Pengamanan
Fisik
Keamanan fisik terhadap data harus
dilakukan untuk mencegah pengrusakan terhadap data. Pengendalian terhadap
keamanan fisik ini biasanya dilakukan dengan cara:
1. Dengan
menggunakan salinan cadangan (back up) yang ditempatkan di tempat terpisah
(remote site). Dalam hal ini manajemen dapat memilih salsah satu dari tiga
metode penyimpanan salinan cadangan, yaitu pencadangan sepenuhnya (hot sites),
pencadangan tidak sepenuhnya (warm site), atau pencadangan seperlunya (cold
sites). Dalam metode pencadangan sepenuhnya maka di tempat penyimpanan tersebut
tersedia peralatan yang lengkap, baik piranti keras maupun piranti lunak, dan
siap pakai. Dalam metode pencadangan tidak sepenuhnya maka di tempat
penyimpanan tersebut biasanya peralatan yang belum ada adalah computer itu
sendiri, atau, bila ada, CPU computer tersebut relative kecil. Sementara itu
dalam metode pencadangan seperlunya yang tersedia hanya kabel listrik, pengatur
suhu udah (AC) dan perlengkapan lain yang diperlukan untuk mengoperasikan
computer.
Selain
itu, salinan cadangan untuk pita magnetis biasanya dilakukan dengan menggunakan
konsep tiga generasi pita magnetis yang disebut dengan istilah konsep
kakek-ayah-anak (grandfather-father-son concept). Cara kerja konsep ini adalah
sebagai berikut: Setelah memutakhirkan transaksi hari ini maka fail induk hari
ini yang telah dimutakhirkan tersebut menjadi anak, dan fail induk hari kemarin
yang telah dimutakhirkan menjadi ayah, sedangkan fail induk yang telah
dimutakhirkan dua hari yang lalu menjadi kakek. Demikian seterusnya, dan tiga
generasi fail ini tetap dipertahankan, dan generasi keempat, kelima dan
seterusnya dapat dihapuskan. Salah satu generasi fail ini kemudian disimpan di
tempat terpisah.
2. Dengan
mengasuransikan data dan program yang penting.
3. Dengan
membuat perencanaanmengenai keadaan darurat (contingency planning atau disaster
recovery planning). Tujuan dari rencana ini adalah bahwa apabila terjadi
bencana maka perusahaan dapat tetap berjalan dan operasi sebagaimana mestinya.
Jenis bencana ini dapat disebabkan oleh perbuatan manusia seperti kesalaha,
sabotase, pemogokan, kebakaran, dan sebagainya. Akan tetapi dapat pula karena
kejadian lama seperti banjir, topan, gempa bumi, kebakaran, dan sebagainya.
Akses Kontrol Fisik Pada Teknik Pengawasan Dan
Prosedur Audit Pada ATM:
·
Membangun kontrol fisik dan logik
untuk mencegah atau mendeteksi hak akses yang tidak berwenang
Teknik
Control:
·
Identifikasi fasilitas yang
sensitif dan kritis.
·
Semua ancaman yang serius terhadap
sumber fisik telah diidentifkasi dan telah ditentukan keterhubungan risikonya.
·
Akses terbatas pada individual
yang secara rutin membutuhkan akses melalui tanda pengenal atau entry device
(kunci kartu).
·
Manajemen secara reguler mereview
daftar orang yang memiliki akses ke fasilitas sensitif dan kritis.
·
Kunci atau akses lainnya
dibutuhkan untuk masuk kedalam ruang komputer dan penyimpanan tape / media.
·
Password :
- unik untuk setiap
individu
- dikontrol oleh user yang
ditugasi dan subjek tidak untuk dibuka
-
dirubah secara periodik setiap 30 – 90 hari
- tidak ditampilkan saat
diinput
- minimal panjang 6
karakter alphanumerik
·
File password di enkripsi
·
Software keamanan digunakan untuk
akses terbatas
·
Terminal komputer secara otomatis
logged off dalam periode tertentu jika tidak ada aktivitas
·
Account user yang tidak aktif
dimonitor dan dihapus jika tidak dibutuhkan
·
Database Management System (DBMS)
dan Data Dictionary (DD) kontrol telah diimplementasikan :
- akses terbatas pada file
data pada logical data view, field, or field level value
- akses kontrol ke DD
menggunakan profil security dan password
-
memelihara jejak audit untuk memonitoring perubahan DD
·
Penggunaan DBMS dibatasi
·
Peralatan Kriptograpi telah
diimplementasikan untuk melindungi integritas dan kerahasiaan data sensitif dan
kritis serta program software.
Prosedur Audit
·
Review
diagram fisik dari layout komputer, telekomunikasi dan fasilitas sistem
pendinginan
·
Datangi
fasilitas
·
Review
analisis resiko
·
Review
daftar akses individu
·
Observasi
masuk dan keluar dari fasilitas selama dan setelah jam bisnis normal
·
Observasi
utilitas akses path
·
Interview
manajemen
·
Interview
pegawai
·
Review
kebijkan dan prosedur terkait
·
Interview
user
·
Review
parameter password software keamanan
·
Observasi
user dalam memakai password
·
Coba
log on tanpa password yang benar
·
Lihat
contoh dari file password
·
Interview
security asministratiors dan sistem user
·
Observasi
penggunaan terminal
·
Review
parameter software keamanan
·
Review
daftar ID yang tidak aktif, dan tentukan kenapa akses dari user tersebut belum
diterminasi.
·
Interview
database administrator
·
Review
parameter DBMS dan DD security
·
Uji
kontrol dengan mencoba akses pada file-file terbatas
·
Review
parameter sistem keamanan
·
Untuk
mengevaluasi kriptograpi tools, auditor harus didampingi
Tidak ada komentar:
Posting Komentar