Green Caramel Apples

Rabu, 24 April 2013

Perbedaan Auditing-around the computer dan Auditing-through the computer


Auditing-around the computer
Pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya berfokus pada input dan output dari sistem computer.
Auditing-through the computer
Pendekatan audit yang berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.

Perbedaan dari keduanya adalah :
Auditing-around the computer

Auditing-through the computer
Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual.
Data base lebih terorganisir,jadi lebih mudah dalam penelusuran.
Tidak membuat auditor memahami sistem computer lebih baik.
Focus pada operasi pemrosesan dalam system computer.
Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.
Pengendaalian sitem lebih diperhitungkan dan diperhatikan karena focus dalam permrosesan dalam sistem
Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif.
Lebih mengutamakan audit yang berorientasi computer.

Keterbatasan UU Telekomunikasi


Adanya keterbatasan undang-undang yang dibuat sehingga hanya efektif sebagian karna kurang kuatnya hukum terhadap instansi pemerintah,korporasi dan sebagainya.Hal ini bisa saja digunakan dalam hal penyalahgunaan serta penyimpangan hal – hal yang telah di atur dalam UU dalam UU Telekomunikasi.
UU Telekomunikasi yang dibentuk sebelum lahirnya KPK, misalnya, belum mengakomodir keberadaan lembaga pimpinan Tumpak Hatorangan Panggabean ini. Atau prosedur penyadapan yang diatur dalam UU Narkotika berbeda dengan prosedur yang selama ini digunakan KPK. Akibatnya, tindakan penyadapan oleh penegak hukum berjalan sporadis.
UU No. 36/1999 tentang Telekomunikasi mengancam pidana terhadap perbuatan :
1.      memanipulasi akses ke jaringan telekomunikasi
2.      menimbulkan gangguan fisik dan eletromagnetik terhadap penyelenggaraan telekomunikasi
“semua tindak pidana dalam uu no.36 tahun 1999 dinyatakan sebagai tindakan kejahatan” Didalam bab vii (ketentuan pidana)sama sekali tidak ada ketentuan tentang pertanggungjawaban terhadap korporasi padahal :“Penyelenggara Telekomunikasi” dapat berupa koperasi,BUMN, badan usaha swasta dan instansi pemerintah
Menghadapi kondisi demikian seyogyanya ada keberanian dan inovasi dari penegak hukum untuk mengefektifkan peraturan yang ada dengan melakukan interpretasi atau kontruksi hukum yang bersumber pada teori atau ilmu hukum,pendapat ahli,jurisprudensi,atau bersumber dari ide-ide dasar yang secara konseptual dapat dipertanggungjawabkan.

UU NO 36 Tentang Telekomunikasi



UU No 36 tentang telekomunikasi merupakan UU yang dibuat untuk mengatur dan menentukan berbagai macam peraturan telekomunikasi mulai dari azas,tujuan,peenyelenggaraan,penyelidikan,sanksi – sanksi dan juga ketentuan pidana dari pelanggaran yang ada dalam telekomunikasi.
Penyelenggaraan telekomunikasi memperhatikan dengan sungguh – sungguh asas pembangunan nasional dengan mengutamakan asas manfaat, asas adil dan merata, asas kepastian hukum dan asas kepercayaan pada diri sendiri  serta memperhatikan pula asas keamanan kemitraan, dan etika.
Mengingat telekomunikasi merupakan salah satu cabang produksi yang penting dan strategis dalam kehidupan nasional, maka penguasaannya dilakukan oleh negara, yang dalam penyelenggaraannya ditujukan untuk sebesar besarnya bagi kepentingan dan kemakmuran rakyat.
Sesuai dengan ketentuan Konvensi Telekomunikasi Internasional, yang dimaksud dengan Administrasi Telekomunikasi adalah Negara yang diwakili oleh pemerintah negara ybs. Dalam hal ini. Administrasi Telekomunikasi melaksanakan hak dan kewajiban Konvensi Telekomunikasi Internasional dan peraturan yang menyertainya.
Perizinan penyelenggaraan telekomunikasi dimaksudkan sebagai upaya Pemerintah dalam rangka pembinaan untuk mendorong pertumbuhan penyelenggaraan telekomunikasi yang sehat. Pemerintah berkewajiban untuk mempublikasikan secara berkala atas daerah/wilayah yang terbuka untuk penyelenggaraan jaringan dan atau jasa telekomunikasi. Penyelenggaraan telekomunikasi wajib memenuhi persyaratan yang ditetapkan dalam perizinan. Penyelenggaraan telekomunikasi guna keperluan eksperimen diberi izin khusus untuk jangka waktu tertentu.
Pengaturan sanksi – sanksi administrasi dan ketentuan pidana dalam undang – undang ini diatur sesuai dengan porsi yang ada dalam setiap pelanggaran yang dilakukan dan isi kebijakan dalam setiap pasal.
Pengenaan sanksi administrasi dalam ketentuan ini dimaksudkan sebagai upaya pemerintah dalam rangka pengawasan dan pengendalian penyelenggaraan telekomunikasi.


