Photobucket

Minggu, 27 April 2014

Contoh Penggunaan Audit Around the Computer

PROSEDUR IT AUDIT:

●Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)

●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user

CONTOH – CONTOH
– Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
– External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices



CONTOH METODOLOGI AUDIT IT
● IT Baseline Protection Manual (IT- Grundschutzhandbuch )
● Dikembangkan oleh GISA: German Information Security Agency
● Digunakan: evaluasi konsep keamanan & manual
● Metodologi evaluasi tidak dijelaskan
● Mudah digunakan dan sangat detail sekali
● Tidak cocok untuk analisis resiko
● Representasi tidak dalam grafik yg mudah dibaca

Tools yang digunakan untuk Audit IT dan Audit Forensik
Beberapa tool yang dipergunakan dalam IT Audit adalah:
  1. ACL  (Audit Command Language): software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
  2. Picalo : software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.
  3. Powertech Compliance Assessment Powertech:  automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.
  4. Nipper : audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.
  5. Nessus: sebuah vulnerability assessment software.
  6. Metasploit Framework : sebuah penetration testing tool.
  7. NMAP:  utility untuk melakukan security auditing.
  8. Wireshark: network utility yang dapat dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer.
Peraturan dan Standar Yang Biasa Dipakai
  • ISO / IEC 17799 and BS7799
  • Control Objectives for Information and related Technology (CobiT)
  • ISO TR 13335
  • IT Baseline Protection Manual
  • ITSEC / Common Criteria
  • Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
  • The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
  • The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)
  • ISO 9000, ISO 27002
  • NIST, ITIL, NERC, HIPAA, PCI, BASEL II, FISMA, GLBA , SOX, FFIEC, dll.

● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations

● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.

Lembar Kerja IT Audit:
● Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor

● Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll

● Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui

● Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices

● Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Contoh prosedur dan lembar kerja IT Audit Prosedur IT

* Pengungkapan Bukti Digital
* Mengiddentifikasi Bukti Digital
* Penyimpanan Bukti Digital
* Analisa Bukti Digital
* Presentasi Bukti Digital

Contoh :

* Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
* External It Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices.
 
 
Sumber :
http://mami96.wordpress.com/2012/02/29/it-audit-trailreal-time-audit-it-forensik/
http://globalmixture.blogspot.com/2013/03/prosedur-dan-lembar-kerja-it-audit.html
http://nindyauntari.blogspot.com/2011/03/it-audit-dan-forensic-beserta-contoh.html
http://heruhartanto.blogspot.com/2013/05/audit-around-computer-dan-through.html
http://ikelestari13110417.blogspot.com/2014/03/arround-computer-dan-through-computer.html
http://triabdeeamir.blogspot.com/2012/06/audit-around-computer-and-audit-through.html
http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
http://freezcha.wordpress.com/2011/03/20/it-audit-dan-it-forensik-1/
 
Read More..
Diposting oleh Bima di 06.59 0 komentar

perbandingan cyber law computer crime act council of europe convention on cyber crime (eropa)

