Minggu, 23 Maret 2014

Around The Computer Dan Through To The Computer



A. PERBEDAAN AUDITING AROUND THE COMPUTER DAN THROUGH THE COMPUTER

Auditing-around the computer
Auditing around the computer adalah auditing tanpa menguji pengendalian EDP klien, sehingga audit hanya dilakukan pada sumber masukan dan hasil keluaran dari proses EDP itu sendiri. Audit ini dapat diterima bila:
a. Sumber dokumen tersedia dalam bentuk yang dapat dibaca manusiab. Dokumen difilekan secara baik yang memungkinkan melokalisasi mereka untuk keperluan audit.
Keluaran terdaftar secara detail yang memungkinkan auditor melacak transaksi individual dari dokumen sumber ke keluaran dan sebaliknya. Tahap-tahap dalam EDP audit dapat diuraikan sebagai berikut:


Tahap awal
Terdiri dari telaahan dan evaluasi awal terhadap area yang akan diaudit sertapenyiapan rencana audit. Pada telaahan awal ditentukan tindakan-tindakan yang akandilakukan dalam audit dan mencakup keputusan-keputusan yang berkaitan dengan area-area tertentu yang akan diinvestigasi, penugasan bagi staf audit, teknologi audit yang akandigunakan, dan pembuatan anggaran waktu/biaya untuk audit.

Tahap kedua
merupakan telaahan evaluasi rinci atas pengendalian. Sasaran difokuskan padatemuan-temuan dalam area yang dipilih dalam audit. Dokumentasi area aplikasi ditelaah dandata yang berkaitan dengan operasi sistem dikumpulkan melalui wawancara, kuisionerpengendalian intern, dan observasi langsung. File-file transaksi, buku-buku harianpengendalian, daftar program, dan data lain ditelaah sesuai kebutuhan untuk menentukanlingkup audit yang dicakup dalam program audit dan merancang prosedur-prosedurpengujian yang akan digunakan kemudian.

Tahap terakhir
mencakup pengujian ketaatan yang diikuti dengan analisis dan pelaporan hasil-hasil.Tahap pengujian menghasilkan bukti ketaatan terhadap prosedur-prosedur. Pengujianketaatan dilakukan untuk memberikan jaminan memadai bahwa pengendalian intern adadan bekerja sesuai dengan yang dinyatakan dalam dokumentasi sistem.Pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik initidak menguji langkah langkah proses secara langsung, hanya berfokus pada input danoutput dari sistem computer. Kelemahannya:
     1. Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusurisecara manual
     2. Tidak membuat auditor memahami sistem computer lebih baik
     3. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dankelemahan potensial dalam system.
     4. Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
     5. Kemampuan computer sebagai fasilitas penunjang audit mubazir
     6. Tidak mencakup keseluruhan maksud dan tujuan audit

Auditing-through the computer
Auditing through the computer adalah proses penelaahan dan evaluasi pengendalianintern dalam sistem EDP, meliputi pengendalian aplikasi dan pengendalian umum. Secara ringkas audit ini merupakan suatu metode audit sedangkan Auditing with the computeradalah pemanfaatan komputer oleh auditor untuk melakukan sejumlah pekerjaan audit yang juga dapat dilakukan secara manual. Secara ringkas audit ini merupakan suatu alat bantu audit.
Pendekatan audit yang berorientasi komputer yang secara langsung berfokus pada operasi pemrosesan dalam sistem komputer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.

B. CONTOH PROSEDUR DAN LEMBAR KERJA IT + TOOLS YANG DIGUNAKAN IT AUDIT DAN FORENSIK 

IT audit dan forensik
Dengan semakin berkembanganya dunia IT semakin banyak pula oknum-oknum yang tidak bertanggungjawab menyalahgunakan IT untuk kepentingan diri sendiri dan merugikan banyak pihak.
IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia computer/internet. Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu foreksik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital. Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
IT forensic Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Contoh Prosedur dan Lembar Kerja Audit
PROSEDUR IT AUDIT:
● Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user

CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices

CONTOH METODOLOGI AUDIT IT
BSI (Bundesamt für Sicherheit in der Informationstechnik)
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tdk dalam grafik yg mudah dibaca

Tools yang digunakan untuk Audit IT dan Audit Forensik
● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R, DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.



 Sumber :
http://id.scribd.com/doc/94287041/MAKALAH-sistem-informasi-akuntansi
http://gunrave.blogspot.com/2011/03/contoh-prosedur-dan-lembar-kerja-it.html

Read More...

Senin, 10 Maret 2014

Pengertian Tentang IT audit trail, Trail Time Audit, Dan IT Forensik



Audit Trail

Audit trail sebagai “yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama periode waktu tertentu”. Dalam telekomunikasi, istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi  yang  telah  mempengaruhi  isi  record.  Dalam  informasi  atau  keamanan  komunikasi,  audit informasi berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara.

