Maret 2015 ~ girl edelwaise

Nama : Sartika

NPM : 16111625

Kelas : 4KA39

1.) Jelaskan pengertian dari etika, ciri khas profesi, tata laku, dan etika berprofesi di bidang IT?

Jawaban :

Pengertian Etika

Menurut para ahli maka etika tidak lain adalah aturan prilaku, adat kebiasaan manusia dalam pergaulan antara sesamanya dan menegaskan mana yang benar dan mana yang buruk.

Perkataan etika atau lazim juga disebut etik, berasal dari kata Yunani ETHOS yang berarti norma-norma, nilai-nilai, kaidah-kaidah dan ukuran-ukuran bagi tingkah laku manusia yang baik, seperti yang dirumuskan oleh beberapa ahli berikut ini :

- Drs. O.P. SIMORANGKIR : etika atau etik sebagai pandangan manusia dalam berprilaku menurut ukuran dan nilai yang baik.

- Drs. Sidi Gajalba dalam sistematika filsafat : etika adalah teori tentang tingkah laku perbuatan manusia dipandang dari segi baik dan buruk, sejauh yang dapat ditentukan oleh akal.

- Drs. H. Burhanudin Salam : etika adalah cabang filsafat yang berbicara mengenai nilai dan norma moral yang menentukan prilaku manusia dalam hidupnya.

· CIRI KHAS PROFESI

Menurut Artikel dalam International Encyclopedia of education, ada 10 ciri khas suatu profesi, yaitu:

1. Suatu bidang pekerjaan yang terorganisir dari jenis intelektual yang terus berkembang dan diperluas.

2. Suatu teknik intelektual.

3. Penerapan praktis dari teknik intelektual pada urusan praktis.

4. Suatu periode panjang untuk pelatihan dan sertifikasi.

5. Beberapa standar dan pernyataan tentang etika yang dapat diselenggarakan.

6. Kemampuan untuk kepemimpinan pada profesi sendiri.

7. Asosiasi dari anggota profesi yang menjadi suatu kelompok yang erat dengan kualitas komunikasi yang tinggi antar anggotanya.

8. Pengakuan sebagai profesi.

9. Perhatian yang profesional terhadap penggunaan yang bertanggung jawab dari pekerjaan profesi.

10. Hubungan yang erat dengan profesi lain.

Tata laku profesi

Praktek berprofesi berarti melaksanakan janji komitmen bagi profesional, untuk berkarya sebaik-baiknya melalui hubungan antara dia dan masyarakat yang membutuhkan keahliannya dan mempercayainya.

Kaidah tata laku profesi menjamin terhindarnya tindakan kesewenang-wenangan yang didasari dari peraturan/perundangan tentang profesi. Hal ini mengatur seluk- beluk interaksi dalam praktek berprofesi, untuk tujuan sebesar-besarnya memperoleh hasil karya yang terbaik dan jaminan perlindungan kepada masyarakat. Interaksi dalam hubungan kerja ini merupakan hal yang terpenting dalam praktek berprofesi.

Etika berprofesi di bidang IT

Etika berprofesi di bidang teknologi informasi dimana pemrograman komputer membutuhkan sebuah kode etik, dan kebanyakan dari kode-kode etik ini disadur berdasarkan kode etik yang kini digunakan oleh perkumpulan programmer internasional. Tujuan adanya kode etik profesi adalah prinsip-prinsip umum yang dirumuskan dalam suatu profesi akan berbeda satu dengan yang lainnya. Hal ini disebabkan perbedaan adat, kebiasaan, kebudayaan, dan peranan tenaga ahli profesi yang didefinisikan dalam suatu negara tidak sama. Kode etik seorang programmer adalah sebagai berikut :

· Seorang programmer tidak boleh membuat atau mendistribusikan Malware.

· Seorang programmer tidak boleh menulis kode yang sulit diikuti dengan sengaja.

· Seorang programmer tidak boleh menulis dokumentasi yang dengan sengaja

· Seorang programmer tidak boleh menggunakan ulang kode dengan hak cipta

· Tidak boleh mencari keuntungan tambahan dari proyek yang didanai oleh pihak kedua

· Tidak boleh mencuri software khususnya development tools.

· Tidak boleh menerima dana tambahan dari berbagai pihak eksternal dalam suatu proyek

· Tidak boleh menulis kode yang dengan sengaja menjatuhkan kode programmer lain

· Tidak boleh membeberkan data-data penting karyawan dalam perusahaan.