IT audit trail, real time audit, IT forensics


IT audit trail, real time audit, IT forensics

Jenis - Jenis Ancaman Thread Melalui IT
5 jenis ancaman serangan fisik :

1. Serangan Pasif
Termasuk di dalamnya analisa trafik, memonitor komunikasi terbuka, memecah kode trafik yang dienkripsi, menangkan informasi untuk proses otentifikasi (misalnya password).

Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.

2. Serangan Aktif
Tipe serangan ini berupaya membongkar sistem pengamanan, misalnya dengan memasukan kode-kode berbahaya (malicious code), mencuri atau memodifikasi informasi. Sasaran serangan aktif ini termasuk penyusupan ke jaringan backbone, eksploitasi informasi di tempat transit, penetrasi elektronik, dan menghadang ketika pengguna akan melakukan koneksi jarak jauh. Serangan aktif ini selain mengakibatkan terpaparnya data, juga denial-of-service, atau modifikasi data.

3. Serangan jarak dekat
Dalam jenis serangan ini, hacker secara fisik berada dekat dari peranti jaringan, sistem atau fasilitas infrastruktur. Serangan ini bertujuan memodifikasi, mengumpulkan atau memblok akses pada informasi. Tipe serangan jarak dekat ini biasanya dilakukan dengan masuk ke lokasi secara tidak sah.
4. Serangan distribusi
Tujuan serangan ini adalah memodifikasi peranti keras atau peranti lunak pada saat produksi di pabrik sehingga bisa disalahgunakan di kemudian hari. Dalam serangan ini, hacker sejumlah kode disusupkan ke produk sehingga membuka celah keamanan yang bisa dimanfaatkan untuk tujuan ilegal.

5. Orang dalam
Serangan oleh orang di dalam organisasi ini dibagi menjadi sengaja dan tidak sengaja. Jika dilakukan dengan sengaja, tujuannya untuk mencuri, merusak informasi, menggunakan informasi untuk kejahatan atau memblok akses kepada informasi. Serangan orang dalam yang tidak disengaja lebih disebabkan karena kecerobohan pengguna, tidak ada maksud jahat dalam tipe serangan ini.

Focus Cybercrime
Kejahatan Cyber ( Cybercrime) adalah sebuah kejahatan yang dilakukan dengan menggunakan computer dan bertekhnologi internet sebagai sarana/ alat sebagai objek atau subjek dan dilakukan dengan sengaja. Cybercrime with violence adalah sebuah perbuatan melawan hukum dengan menggunakan computer berbasis jaringan dan tekhnologi internet yang menjadikan jaringan tersebut menjadi subjek/objek dari kegiatan terorisme, kejahatan cyber pornografi anak, kejahatan cyber dengan ancaman ataupun kejahatan cyber penguntitan.
Secara harfiah, kejahatan cyber yang menjadikan korban dengan menggunakan kekerasan secara langsung memang tidak bisa dilihat hubungan timbal baliknya, namun ada implikasi dari kejahatan-kejahatan tersebut, yang berupa ancaman terhadap rasa aman dan keselamatan korban kejahatan.
Para pelaku kejahatan ini melakukan pembobolan data, penyadapan dan penguntitan individu/personal yang mengakibatkan terancamnya keselamatan individu, merusak jaringan website yang mengakibatkan hancurnya data base yang sudah dibangun, ada dua faktor yang sangat penting untuk menentukan apakah korban dari cyber terorisme ini dapat menjadi ancaman yang mengakibatkan terlukai atau terbunuhnya banyak orang. Faktor yang pertama apakah ada target yang dapat dibuktikan bahwa kejahatan ini dapat menuntun dilakukannya kekerasan dan penganiayaan. Faktor yang kedua adalah apakah ada actor yang mempunyai kapabilitas ( kemampuan) dan motivasi untuk dilakukannya cyber terorisme”.
Pemerintah USA telah mendefinisikan Cyberterorisme sebagai perbuatan terorisme yang dilakukan, direncanakan dan dikoordinasikan dalam jaringan cyberspace, yang melalui jaringan computer. Faktor-faktor yang menjadikan menjadi pertimbangan untuk mencegah Cyber crime sebagai prioritas utama adalah

Perluasan target kekerasan :
Cybercrime yang melibatkan kekerasan atau potensi kekerasan melawan orang ( khususnya terhadap anak-anak) adalah normal sebagai prioritas utama, kejahatan terhadap property yang mengakibatkan kerugian yang bernilai besar juga menjadi focus perhatian yang lebih besar untuk ditanggulangi dari pada dengan nilai kerugian yang kecil.

