersebut dapat menggunakan otoritas ini untuk mengakses program pengguna dan file data.

2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem operasi untuk mengidentifikasi dan mengeksploitasi kelemahan keamanan.

3. Individu yang dengan sengaja (atau sengaja) memasukkan virus komputer atau lainnya bentuk program yang merusak ke dalam sistem operasi.

Kontrol Sistem operasi dan Tes Audit

Jika integritas sistem operasi terganggu, mengontrol dalam akuntansi individual aplikasi yang berdampak pelaporan keuangan juga dapat dikompromikan. Untuk alasan ini, desain dan penilaian dari kontrol keamanan sistem operasi yang SOX kepatuhan masalah. Bagian ini menyajikan berbagai teknik kontrol untuk menjaga integritas sistem operasi dan menggambarkan tes terkait bahwa auditor dapat melakukan. Mengikuti daerah diperiksa: hak akses, kontrol password, pengendalian virus, dan audit trail control.

Mengontrol Hak Akses

Hak akses pengguna yang ditugaskan untuk individu dan seluruh kelompok kerja yang berwenang untuk menggunakan sistem. Hak menentukan direktori, file, aplikasi, dan sumber daya lainnya kelompok individu atau dapat mengakses. Mereka juga menentukan jenis tindakan yang dapat diambil. Ingat bahwa administrator sistem atau pemilik sumber daya dapat menetapkan hak istimewa. Manajemen harus memastikan bahwa individu tidak diberikan hak yang tidak sesuai dengan tugas mereka ditugaskan. Perhatikan, misalnya, petugas penerimaan kas yang diberikan hak untuk mengakses dan membuat perubahan pada akun berkas piutang. Secara keseluruhan, hak akses jalan ditugaskan sistem pengaruh keamanan. Hak harus, karena itu, hati-hati dikelola dan diawasi secara ketat untuk memenuhi kebijakan organisasi dan prinsip-prinsip pengendalian internal.

Tujuan Audit Terkait dengan Hak Akses

Page 4: Sistem Operasi Audit

Tujuan auditor adalah untuk memverifikasi bahwa hak akses yang diberikan dengan cara yang konsisten dengan kebutuhan untuk memisahkan fungsi yang tidak kompatibel dan sesuai withthe kebijakan organisasi.

Prosedur Audit Berkaitan dengan Hak Akses

Untuk mencapai tujuan mereka auditor dapat melakukan tes berikut kontrol:

• Tinjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan memastikan bahwa mereka mempromosikan keamanan yang wajar.

• Tinjau hak dari pilihan kelompok pengguna dan individu untuk menentukan apakah mereka hak akses yang sesuai untuk deskripsi pekerjaan mereka dan posisi. Auditor harus memverifikasi bahwa individu diberikan akses ke data dan program berdasarkan mereka perlu tahu.

• catatan personil Ulasan untuk menentukan apakah karyawan istimewa menjalani cukup intensif cek izin keamanan sesuai dengan kebijakan perusahaan.

• catatan Ulasan karyawan untuk menentukan apakah pengguna telah secara resmi diakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.

• Tinjau pengguna diizinkan log-on kali. Izin harus sepadan dengan tugas yang dilakukan.

Sandi Kontrol

Sandi adalah kode rahasia pengguna memasukkan untuk mendapatkan akses ke sistem, aplikasi, data file, atau server jaringan. Jika pengguna tidak dapat memberikan password yang benar, operasi sistem harus menolak akses. Meskipun password dapat memberikan tingkat keamanan, ketika dikenakan pada pengguna nonsecurity-minded, prosedur password dapat menghasilkan perilaku pengguna akhir yang benar-benar circumvents keamanan. Bentuk yang paling umum dari perilaku kontra-keamanan meliputi:

• Melupakan password dan terkunci keluar dari sistem.

• Gagal untuk mengubah password secara sering.

• Sindrom Post-it, dimana password ditulis dan ditampilkan untuk orang lain untuk melihat.

• password Sederhana bahwa kriminal komputer dengan mudah mengantisipasi.

Sandi dapat digunakan kembali. Metode yang paling umum dari kontrol password dapat digunakan kembali yang password. Pengguna mendefinisikan password pada sistem sekali dan kemudian menggunakan kembali untuk mendapatkan akses masa depan. Kualitas keamanan yang password dapat digunakan kembali memberikan tergantung pada kualitas password itu sendiri. Jika password berkaitan dengan sesuatu tentang pribadi pengguna, seperti nama anak, nama hewan peliharaan, tanggal lahir, atau warna rambut, seorang penjahat komputer sering dapat menyimpulkan itu. Bahkan jika password berasal dari data nonpersonal, mungkin lemah. Sebagai contoh, string penekanan tombol (seperti ASDF) atau huruf yang sama digunakan berkali-kali dapat dengan mudah retak. Password yang berisi huruf acak dan angka yang lebih sulit untuk retak, tetapi juga lebih sulit bagi pengguna untuk mengingat.