· Tidak boleh memberitahu masalah keuangan pada pekerja dalam pengembangan suatu

· Tidak pernah mengambil keuntungan dari pekerjaan orang lain.

· Tidak boleh mempermalukan profesinya.

· Tidak boleh secara asal-asalan menyangkal adanya bug dalam aplikasi.

· Tidak boleh mengenalkan bug yang ada di dalam software yang nantinya programmer

· Terus mengikuti pada perkembangan ilmu komputer.

Pada umumnya, programmer harus mematuhi Golden Rule yaitu "Memperlakukan orang lain sebagaimana kamu ingin diperlakukan". Jika semua yang bekerja dibidang IT mematuhi peraturan ini, maka tidak akan ada masalah dalam komunitas.

Studi Kasus :

Malinda Palsukan Tanda Tangan Nasabah

JAKARTA, KOMPAS.com – Terdakwa kasus pembobolan dana Citibank, Malinda Dee binti Siswowiratmo (49), diketahui memindahkan dana beberapa nasabahnya dengan cara memalsukan tanda tangan mereka di formulir transfer.

Hal ini terungkap dalam dakwaan yang dibacakan Jaksa Penuntut Umum di sidang perdananya, di Pengadilan Negeri Jakarta Selatan, Selasa (8/11/2011). “Sebagian tanda tangan yang ada di blangko formulir transfer tersebut adalah tandatangan nasabah,” ujar Jaksa Penuntut Umum, Tatang sutar Malinda antara lain memalsukan tanda tangan Rohli bin Pateni. Pemalsuan tanda tangan dilakukan sebanyak enam kali dalam formulir transfer Citibank bernomor AM 93712 dengan nilai transaksi transfer sebesar 150.000 dollar AS pada 31 Agustus 2010. Pemalsuan juga dilakukan pada formulir bernomor AN 106244 yang dikirim ke PT Eksklusif Jaya Perkasa senilai Rp 99 juta. Dalam transaksi ini, Malinda menulis kolom pesan, “Pembayaran Bapak Rohli untuk interior”.

Pemalsuan lainnya pada formulir bernomor AN 86515 pada 23 Desember 2010 dengan nama penerima PT Abadi Agung Utama.

“Penerima Bank Artha Graha sebesar Rp 50 juta dan kolom pesan ditulis DP untuk pembelian unit 3 lantai 33 combine unit,” baca jaksa. Masih dengan nama dan tanda tangan palsu Rohli, Malinda mengirimkan uang senilai Rp 250 juta dengan formulir AN 86514 ke PT Samudera Asia Nasional pada 27 Desember 2010 dan AN 61489 dengan nilai uang yang sama pada 26 Januari 2011.

Demikian pula dengan pemalsuan pada formulir AN 134280 dalam pengiriman uang kepada seseorang bernama Rocky Deany C Umbas sebanyak Rp 50 juta pada 28 Januari 2011 untuk membayar pemasangan CCTV milik Rohli.

Adapun tanda tangan palsu atas nama korban N Susetyo Sutadji dilakukan lima kali, yakni pada formulir Citibank bernomor No AJ 79016, AM 123339, AM 123330, AM 123340, dan AN 110601. Secara berurutan, Malinda mengirimkan dana sebesar Rp 2 miliar kepada PT Sarwahita Global Management, Rp 361 juta ke PT Yafriro International, Rp 700 juta ke seseorang bernama Leonard Tambunan. Dua transaksi lainnya senilai Rp 500 juta dan 150 juta dikirim ke seseorang bernamVigor AW Yoshuara.

“Hal ini sesuai dengan keterangan saksi Rohli bin Pateni dan N Susetyo Sutadji serta saksi Surjati T Budiman serta sesuai dengan Berita Acara Pemeriksaan laboratoris Kriminalistik Bareskrim Polri,” jelas Jaksa. Pengiriman dana dan pemalsuan tanda tangan ini sama sekali tak disadari oleh kedua nasabah tersebut.

2.) Jelaskan pengertian dari profesionalisme, ciri-ciri profesionalisme, dan kode etiknya itu apa saja !

Jawaban :

· PROFESIONALISME

Profesionalisme adalah suatu kemampuan yang dianggap berbeda dalam menjalankan suatu pekerjaan . Profesionalisme dapat diartikan juga dengan suatu keahlian dalam penanganan suatu masalah atau pekerjaan dengan hasil yang maksimal dikarenakan telah menguasai bidang yang dijalankan tersebut.

