Archive for 2018
SISTEM KEAMANAN TEKNOLOGI INFORMASI
1. Enkripsi pesan “Turn Back Hoax” dengan kata kunci
“PERANG” *Enkripsi Dengan Vigenere Cipher
Jawab :
PLAINTEXT : TurnBackHoax
KEY : PERANG
CHIPER : IYINOGROYOND
2. Dalam Pengembangan sistem informasi, dibutuhkan juga
aspek pengamanan computer, sebutkan dan berikan contohnya.
Jawab
:
Inti dari keamanan komputer ialah melindungi komputer
dan jaringannya dengan tujuan mengamankan informasi yang berada di dalamnya.
Keamanan komputer ini sendiri meliputi beberapa aspek , antaranya ialah :
·
Privacy,
ialah sesuatu yang bersifat rahasia(provate). Intinya ialah pencegahan agar
informasi tersebut tidak diakses oleh orang yang tidak berhak.
·
Confidentiality,
adalah data yang diberikan kepada pihak lain untuk tujuan khusus tetapi tetap
dijaga penyebarannya.
·
Integrity,
penekanannya merupakan sebuah informasi tidak boleh diubah kecuali oleh pemilik
informasi
·
Autentication,
ialah ini akan dilakukan sewaktu user login dengan menggunakan nama user dan
passwordnya, apakah cocok atau tidak, apabila cocok diterima dan tidak akan
ditolak.
·
Availability,
aspek ini ialah berkaitan dengan apakah sebuah data tersedia saat
dibutuhkan/diperlukan.
3. Bagaimana cara untuk menangani web browser yang
terkena malware?
Jawab
:
Solusi dari web browser yang terkenal malware yang
pertama adalah mengidentifikasi terlebih dahulu program apa yang menyebabkan
virus tersebut menginfeksi web browser kita, selanjutnya uninstall program
tersebut. Setelah itu coba scan menggunakan antivirus untuk menghapus sisa-sisa
dari malware tersebut dan terakhir, jangan lupa untuk selalu mengupdate baik
itu dari browser, antivirus maupun sistem operasi kita.
4.
Dokumen yang
sifatnya rahasia di Divisi Finance dapat dilihat oleh divisi lainnya, bagaimana
cara penanganan agar kerahasiaannya terjaga?
Jawab :
Hal yang harus dilakukan dalam menjaga kerahasiaan
dokumen adalah memastikan pihak-pihak yang benar-benar memiliki akses untuk
mengolah dokumen. Jika hal tersebut sudah dilaksanakan maka secara otomatis
kerahasiaan dari suatu dokumen akan terjamin.
5.
Ketika
sedang browsing, tiba tiba koneksi internet lambat, setelah ditelusuri terdapat
serangan DDOS, bagaimana menanganinya?
Jawab :
Pertama identifikasi terlebih dulu port mana yang
terbuka dan terindikasi oleh serangan DDOS. Lalu lakukan upaya recover dengan
mengaktifkan firewall untuk mencegah serangan DDOS, selanjutnya lakukan block
alamat ip dan port attacker.
ACL (Audit Command Language)
ACL (Audit Command Language)
DEFINISI.
Pengertian
Audit Menurut Para Ahli.
1.
Pengertian Auditing Menurut (Sukrisno
Agoes , 2004), auditing adalah
“Suatu
pemeriksaan yang dilakukan secara kritis dan sistematis oleh pihak yang
independen, terhadap laporan keuangan yang telah disusun oleh manajemen beserta catatan-catatan
pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan
pendapat mengenai kewajaran laporan keuangan tersebut.”
2.
Pengertian Auditing menurut (Arens
dan Loebbecke, 2003), auditing sebagai:
“Suatu
proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat
diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan
independen untuk dapat menentukan dan melaporkan kesesuaian informasi dengan
kriteria-kriteria yang telah ditetapkan. Auditing seharusnya
dilakukan oleh seorang yang independen dan kompeten.”
3.
