A. Audit (Jaringan Komputer) 1. Audit Audit adalah suatu proses yang sistematik untuk mendapatkan dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan mengenai kegiatan dan kejadian , dengan tujuan untuk menentukan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta menyampaikan hasil-hasilnya kepada pihak-pihak yang berkepentingan 2. Sasaran •
Dapat mengidentifikasi kelebihan dan kekurangan suatu jaringan komputer.
•
Dapat mengevaluasi sistem keamanan pada jaringan komputer.
•
Memahami konsep dasar audit jaringan komputer.
•
Memahami dasar-dasar teknik audit jaringan komputer.
•
Mengetahui dan memahami fasilitas yang sudah ada, dan untuk lebih di tingkatkan
3. Jenis Audit Audit jaringan komputer secara umum dapat dibagi menjadi dua bagian, yaitu Performance Audit dan Security Audit. Performance Audit lebih menitikberatkan pada peningkatan kinerja jaringan komputer. Sedangkan Security Audit lebih menitikberatkan pada sistem keamanan jaringan komputer. 3.a Performance Audit Performance audit adalah sebuah audit dalam rangka mendapatkan gambaran mengenai kinerja sebuah organisasi/perusahaan secara keseluruhan. Performance audit lebih menekankan pada aspek kebutuhan organisasi dalam meningkatkan proses bisnis dan memenangkan kompetisi. Performance audit akan menghasilkan angka-angka yang dengan diolah menggunakan metode statistik
akan
memberikan
organisasi/perusahaan.
gambaran
langkah-langkah
yang
harus
diambil
oleh
Performance audit adalah pengujian yang obyektif dan sistematis yang berkaitan dengan program, aktivitas, fungsi, sistem manajemen dan prosedur melalui assessmen dalam rangka pencapaian target yang ada untuk mendapatkan keuntungan secara ekonomi, efisiensi dan efektifitas penggunaan sumber daya yang ada. 3.b Security Audit Security Audit adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian, yaitu: •
Penilaian otomatis
•
Penilaian non-otomatis.
Penilaian otomatis, berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll. Penilaian non-otomatis, berhubungan dengan kegiatan wawancara kepada staf yang menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke sistem operasi dan software aplikasinya, serta analisis semua akses fisik terhadap sistem komputer secara menyeluruh. Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC, server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang dipakai oleh organisasi atau perusahaan yang bersangkutan. 4. Metode Audit Jaringan Proses audit untuk jaringan komputer akan semakin kompleks jika sistemnya semakin besar dan terintegrasi satu sama lainnya. Untuk mempermudah hal tersebut, teknik audit terhadap jaringan komputer harus di break-down berdasarkan layer-layer dari 7-layer pada Open System Interconnection (OSI). Pendekatan auditnya dapat dilakukan dari dua arah, yaitu pendekatan Top-down dan pendekatan Bottom-up.
5. Identifikasi Melalui Layer OSI Sebelum melakukan audit, ada baiknya terlebih dulu mengetahui mengenai komponen apa saja yang terdapat di tiap-tiap layer. Hal ini berfungsi untuk memudahkan kita dalam menentukan target audit (obyek yang akan di audit). 6. Pendekatan Top-down Audit dengan pendekatan Top-down adalah dengan memulai melakukan identifikasi dari layer OSI yang tertinggi, yaitu Application Layer menuju ke layer yang terendah, yaitu Physical Layer. Berarti audit dilakukan dari perangkat lunak (software) aplikasi komunikasi dan berakhir di infrastruktur komunikasi. 7. Pendekatan Bottom-up Audit dengan pendekatan Bottom-up adalah kebalikan dari pendekatan Top-down, yaitu dengan memulai melakukan identifikasi dari layer OSI yang terendah, yaitu Physical Layer menuju ke layer yang tertinggi, yaitu Application Layer. Dalam hal ini audit dimulai dari infrastruktur komunikasi dan berakhir di perangkat lunak (software) aplikasi komunikasi. 8. Prosedur audit 1. Memeriksa apakah ada fungsi manajemen Jaringan yang kuat dengan otoritas untuk membuat standar dan prosedur 2. Memeriksa apakah tersedia dokumen mengenai inventarisasi peralatan Jaringan, termasuk dokumen penggantian peralatan 3. Memeriksa apakah tersedia prosedur untuk memantau network usage untuk keperluan peningkatan kinerja dan penyelesaian masalah yang timbul 4. Memeriksa apakah ada control secara aktif mengenai pelaksanaan standar untuk aplikasiaplikasi on-line yang baru diimplementasikan
9. Fungsi Audit Jaringan •
Untuk memonitor setiap perubahan pada konfigurasi kemanan jaringan
•
Untuk mengetahui siapa saja yang mengakses file-file tertentu
•
Untuk memonitor aktifitas dari sejumlah user jaringan
•
Untuk menyimpan rekaman kegiatan login dan logout berdasarkan tanggal dan waktu
B. Audit Keamanan Jaringan Komputer Secara garis besar, audit terhadap sebuah sistem keamanan jaringan komputer dibagi kedalam 3 kategori yaitu: audit terhadap hak akses (privilege audit), audit terhadap penggunaan sumber daya (usage audit), audit terhadap eskalasi (escalation audit). 1. Privilege Audit Audit jenis ini tujuannya adalah untuk melakukan verifikasi apakah “group”, “roles” dan “account” sudah diterapkan dengan tepat dalam sebuah organisasi dan keamanan yang di terapkan didalamnya juga sudah tepat. Audit ini juga melakukan verifikasi apakah kebijakankebijakan yang di terapkan dalam sebuah organisasi sudah diikuti dengan benar atau belum, sudah akurat atau belum, dan apakah akses ke sistem sudah di terapkan dengan benar.
