Menggunakan Alat dan Teknik dalam IT Ulasan Operasi
Bab ini berfokus pada penggunaan alat dan teknik audit
selama sistem ulasan pemeliharaan dan sistem operasi. Karena pemeliharaan sistem
adalah salah satu fungsi yang paling tidak menguntungkan di departemen TI, juga
salah satu yang paling diabaikan dan seringkali merupakan area di mana
mengendalikan kelemahan dapat ditemukan.
Pemeliharaan Sistem
Pemeliharaan sistem, salah satu pekerjaan paling tanpa
disadari dan tanpa pamrih dilakukan dalam fasilitas IT, membawa salah satu
risiko eksposur tertinggi. Pemeliharaan jarang diakui ketika dilakukan dengan
benar tetapi selalu perhatikan ketika terjadi kesalahan. Untuk sistem yang baru
diinstal, pekerjaan grup pemeliharaan adalah untuk melacak dan menghilangkan bug
yang tersisa di sistem. Setelah sistem operasional, grup pemeliharaan
bertanggung jawab untuk membuat perubahan yang diminta oleh pengguna sampai
seluruh sistem diganti dan siklus pengembangan dimulai dari awal lagi. Semua
sistem membutuhkan perawatan, tetapi waktu dan biaya terkait dengan
pemeliharaan dapat dikurangi jika sistem dikembangkan dan diimplementasikan
dalam lingkungan yang terkendali menurut pengguna tertentu Persyaratan. Kami
fokus pada pemeliharaan pasca implementasi untuk diinstal, sistem operasional.
Definisi Pemeliharaan Sistem
Pemeliharaan sistem dapat didefinisikan hanya sebagai
perubahan yang dilakukan pada sistem atau aplikasi perangkat lunak untuk
mempertahankan yang efektif, efisien, operasional, dan sistem terkini.
Perubahan-perubahan ini, yang umumnya diminta oleh pengguna sistem atau
disediakan oleh vendor atau pemrogram, adalah dibuat untuk memenuhi persyaratan
pengguna atau memperbaiki kesalahan sistem kecil sebelumnya mereka menjadi
masalah besar. Pemeliharaan dapat diterapkan ke beberapa area dalam fasilitas
IT, termasuk:
• Sistem
perangkat keras
•
Perangkat lunak sistem
•
Perangkat lunak basis data
•
Perangkat lunak aplikasi
• Area
lingkungan
•
Perangkat lunak jaringan
•
Perangkat keras jaringan
Bagian bab ini membahas pemeliharaan untuk sistem,
aplikasi, dan perangkat lunak jaringan. (Karena sistem dan perangkat lunak
jaringan pemeliharaan umumnya dilakukan oleh kelompok pemrograman sistem, tidak
ada perbedaan yang dibuat antara kedua jenis perangkat lunak dalam artikel ini,
keduanya diklasifikasikan sebagai perangkat lunak sistem.) Perbedaan utama
antara pemeliharaan sistem dan aplikasi perangkat lunak adalah perubahan pada
sistem perangkat lunak dapat memengaruhi seluruh kemampuan pemrosesan data
organisasi, sedangkan perubahan pada sistem aplikasi atau program dalam
fasilitas miliki efek lebih terbatas. Akibatnya, perubahan perangkat lunak
sistem menghadirkan tingkat risiko yang lebih tinggi daripada perubahan
aplikasi perangkat lunak. Perangkat lunak sistem sangat rentan karena mendukung
dan berinteraksi dengan sistem basis data. Salah mengubah atau menghubungkan
tautan yang salah ke sistem basis data atau perangkat lunak sistem pendukungnya
dapat merusak informasi di seluruh
organisasi. Karena itu pemeliharaan perubahan yang mempengaruhi sistem tersebut
harus ditinjau dengan cermat. Fokus utama audit pemeliharaan sistem adalah
perubahan kontrol proses, atau bagaimana personel TI mengelola perubahan. Kontrol
yang memadai harus siap untuk meminimalkan, mendeteksi, dan memperbaiki
kesalahan dan kelalaian yang tidak disengaja dan perubahan berbahaya atau
penipuan pada sistem perangkat lunak. Pengikut bagian menggambarkan perubahan
manajemen dalam organisasi TI dan merinci langkah-langkah yang diperlukan untuk
mengaudit pemeliharaan sistem.
