Pages

20 March 2013

Prosedur dan lembar kerja IT audit

Prosedur IT Audit

Kontrol lingkungan:

  • Apakah kebijakan keamanan (security policy) memadai dan efektif ?
  • Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
  • Jika sistem dibeli dari vendor, periksa kestabilan finansial
  • Memeriksa persetujuan lisen (license agreement)

Kontrol keamanan fisik


  • Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
  • Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
  • Periksa apakah rencana kelanjutan bisnis memadai dan efektif
  • Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol keamanan logikal

  • Periksa apakah password memadai dan perubahannya dilakukan reguler
  • Apakah administrator keamanan memprint akses kontrol setiap user
Contoh metodologi Audit IT

  • BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • IT Baseline Protection Manual (IT- Grundschutzhandbuch ) 
  • Dikembangkan oleh GISA: German Information Security Agency 
  • Digunakan: evaluasi konsep keamanan & manual 
  • Metodologi evaluasi tidak dijelaskan 
  • Mudah digunakan dan sangat detail sekali 
  • Tidak cocok untuk analisis resiko 
  • Representasi tdk dalam grafik yg mudah dibaca
Tools yang digunakan untuk Audit IT dan Audit Forensik
Hardware: 

  • Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives 
  • Memori yang besar (1-2GB RAM) 
  • Hub, Switch, keperluan LAN 
  • Legacy hardware (8088s, Amiga, …) 
  • Laptop forensic workstations
Software 

  • Viewers
  • Erase/Unerase tools: Diskscrub/Norton utilities) 
  • Hash utility (MD5, SHA1) 
  • Text search utilities 
  • Drive imaging utilities (Ghost, Snapback, Safeback,) 
  • Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit 
  • Disk editors (Winhex) 
  • Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy) 
  • Write-blocking tools untuk memproteksi bukti bukti.
Sumber : Click Me

Audit Around The Computer & Audit Around The Computer


Audit Through The Computer
Audit melalui komputer menjelaskan berbagai langkah yang diambil oleh auditor untuk mengevaluasi perangkat lunak klien dan perangkat keras untuk menentukan keandalan operasi yang sulit bagi mata manusia untuk melihat dan juga menguji efektivitas operasi pengendalian yang berhubungan dengan komputer, misalnya, kontrol akses.
Audit melalui komputer sudah umum saat ini karena banyak perusahaan / bisnis menggunakan sistem informasi terkomputerisasi dan memiliki kontrol yang signifikan tertanam di dalamnya. Mengabaikan kontrol komputer akan membuat auditor tidak memiliki wawasan yang diperlukan ke dalam efektivitas dan kewajaran pengendalian internal klien. Dan tidak akan melaporkan sesuai dengan hukum dan peraturan yang mengatur audit sebagai profesi.
  Padahal, auditor eksternal sering kali menggunakan teknik ini untuk menguji kontrol dalam aplikasi sederhana, namun, auditor internal lebih sering menggunakan audit melalui teknik komputer untuk memastikan bahwa kesalahan yang mungkin tidak mudah terdeteksi dari output ditemukan dan diperbaiki.

Audit Around The Computer
Audit sekitar komputer adalah salah satu dari beberapa metode yang dapat digunakan auditor untuk mengevaluasi kontrol komputer klien. Dimana pemilihan dokumen sumber secara acak dan memverifikasi output yang sesuai dengan input. Komputerisasi sistem informasi klien memproses 'transaksi test'. Misalnya, mengalikan harga satuan dengan jumlah produk yang dijual untuk memastikan bahwa angka total pendapatan benar.
Tidak ada usaha yang dilakukan untuk membangun dan mengevaluasi keberadaan kontrol. Audit sekitar komputer tepat dalam situasi di mana kontrol komputer yang signifikan tidak diperlukan. Misalnya, audit sekitar komputer dapat digunakan ketika komputer hanya digunakan untuk keperluan perhitungan.
Sumber : Click Me

Perbedaan dari keduaanya adalah
Audit Through The Computer : tahapan atau langkah auditor dalam mengevaluasi software dan hardware klien untuk menentukan keandalannya.
Audit Around The Computer : merupakan salah satu metode yang dipergunakan auditor dalam mengevaluasi kontrol komputer klien, dimana terdapat tahapan pengambilan data sumber secara acak dan memverifikasi output yang sesuai dengan input. Klien

IT Audit Trail, Real time audit, IT forensik

Pengertian IT Audit Trail, Real time audit, IT forensik

Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus.
Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
Cara kerja Audit Trail
Audit Trail yang disimpan dalam suatu tabel :

  1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
  2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.

