Laman

Minggu, 07 Mei 2017

Tugas ke-3 : Prosedur dan Lembar Kerja IT Audit

Contoh Prosedur Dan Lembar Kerja It Audit
Tahapan/Prosedur IT Audit
Tahapan Perencanaan sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.

Contoh Prosedur IT Audit
Kontrol lingkungan:
1.Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan financial
4. Memeriksa persetujuan lisen (license agreement)

Kontrol keamanan fisik
1.Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2.Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
3.Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

Kontrol keamanan logical
1.Periksa apakah password memadai dan perubahannya dilakukan regular
2.Apakah administrator keamanan memprint akses kontrol setiap user

CONTOH – CONTOH
-Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.
-External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
Lembar Kerja IT AUDIT
•Stakeholders: Internal IT Deparment, External IT Consultant, Board of Commision, Management, Internal IT Auditor, External IT Auditor
•Kualifikasi Auditor: Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified Information Systems Security Professional (CISSP), dll.
•Output Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam,  Fokus kepada global, menuju ke standard-standard yang diakui.
•Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya,  Outsourcing yang tepat, Benchmark / Best-Practices.

•Output Internal Audit & Business: Menjamin keseluruhan audit, Budget & Alokasi sumber daya, Reporting.

Tulisan ke-3 : IT Audit, Cyber law, , Computer Crime Act, dan Council of Europe Convention on Cybercrime

1.      Apa perbedaan Audit Trail, Real Time Audit, IT Forensik
·         AuditTrial
Audit Trail adalah salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data. Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
CARA KERJA AUDIT TRAIL
Audit Trail Yang Disimpan Dalam Suatu Tabel
a. Dengan menyisipkan perintah penambahan record ditiap Query Insert, Update, Delete
b. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
·         Real Time Audit
Real Time Audit atau biasa yang di sebut dengan RTA adalah sebuah sistem manajemen kegiatan online yang menggabungkan sistem kegiatan manajemen dengan sistem monitoring dan evaluasi. Dalam penggunaannya, RTA sangat membantu dalam penghematan biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan, seiring dengan meningkatnya kemajuan teknologi, teknik kualitas dari pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer.
Dan ilmu yang mempelajari audit sistem informasi yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya disebut IT Forensik. Dan metode audit yang bisa digunakan adalah COBIT.
Jadi dapat disimpulkan : Real time audit adalah suatu kegiatan evaluasi dan pemeriksaan dokumen, transaksi dalam suatu sistem organisasi yang dilakukan secara langsung atau realtime secara online, hal ini berbeda dengan internal audit yang memiliki pengertian yaitu audit yang pelaksanaan nya dilakukan oleh pegawai pemeriksa yang berada dalam organisasi tersebut.
·         IT Forensik
Definisi dari IT Forensik yaitu suatu ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti yang akan digunakan dalam proses selanjutnya.Selain itu juga diperlukan keahlian dalam bidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardwaremaupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi dalam bidang teknologi sistem informasi tersebut.
Tujuan IT forensik:
1. Untuk membantu memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis digital atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai alat buti yang sah di pengadilan
2. Untuk mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar dapat diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat yang dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan alasan dan motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang terlibat secara langsung maupun tidak langsung dengan perbuatan tidak menyenangkan dimaksud.
Pengetahuan yang diperlukan IT Forensik :
·         Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja
·         Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda
·         Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry
·         Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
Undang – Undang IT Forensik:
Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik (UUITE) dibagi menjadi dua bagian besar, yaitu pengaturan mengenai informasi dan transaksi elektronik dan pengaturan mengenai perbuatan yang dilarang. Pengaturan mengenai informasi dan transaksi elektronik mengacu pada beberapa instrumen internasional, seperti UNCITRAL Model Law on eCommerce dan UNCITRAL Model Law on eSignature. Bagian ini dimaksudkan untuk mengakomodir kebutuhan para pelaku bisnis di internet dan masyarakat umumnya guna mendapatkan kepastian hukum dalam melakukan transaksi elektronik. Beberapa materi yang diatur, antara lain:
1. pengakuan informasi/dokumen elektronik sebagai alat bukti hukum yang sah (Pasal 5 & Pasal 6 UU ITE);
2. tanda tangan elektronik (Pasal 11 & Pasal 12 UU ITE)

