BAB 11. Pengauditan Sistem Informasi Berbasis Komputer

Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan.

Pengauditan internal yaitu aktivitas penjaminan dan konsultasi yang didesain untuk menambah nilai dan meningkatkan efektifitas dan efiensi organisasi, serta mencapai tujuan organisasi.

Ada beberapa jenis dari audit internal :

1. Audit keuangan adalah pemeriksaan keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan.
2. Sebuah sistem informasi atau audit pengendalian internal, memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektifitas dalam pengamanan aset.
3. Sebuah audit operasional berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Sebuah audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku.
5. Sebuah audit investigatif menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.

Terdapat tiga jenis risiko audit :

1. Risiko bawaan adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal.
2. Risiko pengendalian adalah risiko saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan. 
3. Risiko deteksi adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.

Pengumpulan bukti audit, cara-caranya yaitu :

• Observasi atas aktivitas-aktivitas yang diaudit 
• Pemeriksaan atas dokumentasi 
• Diskusi
• Kuesioner
• Pemeriksaan fisik
• Konfirmasi
• Melakukan ulang
• Pemeriksaan bukti pendukung 
• Tinjauan analitis

Materialitas yaitu jumlah kesalahan, penipuan, atau pengabaian yang akan memengaruhi keputusan dari seorang pengguna informasi keuangan yang hati-hati.

Penjaminan memadai adalah mendapatkan jaminan penuh bahwa informasi yang benar adalah mahal, maka auditor menerima tingkatan yang masuk akal atas risiko bahwa kesimpulan audit salah.

Pendekatan Audit Berbasis-Risiko

1. Menentukan ancaman yang akan dihadapi perusahaan.
2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
3. Mengevaluasi prosedur pengendalian
1. Sebuah tinjauan sistem menentukan apakah prosedur pengendalian benar-benar dilaksanakan.
2. Uji pengendalian dilakukan untuk menentukan apakah pengendalian yang ada berjalan seperti yang dikehendaki.
4. Mengevaluasi kelemahan pengendalian untuk menetukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.

Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujuan berlaku telah tercapai :

1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
6. File-file data komputer tepat, lengkap, dan rahasia.

Kerangka Kerja untuk Audit Keamanan Komputer Secara Menyeluruh

Jenis-jenis kesalahan dan penipuan :

• Pencurian atau kerusakan yang tidak disengaja atau disengaja pada perangkat keras.
• Kehilangan, pencurian, atau akses yang tidak diotorisasi terhadap program, data, dan sumber daya sistem lainnya.
• Gangguan atas aktivitas bisnis yang krusial
• Modifikasi atau penggunaan yang tidak diotorisasi program dan filem data

Prosedur pengendalian :

• Rencana keamanan atau perlindungan informasi
• Pembatasan atas akses fisik terhadap peralatan komputer
• Prosedur perlindungan virus
• File backup dan prosedur pemulihan
• Firewall
• Pemeliharaan preventif
• Rencana pemulihan bencana

Prosedur audit-tinjauan sistem :

• Memeriksa dengan seksama situs komputer
• Memeriksa kebijakan dan prosedur akses fisik dan logis
• Memeriksa kontrak pemeliharaan penjual
• Menguji log akses sistem
• Menguji kebijakan asuransi kecelakaan dan gangguan bisnis

Prosedur audit-pengujian pengendalian :

• Mengamati dan menguji prosedur akses situs komputer
• Memverifikasi tingkat dan efektifitas dari enkripsi data
• Menyelidiki bagaimana upaya akses yang tidak diotorisasi dihadapi
• Menguji hasil dari simulasi uji rencana pemulihan bencana

Pengendalian kompensasi :

• Kebijakan personel yang kuat, termasuk pemisahan dari tugas yang tidak sesuai
• Pengendalian pengguna yang efektif

Kerangka Kerja untuk Audit Pengembangan Program

Jenis-jenis kesalahan dan penipuan :

• Kelalaian pemrograman atau kode program yang tidak diotorisasi

Prosedur pengendalian :

• Pemeriksaan atas persetujuan lisensi perangkat lunak
• Persetujuan manajemen dan pengguna atas spesifikasi pemrograman
• Dokumentasi sistem yang lengkap, termasuk persetujuan

Prosedur audit-tinjauan sistem :

• Pemeriksaan independen atas proses pengembangan sistem
• Pemeriksaan atas standar evaluasi pemrograman
• Pemeriksaan atas standar dokumentasi program dan sistem
• Pemeriksaan atas kebijakan dan prosedur persetujuan pengujian

Prosedur audit-pengujian atas pengendalian :

• Memeriksa pemberitahuan dari pertemuan tim pengembangan untuk bukti keterlibatan
• Memeriksa spesifikasi pengujian, data pengujian, dan hasil pengujian sistem
• Memeriksa persetujuan lisesnsi perangkat lunak

Pengendalian kompensasi :

• Pengendalian pemrosesan yang kuat
• Pemrosesan independen atas data pengujian oleh auditor

Kerangka Kerja untuk Audit Modifikasi Program

Jenis-jenis kesalahan dan penipuan :

• Kesalahan pemrograman atau kode program yang tidak diotorisasi

Prosedur pengendalian :

• Daftar komponen-komponen program yang dimodifikasi
• Otorisasi dan persetujuan manajemen atas modifikasi program
• Persetujuan pengguna atas spesifikasi perubahan program
• Pengendalian akses logis

Prosedur audit-tinjauan sistem :

• Memeriksa kebijakan, standar, dan prosedur modifikasi program
• Memeriksa standar dokumentasi untuk modifikasi program
• Memeriksa dokumentasi final atas modifikasi program
• Memeriksa standar evaluasi pemrograman

Prosedur audit-pengujian atas pengendalian :

• Mengamati implementasi perubahan program
• Memverifikasi bahwa pemisahan versi pengembangan, uji, dan produksi dipertahankan
• Memverifikasi bahwa perubahan tidak diimplementasikan oleh pengguna atau personel pemrograman