Ciri-ciri profesionalisme:

1. Punya ketrampilan yang tinggi dalam suatu bidang serta kemahiran dalam menggunakan peralatan tertentu yang diperlukan dalam pelaksanaan tugas yang bersangkutan dengan bidang tadi.

2. Punya ilmu dan pengalaman serta kecerdasan dalam menganalisis suatu masalah dan peka di dalam membaca situasi cepat dan tepat serta cermat dalam mengambil keputusan terbaik atas dasar kepekaan.

3. Punya sikap berorientasi ke depan sehingga punya kemampuan mengantisipasi perkembangan lingkungan yang terbentang di hadapannya.

4. Punya sikap mandiri berdasarkan keyakinan akan kemampuan pribadi serta terbuka menyimak dan menghargai pendapat orang lain, namun cermat dalam memilih yang terbaik bagi diri dan perkembangan pribadinya.

Kode Etik Seorang Profesional Teknologi Informasi (TI)

Dalam lingkup TI, kode etik profesinya memuat kajian ilmiah mengenai prinsip atau norma-norma dalam kaitan dengan hubungan antara professional atau developer TI dengan klien, antara para professional sendiri, antara organisasi profesi serta organisasi profesi dengan pemerintah. Salah satu bentuk hubungan seorang professional dengan klien (pengguna jasa) misalnya pembuatan sebuah program aplikasi.
Seorang profesional tidak dapat membuat program semaunya, ada beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut nantinya digunakan oleh kliennya atau user dapat menjamin keamanan (security) sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan system kerjanya (misalnya: hacker, cracker, dll).

3.) Jelaskan jenis-jenis threads (ancaman) melalui IT, dan kasus-kasus computer crime (cyber crime) !

Jawaban :

Jenis-Jenis Ancaman (Threads) Melalui IT :

1. Illegal Contents
“Pelaku” dari tipe kejahatan ini melekukan kejahatan dengan cara mengganti dan menambah data yang tidak seharusnya ke dalam sistem tersebut. Biasanya berita yang mereka masukan tidak sesuai dengan kenyataan. Mereka kadang juga memasukan berita bohong atau fitnah, hal-hal yang pornografi atau pemuatan suatu informasi yang tidak sesuai dengan keadaan Sistem tersebut.

2. Data Forgery
“Pelaku” kejahatan ini biasanya melakukan kejahatan dengan memalsukan data-data dokumen penting yang terdapat dalam system yang mereka susupi. Data-data penting yang mereka palsukan dibuat sebagai scriptless melalui jaringan Internet.

3. Cyber Espionage
“Pelaku” kejahatan ini memanfaatkan Jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain atau saingannya. “Pelaku” masuk ke dalam Sistem “Korban”, kemudian melihat atau meng-copy data yang terhadap di dalam Sistem sang “korban” .

4. Cyber Sabotage and Extortion
“Pelaku” dalam kejahatan ini melakukan kejahatannya dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data yang terdapat dalam sistem yang disusupin oleh “pelaku” melalui program komputer atau jaringan komputer yang terhubung oleh internet. “Pelaku” biasanya menyusupkan logic bomb, virus komputer atau program komputer yang jika dibuka akan mentrigger virus atau file perusak tersebut. Jika suatu program atau data yang ada di system terkena virus, maka program atau data tersebut tidak akan berjalan sebagaimana mestinya.

5. Offense against Intellectual Property
“Pelaku” kejahatan ini mengincar terhadap hak atas kekayaan intelektual yang dimiliki oleh “korban”. “Pelaku” biasanya meniru atau menyiarkan sesuatu yang sebenarnya sudah lebih dulu dilakukan oleh orang lain.

6. Infringements of Privacy
“Pelaku” dalam kejahatan ini biasanya melakukan kejahatannya dengan cara mengambil data pribadi seseorang yang tersimpan secara computerized, yang apabila dilakukan akan merugikan materiil maupun immateriil. Kejahatan seperti ini biasanya mengincar nomor kartu kredit, nomor PIN ATM, ataupun data kesehatan dari “korban”.

Tipe Computer Crime atau Cyber Crime

1. Deface
Istilah ini biasa disebut Membajak Situs Web bagi orang awam. Cyber crime biasa melakukan pergantian halaman web yang dimasuki. Pembajakan ini dilakukan dengan menembus lubang keamanan yang terdapat di dalam web tersebut.

