Pages - Menu

Thursday, December 28, 2017

Rangkuman Materi Audit Teknologi Sistem Informasi



Tata Kelola Audit Teknologi Sistem Informasi
Penerapan TI dalam dunia industri sudah sangat penting. Teknologi informasi memberi peluang terjadinya transformasi dan peningkatan produktifitas bisnis. Penerapan teknologi informasi membutuhkan biaya yang cukup besar dengan risiko kegagalan yang tidak kecil. Penerapan teknologi informasi di dalam perusahaan dapat digunakan secara maksimal, untuk itu  dibutuhkan pemahaman yang tepat mengenai konsep dasar dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan pengelolaan serta pengembangan sistem yang dilakukan pada perusahaan tersebut. Perusahaan harus dapat mengatasi masalah dan perubahan yang terjadi secara cepat dan tepat sasaran. Oleh karena itu, faktor yang harus diperhatikan tidak hanya berfokus pada pengelolaan informasi semata, melainkan juga harus fokus untuk menjaga dan meningkatkan mutu informasi perusahaan.
Informasi merupakan salah satu sumber daya strategis suatu organisasi. Oleh karena itu, untuk mendukug tercapainya visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci sukses. Sistem informasi merupakan salah satu subsistem organisasi untuk mengelola informasi. Saat ini sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu organisasi, sehingga tidak dapat dipisahkan dengan operasi dan kehidupan organisasi. Teknologi informasi merupakan komponen penting dari sistem informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan informatika, yang mencakup teknologi komputer (perangkat keras, perangkat lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data digital sebagai infrastruktur dari jaringan komputer.

Pengguna Audit Teknologi Sistem Informasi 
Auditor dapat memeriksa asersi yang dibuat manajemen dan kemudian membuat laporan/kesimpulan mengenai asersi tersebut (indirect report), atau membuat laporan berdasarkan pemeriksaan langsung terhadap objek audit (direct report). Asersi adalah pernyataan resmi tertulis yang dibuat oleh manajemen mengenai suatu entitas atau kejadian. Asersi dibuat manajemen untuk digunakan oleh pihak lain
Auditor TI memiliki tanggung jawab yang besar. Auditor TI menjadi wakil dari manajemen puncak. Manajemen puncak memberi amanah kepada auditor untuk memastikan kelancaran proses-proses unit TI. Auditor memastikan hal tersebut melalui audit TI yang mengidentifikasi masalah dan masalah potensial sehingga dapat ditangani oleh unit TI dan manajemen puncak. Melalui audit TI tersebut, auditor menambah kredibilitas terhadap proses-proses TI sehingga manajemen puncak menjadi lebih yakin terhadap TI. Dalam hal ini auditor berperan sebagai assurance provider bagi manajemen puncak. 

