Chrome - Background

Selasa, 04 Desember 2018

Framework FIPS, PMBOK dan ISO/IEC 17799:2005

Pembahasan

FIPS (Federal Information Processing Standard)

FIPS (Federal Information Processing Standard) 140-2 adalah standar pemerintah AS yang menggambarkan enkripsi dan persyaratan keamanan terkait yang harus dipenuhi produk TI untuk penggunaan sensitif namun tidak rahasia (SBU - sensitive but unclassified).

Validasi FIPS 140-2 adalah pengujian dan program sertifikasi yang memverifikasi bahwa produk memenuhi standar FIPS 140-2. National Institute of Standards and Technology (NIST) membuat Cryptographic Module Validation Program (CMVP) untuk memvalidasi berbagai produk guna memenuhi persyaratanpersyaratan ini.

Standar ini memastikan bahwa produk menggunakan praktik keamanan suara, seperti yang disetujui, algoritma dan metode enkripsi yang kuat. Standar ini juga menetapkan bagaimana individu atau proses lainnya harus sah untuk memanfaatkan produk, dan cara merancang modul atau komponen untuk berinteraksi dengan sistem lain secara aman.

FIPS 140-2 menetapkan empat tingkat keamanan. Validasi FIPS 140-2 akan menentukan level keamanan yang melekat pada produk.

  • Level 1, biasanya digunakan untuk produk enkripsi perangkat lunak saja, memberlakukan persyaratan keamanan yang sangat terbatas. Semua komponen harus memiliki kualitas kelas produksi dan tidak boleh ada berbagai jenis ketidakamanan yang sangat parah.
  • Level 2 memerlukan otentikasi berbasis peran. (Otentikasi pengguna individu tidak diperlukan.) Hal ini juga memerlukan kemampuan untuk mendeteksi gangguan fisik dengan menggunakan kunci atau segel fisik anti rusak.
  • Level 3 menambahkan pertahanan fisik tahan rusak dari pembongkaran atau modifikasi, sehingga sangat sulit dibajak. Jika terdeteksi kerusakan, perangkat harus mampu menghapus parameter keamanan kritis. Level 3 juga mencakup perlindungan kriptografi yang kuat dan manajemen kunci, otentikasi berbasis identitas dan pemisahan fisik atau logis antara antarmuka dengan mana parameter keamanan kritis masuk dan keluar.
  • Level 4 termasuk perlindungan kerusakan terdepan dan dirancang untuk produk yang beroperasi di lingkungan yang tak terlindungi secara fisik.


PMBOK (Project Management Body Of Knowledge)

PMBOK (Project Management Body Of Knowledge) adalah kumpulan proses dan bidang pengetahuan umum diterima sebagai praktek terbaik dalam disiplin manajemen proyek. Sebagai standar yang diakui secara internasional (IEEE Std 1490-2003) memberikan dasar-dasar manajemen proyek, terlepas dari jenis proyek baik itu konstruksi, perangkat lunak, teknik, otomotif dll. PMBOK mengakui 5 kelompok proses dasar dan 9 bidang pengetahuan khas dari hampir semua proyek.

Konsep dasar yang berlaku untuk proyek-proyek, program dan kegiatan. Kelima kelompok proses dasar:
1. Initiate
2. Plan
3. Execution
4. Monitoring/Controlling
5. Close

Proses tumpang tindih dan berinteraksi sepanjang proyek atau fase. Proses yang dijelaskan dalam hal:
• Input (dokumen, rencana, desain, dll)
• Alat dan Teknik (mekanisme diterapkan untuk input)
• Keluaran (dokumen, produk, dll)

Sembilan bidang pengetahuan adalah:


1. Proyek Integrasi Manajemen
Yang berfokus pada pengembangan perencanaan, ekseskusi dan kontrol perubahan. Efektif integrasi proses yang diperlukan untuk mencapai tujuan proyek.
Proses termasuk :
1. Proyek Piagam Pembangunan.
2. Proyek Awal Lingkup Pernyataan Pengembangan.
3. Proyek Manajemen Rencana Pembangunan.
4. Proyek Eksekusi.
5. Dan Memantau Pengendalian Pekerjaan Proyek.

2. Proyek Lingkup Manajemen
Menyediakan jaminan bahwa proyek didefinisikan dengan akurat dan lengkap dan semua akan selesai sesuai dengan rencana. Mendefinisikan dan mengontrol apa yang bisa dan tidak termasuk dalam proyek.
Proses termasuk ;
1. Lingkup Perencanaan.
2. Lingkup Definisi.
3. Penciptaan Bahasa Dari Jadwal Kerja Breakdown.
4. Lingkup Verifikasi.
5. Lingkup Terangkan.

3. Proyek Manajemen Waktu
Penting untuk mengembangkan, memantau, dan mengelolah jadwal project. Termasuk proses yang diperlukan untuk menyelesaikan proyek tepat waktu
Proses termasuk ;
1. Mendefinisikan kegiatan.
2. Sequencing kegiatan.
3. Memperkirakan kegiatan sumber daya.
4. Memperkirakan durasi kegiatan.
5. Mengembangkan jadwal proyek.
6. Mengendalikan jadwal proyek.

4. Biaya Proyek Manajemen
Jaminan budget proyek dalam mengembangkan dan melengkapi dalam persetujuan pembuatan proyek. Perencanaan, memperkirakan, penganggaran dan pengendalian biaya untuk memastikan proyek tersebut dapat diselesaikan dalam anggaran yang disetujui.Ø  Proses termasuk ;
1. Biaya memperkirakan
2. Biaya penganggaran
3. Pengendalian biaya

5. Proyek Manajemen Mutu
Berfokus pada perencanaan, pengembangan, dan pengelolaan kualitas lingkungan yang memungkinkan proyek memenuhi atau melampuai kebutuhkan stakeholder atau ekspetasinya. Semua kegiatan yang menentukan kebijakan mutu, sasaran dan tanggung jawab untuk proyek untuk memenuhi kebutuhan yang dilakukan.
Proses termasuk ;
1. Kualitas perencanaan
2. Melakukan penjaminan mutu
3. Melakukan kontrol kualitas

6. Proyek Manajemen Sumber Daya Manusia
Berfokus pada pembuatan dan pengembangan team proyek serta pemahaman dan respon yang tepat untuk perilaku dari sisi proyek management. Proses yang mengatur dan mengelola tim proyek.
Proses meliputi ;
1. Sumber daya manusia perencanaan
2. Memperoleh tim proyek
3. Mengembangkan tim proyek
4. Mengelola tim proyek

7. Proyek Komunikasi Manajemen
Mengomukasikan waktu  dan informasi yang akurat tentang project untuk stakeholder proyek. Kegiatan untuk memastikan informasi proyek tepat waktu dan tepat dihasilkan, dikumpulkan, didistribusikan, disimpan, diambil dan dibuang.
Proses termasuk ;
1. Perencanaan komunikasi
2. Distribusi informasi
3. Pelaporan kinerja
4. Mengelola stakeholder

8. Proyek Manajemen Risiko
Mengomukasikan waktu  dan informasi yang akurat tentang project untuk stakeholder proyek. Proses untuk meningkatkan kemungkinan dan dampak peristiwa positif dan mengurangi probabilitas dan dampak dari kejadian negatif. Diperbarui sepanjang proyek.
Proses termasuk ;
1. Manajemen risiko perencanaan
2. Identifikasi risiko
3. Kualitatif analisis risiko
4. Kuantitatif analisis risiko
5. Risiko respon perencanaan
6. Pemantauan risiko dan pengendalian

9. Proyek Pengadaan Manajemen
Proses untuk membeli / memperoleh produk, servicesor hasil yang dibutuhkan untuk melakukan pekerjaan proyek.Termasuk kontrak controlprocesses manajemen dan perubahan untuk mengelola kontrak atau pesanan pembelian.
Proses meliputi ;
1. Perencanaan pembelian dan akuisisi
2. Kontrak perencanaan
3. Meminta tanggapan penjual
4. Memilih penjual
5. Administrasi kontrak
6. Kontrak penutupan

ISO/IEC 17799:2005

ISO:IEC 17799:2005 merupakan standar keamaman informasi yang digunakan di berbagai organisasi
di seluruh dunia. Implementasi dari standar ini sangat beragam di berbagai macam ukuran dan jenis
organisasi. ISO 17799:2005 menyediakan 133 kendali keamanan informasi yang dapat dipilih sesuai
dengan kebutuhan organisasi. Pada saat ini, terdapat 3 organisasi di Indonesia yang telah tersertifikasi
ISO 27001 yang merupakan sertifikasi keamanan informasi.

ISO/IEC 17799:2005 terdiri dari 11 wilayah keamanan dan mencari kesesuaian keamanan pada level manajemen, level organisasi, level legal, level operasional dan level teknis. ISO/IEC 17799:2005 juga mengikutsertakan 39 tujuan kontrol yang berisi pernyataan umum mengenai tujuan keamanan dari 11 wilayah keamanan. ISO 17799:2000 mengalami perubahan pada tahun 2005 dan secara penomeran diubah menjadi ISO 17799:2005.

ISO/IEC 17799:2005 merupakan kebijakan yang fleksibel dan dapat digunakan pada berbagai macam organisasi. Organisasi sebaiknya menentukan tujuan utama keamanan mereka dan menentukan penggunaan standar yang tepat untuk memenuhi tujuan mereka. Organisasi juga harus mempertimbangkan cara untuk mengimplementasikan ISO/IEC 17799:2005 secara efektif. Walaupun fleksibel, ISO/IEC 17799:2005 adalah standar yang kompleks dan menyentuh berbagai area keamanan yang berbeda.

Hanya beberapa organisasi di Indonesia yang telah mendapatkan sertifikasi ISO 27001 yang merupakan sertifikasi terhadap penerapan ISO 17799:2005. Penelitian ini bertujuan untuk mengkaji kendali-kendali dalam standar keamanan informasi ISO/IEC 17799:2005 dan menghasilkan satu rekomendasi pedoman dasar pengendalian keamanan informasi yang sesuai dengan kondisi di Indonesia.

