Prosedur dan Lembar Kerja IT AUDIT

Tahapan/Prosedur IT Audit

Tahapan Perencanaan sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.

Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.

Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.

Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.

Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

Contoh Prosedur IT Audit

Kontrol lingkungan:

1.Apakah kebijakan keamanan (security policy) memadai dan efektif ?

  2.Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari external auditor

3. Jika sistem dibeli dari vendor, periksa kestabilan financial

4. Memeriksa persetujuan lisen (license agreement)

Kontrol keamanan fisik

1.Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai

2.Periksa apakah backup administrator keamanan sudah memadai (trained,tested)

3.Periksa apakah rencana kelanjutan bisnis memadai dan efektif

4.Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

Kontrol keamanan logical

1.Periksa apakah password memadai dan perubahannya dilakukan regular

2.Apakah administrator keamanan memprint akses kontrol setiap user

CONTOH – CONTOH

-Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.

-External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices

Contoh Metodologi IT Audit:

BSI (Bundesamt for Sicherheit in der Informationstechnik):

1.       IT Baseline Protection Manual (IT- Grundschutzhandbuch )

2.       Dikembangkan oleh GISA: German Information Security Agency

3.       Digunakan: evaluasi konsep keamanan & manual

4.       Metodologi evaluasi tidak dijelaskan

5.       Mudah digunakan dan sangat detail sekali

Lembar Kerja IT AUDIT

Ø  Stakeholders: Internal IT Deparment, External IT Consultant, Board of Commision, Management, Internal IT Auditor, External IT Auditor

Ø  Kualifikasi Auditor: Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified Information Systems Security Professional (CISSP), dll.

Ø  Output Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam,  Fokus kepada global, menuju ke standard-standard yang diakui.

Ø  Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya,  Outsourcing yang tepat, Benchmark / Best-Practices.

Ø  Output Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya, Reporting.

Sumber : http://rifqybawazier.blogspot.com/2015/04/prosedur-dan-lembar-kerja-it-audit.html

Pengertian IT Audit Trail dan Realtime Audit

IT Audit Trail

Pengertian Audit Trail

Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.

Cara Kerja Audit Trail

Audit Trail yang disimpan dalam suatu tabel

1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete

2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.

Fasilitas Audit Trail

Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.

Hasil Audit Trail

Record Audit Trail disimpan dalam bentuk, yaitu :

Binary File - Ukuran tidak besar dan tidak bisa dibaca begitu saja

Text File - Ukuran besar dan bisa dibaca langsung

Tabel.

Kesimpulan:

Audit Trail merupakan urutan kronologis catatan audit, yang masing-masing berisikan bukti langsung yang berkaitan dengan yang dihasilkan dari pelaksanaan suatu proses bisnis atau fungsi sistem. Catatan audit biasanya hasil kerja dari kegiatan seperti transaksi atau komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya. Dengan adanya Audit Trail diharapkan semua kronologis/kegiatan program dapat terekam dengan baik. IT Audit Trail bisa dikatakan ke akuratan dalam mencatat semua transaksi yang diisi, diubah, atau dihapus oleh seseorang, seseorang di sini merupakan seorang IT yang tentunya ahli dibidang IT Audit. Fasilitas ini dinamakan Audit Trail. Fasilitas ini dapat diaktifkan atau di non-aktifkan melalui menu preferences.Jadi, apa pun yang dilakukan oleh user di Accurate dapat dipantau dari laporan Audit Trail. Laporan ini dapat berupa summary (aktivitas apa saja yang dilakukan), atau detail (semua perubahan jurnal akan ditampilkan).

Pengertian Real Time Audit ( RTA )

Real Time Audit itu adalah suatu proses kontrol secara berkala pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal secara online atau bisa dikatakn real time bisa disamakan dengan audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP.

Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.

Audit IT sendiri berhubungan dengan berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi yang bersifat online atau real time.

IT Forensik

Modus-modus kejahatan dalam teknologi informasi tersebut berkaitan dengan IT Forensik. IT Forensik adalah cabang ilmu komputer yang menjurus ke bagian forensik. Dalam definisi sederhana, IT Forensik merupakan sekumpulan prosedur yang dilakukan untuk melakukan pengujian secara menyeluruh terhadap suatu sistem komputer dengan menggunakan software dan tool untuk memelihara barang bukti tindakan kriminal.

IT Forensik memiliki 2 tujuan yaitu :

1.      Mendapatkan fakta objektif dari suatu insiden/pelanggaran keamanan sistem informasi. Fakta-fakta yang telah diverifikasi tersebut akan digunakan sebagai bukti yang digunakan dalam proses hukum.

