1 AUDIT IT. 1.1 Pengertian Audit IT. Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing) digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Audit dengan computer adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain : Traditional Audit. Manajemen Sistem Informasi. Sistem Informasi Akuntansi. Ilmu Komputer. dan Behavioral Science.
1.2 Sejarah Singkat Audit IT. Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit (Electronic Data Processing) telah mengalami perkembangan yang pesat. Perkembangan Audit IT ini didorong oleh kemajuan teknologi dalam sistem keuangan, meningkatnya kebutuhan akan kontrol IT, dan pengaruh dari komputer itu sendiri untuk menyelesaikan tugas-tugas penting. Pemanfaatan teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali data, dan pengendalian. Sistem keuangan pertama yang menggunakan teknologi komputer muncul pertama kali tahun 1954. Selama periode 1954 sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah. Pada tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing. Sekitar periode ini pula para auditor bersama-sama mendirikan Electronic Data Processing Auditors Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke internet. Pada akhirnya perubahan-perubahan tersebut ikut pula menentukan perubahan pada audit IT. 1.3 Tujuan Audit IT. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi. 1.4 Jenis Audit IT. Jenis Jenis Audit IT di antaranya : Sistem dan aplikasi. Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem. Fasilitas pemrosesan informasi. Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk. Pengembangan sistem. Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi. Arsitektur perusahaan dan manajemen TI. Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin - kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi. Client/Server, telekomunikasi, intranet, dan ekstranet. Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.
1.5 Metodologi Audit IT. Tahapan - tahapan dalam audit IT pada umumnya, sebagai berikut : 1. Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien. 2. Mengidentifikasikan resiko dan kendali. Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik. 3. Mengevaluasi kendali dan mengumpulkan bukti-bukti. Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi. 4. Mendokumentasikan. Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit. 5. Menyusun laporan. Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan. 1.6 Alasan Perlunya Audit IT. Ron Webber, Dekan Fakultas Teknologi Informasi, Monash University, dalam salah satu bukunya Information System Controls and Audit (Prentice-Hall, 2000) menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan, antara lain : Kerugian akibat kehilangan data. Kesalahan dalam pengambilan keputusan. Resiko kebocoran data. Penyalahgunaan komputer. Kerugian akibat kesalahan proses perhitungan. Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
1.7 Manfaat Audit IT. Manfaat pada saat Implementasi (Pre-Implementation Review) : 1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria. 2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. 3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat setelah sistem live (Post-Implementation Review) 1. Institusi mendapat masukan atas resiko-resiko yang masih yang masih ada dan saran untuk penanganannya. 2. Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya. 3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang. 4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan. 5. Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan. 6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya. 1.8 Prosedur Audit IT. Mengumpulkan dan mengevaluasi bukti-bukti bagaimana system informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan: Apakah IS melindungi aset institusi: asset protection, availability Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )? Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain.
1.9 Metodologi Audit IT Dalam prakteknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut: 1. Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien. 2. Mengidentifikasikan resiko dan kendali. Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktek-praktek terbaik. 3. Mengevaluasi kendali dan mengumpulkan bukti-bukti. Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi. 4. Mendokumentasikan. Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit. 5. Menyusun laporan. Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Lembar Kerja Audit IT. Stakeholders: Internal IT Department. External IT Consultant. Board of Commision. Management. Internal IT Auditor. External IT Auditor. Kualifikasi Auditor: Certified Information Systems Auditor (CISA). Certified Internal Auditor (CIA). Certified Information Systems Security Professional (CISSP). dll Output Internal IT: Solusi teknologi meningkat, menyeluruh & mendalam. Fokus kepada global, menuju ke standard-standard yang diakui. Output External IT: Rekrutmen staff, teknologi baru dan kompleksitasnya. Outsourcing yang tepat. Benchmark / Best-Practices. Output Internal Audit & Business: Menjamin keseluruhan audit. Budget & Alokasi sumber daya. Reporting. 1.10 Tools 1.10.1 Tools Pada Audit IT. Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi ACL (Audit Command Language), merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber. http://www.acl.com/ Picalo, merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber. http://www.picalo.org/ Powertech Compliance Assessment, merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem- benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah server AS/400. http://www.powertech.com/ Nipper, merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.http://sourceforge.net/projects/nipper/ Nessus, merupakan sebuah vulnerability assessment software. http://www.nessus.org/ Metasploit Framework, merupakan sebuah penetration testing tool. http://www.metasploit.com/ NMAP, merupakan open source utility untuk melakukan security auditing. http://www.insecure.org/nmap/ Wireshark, merupakan network utility yang dapat dipergunakan untuk meng-capture paket data yang ada di dalam jaringan komputer. http://www.wireshark.org/
1.11 Audit Around The Computer dan Audit Through The Computer. Audit Around The Computer yaitu audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer tanpa menggunakan kemampuan dari peralatan itu sendiri. Audit terjadi sebelum dilakukan pemeriksaan secara langsung terhadap data ataupun program yang ada didalam program itu sendiri. Pendekatan ini memfokuskan pada input dan output, sehingga tidak perlu memperhatikan pemrosesan komputer. Audit Through The Computer yaitu audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan menggunakan fasilitas komputer yang sama dengan yang digunakan dalam pemrosesan data. pendekatan audit ini - berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi. Pendekatan ini dapat menggunakan perangkat lunak dalam bentuk specialized audit software (SAS) dan generalized audit software (GAS). Pendekatan Audit ini digunakan bila pendekatan Auditing Around the Computer tidak cocok atau tidak mencukupi. Pendekatan ini dapat diterapkan bersama-sama dengan pendekatan Auditing Around the Computer untuk memberikan kepastian yang lebih besar. 1.12 Kesimpulan. Perbedaan antara audit around computer dan through the computer adalah jika audit around computer melakukan suatu penyelenggaraan sistem informasi tanpa menggunakan kemampuan dari peralatan itu sendiri, teknik ini tidak dapat diujikan langkah-langkah proses secara langsung dan hanya berfokus pada input dan output dari system computer. Sedangkan through the computer melakukan suatu penyelenggaraan sistem informasi dengan menggunakan fasilitas komputer yang sama dan berfokus pada operasi pemrosesan dalam system computer yang memiliki asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat di deteksi.
