1. PENGERTIAN ACL
ACL(Audit Command Language) adalah aplikasi yang hanya ‘read-only’, ACL tidak pernah mengubah data sumber asli sehingga aman untuk menganalisis jenis live-data. Keanekaragaman sumber data dan teknologi akses data, cara mengakses data juga bervariasi dari satu sumber data ke lain. ACL membaca beberapa sumber data secara langsung dengan mengimpor dan menyalin sumber data sehingga dapat dianalisis. ACL dirancang khusus untuk menganalisa data dan menghasilkan laporan audit baik untuk pengguna biasa (common/nontechnical users) maupun pengguna ahli (expert users). Dengan menggunakan ACL, pekerjaan auditing akan jauh lebih cepat daripada proses auditing secara manual yang memerlukan waktu sampai berjam-jam bahkan sampai berhari-hari.
2. SEJARAH ACL
ACL dikembangkan sejak tahun 1970-an oleh Prof. Hart J. Will dari Canada dan kemudian dikelola oleh ACL Services Ltd, Vancouver, Canada, dan merupakan pemimpin pasar dalam teknologi pengambilan data, analisis data, serta pelaporan (hasil survey tahunan The Institute of Internal Auditors, USA, 2005).
ACL telah dikembangluaskan dengan fungsi untuk memenuhi kebutuhan analisis data seluruh aktivitas bisnis operasional di dalam perusahaan, di antaranya pada bidang audit untuk analisis data, pencocokan dan pembandingan data, laporan penyimpangan, dsb; pada bidang IT (Information Technology) untuk data migration, data cleansing, data matching, data integrity testing; selain itu juga untuk analisis, konsolidasi, rekonsiliasi data, dan pelaporan pada divisi lain seperti Keuangan, Pemasaran, Distribusi, Operasional, dan lain sebagainya.
ACL dapat membaca data dari berbagai macam sistem yang terbentang mulai dari model sistem mainframe lama hingga ke relational database modern. ACL adalah aplikasi yang hanya ‘read-only’, ACL tidak pernah mengubah data sumber asli sehingga aman untuk menganalisis jenis live-data. Keanekaragaman sumber data dan teknologi akses data, cara mengakses data juga bervariasi dari satu sumber data ke lain. ACL membaca beberapa sumber data secara langsung dengan mengimpor dan menyalin sumber data sehingga dapat dianalisis. ACL dirancang khusus untuk menganalisa data dan menghasilkan laporan audit baik untuk pengguna biasa (common/nontechnical users) maupun pengguna ahli (expert users). Dengan menggunakan ACL, pekerjaan auditing akan jauh lebih cepat daripada proses auditing secara manual yang memerlukan waktu sampai berjam-jam bahkan sampai berhari-hari.
Software ini dapat melakukan akses data langsung ke dalam database ataupun dalam bentuk teks file dalam waktu yang singkat tanpa menganggu sistem yang sedang berjalan, melakukan proses verifikasi hasil dari data yang diperoleh untuk menciptakan integrasi data yang dipercaya, dan hasil analisa data yang dapat diandalkan. Semua dapat dilakukan dengan cepat, tepat, aman, dan akurat.
3. KEUNTUNGAN MENGGUNAKAN ACL
• Mudah dalam penggunaan.
• Built- in audit dan analisis data secara fungsional
• Kemampuan menangani ukuran file yang tidak terbatas
• Kemampuan mengekspor hasil audit
• Pembuatan laporan berkualitas tinggi
4. MANFAAT MENGGUNAKAN ACL
• Dapat membantu dalam mengakses data baik langsung (direct) kedalam sistenm jaringan ataupun indirect (tidak langsung) melalui media lain seperti softcopy dalam bentuk text file/report.
• Menempatkan kesalahan dan potensial “fraud” sebagai pembanding dan menganalisa file-file menurut aturan-aturan yang ada.
• Mengidentifikasi kecenderungan/gejala-gejala, dapat juga menunjukan dengan tepat sasaran pengecualian data dan menyoroti potensial area yang menjadi perhatian.
• Mengidentifikasi proses perhitungan kembali dan proses verifikasi yang benar.
• Mengidentifkasi persoalan sistem pengawasan dan memastikan terpenuhinya permohonan dengan aturan-aturan yang telah ditetapkan.
• Aging dan menganalisa account receivable/payable atau beberapa transaksi lain dengan menggunakan basis waktu yang sensitive.
5. TERDIRI DARI 5 SIKLUS DATA ACL
• Perencanaan
Rencanakan pekerjaan anda sebelum memulai sebuah project. Dengan merumuskan jelas tujuanya sebelum mulai analisis, dengan mengembangkan strategi dan waktu serta sumber daya.
