1 Administrasi Keamanan
1.1 Overview
Kegunaan dari bab ini adalah untuk membuat anda
tahu akan akan tanggung jawab sebagai administrator system R/3 sebagai
securitynya. yang termasuk tanggung jawabnya adalah:
4 Protecting system
R/3
4 Mempersiapkan anda
sebuah computer security audit.
Pada saat audit melakukan pada system R/3,
administrator akan bertanggung jawab kepada terhadap apa yang ditemukan audit
pada system. Pada bab ini mencoba untuk mempersiapkan apa yang dibutuhkan audit
anda. Setiap auditing perusahaan memiliki prosedur audit sendiri-sendiri dan
mungkin saja melihat banyaknya perbedaan items, jadi kami tidak bisa
mempersiapkan segalanya untuk anda. Bagaimanapun juga, kami akan mencoba untuk
mempersiapkan anda semua kumpulan inti item yang biasa tedapat pada
perusahaan-perusahaan.
 |
Dalam bab ini hanya merupakan pengenalan
dari computer security dan ini sangat penting. Walupun begitu tidak semua
buku dapat ditulis dalam satu subject ini saja, bahkan itu tidak akan cukup.
Kami merekomendasikan anda menghubungi dan bekerja dalam semua kelompok kami
(external auditor, internal auditors, finanance department, legal department
dan yang lainnnya) yang dimana mungkin akan sangat berpengaruh pada sistem
security.
|
1.2 Apa itu Keamanan?
Security tidak lebih dari Authorisasi R/3 (atau
menjaga system dari “hal-hal yang tidak menyenangkan”).
Ini berhubungan dengan pengamatan data dibawah ini:
4 Melindungi dari
masalah hardware
4 Memelihara
keutuhannya.
4 Restoring jika
terjadi kehancuran
Security adalah topic yang sanagt luas dan dapat
diatur dengan banyak cara. Beberapa area yang dalam cakupannya adalah:
4 Menjaga system dari
ancaman orang-orang yang tidak diberikan Authorisasi.
4 Menjaga dari
orang-orang yang seharusnya tidak berada ditempat tersebut.
4 Menjaga data dari
kehilangan dan kehancuran.
4 Mentaati aturan
hukum yang berlaku, berhubungan dengan pengaturan, dan persyaratan-persyaratan
yang lain.
Setiap area dapat dibagai menjadi beberapa bagian.
Menjaga system dari
orang-orang yang tidak diberi Authorisasi
Area ini biasanya kami berpikir tentang security
dan termasuk didalamnya konsep authorisasi R/3, operating system dan logon
security network, dan physical security.
Menjaga dari
orang-orang yang tidak berkepentingan
Area ini mengcover user untuk memiliki akses ke
banyak bagian pada system dan ke banyak data yang mana mereka memerlukan
perform dari job tersebut. Data mungkin saja tidak dapat hancur tetapi akses
dan membuka data ini dapat menyebabkan kehancuran yang sama.
Contoh data yang sensitive meliputi:
4 Daftar pelanggan
dari perusahaan anda, contact, dan volume penjualan.
Informasi ini dapat digunakan oleh para
pesaing perusahaan anda.
4 Data pribadi
pegawai anda
Ada hukum yang berlaku dalam melindungi tipe
data pribadi tersebut.
4 Performance data
keuangan, seperti contoh financial statement bulanan.
Ada peraturan keras SEC rules governing yang
ada dalam peraturan dagang (lebih jelasnya lihat difinisi apa saja yang ada
dalam peraturan dagang tersebut).
4 Specified items
dalam kontrak dengan pelanggan, vendors atau perusahaan yang lainnya.
Melindungi dari kehilangan dan kehancuran
data
Ada dua
sumber factor utama yang menyebabkan kerusakan:
4 Kecelakaan,
seperti:
§ Loading test data
kedalam production system.
pada situasi ini, sangat disayangkan, banyak
orang yang menerima hal tersebut.
§ Suatu kesalahan
yang berat.
§ Kebakaran dapat menghancurkan
data center.
