Audit Teknologi Sistem Informasi pada Lingkungan Workgroup/Enterprise Information System
Workgroup Information Systems ialah suatu bentuk sistem
yang dalam menjalankan fungsinya terdiri dari beberapa orang yaitu berupa
sekelompok tim kecil yang saling berkolaborasi dalam proyek atau aplikasi yang
sama, memiliki aturan yang mengatur fungsi grup dan anggotanya serta
standarisasi peran untuk setiap anggota dalam organisasi tersebut, Workgroup
Information Systems dirancang untuk memenuhi kebutuhan dari sebuah kelompok
kerja. Sistem ini dirancang untuk meningkatkan produktivitas dari suatu
kelompok kerja. Dalam divisi sumber daya manusia, terdapat beberapa workgroup
yang bertugas untuk meningkatkan kemampuan dan produktivitas personalia guna
menunjang kelancaran suatu produk. Workgroup tersebut akan mengatur dan
mengembangkan kemampuan sikap mental SDM yang memiliki potensi serta motivasi
yang kuat untuk berprestasi dalam bidangnya di suatu usaha produk.
Auditor juga harus menggunakan penilaian yang baik dalam menilai risiko
sebenarnya yang terkait dengan langkah-langkah ini, berdasarkan lingkungan dan
keseluruhan postur keamanan sistem.
1. Auditing Entity-Level Controls
Karena kontrol
tingkat entitas tersebar luas di seluruh organisasi, Jika tidak dipusatkan atau
distandarisasi, auditor harus mempertanyakan kemampuan lingkungan TI secara
keseluruhan agar terkontrol dengan baik. Apa dan tidak dianggap sebagai kontrol
tingkat entitas tidak selalu ditentukan secara konsisten dan akan berbeda
menurut organisasi, tergantung pada bagaimana lingkungan TI didefinisikan.
Bidang yang merupakan proses tingkat entitas di satu perusahaan tidak harus
merupakan proses tingkat entitas di perusahaan lain.
2. Auditing Data Centers and Disaster Recovery
Pusat data adalah
fasilitas yang dirancang untuk menampung sistem kritis organisasi, yang terdiri
dari perangkat keras, sistem operasi, dan aplikasi komputer. Aplikasi biasanya
digunakan untuk mendukung proses bisnis yang spesifik seperti pemenuhan
pesanan, customer relationship management (CRM), dan akuntansi. Pusat data
menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut
keamanan fisik dan pengendalian lingkungan, termasuk sistem kontrol akses
fasilitas, sistem alarm, dan sistem pemadaman kebakaran. Sistem ini dirancang
untuk mencegah intrusi yang tidak sah, mendeteksi masalah sebelum menyebabkan
kerusakan, dan mencegah penyebaran api.
3. Auditing Routers, Switches and Firewalls
Jaringan
memungkinkan host untuk berkomunikasi menggunakan perangkat keras khusus yang
dioptimalkan untuk mengirimkan data dari satu host ke host lainnya. Pada
dasarnya, perangkat keras adalah komputer yang menjalankan sistem operasi yang
dirancang untuk memindahkan data. Perangkat jaringan seperti router, switch,
dan firewall memiliki komponen dasar yang akan Anda temukan di server biasa
Anda, kecuali perangkat yang sangat disesuaikan. Perangkat ini berisi prosesor
khusus dengan petunjuk tertanam yang dirancang untuk memproses pergerakan data
secara cepat dan efisien. Mereka juga memiliki memori, sistem operasi, dan
sarana untuk mengkonfigurasi perangkat.
4. Auditing Windows Operating Systems
Banyak komponen seputar sistem operasi yang harus
diperhatikan dalam ulasan lengkap. Misalnya, perhatikan bahaya yang kurang
terpelihara atau aplikasi yang dikonfigurasi Semakin banyak aplikasi yang Anda
tambahkan ke platform, semakin banyak area masalah potensial yang Anda miliki
sebagai auditor saat Anda meningkatkan area permukaan serangan Anda. Selain
itu, perangkat keras, penyimpanan, dan jaringan mempengaruhi kinerja dan
perlindungan sistem operasi. Akhirnya, kontrol dan pengelolaan lingkungan
sekitar mempengaruhi dukungan, risiko, kepatuhan, dan keselarasan bisnis
server.
