Audit Sistem Informasi

Audit Sistem Informasi (Information System Audit) adalah proses pengumpulan data dan mengevaluasian bukti untuk menentukan suatu sistem aplikasi komputer yang telah diterapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktivitas yang di lakukan dilindungi oleh security dengan baik, terjaminnya integritas data-data yang ada, efektif dan efesien sistem tersebut berbasis komputer.

Secara umum Audit TI yaitu suatu proses kontrol pengujian terhadap struktur teknologi informasi yang berhubungan dengan masalah finansial dan internal. Audit TI dapat disebutjuga dengan EDP yaitu Electronic Data Processing yang digunakan untuk menguraikan 2 jenis aktivitas yang berkaitan dengan komputer. Salah satunya adalah untuk menjelaskan proses penelaahan dan evaluasi pengendalian internal dalam EDP. Pada aktivitas ini disebut sebagai auditing melalui komputer. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain Tradisional Audit, Managemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer dan Behavioral Science.

Pengertian Audit Sistem Informasi Menurut Para Ahli

Ada beberapa pengertian audit sistem informasi menurut para ahli, diantaranya yaitu:

• Menurut Ron Weber (1999) , System Information Auditing is the process of collecing and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to the achieved effectively and uses resources efficiently. (Audit Sistem Informasi adalah proses mengumpulkan dan mengevaluasi fakta untuk memutuskan apakah sistem komputer yang merupakan aset perusahaan terlindungi, integritas data terpelihara, sesuai dengan tujuan organisasi untuk mencapai efektifitas dan efisiensi dalam penggunaan sumber daya).
• Menurut Alvin A. Arens dan James K.Loebbecke, Auditing is the accumolatuin and evaluation of evidence about information to dtermine and report on the degree of correspondence between the information and establishe criteria. Examining ought to be finished by a skillful autonomous individual.

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi dapat dikelompokan menjadi 2 aspek utama, diantaranya yaitu:

1. Conformance (kesesuaian) : difokuskan untuk mendapatkan kesimpulan dari aspek kesesuaian yakni Kerahasiaan (Confidentiality), Integritas (Integrity), Ketersediaan (Availability), dan Kepatuhan (Compliance).
2. Performance (kinerja) : difokuskan untuk mendapatkan kesimpulan atas aspek kinerja yakni Efektifitas (Effectiveness), Efesiensi (Efficiency), dan Kehandalan (Realibility).

       Beberapa objek yang menjadi tujuan audit adalah meliputi :

1. Objek Perlindungan Aset (Asset Safeguarding Objectives) . Aset SI didalam organisasi adalah HW, SW, fasilitas, user (konwledge), file data, dokumentasi sistem dan persediaan barang. Sebaiknya semua aset harus dilindungi oleh sistem pengendalian internal.
2. Objek Integritas Data (Data Integrity Objectives). Integriti data ialah konsep dasar didalam audit SI. Data terdiri dari atribut-atribut yang berisi: kelengkapan, dapat dipercaya, bersih dan benar. Jika integritas data tidak dipelihara, maka organisasi tidak akan mendapatkan represntasi data yang benar untuk suatu aktifitas, akibatnya organisasi tidak dapat berkompetisi.
     Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.
   keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
   perlu pengorbanan biaya.
      Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.
3. Objek Efektivitas Sistem (System Effectiveness Objectives). Audit efektivitas sering dilakukan setelah sistem berjalan untuk beberapa waktu. Manajemen membutuhkan hasil audit efektivitas untuk mengambil keputusan apakah sistes terus dijalankan atau dihentikan sementara untuk proses modifikasi.
      Menjaga efektivitas sistem, sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.
   Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. 
       Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan
   Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya
4. Objek Efisiensi Sistem (System Efficiency Objectives). Efisiensi SI dilakukan dengan cara menggunakan sumber daya minimum untuk menyelesaikan suatu tujuan objek. Variasi sumber daya terdiri dari mesin, waktu, peripheral, S/W sistem dan pekerja. Tujuan dari perlindungan aset, integritas data, efektivitas sistem dan efisiensi sistem dapat dicapat dengan baik jika manajemen organisasi meningkatkan sistem pengendalian internalnya.