Analisis Perbandingan

Berdasarkan pemabahasan dari ketiga framework audit TI yaitu FIPS (Federal Information Processing Standard), PMBOK (Project Management Body Of Knowledge) dan ISO/IEC 17799:2005. Dapat disimpulkan bahwa daari ketiga framework tersebut membahas tentang audit IT perbedaannya terletak pada ruang lingkupnya. Untuk framework FIPS membahas tentang enkripsi dan persyaratan keamanan terkait yang harus dipenuhi produk TI untuk penggunaan sensitif namun tidak rahasia (SBU - sensitive but unclassified). Untuk PMBOK membahas tentang proses dan bidang pengetahuan umum diterima sebagai praktek terbaik dalam disiplin manajemen proyek. Sedangkan untuk ISO/IEC 17799:2005 membahas tentang standar keamaman informasi yang digunakan di berbagai organisasi di seluruh dunia.

Contoh Kasus

Studi kasus dilakukan untuk menilai sejauh mana kendali-kendali terpilih dapat mengurangi tingkat risiko terhadap keamanan informasi.
Asumsi-asumsi Profil Model Obyek Penelitian, sebagai berikut.

  1. Nama Model : Model perusahaan ini diberi nama PT. AAA.
  2. Bisnis Utama: PT. AAA ini, diasumsikan mempunyai bisnis utama di bidang konsultasi Teknologi Informasi.
  3. Visi : Menjadi perusahaan konsultan Tata Kelola Teknologi Informasi terdepan di Indonesia.
  4. Jumlah kantor cabang : PT. AAA mempunyai 1 kantor pusat dan 2 perwakilan kantor cabang.
  5. Jumlah karyawan : PT. AAA diasumsikan memiliki jumlah total karyawan sebanyak 40 orang.
  6. Aset informasi: hardware, software, dokumen proyek, dokumen administrasi, sumber daya manusia, perangkat penunjang. 

Dengan mengimplementasi kendali-kendali keamanan informasi, maka diperoleh tingkat risiko akhir keamanan informasi terhadap PT. AAA, sebagai berikut.

Analisis

Berdasarkan hasil observasi pada beberapa perusahaan di Indonesia, penetapan kendali-kendali keamanan informasi belum mengacu pada penilaian risiko yang terstruktur. Pada beberapa perusahaan, seluruh 133 kendali pada ISO:IEC 17799:2005 dipilih dan ditetapkan dalam dokumen kebijakan keamanan informasi.

Berdasarkan analisa terhadap kendali-kendali pada ISO/IEC 17799:2005 terdapat duplikasi kendali dan kendali-kendali dengan risiko yang dapat dimitigasi oleh kendali lainnya. Dari 133 kendali pada ISO 17799:2005, 54 kendali dapat dijadikan sebagai implementasi minimum untuk keamanan informasi.

Berdasarkan studi kasus pada PT. AAA, kendali-kendali yang dipilih berdasarkan analisa kendali, dapat mengurangi tingkat risiko yang dihadapi perusahaan.

Sumber:
https://www.seagate.com/files/www-content/solutions-content/security-and-encryption/id/docs/faq-fips-sed-lr-mb-605-2-1302-id.pdf
http://dausina46.blogspot.com/2012/11/penjelasan-pmbok.html
http://digilib.itb.ac.id/files/disk1/686/jbptitbpp-gdl-harryryana-34282-1-2009ts-1.pdf

Rabu, 07 November 2018

Audit Teknologi Sistem Informasi

COBIT

Pendahuluan


          Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).

          COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

          COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:

      1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization, Acquisition & Implementation, Delivery & Support , dan Monitoring & Evaluation.

      2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

      3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut : 
  • Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
  • Apa saja indikator untuk suatu kinerja yang bagus.
  • Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors ).
  • Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
  • Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
  • Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :

      1. Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.

      2. Manajemen

  • Untuk mengambil keputusan investasi TI.
  • Untuk keseimbangan resiko dan kontrol investasi.
  • Untuk benchmark lingkungan TI sekarang dan masa depan.


      3. Pengguna
Untuk memp eroleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.

      4. Auditors

  • Untuk memperkuat opini untuk manajemen dalam control internal.
  • Untuk memberikan saran pada control minimum yang diperlukan.


Frame Work COBIT
          COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

  • Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.


  • Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.


  • Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.


  • Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.


  • Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.


  • Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.


  • Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.


Teori (Delivery & Support)

Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.

Domain ini meliputi :
DS1 – Menentukan dan mengelola tingkat layanan.
DS2 – Mengelola layanan dari pihak ketiga.
DS3 – Mengelola performa dan kapasitas.
DS4 – Menjamin layanan yang berkelanjutan.
DS5 – Menjamin keamanan sistem.
DS6 – Mengidentifikasi dan mengalokasikan dana.
DS7 – Mendidik dan melatih pengguna.
DS8 – Mengelola service desk dan insiden.
DS9 – Mengelola konfigurasi.
DS10 – Mengelola permasalahan.
DS11 – Mengelola data.
DS12 – Mengelola lingkungan fisik.
DS13 – Mengelola operasi.


Pembahasan dan Contoh Kasus

PT. Aneka Solusi Teknologi yang  didirikan  pada  tahun  2004,  adalah  perusahaan  penyedia  jasa  perbaikan  kualitas  serta penyelesaian  masalah  yang  terjadi  pada  elektronik, komputer  dan  mobile  phone  dengan  cakupan layanan nasional. Berkembangnya  Sistem Informasi membawa dampak yang cukup signifikan bagi setiap perusahaan termasuk pada PT. Aneka Solusi Teknologi. Perusahaan ini ingin meningkatkan keuntungan bisnis serta bersaing dalam memenuhi semua  tuntutan  yang  diinginkan  oleh  konsumen.  Implementasi  sistem  informasi  dilakukan  untuk menunjang aktifitas proses bisnis tersebut.Objek penelitian meliputi bagian penjualan, pembelian dan gudang. Perangkat lunak yang  digunakan oleh  perusahaan  adalah M-Care  Sistem  dan  ESA  Sistem.


DS1 – Menentukan dan mengelola tingkat layanan

PT. AST telah mengidentifikasi layanan dan mutu layanan sesuai dengan standar aturan bisnis perusahaan namun prosedur penanganan yang dijalankan masih bersifat informal, serta tanggung  jawab dan akuntabilitas dalam pengaturan layanan belum didefinisikan.
   
DS2 – Mengelola layanan dari pihak ketiga

Dalam hal hubungan dengan pihak ketiga, pihak manajemen pada PT. AST melakukan pemantauan  langsung terhadap pembelian barang dari supplier. Adanya kontrak hubungan kerja sama antara perusahaan dengan supplier sehingga terdapat kebijakan-kebijakan tertentu yang sudah diatur untuk menangani masalah yang mungkin saja terjadi antara kedua pihak.


DS3 – Mengelola performa dan kapasitas

Kapasitas dan kinerja TI yang ada  pada perusahaan saat ini sudah cukup baik, namun penanganannya masih bersifat informal. Belum ditemukan kendala apapun pada kinerja TI. Untuk perencanaan masa depan mengenai kapasitas dan kinerja IT direncanakan berdasarkan fungsi pekerjaan (akan dikembangkan).


DS4 – Menjamin layanan yang berkelanjutan

Pihak manajemen menyadari adanya resiko yang berhubungan dengan kebutuhan untuk mengatur keberlangsungan layanan yang berjalan, namun untuk saat ini belum ditemukan ancaman pada pelayanan operasi TI sehingga keberlangsungan layanan masih menggunakan prosedur yang ada pada saat ini dan belum dipertimbangkan sebagai kebutuhan yang perlu diperhatikan oleh manajemen, walaupun begitu, pendekatan untuk menjamin keberlangsungan layanan telah terbagi-bagi.


DS5 – Menjamin keamanan sistem

Ada kesadaran mengenai keamanan sistem yang diidentifikasi oleh pihak manajemen. Perencanaan keamanan serta solusinya dianalisa sesuai dengan faktor resiko yang mungkin saja terjadi. Walaupun hal ini belum menjadi prioritas pertimbangan oleh pihak manajemen, namun analisa keamanan secara periodik telah diberlakukan


DS6 – Mengidentifikasi dan mengalokasikan dana

Untuk pengalokasian dana terkait layanan TI yang digunakan masih terbatas pada apa yang dikeluarkan untuk kebutuhan dasar-dasar saja seperti pada saat pertama kali mengembangkan dan  menyiapkan infrastruktur untuk TI yang digunakan oleh perusahaan. Sedangkan pengalokasian  dana  secara  rutin untuk pengembangan sistem lebih lanjut masih belum ada. Hanya penggantian  infrastruktur biasa yang dilakukan secara berulang seperti pada saat penggantian komputer, keyboard, dll.


DS7 – Mendidik dan melatih pengguna

Setiap ada perubahan pada sistem kerja, diimbangi dengan pemberian arahan, pendidikan serta  pelatihan pada karyawan. Serta pemberian pelatihan kepada karyawan baru. Namun pelatihan yang ada bukan merupakan  pelatihan  secara  formal  karena pemberian arahan disampaikan secara lisan kepada pihak yang berkaitan langsung dengan proses bisnis terkait.


DS8 – Mengelola service desk dan insiden

Evaluasi terhadap tingkat kepuasan pengguna layanan TI pada PT. AST telah dilakukan. Jika terdapat masalah yang dialami oleh pengguna, maka dapat dilaporkan ke bagian helpdesk, dilanjutkan dengan proses review di tingkat manajerial untuk mengatasi masalah tersebut. Bentuk antisipasi terhadap kejadian masalah yang sama dilakukan pada saat adanya pertanyaan dari pengguna mengenai masalah yang muncul, lalu dilakukan analisis trend, proses  pengurutan masalah yang timbul baru dilakukan analisa penyelesaiannya sebagai bentuk antisipasi.


DS9 – Mengelola konfigurasi

Ada prosedur pemantauan terhadap aktivitas pengaksesan database yang dilakukan oleh pihak pengelola didalam lingkungan perusahaan. Juga terdapat kebijakan, prosedur dan standard yang berisi etika penggunaan komputer dan hak akses pengguna terhadap data perusahaan. Namun walau begitu, belum ada fasilitas yang dapat memantau pertukaran data yang terjadi antar departemen dalam lingkungan perusahaan tersebut.