5. Auditing Unix and Linux Operating Systems
File system bisa
dianggap sebagai tree, dan basis setiap tree adalah root. Jadi direktori root,
yang ditunjuk adalah trunk dari cabang direktori lain. Setiap sistem Unix
memiliki direktori root, tapi Anda akan menemukan beberapa varian dalam apa
yang Anda lihat dari sana. File dan directory permissions dapat dipisahkan
menjadi user, group, dan world permissions. Dengan kata lain, setiap file dan
direktori memiliki hak akses yang ditetapkan untuk user file, untuk group yang
terkait dengan file tersebut, dan untuk orang lain (sering disebut
"world" atau "other"). Masing-masing entitas ini dapat
diberikan akses baca (read), tulis(write), dan eksekusi (execute). Baik file
dan direktori memiliki set izin sendiri.
6. Auditing Web Servers and Web Applications
Audit web yang
lengkap benar-benar merupakan audit terhadap tiga komponen utama, termasuk
sistem operasi server, server web, dan aplikasi web. Komponen tambahan seperti
database pendukung atau infrastruktur jaringan yang relevan mungkin juga sesuai
untuk dipertimbangkan sebagai bagian dari audit Anda. Komponen pertama yang
kami diskusikan adalah platform atau sistem operasi yang mendasari server dan
aplikasi web yang terpasang dan beroperasi. Selanjutnya adalah web server itu
sendiri, seperti Internet Information Services (IIS) atau Apache, yang
digunakan untuk meng-host aplikasi web. Selanjutnya, meliput audit aplikasi
web. Aplikasi web mencakup kerangka kerja pengembangan terkait seperti ASP.NET,
Java, Python, atau PHP dan sistem pengelolaan konten yang sesuai (CMS) seperti
Drupal, Joomla, atau WordPress.
7. Auditing Databases
Untuk mengaudit database secara
efektif, Anda memerlukan pemahaman dasar tentang bagaimana sebuah database
bekerja. Anda perlu memahami serangkaian komponen yang luas untuk mengaudit
database dengan benar. Pada awal tahun 1990an, aplikasi ditulis menggunakan
model client-server, yangterdiri dari program desktop yang menghubungkan
melalui jaringan langsung ke database backend. Ini disebut sebagai aplikasi
two-tier. Pada akhir 1990-an, aplikasi three-tiered menjadi norma. Model baru
ini terdiri dari browser web yang terhubung ke aplikasi web tingkat menengah.
Tingkat menengah kemudian dihubungkan dengan database backend. Aplikasi
three-tiered merupakan langkah maju yang bagus. Ini berarti bahwa perangkat
lunak khusus tidak perlu diinstal pada setiap workstation klien, dan pembaruan
perangkat lunak dapat diterapkan ke server pusat. Klien bisa menjalankan sistem
operasi yang mendukung browser dasar. Selain itu, dalam model three-tiered,
mengamankan database jauh lebih sederhana. Tentu saja, infrastruktur yang
dibutuhkan oleh database untuk mendukung aplikasi two-tier masih ada di database
backend untuk aplikasi three-tiered. Bahaya sekarang ada bahwa penyerang akan
menghindari aplikasi web untuk menyerang database backend.
8. Auditing Storage
Penyimpanan memperluas
batas lingkungan komputasi untuk memungkinkan data dibagi antarapengguna dan
aplikasi. Platform penyimpanan telah berkembang dengan sangat efisien sehingga
server dapat menggunakan lingkungan penyimpanan, berbeda dengan penyimpanan
asli ke server dan bentuk penyimpanan langsung lainnya, untuk kebutuhan
penyimpanan utama mereka. Lingkungan penyimpanan terus berkembang, karena
teknologi dan platform penyimpanan tradisional digabungkan menjadi satu
kesatuan yang mengelola data file dan data aplikasi dalam unit yang sama.