Audit Tata Kelola TI pada Bidang Akademik dengan Cobit Frame Work Studi Kasus pada Universitas Sitikubank Semarang
Tata kelola TI atau IT (Information Technology) Governance merupakan struktur hubungan dan proses untuk mengarahkan dan mengendalikan organisasi untuk mencapai tujuannya dengan menambahkan nilai ketika menyeimbangkan risiko dibandingkan dengan TI dan prosesnya. Dalam penelitian ini dihasilkan suatu rekomendasi IT Governance yang merupakan pengembangan dari IT Governance yang sudah dilaksanakan oleh Institusi saat ini, namun saat ini proses IT Governance belum dilakukan secara menyeluruh. Rekomendasi IT Governance ini dibuat guna meningkatkan kinerja TI layanan akademik yang ada di UNISBANK, dimana aktivitas layanan akademik tersebut menjadi tanggung jawab kerja suatu biro yang bernama BAAK dan pengadaan dan pengelolaan TI yang ada menjadi tanggung jawab suatu divisi yaitu P2ICT. Perancangan IT Governance dalam penelitian ini menggunakan kerangka kerja COBIT (Control Objective For Information and Related Technology) versi 4.0. Dalam penelitian ini hanya dibahas 2 domain dari 4 domain yang ada di COBIT dengan pembahasan dibatasi pada tingkat control process saja, tidak membahas aktivitas-aktivitas yang terdapat di setiap control process. Domain yang dipilih dalam penelitian ini untuk dibuatkan rekomendasi pengelolaan TI adalah domain Deliver and Support (DS), Monitor and Evaluate (ME). Dari pemetaan model maturity tersebut diperoleh bahwa tingkat maturity untuk DS mendidik dan melatih users berada pada level maturity 4 (diatur), sementara untuk DS mengelola data berada pada tingkat maturity 3 (ditetapkan), Domain untuk Monitor dan evaluasi kinerja TI berada tingkat maturity 3 (ditetapkan). Berdasarkan pemetaan maturity tersebut dirancang rekomendasi IT Governance untuk masing-masing control process agar tingkat maturity dari masingmasing control process tersebut bisa lebih baik. Berdasarkan visi, misi, tantangan masa depan, dan tingginya harapan manajemen UNISBANK terhadap proses IT COBIT, dapat disimpulkan untuk dapat mendukung pencapaian tujuan UNISBANK setidaknya tingkat maturity pengelolaan IT yang dilakukan harus berada pada tingkat 4 – diatur (managed) dimana proses di monitor dan diukur manggunakan indikator tertentu.
Teknologi informasi (TI) saat ini sudah menjadi kebutuhan yang sangat penting bagi hampir semua organisasi perusahaan karena dipercaya dapat membantu meningkatkan efektifitas dan efisiensi proses bisnis perusahaan, tak terkecuali perguruan tinggi. Untuk mencapai hal tersebut diperlukan suatu pengelolaan TI yang baik dan benar agar keberadaan TI mampu untuk menunjang kesuksesan organisasi dalam pencapaian tujuannya. Kesuksesan tata kelola perusahaan (enterprise governance) saat ini mempunyai ketergantungan terhadap sejauh mana tata kelola TI (IT Governance) dilakukan.
Alat yang komprehensif untuk menciptakan adanya IT Governance di organisasi adalah penggunaan COBIT(Control Objectives For Information And Related Technology) yang mempertemukan kebutuhan beragam manajemen dengan menjembatani celah antara risiko bisnis, kebutuhan kontrol, dan masalah-masalah teknis TI. COBIT menyediakan referensi best
business practice yang mencakup keseluruhan proses bisnis organisasi dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola dan dikendalikan secara efektif.
Tujuan utama COBIT adalah memberikan kebijaksanaan yang jelas dan latihan yang bagus bagi IT Governance bagi organisasi di seluruh dunia untuk membantu manajemen senior untuk memahami dan mengatur risiko– risiko yang berhubungan dengan TI. COBIT melakukannya dengan menyediakan kerangka kerja IT Governance dan petunjuk kontrol obyektif yang rinci bagi manajemen, pemilik proses bisnis, pemakai dan auditor.
Pada dasarnya kerangka kerja COBIT terdiri dari 3 tingkat control objectives, yaitu activities dan tasks, process, domains. Activities dan tasks merupakan kegiatan rutin yang memiliki konsep daur hidup, sedangkan task merupakan kegiatan yang dilakukan secara terpisah. Selanjutnya kumpulan activity dan task ini dikelompokan ke dalam proses TI yang memiliki permasalahan pengelolaan TI yang sama dikelompokan ke dalam domains.
Gambar 1.1 : COBIT Cube

COBIT dirancang terdiri dari 34 high level control objectives yang menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate.

Gambar 1.2 : Prinsip dasar COBIT
Pedoman manajemen untuk COBIT, yang terdiri dari model maturity, KGI, dan KPI, yang kemudian menyediakan manajemen dengan alat untuk menilai dan mengukur lingkungan TI organisasi terhadap 34 proses TI yang diidentifikasikan COBIT.
Saat ini manajemen TI terkait risiko tersebut dipahami sebagai bagian inti dari pengaturan organisasi. Pengaturan TI yang merupakan bagian dari pengaturan organisasi, menjadi lebih dirasakan peranannya dalam mencapai tujuan organisasi dengan menambah nilai melalui penyeimbangan risiko terhadap nilai kembali atas TI dan prosesnya.
Pengaturan TI merupakan pelengkap suksesnya pengaturan organisasi melalui peningkatan yang efisien dan efektif sehubungan dengan proses organisasi. Pengaturan TI menyediakan struktur yang berhubungan dengan proses TI, sumberdaya TI, dan informasi untuk strategi dan tujuan organisasi. Lebih lanjut, pengaturan TI mengintegrasikan dan melembagakan praktek yang berhubungan.
Program Studi yang ada di UNISBANK maupun unit kerja lain terintegrasi dalam satu jaringan, dimana pengawasan data terpusat di data center yaitu server di P2ICT. Hal ini dapat meminimalkan permasalahan yang terdapat dalam proses pengolahan data akademik selama ini diantaranya sering terjadinya redudansi data akademik. Rekomendasi yang dibuat untuk monitor dan evaluasi kinerja TI menjamin bahwa kinerja dari TI dalam layanan akademik dapat terkontrol secara periodik tidak bergantung lagi apakah insiden yang terjadi mengganggu proses bisnis Lembaga. Selain itu rekomendasi yang dibuat antara mendidik dan melatih users, mengelola data dan monitor dan evaluasi kinerja TI dibuat saling berkaitan satu dengan lainnya.

