Contoh prosedur dan lembar kerja IT audit

Contoh prosedur dan lembar kerja IT audit + tools yang digunakan untuk IT audit dan forensik

IT AUDIT DAN FORENSIK 

Dengan semakin berkembanganya dunia IT semakin banyak pula oknum-oknum yang tidak bertanggungjawab menyalahgunakan IT untuk kepentingan diri sendiri dan merugikan banyak pihak.

IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia computer/internet. Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu foreksik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.

IT forensic Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Contoh Prosedur dan Lembar Kerja Audit

PROSEDUR IT AUDIT: 

●Kontrol lingkungan:

1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)

●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user

CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.

– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices

CONTOH METODOLOGI AUDIT IT

BSI (Bundesamt für Sicherheit in der Informationstechnik)

● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca

Tools yang digunakan untuk Audit IT dan Audit Forensik

● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations

● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.

Sumber : http://adedirgasaputra.blogspot.com/2010/04/it-forensik.html
http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf

Softskill Pertemuan ke 3

Penjelasan tentang Audit Trail, Realtime Audit dan IT Forensik 

1.Pengertian Audit Trail

Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasidata.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik. Cara Kerja Audit Trail Audit Trail yang disimpan dalam suatu tabel

Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan    Delete

Dengan memanfaatkan fitur trigger pada DBMS.

Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel. Fasilitas Audit Trail Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.

Hasil Audit Trail Record Audit Trail disimpan dalam bentuk, yaitu :

Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja

Text File – Ukuran besar dan bisa dibaca langsung

Tabel.

2.REAL TIME AUDIT

Real Time Audit (RTA) adalah suatu sistem untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan dimana pun mereka berada. Ini mengkombinasikan prosedur sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan “siklus proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.

3.IT FORENSICS

IT Forensics merupakan Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi, serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).

Tujuan IT Forensics adalah  untuk mendapatkan fakta-fakta objektif dari sistem informasi, karena semakin berkembangnya teknologi komputer dapat digunakan sebagai alat bagi para pelaku kejahatan komputer.

Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan di gunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang IT (termasuk diantaranya hacking) dan alat bantu (tools), baikhardware maupun software.

 2. perbandingan Cyberlaw, Computer Crime Act dan Counsil Of Convention On Cyber 

1.Cyber law

Cyber law adalah seperangkat aturan hukum tertulis yang berlaku di dunia maya. Cyber law ini dibuat oleh negara untuk menjamin warga negaranya karena dianggap aktivitas di dunia maya ini telah merugikan dan telah menyentuh kehidupan yang sebenarnya (riil). Mungkin bila kita melihat bila di dunia maya ini telah ada suatu kebiasaan-kebiasaan yang mengikat ‘masyarakatnya’, dan para Netizens (warga negara dunia maya) telah mengikuti aturan tersebut dan saling menghormati satu sama lain. Mungkin tidak perlu sampai ada cyber law, karena dianggap telah terjadi suatu masyarakat yang ideal dimana tidak perlu adanya ‘paksaan’ hukum dan penjamin hukum.

2.Computer Crime Act ( malaysia )

Adalah sebuah undang-undang untuk menyediakan pelanggaran-pelanggaran yang berkaitan dengan penyalahgunaan computer di malaysia. CCA diberlakukan pada 1 juni 1997 dan dibuat atas keprihatinan pemerintah Malaysia terhadap pelanggaran dan penyalahgunaan penggunaan computer dan melengkapi undang-undang yang telah ada.

Computer Crime Act (Akta Kejahatan Komputer) merupakan Cyber Law (Undang-Undang) yang digunakan untuk memberikan dan mengatur bentuk pelanggaran-pelanggaran yang berkaitan dengan penyalahgunaan komputer.

Computer Crime Act (Akta Kejahatan Komputer) yang dikeluarkan oleh Malaysia adalah peraturan Undang-Undang (UU) TI yang sudah dimiliki dan dikeluarkan negara Jiran Malaysia sejak tahun 1997 bersamaan dengan dikeluarkannya Digital Signature Act 1997 (Akta Tandatangan Digital), serta Communication and Multimedia Act 1998 (Akta Komunikasi dan Multimedia).