Fasilitas Audit TrailFasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.


Hasil Audit Trail

Record Audit Trail disimpan dalam bentuk, yaitu :

  • Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja
  • Text File – Ukuran besar dan bisa dibaca langsung
  • Tabel.


Real Time Audit

Real Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan, di mana pun mereka berada. Ini mengkombinasikan prosedur sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan “siklus proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.

RTA menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat “terlihat di atas bahu” dari manajer kegiatan didanai sehingga untuk memantau kemajuan. Sejauh kegiatan manajer prihatin RTA meningkatkan kinerja karena sistem ini tidak mengganggu dan donor atau investor dapat memperoleh informasi yang mereka butuhkan tanpa menuntut waktu manajer.

Penghematan biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan dan meningkat seiring kemajuan teknologi dan teknik dan kualitas pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer

IT Forensik

IT forensik merupakan ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). Definisi sederhana dari IT-Forensik yaitu penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh pada suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. Sedangkan menurut Noblett, IT Forensik yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media computer dan menurut Menurut Judd Robin, IT-Forensik yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.

IT Forensik atau bisa juga disebut Digital Forensik. Ilmu Pengetahuan ini masih sangat baru di Indonesia sehingga seorang ahli atau profesional dalam bidang Digital Forensik masih sangat sedikit. Oleh sebab itu kita sebagai orang awam masih belum mengetahui betul, apa sebenarnya IT Forensik atau Digital Forensik ini. Untuk mengetahuinya mari kita pelajari bersama.

Digital forensik itu turunan dari disiplin ilmu teknologi informasi (information technology/IT) di ilmu komputer, terutama dari ilmu IT security yang membahas tentang temuan bukti digital setelah suatu peristiwa terjadi. Kata forensik itu sendiri secara umum artinya membawa ke pengadilan. Digital forensik atau kadang disebut komputer forensik yaitu ilmu yang menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di pengadilan. Kegiatan forensik komputer sendiri adalah suatu proses mengidentifikasi, memelihara, menganalisa, dan mempergunakan bukti digital menurut hukum yang berlaku.
Sumber : Click Me

Threat melalui IT dan kasus-kasus cyber crime

Jenis-jenis ancaman threat melalui IT dan kasus-kasus cyber Crime

Defenisi dan Pengertian Cyber Crime
Dalam beberapa literatur, cybercrime sering diidentikkan sebagai computer crime. The U.S. Department of Justice memberikan pengertian Computer Crime sebagai: "… any illegal act requiring knowledge of Computer technology for its perpetration, investigation, or prosecution". Pengertian lainnya diberikan oleh Organization of European Community Development, yaitu: "any illegal, unethical or unauthorized behavior relating to the automatic processing and/or the transmission of data". Andi Hamzah dalam bukunya “Aspek-aspek Pidana di Bidang Komputer” (1989) mengartikan cybercrime sebagai kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal. Sedangkan menurut Eoghan Casey “Cybercrime is used throughout this text to refer to any crime that involves computer and networks, including crimes that do not rely heavily on computer“.

Jenis-jenis Katagori CyberCrime
Eoghan Casey mengkategorikan cybercrime dalam 4 kategori yaitu:

  1. A computer can be the object of Crime.
  2. A computer can be a subject of crime.
  3. The computer can be used as the tool for conducting or planning a crime.
  4. The symbol of the computer itself can be used to intimidate or deceive.

