![Resume Audit EDP BAB 4 [PDF]](https://pdfs.asia/img/200x200/resume-audit-edp-bab-4.jpg)
14 0 236 KB
SECURITY PART II: AUDITING DATABASE SYSTEMS
Tugas Mata Kuliah Auditing EDP
Oleh Kelompok 9: Diaz Lucky Firmansyah
180810301036
Brilyan Wahyu Gemilang
180810301241
Hamzah Dwi Maqfiroh
180810301247
Program Studi Akuntansi Fakultas Ekonomi Dan Bisnis Universitas Jember 2021
BAB 1. PENDAHULUAN Penerapan era Industri 4.0 di Indonesia dilatarbelakangi oleh banyaknya penggunaan IT pada segala aspek bisnis dan industri di beberapa Negara maju. Indonesia dengan jumlah sektor bisnis dan industri yang cukup banyak perlahan juga menerapkan hal tersebut. Salah satu penggunaan dari penerpan industri 4.0 di perusahaan adalah dengan menerapkan manajemen database perusahaan. Database merupakan hal terpenting dari terbentuknya suatu sitem IT yang terintegrasi. Sebab database memiliki fungsi sebagai alat penyimpan sumber informasi yang di input oleh perusahaan ke perangkat IT yang akan digunakan untuk operasional perusahaan. Banyaknya
kasus
lemahnya
manajemen
database
perusahaan
akan
menyebabkan kerugian yang material dimana kurangnya data auditing membawa aplikasi bisnis kepada hilangnya jejak proses bisnis perusahaan. Oleh karenanya suatu penerapan IT pada sistem operasional perusahaan dan data historis atau temporal database diperlukan untuk melacak operasi dan tipe operasi dengan waktu. Selain itu juga sangat dibutuhkan adanya manajemen database demi dapat meningkatkan kinerja operasional di perusahaan, agar lebih efektif dan efisien dalam pengeluaran biaya. Sumber informasi yang terpusat pada database perusahaan memerlukan pengendalian internal yang baik dalam pengelolaan sumber daya yang bersifat terbatas. Pengelolaan sumber informasi yang baik akan menghasilkan output yang baik disertai dengan adanya database auditing dapat menjadi komponen penting dalam keamanan basis data dan kepatuhan terhadap peraturan pemerintah, sehingga menghasilkan informasi yang lebih terpercaya. Namun, permasalahan dalam pengelolaan database pada perusahaan dapat diatasi dengan mengadakan audit atas database. Topik mengenai auditing database systems ini menarik untuk dibahas karena audit sistem database merupakan audit berbasi IT yang dapat menelusuri permasalahan dan pengendalian atas pengelolaan sistem database perusahaan, serta perawatan untuk kontrol IT itu sendiri. Meng-audit aktivitas dan akses terhadap database dapat membantu mengidentifikasi masalah keamanan basis data dan menyelesaikannya dengan cepat dan bagi database administrator perlu lebih waspada dalam teknik yang digunakan untuk melindungi data perusahaan, serta memantau dan memastikan bahwa perlindungan yang memadai terhadap data telah tersedia. Kegiatan auditing sebagai suatu fungsi, memainkan peran sentral dalam memastikan kepatuhan terhadap aturan karena audit 2
memeriksa dokumentasi tindakan, praktik, dan perilaku bisnis atau individu. Dari kegiatan audit sistem database ini, auditor akan menelusuri permasalahan-permasalahan yang terdapat pada sistem database perusahaan. Jika auditor menemukan permasalahan yang dianggap material bagi perusahaan, maka tugas seorang auditor akan memberikan saran perbaikan atas permasalahan yang terjadi. Auditor akan memberikan perbaikan atas model sistem database agar perusahaan tidak mengalami kerugian dalam bidang manajemen database
BAB 2. PEMBAHASAN 2.1
PENDEKATAN MANAJEMEN DATA Organisasi bisnis mengikuti salah satu atau kedua dari dua pendekatan umum untuk
manajemen data: model flat-file dan model database. perbedaan antara kedua pendekatan itu bersifat teknis dan filosofis. 2.1.1 Pendekatan Flat File Flat file adalah file data yang berisi catatan tanpa hubungan yang terstruktur pada file lainnya. Pendekatan flat-file yang paling sering dikaitkan dengan sistem legacy. Ini adalah sistem mainframe besar yang dilaksanakan pada tahun 1970 melalui 1980-an. Beberapa organisasi saat ini masih membuat ekstensif menggunakan sistem tersebut. Akhirnya, akan digantikan oleh sistem manajemen database modern, tetapi sementara itu, auditor harus terus berhubungan dengan teknologi warisan sistem. Lingkungan flat-file mempromosikan pandangan pendekatan single-user untuk pengelolaan
data
dimana
pengguna
akhir
memiliki
sendiri
membagikannya ke pengguna lain. Oleh karena itu data file
file
data
daripada
distruktur, diformat, dan
diatur sesuai dengan kebutuhan spesifik pemilik atau pengguna utama dari data. Ketika beberapa pengguna perlu data yang sama untuk tujuan yang berbeda, mereka harus mendapatkan struktur data set terpisah untuk kebutuhan spesifik mereka.Fungsi akuntansi memerlukan data penjualan pelanggan dari nomor rekening dan terstruktur untuk menunjukkan saldo. Ini digunakan untuk tagihan pelanggan, rekening pemeliharaan piutang, dan persiapan laporan keuangan. Fungsi pemasaran memerlukan catatan data penjualan pelanggan yang dibuat oleh kunci demografis yang digunakan dalam 3
menargetkan promosi produk baru dan peningkatan penjualan produk. Kelompok layanan produk membutuhan data penjualan pelanggan yang disediakan oleh produk dan terstruktur untuk menunjukkan jadwal jasa. Replikasi dari pokok data yang sama dalam beberapa file disebut redundansi data dan memberikan kontribusi pada tiga masalah yang signifikan dalam lingkungan flat-file: penyimpanan data, memperbarui data, dan peredaran informasi. Masalah keempat (tidak secara khusus disebabkan oleh redundansi data) disebut ketergantungan task-data. a.