BAB 2
2 IT FORENSIK. 2.1 DEFINISI IT FORENSIK. 1. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer. 2. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti- bukti hukum yang mungkin. 3. Definisi sederhana, yaitu penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. 2.2 TUJUAN IT FORENSIK. Adalah untuk mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu : 1. Komputer fraud. Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime. Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum.
2.3 TERMINOLOGI IT FORENSIK. A. Bukti digital (digital evidence). adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail. B. Empat elemen kunci forensik dalam teknologi informasi, antara lain : 1. Identifikasi dari bukti digital. Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya untuk mempermudah tahapan selanjutnya. 2. Penyimpanan bukti digital. Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena penyimpanannya yang kurang baik. 3. Analisa bukti digital. Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian penting dalam analisa bukti digital. 4. Presentasi bukti digital. Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi disini berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan. 2.4 Investigasi kasus teknologi informasi.
1. Prosedur forensik yang umum digunakan, antara lain : Membuat copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat copies secara matematis. Dokumentasi yang baik dari segala sesuatu yang dikerjakan. 2. Bukti yang digunakan dalam IT Forensics berupa : Harddisk. Floopy disk atau media lain yang bersifat removeable. Network system. 3. Beberapa metode yang umum digunakan untuk forensik pada komputer ada dua yaitu : Search dan seizure. Dimulai dari perumusan suatu rencana. Pencarian informasi (discovery information). Metode pencarian informasi yang dilakukan oleh investigator merupakAn pencarian bukti tambahan dengan mengandalkan saksi baik secara langsung maupun tidak langsung terlibat dengan kasus ini.
2.5 Tools . 2.5.1 Tools IT Forensik. Hardware : Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR Drives. Memory yang besar (1-2GB RAM). Hub, Switch, keperluan LAN. Legacy Hardware (8088s, Amiga). Laptop forensic workstation. Write blocker B. Software: Encase Helix, http://www.e-fense.com/helix/ Viewers (QVP, http://www.avantstar.com/) Erase/unerase tools (Diskscrub/Norton Utilities) Hash utility (MD5, SHA1) Forensic toolkit Forensic acquisition tools Write-blocking tools dan Spy Anytime PC Spy Tools yang digunakan pada contoh kasus BAB 3
3 KASUS.
3.1 CONTOH STUDI KASUS : 1. Laporan pengaduan dari US Custom (Pabean AS) adanya tindak penyelundupan via internet yang dilakukan oleh beberapa orang Indonesia, dimana oknum - oknum tersebut telah mendapat keuntungan dengan melakukan Webhosting gambar - gambar porno di beberapa perusahaan Webhosting yang ada di Amerika Serikat. Berdasarkan kasus di atas, dapat kita analisa bahwa jenis kejahatan tersebut masuk ke dalam jenis Illegal Contents. Mengapa masuk dalam jenis tersebut, karena Illegal Contents merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Dan motif dari kejahatan tersebut merupakan kejahatan abu-abu, dengan sasaran kejahatannya menyerang hak milik (Againts Property). penyelesaian ; perlunya peningkatkan firewall yang kuat. adanya respon control yang cepat dari pihak yang bertanggung jawab.
2. Video mesum Ariel dan Luna maya, dan gambar gambar porno para artis dan masyarakat umum. Kasus tersebut termasuk ke dalam jenis Infringements of Privacy, karena kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Motifnya termasuk kejahatan abu- abu dengan sasaran kejahatannya menyerang hak milik orang lain (Againts Property). Modus dari kejahatan ini adalah pencemaran nama baik. penyelesaian ; menelusuri pengunggah video pertama kali oleh siapa dan dimana. mengeblok situs-situs yang berkaitan dengan pornografi. meningkatkan aturan-aturan yang berarti tentang pornografi. adanya kesadaran masyarakat itu sendiri. sebisa mungkin tidak terpengaruh pada hal demikian.