Pengertian Auditing Menurut (Mulyadi
, 2002), auditing merupakan:
“Suatu
proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif
mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi dengan
tujuan untuk menetapkan tingkat kesesuaian antara pernyataan-pernyataan
tersebut dengan kriteria yang telah ditetapkan, serta penyampaian
hasil-hasilnya kepada pemakai yang berkepentingan.”.
ACL adalah sebuah software yang dirancang secara
khusus untuk menganalisa data dan menghasilkan laporan audit baik untuk
pengguna biasa (common/ nontechnical users) maupun pengguna ahli (expert
users).
KEUNTUNGAN
MENGGUNAKAN ACL.
·
Mudah
dalam penggunaan.
·
Built-
in audit dan analisis data secara fungsional.
·
Kemampuan
menangani ukuran file yang tidak terbatas.
·
Kemampuan
mengekspor hasil audit.
·
Pembuatan
laporan berkualitas tinggi.
MANFAAT MENGGUNAKAN ACL.
1.
Dapat
membantu dalam mengakses data baik langsung (direct) kedalam sistenm
jaringan ataupun indirect (tidak langsung) melalui media lain seperti
softcopy dalam bentuk text file/report.
2.
Menempatkan
kesalahan dan potensial “fraud” sebagai pembanding dan menganalisa file-file
menurut aturan-aturan yang ada.
3.
Mengidentifikasi
kecenderungan/gejala-gejala, dapat juga menunjukan dengan tepat sasaran
pengecualian data dan menyoroti potensial area yang menjadi perhatian.
4.
Mengidentifikasi
proses perhitungan kembali dan proses verifikasi yang benar.
5.
Mengidentifkasi
persoalan sistem pengawasan dan memastikan terpenuhinya permohonan dengan
aturan-aturan yang telah ditetapkan.
6.
Aging
dan menganalisa account receivable/payable atau beberapa transaksi lain dengan
menggunakan basis waktu yang sensitive.
5
SIKLUS DATA ACL.
·
Perencanaan, rencanakan pekerjaan anda sebelum memulai sebuah
project. Dengan merumuskan jelas tujuanya sebelum mulai analisis, dengan
mengembangkan strategi dan waktu serta sumber daya.
·
Akses Data, langkah berikutnya adalah mengakses data yang
digariskan dalam rencana strategis. Dengan mencari, meminta, dan mentransfer
data sebelumnya untuk membacanya dengan ACL.
·
Integritas dan Verifikasi Data, setelah menerima data, maka diperlukan
untuk menguji integritas. Jika anda memulai project anda tanpa harus
diverifikasi terlebih dahulu data yang integritas, ada kemungkinan tidak
lengkap.
·
Analisi Data, dalam analisis tahap melakukan tes yang diperlukan
untuk mencapai tujuan. Anda mungkin akan menggunakan kombinasi perintah,
filter, dan hitungan dalam analisis Anda.
·
Pelaporan Hasil, tergantung pada proyek tersebut, Anda
mungkin perlu membuat laporan dari yang dihasilkan. ACL dapat membuat berbagai
jenis laporan, termasuk multiline, detail, dan ringkasan laporan.
UNSUR-UNSUR
UTAMA dan ANALISIS ACL.
Commands,
pada ACL merupakan
perintah analisis standar
yang ada pada ACL seperti perintah statistik. Stratify (menstratifikasi), Aging (umur)
dsb. Perintah tersebut dapat menghasilkan output dalam bentuk file,
screen(layar), print dan grafik.
Expression, adalah pernyataan yang digunakan terutama
untuk membuat filter dan computed fields. Melakukan perhitungan, menentukan kondisi
logis, atau menciptakan nilai-nilai yang tidak ada pada data file. Expressions dapat diberi nama dan
disimpan sebagai bagian dari suatu proyek atau digunakan langsung.
1.
Filter
adalah ekspresi logika yang memungkinkan Anda memilih jenis data yang Anda
ingin lihat. Sebagai contoh, Anda dapat membuat Filter yang memilih hanya
records yang berada dalam rentang tanggal tertentu.
2.
