PROFESI IT AUDITOR
Bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasisecara menyeluruh.
Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi
lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses
pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit
teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan
apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan
integratif dalam mencapai target organisasinya.
Ciri-ciri
seorang profesional di bidang IT. Jenis-jenis ancaman /threats melalui IT.
Kasus cyber crime IT. Audit trail, real time audit, IT forensic. Perbedaan
audit around computer dan through the computer.
Ciri-ciri
profesionalisme di bidang IT dan juga kode etik profesional.
Mencari
tahu mengenai ciri-ciri dari profesionalisme pada bidang IT dan juga mengenai
kode etik profesional.
Etika
merupakan suatu ilmu cabang filosofi yang berkaitan dengan apa saja yang
dipertimbangkan baik dan salah.
Ada
beberapa definisi mengenai etika antara lain :
·
Kode moral dari suatu profesi tertentu
·
Standar penyelenggaraan suatu profesi
tertentu
·
Persetujuan diantara manusia untuk melakukan
yang benar dan menghindari yang salah.
Salah
satu yang harus dipahami adalah bahwa apa yang tidak etis tidak berarti
illegal. Dalam lingkungan yang kompleks, definisi benar atau salah tidak selalu
jelas. Juga perbedaan antara illegal dan tidak beretika tidak selalu jelas.
Adapun
ciri-ciri seorang profesional di bidang IT adalah :
·
Mempunyai pengetahuan yang tinggi di bidang
TI
·
Mempunyai ketrampilan yang tinggi di bidang
TI
·
Mempunyai pengetahuan yang luas tentang
manusia dan masyarakat, budaya, seni, sejarah dan komunikasi
·
Cepat tanggap terhada[ masalah client, paham
terhadap isyu-isyu etis serta tata nilai kilen-nya
·
Mampu melakukan pendekatan multidispliner
·
Mampu bekerja sama
·
Bekerja dibawah disiplin etika
·
Mampu mengambil keputusan didasarkan kepada
kode etik, bila dihadapkan pada situasi dimana pengambilan keputusan berakibat
luas terhadap masyarakat
Kode
Etik IT Profesional :
Kode
etik merupakan suatu ketetapan yang harus diikuti sebagai petunjuk bagi
karyawan perusahaan atau anggota profesi. Setujunya, setiap bidang profesi
memiliki aturan-aturan/hukum-hukum yang mengatur bagaimana seorang profesional
berfikir dan bertindak. Seseorang yang melanggar Kode Etik dikenakan sanksi.
Sanksi yang dikenakan adalah mulai dari yang paling ringan, yaitu cuma
mendapatkan sebutan “tidak profesional” sampai pada pencabutan ijin praktek,
bahkan hukuman pidana pun bisa terjadi.
Sebagai
salah satu bidang profesi, Information Technology (IT) bukan pengecualian,
diperlukan aturan-aturan tersebut yang mengatur bagaimana para IT profesional
ini melakukan kegiatannya.
Ada
lima aktor yang perlu diperhatikan:
1.
Publik
2.
Client
3.
Perusahaan
4.
Rekan Kerja
5.
Diri Sendiri
Kode
Etik juga mengatur hubungan kita dengan rekan kerja. Bahwa kita harus selalu
adil, jujur dengan rekan kerja kita. Tidak boleh kita sengaja mencebloskan
rekan kerja kita dengan memberi data atau informasi yang salah/keliru.
Persaingan yang tidak sehat ini akan merusak profesi secara umum apabila
dibiarkan berkembang.
Karyawan
IT di client mestinya juga mengambil Kode Etik tersebut, sehingga bisa terjalin
hubungan profesional antara konsultan dengan client. Bertindak fair adil, jujur
terhadap kolega juga berlaku bagi karyawan IT di organisasi client dalam
memperlakukan vendornya.
Beberapa
perlakuan yang tidak adil terhadap kolega, antara lain:
1.
Menganggap kita lebih baik dari rekan kita
karena tools yang digunakan. Misalnya, kita yang menggunakan bahasa JAVA lebih
baik daripada orang lain yang pakai Visual BASIC.
2.
Kita merasa lebih senior dari orang lain,
oleh karena itu kita boleh menganggap yang dikerjakan orang lain lebih jelek
dari kita, bahkan tanpa melihat hasil kerjanya terlebih dahulu.
3.
