Senin, 15 April 2013

Jelaskan perbedaan "around the computer" dan "through the computer" berikan contoh prosedur dan lembar kerja IT audit tsb!


1.      Auditing-around the computer

Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer tanpa menggunakan kemampuan dari peralatan itu sendiri. Audit terjadi sebelum dilakukan pemeriksaan secara langsung terhadap data ataupun program yang ada didalam program itu sendiri. Pendekatan ini memfokuskan pada input dan output, sehingga tidak perlu memperhatikan pemrosesan komputer.


2.      Auditing-through the computer

Audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan menggunakan fasilitas komputer yang sama dengan yang digunakan dalam pemrosesan data. pendekatan audit ini berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalah gunaan dapat dideteksi. Pendekatan ini dapat menggunakan perangkat lunak dalam bentuk specialized audit software (SAS) dan generalized audit software (GAS). Pendekatan Audit ini digunakan bila pendekatan Auditing Around the Computer tidak cocok atau tidak mencukupi. Pendekatan ini dapat diterapkan bersama-sama dengan pendekatan Auditing Around the Computer untuk memberikan kepastian yang lebih besar.

Tahapan/Prosedur IT Audit
  1. Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien. 
  2. Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik. 
  3. Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi. 
  4. Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit. 
  5. Menyusun laporan. Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan. 


Lembar Kerja IT AUDIT

  • Stakeholders : Internal IT Deparment, External IT Consultant, Board of Commision, Management, Internal IT Auditor, External IT Auditor 
  • Kualifikasi Auditor : Certified Information Systems Auditor (CISA),Certified Internal Auditor (CIA), Certified Information Systems Security Professional (CISSP), dll. 
  • Output Internal IT : Solusi teknologi meningkat, menyeluruh & mendalam,  Fokus kepada global, menuju ke standard-standard yang diakui. 
  • Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya,  Outsourcing yang tepat, Benchmark / Best-Practices. 
  • Output Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya.
     

Jelaskan IT audit trail, real time audit, IT forensics

Audit Trail

Audit trail sebagai “yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi, istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi  yang  telah  mempengaruhi  isi  record.  Dalam  informasi  atau  keamanan  komunikasi,  audit informasi berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara.
Dalam penelitian keperawatan, itu mengacu pada tindakan mempertahankan log berjalan atau jurnal dari keputusan yang berkaitan dengan sebuah proyek penelitian, sehingga membuat jelas langkah-langkah yang diambil dan perubahan yang dibuat pada protokol asli. Dalam  akuntansi,   mengacu  pada  dokumentasi  transaksi  rinci  mendukung   entri  ringkasan  buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik. Proses yang menciptakan jejak audit harus selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan user normal tidak bisa berhenti / mengubahnya.  Selanjutnya,  untuk alasan yang sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal. Dalam apa yang berhubungan dengan audit trail, itu juga sangat penting untuk mempertimbangkan isu- isu tanggung jawab dari jejak audit Anda, sebanyak dalam kasus sengketa, jejak audit ini dapat dijadikan sebagai bukti atas kejadian beberapa.
Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai sebuah ‘sistem tertutup,  ”seperti  yang  disyaratkan  oleh banyak  perusahaan  ketika  menggunakan  sistem  Audit  Trail.

Real Time Audit

Dari beberapa sumber yang didapat yang dimaksud dengan Real Time Audit (RTA) adalah suatu sistem untuk mengawasi teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan dengan mengkombinasikan prosedur sederhana atau logis untuk merencanakan dan melakukan dana kegiatan, siklus proyek pendekatan untuk memantau kegiatan yang sedang berlangsung, dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing) yang digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Pada audit IT sendiri berhubungan dengan berbagai macam-macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Tujuan dari audit IT adalah untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi yang bersifat online atau real time. Pada Real Time Audit (RTA) dapat juga menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk meningkatkan kinerja karena sistem ini tidak mengganggu atau investor dapat memperoleh informasi yang mereka butuhkan tanpa menuntut waktu manajer.


IT forensics

IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan digital. Komputer forensik juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari ilmu pengetahuan kepada indetifikasi, koleksi, analisa, dan pengujian dari bukti digital.
IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan email atau gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan , database forensik, dan forensik perangkat mobile.



Tujuan IT Forensik

  • Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum. 
  • Mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
    1. Komputer fraud : kejahatan atau pelanggaran dari segi sistem organisasi komputer. 
    2. Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum
       
Alasan Penggunaan IT Forensik

  • Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana) atau milik penggugat (dalam kasus perdata).
  • Untuk memulihkan data jika terjadi kegagalan atau kesalahanhardware atau software. 
  • Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan. 
  • Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi. 
  • Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, ataureverse-engineering.

