Audit adalah pemeriksaan pada suatu
organisasi namun mengandung makna secara umum dengan tujuan mengevaluasi
organisasi tersebut apakah berjalan atau
bekerja secara standar yang telah ditetapkan. Sedangkan audit arround the computer lebih mengandung makna secara khusus dalam
pengaplikasian nya, yaitu lebih mengacu
terhadap audit bidang IT dengan menguji sebuah informasi dalam sebuah
sistem apakah seluruh transaksi yang ada pada system sudah valid dan akurat apa
belum kemudian dibandingkan dengan output yang dihasilkan. Dan yang terakhir
adalah audit through the computer audit ini juga mengacu terhadap bidang IT
namun audit yang dilakukan adalah menguji sebuah system dan pengecekan
pemrograman apakah terjadi error atau sudah berjalan sesuai yang diinginkan,
audit ini lebih ke pemeriksaan tekhnik pembuatan dengan memeriksa logika pemrograman
dan pengendaliannya.
Prosedur IT Audit
1.
Tahapan
Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor
mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program
audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif
dan efisien.
2.
Mengidentifikasikan
resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah
dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi
praktik-praktik terbaik.
3.
Mengevaluasi
kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei,
interview, observasi, dan review dokumentasi.
4.
Mendokumentasikan
dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit. Menyusun
laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.
Lembar Kerja IT AUDIT
1.
Stakeholders:
Internal IT Deparment, External IT Consultant, Board of Commision, Management,
Internal IT Auditor, External IT Auditor
2.
Kualifikasi
Auditor: Certified Information Systems Auditor (CISA), Certified Internal
Auditor (CIA), Certified Information Systems Security Professional (CISSP),
dll.
3.
Output
Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam, Fokus
kepada global, menuju ke standard-standard yang diakui.
4.
Output
External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya, Outsourcing
yang tepat, Benchmark / Best-Practices.
5.
Output
Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi
sumber daya, Reporting.
IT Audit Tools
Beberapa tool yang dipergunakan dalam IT Audit adalah:
ACL (Audit Command Language): software CAAT (Computer
Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa
terhadap data dari berbagai macam sumber.
Picalo : software CAAT (Computer Assisted Audit Techniques)
seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai
macam sumber.
Powertech Compliance Assessment Powertech: automated audit
tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to
data, public authority to libraries, user security, system security, system
auditing dan administrator rights (special authority) sebuah serverAS/400.
Nipper : audit automation software yang dapat dipergunakan
untuk mengaudit dan mem-benchmark konfigurasi sebuah router.
Nessus: sebuah vulnerability assessment software.
Metasploit Framework : sebuah penetration testing tool.
NMAP: utility untuk melakukan security auditing.
Wireshark: network utility yang dapat dipergunakan untuk
meng-capture paket data yang ada di dalam jaringan komputer.
IT Forensik yaitu suatu ilmu yang berhubungan
dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta
validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).
Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti yang akan
digunakan dalam proses selanjutnya.Selain itu juga diperlukan keahlian dalam
bidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik
hardwaremaupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi
dalam bidang teknologi sistem informasi tersebut. Tujuan dari IT forensik itu
sendiri adalah untuk mengamankan dan menganalisa bukti-bukti digital. Menurut
Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan
data yang telah diproses secara elektronik dan disimpan di media komputer. Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan
teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Tujuan IT forensik:
1.
Untuk
membantu memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis
digital atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai
alat buti yang sah di pengadilan
2.
zUntuk
mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar
dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku
jahat yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan
alasan dan motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang
terlibat secara langsung maupun tidak langsung dengan perbuatan tidak
menyenangkan dimaksud.
Prinsip IT Forensik
1.
Forensik
bukan proses hacking
2.
Data
yang diperoleh harus dijaga dan jangan berubah
3.
Membuat
image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi
dan terkadang menggunakan hardware khusus
4.
Image
tersebut yang diolah (hacking) dan dianalisis – bukan yang asli
5.
Data
yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi kembali
6.
Pencarian
bukti dengan tools pencarian teks khusus atau mencari satu persatu dalam image
Undang – Undang IT Forensik
Secara umum, materi Undang-Undang Informasi dan Transaksi
Elektronik (UUITE) dibagi menjadi dua bagian besar, yaitu pengaturan mengenai
informasi dan transaksi elektronik dan pengaturan mengenai perbuatan yang
dilarang. Pengaturan mengenai informasi dan transaksi elektronik mengacu pada
beberapa instrumen internasional, seperti UNCITRAL Model Law on eCommerce dan
UNCITRAL Model Law on eSignature. Bagian ini dimaksudkan untuk mengakomodir
kebutuhan para pelaku bisnis di internet dan masyarakat umumnya guna
mendapatkan kepastian hukum dalam melakukan transaksi elektronik. Beberapa materi
yang diatur, antara lain:
1.
pengakuan
informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 &
Pasal 6 UU ITE);
2.
tanda
tangan elektronik (Pasal 11 & Pasal 12 UU ITE);
3.
penyelenggaraan
sertifikasi elektronik (certification authority, Pasal 13 & Pasal 14 UU
ITE);
4.
penyelenggaraan
sistem elektronik (Pasal 15 & Pasal 16 UU ITE);
Tidak ada komentar:
Posting Komentar