Minggu, 20 April 2014

penggunaan Audit Arround the Computer



Audit around the computer masuk ke dalam kategori audit sistem informasi dan lebih tepatnya masuk ke dalam metode audit.  Audit around the computer dapat dikatakan hanya memeriksa dari sisi user saja dan pada masukan dan keluaranya tanpa memeriksa lebih terhadap program atau sistemnya, bisa juga dikatakan bahwa audit around the computer adalah audit yang dipandang dari sudut pandang black box.

Dalam pengauditannya yaitu auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.

Audit around the computer dilakukan pada saat:
1. Dokumen sumber tersedia dalam bentuk kertas (bahasa non-mesin), artinya masih kasat \ 
    mata dan dilihat secara visual.
2. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan.
3. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap 
    transaksi dari dokumen sumber kepada keluaran dan sebaliknya.

Kelebihan dan Kelemahan dari metode Audit Around The Computer adalah sebagai berikut:
Kelebihan:
1.Proses audit tidak memakan waktu lama karena hanya melakukan audit tidak secara 
   mendalam.
2.Tidak harus mengetahui seluruh proses penanganan sistem.

Kelemahan:
1. Umumnya database mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara   
     manual.
2. Tidak membuat auditor memahami sistem komputer lebih baik.  
3. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan    
    potensial dalam sistem.
4. Lebih berkenaan dengan hal yang lalu daripada audit yang preventif.
5. Kemampuan komputer sebagai fasilitas penunjang audit mubadzir.

6. Tidak mencakup keseluruhan maksud dan tujuan audit.
Diposting oleh Adhi Nugroho di 5:05:00 AM 0 komen

perbandingan 3C untuk melawan cybercrime (Cyberlaw, Computer Crime Act, Council of Europe Convention on Cyber Crime)


3C merupakan bentukan atas tindak perlawanan dari cyber crime yang marak di dalam perkembangan Teknologi Informasi. 3C tersebut adalah

C yang pertama itu
Cyberlaw
Cyberlaw adalah hukum yang digunakan di dunia cyber (dunia maya) yang umumnya diasosiasikan dengan internet. Cyberlaw merupakan aspek hukum yang ruang lingkupnya meliputi setiap aspek yang berhubungan dengan orang perorangan atau subyek hukum yang menggunakan dan memanfaatkan teknologi internet yang dimulai pada saat mulai online dan memasuki dunia cyber atau maya. Cyberlaw sendiri merupakan istilah yang berasal dari Cyberspace Law. Cyberlaw juga merupakan hukum yang terkait dengan masalah dunia cyber. Di Indonesia saat ini sudah ada dua Rancangan Undang-Undang (RUU) yang berhubungan dengan dunia cyber, yaitu RUU Pemanfaatan Teknologi Informasi dan RUU Informasi Elektronik dan Transaksi Elektronik.

kalo C yang k2 itu
Computer Crime Act (CCA)
Pada tahun 1997, Malaysia telah mengesahkan dan mengimplementasikan beberapa perundang-undangan yang mengatur berbagai aspek dalam cyberlaw seperti UU Kejahatan Komputer, UU Tandatangan Digital, UU Komunikasi dan Multimedia, juga perlindungan hak cipta dalam internet melalui amandemen UU Hak Ciptanya. The Computer Crime Act itu sendiri mencakup kejahatan yang dilakukan melalui komputer, karena cybercrime yang dimaksud di negara Malaysia tidak hanya mencakup segala aspek kejahatan/pelanggaran yang berhubungan dengan internet. Akses secara tak terotorisasi pada material komputer juga termasuk cybercrime. Jadi, apabila kita menggunakan komputer orang lain tanpa izin dari pemiliknya, maka tindakan tersebut termasuk dalam cybercrime walaupun tidak terhubung dengan internet.
 
Hukuman atas pelanggaran The Computer Crime Act :
1.      Denda sebesar lima puluh ribu ringgit (RM50,000) atau hukuman kurungan/penjara dengan lama waktu tidak melebihi lima tahun sesuai dengan hukum yang berlaku di negara tersebut (Malaysia). The Computer Crime Act mencakup, sbb :
a.       Mengakses material komputer tanpa ijin
b.      Menggunakan komputer untuk fungsi yang lain
c.       Memasuki program rahasia orang lain melalui komputernya
d.      Mengubah / menghapus program atau data orang lain
e.       Menyalahgunakan program / data orang lain demi kepentingan pribadi
 
Di Malaysia masalah perlindungan konsumen,cybercrime,muatan online,digital copyright, penggunaan nama domain, kontrak elektronik sudah ditetapkan oleh pemerintahan Malaysia. Sedangkan untuk masalah privasi, spam dan online dispute resolution masih dalam tahap rancangan.

nah sekarang ngebahas buat C yang ke3
Council of Europe Convention on Cyber Crime
Council of Europe Convention on Cyber Crime (Dewan Eropa Konvensi Cyber Crime) di bentuk dan berlaku mulai pada bulan Juli 2004,  merupakan dewan yang membuat perjanjian internasional untuk mengatasi kejahatan komputer dan kejahatan internet yang dapat menyelaraskan hukum nasional, meningkatkan teknik investigasi dan meningkatkan kerjasama internasional.
Pada umumnya Council of Europe Convention on Cyber Crime (CECCC) berisi Undang-Undang Pemanfaatan Teknologi Informasi (RUU-PTI) pada intinya memuat perumusan tindak pidana.
CECCC ini juga terbuka untuk penandatanganan oleh negara-negara non-Eropa dan menyediakan kerangka kerja bagi kerjasama internasional dalam bidang ini. Konvensi ini merupakan perjanjian internasional pertama pada kejahatan yang dilakukan lewat internet dan jaringan komputer lainnya, terutama yang berhubungan dengan pelanggaran hak cipta, yang berhubungan dengan penipuan komputer, pornografi anak dan pelanggaran keamanan jaringan. Hal ini juga berisi serangkaian kekuatan dan prosedur seperti pencarian jaringan komputer dan intersepsi sah.
Tujuan utama dari konvensi yang diselenggarakan CECCC adalah untuk membuat kebijakan kriminal umum yang ditujukan untuk perlindungan masyarakat terhadap Cyber Crime melalui harmonisasi legalisasi nasional, peningkatan kemampuan penegakan hukum dan peradilan, dan peningkatan kerjasama internasional.

Selain itu konvensi ini bertujuan terutama untuk : 
1.    Harmonisasi unsur-unsur hukum domestik pidana substantif dari pelanggaran dan ketentuan yang terhubung di bidang kejahatan cyber.
2.    Menyediakan form untuk kekuatan hukum domestik acara pidana yang diperlukan untuk investigasi dan penuntutan tindak pidana tersebut, serta pelanggaran lainnya yang dilakukan dengan menggunakan sistem komputer atau bukti dalam kaitannya dengan bentuk elektronik
3.    Mendirikan cepat dan efektif rezim kerjasama internasional.

jadi kesimpulannya itu kalau Cyberlaw mencakup cybercrime yang dilakukan melalui akses internet. Setiap negara memiliki cyberlaw yang berbeda. sedangkan, Computer Crime Act merupakan salah satu cyberlaw yang diterapkan di negara Malaysia, yang mencakup kejahatan melalui komputer (tanpa harus melalui internet). nah kalau Council of Europe Convention on Cyber Crime (CECCC) merupakan dewan eropa yang membuat perjanjian internasional guna menangani kejahatan komputer dan internet yang berlaku di internasional.

Diposting oleh Adhi Nugroho di 4:40:00 AM 0 komen

Episode 2 chapter II : Perbedaan Audit Around the Computer & Through the Computer



Audit around computer
adalah suatu pendekatan audit yang berkaitan dengan komputer, lebih tepatnya pendekatan audit disekitar komputer. dalam pendekatan ini auditor dapat melangkah kepada perumusan pendapatdengan hanya menelaah sturuktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual(bukan sistem informasi berbasis komputer).
Audit around computer dilakukan pada saat :
1. Dokumen sumber tersedia dalam bentuk kertas ( bahasa non-mesin), artinya masih kasat mata dan dilihat secara visual.
2. Dokumen-dokumen disimpan dalam file dengan cara yang mudah ditemukan
3. Keluaran dapat diperoleh dari daftar yang terinci dan auditor mudah menelusuri setiap transaksi dari dokumen sumber kepada keluaran dan sebaliknya.
# keunggulan metode Audit around computer :
1. Pelaksanaan audit lebih sederhana.
2. Auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilihat dengan mudah untuk melaksanakan audit.

Audit Through the computer
Audit ini berbasis komputer, dimana dalam pendekatan ini auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer.
Pendekatan Audit Through the computer dilakukan dalam kondisi :
1. Sistem aplikasi komputer memroses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperuas audit untuk meneliti keabsahannya.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.

 # Keunggulan pendekatan Audit Through the computer :
1. Auditor memperoleh kemampuasn yang besar dan efketif dalam melakukan pengujian terhadap sistem komputer.
2. Auditor akan merasa lebih yakin terhadap kebenaran hasil kerjanya.
3. Auditor dapat melihat kemampuan sistem komputer tersebut untuk menghadapi perubahan lingkungan.


TOOLS yang digunakan dalam IT Audit trail & IT forensik
Tools pada IT forensic 
adalah perangkat lunak yang dibuat untuk mengakses data. Perangkat ini digunakan untuk mencari berbagai informasi dalam hard drive, serta menjebol password dengan memecahkan enkripsi. Yang digunakan pada IT forensic dibedakan menjadi 2 yaitu hardware dan software. Dilihat dari sisi hardware, spsifikasi yang digunakan harus mempunyai kapasitas yang mumpuni seperti :
  • Hardisk atau storage yang mempunya kapasitas penyimpanan yang besar,
  • memory RAM antara (1-2 GB),
  • hub.sitch atau LAN, serta
  • Laptop khusus untuk forensic workstations.
Jika dilihat dari sisi software yang digunakan harus khusus dan memiliki kemampuan yang memadai untuk melakukan IT forensic seperti :
  • Write-Blocking Tools untuk memproses bukti-bukti
  • Text Search Utilities (dtsearch) berfungsi sebagai alat untuk mencari koleksi dokumen yang besar.
  • Hash Utility ( MD5sum) berfungsi untuk menghitung dan memverifikasi 128-bit md5 hash, untuk sidik jari file digital.
  • Forensic Acqusition tools (encase) digunakan oleh banyak penegak hokum untuk investigasi criminal, investigasi jaringan, data kepatuhan, dan penemuan elektronik.
  • Spy Anytime PC Spy digunakan untuk memonitoring berbagai aktifitas computer, seperti : seperti: website logs,keystroke logs, application logs, dan screenshot logs.

Ada 4 tahap dalam Komputer Forensik menurut Majalah CHIP
1. Pengumpulan data
Pengumpulan data bertujuan untuk meng i den tifikasi berbagai sumber daya yang dianggap penting dan bagaimana semua data dapat terhimpun dengan baik.
2. Pengujian
engujian mencakup proses penilaian dan meng-ekstrak berbagai informasi yang relevan dari semua data yang dikumpulkan. Tahap ini juga mencakup bypassing proses atau meminimalisasi berbagai feature sistem operasi dan aplikasi yang dapat menghilangkan data, seperti kompresi, enkripsi, dan akses mekanisme kontrol. Cakupan lainnya adalah meng alokasi file, mengekstrak file, pemeriksanan meta data, dan lain sebagainya.
3. Analisis
Analisis dapat dilakukan dengan menggunakan pendekatan sejumlah metode. Untuk memberikan kesimpulan yang berkualitas harus didasarkan pada ketersediaan sejumlah data atau bahkan sebaliknya, dengan menyimpulkan bahwa “tidak ada kesimpulan”. Hal tersebut sa ngat dimungkinan kan. Tugas analisis ini mencakup berbagai kegia tan, seperti identifikasi user atau orang di luar pengguna yang terlibat secara tidak langsung, lokasi, perangkat, kejadiaan, dan mempertimbangkan bagaimana semua komponen tersebut saling terhubung hingga mendapat kesimpulan akhir.
4. Dokumentasi dan laporan
Mengingat semakin banyak kasus-kasus yang terindikasi sebagai cybercrime, maka selain aspek hukum maka secara teknis juga perlu disiapkan berbagai upaya preventif terhadap penangulangan kasus cybercrime. Komputer forensik, sebagai sebuah bidang ilmu baru kiranya dapat dijadikan sebagai dukungan dari aspek ilmiah dan teknis dalam penanganan kasus-kasus cybercrime.
Kedepan profesi sebagai investigator komputer forensik adalah sebuah profesi baru yang sangat dibutuhkan untuk mendukung implementasi hukum pada penanganan cybercrime. Berbagai produk hukum yang disiapkan untuk mengantisipasi aktivitas kejahatan berbantuan komputer tidak akan dapat berjalan kecuali didukung pula dengan komponen hukum yang lain. Dalam hal ini computer forensik memiliki peran yang sangat penting sebagai bagian dari upaya penyiapan bukti-bukti digital di persidangan.