§ Pembakaran yang
dilakukan dengan sengaja.
§ Banjir, badai,
gempa bumi, tornado, atau bencana alam yang lain.
4 Factor yang
dilakukan dengan sengaja, sepeti contoh:
§ Ketidakpuasan
pegawai yang mana melakukan penghapusan dan pengerusakan file dari system
dengan sengaja.
§ Perbuatan hacker
yang menghapus atau merusak file dari system yang ada.
Mentaati aturan
hukum yang berlaku dan atau persyarata-persyaratan yang lainnya.
Alasan lain yang ada dalam security juga terdapat
dalam hokum, kontrak dan parties yang lainnya.
Security merupakan masalah yang sensitive, dan
mempunyai keterkaitannya didalam hukum. Satu contoh yang bagus adalah dimana
security merupakan insider trading. Sebelum mengetahui apa itu insider trading,
pertama-tama kita harus mempunyai pengetahuan tentang trading atau informasi
didalamnya. Insider knowledge atau informasi didalamnya yang mengartikan bahwa
anda mendapatkan informasi. Dimana hal itu tidak diketahui atau tidak tersedia
secara umum. Jika informasi tersebut diketahui umum, dapat berdampak pada
ketersediaan harga. Insider trading digunakan didalam informasi tersebut untuk
membeli atau menjual persediaan dan memberikan keuntungan atau menekan
kerugian. Meskipun anda tidak mendapatkan keuntungan dari penjualan, besar kemungkinan
anda bisa mendapatkannya.
 |
Contoh 1.
Pada satu perusahaan, sepasang
pegawai telah penyebarkan informasi kepada seseorang tentang pembelian
persediaan, kemudian menjual informasi tersebut dengan maksud ingin
mendapatkan keuntungan dari pembelian itu. Tapi SEC dapat menemukan pasangan
orang dalam tersebut dan orang yang mendapatkan informasi tersebut. Pasangan
tersebut dinyatakan bersalah atas penjualan informasi kepada orang yang tidak
berhak, dimana yang maksud tujuannya adalah ingin mendapatkan keuntungan dari
penjualan. Bagaimanapun juga, kedua orang tersebut, dinyatakan bersalah
dengan tuduhan melakukan kecurangan dalam insider trading.
|
|
|
Contoh 2.
Direktur IS suatu
perusahaan menanyakan tentang authorisasi untuk dapat logon kedalam system
produksi R/3. Pertanyaan itu mengundang perhatian dari department
accounting/finance. Mengakses ke dalam informasi keuangan adalah merupakan
cirri khas dari “need-to-know” atau “need-to-access” basis, dan direktur IS
tidak diperbolehkan mengakses ke system production R/3. “Red flags” akan
muncul ketika dia mulai menanyakan tentang informasi financial (pendapatan
bulanan), sebelum informasi ini tersebar ke public. Dia telah menanyakan
tentang insider information.
|
Bagaimana
Anda akan
membutuhkan assistance perusahaan di dalam legal department.
Audit
Sebagai system
administrator, dua audit yang akan berdampak kepada anda:
4 Security
4 Financial
1.3 Audit Keuangan
Apa
Audit keuangan adalah suatu tinjauan ulang mengenai
laporan keuangan terhadap perusahaan anda oleh suatu Certified Public
Accountant (CPA) di U.S atau yang sejenisnnya dilain Negara. Kegunaan audit
adalah untuk memberikan suatu opini financial statement kepada perusahaan.
Opini tersebut mendasari pernyataan dimana laporan tersebut melaporkan posisi
keuangan di perusahaan tersebut. Audit keuangan biasanya bukan merupakan
option. Jika persediaan dagang perusahaan anda
berada pada pada persediaan pasar, audit diperlukan oleh Security dan
Exchange Commission (SEC) di U.S., atau sejenisnnya dinegara lainnya. Jika
perusahaan anda milik pribadi, audit keuangan bisa dilakukan oleh creditor.