Computed
Fields adalah dikenal juga sebagai calculated field, adalah virtual field yang
menggunakan data yang berasal dari ekspresi atau variabel tertentu. Ini tidak
berisi data fisik. Sebagai contoh, Anda dapat membuat sebuah field baru yang
merupakan hasil dari nilai-nilai di dua field lainnya. Anda juga dapat
menyisipkan ke dalam tabel nilai tertentu seperti suku bunga atau kondisi
logis.
Function, adalah sesuatu yang pasti yang sudah ada
dalam function di ACL dengan menggunakan variabel, untuk melaksanakan suatu
perhitungan atau perintah atas data yang telah ditetapkan.
Variable, Interface
ACL yaitu pada saat pertama membuka ACL, anda
akan dihadapkan layar seperti dibawah ini, dengan tampilan Welcome Tab, Project
Navigator, dan Status Bar. Welcome Tab
merupakan tampilan yang menunjukan macam-macam project yang pernah dibuat dan
disimpan di ACL. Karena sistem ACL sudah menggunakan sistem seperti di website,
jadi anda tinggal mengklik untuk memilihnya. Project Navigator merupakan tampilan dimana Tabel dan
Log sedang dalam pengerjaan dalam suatu project di ACL. Status Bar, menunjukan informasi tentang tabel yang sedang
dibuka, termasuk nama tabel tersebut, number record, dan tampilan filter jika
sedang diaktifkan.
SOFTWARE SEJENIS DENGAN
ACL.
- · IDEA (Interactive Data Analysis Software)
- · APG (Audit Program Generator)
- · Microsoft Excel
- · Audit Easy
- · EZ-R Status
- · QSAQ
- · Random Audit Assistant
- · RAT-STATS
- · Auto Audit
- · GRC on Demand
DAFTAR
PUSTAKA.
IMPLEMENTASI KEGUNAAN ALGORITMA DES, RSA, PGP di BIDANG KEMANANAN DATA JARINGAN
MATA KULIAH : SISTEM KEAMANAN TEK.INFORMASI
AKHMAD DANU SATRIA
10115429 / 4KA06
DES (Data
Encryption Standard)
Data Encryption Standard (DES) adalah suatu blok cipher
(salah satu bentuk enkripsi rahasia bersama) yang dipilih oleh National Bureau
of Standar sebagai seorang pejabat Federal Information Processing Standard
(FIPS) untuk Amerika Serikat pada tahun 1976 dan yang kemudian dinikmati secara
luas gunakan internasional. Hal ini didasarkan pada algoritma kunci simetris
yang menggunakan 56-bit key. Algoritma awalnya diklasifikasikan kontroversial
dengan elemen desain, kunci yang relatif pendek panjang, dan kecurigaan tentang
National Security Agency (NSA) backdoor. DES akibatnya datang di bawah
pengawasan intens akademis yang memotivasi pemahaman modern dan blok cipher
kriptoanalisis mereka.
Algoritma
DES
Skema global dari algoritma DES adalah sebagai berikut :
Pertama blok plainteks dipermutasi dengan matriks permutasi
awal (initial permutation atau IP). Lalu, hasil permutasi awal kemudian di
-enciphering-sebanyak 16 kali (16 putaran). Setiap putaran menggunakan kunci
internal yang berbeda dan hasil enciphering kemudian dipermutasi dengan matriks
permutasi balikan (invers initial permutation atau IP-1) menjadi blok
cipherteks.
Implementasi
DES
Untuk mengenkrip atau mendekripsi lebih dari 64 bit ada 4
model resmi yang telah ditetapkan oleh FIPS PUB 81. Salah satu model yang
digunakan adalah untuk memeriksa proses deakripsi di atas untuk masing-masing
blok secara berurutan. Model ini disebut model Electronic Code Book (ECB).
Kelebihan dari metode ini adalah melakukan XOR masing-masing blok plaintext
dengan blok ciphertext sebelumnya untuk proses enkripsi. Model ini dinamakan
Cipher Block Chaining (CBC). Dua model yang lain adalah Output Feedback (OFB)
dan Cipher Feedback (CFB).
