1. IT AUDIT TRAIL
Audit trail (atau log
audit) adalah catatan keamanan yang relevan kronologis, mengatur catatan,atau tujuan
dan sumber catatan yang memberikan bukti dokumen dari
urutan kegiatan yang telah mempengaruhi setiap saat operasi
tertentu, prosedur, atau peristiwa. Catatan Audit biasanya
hasil dari kegiatan seperti transaksi keuangan, penelitian
ilmiah dan data transaksi perawatan kesehatan,atau komunikasi oleh
orang-orang individu, sistem, rekening, atau badan lainnya. IT
audit trail berarti juga penilaian / pengujian kontrol dalam sistem informasi
atau infrastruktur teknologi informasi.
Manfaat IT Audit di bagi menjadi
:
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui
apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi
acceptance criteria.
2. Mengetahui apakah
pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah
outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi
mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
2. Masukan-masukan tersebut
dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan
anggaran pada periode berikutnya.
3. Bahan untuk perencanaan
strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable
assurance bahwa sistem informasi telah sesuai dengan kebijakan atau
prosedur yang telah ditetapkan.
5. Membantu
memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
6. Membantu dalam
penilaian apakah initial proposed values telah terealisasi dan saran
tindak lanjutnya.
Ada
berbagai jenis IT Audit, yaitu :
1. Sistem dan aplikasi.
Audit yang berfungsi untuk
memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi,
berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan,
kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua
tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk
memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan
waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal
dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk
memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif
organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk
memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan
prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk
pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Proses IT Audit:
Mengumpulkan dan mengevaluasi
bukti-bukti bagaimana sistem informasi dikembangkan, dioperasikan, dan
diorganisasikan
Cara Kerja Audit Trail
Audit Trail yang disimpan dalam
suatu tabel
1. Dengan menyisipkan perintah penambahan record di tiap query Insert, Update, dan Delete.
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang
secara otomatis menyimpan log
pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
Ketika fasilitas Audit Trail
diaktifkan, maka setiap transaksi yang dimasukkan ke Accurate, jurnalnya akan
dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada
sebuah transaksi yang dimanipulasi, maka jurnal lamanya akan disimpan, begitu
pula dengan jurnal barunya.
19 Langkah
Umum Audit TSI :
1. Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika
data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg
terikini dr external auditor
3. Jika
sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa
persetujuan lisen (license agreement)
* Periksa
apakah keamanan fisik
5. perangkat
keras dan penyimpanan data memadai
6. Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
*
Kontrol keamanan logikal
9. Periksa
apakah password memadai dan perubahannya dilakukan reguler
10. Apakah
administrator keamanan memprint akses kontrol setiap user
11. Memeriksa dan
mendokumentasikan parameter keamanan default
12. Menguji fungsionalitas
sistem keamanan (password, suspend userID, etc)
13. Memeriksa apakah
password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka
oleh pengguna umum
14. Memeriksa apakah data
sensitif tersandi dalam setiap phase dalam prosesnya
15. Memeriksa apakah
prosedur memeriksa dan menganalisa log memadai
16. Memeriksa apakah akses
kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID,
etc)
- Menguji
Kontrol Operasi
17. Memeriksa apakah tugas
dan job description memadai dalam semua tugas dalam operasi tsb
18. Memeriksa apakah ada
problem yang signifikan
19. Memeriksa apakah
kontrol yang menjamin fungsionalitas sistem informasi telah memadai
Hasil Audit Trail
Record Audit Trail disimpan
dalam beberapa bentuk, yaitu :
Binary File - Ukuran tidak besar
dan tidak bisa dibaca begitu saja.
Text File - Ukuran besar dan
bisa dibaca langsung.
Tabel.
Output IT Audit di bagi menjadi
2, yaitu :
Ø Output Internal IT:
– Solusi
teknologi meningkat, menyeluruh & mendalam
– Fokus
kepada global, menuju ke standard-standard yang diakui
Ø Output External IT:
– Rekrutmen
staff, teknologi baru dan kompleksitasnya
– Outsourcing
yang tepat
– Benchmark
/ Best-Practices
Kualifikasi Auditor:
– Certified
Information Systems Auditor (CISA)
– Certified
Internal Auditor (CIA)
– Certified
Information Systems Security Professional (CISSP)
2. REAL TIME AUDIT
Pengelolaan informasi
penting pada setiap proses dan kejadian memastikan bahwa
itudirekam, disimpan, ditransmisikan, dianalisis dan dapat
diakses secara real time dari lokasi global.RTA adalah
kemampuan generik dengan relevansi langsung dan dampak
potensial pada efektivitasproses yang paling vertikal dan horizontal dan
aplikasi proyek, sehari-hari manajemen bisnis,perusahaan dan administrasi pendapatan
pemerintah. RTA memanfaatkan kekuatan dan kenyamanan dari World Wide Web
untuk mengumpulkan informasi terkini tentang keadaan semua informasi yang
menarik dan mengirimkan informasi ini secara real time kepada pihak yang
berkepentingan terletak di mana saja di dunia.