DS10 – Mengelola permasalahan

Peninjauan terhadap masalah, analisa identifikasi masalah serta penyelesaiannya oleh pihak manajemen masih bersifat informal serta terbatas. Masalah baru diatasi setelah terjadi, bukan sebelum terjadi. Kecuali jika terdapat pertanyaan yang diajukan oleh pengguna terlebih dahulu sebelum masalah tersebut benar-benar terjadi maka dicari solusi sebagai antisipasinya. Hal ini memang beresiko besar mengingat tidak semua permasalahan yang mungkin saja muncul tidak teridentifikasi terlebih dahulu sebagai bentuk antisipasi atas kesiapan manajerial untuk menangani hal tersebut.


DS11 – Mengelola data

Di dalam lingkungan perusahaan, seluruh organisasi menyadari pentingnya kebutuhan pengelolaan data. Beberapa pengawasan terhadap TI dilakukan dalam pengelolaan data seperti backup, restorasi serta pembagian pengelolaan data. Tanggung jawab staff TI terhadap pengelolaan data belum dilakukan secara formal. Tidak ada pelatihan khusus yang dilakukan mengenai pengelolaan data.


DS12 – Mengelola lingkungan fisik

Terdapat pemantauan terhadap aktivitas pengunjung yang datang ke perusahaan oleh pihak keamanan di lingkungan perusahaan sehingga akses secara fisik yang dilakukan oleh pihak yang tidak memiliki kewenangan terhadap infrastruktur TI pun dapat diminimalisir. Selain itu ruangan dalam perusahaan juga dilengkapi dengan kamera pemantau (CCTV). Untuk penanggulangan terhadap bencana yang mungkin saja terjadi, baik yang ditimbulkan oleh aktivitas manusia ataupun bencana alam, ruangan telah dilengkapi juga dengan alarm pendeteksi asap dan api.


DS13 – Mengelola operasi

Ada pelatihan prosedur alternatif yang dilakukan oleh pengguna saat menghadapi sistem down. Mulai dari teknik backup data dan restorasi data. Jika terdapat komputer pengguna yang secara tiba-tiba tidak dapat dioperasikan, ada lokasi alternatif yang disediakan. Pengaksesan data dilakukan sesuai dengan standard penjadwalan jam kerja di perusahaan.


Sumber:
https://haendra.wordpress.com/2012/06/08/pengertian-cobit/
https://www.researchgate.net/publication/320890519_AUDIT_SISTEM_INFORMASI_MENGGUNAKAN_FRAMEWORK_COBIT_41_PADA_PT_ANEKA_SOLUSI_TEKNOLOGI

Jumat, 26 Oktober 2018

Keamanan Komputer BAB 10


UNIVERSITAS GUNADARMA

FAKULTAS ILMU KOMPUTER DAN
TEKNOLOGI INFORMASI

2018


TUGAS SISTEM KEAMANAN TEK. INFORMASI BAB 10

DOSEN : KURNIAWAN B. PRIANTO, SKOM., SH., MM
NAMA : MUHAMMAD HUSEIN NASUTION
NPM : 14115634
KELAS : 4KA31

BAB 10
PERMASALAHAN TREND DAN KEDEPAN


  • TRUSTED COMPUTING GROUP

Trusted Computing yang didasarkan pada akar kepercayaan perangkat keras telah dikembangkan oleh industri untuk melindungi infrastruktur komputasi dan milyaran titik akhir.

TCG menciptakan kemampuan kriptografi Modul Tepercaya, yang memberlakukan perilaku tertentu dan melindungi sistem terhadap perubahan dan serangan yang tidak sah seperti malware dan root kits. Karena komputasi telah meluas ke berbagai perangkat dan infrastruktur telah berkembang, demikian pula TCG memperluas konsep sistem tepercaya di luar komputer-dengan-TPM ke perangkat lain, mulai dari hard disk drive dan telepon seluler.

Teknologi Komputasi Tepercaya berbasis standar yang dikembangkan oleh anggota TCG sekarang digunakan dalam sistem perusahaan, sistem penyimpanan, jaringan, sistem tertanam, dan perangkat seluler serta dapat mengamankan komputasi awan dan sistem virtual. Ribuan vendor menawarkan berbagai produk berbasis Komputasi Terpercaya, termasuk perangkat keras, aplikasi, dan layanan.

Hasilnya adalah bahwa sistem, jaringan, dan aplikasi lebih aman, tidak mudah terserang virus dan malware, sehingga tidak hanya lebih andal tetapi juga lebih mudah untuk diterapkan dan lebih mudah dikelola.

ManfaatSistem berdasarkan Komputasi Tepercaya:
Lindungi data dan sistem penting dari berbagai serangan.
Aktifkan otentikasi yang aman dan perlindungan yang kuat dari sertifikat, kunci, dan kata sandi yang tidak terbatas yang sebaliknya dapat diakses.
Menetapkan identitas dan integritas mesin yang kuat.
Membantu memenuhi kepatuhan peraturan dengan keamanan berbasis perangkat keras
Biaya kurang untuk mengelola, menghapus kebutuhan token dan periferal yang mahal.
Teknologi Komputasi Tepercaya:
Menyediakan akses jarak jauh yang lebih aman melalui kombinasi mesin dan otentikasi pengguna.
Lindungi terhadap kebocoran data dengan konfirmasi integritas platform sebelum dekripsi.
Memberikan perlindungan berbasis perangkat keras untuk kunci enkripsi dan otentikasi yang digunakan oleh file data yang disimpan dan komunikasi (email, akses jaringan, dll.).
Lindungi dalam perangkat keras Informasi Identitas Pribadi, seperti ID pengguna dan kata sandi.
Lindungi kata sandi dan kredensial yang disimpan di drive.
Pengembangan Standar.
Keamanan dibangun ke dalam peningkatan jumlah produk TIK umum, dan standar keamanan sangat penting bagi integritas dan keberlanjutan infrastruktur TIK global.

Grup Komputasi Tepercaya (TCG) percaya bahwa standar yang terbuka, dapat dioperasikan, dan diperiksa secara internasional sangat penting untuk keberhasilan komputasi tepercaya, dan bahwa pendekatan multilateral untuk menciptakan standar tersebut paling efektif.

TCG bekerja dalam komunitas standar internasional, dan memiliki hubungan hubungan kelompok dan kerja dengan Gugus Tugas Teknik Internet (IETF) dan komite bersama JTC1 dari Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC). Modul Platform Tepercaya didefinisikan oleh standar internasional ISO / IEC *. Program Sertifikasi TCG memanfaatkan standar evaluasi keamanan yang diakui dan diakui. Program ini bergantung pada sertifikasi oleh laboratorium yang beroperasi di bawah pengawasan skema nasional anggota Common Criteria.

Untuk mendukung standar keamanan terbuka, TCG mendorong semua negara untuk mengadopsi praktik terbaik global seputar pengembangan dan adopsi standar. Sebuah proses terbuka sepenuhnya mendukung partisipasi dunia dari industri, akademisi, dan pemerintah dengan proses pengembangan dan pengambilan keputusan yang adil dan transparan. Spesifikasi harus sepenuhnya transparan dan tersedia untuk semua peserta, baik selama pengembangan dan untuk implementasi. TCG mendukung penggunaan standar yang dipublikasikan, peer reviewed, dan algoritma kriptografi.

TCG hanya mendukung standar terbuka yang dikembangkan melalui proses pengembangan yang transparan, telah mengalami tinjauan terbuka yang ketat, dan kompatibel dengan standar global yang ada. Standar tertutup menghambat pasar yang ada dan yang sedang berkembang, dan merugikan keamanan infrastruktur TIK global, yang merupakan hambatan bagi inovasi teknologi dan pertumbuhan industri.

TCG mengakui standar internasional di bidang keamanan TI sebagai metode yang paling tepat untuk memastikan kemanjuran, interoperabilitas, adopsi, dan penerimaan pengguna. TCG mempertimbangkan kebutuhan pasar internasional melalui keanggotaan internasional dan menyambut baik partisipasi dari industri, akademisi, dan pemerintah dalam proses pengembangan standar Pemesinan Tepercaya di seluruh dunia yang terpadu.


  • DIGITAL RIGHT MANAGEMENT
          DRM adalah suatu terminology yang melingkupi beberapa teknologi yang digunakan untuk menetapkan penjelasan pendahuluan akses kendali terhadap software, musik, film dan data digital lainnya. DRM menangani pendeskripsian, layering, analisis, valuasi, perdagangan dan pengawasan hak dalam segala macam aktivitasdigital. Teknologi Keamanan dalam DRM Sebagai pengetahuan, berikut ini adalah bebe rapa teknologi keamanan yang berkaitan dengan DRM, diantaranya:Keamanan dan Integritas Fiturn, suatu Sistem Operasi Komputer, Right-Management  Language, Enkripsi, Tandatangan Digital, Fingerprinting, dan teknologi “marking”lainnya.
                Digital Rights Management (DRM) dapat diartikan sebagai mekanisme proteksi konten digital secara persisten dan terintegrasi terkait  dengan penyampaian dan penggunaan konten1). Yang dimaksud dengan proteksi konten digital secara persisten adalah proteksi yang dilakukan terus menerus sepanjang konten digital tersebut ada. Sedangkan yang dimaksud dengan proteksi
konten digital terintegrasi adalah mekanisme proteksi yang memenuhi spesifikasi yang implementasikan oleh seluruh pihak terkait.
                Digital Rights Management (DRM) adalah sebuah teknologi yang berkelas sehingga memungkinkan para pemegang hak cipta untuk mengontrol penggunaan media perangkat digital dari para pembajakan hak intelektual. Pemegang hak cipta biasanya berupa hak cipta perusahaan seperti musik, film, buku atau software. DRM digunakan untuk mengawasi bagaimana dokumen, seluruh program software digunakan. Ketika kerugian pada kualitas media analog yang tidak terhindarkan dan dalam beberapa kasus sekalipun selama penggunaan normal, beberapa file digital mungkin diduplikasi dalam jumlah yang tidak terbatas setiap kali dengan tanpa penurunan kualitas pada masing-masing duplikasinya. DRM adalah suatu terminology yang melingkupi beberapa teknologi yang digunakan untuk menetapkan penjelasan pendahuluan akses kendali terhadap software, musik, film dan data digital lainnya.
               DRM menangani pendeskripsian, layering, analisis, valuasi, perdagangan dan pengawasan hak dalam segala macam aktivitas digital. Digital Rights Management (DRM) adalah suatu system yang ditujukan untuk mengatasi permasalahan yang terkait dengan pengaturan akses dan distribusi materi digital yang menjamin hak dan kewajiban antara pemilik (creator), penerbit (publisher) , penjual (seller) dan pengguna ( consumer ). Topik utama dari DRM adalah berkaitandengan lisensi digital. Bila seseorang membeli suatu materi digital, maka akan diberikan suatu lisensi yang terkait dengan hak dan kewajibannya. Dalam hal ini lisensi akan berbentuk file data digital yang berisi sejumlah aturan tentang penggunaan materi digital tersebut. Aturan dapat berupa sejumlah kriteria, misalnya : batas akhir penggunaan (expiration date), larangan untuk melakukan transfer ke media lain, ijin melakukan copy, dll.Kriteria tersebut dapat dikombinasikan sesuai dengan model bisnis yang disepakati, misalnya: meminjam (rental), mencoba (try before use), membayar per penggunaan (pay per use).
Teknologi Keamanan dalam DRM Sebagai pengetahuan, berikut ini adalah beberapa teknologi keamanan yang berkaitan dengan DRM, diantaranya:
  • Keamanan dan Integritas Fitur suatu Sistem Operasi Komputer
  • Right- Management Language
  • Enkripsi
  • Tandatangan Digital 9 Fingerprinting, dan teknologi “marking” lainnya.
Dalam DRM, dikenal beberapa istilah umum sebagai berikut:

1).DRM Content: Yang dimaksud dengan DRM Content adalah konten yang telah ditransformasikan menjadi sebuah konten digital sesuai dengan spesifikasi DRM yang digunakan.
2).Rights adalah hak penggunaan sebuah DRM content. Rights bisa membatasi penggunaan konten dalam beberapa aspek seperti rentang waktu penggunaan dan jumlah penggunaan. Instansiasi dari rights dinamakan rights object.
3). DRM Agent adalah perangkat (bisa berupa hardware atau software) yang digunakan untuk menggunakan DRM content beserta rights yang bersesuaian Saat ini telah banyak pihak yang mengeluarkan spesifikasi DRM, beberapa diantaranya adalah:
Microsoft DRM : DRM yang menangani proteksi konten digital dengan format yang dikeluarkan Microsoft, seperti WMA (Windows Media Audio).
OMA-DRM (Open Mobile Alliance Digital Right Management) merupakan DRM yang dikhususkan penggunaannya untuk memproteksi konten digital pada perangkat mobile
4).MediaSnap DRM : merupakan salah satu DRM yang memiliki tujuan untuk melindungi dokumen PDF (portable document format)
5).SecretSeal DRM : DRM untuk memproteksi perangkat lunakdan arsip biner.
Tujuan umum dari DRM adalah Keamanan Pengiriman (Delivery Security) Konten Digital :
Konten digital biasanya diterima oleh pihak yang telah membelinya melalui jalur yang tidak aman, seperti internet misalnya. Dalam internet, cukup besar kemungkinan data yang dikirimkan dipintas oleh pihak lain yang tidak mempunyai wewenang. Salah satu tujuan DRM adalah bagaimana konten digital yang dikirim bisa diterima hanya oleh orang yang berhak, dan dalam keadaan utuh sebagaimana kondisi pada saat awal pengiriman.


  • KASUS-KASUS TERKINI

Manajemen hak digital (Inggris: Digital Rights Management atau DRM) adalah hiponim yang merujuk kepada teknologi pengaturan akses yang digunakan oleh para penerbit atau pemegang hak cipta untuk membatasi penggunaan suatu media atau alat digital. Istilah ini juga dapat diartikan sebagai pembatasan terhadap bagian tertentu dari suatu karya atau alat digital. Secara luas, DRM saling tumpang tindih dengan perangkat lunak proteksi salinan (copy protection), namun istilah “DRM” biasanya digunakan untuk media kreatif (musik, film, dan lain-lain) sementara istilah “proteksi salinan” cenderung digunakan untuk mekanisme proteksi salinan di perangkat-perangkat lunak komputer.

Manajemen hak digital telah dan sedang digunakan oleh perusahaan-perusahaan penyedia konten seperti Sony, Apple Inc., Microsoft, dan BBC.

Penggunaan manajemen hak digital telah menjadi hal yang kontroversial. Para pendukungnya mengemukakan bahwa DRM diperlukan untuk mencegah pembajakan salinan yang merugikan pendapatan mereka. Para penentang, seperti Yayasan Perangkat Lunak Bebas, menyatakan bahwa penggunaan istilah “hak” adalah menyesatkan dan menyarankan agar menggantinya dengan istilah manajemen pembatasan digital. Sikap mereka didasari pada pandangan bahwa para pemegang hak cipta berusaha untuk membatas penggunaan materi berhak cipta dengan cara-cara yang tidak dilindungi oleh hukum yang ada. Electronic Frontier Foundation, dan para penentang lainnya, juga menganggap sistem DRM sebagai praktik anti kompetisi.


  • TREND KASUS DAN MASALAH KEAMANAN KE DEPAN, SEPERTI BIOINFORMATIK

Bioinformatika adalah ilmu yang mempelajari penerapan teknik komputasional untuk mengelola dan menganalisis informasi biologis. Bioinformatika merupakan ilmu gabungan antara ilmu biologi dan ilmu teknik informasi (TI). Pada umumnya, Bioinformatika didefenisikan sebagai aplikasi dari alat komputasi dan analisa untuk menangkap dan menginterpretasikan data-data biologi. Ilmu ini merupakan ilmu baru yang yang merangkup berbagai disiplin ilmu termasuk ilmu komputer, matematika dan fisika, biologi, dan ilmu kedokteran , dimana kesemuanya saling menunjang dan saling bermanfaat satu sama lainnya. Ilmu bioinformatika lahir atas insiatif para ahli ilmu komputer berdasarkan artificial intelligence. Mereka berpikir bahwa semua gejala yang ada di alam ini bisa dibuat secara artificial melalui simulasi dari gejala-gejala tersebut. Berbagai kajian baru bermunculan, sejalan dengan perkembangan TI dan disiplin ilmu yang didukungnya. Aplikasi TI dalam bidang biologi molekul telah melahirkan bidang Bioinformatika. Kajian ini semakin penting, sebab perkembangannya telah mendorong kemajuan bioteknologi di satu sisi, dan pada sisi lain memberi efek domino pada bidang kedokteran, farmasi, lingkungan dan lainnya.

bioinformatika mencangkup ruang lingkup yang sangat luas dan mempunyai peran yang sangat besar dalam bidangnya. Bahkan pada bidang pelayanan kesehatan Bioinformatika menimbulkan disiplin ilmu baru yang menyebabkan peningkatan pelayanan kesehatan. Bioteknologi modern ditandai dengan kemampuan manusia untuk memanipulasi kode genetik DNA. Berbagai aplikasinya telah merambah sektor kedokteran, pangan, lingkungan, dsb. Kemajuan ilmu Bioinformatika ini dimulai dari genome project yang dilaksanakan di seluruh dunia dan menghasilkan tumpukan informasi gen dari berbagai makhluk hidup, mulai dari makhluk hidup tingkat rendah sampai makhluk hidup tingkat tinggi.

Bioinformatika bukan hanya sekedar bagi seorang ahli biologi yang sedang menggunakan komputer untuk menyimpan dan mengambil data tapi tahap lebih dari itu, dimana komputer merupakan software dalam melakukan penelitian terhadap data biologis, yaitu:

a. Komputer dari sel-sel hidup
Usaha para ilmuwan untuk mengembangkan komputer dari selsel hidup mulai memperoleh hasil. Sejumlah ilmuwan di Universitas Princeton, Amerika Serikat berhasil menumbuhkan bakteri yang dapat bertingkah laku mirip komputer. Bakteri-bakteri tersebut saling merakit satu sarna lain membentuk formasi yang komplek sesuai instruksi yang diberikan pada kode genetiknya.

b. Forensik komputer
Kita tentu biasa mendengar mengenai ujian DNA yang dijalankan ke atas seseorang bagi mengenal pasti keturunan, penyakit dan sebagainya dalam industri perobatan dunia. Begitu juga ujian forensikyang dijalankan ke atas mayat-mayat bagi mengenalpasti pelbagai kemungkinan punca kematian dan faktor-faktor berkaitan.Bagaimanapun, sebenarnya teknologi forensik dalam bidang pengobatan juga kini telah diaplikasikan dalam dunia teknologi pengkomputeran digital yang semakin mencatatkan perkembangan pesat.

c. Bioinformatika berkaitan dengan teknologi database.
Pada saat ini banyak pekerjaan bioinformatika berkaitan dengan teknologi database. Penggunaan database ini meliputi baik tempat penyimpanan database  seperti GenBank atau PDB maupun database pribadi, seperti yang digunakan oleh grup riset yang terlibat dalam proyek pemetaan gen atau database yang dimiliki oleh perusahaan-perusahaan
bioteknologi.

Bioinformatika masih belum dikenal oleh masyarakat luas. Hal ini dapat dimaklumi karena penggunaan komputer sebagai alat bantu belum merupakan budaya. Bahkan di kalangan peneliti sendiri, barangkali hanya para peneliti biologi molekul yang sedikit banyak mengikuti perkembangannya karena keharusan menggunakan perangkat-perangkat bioinformatika untuk analisa data.Sementara di kalangan TI masih kurang mendapat perhatian. Ketersediaan database dasar (DNA, protein) yang bersifat terbukalgratis merupakan peluang besar untuk menggali

informasi berharga daripadanya.Database genom manusia sudah disepakati akan bersifat terbuka untuk seluruh kalangan, sehingga dapat di gali atau diketahui kandidat-kandidat gen yang memiliki potensi kedokteran atau farmasi.