Algoritma DES juga dapat digunakan untuk menghitung checksum
sampai panjang 64 bit. Jika jumlah data dalam bit dikenai checksum bukan
perkalian 64 bit, maka blok data yang terakhir diberi angka 0. Jika data itu
berupa data ASCII, maka bit pertama dari beberapa bit yang lain diberi nilai 0.
RSA
RSA di bidang kriptografi adalah
sebuah algoritme pada enkripsi public key. RSA merupakan algoritme
pertama yang cocok untuk digital signature seperti
halnya ekripsi, dan salah satu yang paling maju dalam bidang kriptografi public
key. RSA masih digunakan secara luas dalam protokol electronic commerce, dan
dipercaya dalam mengamnkan dengan menggunakan kunci yang cukup panjang.
Sejarah
Singkat
Algortima RSA dijabarkan pada tahun 1977 oleh tiga
orang : Ron Rivest, Adi Shamir dan Len Adleman dari Massachusetts Institute of Technology.
Huruf RSA itu sendiri berasal dari inisial nama mereka (Rivest—Shamir—Adleman).
Clifford Cocks,
seorang matematikawan Inggris yang bekerja untuk GCHQ, menjabarkan tentang sistem ekuivalen
pada dokumen internal pada tahun 1973. Penemuan Clifford
Cocks tidak terungkap hingga tahun 1997 karena
alasan top-secret classification.
Algoritme tersebut dipatenkan oleh Massachusetts Institute of Technology pada tahun 1983 di Amerika
Serikat sebagai U.S. Patent 4.405.829.
Paten tersebut berlaku hingga 21 September 2000. Semenjak Algoritme
RSA dipublikasikan sebagai aplikasi paten, regulasi di sebagian besar
negara-negara lain tidak memungkinkan penggunaan paten. Hal ini menyebabkan
hasil temuan Clifford Cocks di kenal
secara umum, paten di Amerika Serikat tidak dapat mematenkannya.
Algoritma
dan Implementasi RSA
Skema RSA sendiri mengadopsi dari skema block cipher, dimana
sebelum dilakukan enkripsi, plainteks yang ada dibagi – bagi menjadi blok –
blok dengan panjang yang sama, dimana plainteks dan cipherteksnya berupa
integer(bilangan bulat) antara 1 hingga n, dimana n berukuran biasanya sebesar
1024 bit, dan panjang bloknya sendiri berukuran lebih kecil atau sama dengan
log(n) +1 dengan basis 2. Fungsi enkripsi dan dekripsinya dijabarkan dalam
fungsi berikut :
C = Me mod n
(fungsi enkripsi)
M = Cd mod n
(fungsi dekripsi)
C
= Cipherteks
M
= Message / Plainteks
e
= kunci publik
d=
kunci privat
n
= modulo pembagi
Kedua pihak harus mengetahui nilai e dan nilai n ini, dan salah
satu pihak harus memilki d untuk melakukan dekripsi terhadap hasil enkripsi
dengan menggunakan public key e. Penggunaan algoritma ini harus memenuhi
kriteria berikut :
1. Memungkinkan untuk mencari
nilai e, d, n sedemikian rupa sehingga Med mod n = M untuk semua M < n.
2. Relatif mudah untuk menghitung nilai Me mod n dan Cd mod n untuk semua nilai M < n.
3. Tidak memungkinkan mencari nilai d jika diberikan nilai n dan e.
2. Relatif mudah untuk menghitung nilai Me mod n dan Cd mod n untuk semua nilai M < n.
3. Tidak memungkinkan mencari nilai d jika diberikan nilai n dan e.
Syarat nilai e dan d ini, gcd(d,e)=1
Sebelum memulai penggunaan RSA ini, terlebih dahulu kita harus
memiliki bahan – bahan dasar sebagai berikut :
1.
p, q = 2 bilangan prima yang dirahasiakan
2.
n, dari hasil p.q
3.
e, dengan ketentuan gcd (Φ(n), e) =1
4. d, e-1 (mod
Φ(n))
Contoh:
1. Pilih 2 bilangan prima, misalnya p = 17 dan q = 11.
2. Hitung n = pq = 17 × 11 = 187.
3. Hitung Φ(n) = (p – 1)(q – 1) = 16 × 10 = 160.
4. Pilih nilai e sedemikian sehingga relatif prima terhadap Φ(n) = 160 dan kurang dari Φ(n); kita pilih e = 7.
5. Hitung d sedemikian sehingga de ≡ 1 (mod 160) dan d < 160.Nilai yang didapatkan d = 23,karena 23 × 7 = 161 = (1 × 160) + 1; d dapat dihitung dengan Extended Euclidean Algorithm.