Data Storage (Penyimpanan Data): data yang terduplikasi dan terpisah memakan penyimpanan yang besar dan sulit untuk diakses serta biaya yang dikeluarkan juga tinggi.
b.
Data Updating (Pembaruan Data) : karena data terpisah, maka update dilakukan sendiri-sendiri secara berkala.
c.
Currency of Information (Kekinian Informasi) : Apabila terjadi masalah gagalnya memperbarui semua file penggunaan yang dipengaruhi oleh perubahan data tertentu, dalam hal ini mungkin terjadi ketidak sinkronan dan usang.
d.
Task-Data Dependency (Ketergantungan Tugas Data) : Ketidakmampuan pengguna untuk mendapatkan informasi tambahan ketika kebutuhannya berubah.
2.1.2
Pendekatan Database Akses ke sumber daya data yang dikendalikan oleh sistem manajemen database
(DBMS). DBMS adalah sistem software khusus yang diprogram untuk mengetahui elemen data mana dari setiap pengguna yang berhak untuk diakses. Program pengguna mengirimkan permintaan data ke DBMS, yang memvalidasi dan memiliki wewenang akses ke database sesuai dengan tingkat pengguna otoritas. Jika pengguna merminta data yang tidak berhak untuk diakses, permintaan tersebut akan ditolak. Pendekatan ini memusatkan data organisasi ke dalam database umum yang dibagikan bersama oleh pengguna lain. Dengan data perusahaan di satu lokasi pusat, semua pengguna memiliki akses ke data yang mereka butuhkan untuk mencapai tujuan masing-masing. Melalui berbagi data, masalah tradisional yang terkait dengan pendekatan flat-file dapat diatasi. Penghapusan Masalah Penyimpanan Data Setiap elemen data disimpan hanya sekali, sehingga menghilangkan redundansi data dan mengurangi pengumpulan data dan biaya penyimpanan. 4
Penghapusan Masalah Perbaruan Data Karena setiap elemen data ada di satu tempat, hal itu hanya membutuhkan prosedur pembaruan tunggal. Hal ini akan mengurangi waktu dan biaya arus database. Penghapusan Masalah Penyebaran Perubahan tunggal untuk atribut database otomatis tersedia untuk semua pengguna atribut. Misalnya, perubahan alamat pelanggan dimasukkan oleh petugas penagihan akan segera tercermin dalam pandangan pemasaran dan layanan produk. Penghapusan Masalah Ketergantungan Task-Data Perbedaan yang paling mencolok antara model database dan model flat-file adalah menyatukan data ke database umum yang dimiliki oleh semua pengguna organisasi. Dengan akses ke domain lengkap data entitas, perubahan kebutuhan informasi pengguna dapat dipenuhi tanpa memperoleh tambahan set data pribadi. Pengguna dibatasi hanya oleh keterbatasan dari data yang tersedia untuk entitas dan legitimasi kebutuhan mereka untuk mengaksesnya. 2.2
ELEMEN KUNCI DARI LINGKUNGAN DATABASE Bagian ini membahas elemen kunci dari lingkungan database. Hal ini termasuk
sistem manajemen database (DBMS), pengguna, administrator database, fisik database, dan DBMS model. 2.2.1 Sistem Pengolahan Database DBMS menyediakan lingkungan yang terkendali untuk membantu (atau mencegah) akses ke database dan secara efisien mengelola sumber daya data. Setiap DBMS unik dalam menyelesaikan tujuan tersebut, namun beberapa fitur khas meliputi: 1.
Pengembangan Program
2.
Backup dan pemulihan
3.
Pelaporan penggunaan database
4.
