Selasa, 19 Juni 2012

TOOLS IT AUDIT

Tools yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi Informasi. Tidak dapat dipungkiri, penggunaan tool-tool tersebut memang sangat membantu Auditor Teknologi Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun akurasinya.

Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi
a. ACL
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.
b. Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.
Berikut ini beberapa kegunaannya :
· Menganalisis data keungan, data karyawan
· Mengimport file Excel, CSV dan TSV ke dalam databse
· Analisa event jaringan yang interaktif, log server situs, dan record sistem login
· Mengimport email kedalam relasional dan berbasis teks database
· Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.
c. Powertech Compliance Assessment

Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.

d. Nipper 

Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.
Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat jaringan infrastruktur.

e. Nessus

Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan

f. Metasploit

Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.

g. NMAP

NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)


h. Wireshark

Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

sumber : http://henindya.blogspot.com/2011/10/it-audit-tools.html 

Faktor yang mempengaruhi terjadinya cyber crime

Kejahatan dunia maya (cybercrime) adalah istilah yang mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi perantara, sasaran atau tempat terjadinya kejahatan. Seperti kejahatan dunia maya antara lain adalah penipuan lelang secara online, pemalsuan cek, penipuan kartu kredit/carding, confidence fraud, penipuan identitas, pornografi anak, dll. 

 Adapun yang menjadi penyebab terjadinya cybercrime antara lain : 
a.Akses internet yang tidak terbatas. 
b.Kelalaian pengguna komputer. Hal ini merupakan salah satu penyebab utama kejahatan komputer. 
c.Mudah dilakukan dengan alasan keamanan yang kecil dan tidak diperlukan peralatan yang super modern. Walaupun kejahatan komputer mudah untuk dilakukan tetapi akan sulit untuk melacaknya, sehingga ini mendorong para pelaku kejahatanuntuk terus melakukan halm ini. 
d.Para pelaku merupakan orang yang pada umumnya cerdas,mempunyai rasa ingin tahu yang besar dan fanatik akan teknologi komputer. Pengetahuan pelaku kejahatan komputer tentang cara kerja sebuah komputer jauh diatas operator komputer. 
 e. Sistem keamanan jaringan yang lemah. f. Kurangnya perhatian masyarakat. Masyarakat dan penegak hukum saat ini masih memberi perhatian sangat besar terhadap kejahatan konvensional. Pada kenyataanya pelaku kejahatankomputer masih terus melakukan aksi kejahatannya. 

sumber : http://dumadia.wordpress.com/2009/02/03/faktor-faktor-yang-mempengaruhi-terjadinya-cyber-crime/ http://mputmputrii.blogspot.com/2012/06/penyebab-terjadinya-cybercrime.html

IT AUDIT

IT audit merupakan bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan daa elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. 

Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. 

Tujuan IT AUDIT: Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality) dan keutuhan(integrity) dari sistem informasi organisasi. 
Jenis-jenis IT AUDIT. 
1. Sistem dan Aplikasi. yaitu Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas Pemrosesan Informasi. Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk. 
 3. Pengembangan Sistem. Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi. 
 4. Arsitektur perusahaan dan manajemen TI. Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi. 
5. Client/Server, Telekomunikasi, Intranet dan Internet. Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server. 
Prosedur IT AUDIT: Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan: 
· Apakah IS melindungi aset institusi: asset protection, availability · Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )? 
· Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain. 
Metodologi IT AUDIT Dalam prakteknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut: 
1.Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien. 
2.Mengidentifikasikan resiko dan kendali. Untuk memastikan bahwa qualified resource sudah di
miliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik. 3.Mengevaluasi kendali dan mengumpulkan bukti-bukti. Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi 
4.Mendokumentasikan. Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit. 
5.Menyusun laporan. Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan. 

Lembar Kerja IT AUDIT 
 •Stakeholders: 
– Internal IT Deparment 
– External IT Consultant 
– Board of Commision 
– Management 
 – Internal IT Auditor 
– External IT Auditor 
 •Kualifikasi Auditor: 
– Certified Information Systems Auditor (CISA) 
 – Certified Internal Auditor (CIA) 
– Certified Information Systems Security Professional (CISSP) 
 •Output Internal IT: 
– Solusi teknologi meningkat, menyeluruh & mendalam
 – Fokus kepada global, menuju ke standard-standard yang diakui 
•Output External IT: 
– Rekrutmen staff, teknologi baru dan kompleksitasnya 
– Outsourcing yang tepat 
 – Benchmark / Best-Practices 
•Output Internal Audit & Business: 
– Menjamin keseluruhan audit 
– Budget & Alokasi sumber daya 
– Reporting 

sumber : 
http://elmolya.blogspot.com/2011/03/it-audit-dan-forensik-audit-merupakan.html http://thierzhaa.blogspot.com/2012/06/it-auditaudit-atau-information-systems.html