Pengendalian kompensasi :

• Pengujian audit independen atas perubahan program yang tidak diotorisasi atau salah
• Pengendalian pemrosesan yang kuat

Kerangka Kerja untuk Audit atas Pengendalian Pemrosesan Komputer

Jenis-jenis kesalahan dan penipuan :

• Kegagalan mendeteksi data input yang salah, tidak lengkap, atau tidak diotorisasi
• Distribusi atau pengungkapan yang tidak tepat atas output komputer
• Ketidaktepatan yang disengaja maupun tidak disengaja dalam pelaporan

Prosedur pengendalian :

• Rutinitas pengeditan data
• Penggunaan yang tepat atas label file internal dan ekstrenal
• Rekonsiliasi atas total batch
• Prosedur perbaikan kesalahan yang efektif
• Pengawasan yang kompeten atas operasi komputer

Prosedur audit-tinjauan sistem :

• Memeriksa dokumentasi administratif untuk memproses standar pengendalian
• Memeriksa dokumentasi pengoperasian untuk kelengkapan dan kejelasan
• Mengamati fungsi operasi komputer dan pengendalian data
• Memeriksa salinan daftar kesalahan, laporan total batch, dan data perubahan file

Prosedur audit-pengujian atas pengendalian :

• Mengevaluasi kecukupan atas standar dan prosedur pengendalian pemrosesan
• Mengevaluasi kecukupan dan kelengkapan pengendalian pengeditan data
• Memverifikasi bahwa output sistem aplikasi didistribusikan dengan tepat
• Memverifikasi ketepatan pemrosesan atas transaksi-transaksi yang sensitif

Pengendalian kompensasi :

• Pengendalian pengguna yang kuat dan pengendalian atas data sumber yang efektif

Kerangka Kerja untuk Audit atas Pengendalian Data Sumber

Jenis-jenis kesalahan dan penipuan :

• Data sumber yang tidak tepat atau tidak diotorisasi

Prosedur pengendalian :

• Otorisasi pengguna atas input data sumber
• Verifikasi digit cek
• Verifikasi kunci
• Penggunaan turnaround document
• Rutinitas pengeditan data

Prosedur audit-tinjauan sistem :

• Memeriksa dokumentasi mengenai tanggung jawab fungsi pengendalian data
• Memeriksa dokumentasi administratif untuk standar pengendalian data sumber
• Memeriksa metode otorisasi dan menguji tanda tangan otorisasi

Prosedur audit-uji pengendalian :

• Memverifikasi pemeliharaan yang baik dan penggunaan log pengendalian data
• Mengevaluasi bagaimana komponen-komponen kesalahan log dihadapi
• Menguji data sumber untuk otorisasi yang benar
• Merekonsiliasi total batch dan menindaklanjuti ketidaksesuaian

Pengendalian kompensasi :

• Pengendalian pengguna dan pengolahan data yang kuat

Kerangka Kerja untuk Audit atas Pengendalian File Data

Jenis-jenis kesalahan dan penipuan :

• Penghancuran data tersimpan karena kesalahan, kegagalan perangkat keras atau perangkat lunak, dan tindakan sabotase atau perusakan yang disengaja
• Modifikasi atau pengungkapan data tersimpan yang tidak diotorisasi

Prosedur pengendalian :

• Pengendalian akses logis dan sebuah matriks pengendalian akses
• Pengendalian perbaruan secara bersamaan 
• Enkripsi pada data rahasia
• Perangkat lunak perlindungan virus
• Backup off-site atas seluruh file data

Prosedur audit-tinjauan sistem :

• Memeriksa dokumentasi bagi operasi perpustakaan file
• Memeriksa kebijakan dan prosedur akses logis
• Menguji rencana pemulihan bencana
• Mendiskusikan prosedur pengendalian file dengan para manajer dan operator

Prosedur audit-pengujian atas pengendalian :

• Mengamati dan mengevaluasi operasi perpustakaan file
• Memeriksa catatan atas penentuan dan modifikasi kata sandi
• Mengamati persiapan dan penyimpanan off-site atas file backup
• Memverifikasi penggunaan efektif atas prosedur perlindungan virus

Pengendalian kompensasi :

• Pengendalian pengguna dan pengolahan data yang kuat
• Pengendalian keamanan komputer yang efektif

Para audior biasanya menggunakan lima teknik audit bersama sebagai berikut :

1. Sebuah integrated test facility menyisipkan catatan-catatan file mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif di induk perusahaan.
2. Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.
3. System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam sebuah file SCARF atau log audit.
4. Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
5. Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database yang menguji seluruh transaksi yang memperbarui database menggunakan kriteria yang serupa dengan SCARF.

  

BAB. 10 Pengendalian Integritas Pemrosesan dan Ketersediaan

Pengendalian Input 
Frasa "sampah masuk, sampah keluar" menunjukkan pentingnya pengendalian input. Jika data yang dimasukkan ke dalam sebuah sistem tidak akurat, tidak lengkap, atau tidak valid, maka outputnya juga akan demikian. Akibatnya, hanya personel yang berwenang untuk bertindak didalam otoritasnya yang harus mempersiapkan dokumen sumber.

Bentuk Desain
Dokumen sumber dan bentuk lainnya harus didesain untuk meminimalkan kemungkinan kesalahan dan kelalaian. Dua bentuk utama desain pengendalian :

1. Seluruh dokumen sumber harus dinomori sebelumnya secara berurutan.
2. Sebuah dokumen turnaround adalah catatan atas data perushaan yang dikirimkan ke pihak eksternal dan kemudian dikembalikan oleh pihak eksternal tersebut untuk selanjutnya di input ke sistem. 

Pengecekan field adalah sebuah pengecekan edit yang menguji apakah karakter pada sebuah field adalah jenis yang tepat.

Pengecekan tanda adalah sebuah pengecekan edit yang memverifikasi apakah data pada sebuah field memiliki tanda artimatika yang sesuai. 