2. Hitung n = pq = 17 × 11 = 187.
3. Hitung Φ(n) = (p – 1)(q – 1) = 16 × 10 = 160.
4. Pilih nilai e sedemikian sehingga relatif prima terhadap Φ(n) = 160 dan kurang dari Φ(n); kita pilih e = 7.
5. Hitung d sedemikian sehingga de ≡ 1 (mod 160) dan d < 160.Nilai yang didapatkan d = 23,karena 23 × 7 = 161 = (1 × 160) + 1; d dapat dihitung dengan Extended Euclidean Algorithm.
Nah,
nilai e dan d inilah yang kita sebut sebagai Public Key(e) dan Private
Key(d). Pasangan Kunci Publiknya ={7,187} dan Kunci Privatnya = {23, 187}
Sekarang
kita aplikasikan dalam proses enkripsi.
Misalnya kita punya M 88. Untuk
proses enkripsi, kita akan menghitung C = 887 mod 187.
= 887 mod 187.
=894,432
mod 187
=11
Nah,
kita mendapatkan nilai C =11.
Selanjutnya,
nilai C ini dikirimkan kepada penerima untuk didekripsi dengan kunci privat
miliknya.
M = Cd mod n
= 1123 mod 187
=79,720,245
mod187
=
88
PGP
PGP adalah
singkatan dari Pretty Good Privacy, dan merupakan program enkripsi yang
memiliki tingkat keamanan cukup tinggi dengan menggunakan “private-public key”
sebagai dasar autentifikasinya. PGP pertama diperkenalkan pada tahun 1991 oleh
Philip Zimmermann untuk menyandikan data dalam pengiriman surat elektronik.
Dalam proses penyandian data ini, PGP mengikuti standar RFC 4880.
PGP memiliki
dua versi, yaitu USA version dan International version. PGP veris USA hanya
dapat digunakan di wilayah Amerika dan hanya berlaku untuk warganegara Amerika
saja. Versi USA ini menggunakan algoritma asimetrik, yaitu RSA algorithm dalam
proses enkripsi dan dekripsinya. Sedangkan untuk versi internasional, PGP dapat
digunakan oleh semua warganegara di seluruh penjuru dunia. Algoritma penyandian
yang digunakan adalah algoritma MPILIB yang merupakan algoritma buatan Phill
Zimmermann. Untuk membedakan antara versi USA dan internasional, dapat dengan
cara melihat penulisannya.
PGP versi
internasional menambahkan akhiran “i” pada nomor seri PGP. Contohnya, nomor
versi PGP terakhir adalah 7.0.3 untuk versi USA dan 7.0.3i untuk versi
internasional. Beberapa tahun belakangan ini, penggemar dan pengguna PGP
semakin meningkat sehingga PGP telah menjadi standar de-facto program enkripsi
untuk electronic mail. Versi International lebih banyak digunakan oleh
masyarakat dunia karena kapabilitasnya . Layanan PGP versi ini dapat berlaku ke
seluruh mancanegara. Jadi, ketika seseorang mengirim e-mail menggunakan PGP
versi ini, maka penerima dapat mambaca e-mail tersebut karena versi yang
digunakan bersifat universal.
Implementasi PGP
PGP (Pretty Good Privacy), seperti yang telah dijelaskan sebelumnya, menggunakan teknik yang disebut public-key encryption dengan dua kode. Kode-kode ini berhubungan secara intrinsik, namun tidak mungkin untuk memecahkan satu dan yang lainnya.