IT Forensic
IT Forensic adalah bagian kepolisian yang menelusuri kejahatan-kejahatan dalam dunia computer/internet. Komputer forensik yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan digital.Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak digital. Istilah artefak digital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer.
Latar Bekang Penggunaan IT Forensic
  1. Memulihkan data dalam hal suatu hardware atau software mengalami kegagalan/kerusakan (failure).
  2. Meneliti suatu sistem komputer setelah suatu pembongkaran/pembobolan, sebagai contoh untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang dilakukan.
  3. Mengumpulkan bukti menindak seorang karyawan yang ingin diberhentikan oleh suatu organisasi.
  4. Memperoleh informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimisasi kinerja, atau membalikkan rancang-bangun.
  5. Dalam kasus hukum, teknik komputer forensik sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana) atau milik penggugat (dalam kasus perdata).
  6. Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
Pengguna IT Forensic
        Petugas Keamanan (Officer/as a First Responder)
Memiliki kewenangan tugas antara lain: Mengidentifikasi peristiwa, mengamankan bukti, pemeliharaan bukti yang temporer dan rawan kerusakan.
        Penelaah Bukti (Investigator)
Sosok yang paling berwenang dan memiliki kewenangan tugas antara lain: Menetapkan instruksi-instruksi, melakukan pengusutan peristiwa kejahatan, pemeliharaan integritas bukti.
        Tekhnisi Khusus
Memiliki kewenangan tugas antara lain: Memeliharaan bukti yang rentan kerusakan dan menyalin storage bukti, mematikan (shuting down) sistem yang sedang berjalan, membungkus/memproteksi bukti-bukti, mengangkut bukti dan memproses bukti. IT forensic digunakan saat mengidentifikasi tersangka pelaku tindak kriminal untuk penyelidik, kepolisian, dan kejaksaan.
            Maka dari itu, perananan IT Forensic antara lain :
ü  Teknik forensik komputer digunakan untuk menganalisis sistem digital milik terdakwa terkait kasus pidana & perdata.
ü  Memulihkan data apabila terjadi kegagalan pembacaan atau penyimpanan data pada perangkat keras/perangkat lunak
ü  Menganalis sistem komputer apabila telah terjadi penyerangan ke dalam sistem komputer
Beberapa hal penting yang harus diketahui mengenai IT Forensic, yaitu :
ü  Forensik bukan proses Hacking
ü  Data yang didapat harus dijaga jangan berubah
ü  Membuat image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus
ü  Image tersebut yang diotak-atik (hacking) dan dianalisis- bukan yang asli
ü  Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi
ü  Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image.
Hubungan Cybercrime dengan IT Forensic
Bersifat global. Cybercrime seringkali dilakukan secara transnasional, melintasi batas negara sehingga sulit dipastikan yuridikasi hukum negara yang berlaku terhadap pelaku. Karakteristik internet dan pengaplikasian IT Forensic di mana orang dapat berlalu-lalang tanpa identitas (anonymous) memungkinkan terjadinya berbagai aktivitas jahat yang tak tersentuh hukum.
Pengaplikasian IT Forensik
ü  Kecurangan dalam bisnis atau karyawan
ü  Investigasi criminal
ü  Perselisihan pemegang saham dan persekutuan
ü  Kerugian ekonomi dari suatu bisnis
ü  Perselisihan pernikahan
Studi Kasus IT Forensic
1. Studi Kasus Ledakan Bom di Kuningan
2. Studi Kasus Pencurian dan Penggunaan Account Internet Milik Orang Lain
3. Studi Kasus Pembobolan ATM dengan Teknik ATM Skimmer Scam

No comments:

Post a Comment