• Akses Data
Langkah berikutnya adalah mengakses data yang digariskan dalam rencana strategis. Dengan mencari, meminta, dan mentransfer data sebelumnya untuk membacanya dengan ACL
• Integritas data Verifikasi Data
Setelah menerima data, maka diperlukan untuk menguji integritas. Jika anda memulai project anda tanpa harus diverifikasi terlebih dahulu data yang integritas, ada kemungkinan tidak lengkap
atau tidak benar.
• Analisis Data
Dalam analisis tahap melakukan tes yang diperlukan untuk mencapai tujuan. Anda mungkin akan menggunakan kombinasi perintah, filter, dan hitungan dalam analisis Anda.
• Pelaporan Hasil
Tergantung pada proyek tersebut, Anda mungkin perlu membuat laporan dari yang dihasilkan. ACL dapat membuat berbagai jenis laporan, termasuk multiline, detail, dan ringkasan laporan
6. UNSUR-UNSUR UTAMA DATA ANALISIS ACL
● Commands
Command pada ACL merupakan perintah analisis standar yang ada pada ACL seperti perintah statistik. Stratify (menstratifikasi), Aging (umur) dsb. Perintah tersebut dapat menghasilkan output dalam bentuk file, screen(layar), print dan grafik.
● Expressions (Ekspresi)
Expressions adalah pernyataan yang digunakan terutama untuk membuat filter dan computed fields. Melakukan perhitungan, menentukan kondisi logis, atau menciptakan nilai-nilai yang tidak ada pada data file. Expressions dapat diberi nama dan disimpan sebagai bagian dari suatu proyek atau digunakan langsung.
a. Filter adalah ekspresi logika yang memungkinkan Anda memilih jenis data yang Anda ingin lihat. Sebagai contoh, Anda dapat membuat Filter yang memilih hanya records yang berada dalam rentang tanggal tertentu.
b. Computed Fields adalah dikenal juga sebagai calculated field, adalah virtual field yang menggunakan data yang berasal dari ekspresi atau variabel tertentu. Ini tidak berisi data fisik. Sebagai contoh, Anda dapat membuat sebuah field baru yang merupakan hasil dari nilai-nilai di dua field lainnya. Anda juga dapat menyisipkan ke dalam tabel nilai tertentu seperti suku bunga atau kondisi logis..
● Function
Function adalah sesuatu yang pasti yang sudah ada dalam function di ACL dengan menggunakan variabel, untuk melaksanakan suatu perhitungan atau perintah atas data yang telah ditetapkan.
● Variable
• Interface ACL
Pada saat pertama membuka ACL, anda akan dihadapkan layar seperti dibawah ini, dengan tampilan Welcome Tab, Project Navigator, dan Status Bar.
• Welcome Tab
Welcome Tab merupakan tampilan yang menunjukan macam-macam project yang pernah dibuat dan disimpan di ACL. Karena sistem ACL sudah menggunakan sistem seperti di website, jadi anda tinggal mengklik untuk memilihnya.
• Project Navigator
Project Navigator merupakan tampilan dimana Tabel dan Log sedang dalam pengerjaan dalam suatu project di ACL.
• Status Bar
Tampilan Status Bar menunjukan informasi tentang tabel yang sedang dibuka, termasuk nama tabel tersebut, number record, dan tampilan filter jika sedang diaktifkan.
7. SOFTWARE YANG SEJENIS DENGAN ACL
a. IDEA (Interactive Data Analysis Software)
b. APG (Audit Program Generator)
c. Microsoft Excel
d. Audit Easy
e. EZ-R Status
f. QSAQ
g. Random Audit Assistant
h. RAT-STATS
i. Auto Audit
j. GRC on Demand
Sumber:
http://akuntansi.fenaro.narotama.ac.id/2013/04/pengenalan-acl-audit-command-language/
http://catatandestra.blogspot.com/2014/05/pengertiankeuntunganmanfaat-acl-audit.html
https://dosen.perbanas.id/audit-command-language-acl-software/
Sabtu, 01 Desember 2018
Kamis, 29 November 2018
SISTEM KEAMANAN TEKNOLOGI INFORMASI
1. Enkripsi pesan “TURN BACK HOAX”
dengan kata kunci “PERANG”
· Enkripsi
dengan Vigenere Cipher
Jawab :
Plaintext: TURN BACK HOAX
Key: PERANG
Cipher: IYINOGROYOND
2. Dalam pengembangan sistem informasi,
dibutuhkan juga aspek pengamanan komputer, sebutkan dan berikan contohnya
Jawab :
a. Privacy, ialah sesuatu yang bersifat
rahasia(provate). Intinya ialah pencegahan agar informasi tersebut tidak
diakses oleh orang yang tidak berhak.
