AUDIT TI


Etika & Profesional TSI
Sistem Informasi
Universitas Gunadarma
 
4KA04 #2015


AUDIT TI

Audit menurut Arens, et al. (2003) yang diterjemahkan oleh kanto Santoso Setiawan dan Tumbur Pasaribu adalah proses pengumpulan dan pengevaluasian bukti-bukti tentang informasi ekonomi untuk menentukan tingkat kesesuaian informasi tersebut dengan kriteria-kriteria yang telah ditetapkan, dan melaporkan hasil pemeriksaan tersebut. IT Audit adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. IT audit lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. IT Audit merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. IT Audit bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan kebutuhan (integrity) dari sistem informasi organisasi.

A.     Jenis IT Audit

1.      Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuaidengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yangcukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dankeamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2.      Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesanterkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesanaplikasi yang efisien dalam keadaan normal dan buruk.
3.      Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkanmencakup kebutuhan obyektif organisasi.
4.      Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapatmengembangkan struktur organisasi dan prosedur yang menjamin kontroldan lingkungan yang berdaya guna untuk pemrosesan informasi.
5.      Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client danserver.

B.     Manfaat IT Audit

Manfaat penggunaan IT Audit dapat dikelompokkan menjadi 2 yaitu:

a.       Manfaat pada saat Implementasi (Pre-Implementation Review)
·         Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
·         Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
·         Mengetahui apakah outcome sesuai dengan harapan manajemen.

b.       Manfaat setelah sistem live (Post-Implementation Review)
·         Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
·         Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem dan perencanaan strategis.
·         Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.

C.     Metodologi Audit IT.

Dalam prakteknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, yaitu:

1.      Tahapan Perencanaan
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu programaudit yang didesain sedemikian rupa agar pelaksanaannya akan berjalanefektif dan efisien.
2.      Mengidentifikasikan resiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal iniaspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik.
3.      Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan reviewdokumentasi
4.       Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
5.      Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yangdilakukan.

D.     IT Audit Tools

Beberapa tool yang dipergunakan dalam IT Audit adalah:

a.       ACL  (Audit Command Language): software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
b.      Picalo : software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.
c.       Powertech Compliance Assessment Powertech:  automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.
d.      Nipper : audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.
e.       Nessus: sebuah vulnerability assessment software.
f.       Metasploit Framework : sebuah penetration testing tool.
g.       NMAP:  utility untuk melakukan security auditing.
h.      Wireshark: network utility yang dapat dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer.

E.      Alasan dilakukannya Audit IT.

Ron Webber, Dekan Fakultas Teknologi Informasi, Monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall,2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan,antara lain :

·         Kerugian akibat kehilangan data.
·         Kesalahan dalam pengambilan keputusan.
·         Resiko kebocoran data.
·         Penyalahgunaan komputer.
·         Kerugian akibat kesalahan proses perhitungan.
·         Tingginya nilai investasi perangkat keras dan perangkat lunak computer.

F.      Perbedaan Antara  Audit  Around The Computer Dengan Audit Through The Computer.

Audit around the computer masuk ke dalam kategori audit sistem informasi dan lebih tepatnya masuk ke dalam metode audit. Audit around the computer dapat dikatakan hanya memeriksa dari sisi user saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau sistemnya, bisa juga dikatakan bahwa audit around the computer adalah audit yang dipandang dari sudut pandangblack box.

Kelebihan:

a.       Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara mendalam.
b.      Tidak harus mengetahui seluruh proses penanganan sistem.

Kelemahan:

    •  Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.

    •  Tidak membuat auditor memahami sistem komputer lebih baik.

    •  Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam sistem.

    • Lebih berkenaan dengan hal yang lalu daripada audit yang preventif.

    • Kemampuan komputer sebagai fasilitas penunjang audit mubadzir.

    • Tidak mencakup keseluruhan maksud dan tujuan audit.


Sedangkan Audit through the computer adalah dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu.

Kelebihan:

·         Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
·         Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi.
·         Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating.
·         Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
·         Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.

Kelemahan:

·         Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lenih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
·         Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.

Perbedaan antara audit around the computer dengan audit through the computer dilihat dari prosedur lembar kerja IT audit.

AUDIT AROUND THE COMPUTER

§  Sistem harus sederhana dan berorientasi pada sistem batch.
§  Melihat keefektifan biaya.
§  Auditor harus besikap userfriendly.

AUDIT THROUG THE COMPUTER

·         Volume input dan output.
·          Pertimbangan efisiensi.