Sumber:
https://fenaprayogo.wordpress.com/2013/12/10/digital-right-management/
http://dewanggaputra21.blogspot.com/2012/11/keamanan-komputer.html

Jumat, 19 Oktober 2018

Keamanan Komputer BAB 7-9


UNIVERSITAS GUNADARMA

FAKULTAS ILMU KOMPUTER DAN
TEKNOLOGI INFORMASI

2018


TUGAS SISTEM KEAMANAN TEK. INFORMASI BAB 7, 8 DAN 9

DOSEN : KURNIAWAN B. PRIANTO, SKOM., SH., MM
NAMA : MUHAMMAD HUSEIN NASUTION
NPM : 14115634


KELAS : 4KA31

BAB 7
PENGAMANAN WEB BROWSER

  • SISTEM KERJA DARI WEB BROWSER
cara kerja web browser

  1. User sedang mengakses sebuah website dengan cara mengetikkan alamat situs atau URL (Uniform Resource Locator) pada address bar di web browser (dalam contoh ini : google.com).
  2. Kemudian web browser menerima permintaan dari si user dan akan melakukan fetching (pengambilan data) pada DNS Server.
  3. Data yang telah diambil berupa IP dari perintah yang diketikkan user (contoh : www.google.com). Web browser telah mendapatkan IP dari www.google.com
  4. Selanjutnya, web browser mengakses ke server dengan IP yang telah didapatkan dari DNS Server.
  5. Server memberikan data konten dari www.google.com dalam bentuk HTML dan file lain, seperti CSS, PHP, dll.
  6. Setelah itu, web browser menampilkan konten yang sesuai dengan permintaan user.

  • BENTUK ANCAMAN KEAMANAN DARI WEB BROWSER

1. Hijacking
            Hijacking adalah suatu kegiatan yang berusaha untuk memasuki [menyusup] ke dalam sistem melalui sistem operasional lainnya yang dijalankan oleh seseorang [pelaku: Hacker]. Sistem ini dapat berupa server, jaringan/networking [LAN/WAN], situs web, software atau bahkan kombinasi dari beberapa sistem tersebut. Namun perbedaanya adalah Hijacker menggunakan bantuan software atau server robot untuk melakukan aksinya, tujuanya adalah sama dengan para cracker namun para hijacker melakukan lebih dari para cracker, selain mengambil data dan informasi pendukung lain, tidak jarang sistem yang dituju juga diambil alih, atau bahkan dirusak. Dan yang paling sering dilakukan dalam hijacking adalah Session Hijacking.

     - Session Hijacking
            Hal yang paling sulit dilakukan seseorang untuk masuk ke dalam suatu sistem (attack) adalah menebak password. Terlebih lagi apabila password tersebut disimpan dengan menggunakan tingkat enkripsi yang tinggi, atau password yang hanya berlaku satu kali saja (one-time-password).
            Satu cara yang lebih mudah digunakan untuk masuk ke dalam sistem adalah dengan cara mengambil alih session yang ada setelah proses autentifikasi berjalan dengan normal. Dengan cara ini penyerang tidak perlu repot melakukan proses dekripsi password, atau menebak-nebak password terlebih dahulu. Proses ini dikenal dengan istilah session hijacking. Session hijacking adalah proses pengambil-alihan session yang sedang aktif dari suatu sistem. Keuntungan dari cara ini adalah Anda dapat mem-bypass proses autentikasi dan memperoleh hak akses secara langsung ke dalam sistem.
            Ada dua tipe dari session hijacking, yaitu serangan secara aktif dan serangan secara pasif. Pada serangan secara pasif, penyerang hanya menempatkan diri di tengah-tengah dari session antara computer korban dengan server, dan hanya mengamati setiap data yang ditransfer tanpa memutuskan session aslinya. Pada aktif session hijacking, penyerang mencari session yang sedang aktif, dan kemudian mengambil-alih session tersebut dengan memutuskan hubungan session aslinya.

Enam langkah yang terdapat pada session hijacking adalah:
- Mencari target
- Melakukan prediksi sequence number
- Mencari session yang sedang aktif
- Menebak sequence number
- Memutuskan session aslinya
- Mengambil-alih session

            Beberapa program atau software yang umumnya digunakan untuk melakukan session hijacking adalah Juggernaut,Hunt, TTY Watcher, dan IP Watcher. Untuk lebih jelasnya di bawah ini dibahas dua tool dari session hijacking yang sudah cukup populer dan banyak digunakan, yakni Juggernaut dan Hunt.

      - Juggernaut
            Software ini sebenarnya adalah software network sniffer yang juga dapat digunakan untuk melakukan TCP session hijacking. Juggernaut berjalan pada sistem operasi Linux dan dapat diatur untuk memantau semua network traffic. Di samping itu program ini pun dapat mengambil (capture) data yang kemungkinan berisi user name dan password dari user (pengguna) yang sedang melakukan proses login.

       - Hunt
            Software ini dapat digunakan untuk mendengarkan (listen), intersepsi (intercept), dan mengambil-alih (hijack) session yang sedang aktif pada sebuah network. Hunt dibuat dengan menggunakan konsep yang sama dengan Juggernaut dan memiliki beberapa fasilitas tambahan.

2. Replay
             Replay Attack, bagian dari Man In the Middle Attack adalah serangan pada jaringan dimana penyerang "mendengar" percakapan antara pengirim (AP) dan penerima (Client) seperti mengambil sebuah informasi yang bersifat rahasia seperti otentikasi, lalu hacker menggunakan informasi tersebut untuk berpura-pura menjadi Client yang ter-otentikasi.
Contoh : Client mau konek ke AP, Client memberikan identitasnya berupa password login, Hacker "mengendus" password login, setelah si Client dis-konek dari AP, Hacker menggunakan identitas Client yang berpura-pura menjadi Client yang sah, dapat kita lihat seperti contoh di atas.

  • Penyebaran malcode (viruses, worms, dsb.)
Berikut nama-nama malware/malcode yang terbagi dalam beberapa golongan.antara lain:
  1. Virus
Tipe malware ini memiliki kemampuan mereproduksi diri sendiri yang terdiri dari kumpulan kode yang dapat memodifikasi target kode yang sedang berjalan. 
      2. Worm
Sering disebut cacing, adalah sebuah program yang berdiri sendiri dan tidak membutuhkan sarang untuk penyebarannya, Worm hanya ngendon di memori dan mampu memodifikasi dirinya sendiri.
  • Menjalankan executables yang berbahaya pada host
  • Mengakses file pada host
Beberapa serangan memungkinkan browser mengirimkan file ke penyerang. File dapat mengandung informasi personal seperti data perbankan, passwords dsb.
  • Pencurian informasi pribadi

  • CARA MENGATASI ANCAMAN PADA WEB BROWSER
Selalu mengupdate web browser menggunakan patch terbaru
· Mencegah virus
· Menggunakan situs yang aman untuk transaksi finansial dan sensitif
· Menggunakan secure proxy
· Mengamankan lingkungan jaringan
· Tidak menggunakan informasi pribadi
· Hati-hati ketika merubah setting browser
· Hati-hati ketika merubah konfigurasi browser
· Jangan membuat konfigurasi yang mendukung scripts dan macros
· Jangan langsung menjalankan program yang anda download dari internet
· Browsing ke situs-situs yang aman
· Mengurangi kemungkinan adanya malcode dan spyware
· Konfigurasi home pae harus hati-hati
· Lebih baik gunakan blank.
· Jangan mempercayai setiap links (periksa dulu arah tujuan link itu)
· Jangan selalu mengikuti link yang diberitahukan lewat e-mail
· Jangan browsing dari sistem yang mengandung data sensitif
· Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web
· Gunakan stronger encryption
· Pilih 128-bit encryption
· Gunakan browser yang jarang digunakan
· Serangan banyak dilakukan pada web browser yang populer
· Minimalkan penggunaan plugins
· Minimalkan penggunaan cookies
· Perhatikan cara penanganan dan lokasi penyimpanan temporary files



BAB 8
PENGAMANAN WEB SYSTEM (Server, Client dan Jaringan)

  • SISTEM KERJA DARI WEB SYSTEM
1. Menerima permintaan (request) dari client, dan
2. Mengirimkan apa yang diminta oleh client (response).

Secara sederhana dapat digambarkan sebagai berikut:
Penjelasan gambar:


  1. Client disini dapat berupa komputer desktop dengan minimal memiliki browser dan terhubung ke web server melalui jaringan (intranet atau internet).
  2. Komputer yang berfungsi sebagai server, dimana didalamnya terdapat perangkat lunak web server. Agar komputer ini dapat diakses oleh client maka komputer harus terhubung ke jaringan (intranet atau internet). Dalam jaringan internet, komputer ini bisa saja bernama www.google.com, www.bl.ac.id, atau memiliki kode komputer (disebut IP Address) seperti 202.10.20.10 dan 200.100.50.25.
  3. Pertama-tama, client (user) akan meminta suatu halaman ke (web) server untuk ditampilkan di komputer client. Misalnya client mengetikkan suatu alamat (biasa disebut URL) di browser http://www.google.com. Client menekan tombol Enter atau klik tombol Go pada browser. Lalu apa yang terjadi? Melalui media jaringan (bisa internet, bisa intranet) dan melalui protokol http, akan dicarilah komputer bernama www.google.com. Jika ditemukan, maka seolah-olah terjadi permintaan, “hai google, ada client yang minta halaman utama nich, ada dimana halamannya?”. Inilah yang disebut request.
  4. Sekarang dari sisi server (web server). Mendapat permintaan halaman utama google dari client, si server akan mencari-cari di komputernya halaman sesuai permintaan. Namanya juga mencari, kadang ketemu, kadang juga tidak ketemu. Jika ditemukan, maka halaman yang diminta akan dikirimkan ke client (si peminta), namun jika tidak ditemukan, maka server akan memberi pesan “404. Page Not Found”, yang artinya halaman tidak ditemukan.


  • BENTUK ANCAMAN KEAMANAN DARI WEB SYSTEM

1. Scripting
Kesalahan dalam scripting pembuatan web adalah hal terbanyak yang dimanfaatkan oleh para attacker, sehingga rata-rata web yang berhasil diserang melalui lubang ini. Kelemahan-kelemahan scripting yang ditemukan pada proses vulnerabilities scanning misalnya, XSS, SQL Injection, PHP Injection, HTML Injection, dan lain sebagainya.