Akses database Data Definition Language (DDL) adalah bahasa pemrograman yang digunakan
untuk mendefinisikan database ke DBMS. DDL mengidentifikasi nama dan hubungan dari semua elemen data, catatan, dan file yang merupakan database. Definisi ini memiliki tiga tingkat, yang disebut: pandangan internal yang fisik, pandangan konseptual (skema), dan tampilan pengguna (sub schema). Akses formal penerapan alat penghubung adalah 5
bahasa manipulasi data. Akses Informal: Bahasa Query metode kedua dari akses database adalah metode informal query. Query adalah akses metodologi khusus untuk mengekstraksi informasi dari database. Ada tiga tingkat, yang disebut tampilan (view), dalam definisi ini yaitu,
tampilan
internal fisik, tampilan konseptual (skema), dan tampilan pengguna (subskema) 1. Tampilan Internal/Tampilan Fisik. Susunan fisik dari catatan dalam basis data disajikan melalui tampilan internal. Tampilan internal ini mendeskripsikan struktur catatan data, hubungan antar file, dan susunan fisik serta urutan catatan dalam suatu file. 2. Tampilan Konseptual/Tampilan Logis Tampilan konseptual atau skema mendeskripsikan keseluruhan basis data. Tampilan n data secara logis dan abstrak, bukan seperti cara basis data disimpan secara fisik. Hanya ada satu tampilan konseptual untuk basis data. 3. Tampilan eksternal/Tampilan Pengguna (subskema) Subskema atau tampilan pengguna mendefinisikan bagian pengguna dari basis data – bagian yang boleh diakses oleh seorang pengguna. a)
Akses Formal : Antarmuka aplikasi Akses basis data dimungkinkan dilakukan oleh antarmuka aplikasi formal. Program pengguna, yang disiapkan oleh profesional sistem, mengirim permintaan akses data DBMS, yang memvalidasi permintaan tersebut dan menelusuri data untuk diproses. Dengan cara ini keberadaan DBMS transparan bagi para pengguna.
b)
Bahasa Manipulasi Data Bahasa Manipulasi Data adalah bagan dari bahsa pemograman yang digunakan oleh DBMS untuk melacak, memproses, dan menyimpan data. Keseluruhan program pengguna bisa ditulis dalam DML atau perintah-perinah DML tertentu yang dapat disisipkan ke program yang ditulis dengan menggunakan bahasa universal, seperti PL/1, COBOL, dan FORTRAN.
c)
Operasi DBMS Berikut adalah deskripsi bagaimana DBMS dan aplikasi pengguna bekerja bersama: 1. Program pengguna mengirim permintaan data ke DBMS. Permintaan ditulis dalam bahasa manipulasi data khusus yang dilekatkan dalam program 6
pengguna. 2. DBMS menganalisis permintaan dengan mencocokkan elemen-elemen data yang diminta dengan tampilan pengguna dan tampilan konseptual. 3. DBMS menentukan parameter struktur data dari tampilan internal dan mengirimnya ke sistem operasi, yang melakukan penelurusan data aktual. 4. Dengan menggunakan metode akses yang sesuai (program utilitas sistem operasi), sistem operasi berinteraksi dengan alat penyimpanan disket untuk menelusuri data dari basis data fisik. 5. Sistem operasi kemudian menyimpan data dalam area penyannga memori utama yang dikelola oleh DBMS. 6. DBMS menstransfer data ke lokasi kerja pengguna dalam memori utama 7. Ketika pemrosesan selesai, langkah 4,5,6 dibalik untuk menyimpan kembali data yang diproses ke basis data. d)
Akses Informal : Bahasa Permintaan Data Akses basis data lainnya yaitu akses data secara informal. Permintaan data adalah metodelogi akses ad hoc yang menggunakan perintah yang mirip dengan bahasa inggris untuk membangun daftar atau informasi dasar lainnya dari basis data. DBMS memiliki fasilitas permintaan data yang memungkinkan pengguna yang memiliki otorisasi untuk memproses data tanpa bergantung pada programer profesional.SQL dan IBM merupakan bahasa permintaan data standar bagi DBMS mainframe dan mikrokomputer.