G.      Peraturan dan Standar Yang Biasa Dipakai

·         ISO / IEC 17799 and BS7799
·         Control Objectives for Information and related Technology (CobiT)
·         ISO TR 13335
·         IT Baseline Protection Manual
·         ITSEC / Common Criteria
·         Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
·         The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
·    The quality seal and product audit scheme operated by the Schleswig-Holstein Independent
·         State Centre for Data Privacy Protection (ULD)
·         ISO 9000, ISO 27002
·         NIST, ITIL, NERC, HIPAA, PCI, BASEL II, FISMA, GLBA , SOX, FFIEC, dll

H.     Lembar Kerja IT AUDIT

·         Stakeholders: Internal IT Deparment, External IT Consultant, Board of Commision, Management, Internal IT Auditor, External IT Auditor
·         Kualifikasi Auditor: Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified Information Systems Security Professional (CISSP), dll.
·         Output Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam,  Fokus kepada global, menuju ke standard-standard yang diakui.
·         Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya,  Outsourcing yang tepat, Benchmark / Best-Practices.
·         Output Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya, Reporting.


I.        Langkah Umum Audit TI

Kontrol Lingkungan

1.      Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2.      Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external audito.
3.       Jika sistem dibeli dari vendor, periksa kestabilan financial.
4.      Memeriksa persetujuan lisen (license agreement)

Kontrol Keamanan Fisik

1.      Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai.
2.      Periksa apakah backupadministrator keamanan sudah memadai (trained,tested).
3.      Periksa apakah rencana kelanjutan bisnis memadai dan efektif.
4.      Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

Kontrol Keamanan Logikal

1.      Periksa apakah password memadai dan perubahannya dilakukan regular.
2.      Apakah administrator keamanan memprint akses kontrol setiap user.
3.      Memeriksa dan mendokumentasikan parameter keamanan default.
4.      Menguji fungsionalitas system keamanan (password, suspend user ID, etc).
5.      Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
6.      Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
7.      Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
8.      Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc)

Menguji Kontrol Operasi

1.      Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
2.       Memeriksa apakah ada problem yang signifikan
3.      Memeriksa apakah control yang menjamin fungsionalitas sistem informasi telah memadai

KESIMPULAN  TENTANG  IT FORENSIK & AUDIT TI

             IT AUDIT adalah audit yang melibatkan komputer dan banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai taget. Untuk dapat mencapai tujuan tersebut, terdapat 2 jenis audit yaitu audit around the computer uji coba dengan black box yang terfokus pada input output dan audit through the computer uji coba dengan white box yang memfokuskan pada proses. Kemudian cara IT audit terbagi dua yaitu audit trail yang menggunakan catatan pada waktu tertentu dan real time audit yang mengawasi secara langsung.  

            Sementara itu IT Forensics adalah penyelidikan kejahatan terkait dengan komputer (IT). Kejahatan yang diselidiki adalah cybercrime. Pada aplikasinya biasanya IT Forensics menggunakan artefak digital (data software) yang tersimpan pada perangkat keras seperti Hardisk, CD, dan Flashdisk. Data yang biasanya diselidiki bisa berupa Text, Gambar, ataupun Video. Untuk dapat melakukan IT Forensics, harus memiliki prinsip dan pengetahuan yang dimiliki dan khususnya harus mengetahui alat-alat untuk membantu  IT Forensics.

Jenis-jenis Ancaman Melalui IT

Pada pembahasan kali ini akan dijelaskan jenis-jenis ancaman yang sering terjadi dalam TI. ancaman-ancaman tersebut antara lain :

1.      Unauthorized Access to Computer System and Service.

Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya.

2.      Illegal Contents.

Merupakan kejahatan dengan memasukkan data atau informasi ke Internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum.

3.      Data Forgery.

Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless document melalui Internet.

4.      Cyber Espionage.

Merupakan kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran.

5.      Offense against Intellectual Property.

Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di Internet.

6.      Infringements of Privacy.

Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril.


Kasus Cyber Crime

1)      Membajak situs web.

Pencurian dengan cara membajak situs web oleh orang yang biasa disebut Cracker. Cara pencurian ini dengan cara mengubah user dan password suatu web tersebut.

2)      Denial Of Service (DOS) dan Distributed Dos (DDOS) Attack. 


DOS attack adalah suatu kejahatan yang dapat membuat suatu system tidak dapat berfungsi sebagai mana mestinya dan tidak dapat memberikan pelayanan. DOS attack ini dapat membuat target tidak dapat memberikan servis sehingga mendapatkan kerugian financial, contohnya ATM bank. Sedangkan DDOS attack ini merupakan kejahatan yang menghasilkan efek lebih dahsyat dari DOS attack.

3)       Pencurian Dengan Menggunakan Akun Internet Orang Lain.

