Saya mencoba mendefinisikan secara singkat apa Audit IT itu sendiri. Audit IT adalah suatu proses pemeriksaan dan pengujian terhadap infrastruktur dari Teknologi Informasi yang ada pada suatu badan atau organisasi, untuk mendukung dari Goal yang diinginkan oleh manajemen. Jaman dulu, Audit IT dikenal dengan sebutan EDP Auditing (Electronic Data Processing).

Audit IT berfungsi atau bertujuan untuk meninjau dan mengevaluasi beberapa faktor, seperti : Ketersediaan, Keamanan dan kelengkapan dari Sistem Informasi yang digunakan oleh organisasi tersebut.

Pada tahun 1954 sampai dengan 1960-an, profesi audit masih menggunakan komputer. Pada pertengahan 1960-an terjadi perubahan pada mesin komputer, dari mainframe menjadi komputer yang lebih kecil dan murah. Pada tahun 1968, American Institute of Certified Public Accountants (AICPA) ikut mendukung pengembangan EDP auditing. Sekitar periode ini pula para auditor bersama-sama mendirikan Electronic Data Processing Auditors Association (EDPAA).

Tujuan lembaga ini adalah untuk membuat suatu tuntunan, prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal sebagai Control Objectives for Information and Related Technology (CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke internet. Pada akhirnya perubahan-perubahan tersebut ikut pula menentukan perubahan

SUMBER 1

SUMBER 2

SUMBER 3

Sekedar sharing sedikit saja untuk pengertian vulnerabilities dengan penetration test atau sering disingkat menjadi Pentest. Kemarin sempat ada beberapa pertanyaan mengenai perbedaan di kedua istilah tersebut.

Vulnerability Assesment adalah kegiatan melakukan scanning kepada sistem yang digunakan oleh pihak user baik dari sisi operating system, software dan perangkat lainnya. Testing ini hanya bertujuan untuk memperoleh informasi apa saja yang menjadi kelemahan di sistem tersebut.

Contohnya ketika kita menggunakan OS windows, biasanya ada notifikasi untuk update patch si OS tersebut. Nah jika kita tidak mengupdatenya maka akan terjadi dampak yang kritikal untuk OS kita.

Microsoft Security Bulletin MS14-016 - Important
Vulnerability in Security Account Manager Remote (SAMR) Protocol Could Allow Security Feature Bypass (2934418)

Contoh Vuln diatas saya dapatkan dari :
http://technet.microsoft.com/en-us/s...urity/dn481339

Nah Vuln Assesment hanya melakukan scanning saja bahwa ada celah di sistem anda dengan mengacu dari buletin yang telah dipublish oleh vendor2 penyedia jasa seperti microsoft dkk.

Tools yang digunakan untuk Vuln Assesment antara lain:
Open Vas (http://www.openvas.org)
Nessus (www.tenable.com/products/nessus)
Nexpose (https://www.rapid7.com/products/nexpose)
Acunetix

Penetration Testing (PENTEST) adalah kegiatan testing yang dilakukan untuk mencari kelemahan dari sistem tersebut dan bagaimana mendapatkan hak akses ke dalam sistem tersebut untuk mendapatkan informasi atau data-data yang ada. Pentest ini dilakukan secara resmi dan harus mendapatkan ijin dari pihak user. Pentest itu mempunyai beberapa metode seperti Blackbox, Whitebox dan Greybox Testing.

Jadi Pentest dengan kata lain lebih komplit daripada Vuln Assesment dikarenakan sampai mencoba masuk serta mendapatkan informasi yang ada pada sistem tersebut. Nanti jika sudah selesai melakukan kegiatan tersebut, harus terdapat laporan hasil pentest dari mulai ruang lingkup, objeknya, metodelogi, hasil dan dampaknya serta kesimpulannya.

