Académique Documents
Professionnel Documents
Culture Documents
8D/16
RESUME CHAPTER 4
SECURITY PART II: AUDITING DATABASE SYSTEMS
Flat file adalah file data yang berisi catatan tanpa hubungan yang terstruktur ke file lain.
Pendekatan flat-file paling sering dikaitkan dengan apa yang disebut sistem warisan
(legacy system).
Lingkungan flat-file mendorong pendekatan pandangan single-user terhadap
manajemen data di mana end user memiliki file data mereka dan bukan berbagi dengan
pengguna lain. File-file yang ada terstruktur, diformat, dan disusun untuk memenuhi
kebutuhan pemiliknya.
Tipe manajemen data ini menciptakan redundansi data yang menyebabkan masalahmasalah berikut ini.
a) Penyimpanan data
b) Pembaruan data
c) Peredaran informasi
Jika update informasi tidak disebarluaskan dengan benar, perubahan tidak akan
tercermin dalam beberapa data pengguna, sehingga keputusan berdasarkan
informasi usang
d) Ketergantungan Task-Data, yaitu ketidakmampuan pengguna untuk
mendapatkan informasi tambahan sesuai perubahan kebutuhannya
Pendekatan Database
Akses terhadap sumber daya data dikontrol oleh database management system
(DBMS). DBMS adalah suatu sistem software khusus yang diprogram untuk
mengetahui elemen data mana yang dapat diakses oleh pengguna.
Pendekatan ini memusatkan data organisasi ke dalam database umum, yang di-share
oleh pengguna lain. Dengan data perusahaan di satu lokasi pusat, semua pengguna
memiliki akses ke data yang mereka butuhkan untuk mencapai tujuan masingmasing. Dengan berbagi data, permasalahan tradisional yang terkait dengan
pendekatan flat-file dapat diatasi.
Fitur-fitur umum
a) Program development.
Programmer dan end user dapat membuat aplikasi untuk mengakses database.
b) Backup and recovery.
Selama pemrosesan, DBMS membuat salinan cadangan dari database fisik.
Apabila terjadi kejadian yang mengakibatkan database tidak dapat digunakan,
DBMS dapat pulih kembali ke kondisi semula.
c) Database usage reporting.
Fitur ini merekam statistik mengenai data apa yang sedang digunakan, kapan
data tersebut digunakan, dan siapa yang menggunakan data tersebut.
d) Database access.
Terdapat tiga modul software yang memfasilitasi fitur ini, antara lain yaitu Data
Definition Language (DDL), Data Manipulation Language, dan Query
Language.
Pengguna (Users)
DBA bertanggung jawab untuk mengelola sumber daya database. Berbagi database
umum oleh banyak pengguna membutuhkan organisasi, koordinasi, peraturan, dan
panduan untuk melindungi keutuhan database.
Tugas DBA meliputi perencanaan database; desain database; implementasi, operasi,
dan pemeliharaan database; serta pertumbuhan dan perubahan database.
Database Fisik
Database fisik terdiri dari titik-titik magnetik pada disk yang berlapis logam. Tingkat
lain dari database (tampilan pengguna, pandangan konseptual, dan pandangan
internal) adalah representasi abstrak dari tingkat fisik. Pada tingkat fisik, database
membentuk kumpulan logis dari catatan dan file yang merupakan sumber daya data
perusahaan.
Struktur data memungkinkan record untuk ditempatkan, disimpan, dan diambil, dan
memungkinkan perpindahan dari satu record ke yang lain. Struktur data memiliki
dua komponen mendasar: organisasi dan metode akses.
a) Organisasi suatu file merujuk pada cara bagaimana record disusun secara fisik
pada alat penyimpanan sekunder
b) Metode akses data merupakan suatu teknik yang digunakan untuk
menempatkan record dan mengarahkannya melalui database.
Model-model DBMS
Sebuah model data adalah representasi abstrak dari data tentang entitas, termasuk
sumber daya (aset), peristiwa (transaksi), dan agen (personil atau pelanggan, dll) dan
hubungan mereka dalam sebuah organisasi. Tujuan dari model data adalah untuk
mewakili atribut entitas dengan cara yang dimengerti oleh pengguna.
Terdapat tiga model DBMS, yaitu model hirarkis, jaringan, dan relasional.
a) Model hirarkis (hierarchical model)
- Merupakan sistem manajemen data yang paling awal dan merupakan
metode representasi data yang paling populer karena mencerminkan banyak
aspek dalam organisasi yang memiliki hubungan yang hirarkis.
- Model hirarkis merupakan database navigasi (navigational database) karena
melintasi file memerlukan mengikuti jalan yang telah ditetapkan. Model
hirarkis dibangun dari set yang menggambarkan hubungan antara dua file
terkait. Setiap set berisi parent dan child.
b) Model jaringan (network model)
- Model ini dikembangkan oleh Committee on Development of Applied
Symbolic Language (CODASYL). Contoh paling populer adalah IDMS
(integrated database management system).