Pengecekan batas adalah sebuah pengecekan edit yang menguji sejumlah numerik terhadap nilai tetap.

Pengecekan jangkauan adalah sebuah pengecekan edit yang menguji apakah sebuah item data berada pada batas terendah dan tertinggi yang telah ditentukan sebelumnya.

Pengecekan ukuran adalah sebuah pengecekan edit yang memastikan bahwa data input sesuai dengan field yang ditentukan.

Pengecekan kelengkapan adalah sebuah pengecekan edit yang memverifikasi bahwa seluruh data yang diperlukan telah dimasukkan.

Pengecekan validitas adalah sebuah tes edit yang membandingkan kode ID atau nomor rekening dalam data transaksi dengan data serupa didalam file induk untuk memverifikasi bahwa rekening tersebut ada.

Tes kewajaran yaitu sebuah pengecekan edit edit dari kebenaran logis hubungan pada item data.

Cek digit adalah nomor ID dapat berisi sebuah cek digit yang dihitung dari digit lain.

Verifikasi cek digit adalah menghitung ulang sebuah cek digit untuk memverifikasi bahwa kesalahan entri data belum dibuat.

Pengecekan berurutan yaitu sebuah pengecekan edit yang menentukan apakah batch atas input data berada di dalam urutan numerik atau alfabetis yang tepat.

Total finansial adalah sebuah jenis dari total batch yang sama dengan jumlah atas field yang berisi nilai-nilai moneter.

Total batch adalah merangkum nilai-nilai numerik bagi sebuah batch atas catatan input. Berikut ini adalah tiga total batch yang sering digunakan :

1. Total finansial, menjumlahkan sebuah field yang berisi nilai-nilai moneter, seperti total jumlah dolar dari seluruh penjualan untuk sebuah batch transaksi penjualan.
2. Total hash, menjumlahkan sebuah field numerik non-finansial, seperti field total kuantitas yang dipesan di dalam sebuah batch transaksi penjualan.
3. Jumlah catatan adalah banyaknya catatan dalam sebuah batch.

Pengendalian Tambahan Entri Data Online

Prompting yaitu sebuah pengecekan kelengkapan entri data secara online yang meminta tiap-tiap item yang diperlukan dalam data input dan kemudian menunggu respons yang dapat diterima sebelum meminta item selanjutnya.

Verifikasi closed-loop adalah sebuah metode validasi input menggunakan data yang dimasukkan ke dalam sistem untuk mengambil dan menampilkan informasi terkait lainnya sehingga pihak entri data tersebut dapat memverifikasi ketepatan dari data input.

Pengendalian Pemrosesan 

Catatan kepala yaitu jenis dari label internal yang muncul di awal setiap file dan memuat nama file, tanggal kadaluwarsa, dan informasi identifikasi rile lainnya.

Catatan trailer yaitu jenis dari label internal yang muncul di akhir sebuah file, dalam file transaksi, catatan trailer memuat total batch yang dihitung selama input.

Kesalahan transposisi adalah sebuah kesalahan yang terjadi ketika angka dalam dua kolom yang berdekatan dipertukarkan secara tidak sengaja.

Pengujian saldo cross-footing adalah sebuah pengendalian pemrosesan yang memverifikasi ketetapan dengan membandingkan dua cara alternatif dari menghitung total yang sama.

Pengujian saldo nol adalah sebuah pengendalian pemrosesan yang memverifikasi bahwa saldo dari rekening kontrol sama dengan nol setelah seluruh entri pada rekening tersebut telah dibuat.

Pengendalian pembaruan secara bersamaan adalah pengendalian yang mengunci pengguna untuk melindungi catatan individu dari kesalahan yang dapat terjadi jika berbagai pengguna berupaya untuk memperbarui catatan yang sama secara bersamaan.

Dua pengendalian transmisi data yang umum lainnya adalah  :

1. Checksum. Ketika data ditransmisikan, perangkat pengirim dapat menghitung sebuah hash dari file tersebut, yang disebut checksum.
2. Bit paritas adalah sebuah bit ekstra yang ditambahkan ke setiap karakter, digunakan untuk mengecek ketepatan transmisi. Pengecekan paritas yaitu sebuah pengendalian transmisi data di mana perangkat penerima menghitung ulang bit paritas untuk memverifikasi ketepatan dari data yang ditransmisikan.

Toleransi kesalahan yaitu kemampuan dari sebuah sistem untuk terus berfungsi ketika ada kegagalan perangkat keras.

Redundant Arrays of Independent Drives (RAID) yaitu sebuah teknik toleransi kesalahan yang mecatat data dalam berbagai disk drive bukan hanya satu untuk mengurangi risiko kehilangan data. 

Uninterruptible power supply (UPS) yaitu sebuah perangkat suplai daya alternatif yang melindungi dari kehilangan daya dan fluktuasi di dalam tingkat daya dengan menggunakan daya baterai untuk mengaktifkan sistem beroperasi cukup lama untuk mem-backup data penting dan mematikan dengan aman.

Backup yaitu sebuah salinan dari sebuah database, file, atau program perangkat lunak.

Recovery point objective (RPO) adalah jumlah data yang ingin dimiliki organisasi untuk dimasukkan kembali atau secara potensial hilang.

Recovery time objective (RTO) adalah waktu maksimum yang dapat ditoleransi untuk mengembalikan sistem informasi sebuah organisasi setelah sebuah bencana, mempresentasikan jangka waktu yang akan diupayakan organisasi untuk berfungsi tanpa sistem informasi.

Real-time monitoring adalah pemeliharaan salinan-salinan lengkap dari sebuah database pada dia pusat data terpisah dan memperbarui kedua salinan secara real-time setiap transaksi terjadi.

Backup penuh adalah salinan persis dari keseluruhan sebuah database.

Backup inkremental adalah sebuah jenis dari backup parsial yang melibatkan penyalinan hanya item-item data yang telah berubah sejak backup parsial. Backup ini memproduksi sebuah set file backup in kremental, masing-masing mengandung hasil dari transaksi satu hari.

