UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER & TEKNOLOGI INFORMASI
AUDIT TEKNOLOGI SISTEM INFORMASI
(Capaian 4)
Melakukan
Audit TSI pada lingkungan Workgroup/Enterprise Information System
Pelaksanaan Audit TSI pada Lingkungan
Workgroup/Enterprise Information System
Workgroup Information Systems ialah suatu bentuk
sistem yang dalam menjalankan fungsinya terdiri dari beberapa orang yaitu
berupa sekelompok tim kecil yang saling berkolaborasi dalam proyek atau
aplikasi yang sama, memiliki aturan yang mengatur fungsi grup dan anggotanya
serta standarisasi peran untuk setiap anggota dalam organisasi tersebut,
Workgroup Information Systems dirancang untuk memenuhi kebutuhan dari sebuah
kelompok kerja. Sistem ini dirancang untuk meningkatkan produktivitas dari
suatu kelompok kerja. Dalam divisi sumber daya manusia, terdapat beberapa
workgroup yang bertugas untuk meningkatkan kemampuan dan produktivitas
personalia guna menunjang kelancaran suatu produk. Workgroup tersebut akan
mengatur dan mengembangkan kemampuan sikap mental SDM yang memiliki potensi
serta motivasi yang kuat untuk berprestasi dalam bidangnya di suatu usaha
produk.
Auditor juga harus menggunakan penilaian yang baik
dalam menilai risiko sebenarnya yang terkait dengan langkah-langkah ini,
berdasarkan lingkungan dan keseluruhan postur keamanan sistem.
Auditing Entity-Level Controls
Karena kontrol tingkat entitas tersebar luas di
seluruh organisasi, Jika tidak dipusatkan atau distandarisasi, auditor harus
mempertanyakan kemampuan lingkungan TI secara keseluruhan agar terkontrol
dengan baik. Apa dan tidak dianggap sebagai kontrol tingkat entitas tidak
selalu ditentukan secara konsisten dan akan berbeda menurut organisasi,
tergantung pada bagaimana lingkungan TI didefinisikan. Bidang yang merupakan
proses tingkat entitas di satu perusahaan tidak harus merupakan proses tingkat
entitas di perusahaan lain.
Auditing Data Centers and Disaster Recovery
Pusat data adalah fasilitas yang dirancang untuk
menampung sistem kritis organisasi, yang terdiri dari perangkat keras, sistem
operasi, dan aplikasi komputer. Aplikasi biasanya digunakan untuk mendukung
proses bisnis yang spesifik seperti pemenuhan pesanan, customer relationship management
(CRM), dan akuntansi. Pusat data menggabungkan beberapa jenis kontrol berbasis
fasilitas, yang biasa disebut keamanan fisik dan pengendalian lingkungan,
termasuk sistem kontrol akses fasilitas, sistem alarm, dan sistem pemadaman
kebakaran. Sistem ini dirancang untuk mencegah intrusi yang tidak sah,
mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah penyebaran api.
Auditing Routers, Switches and Firewalls
Jaringan memungkinkan host untuk berkomunikasi
menggunakan perangkat keras khusus yang dioptimalkan untuk mengirimkan data
dari satu host ke host lainnya. Pada dasarnya, perangkat keras adalah komputer
yang menjalankan sistem operasi yang dirancang untuk memindahkan data.
Perangkat jaringan seperti router, switch, dan firewall memiliki komponen dasar
yang akan Anda temukan di server biasa Anda, kecuali perangkat yang sangat
disesuaikan. Perangkat ini berisi prosesor khusus dengan petunjuk tertanam yang
dirancang untuk memproses pergerakan data secara cepat dan efisien. Mereka juga
memiliki memori, sistem operasi, dan sarana untuk mengkonfigurasi perangkat.
Auditing Windows Operating Systems
Banyak komponen seputar sistem operasi yang harus
diperhatikan dalam ulasan lengkap. Misalnya, perhatikan bahaya yang kurang
terpelihara atau aplikasi yang dikonfigurasi Semakin banyak aplikasi yang Anda
tambahkan ke platform, semakin banyak area masalah potensial yang Anda miliki
sebagai auditor saat Anda meningkatkan area permukaan serangan Anda. Selain
itu, perangkat keras, penyimpanan, dan jaringan mempengaruhi kinerja dan
perlindungan sistem operasi. Akhirnya, kontrol dan pengelolaan lingkungan
sekitar mempengaruhi dukungan, risiko, kepatuhan, dan keselarasan bisnis
server.
