06 Maret 2012

Ciri-Ciri Seorang Profesional di Bidang IT , Jenis-jenis Ancaman Thread Melalui IT , Focus Cybercrime , IT Audit, Real Time Audit, IT Forensic , Perbedaan Audit Around Aomputer Dan Through The Computer

Ciri-Ciri Seorang Profesional di Bidang IT
Etika merupakan suatu ilmu cabang filosofi yang berkaitan dengan apa saja yang dipertimbangkan baik dan salah.
Ada beberapa definisi mengenai etika antara lain :
  • Kode moral dari suatu profesi tertentu
  • Standar penyelenggaraan suatu profesi tertentu
  • Persetujuan diantara manusia untuk melakukan yang benar dan menghindari yang salah.
Salah satu yang harus dipahami adalah bahwa apa yang tidak etis tidak berarti illegal. Dalam lingkungan yang kompleks, definisi benar atau salah tidak selalu jelas. Juga perbedaan antara illegal dan tidak beretika tidak selalu jelas.

Adapun ciri-ciri seorang profesional di bidang IT adalah :
  • Mempunyai pengetahuan yang tinggi di bidang TI
  • Mempunyai ketrampilan yang tinggi di bidang TI
  • Mempunyai pengetahuan yang luas tentang manusia dan masyarakat, budaya, seni, sejarah dan komunikasi
  • Cepat tanggap terhadap masalah client, paham terhadap isyu-isyu etis serta tata nilai kilen-nya
  • Mampu melakukan pendekatan multidisipliner
  • Mampu bekerja sama
  • Bekerja dibawah disiplin etika
  • Mampu mengambil keputusan didasarkan kepada kode etik, bila dihadapkan pada situasi dimana pengambilan keputusan berakibat luas terhadap masyarakat
Kode Etik IT Profesional :
Kode etik merupakan suatu ketetapan yang harus diikuti sebagai petunjuk bagi karyawan perusahaan atau anggota profesi. Setujunya, setiap bidang profesi memiliki aturan-aturan/hukum-hukum yang mengatur bagaimana seorang profesional berfikir dan bertindak. Seseorang yang melanggar Kode Etik dikenakan sanksi. Sanksi yang dikenakan adalah mulai dari yang paling ringan, yaitu cuma mendapatkan sebutan “tidak profesional” sampai pada pencabutan ijin praktek, bahkan hukuman pidana pun bisa terjadi.
Sebagai salah satu bidang profesi, Information Technology (IT) bukan pengecualian, diperlukan aturan-aturan tersebut yang mengatur bagaimana para IT profesional ini melakukan kegiatannya.

Ada lima aktor yang perlu diperhatikan:
  1. Publik
  2. Client
  3. Perusahaan
  4. Rekan Kerja
  5. Diri Sendiri
Kode Etik juga mengatur hubungan kita dengan rekan kerja. Bahwa kita harus selalu adil, jujur dengan rekan kerja kita. Tidak boleh kita sengaja mencebloskan rekan kerja kita dengan memberi data atau informasi yang salah/keliru. Persaingan yang tidak sehat ini akan merusak profesi secara umum apabila dibiarkan berkembang.

Karyawan IT di client mestinya juga mengambil Kode Etik tersebut, sehingga bisa terjalin hubungan profesional antara konsultan dengan client. Bertindak fair adil, jujur terhadap kolega juga berlaku bagi karyawan IT di organisasi client dalam memperlakukan vendornya.