Tools pada IT Audit Trail
1. ACL
ACL  (Audit  Command  Language)  merupakan  sebuah  software  CAAT  (Computer  Assisted  Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber. http://www.acl.com/

2. Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques)  seperti halnya ACL
yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber. http://www.picalo.org/

3. Powertech Compliance Assessment
Powertech Compliance Assessment  merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security,   system  auditing   dan   administrator   rights   (special   authority)   sebuah   server   AS/400.
http://www.powertech.com/

4. Nipper
Nipper  merupakan  audit  automation  software  yang  dapat  dipergunakan  untuk  mengaudit  dan  mem- benchmark konfigurasi sebuah router.  http://sourceforge.net/projects/nipper/

5. Nessus
Nessus merupakan sebuah vulnerability assessment software. http://www.nessus.org/

6. Metasploit
Metasploit Framework merupakan sebuah penetration testing tool. http://www.metasploit.com/

7. NMAP
NMAP merupakan open source utility untuk melakukan security auditing. http://www.insecure.org/nmap/

8. Wireshark
Wireshark merupakan network utility yang dapat dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer.  http://www.wireshark.org/

http://wwwmikaelpaul.blogspot.com/2012/03/perbedaan-audit-around-computer-dan.html
http://satrio-justinimagination.blogspot.com/2013/05/pengertian-it-audit-dan-it-forensics_2909.html
http://ba9uez.wordpress.com/it-forensik/
http://ibrahimfundamental.blogspot.com/2013/03/penjelasan-tentang-it-audit-trail-real.html

Diposting oleh Adhi Nugroho di 4:19:00 AM 0 komen

apa itu IT Forensik, Audit Trail, & Real Time audit ??

IT Forensik itu adalah
suatu ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat). Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti yang akan digunakan dalam proses selanjutnya.Selain itu juga diperlukan keahlian dalam bidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardwaremaupun software untuk membuktikan pelanggaran-pelanggaran yang terjadi dalam bidang teknologi sistem informasi tersebut. Tujuan dari IT forensik itu sendiri adalah untuk mengamankan dan menganalisa bukti-bukti digital.


Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Tujuan IT forensik:1. Untuk membantu memulihkan, menganalisa, dan mempresentasikan materi/entitas berbasis     digital atau elektronik sedemikian rupa sehingga dapat dipergunakan sebagai alat buti yang     sah di pengadilan2. Untuk mendukung proses identifikasi alat bukti dalam waktu yang relatif cepat, agar dapat         diperhitungkan perkiraan potensi dampak yang ditimbulkan akibat perilaku jahat yang  
    dilakukan oleh kriminal terhadap korbannya, sekaligus mengungkapkan alasan dan 
    motivitasi tindakan tersebut sambil mencari pihak-pihak terkait yang terlibat secara 
    langsung maupun tidak langsung dengan perbuatan tidak menyenangkan dimaksud. 

nah sekarang kita bahas tentang, 
IT Audit Trail

IT Audit Trail atau yang biasa kita kenal dengan Audit Teknologi Informasi (information technology “IT”) itu adalah Suatu proses kontrol dari infrastruktur teknologi informasi secara menyeluruh dimana berhubungan dengan masalah audit finansial dan audit internal.  Pada mulanya Audit IT ini lebih banyak dikenal dengan istilah EDP Auditing (Electronic Data Processing) yang mana Audit IT ini digunakan untuk menguraikan dua jenis aktifitas yang berhubungan dengna computer. Penggunaan istilah tersebut bertujuan untuk memaparkan suatu proses penelaahaan dan evaluasi dari pengendalian-pengendalian internal yang ada di dalam EDP. Aktifitas jenis ini sering disebut juga sebagai auditing melalui komputer. Istilah lainnya yang digunakan adalah untuk memberikan penjelasan tentang pemanfaatan computer oleh auditor untuk melaksanakan beberapa pekerjaan dari audit yang tidak dapat dikerjakan secara manual. Untuk aktifitas jenis ini sering disebut sebagai audit dengan komputer.

