IT AUDIT & FORENSIC

IT AUDIT & FORENSIC

            Semakin pesatnya perkembangan dunia IT  maka semakin banyak pula pihak-pihak yang tidak bertanggungjawab menyalahgunakan IT untuk kepentingan pribadi sehingga merugikan banyak pihak.

Secara umum IT Audit adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelaahan dan evaluasi pengendalian-pengendalian internal dalam EDP.

Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.

IT Forensic merupakan bagian dari kepolisian yang menelusuri kejahatan-kejahatan dalam dunia komputer/internet. Komputer forensic/digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemukan pada komputer dan media penyimpanan digital lainnya. Tujuan dari komputer forensik yaitu untuk menjabarkan keadaan kini dari suatu alat digital yang mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer. IT forensic bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum.

Berikut ini merupakan contoh prosedur & lembar kerja IT audit :

Proses IT Audit:

·         Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan:

• Apakah IS melindungi aset institusi: asset protection, availability
• Apakah integritas data dan sistem diproteksi secara cukup (security, onfidentiality )?
• Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain

LANGKAH-LANGKAH PROSEDUR IT AUDIT: 

• Kontrol lingkungan:

1.      Apakah kebijakan keamanan (security policy) memadai dan efektif ?

2.      Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dari external auditor.

3.      Jika sistem dibeli dari vendor, periksa kestabilan financial.

4.      Memeriksa persetujuan lisen (license agreement)

• Kontrol keamanan fisik

1.      Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai.

2.      Periksa apakah backup administrator keamanan sudah memadai (trained,tested).

3.      Periksa apakah rencana kelanjutan bisnis memadai dan efektif.

4.      Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai.

• Kontrol keamanan logical

1.      Periksa apakah password memadai dan perubahannya dilakukan reguler.

2.      Apakah administrator keamanan memprint akses kontrol setiap user.

3.      Memeriksa dan mendokumentasikan parameter keamanan default.

4.      Menguji fungsionalitas system keamanan (password, suspend userID, etc).

5.      Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum.

6.      Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya.

7.      Memeriksa apakah prosedur memeriksa dan menganalisa log memadai.

8.      Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc).

• Menguji Kontrol Operasi

1.      Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb.

2.      Memeriksa apakah ada problem yang signifikan.

3.      Memeriksa apakah control yang menjamin fungsionalitas sistem informasi telah memadai.

Lembar Kerja Audit IT

• Stakeholders:

-          Internal IT Deparment

-           External IT Consultant

-           Board of Commision

-           Management

-          Internal IT Auditor

-          External IT Auditor

• Kualifikasi Auditor:

-          Certified Information Systems Auditor (CISA)

-           Certified Internal Auditor (CIA)

-          Certified Information Systems Security Professional (CISSP)

-          Dll

• Output Internal IT:

-          Solusi teknologi meningkat, menyeluruh & mendalam

-          Fokus kepada global, menuju ke standard2 yang diakui

• Output External IT:

-          Rekrutmen staff, teknologi baru dan kompleksitasnya

-          Outsourcing yang tepat

-          Benchmark / Best-Practices

• Output Internal Audit & Business:

-          Menjamin keseluruhan audit

-           Budget & Alokasi sumber daya

-          Reporting

Metodologi & Framework

-          Framework Besar:

1. IT Audit
2. Analisis Resiko berdasarkan hasil audit
3. Memeriksa “kesehatan” system & security benchmarking terhadap sistem yang lain / standard
4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan sistem Informasi
5. Hasil dari konsep keamanan: panduan keamanan sistem (handbook of system security)

• Metodologi IT Audit:
• CobiT : www.isaca.org
• BS 7799 – Code of Practice (CoP) : www.bsi.org.uk/disc/
• BSI -IT baseline protection manual : www.bsi.bund.de/gshb/english/menue.htm
• ITSEC: www.itsec.gov.uk
• Common Criteria (CC) : csrc.nist.gov/cc/

COBIT

• Dikembangkan oleh ISACA
• Membantu dalam implementasi sistem kontrol di sistem IT
• (mungkin) cocok untuk self-assesement tapi kurang cocok untuk mengembangkan buku petunjuk keamanan system
• Dokumentasi detail kurang
• Tidak begitu user-friendly

BS 7799 – Code of Practice

·         Code of Practice for Inform. Security Management

·         Dikembangkan oleh UK, BSI: British Standard

·         Security baseline controls:

o   10 control categories

o   32 control groups

o   109 security controls

o   10 security key controls

·         Kategori kontrol:

o   System access control

o   Systems development & maintenance

o   Business continuity planning

o   Compliance

o   Information security policy

o   Security organization

o   Assets classification & control

o   Personnel security

o   Physical & environmental security

o   Computer & network management

• Digunakan untuk self-assasement: konsep keamanan dan kesehatan sistem
• Tidak ada metodologi evaluasi dan tidak diterangkan bagaimana assemen thd keamanan sistem
• Sangat user-friendly sangat mudah digunakan (menurut yang sudah menggunakan)

BSI (Bundesamt für Sicherheit in der Informationstechnik)

·         IT Baseline Protection Manual (IT- Grundschutzhandbuch )

·         Dikembangkan oleh GISA: German Information Security Agency

·         Digunakan: evaluasi konsep keamanan & manual

·         Metodologi evaluasi tidak dijelaskan

·         Mudah digunakan dan sangat detail sekali

·         Tidak cocok untuk analisis resiko

·         Representasi tdk dalam grafik yg mudah dibaca

ITSEC, Common Criteria

• ITSEC: IT Security Evaluation Criteria
• Developed by UK, Germany, France, Netherl. and based primarily on USA TCSEC (Orange Book)
• Based on systematic, documented approach for security evaluations of systems & products

Common Criteria (CC)

• Developed by USA, EC: based on ITSEC
• ISO International Standard
• Evaluation steps:
• Definition of functionality
• Assurance: confidence in functionality

Komparasi Metodologi

• Standardisation
• Ease of use
• Independence
• Update frequency
• CobiT
• Certifyability
• BS 7799
• BSI
• ITSEC
• Applicability in practice
• Efficiency
• Presentation of results
• Adaptability

Tools dalam audit IT dan IT forensic

Ø  Hardware:

-           Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives

-          Memori yang besar (1-2GB RAM)

-          Hub, Switch, keperluan LAN

-          Laptop forensic workstations

Ø  Software :

-          Erase/Unerase tools: Diskscrub/Norton utilities)

-          Hash utility (MD5, SHA1)

-           Text search utilities (dtsearch http://www.dtsearch.com/)

-           Drive imaging utilities (Ghost, Snapback, Safeback,…)

Ø  Unix/Linux: TCT The Coroners Toolkit/ForensiX

Ø  Windows: Forensic Toolkit – Disk editors (Winhex,…)

-          Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)

-          Write-blocking tools (FastBloc http://www.guidancesoftware.com ) untuk memproteksi buktibukti