Beberapa perlakuan yang tidak adil terhadap kolega, antara lain:
  1. Menganggap kita lebih baik dari rekan kita karena tools yang digunakan. Misalnya, kita yang menggunakan bahasa JAVA lebih baik daripada orang lain yang pakai Visual BASIC.
  2. Kita merasa lebih senior dari orang lain, oleh karena itu kita boleh menganggap yang dikerjakan orang lain lebih jelek dari kita, bahkan tanpa melihat hasil kerjanya terlebih dahulu.
  3. Seorang profesional IT di client merasa lebih tinggi derajatnya daripada profesional IT si vendor sehingga apapun yang disampaikan olehnya lebih benar daripada pendapat profesional IT vendor


Jenis-jenis Ancaman Thread Melalui IT
Kejahatan yang berhubungan erat dengan penggunaan teknologi yang berbasis komputer dan jaringan telekomunikasi ini dikelompokkan dalam beberapa bentuk sesuai modus operandi yang ada, antara lain:

Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukannya hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi Internet/intranet. Kita tentu belum lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam data base berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang ecommerce yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini beberapa waktu lamanya.

Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke Internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya, pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah dan sebagainya.

Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless document melalui Internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku karena korban akan memasukkan data pribadi dan nomor kartu kredit yang dapat saja disalahgunakan.

Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data pentingnya (data base) tersimpan dalam suatu sistem yang computerized (tersambung dalam jaringan komputer).

Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan Internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku.

Offense against Intellectual Property
Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di Internet. Sebagai contoh, peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di Internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya.

Infringements of Privacy
Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.

Tipe cybercrime menurut Philip Renata:
  1. Joy computing, yaitu pemakaian komputer orang lain tanpa izin.
  2. Hacking, yaitu mengakses secara tidak sah atau tanpa izin dengan alat suatu terminal.
  3. The trojan horse, yaitu manipulasi data atau program dengan jalan mengubah data atau intsruksi pada sebuah program, menghapus, menambah, menjadikan tidak terjangkau, dengan tujuan kepentingan pribadi atau orang lain.
  4. Data leakage, yaitu menyangkut pembocoran data ke luar terutama mengenai data yang harus dirahasiakan.
  5. Data diddling, yaitu suatu perbuatan yang mengubah data valid atau sah dengan cara tidak sah, mengubah input data atau output data.
  6. To frustate data communication atau penyia-nyiaan data komputer.
  7. Software piracy, yaitu pembajakan software terhadap hak cipta yang dilindungi Hak atas Kekayaan Intelektual (HaKI).
Modus Kejahatan Cybercrime Indonesia (Roy Suryo):
  1. Pencurian nomor (kartu) kredit
  2. Memasuki, memodifikasi, atau merusak homepage (hacking)
  3. Penyerangan situs atau e-mail melalui virus atau spamming.
Kasus Cybercrime yang sering Terjadi di Indonesia (As’ad Yusuf):
  1. Pencurian nomor kartu kredit;
  2. Pengambilalihan situs web milik orang lain;
  3. Pencurian akses internet yang sering dialami oleh ISP;
  4. Kejahatan nama domain;
  5. Persaingan bisnis dengan menimbulkan gangguan bagi situs saingannya.


Focus Cybercrime
Kejahatan Di Dunia Cyber
Cyber crime menjadi momok yang menakutkan seiring dengan tumbuh berkembangnya teknologi internet, sebuah jaringan informasi global tanpa batas wilayah negara. Di mana akses komunikasi dan informasi melalui teknologi ini hanya memerlukan waktu sekian per detik, meskipun jarak di antara komunikator (misalnya) dipisahkan 2 benua. Contoh cyber crime yang kini marak di antaranya adalah; penjebolan kartu kredit; penipuan berkedok usaha di dunia internet, dll. Kini, pornografi melalui jaringan internet, juga menjadi sebuah masalah baru. Banyak tokoh berpendapat bahwa pornografi juga merupakan salah satu kejahatan dunia cyber, bahkan dianggap lebih berbahaya dari sekedar penjebolan kartu kredit. Karena, kejahatan ini tidak berbicara sesaat, tetapi akan merusak setiap angkatan generasi secara sistematis.

