Selasa, 23 Oktober 2018

BAB 11 PENGAUDITAN SISITEM INFORMASI BERBASIS KOMPUTER

Pengauditan
Proses sistematik atas perolehan dan pengevaluasian bukti mengenai asersi-arsesi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuainnya dengan kriteria yang diharapkan.

 Pengauditan Internal
Aktivitas penjaminan dan konsultasi yang didesain untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, serta mencapai tujuan organisasi.

Ada beberapa jenis dari audit internal:
  1. Audit Keuangan, pemerikasaan keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuan Pengauditan Internal  gan.
  2. Audit Sistem Informasi (Audit Pengendalian Internal), pemeriksaaan atas pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijaksan dan prosedur internal serta efektivitas dalam pengamanan aset.
  3. Audit Operasional, berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
  4. Audit Kepatuhan, pemerikasaan kepatuhan organisasi dengan hukum, peraturan, kebijakan dan prosedur yang berlaku.
  5. Audit Invetigasi, sebuah pemeriksaan atas kejadian dari penipuan yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, serta aktivitas tata kelola yang buruk.
Sifat Pengauditan

TUNJAUAN MENYELURUH PROSES PENGAUDITAN
Audit dapat dibagi menjdai empat tahap:
  1. Perencanaan.
  2. Pengumpulan bukti.
  3. Pengevaluasian bukti.
  4. Pengomunikasian hasil audit.
PERENCANAAN AUDIT
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan.

Terdapat tiga jenis risiko audit:
  1. Risiko bawaan, kelemahan terhadap risiko meterial karena tidak tersedianya pengendalian internal.
  2. Risiko pengendalian, risiko saat suatu salah saji materi akan melampaui struktur pengendalian internal ke dalam laporan keuangan.
  3. Risiko deteksi, risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau saji yang material.
PENGUMPULAN BUKTI AUDIT
  • Konfirmasi, konfirmasi tertulis dengan pihak ketiga yang independen untuk mengonfirmasi ketepatan informasi, seperti saldo akun pelanggan.
  • Reperformance, melakukan perhitungan lagi untuk memverifikasi informasi kuantitatif.
  • Pemerikasaan bukti pendukung, untuk validitas dari sebuah transaksi dengan memeriksa dokoumen pendukung, seperti pesanan pembelian, laporan penerimaan, dll.
  • Tinjauan analitis, pemeriksaan atas hubungan antara set-set data yang berbeda; hubungan dan trend yang tidak normal atau tidak biasa diselidiki.
PENDEKATAN AUDIT BERBASIS RISIKO
  1. Menentukan ancaman yang akan dihadapi perusahaan.
  2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
  3. Mengevaluasi prosedur pengendalian.
  4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.
Audit Sistem Informasi
Tujuannya adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Auditor memastikan enam tujuan yang dicapai, antara lain:
  1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
  2. Pengembangan dan akuisisi program dilakukan sesuai dengan ototisasi umum dan spesifikasi manajemen.
  3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
  4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
  5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
  6. file-file data komputer tepat, lengkap, dan rahasia.
Kerangka Kerja untuk Audit Keamanan Komputer secara Menyeluruh
JENIS-JENIS KESALAHAN DAN PENIPUAN
  • Kehilangan, pencurian, atau pengungkapan yang tidak diotorisasi.
  • Modifikasi atau penggunaan yang tidak diotorisasi data rahasia.
  • Gangguan atau aktivitas bisnis yang krusial.
PROSEDUR PENGENDALIAN
  • Prosedur perlindungan virus.
  • Firewall.
  • Pemeliharaan preventif.
  • Desain sistem toleransi-kesalahan.
PROSEDUR AUDIT: TINJAUAN SISTEM
  • Memeriksa dengan saksama situs komputer.
  • Memeriksa kontrak pemeliharaan penjual.
  • Menguji log akses sistem.
  • Menguji kebijakan asuransi kecelakaan dan gangguan bisnis.
PROSEDUR AUDIT: PENGUJIAN PENGENDALIAN
  • Memverifikasi tingkat dan efektivitas dari enkripsi data.
  • Memverifikasi jumlah dan batasan dari perlindungan asuransi.
  • Menguji hasil dari simulasi uji rencana pemulihan bencana.
PENGENDALIAN KOMPENSASI
  • Kebijakan personel yang kuat, termasuk pemisahan dari tugas yang tidak sesuai.
  • Pengendalian pengguna yang efektif.
Kerangka Kerja untuk Audit Pengembangan Program

JENIS-JENIS KESALAHAN DAN PENIPUAN
  • Kelalaian pemrograman atau kode program yang tidak diotorisasi
PROSEDUR PENGENDALIAN
  • Pemeriksaan atas persetujuan lisensi perangkat lunak.
  • Persetujuan manajemen dan pengguna atas spesifikasi pemrograman.
  • Dokumentasi sistem yang lengkap, termasuk persetujuan.
PROSEDUR AUDIT: TINJAUAN SISTEM
  • Pemeriksaan atas standar evaluasi pemrograman.
  • Pemeriksaan atas standar dokumentasi program dan sistem.
  • Pemeriksaan atas kebijakan dan prosedur persetujuan pengujian.
PROSEDUR AUDIT: PENGUJIAN ATAS PENGENDALIAN
  • Memeriksa spesifikasi pengujian, data pengujian, dan hasil pengujian sistem.
  • Memeriksa persetujuan lisensi perangkat lunak.
PENGENDALIAN KOMPENSASI
  • Pengendalian pemrosesan yang kuat.
  • Pemrosesan independen atas data pengujian oleh auditor.
Kerangka Kerja untuk Audit Modifikasi Program