Frekwensi Kejadian :
Cybercrime yang terjadi lebih sering menjadi focus perhatian utama dari pada yang jarang terjadi.

Kemampuan Personel :
Penyidikan cybercrime yang dapat dilakukan oleh satu penyidik lebih membantu satuannya karena tidak banyak penyidik yang dimiliki untuk melakukan penyidikan cybercrime.

Pelatihan Personel :
Membeda-bedakan kasus cybercrime dan bukan kadangkala tergantung penyidik yang sudah dilatih atau belum.

Jurisdiksi :
Kesatuan secara umum lebih menitik beratkan kepada kasus yang menimpa masyarakat local. Walaupun mempunyai kewenangan secara hukum, banyak kesatuan tidak mengeluarkan dana dan sumber dayanya untuk menangani kejahatan cyber melewati batas jurisdiksinya.

Tingkat Kesulitan Penyidikan:
Tingkat kesulitan pengungkapannya dan tingkat kesuskesan dari hasil penyidikan dapat menjadikan kasus cybercrime mana yang menjadi prioritas.

Faktor Politik :
Pengungkapan seringkali dipengaruhi pengaruh suasana politis yang menjadikan kasus cyber sebagai prioritas utama.
IT Audit Trail Real Time Audit It Forensic
Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.

Cara kerja Audit Trail
Audit Trail yang disimpan dalam suatu table.
1.Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete
2.Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.

Fasilitas Audit Trail
Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.

Hasil Audit Trail
Record Audit Trail disimpan dalam bentuk, yaitu :
1.Binary File – Ukuran tidak besar dan tidak bisa dibaca begitu saja
2.Text File – Ukuran besar dan bisa dibaca langsung
3.Tabel.

Perbedaan Audit Around Computer Dan Trough The Computer
Sistematik dengan tujuan untuk mendapatkan dan mengevaluasi fakta yang berkaitan dengan asersi mengenai kejadian dan tindakan ekonomi untuk memastikan kesesuaian antara asersi dengan kriteria yang ditetapkan dan mengkomunikasikan hasilnya kepada pemakai yang berkepentingan.

Auditing-around the computer
Pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya berfokus pada input dan output dari sistem computer.

Kelemahannya:
1.Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual
2.Tidak membuat auditor memahami sistem computer lebih baik
3.Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.
4.Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
5.Kemampuan computer sebagai fasilitas penunjang audit mubazir
6.Tidak mencakup keseluruhan maksud dan tujuan audit

Auditing-through the computer
Pendekatan audit yang berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.
Auditing adalah pengumpulan dan penilaian bukti mengenai informasi untuk menentukan dan melaporkan mengenai tingkatan kesesuaian antara infomasi tersebut dengan ketentuan yang ditetapkan serta dilakukan oleh orang yang berkompeten dan independen. (Arens dan Loebbecke) Auditing adalah proses yang sistematis mengenai perolehan dan penilaian bukti secara obyektif yang berkenaan dengan pernyataan mengenai tindakan – tindakan dan kejadian – kejadian ekonomi dengan tujuan untuk menentukan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan serta untuk mengkomunikasikan hasil – hasilnya kepada pihak – pihak yang berkepentingan. (American Accounting Association)
Namun demikian Weber memberikan definisi tersendiri mengenai audit PDE. Weber menyebutkan Auditing PDE adalah suatu proses pengumpulan dan penilaian bukti untuk menentukan apakah suatu sistem komputer melindungi aktiva, mempertahankan integritas data, mencapai tujuan organisasi secara efektif, dan menggunakan sumber daya secara efisien. Defnisi tersebut lebih menekankan pada audit operasional yang berkaitan dengan aktivitas komputer
Audit Manual dan Audit PDE adalah suatu proses penilaian dan atestasi yang sistematis oleh orang – orang yang memiliki keahlian dan independen terhadap informasi mengenai aktivitas ekonomi suatu badan usaha, dengan tujuan untuk menentukan dan melaporkan tingkat kesesuaian antara informasi tersebut dengan ketentuan yang telah ditetapkan.

Dari pengertian di atas dapat ditarik unsur – unsur auditing:
1.Melakukan penilaian dan atestasi secara sistematis
2.Menentukan dan melaporkan tingkat kesesuaian antara aktivitas ekonomi yang diaudit dengan ketentuan yang berlaku

Sumber :
http://umamendut.blogspot.com/2010/10/cyber-crime.html
http://bluewarrior.wordpress.com/2010/03/19/
http://saprida.blogspot.com/2012/03/focus-cybercrime.html
http://prita-puspa.blogspot.com/2012/03/tugas-softskill.html