Backup diferensial adalah salah satu jenis backup parsial yang melibatkan penyalinan seluruh perubahan yang dibuat sejak backup penuh terakhir. Jadi, setiap file backup diferensial yang baru memuat efek kumulatif dari seluruh aktivitas sejak backup penuh terakhir.

Arsip yaitu sebuah salinan dari sebuah database, file induk, atau perangkat lunak yang ditahan tanpa batas sebagai sebuah catatan historis, biasanya untuk memenuhi persyaratan hukum dan peraturan.

Perencanaan Pemulihan Bencana Dan Kelangsungan Bisnis

Disaster recovery plan (DRP) yaitu sebuah rencana untuk mengembalikan kemampuan TI sebuah organisasi akibat kejadian pusat datanya dihancurkan.

Situs dingin yaitu sebuah pilihan pemulihan bencana yang bergantung pada akses terhadap sebuah fasilitas alternatif yang diberi kabel sebelumnya untuk akses telepon dan Internet yang diperlukan, tetapi tidak memuat peralatan komputasi apapun.

Situs panas yaitu sebuah pilihan pemulihan bencana yang bergantung pada akses terhadap sebuah pusat data alternatif operasional keseluruhan yang tidak hanya diberi kabel sebelumnya, tetapi juga memuat seluruh perangkat keras dan perangkat lunak yang diperlukan.

Business continuity plan (BCP) yaitu sebuah rencana yang menspesifikasikan cara merangkum tidak hanya operasi TI, tetapi seluruh proses bisnis akibat terjadinya kerusakan besar.   

Application Controls in Batch Processing of Credit Sales

BAB 9. Pengendalian Kerahasiaan dan Privasi

Menjaga Kerahasiaan

Melindungi Kerahasiaan Dengan Enkripsi
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ia adalah satu-satunya cara untuk melindungi informasi dalam lalu lintasnya melalui Internet. Enkripsi juga merupakan bagian yang diperlukan dari defense-in-depth untuk melindungi informasi yang disimpan dalam situs atau di salam sebuah cloud publik. Sebagai contoh, banyak kantor akuntan telah menciptakan portal aman yang mereka gunakan untuk membagi informasi sensitif atas audit, pajak, atau konsultasi dengan klien. 

Mengendalikan Akses Terhadap Informasi Sensitif
Information Rights Management (IRM) adalah perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan individu yang diberi akses terhadap sumber daya tersebut agar dapat melakukannya. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi keistimewaan akses untuk periode waktu tertentu dan menghapus file yang dilindungi dari jarak jauh.

Data Loss Prevention (DLF) adalah perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi.

Watermark digital adalah kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.

Privasi

Pengendalian Privasi
Data masking adalah sebuah program yang melindungi privasi dengan mengganti informasi pribadi dengan nilai-nilai palsu.

Permasalahan Privasi
Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan.

Pencurian identitas adalah penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku.
Mengasumsikan identitas seseorang, biasanya untuk keuntungan ekonomi.

Regulasi Privasi dan Prinsip-Prinsip Privasi yang Diterima Secara Umum
Sepuluh (10) praktik terbaik yang diakui secara internasioal untuk melindungi privasi informasi pribadi para pelanggan :

1. Manajemen
2. Pemberitahuan
3. Pilihan dan persetujuan
4. Pengumpulan
5. Penggunaan dan retensi
6. Akses
7. Pengungkapan kepada pihak ketiga
8. Keamanan
9. Kualitas
10. Pengawasan dan penegakan

Enkripsi

Enkripsi adalah proses mentransformasikan teks normal, disebut plaintext, ke dalam raban yang tidak dapat dibaca, disebut chipertext.

Plaintext adalah teks normal yang belum dienkripsi.

Chipertext adalah palintext yang diubah menjadi raban yang tidak dapat dibaca menggunakan enkripsi.

Deskripsi adalah mengubah chipertext kembali menjadi plaintext.

Faktor-faktor yang mempengaruhi kekuatan enkripsi :

1. Panjang kunci
2. Alogartime enkripsi
3. Kebijakan untuk mengelola kunci kriptografi

Jenis-jenis sistem enkripsi

Sistem enkripsi simetris adalah sistem enkripsi yang menggunakan kunci yang sama untuk  mengenkripsi dan mendekripsi.

Sistem enkripsi asimetris adalah sistem enkripsi yang menggunakan dua kunci (satu publik, lainnya privat),  keduanya dapat mengenkripsi, tetapi hanya kunci pencocokan lainnya yang dapat mendekripsi.

Kunci publik adalah salah satu kunci yang digunakan dalam sistem enkripsi asimetris. Kunci ini didistribusikan secara luas dan tersedia bagi siapapun.

Kunci Privat adalah salah satu kunci yang digunakan pada sistem ekripsi asimetris. Kunci ini dirahasiakan dan diketahui hanya oleh pemilik dari sepasang kunci publik dan privat.

Key escrow adalah proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman.

Hashing adalah proses mengubah palintext sepanjang apa pun ke dalam sebuah kode singkat yang disebut hash.

Hash adalah plaintext yang telah diubah menjadi kode singkat.

Nonrepudiation adalah menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak.

Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci privat milik pembuat hash.

Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik entitas dan mnerangkan identitas pemilik kunci publik tersebut.

Otoritas sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital.

Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait.

Virtual private network (VPN), menggunakan enkripsi dan autentifikasi untuk mentransfer informasi melalui Internet dengan aman sehingga menciptakan sebuah jaringan privat "virtual".

  

BAB 8. Pengendalian untuk Keamanan Informasi

Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem :

1. Keamanan - akses terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan - informasi keorganisasian yang sensitif terlindungi dari pengungkapan yang tanpa izin.
3. Privasi - informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta dilindungi dari pengungkapan yang tanpa izin.
4. Integritas pemrosesan - data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan - sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual.