2.2.2 Database Administrator DBA bertanggung jawab untuk mengelola sumber daya basis data. Pembagian dari database umum oleh beberapa pengguna memerlukan organisasi, koordinasi, aturan, dan pedoman untuk melindungi integritas dari database. Dalam organisasi besar, fungsi DBA dapat terdiri dari departemen seluruh tenaga teknis di bawah administrator database. Dalam organisasi yang lebih kecil, tanggung jawab DBA dapat diasumsikan oleh seseorang dalam kelompok layanan komputer. Tugas DBA jatuh ke bidang-bidang berikut: perencanaan database; desain database; database implementasi, operasi, dan pemeliharaan; dan pertumbuhan database dan perubahan. Interaksi organisasi DBA, ketika kebutuhan sistem informasi muncul, pengguna mengirim permintaan formal untuk aplikasi komputer dengan sistem profesional 7
(programmer) organisasi. Permintaan yang ditangani melalui prosedur pengembangan sistem formal. Jika mereka memiliki manfaat, mereka menghasilkan blok ke blok pengembangan sistem. Permintaan pengguna juga menuju ke DBA, yang mengevaluasi ini untuk menentukan kebutuhan database pengguna. Kita melihat hubungan ini sebagai garis antara pengguna dan DBA dan antara DBA dan modul DDL dalam DBMS. Dengan menjaga otoritas akses database terpisah dari pengembangan sistem (pemrograman aplikasi), organisasi yang lebih mampu untuk mengontrol dan melindungi database. Database administrator memiliki fungsi diantaranya : 1. Database planning a) Mengembangkan database strategi organisasi b) Menetapkan lingkungan database c) Menetapkan data yang dibutuhkan d) Mengembangkan data dictionary 2. Design a. Logical database (skema) b. Subskema dengan melihat pengguna eksternal c. Internal view of database d. Database control 3. Implementation a. Menentukan kebijakan pengguna b. Implementasi security control c. Specify test prosedures d. Mendirikan standart program 4. Operation and maintenance 1. Mengevaluasi pelaksanaan database 2. Mengatur database sesuai kebutuhan pengguna 3. Melakukan review standart dan prosedur 5. Change and growth a. Membuat planning untuk pertumbuhan dan perubahan b. Mengevaluasi teknologi baru Data Dictionary, fungsi penting lainnya dari DBA adalah penciptaan dan pemeliharaan data dictionary. Data Dictionary menggambarkan setiap elemen data dalam database. Ini memungkinkan semua pengguna (dan programmer) untuk berbagi 8
pandangan umum dari sumber daya data, sehingga sangat memudahkan analisis kebutuhan pengguna. Kebanyakan DBMS menggunakan software khusus untuk mengelola data dictionary. 2.2.3 Database Fisik Unsur utama keempat dari pendekatan database seperti disajikan pada database fisik. Ini adalah tingkat terendah dari database dan satu-satunya yang ada tingkat dalam bentuk fisik. Tingkat lain dari database (tampilan pengguna, pandangan konseptual, dan internal yang tampilan) adalah representasi abstrak dari tingkat fisik. Pada tingkat fisik, database membentuk kumpulan logis dari catatan dan file yang merupakan sumber daya data perusahaan. Bagian ini berkaitan dengan struktur data yang digunakan dalam database fisik. Struktur data adalah batu bata dan mortir dari database. Struktur data memungkinkan catatan untuk ditempatkan, disimpan, dan diambil, dan memungkinkan gerakan dari satu record ke lain. Struktur data memiliki dua komponen dasar: organisasi dan metode akses. Metode akses adalah teknik yang digunakan untuk mencari catatan dan untuk menavigasi melalui database. Untuk tujuan kita, itu sudah cukup untuk menangani metode akses pada konseptual tingkat saja. Namun, pada tingkat teknis, mereka ada sebagai program komputer yang disediakan sebagai bagian dari sistem operasi. Selama pengolahan database, program metode akses, menanggapi permintaan data dari aplikasi pengguna, menempatkan dan mengambil atau menyimpan catatan. Tugas-tugas yang dilakukan dengan metode akses benar-benar transparan untuk aplikasi pengguna. 2.2.4 Model DBMS Sebuah model data adalah representasi abstrak dari data tentang entitas, termasuk sumber (aset), peristiwa (transaksi), dan agen (tenaga atau pelanggan, dll) dan hubungan mereka dalam suatu organisasi. Tujuan dari model data adalah untuk mewakili atribut entitas dengan cara yang dimengerti oleh pengguna. Setiap DBMS didasarkan pada model konseptual tertentu. Tiga model umum adalah hirarkis, jaringan, dan model relasional. a. Database terminology -
Data atribut 9
-
Entity
-
Record type
-
Database
-
Association a) One-to-one association b) One-to-many association c) Many-to-many association
b. The Hierarchical Model DBMS disusun secara hirarki, kadang sesuai atau mirip degan hirarki organisasi. Contoh yang paling mirip yaitu information management system (IMS) IBM. -
Navigational databases Hierarchial data model bisa disebut sebagai navigational databases karena mantransfer file yang dibutuhkan untuk mengikuti petunjuk yang telah ditetapkan.