Poin Persetujuan
Poin persetujuan harus dijadwalkan sepanjang kontrol
perubahan proses. Semua orang dan departemen utama yang terkena dampak
perubahan seharusnya diberitahu tentang jadwal implementasinya. Mereka yang
mungkin memerlukan pemberitahuan termasuk:
•
Pengguna sistem
• Vendor
•
Pemrogram aplikasi
•
Manajemen TI
•
Personel operasi
•
Personel kontrol data
•
Manajemen jaringan
•
Auditor
•
Penyedia layanan pihak ketiga
Bagian penting dari proses persetujuan yang sering
diabaikan adalah pengujian. Sebagian besar perubahan perangkat lunak sistem
tidak dapat diuji dalam lingkungan pengujian yang aman dan perlu dibuat di
lingkungan produksi. Perubahan ini juga bekerja atau tidak bekerja. Perubahan
aplikasi bersifat berbeda dari sistem perubahan perangkat lunak dan harus
diverifikasi dalam lingkungan pengujian. Siapa apakah pengujian dan verifikasi
tergantung pada perubahan aplikasi. Perubahan aplikasi dapat dikelompokkan ke
dalam sistem atau fungsi perubahan. Perubahan sistem aplikasi biasanya
transparan hingga akhir pengguna dan biasanya meningkatkan kecepatan pemrosesan
transaksi. Pemrograman kelompok pendukung, alih-alih pengguna akhir, biasanya
menguji ini perubahan. Perubahan fungsionalitas jelas bagi pengguna akhir dan
seharusnya diuji dan disetujui oleh mereka. Perubahan fungsionalitas harus
diverifikasi di lingkungan uji. Lingkungan pengujian adalah cermin dari
produksi lingkungan, yang meliputi data, program, atau objek. File data harus
diperluas untuk mencakup transaksi yang tidak biasa atau tidak rutin ke
memastikan bahwa semua jenis transaksi digunakan dalam pengujian. Level
persetujuan harus ditentukan sebelumnya tentang siapa yang dapat menyetujui apa
perubahan. Bagian dari proses kontrol perubahan harus memastikan bahwa sesuai
tingkat persetujuan diperoleh sebelum perubahan apa pun dipindahkan ke
produksi.
Meninjau Sistem Operasi
Ketika komputer menjadi lebih canggih, banyak operasi
manual dilakukan otomatis dalam perangkat lunak sistem. Perangkat lunak sistem
mencakup semua program atau sistem yang membantu interkoneksi atau mengontrol
elemen input, output, pemrosesan, data, dan program aplikasi. Biasanya, ini
perangkat lunak disediakan oleh vendor luar dan termasuk dalam salah satu dari
berikut ini kategori:
• Sistem
operasi
• Utilitas
sistem
• Sistem perpustakaan program
• Sistem perawatan file
• Perangkat lunak keamanan
• Sistem komunikasi data
• Sistem manajemen basis data (DBMS)
Setiap kategori
biasanya mewakili sistem yang lengkap dan bisa menjadi dasar untuk audit
individu. Program audit sangat penting dalam menentukan hubungan keseluruhan
antara aplikasi dan perangkat lunak sistem dan sejauh mana kontrol perangkat
lunak sistem mempengaruhi akurasi dan keandalan aplikasi. Program audit
menyediakan prosedur terperinci untuk mengevaluasi secara menyeluruh jenis
perangkat lunak sistem tertentu. Saat mengevaluasi kontrol perangkat lunak
sistem, auditor memiliki beberapa bidang yang menjadi perhatian, termasuk:
• Jenis dan penggunaan perangkat lunak sistem
• Ketergantungan pada perangkat lunak sistem untuk
melakukan proses kontrol
• Kontrol atas akses ke perangkat lunak sistem
• Kontrol atas perubahan pada perangkat lunak sistem
Artikel ini membahas masalah ini dan memberikan contoh
program audit untuk sistem operasi.
Jenis dan Penggunaan Perangkat Lunak Sistem
Sebagian besar organisasi mengandalkan sistem operasi
untuk:
• Kelola sumber daya komputer dengan intervensi operator
minimum
• Membantu programmer dan operator mengontrol operasi dan
alokasi perangkat periferal dan sumber daya komputer lainnya
• Meminimalkan perbedaan antara jajaran komputer pabrikan
tertentu, sehingga memfasilitasi transfer program aplikasi
Selain itu,
banyak utilitas sistem (mis., Menyalin dan menyortir program) banyak digunakan.
Untuk lebih memahami perangkat lunak sistem, auditor harus mendapatkan
deskripsi teknis dan dokumentasi lengkap dari vendor. Di beberapa pusat
komputer, perangkat lunak sistem mengontrol program aplikasi, file komputer
tape dan disk, dan sumber daya lainnya membutuhkan keamanan yang lebih besar.