Dua Konsep Keamanan Informasi Fundamental

Defense-in-depth yaitu penggunaan berbagai lapisan pengendalian untuk menghindari sebuah poin kegagalan.

Model keamanan berbasis waktu yaitu penggunaan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

Memahami Serangan yang Ditargetkan

Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi sebuah perusahaan :

1. Melakukan pengintaian
2. Mengupayakan rekayasa sosial ( menggunakan tipuan untuk mendapatkan akses tanpa izin terhadap sumber daya informasi)
3. Memindai dan memetakan target
4. Penelitian
5. Mengeksekusi serangan
6. Menutupi jejak

Pengendalian Preventif

Autentikasi adalah memverifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem.

Pengidentifikasi biometri adalah sebuah karakteristik fisik atau perilaku yang digunakan sebagai informasi keaslian.

Autentikasi multifaktor yaitu penggunaan dua atau lebih jenis tanda bukti autentikasi secara bersamaan untuk mencapai tingkat keamanan yang lebih ketat.

Autentikasi multimodal yaitu penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat keamanan yang ketat.

Otorisasi adalah proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.

Matriks pengendalian akses adalah sebuah tabel yang digunakan untuk mengimplementasikan pengendalian otorisasi.

Uji kompatibilitas yaitu mencocokkan tanda bukti autentikasi pengguna terhadap matriks pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan melakukan tindakan yang diminta.

Border router adalah sebuah perangkat yang menghubungkan sistem informasi organisasi ke internet.

Firewall adalah sebuah perangkat keras bertujuan khusus atau perangkat lunak yang bekerja pada sebuah komputer bertujuan umum yang mengendalikan baik komunikasi masuk maupun keluar antara sistem di balik firewall dan jaringan lainnya.

Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari Internet.

Router adalah perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber dan tujuan pada header paket IP untuk memutuskan selanjutnya akan mengirim paket ke mana.

Access control list (ACL) adalah seperangkat aturan IF-THEN yang digunakan untuk menentukan tindakan untuk paket yang tiba.

Penyaringan paket adalah sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP paket untuk memutuskan tindakan yang dilakukan pada paket.

Deep packet inspection adalah sebuah proses yang memeriksa data fisik sebuah paket TCP untuk mengendalikan lalu lintas, bukan hanya melihat informasi pada header IP dan TCP.

Sistem pencegah gangguan adalah perangkat lunak atau perangkat keras yang mengawasi pola-pola dalam arus lalu lintas untuk mengidentifikasi dan mengeblok serangan secara otomatis.

Remote authentication dial-in user service adalah sebuah metode standar untuk memverifkasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in.

War dialing adalah mencari sebuah modem menganggur dengan memprogram sebuah komputer untuk memanggil ribuan lini telepon.

Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi.

Kerentanan adalah cacat pada program yang dapat dimanfaatkan baik untuk merusak sistem maupun mengambil kendalinya.

Pemindai kerentanan adalah alat otomatis yang didesain untuk mengidentifikasi apakah sebuah sistem bawaan memiliki program yang tidak digunakan dan tidak perlu serta menunjukkan ancaman keamanan potensial.

Pengukuhan yaitu proses memodifikasi konfigurasi dasar endpoint untuk mengeliminasi pengaturan dan layanan yang tidak perlu.

Pengendalian perubahan dan manajemen perubahan adalah proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.

Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.

Intrusion detection system (IDS) yaitu sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan.

Uji penetrasi adalah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi.

Tim perespons insiden komputer adalah sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan dunia.

Exploit adalah sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.

Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.

Manajemen patch yaitu proses untuk secara teratur menerapkan patch dan memperbarui perangkat lunak.

Virtualisasi adalah menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.

Komputasi cloud adalah menggunakan sebuah browser untuk mengakses perangkat lunak, penyimpan data, perangkat keras, dan aplikasi dari jarak jauh.

BAB 7. Pengendalian dan Sistem Informasi Akuntansi

Ikhtisar Konsep Pengendalian

Pengendalian internal adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah tercapai.

• Mengamankan aset-mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.
• Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.
• Memberikan informasi yang akurat dan reliabel.
• Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
• Mendorong dan memperbaiki efisiensi operasional.

Pengendalian internal menjalankan tiga fungsi penting sebaga berikut :

1. Pengendalian preventif, mencegah masalah sebelum timbul.
2. Pengendalian detektif, menemukan masalah yang tidak terelakkan.
3. Pengendalian korektif, mengidentifikasi dan memperbaiki masalah serat memperbaiki dan memulihkannya dari kesalahan yang dihasilkan.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut :

1. Pengendalian umum, memastikan lingkungan pengendalian sebuah organisasi stabil dan dikelola dengan baik.
2. Pengendalian aplikasi, mencegah, mendeteksi, dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi.

Praktik Korupsi Asing dan Sarbanes-Oxley Acts

Sarbanes-Oxley Act adalah undang-undang yang dimaksudkan untuk mencegah kejahatan laporan keuangan, membuat laporan keuangan lebih transparan, memberikan perlindungan kepada investor, memperkuat pengendalian internal pada perusahaan publik, dan menghukum eksekutif yang melakukan kejahatan. Berikut beberapa aspek terpenting SOX :

• Public Company Accounting Oversight Board (PCAOB), untuk mengendalikan profesi  pengauditan.
• Aturan-aturan baru bagi para auditor.
• Peran baru bagi komite audit.
• Aturan baru bagi manajemen.
• Ketentuan baru pengendalian internal.

Kerangka Pengendalian

Kerangka COBIT adalah sebuah kerangka keamanan dan pengendalian yang memungkinkan manajemen untuk membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI, para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai, dan para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.

Kerangka pengendalian internal COSO, sebuah kelompok sektor swasta yang terdiri atas Asosiasi Akuntansi Amerika, AICPA, Ikatan Auditor Internal, Ikatan Akuntan Manajemen, dan Ikatan Eksekutif Keuangan.