2.      Perbedaan Cyber Law, Computer Crime Act, Council of Europe Convention on Cybercrime (COECCC)
·      Cyber Law
Di Indonesia sendiri tampaknya belum ada satu istilah yang disepakati atau paling tidak hanya sekedar terjemahan atas terminologi ”cyber law”. Sampai saat ini ada beberapa istilah yang dimaksudkan sebagai terjemahan dari ”cyber law”, misalnya, Hukum Sistem Informasi, Hukum Informasi, dan Hukum Telematika (Telekomunikasi dan Informatika).
Sebagaimana dikemukakan di atas, lahirnya pemikiran untuk membentuk satu aturan hukum yang dapat merespon persoalan-persoalan hukum yang muncul akibat dari pemanfaatan Internet terutama disebabkan oleh sistem hukum tradisional yang tidak sepenuhnya mampu merespon persoalan-persoalan tersebut dan karakteristik dari Internet itu sendiri. Dalam kaitan ini Aron Mefford seorang pakar cyberlaw dari Michigan State University sampai pada kesimpulan bahwa dengan meluasnya pemanfaatan Internet sebenarnya telah terjadi semacam ”paradigm shift” dalam menentukan jati diri pelaku suatu perbuatan hukum dari citizens menjadi netizens.
Secara demikian maka ”cyber law” dapat didefinisikan sebagai seperangkat aturan yang berkaitan dengan persoalan-persoalan yang muncul akibat dari pemanfaatan Internet.
Ø  Ruang Lingkup ”Cyber Law”
Secara garis besar ruang lingkup ”cyber law” ini berkaitan dengan persoalan-persoalan atau aspek hukum dari E-Commerce, Trademark/Domain Names, Privacy and Security on the Internet, Copyright, Defamation, Content Regulation, Disptle Settlement, dan sebagainya.
Ø  Dasar Hukum Cyber Law
Cyber Law digunakan untuk mengatur berbagai perlindungan hukum atas kegiatan yang memanfaatkan internet sebagai medianya, baik transaksi maupun pemanfaatan informasinya. Pada Cyber Law ini juga diatur berbagai macam hukuman bagi kejahatan melalui internet.
Cyber Law atau Undang-undang Informasi dan Transaksi Elektronik (UU ITE) sendiri baru ada di Indonesia dan telah disahkan oleh DPR pada tanggal 25 Maret 2008. UU ITE terdiri dari 13 bab dan 54 pasal yang mengupas secara mendetail bagaimana aturan hidup di dunia maya dan transaksi yang terjadi di dalamnya. 
http://boimzenji.blogspot.co.id/2013/04/perbedaan-berbagai-cyber-law-dan-contoh.html
·    Computer Crime Act
Cybercrime merupakan suatu kegiatan yang dapat dihukum karena telah menggunakan computer dalam jaringan internet yang merugikan dan menimbulkan kerusakan pada jaringan computer internet, yaitu merusak property, masuk tanpa izin, pencurian hak milik intelektual, pornografi, pemalsuan data, pencurian penggelapan dana masyarakat.
Cyber Law diasosiasikan dengan media internet yang merupakan aspek hukum dengan ruang lingkup yang disetiap aspeknya berhubungan dnegan manusia dengan memanfaatkan teknologi internet.