Di Indonesia, penggunaan internet untuk segala macam aktivitas terus meningkat tajam. Menurut Ketua Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) Sylvia Sumarlin, saat ini pengguna internet di Indonesia pada akhir tahun 2007, tercatat mencapai 25 juta orang. Dibanding tahun 2006, pertumbuhan pengguna internet di Indonesia naik 25 persen, dari sebelumnya 20 juta di akhir 2006. Sementara menurut GM Sales & Customer Service Telkomsel Mirza Budiwan, pengguna internet di Indonesia diperkirakan mencapai 57,8 juta pada 2010 (sumber: detik.net 25/01/2008. Diakses Senin 25/02/2008). Di antara jumlah pengguna internet ini, sangat memungkinkan memunculkan hacker-hacker selanjutnya, yang berpotensi menghancurkan negara melalui kehatan dunia maya.

Bisa kita bayangkan, katakanlah jika pada tahun 2007 pengguna internet sebanyak 25 juta orang, dan seribu di antaranya adalah hacker, lalu seribu lainnya adalah calon hacker, maka pada tahun 2008 akan muncul 2000 hacker, yang secara terus menerus jumlahnya akan bertambah dari tahun-ke tahun. Sementara perangkat hukum kita belum siap menangani masalah ini. Baik sumber daya penegak hukum maupun aturan hukum itu sendiri.

Contoh Kasus Cybercrime
Mengambil Alih PC Anda: Zombie, Botnet, dan Blackmail
Betty Carty, 54 seorang nenek dengan 3 cucu di New Jersey, terkejut ketika penyedia akses internetnya menghentikan akses e-mailnya. Alasannya: seorang penyusup telah mengambil alih PC Carty dan mengubahnya menjadi alat untuk mengirimkan sekitar 70.000 e-mail dalam satu hari.”

Mesin Carthy menjadi sesuatu yang kerap disebut zombie atau drone, sebuah komputer yang diambil alih secara rahasia dan diprogram untuk merespons instruksi yang dikirimkan dari jauh, acap kali dengan saluran instant-messaging. Akan tetapi, PC wanita New Jersey ini adalah salah satu dari beberapa komputer pribadi rumahan dan bisnis yang disebut &Met singkatan dari “robot network”, sebuah jaringan komputer yang dibuat untuk menjadi Trojan horse yang menempatkan instruksi dalam setiap PC lain menunggu perintah dari orang yang mengontrol jaringan tersebut. Jaringan yang dikontrol dari jarak jauh ini bisa dideteksi secara baik oleh penyedia akses internet, yang bisa memblokir koneksi jaringan yang tidak di izinkan dan membantu pengguna untuk menghapus infeksi dari PC mereka.
Komputer zombie dan botnet digunakan untuk meluncurkan serangan phising atau mengirim pesan spam. Mereka juga bisa digunakan untuk mengirim serangan denial-of¬service (DoS), barangkali untuk mendapatkan uang dari situs yang disasar sebagai usaha balas dendam karena telah menghambat serangan. Misalnya, sebuah cyber-blackmailer mengancam akan melumpuhkan server milik sebuah perusahaan pemroses pembayaran online jika mereka tidak mengirim uang sebesar 10.000 dolar melalui bank—dan ketika perusahaan itu menolak, servernya diserang dengan banyak data selama empat hari.” Blackmail juga digunakan dalam usaha pencurian nomor kartu kredit atau dokumen.”

Seorang pencuri memasuki sistem milik pengecer internet CD Universe dan mencuri 300.000 nomor kartu kredit pelanggan. Dan ketika eksekutif perusahaan menolak untuk membayar tagihan belanja mereka, pencuri itupun menyerah. Peristiwa terbaru, peneliti keamanan lupa menutup plot sehingga seseorang mengunci dokumen elektronik milik orang lain. Praktis mereka menjadi sanders, dan pelaku meminta sang sebesar 200 dolar (dikirim melalui e-mail) sebagai jaminan untuk mengirim kunci digital untuk membuka file.”