Begitu pula pada CMS semisal Mambo, Joomla, WordPress, dan lainnya. CMS tersebut memiliki banyak komponen pendukung di internet yang bisa kita download, implement dan konfigurasi. Sehingga sangat memungkinkan sekali terdapat bug pada scriptingnya. Langkah terbaik tentunya melakukan pembedahan (oprek) terhadap book serta melakukan pengujian sebelum komponen tersebut kita gunakan pada web yang sebenarnya.Pengujian bisa dilakukan melalui localhost pada komputer dengan menginstall PHP, apache, dan mySQL, atau menginstall module semisal WAMP ataupun XAMPP yang merupakan paket all in one.

Untuk mengatasi hal tersebut sebaiknya kita harus mulai belajar dan memahami scripting-scripting secara bertahap, baik HTML, PHP, javascript, dan sebagainya. CMS tersebut sebenarnya cukup aman, namun komponen tambahan yang tidak dibuat dengan baik, tentu saja bisa menimbulkan masalah besar bagi sistem secara keseluruhan.


2. Lubang pada Situs Tetangga
Ini merupakan salah satu faktor yang jarang mendapat perhatian. Sebagian webmaster kadang tidak begitu peduli ketika web lain yang satu hosting dihacked. Mereka berpikiran, “Ah, toh bukan web saya yang kena.”Padahal justru di sinilah letak kesalahannya.

Logikanya, misal web kita ditempatkan pada perusahaan hosting A. itu artinya web kita bertetangga dengan web milik orang lain yang berada dalam 1 hosting. Jika web tetangga tersebut memiliki celah fatal, sehingga attackerbisa menanam module yang dijadikan backdoor. Dengan backdoor inilah attacker bisa masuk ke dalam web kita bahkan web lainnya.Bukan itu saja, tidak mustahil attacker melakukkan defacing massal, termasuk web kita tentunya.


3. Tempat Hosting yang Bermasalah
Pada beberapa kasus justru tempat hosting yang bermasalah menjadi sebab dihackednya banyak situs yang berada di bawah pengelolaannya. Pernah terjadi situs milik sebuah perusahaan dideface.Kemudia setelah diperbaiki, dideface lagi. Kemudian lapor ke admin perusahaan hosting, justru balik menyalahkan pemilik situs dengan alasan yang nggak masuk akal.

Kenyataannya, justru web hosting itu yang tidak pernah di administrasi dengan baik, jarang diupdate, dan jarang dipatch, sehingga mudah terkena serangan. Dengan indication pengelolaan yang seperti ini jangan berharap web kita akan aman. Karena itu, pastikan tempat hosting yang digunakan benar-benar memperhatikan tingkat keamanan bagi pelanggannya.


  • CARA MENGATASI ANCAMAN PADA WEB SYSTEM

Bagaimana cara mengatasi ancaman web sistem seperti hacker/ cracker? Ada banyak jenis software untuk mengatasi ancaman dari Hacker, salah satunya adalah Zona Alarm. Zone Alarm di design untuk melindungi komputer PC, Laptop maupun Netbook dari ancaman hacker di internet. Software ini memiliki 4 fungsi keamanan yaitu:
1.      Firewall
2.      Application Control
3.      Anti Virus Monitoring
4.      Email Protection, dll


1. Firewall
Firewall pada zone alarm berfungsi untuk mengendalikan akses masuk ke komputer anda dan meminta izin untuk mengakses situs/web yang ingin anda kunjungi dengan demikian anda memiliki kesempatan untuk cek web tersebut layak atau tidak dibuka, biasanya situs/web yang mengandung pornografi, content dewasa, dll. Selain itu juga anda dapat mengatur tingkat keamanan internet zona security dan trusted zona security.

2. Aplication Control
Aplication Control berfungsi untuk mengontrol program-program yang beroperasi membutuhkan akses internet seperti: Internet Explorer, Mozilla, FTP, dll. Nah dengan bantuan fitur ini tentu mengurangi resiko terhadap serangan/ancaman langsung dari hacker yang sedang online.

3. Anti Virus Monitoring
Antivirus Monitoring berfungsi untuk memonitor status dari ancaman virus yang masuk ke komputer anda baik online maupun offline.

4. Email Protection
Dari namanya tentu anda tahu fungsinya?, benar fungsi dari Email Protection adalah melindungi email dari ancaman virus, malware, dll.
Salah satu contoh software keamanan komputer yaitu BitDefender Internet Security 2009.

BitDefender Internet Security 2009 menjaga koneksi internet seluruh keluarga anda tanpa harus menurunkan kinerja komputer anda. BitDefender mengunci viruses, hackers dan spam, sementara secara bersamaan memberikan perlindungan firewall dan juga memberikan pengawasan / kendali orang tua terhadap anak-2.

Dengan BitDefender anda bisa percaya diri dalam download, share dan buka file dari teman-2, keluarga, co-workers dan bahkan dari orang asing sekalipun.

  • Scanning semua web, traffic e-mail dan instant messaging, dari viruses dan spyware, secara real-time.
  • Secara proaktif melindungi diri terhadap penyebaran virus baru menggunakan teknik heuristic tingkat tinggi.
  • Melindungi identitas personal anda saat berbelanja online, transaksi perbankan, mendengarkan, mengawasi secara private dan aman.
  • Mem-blokir usaha pencurian data identitas personal anda (phising).
  • Mencegah kebocoran informasi personal anda lewat e-mail, web atau instant messaging.
  • Mengawal percakapan anda dengan jalur inkripsi paling top.
  • Inkripsi instant messaging.
  • File Vault secara aman menyimpan data personal atau data sensitive anda.
  • Koneksi kepada jaringan secara aman, baik di rumah, di kantor, atau saat travelling.
  • Secara automatis memodifikasi proteksi setting firewall untuk menyesuaikan lokasi.
  • Monitor Wi-fi membantu mencegah akses unauthorized kepada jaringan Wi-fi anda.
  • Melindungi keluarga dan komputer mereka.
  • Memblokir akses website dan email yang tidak sepantasnya.
  • Menjadwal dan membatasi akses anak-anak kepada internet dan applikasi.
  • Bermain dengan aman dan smooth.
  • Mengurangi beban system dan menghindari interaksi permintaan user selama game.
  • Mengguankan system resources yang relative kecil.

Ada banyak cara sebenarnya yang bisa anda ambil untuk melindungi anda dari programmed threats, termasuk menggunakan anti-virus software, selalu patches system, dan memberi pelajaran kepada user baghaimana berinternet yang aman. Semua itu harus anda lakukan untuk melindungi system anda. Kalau tidak maka anda akan menjadi korban. Sebenarnya sangat banyak ancaman dari internet. Untuk itu agar anda yang sangat ingin melilndungi asset informasi anda, baik data perusahaan yang sangat sensitive dan kritis – bisa secara aman dimana saja dan kapanpun untuk ber internet ria – maka anda bisa percayakan kepada BitDefender internet security yang secara proactive melindungi komputer anda.


BAB 9
SOP DAN AUDIT KEAMANAN

  • PENGATURAN KEAMANAN DALAM SISTEM

1. Protect with passwords
Banyak serangan cyber yang berhasil meretas karena kata sandi (password) yang lemah. Semua akses ke jaringan maupun data, sangat sensitif dan harus dijaga dengan nama pengguna dan kata kunci yang unik. Sandi yang kuat berisi angka, huruf dan simbol. Disarankan untuk setiap pengguna menggunakan kata sandi yang unik.

2. Design safe systems
Batasi akses ke infrastruktur teknologi Anda untuk mencegah mudahnya peretas dan pencuri merusak sistem Anda. Hilangkan akses yang tidak perlu ke hardware maupun software Anda, dan batasi hak akses pengguna hanya untuk peralatan dan program yang dibutuhkan saja. Bila memungkinkan, gunakan juga alamat email, login, server dan nama domain yang unik bagi setiap pengguna, kelompok kerja maupun departemen.

3. Conduct screening and background checks
Melakukan skrining dan pemeriksaan latar belakang pada karyawan perlu dilakukan. Sama halnya dengan meneliti kredibilitas mereka juga. Pada periode percobaan awal, akses terhadap data sensitif atau jaringan yang mencurigakan yang dilakukan oleh karyawan Anda harus dilarang dan juga dibatasi, agar sistem IT Anda menjadi aman.

4. Provide basic training
Pelanggaran keamanan yang tak terhitung jumlahnya kerap terjadi sebagai akibat kesalahan dan kecerobohan manusia. Anda dapat membantu dengan membangun budaya perusahaan yang menekankan pada keamanan komputer melalui program pelatihan yang memperingatkan berapa besarnya risiko pada penggunaan kata sandi, jaringan, program dan perangkat yang ceroboh.

5. Avoid unknown email attachements
Jangan pernah mengklik lampiran email yang tidak dikenal, yang kemungkinan bisa berisi virus komputer. Sebelum membukanya, hubungi pengirim untuk mengkonfirmasi isi pesan. Jika Anda tidak mengenal pengirim tersebut, baiknya Anda menghapus pesan, memblokir akun pengirim yang tidak dikenal, dan memperingatkan orang lain untuk melakukan hal yang sama.

6. Hang up and call back
Jika Anda menerima panggilan dari orang yang tidak dikenal yang tiba-tiba ingin memberikan hadiah dan berpura-pura hadiah itu diberikan oleh perwakilan dari bank atau mitra lainnya, segera akhiri panggilan yang tidak dikenal tersebut. Kemudian hubungi kontak langsung ke organisasi tersebut, atau salah satu nomor call centernya untuk mengkonfirmasi bahwa panggilan yang Anda terima tersebut sah/tidak.

7. Think before clicking
Untuk menghindari penipuan yang terjadi melalui email yang meminta informasi nama pengguna, kata sandi atau informasi pribadi, Anda harus mempertimbangkannya kembali agar Anda tidak terdorong ke sebuah situs web palsu yang mendorong calon korban untuk memasukkan data mereka sendiri.

8. Use a virus scanner, and keep all software up-to-date
Baik Anda bekerja di rumah atau di jaringan kantor, disarankan untuk menginstal antivirus pada PC Anda. Banyak penyedia jaringan sekarang menawarkan aplikasi antivirus secara gratis. Di samping itu, menjaga perangkat lunak agar terus up-to-date juga mampu mencegah virus masuk dan membuat keamanan sistem IT Anda terjaga.