-
Kelemahan dari model ini yaitu :
1
Parent record mungkin memiliki dua atau lebih child record
2
Child record hanya mempunyai satu parent record, dan dalam model ini, data association terbilang rendah
10
Model Jaringan Sama dengan model hierakis, model jaringan (network model) adalah basis data navigasional dengan hubungan eksplisit antara record dan file. Perbedaannya adalah bahwa model jaringan menginzinkan record child untuk memiliki beberapa parent. Model Relasional Perbedaan yang paling nyata antara model relasional dan model navigasional adalah cara asosiasi data disajikan ke pengguna. Model relasional menampilkan data dalam bentuk tabel dua dimensi. 2.3
DATABASE DALAM LINGKUNGAN DISTRIBUSI Struktur
fisik
data
organisasi
merupakan
pertimbangan
penting
dalam
perencanaan sistem distribusi. Untuk menangani masalah ini, perencana memiliki dua pilihan dasar, yaitu database dapat terpusat atau mereka dapat didistribusikan. Database terdistribusi terbagi dalam dua kategori yaitu database dipartisi dan database direplikasi. Adapun database dalam lingkungan distribusi, yaitu: 2.3.1
Database Terpusat Pendekatan pertama mempertahankan data di satu lokasi pusat. Remote unit IT
mengirim permintaan data ke situs pusat, yang memproses permintaan dan meminta mengirimkan data kembali ke unit TI. Sebuah Tujuan mendasar dari pendekatan database adalah untuk mempertahankan penyebaran data. Ini bisa menjadi tugas yang menantang dalam lingkungan DDP.
11
Penyebaran Data dalam Lingkungan DDP, selama pengolahan data saldo rekening melewati keadaan inkonsistensi sementara di mana nilai-nilainya tidak dinyatakan dengan benar. Hal ini terjadi selama pelaksanaan suatu transaksi. 2.3.2 Database Terdistribusi Dalam database terdistribusi terdiri antara lain, yaitu: 1.
Database partisi Pendekatan database partisi membagi database pusat menjadi segmen atau partisi yang didistribusikan ke pengguna utama . Keuntungan dari pendekatan ini yaitu: a. Memiliki data yang tersimpan pada situs lokal yang meningkatkan kontrol atas pengguna. b. Meingkatkan waktu atas respon dalam pengolahan sebuah transaksi dengan memberikan izin atas akses lokal data dan mengurangi volume data yang harus ditransmisikan antara unit IT. c. Database terdistribusi ini dapat mengurangi efek jika terjadi bencana.
Fenomena Jalan Buntu Mengatasi kebuntuan biasanya melibatkan penghentian satu transaksi atau lebih untuk menyelesaikan pemrosesan transaksi lainnya dalam kebuntuan. Transaksi yang telah dipesan kemudian harus diinisiasi kembali. Dalam mengantisipasi transaksi, perangkat lunak resolusi mati kunci mencoba untuk meminimalkan total biaya untuk memecahkan kebuntuan. Beberapa faktor yang harus dipertimbangkan dalam keputusan ini adalah :
Sumber daya yang saat ini diinvestasikan dalam transaksi, ini mungkin diukur dengan jumlah pembaruan yang transaksi telah dilakukan dan itu harus diulang jika transaksi dihentikan.
Tahap penyelesaian transaksi. Secara umum, perangkat lunak resolusi kebuntuan akan menghindari penghentian transaksi yang hampir selesai.
Jumlah kebuntuan yang terkait dengan transaksi. Perhatian menghentikan penghentian transaksi melanggar semua masalah kebuntuan, perangkat lunak harus berusaha untuk menghentikan transaksi yang merupakan baian dari kebuntuan lebih dari pada kebuntuan.
2.
Database direplikasi 12
Database direplikasi termasuk efektif dalam perusahaan di mana terdapat berbagi data tingkat tinggi tetapi tidak ada pengguna utama. Karena data umum direplikasi di setiap situs unit IT, lalu lintas data antara situs berkurang jauh. Pembenaran utama untuk database direplikasi adalah untuk mendukung read only query. Dengan data yang direplikasi di setiap situs, akses data untuk keperluan permintaan dipastikan, dan penutupan dan penundaan karena lalu lintas data dapat diminimalkan. 3.
Kontrol Konkurensi Database konkurensi adalah adanya data yang lengkap dan akurat di semua situs pengguna. Perancang sistem perlu menggunakan metode untuk memastikan bahwa transaksi diproses pada setiap situs secara akurat tercermin dalam database dari semua situs lain. Karena implikasinya untuk akurasi catatan akuntansi, masalah konkurensi adalah masalah keprihatinan bagi auditor. Sebuah metode yang umum digunakan untuk kontrol concurrency adalah cerita bersambung transaksi.
4.
Metode Distribusi Database dan Akuntan Keputusan untuk mendistribusikan database adalah salah satu yang harus dipertimbangkan. Ada banyak isu dan trade off untuk dipertimbangkan, Inilah beberapa pertanyaan paling mendasar yang harus ditangani: Jika data organisasi disentralisasi atau didistribusikan? Jika distribusi data diinginkan, haruskah ada database direplikasi atau dipartisi? Jika direplikasi, haruskah database direplikasi atau direplikasi sebagian? Jika database dipartisi, bagaimana seharusnya segmen data dialokasikan di antara situs?