JENIS-JENIS KESALAHAN DAN PENIPUAN
  • Kelalaian pemrograman atau kode program yang tidak diotorisasi.
PROSEDUR PENGENDALIAN
  • Daftar komponen-komponen program yang dimodifikasi.
  • Pengendalian akses logis.
PROSEDUR AUDIT: TINJAUAN SISTEM
  • Memeriksa dokumentasi final atas modifikasi program.
  • Memeriksa standar evaluasi pemrograman.
PROSEDUR AUDIT: PENGUJIAN ATAS PENGENDALIAN
  • Mengamati implementasi perubahan program.
  • Memverifikasi bahwa pemisahan versi pengembangan, uji, dan produksi dipertahankan.
PENGENDALIAN KOMPENSASTIF
  • Pengujian  audit independen atas perubahan program yang tidak diotorisasi atau salah.
  • Pengendalian pemrosesan yang kuat.
Kerangka Kerja untuk Audit atas Pengendalian Pemrosesan Komputer

JENIS-JENIS KESALAHAN DAN PENIPUAN
  • Distribusi atau pengungkapan yang tidak tepat atas output komputer.
  • Ketidaktepatan yang disengaja maupun tidak disengaja dalam pelaporan.
PROSEDUR PENGENDALIAN 
  • Rutinitas pengendalian data.
  • Rekonsiliasi atas total batch.
  • Prosedur perbaikan kesalahan yang efektif.
PROSEDUR AUDIT: TINJAUAN SISTEM
  • Memeriksa dokumentasi pengoperasian untuk kelengkapan dan kejelasan.
  • Mengamati fungsi operasi komputer dan pengendalian data.
PROSEDUR AUDIT: PENGUJIAN ATAS PENGENDALIAN
  • Mengevaluasi kecukupan atas standar dan prosedur pengendalian pemrosesan.
  • mengevaluasi kecukupan dan kelengkapan pengendalian pengeditan data.
PENGENDALIAN KOMPENSASI
  • Pengendalian pengguna yang kuat dan pengendalian atas data sumber yang efektif.
Kerangka Kerja untuk Audit atas Pengendalian Data Sumber

JENIS-JENIS KESALAHAN DAN PENIPUAN
  • Data sumber yang tidak tepat atau tidak diotorisasi.
PROSEDUR PENGENDALIAN
  • Verifikasi digit cek.
  • Verifikasi kunci.
  • Rutinitas pengendalian data.
PROSEDUR AUDIT: TINJAUAN SISTEM
  • Memeriksa dokumentasi mengenai tanggung jawab fungsi pengendalian data.
  • Memeriksa metode otorisasi dan menguji tanda tangan otorisasi.
PROSEDUR AUDIT: UJI PENGENDALIAN 
  • Merekonsiliasi total batch dan menindaklanjuti ketidaksesuaian.
  • Menguji data sumber untuk otorisasi yang benar.
PENGENDALIAN KOMPENSASI
  • Pengendalian pengguna dan pengolahan data yang kuat.
Kerangka Kerja untuk Audit atas Pengendalian File Data

JENIS-JENIS KESALAHAN DAN PENIPUAN 
  • Modifikasi atau pengungkapan data tersimpan yang tidak diotorisasi
PROSEDUR PENGENDALIAN
  • Enkripsi pada data rahasia.
  • Perangkat lunak perlindungan virus.
PROSEDUR AUDIT: TINJAUAN SISTEM
  • Memeriksa kebijakan dan prosedur akses logis.
  • Menguji rencana pemulihan bencana.
PROSEDUR AUDIT: PENGUJIAN ATAS PENGENDALIAN
  • Mengamati dan mengevaluasi operasi perpustakaan file.
  • Mengamati persiapan dan penyimpanan off-site atas file backup.
PENGENDALIAN KOMPENSASI
  • Pengendalian pengguna dan pengolahan data yang kuat.
  • Pengendalian keamanan komputer yang efektif.

di Tidak ada komentar:

Minggu, 21 Oktober 2018

BAB 10 PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN

PENGENDALIAN INPUT
Jika data yang dimasukkan ke dalam sebuah sistem tidak akurat, tidak lengkap, atau tidak valid, maka output-nya juga akan demikian.

BENTUK DESAIN
  1. Dokumen sumber sebelum penomoran (prenumbering) secara berurutan.
  2. Dokumen turnaround.
PENGENDALIAN ENTRI DATA

Pengecekan Field
Sebuah pengecekan edit yang menguji apakah karakter pada sebuah field adalah jenis yang tepat (misalnya, data numerik dalam field numerik)

Pengecekan Tanda
Sebuah pengecekan edit yang memverifikasi apakah data pada sebuah field memiliki tanda aritmatika yang sesuai.

Pengecekan Batas
Sebuah pengecekan edit yang menguji sejumlah numerik terhadap nilai tetap.

Pengecekan Jangkauan
Sebuah pengecekan edit yang menguji apakah sebuah item data berada pada batas terendah dan tertinggi yang telah ditentukan sebelumnya

Pengecekan Ukuran
Sebuah pengecekan edit yang memastikan bahwa data input sesuai dengan field yang ditentukan.

Pengecekan/Pengujian Kelengkapan
Sebuah pengecekan edit yang memverifikasi bahwa seluruh data yang diperlukan telah dimasukkan.

