Etika & Profesionalisme

Slides:



Advertisements
Presentasi serupa
Audit Sistem Informasi
Advertisements

Indri Sudanawati Rozas.  Definisi  Steps/metodologi  Ruang lingkup  Karakter auditor  Tipe pertanyaan  Framework.
IT FORENSIK/ DIGITAL FORENSIC
Audit Wikipedia (id)‏ Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan.
9 KUALITAS DATA.
Materi 4. IT Forensics.
Pengendalian umum, dan pengendalian aplikasi
Audit Sistem Informasi
Sejarah & Pemahaman Audit Sistem/Teknologi Informasi
Auditing Computer-Based Information Systems
Bab VIII Pekerjaan di Bidang Teknologi Informasi
Memahami Audit Sistem/Teknologi Informasi
TUJUAN AUDIT SI/TI Pertemuan 2.
RERANGKA PRAKTIK PROFESIONAL: ETIKA DAN STANDAR PRAKTIK
Panduan Audit Sistem Informasi
Penanganan Insiden Forensik
Oleh : Saripudin,MT.  After studying this chapter, you will be able to:  Recognize the difficulties in managing information resources.  Understand.
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO (Studi Kasus: PT.Karya karang asem indonesia) Felix nugraha k
Kepatuhan Terhadap Security Budi Rahardjo Cisco Security Summit Shangri La Hotel, Jakarta, Desember 2005.
Control Objectives for Information and related Technology
Pengantar Komputer Forensik teknologi Informasi
AUDIT SISTEM INFORMASI
Operating System Security
Membangun Sistem Informasi ERP
SOP dan Audit Keamanan Keamanan Jaringan Pertemuan 12
Mengamankan Sistem Informasi
Audit Sistem Informasi
Manajemen Sumber Daya Teknologi Informasi
Audit & Kontrol TI Catatan: diolah dari berbagai sumber
Metodologi Audit Sistem Informasi
Security MANAGEMENT PRACTICES
Keamanan Sistem (CS4633) ..:: Manajemen Resiko :
Rahmat Robi Waliyansyah, M.Kom.
IT FORENSIK & PROFESIONALISME KERJA
Keamanan Sistem Informasi
UNIVERSITAS MERCU BUANA YOGYAKARTA 2016
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
LATAR BELAKANG & PEMAHAMAN MENYELURUH
Pertemuan 1 – Pengantar Audit Teknologi Sistem Informasi
Audit Sistem Informasi
Tujuan: membahas domain keamanan yang ada pada perusahaan asuransi.
Penyusunan Blueprint TI untuk Perguruan Tinggi, by
Audit Sistem Informasi
AUDIT TEKNOLOGI SISTEM INFORMASI BANK XYZ
Audit Teknologi Informasi Pertemuan 11
IT Audit M.4.
CobiT Control Objectives for Information and Related Technology
Keamanan Informasi dan Administrasi jaringan
Penyusunan Blueprint TI untuk Perguruan Tinggi, by
04 Membangun Sistem Informasi ERP Tahapan SDLC Hata Maulana, M.T.I.
ETIKA PROFESI Sesi 7.
Manajemen Resiko TI dan Sistem Informasi
KONSEP AUDIT SISTEM INFORMASI
Membangun Sistem Informasi ERP
Membangun Sistem Informasi ERP
AUDIT SISTEM INFORMASI
IT FORENSIC Fahrobby adnan S.KOM., MMSI
E-AUDIT KONSEP DASAR AUDIT.
Sistem informasi manajemen
Referensi Audit Sistem&Teknologi Informasi (Riyanarto Sarno) Strategi Sukses Bisnis dengan Teknologi Informasi (Riyanarto Sarno) Sistem Manajemen Keamanan.
Pengantar Keamanan Informasi
Penyusunan Blueprint TI untuk Perguruan Tinggi, by
Pengantar Komputer Forensik teknologi Informasi
AUDIT SISTEM INFORMASI (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA)
 Audit Sistem&Teknologi Informasi › (Riyanarto Sarno)  Strategi Sukses Bisnis dengan Teknologi Informasi › (Riyanarto Sarno)  Sistem Manajemen Keamanan.
Standar Tata Kelola TI Pertemuan 4
Pengantar Komputer Forensik teknologi Informasi
Penanganan Insiden Forensik
UNIVERSITAS GUNADARMA
Pertemuan 6 Audit Teknologi Informasi Kel 4 : - Aditya pratama.
Transcript presentasi:

Etika & Profesionalisme 1 IT Audit & Forensic Mata kuliah Etika & Profesionalisme