     
Sumber :

Jenis2 ancaman (threats) melalui IT dan kasus2 computer crime/cybercrime



Jenis-jenis ancaman (thread) dalam TI :

National Security Agency (NSA) dalam dokuman Information Assurance Technical Framework (IATF) menggolongkan lima jenis ancaman pada sistem teknologi informasi.
Kelima ancaman itu adalah :

1. SeranganPasif

Termasuk di dalamnya analisa trafik, memonitor komunikasi terbuka, memecah kode trafik yang dienkripsi, menangkan informasi untuk proses otentifikasi (misalnya password).
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit. 


2. Serangan Aktif

Tipe serangan ini berupaya membongkar sistem pengamanan, misalnya dengan memasukan kode-kode berbahaya (malicious code), mencuri atau memodifikasi informasi. Sasaran serangan aktif ini termasuk penyusupan ke jaringan backbone, eksploitasi informasi di tempat transit, penetrasi elektronik, dan menghadang ketika pengguna akan melakukan koneksi jarak jauh. Serangan aktif ini selain mengakibatkan terpaparnya data, juga denial-of-service, atau modifikasi data. 

3. Serangan jarak dekat

Dalam jenis serangan ini, hacker secara fisik berada dekat dari peranti jaringan, sistem atau fasilitas infrastruktur. Serangan ini bertujuan memodifikasi, mengumpulkan atau memblok akses pada informasi. Tipe serangan jarak dekat ini biasanya dilakukan dengan masuk ke lokasi secara tidak sah.

4. Orang dalam

Serangan oleh orang di dalam organisasi ini dibagi menjadi sengaja dan tidak sengaja. Jika dilakukan dengan sengaja, tujuannya untuk mencuri, merusak informasi, menggunakan informasi untuk kejahatan atau memblok akses kepada informasi. Serangan orang dalam yang tidak disengaja lebih disebabkan karena kecerobohan pengguna, tidak ada maksud jahat dalam tipe serangan ini. 

5. Serangan distribusi

Tujuan serangan ini adalah memodifikasi peranti keras atau peranti lunak pada saat produksi di pabrik sehingga bisa disalahgunakan di kemudian hari. Dalam serangan ini, hacker sejumlah kode disusupkan ke produk sehingga membuka celah keamanan yang bisa dimanfaatkan untuk tujuan ilegal.

Kasus-kasus yang telah terjadi di Indonesia akibat cyber crime, diantaranya :
Penipuan Lelang On-line

Cirinya harga sangat rendah (hingga sering sulit dipercayai) untuk produk – produk yang diminati, penjual tidak menyediakan nomor telepon, tidak ada respon terhadap pertanyaan melalui email, menjanjikan produk yang sedang tidak tersedia.
  • Resiko Terburuk adalah pemenang lelang mengirimkan cek atau uang, dan tidak memperoleh produk atau berbeda dengan produk yang diiklankan dan diinginkan.
  • Teknik Pengamanan yang disarankan adalah menggunakan agen penampungan pembayaran (escrow accounts services) seperti http://www.escrow.com dengan biaya sekitar 5% dari harga produk. Agen ini akan menyimpan uang Pembeli terlebih dahulu dan mengirimkannya ke penjual hanya setelah ada konfirmasi dari Pembeli bahwa barang telah diterima dalam kondisi yang memuaskan.

Penipuan Saham On-line

Cirinya tiba – tiba Saham Perusahaan meroket tanpa info pendukung yang cukup.
  1. Resiko Terburuk adalah tidak ada nilai riil yang mendekati harga saham tersebut, kehilangan seluruh jumlah investasi dengan sedikit atau tanpa kesempatan untuk menutup kerugian yang terjadi.
  2. Teknik Pengamanan antara lain http://www.stockdetective.com punya daftar negatif saham – saham.


Penipuan Kartu Kredit (kini sudah menular di Indonesia)

  • Berciri, terjadinya biaya misterius pada tagihan kartu kredit untuk produk atau layanan Internet yang tidak pernah dipesan oleh kita.
  • Resiko Terburuk adalah korban bisa perlu waktu yang lama untuk melunasinya.
  • Teknik Pengamanan yang disarankan antara lain gunakan mata uang Beenz untuk transaksi online, atau jasa Escrow, atau jasa Transfer Antar Bank, atau jasa Kirim Uang Western Union, atau pilih hanya situs – situs terkemuka saja yang telah menggunakan Payment Security seperti VeriSign.
Untuk menindak lanjuti CyberCrime tentu saja diperlukan CyberLaw (Undang – undang khusus dunia Cyber/Internet). Selama ini landasan hukum CyberCrime yang di Indonesia menggunakan KUHP (pasal 362) dan ancaman hukumannya dikategorikan sebagai kejahatan ringan, padahal dampak yang ditimbulkan bisa berakibat sangat fatal. Indonesia dibandingkan dengan USA, Singapura, bahkan Malaysia memang cukup ketinggalan dalam masalah CyberLaw ini. Contohnya Singapura telah memiliki The Electronic Act 1998 (UU tentang transaksi secara elektronik), serta Electronic Communication Privacy Act (ECPA), kemudian AS mempunyai Communication Assistance For Law Enforcement Act dan Telecommunication Service 1996.

Sumber: