Perbedaan Audit Around The Computer dan Audit Through The Computer

Sumber:

http://maxdy1412.wordpress.com/2010/02/27/pengertian-etika-profesi-dan-ciri-khas-profesi/#more-

http://wikerestu.blogspot.co.id/2013/03/2-jelaskan-pengertian-profesionalisme.html

http://wwwmikaelpaul.blogspot.co.id/2012/03/perbedaan-audit-around-computer-dan.html

Perbedaan Audit Around The Computer dan Audit Through The Computer

Perbedaan Audit Around The Computer dan Audit Through The Computer adalah jika audit around computer melakukan suatu penyelenggaraan sistem informasi tanpa menggunakan kemampuan dari peralatan itu sendiri, teknik ini tidak dapat diujikan langkah-langkah proses secara langsung dan hanya berfokus pada input dan output dari system computer. Sedangkan through the computer melakukan suatu penyelenggaraan sistem informasi dengan menggunakan fasilitas komputer yang sama dan berfokus pada operasi pemrosesan dalam system computer yang memiliki asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat di deteksi.

Contoh prosedur dan lembar kerja Auditing around the computer dan Auditing through the computer

Prosedur Audit

Didalam audit  terdapat beberapa hal yang harus dikontrol diantaranya:

PROSEDUR IT AUDIT:

●Kontrol lingkungan:

1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)

●Kontrol keamanan fisik

1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

●Kontrol keamanan logikal

1. Periksa apakah password memadai dan perubahannya dilakukan reguler
2. Apakah administrator keamanan memprint akses kontrol setiap user

Contoh-contoh:

·         Internal IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang diakui.

·         External IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices

Lembar Kerja Audit

Lembar Kerja Pemeriksaan Through The Computer

• Apakah kebijaksanaan pengamanan penggunaan aplikasi  telah memperhatikan prinsip-prinsip umum kontrol aplikasi yang meliputi :

1. Pemisahaan tugas …antara … pengguna, operasi, dan pengembangan                            Y/T
2. Penggunaan … hanya …. yang berwenang           Y/T
3. Menjamin …. data … telah divalidasi                      Y/T
4. Menjamin … data yang ditransfer   benar dan lengkap         Y/T
5. Tersedianya jejak audit yang memadai serta penelaahan oleh pihak yang berwenang                Y/T
6. Tersedianya prosedur restart dan recovery          Y/T

Target Pemeriksaan

Contoh :

1. Input Control ?
2. Processing Control ?
3. Error Correction ?
4. Output Control ?
5. End Documentation ?
6. Authorization ?
7. Security ?
8. Separation of Duties ?
9. File Maintenance ?

Jelaskan jenis-jenis ancaman (thread) melalui IT dan kasus-kasus Cybercrime

Sumber:

http://diemust23.blogspot.com/2012/03/ciri-ciri-profesional-it-jenis-jenis.html

http://salmunan.blogspot.com/2012/03/ciri-ciri-profesionalisme-dan-ancaman.html

http://wikerestu.blogspot.co.id/2013/03/3-jelaskan-jenis-jenis-ancaman-thread.html

Jelaskan jenis-jenis ancaman (thread) melalui IT dan kasus-kasus Cybercrime

Banyaknya ancaman dalam dunia IT membuat para professional melakukan berbagai cara untuk melindungi data-data yang mereka miliki. Hacker dan cracker merupakan contoh dari pelaku cyber crime, selain itu juga ada ancaman-ancaman lainnya seperti worm, spam, dan lain-lain. Beberapa contoh jenis kejahatan atau ancaman dalam beberapa bentuk modus, antara lain :

I.            Data Forgery

Ini merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless melalui internet. Kejahatan ini biasanya ditujukan untuk dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi SALAH KETIK yang pada akhirnya menguntungkan pelaku karena dengan memasukkan data-data palsu.

II.         Infringements of Privacy

Jenis kejahatan ini biasanya ditujukan pada keterangan pribadi seseorang yang tersimpan dalam formulir data pribadi yang tersimpan secara computerized, yang bila diketahui oleh orang lain maka akan menimbulkan korban secara materi ataupun non materi, seperti kartu kredit, pin ATM, dan lainnya.

III.      Cyber Espionage

Ini merupakan jenis kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan computer pihak sasaran. Biasanya kejahatan ini dilakukan karena factor persaingan bisnis.

IV.         Cyber Sabotage and Extortion

Kejahatan ini dilakukan dengan membuat membuat gangguan, perusakan atau penghancuran terhadap suatu data, program computer atau system jaringan computer yang terhubung dengan internet. Kejahatan ini biasanya dilakukan dengan menyusupkan suatu logic bomb, virus pada computer tertentu sehingga data ataupun program computer tidak dapat digunakan.

CyberCrime

Perkembangan Internet dan umumnya dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia cyber atau cybercrime.

Contoh Kasus CyberCrime

·) Pencurian dan penggunaan account Internet milik orang lain
Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang dicuri dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik, pencurian account cukup menangkap user id dan password saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya benda yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.

· ) Denial of Service (DoS) dan Distributed DoS (DDos) attack
DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian finansial. Bagaimana status dari DoS attack ini? Bayangkan bila seseorang dapat membuat ATM bank menjadi tidak berfungsi. Akibatnya nasabah bank tidak dapat melakukan transaksi dan bank (serta nasabah) dapat mengalami kerugian finansial. DoS attack dapat ditujukan kepada server (komputer) dan juga dapat ditargetkan kepada jaringan (menghabiskan bandwidth). Tools untuk melakukan hal ini banyak tersebar di Internet. DDoS attack meningkatkan serangan ini dengan melakukannya dari berberapa (puluhan, ratusan, dan bahkan ribuan) komputer secara serentak. Efek yang dihasilkan lebih dahsyat dari DoS attack saja.

·) Membajak situs web

Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface. Pembajakan dapat dilakukan dengan mengeksploitasi lubang keamanan. Sekitar 4 bulan yang lalu, statistik di Indonesia menunjukkan satu situs web dibajak setiap harinya.