2. Pencurian Kartu Kredit
Cyber crime adalah kejahatan yang paling merugikan “korban”. Karena “pelaku” kejahatan dari cyber crime ini biasanya mencuri data kartu kredit “korban” dan memakai isi dari kartu kredit “korban” untuk kepentingan pribadi “korban”.

3. Virus
Kejahatan ini dilakukan dengan cara memasukan virus melalui E-mail. Setelah E-mail yang dikirim dibuka oleh “korban” maka virus itu akan menyebar ke dalam computer dari sang “korban” yang menyebabkan sistem dari computer korban akan rusak.

Kasus Komputer Crime ( Cyber Crime) :

Contoh kasus kejahatan kartu kredit melalui internet dapat dikemukakan dari

Suatu hasil penyidikan pihak Korps Reserse POLRI Bidang Tindak Pidana Tertentu di Jakarta terhadap tersangka berinisial BRS, seorang Warga Negara Indonesia yang masih berstatus sebagai mahasiswa Computer Science di Oklahoma City University USA. Ia disangka melakukan tindak pidana penipuan dengan menggunakan sarana internet, menggunakan nomor dan kartu kredit milik orang lain secara tidak sah untuk mendapatkan alat-alat musik, komputer dan Digital Konverter serta menjualnya, sebagaimana diatur dan diancam pidana dalam Pasal 378 atau 263 atau 480 KUHP. Tersangka mendapatkan nomor-nomor kartu kredit secara acak melalui Search Engine mencari “Program Card Generator” di Internet. Tersangka menggunakan Program Card Generator versi IV, kemudian hasil dari generator tersebut disimpan Tersangka dalam file di “My Document” dan sebagian dari nomor-nomor itu digunakan Tersangka untuk melakukan transaksi di Internet. Selain itu Tersangka mendapatkan

nomor-nomor kartu kredit dari saluran MIRC “JOGYA CARDING “.

Cara Tersangka menggunakan kartu kredit secara tidak sah sehingga

Mendapatkan barang yang diinginkannya adalah sebagai berikut:

Pertama, Tersangka Online menggunakan internet, kemudian Tersangka membuka situs : www.PCVideoOnline.com lalu memilih computer laptop yang akan dibeli dan dimasukan ke Shoping Bag.

Kedua, setelah barang-barang yang diperlukan atau yang akan dibeli dirasa cukup, kemudian Tersangka menekan (klik) tombol Checkout dan selanjutnya mengisi formulir tentang informasi pembayaran dan informasi tujuan pengiriman. Dalam informasi pembayaran Tersangka mengetikkan nama, alamat tempat tinggal, dan alamat email. Dalam informasi tujuan tersangka mengetikkan data yang s ama.

Ketiga, Tersangka memilih metode pengiriman barang dengan menggunakan

Perusahaan jasa pengriman UPS (United Parcel Service).

Keempat, Tersangka melakukan pembayaran dengan cara memasukkan atau

mengetikkan nomor kartu kredit, mengetikan data Expire Date (masa berlakunya), kemudian menekan tombol (klik) Submit.

Terakhir, Tersangka mendapatkan emai l/ invoice konfirmasi dari pedagang tersebut ke email Tersangka bahwa kartu kredit yang digunakan valid dan dapat diterima, email tersebut disimpan Tersangka di salah satu file di komputer Tersangka.

4.) Jelaskan yang tertera di bawah ini :

A.) Perbedaan audit trail, real time audit, IT forensik

IT Audit Trail

Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu, user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bias berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data. Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bias menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bias dicatat dengan baik.

* Cara kerja Audit Trail

Audit Trail yang disimpan dalam suatu tabel
1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.

* Fasilitas Audit Trail
Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.

* Hasil Audit Trail

Record Audit Trail disimpan dalam bentuk, yaitu :

1. Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja

2. Text File – Ukuran besar dan bias dibaca langsung

3. Tabel.

Real Time Audit

Real Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan, di mana pun mereka berada. Ini mengkombinasikan prosedur sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan “siklus proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.

RTA menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat “terlihat di atas bahu” dari manajer kegiatan didanai sehingga untuk memantau kemajuan. Sejauh kegiatan manajer prihatin RTA meningkatkan kinerja karena system ini tidak mengganggu dan donor atau investor dapat memperoleh informasi yang mereka butuhkan tanpa menuntut waktu manajer. Pada bagian dari pemodal RTA adalah metode biaya yang sangat nyaman dan rendah untuk memantau kemajuan dan menerima laporan rinci regular tanpa menimbulkan beban administrasi yang berlebihan baik untuk staf mereka sendiri atau manajemen atau bagian dari aktivitas manajer.

