Auditor Sistem Informasi
Audit sistem
informasi merupakan suatu proses pengumpulan dan pengevaluasian
bukti-bukti yang dilakukan oleh pihak yang independen dan kompeten untuk
mengetahui apakah suatu sistem informasi dan sumber daya terkait,
secara memadai telah dapat digunakan untuk menyediakan informasi yang
relevan dan handal.
Tujuan Audit Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :
a. Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas),Availability (Ketersediaan) dan Compliance (Kepatuhan).
b. Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability(Kehandalan).
1. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan aktivitasnya.
Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya. Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
2. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia.
3. Pengambilan keputusan yang salah akibat informasi yang salah.
Kualitas sebuah keputusan sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.
4. Kerugian karena penyalahgunaan komputer.
Tema utama yang mendorong perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus, hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan fisik atau mengambil data atau program komputer tanpa ijin) dan atau penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).
Hacking
Seseorang yang
dengan tanpa ijin mengakses sistem komputer sehingga dapat melihat,
memodifikasi, atau menghapus program komputer atau data atau mengacaukan
sistem.
Virus
Virus
Sebuah
program komputer yang menempelkan diri dan menjalankan sendiri sebuah
program komputer atau sistem komputer di sebuah disket, data atau
program yang bertujuan mengganggu atau merusak jalannya sebuah program
atau data komputer yang ada di dalamnya. Virus dirancang dengan dua
tujuan, yaitu pertama mereplikasi dirinya sendiri secara aktif dan kedua
mengganggu atau merusak sistem operasi, program atau data.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
-Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security.
-Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
Dampak dari kejahatan dan penyalahgunaan komputer tersebut antara lain:
a. Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan disalahgunakan.
Ada beberapa aspek yang diperiksa pada audit sistem informasi:
-Audit secara keseluruhan menyangkut : efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security.
-Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file.
a. Hardware, software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan disalahgunakan.
b. Kerahasiaan data atau informasi penting dari orang atau organisasi rusak atau hilang dicuri atau dimodifikasi.
c. Aktivitas operasional rutin akan terganggu.
d. Kejahatan dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat.
5. Nilai hardware, software dan personil sistem informasi.
Dalam sebuah sistem informasi, hardware, software, data dan personil adalah merupakan sumberdaya organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan sumberdaya manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
6. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam persaingan.
Pada saat komputer pertama kali digunakan, banyak auditor mempunyai pemikiran bahwa proses audit akan harus banyak mengalami perubahan untuk menyesuaikan dengan penggunaan teknologi komputer. Ada dua utama yang harus diperhatikan dalam audit atas pemrosesan data elektronik, yaitu pengumpulan bukti dan evaluasi bukti, (kumpulan artikel ekonomi).
Proses audit sistem informasi dilakukan berdasarkan prosedur melalui tahap-tahap sebagai berikut :
a. Perencanaan Audit (Planning The Audit)
Perencanaan merupakan fase pertama dari kegiatan audit, bagi auditor eksternal hal ini artinya adalah melakukan investigasi terhadap klien untuk mengetahui apakah pekerjaan mengaudit dapat diterima, menempatkan staff audit, menghasilkan perjanjian audit, menghasilkan informasi latar belakang klien, mengerti tentang masalah hukum klien dan melakukan analisa tentang prosedur yang ada untuk mengerti tentang bisnis klien dan mengidentifikasikanresiko audit.
b. Pengujian Pengendalian (Test Of Controls)
Auditor melakukan kontrol test ketika mereka menilai bahwa kontrol resiko berada pada level kurang dari maksimum, mereka mengandalkan kontrol sebagai dasar untuk mengurangi biaya testing. Sampai pada fase ini auditor tidak mengetahui apakah identifikasi kontrol telah berjalan dengan efektif, oleh karena itu diperlukan evaluasi yang spesifik.
c. Pengujian Transaksi (Test Of Transaction)
Auditor menggunakan test terhadap transaksi untuk mengevaluasi apakah kesalahan atau proses yang tidak biasa terjadi pada transaksi yang mengakibatkan kesalahan pencatatan material pada laporan keuangan. Tes transaksi ini termasuk menelusuri jurnal dari sumber dokumen, memeriksa file dan mengecek keakuratan.
d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)
Untuk mengetahui pendekatan yang digunakan pada fase ini, yang harus diperhatikan adalah pengamatan harta dan kesatuan data. Beberapa jenis subtantif tes yang digunakan adalah konfirmasi piutang, perhitungan fisik persediaan dan perhitungan ulang aktiva tetap.
e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)
Pada fase akhir audit, eksternal audit akan menjalankan beberapa test tambahan terhadap bukti yang ada agar dapat dijadikan laporan.