2.4
PENGENDALIAN DAN AUDIT SISTEM MANAJEMEN DATA Kontrol atas sistem manajemen data jatuh ke dalam dua kategori umum: kontrol
akses dan backup kontrol. Kontrol akses dirancang untuk mencegah individu yang tidak sah dalam melihat, mengambil, merusak, atau menghancurkan data entitas. Sedangkan kontrol backup memastikan bahwa dalam hal kehilangan data akibat akses yang tidak sah, kegagalan peralatan, atau bencana fisik organisasi dapat memulihkan database-nya.
2.4.1 Kontrol akses 13
Kontrol akses dirancang untuk mencegah individu yang tidak sah dalam melihat, mengambil, merusak, atau menghancurkan data entitas. Terlepas dari integrasi masalah data yang terkait dengan model ini, menciptakan sebuah lingkungan di mana akses tidak sah ke data dapat dikendalikan secara efektif. Bila tidak digunakan oleh pemiliknya, sebuah flat-file ditutup untuk pengguna lain dan dapat diambil off-line dan secara fisik diamankan di data perpustakaan. Sebaliknya, kebutuhan untuk mengintegrasikan dan berbagi data dalam lingkungan database berarti bahwa database harus tetap online dan terbuka untuk semua pengguna potensial. a.
Tampilan pengguna atau subschema adalah bagian dari total database yang mendefinisikan data pengguna domain dan menyediakan akses ke database. Meskipun tampilan pengguna dapat membatasi akses pengguna ke satu set data yang terbatas, mereka tidak menetapkan hak seperti membaca, menghapus, atau menulis. Seringkali, beberapa pengguna dapat berbagi satu tampilan pengguna tetapi memiliki tingkat kewenangan berbeda. Sebagai contoh, pengguna Smith, Jones, dan Adams pada Gambar 4.20 semua mungkin memiliki akses ke set data yang sama: nomor rekening, pelanggan nama, saldo rekening, dan batas kredit.
b.
Tabel otorisasi database berisi aturan yang membatasi tindakan yang dapat diambil oleh pengguna. Teknik ini mirip dengan daftar kontrol akses yang digunakan dalam sistem operasi. Setiap pengguna diberikan hak tertentu yang dikodekan dalam tabel otoritas, yang digunakan untuk memverifikasi permintaan tindakan pengguna.
c.
Prosedur
User-Defined,
Sebuah
prosedur
yang
ditetapkan
pengguna
memungkinkan pengguna untuk membuat program keamanan pribadi atau untuk menyediakan identifikasi pengguna yang lebih positif daripada satu password. Dengan demikian, selain password, prosedur keamanan meminta serangkaian pertanyaan pribadi yang hanya pengguna sah yang tahu. d.
Data Rahasia Sistem database juga menggunakan prosedur rahasia untuk melindungi penyimpanan data yang sangat sensitif, seperti formula produk, personel membayar tarif, file password, dan data keuangan tertentu sehingga membuatnya tidak terbaca untuk penyusup "penjelajahan" database.
e.
Perangkat Biometri 14
Hal yang paling pokok dalam prosedur otentikasi pengguna adalah penggunaan perangkat biometrik, yang mengukur berbagai karakteristik pribadi, seperti sidik jari, sidik suara, retina cetakan, atau karakteristik tanda tangan. Karakteristik pengguna ini didigitalkan dan disimpan secara permanen dalam file keamanan database atau kartu identitas yang dimiliki pengguna. Teknologi biometrik saat ini digunakan untuk mengamankan kartu ATM dan kartu kredit. f.
Kontrol Inference Salah satu keuntungan dari kemampuan query database adalah bahwa ia menyediakan pengguna dengan ringkasan dan data statistik untuk pengambilan keputusan. Untuk melindungi kerahasiaan dan integritas database, kontrol inference harus diterapkan untuk menjaga pengguna dalam mengambil kesimpulan, melalui fitur query, nilai-nilai data tertentu yang dinyatakan tidak sah untuk digakses. Kontrol Inference mencoba untuk mencegah tiga jenis kompromi untuk database: 1.
Kompromi-Positif pengguna menentukan nilai tertentu dari item data.
2.
Negatif kompromi-pengguna menentukan bahwa item data tidak memiliki nilai tertentu.
3.
Perkiraan kompromi-pengguna tidak dapat menentukan nilai yang tepat dari item tetapi mampu memperkirakan dengan akurasi yang cukup untuk melanggar kerahasiaan data.
Prosedur Audit untuk Menguji Kontrol Akses database Berikut ini adalah prosedur audit untuk menguji kontrol akses database: a)
Tanggung jawab untuk Otoritas Tabel dan Subschemas. Auditor harus memverifikasi bahwa administrasi database (DBA) personil mempertahankan tanggung jawab eksklusif untuk membuat otoritas tabel dan merancang tampilan pengguna. Bukti dapat berasal dari tiga sumber: (1) dengan meninjau kebijakan perusahaan dan deskripsi pekerjaan yang menentukan tanggung jawab teknis; (2) dengan memeriksa programmer tabel otoritas untuk hak akses ke data bahasa definisi (DDL) perintah; dan (3) melalui wawancara pribadi dengan programmer dan personil DBA.
