Nama : Amylia Nurrizky Yudhistiara
Kelas / NPM : 4KA21 / 10120135
Mata Kuliah : Audit Teknologi System Informasi
Dosen : Kurniawan B. Prianto, S.Kom., SH, MM
ASPEK-ASPEK
DALAM APPLICATION CONTROL FRAMEWORK
1. Boundary
control
Mengendalikan sifat dan fungsi
pengendalian akses, penggunaan pengkodean dalam pengendalian akses, nomor
identifikasi personal (PIN), digital signatures dan plastic cards. Tujuan dari
boundary control adalah :
a.
Untuk
menetapkan identitas dan otoritas user terhadap system computer
b.
Untuk
menetapkan identitas dan kebenaran sumber informasi yang digunakan user
c.
Untuk membatasi kegiatan user dalam
mendapat sumber informasi berdasarkan kewenangan
Jenis-jenis pengendalian dalam
subsistem boundary, yaitu :
1) Pengendalian
kriptografi
Kriptografi
merupakan system untuk mentransformasikan data menjadi kode (cryptograms)
sehingga tidak memiliki arti bagi orang yang tidak memiliki system untuk
mengubah Kembali data tersebut. Tujuannya
untuk menjaga kerahasiaan informasi dengan mengacak data.
Jenis pengendalian kriptografi terdiri dari :
·
Transposition
ciphers : menggunakan permutasi urutan karakter dari sederet string
·
Subtitution
ciphers : mengganti karakter dengan karakter lain sesuai aturan tertentu
· Product
ciphers : kombinasi transposition dan substitution ciphers
2) Pengendalian
akses
Pengendalian
akses berfungsi untuk membatasi penggunaan sumber daya system computer,
membatasi dan memastikan user untuk mendapatkan sumber daya yang mereka
butuhkan. Langkah-langkah umum untuk menunjang fungsi tersebut, yaitu :
a.
Mengesahkan
user yang telah mengidentifikasikan dirinya ke sistem
b. Mengesahkan
sumber daya yang diminta oleh user
c. Membatasi
aktivitas yang dilakukan oleh user terhadap system
3) Personal
Identification Number (PIN)
· Generasi
PIN
· Penerbitan
dan penyampaian PIN kepada pengguna
· Validasi
PIN
· Transmisi
PIN di seluruh jalur komunikasi
· Pemrosesan
PIN
· Penyimpanan
PIN
· Perubahan
PIN
· Penggantian
PIN
· Penghentian
PIN
4) Digital
signature
Pengujian system manajemen yang digunakan untuk mengelola
tanda tangan digital, penggunaan dan penyebarannya.
5)
Plastic
cards
·
Pengajuan
kartu
·
Persiapan
kartu
·
Penerbitan
kartu
·
Penggunaan
kartu
·
Pengembalian
atau penghancuran kartu
2. Input
control
Menurut weber (1999, pp420-450),
komponen pada subsistem input bertanggung jawab dalam mengirimkan data dan
instruksi ke dalam sistem aplikasi di mana kedua tipe atribut tersebut haruslah
divalidasi, selain itu banyaknya kesalahan yang terdeteksi harus dikontrol
sehingga input yang dihasilkan akurat, lengkap, unik dan tepat waktu.
Pengendalian input merupakan hal yang
kritis didasarkan 3 alasan, yaitu jumlah pengendalian yang paling besar pada
system informasi terhadap kehandalan subsistem input, aktivitas pada subsistem
input, yang bersifat rutin, dalam jumlah besar dan campur tangan ini dapat
mengalami kebosanan sehingga cenderung mengalami error, subsistem input sering
menjadi target dari fraud. Banyak ketidakberesan yang ditemukan dengan cara
penambahan, penghapusan atau pengubahan transaksi input.
3. Communication
control
Pengendalian komunikasi digunakan
untuk mengendalikan pensistribusian pembukaan komunikasi subsistem, komponen
fisik, kesalahan jalur komunikasi, aliran dan hubungan, pengendalian topolagi,
pengendalian akses hubungan, pengendalian atas ancaman subversive, pengendalian
internet working dan pengendalian arsitektur komunikasi.
Yang perlu diperhatikan oleh auditor
:
1) Physical
component
2) Line
error control
3) Flow
control
4) Link
control
5) Topological
control
6) Internet
working control
7) Communication
architecture control
4. Processing
control
a. Processor
Control
Tipe-tipe kontrol:
·
Deteksi
dan koreksi kesalahan
·
Kemungkinan
terjadinya beberapa status eksekusi yang sama
·
Penentuan
batas waktu eksekusi, untuk menghindari infinite loop
· Replikasi
komponen, berupa struktur multicomputer maupun multiprocessor
b. Real
Memory Control
Kontrol
terhadap real memory berupaya untuk :
·
Mendeteksi
dan memperbaiki kesalahan pada sel-sel memori
· Melindungi
area memori yang berkaitan dengan sebuah program dari akses ilegal oleh program
lain
c. Virtual
Memory Control
Dua tipe kontrol yang harus dievaluasi :
· Saat
sebuah proses mengacu lokasi pada virtual memory, displacement harus dipastikan
berada dalam block
· Harus
dilakukan pengecekan priviledge saat sebuah proses mengakses block tertentu.
