Operating System control
Memisahkan tugas dan fungsi IT merupakan hal yang penting. Fungsi ini pada dasarnya tidak kompatibel, apabila di kombinasikan, fungsi ini memungkinkan terjadinya kesalahan ataupun penipuan yang sulit untuk di deteksi. Dengan pengetahuan mendetail tentang aplikasi parameter logika dan kontrol serta akses ke sistem operasi dan utilitas komputer, seorang individu dapat membuat perubahan yang tidak sah ke aplikasi selama pelaksanaannya.
Beberapa prosedur yang digunakan dalam pengendalian operating system adalah :
1,Mengendalikan Hak Akses
Berikut adalah prosedur audit yang berkaitan dengan hak akses :
- Meninjau kebijakan organisasi untuk memisahkan fungsi yang tidak kompatibel dan memastikan bahwa mereka mempromosikan keamanan yang wajar.
- Meninjau hak istimewa dari pilihan kelompok pengguna dan individu untuk menentukan apakah hak akses mereka sesuai dengan deskripsi pekerjaan dan posisi mereka.
- Meninjau catatan personil untuk menentukan apakah karyawan yang diberi kewenangan menjalani pemeriksaan izin keamanan secara intensif sesuai dengan kebijakan perusahaan.
- Meninjau catatan karyawan untuk menentukan apakah pengguna telah secara formal mengakui tanggung jawab mereka untuk menjaga kerahasiaan data perusahaan.
- Meninjau berapa kali log-on pengguna yang diizinkan. Izin harus sepadan dengan tugas yang dilakukan.
2.Pengendalian Password
Berikut adalah prosedur audit yang berkaitan dengan password antara lain :
- Memverifikasi bahwa semua pengguna diharuskan untuk memiliki password.
- Memverifikasi bahwa pengguna baru diinstruksikan dalam penggunaan password dan pentingnya pengendalian password.
- Meninjau prosedur pengendalian password untuk memastikan bahwa password diubah secara teratur.
- Meninjau file password untuk menentukan bahwa password yang lemah diidentifikasi dan tidak diijinkan.
- Memverifikasi bahwa file password dienkripsi dan bahwa kunci enkripsi telah diamankan dengan baik.
- Menilai kecukupan standar password seperti panjangnya password dan jangka waktu kadaluwarsa password.
- Meninjau kebijakan dan prosedur penguncian (lockout).
3.Pengendalian terhadap program yang berbahaya dan destruktif.
Berikut prosedur audit terkait dengan virus dan program destruktif lainnya, antara lain:
- Melalui interview, menentukan bahwa karyawan operasional telah dididik mengenai virus komputer dan sadar akan risiko penggunaan komputer yang dapat memasukkan dan menyebarkan virus dan program berbahaya lainnya.
- Memverifikasi bahwa software baru telah diuji pada workstation mandiri sebelum diimplementasikan pada host atau jaringan server.
- Memverifikasi bahwa versi terkini software antivirus telah diinstal pada server dan upgrade-nya diunduh secara teratur pada workstation.
4.System Audit Trail Controls.
Berikut prosedur audit terkait dengan system audit trail :
- Memverifikasi audit trail telah diaktivasi berdasarkan kebijakan organisasi.
- Banyak sistem operasi menyediakan penampil log audit yang memungkinkan auditor untuk memindai log untuk aktivitas yang tidak biasa. Ini dapat ditinjau pada layar atau dengan pengarsipan file untuk diperiksa berikutnya.
- Kelompok keamanan organisasi memiliki tanggung jawab untuk memantau dan melaporkan pelanggaran keamanan. Auditor harus memilih sampel kasus pelanggaran keamanan dan mengevaluasi disposisi mereka untuk menilai efektivitas dari kelompok keamanan.