Misalnya, sistem pustaka program biasanya mengontrol semua program aplikasi,
termasuk fungsi untuk mengakses file, memperbarui informasi, dan mengkonversi
dari kode sumber ke objek. Sebagian besar paket ini berisi fitur jejak audit
yang mencatat semua perubahan yang dibuat untuk program aplikasi, termasuk
identifikasi programmer yang membuat perubahan. Ketika diterapkan dengan benar,
perangkat lunak ini mempromosikan keamanan dan cadangan program aplikasi yang
lebih baik. Sistem manajemen file melakukan fungsi serupa untuk keamanan dan
cadangan file tape dan disk. Paket perangkat lunak ini membantu mengurangi
fungsi pustaka manual dan, dalam banyak kasus, menghilangkan kebutuhan untuk
label file eksternal. Fitur jejak audit biasanya standar dan menunjukkan kapan
dan oleh siapa file tertentu dibuat dan digunakan. Paket perangkat lunak
keamanan adalah salah satu metode yang lebih baru untuk mengotomatisasi kontrol
akses.
Mereka
mengontrol akses ke sistem komputer dengan mengidentifikasi individu yang
mencoba mendapatkan akses ke berbagai sumber daya sistem dan memverifikasi
keabsahan akses. Biasanya, paket-paket ini mengontrol terminal (mis. Akses bawaan
atau akses dial-up); stasiun entri pekerjaan jarak jauh; rekaman individual,
disk, atau kumpulan data penyimpanan massal; program aplikasi individual; dan
perangkat lunak sistem lainnya (mis., sistem operasi dan DBMS). Paket-paket ini
biasanya menyediakan jejak audit dari semua akses, termasuk upaya yang sah dan
tidak sah. Untuk aplikasi yang menggunakan terminal dial-up online, perangkat
lunak komunikasi data biasanya menyediakan antarmuka antara pesan ke dan dari
terminal, sistem operasi, file data, dan, jika ada, DBMS. Selain itu, perangkat
lunak sistem ini biasanya:
• Mengontrol akses ke dan dari perangkat terminal
• Polling dan menerima pesan dari terminal komputer atau
komputer lain
• Mengatasi pesan dan mengirimkannya kembali ke terminal
atau lainnya komputer
• Mengedit pesan input dan output
• Menangani kesalahan
• Mengarahkan ulang pesan ketika terminal atau komunikasi
tertentu baris tidak beroperasi
• Melakukan pemformatan online pada terminal tampilan
visual
Ketika data di seluruh
organisasi telah digabungkan menjadi satu database untuk menghilangkan
redundansi dan meningkatkan akses, DBMS digunakan untuk memperbarui database,
mengambil data dari itu, dan menyediakan kontrol atas penggunaannya. DBMS
memungkinkan beberapa pengguna untuk berbagi data dan memungkinkan banyak
program aplikasi yang berbeda untuk mengakses database tunggal. DBMS menyediakan
antarmuka antara tampilan logis program aplikasi dari database dan penyimpanan
fisik sistem database dari database.
Ketergantungan pada Perangkat Lunak Sistem
Organisasi
mengandalkan perangkat lunak sistem dalam berbagai derajat untuk mengontrol
fungsi pemrosesan informasi. Auditor pertama-tama harus mengidentifikasi jenis
dan penggunaan perangkat lunak sistem yang memengaruhi sistem yang sedang
ditinjau dan kemudian menentukan tingkat ketergantungan organisasi pada
perangkat lunak itu. Sistem operasi, pada dasarnya, sangat diandalkan untuk
operasi umum perangkat keras komputer. Karena itu, mereka memerlukan
penyelidikan lebih lanjut.
Auditor harus menentukan apakah:
• Program aplikasi dapat mengakses area penyimpanan utama
atau data atau file yang digunakan oleh program aplikasi lain.
• Fitur keamanan dan akurasi yang penting (mis.,
Penanganan kesalahan untuk jenis atau format data yang tidak valid) sepenuhnya
digunakan dan tidak ditimpa oleh program aplikasi atau pemrogram sistem.
• Akses ke dan penggunaan instruksi yang diistimewakan
(mis. Instruksi input dan output yang memungkinkan pembacaan atau penulisan
data dari file pengguna lain) dibatasi.
• Fungsi penjadwalan adalah pemrosesan sendiri atau
memerlukan intervensi operator yang luas.
Penggunaan perangkat lunak utilitas sistem sangat bervariasi di antara
organisasi.