Council of Europe Convention on Cyber crime di Eropa
Saat ini berbagai upaya telah dipersiapkan untuk memerangi cybercrime. The Organization for Economic Co-operation and Development (OECD) telah membuat guidelines bagi para pembuat kebijakan yang berhubungan dengan computer-related crime, di mana pada tahun 1986
OECD telah mempublikasikan laporannya yang berjudul Computer-Related Crime: Analysis of Legal Policy. Laporan ini berisi hasil survey terhadap peraturan perundang-undangan Negara-negara Anggota beserta rekomendasi perubahannya dalam menanggulangi computer-related crime tersebut, yang mana diakui bahwa sistem telekomunikasi juga memiliki peran penting dalam kejahatan tersebut.
Melengkapi laporan OECD, The Council of Europe (CE) berinisiatif melakukan studi mengenai kejahatan tersebut. Studi ini memberikan guidelines lanjutan bagi para pengambil kebijakan untuk menentukan tindakan-tindakan apa yang seharusnya dilarang berdasarkan hukum pidana Negara-negara Anggota, dengan tetap memperhatikan keseimbangan antara hak-hak sipil warga negara dan kebutuhan untuk melakukan proteksi terhadap computer-related crime tersebut.
Pada perkembangannya, CE membentuk Committee of Experts on Crime in Cyberspace of the Committee on Crime Problems, yang pada tanggal 25 April 2000 telah mempublikasikan Draft Convention on Cyber-crime sebagai hasil kerjanya ( http://www.cybercrimes.net), yang menurut  Prof. Susan Brenner (brenner@cybercrimes.net) dari University of Daytona School of Law, merupakan perjanjian internasional pertama yang mengatur hukum pidana dan aspek proseduralnya untuk berbagai tipe tindak pidana yang berkaitan erat dengan penggunaan komputer, jaringan atau data, serta berbagai penyalahgunaan sejenis. Dari berbagai upaya yang dilakukan tersebut, telah jelas bahwa cybercrime membutuhkan global action dalam penanggulangannya  mengingat kejahatan tersebut seringkali bersifat transnasional. Beberapa langkah penting yang harus dilakukan setiap negara dalam penanggulangan cybercrime adalah:
Melakukan modernisasi hukum pidana nasional beserta hukum acaranya, yang diselaraskan dengan konvensi internasional yang terkait dengan kejahatan tersebut Meningkatkan sistem pengamanan jaringan komputer nasional sesuai standar internasional Meningkatkan pemahaman serta keahlian aparatur penegak hukum mengenai upaya pencegahan, investigasi dan penuntutan
perkara-perkara yang berhubungan dengan cybercrime Meningkatkan kesadaran warga negara mengenai masalah cybercrime serta pentingnya mencegah kejahatan tersebut terjadi Meningkatkan kerjasama antar negara, baik bilateral, regional maupun multilateral, dalam upaya penanganan cybercrime, antara lain melalui perjanjian ekstradisi dan mutual assistance treaties.
 
 
  Sumber:
http://okkiprasetio.blogspot.com/2012/04/cyberlaw-computer-crime-act-council-of.html
http://maxdy1412.wordpress.com/2010/05/01/perbandingan-cyber-law-indonesia-computer-crime-act-malaysia-council-of-europe-convention-on-cyber-crime-eropa/
Read More..
Diposting oleh Bima di 06.50 0 komentar

Perbedaan Audit Around Computer dan Through the Computer

Audit around computer
adalah suatu pendekatan audit yang berkaitan dengan komputer, lebih tepatnya pendekatan audit disekitar komputer. dalam pendekatan ini auditor dapat melangkah kepada perumusan pendapatdengan hanya menelaah sturuktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual(bukan sistem informasi berbasis komputer).
Audit around computer dilakukan pada saat :
1. Dokumen sumber tersedia dalam bentuk kertas ( bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual.
2. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan
3. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
# keunggulan metode Audit around computer :
1. Pelaksanaan audit lebih sederhana.
2. Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilihat dengan mudah untuk melaksanakan audit.

Audit Through the computer
Audit ini berbasis komputer, dimana dalam pendekatan ini auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer.
Pendekatan Audit Through the computer dilakukan dalam kondisi :
1. Sistem aplikasi komputer memroses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperuas audit untuk meneliti keabsahannya.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.

# Keunggulan pendekatan Audit Through the computer :
1. Auditor memperoleh kemampuasn yang besar dan efketif dalam melakukan pengujian terhadap sistem komputer.
2. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
3. Auditor dapat melihat kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.


2.Berikan contoh :
 
 CONTOH AROUND THE COMPUTER:
1)Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin) , artinya masih kasat mata dan dilihat secara visual.
2)Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
3)Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
4)tem komputer yang diterapkan masih sederhana.
5)Sistem komputer yang diterapkan masih menggunakan software yang umum digunakan, dan telah diakui, serta digunakan secara massal.
 


CONTOH AUDIT THROUGH THE COMPUTER:
1)Sistem aplikasi komputer memroses input yang cukup besar dan meng-hasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2)Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
3)Sistem logika komputer sangat kompleks dan memiliki banyak
fasilitas pendukung.
4)Adanya jurang yang besar dalam melaksanakan audit secara visual, sehingga memerlukan pertimbangan antara biaya dan manfaatnya.