9. Keep sensitive data out of the cloud
Cloud computing menawarkan banyak manfaat dan penghematan biaya kepada bisnis Anda. Namun layanan semacam itu juga dapat menimbulkan ancaman tambahan karena data ditempatkan di server jarak jauh yang dioperasikan oleh pihak ketiga yang mungkin memiliki masalah keamanan tersendiri.

10. Stay paranoid
Rusak atau robek semua hal termasuk dokumen dengan nama perusahaan, alamat dan informasi lainnya, termasuk logo vendor dan bank yang sedang ingin berurusan dengan Anda. Jangan pernah meninggalkan laporan yang bersifat penting dan sensitif di meja Anda. Ubah juga kata sandi secara teratur dan sering, terutama jika Anda membaginya dengan rekan kerja Anda. Hal ini sangat penting Anda lakukan, untuk membuat keamanan sistem IT Anda terjaga.



  • ANALISA RESIKO

ISA 315.5 menjelaskan bahwa auditor wajib melakukan prosedur penilaian risiko untuk mengidentifikasi dan menilai risiko salah saji material pada tingkat laporan keuangan dan pada tingkat asersi. Prosedur penilaian risiko itu sendiri tidak memberikan bukti audit yang cukup dan tepat sebagai dasar pemberian opini audit. ISA 315.5 menjelaskan bahwa prosedur penilain risiko meliputi:
a. Bertanya kepada manajemen dan pihak lain dalam entitas yang menurut auditor mungkin mempunyai informasi yang dapat membantu mengidentifikasi risiko salah saji material yang disebabkan oleh kecurangan atau kekeliruan. ISA 315.5 menjelaskan bahwa auditor wajib menanyakan kepada manajemen tentang:

  1. Penilaian oleh manajemen mengenai risiko salah saji material dalam laporan keuangan karena kecurangan, termasuk tentang sifat, luas, dan berapa seringnya penilaian tersebut dilakukan
  2. Proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan dalam entitas itu, termasuk risiko kecurangan yang diidentifikasi oleh manajemen atau yang dilaporkan kepada manajemen, atau risiko kecurangan mungkin terjadi dalam jenis transaksi, saldo akun, atau pengungkapan.
  3. Komunikasi manajemen dengan TCWG mengenai proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan dalam entitas itu.
  4. Komunikasi manajemen dengan karyawan, jika ada, tentang pandangan manajemen mengenai praktik-praktik bisnis dan perilaku etis.


b. Prosedur analitikal
Prosedur analitis adalah evaluasi informasi keuangan yang dilakukan dengan mempelajari hubungan logi antara data keuangan dan data non keuangan yang meliputi  perbandingan-perbandingan jumlah yang tercatat dengan ekspektasi auditor.
Tujuan prosedur analitik dalam perencanaan antara lain:

  1. Meningkatkan pemahaman auditor atas usaha klien dan transaksi yang terjadi sejak  tanggal audit terakhir.
  2. Mengidentifikasi bidang yang kemungkinan mencerminkan risiko tertentu yang bersangkutan dengan audit.
  1. Prosedur analitik dapat mengungkapkan:
a. Peristiwa atau transaksi yang tidak biasa
b. Perubahan akuntansi
c. Perubahan usaha
d. Fluktuasi acak
e. Salah saji

Prosedur analitis memiliki tahap-tahap sebagai berikut:
1. Mengidentifikasi perhitungan atau perbandingan yang harus dibuat
2. Mengembangkan harapan
3. Melaksanakan data dan mengidentifikasi perbedaan signifikan
4. Menyelidiki perbedaan signifikan yang tidak terduga dan mengevaluasi perbedaan tersebut
5. Menentukan dampak hasil prosedur analitik terhadap perencanaan audit


c. Pengamatan dan inspeksi
Observasi atau pengamatan dan inspeksi (bertanya) mempunyai dua fungsi yaitu:
1. Mendukung prosedur bertanya (injuiries) kepada manajemen dan pihak-pihak lain.
2. Menyediakan informasi tambahan mengenai entitas dan lingkungannya.

Ketiga prosedur tersebut dilakukan selama berlangsungnya audit. Dalam banyak situasi, hasil dari satu prosedur akan membawa pada prosedur lain. Ketiga prosedur tersebut merupakan hal yang penting yang harus dilaksanakan oleh auditor agar risiko salah saji material dapat teridentifikasi dan menjadikan informasi yang relevan bagi entitas maupun pengguna eksternal.


  • PERENCANAAN SOP KEAMANAN DALAM SISTEM KOMPUTER
Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan dalam keamanan jaringan. Perencanaan tersebut akan membantu dalam hal-hal berikut ini: 

  1. Menentukan data atau informasi apa saja yang harus dilindungi.
  2. Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya. 
  3. Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut.


Metode Keamanan Jaringan

- Ada 3 beberapa konsep yang ada dalam pembatasan akses jaringan, yakni sebagai berikut:

  • Internal Password Authentication. 
  • Server-based password authentication.
  • Firewall dan Routing Control.

- Menggunakan metode enkripsi.
- Pemonitoran terjadwal terhadap jaringan

  • PENGEMBANGAN AUDIT KEAMANAN DALAM SISTEM KOMPUTER

Audit keamanan komputer (computer security audit) adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian: penilaian otomatis dan non-otomatis. Penilaian otomatis berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll. Penilaian non-otomatis berhubungan dengan kegiatan interview kepada staf yang menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke sistem operasi dan software aplikasinya, serta analisa semua akses fisik terhadap sistem komputer secara menyeluruh.

Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC, server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang dipakai oleh organisasi atau perusahaan yang bersangkutan.


Auditing dan Komputer

Saat ini, penggunaan sistem informasi akuntansi berbasis komputer oleh organisasi bisnis dan banyak organisasi lainya meningkat pesat. Penggunaan aplikasi akuntansi berbasis komputer juga mempunyai dampak yang cukup signifikan bagi profesi akuntan. Kompleksitas masalah-masalah dalam lingkungan Pemrosesan Data Elektronik mendorong auditor untuk mengembangkan prosedur dan teknik untuk mengendalikan dan memeriksa sistem akuntansi berbasis komputer yang lebih rumit. Komputerisasi atau penggunaan sistem akuntansi berbasis komputer untuk menggantikan sistem manual, secara otomatis akan mengurangi atau bahkan meninggalkan dokumen-dokumen konvensional (hardcopy) yang bersifat verifiable evidence dan mengarah ke paperless office. Dokumen atau hardcopy bukan lagi menjadi bagian utama untuk tujuan pencatatan. Dokumen-dokumen tersebut digantikan dengan sinyal kode binary digit dalam bahasa komputer yang intangible.

Perubahan yang fundamental akibat kemajuan teknologi juga menyebabkan terjadinya kesalahan-kesalahan, baik tindak kecurangan maupun kelalaian, dalam bentuk yang sama sekali baru. Oleh karena itu perlu adanya upaya pencegahan terhadap segala bentuk kesalahan oleh komputer dan pengamanan terhadap sistem informasi berbasis komputer tersebut. Hal ini, konsekuensinya, berdampak pada peningkatan kebutuhan pemeriksaan akuntan di lingkungan Pemrosesan Data Elektronik.
Mengapa Perlu audit Sistem Informasi?

Munculnya berbagai jenis komputer kecil PC dan semakin murah yang menggantikan jenis komputer mainframe dan harga komputer komputer yang relatif terjangkau dengan kemampuan teknologi yang memadai (bahkan lebih handal) telah membantu perusahaan dalam menjalankan aktivitas operasi bisnisnya. Saat ini komputer telah hampir ada di setiap kantor dan menjadi sebuah peralatan penting.
Semenjak komputer menjadi alat utama dalam pemrosesan data dan penyediaan informasi untuk berbagai keputusan, maka sangat perlu bagi pengguna sistem informasi berbasis komputer untuk mengendalikan pemakaian sistem pengolah data berbasis komputer tersebut secara lebih baik.

Alasan utama untuk sebuah manajemen sistem informasi yang efektif adalah:
1. Ketergantungan terhadap Sistem Informasi
Meningkatnya ketergantungan kepada sistem informasi dan prasarana pendukung sistem informasi itu sendiri sebagai akibat penggunaan informasi dalam aktivitas bisnis sehari-hari. Sistem informasi telah menjadi sebuah kebutuhan sehari-hari dalam menjalankan setiap kegiatan dalam organisasi bisnis. Organisasi bisnis menjadi sangat tergantung kepada sistem informasi, tanpa bantuan sebuah sistem informasi perusahaan tidak dapat beroperasi lagi dan dapat melumpuhkan seluruh kegiatannya.
Perusaahaan retail kecil seperti Indomart, Alfamart dan sejenisnya telah menggunakan sebuah sistem informasi berbasis komputer. Bayangkan saja apa yang akan terjadi jika sistem informasi yang ada di perusahaan retail besar seperti Makro, Giant atau Carefour macet, maka hampir seluruh kegiatan penjualan di tempat tersebut akan terganggu.
2. Skala dan Biaya untuk investasi Sistem Informasi.
Skala investasi dan biaya yang telah diinvestasikan pada saat ini maupun mendatang kepada sebuah sistem informasi sangatlah besar. Berapa investasi yang ditanamkan oleh perusahaan-perusahan seperti PT. Telkom, PT. Semen Gresik atau investasi yang ditanamkan dalam industri perbankan seperti Bank BNI, Bank BCA dan sebagainya? Sebagai contoh Investasi yang dilakukan oleh Komisi Pemilihan Umum dalam Teknologi Informasi guna membantu Pemilihan Umum tahun 2004 ini hampir mencapai Rp. 300 Milyar. Sehingga sebuah sistem informasi sangatlah perlu dikelola dengan baik.
3. Business Driven Technology
Teknologi Sistem Informasi saat ini juga digunakan sebagai pendukung (enabler) pencapaian strategi dan tujuan organisasi. Dampak potensial dari perkembangan teknologi informasi yang mengubah secara dramatis praktek-praktek organisasi dan bisnis yang ada saat ini, serta adanya kemungkinan menciptakan peluang-peluang baru dan untuk pengurangan biaya karena penggunaan teknologi informasi.
4. Ancaman terhadap Sistem Informasi
Meningkatnya kerentanan dan luasnya spektrum ancaman terhadap sistem informasi, seperti cyber threats, hackers dan perang informasi (information war).