Secara umum, tujuan audit sistem informasi yaitu:

• Untuk memeriksa kecukupan pengendalian lingkungan, keamanan fisik, keamanan logikal serta keamanan operasi sistem informasi yang dirancang untuk melindungi piranti keras, piranti lunak dan data terhadap akses yang tidak sah, kecelakaan atau perubahan yang tidak dikehendaki.
• Untuk memastikan sistem informasi benar-benar sesuai dengan kebutuhan sehingga dapat membantu organisasi untuk mencapai tujuan strategis.

Peralatan Audit Sistem Informasi

Nessus

Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan.

Proyek Nessus dimulai oleh Renaud Deraison pada tahun 1998 untuk memberikan kepada komunitas Internet sebuah scanner keamanan jarak jauh yang bebas. 

Nessus terbagi menjadi 3 versi, yaitu:

• Nessus Home - untuk personal.
• Nessus Professional - untuk penggunaan komersial.
• Nessus Manager/ Nessus Cloud - vulnerability manajemen untuk expert security.

Ketika menjalankan Nessus maka akan ada 3 tahap yaitu : 

• Scanning

Tahap ini melakukan pengecekan untuk mengetahui mana host yang hidup (live) dengan cara mengirimkan ICMP echo. Kemudian selanjutnya bisa host tersebut diketahui live akan diteruskan dengan port scanning.

• Enumeration

Pada tahap ini nessus akan melakukan pemeriksaan kepada host yang live dengan mencari banner grabbing yang bisa menunjukkan jenis, tipe dan versi OS yang digunakan oleh host. Tergantung dari sistemnya dife ini dimungkinkan untuk melakukan test penjebolan account dan password dengan metode brute force. 

• Deteksi Vulnerability

Setelah fase 2 selesai maka nessus akan melanjutkan dengan mencari vulnerability yang sesuai terdapat pada host targer misalnya input validasi ouffer overflows, konfigurasi yang tidak tepat dll.

Pemilihan rilis Nessus utama oleh Tenable meliputi:

• Nessus 4.0 pada tanggal 9 April 2009 

• Nessus 5.0 pada 15 Februari 2012 

• Nessus 6.0 pada 14 Oktober 2014 

• Nessus 7.0 pada 12 Desember 2017 

Kelebihan Nessus :

• Advanced vulnerability scanning dan configuration audit.
• Mampu mendeteksi process/program mencurigakan dan juga worms.
• Mampu melakukan multiple network scanning (IP, IPv6, Hybrid).
• Automatic scanning scheduler.
• Custom report & Notification.

Kekurangan Nessus :

• Sulit menumukan issue tertentu karna biasanya hasil scanningnya merupakan general case. Biasanya butuh versi profesional untuk fitur yang lebih baik.

Cara Kerja Nesus 

Nessus melakukan scanning berdasarkan Security Policy Plugin yang kita aktifkan (enabled) sebelum melakukan scanning. Security Policy sendiri murapakan suatu set aturan yang menetapkan hal-hal apa saja yang diperbolehkan dan apa saja yang dilarang terhadap penggunaan atau pemanfaatan akses pada sebuah sistem selama operasi normal. Contoh misal, nessus dapat mengertahui port mana saja yang terbuka pada sebuah komputer yang terhubung ke sebuah jaringan, misalnya Internet. Dengan mengetahui port mana saja yang terbuka, kita dapat mengetahui kemungkinan penyebab kerusakan atau mengetahui jalur mana saja yang dimungkinkan untuk mengakses komputer kita.

Kesimpulannya adalah alat kerja tool Nessus ini akan memproses file yang dimasukkan dan mereload data khusus dibagian securitynya. Lama atau tidaknya reload file tersebut tergantung dengan kecepatan jaringan yang digunakan.

Referensi

https://www.pelajaran.id/2017/20/pengertian-audit-sistem-informasi-tujuan-dan-jenis-audit-sistem-informasi-menurut-para-ahli.html

http://www.academia.edu/6780175/Tugas_Audit_Software_Audit_TI
http://edysusanto.com/sekilas-tentang-nessus/
http://www.itfreelanceindo.com/readnews/148/Tiga-Network-Scanning-Tools-Paling-Populer.html
http://alexbucely.blogspot.com/2013/07/makalah-keamanan-jaringan-komputer.html