Apa sih IT audit itu? Dan apakah IT perlu di audit? Ya, tak hanya akuntansi ataupun managemen yang diaudit, tp juga IT. Jadi IT AUDIT adalah penilaian / pengujian control dalam system informasi atau infrastruktur teknologi informasi. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer dan Behavioral Science.
Adapun tujuan dari Audit IT adalah untuk meninjau dan mengevaluasi beberapa factor antara lain :
ketersediaan (availability)
kerahasiaan (confidentiality)
keutuhan(integrity) - dari sistem informasi organisasi.
Apakah IT Forensik?
Pernahkah kita melihat tayangan televisi tentang sebuah pembunuhan terjadi lantas pihak berwajib turun tangan serta terdapat tim forensik yang memeriksa tempat kejadian perkara? Lantas apakah arti dari kata forensik itu? Forensik memiliki makna “yang berkenaan dengan pengadilan” atau “berkenaan dengan penerapan pengetahuan ilmiah pada masalah hukum” maksudnya ialah pencaran fakta – fakta objektif dari sebuah insiden. Maka IT Forensik ialah pencarian fakta – fakta objektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta – fakta tersebut nantinya akan diverifikasi menjadi bukti – bukti yang akan digunakan dalam proses hukum.
Jenis-jenis IT AUDIT
IT AUDIT terbagi kedalam beberapa jenis diantaranya:
1. Sistem dan Aplikasi.
yaitu Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas Pemrosesan Informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3. Pengembangan Sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, Telekomunikasi, Intranet dan Internet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.
Prosedur IT AUDIT:
Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan:
- Apakah IS melindungi aset institusi: asset protection, availability
- Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )?
- Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain.
Metodologi IT AUDIT
Dalam prakteknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut:
1.Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.Mengidentifikasikan resiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik.
3.Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi
4.Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
5.Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum:
1.Pengumpulan data/fakta dari sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus.
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
3.Merunut kejadian (chain of events) berdasarkan waktu kejadian
4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat
5.Dokumentasi hasil yang diperoleh dan menyusun laporan
6.Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)
Lembar Kerja IT AUDIT
•Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
•Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
•Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard-standard yang diakui
•Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
•Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
•Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
•Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard-standard yang diakui
•Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices
•Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting
Tools yang digunakan untuk IT Audit dan Forensik :
- Hardware
- Harddisk IDE dan SCSI kapasitas sangat besar, CD-R, DVR drives
- Memori yang besar (1 - 2 GB RAM)
- Hub, Switch, keperluan LAN
- Legacy hardware (8088s, Amiga)
- Laptop Forensic Workstations
- Software
- Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/ )
- Erase/Unerase tools : Diskscrub/Norton utilities
- Hash utility (MD5, SHA1)
- Text search utilities (dtsearch http://www.dtsearch.com/ )
- Drive imaging utilities (Ghost, Snapback, Safeback)
- Forensic toolkits
- Unix/Linux : TCT The Coroners Toolkit / ForensiX
- Windows : Forensic Toolkit
- Disk editors (Winhex)
- Forensic aquisition tools (DriveSpy, EnCase, Safeback, SnapCopy)
- Write-blocking tools (FastBloc http://www.guidancesoftware.com/ ) untuk memproteksi bukti-bukti
- Forensic software tools for Windows (dd for Windows, Encase 4, FTK, MD5, ISOBuster)
- Image and Document Readers (ACDSee, DecExt)
- Data Recovery/Investigation (Active Partition Recovery, Decode – Forensic Date/Time Decoder)
- Dll.
Contoh IT audit :
Referensi :
http://www.facebook.com/topic.php?uid=64462298962&topic=8815
http://blogkublogku.blogspot.com/2011/03/it-audit-dan-forensik.html
http://arifust.web.id/2011/03/13/it-forensik-dan-it-audit/
http://iwayan.info/Lecture/EtikaProfesi_S1/04a_ITForensik.pdf
http://arifust.web.id/2011/03/13/it-forensik-dan-it-audit/
http://iwayan.info/Lecture/EtikaProfesi_S1/04a_ITForensik.pdf
Free Template Blogger collection template Hot Deals BERITA_wongANteng SEO
Tidak ada komentar:
Posting Komentar