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya sistem informasi yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
Contoh audit sistem informasi
contohnya adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya. Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
Aplikasi Audit Trail
Audit Trail
merupakan salah satu fitur dalam suatu program yang mencatat semua
kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci.
Audit Trail secara default akan mencatat waktu , user, data yang diakses
dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah,
merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan
waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat
fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat,
diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara
kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program
yang bersangkutan diharapkan bisa dicatat dengan baik.
Cara Kerja Audit Trail
Audit Trail yang disimpan dalam suatu tabel1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
Fasilitas Audit Trail
Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.
Hasil Audit Trail
Record Audit Trail disimpan dalam bentuk, yaitu :
1. Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja
2. Text File – Ukuran besar dan bisa dibaca langsung
3. Tabel.
Contoh Informasi audit trail
Contoh audit trail yaitu log dan listing, hal ini diungkapkan olehAllison (2003), yakni: “Log dan listing mencatat semua usaha untuk menggunakan sistem yang biasanya mencatat antara lain: tanggal dan waktu, kode yang digunakan, tipe akses, aplikasi dan data yang digunakan”.
Kesimpulan:
Audit Trail merupakan urutan kronologis catatan audit, yang masing-masing berisikan bukti langsung yang berkaitan dengan yang dihasilkan dari pelaksanaan suatu proses bisnis atau fungsi sistem. Catatan audit biasanya hasil kerja dari kegiatan seperti transaksi atau komunikasi oleh orang-orang individu, sistem, rekening atau badan lainnya. Dengan adanya Audit Trail diharapkan semua kronologis/kegiatan program dapat terekam dengan baik. IT Audit Trail bisa dikatakan ke akuratan dalam mencatat semua transaksi yang diisi, diubah, atau dihapus oleh seseorang, seseorang di sini merupakan seorang IT yang tentunya ahli dibidang IT Audit. Fasilitas ini dinamakan Audit Trail. Fasilitas ini dapat diaktifkan atau di non-aktifkan melalui menu preferences.Jadi, apa pun yang dilakukan oleh user di Accurate dapat dipantau dari laporan Audit Trail. Laporan ini dapat berupa summary (aktivitas apa saja yang dilakukan), atau detail (semua perubahan jurnal akan ditampilkan).
Fault-Tolerant
Fault tolerance system adalah suatu sistem yang dapat melanjutkan
tugasnya dengan benar meskipun terjadi kegagalan perangkat keras (hardware failure)
dan kesalahan perangkat lunak (software error). Fault tolerance perlengkapan yang
memungkinkan sistem untuk mencapai operasi fault-tolerant. Istilah fault-tolerant
komputing menggambarkan proses pelaksanaan perhitungan seperti yang dilakukan
komputer, dalam cara fault-tolerant.
Konsep fault tolerance menjadi semakin penting dalam dekade belakangan
ini karena bertambahnya penggunaan komputer dalam aspek vital kehidupan hampir
semua orang. Komputer tidak lagi terbatas digunakan sebagai kalkulator serbaguna
dimana kesalahan yang dihasilkannya dapat mengakibatkan lebih dari sekedar frustasi
atau kerugian waktu. Bahkan, komputer sekarang digabungkan dalam bidang
komersil, sistem kontrol penerbangan pesawat militer, pengontrol industri, aplikasi
antariksa, dan sistem perbankan. Dalam setiap aplikasi kesalahan kerja komputer
dapat merusak catatan keuangan, keselamatan lingkngan, keamanan nasional, bahkan
nyawa manusia. Singkatnya, fault tolerance menjadi lebih penting karena fungsi
komputer dan sistem digital lainnya menjadi lebih kritis.
untuk mencapai tujuan perancangannya. Sebagai rancangan maka harus sesuai
dengan fungsi dan tujuan kerjanya, hal ini memerlukan pemenuhan kebutuhan lain.