15
b)
Menyediakan Hak Akses. Auditor dapat memilih sampel dari pengguna dan memverifikasi bahwa hak akses mereka disimpan dalam tabel otoritas konsisten dengan pekerjaan mereka.
c)
Kontrol Biometrik. Auditor harus mengevaluasi biaya dan manfaat dari kontrol biometrik. Umumnya, ini akan menjadi yang paling tepat di mana data yang sangat sensitif dapat diakses oleh jumlah pengguna yang sangat terbatas.
d)
Kontrol Inferensi. Auditor harus memverifikasi bahwa kontrol query database yang ada untuk mencegah akses yang tidak sah melalui inferensi. Auditor dapat menguji kontrol dengan mensimulasikan akses oleh sampel pengguna dan mencoba untuk mengambil data yang tidak sah melalui pertanyaan inferensi.
e)
Kontrol Rahasia. Auditor harus memverifikasi data yang sensitif, seperti password, dirahasiakan dengan benar.
2.4.2 Kontrol backup Data dapat rusak dan hancur oleh tindakan berbahaya dari hacker eksternal, ketidakpuasan karyawan, kegagalan disk, kesalahan program, kebakaran, banjir, dan gempa bumi. Untuk memulihkan dari bencana tersebut, organisasi harus menerapkan kebijakan, prosedur, dan teknik yang secara sistematis dan rutin memberikan salinan backup dari file penting. 1.
Kontrol Backup di Lingkungan flat-file Teknik backup yang digunakan akan tergantung pada media dan struktur file. Urutan
file (baik tape dan disk) menggunakan teknik backup yang disebut grandparent–parent– child (GPC). Teknik backup ini merupakan bagian integral dari proses update file induk. Akses langsung file, sebaliknya, membutuhkan prosedur backup terpisah. grandparent– parent–child (GPC). Teknik backup ini merupakan bagian integral dari proses update file induk. Akses langsung file, sebaliknya, membutuhkan prosedur backup terpisah. GPC Backup Technique. Teknik backup grandparent–parent–child (GPC) yang digunakan dalam urutan beberapa sistem file. Prosedur backup dimulai ketika master file saat ini (parent) diproses terhadap file transaksi untuk menghasilkan baru master file diperbarui (child). Dalam beberapa transaksi berikutnya, child menjadi master file saat ini (parent), dan parent asli menjadi file (grandparent) backup. File induk baru yang muncul 16
dari proses update adalah child. Prosedur ini dilanjutkan dengan setiap batch transaksi baru, menciptakan generasi file backup. Sistem desainer menentukan jumlah file induk backup yang diperlukan untuk setiap aplikasi. Dua faktor yang mempengaruhi keputusan ini: (1) signifikansi keuangan dari sistem dan (2) tingkat aktivitas file. Akses Langsung Data backup. Untuk memberikan backup, file akses langsung harus disalin sebelum diperbarui. Waktu prosedur akses backup langsung akan tergantung pada pemrosesan metode yang digunakan. Backup file dalam sistem batch biasanya dijadwalkan sebelum proses update. Sistem real-time menimbulkan masalah yang lebih sulit. Jika versi terbaru dari file induk dihancurkan melalui kegagalan disk atau rusak oleh kesalahan program, dapat direkonstruksi dengan program pemulihan khusus dari file backup terbaru. Dalam kasus sistem real-time, transaksi yang diproses sejak backup terakhir dan sebelum kegagalan akan hilang dan akan perlu diolah kembali untuk mengembalikan file master untuk status saat ini. Penyimpanan Off-Site. Sebagai perlindungan tambahan, file backup dibuat di bawah kedua GPC dan pendekatan akses langsung harus disimpan off-situs di lokasi yang aman. Tujuan Audit yang Berkaitan dengan Backup Flat-File Pastikan kontrol backup diletakkan ditempat yang efektif dalam melindungi file data dari kerusakan fisik, kehilangan, penghapusan disengaja, dan data korupsi melalui kegagalan sistem dan kesalahan program. Prosedur Audit untuk Menguji Kontrol Backup Flat-File 1.
Backup Sequential File (GPC). Auditor harus memilih sampel dari sistem dan menentukan dokumentasi dari sistem yang jumlah file backup GPC nya ditentukan untuk setiap sistem yang memadai. Jika versi backup cukup memadai, pemulihan dari beberapa jenis kegagalan mungkin mustahil.
2.
File Backup Transaksi. Auditor harus memverifikasi melalui observasi fisik bahwa file transaksi digunakan untuk merekonstruksi file induk juga dipertahankan. Jika file transaksi tidak sesuai, rekonstruksi tidak mungkin.
3.