Utilitas yang
paling umum digunakan adalah program copy dan sortir. Terlepas dari jenisnya,
auditor harus menentukan apakah:
• Utilitas dikendalikan dengan benar.
• Fitur kontrol dalam utilitas digunakan dengan benar.
• Utilitas dapat digunakan untuk mem-bypass fitur kontrol
sistem atau paket perangkat lunak lain.
Sistem pustaka
program, ketika diimplementasikan dan dioperasikan dengan benar, menambah
tingkat kontrol lain atas program aplikasi organisasi. Karena paket perangkat
lunak rentan terhadap penyalahgunaan dan kesalahan yang tidak disengaja,
auditor harus menentukan apakah:
• Prosedur manual yang memadai mendukung dan meningkatkan
keandalan sistem perpustakaan program.
• Fitur kontrol dari sistem perpustakaan program
sepenuhnya digunakan dan tidak dapat ditimpa atau dilewati.
• Sistem perpustakaan program secara konsisten dan akurat
mengendalikan program aplikasi.
Sistem
pemeliharaan file mirip dengan sistem pustaka program kecuali bahwa mereka
membantu mengendalikan file data otomatis, bukan program aplikasi. Jika
diimplementasikan dan dioperasikan dengan benar, sistem pemeliharaan file
meningkatkan level kontrol. Auditor harus menentukan apakah:
• Prosedur manual yang memadai mendukung dan meningkatkan
keandalan
sistem pemeliharaan file.
• Fitur kontrol dari sistem perawatan file sepenuhnya
digunakan dan tidak dapat diganti atau dilewati.
• Sistem pemeliharaan file secara konsisten dan akurat
mengontrol file data otomatis.
Perangkat lunak
keamanan juga menyediakan tingkat perlindungan ekstra. Untuk memastikan
ketergantungan pada perangkat lunak ini tidak menciptakan rasa aman yang salah,
the auditor harus menentukan apakah fitur kontrol keamanan yang tepat digunakan
dan apakah dapat dilewati atau diganti.
Untuk aplikasi
telekomunikasi, perangkat lunak komunikasi data menyediakan antarmuka antara
terminal pengguna dan berbasis komputer sistem. Dalam kebanyakan kasus,
perangkat lunak sistem tersebut memberikan keamanan tambahan dan kontrol
keandalan. Auditor harus menentukan apakah:
• Penggunaan workstation terbatas untuk personel yang
berwenang agar sah tujuan saja.
• Kontrol memastikan bahwa tidak ada transaksi yang
hilang, ditambahkan, atau diubah selama transmisi.
• Semua prosedur kontrol perangkat lunak komunikasi data
adalah sedang digunakan dan tidak dapat dilewati atau diganti.
Untuk aplikasi di lingkungan basis data, DBMS dapat
mengontrol dan memelihara database organisasi. Auditor harus menentukan apakah:
• DBMS secara konsisten memelihara data yang akurat dan
andal.
• Keamanan atas berbagai elemen data membatasi akses ke
yang diotorisasi hanya pengguna.
• Cadangan yang tepat disediakan untuk basis data.
Mengontrol Perubahan pada Perangkat
Lunak Sistem
Prosedur
kontrol atas perubahan pada perangkat lunak sistem harus ditetapkan dan
diikuti. Kontrol semacam itu membantu menjaga integritas perangkat lunak dan
mencegah perubahan perangkat lunak yang tidak sah atau tidak akurat. Meskipun
sebagian besar perubahan dimulai sebagai perubahan pemeliharaan yang dijelaskan
oleh vendor perangkat lunak, organisasi harus mengontrol perubahan perangkat
lunak sistem dengan:
·
Menetapkan prosedur dan formulir perubahan formal yang
memerlukan otorisasi pengawasan sebelum implementasi
·
Memastikan bahwa semua perubahan diuji secara
menyeluruh
·
Menghapus file penting dan program aplikasi dari computer
area sementara programmer sistem membuat perubahan
Implementasi dan Masalah Kontrol SAP
Sistem perencanaan sumber daya
perusahaan (ERPS) seperti sistem terpadu perusahaan yang dijalankan oleh SAP R
/ 3 dapat menjadi jawaban untuk kebutuhan banyak organisasi. Setelah mengenali
ancaman, secara akurat menilai percabangannya, dan mengembangkan cara untuk
mengurangi risiko yang terkait dengan R / 3, auditor akan siap untuk memulai implementasi.
Implementasi R / 3 harus dilakukan dengan karakteristik uniknya. Bagian ini
akan membahas pedoman implementasi umum dan pedoman khusus yang unik untuk
lingkungan R / 3.