Pengecekan Validitas
Sebuah tes edit yang membandingkan kode ID atau nomor rekening dalam data transaksi dengan data serupa di dalam file induk untuk memverifikasi bahwa rekening tersebut ada.

Tes Kewajaran 
Sebuah pengecekan edit dari kebenaran logis hubungan pada item data.

Cek Digit
Nomor ID (seperti nomor pegawai) dapat berisi sebuah cek digit yang dihitung dari digit lain.

Verifikasi Cek Digit 
Menghitung ulang sebuah cek digit untuk memverifikasi bahwa kesalahan entri data belum dibuat.

PENGENDALIAN TAMBAHAN ENTRI DATA PEMROSESAN BATCH

Pengecekan Berurutan
Sebuah pengecekan edit yang menentukan apakah batch atas input data berada di dalam urutan numerik atau alfabetis yang tepat.

Total Batch
Merangkum nilai-nilai numerik bagi sebuah batch atas catatan input.
  1. Total finansial menjumlahkan sebuah field yang berisi nilai-nilai moneter, seperti total jumlah dolar dari seluruh penjualan untuk sebuah batch transaksi penjualan.
  2. Total hash menjumlahkan sebuah field numerik non-finansial, seperti field total kuantitas yang dipesan di dalam sebuah batch transaksi penjualan.
  3. Jumlah catatan adalah banyaknya catatan dalam sebuah batch.
PENGENDALIAN TAMBAHAN ENTRI DATA ONLINE

Prompting
Sebuah pengecekan kelengkapan entri data secara online yang meminta tiap-tiap item yang diperlukan dalam data input dan kemudian menunggu respon yang dapat diterima sebelum meminta item selanjutnya.

Verifikasi Closed-Loop
Sebuah metode validasi input menggunakan data yang dimasukkan ke dalam sistem untuk mengambil dan menampilkan informasi terkait lainnya sehingga pihak entri data tersebut dapat memverifikasi ketepatan dari data input.


PENGENDALIAN PEMROSESAN 
Pengendalian diperlukan untuk memastikan bahwa data diproses dengan benar. Pengendalian pemrosesan yang penting mencakup kegiatan sebagai berikut:
  • Pencocokan data.
  • Label file.
  • Perhitungan ulang total batch.
  • Pengujian saldo cross-footing dan saldo awal.
  • Mekanisme write-protection..
  • Pengendalian pembaruan secara bersamaan.
PENGENDALIAN OUTPUT 
  • Pemerikasaan pengguna terhadap output.
  • Prosedur rekonsiliasi.
  • Rekonsiliasi data eksternal.
  • Pengendalian transmisi data.
Dua pengendalian transmisi data yang umum antara lain:

Cheksum
Sebuah pengendalian transmisi data yang menggunakan sebuah hash dari sebuah file untuk memverifikasi ketepatannya.

Bit Paritas
Sebuah bit ekstra yang ditambahkan ke setiap karakter; digunakan untuk mengecek ketepatan transmisi.

Ketersediaan
Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya sistem atau informasi dapat menyebabkan kerugian keuangan yang signifikan.

MEMINIMALKAN RISIKO PENGHENTIAN SISTEM

Toleransi Kesalahan
Kemampuan dari sebuah sistem untuk terus berfungsi ketika ada kegagalan perangkat keras

Redundant Arrays of Independent Drives (RAID)
Sebuah teknik toleransi kesalahan yang mencatat data dalam berbagai disk drive bukan hanya satu untuk mengurangi risiko kehilangan data.


PROSEDUR BACKUP DATA
Backup Penuh
Salinan persis dari keseluruhan sebuah database.

Dua jenis backup parsial harian:
  1. Backup Inkremental sebuah jenis dari backup parsial yang melibatkan penyalinan hanya item-item data yang telah berubah sejak backup parsial. Backup ini memproduksi sebuah set file backup inkremental, masing-masing mengandung hasil dari transaksi satu hari
  2. Backup Diferensial salah satu jenis backup parsial yang melibatkan penyalinan seluruh perubahan yang dibuat sejak backup penuh terakhir. Jadi, setiap file backup diferensial yang baru memuat efek kumulatif dari seluruh aktivitas sejak backup penuh terakhir.

PERENCANAAN PEMULIHAN BENCANA DAN KELANGSUNGAN BISNIS

Disaster Recovery Plan (DRP)
Sebuah rencana untuk mengembalikan kemampuan TI sebuah organisasi akibat kejadian pusat datanya dihancurkan.

Situs Dingin
Sebuah pilihan pemulihan bencana yang bergantung pada akses terhadap sebuah fasilitas alternatif yang diberi kabel sebelumnya untuk akses telepon dan internet yang diperlukan, tetapi tidak memuat peralatan komputasi apa pun.

Situs Panas
Sebuah pilihan pemulihan bencana yang bergantung pada akses terhadap sebuah pusat data alternatif operasional keseluruhan yang tidak hanya diberi kabel sebelumnya , tetapi juga memuat seluruh perangkat keras dan perangkat lunak yang diperlukan.

Business Continuity Plan (BCP)
Sebuah rencana yang menspesifikasikan cara merangkum tidak hanya operasi TI, tetapi seluruh proses bisnis akibat terjadinya kerusakan besar.


di Tidak ada komentar:

Sabtu, 13 Oktober 2018

BAB 9 Pengendalian Kerahasiaan dan Privasi

Menjaga kerahasian

 Empat tindakan dasar yang harus dilakukan untuk menjaga kerahasian atas informasi sensitif:
  1. Mengidentifikasi dan mengklarifikasi Informasi untuk dilindungi.
  2. Mengenkripsi informasi.
  3. Mengendalikan akses atas informasi.
  4. Melatih para pegawai untuk menangani informasi secara tepat.