Dengan mencuri akun pelanggan secara tidak sah. Namun, pencurian ini hanya mencuri informasi saja pada akun tersebut. Pemilik akun akan merasa tidak kehilangan apapun, tetapi setelah informasi yang dimiliki digunakan oleh orang yang mencuri, barulah pemilik akun merasakan efeknya.


 SUMBER:

https://id.scribd.com/doc/31675347/Audit-IT-dan-Forensik-Komputer
https://freezcha.wordpress.com/2011/03/20/it-audit-dan-it-forensik-1/
http://faizalhafiz-faizalhafiz.blogspot.com/2015/06/it-forensik-dan-it-audit.html
https://irpantips4u.blogspot.com/2012/11/it-audit-dan-it-forensik.html
https://freezcha.wordpress.com/2011/03/20/it-audit-dan-it-forensik-2/
http://apriliawakhyuni.blogspot.com/2011/03/it-forensik-it-audit.html
http://emilia-regar.blogspot.com/2015/06/it-forensik-dan-it-audit.html
https://riksonramos.wordpress.com/2015/06/18/pengertian-it-forensicit-audit-dan-perbedaan-audit-around-the-computer-dengan-through-the-computer/
http://rendy-zein.blogspot.com/2016/03/jenis-jenis-ancaman-threats-melalui-it.html
http://raitosun.blogspot.com/2014/04/it-forensic.html
http://softskillella.blogspot.com/2017/04/it-forensik.html
https://anissanur90.wordpress.com/2015/06/04/it-forensics/
https://thekicker96.wordpress.com/definisi-it-forensik/
https://irfanwineers.wordpress.com/2012/03/03/mengenal-apakah-itu-it-forensik/
https://sucidwicahyani.wordpress.com/2017/05/02/it-forensik/
https://sis.binus.ac.id/2014/07/03/it-forensik-2/
http://si-catatan.blogspot.com/2014/11/apa-itu-it-forensik-dan-apa-saja-contoh.html
https://www.academia.edu/32915723/pengertian_IT_Forensik
http://jimmyprianto.blogspot.com/2016/03/it-forensik.html
https://dedensmds.blogspot.com/2014/10/pengertian-it-forensik_31.html
https://andreserr.wordpress.com/2015/03/29/pengertian-i-t-forensik/
http://deviidepdeph.blogspot.com/2013/07/forensik-it.html

Komentar

Posting Komentar

Postingan populer dari blog ini

AQIDAH, SYARIAH, AKHLAK

KERANGKA DASAR ISLAM ( AQIDAH, SYARIAH, AKHLAK) 1.            Pendahuluan Islam merupakan agama samawi yang memiliki ajaran yang sangat sempurna. Semua masalah diatur dalam Islam, sehingga tidak ada satu pun masalah yang tidak ada ketentuannya dalam Islam. Kesempurnaan Islam ini ditunjang oleh ketiga sumber ajarannya, yakni al-Quran dan Sunnah sebagai sumber ajaran pokoknya serta ijtihad sebagai sumberpenegkapnya. Untuk memahami ajaran Islam secara keseluruhan memang dibutuhkan waktu yang tidak sebentar. Tidak banyak umat Islam  yang mengetahui ajaran Islam secara menyeluruh, bahkan masih banyak umat Islam yang hanya menganut Islam secara formal saja dan sama sekali tidak mengetahui ajaran Islam. Untuk mendasari pemahaman Islam yang lebih luas, perlu dipahami dulu mengenai dasar-dasar Islam atau yang sering disebut kerangka dasar ajaran Islam. Dengan memahami kerangka dasar islam ini, seseorang diharapkan dapat memahami gambaran ajaran Islam secara keseluruhan. Masalah inila
Baca selengkapnya

Soal Tentang PHP

1.       Bagaimana cara Anda memanggil method method sebuah kelas dari dalam kelas itu sendiri? a. $self=>mymethod();                                                 b. $this->mymethod(); c. $current->mymethod();                                            d. $this::mymethod(); 2.       Asumsi bahwa browser client tidak pernah direstart, berapa lama setelah akses yang terakhir session dinyatakan expire dan dianggap sebagai garbage ? a. Setelah 1440 detik b. Setelah waktu yang dinyatakan pada PHP ini pada session.gc_maxlifetime c. Tidak pernah expire hingga secara manual dihapus d. Hanya expire pada saat browser direstart 3.       Jika Anda ingin mensorting sebuah array secara ascending dengan tetap mempertahankan key nya, fungsi apa yang akan Anda gunaakan? a. ksort() b. assort() c. krsort() d. sort() 4.       Apa output script berikut : $array = array ('3' => 'a', '1b' => 'b', 'c', 'd');
Baca selengkapnya