Information Technology Auditing adn Assurance 3rd ed –J.Hall 2011 Chapter IV - Security Part II: Auditing Database System Chapter ini membahas mengenai keamanan dan kendali atas database organisasi.
A. Management Approach atas database, ada 2: 1. Flat-File Approach: data file dicatat secara terpisah dan tidak saling terkoneksi satu sama lain. Pendekatan ini memiliki 4 masalah yang signifikan: a. Data Storage: data yang terduplikasi dan ter pisah memakan penyimpanan yang besar dan sulit untuk diakses. b. Data Updating: karena data terpisah, maka update dilakukan sendiri-sendiri c. Currency of Information: karena masalah data updating, data mungkin tidak sinkron dan usang d. Task-Data Dependency: user hanya bisa dekerja berdasarkan data yang dalam kendalinya. 2. Database Approach: mensentralisasi data organisasi yang dibagi kepada user dengan database management system (DBMS). Database approach berusaha menanggulangi permasalahan pada flat-file approach. B. Elemen Kunci dalam Database Environment 1) DBMS memiliki 4 fitur utama: a. Program Development b. Backup and recovery c. Database Usage Reporting d. Database Access Cara kerja DBMS: (Figure 4.3)
Eko Sulistyono | 8C Akuntansi | 2014|Page 1
Information Technology Auditing adn Assurance 3rd ed –J.Hall 2011 2) Data Definition Language (DDL): bahasa yang mengidentifikasi hubungan antar data, elemen, dan file dalam database. Pendefinisian ini ada tiga tingkat: a. Internal/Physical View b. Conceptual/Logical View (Schema) c. External/User View (Subschema) 3) USERS (Pengguna): pengguna dapat mengakses database dengan dua cara: a. Formal Access (Application Interface): yaitu melalui program yang sudah disiapkan. User mengunakan tanpa mengetahui DBMS dan seolah-oleh masih menggunakan flat-file database. Formal access mengunakan Data Manipulation Language (DML) untuk memperoelh, memproses, dan menyimpan data. b. Informal Access (Query Language): metode untuk mengekstrak data secara langsung. Menggunakan Structured Query Language (SQL) untuk melakukan perintah. 4) DATABASE Administrator: berfungsi untuk: Database Planning, Design, Implementation, Operation and Maintenance, Change an Growth. 5) DATABASE FISIK: satu-satunya database dalam bentuk fisik, bagaimana disk/storage dikelola. Struktur brik dari disk berpengaruh terhadap bagaimana database berpindah atau diubah dari disk. Data Organization adalah pengorganisasian dimana dan bagaimana storage device disimpan. Data access methods adalah bagaimana database dalam storage device dapat diakses. 6) DBMS Models: a. Hierarchical Model: DBMS disusun sesaca hirarki, kadang sesuai atau mirip dengan hirarki organisasi. Contoh yang paling mirip adalah Information Management System (IMS) IBM. Kelemahan model ini adalah 1) Parent record mungkin memiliki dua atau lebih child record; dan 2) child record hanya mempunyai satu parent record. Dalam model ini, data association terbilang rendah. b. Network Model: database disusun berdasarkan gugus tugas. Bentuk yang diperkenalkan adalah dengan Committee on Development of Applied S ymbolic Languages ( CODASYL). c. Ralational Model: database berelasi satu sama lain, tapi masih dalam bentuk terpisah. Dihubungkan dengan algoritma tersendiri. C. Database dalam lingkungan yang terdistribusi 1) Centralized Database: Unit-unit client di lokasi yang terpisah mengirimkan permintaan data ke lokasi pusat yang memproses permintaan dan mengirin data kembali ke unit client yang memintanya. 2) Distributed Database: a. Partitioned Database: database didistribusi ke segmen-segmen. Keuntungannya: data dapat lebih dekat diolah oleh penguna utama dan lebih terjaga dari bencana. Kelamahannya, ada kemungkinan terjadi Deadlock Phenimenon. b. Replicated Database: data diduplikasi kepada setiap klien, karena pengunaan data sangat besar dan tidak terdefinisi siapa pengguna utama. 3) Congcurrency Control: memastikan bahwa data tersedia secara lengkap dan akurat disetiap sites pengguna. Dua cara yang lazim digunakan adalah grouping transaction dan scheduling transaction. Selain itu, metode dan model yang digunakan harus sesuai dengan kebutuhan. D. Mengendalikan dan Mengaudit DMS 1) Access Control: mencegah akses yang tidak diinginkan at as individu untuk melihat, memperoleh, merusak, atau menghacurkan data. Beberapa contohnya adalah: a. User Views: pembatasan data apa saja yang bisa dilihat oleh user yang sudah ditentukan. b. Database Authorization Table: mengatur/membatasi kegiatan yang dapat dilakukan user. c. User-Defined Procedures: lapis keamanan untuk identifikasi pengguna sebelum bisa mengakses database d. Data Encryption: chapter sebelumnya. Eko Sulistyono | 8C Akuntansi | 2014|Page 2
Information Technology Auditing adn Assurance 3rd ed –J.Hall 2011 e. Biometric Device: alat otentikasi dengan menganalisa karekteristik seperti sidik jari, suara, retina, atau tanda tangan. f. Inference Controls: mencegah adanya akses yang tidak diinginkan melalui permainan akses yang diperbolehkan. Pengendalian inferensi berusaha mencegah tiga komponen basis data, yaitu kompromi positif (pengguna menentuka nilai tertentu daru suatu item data), kompromi negative (pengguna menentukan bahwa suatu item data tidak memiliki nilai tertentu), dan kompromi perkiraan (pengguna tidak bisa menentukan nilai yang tepat dari suatu item namun mampu memperkirakannya dengan keakuratan yang memadai guna melanggar kerahasiaan data). Tujuan Audit terkait Akses Database: memastikan bahwa akses datebase diberikan sesuai kebutuhan user. 2) Backup Control: - Flat-File Environment: a. GPC (grandparent-parent-children) Backup technique: master database semula (parent) akan digantikan oleh children sebagai master database yang baru (parent) dan parent menjadi grandparent, dst. Jumlah generasi akan menjadi banyak dan jumlah yang sesuai perlu ditentukan oleh menejemen atau auditor. b. Direct Access File Backup: database yang baru akan sepenuhnya menggantikan data lama, dan backup dilakukan tepat sebelum database diganti. c. Off-Site Storage : database cadangan yang berada terpisah secara fisik dari sistem utama. - Database Environment: a. Backup yang periodik, otomatis, dan disimpan di lokasi terpisah b. Transaction Log (Journal) c. Checkpoint Feature: cekpoin dimana proses akan parkir atau menunggu saat server dalam quite state karena transaction log dan database log direkonsiliasi. d. Recovery Module: prosedur pengembalian database saat terjadi kegagalan sistem. Tujuan Audit terkait Backup: memastikan bahwa terdapat kendali yang cukup untuk menjaga integritas dan keamanan fisik database.
--- Jangan pikirkan kegagalan kemarin --hari ini sudah lain sukses pasti diraih selama semangat masih menyengat
Eko Sulistyono | 8C Akuntansi | 2014|Page 3