Sumber:
https://makinrajin.com/pengertian-web-browser/
http://agustinehana.blogspot.com/2012/11/bentuk-ancaman-keamanan-dari-web-browser.html
http://agustinehana.blogspot.com/2012/11/cara-mengatasi-ancaman-pada-web-browser.html
http://achmatim.net/2008/07/09/prinsip-dan-cara-kerja-web-server/
http://priscapica-tugassoftskill.blogspot.com/2012/11/web-server.html
http://fawziyah25.blogspot.com/2012/11/cara-mengatasi-ancaman-web-sistem.html
http://www.phintraco.com/10-cara-menjaga-keamanan-sistem-it/
https://www.academia.edu/31745078/PERENCANAAN_AUDIT_DAN_PENILAIAN_RISIKO?auto=download
http://popyoctaviani.blogspot.com/2009/10/audit-keamanan-komputer.html

Tugas Softskill Audit Teknologi Sistem Informasi

1. PENGENDALIAN APLIKASI

TEORI

Pengendalian Aplikasi
Pengendalian aplikasi (application controls) adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan (setiap aplikasi berbeda karateristik dan kebutuhan pengendaliannya). Misalnya komputerisasi kepegawaian tentu berbeda resiko dan kebutuhan pengendaliannya dengan sistem komputerisasi penjualan, apalagi bila sistem penjualan tersebut didesain web-based atau E-Commerce.

Pengendalian Aplikasi Terdiri Dari :
a).   Pengendalian masukan atau input controls.
b).   Pengendalian proses pengolahan data atau process controls.
c).   Pengendalian keluaran atau output controls.

Pengendalian Atas Masukkan (Input)
Mengapa diperlukan pengendalian input? Karena input merupakan salah satu tahap dalam sistem komputerisasi yang paling krusial dan mengandung resiko.
Resiko yang dihadapi misalnya ialah:

  • Data transaksi yang ditulis oleh pelaku transaksi salah.
  • Kesalahan pengisian dengan kesengajaan disalahkan.
  • Penulisan tidak jelas sehingga dibaca salah oleh orang lain (misalnya  petugas yang harus meng-entry data tersebut ke komputer), khususnya bila yang diolah bukan dokumen aslinya, melainkan tembusan.

Batch Sistem
Cara pemrosesan data input antara lain dengan sistem batch processing, data diolah dalam satuan kelompok (bundel) dokumen, dan delayed processing system (pengolahan bersifat tertunda, yaitu updating data di  komputer tidak sama dengan terjadinya transaksi).
Pengendalian input dalam sistem batch dilakukan pada tahap:
-  Data Capturing
-  Batch Data Preparation
-  Batch Data Entry
-  Validation

On-line Real time Entry
Pengendalian input sistem on-line real time dilakukan pada tahap :

Entry Data & Validation
Pada batch processing system lazimnya entri data dilakukan petugas data entry (petugas teknis unit komputer), sedangkan dalam sistem on-line real-time lazimnya entri data oleh pemakai langsung (misalnya para pelanggan atau nasabah bank) maupun para petugas operasional (sudah tidak dikatagorikan sebagai pegawai komputer lagi, misalnya: nasabah yang mengambil uang di ATM, petugas front office hotel, bank teller.
Dalam sistem komputerisasi, khususnya yang menggunakan sistem on-line real-time, paperless, maka masalah jejak pemeriksaan (audit trail) menjadi makin penting. Oleh karena itu masalah audit trail antara lain dalam bentuk existence controls harus betul-betul diperhatikan.

Pengendalian Bersifat Prevention
Contoh pengendalian yang bersifat preventif misalnya ialah siapkan manual (buku pedoman kerja/prosedur tertulis) untuk cara-cara memasukkan data ke file komputer. Cara lain ialah perlunya pelatihan bagi para pengguna atau operatornya. Letak/ lingkungan/ bentuk layar perekaman yang baik juga merupakan faktor-faktor yang menentukan kenyaman perekaman data. Makin nyaman diharapkan tingkat kesalahan yang disebabkan oleh kejenuhan dan kelelahan akan makin kecil. Pengendalian lain mialnya ialah pembatasan access secara fisik (contoh ruang ATM), adanya aturan otorisasi (contohnya adanya PIN), identifikasi terminal dan operatornya (password tertentu), proteksi dari fragmentasi.

Pengendalian Bersifat Detection
Contoh pengendalian intern yang bersifat detection objective misalnya ialah validasi kesesuaian kode/ identitas./ PIN/ Account-ID antara yang dientri dengan yang ada di file komputer, validasi atas field tertentu.

Pengendalian Bersifat Correction
Dalam pengendalian intern yang bersifat correction objective perlu disusun prosedur pembetulan data apabila ternyata terdapat data salah yang lolos ke sistem. Lazimnya terdapat dua prosedur yang berkaitan dengan hal ini, yaitu:
Bila kesalahan adalah Keying Error, cara pelaksanaan pembetulan ialah dengan merekam ulang (pembetulan data).
Bila Source Error, artinya kesalahan bukan di pihak sistem pengolahan data, melainkan dari sumbernya. Cara pembetulannya apabila terjadi kesalahan semacam itu maka harus diklarifikasi kepada asal datanya.

Pengendalian Atas Pengolahan (Processing )
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya error adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antar  subsistem atupun kesalahan teknis lainnya.

Pengendalian Atas Keluaran (Output )
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang- orang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau data tidak uptodate, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komuni-kasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi.



ANALISIS

          Perkembangan teknologi sekarang ini semakin pesat dan berpengaruh di segala bidang, terutama dalam pengembangan aplikasi. Dengan kemajuan teknologi yang mampu mendukung proses input dan output data secara cepat dan akurat, khususnya pada zaman modern ini sudah banyak orang yang memakai smartphone.
          Untuk memanfaatkan situasi itu maka banyak perusahaan atau pebisnis yang membuat sebuah aplikasi untuk memudahkan dalam melakukan suatu kegiatan. Dalam pengembangan aplikasi dibutuhkan suatu pengendalian masukan (input control), pengendalian proses pengolahan data (process data) dan pengendalian keluaran (output control).
          Tujuan dari pengendalian aplikasi dimaksudkan untuk melindungi, mendeteksi dan mengoreksi suatu kesalahan dalam transaksi. Dalam audit terhadap aplikasi, biasanya pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.

Sumber:



2. STANDAR DAN PANDUAN UNTUK AUDIT SISTEM INFORMASI

ISACA

          ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi. Dalam tiga dekade terakhir, ISACA telah berkembang pesat. Hal ini ditandai dengan dijadikannya ISACA sebagai acuan praktik-praktik terbaik dalam hal audit, pengendalian dan keamanan sistem informasi oleh para profesional di seluruh dunia.
          Sertifikasi yang diterbitkan oleh ISACA terdiri dari Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT), Certified in Risk and Information Systems Control (CRISC) dan Framework Control Objectives for Information and Related Technology (COBIT).
          ISACA cabang Indonesia, biasa disebut dengan ISACA Chapter Indonesia. Di Indonesia, hanya terdapat beberapa provider training yang telah menandatangani MOU dengan ISACA. IT Governance Indonesia (Member Of Proxsis Consulting Group) telah menandatangani Surat Perjanjian Kerjasama Penyelenggaraan ISACA Certification Review Course 2016, antara Proxsis dengan ISACA Chapter Indonesia.


IIA

          Didirikan pada tahun 1941, The Institute of Internal Auditors (IIA) Melayani anggota di 165 negara. IIA adalah Penyatuan global  profesi audit internal, pemimpin advokat, otoritas yang diakui dan pendidik utama, dengan kantor pusat global di Altamonte Springs, Florida, Amerika Serikat.
Misi Institute of Internal Auditors adalah untuk memberikan “kepemimpinan yang dinamis” untuk profesi audit internal secara global. Antara lain meliputi :

  • Meng advokasi dan mempromosikan nilai yang ditambah oleh audit internal yang pofesinal pada organisasi mereka.
  • Memberikan pendidikan profesional yang komprehensif dan pengembangan peluang, standar dan pembinaan praktek profesional lainnya, dan program sertifikasi.
  • Meneliti, menyebarkan, dan mempromosikan kepada praktisi dan stakeholder tentang audit internal dan peran yang tepat dalam pengendalian, manajemen risiko tata kelola.
  • Mendidik praktisi dan masyarakat lain yang relevan pada praktik terbaik dalam audit internal.
  • Berbagi informasi dan pengalaman bersama auditor internal dari semua negara.


COSO

          COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission. Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.
          Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.
          Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
           Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers & Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.

           Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.


ISO

          ISO adalah singkatan dari The International Organization for Standardization, yaitu Organisasi Internasional untuk Standardisasi yang menetapkan standar internasional di bidang industrial dan komersial dunia dimana tujuan pembentukannya untuk meningkatkan perdagangan antar negara-negara di dunia.
          Pengertian ISO adalah salah satu badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap negara untuk mengukur mutu sebuah organisasi. Artinya, setiap perusahaan yang ingin bersaing secara global dapat diukur kredibilitasnya dengan standar ISO.
          Organisasi ISO adalah pihak yang berperan dalam memfasilitasi perdagangan internasional dan membuat semuanya berjalan dengan baik. ISO memberikan spesifikasi kelas dunia untuk berbagai hal, mulai dari produk, layanan, dan sistem, untuk memastikan kualitas, keamanan, dan efisiensi.

          Singkatnya, perusahaan atau brand yang telah memiliki sertifikat ISO akan lebih berpeluang memenangkan persaingan pasar global. Pasalnya, perusahaan atau brand tersebut telah memiliki jaminan kualitas produk (barang atau jasa) dari ISO sehingga mendapatkan kepercayaan dari konsumen.


Sumber:
https://www.proxsisgroup.com/articles/isaca/ (Diakses 17 Oktober 2018 jam 13:30)
https://aristasefree.wordpress.com/tag/institute-of-internal-auditors/ (Diakses 17 Oktober 2018 jam 13:41)
https://mukhsonrofi.wordpress.com/2008/10/14/pengertian-atau-definisi-coso/ (Diakses 17 Oktober 2018 jam 14:05)
https://www.maxmanroe.com/vid/manajemen/pengertian-iso-adalah.html (Diakses 17 Oktober 2018 jam 14:23)