Polri dalam hal ini unit cybercrime menggunakan parameter berdasarkan dokumen kongres PBB tentang The Prevention of Crime and The Treatment of Offlenderes di Havana, Cuba pada tahun 1999 dan di Wina, Austria tahun 2000, menyebutkan ada 2 istilah yang dikenal :

  • Cyber crime in a narrow sense (dalam arti sempit) disebut computer crime: any illegal behaviour directed by means of electronic operation that target the security of computer system and the data processed by them.
  • Cyber crime in a broader sense (dalam arti luas) disebut computer related crime: any illegal behaviour committed by means on relation to, a computer system offering or system or network, including such crime as illegal possession in, offering or distributing information by means of computer system or network.

Dari beberapa pengertian di atas, cybercrime dirumuskan sebagai perbuatan melawan hukum yang dilakukan dengan memakai jaringan komputer sebagai sarana/ alat atau komputer sebagai objek, baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain.

Kejahatan yang berhubungan erat dengan penggunaan teknologi yang berbasis komputer dan jaringan telekomunikasi ini dikelompokkan dalam beberapa bentuk sesuai modus operandi yang ada, antara lain:

1. Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatusistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukannya hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi Internet/intranet. Kita tentu belum lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam data base berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang ecommerce yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini beberapa waktu lamany

2. Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke Internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya, pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah dan sebagainya

3. Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless document melalui Internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku karena korban akan memasukkan data pribadi dan nomor kartu kredit yang dapat saja disalah gunakan.

4. Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data pentingnya (data base) tersimpan dalam suatu sistem yang computerized (tersambung dalam jaringan komputer

5. Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan Internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku

6. Offense against Intellectual Property
Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di Internet. Sebagai contoh, peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di Internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya

7. Infringements of Privacy
Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.

Sumber :Click Me

Profesionalisme, kode etik dan ciri profesional bidang IT


Pengertian Prosionalisme dan ciri-cirinya, kode etik profesiaonal dan ciri-ciri seorang profesional di bidang IT

Profesi adalah pekerjaan yang dilakukan sebagai kegiatan pokok untuk menghasilkan nafkah hidup dan yang mengandalkan suatu keahlian.
Profesional adalah orang yang mempunyai profesi atau pekerjaan purna waktu dan hidup dari pekerjaan itu dengan mengandalkan suatu keahlian yang tinggi.
Ciri‐ciri profesionalisme:

  • Punya ketrampilan yang tinggi dalam suatu bidang serta kemahiran dalam menggunakan peralatan tertentu
  • Punya ilmu dan pengalaman serta kecerdasan dalam menganalisis suatu masalah dan peka di dalam membaca situasi cepat dan tepat serta cermat dalam mengambil keputusan terbaik atas dasar kepekaan
  • Punya sikap berorientasi ke depan sehingga punya kemampuan mengantisipasi perkembangan lingkungan yang terbentang di hadapannya
  • Punya sikap mandiri berdasarkan keyakinan akan kemampuan pribadi serta terbuka menyimak dan menghargai pendapat orang lain, namun cermat dalam memilih yang terbaik bagi diri dan perkembangan pribadinya

Sumber : Click Me
Kode etik profesi 
Kode etik profesi merupakan suatu tatanan etika yang telah disepakati oleh suatu kelompok masyarakat tertentu. Kode etik umumnya termasuk dalam norma sosial, namun bila ada kode etik yang memiliki sanksi yang agak berat, maka masuk dalam kategori norma hukum.
Kode Etik juga dapat diartikan sebagai pola aturan, tata cara, tanda, pedoman etis dalam melakukan suatu kegiatan atau pekerjaan. Kode etik merupakan pola aturan atau tata cara sebagai pedoman berperilaku. Tujuan kode etik agar profesional memberikan jasa sebaik-baiknya kepada pemakai atau nasabahnya. Adanya kode etik akan melindungi perbuatan yang tidak profesional

Secara garis besar Kode Etik IT hampir sama dengan Kode Etik profesi pada umumnya. Yaitu :
  • Tidak melakukan pembajakan.
  • Menjaga kerahasiaan data.
  • Komitmen dengan peraturan yang telah disepakati.