3.Council of Europe Convention on Cybercrime

Merupakan salah satu contoh organisasi internasional yang bertujuan untuk melindungi masyarakat dari kejahatan di dunia maya, dengan mengadopsikan aturan yang tepat dan untuk meningkatkan kerjasama internasional dalam mewujudkan hal ini.

Counsil of Europe Convention on Cyber Crime merupakan hukum yang mengatur segala tindak kejahatan komputer dan kejahatan internet di Eropa yang berlaku pada tahun 2004, dapat meningkatkan kerjasama dalam menangani segala tindak kejahatan dalam dunia IT. Council of Europe Convention on Cyber Crime berisi Undang-Undang Pemanfaatan Teknologi Informasi (RUU-PTI) pada intinya memuat perumusan tindak pidana.

Council of Europe Convention on Cyber Crime juga terbuka bagi bagi Negara non eropa untuk menandatangani bentu kerjasama tentang kejahatan didunia maya atau internet terutama pelanggaran hak cipta atau pembajakkan dan pencurian data. Jadi tujuan adanya konvensi ini adalah untuk meningkatkan rasa aman bagi masyarakat terhadap serangan cyber crime, pencarian jaringan yang cukup luas, kerjasama internasional dan penegakkan hukum internasional.

Kesimpulan perbandingan dari ketiganya yaitu cyber law merupakan seperangkat aturan tertulis yang dibuat negara untuk menjamin aktivitas warganya di dunia maya, sanksinya dapat berupa hukuman, pelarangan dan lain-lain. Dalam kenyataannya cyber ethics dapat menjadi suatu alternatif dalam mengatur dunia cyber, meskipun tidak menutup kemungkinan cyber ethics menjadi cyber law, hal ini tentu berulang kepada kita sendiri. Sedangkan Computer crime act adalah undang-undangnya, dan Council of europe convention on cyber crime merupakan salah satu organisasinya.
Dari ketiganya mempunyai keterikatan satu sama lain.

1.Jenis-jenis Profesi Di Bidang IT

Saat ini ada banyak aneka profesi di bidang IT atau Teknologi Informasi. Perkembangan dunia IT telah melahirkan bidang baru yang tidak terlepas dari tujuan utamanya yaitu untuk semakin memudahkan manusia dalam melakukan segala aktifitas. Munculnya bidang IT yang baru juga memunculkan profesi di bidang IT yang semakin menjurus sesuai dengan keahlian masing-masing. Berikut ini merupakan aneka profesi di bidang IT yang perlu kamu ketahui jika ingin berkecimpung di bidang pekerjaan IT atau Teknologi informasi.

1. ProgrammerProgrammer adalah orang yang membuat suatu aplikasi untuk client/user baik untuk perusahaan, instansi ataupun perorangan.

Tugas:
Membuat program baik aplikasi maupun system operasi dengan menggunakan bahasa pemrograman yang ada.

Kualifikasi:
Menguasai logika dan algoritma pemrograman
Menguasai bahasa pemrograman seperti HTML, Ajax, CSS, JavaScript, C++, VB, PHP, Java, Ruby dll.
Memahami SQL
Menguasai bahasa inggris IT


2. Network Engineer
Network Engineer adalah orang yang berkecimpung dalam bidang teknis jaringan computer dari maintenance sampai pada troubleshooting-nya.

Tugas:
Membuat jaringan untuk perusahaan atau instansi
Mengatur email, anti spam dan virus protection
Melakukan pengaturan user account, izin dan kata sandi
Mengawasi penggunaan jaringan

Kualifikasi:
Menguasai server, workstation dan hub/switch

3. System Analyst
System Analyst adalah orang yang memiliki keahlian untuk menganalisa system yang akan diimplementasikan, mulai dari menganalisa system yang ada, kelebihan dan kekurangannya, sampai studi kelayakan dan desain system yang akan dikembangkan.