Software untuk Pentest antara lain:
Metasploit
Armitage

Tapi jika dari pribadi saya sendiri lebih menyukai menggunakan OS Backtrack atau Kali Linux dikarenakan sudah lengkap tools untuk melakukan pentest. Tinggal buat skema dan planningnya trus klik klik dan ketik2 deh di console

Biasanya vendor-vendor yang melakukan kegiatan Pentest pasti ada embel2 gelar kaya :
- CEH, ECSA, LPT (ECCOUNCIL)
- OSCP, OSCE (Offensive Security)

Tapi ga cuman gelar seperti diatas saja tapi biasanya dikombinasikan dengan gelar seperti: CISA, CISM, CISSP, Lead Auditor ISO 27001, dll.

Saya akan mencoba membahas tentang life cycle audit itu seperti apa sih dan informasi dibawah ini saya pelajari dari ISO 19011 (Auditing Management System) sebagai berikut:

a. Supervisor atau Kepala Audit menunjuk atau membuat tim yang akan melakukan kegiatan audit tersebut. Disini harus ada penunjukkan siapa yang menjadi Ketua Tim.

b. Ketua tim audit membuatkan semacam draft untuk program audit. Program tersebut terdiri dari: Pemilihan dan penunjukkan anggota tim audit, pembuatan checklist audit yang akan digunakan, penyusunan jadwal, penentuan ruang lingkupnya dan dasar acuan/best practice apa saja yang akan digunakan (Metodologi).

c. Ketua tim mengajukan kepada kepala / supervisornya atas poin b diatas. Jika sudah disetujui maka langkah selanjutnya adalah mengumpulkan anggota tim dan melakukan briefing untuk persiapan kegiatan tersebut.

d. Ketua menginformasikan kepada Auditee untuk jadwal dll disertai dengan surat tugas (tergantung kebijakan organisasi).

e. Melakukan opening meeting antara Auditor dengan Auditee. Disini akan menjelaskan pelaksanaan audit, mulai dari tujuan audit, ruang lingkup, waktu pelaksanaan, metodologi audit, checklist audit, permintaan data, menunjuk Auditee siapa aja yang bertanggung jawab untuk bagian kegiatan .... dan .....

f. Apabila menemukan hal-hal yang tidak sesuai dengan kebijakan, sop internal auditee atau tidak sesuai dengan industry best practice dituangkan dalam kertas kerja. Temuan audit tersebut harus dirembukkan oleh tim untuk menentukan hal-hal seperti kategori temuan (minor atau major), risiko dan dampaknya serta hal lainnya.

g. Berikan hasil temuan tersebut kepada Auditee yang telah diparaf atau tandatangan si Auditor dan dijelaskan kepada Auditee terkait temuan tersebut. Auditee harus memberikan tanggapan dan penyelesaiannya seperti apa dan kapan.

h. Lakukan Pra exit meeting untuk membahas temuan dan bagaimana tanggapan dari auditee.

i. Jika temuan tersebut sudah tidak ada yang dipertanyakan lagi dan sudah rapih kertas kerja audit, maka lakukan closing meeting. Kegiatan ini dilakukan untuk membahas kembali temuan yang sudah di follow up sebelum closing meeting ini. Kemudian membahas juga temuan yang belum bisa di follow up dan kendalanya seperti apa saja itu diutarakan di closing ini.

(Poin h dan i sebenarnya bisa digabungkan jika waktu mepet banget. Tinggal kesepakatan kedua belah pihak)

j. Jika sudah rapih langkah-langkah diatas, maka Ketua Tim membuatkan Laporan hasil kegiatan tersebut dengan lengkap dan kertas kerja serta dokumen lainnya sebagai bahan pendukungnya.

k. Berikan hasil laporan tersebut kepada manajemen perusahaan.

l. Kemudian jika Auditor internal, lakukan monitoring secara periodik sesuai dengan komitmen hasil temuan tersebut dan terus mengulang langkah-langkah kegiatan audit ini.


Sekian sharing dari saya dan jika ada kesalahan itu berasal dari saya.