Page 5: Sistem Operasi Audit

Untuk meningkatkan kontrol akses, manajemen harus mensyaratkan bahwa password diubah teratur dan melarang password yang lemah. Software yang tersedia yang secara otomatis memindai password file dan memberitahu pengguna bahwa password mereka telah kedaluwarsa dan perlu diubah. Sistem ini juga menggunakan database yang luas dari password yang lemah dikenal untuk memvalidasi password baru dan melarang orang-orang yang lemah. Sebuah alternatif untuk password reusable standard adalah password satu kali.

Satu-Time Password. Satu kali password dirancang untuk mengatasi masalah tersebut. Dalam pendekatan ini, password pengguna berubah terus menerus. Teknologi ini menggunakan kartu pintar kartu berukuran kredit yang berisi mikroprosesor diprogram dengan algoritma yang menghasilkan, dan elektronik menampilkan, password baru dan unik setiap 60 detik. Kartu bekerja sama dengan perangkat lunak otentikasi khusus yang terletak di server komputer mainframe atau jaringan. Kartu masing-masing pengguna adalah disinkronkan ke perangkat lunak otentikasi, sehingga pada titik waktu kedua cerdas kartu dan perangkat lunak jaringan yang menghasilkan password yang sama untuk pengguna yang sama.

Untuk mengakses jaringan, pengguna memasukkan PIN diikuti dengan password saat ditampilkan pada kartu. Password dapat digunakan satu kali saja. Jika, misalnya, komputer hacker penyadapan password dan PIN selama transmisi dan upaya untuk menggunakannya dalam jangka waktu 1 menit, akses akan ditolak. Juga, jika kartu pintar harus jatuh ke tangan penjahat komputer, akses tidak dapat dicapai tanpa PIN.

Teknik satu kali sandi lain menggunakan pendekatan tantangan / tanggapan mencapai tujuan yang sama. Ketika pengguna mencoba untuk log on, otentikasi jaringan software mengeluarkan kode enam karakter (tantangan) bahwa kartu dapat memindai optik atau dapat dimasukkan ke dalam kartu melalui built-in keypad-nya. Algoritma internal kartu kemudian menghasilkan password satu kali (respon) bahwa pengguna masuk melalui keyboard terminal jarak jauh. Jika firewall mengakui password saat ini, akses diizinkan.

Tujuan Audit Terkait dengan Sandi

Tujuan auditor di sini adalah untuk memastikan bahwa organisasi memiliki kebijakan password yang memadai dan efektif untuk mengendalikan akses ke sistem operasi.

Prosedur Audit Berkaitan dengan Sandi

Auditor dapat mencapai tujuan ini dengan melakukan tes berikut:

• Pastikan bahwa semua pengguna diharuskan untuk memiliki password.

• Pastikan pengguna baru diinstruksikan dalam penggunaan password dan pentingnya kontrol password.

• prosedur pengendalian sandi Ulasan untuk memastikan bahwa password yang berubah secara teratur.

• Tinjau file password untuk menentukan bahwa password yang lemah diidentifikasi dan dianulir. Ini mungkin melibatkan menggunakan perangkat lunak untuk memindai file password untuk dikenal lemah password.

Page 6: Sistem Operasi Audit

• Pastikan bahwa file password terenkripsi dan bahwa kunci enkripsi adalah benar dijamin.

• Menilai kecukupan standar sandi seperti panjang dan berakhirnya interval.

• Meninjau kebijakan lockout akun dan prosedur. Sebagian besar sistem operasi memungkinkan administrator sistem untuk menentukan tindakan yang akan diambil setelah sejumlah gagal log-on upaya. Auditor harus menentukan berapa banyak yang gagal log-on upaya yang diizinkan sebelum account terkunci. Durasi lockout juga perlu bertekad. Hal ini bisa berkisar dari beberapa menit untuk lockout permanen yang memerlukan reaktivasi formal account.