MENGENDALIKAN AKSES TERHADAP INFORMASI SENSITIF

Informasi Rights Management (IRM) 
Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, unduh, dsb.) individu yang diberi akses terhadap sumber daya tersebut agar dapat melakukannya.

Data Loss Preventif (DLP)
perangkat lunak yang bekerja seperti program antivirus secara tebalik, mengeblok pesan-pesan keluar (baik e-mail, IM) yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi.

Watermark Digital
Kode yang terletak dalam dokumen yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.

Privasi

 PERMASALAHAN PRIVASI

Spam 
e-mail yang tidak diinginkan yang mengandung baik periklanan maupun konten serangan.

Pencurian Identitas
Mengasumsikan identitas seseorang, biasanya untuk keuntungan ekonomi.

 10 PRAKTIK UNTUK MELINGUNGI PRIVASI INFORMASI PRIBADI PARA PELANGGAN:
  1. Manajemen.
  2. Pemberitahuan.
  3. Pilihan dan persetujuan.
  4. Pengumpulan.
  5. Penggunaan dan retensi.
  6. Akses.
  7. Pengungkapan kepada pihak ketiga.
  8. Keamanan.
  9. Kualitas.
  10. Pengawasan dan penegakan.
Enkripsi

Enkripsi
Proses mentransformasikan teks normal, disebut plaintext, ke dalam reban yang tidak dapat dibaca, disebut chipertext.

Plaintext
Teks normal yang belum dienkripsi.

Chipertext
Plaintext yang diubah menjadi raban yang tidak dapat dibaca menggunakan enkripsi.

Dekripsi
Mengubah chipertext kembali menjadi plaintext.

FAKTOR-FAKTOR YANG MEMPENGARUHI KEKUATAN ENKRIPSI
  • Panjang kunci
  • Alogartime enkripsi
  • Kebijakan untuk mengelola kunci kriptografi
KEBIJAKAN UNTUK MENGELOLA KUNCI KRIPTPGRAFI

Praktik-praktik meliputi:
  1. Tidak menyimpan kunci kriptografi di dalam sebuah browser atau file lain yang dapat diakses oleh pengguna lain dari sistem tersebut.
  2. Menggunakan sebuah frasa sandi yang kuat (dan panjang) untuk melindungi kunci.
JENIS-JENIS SISTEM ENKRIPSI

Sistem Enkripsi Simetris
Sistem enkripsi yang menggunakan kunci yang sama untuk mengenkripsikan dan mendekripsi.

Sistem Enkripsi Asimetris
Sistem enkripsi yang menggunakan dua kunci (satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hanya kunci pencocokan lainnya yang dapat mendekripsi.
  • Kunci publik, salah satu kunci yang digunakan dalam sistem enkripsi asimetris. Kunci ini didistribusikan secara luas dan tersedia bagi siapa pun.
  • Kunci privat, kunci ini dirahasiakan dan diketahui hanya oleh pemilik dari sepasang kunci publik dan privat.
HASHING 

Hashing
Mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat.

Hash
plaintext yang telah diubah menjadi kode singkat.

 SERTIFIKAT DIGITAL DAN INFRASTRUKTUR KUNCI PUBLIK

 Sertifikat Digital
sebuah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.

Otoritas Sertifikat
Sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital.

 Infrastruktur Kunci Publik
Sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait.

VIRTUAL PRIVATE NETWORK (VPN)

 Virtual Private Network
menggunakan enkripsi dan autenfikasi untuk mentransfer informasi melalui internet dengan aman sehingga menciptakan sebuah jaringan privat "virtual".
di Tidak ada komentar:

Jumat, 05 Oktober 2018

BAB 8 PENGENDALIAN UNTUK KEAMANAN INFORMASI

Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
  1. Keamanan 
  2. Kerahasiaan
  3. Privasi
  4. Integritas Pemrosesan
  5. Ketersediaan

Dua Konsep Keamanan Informasi Fundamental
  1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi.
  2. Defense-in-depth dan model keamanan informasi berbasis waktu. 
  • Gagasan defense-in-depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. 
  • Model keamanan berbasis waktu adalah penggunaan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

 Memahami Serangan yang Ditargetkan
  1. Melakukan pengintaian.
  2. Mengupayakan rekayasa sosial. Menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap sumber daya informasi.
  3. Memindai dan memetakan target.
  4. Penelitian.
  5. Mengeksekusi serangan.
  6. Menutupi jejak.

Pengendalian Preventif
   Pengendalian yang digunakan untuk membatasi akses terhadap sumber daya informasi. Manajemen harus menciptakan sebuah budaya "sadar keamanan" dan para pegawai harus dilatih untuk mengikuti kebijakan-kebijakan keamanan serta mempraktikkan perilaku komputasi yang aman.

Pengendalian Otorisasi
   Proses dari memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya untuk menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat.

Pengendalian Korektif
Pengendalian korektif meliputi:
  1. Pembentukan sebuah tim perespons insiden komputer.
  2. Pendesaianan individu khusus, biasanya disebut dengan Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan informasi.
  3. Penetapan serta penerapan sistem manajemen path yang didesain dengan baik.