- Sama dengan model hirarkis, model jaringan merupakan database navigasi
dengan hubungan eksplisit antara record dan file. Perbedaannya adalah
bahwa dalam model jaringan mengijinkan satu child memiliki banyak parent.
c) Model relasional
- E.F. Codd awalnya mengajukan prinsip model relasional pada akhir 1960an.
Model resmi memiliki dasar dalam aljabar relasional dan sekumpulan teori,
yang menyediakan dasar teoritis untuk sebagian besar operasi manipulasi
data yang digunakan.
- Perbedaan paling jelas antara model relasional dan model navigasi adalah
cara di mana hubungan data direpresentasikan kepada pengguna.
Database Terdistribusi
Konkurensi database adalah keberadaan data yang lengkap dan akurat pada semua
situs pengguna. Karena implikasi terhadap keakuratan catatan akuntansi, masalah
konkurensi adalah masalah yang menjadi perhatian bagi auditor.
Metode yang umum digunakan untuk kontrol konkurensi adalah serialisasi transaksi,
dengan memberi label pada masing-masing trasaksi dengan dua kriteria:
- Kelompok software transaksi khusus ke dalam kelas-kelas, untuk
mengidentifikasi potensi konflik.
- Memberikan time-stamp pada masing-masing transaksi.
Pengendalian Backup
Dirancang untuk memastikan bahwa apabila terjadi kehilangan data akibat akses
yang tidak terotorisasi, kegagalan peralatan, atau bencana fisik, organisasi dapat
memulihkan databasenya.
Kontrol backup dalam lingkungan flat-file
- Teknik Backup GPC (grandparentparentchild)
File induk saat ini (induk) diproses terhadap file transaksi untuk menghasilkan
file induk yang baru diperbarui (anak). Dengan transaksi batch berikutnya,
anak menjadi file induk saat ini (orang tua), dan orang tua asli menjadi
file cadangan (kakek-nenek). Ketika nomor yang dikehendaki dari salinan
cadangan tercapai, file backup tertua dihapus.
- Backup file akses langsung (direct access file backup)
Value data pada file-file akses langsung diubah pada tempatnya melalui
penggantan destruktif (destructive replacement sekali value data diubah,
value aslinya dirusak) sehingga hanya satu versi yang eksis; file-file akses
langsung harus disalin sebelum diperbarui untuk memberikan backup.
- Penyimpanan off-site
Sebagai pengaman tambahan, file-file backup yang dibentuk dengan GPC dan
akses langsung harus disimpan secara off-site di lokasi yang aman.
Tujuan audit terkait dengan backup flat-file adalah untuk memverifikasi apakah
kontrol backup dilakukan dengan efektif dalam melindungi file data dari kerusakan
fisik, kehilangan, penghapusan yang tidak disengaja, dan korupsi data melalui
kegagalan sistem dan kesalahan program.
Prosedur audit untuk menguji kontrol backup flat-file
- Auditor harus memilih sampel dan menentukan dari dokumentasi sistem
bahwa jumlah file backup GPC yang ditentukan untuk masing-masing sistem
telah memadai.
- Auditor harus memverifikasi melalui observasi fisik bahwa file transaksi yang
digunakan untuk merekonstruksi file induk juga ditahan.
- Auditor harus memilih sampel aplikasi dan megidentifikasi file akses langsung
yang sedang diperbarui pada masing-asing sistem.
- Auditor harus memverifikasi eksistensi dan kecukupan penyimpanan off-site.
Pengendalian backup dalam lingkungan database
- Backup keseluruhan database secara periodik.
- Log transaksi (jurnal) untuk menyediakan jejak audit dari semua transaksi
yang diproses.
- Fitur cekpoin (checkpoint feature), untuk menangguhkan semua pengolahan
data sementara sistem merekonsiliasi log transaksi dan log perubahan
database terhadap database.
- Modul pemulihan (recovery module), untuk me-restart sistem setelah
mengalami kegagalan dengan menggunakan log dan file-file backup.
Tujuan audit terkait dengan backup database untuk memverifikasi bahwa kontrol
terhadap sumber daya data cukup untuk menjaga keutuhan dan keamanan fisik
database.
Prosedur audit untuk menguji kontrol backup database
- Auditor harus memverifikasi apakah backup dilakukan secara rutin dan sering
untuk memfasilitasi pemulihan dari kehilangan, kerusakan, atau korupsi data
tanpa pemrosesan yang berlebihan.
- Auditor harus memverifikasi bahwa prosedur backup otomatis telah ada dan
berfungsi, serta bahwa salinan database disimpan secara off-site untuk
kemanan yang lebih jauh lagi.