Mengontrol Terhadap Program Berbahaya dan Merusak

Program berbahaya dan merusak yang bertanggung jawab untuk jutaan dolar dari perusahaan kerugian setiap tahunnya. Kerugian diukur dalam hal korupsi data dan kerusakan, kinerja terdegradasi komputer, kerusakan hardware, pelanggaran privasi, dan waktu personil dikhususkan untuk memperbaiki kerusakan. Kelas ini program termasuk virus, worm, bom logika, pintu belakang, dan kuda Trojan. Karena ini telah menjadi istilah pers populer dalam beberapa tahun terakhir, kami tidak akan mencurahkan ruang pada titik ini untuk menentukan mereka. Lampiran bab ini, bagaimanapun, berisi diskusi rinci ini materi.

Ancaman dari program yang merusak dapat dikurangi secara substansial melalui kombinasi teknologi kontrol dan prosedur administratif. Contoh-contoh berikut ini relevan dengan sebagian besar sistem operasi.

• software Pembelian hanya dari vendor terkemuka dan hanya menerima produk-produk yang berada di asli, paket pabrik-disegel mereka.

• Isu kebijakan entitas-lebar yang berkaitan dengan penggunaan perangkat lunak yang tidak sah atau ilegal (bajakan) salinan perangkat lunak hak cipta.

• Periksa semua upgrade ke software vendor untuk virus sebelum mereka diimplementasikan.

• Periksa semua perangkat lunak publik-domain untuk infeksi virus sebelum menggunakan

• Menetapkan prosedur entitas-lebar untuk membuat perubahan untuk program produksi.

• Menetapkan program pendidikan untuk meningkatkan kesadaran pengguna tentang ancaman dari virus dan program jahat.

• Instal semua aplikasi baru pada komputer yang berdiri sendiri dan benar-benar menguji mereka dengan perangkat lunak antivirus sebelum mengimplementasikannya pada mainframe atau daerah setempat server jaringan (LAN).

• Secara rutin membuat salinan cadangan dari file kunci yang tersimpan di mainframe, server, dan workstation.

• Jika memungkinkan, pengguna batas untuk membaca dan mengeksekusi hak saja. Hal ini memungkinkan pengguna untuk ekstrak data dan menjalankan aplikasi resmi, tapi membantah mereka kemampuan untuk menulis langsung ke mainframe dan server direktori.

Page 7: Sistem Operasi Audit

• Membutuhkan protokol yang secara eksplisit memanggil sistem operasi log-on prosedur untuk memotong kuda Trojan. Skenario khas adalah satu di mana pengguna duduk untuk terminal yang sudah menampilkan log-pada layar dan hasil untuk masuk nya ID dan password. Ini, bagaimanapun, mungkin kuda Trojan daripada prosedur yang sah. Beberapa sistem operasi memungkinkan pengguna untuk langsung memanggil sistem operasi log-on prosedur dengan memasukkan urutan kunci seperti CTRL + ALT + DEL. The pengguna kemudian tahu bahwa prosedur log-on pada layar adalah sah.

• Gunakan software antivirus (juga disebut vaksin) untuk memeriksa aplikasi dan operasi program sistem untuk kehadiran virus dan menghapusnya dari program yang terkena. Program antivirus yang digunakan untuk menjaga mainframe, server jaringan, dan komputer pribadi. Kebanyakan program antivirus berjalan di latar belakang pada host komputer dan secara otomatis menguji semua file yang di-upload ke host. Perangkat lunak,

Namun, bekerja hanya pada virus yang dikenal. Jika virus telah dimodifikasi sedikit (bermutasi), tidak ada jaminan bahwa vaksin akan bekerja. Oleh karena itu, mempertahankan Versi saat ini dari vaksin sangat penting.

Audit Tujuan Berkaitan dengan Virus dan Program Merusak Lainnya

Kunci untuk kontrol virus komputer adalah pencegahan melalui ketaatan kebijakan organisasi dan prosedur yang menjaga terhadap infeksi virus. Tujuan auditor adalah untuk memastikan bahwa kebijakan dan prosedur manajemen yang efektif di tempat untuk mencegah pengenalan dan penyebaran program yang merusak, termasuk virus, worm, pintu belakang, logika bom, dan kuda Trojan.

Prosedur Audit Berkaitan dengan Virus dan Program Merusak Lainnya

• Melalui wawancara, menentukan bahwa operasi personil telah dididik tentang virus komputer dan menyadari praktek komputasi berisiko yang dapat memperkenalkan dan menyebarkan virus dan program berbahaya lainnya.

• Pastikan bahwa perangkat lunak baru diuji pada workstation mandiri sebelum dilaksanakan pada host atau server jaringan.

• Pastikan bahwa versi terbaru dari perangkat lunak antivirus yang diinstal pada server dan yang upgrade secara teratur download ke workstation.