Kerangka manajemen risiko perusahaan COSO, sebuah kerangka COSO yang memperbaiki proses manajemen risiko dengan memperluas pengendalian internal COSO-Terintegrasi.

Lingkungan Internal

Lingkungan internal adalah budaya perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan tujuannya, membuat struktur aktivitas bisnis, dan mengidentifikasi, menilai, serta merespon risiko.

Sebuah lingkungan internal mencakup hal-hal sebagai berikut :

1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.
2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.
3. Pengawasan pengendalian internal oleh dewan direksi.
4. Struktur organisasi.
5. Metode penetapan wewenang dan tanggung jawab.

Komite audit adalah sejumlah anggota dewan direksi yang berasal dari luar dan independen yang bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan dan pengawasan auditor internal dan eksternal.

Kebijakan dan prosedur manual yaitu sebuah dokumen yang menjelsakan partik bisnis yang sesuai, mendeskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen, menjelaskan cara menangani transaksi serta mendata sumber daya yang tersedia untuk melaksanakan tugas-tugas tertentu.

Penetapan Tujuan 

Tujuan strategis adalah tujuan tingkat tinggi yang disejajarkan dan mendukung misi perusahaan serta menciptakan nilai pemegang saham.

Tujuan operasi adalah tujuan yang berhubungan dengan efektivitas dan efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.

Tujuan pelaporan yaitu tujuan yang membantu memastikan ketelitian, kelengkapan, dan keterandalan laporan perusahaan, mengingkatkan pembuatan keputusan, dan mengawasi aktivitas serta kinerja perusahaan.

Tujuan kepatuhan yaitu tujuan yang membantu perusahaan mematuhi seluruh hukum dan peraturan yang berlaku.

Identifikasi Kejadian

Kejadian yaitu sebuah insiden positif atau negatif dari sumber-sumber internal dan eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan.

Penilaian Risiko dan Respons Risiko

Risiko bawaan adalah kelemahan dari sebuah penetapan akun atau transaksi pada masalah pengendalian yang signifikan tanpa adanya pengendalian internal.

Risiko residual yaitu risiko yang tersisa setelah manajemen mengimplementasikan pengendalian internal atau beberapa respon lainnya terhadap risiko.

Aktivitas Pengendalian

Aktivitas pengendalian yaitu kebijakan, prosedur, dan aturan yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respon risiko dilakukan.

Tanda tangan digital yaitu cara penandatanganan sebuah dokumen secara elektronik dengan data yang tidak dapat dipalsukan.

Otorisasi khusus yaitu persetujuan khusus yang dibutuhkan oleh seorang pegawai agar diijinkan untuk menangani sebuah transaksi.

Otorisasi umum adalah otorisasi yang diberikan kepada pegawai untuk menangani transaksi rutin tenapa persetujuan khusus.

Pemisahan tugas akuntansi adalah pemisahan fungsi akuntansi otorisasi, penyimpanan, dan pencatatan guna meminimalkan kemampuan pegawai untuk melakukan penipuan.

Pemisahan tugas sistem adalah penetapan prosedur-prosedur pengendalian untuk membagi wewenang dan tanggung jawab secara jelas di dalam fungsi sistem informasi. Wewenang dan tanggung jawab harus dibagi dengan jelas menurut fungsi-fungsi sebagai berikut :

1. Administrator sistem
2. Manajemen jaringan
3. Manajemen keuangan.
4. Manajemen perubahan.
5. Pengguna.
6. Analis sistem.
7. Pemrograman.
8. Operasi komputer.
9. Perpustakaan sistem informasi.
10. Pengendalian data.

Pengendalian pengembangan sistem yang penting meliputi hal-hal sebagai berikut :

1. Sebuah komite pengarah
2. Sebuah rencana induk strategis
3. Sebuah rencana pengembangan proyek
4. Sebuah jadwal pengolahan data
5. Pengukuran kinerja sistem
6. Sebuah tinjauan pasca-implementasi

Sistem integrator adalah pihak luar yang dipekerjakan untuk mengelola usaha pengembangan sistem perusahaan.

Jejak audit yaitu sebuah jalur yang memungkinkan transaksi untuk ditelusuri melalui sistem pengolahan data dari titik asal ke output atau sebaliknya dari output ke titik asal.

Jaringan saraf adalah sistem komputasi yang meniru proses pembelajaran otak dengan menggunakan jaringan prosesor yang terhubung satu sama lain dengan menjalankan berbagai operasi secara serentak dan berinteraksi dengan dinamis.

Hotline penipuan adalah nomor telepon yang dapat dihubungi oleh para pegawai untuk melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).
 

BAB 6. Teknik Penipuan dan Penyalahgunaan Komputer

Serangan dan Penyalahgunaan Komputer

Hacking adalah akses, modifikasi, atau penggunaan alat elektronik atau beberapa elemen dari sebuah sistem komputer yang tak sah.

Hijacking adalah pengambilan kendali atas komputer orang lain untuk melakuka aktivitas terlarang tanpa sepengetahuan pengguna komputer yang sebenarnya.

Botnet adalah sebuah jaringan komputer terbajak yang kuat dan berbahaya yang digunakan untuk menyerang sistem atau menyebabkan malware.

Zombie adalah sebuah komputer yang dibajak, biasanya merupakan bagian dari botnet yang dipergunakan untuk melakukan berbagai serangan Internet.

Bot herder adalah seseorang yang menciptakan botnet dengan memasangkan perangkat lunak pada PC yang merespons intruksi elektronik milik bot herder.

Serangan denial-of-service adalah sebuah serangan komputer di mana penyerang mengirimkan sejumlah bom e-mail atau permintaan halaman web, biasanya dari alamat salah yang diperoleh secara acak, agar server e-mail atau web server yaitu penyedia layanan internet kelebihan beban dan ditutup.

Spamming adalah secara bersamaan mengirimkan pesan yang tak diminta ke banyak orang pada saat yang sama, biasanya berupa upaya untuk menjual sesuatu.