Secara umum, RTA
berguna untuk mengelola setiap proses yang menggabungkan orang dan alat-alat
dalam produksi barang atau jasa. Ini activiies dapat berhubungan dengan
operasi yang sedang berlangsung atau sebuah proyek baru yang dirancang untuk
menambahkan sesuatu ke proses yang ada. RTA menyediakan sarana yang nyaman
untuk merekam keadaan semua variabel dikumpulkan untuk mengelola proses. Selain
memberikan informasi bagi para pemangku kepentingan dalam proses RTA
menyediakan dukungan yang efektif untuk manajemen proses analisis keputusan
terkait dengan pemilihan taktik jangka pendek maupun menengah dengan strategi
jangka panjang untuk menjamin efektivitas dari proses yang sedang dikelola. Manfaat
dasar informasi real time adalah untuk memastikan keadaan kesadaran yang tinggi
dari semua informasi yang relevan tentang kegiatan sehingga memungkinkan
deteksi tepat waktu dan respon terhadap perubahan kondisi atau peristiwa yang
mungkin merusak kemampuan untuk mencapai tujuan kegiatan.
Hal ini
menjadi sangat penting ketika keputusan tergantung pada kelompok tiba di
kesepakatan mengenai tindakan yang diperlukan. Upaya kelompok cenderung
lebih sulit untuk mengelola karena kebutuhan untuk mendapatkan semua pihak yang
berkepentingan untuk fokus dan mengekspresikan pendapat dalam jangka waktu yang
diberikan. Komunikasi real time online dapat membantu mempercepat akses ke
dan pertukaran informasi penting menurut pemangku kepentingan kenyamanan dan
ini membantu mempersingkat waktu di mana keputusan dibuat.
Ada dua model sistem real time, yaitu hard real time dan soft real time.
Ada dua model sistem real time, yaitu hard real time dan soft real time.
1. Hard real time mewajibkan proses selesai dalam kurun waktu tertentu. Jika tidak, maka gagal. Misalnya adalah alat pacu jantung. Sistem harus bisa memacu detak jantung jika detak jantung sudahterdeteksilemah.
2. Soft real time menerapkan adanya prioritas dalam pelaksanaan tugas dan toleransi waktu. Misalnya adalah transmisi video. Gambar bisa sampai dalam keadaan terpatah-patah, tetapi itu bisa ditolerir karena informasi yang disampaikan masih bisa dimengerti.
Sifat
proses dapat bervariasi dan termasuk kegiatan beragam seperti:
1. Business
management
2. Training
programmes
3. Administrative
structure information systems to comply with future legislation
4. Large
industrial, infrastructural & business investment projects
5. Local
authority departmental processes
6. Production
process learning systems geared to costs reduction and performance evolution
7. Complex
long cycle agricultural research, development and technology dissemination
processes
8. Generic
upgrading of business management systems
9. Macroeconomic
policy design for growth based upon the stimulation of real incomes
10. Systems to
prevent government revenue erosion
11. Development
of a systems engineering solution to any specific requirement
3. IT FORENSICS
Digital forensic
adalah sebuah cabang dalam ilmu komputer yang mempelajari mengenai investigasi,
analisa, recovery, dan management data dari media digital yang biasanya setelah
terjadi aksi kriminal cyber. Digital forensic memiliki sub cabang keilmuan
lagi, yaitu komputer forensik, mobile device forensic, network forensic, dan
database forensic. IT Forensic adalah penggunaan sekumpulan
prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer
dengan mempergunakan software atau tools untuk memelihara, mengamankan dan
menganalisa barang bukti digital dari suatu tindakan kriminal yang telah
diproses secara elektronik dan disimpan di media komputer.
Tujuan dari IT Forensic adalah mendapatkan
fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem
informasi. Dari data yang diperoleh melalui survey oleh FBI dan The Computer
Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui
bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat
kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari
segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya
dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
Metodologi umum dalam proses
pemeriksaan insiden sampai proses hukum:
1. Pengumpulan data/fakta dari sistem komputer
(harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya
data yang sdh terhapus
2. Mendokumentasikan fakta-fakta yang ditemukan
dan menjaga integritas data selama proses forensik dan hukum dengan proteksi
fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk
pembuktian / verifikasi
3. Merunut kejadian (chain of events)
berdasarkan waktu kejadian
4. Memvalidasi kejadian2 tersebut dengan metode
“sebab-akibat”
5. Dokumentasi hasil yang diperoleh dan menyusun
laporan
6. Proses hukum (pengajuan delik, proses
persidangan, saksi ahli, dll)
Investigasi
kasus teknologi informasi yang di gunakan, yaitu :
1. Prosedur forensik yang umum
digunakan, antara lain :
a. Membuat
copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada
suatu media yang terpisah.
b. Membuat
copies secara matematis.
c. Dokumentasi
yang baik dari segala sesuatu yang dikerjakan.
2. Bukti yang digunakan dalam
IT Forensics berupa :
a. Harddisk.
b. Floopy
disk atau media lain yang bersifat removeable.
c. Network
system.
3. Beberapa metode yang umum
digunakan untuk forensik pada komputer ada dua yaitu :
a. Search
dan seizure.
Dimulai dari perumusan suatu
rencana.
b. Pencarian
informasi (discovery information).
Metode pencarian informasi yang
dilakukan oleh investigator merupakn pencarian bukti tambahan dengan
mengandalkan saksi baik secara langsung maupun tidak langsung terlibat dengan
kasus ini.
Sumber :
irmarr.staff.gunadarma.ac.id
http://pcbolong.blogspot.com/2011/10/digital-forensic.html
http://realtimeaudit.eu/devi.htm
http://iwayan.info/Lecture/EtikaProfesi_S1/04a_ITForensik.pdf
http://okkiprasetio.blogspot.com/2012/05/audit-trail.html
http://iblogger.web.id/post/definisi-real-time/216/webq/
http://abas-nr.blogspot.com/2012/04/it-forensic.html
http://en.wikipedia.org/wiki/Audit_trail
Tidak ada komentar:
Posting Komentar