Memahami Budaya Perusahaan
Faktor pertama melibatkan memahami
budaya perusahaan anda perusahaan terkait dengan kesiapan dan kemampuan
perusahaan untuk perubahan. Ada perbedaan antara melihat perlunya perubahan dan
benar-benar membuat perubahan. ERP seperti SAP adalah implementasi seluruh perusahaan
yang akan mempengaruhi banyak jika tidak semua departemen. Dengan demikian,
memahami setiap departemen dan masalah-masalahnya adalah penting. Banyak
organisasi yang terdesentralisasi mungkin menemukan bahwa divisi mereka mungkin
tidak menerima perubahan yang mempengaruhi wilayah mereka.
Perubahan Proses yang Dipahami dan
Lengkap
Faktor keberhasilan kritis kedua
membutuhkan penyelesaian semua perubahan proses bisnis. Perubahan-perubahan ini
harus terjadi sebelum implementasi. Dengan demikian, pengambilan keputusan yang
sulit dapat dilakukan sejak dini. Setiap perusahaan harus melakukan beberapa
tingkat evaluasi ulang proses bisnis atau mendesain ulang sebelum menerapkan
SAP. Biaya dan kesulitan mengubah cara sistem paket dikonfigurasikan setelah
implementasi jauh lebih besar daripada membuat keputusan yang paling tepat
waktu. Penting untuk memahami keputusan struktural dan kebijakan yang harus
diambil.
Communication: Never Enough!
Faktor ketiga berkaitan dengan
komunikasi. Penting untuk terus berkomunikasi dengan pengguna baru di semua
tingkatan dalam bisnis selain dari segi teknis. Karyawan yang terpengaruh oleh
sistem baru perlu diberi tahu perkembangannya sehingga harapan mereka akan
ditetapkan secara akurat. Orang perlu diberitahu berkali-kali tentang
perubahan. Komunikasi adalah kunci untuk mengelola harapan. Ketika harapan
ditetapkan terlalu tinggi, orang cenderung menjadi frustrasi, kesal, dan kecewa
dengan hasilnya. Ketika mereka ditetapkan terlalu rendah, orang mungkin
mengalami kesulitan beradaptasi atau terkejut dengan tingkat perubahannya. Jadi,
untuk memberikan waktu bagi orang untuk menerima dan sepenuhnya menggunakan
sistem baru, program komunikasi yang ketat harus diadopsi.
Management Support
Mendapatkan dukungan eksekutif yang
unggul untuk proyek sangat penting dari awal mula. Manajemen eksekutif harus
mempelopori upaya untuk menyesuaikan diri dengan struktur R / 3. Eksekutif
perlu memberikan kepemimpinan dan komitmen aktif selama implementasi R / 3.
Upaya mereka untuk secara pribadi terlibat dalam proses perubahan akan
memberikan dukungan yang diperlukan untuk mendapatkan kesuksesan dalam proyek
ini. Banyak perusahaan atau divisi dalam suatu organisasi akan enggan untuk
mengubah bisnis mereka agar sesuai dengan R / 3 Framework. Beberapa mungkin
menjadi teritorial dan ingin menyabot proyek. Menurut survei eksekutif, fase
awal adalah bagian tersulit dari implementasi. Organisasi harus menyelaraskan
kebijakan dan prosesnya dengan SAP. R / 3 adalah pendekatan tersentralisasi,
top-down, dan terstruktur. Ini bekerja dengan baik ketika perusahaan dapat
beroperasi dalam batas-batas ini. Manajemen eksekutif harus mendorong dedikasi
untuk upaya rekayasa ulang.
Kompetensi Manajer Proyek SAP
Faktor
keberhasilan lain yang relevan dan penting berkaitan dengan manajemen proyek.
Manajer proyek harus mampu bernegosiasi pada persyaratan yang adil dengan
persyaratan teknis, bisnis, dan perubahan manajemen. Perubahan terpadu
memadukan solusi organisasi dan teknis menjadi satu perubahan besar-besaran. Dengan
sistem informasi yang terintegrasi di seluruh perusahaan, ada kebutuhan untuk
mengatasi masalah dari semua perspektif. Dengan demikian, manajer proyek serta
tim proyek harus peka terhadap dampak teknologi baru, proses bisnis baru, dan
perubahan dalam struktur organisasi, standar, dan prosedur pada proyek secara
keseluruhan.