3. Dunia perbankan melalui Internet (e-banking) Indonesia, dikejutkan oleh ulah seseorang bernama Steven Haryanto, seorang hacker dan jurnalis pada majalah Master Web. Lelaki asal Bandung ini dengan sengaja membuat situs asli tapi palsu layanan Internet banking Bank Central Asia, (BCA). Steven membeli domain-domain dengan nama mirip www.klikbca.com (situs asli Internet banking BCA), yaitu domain www.klik-bca.com, www.kilkbca.com, www.clikbca.com, www.klickca.com. Dan www.klikbac.com. Isi situs-situs plesetan inipun nyaris sama, kecuali tidak adanya security untuk bertransaksi dan adanya formulir akses (login form) palsu. Jika nasabah BCA salah mengetik situs BCA asli maka nasabah tersebut masuk perangkap situs plesetan yang dibuat oleh Steven sehingga identitas pengguna (user id) dan nomor identitas personal (PIN) dapat di ketahuinya. Kasus di atas merupakan kejahatan dalam kategori Data Forgery, karena merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi salah ketik yang pada akhirnya akan menguntungkan pelaku. Motifnya tindak kejahatan yang murni kriminal. Modus dari kejahatan ini adalah penipuan. penyelesaian ; peningkatan sistem keamanan jaringan komputer. peningkatan kerja sama antar negara untuk menanggulangi cybercrime. perlu adanya dukungan dari pemerintah untuk menangani kasus cybercrime. 4. Tentunya masih hangat dalam pikiran kita saat seorang hacker bernama Dani Hermansyah, pada tanggal 17 April 2004 melakukan deface dengan mengubah nama - nama partai yang ada dengan nama- nama buah dalam website www.kpu.go.id yang mengakibatkan berkurangnya kepercayaan masyarakat terhadap Pemilu yang sedang berlangsung pada saat itu. Dikhawatirkan, selain nama nama partai yang diubah bukan tidak mungkin angka-angka jumlah pemilih yang masuk di sana menjadi tidak aman dan dapat diubah, padahal dana yang dikeluarkan untuk sistem teknologi informasi yang digunakan oleh KPU sangat besar sekali. Untung sekali bahwa apa yang dilakukan oleh Dani tersebut tidak dilakukan dengan motif politik, melainkan hanya sekedar menguji suatu sistem keamanan yang biasa dilakukan oleh kalangan underground (istilah bagi dunia Hacker). Kasus di atas merupakan kejahatan yang dilakukan oleh hacker, karena tindakan yang senang memprogram dan percaya bahwa informasi adalah sesuatu hal yang sangat berharga dan ada yang bersifat dapat dipublikasikan dan rahasia, dan yang dilakukan hanyalah memuaskan rasa keingintahuannya yang berlebih mengenai komputer dan juga memiliki tujuan. Motif kejahatannya merupakan kejahatan abu-abu, dengan menyerang hak milik orang lain (Againts Property) atau dapat juga dikatakan menyerang pemerintah (Againts Government). Jenis kejahatan ini termasuk ke dalam jenis data forgery, hacking-cracking, sabotage and extortion, atau cyber terrorism. Modus kejahatan ini adalah pengacauan perhitungan suara yang dilakukan oleh KPU. penyelesaian kasus ini : penggunaan firewall yang terpenting. melakukan back up secara rutin. Adanya alat pemantau integritas sistem. Penggunaan SSL (secure socket layer).
BAB 4
4 KESIMPULAN Dunia forensik IT di Indonesia merupakan hal yang baru dalam penanganan kasus hukum. Adanya UU ITE dirasa belum cukup dalam penegakan sistem hukum bagi masyarakat. Kegiatan forensik IT ini bertujuan untuk mengamankan bukti digital yang tersimpan. Dengan adanya bukti-bukti digital, suatu peristiwa dapat terungkap kebenarannya. Elemen yang menjadi kunci dalam proses forensi IT haruslah diperhatikan dengan teliti oleh para penyidik di Kepolisisan. Proses ini bertujuan agar suatu bukti digital tidak rusak sehingga dapat menimbulkan kesalahan analisis terhadap suatu kasus hukum yang melibatkan teknoligi informasi dan komunikasi. Dengan menjaga bukti digital tetap aman dan tidak berubah, maka kasus hukum akan mudah diselesaikan.
PENUTUP
Demikian yang dapat kami paparkan mengenai materi yang menjadi pokok bahasan dalam makalah ini, tentunya masih banyak kekurangan dan kelemahannya, kerena terbatasnya pengetahuan dan kurangnya rujukan atau referensi yang ada hubungannya dengan judul makalah ini. Penulis banyak berharap para pembaca yang budiman dusi memberikan kritik dan saran yang membangun kepada penulis demi sempurnanya makalah ini dan dan penulisan makalah di kesempatan kesempatan berikutnya. Semoga makalah ini berguna bagi penulis pada khususnya juga para pembaca yang budiman pada umumnya.