Sistem Audit Trail Kontrol

Audit sistem yang log yang merekam aktivitas di sistem, aplikasi, dan tingkat pengguna. Sistem operasi memungkinkan manajemen untuk memilih tingkat audit untuk direkam dalam log. Manajemen perlu memutuskan di mana untuk mengatur batas antara informasi dan fakta-fakta yang tidak relevan. Kebijakan audit yang efektif akan menangkap semua peristiwa penting tanpa mengacaukan log dengan aktivitas sepele. Jejak audit biasanya terdiri dari dua jenis log audit:

(1) log rinci keystrokes individu dan (2) event log-oriented.

Pemantauan keystroke. Pemantauan keystroke melibatkan merekam baik pengguna

Page 8: Sistem Operasi Audit

keystrokes dan tanggapan sistem. Bentuk log dapat digunakan setelah fakta untuk merekonstruksi rincian dari suatu peristiwa atau sebagai kontrol real-time untuk mencegah intrusi yang tidak sah. Pemantauan keystroke adalah setara komputer dari penyadapan telepon.

Sedangkan beberapa situasi mungkin membenarkan tingkat pengawasan, pemantauan keystroke juga dapat dianggap sebagai pelanggaran privasi. Sebelum menerapkan jenis kontrol, manajemen dan auditor harus mempertimbangkan kemungkinan hukum, etika, dan perilaku implikasi.

Pemantauan acara. Pemantauan acara merangkum kegiatan kunci yang berhubungan dengan sumber daya sistem. Log peristiwa biasanya mencatat ID dari semua pengguna yang mengakses sistem; waktu dan durasi sesi pengguna; program yang dieksekusi selama sesi; dan file, database, printer, dan sumber daya lainnya diakses.

Menetapkan Tujuan Audit Trail

Audit dapat digunakan untuk mendukung tujuan keamanan dalam tiga cara: (1) mendeteksi akses tidak sah ke sistem, (2) memfasilitasi rekonstruksi peristiwa, dan (3) mempromosikan akuntabilitas pribadi.

Mendeteksi Akses tidak sah. Mendeteksi akses tidak sah dapat terjadi secara real waktu atau setelah fakta. Tujuan utama dari deteksi real-time adalah untuk melindungi sistem dari luar mencoba untuk melanggar kontrol sistem. A real-time jejak audit juga bisa digunakan untuk melaporkan perubahan dalam kinerja sistem yang dapat menunjukkan infestasi oleh virus atau worm. Tergantung pada berapa banyak aktivitas yang sedang login untuk deteksi review, real-time dapat menambahkan secara signifikan overhead operasional dan menurunkan kinerja. Setelah-fakta-log deteksi dapat disimpan secara elektronik dan secara periodik atau sesuai kebutuhan. Ketika dirancang dengan baik, mereka dapat digunakan untuk menentukan apakah akses yang tidak sah itu dilakukan, atau berusaha dan gagal.

Merekonstruksi Events. Analisis jejak audit dapat digunakan untuk merekonstruksi langkah-langkah yang menyebabkan peristiwa seperti kegagalan sistem, atau pelanggaran keamanan oleh individu. Pengetahuan tentang kondisi yang ada pada saat kegagalan sistem dapat digunakan untuk menetapkan tanggung jawab dan untuk menghindari situasi serupa di masa mendatang.

Akuntabilitas pribadi. Audit dapat digunakan untuk memantau aktivitas pengguna di tingkat terendah detail. Kemampuan ini adalah kontrol preventif yang dapat mempengaruhi perilaku. Individu cenderung melanggar kebijakan keamanan organisasi ketika mereka tahu bahwa tindakan mereka dicatat dalam log audit.

Sebuah log audit sistem juga dapat berfungsi sebagai kontrol detektif untuk menetapkan tanggung jawab pribadi atas tindakan yang diambil seperti penyalahgunaan wewenang. Sebagai contoh, mempertimbangkan rekening petugas piutang dengan wewenang untuk mengakses data pelanggan. Log audit dapat mengungkapkan bahwa

Petugas telah mencetak jumlah yang banyak sekali catatan, yang mungkin menunjukkan bahwa petugas adalah menjual informasi pelanggan melanggar kebijakan privasi perusahaan.

Menerapkan Sistem Audit Trail

Page 9: Sistem Operasi Audit

Informasi yang terkandung dalam audit log berguna untuk akuntan dalam mengukur potensi kerusakan dan kerugian finansial yang terkait dengan kesalahan aplikasi, penyalahgunaan wewenang, atau akses yang tidak sah oleh penyusup luar. Audit log, bagaimanapun, dapat menghasilkan data secara detail yang luar biasa. Informasi penting dapat dengan mudah tersesat di antara rincian berlebihan dari operasi sehari-hari. Jadi, log dirancang buruk sebenarnya dapat disfungsional.

