Audit Sistem Informasi

  • Pengertian Audit Sistem Informasi
"Audit sistem informasi merupakan proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif daaan menggunakan sumber daya secara efisien”. Ron Weber (1999,10)
  • Tujuan Audit Sistem Informasi
  1. Conformance (Kesesuaian)
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu diantaranya:
- Confidentiality (Kerahasiaan)
- Integrity (Integritas)
- Availability (Ketersediaan)
- Compliance (Kepatuhan)
                                   
  1. Performance (Kinerja) 
Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu diantaranya:
- Effectiveness(Efektifitas)
- Efficiency (Efisiensi)
- Reliability (Kehandalan)
  • Peralatan Audit Sistem Informasi
Powertech Compliance Assessment
Powertech Compliance Assessment adalah automated audit tool yang digunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah server AS/400.

User access to data disini adalah akses pengguna untuk mengambil atau menggunakan sebuah data. Public authority to libraries disini adalah kekuasaan atau wewenang untuk mengakses libraries yang diberikan kepada public. User security adalah keamanan untuk pengguna / user. System security adalah keamanan untuk sistem. System auditing merupakan proses penilaian untuk menentukan apakah suatu sistem sudah tepat guna ataupun belum. Semuanya termasuk administrator rights (special authority) mengacu kepada sebuah server AS/400. Kegunaan Powertech Compliance Assessment adalah untuk mengaudit dan mem-benchmark hal tersebut. 

ACL
ACL adalah sebuah software yang dirancang secara khusus untuk menganalisa data dan menghasilkan laporan audit baik untuk pengguna biasa (common/ nontechnical users)  maupun pengguna ahli (expert users).

Berikut ini keuntungan menggunakan ACL:
  1. Mudah dalam penggunaannya
  2. Built- in audit dan analisis data secara fungsional
  3. Kemampuan menangani ukuran file yang tidak terbatas
  4. Kemampuan mengekspor hasil audit
  5. Pembuatan laporan berkualitas tinggi
Manfaat menggunakan ACL:
  1. Dapat membantu dalam mengakses data baik langsung (direct) kedalam sistem jaringan ataupun indirect (tidak langsung) melalui media lain seperti softcopy dalam bentuk text file/report.
  2. Menempatkan kesalahan dan potensial “fraud” sebagai pembanding dan menganalisa file-file menurut aturan-aturan yang ada.
  3. Mengidentifikasi kecenderungan/gejala-gejala, dapat juga menunjukan dengan tepat sasaran pengecualian data dan menyoroti potensial area yang menjadi perhatian.
  4. Mengidentifikasi proses perhitungan kembali dan proses verifikasi yang benar.
  5. Mengidentifkasi persoalan sistem pengawasan dan memastikan terpenuhinya permohonan dengan aturan-aturan yang telah ditetapkan.
Nipper 
Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router. Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur.
Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.

Berikut ini beberapa kegunaannya:
  1. Menganalisis data keungan, data karyawan
  2. Mengimport file Excel, CSV dan TSV ke dalam databse
  3. Analisa event jaringan yang interaktif, log server situs, dan record sistem login
  4. Mengimport email kedalam relasional dan berbasis teks database
  5. Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi
Metasploit
Metasploit merupakan sebuah proyek keamanan komputer yang menyediakan informasi tentang kerentanan keamanan dan bantuan dalam pengujian penetrasi dan pengembangan signature IDS. Yang paling terkenal sub-proyeknya adalah open source, Metasploit Framework, alat untuk mengembangkan dan melaksanakan memanfaatkan kode terhadap mesin target jarak jauh. sub-proyek penting lainnya termasuk database Opcode, shellcode arsip dan penelitian terkait.

Langkah-langkah dasar untuk exploit system menggunakan Framework meliputi:
  1. Memilih dan mengkonfigurasi exploit (kode yang memasuki sistem target dengan mengambil keuntungan dari salah satu bug tersebut; sekitar 900 eksploitasi yang berbeda untuk Windows, Unix / Linux dan Mac OS X).
  2. Opsional memeriksa apakah sistem target yang dimaksud rentan terhadap eksploitasi
  3. Memilih dan mengkonfigurasi payload (kode yang akan dieksekusi pada sistem target jika berhasil masuk, misalnya, remote shell atau server VNC).
  4. Memilih teknik pengkodean sehingga sistem intrusi pencegahan (IPS) mengabaikan payload dikodekan.
  5. Mengeksekusi exploit
  6. Pendekatan modular ini memungkinkan kombinasi dari setiap yang exploit dengan payloads apapun -adalah keuntungan utama dari Framework. Hal ini memfasilitasi tugas penyerang, exploit writers dan payload writers.

Referensi:

Komentar

Posting Komentar