Seorang profesional IT di client merasa lebih
tinggi derajatnya daripada profesional IT si vendor sehingga apapun yang
disampaikan olehnya lebih benar daripada pendapat profesional IT vendor
Jenis-jenis
ancaman (thread) dalam TI :
National
Security Agency (NSA) dalam dokuman Information Assurance Technical Framework
(IATF) menggolongkan lima jenis ancaman pada sistem teknologi informasi.
Kelima
ancaman itu adalah :
1.
SeranganPasif
Termasuk
di dalamnya analisa trafik, memonitor komunikasi terbuka, memecah kode trafik
yang dienkripsi, menangkan informasi untuk proses otentifikasi (misalnya
password).
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.
2.
Serangan Aktif
Tipe
serangan ini berupaya membongkar sistem pengamanan, misalnya dengan memasukan
kode-kode berbahaya (malicious code), mencuri atau memodifikasi informasi.
Sasaran serangan aktif ini termasuk penyusupan ke jaringan backbone,
eksploitasi informasi di tempat transit, penetrasi elektronik, dan menghadang
ketika pengguna akan melakukan koneksi jarak jauh. Serangan aktif ini selain
mengakibatkan terpaparnya data, juga denial-of-service, atau modifikasi data.
3.
Serangan jarak dekat
Dalam
jenis serangan ini, hacker secara fisik berada dekat dari peranti jaringan,
sistem atau fasilitas infrastruktur. Serangan ini bertujuan memodifikasi,
mengumpulkan atau memblok akses pada informasi. Tipe serangan jarak dekat ini
biasanya dilakukan dengan masuk ke lokasi secara tidak sah.
4.
Orang dalam
Serangan
oleh orang di dalam organisasi ini dibagi menjadi sengaja dan tidak sengaja.
Jika dilakukan dengan sengaja, tujuannya untuk mencuri, merusak informasi,
menggunakan informasi untuk kejahatan atau memblok akses kepada informasi.
Serangan orang dalam yang tidak disengaja lebih disebabkan karena kecerobohan
pengguna, tidak ada maksud jahat dalam tipe serangan ini.
5.
Serangan distribusi
Tujuan
serangan ini adalah memodifikasi peranti keras atau peranti lunak pada saat
produksi di pabrik sehingga bisa disalahgunakan di kemudian hari. Dalam
serangan ini, hacker sejumlah kode disusupkan ke produk sehingga membuka celah
keamanan yang bisa dimanfaatkan untuk tujuan ilegal.
IT
Audit Trail
Audit
Trail merupakan salah satu fitur dalam suatu program yang mencatat semua
kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit
Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai
jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus.
Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis
manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori
tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya
secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program
yang bersangkutan diharapkan bisa dicatat dengan baik.
Cara
kerja Audit Trail
Audit
Trail yang disimpan dalam suatu table.
1.
Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan
Delete
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
Fasilitas
Audit Trail
Fasilitas
Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate,
jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan.
Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan,
begitu pula dengan jurnal barunya.
Hasil
Audit Trail
Record
Audit Trail disimpan dalam bentuk, yaitu :
1.
Binary File – Ukuran tidak besar dan tidak
bisa dibaca begitu saja
2.
Text File – Ukuran besar dan bisa dibaca
langsung
3.
Tabel.
Real
Time Audit
Real
Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan
keuangan sehingga dapat memberikan penilaian yang transparan status saat ini
dari semua kegiatan, di mana pun mereka berada. Ini mengkombinasikan prosedur
sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan
“siklus proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan
penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.
RTA
menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk
dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat
“terlihat di atas bahu” dari manajer kegiatan didanai sehingga untuk memantau
kemajuan. Sejauh kegiatan manajer prihatin RTA meningkatkan kinerja karena sistem
ini tidak mengganggu dan donor atau investor dapat memperoleh informasi yang
mereka butuhkan tanpa menuntut waktu manajer. Pada bagian dari pemodal RTA
adalah metode biaya yang sangat nyaman dan rendah untuk memantau kemajuan dan
menerima laporan rinci reguler tanpa menimbulkan beban administrasi yang
berlebihan baik untuk staf mereka sendiri atau manajemen atau bagian dari
aktivitas manajer.
Penghematan
biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan dan
meningkat seiring kemajuan teknologi dan teknik dan kualitas pelaporan dan
kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal
dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa
manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas
manajer.
Referensi
:
http://id.wikipedia.org/wiki/Audit_teknologi_informasi
Tidak ada komentar:
Posting Komentar