IT Audit, Real Time Audit, IT Forensic
IT Audit
IT Audit atau Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mulanya istilah ini dikenal dengan audit pemrosesan data elektronik, dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Jenis IT Audit
  1. System Audit, audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional
  2. Compliance Audit, untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol, dan unsur hukum yang lain.
  3. Product/Service Audit, untuk menguji sutu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan
Tahapan IT Audit
  1. Tahapan Perencanaan. Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
  2. Mengidentifikasikan resiko dan kendali. Tahap ini untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.
  3. Mengevaluasi kendali dan mengumpulkan bukti-bukti melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
  4. Mendokumentasikan dan mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.
  5. Menyusun laporan.Hal ini mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Real Time Audit
Real Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan, di mana pun mereka berada. Ini mengkombinasikan prosedur sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan "siklus proyek" pendekatan untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.

RTA menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat "terlihat di atas bahu" dari manajer kegiatan didanai sehingga untuk memantau kemajuan. Sejauh kegiatan manajer prihatin RTA meningkatkan kinerja karena sistem ini tidak mengganggu dan donor atau investor dapat memperoleh informasi yang mereka butuhkan tanpa menuntut waktu manajer. Pada bagian dari pemodal RTA adalah metode biaya yang sangat nyaman dan rendah untuk memantau kemajuan dan menerima laporan rinci reguler tanpa menimbulkan beban administrasi yang berlebihan baik untuk staf mereka sendiri atau manajemen atau bagian dari aktivitas manajer.

Penghematan biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan dan meningkat seiring kemajuan teknologi dan teknik dan kualitas pelaporan dan kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas manajer

IT Forensic
IT Forensic merupakan penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara barang bukti tindakan kriminal.

Tujuan
Mendapatkan fakta-fakta obyektif dari sebuah insiden/pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi bukti-bukti (evidence) yang akan digunakan dalam proses hukum selanjutnya.

Pengetahuan Ahli Forensik Komputer
  1. Dasar-dasar hardware dan pemahaman bagaimana umumnya sistem operasi bekerja.
  2. Bagaimana partisi drive, hidden partition, dan di mana tabel partisi bisa ditemukan pada sistem operasi yang berbeda.
  3. Bagaimana umumnya master boot record tersebut dan bagaimana drive geometry.
  4. Pemahaman untuk hide, delete, recover file dan directory bisa mempercepat pemahaman pada bagaimana tool forensik dan sistem operasi yang berbeda bekerja.
  5. Familiar dengan header dan ekstension file yang bisa jadi berkaitan dengan file tertentu.
Prinsip IT Forensic
  • Forensik bukan proses hacking
  • Data yang diperoleh harus dijaga dan jangan berubah
  • Membuat image dari HD/Floppy/USB-Stick/Memory-dump adalah prioritas tanpa merubah isi dan terkadang menggunakan hardware khusus
  • Image tersebut yang diolah (hacking) dan dianalisis – bukan yang asli
  • Data yang sudah terhapus membutuhkan tools khusus untuk merekonstruksi kembali
  • Pencarian bukti dengan tools pencarian teks khusus atau mencari satu persatu dalam image
Perbedaan Audit Around Aomputer Dan Through The Computer
Auditing adalah proses sistematik dengan tujuan untuk mendapatkan dan mengevaluasi fakta yang berkaitan dengan asersi mengenai kejadian dan tindakan ekonomi untuk memastikan kesesuaian antara asersi dengan kriteria yang ditetapkan dan mengkomunikasikan hasilnya kepada pemakai yang berkepentingan.

Auditing-around the computer
Pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah langkah proses secara langsung, hanya berfokus pada input dan output dari sistem computer.
Kelemahannya:
  1. Umumnya data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara manual
  2. Tidak membuat auditor memahami sistem computer lebih baik
  3. Mengabaikan pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial dalam system.
  4. Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
  5. Kemampuan computer sebagai fasilitas penunjang audit mubazir
  6. Tidak mencakup keseluruhan maksud dan tujuan audit
Auditing-through the computer
Pendekatan audit yang berorientasi computer yang secara langsung berfokus pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.

Tidak ada komentar:

Posting Komentar