Dan masih ada beberapa Kode Etik yang di buat secara spesifik yang untuk kepentingan kelompok itu sendiri. Misalnya : kode etik Hacker atau Cracker, dan Kode Etik dari Kelompok Profesi IT lainnya.
Sumber : Click Me

Ciri seorang profesional di bidang IT :
1. Keterampilan Pendukung Solusi IT
  • Installasi dan Konfigurasi Sistem Operasi (Windows atau Linux)
  • Memasang dan Konfigurasi Mail Server, FTP Server dan Web Server
  • Menghubungkan Perangkat Keras Programming

2. Keterampilan Pengguna IT
  • Kemampuan Pengoperasia Perangkat Keras
  • Administer dan Konfigurasi Sistem Operasi yang mendukung Network
  • Administer Perangkat Keras
  • Administer dan Mengelola Network Security
  • Administer dan Mengelola Database
  • Mengelola Network Security
  • Membuat Aplikasi berbasis desktop atau Web dengan multimedia

3. Pengetahuan di Bidang IT
  • Pengetahuan dasar Perangkat Keras, memahami organisasi dan arsitektur komputer
  • Dasar-dasar telekomunikasi. Mengenal perangkat keras komunikasi data serta memahami prinsip kerjanya

Sumber : Click Me

Etika, Profesi dan ciri khas profesi bidang TI


Pengertian Etika, Profesi dan ciri khas dari profesi di bidang TI

Etika profesi adalah refleksi dari apa yang disebut dengan "self control", karena segala sesuatunya dibuat dan diterapkan dari dan untuk kepentingan kelompok sosial (profesi) itu sendiri. Kehadiran organisasi profesi dengan perangkat "built-in mechanism" berupa kode etik profesi dalam hal ini jelas akan diperlukan untuk menjaga martabat serta kehormatan profesi, dan disisi lain melindungi masyarakat dari segala bentuk penyimpangan maupun penyalahgunaan keahlian. Sebuah profesi hanya dapat memperoleh kepercayaan dari masyarakat, bilamana dalam diri para elit profesional tersebut ada kesadaran kuat untuk mengindahkan etika profesi pada saat mereka ingin memberikan jasa keahlian profesi kepada masyarakat yang memerlukannya.
Sumber : Click Me

Ciri Khas Profesi TI
Menurut Artikel dalam International Encyclopedia of education, ada 10 ciri khas suatu profesi, yaitu:

  1. Suatu bidang pekerjaan yang terorganisir dari jenis intelektual yang terus berkembang dan diperluas
  2. Suatu teknik intelektual
  3. Penerapan praktis dari teknik intelektual pada urusan praktis
  4. Suatu periode panjang untuk pelatihan dan sertifikasi
  5. Beberapa standar dan pernyataan tentang etika yang dapat diselenggarakan
  6. Kemampuan untuk kepemimpinan pada profesi sendiri
  7. Asosiasi dari anggota profesi yang menjadi suatu kelompok yang erat dengan kualitas komunikasi yang tinggi antar anggotanya
  8. Pengakuan sebagai profesi
  9. Perhatian yang profesional terhadap penggunaan yang bertanggung jawab dari pekerjaan profesi
  10. Hubungan yang erat dengan profesi lain

Lalu apa hubungannya etika dengan profesionalisme? Seorang professional tentu saja akan menerapkan keahlian yang dimilikinya kepada masyarakat. Penyalahgunaan atau penyimpangan penggunaan keahlian ini tentu akan sangat merugikan masyarakat. Oleh karena itu diperlukan suatu etika profesi yang dalam hal ini bertindak sebagai “self control”. Karena seorang professional mendapatkan keahliannya melalui proses pendidikan berkualitas tinggi, maka pembentukan etika profesi juga harus dilakukan oleh rekan sejawat, sesama profesi sendiri.
Seharusnya etika dan profesionalime untuk professional TI harus sesuai dengan tujuan etika itu sendiri. Karena Etika dan profesionalisme TSI digunakan/dapat diterapkan ketika seseorang hendak menggunakan teknologi sistem informasi yang ada. Etika dan profesionalisme hendaknya dijalankan setiap waktu pada saat yang tepat. Sebuah pertanggung-jawaban dari suatu etika dan profesionalisme harus nyata.
Sumber : Click Me