Gambar 1 Privilege Audit Salah Satu Metode Audit
Privilege audit dilakukan dengan cara melakukan review secara lengkap terhadap semua “group” dan “account” dalam sebuah sistem jaringan untuk sebuah organisasi. Misalnya,ketika seorang karyawan di mutasi dalam sebuah organisasi, maka nama karyawan tersebut seharusnya di hapus dari grupnya yang lama. Kesalahan dalam melakukan hal tersebut dapat menyebabkan seorang user bisa mendapatkan akses lebih tinggi dari yang seharusnya didapatkan oleh user tersebut.
Gambar 2 Pengaturan Groups dan Account yang Tepat, Salah Satu Metode Privilege Audit
2. Usage Audit Audit jenis ini melakukan verifikasi apakah perangkat lunak dan sistem yang digunakan dalam sebuah organisasi dipakai secara konsisten dan tepat sesuai dengan kebijakan yang berlaku dalam organisasi tersebut. Audit ini akan melakukan review secara lengkap dari sisi fisik sebuah sistem, mem-verifikasi konfigurasi perangkat lunak, dan aktifitas-aktifitas sistem yang lain.
Gambar 3 Usage audit meruapakan salah satu metode audit sistem
Perhatian yang utama dari audit jenis ini adalah bagaimana peng- instalan dan lisensi perangkat lunak dengan benar. Organisasi harus menguji sistem secara berkala untuk melakukan verifikasi bahwa hanya perangkat lunak yang di lisensi oleh organisasi tersebut yang boleh di instal di setiap komputer yang ada dalam organisasi tersebut.
Gambar 4 Penggunaan Software yang ber-lisensi salah satu parameter usage audit
Selain masalah perangkat lunak dan keamanan fisik sistem yang di audit, hal yang juga menjadi pertimbangan adalah masalah lubang keamanan yang mungkin saja di timbulkan oleh perangkat lunak yang di instal di dalam sistem organisasi tersebut. Sehingga harus dapat dipastikan bahwa perangkat lunak-perangkat lunak yang di instal tersebut sudah di update sesuai dengan kebutuhannya.
Gambar 5 Mekanisme update software termasuk dalam parameter usage audit
Audit ini juga melakukan pengujian terhadap penggunaan jaringan komputer dalam sebuah organisasi. Pengecekan dilakukan untuk mengetahui apakah sumber daya jaringan komputer
digunakan sesuai dengan peruntukannya atau tidak. Setiap penggunaan jaringan yang tidak sesuai penggunaannya akan diberi tanda oleh proses audit ini dan dapat di hentikan sebelum hal ini menjadi masalah di kemudian hari. 3. Escalation Audit Eskalasi audit mem-fokuskan seputar bagaimana pihak manajemen/ decision-makers mengendalikan sistem jaringan jika menemukan masalah darurat terhadap sistem tersebut. Jenis
audit
ini
akan
melakukan
pengujian
bagaimana
sebuah organisasi mampu
menghadapi masalah-masalah yang mungkin muncul ketika keadaan darurat terjadi. Misalnya, pengujian dan proses verifikasi sistem terhadap “disaster recovery plans” dan “business continuity plans”. Jenis-jenis perencanaan ini dapat menjadi “outdated” secara cepat dan sebuah proses audit dapat digunakan untuk menjamin bahwa segala sesuatunya dapat di selesaikan dan rencana-rencana tersebut dapat sukses di terapkan jika masalah terjadi pada sistem jaringan komputer organisasi tersebut.
C. TOOLS IT AUDIT Tools yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi Informasi. Tidak dapat dipungkiri, penggunaan tool-tool tersebut memang sangat membantu Auditor Teknologi Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun akurasinya. Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi. 1. ACL ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.
ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik. 2. Picalo Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik. Berikut ini beberapa kegunaannya : •
Menganalisis data keungan, data karyawan
•
Mengimport file Excel, CSV dan TSV ke dalam databse
•
Analisa event jaringan yang interaktif, log server situs, dan record sistem login
•
Mengimport email kedalam relasional dan berbasis teks database
•
Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.
3. Powertech Compliance Assessment Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400. 4. Nipper Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.
Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat jaringan infrastruktur. 5. Nessus Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan. 6. Metasploit Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan. 7. NMAP NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING) 8. Wireshark Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.