Dalam penelitian keperawatan, itu mengacu pada tindakan mempertahankan log berjalan atau jurnal dari keputusan yang berkaitan dengan sebuah proyek penelitian, sehingga membuat jelas langkah-langkah yang diambil dan perubahan yang dibuat pada protokol asli. Dalam  akuntansi,   mengacu  pada  dokumentasi  transaksi  rinci  mendukung   entri  ringkasan  buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik. Proses yang menciptakan jejak audit harus selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan user normal tidak bisa berhenti / mengubahnya.  Selanjutnya,  untuk alasan yang sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal. Dalam apa yang berhubungan dengan audit trail, itu juga sangat penting untuk mempertimbangkan isu- isu tanggung jawab dari jejak audit Anda, sebanyak dalam kasus sengketa, jejak audit ini dapat dijadikan sebagai bukti atas kejadian beberapa.

Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai sebuah ‘sistem tertutup,  ”seperti  yang  disyaratkan  oleh banyak  perusahaan  ketika  menggunakan  sistem  Audit  Trail.

Real Time Audit

Dari beberapa sumber yang didapat yang dimaksud dengan Real Time Audit (RTA) adalah suatu sistem untuk mengawasi teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan dengan mengkombinasikan prosedur sederhana atau logis untuk merencanakan dan melakukan dana kegiatan, siklus proyek pendekatan untuk memantau kegiatan yang sedang berlangsung, dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing) yang digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Pada audit IT sendiri berhubungan dengan berbagai macam-macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Tujuan dari audit IT adalah untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi yang bersifat online atau real time. Pada Real Time Audit (RTA) dapat juga menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk meningkatkan kinerja karena sistem ini tidak mengganggu atau investor dapat memperoleh informasi yang mereka butuhkan tanpa menuntut waktu manajer.

IT forensics

IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan digital. Komputer forensik juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari ilmu pengetahuan kepada indetifikasi, koleksi, analisa, dan pengujian dari bukti digital.
 IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan email atau gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan , database forensik, dan forensik perangkat mobile.

Tujuan IT Forensik

•Mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.
•Mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu : 1.Komputer fraud : kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2.Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum
   
Alasan Penggunaan IT Forensik

•Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana) atau milik penggugat (dalam kasus perdata).
•Untuk memulihkan data jika terjadi kegagalan atau kesalahanhardware atau software.
•Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
•Untuk mengumpulkan bukti untuk melawan seorang karyawan yang ingin diberhentikan oleh organisasi.

• Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, ataureverse-engineering.


Sumber :

http://estiprast.blogspot.com/2012/04/artikel-etika-profesionalisme.html

http://benx-imajination.blogspot.com/2011_05_01_archive.html
 

Read More...

Jenis - Jenis Ancaman (threats) Melalui IT, Dan Kasus - Kasus Cyber Crime Lainnya

Berikut ini jenis-jenis ancaman di bidang IT dan kasus computer crime/cyber crime ;

Kasus Cybercrime yang sering Terjadi di Indonesia (As’ad Yusuf) :
1. Pencurian nomor kartu kredit;
2. Pengambilalihan situs web milik orang lain;
3. Pencurian akses internet yang sering dialami oleh ISP;
4. Kejahatan nama domain;
5. Persaingan bisnis dengan menimbulkan gangguan bagi situs saingannya.

Bentuk kejahatan yang berhubungan erat Modus Kejahatan Cybercrime dengan penggunaan TI Indonesia (Roy Suryo) :
1. Unauthorized Access to Computer System :

            * Pencurian nomor kredit and Service

            * Memasuki, memodifikasi, atau merusak
2. Illegal Contents; homepage (hacking);
3. Data Forgery :
            * Penyerangan situs atau e-mail
4. Cyber Espionage;virus atau spamming.
5. Cyber Sabotage and Extortion;
6. Offense Against Intellectual Property;
7. Infringement of Privacy.

Sistem keamanan yang berkaitan dengan Tipenya cybercrime menurut Philip masalah keuangan dan e-commerce:
1. Joy computing, yaitu pemakaian komputer orang lain tanpa izin.
2. Data keuangan dapat dicuri atau diubah oleh hacking
3. Hacking, yaitu mengakses secara tidak sah atau tanpa izin dengan alat suatu terminal.intruder atau hacker;
4. The trojan horse, yaitu manipulasi data atau program dengan jalan mengubah data atau intsruksi pada sebuah program, menghapus,
5. Dana atau kas disalahgunakan oleh petugas menambah, menjadikan tidak terjangkau, dengan tujuan yang memegangnya; kepentingan pribadi atau orang lain.
6. Data leakage, yaitu menyangkut pembocoran data ke luar terutama
7. Pemalsuan uang; mengenai data yang harus dirahasiakan.
8. Data diddling, yaitu suatu perbuatan yang mengubah data valid atau
9. Seseorang dapat berpura-pura sebagai orang sah dengan cara tidak sah, mengubah input data atau output data.
10. To frustate data communication atau penyia-nyiaan data komputer. lain dan melakukan transaksi keuangan atas.
11. Software piracy, yaitu pembajakan software terhadap hak cipta yang nama orang lain tersebut. dilindungi Hak atas Kekayaan Intelektual (HaKI).

Sumber : http://resse0406.blogspot.com/2011/02/jelaskan-dengan-lengkap-kasus-kasus.html

Read More...
(Hak Cipta)Yulianto_Taufiq. Diberdayakan oleh Blogger.


 

© Copyright by yulianto_taufiq | Template by BloggerTemplates | Blog Templates at Fifa World