Bila suatu ketika kita membuat suatu kunci, maka secara otomatis
akan dihasilkan sepasang kunci yaitu public key and secret key. Kita dapat
memberikan public key ke manapun tujuan yang kita inginkan, melalui telephone,
internet, keyserver, dsb. Secret key yang disimpan pada mesin kita dan
menggunakan messager decipher akan dikirimkan ke kita. Jadi orang yang akan
menggunakan public key kita (yang hanya dapat didekripsi oleh oleh secret key
kita), mengirimkan messages kepada kita , dan kita akan menggunakan secret key
untuk membacanya.
Sumber :
AUDIT TEKNOLOGI INFORMASI
AUDIT TEKNOLOGI INFORMASI
DEFINISI.
Pengertian Audit Menurut Para Ahli.
1. Pengertian Auditing Menurut (Sukrisno
Agoes , 2004), auditing adalah
“Suatu pemeriksaan yang dilakukan secara
kritis dan sistematis oleh pihak yang independen, terhadap laporan keuangan
yang telah disusun oleh manajemen beserta catatan-catatan
pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan
pendapat mengenai kewajaran laporan keuangan tersebut.”
2. Pengertian Auditing menurut (Arens dan
Loebbecke, 2003), auditing sebagai:
“Suatu proses pengumpulan dan
pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu
entitas ekonomi yang dilakukan seorang yang kompeten dan independen untuk dapat
menentukan dan melaporkan kesesuaian informasi dengan kriteria-kriteria yang
telah ditetapkan. Auditing seharusnya dilakukan oleh seorang
yang independen dan kompeten.”
3. Pengertian Auditing Menurut (Mulyadi ,
2002), auditing merupakan:
“Suatu proses sistematik untuk memperoleh
dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang
kegiatan dan kejadian ekonomi dengan tujuan untuk menetapkan tingkat kesesuaian
antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan,
serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.”.
Audit
teknologi informasi (Inggris: information technology (IT) audit atau
information systems (IS) audit) adalah bentuk
pengawasan dan pengendalian dari infrastruktur teknologi
informasisecara menyeluruh. Audit teknologi informasi ini dapat
berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan
kegiatan pengawasan dan evaluasi lain yang sejenis.
Pada mulanya istilah ini
dikenal dengan audit pemrosesan
data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi
dari semua kegiatan sistem informasi dalam
perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem
informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam
mencapai target organisasinya.
Secara umum Audit TI adalah suatu proses kontrol pengujian terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit
finansial dan audit internal. Audit TI lebih dikenal dengan istilah EDP Auditing
(Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis
aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah
tersebut adalah untuk menjelaskan proses penelahan dan evaluasi
pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut
sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk
menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa
pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini
disebut audit dengan komputer.
Audit TI sendiri
merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit,
Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan
Behavioral Science. Audit TI bertujuan untuk meninjau dan mengevaluasi
faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan
keutuhan (integrity) dari sistem informasi organisasi.
SEJARAH AUDIT, AUDIT IT.
Audit sudah
dikenal dahulu pada zaman Mesopotamia dengan ditemukannya simbol-simbol pada
angka-angka transaksi keuangan seperti titik, cek list, dan lain-lain. Di
Mesir audit terlihat dari beberapa transaksi keuangan yang diperiksa oleh
auditor. Di Yunani menerapkan audit namun untuk posisi ini kerajaan
menempatkan para budak agar jika ada penyimpangan mudah untuk mencari informasi
dengan cara menyiksa para budak tersebut. Dan di Romawi, audit menggunakan
sistem "dengar transaksi keuangan", jadi setiap transaksi disaksikan
oleh auditor.
Konsep audit TI dibentuk pada pertengahan 1960-an. Pada saatu itu,
audit TI telah mengalami banyak perubahan dan penggabungan dari teknologi yang
lainnya. Saat ini, opini tentang audit TI terus meningkat, karena peran audit TI
yang sangat besar. Salah satunya mengaudit sistem penting untuk mendukung audit
keuangan atau mendukung peraturan khusus, semisal SOX.
TUJUAN.