2.      Mengamankan dan menganalisa bukti digital

Alasan Penggunaan IT Forensik :

·         Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana) atau penggugat (dalam kasus perdata).

·         Untuk memulihkan data jika terjadi kegagalan atau kesalahan baik hardware ataupun software.

·         Untuk menganalisa sebuah sistem komputer setelah terjadi perampokkan

·         Untuk mengumpulkan bukti untuk melawan karyawan yang ingin diberhentikan oleh organisasi.

·         Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, ataureverse-engineering.

Terminologi IT Forensik

Ø  Bukti digital : informasi yang didapat dalam format digital seperti email.

Ø  Elemen kunci forensik dalam teknologi informasi, yaitu :

·         Identifikasi dari bukti digital.

·         Penyimpanan bukti digital.

·         Analisa bukti digital.

·         Presentasi bukti digital.

Investigasi Kasus Teknologi Informasi

a.       Prosedur forensik yang umum digunakan : membuat copies dari keseluruhan log data, file dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat copies secara matematis. Dokumentasi yang baik dari segala sesuatu yang dikerjakan.

b.      Bukti yang digunakan dalam IT Forensik : harddisk, floppy disk, atau media lain yang bersifat removeable serta network system.

c.       Metode / prosedur IT Forensik yang umum digunakan : Search and Seizure (dimulai dari perumusan suatu rencana).

·         Identifikasi dengan penelitian permasalahan

·         Membuat hipotesis

·         Uji hipotesa secara konsep dan empiris

KESIMPULAN:

     Dalam banyaknya kejahatan di dunia IT maka diperlukan cyberlaw atau pengaturan hukum yang kuat untuk mengatasi permasalahan kejahatan IT sehingga penggunan Teknologi Informasi merasa lebih aman dan nyaman.

Sistem perundang-undangan di Indonesia belum mengatur secara khusus mengenai kejahatan komputer melalui media internet. Beberapa peraturan  yang ada baik yang terdapat di dalam KUHP maupun di luar KUHP untuk sementara dapat diterapkan terhadap beberapa kejahatan, tetapi ada juga kejahatan yang tidak dapat diantisipasi oleh undang-undang yang saat ini berlaku.

KELEBIHAN :

     Baik buruk nya cybercrime itu kembali kepada diri sendiri tidak mengartikan bahwa cybercrime itu buruk dimata publik tetapi sisi baik nya adalah si pemakai sistem mengetahui bahwa firewall yang digunakan masih belum sempurna sehingga masih bisa ditembus dan tidak bermaksud untuk merubah hanya memberikan sinyal bahwa masih ada dinding yang terbuka dari sistem pengamanan yang dibuat.

KEKURANGAN :

     Segera dibentuknya Peraturan Pemerintah atau apapun yang bergerak dibidang nya mengenai forensik IT yang diketahui bahwa teknologi yang semakin canggih dan komunikasi yang sangat modern di era jaman sekarang. Hal ini sangat berguna dalam meningkatkan kinerja sistem hukum agar lebih kuat dan transparan yang memberikan kepercayaan kepada rakyat indonesia itu sendiri.

Modus-modus Kejahatan Dalam TI

Kebutuhan akan Internet semakin meningkat. Selain sebagai sumber informasi, internet juga digunakan untuk kegiatan komunitas dan komersial. Seiring dengan perkembangan internet, muncul lah berbagai modus kejahatan yang biasa disebut dengan “Cybercrime”.

Berbagai modus kejahatan dalam teknologi informasi secara umum dapat diartikan sebagai pengaksesan secara illegal. Berikut ini akan dijelaskan mengenai karakteristik dan jenis-jenis cybercrime.

Karakteristik Cybercrime

Terdapat dua jenis kejahatan yang dikenal dalam kejahatan konvensional, yaitu ;

1.      Kejahatan kerah biru (blue collar crime)

Merupakan kejahatan secara konvensional seperti perampokkan, pencurian, pembunuhan dan lain-lain.

2.      Kejahatan kerah putih ( white collar crime)

Merupakan kejahatan yang terbagi menjadi 4 kelompok yaitu kejahatan korporasi, kejahatan birokrat, malpraktek dan kejahatan individu.

Selain dua model diatas, kejahatan di dunia maya memiliki karakter-karakter unik seperti ruang lingkup kejahatan, sifat kejahatan, pelaku kejahatan, modus kejahatan dan jenis kerugian yang ditimbulkan.

