Sabtu, 11 November 2017

Audit Teknologi Sistem Informasi 3



Apa itu IT Forensik?
IT Forensik adalah ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan system informasi serta validasinya menurut metode yang digunakan. IT Forensik memerlukan kahlian di bidang IT (termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software. Definisi sederhana dari IT Forensik, yaitu sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
Menurut Noblett, IT Forensik yaitu berperan untuk menganmbil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer. Sedangkan menurut Judd Robin, IT Forensik yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Mengapa IT Forensik digunakan?
IT Forensik digunakan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Selain itu, bertujuan untuk mengamankan dan menganalisa bukti digital. Berdasarkan data yang diperoleh melalui sebuah survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan komputer dibagi menjadi dua, yaitu:
  1. Computer fraud, yaitu kejahatan atau pelanggaran dari segi sistem organisasi komputer.
  2. Computer crime, yaitu kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Selain tujuan diatas, secara prinsip ada tujuan utama dari aktivitas forensic computer, yaitu:
  1. Untuk membantu memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis digital atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai alat bukti yang sah di pengadilan.
  2. Untuk mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat yang dilakukan oleh kriminal terhadap korbannya.
Siapa ahli IT Forensik?
Seperti halnya dalam dunia nyata, diperlukan pula ahli Forensik Komputer dalam melaksanakan pekerjaan terkait. Jika dilihat dari kompetensi dan keahliannya, seorang ahli forensik komputer yang baik dan lengkap harus memiliki tiga domain atau basis pengetahuan maupun keterampilannya, yaitu:
  1. Segi akademis, paling tidak yang bersangkutan memiliki latar belakang pengetahuan kognitif mengenai cara kerja komputer dalam lingkungan jejaring teknologi informasi dan komputasi, terutama berkaitan dengan hal-hal yang bersifat fundamental dalam pengembangan sistem berbasis digital.
  2. Segi vokasi, dibutuhkan kemampuan untuk melakukan atau kerap disebut sebagai psiko-motorik, karena dalam prakteknya seorang ahli forensik akan melakukan kajian, analisa dan penelitian secara mandiri dengan menggunakan seperangkat peralatan teknis yang spesifik.
  3. Segi profesi, seorang ahli yang baik akan berpegang pada kode etik seorang ahli forensik.
Selain itu, dibutuhkan pula pengalaman yang cukup untuk dapat berkreasi dan berinovasi dalam setiap tantangan kasus forensik. Berdasarkan pengalaman, memang yang paling sulit adalah menyiapkan SDM yang handal di bidang forensik komputer.
IT Audit Trail
Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu table log. Sedangkan IT Audit Trail adalah suatu bagian yang ada dalam program yang dapat mencatat kegiatan-kegiatan audit yang secara rinci dilakukan oleh para penggunanya.
Audit Trail secara default akan mencatat waktu, user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan ini dapat berupa menambah, mengubah, dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu dapat membentuk suatu kronologis manipulasi data. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan dicatat dengan baik.
Cara kerja Audit Trail, yaitu:
–          Audit Trail yang disimpan dalam suatu tabel:
  1. Dengan menyisipkan perintah penambhan record ditiap query Insert, Update, dan Delete.
  2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL Statement yang secara otomatis menyimpan log pada event INSERT, UPDATE, dan DELETE pada sebuah table.
–          Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukkan ke Accurate, jurnalnya akan dicatat di dalam sebuah table, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lama akan disimpan, begitu pula dengan jurnal baru.
–          Hasil Audit Trail akan disimpan dalam bentuk, yaitu:
  1. Binary File: Ukuran tidak besar dan tidak bisa dibaca begitu saja.
  2. Text File: Ukuran besar dan bisa dibaca langsung.
  3. Tabel.
Real Time Audit
Real Time Audit atau RTA adalah suatu system untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan, dimana pun mereka berada. Real Time Audit mendukung semua langkah dari satu proyek dari konsep, mempersiapkan satu usulan penuh, melakukan analisa putusan untuk mengidentifikasi jual system final sehingga ketika untuk memilih proyek terbaik manajemen hak suara kemudian dukungan pembuatan keputusan pada penerimaan atau merosot untuk membuat investasi perlu.
Dalam pengembangan proyek Real Time Audit berfungsi sebagai analisis karena untuk memastikan bahwa kualitas benar, dan berkualitas. Real Time Audit mempunyai kegunaan pengadaan tersesialisasi yaitu dengan memperbolehkan seorang manajer meniliti tawaran bersaing untuk menyediakan baik jasa maupun komponen proyek.
Real Time Audit meneydiakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat terlihat dari manajer kegiatan didanai sehingga untuk memantau kemajuan.
Real Time Audit sangat efektif untuk membangun procedure menjadi perjanjian pembiayaan meliputi proyek atau kegiatan yang bersangkutan. Real Time Audit menyediakan komponen utama yang diperlukan untuk efektif, kegiatan pengelolaan yang efisien dan pengawasan.
Real Time Audit benar-benar transparan dan menyediakan operasi proyek manajer dan donor/sponsor akses langsung informasi apapun yang mereka butuhkan secara online dan cepat. Manfaat Real Time Audit yaitu produktivitas akses informasi ditingkatkan dan sebagai hasilnya jadi jika produktivitas tugas manajemen proyek.
Perbedaan audit around the computer dengan through the computer
Auditing adalah proses sistematik dengan tujuan untuk mendapatkan dan mengevaluasi fakta yang berkaitan dengan asersi mengenai kejadian dan tindakan ekonomi untuk memastikan kesesuaian antara asersi dengan kriteria yang ditetapkan dan mengkomunikasikan hasilnya kepada pemakai yang berkepentingan.
Auditing-around the computer
Pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya berfokus pada input dan output dari sistem komputer.
Kelemahannya:
  1. Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual
  2. Tidak membuat auditor memahami sistem komputer lebih baik
  3. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem.
  4. Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
  5. Kemampuan komputer sebagai fasilitas penunjang audit mubazir
  6. Tidak mencakup keseluruhan maksud dan tujuan audit
CONTOH AROUND THE COMPUTER
1.      Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin) , artinya masih kasat mata dan dilihat secara visual.
2.      Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
3.      Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
4.      Sistem komputer yang diterapkan masih sederhana.
5.      Sistem komputer yang diterapkan masih menggunakan software yang umum digunakan, dan telah diakui, serta digunakan secara massal.
Auditing-through the computer
Pendekatan audit yang berorientasi komputer yang secara langsung berfokus pada operasi pemrosesan dalam sistem komputer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.
CONTOH AUDITING THROUGH THE COMPUTER
1.      Sistem aplikasi komputer memproses input yang cukup besar dan meng-hasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2.      Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
3.      Sistem logika komputer sangat kompleks dan memiliki banyak
fasilitas pendukung.
4.      Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya.
REFERENSI:
http://nti0402.wordpress.com/
http://arifsubarkah.wordpress.com/2010/04/12/perbedaan-auditing-around-the-computer-dan-through-the-computer/
http://supriyaniely.blogspot.com/2013/04/perbedaan-auditing-around-computer-dan.html