The Team
Tim proyek yang mencakup staf TI dan
bisnis akan menemukan menyeimbangkan menjadi lebih efektif. Setelah mendefinisikan
peran proyek di depan, tim anggota harus diingatkan bahwa mereka diharapkan
untuk beralih ke peran nontradisional. Dengan R / 3, banyak peran TI bergeser
ke pengguna. Menyesuaikan Perangkat lunak R / 3 agar sesuai dengan persyaratan
fungsi tertentu menjadi pengguna tanggung jawab. Pengguna mengkonfigurasi
sistem dengan menggunakan tabel dan fungsi untuk menjalankan bisnis mereka
dengan cara baru. Mereka bertanggung jawab untuk memodifikasi dan memelihara
tabel. Dengan demikian, dengan banyak tanggung jawab TI bergeser kepada
pengguna, tim proyek akan lebih efektif ketika mereka berada terdiri dari tidak
hanya personel TI tetapi juga orang-orang dari bisnis departemen yang
dipengaruhi oleh sistem baru.
Project Methodology: It Is Important
Faktor keberhasilan kritis lainnya
berkaitan dengan metodologi proyek yang dipilih. Ini harus bertindak sebagai
peta jalan ke tim proyek. Tujuan harus jelas dan terukur sehingga kemajuan
dapat ditinjau secara berkala. Menetapkan tujuan pengukuran adalah aspek kunci
dari rekayasa ulang. Mereka menunjukkan efektivitas perbaikan yang sebenarnya.
Training
Penting juga untuk melatih pengguna
di semua tingkatan dan memberikan dukungan untuk semua perubahan pekerjaan.
Lingkungan SAP akan mengubah peran banyak karyawan. Keterampilan saat ini perlu
dinilai ulang dan keterampilan baru perlu diidentifikasi. Sifat pekerjaan yang
berubah akan berarti bahwa manajemen perlu memberikan dukungan melalui definisi
pekerjaan baru, penghargaan dan pengakuan, dan evaluasi ulang jadwal
pembayaran. Pendidikan mencerminkan komitmen finansial untuk upaya dan
mempromosikan keterampilan pemecahan masalah. Keterampilan memecahkan masalah
memberdayakan karyawan untuk membuat perubahan yang efektif.
Berkomitmen pada Perubahan
Masalah pasti akan muncul dan tim
proyek harus menduganya. Skala proyek dan kompleksitas R / 3 menjadikan masalah
akan muncul selama upaya implementasi. Namun, pemimpin dan tim proyek harus
terus bertahan dan tetap berkomitmen pada perubahan sistem informasi. Dengan
demikian, meskipun tim proyek akan mengalami hambatan dan masalah, komitmen
terhadap perubahan akan membantu mengatasi gelombang rekayasa ulang. Dengan
ketekunan dan konsistensi manajemen, tim akan dapat mengatasi jebakan.
Menetapkan Keamanan dan Kontrol
SAP R / 3 memaksakan pada organisasi
suatu lingkungan komputer yang berubah dan ketergantungan yang lebih kuat pada
komputer jaringan. Dengan demikian, ada kebutuhan untuk penilaian kembali
Arsitektur Keamanan Informasi. Arsitektur Keamanan adalah dasar dari semua
elemen komputasi dan jaringan yang beragam dari suatu organisasi. Sangat
penting bahwa Arsitektur Keamanan Informasi menyediakan alat dan teknik
administrasi dan pemantauan yang konsisten, identifikasi umum dan proses
otentikasi, dan kemampuan peringatan yang memenuhi kebutuhan realistis.
Fitur Keamanan dari Komponen Dasar
Efektivitas
sistem keamanan tergantung pada kombinasi langkah-langkah keamanan yang
diterapkan. Langkah-langkah keamanan harus secara unik mendefinisikan pengguna
individu ke sistem dan membuktikan atau mengkonfirmasi identitas mereka. Selain
itu, mereka harus menentukan apakah pengguna diizinkan mengakses sumber daya
tertentu. Auditor TI perlu meninjau area utama di bawah ini. Ini adalah
komponen keamanan unik SAP dan bagaimana mereka bekerja bersama untuk mendukung
identifikasi, otentikasi, dan otorisasi pengguna R / 3.