Protokol smart switch yang mampu memindahkan data pada kecepatan terik telah
merusak kemacetan untuk mengkonsolidasikan lingkungan, yang pada gilirannya
memungkinkan perampingan pusat data. Tambahkan ke teknologi ini seperti
deduplikasi data, virtualisasi penyimpanan, dan solid state drive, dan mudah
untuk melihat mengapa administrator penyimpanan yang baik diminati.
Objek Garapan :
Perusahaan Bina sahaja (nama samaran)
1. Profil Perusahaan
PT. xxx (nama disamarkan)
Adalah Perusahaan Swasta yang bergerak di bidang
teknologi informasi yang menaungi sebuah start up bernama xxx (nama
disamarkan), sebagai startup yang berjalan di bidang regulatory technology
(regtech) di Indonesia, yaitu sebuah aplikasi digital produk hukum
2.Sistem Operasi
- Sistem operasi yang digunakan pada komputer
perusahaan adalah macOS High Sierra dan Windows 10 Pro
- Sistem operasi yang digunakan perusahaan
merupakan sistem operasi original yang memiliki lisensi resmi3.
3. Jaringan
- Sudah ada resource sharing
- Open server
- Media transmisi wireless dan kabel
- Menggunakan jasa ISP Smartfren Telecom4. Keamanan
Sistem
Lapisan keamanan sistem web perusahaan :
OAUTH 2.0
OAuth2 adalah kepanjangan dari open
authorization dimana OAuth2 banyak digunakan dikalangan developer sebagai
proses authorization sebuah aplikasi. Dengan menggunakan protokol ini, maka
aplikasi pihak ketiga dapat mengakses data dari aplikasi dibangun.
AES
Advanced Encryption Standard (AES)
merupakan algoritma cryptographic yang dapat digunakan untuk mengamakan data.
Algoritma AES adalah blok chipertext simetrik yang dapat mengenkripsi
(encipher) dan dekripsi (decipher) informasi. Enkripsi merubah data yang tidak
dapat lagi dibaca disebut ciphertext; sebaliknya dekripsi adalah merubah
ciphertext data menjadi bentuk semula yang kita kenal sebagaiplaintext.
Algoritma AES is mengunkan kunci kriptografi 128, 192, dan 256 bits untuk
mengenkrip dan dekrip data pada blok 128 bits.
SSL
SSL atau Secure Socket Layer,adalah protokol
keamanan yang digunakan pada hampir semua transaksi aman pada internet. SSL
mengubah suatu protokol transport seperti TCP menjadi sebuah saluran komunikasi
aman yang cocok untuk transaksi yang sensitif seperti Paypal, Internet Banking,
dan lain-lain.5. Web_Server
Pada perusahaan rutin dilakukan maintenance dan backup
data pada bagian web server.Pada perusahaan ini, web server dibangun dengan
beberapa bahasa pemograman yaitu:
AJAX
Merupakan singkatan dari “Asynchronous
Javascript and XML”. Secara sederhana, AJAX memungkinkan kita untuk
berkomunikasi dengan kode program pada server melalui Javascript. Melalui AJAX,
kita dapat memanggil kode pada server melalui URL tertentu, dan menerima data /
pesan hasil eksekusi oleh server. Pada awal pengembangan, server mengembalikan
data dalam format XML (‘X’ pada AJAX). Pada prakteknya, server dapat
mengembalikan data apapun, selaam kode klien mengetahui format yang diberikan.
Bahkan pada perkembangan selanjutnya, format JSON menjadi lebih populer
dibandingkan XML.
VERT.X
Eclipse Vert.x adalah framework aplikasi
berbasis poliglot yang berjalan pada Java Virtual Machine. Lingkungan yang
serupa ditulis dalam bahasa pemrograman lain termasuk Node.js untuk JavaScript,
Twisted for Python, Lingkungan Objek Perl untuk Perl, libevent untuk C,
reactPHP dan amphp untuk PHP dan EventMachine untuk Ruby.
JAVA
Java adalah bahasa pemrograman tingkat
tinggi yang berorientasi objek dan program java tersusun dari bagian yang disebut
kelas. Kelas terdiri atas metode-metode yang melakukan pekerjaan dan
mengembalikan informasi setelah melakukan tugasnya.
Referensi :
Komentar
Posting Komentar