Tugas:
Mengembangkan perangkat lunak/software dalam tahapan requirement, design dan construction
Membuat dokumen requirement dan desain software berdasarkan jenis bisnis customer
Membangun framework untuk digunakan dalam pengembangan software oleh programmer

Kualifikasi:
Menguasai keahlian sebagai programmer
Menguasai metode dan best practice pemrograman
Memahami arsitektur aplikasi dan teknologi terkini


4. IT Support
IT Support merupakan pekerjaan IT yang mengharuskan seseorang bisa mengatasi masalah umum yang terjadi pada komputer seperti install software, perbaikan hardware dan membuat jaringan komputer. Profesi ini cukup mudah dilakukan karena bisa dilakukan secara otodidak tanpa memerlukan pendidikan khusus.

Tugas:
Install software
Memperbaiki hardware
Membuat jaringan

Kualifikasi:
Menguasai bagian-bagian hardware komputer
Mengetahui cara install program atau aplikasi software
Menguasai sejumlah aplikasi umum sistem operasi komputer


5. Software Engineer
Software Engineer adalah mereka yang memiliki keahlian untuk memproduksi perangkat lunak mulai dari tahap awal spesifikasi sistem sampai pemeliharaan sistem setelah digunakan.

Tugas:
Merancang dan menerapkan metode terbaik dalam pengembangan proyek software

Kualifikasi:
Menguasai keahlian sebagai programmer dan system analyst
Menguasai metode pengembangan software seperti RUP, Agile, XP, Scrum dll.


6. Database Administrator
Database Administrator adalah mereka yang memiliki keahlian untuk mendesain, mengimplementasi, memelihara dan memperbaiki database.

Tugas:
Menginstal perangkat lunak baru
Mengkonfigurasi hardware dan software dengan sistem administrator
Mengelola keamanan database
Analisa data di database

Kualifikasi:
Menguasai teknologi database seperti Oracle, Sybase, DB2, MS Access serta Sistem Operasi
Menguasai teknologi server dan storage.


7. Web Administrator
Web Administrator adalah seseorang yang bertanggung jawab secara teknis terhadap operasional sebuah situs atau website.

Tugas:
Menjaga kelancaran akses situs (instalasi dan konfigurasi sistem)
Merawat hosting dan domain
Mengatur keamanan server dan firewall
Mengatur akun dan kata sandi untuk admin serta user

Kualifikasi:
Menguasai keahlian seorang programmer
Menguasai jaringan (LAN, WAN, Intranet)
Menguasai OS Unix (Linux, FreeBSD, dll)


8. Web Developer
Web Developer adalah mereka yang memiliki keahlian untuk memberikan konsultasi pembangunan sebuah situs dengan konsep yang telah ditentukan.

Tugas:
Menganalisa kebutuhan sistem
Merancang web atau situs (desain dan program)
Mengaktifkan domain dan hosting
Pemeliharaan situs dan promosi

Kualifikasi:
Menguasai pemrograman web
Menguasai pengelolaan database
Mengerti domain dan hosting
Menguasai sistem jaringan


9. Web Designer
Web designer adalah mereka yang memiliki keahlian dalam membuat design atraktif dan menarik untuk situs serta design untuk kepentingan promosi situs secara visual.

Tugas:
Mendesain tampilan situs
Memastikan tampilan gambar berfungsi ketika ditambahkan bahasa pemrograman

Kualifikasi:
Menguasai HTML, CSS dan XHTML
Menguasai Adobe Photoshop & Illustrator
Memiliki jiwa seni dan harus kreatif
Itulah aneka profesi di bidang IT yang sangat potensial untuk dijadikan karir ke depannya dan profesi di bidang IT ini mungkin saja akan semakin bertambah seiring berkembangnya dunia teknologi informasi sehingga kesempatan mencari lowongan kerja it atau sesuai bidang ini semakin terbuka lebar.

htttp://rainzacious.blogspot.com/2013/03/penulisan-pengertian-audit-trail-real.html
http://aziisardianto-ardianto.blogspot.com/2013/04/jelaskan-it-audit-trail-real-time-audit.html http://rahmaekaputri.blogspot.co.id/2012/04/perbandingan-cyber-law-computer-crime.html
http://agussulaiman91.blogspot.co.id/2016/04/perbandingan-cyber-law-computer-crime.html
http://forum.detik.com/ragam-profesi-di-bidang-it-t487710.html http://adedirgasaputra.blogspot.com/2010/04/it-forensik.html
http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf

Percakapan Obrolan Berakhir