 Audit IT itu sendiri merupakan suatu penggabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT sendiri memiliki tujuan untuk meninjau dan mengevaluasi dari factor-faktor ketersediannya(availability), kerahasiaan(confidentiality), dan juga keutuhan(integrity) dari system informasi organisasi.
Cara kerja Audit Trail :
Audit Trail yang disimpan dalam satu table.
1.      Dapat dilakukan dengan cara menyisipkan suatu perintah penambahan record ditiap-tiap query Insert, Update dan juga Delete.
2.      Memanfaatkan fitur trigger yang ada pada DBMS. Trigger adalah suatu kumpulan SQL statement, yang secara otomatis akan menyimpan log yang ada pada event Insert, Update, atupun Delete yang ada pada sebuah table.

Fasilitas Audit Trail yang diaktifkan, maka setiap transaksi yang dimasukkan kedalam accurate, jurnalnya akan dicatat di dalam sebuah table. Apabila ada transaski yang mengalami pengupdatetan, maka jurnal yang lama tidak akan langsung hilang melaikan datanya akan disimpan dan begitu pula dengan jurnal yang barunya.
Hasil yang diperoleh dari Audit Trail.
Record Audit Trail akan disimpan kedalam bentuk, yaitu :
1.      Binary File : Ukurannya tidak lah besar akan tetapi tidak dapat begitu saja di baca.
2.      Text File : Ukurannya besar namun dapat langsung dibaca.
3.      Tabel.


nah sekarang ngebahas tentang REAL TIME AUDIT nya

Dari sumber lain dikatakan : Real Time Audit atau biasa yang di sebut dengan RTA adalah sebuah sistem manajemen kegiatan online yang menggabungkan sistem kegiatan manajemen dengan sistem monitoring dan evaluasi. Dalam penggunaannya, RTA sangat membantu dalam penghematan biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan, seiring dengan meningkatnya kemajuan teknologi, teknik kualitas dari pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer. Oleh karena itu RTA sangat berguna sekali dalam membantu kita mengaudit suatu administrasi. RTA menggabungkan logis prosedural merekam dan sederhana dari perencanaan dan komitmen dana. prosedur analitik yang sedang berlangsung memberikan alert tepat waktu untuk mencegah pengeluaran yang tidak sesuai. Dan ilmu yang mempelajari audit sistem informasi yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya disebut IT Forensik. Dan metode audit yang bisa digunakan adalah COBIT.

Sedangkan dalam sistem pengolahan on-line/real time, transaksi secara individual dientri melalui peralatan terminal, divalidasi dan digunakan untuk meng-update dengan segera filekomputer. Hasil pengolahan ini kemudian tersedia segera untuk permintaan keterangan atau laporan. Jadi dapat disimpulkan : Real time audit adalah suatu kegiatan evaluasi dan pemeriksaan dokumen, transaksi dalam suatu sistem organisasi yang dilakukan secara langsung atau realtime secara online, hal ini berbeda dengan internal audit yang memiliki pengertian yaitu audit yang pelaksanaan nya dilakukan oleh pegawai pemeriksa yang berada dalam organisasi tersebut.

http://wartawarga.gunadarma.ac.id/2010/05/iri-ciri-profesionalisme-di-bidang-it-dan-kode-etik-profesional-yang-harus-dimiliki-oleh-seorang-it/ 
http://wartawarga.gunadarma.ac.id/2010/03/jenis-jenis-ancaman-threats-yang-dapat-dilakukan-akibat-menggunakan-melalui-it-dan-contoh-kejahatan-cyber-crime/
http://rainzacious.blogspot.com/2013/03/penulisan-pengertian-audit-trail-real.html
Diposting oleh Adhi Nugroho di 3:30:00 AM 1 komen
Langganan: Postingan (Atom)
 
layout made by Hania Alifa Adzhani - Beetwen Leisure and Jobless