Serangan kamus adalah menggunakan perangkat lunak khusus untuk menebak alamat e-mail perusahaan dan mengirimkan pesan e-mail kosong. Pesan yang tidak kembali biasanya merupakan alamat e-mail yang valid, sehingga dapat ditambahkan pada daftar alamat e-mail pelaku spamming.

Splog adalah spam blog yang diciptakan untuk meningkatkan situs Google PageRank, yang merupakan intensitas sebuah halaman situs yang direferensikan oleh halaman situs lainnya.

Spoofing adalah mengubah beberapa bagian dari komukasi elektronik untuk membuat seolah-olah orang lain yang mengirimkannya agar mendapatkan kepercayaan dari penerima. Spoofing memiliki beberapa bentuk yaitu :

• E-mail spoofing
• Caller ID spoofing
• IP address spoofing
• Address Resolution Protocol (ARP) spoofing
• MAC address
• SMS spoofing
• Web-page spoofing 
• DNS spoofing

Serangan zero-day adalah sebuah serangan di antara waktu ketentangan sebuah perangkat lunak baru ditemukan dan "merilisnya sembarangan" dan saat sebuah pengembang perangkat lunak merilis patch untuk memperbaiki masalah.

Patch adalah kode yang dirilis pengembang perangkat lunak yang memperbaiki kerentanan perangkat lunak tertentu.

Serangan limpahan buffer adalah ketika jumlah data yang dimasukkan ke dalam sebuah program lebih banyak daripada jumlah dari input buffer.

Serangan injeksi SQL adalah menyisipkan query SQL berbahaya pada input sehingga query tersebut lolos dan dijalankan oleh sebuah program aplikasi.

Serangan man-in-the-middle (MITM) adalah seorang hacker menempatkan dirinya diantara seorang klien dan host untuk memotong komunikasi di antara mereka.

Masquerading atau impersonation adalah berpura-pura menjadi pengguna yang sah untuk mengakses sebuah sistem.

Pemecahan kata sandi adalah memasuki pertahanan sebuah sistem, mencuri file yang memuat kata sandi valid, mendeskripsinya, dan menggunkannya untuk mendapatkan akses atas program, file, dan data.

War driving adalah berkendara mencari jaringan nirkabel rumah atau perusahaan yang tidak terlindungi.

War dialing adalah memrogram sebuah komputer untuk menghubungi ribuan sambungan telepon untuk mencari dial-up modem lines,

War rocketing adalah menggunakan roket untuk melepaskan titik akses nirkabel yang terhubung pada parasut yang mendeteksi jaringan nirkabel tidak aman.

Data didding adalah mengubah data sebelum atau selama entri kedalam sebuah sistem komputer untuk menghapus, mengubah, menambah, atau memperbarui data sistem kunci yang salah.

Kebocoran data adalah menyalin data perusahaan tanpa izin, sering kali tanpa meninggalkan indikasi bahwa ia telah disalin.

Teknik salami adalah pencurian sebagian kecil uang dari beberapa rekening yang berbeda.

Spionase ekonomi adalah mencuri informasi, rahasia dagang, dan kekayaan intelektual.

Pemerasan dunia maya adalah ancaman untuk membahayakan sebuah perusahaan atau seseorang jika sejumlah uang tertentu tidak dibayarkan.

Cyber-bullying adalah menggunakan teknologi komputer untuk mendukung perilaku yang disengaja, berulang, dan bermusuhan yang menyiksa, mengancam, mengusik, menghina, mempermalukan, atau membahayakan orang lain.

Sexting adalah tukar menukar pesan teks dan gambar yang terang-terangan bersifat seksual dengan orang lain, biasanya menggunakan perantara telepon.

Terorisme Internet adalah menggunaka internet untuk mengganggu perdagangan elektronik serta membahayakan komputer dan komunikasi.

Misinformasi Internet adalah menggunakan Internet untuk menyebarkan informasi palsu atau menyesatkan.

Penipuan lelang Internet adalah menggunakan situs lelang Internet untuk menipu orang lain.

Penipuan pump-and-dump Internet adalah menggunakan Internet untuk menaikkan harga saham kemudian menjualnya.

Penipuan klik adalah memanipulasi jumlah waktu iklam yang di klik untuk meningkatkan tagihan periklanan.

Pembajakan perangkat lunak adalah menyalin atau mendistribusikan perangkat lunak berhak cipta tanpa izin.

Rekayasa Sosial 

Rekayasa Sosial adalah teknik atau trik psikologis yang digunakan agar orang-orang mematuhi keinginan pelaku dalam rangka untuk mendapatkan akses fisik atau logis ke sebuah bangunan, komputer, server, atau jaringan. Biasanya untuk mendapatkan informasi yang dibutuhkan untuk mendapatkan data rahasia.

Menetapkan prosedur dan kebijakan berikur, dan melatih orang-orang untuk mengikutinya, dapat membantu meminimalkan rekayasa sosial :

1. Jangan pernah membiarkan orang mengikuti anda ke bangunan yang terlarang.
2. Jangan log in ke komputer orang lain, terutama jika anda memiliki akses administratif.
3. Jangan pernah memberikan informasi sensitif melalui telepon atau e-mail.
4. Jangan pernah membagikan kata sandi atau ID pengguna.
5. Waspadalah bila orang yang tidak anda kenal berusaha mendapatkan akses melalui anda.

Pencurian identitas adalah mengambil identitas seseorang, biasanya untuk kepentingan ekonomi dengan mendapatkan dan menggunakan informasi rahasia secara  ilegal, seperti nomor social security, nomor rekening bank, atau kartu kredit.

Pretexting adalah menggunakan skenario diciptakan (dalih) untuk meningkatkan kecenderungan agar korban membocorkan informasi atau melakukan sesuatu.

Posing adalah menciptakan bisnis yang terlihat sah, mengumpulkan informasi pribadi sambil melakukan penjualan, tetapi tidak pernah mengirimkan barang.