Ada tiga istilah pokok dalam rancangan fault tolerance yaitu, fault, error,
dan failure. Ketiganya mempunyai hubungan sebab dan akibat. Tegasnya, fault
adalah penyebab error, dan error adalah penyebab failure.
Contoh Fault Tolerant
sebagai contoh saya memiliki 1 buah cluster yang terdiri dari 3 buah server (A, B dan C), server C sebagai fault tolerant, Jika salah satu server mati baik A atau B maka traffic akan dialihkan ke server C.
Rollback
Adalah perintah
yang berfungsi untuk mengendalikan pengeksekusian transaksi yang
membatalkan transaksi yang dilakukan karena adanya kesalahan atau
kegagalan pada salah satu rangkaian perintah.
Contoh Sistem Rollback
contoh: Anda memiliki Rollback Rx terinstal di sistem Anda, mengambil snapshot dijadwalkan. Misalkan virus masuk ke sistem Anda, perangkat lunak antivirus Anda memberitahu Anda dan mengambil tindakan. Hal pertama yang harus dilakukan adalah untuk menghentikan Anda lalu lintas Internet segera karena Anda tidak ingin cacing mengirimkan data pribadi dan rahasia kepada beberapa situs aneh di luar sana. Sekarang, komputer Anda terinfeksi. Anda tidak perlu panik. Anda memiliki cara yang sangat mudah untuk memutar kembali ke titik ketika komputer Anda tidak terinfeksi. Anda dapat reBoot komputer Anda. Andasistem operasi Windows tidak akan boot up, jelas. Sekarang sampai pada bagian yang terbaik. Anda menekan tombol Home dan ketika Anda melihat lampu hijau, pilih snapshot yang Rollback Rx dibuat hanya sebelum infeksi. Rollback Rx hanya akan memakan waktu sekitar 2-3 detik untuk memperbaiki masalah komputer dan memulai proses boot. Sebuah cek virus pada komputer Anda akan menampilkan komputer yang bersih. Rollback Rx tidak kekurangan keajaiban dalam hal waktu dan usaha,kan?
Firewall
Firewall adalah sebuah sistem atau perangkat yang mengizinkan lalu
lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu
lintas jaringan yang tidak aman. Umumnya, sebuah firewall
diimplementasikan dalam sebuah mesin terdedikasi, yang berjalan pada
pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya.
Firewall umumnya juga digunakan untuk mengontrol akses terhadap siapa
saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat
ini, istilahfirewall menjadi istilah generik yang merujuk pada sistem
yang mengatur komunikasi antar dua jaringan yang berbeda.
www.cyberkomputer.com
Mengingat saat
ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu
saja jaringan korporat di dalamnya, maka perlindungan terhadap aset
digital perusahaan tersebut dari serangan para hacker, pelaku spionase,
ataupun pencuri data lainnya, menjadi esensial.” Jadi firewall adalah
suatu mekanisme untuk melindungi keamanan jaringan komputer dengan
menyaring paket data yang keluar dan masuk di jaringan. Paket data yang
“baik” diperbolehkan untuk melewati jaringan dan paket dapa yang
dianggap “jahat” tidak diperbolehkan melewati jaringan
www.cyberkomputer.com .Kunci ruangan tersebut hanya dipegang oleh staf IT dan diperbolehkan menggunakan ruang tersebut atas seizin staf IT. Ini berfungsi selain menjaga kehilangan alat komputer dan jaringan secara fisik oleh pencuri atau perampokan, namun juga berfungsi menjaga kehilangan data yang tersimpan pada alat komputer tersebut. Bisa saja seseorang mencuri dan menghapus data penting perusahaan. Tentunya ini sangat merugikan perusahaan tersebut.