Tujuan Audit Teknologi Informasi adalah
untuk mengevaluasi desain pengendalian internal sistem dan efektivitas. Tidak
terbatas pada pada efisiensi dan keamanan protokol, proses pengembangan, dan
tata kelola TI. Instalasi kontrol sangat diperlukan, tetapi perlu adanya
keamanan protokol yang memadai agar tidak ada pelanggaran keamanan. Dalam
lingkungan Sistem Informasi (SI), audit adalah pemeriksaan sistem informasi,
input, output, dan pengolahan.
Fungsi utama audit TI ini adalah mengevaluasi
sistem untuk menjaga keamanan data organisasi. Audit TI bertujuan untuk
mengevaluasi dan menilai resiko untuk menjaga aset berharga dan menetapkan
metode untuk meminimalkan resiko tersebut.
JENIS-JENIS
AUDIT TI.
Menurut Goodman and Lawles,
ada tiga pendekatan yang sistematis untuk melakukan audit TI, yaitu :
Teknologi
proses inovasi audit, menentukan sebuah resiko
dalam membangun proyek-proyek baik baru maupun lama. Audit akan menilai
seberapa besar pengalaman perusahaan dalam memasarkan produk dan menilai
teknologi yang dipakai oleh perusahaan.
Perbandingan
Audit inovatif, Kemampuan analisis
tentang inovatis perusahaan yang di-audit, dibandingkan dengan pesaingnya. Hal
ini melakukan pemeriksaan pada fasilitas penelitian dan pengembangan
perusahaan.
Audit
teknologi posisi, audit ini melakukan
pemeriksaan tentang teknologi bisnis yang perlu dibenahi.
Pada umumnya audit TI
terdiri dari lima spektrum, yaitu :
Sistem
dan Aplikasi, untuk memverifikasi bahwa
sistem dan aplikasi yang tepat dan cepat untuk untuk memastikan data valid,
terpercaya dan aman dalam meng-input lalu output. Audit pada jenis ini membantu
fokus auditor keuangan.
Informasi
dan Fasilitas Pengolahan, memverifikasi fasilitas
pengolahan untuk memastikan pengolahan yang tepat dan cepat dalam kondisi
normal berpotensi tertekan.
Pengembangan
Sistem, untuk memverifikasi bahwa
sistem dalam keadaan sedang dikembangkan untuk memenuhi tujuan organisasi dan
memenuhi syarat perkembangan sistem.
Manajemen
TI dan Enterprise Architecture, untuk
memverifikasi sistem dalam keadaan telah berkembang dan dalam lingkungan yang
terkendali dan efisien untuk pengolahan informasi.
Client /
Server, Telekomunikasi, Intranet, dan Ekstranet, memverifikasi telekomunikasi antara klien dan server telah
terhubungkan.
PROSES AUDIT TI.
Berikut adalah
langkah-langkah dalam melakukan Audit Teknologi Informasi.
- Melakukan perencanaan
audit
- Mempelajari aset-aset
teknologi informasi yang ada di organisasi dan Mengevaluasi Kontrol
- Melakukan pengujian
dan evaluasi kontrol
- Melakukan pelaporan
- Mengikuti perkembangan
evaluasi pelaporan
- Membuat Dokumen
Laporan
PERSONALISASI.
The CISM dan CAP Kredensial
adalah dua kredensial keamanan audit terbaru yang ditawarkan oleh ISACA dan
ISC.
Sertifikat
Professional
- Certified Information Systems Auditor (CISA)
- Certified Internal Auditor (CIA)
- Certified in Risk and Information Systems Control (CRISC)
- Certification and Accreditation Professional (CAP)
- Certified Computer Professional (CCP)
- Certified Information Privacy Professional (CIPP)
- Certified Information Systems Security Professional (CISSP)
- Certified Information Security Manager (CISM)
- Certified Public Accountant (CPA)
- Certified Internal Controls Auditor (CICA)
- Forensics Certified Public Accountant (FCPA)
- Certified Fraud Examiner (CFE)
- Certified Forensic Accountant (CrFA)
- Certified Commercial Professional Accountant (CCPA)
- Certified Accounts Executive (CEA)
- Certified Professional Internal Auditor (CPIA)
- Certified Professional Management Auditor (CPMA)
- Chartered Accountant (CA)
- Chartered Certified Accountant (ACCA/FCCA)
- GIAC Certified System & Network Auditor (GSNA)[11]
- Certified Information Technology Professional (CITP)
- Certified e-Forensic Accounting Professional] (CFAP)
- Certified ERP Audit Professional (CEAP)
PRINSIP-PRINSIP AUDIT TI.