Penghematan biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan dan meningkat seiring kemajuan teknologi dan teknik dan kualitas pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer.

IT Forensik

IT Forensik merupakan Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).

Tujuan IT Forensik adalah untuk mendapatkan fakta-fakta objektif dari sistem informasi, karena semakin berkembangnya teknologi komputer dapat digunakan sebagai alat bagi para pelaku kejahatan komputer.

Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum, selain itu juga memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) dan alat bantu (tools) baik hardware maupun software.

Untuk Menganalisis Barang Bukti dalam Bentuk Elektronik atau Data seperti :
• NB/Komputer/ Hardisk/ MMC/CD/Camera Digital/Flash Disk dan SIM Card/HP
• Menyajikan atau menganalisis Chart Data Komunikasi Target
• Menyajikan atau Analisis Data isi SMS Target dari HP
• Menentukan Lokasi / Posisi Target atau Maping
• Menyajikan Data yang ada atau dihapus atau Hilang dari Barang Bukti Tersebut

Data atau barang bukti tersebut di atas diolah dan dianalisis menggunakan software dan alat khusus untuk dimulainya IT Forensik, Hasil dari IT Forensik adalah sebuah Chart data Analisis komunikasi data Target.
Berikut prosedur forensik yang umum digunakan antara lain :
1. Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media terpisah
2. Membuat finerptint dari data secara matematis.
3. Membuat fingerprint dari copies secara otomatis.
4. Membuat suatu hashes masterlist
5. Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.

Sedangkan menurut metode Search dan Seizure adalah :
1. Identifikasi dan penelitian permasalahan.
2. Membuat hipotesa.
3. Uji hipotesa secara konsep dan empiris.
4. Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan.
5. Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima.

B.) Perbedaan audit “around the computer” dengan “ through the computer”

Audit “around the computer”

Audit around the computer adalah pendekatan audit dimana auditor menguji keandalan sebuah informasi yang dihasilkan oleh komputer dengan terlebih dahulu mengkalkulasikan hasil dari sebuah transaksi yang dimasukkan dalam sistem. Kemudian, kalkulasi tersebut dibandingkan dengan output yang dihasilkan oleh sistem. Apabila ternyata valid dan akurat, diasumsikan bahwa pengendalian sistem telah efektif dan sistem telah beroperasi dengan baik.

Jenis audit ini dapat digunakan ketika proses yang terotomasi dalam sistem cukup sederhana. Kelemahan dari audit ini adalah bahwa audit around the computer tidak menguji apakah logika program dalam sebuah sistem benar. Selain itu, jenis pendekatan audit ini tidak menguji bagaimana pengendalian yang terotomasi menangani input yang mengandung error. Dampaknya, dalam lingkungan IT yang komplek, pendekatan ini akan tidak mampu untuk mendeteksi banyak error.

Audit “through the computer”

Audit through the computer adalah audit yang dilakukan untuk menguji sebuah sistem informasi dalam hal proses yang terotomasi, logika pemrograman, edit routines, dan pengendalian program. Pendekatan audit ini menganggap bahwa apabila program pemrosesan dalam sebuah sistem informasi telah dibangun dengan baik dan telah ada edit routines dan pengecekan pemrograman yang cukup maka adanya kesalahan tidak akan terjadi tanpa terdeteksi. Jika program berjalan seperti yang direncanakan, maka semestinya output yang dihasilkan juga dapat diandalkan.

C.) Berikan contoh prosedur dan lembar kerja IT audit + studi kasus

Prosedur IT audit

a) Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan tentang kebijakan dan prosedural yang terikini dari external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)

b) Kontrol keamanan fisik
1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2. Periksa apakah backup administrator keamanan sudah memadai (trained, tested)
3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa apakah asuransi perangkat keras, OS, aplikasi, dan data memadai

c) Kontrol keamanan logikal
1. Periksa apakah password memadai dan perubahannya dilakukan reguler
2.Apakah administrator keamanan memprint akses kontrol setiap user

Lembar kerja IT audit

a) Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor

b) Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll

c) Output Internal IT:
– Solusi teknologi meningkat, menyeluruh & mendalam
– Fokus kepada global, menuju ke standard2 yang diakui

d) Output External IT:
– Rekrutmen staff, teknologi baru dan kompleksitasnya
– Outsourcing yang tepat
– Benchmark / Best-Practices

e) Output Internal Audit & Business:
– Menjamin keseluruhan audit
– Budget & Alokasi sumber daya
– Reporting