·    Council of Europe Convention on Cybercrime (COECCC)
Merupakan salah satu contoh organisasi internasional yang bertujuan untuk melindungi masyarakat dari kejahatan di dunia maya, dengan mengadopsikan aturan yang tepat dan untuk meningkatkan kerja sama internasional dalam mewujudkan hal ini.
COCCC telah diselenggarakan pada tanggal 23 November 2001 di kota Budapest, Hongaria. Konvensi ini telah menyepakati bahwa Convention on Cybercrime dimasukkan dalam European Treaty Series dengan nomor 185. Konvensi ini akan berlaku secara efektif setelah diratifikasi oleh minimal lima Negara, termasuk paling tidak ratifikasi yang dilakukan oleh tiga Negara anggota Council of Europe. Substansi konvensi mencakup area yang cukup luas, bahkan mengandung kebijakan criminal yang bertujuan untuk melindungi masyarakat dari cybercrime, baik melalui undang-undang maupun kerja sama internasional.  
Konvensi ini dibentuk dengan pertimbangan-pertimbangan antara lain sebagai berikut:
Bahwa masyarakat internasional menyadari perlunya kerjasama antar Negara dan Industri dalam memerangi kejahatan cyber dan adanya kebutuhan untuk melindungi kepentingan yang sah dalam penggunaan dan pengembangan teknologi informasi.
Konvensi saat ini diperlukan untuk meredam penyalahgunaan sistem, jaringan dan data komputer untuk melakukan perbuatan kriminal. Hal lain yang diperlukan adalah adanya kepastian dalam proses penyelidikan dan penuntutan pada tingkat internasional dan domestik melalui suatu mekanisme kerjasama internasional yang dapat dipercaya dan cepat.
Konvensi ini telah disepakati oleh masyarakat Uni Eropa sebagai konvensi yang terbuka untuk diakses oleh Negara manapun di dunia. Hal ini dimaksudkan untuk diajdikan norma dan instrument Hukum Internasional dalam mengatasi kejahatan cyber, tanpa mengurangi kesempatan setiap individu untuk tetap dapat mengembangkan kreativitasnya dalam pengembangan teknologi informasi.

·         Perbedaan Cyber Law, Computer Crime Act, dan Council of Europe Convention on Cybercrime

  Cyber Law: merupakan seperangkat aturan yang dibuat oleh suatu Negara tertentu dan peraturan yang dibuat itu hanya berlaku kepada masyarakat Negara tertentu.
  Computer Crime Act (CCA): merupakan undang-undang penyalahgunaan informasi teknologi di Malaysia.
  Council of Europe Convention on Cybercrime: merupakan organisasi yang bertujuan untuk melindungi masyarakat dari kejahatan di dunia internasional. Organisasi ini dapat memantau semua pelanggaran yang ada di seluruh dunia.

3.      Jenis Profesi dibidang IT
a)      Programmer adalah orang yang membuat suatu aplikasi untuk client/user baik untuk perusahaan, instansi ataupun perorangan.
Tugas :
Membuat program baik aplikasi maupun system operasi dengan menggunakan bahasa pemrograman yang ada.
Kualifikasi :
Menguasai logika dan algoritma pemrograman
Menguasai bahasa pemrograman seperti HTML, Ajax, CSS, JavaScript, C++, VB, PHP, Java, Ruby dll.
Memahami SQL

b)      IT Support merupakan pekerjaan IT yang mengharuskan seseorang bisa mengatasi masalah umum yang terjadi pada komputer seperti install software, perbaikan hardware dan membuat jaringan komputer. Profesi ini cukup mudah dilakukan karena bisa dilakukan secara otodidak tanpa memerlukan pendidikan khusus.
Tugas:
Install software
Memperbaiki hardware
Membuat jaringan
Kualifikasi:
Menguasai bagian-bagian hardware komputer
Mengetahui cara install program atau aplikasi software
Menguasai sejumlah aplikasi umum sistem operasi komputer

c)      Software Engineer adalah mereka yang memiliki keahlian untuk memproduksi perangkat lunak mulai dari tahap awal spesifikasi sistem sampai pemeliharaan sistem setelah digunakan.
Tugas:
Merancang dan menerapkan metode terbaik dalam pengembangan proyek software
Kualifikasi:
Menguasai keahlian sebagai programmer dan system analyst
Menguasai metode pengembangan software seperti RUP, Agile, XP, Scrum dll

d)      Database Administrator adalah mereka yang memiliki keahlian untuk mendesain, mengimplementasi, memelihara dan memperbaiki database.
Tugas:
Menginstal perangkat lunak baru
Mengkonfigurasi hardware dan software dengan sistem administrator
Mengelola keamanan database
Analisa data di database
Kualifikasi:
Menguasai teknologi database seperti Oracle, Sybase, DB2, MS Access serta Sistem Operasi
Menguasai teknologi server dan storage.


http://bomy-id.blogspot.co.id/2014/05/jenis-jenis-profesi-dan-deskripsi.html
http://naufalsyawal.blogspot.co.id/p/perbandingan-cyber-law-computer-crime.html
https://thekicker96.wordpress.com/definisi-it-forensik/
https://swordmedal.wordpress.com/2015/04/15/pengertian-audit-trail-dan-real-time-audit/
http://rachman-mzr.blogspot.co.id/2014/05/pengertian-it-audit-trail-real-time.html