d. Integritas
OS
Kontrol
OS yang handal :
· OS
harus terlindungi dari proses-proses pengguna
· Pengguna
harus terlindungi satu sama lain
· Pengguna
harus dilindungi dari dirinya sendiri
· OS
harus terlindungi dari dirinya sendiri
· Saat
terjadi kegagalan lingkungan, OS harus kuat
e. Application
Software Control
· Pengecekan
validasi serta identifikasi kesalahan
· Pencegahan
kesalahan pemrosesan
f. Audit
Trial Control
· Accounting
audit trail
Dilakukan
dengan menelusuri proses yang dilalui oleh data berdasarkan identifikasi proses
· Operational
audit trail
Meliputi
data konsumsi sumber daya, penelusuran kejadian yang terkait keamanan,
kegagalan fungsi perangkat keras, serta kejadian khusus yang ditentukan oleh
pengguna.
g. Audit
Checkpoint
Auditor
mengevaluasi :
· Informasi
checkpoint/ restart yang tertulis dalam log harus aman
· Fasilitas
checkpoint/ restart harus efektif dan efisien
· Fasilitas
checkpoint/ restart harus terdokumentasi dengan baik
· Fasilitas
checkpoint/ restart harus handal
Pengendalian proses mencakup
pengendalian terhadap kemungkinan data atau tidak diprosesnya data, perhitungan
aritmatik dan keakuratan pemrograman.
1) Kemungkinan
kehilangan data atau tidak diprosesnya data pengendalian yang dilakukan untuk
mendeteksi kehilangan atau tidak diprosesnya data terdiri dari :
a) Perhitungan
record
Perhitungan
record adalah jumlah record yang diproses oleh computer kemudian total yang
dihasilkan dibandingkan dengan suatu perhitungan manual yang telah ditetapkan
sebelumnya. Setiap saat file di proses, record dihitung Kembali dan jumlahnya
disamakan dengan total awal atau total yang telah disesuaikan.
b) Total
control (control total)
Dilakukan
terhadap field kuantitas atau yang mengandung perhitungan jumlah dalam suatu
kelompok record yang kemudian hasil perhitungan tersebut digunakan untuk
mengecek pengendalian yang ditetapkan dalam manual atau pemrosesan computer
sebelumnya atau berikutnya.
c) Total
hash
Bentuk
lain dari total pengendali yang dibuat dari data dalam suatu field non
kuantitas di dalam suatu kelompok record.
2) Perhitungan
aritmatik
Pengendalian yang dilakukan untuk perhitungan atau
kalkulasi aritmatik terdiri dari :
a)
Pemeriksaan
batas (limit checks)
Dilakukan dengan mengetes hasil-hasil kalkulasi terhadap
batas-batas yang telah ditetapkan terlebih dahulu.
b) Pemeriksaan
saldo jumlah mendatar (cross-footing balance check)
Dilakukan
terhadap field-field yang mempunyai hubungan satu sama lain dan hasil
penjumlahannya dicocokkan pada akhir proses.
c) Tes
melimpah (overflow test)
Merupakan
suatu tes yang diguakan secara luas untuk menentukan apakah ukuran suatu hasil
perhitungan melampaui alokasi ukuran yang telah terdaftar dan disimpan.
3) Memastikan
keakuratan pemrograman
Penegndalian
yang dilakukan untuk memastikan keakuratan pemrograman berupa :
a) Dokumentasi
yang tepat
Dokumentasi yang baik akan menempatkan kesalahan
pemrograman dan akan memudahkan koreksi.
b) Prosedur
pengujian program yang ekstensif
Akan mengurangi kemungkinan gangguan program dan
memudahkan pengoperasian sistem yang lancar.
5. Database
control
Pengendalian database digunakan untuk
menjaga integritas data dalam suatu database. Pengendalian yang dilakukan
mencakup pengendalian terhadap pelaporan kemacetan, system kamus data, system
kamus data yang terintegrasi, tanggung jawab unsur data, pengendalian data
Bersama dan pemecahan hambatan.
a. Access
Control
· Discretionary
access controls
Dengan membatasi berdasarkan nama, konten, konteks, atau
sejarah akses
· Mandatory
access controls
Dilakukan
berdasarkan pengelompokan level sumber daya dan level pengguna.
b. Integrity
Control
· ER
model integrity constraints
Uniqueness,
min&max cardinality, entity ID, value type&set of ID
· Relational
data model integrity constraints
Key,
entity and referential constraints
· Object
data model integrity constraints
Unique
ID&key, value type&set of attribute, tipes and inheritance
c. Application
Software Control
· Update
protocols
Memastikan
bahwa perubahan pada basis data menggambarkan perubahan entitas nyata dan
asosiasi antar entitas
· Report
protocols
Menyediakan
informasi bagi pengguna basis data yang memungkinkan identifikasi kesalahan
yang muncul saat update basis data
d. Concurrency
Control yaitu memungkinkan pengguna basis data berbagi sumber
daya yang sama.
e. Cryptographic
Control yaitu melindungi integritas data yang disimpan dalam
basis data.
f. Audit
Trail Control
· Accounting
audit trail
Subsistem
basis data harus menjalankan tiga fungsi :
o
Seluruh transaksi harus memiliki unique
time stamp
o
Subsistem harus mencatat beforeimages dan
afterimages dari data sebelum dan sesudah transaksi
o
Subsistem harus menyediakan fasilitas
untuk define, create, modify, delete, dan retrieve data pada audit trail
o
Operational audit trail
o
Mengelola kronologi kejadian penggunaan
sumber daya yang mempengaruhi basis data
Sumber :
· http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2008200362KABab2/body.html
· https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/
Komentar
Posting Komentar