Bagian dari audit keuangan, CPA biasanya akan melakukan security audit
R/3 dan system yang terhubungnnya. Kegunaan dari security audit adalah untuk
menentukan seberapa beasr kepercayaan yang dapat dipercayakan pada data system
R/3. External auditor anda akan mengevaluasi system security anda untuk
mengetahui audit apa yang sesuai dan sebera banyak tes yang akan dilakukannya.
Mengapa
Jika evaluasi mereka menghasilkan sesuatu yang tidak baik, mungkin
mereka akan meningkatkan lingkup dari apa yang akan diaudit. Meningkatkan scope
juga berpengaruh terhadap meningkatnya biaya audit, dan pekerjaan tambahan
dapat menunda penyelesaian dari audit tersebut. Dalam suatu scenario kasus yang
buruk, mereka bisa menentukan bahwa security tersebut sangat lemah dan mereka
tidak bisa memutuskan suatu opini terhadap pernyataan laporan keuangan
perusahaan tersebut. Situasi ini sungguh
sangat tidak baik.
Karena dampak tersebut harga persediaan menurun (down) itu merupakan
hasil dari ketidakmampuan menyatakan pernyataan yang itu merupakan penyebabnya,
kepala keuangan, dan mungkin juga president direktur, akan diam tersinggung. Apakah laporan anda sudah diperbarui?
1.4 Audit Keamanan
Apa
Security audit
dilakukan secara rinci untuk menunguji tingkat keamana dari lingkungan R/3.
Audit biasannnya dilakukan sebagai bagian dari audit keuangan atau untuk
mematuhi peranturan pemerintah atau aparatur yang lainnnya. Hal itu juga dapat
dilakukan oleh perusahaan anda melalui internal audit group.
Mengapa
Sebagai security audit
Sudah menjadi
bagian dari financial audit, CPA secara khusus akan melakukan suatu audit
security pada R/3 dan pada system yang terhubungnnya. Tujuan dari security
audit adalah untuk menentukan berapa banyakdata yang dapat ditempatkan di
system R/3. External auditor anda mengevaluasi system perusahaan anda untuk
menentukan test audit apa yang digunakan dan berapa banyak test yang akan
dilakukannya.
Audit juga biasannya juga
melakukan test pada security pada data rahasia, seperti contoh:
4 Laporan keuangan
4 Data pelanggan
4 Informasi produksi
4 Data personel
perusahaan (dari modul HR).
1.5 Pertimbangan Audit
Apa
Pertimbangan audit merupakan berbagai hal yang
auditor akan lakukan ketika meraka akan melakukan audit keuangan, atau suatu audit security computer.
Ada beberapa pertimbangan, antara lain:
4 Physical security
4 Network security
4 User administrator
procedure
§ Pemisahan tugas
§ Latihan yang
sebenarnya
§ Password
4 Data security
§ Menjaga dari kerusakan
hardware; mirrored drives, RAID, fail-over, HA, dll.
§ Prosedur backup dan
recovery
§ Melindungi system
produksi dari perubahan yang tidak di authorisasi.
§ Me-lock transaksi
yang berbahaya.
Mengapa
Tugas telah selesai untuk mendukung financial atau
security audit. Tanpa mengetahui apa yang akan auditor cari, anda tidaka akan
bisa menyiapakan diri anda, dan melindungi system.
Note: bagian ini bukan
merupakan semua security audit SAP. Ini hanyalah akan membuat anda sadar akan
beberapa hal yang dilihat sebagai bagian dari security audit. Kami
merekomendasikan anda untuk bekerja dengan auditor sebelum melakukan audit
keuangan, untuk melihat kembali system anda dan membawanya sampai standard yang
bisa diterima oleh audit.
Security Layer
Untuk membuat
keamanan yang dapat lebih dikendalikan, kita sudah memilih untuk menggunakan
security layer model, salah satu sisi keamanan yang banyak dikenal orang adalah
security model. Menggunakan tiga lapisan utama yang memiliki layer security
antara lain adalah:
4 Access security
§ Physical security
§ Network security
§ Application
security
4 Operastional
security
4 Data security
No comments:
Post a Comment
silahkan membaca dan berkomentar