Jumat, 01 Februari 2019

Tools dalam melakukan audit

Definisi Audit Teknologi Informasi (IT AUDIT)
Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. – Wikipedia
Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
Audit IT sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.
Tools Lain Untuk Melakukan Audit TI (Teknologi Informasi)
     Audit adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Salah satu penggunaan istilah tersebut adalah untuk menjelaskan proses penelahan dan evaluasi pengendalian-pengendalian internal dalam EDP. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.
 Beberapa software yang dapat dijadikan tools dalam melakukan audit teknologi informasi, adalah :
  1. Nipper 
Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat jaringan infrastruktur.
  1.  Picalo
Picalo adalah sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.
  1. Powertech Compliance Assessment
Powertech Compliance Assessment adalah automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.
  1. Nessus
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.
  1. NMAP
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan.
  1. ACL
ACL (Audit Command Language) adalah sebuah software CAAT (Computer Assisted Audit Techniques) untuk melakukan analisa terhadap data dari berbagai macam sumber. ACL for Windows (sering disebut ACL) yaitu sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.
  1. Wireshark
Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.
  1. Metasploit
Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.
Diposting oleh di Tidak ada komentar:

Cobit

Pengertian COBIT

COBIT
COBIT
COBIT (Control Objectives for Information and Related Technology) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992.

COBIT Framework adalah standar kontrol yang umum terhadap teknologi informasi, dengan memberikan kerangka kerja dan kontrol terhadap teknologi informasi yang dapat diterima dan diterapkan secara internasional.

 COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini yang dihasilkan dan memberikan saran kepada manajemen atas pengendalian internal yang ada.

Kerangka Kerja COBIT

COBIT menyediakan referensi best business practices yang mencakup keseluruhan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif.
Secara keseluruhan konsep framework COBIT dapat dilihat dari 3 sudut pandang, yaitu:
  1. Kriteria informasi
  2. Sumber daya TI
  3. Proses TI.
Ketiga sudut pandang ini dapat terlihat dalam bentuk kubus COBIT dibawah ini.
Kubus COBIT

Sejarah COBIT

COBIT pertama kali diterbitkan pada tahun 1996, kemudian edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 pada tahun 2005. Kemudian COBIT 4.1 dirilis pada tahun 2007 dan saat ini COBIT yang terakhir dirilis adalah COBIT 5.0 yang dirilis pada tahun 2012.
COBIT merupakan kombinasi dari prinsip-prinsip yang telah ditanamkan yang dilengkapi dengan balance scorecard dan dapat digunakan sebagai acuan model (seperti COSO) dan disejajarkan dengan standar industri, seperti ITIL, CMM, BS779, ISO 9000.

Kriteria Informasi berdasarkan COBIT

Untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
  1. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
  2. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
  3. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
  4. Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
  5. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
  6. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
  7. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

Komponen Control Objective

Berdasarkan IT Governance Institute (2012), Framework COBIT disusun dengan karakteristik yang berfokus pada bisnis (bussiness focused). Pada edisi keempatnya ini, COBIT Framework terdiri dari 34 high level control objectives dan kemudian mengelompokan proses tersebut menjadi 4 domain, keempat domain tersebut antara lain: Plannig and Organization, Acquisition and Implementation, Delivery and Support, dan Monitoring and Evaluation:
  1. Planing and Organization (Perencanaan dan Organisasi). Mencakup strategi, taktik dan identifikasi kontribusi terbaik TI demi pencapaian tujuan organisasi. 
  2. Acquire and Implement (Pengadaan dan Implementasi). Untuk merealisasikan strategi TI, perlu dilakukan pengidentifikasian, pengembangan dan perolehan solusi TI, sesuai dengan yang akan diimplementasikan dan diintegrasikan ke dalam proses bisnis. 
  3. Delivery and Support (Pengiriman Layanan dan Dukungan). Domain ini fokus terhadap penyampaian jasa yang sesungguhnya diperlukan, termasuk penyediaan layanan, manajemen keamanan dan kontinuitasnya, jasa dukungan kepada user dan manajemen data dan fasilitas operasi. 