Implikasi Keamanan Virtualisasi dan Cloud

Virtualisasi
Menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.

Komputasi Cloud
Menggunakan sebuah browser untuk mengakses perangkat lunak, penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.


di Tidak ada komentar:

BAB 7 PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

Ikhtisar Konsep Pengendalian

Pengendalian Internal
Proses dan prosedur yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan pengendalian dipenuhi.
Pengendalian internal menjalankan tiga fungsi sebagai berikut:
  1. Pengendalian preventif pengendalian yang mencegah masalah sebelum timbul.
  2. Pengendalian detektif, pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakkan.
  3. Pengendalian korektif, pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan.

Pengendali internal dibedakan menjadi dua kategori yaitu:
  1. Pengendalian umum, pengendalian yang didesain untuk memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik.
  2. Pengendalian aplikasi, pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi.


Empat kaitan pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian menurut Robert Simons:
  1. Sistem kepercayaan, sistem yang menjelaskan cara sebuah perusahaan menciptakan nilai, membantu pegawai memahami visi perusahaan, mengkomunikasikan nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nama nilai-nilai tersebut.
  2. Sistem batas, sistem yang membantu pegawai bertindak secara etis dengan membangun batas pada perilaku kepegawaian.
  3. Sistem pengendalian diagnostik, sistem yang mengukur, mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan tujuan kinerja.
  4. Sistem pengendalian interaktif, sistem yang membantu manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih terlibat di dalam keputusan mereka.

PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS

Foreign Corrupt Practices Act (FCPA)
Undang-undang yang dikeluarkan untuk mencegah perusahaan menyuap pejabat asing agar mendapatkan bisnis; juga mengharuskan semua perusahaan milik publik untuk memelihara sebuah sistem pengendalian akuntansi internal.

Sarbanes-Oxley Act (SOX)
Undang-undang yang dimaksudkan untuk mencegah kejahatan laporan keuangan, membuat laporan keuangan lebih transparan, memberikan perlindungan pada investor, memperkuat pengendalian internal pada perusahaan publik, dan menghukum eksekutif yang melakukan kejahatan.

Public Company Accounting Oversight Board (PCAOB)
Dewan yang dibuat oleh SOX yang mengatur profesi pengauditan; dibuat sebagai bagian dari SOX

 Kerangka Pengendalian
Control Objectives for Information and Related Technology (COBIT)
COBIT menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal yang memungkinkan:
  1. Manajemen untuk membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI.
  2. Para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai.
  3. Para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.

KERANGKA PENGENDALIAN INTERNAL COSO

Committee of Sponsoring Organization (COSO)
sebuah kelompok sektor swasta yang terdiri atas Asosiasi Akuntansi Amerika (American Accounting Assosiation), AICPA, Ikatan Auditor Internal, Ikatan Akuntansi Manajemen (Insintitute of Management Accountants), dan Ikatan Eksekutif Keuangan.

KERANGKA  MANAJEMEN RISIKO PERUSAHAAN COSO

sebuah kerangka COSO yang memperbaiki proses manajemen risiko dengan memperluas (menambahkan tiga elemen tambahan) Pengendalian Internal COSO-- Terintegrasi.

Lingkungan Internal

Lingkungan Internal
budaya perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnnya karena ini memengaruhi 
organisasi menetapkan strategi dan tujuannya, membuat struktur aktivitas bisnis, dan mengidentifikasi, menilai, seta merespon risiko.
Sebuah lingkungan internal mencakup hal-hal sebagai berikut:
  1. Filosofi manajemen, gaya penngoperasian, dan selera risiko.
  2. Komitmen terhadap integrasi, nilai-nilai etis, dan kompetensi.
  3. Pengawasan pengendalian internal oleh dewan direksi.
  4. Struktur organisasi.
  5. Metode penetapan wewenang dan tanggung jawab.
  6. Standar-starndar sumber daya manusian yang menarik, mengembangkan, dan mempertahankan individu yang kompeten.
  7. Pengaruh eksternal.
Penetapan Tujuan 

Tujuan Strategis 
tujuan tingkat tinggi yang disejajarkan dan mendukung misi perusahaan serta menciptakan nilai pemegang saham.

Tujuan Operasi
Tujan yang berhubungan dengan efektivitas dan efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.

Tujuan Pelaporan 
Tujuan yang membantu memastikan ketelitian, kelengkapan, dan keterandalan laporan perusahaan: meningkatkan pembuatan keputusan, dan mengawasi aktivitas serta kinerja perusahaan.

Tujuan Kepatuhan
Tujuan yang membantu perusahaan mematuhi seluruh hukum dan peraturan yang berlaku.

Penilaian Risiko dan Respons Risiko

Risiko Bawaan
Kelemahan dari sebuah penetapan akun atau transaksi pada masalah pengendalian yang signigikan tanpa adanya pengendalian internal.

Risiko Residual
Risiko yang tersisa setalah manajemen mengimplementasikan pengendalian internal atau beberapa respons lainnya terhadap risiko.

PEMISAHAN TUGAS AKUNTANSI
Pemisahan fungsi akuntansi otorisasi, penyimpanan, dan pencatatan guna meminimalkan kemampuan pegawai untuk melakukan penipuan.

