Resume Kegiatan Belajar Mengajar Minggu 11 - 14 untuk Mata Kuliah Audit Teknologi Sistem Informasi (ATSI)

  ASPEK-ASPEK DI DALAM APPLICATION CONTROL FRAMEWORK DAN PROSES PENGUMPULAN BUKTI

PENDAHULUAN

 Dalam era digital yang semakin maju, keamanan dan integritas sistem informasi menjadi aspek kritis bagi organisasi. Salah satu kerangka kerja yang digunakan untuk memastikan keandalan aplikasi adalah *Application Control Framework* (ACF). Kerangka ini mencakup berbagai kontrol yang dirancang untuk melindungi aplikasi dari risiko seperti kesalahan data, penyalahgunaan, dan serangan siber. Dengan menerapkan ACF, organisasi dapat memastikan bahwa data diproses secara akurat, konsisten, dan aman sepanjang siklus hidupnya.

Salah satu komponen utama dalam ACF adalah pengelompokan kontrol ke dalam lima tema utama, yaitu boundary control, input control, communication control, processing control, dan database control. Setiap tema ini memiliki peran spesifik dalam mengamankan aplikasi, mulai dari pengaturan akses, validasi masukan, pengamanan pertukaran data, hingga perlindungan basis data. Pemahaman mendalam tentang kelima aspek ini sangat penting untuk membangun sistem yang tangguh dan meminimalkan kerentanan.

Selain implementasi kontrol, proses pengumpulan bukti juga menjadi bagian tak terpisahkan dalam memastikan efektivitas ACF. Bukti-bukti ini diperlukan untuk memverifikasi kepatuhan terhadap kebijakan keamanan, mendeteksi anomali, serta memenuhi persyaratan audit dan regulasi. Dengan menggabungkan kontrol yang kuat dan metodologi pengumpulan bukti yang sistematis, organisasi dapat meningkatkan transparansi, akuntabilitas, dan kepercayaan pengguna terhadap sistem yang digunakan.

 

MATERI UTAMA

1. BOUNDARY CONTROL

    Boundary Control mengatur batasan akses ke dalam sistem atau aplikasi untuk mencegah akses yang tidak sah. Kontrol ini memastikan hanya pengguna yang berwenang (authorized users) yang dapat masuk ke sistem. Terdapat 3 cara kerjanya:

• Autentikasi: Memverifikasi identitas pengguna melalui username/password, biometrics, atau multi-factor authentication (MFA).
• Autorisasi: Menentukan hak akses pengguna (role-based access control/RBAC).
• Session Management: Mengelola durasi dan keamanan sesi pengguna (timeout, logout otomatis).

Firewall, VPN, dan jaringan terisolasi untuk membatasi akses eksternal. Pencatatan log (logging) untuk melacak upaya akses ilegal.

 

2. INPUT CONTROL

    Input Control memastikan bahwa data yang dimasukkan ke dalam sistem valid, lengkap, dan bebas dari kesalahan atau manipulasi.

• Validasi Data: Memeriksa format, tipe data, dan range nilai (contoh: tanggal harus dalam format DD/MM/YYYY).
• Sanitasi Input: Menghilangkan karakter berbahaya (SQL injection, XSS) sebelum diproses.
• Batch Control: Memeriksa kelengkapan data dalam proses input massal.

Penggunaan CAPTCHA untuk mencegah input otomatis oleh bot. Checksum atau hash untuk memastikan integritas data.

 

3. COMMUNICATION CONTROL

Communication Control melindungi pertukaran data antara sistem, aplikasi, atau pengguna untuk mencegah penyadapan, modifikasi, atau gangguan.

• Enkripsi: Menggunakan protokol seperti TLS/SSL untuk mengamankan data dalam transit.
• Digital Signature: Memastikan keaslian dan integritas pesan.
• Network Segmentation: Memisahkan jaringan internal dan eksternal untuk mengurangi risiko serangan.

 Penggunaan VPN untuk koneksi remote yang aman. Intrusion Detection System (IDS) untuk memantau lalu lintas mencurigakan.

4. PROCESSING CONTROL

Processing Control memastikan bahwa data diproses secara akurat, konsisten, dan sesuai aturan bisnis.

• Batch Processing Verification: Memvalidasi hasil proses batch (contoh: rekonsiliasi total transaksi).
• Sequence Check: Memastikan urutan proses tidak terlewat (contoh: nomor invoice berurutan).
• Error Handling: Mendeteksi dan menangani kesalahan selama pemrosesan.

Audit trail untuk melacak perubahan data selama pemrosesan. Pembatasan privileged access untuk mencegah manipulasi proses.

 

5. DATABASE CONTROL

Database Control melindungi integritas, kerahasiaan, dan ketersediaan data dalam penyimpanan.

• Backup & Recovery: Memastikan data dapat dipulihkan jika terjadi kegagalan.
• Database Encryption: Mengenkripsi data sensitif (seperti PII atau financial data).
• Access Control: Membatasi akses ke tabel atau query tertentu berdasarkan role.

Database Activity Monitoring (DAM) untuk mendeteksi akses tidak sah. Masking atau anonymization data untuk pengujian tanpa ekspos data nyata.

 

KESIMPULAN

    Lima tema ACF saling melengkapi untuk membangun sistem yang aman dan andal. Implementasinya harus disertai dokumentasi dan pengumpulan bukti untuk memenuhi standar regulasi (seperti ISO 27001 atau PCI DSS). Kombinasi kontrol teknis dan prosedural akan meminimalkan risiko keamanan dan operasional.Lima tema ACF saling melengkapi untuk membangun sistem yang aman dan andal. Implementasinya harus disertai dokumentasi dan pengumpulan bukti untuk memenuhi standar regulasi (seperti ISO 27001 atau PCI DSS). Kombinasi kontrol teknis dan prosedural akan meminimalkan risiko keamanan dan operasional