Pharming adalah mengarahkan lalu lintas situs web ke situs web palsu.

Tabnapping adalah secara diam-diam mengubah tab dari browser yang dibuka untuk mendapatkan ID dan kata sandi pengguna ketika korban masuk kembali ke dalam situs.

Skimming adalah penggesekan ganda kartu kredit pada terminal yang sah atau menggesekkan kartu secara diam-diam pada pembaca kartu yang kecil dan tersembunyi untuk merekam data kartu kredit untuk penggunaan berikutnya.

Chipping adalah berpura-pura sebagai seorang jasa ahli dan menanamkan chip kecil untuk merekan data transaksi pada sebuah pembaca kartu yang sah.

Menguping adalah mendengarkan komunikasi pribadi atau menyadap ke dalam transaksi data.

Malware

Malware adalah segala perangkat lunak yang digunakan untuk membahayakan.

Spyware adalah perangkat lunak yang secara diam-diam mengawasi dan mengumpulkan informasi pribadi mengenai pengguna dan mengirimkannya kepada orang lain, biasanya tanpa izin pengguna komputer.

Scareware adalah perangkat lunak berbahaya tidak ada manfaat yang dijual menggunakan taktik menakut-nakuti.

Ransomware adalah perangkat lunak yang mendeskripsikan program dan data sampai sebuah tebusan dibayarkan untuk menghilangkannya.

Bluesnarfing adalah mencuri daftar kontak, gambar, dan data lain dengan menggunakan Bluetooth.

Bluebugging adalah mengambil kendali atas telepon orang lain untuk membuat atau mendengarkan panggilan, mengirim atau membaca pesan teks, menghubungkan ke Internet, meneruskan panggilan korban, dan menghubungi nomor yang membebankan tarif.

BAB 5. PENIPUAN KOMPUTER

Sabotase adalah tindakan yang disengaja di mana tujuannya adalah untuk menghancurkan sistem atau beberapa komponennya.

Cookie adalah sebuah file teks yang diciptakan oleh situs dan disimpan pada hard drive pengunjung. Cookies menyimpan informasi tentang siapa pengguna dan apa yang telah dilakukan di situs.

Pendahuluan Untuk Penipuan
Penipuan adalah mendapatkan keuntungan yang tidak jujur dari orang lain. Secara legal, untuk tindakan dikatakan curang maka harus ada :

1. Pernyataan, representasi, atau pengungkapan yang salah
2. Fakta material, yaitu sesuatu yang mestimulasi seseorang untuk bertindak
3. Niat untuk menipu
4. Kepercayaan yang dapat dijustifikasi
5. Pencederaan atau kerugian yang diderita oleh korban

Kriminal kerah putih, umumnya para pelaku bisnis yang melakukan penipuan. Kejahatan kerah putih biasanya digunakan untuk menipu atau memperdaya, dan kejahatan mereka biasanya melibatkan pelanggaran kepercayaan atau keyakinan.

Korupsi adalah perilaku tidak jujur yang sering kali melibatkan tindakan yang tidak terlegitimasi, tidak bermoral, atau tidak kompatibel dengan standar etis. Contohnya penyuapan.

Penipuan investasi adalah misrepresentasikan atau meninggalkan fakta untuk mempromosikan investasi yang menjanjikan laba fantastik dengan sedikit atau bahkan tidak ada risiko.

Penyalahgunaan aset adalah pencurian aset perusahaan oleh karyawan.

Kecurangan pelaporan keuangan sebagai perilaku yang disengaja atau ceroboh, apakah dengan tindakan atau kelalaian, yang menghasilkan laporan keuangan menyesatkan secara material.

Segitiga Penipuan

Tekanan adalah dorongan atau motivasi seseorang untuk melakukan penipuan.

Kesempatan adalah kondisi atau situasi yang memungkinkan seseorang atau organisasi untuk melakukan dan menyembunyikan tindakan yang tidak jujur dan mengubahnya menjadi keuntungan pribadi. Kondisi atau situasi tersebut berupa :

1. Melakukan penipuan
2. Menyembunyikan penipuan
3. Mengonversikan pencurian atau misrepresentasi untuk keuntungan personal

Lapping adalah menyembunyikan pencurian uang tunai melalui serangkaian penundaan dalam posting koleksi untuk piutang.

Cek kiting adalah membuat kas dengan menggunakan jeda antara waktu cek didepositkan dengan waktu dicairkan di bank.

Rasionalisasi adalah alasan yang digunakan para pelaku penipuan untuk membenarkan perilaku ilegal mereka.

Penipuan Komputer
Penipuan komputer adalah setiap penipuan yang mensyaratkan teknologi komputer untuk melakukan penipuan. Contohnya meliputi :

• Pencurian, penggunaan, akses, modifikasi, penyalinan
• Pencurian aset yang ditutupi dengan mengganti catatan komputer
• Memperoleh informasi atau properti tak berwujud secara ilegal dengan menggunakan komputer.

Penipuan komputer meningkat secara cepat karena alasan berikut ini :

1. Tidak semua orang sependapat dengan apa yang termasuk penipuan komputer.
2. Banyak contoh penipuan komputer tidak terdeteksi.
3. Persentase penipuan yang tinggi tidak dilaporkan.
4. Banyak jaringan yang tidak aman.
5. Situs internet menawarkan instruksi langkah demi langkah pada bagaimana melakukan penipuan komputer dan penyalahgunaan.
6. Penegak hukum tidak dapat menjaga pertumbuhan penipuan komputer.
7. Menghitung kerugian sangat sulit.

Penipuan prosesor adalah penggunaan sistem yang tidak sah, termasuk pencurian waktu dan layanan komputer.

Mencegah dan Mendeteksi Penipuan dan Penyalahgunaan
Untuk mencegah penipuan, organisasi harus membuat iklim yang membuat penipuan agar tidak terjadi, meningkatkan perbedaan dalam melakukannya, meningkatkan metode pendeteksian, dan mengurangi jumlah kerugian jika penipuan terjadi.