Contoh prosedur dan lembar kerja IT audit

* Pengungkapan Bukti Digital
* Mengidentifikasi Bukti Digital
* Penyimpanan Bukti Digital
* Analisa Bukti Digital
* Presentasi Bukti Digital

Studi kasus

Kasus Audit Kas/Teller

Laporan Fiktif Kas di Bank BRI Unit TapungRaya

Kepala Bank Rakyat Indonesia (BRI) Unit Tapung Raya, Masril (40) ditahan polisi. Ia terbukti melakukan transfer uang Rp1,6 miliar dan merekayasa dokumen laporan keuangan. Perbuatan tersangka diketahui oleh tim penilik/pemeriksa dan pengawas dari BRI Cabang Bangkinang pada hari Rabu, 23 Februari 2011 Tommy saat melakukan pemeriksaan di BRI Unit Tapung. Tim ini menemukan kejanggalan dari hasil pemeriksaan antara jumlah saldo neraca dengan kas tidak seimbang. Setelah dilakukan pemeriksaan lebih lanjut dan cermat, diketahu i adanya transaksi gantung yaitu adanya pembukuan setoran kas Rp 1,6 miliar yang berasal BRI Unit Pasir Pengaraian II ke BRI Unit Tapung pada tanggal 14 Februari 2011 yang dilakukan Masril, namun tidak disertai dengan pengiriman fisik uangnya. Kapolres Kampar AKBP MZ Muttaqien yang dikonfirmasi mengatakan, Kepala BRI Tapung Raya ditetapkan sebagai tersangka dan ditahan di sel Mapolres Kampar karenamentransfer uang Rp 1,6 miliar dan merekayasa laporan pembukuan. Kasus ini dilaporkan oleh Sudarman (Kepala BRI Cabang Bangkinang dan Rustian).

Martha pegawai BRI Cabang Bangkinang. “Masril telah melakukan tindak pidana membuat atau menyebabkan adanya pencatatan palsu dalam pembukuan atau laporan maupun dalam dokumen laporan kegiatan usaha, laporan transaksi atau rekening Bank (TP Perbankan). Tersangka dijerat pasal yang disangkakan yakni pasal 49 ayat (1) UU No. 10 tahun 1998 tentang perubahan atas UU No. 7 tahun 1992 tentang Perbankan dangan ancaman hukuman 10 tahun, ” kata Kapolres.

Polres Kampar telah melakukan penyitaan sejumlah barang bukti dokumen BRI serta melakukan koordinasi dengan instansi terkait, memeriksa dan menahan tersangka dan 6 orang saksi telah diperiksa dan meminta keterangan ahli.

D.) Jelaskan berbagai tools yang digunakan untuk IT audit dan forensic + gambar satuannya

Tools dalam Audit IT

1. ACL

ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber. http://www.acl.com/

2. Picalo

Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.http://www.picalo.org/

3. Powertech Compliance Assessment

Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah server AS/400.

http://www.powertech.com/

4. Nipper

Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem- benchmark konfigurasi sebuah router. http://sourceforge.net/projects/nipper/

5. Nessus

Nessus merupakan sebuah vulnerability assessment software. http://www.nessus.org/

6. Metasploit

Metasploit Framework merupakan sebuah penetration testing tool. http://www.metasploit.com/

7. NMAP

NMAP merupakan open source utility untuk melakukan security auditing. http://www.insecure.org/nmap/

8. Wireshark

Wireshark merupakan network utility yang dapat dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer. http://www.wireshark.org/

Tools dalam IT Forensik

1. Antiword

Antiword merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.

2. Autopsy

The Autopsy Forensic Browser merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan file sistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).

3. Binhash

Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.

4. Sigtool

Sigtcol merupakan tool untuk manajemen signature dan database ClamAV. Sigtool dapat digunakan untuk menghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.

5. ChaosReader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC, dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.

6. Chkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. Ia akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.

7. dcfldd
Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.

8. ddrescue
GNU ddrescue merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya ke file output yang sama, ia berusaha mengisi kekosongan.

9. foremost
Foremost merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.

10. Gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK ia mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
11. Galleta
Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
12. Ishw
Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. Ia dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. Pada system t>MI-capable x86 atau sistem EFI.

13. pasco
Banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
14. Scalpel
Scalpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.