Domain COBIT

Kerangka kerja COBIT terdiri dari pengendalian tingkat tinggi pada sasaran hasil keseluruhan struktur klasifikasinya. Dasar teori untuk klasifikasi adalah 3 tingkatan usaha pengaturan TI yang menyangkut manajemen sumber daya TI. Mulai dari dasar adalah aktivitas dan tugas yang diperluaskan untuk mencapai hasil yang terukur.
Kemudian proses adalah menggambarkan 1 lapisan atas serangkaian tugas atau aktivitas yang dihubungkan dengan perubahan (pengendalian). Ditingkatan yang paling tinggi, proses secara alami dikelompokkan bersama-sama ke dalam domain.
Pengelompokkan ini sering ditetapkan sebagai tanggung jawab dalam struktur organisasi dan sejalan dengan siklus manajemen atau siklus hidup yang digunakan pada proses TI,
Agar supaya informasi yang tersedia memenuhi tujuan dari organisasi, sumber daya TI memerlukan pengaturan untuk proses TI menjadi beberapa group proses. Masing-masing group proses diberi nama Domain. Setiap domain terdiri dari beberapa proses. Secara garis besar, COBIT framework terdiri atas 4 domain utama, yaitu
Domain COBIT

1. Planning dan Organisation

Menggabungkan prosedur dan strategi diidentifikasi dengan bagaimana IT terbaik dapat menambah pencapaian tujuan bisnis asosiasi, membentuk hubungan yang layak dengan dasar inovasi besar.

PO1 Tentukan rencana teknologi informasi strategis
PO2 Tentukan arsitektur informasi
PO3 Tentukan arah teknologi
PO4 Tentukan organisasi TI dan hubungan
PO5 Mengelola investasi di bidang teknologi informasi
PO6 Berkomunikasi tujuan manajemen dan arah
PO7 Mengelola sumber daya manusia
PO8 Memastikan kepatuhan dengan persyaratan eksternal
PO9 Menilai risiko
PO10 Mengelola proyek
PO11 Mengelola kualitas

2. Acquire and Implement

Ranah ini meliputi pengidentifikasian kebutuhan TI, kepemiliian teknologi dan implementasi ke dalam proses bisnis perusahaan saat ini. Ranah ini juga ditujukan untuk pengembang rencana perawatan yang perusahaan harus miliki dengan tujuan memperpanjang sistem TI dan komponen-komponennya.

AI1 Mengidentifikasi solusi otomatis
AI2 Memperoleh dan memelihara perangkat lunak aplikasi
AI3 Memperoleh dan memelihara infrastruktur teknologi
AI4 Mengembangkan dan memelihara prosedur IT
AI5 Memenuhi Sumber Data TI
AI6 Mengelola perubahan
AI7 Instalasi dan mengakreditasi sistem beserta perubahannya

3. Delivery and Support

Pada ranah ini berfokus pada aspek hasil keluaran dari IT. Ranah ini meliputi area seperti pengeksekusian aplikasi disala sistem IT dan hasilnya dan juga proses dukungan yang memungkinkan eksekusi sistem TI yang efektif dan efisien. Proses dukungan ini meliputi pelatihan dan issu keamanan.
DS1 mendefinisikan dan mengelola tingkat layanan
DS2 Mengelola layanan pihak ketiga
DS3 Mengelola kinerja dan kapasitas
DS4 Memastikan layanan yang berkelanjutan
DS5 Pastikan sistem keamanan
DS6 Mengidentifikasi dan mengalokasikan biaya
DS7 Mendidik dan melatih pengguna
DS8 Mengelola service dan insiden
DS9 Mengelola konfigurasi
DS10 Mengelola permasalahan
DS11 Mengelola Data
DS12 Mengelola Fasilitas
DS13 Mengelola operasi


Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)