Prinsip-prinsip
audit ialah,
Ketepatan
waktu, Proses dan
pemrograman akan terus menerus diperiksa untuk mengurangi resiko, kesalahan dan
kelemahan, tetapi masih sejalan dengan analisis kekuatan dan fungsional dengan
aplikasi serupa.
Sumber
Keterbukaan,
Membutuhkan referensi tentang audit program yang telah dienskripsi, seperti
penanganan open source.
Elaborateness, Proses Audit harus berorientasi ke standar
minimum. Kebutuhan pengetahuan khusus di satu sisi untuk dapat membaca kode
pemrograman tentang prosedur yang telah di enskripsi. Komitmen seseorang
sebagai auditor adalah kualitas, skala dan efektivitas.
Konteks
Keuangan, transparansi
berkelanjutan membutuhan klarifikasi apakah perangkat lunak telah dikembangkan
secara komersial dan didanai.
Referensi
Ilmiah Perspektif Belajar, setiap
audit harus menjelaskan temuan secara rinci. Seorang auditor berperan sebagai mentor,
dan auditor dianggap sebagai bagian dari PDCA = Plan-Do-Check-Act).
Sastra-Inklusi, Seorang pembaca tidak boleh hanya
mengandalkan hasil dari satu review, tetapi juga menilai menurut loop dari
sistem manajemen. Maka dalam manajemen membutuhkan reviewer untuk menganalisa
masalah lebih lanjut.
Pencantuman
buku petunjuk dan dokumentasi, langkah selanjutnya adalah melakukan hal tersebut, baik secara manual
dan dokumentasi teknis.
Mengidentifikasi
referensi untuk inovasi,
Aplikasi yang memungkinkan pesan offline dan kontak online, sehingga
membutuhkan lebih dari 2 fungsi dalam satu aplikasi.
EMERGING ISSUES.
Saat ini telah dikenalkan
audit baru yang bergantung pada organisasi yang akan di-audit. Audit tersebut
akan mempengaruhi TI dan melakukan fungsi dan kontrol tepat pada tempatnya.
Kehadiran
Web Audit
Kehadiran perusahaan IT akan meningkatkan peran kehadiran web audit ke IT / IS
audit. Tujuan dari audit ini adalah mengambil langkah seperti :
·
Mengendalikan penggunaan
alat yang tidak sah ( seperti, bayangan IT)
·
Meminimalkan kerusakan
reputasi
·
Menjaga kepatuhan terhadap
peraturan
·
Mencegah kebocoran
informasi
·
Memitigasi resiko pihak
ketiga
·
Meminimalkan resiko tat
kelola
Enterprise
Komunikasi Audit
Munculnya jaringan VOIP dan isu seperti BYOD yang menyebabkan mis-konfigurasi,
penipuan komunikasi atau stabilitas sistem berkurang. Bank dan lembaga keuangan
lainnya biasanya menyiapkan kebijakan yang akan diberlakukan pada sistem
informasi mereka. Tugas audit adalah menempatkan sistem komunikasi sesuai pada
tempatnya, seperti
·
Mematuhi kebijakan
·
Mengikuti kebijakan yang
dirancang dan disetujui
·
Menjaga peraturan
·
Meminimalkan penipuan
·
Meminimalkan resiko tata
kelola
Audit jenis ini juga dapat
disebut audit suara, karena audit jenis ini memiliki infrastruktur komunikasi
dari berorientasi data dan data dependent. Salah satu masalah utama audit ini
adalah kurangnya standar industri yang ditetapkan oleh pemerintah sehingga
audit ini dianggap sebagai standar internal organisasi daripada audit
berstandar industri.
REFERENSI.