IT Audit 2 ● Latar Belakang: - ICT telah dimanfaatkan sedemikian (i) luas dan (ii) dalam, dan banyak institusi / organisasi bergantung pada ICT, sehingga resiko bisnis semakin besar ● Definisi: - Penilaian / pengujian kontrol dalam sistem informasi atau infrastruktur teknologi informasi ● Proses IT Audit: - Mengumpulkan dan mengevaluasi bukti-bukti bagaimana sistem informasi dikembangkan, dioperasikan, diorganisasikan, serta bagaimana praktek dilaksanakan: ● Apakah IS melindungi aset institusi: asset protection, availability ● Apakah integritas data dan sistem diproteksi secara cukup (security, confidentiality )? ● Apakah operasi sistem efektif dan efisien dalam mencapai tujuan organisasi, dan lain-lain (coba cari pertanyaan2 lain)

IT Audit Auditor (CISA) 3 ● Stakeholders: ● Output Internal IT: - Internal IT Deparment - Solusi teknologi meningkat, menyeluruh & mendalam - External IT Consultant - Fokus kepada global, menuju ke standard2 yang diakui - Board of Commision - Management ● Output External IT: - Internal IT Auditor - Rekrutmen staff, teknologi baru dan kompleksitasnya - External IT Auditor - Outsourcing yang tepat ● Kualifikasi Auditor: - Benchmark / Best-Practices - Certified Information Systems ● Output Internal Audit & Business: - Menjamin keseluruhan audit Auditor (CISA) - Certified Internal Auditor (CIA) - Budget & Alokasi sumber daya - Certified Information Systems Security Professional (CISSP) - Reporting - dll

Metodologi & Framework 4 Metodologi & Framework ● Framework Besar: ● Metodologi IT Audit: 1. IT Audit  CobiT 2. Analisis Resiko berdasarkan  www.isaca.org hasil audit  BS 7799 - Code of Practice 3. Memeriksa “kesehatan” sistem & security benchmarking (CoP)  www.bsi.org.uk/disc/ terhadap sistem yang lain / standard  BSI -IT baseline protection manual 4. Hasil dari ketiganya (1,2,3) melahirkan konsep keamanan  www.bsi.bund.de/gshb/engl ish/menue.htm sistem Informasi  ITSEC 5. Hasil dari konsep keamanan:  www.itsec.gov.uk panduan keamanan sistem (handbook of system •  Common Criteria (CC) security)  csrc.nist.gov/cc/

COBIT sistem kontrol di sistem IT 5 COBIT ● Dikembangkan oleh ISACA ● Membantu dalam implementasi sistem kontrol di sistem IT (mungkin) cocok untuk self- assesement tapi kurang cocok untuk mengembangkan buku petunjuk keamanan sistem ● ● Dokumentasi detail kurang ● Tidak begitu user-friendly

BS 7799 - Code of Practice Security Management thd keamanan sistem 6 - Information security policy ● Code of Practice for Inform. Security Management - Security organisation - Assets classification & control ● Dikembangkan oleh UK, BSI: British Standard - Personnel security - Physical & environmental security ● Security baseline controls: - Computer & network management - 10 control categories ● Digunakan untuk self- assasement: – 32 control groups – 109 security controls - konsep keamanan dan kesehatan sistem – 10 security key controls ● Kategori kontrol: ● Tidak ada metodologi evaluasi dan tidak diterangkan bagaimana assemen - System access control thd keamanan sistem - Systems development & maintenance ● Sangat user-friendly sangat mudah digunakan (menurut yang sudah menggunakan) - Business continuity planning - Compliance

BSI (Bundesamt für Sicherheit in der Informationstechnik) 7 BSI (Bundesamt für Sicherheit in der Informationstechnik) ● IT Baseline Protection Manual (IT- Grundschutzhandbuch ) ● Dikembangkan oleh GISA: German Information Security Agency ● Digunakan: evaluasi konsep keamanan & manual ● Metodologi evaluasi tidak dijelaskan ● Mudah digunakan dan sangat - detail - sekali ● Tidak cocok untuk analisis resiko ● Representasi tdk dalam grafik yg mudah dibaca

8 BSI (...cont'd) ● IT security measures  7 areas ● Komponen generik: - Organisation  34 modules (building blocks) ● Safeguards catalogue - Personnel - Contingency Planning  6 categories of security measures ● Threats catalogue - Data Protection ● Infrastruktur:  5 categories of threats - Buildings, Cabling, Rooms, Office, Server Room, Storage  Security Measures (example): Media Archives, Technical Infrastructure Room, Protective cabinets, Home working place ● Human error - Protection for generic components - Infrastructure - Non-networked systems - LANs - Data transfer systems - Telecommunications - Other IT components

ITSEC, Common Criteria France, Netherl. and based primarily 9 ITSEC, Common Criteria ● ITSEC: IT Security Evaluation Criteria ● Developed by UK, Germany, France, Netherl. and based primarily on USA TCSEC (Orange Book) ● Based on systematic, documented approach for security evaluations of systems & products ● Common Criteria (CC) ● Developed by USA, EC: based on ITSEC ● ISO International Standard ● Evaluation steps:  Definition of functionality  Assurance: confidence in functionality