Prosedur Pelaporan
Pedoman pelaporan agar sesuai dengan efektivitas komunikasi dan dampak psikologis
dari suatun laporan hasil audit:
 > Bentuk laporan agar dibuat sedemikian rupa sehingga membangkitkan minat orang untuk melihat isinya.
 > Sajikan kesimpulan (atau executive summary) pada bagian awal laporan agar pembaca dapat segera mengetahui intisari laporan tersebut.
 > Kesimpulan agar disajikan sedemikian rupa sehingga pembaca ingin mengetahui lebih mendalam tentang uraian dan kesimpulan.
 > Temuan agar disajikan sedemikian rupa sehingga pembaca dapat mengetahui tentang kriteria yang digunakan, kondisi (temuan), sebab dan akibat temuan tersebut, serta melaksanakan perbaikan sesuai dengan rekomendasi yang disajikan dalam laporan hasil audit.

Laporan hasil audit disusun oleh ketua tim audit (atau oleh staf auditor yang kemudian
diperiksa oleh ketua tim audit), dan selanjutnya diserahkan kepada pengawas audit (supervisor)
untuk direview. Proses dari konsep sampai diterima (ditandatangi oleh ketua tim) dan diterima
oleh supervisor lazimnya melalui suatu proses bolak-balik yang kadang-kadang sampai
beberapa kali putaran. Dalam proses tersebut seringkali digunakan suatu formulir yang disebut
lembar review untuk memudahkan koreksi/tambahan dan sebagainya (dikenal dengan lembaran
review, review sheet) tanpa harus mencorat-coret konsep laporan hasil audit
Penggunaan lembaran review dilakukan dengan pertimbangan-pertimbangan berikut :
 * Komunikasi lisan akan memerlukan waktu yang cukup lama padahal atasan maupun
bawahan mungkin masih mempunyai kesibukan lain.
 * Komunikasi tertulis tidak dapat dilakukan di dalam konsep laporan, karena konsep
laporan tersebut akan dipenuhi dengan catatan-catatan review.

Bentuk Laporan
Bentuk laporan hasil audit pada dasarnya memuat sebagai berikut:
o Kulit depan (cover) dan Halaman pertama (cover dalam) atau title page
o Intisari hasil audit (Executive Summary atau Key Issues)
o Daftar isi (Table mof Contents)
o Ringkasan Rekomendasi (Summary of Recommendations)
o Uraian hasil audit, Temuan dan Rekomendasi (Detailed Audit Report, Finding and
Recommendations)
o Lampiran-lampiran




SUMBER :
http://triabdeeamir.blogspot.com/2012/06/audit-around-computer-and-audit-through.html
 http://wwwmikaelpaul.blogspot.com/2012/03/perbedaan-audit-around-computer-dan.html
 indrisudanawati.dosen.narotama.ac.id/.../10.-Mater
 http://viola18192.blogspot.com/2013/03/perbedaan-audit-around-computer-through.html
Read More..
Diposting oleh Bima di 06.47 0 komentar

IT FORENSIK, IT AUDIT TRAIL, dan REALTIME AUDIT

IT FORENSIK
IT Forensik merupakan Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat), di mana IT Forensik bertujuan untuk mendapatkan fakta-fakta objektif dari sistem informasi.

Contoh barang bukti dalam bentuk elektronik atau data seperti :
  • Komputer
  • Hardisk
  • MMC
  • CD
  • Flashdisk
  • Camera Digital
  • Simcard/hp
Berikut prosedur forensik yang umum di gunakan antara lain :
  • Membuat copies dari keseluruhan log data, files, daln lain-lain yang dianggap perlu pada media terpisah.
  • Membuat fingerprint dari data secara matematis.
  • Membuat fingerprint dari copies secvara otomatis.
  • Membuat suatu hashes masterlist.
  • Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.