Pemisahan tugas akuntansi yang efektif tercapai ketika fungsi-fungsi berikut dipisahkan:
  • Otorisasi--menyetujui transaksi dan keputusan
  • Pencatatan--mempersiapkan dokumen sumber; memasukkan data ke dalam sistem komputer, memelihara jurnal, buku besar, file, atau database, dan menyiapkan rekonsiliasi dan laporan kinerja.
  • Penyimpanan--menangani kas, peralatan, persediaan, persediaan, atau aktiva tetap; menerima cek pelanggan yang datang; menulis cek.
PEMISAHAN TUGAS SISTEM 
Penerapan prosedur-prosedur pengendalian untuk membagi wewenang dan tanggung jawab secara jelas di dalam fungsi sistem informasi. 

Wewenang dan tanggung jawab harus dibagi dengan jelas menurut fungsi-fungsi sebagai berikut:
  1. Administator sistem.
  2. Manajemen jaringan.
  3. Manajemen keamanan.
  4. Manajemen perubahan.
  5. Pengguna.
  6. Analisis sistem.
  7. Pemrograman.
  8. Operasi komputer.
  9. Perpustakaan sistem informasi.
  10. Pengendalian data.
Pengawasan
Metode-metode utama dalam pengawasan kinerja meliputi:
  • Menjalankan evaluasi pengendalian internal.
  • Implementasi pengawasan yang efektif.
  • Menggunakan sistem akuntansi pertanggungjawaban.
  • Mengawasi aktivitas sistem.
  • Melacak perangkat lunak dan perangkat yang bergerak yang dibeli.
  • Menjalankan audit berkala.
  • Memperkerjakan petugas keamanan komputer dan chief compliance officer.
  • Menyewa spesialis forensik.
  • Memasang perangkat lunak deteksi penipuan.
  • Mengimplementasikan hotline penipuan.



di Tidak ada komentar:

Selasa, 02 Oktober 2018

BAB 6 TEKNIK PENIPUAN DAN PENYALAHGUNAAN KOMPUTER

Serangan dan Penyalahgunaan Komputer

Hacking
Akses, modifikasi penggunaan alat elektronik atau beberapa elemen dari sebuah sistem komputer yang tidak sah.

Hijacking
Pengambilan kendali atas komputer orang lain untuk melakukan aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya.

Botnet
Sebuah jaringan komputer terbahak yang kuat dan berbahaya yang digunakan untuk menyerang sistem atau menyebabkan malware.

Zombie
Sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai serangan internet.

Bot Herder
Seseorang yang menciptakan botnet dengan memasangkan perangkat lunak pada PC yang merespon instruksi elektronik milik bot herder.

Serangan Denial-of-Service (DoS)
Sebuah serangan komputer di mana penyerangan mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh

Spamming
Secara bersamaan mengirimkan pesan yang tak diminta kepada banyak orang pada saat yang sama, biasanya dalam bentuk sebuah upaya untuk menjual sesuatu.

Serangan Kamus
Menggunakan perangkat lunak khusus untuk menebak alamat e-mail perusahaan dan mengirimkan pesan e-mail kosong. Pesan yang tidak kembali biasanya merupakan alamat e-mail yang valid, sehingga dapat ditambahkan pada daftar alamat e-mail pelaku spamming.

Splog
Spam blog yang diciptakan untuk meningkatkan situs Google PakeRank, yang merupakan intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya.

Spoofing
Mengubah beberapa bagian dari komunikasi elektronik untuk membuat seolah-olah orang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima

E-mail Spoofing
Membuat sebuah alamat pengirim dan bagian-bagian lain dari sebuah header e-mail agar tampak seperti e-mail tersebut berasal dari sumber lain.

Caller ID Spoofing
Menampilkan nomor yang salah pada tampilan ID penelepon di handphone si penerima untuk menyembunyikan identitas si penelepon.

IP Address Spoofing
Menciptakan paket Internet Protokol dengan alamat IP palsu untuk menyembunyikan identitas si pengirim atau untuk menirukan sistem komputer lain.

Address Resolution Protocol (ARP) Spoofing
Pengiriman pesan ARP palsu ke sebuah Ethernet LAN. ARP adalah sebuah protokol jaringan ketika hanya alamat IP atau jaringan yang diketahui.

MAC Address
Media Access Control address adalah sebuah alamat perangkat keras yang mengidentifikasi secara khusus setiap mode pada sebuah jaringan.

SMS Spoofing
Menggunakan layanan pesan singkat (SMS) untuk mengubah nama atau nomor dari mana pesan teks berasal.

Web-Page Spoofing
Disebut dengan phishing

DNS Spoofing
Melacak ID dari Domain Name System (DNS, sebuah "buku telepon" Internet yang mengubah sebuah domain atau nama jaringan menjadi sebuah alamat IP)  meminta dan membalas sebelum server DNS yang asli melakukannya.

Serangan Zero-Day
Sebuah serangan di antara waktu kerentanan sebuah perangkat lunak baru ditemukan dan "merilisnya sembarangan" dan saat sebuah pengembang perangkat lunak merilis patch untuk memperbaiki masalah.

Patch
Kode yang dirilis pengembang perangkat lunak yang memperbaiki kerentanan perangkat lunak tertentu.

Cross-Site Scripting (XSS)
Sebuah kerentanan di halaman situs dinamis yang memungkinkan penyerangan menerobos mekanisme keamanan browser dan memerintahkan browser korban untuk mengeksekusi kode, mengira bahwa itu berasal dari situs yang dikehendaki.