Komparasi Metodologi 10 BS 7799 BSI ITSEC Sumber: Systor Inc. Standardisation Ease of use Independence Update frequency Certifyability CobiT BS 7799 BSI ITSEC Applicability in practice Efficiency Presentation of results Adaptability Sumber: Systor Inc. Extent of scope

11 19 Langkah Umum Audit TSI ● Kontrol lingkungan: 6. Periksa apakah backup administrator keamanan sudah 1. Apakah kebijakan keamanan (security policy) memadai dan memadai (trained,tested) 7. Periksa apakah rencana efektif ? kelanjutan bisnis memadai dan efektif 2. Jika data dipegang oleh vendor, periksa laporan ttg 8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, kebijakan dan prosedural yg terikini dr external auditor dan data memadai 3. Jika sistem dibeli dari vendor, ● Kontrol keamanan logikal periksa kestabilan finansial 4. Memeriksa persetujuan lisen 9. Periksa apakah password memadai dan perubahannya (license agreement) dilakukan reguler ● Kontrol keamanan fisik 10.Apakah administrator keamanan memprint akses kontrol setiap user 5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai

19 Langkah Umum Audit TSI (2) 12 19 Langkah Umum Audit TSI (2) 11.Memeriksa dan 16.Memeriksa apakah akses mendokumentasikan parameter kontrol remote (dari tempat keamanan default yang lain) memadai: (VPN, CryptoCard, SecureID, etc) 12.Menguji fungsionalitas sistem keamanan (password, suspend userID, etc) ● Menguji Kontrol Operasi 17.Memeriksa apakah tugas dan job description memadai 13.Memeriksa apakah password file / database disimpan dalam dalam semua tugas dalam operasi tsb bentuk tersandi dan tidak dapat dibuka oleh pengguna umum 18.Memeriksa apakah ada problem yang signifikan 14.Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya 19.Memeriksa apakah kontrol yang menjamin fungsionalitas sistem informasi telah 15.Memeriksa apakah prosedur memeriksa dan menganalisa log memadai memadai

IT Forensic insiden / pelanggaran keamanan sistem informasi 13 IT Forensic ● Bertujuan untuk mendapatkan fakta-fakta obyektif dari sebuah 2.Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan insiden / pelanggaran keamanan sistem informasi ● Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti- khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi bukti (evidence) yang akan digunakan dalam proses hukum 3.Merunut kejadian (chain of events) berdasarkan waktu kejadian ● Metodologi umum dalam proses pemeriksaan insiden sampai proses hukum: 4.Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat” 1. Pengumpulan data/fakta dari sistem komputer (harddisk, 5.Dokumentasi hasil yang diperoleh dan menyusun laporan usb-stick, log, memory-dump, internet, dll) - termasuk di 6.Proses hukum (pengajuan delik, dalamnya data yang sdh terhapus proses persidangan, saksi ahli, dll)

Kebutuhan kapasitas sangat besar, CD-R, DVR drives Amiga, …) 14 Kebutuhan ● Hardware: - Harddisk IDE & SCSI - Hash utility (MD5, SHA1) - Text search utilities (dtsearch kapasitas sangat besar, CD-R, http://www.dtsearch.com/) DVR drives - Drive imaging utilities (Ghost, Snapback, Safeback,…) - Memori yang besar (1-2GB RAM) - Forensic toolkits - Hub, Switch, keperluan LAN ● Unix/Linux: TCT The Coroners Toolkit/ForensiX - Legacy hardware (8088s, ● Windows: Forensic Toolkit Amiga, …) - Disk editors (Winhex,…) - Laptop forensic workstations ● Software – Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…) - Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/ - Write-blocking tools (FastBloc http://www.guidancesoftware.c ) untuk memproteksi bukti- bukti - Erase/Unerase tools: Diskscrub/Norton utilities)

Forensik (hacking) dan dianalisis - bukan yang asli 15 Forensik ● Prinsip: - Forensik bukan proses Hacking - Data yang didapat harus dijaga jgn berubah - Membuat image dari HD / Floppy / USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang digunakan hardware khusus - Image tsb yang diotak-atik (hacking) dan dianalisis - bukan yang asli - Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi - Pencarian bukti dengan: tools pencarian teks khusus, atau mencari satu persatu dalam image

Kesimuplan tanggungjawab dan harus independen, diasses secara formal 16 Kesimuplan ● CobiT: Metode audit untuk semua proses IT ● ITSEC, CC: Pendekatan evaluasi yang sistematik ● BS7799, BSI: - Evaluasi yang detail dan digunakan sebagai dokumentasi “best- practice” - Detailed audit plans, checklists, tools for technical audits (operating systems, LANs, etc.) ● IT Forensik: - Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat) - Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) - dan alat bantu (tools) baik hardware maupun software ● Auditor dan Dokter-komputer-forensik: penuh dengan tanggungjawab dan harus independen, diasses secara formal