Selasa, 13 April 2010

IT Audit & Forensics

Definisi IT Audit

IT Audit : Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi.

Proses IT Audit:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem
informasi dikembangkan, dioperasikan, diorganisasikan, serta
bagaimana praktek dilaksanakan:
● Apakah IS melindungi aset institusi: asset protection, availability
● Apakah integritas data dan sistem diproteksi secara cukup (security,
confidentiality )?
● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan
organisasi, dan lain-lain.

19 Langkah Umum Audit TSI

● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4.Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user
11.Memeriksa dan mendokumentasikan parameter keamanan default
12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
13.Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum
14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya
15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai
16.Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb
18.Memeriksa apakah ada problem yang signifikan
19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah memadai

Alasan dilakukannya Audit IT

Ron Webber, Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain :
1. Kerugian akibat kehilangan data.
2. Kesalahan dalam pengambilan keputusan.
3. Resiko kebocoran data.
4. Penyalahgunaan komputer.
5. Kerugian akibat kesalahan proses perhitungan.
6. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.

Manfaat Audit IT.

A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.



Definisi IT Forensics

1. penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
4. Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan.

Tujuan IT Forensics

Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi / kejahatan komputer.
Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.

Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:

1. Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)

2 komentar:

Anonim mengatakan...

makasih membantu

My blog

Unknown mengatakan...

good

Posting Komentar