Fungsi Firewall
A. Mengontrol
dan mengawasi paket data yang mengalir di jaringan Firewall harus dapat
mengatur, memfilter dan mengontrol lalu lintas data yang diizin
untuk mengakses jaringan privat yang dilindungi firewall. Firewall harus
dapat melakukan pemeriksaan terhadap paket data yang akan melawati
jaringan privat. Beberapa kriteria yang dilakukan firewall apakah
memperbolehkan paket data lewati atau tidak, antara lain :
1. Alamat IP dari komputer sumber. www.cyberkomputer.com
2. Port TCP/UDP sumber dari sumber.
3. Alamat IP dari komputer tujuan.
4. Port TCP/UDP tujuan data pada komputer tujuan
5. Informasi dari header yang disimpan dalam paket data.
B. Melakukan autentifikasi terhadap akses. www.cyberkomputer.com
C. Aplikasi
proxy Firewall mampu memeriksa lebih dari sekedar header dari paket
data, kemampuan ini menuntut firewall untuk mampu mendeteksi
protokol aplikasi tertentu yang spesifikasi.
D. Mencatat
setiap transaksi kejadian yang terjadi di firewall. Ini Memungkinkan
membantu sebagai pendeteksian dini akan penjebolan jaringan.
Beberapa karakteristik dari firewall
1. Firewall
harus lebih kuat dan kebal terhadap serangan luar. Hal ini berarti bahwa
Sistem Operasi akan relatif lebih aman dan penggunaan sistemnya dapat
dipercaya.
2. Hanya
aktivitas atau kegiatan yang dikenal/terdaftar saja yang dapat melewati
atau melakukan hubungan. Hal ini dilakukan dengan menyetting policy pada
konfigurasi keamanan lokal.
3. Semua
aktivitas atau kegiatan dari dalam ke luar harus melewati firewall. Hal
ini dilakukan dengan membatasi atau memblok semua akses terhadap
jaringan lokal, kecuali jika melewati firewall terlebih dahulu.
Firewall ini
berjalan pada satu host atau lebih, dan firewall ini terdiri dari
beberapa komponen software. Firewall sendiri mempunyai empat tipe, yaitu
Screened Subnet Firewall, Screened Host Firewall, Dual-homed Gateway
Firewall, dan Packet-filtering Firewall. Berikut penjelasannya :
1. Screened
Subnet Firewall ini menyediakan keamanan yang sangat baik dan sangat
tinggi daripada tipe firewall lainnya, karena membuat Demilitarized Zone
(DMZ) diantara jaringan internal dan jaringan eksternal.
2. Screened Host
Firewall ini terdiri dari sebuah bastion host (host yang berupa
application level gateway) dan dua router packet filtering.
3. Dual-homed
Gateway Firewall ini sedikitnya memiliki dua IP address dan dua
interface jaringan dan apabila ada serangan dari luar dan tidak dikenal
maka akan diblok.
4.
Packet-filtering Firewall ini terdiri dari router diantara jaringan
internal dan eksternal yang aman. Tipe ini untuk menolak dan mengijinkan
trafik.
Contoh Firewall
Firewall terdiri dari satu atau lebih elemen software yang berjalan pada satu atau lebih host.
Tipe-tipe firewall adalah sebagai berikut:
Packet-filtering Firewall
•Terdiri dari sebuah router yang diletakkan diantara jaringan eksternal dan jaringan internal yang aman.
•Rule Packet Filtering didefinisikan untuk mengijinkan atau menolak traffic.
Dual-homed Gateway Firewall
•Dual-home host sedikitnya mempunyai dua interface jaringan dan dua IP address.
•IP forwarding dinonaktifkan pada firewall, akibatnya trafik IP pada kedua interface tersebut kacau di firewall karena tidak ada jalan lain bagi IP melewati firewall kecuali melalui proxy atau SOCKS.
•Serangan yang datang dari layanan yang tidak dikenal akan diblok.
Screened Host Firewall
•Terdiri dari sebuah packet-filtering router dan application level gateway
•Host berupa application level gateway yang dikenal sebagai “bastion host”
•Terdiri dari dua router packet filtering dan sebuah bastion host
Screened Subnet Firewall
•Menyediakan tingkat keamanan yang tinggi daripada tipe firewall yang lain
•Membuat DMZ(Demilitarized Zone) diantara jaringan internal dan eksternal,sehingga router luar hanya mengijinkan akses dari luar bastion host ke information server dan router dalam hanya mengijinkan akses dari jaringan internal ke bastion host
•Router dikonfigurasi untuk meneruskan semua untrusted traffic ke bastion host dan pada kasus yang sama juga ke information server.