Diposting oleh di Tidak ada komentar:

Jumat, 13 Oktober 2017

Audit Teknologi Sistem Informasi 2

Metodologi Audit IT
Di bawah ini adalah tahapan-tahapan dalam metodologi audit IT :
1.      Tahapan Perencanaan
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.      Mengidentifikasikan reiko dan kendali
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
3.      Mengevaluasi kendali dan mengumpulkan bukti-bukti
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
4.      Mendokumentasikan
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.
5.      Menyusun laporan
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

Metodologi audit IT yang biasanya digunakan :
·         CobiT
Dibuat oleh organisasi ISACA (Information systems Audit and Control Association) dan dikembangkan oleh IT Governance Institute. Misi CobiT adalah melakukan penelitian, pengembangan, publikasi dan promosi terhadap control objective dari teknologi informasi yang secara umum diterima di lingkugan internasional untuk pemakaian sehari-hari oleh manager dan auditor.

·         BS7799
Sebuah pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan dan prosedur serta untuk memilih kontrol yang memadai untuk mengelola resiko.





Alasan Menggunakan Audit IT
1. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya.

Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
2. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia.
3. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut.
Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.
4. Kerugian karena penyalahgunaan komputer (Computer Abused)
Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).
  • Hacking - seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat, memodifikasi, atau menghapus program komputer atau data atau mengacaukan sistem.
  • Virus – virus adalah sebuah program komputer yang menempelkan diri dan menjalankan sendiri sebuah program komputer atau sistem komputer di sebuah disket, data atau program yang bertujuan mengganggu atau merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak sistem operasi, program atau data.
Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
  • Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan disalahgunakan.
  • Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau hilang dicuri atau dimodifikasi.
  • Aktivitas operasional rutin akan terganggu.
  • Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir 80% pelaku kejahatan komputer adalah ‘orang dalam’.
5. Nilai hardware, software dan personil sistem informasiDalam sebuah sistem informasi, hardware, software, data dan personil adalah merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
6. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
Manfaat Audit IT
Manfaat pada saat Implementasi (Pre-Implementation Review)
·         Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
·         Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
·          Mengetahui apakah outcome sesuai dengan harapan manajemen.

Manfaat setelah sistem live (Post-Implementation Review)
·    Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
·    Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
·       Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
·         Memberikan reasonable assurance bahwa sistem informasi telah sesuai  dengan kebijakan atau prosedur yang telah ditetapkan.
·   Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
·         Membantu dalam penilaian apakah initial proposed values telah terealisasi  dan saran tindak lanjutnya.

Referensi :
http://demirantiwijaya.blogspot.co.id/2015/05/metodologi-it-audit.html

http://silfisulfiyah.blogspot.co.id/2010/11/mengapa-perlu-audit-sistem-informasi.html
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)