Direct Access
File Backup. Auditor harus memilih
sampel aplikasi dan
mengidentifikasi file akses langsung diperbarui di setiap sistem.
17
4.
Penyimpanan Off-Site. Auditor harus memverifikasi keberadaan dan kecukupan penyimpanan off-site. Prosedur pemeriksaan ini dapat dilakukan sebagai bagian dari tinjauan bencana kontrol rencana pemulihan atau pusat komputer operasi.
2.
Kontrol Backup di Lingkungan Database Tujuan mendasar dari pendekatan database adalah berbagi data sehingga sangat
rentan terhadap kerusakan dari pengguna individu. Satu prosedur yang tidak sah, satu tindakan jahat, atau satu kesalahan program dapat mencabut komunitas pengguna seluruh informasi sumber daya. Ketika peristiwa tersebut terjadi, organisasi perlu merekonstruksi database status pra-kegagalan. Sebagian besar kerangka utama DBMS memiliki backup dan sistem pemulihan yang sama. Backup. Fitur backup membuat backup periodik seluruh database. Ini adalah prosedur otomatis yang harus dilakukan setidaknya sekali sehari. Salinan backup kemudian harus disimpan di daerah terpencil aman. Log Transaksi (Journal). Fitur log transaksi menyediakan jejak audit dari semua transaksi diproses. Daftar transaksi dalam file log transaksi dan mencatat mengakibatkan perubahan ke database dalam log perubahan database yang terpisah. Fitur Checkpoint. Fasilitas pos pemeriksaan menunda semua pengolahan data sementara rekonsiliasi sistem log transaksi dan log perubahan basis data terhadap database. Di titik ini, sistem ini dalam keadaan tenang. Pos pemeriksaan terjadi secara otomatis beberapa kali dalam sejam. Jika terjadi kegagalan, biasanya mungkin untuk merestart pengolahan dari pos pemeriksaan terakhir. Dengan demikian, hanya beberapa menit dari proses transaksi harus diulang. Modul recovery. Modul recovery menggunakan log dan file backup untuk me-restart sistem setelah kegagalan. Tujuan Audit Berkaitan dengan Backup Database Pastikan kontrol atas sumber daya data yang cukup untuk menjaga integritas dan keamanan fisik dari database. Prosedur Audit untuk Menguji Kontrol Backup Database Auditor harus memverifikasi backup yang dilakukan secara rutin dan sering untuk memfasilitasi pemulihan hilang, hancur, atau rusak data tanpa pemrosesan kembali 18
yang berlebihan. Database produksi harus disalin secara berkala (mungkin beberapa kali dalam satu jam). Kebijakan backup harus seimbangan antara ketidaknyamanan kegiatan backup dan gangguan bisnis yang disebabkan oleh pengolahan ulang berlebihan yang diperlukan untuk mengembalikan database setelah kegagalan. Auditor harus memverifikasi bahwa prosedur backup otomatis berada di tempat dan fungsi, dan bahwa salinan database disimpan off-site untuk keamanan lebih.
19
BAB 3. KESIMPULAN Audit sistem Informasi adalah sebuah proses yang sistematis dalam mengumpulkan dan mengevaluasi bukti-bukti untuk menentukan bahwa sebuah sistem informasi berbasis komputer yang digunakan oleh organisasi telah dapat mencapai tujuannya. Audit berbasis database itu penting yang perlu menjadi perhatian auditor adalah adanya kelemahan dalam sistem, dimana tidak ada koneksi database. Terdapat dua pendekatan dalam manajemen data yaitu File-Flat approach dan database approach. Flat File atau File datar merupakan data file yang dicatat secara terpisah dan tidak saling terkoneksi satu sama lain. Sedangkan Pendekatan Database merupakan proses mensentralisasi data organisasi yang dibagi kepada user dengan database management system (DBMS).
DBMS memiliki empat fitur umum yaitu Pengembangan program,
Pembuatan cadangan dan pemulihan, Pelaporan penggunaan basis data,
dan Akses
basis data. Pengguna program database menggunakan bahasa pemograman seperti DML (Data manipulation Language) dan SQL (Structured Query Language). Adapun Database administrator memiliki fungsi sebagai Database planning, Design, Implementation , Operation and maintenance dan Change and growth. DBMS memiliki tiga model yaitu (1) The Hierarchical Model yang dimana DBMS disusun secara hirarki, kadang sesuai atau mirip degan hirarki organisasi, (2) Model jaringan (network model) yang dimana basis data navigasional memiliki hubungan eksplisit antara record dan file, (3) Model relasional yang menampilkan data dalam bentuk tabel dua dimensi. Dengan adanya sistem database maka auditor dan perusahaan dimudahkan dalam hal melakukan aktivitas operasionalnya. DAFTAR PUSTAKA Hall, James A. 2011. Information Technology Auditing and Assurance, 3rd Edition. United States: Cengage Learning.
20
21