·
Logon process
·
User master records
·
SAP
·
TSTC table
·
Authorization objects
·
Authorization value sets
·
Authorization profiles
·
Additional authorization checks
·
Changes
Summary of Access Control
Singkatnya, proses R / 3 untuk akses
pengguna sangat rinci. Sebelum pengguna dapat melakukan transaksi, SAP
melakukan proses pemeriksaan akses. Ketika pengguna memasukkan ID Pengguna dan
kata sandi, sistem akan memeriksa ID Pengguna dan hanya mengizinkan pengguna
yang valid dengan kata sandi yang sesuai untuk mendapatkan akses. Setelah
mendapatkan akses, pengguna dapat melakukan transaksi. Namun, jika transaksi
tidak didefinisikan atau dikunci dalam tabel TSTC, itu ditolak. Selanjutnya,
jika pemeriksaan otorisasi tambahan telah ditentukan, nilai otorisasi pengguna
yang ditetapkan untuk objek diuji. Ditolak jika pengguna tidak berwenang untuk
pemeriksaan tambahan. Terakhir, otorisasi terperinci lainnya dari pengguna
(yang disimpan dalam profil dan dalam set nilai otorisasi) diperiksa oleh
sistem untuk menentukan apakah pengguna berwenang untuk objek tersebut.
Administrative Controls
Kontrol administratif dilaksanakan
melalui kebijakan dan prosedur yang terdokumentasi dan dilakukan oleh orang
daripada sistem. Kontrol ini membahas akses ke data, pengembangan sistem,
penyesuaian dan modifikasi, dan proses pemeliharaan. Prosedur kontrol otomatis
yang ditawarkan melalui sistem SAP lebih efektif ketika diperkuat dengan
prosedur kontrol. Kebijakan dan prosedur berbasis bisnis harus ditetapkan untuk
menangani akuntabilitas, kontrol akses, kerahasiaan, integritas, dan masalah
manajemen keamanan.
Accountability
Saat
pengguna menjadi pengembang sistem R / 3, mereka akan menyesuaikan sistem
melalui perubahan pada tabel. Pemisahan tugas antara pengguna dan departemen TI
akan menjadi keharusan untuk memastikan akuntabilitas. Dengan demikian,
kebijakan harus menangani dan memantau pemisahan tugas.
Access Control
Akses ke data dan transaksi SAP
dibatasi oleh sistem keamanan SAP. Namun, standar dan prosedur akan memastikan
bahwa manajemen memiliki hak akses yang sah, akses pengguna relevan dengan
tugas mereka, dan bahwa hak akses tidak bertentangan. Dengan demikian,
pemisahan prosedur tugas harus ditetapkan:
1.
Kemampuan akses langsung pengguna harus dibatasi oleh
pengoperasian sistem dan basis data.
2.
Hak akses pengguna harus disetujui dan
didokumentasikan oleh manajemen.
3.
Catatan master pengguna harus ditugaskan untuk
mencegah setiap pengguna berbagi ID dan kata sandi.
4.
Kata sandi harus dijaga kerahasiaannya dan sulit membocorkan.
5.
Kata sandi harus diubah secara berkala.
6.
Manajemen harus secara teratur meninjau dan
menindaklanjuti akses apa pun pelanggaran.
7.
Akses ke sistem SAP selama jam non-kerja harus
diminimalkan dan dikontrol secara memadai.
Confidentiality, Integrity, and
Security Management
Kontrol lingkungan dalam SAP dapat
dikompromikan jika akses atau perubahan pada program SAP dan data dari aplikasi
dan utilitas lain tidak dibatasi dengan baik. Dengan demikian, masalah-masalah
berikut harus ditinjau untuk memastikan bahwa sistem keamanan tidak
dinegasikan:
1.
Kemampuan untuk mengubah sistem dan profil pengaktifan
seharusnya dibatasi dengan tepat.
2.
Catatan master pengguna SAP tidak boleh dihapus dan
pengguna harus tidak dapat menghapus catatan ini.
3.
Perubahan DYNPRO harus dilarang di lingkungan produksi
dan harus dibatasi untuk pengguna yang sesuai dan berwenang.
4.
Pemeriksaan otorisasi tambahan untuk kemungkinan
transaksi berbahaya harus didefinisikan dalam TSTC dan tidak boleh diubah atau
dihapus.
5.
Tinjau pengguna yang diberi akses sebagaimana
seharusnya administrator batch dilakukan secara berkala karena pengguna ini
dapat melakukan operasi pada semua pekerjaan latar belakang dalam sistem R / 3.
6.
File sesi input batch yang telah dibuat oleh antarmuka
program atau program SAP internal tidak boleh dimodifikasi sebelumnya ke tahap
rilis.
7.
Perubahan pada Kamus ABAP / 4 harus diuji secara
memadai dan resmi.
8.
Entri tabel standar harus dihapus ketika tidak
dimaksudkan digunakan untuk instalasi tertentu.
9.