Jenis Cybercrime

Jenis cybercrime dibagi menjadi beberapa kelompok, yaitu berdasarkan jenis aktivitas yang dilakukan, motif kegiatan dan sasaran kejahatan. Berikut ini adalah jenis- jenis cybercrime berdasarkan jenis aktivitas yang dilakukan :

a.       Unauthorized Access

Merupakan kejahatan yang terjadi bila seseorang memasuki suatu sistem jaringan computer secara tidak sah, tanpa izin atau tanpa sepengetahuan pemiliknya. Contohnya : probing dan portscanning.

b.      Illegal Contents

Merupakan kejahatan yang dilakukan dengan memasukkan informasi yang tidak benar, tidak etis, dianggap melanggar hokum dan mengganggu ketertiban umum. Contohnya : penyebaran pornografi.

c.       Penyebaran virus secara sengaja

Pada umumnya penyebaran virus dilakukan melalui email. Seringkali orang yang sistem emailnya terkena virus tidak menyadari bahkan mengirim virus tersebut ke tempat lain melalui virus.

d.      Data Forgery

Merupakan kejahatan yang dilakukan dengan tujuan memalsukan data dokumen penting seperti yang dimiliki oleh instusi atau lembaga yang memiliki situs berbasis web database.

e.       Cyber Espionage, Sabotage, and Extortion

Cyber Espionage adalah kejahatan dengan melakukan kegiatan mata-mata terhadap pihak lain yang memanfaatkan jaringan internet dengan memasuki sistem jaringan computer pihak sasaran. Sedangkan sabotage and extortion merupakan jenis kejahatan yang dilakukan dengan mengganggu, merusak, bahkan menghancurkan data, program komputer atau sistem jaringan computer yang terhubung dengan internet.

f.       Cyberstalking

Merupakan kejahatan yang bertujuan untuk mengganggu atau melecehkan seseorang dengan memanfaatkan komputer. Kejahatan ini menyerupai terror yang ditujukan kepada seseorang dengan menggunakan media internet seperti melalui email.

g.      Carding

Merupakan kejahatan yang dilakukan untuk mencuri nomor kartu kredit milik orang lain lalu digunakan dalam transaksi kegiatan di internet.

h.      Hacking dan Cracker

Pada umumnya, banyak yang keliru menafsirkan hacker dengan cracker. Sebenarnya hacker merupakan seseorang yang mempelajari sistem komputer secara detail dan bagaimana meningkatkan kapabilitasnya untuk hal yang positif. Sedangkan cracker merupakan hacker yang memanfaatkan kemampuannya untuk hal yang negatif.

i.        Cybersquatting and Typosquatting

Cybersquatting merupakan kejahatan yang dilakukan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian berusaha menjualnya kepada perusahaan tersebut dengan harga yang lebih mahal. Sedangkan typosquatting merupakan kejahatan yang dilakukan dengan membuat domain yang mirip dengan nama domain orang lain. Nama domain tersebut merupakan nama domain saingan perusahaan.

j.        Hijacking

Merupakan kejahatan dengan membajak hasil karya orang lain. Contoh : software piracy (pembajakan perangkat lunak).

k.      Cyber Terorism

Yang termasuk dalam kejahatan ini adalah berupa ancaman terhadap pemerintah atau warganegara, misalnya cracking ke situs pemerintah atau militer.

Jika berasarkan motif serangannya, cybercrime digolongkan menjadi :

Ø  Cybercrime sebagai tindakan murni criminal

Merupakan kejahatan dengan motif kriminalitas yang biasanya menggunakan internet hanya sebagai sarana kejahatan. Contoh : carding dan spamming.

Ø  Cybercrime sebagai kejahatan ”abu-abu”

Ø  Motif kejahatan ini cukup sulit ditentukan, apakah termasuk tindak kriminal atau bukan, karena motif kegiatannya terkadang bukan untuk kejahatan. Contoh : probing atau portscanning

Sedangkan bila berdasarkan sasaran kejahatannya, cybercrime digolongkan dalam 3 kelompok yaitu :

1.      Cybercrime yang menyerang individu (Against Person)

Serangan ini ditujukan kepada individu yang memiliki sifat atau kriteria tertentu sesuai tujuan penyerangan tersebut. Contoh : pornografi, cyberstalking dan cyber-Tresspass (kegiatan yang melanggar privasi orang lain seperti Web Hacking, Breaking ke PC, Probing, Port Scanning dan lain lain).

2.      Cybercrime menyerang hak milik (Againts Property)

Serangan ini dilakukan untuk mengganggu atau menyerang hak kepemilikan orang lain seperti carding, cybersquating, hijacking, data forgery, pencurian informasi dan kegiatan-kegiatan yang bersifat merugikan hak milik orang lain.

3.      Cybercrime menyerang pemerintah (Againts Government)

Kejahatan yang dilakukan dengan tujuan menyerang pemerintahan. Contoh : cyber terrorism.