Melindungi eksposur dengan potensi kerugian keuangan materi harus mendorong keputusan manajemen untuk yang pengguna, aplikasi, atau operasi untuk memantau, dan bagaimana banyak detail untuk login. Seperti dengan semua kontrol, manfaat log audit harus seimbang terhadap biaya pelaksanaan mereka.

Tujuan Audit Terkait dengan Jalur Audit Sistem

Tujuan auditor adalah untuk memastikan bahwa didirikan audit sistem jejak memadai untuk mencegah dan mendeteksi pelanggaran, merekonstruksi peristiwa penting yang mendahului kegagalan sistem, dan alokasi sumber daya perencanaan.

Prosedur Audit Terkait dengan Jalur Audit Sistem

• Sebagian besar sistem operasi menyediakan beberapa bentuk fungsi manajer audit untuk menentukan peristiwa yang akan diaudit. Auditor harus memverifikasi bahwa jejak audit telah diaktifkan sesuai dengan kebijakan organisasi.

• Banyak sistem operasi menyediakan penampil log audit yang memungkinkan auditor untuk memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau pada layar atau dengan pengarsipan file untuk review berikutnya. Auditor dapat menggunakan alat ekstraksi data untuk keperluan umum untuk mengakses file log arsip untuk mencari kondisi yang didefinisikan seperti:

• pengguna tidak sah atau dihentikan

• Periode tidak aktif

• Kegiatan oleh pengguna, workgroup, atau departemen

• Log-on dan log-off kali

• upaya log-on Gagal

• Akses ke file tertentu atau aplikasi

• Kelompok keamanan organisasi memiliki tanggung jawab untuk pemantauan dan pelaporan pelanggaran keamanan. Auditor harus memilih sampel kasus pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai efektivitas kelompok keamanan.


Sistem Operasi - Dasar Sistem Operasi

PENGENDALIAN SISTEM INFORMASI BERDASARKAN …staffnew.uny.ac.id/upload/132318566/pendidikan/SIA+Bab+8.pdf · –Ancaman : Desain, Operasi, tinjauan, Audit dan perubahan sistem yang

Mata Kuliah Sistem Operasi Materi - 4, Struktur Sistem Operasi

Audit Produksi Dan Operasi

KERTAS KERJA AUDIT DAN BUKTI AUDIT · operasi. Oleh karena operasi perusahaan bersifat kompleks ... audit seperti: ruang lingkup audit, temuan audit, dan kesimpulan audit. Selain

Makalah Audit Manajemen (AUDIT PRODUKSI DAN OPERASI)

PENGARUH KUALITAS AUDIT DAN ARUS KAS OPERASI

Sistem Operasi: Arsitektur komputer, Pengantar Sistem Operasi dan Kernel

Tugas modul bab i sistem operasi konsep sistem operasi

Bab 6 Audit Produksi Dan Operasi

PERTEMUAN – 2 KULIAH SISTEM OPERASI PENGERTIAN SISTEM OPERASI

Sistem komputer Sistem Operasi Komputer Macam-macam Sistem Operasi 1. Sistem Operasi Windows 2. Sistem Operasi Linux 3. Sistem Operasi MACINTOSH 4. DOS 5. OS dari BeOS atau HAIKU 6

Sistem Operasi

Makalah Audit Produksi Dan Operasi

Sistem operasi

Standar Profesi Audit Intern · PDF filelangsung dengan entitas, operasi, fungsi, proses, sistem, atau permasalahan lainnya ... Penerimaan laporan dari Kepala Satuan Audit Intern atas

Sistem Operasi Terdistribusi · Sistem Operasi Terdistribusi Versus Sistem Operasi Jaringan Suatu sistem operasi terdistribusi yang sejati adalah yang berjalan pada beberapa buah

Audit Produksi Dan Operasi Bab 6 (Kel5)

Audit Lap Keuangan Internal & Pemerintahan Serta Audit Operasi

3. Sistem Operasi Windows a. Mengenal sistem operasi

AUDIT SISTEM INFORMASI · merupakan penelahaan secara sistemak ak7vitas operasi organisasi dalam hubungannya ... Fungsi dasar dari Internal Audit ... perbaikan-perbaikan operasional

Sistem Operasi -

Sistem Operasi: Materi - 2, Sejarah dan Layanan Sistem Operasi