Auditing Unix and Linux Operating Systems
File system bisa dianggap sebagai tree, dan basis
setiap tree adalah root. Jadi direktori root, yang ditunjuk adalah trunk dari
cabang direktori lain. Setiap sistem Unix memiliki direktori root, tapi Anda
akan menemukan beberapa varian dalam apa yang Anda lihat dari sana. File dan
directory permissions dapat dipisahkan menjadi user, group, dan world
permissions. Dengan kata lain, setiap file dan direktori memiliki hak akses
yang ditetapkan untuk user file, untuk group yang terkait dengan file tersebut,
dan untuk orang lain (sering disebut "world" atau "other").
Masing-masing entitas ini dapat diberikan akses baca (read), tulis (write), dan
eksekusi (execute). Baik file dan direktori memiliki set izin sendiri.
Auditing Web Servers and Web Applications
Audit web yang lengkap benar-benar merupakan audit
terhadap tiga komponen utama, termasuk sistem operasi server, server web, dan
aplikasi web. Komponen tambahan seperti database pendukung atau infrastruktur
jaringan yang relevan mungkin juga sesuai untuk dipertimbangkan sebagai bagian
dari audit Anda. Komponen pertama yang kami diskusikan adalah platform atau
sistem operasi yang mendasari server dan aplikasi web yang terpasang dan
beroperasi. Selanjutnya adalah web server itu sendiri, seperti Internet
Information Services (IIS) atau Apache, yang digunakan untuk meng-host aplikasi
web. Selanjutnya, meliput audit aplikasi web. Aplikasi web mencakup kerangka
kerja pengembangan terkait seperti ASP.NET, Java, Python, atau PHP dan sistem
pengelolaan konten yang sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
Auditing Databases
Untuk mengaudit database secara efektif, Anda
memerlukan pemahaman dasar tentang bagaimana sebuah database bekerja. Anda
perlu memahami serangkaian komponen yang luas untuk mengaudit database dengan
benar. Pada awal tahun 1990an, aplikasi ditulis menggunakan model
client-server, yang terdiri dari program desktop yang menghubungkan melalui
jaringan langsung ke database backend. Ini disebut sebagai aplikasi two-tier.
Pada akhir 1990-an, aplikasi three-tiered menjadi norma. Model baru ini terdiri
dari browser web yang terhubung ke aplikasi web tingkat menengah. Tingkat
menengah kemudian dihubungkan dengan database backend. Aplikasi three-tiered
merupakan langkah maju yang bagus. Ini berarti bahwa perangkat lunak khusus tidak
perlu diinstal pada setiap workstation klien, dan pembaruan perangkat lunak
dapat diterapkan ke server pusat. Klien bisa menjalankan sistem operasi yang
mendukung browser dasar. Selain itu, dalam model three-tiered, mengamankan
database jauh lebih sederhana. Tentu saja, infrastruktur yang dibutuhkan oleh
database untuk mendukung aplikasi two-tier masih ada di database backend untuk
aplikasi three-tiered. Bahaya sekarang ada bahwa penyerang akan menghindari
aplikasi web untuk menyerang database backend.
Auditing Storage
Penyimpanan memperluas batas lingkungan komputasi
untuk memungkinkan data dibagi antara pengguna dan aplikasi. Platform
penyimpanan telah berkembang dengan sangat efisien sehingga server dapat
menggunakan lingkungan penyimpanan, berbeda dengan penyimpanan asli ke server
dan bentuk penyimpanan langsung lainnya, untuk kebutuhan penyimpanan utama
mereka. Lingkungan penyimpanan terus berkembang, karena teknologi dan platform
penyimpanan tradisional digabungkan menjadi satu kesatuan yang mengelola data
file dan data aplikasi dalam unit yang sama. Protokol smart switch yang mampu
memindahkan data pada kecepatan terik telah merusak kemacetan untuk
mengkonsolidasikan lingkungan, yang pada gilirannya memungkinkan perampingan
pusat data. Tambahkan ke teknologi ini seperti deduplikasi data, virtualisasi
penyimpanan, dan solid state drive, dan mudah untuk melihat mengapa
administrator penyimpanan yang baik diminati.