  IT AUDIT TRAIL
Audit Teknologi Inftormasi (information technology “IT”) audit atau information systems (is) audit adalah suatu proses kontrol dari infrastruktur teknologi informasi secara menyeluruh dimana berhubungan dengan masalah audit finansial dan audit internal.  Pada mulanya Audit IT ini lebih banyak dikenal dengan istilah EDP Auditing (Electronic Data Processing) yang mana Audit IT ini digunakan untuk menguraikan dua jenis aktifitas yang berhubungan dengna computer. Penggunaan istilah tersebut bertujuan untuk memaparkan suatu proses penelaahaan dan evaluasi dari pengendalian-pengendalian internal yang ada di dalam EDP. Aktifitas jenis ini sering disebut juga sebagai auditing melalui komputer. Istilah lainnya yang digunakan adalah untuk memberikan penjelasan tentang pemanfaatan computer oleh auditor untuk melaksanakan beberapa pekerjaan dari audit yang tidak dapat dikerjakan secara manual. Untuk aktifitas jenis ini sering disebut sebagai audit dengan komputer.
 Audit IT itu sendiri merupakan suatu penggabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT sendiri memiliki tujuan untuk meninjau dan mengevaluasi dari factor-faktor ketersediannya(availability), kerahasiaan(confidentiality), dan juga keutuhan(integrity) dari system informasi organisasi.
Cara kerja Audit Trail :
Audit Trail yang disimpan dalam satu table.
1.      Dapat dilakukan dengan cara menyisipkan suatu perintah penambahan record ditiap-tiap query Insert, Update dan juga Delete.
2.      Memanfaatkan fitur trigger yang ada pada DBMS. Trigger adalah suatu kumpulan SQL statement, yang secara otomatis akan menyimpan log yang ada pada event Insert, Update, atupun Delete yang ada pada sebuah table.
Fasilitas Audit Trail yang diaktifkan, maka setiap transaksi yang dimasukkan kedalam accurate, jurnalnya akan dicatat di dalam sebuah table. Apabila ada transaski yang mengalami pengupdatetan, maka jurnal yang lama tidak akan langsung hilang melaikan datanya akan disimpan dan begitu pula dengan jurnal yang barunya.
Hasil yang diperoleh dari Audit Trail.
Record Audit Trail akan disimpan kedalam bentuk, yaitu :
1.      Binary File : Ukurnanya tidak lah besar akan tetapi tidak dapat begitu saja di baca.
 2.      Text File : Ukurannya besar namun dapat langsung dibaca.  
3.      Tabel.



AUDIT TRAIL
Audit trail sebagai “yang menunjukkan catatan yang telah mengakses sistem operasi komputer dan apa yang dia telah dilakukan selama periode waktu tertentu”.
Dalam telekomunikasi, istilah ini berarti catatan baik akses selesai dan berusaha dan jasa, atau data membentuk suatu alur yang logis menghubungkan urutan peristiwa, yang digunakan untuk melacak transaksi  yang  telah  mempengaruhi  isi  record.                                                                Dalam  informasi  atau  keamanan  komunikasi,  audit informasi berarti catatan kronologis kegiatan sistem untuk memungkinkan rekonstruksi dan pemeriksaan dari urutan peristiwa dan / atau perubahan dalam suatu acara.
Dalam penelitian keperawatan, itu mengacu pada tindakan mempertahankan log berjalan atau jurnal dari keputusan yang berkaitan dengan sebuah proyek penelitian, sehingga membuat jelas langkah-langkah yang diambil dan perubahan yang dibuat pada protokol asli. Dalam  akuntansi,   mengacu  pada  dokumentasi  transaksi  rinci  mendukung   entri  ringkasan  buku. Dokumentasi ini mungkin pada catatan kertas atau elektronik. Proses yang menciptakan jejak audit harus selalu berjalan dalam mode istimewa, sehingga dapat mengakses dan mengawasi semua tindakan dari semua pengguna, dan user normal tidak bisa berhenti / mengubahnya.  Selanjutnya,  untuk alasan yang sama, berkas jejak atau tabel database dengan jejak tidak boleh diakses oleh pengguna normal. Dalam apa yang berhubungan dengan audit trail, itu juga sangat penting untuk mempertimbangkan isu- isu tanggung jawab dari jejak audit Anda, sebanyak dalam kasus sengketa, jejak audit ini dapat dijadikan sebagai bukti atas kejadian beberapa. Perangkat lunak ini dapat beroperasi dengan kontrol tertutup dilingkarkan, atau sebagai sebuah ‘sistem tertutup,  ”seperti  yang  disyaratkan  oleh banyak  perusahaan  ketika  menggunakan  sistem  Audit  Trail.
 
 
Sumber :
http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
http://journal.uii.ac.id/index.php/Snati/article/viewFile/1634/1409
 
Read More..
Diposting oleh Bima di 06.44 0 komentar
Langganan: Postingan (Atom)
Nihon sya miitingu logo Pictures, Images and Photos