Serangan Limpahan Buffer
Ketika jumlah data yang dimasukkan ke dalam sebuah program lebih banyak daripada jumlah dari input buffer. Limpahan input menimpa instruksi komputer berikutnya, menyebabkan sistem rusak. Para hacker memanfaatkannya dengan merangkai input sehingga limpahan memuat kode yang menyatakan ke komputer apa yang dilakukan selanjutnya. Kode ini dapat membuka sebuah pintu belakang di dalam sistem.

Serangan Injeksi (Insersi) SQL
Menyisipkan query SQL berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program aplikasi. Hal ini memungkinkan seorang hacker menyakinkan agar aplikasi menjalankan kode SQL yang tidak dikehendaki untuk dijalankan.

Serangan Man-In-The-Middle (MITM)
Seorang hacker menempatkan dirinya di antara seorang klien dan host untuk memotong komunikasi di antara mereka.

Masqueradingi Impersonation
Mendapatkan akses ke sebuah sistem dengan berpura-pura menjadi pengguna yang sah. Pelaku perlu mengetahui ID dan kata sandi pengguna yang sah.

Piggybacking
  1. Menyadap ke dalam sebuah jalur komunikasi dan mengunci secara elektronik pengguna yang sah sehingga tanpa sepengetahuannya membawa pelaku ke dalam sistem.
  2. Penggunaan secara diam-diam atas jaringan WIFI tetangga.
  3. Seorang yang tidak berwenang mengikuti seseorang yang berwenang memasuki pintu yang aman, menembus pengendalian keamanan fisik.
Pemecahan Kata Sandi
Ketika seorang penyusup memasuki pertahanan sebuah sistem, mencuri file yang berisikan kata sandi valid, mendeskripsikannya untuk mendapatkan akses atas program, file, dan data.

War Dialing
Memprogram sebuah komputer untuk menghubungi ribuan sambungan telepon untuk mencari modem lines. Hacker menerobos ke dalam PC yang tersambung dengan modem dan mengakses jaringan yang terhubung.

War Driving
Berkendara mencari jaringan nirp
kabel rumah atau perusahaan yang tidak terlindungi.

War Rocketing
Menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut yang mendeteksi jaringan nirkabel tidak aman.

Phreaking
Menyerang sistem telepon untuk mendapatkan akses sambungan telepon gratis, menggunakan sambungan telepon untuk mengirimkan malware, mengakses, mencuri, serta menghancurkan data.

Data Didding
mengubah data sebelum atau selama entri ke dalam sebuah sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah.

Kebocoran Data
Menyalin data perusahaan tanpa izin, sering kali tanpa meninggalkan indikasi bahwa ia telah disalin.

Podslurping
Menggunakan sebuah perangkat kecil dengan kapasitas penyimpanan (iPod, flash Drive) untuk mengunduh data tanpa izin dari sebuah komputer.

 Teknik Salami
Pencurian sebagian kecil uang dari beberapa rekening yang berbeda.

Penipuan Round-Down
Memerintahkan komputer untuk membuatkan seluruh perhitungan bunga menjadi dua tempat desimal. Pecahan dari sen yang dibulatkan pada setiap perhitungan dimasukkan ke dalam rekening pemrogram.

Spionase Ekonomi
Mencuri informasi, rahasia dagang, dan kekayaan intelektual.

Pemerasan Dunia Maya
Ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan.

Cyber-Bullying
Menggunakan teknologi komputer untuk mendukung perilaku yang disengaja, berulang, dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau membahayakan orang lain.

Sexting
Tukar-menukar pesan teks dan gambar yang terang-terangan bersifat seksual dengan orang lain, biasanya menggunakan perantara telepon.

Terorisme Internet
Menggunakan internet untuk mengganggu perdagangan elektronik serta membahayakan komputer dan komunikasi.

Misinformasi Internet
Menggunakan internet untuk menyebarkan informasi palsu atau menyesatkan.

Ancaman E-mail
Ancaman dikirimkan kepada korban melalui E-mail. Ancaman biasanya memerlukan beberapa tindakan follow-up, seringnya mengakibatkan kerugian besar bagi korban.

 Penipuan Lelang Internet
Menggunakan situs lelang internet untuk menipu orang lain.

 Penipuan Pump-and-Dump Internet
Menggunakan internet untuk menaikkan harga saham kemudian menjualnya.

Penipuan Klik
Memanipulasi jumlah waktu iklan yang diklik untuk meningkatkan tagihan periklanan.

 Penjejalan Situs
Menawarkan situs gratis selama sebulan, mengembangkan situs tidak berharga, dan membebankan tagihan telepon dari orang-orang yang menerima tawaran untuk waktu berbulan-bulan, terlepas mereka ingin melanjutkan menggunakan situs tersebut atau tidak.

Pembajakan Perangkat Lunak
Menyalin atau mendistribusikan perangkat lunak berhak cipta tanpa izin.

Rekayasa Sosial
Teknik atau trik psikologis yang digunakan agar orang-orang mematuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer, server, atau jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk mendapatkan data rahasia.

Pencurian Identitas
Mengambil identitas seseorang, biasanya untuk keuntungan ekonomi dengan mendapatkan dan menggunakan informasi rahasia secara ilegal, seperti nomor Sosial Security, nomor rekening bank atau kartu kredit.

Pretexting
Menggunakan skenario ciptaan (dalih) yang menciptakan legitimasi (pernyataan sah) dalam pikiran target guna meningkatkan kecenderungan bahwa si korban akan membocorkan informasi atau melakukan sesuatu.

Malware
Segala perangkat lunak yang digunakan untuk membahayakan.