ABAP harus ditugaskan ke grup otorisasi yang sesuai
demikian bahwa pengguna tidak dapat menjalankan ABAP yang tidak relevan dengan
pekerjaan mereka fungsi.
EDI and Internet Security
SAP R / 3 tidak kebal terhadap
intrusi dan eksploitasi dari orang luar. R / 3 mendukung EDI dan baru-baru ini
merilis kemampuan Internet untuk proses R / 3 mereka. EDI dan Internet membuat
masalah keamanan menjadi lebih penting karena pengganggu eksternal dapat menurunkan
integritas sistem dan membahayakan aset perusahaan. Dengan demikian, kebijakan
keamanan harus mengakomodasi kebutuhan unik EDI dan Internet.
The ISO 9001 Review
Di seluruh dunia, pencarian kualitas
dalam cara kami melakukan pekerjaan kami telah maju melalui berbagai upaya dan
program. Tinjauan ISO 9001 adalah hasil dari proses tersebut. Komunitas audit
harus dipuji atas upaya dan pencarian keunggulannya. Selain itu, para
profesional di seluruh dunia berusaha melalui banyak program berbeda untuk
mencapai peningkatan dalam apa yang mereka lakukan dan bagaimana mereka
melakukannya. Ini adalah deskripsi singkat dari beberapa program kualitas
utama.
·
CRBE (Formerly Known as
CTQA)
·
SEI (Software Engineering
Institute)
·
ISO 9000
Tema Utama dari Tinjauan ISO 9000
Standar ISO 9000 menetapkan
persyaratan untuk sistem kualitas. Tema utamanya berfokus pada lima bidang:
dokumentasi, praktik, catatan, audit, dan tindakan korektif. Dokumentasi
mengatakan apa yang kita lakukan. Praktek memberikan contoh dari apa yang kita
katakan kita lakukan. Catatan adalah bukti dari apa yang telah kami lakukan.
Audit memeriksa apa yang kami lakukan. Tindakan korektif mengoreksi perbedaan
yang ditemukan.
Computer Forensics
Forensik komputer adalah pemeriksaan,
analisis, pengujian, dan evaluasi materi berbasis komputer, yang dilakukan untuk
memberikan informasi yang relevan dan valid ke pengadilan. Alat forensik
komputer semakin banyak digunakan untuk mendukung penegakan hukum, keamanan
komputer, dan investigasi audit komputer.
Sumber
yang baik untuk mengevaluasi alat-alat forensik komputer adalah situs Web
Proyek Computer Forensics Tool Testing (CFTT) di http://www.cftt.nist.gov/
index.html. CFTT adalah proyek bersama dari Institut Nasional Standar dan
Teknologi (NIST), Institut Keadilan Nasional Departemen Kehakiman AS (NIJ),
Biro Investigasi Federal (FBI), Laboratorium Forensik Komputer Pertahanan
(DCFL), AS Layanan Kepabeanan, dan lainnya untuk mengembangkan program-program
untuk menguji alat-alat forensik komputer yang digunakan dalam penyelidikan
kejahatan yang melibatkan komputer.
WebMetrics: Suatu Pengantar
Menggunakan WebMetrics sebagai CAAT (Computer-Assisted
Audit Tools) tidak hanya menguntungkan auditor TI tetapi juga organisasi.
Dengan memiliki situs Web yang baik dan efektif, organisasi akan memperoleh
manfaat sebagai berikut:
·
Mengurangi biaya iklan
·
Akses yang sama ke pasar baru
·
Peningkatan penjualan
·
Lebih banyak peluang untuk pemasaran niche
·
Mengurangi biaya pengiriman untuk barang yang dapat
dikirim secara elektronik
Akhirnya,
auditor TI harus menyadari bahwa WebMetrics sebagai CAAT memiliki kekuatan dan
kelemahannya. Itu tidak dapat dioperasikan pada semua sistem dan platform
komputer. Selain itu, auditor TI juga harus mempertimbangkan kombinasi yang
tepat dari teknik manual dan WebMetrics dalam melakukan audit.
WebMetrics sebagai Alat Audit
Ada banyak alat evaluasi situs Web
untuk menilai kegunaan situs Web. Salah satunya adalah WebMetrics (versi 3.0)
dari NIST. WebMetrics tidak dijual di pasar; masih dalam pengembangan. Namun,
NIST telah membuatnya tersedia untuk digunakan. WebMetrics dapat diunduh secara
gratis dari situs Web NIST (http://zing.ncsl.nist.gov/webmet/).
Sumber : Information Technology Control and Adult Second Edition. Auerbach Publications
Post a Comment