Spyware
Perangkat lunak yang secara diam-diam mengawasi dan mengumpulkan informasi pribadi mengenai pengguna dan mengirimkannya kepada orang lain, biasanya tanpa izin pengguna komputer.

 Adware
Spyware yang menyebabkan iklan banner pada monitor, mengumpulkan informasi mengenai penjelajahan situs dan kebiasaan pengguna, dan mengirimkannya kepada pencipta adware, biasanya sebuah organisasi periklanan atau media.


di Tidak ada komentar:

BAB 5 PENIPUAN KOMPUTER

Ancaman SIA
Bencana alam dan politik-- seperti kebakaran, banjir, topan, tornado, badai salju, perang, dan serangan teroris--dapat menghancurkan sistem informasi dan menyebabkan kegagalan bagi perusahaan. Contohnya adalah sebagai berikut:
  • Serangan teroris di World Trade Center di New York City dan Federal Building di Oklahoma City menghancurkan dan merusak semua sistem dalam bangunan tersebut.
  • Banjir di Chicago menghancurkan atau membahayakan 400 pusat pengolahan data.
Sabotase
Tindakan yang disengaja di mana tujuannya adalah untuk menghancurkan sistem atau beberapa komponennya

Cookie 
Sebuah file teks yang diciptakan oleh situs dan disimpan pada hand drive pengunjung. Cookie menyimpan informasi tentang siapa pengguna dan apa yang telah dilakukan di situs.

Pendahuluan untuk Penipuan

Penipuan
Beberapa dan semua sarana yang digunakan seseorang untuk memperoleh keuntungan yang tidak adil dari orang lain.

Kriminal Kerah Putih
Umumnya, para pelaku bisnis yang melakukan penipuan. Kejahatan kerah putih biasanya digunakan untuk menipu atau memperdaya, dan kejahatan mereka biasanya melibatkan pelanggaran kepercayaan atau keyakinan.

Korupsi
Pelaku tidak jujur yang sering kali melibatkan tindakan yang tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis. Contohnya termasuk penyuapan dan persekongkolan tender.

Penipuan Investasi
Mispresentasi atau meninggalkan fakta-fakta untuk mempromosikan investasi yang menjanjikan Lana fantastik dengan hanya sedikit atau tidak ada risiko. Contohnya termasuk skema Ponzi dan penipuan sekuritas.

Penyalahgunaan Aset
Pencurian aset perusahaan oleh karyawan.

Kecurangan Pelaporan Keuangan
Perilaku yang disengaja atau ceroboh, apakah dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan menyesatkan secara material.

SEGITIGA PENIPUAN
Tekanan
Dorongan atau motivasi seseorang untuk melakukan penipuan.

Kesempatan
Kondisi atau situasi yang memungkinkan seseorang atau organisasi untuk melakukan dan menyembunyikan tindakan yang tidak jujur dan mengubahnya menjadi keuntungan pribadi. Kesempatan mencakup :
  1. Melakukan penipuan.
  2. Menyembunyikan penipuan.
  3. Mengonversikan pencurian atau mispresentasi untuk keuntungan personal.
Rasionalisasi
Alasan yang digunakan para pelaku penipuan untuk membenarkan perilaku ilegal mereka.

Penipuan Komputer
Sistem komputer secara khusus rentan terhadap alasan-alasan sebagai berikut:
  • Penipuan komputer dapat lebih sulit dideteksi dibandingkan jenis penipuan lain.
  • Beberapa organisasi memberikan akses kepada karyawan, pelanggan, dan pemasok ke sistem mereka.
  • Komputer pribadi sangat rentan.
  • Sistem komputer menghadapi sejumlah tantangan unik: keandalan, kegagalan peralatan, ketergantungan pada daya dll

 KLARIFIKASI PENIPUAN KOMPUTER

Input Penipuan
Cara yang paling sederhana dan paling umum untuk melakukan penipuan komputer adalah dengan mengganti atau memalsukan input komputer.

Penipuan Prosesor
Penipuan prosesor merupakan penggunaan sistem yang tidak sah, termasuk pencurian waktu dan layanan komputer.

Penipuan Instruksi Komputer
Penipuan instruksi komputer termasuk merusak perangkat lunak perusahaan, menyalin perangkat lunak secara ilegal, menggunakan perangkat lunak dengan cara yang tidak sah, dan mengembangkan perangkat lunak untuk aktivitas yang tidak sah.

Penipuan Data
Secara ilegal dengan menggunakan, menyalin, mencari, atau membahayakan data perusahaan merupakan penipuan data.

Output Penipuan
Pelaku penipuan menggunakan komputer untuk memalsukan output yang terlihat otentik, seperti cek pembayaran. Pelaku penipuan dapat memindai cek pembayaran, menggunakan desktop untuk mempublikasikan perangkat lunak untuk menghapus pembayar dan jumlahnya, serta mencetak cek pembayaran fiktif.

Mencegah dan Mendeteksi Penipuan dan Penyalahgunaan
Organisasi harus membuat iklim yang membuat penipuan agar tidak terjadi, meningkatkan perbedaan dalam melakukannya, meningkatkan metode pendeteksian, dan mengurangi jumlah kerugian jika penipuan terjadi.
di Tidak ada komentar:
Langganan: Postingan (Atom)

BAB 22 DESAIN, IMPELEMENTASI, DAN OPERASI SISTEM

Desain Sistem Konseptual Spesifikasi desain konseptual adalah spesifikasi yang dibutuhkan untuk output sistem, penyimpangan data, input, p...