Contohnya : Data pasien
di rumah sakit
b. Confidentiality, adalah data yang
diberikan kepada pihak lain untuk tujuan khusus tetapi tetap dijaga
penyebarannya.
Contohnya : Data-data yang sifatnya pribadi seperti no ktp, nama, no telp.
c. Integrity, merupakan sebuah informasi
tidak boleh diubah kecuali oleh pemilik informasi.
Contohnya : Sebuah e-mail
dapat saja “diambil/ditangkap” (intercept) di tengah jalan saat proses
pengiriman dan diubah isinya (altered, tampered, modified), kemudian diteruskan
ke alamat yang dituju. Artinya integritas dari informasi sudah tidak terjaga.
d. Autentication, ialah ini akan
dilakukan sewaktu user login dengan menggunakan nama user dan passwordnya,
apakah cocok atau tidak, apabila cocok diterima dan tidak akan ditolak.
Contohnya : membuka akun
LINE di laptop.
e. Availability, aspek ini ialah
berkaitan dengan apakah sebuah data tersedia saat dibutuhkan/diperlukan.
Contohnya : Saat ingin
membuat Laporan Akhir, data-data yang dibuthkan
3. Bagaimana cara untuk menangani web
browser yang terkena malware?
Jawab :
Lakukan sort program yang paling terakhir di install. Kalau ada keanehan,
misalnya ada program terinstal tanpa sepengetahuan kita, maka sebaiknya
langsung remove atau langsung uninstall aplikasi yang aneh tersebut. Setelah
itu kita dapat mencoba scan menggunakan antivirus kita untuk menghapus
sisa-sisa dari malware yang ada.
4. Dokumen yang sifatnya rahasia di
Divisi Finance dapat dilihat oleh divisi lainnya, bagaimana cara penanganan
agar kerahasiaannya terjaga?
Jawab :
Dengan menggunakan enkripsi dan hanya yang berhak mengaksesnya saja yang
dapat mengakses. Atau dengan memberihak akses kepada user mana saja yang berhak
mengakses dan memanipulasi data.
5. Ketika sedang browsing, tiba-tiba
koneksi internet lambat, setelah ditelusuri terdapat serangan DDOS, bagaimana
menanganinya?
Jawab :
Melakukan identifikasi serangan, serangan akan terlihat tanda-tandanya
jika mengecek server. Lakukan upaya recover dengan mengaktifkan firewall
untuk mencegah serangan DDOS. Lalu
lakukan block pada alamat IP dan port attacker.
Jumat, 23 November 2018
COBIT 5
1. Pengertian COBIT 5
COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga saat artikel ini di muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan TI. Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.
COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi informasi.
Cobit memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Plan and organise)
• Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan implementasi (Acquirw and implement)
• Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan dukungan (Deliver and Support)
• Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan evaluasi (Monitor and Evaluate)
• Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
2. Prinsip COBIT 5
Prinsip 1 : Meeting stakeholder needs
COBIT 5 terdiri atas proses-proses dan enabler untuk mendukung penciptaan nilai bisnis melalui penerapan IT. Sebuah perusahaan dapat menyesuaikan COBIT 5 dengan konteks perusahaan tersebut .
Prinsip 2 : Covering the enterprise end-to-end
COBIT 5 mengintegrasikan pengelolaan IT perusahaan terhadap tatakelola perusahaan. Hal ini dimungkinkan karena
COBIT 5 mencakup seluruh fungsi dan proses yang ada di perusahaan. COBIT tidak hanya fokus pada fungsi IT, tapi menjadi teknologi dan informasi tersebut sebagai aset yang berhubungan dengan aset-aset lain yang dikelola semua orang di dalam sebuah perusahaan.
COBIT 5 mempertimbangkan seluruh enabler dari governance dan management terkait IT dalam sudut pandang perusahaan dan end-to-end. Artinya COBIT 5 mempertimbangkan seluruh entitas di perusahaan sebagai bagian yang saling mempengaruhi.
Prinsip 3 : Applying a single, integrated framework
COBIT 5 selaras dengan standar-standar terkait yang biasanya memberi panduan untuk sebagian dari aktivitas IT. COBIT 5 adalah framework yang membahas high level terkait governance dan management dari IT perusahaan. COBIT 5 menyediakan panduan high level dan panduan detailnya disediakan oleh standar-standar terkait lainnya.
Prinsip 4 : Enabling a holistic approach
Governance dan management IT perusahaan yang efektif dan efisien membutuhkan pendekatan yang bersifat menyeluruh, yaitu mempertimbangkan komponen-komponen yang saling berinteraksi. COBIT 5 mendefiniskan sekumpulan enabler untuk mendukung implementasi governance dan management sistem IT perusahaan secara komprehensif.
Prinsip 5 : Separating governance from management
COBIT 5 memberikan pemisahan yang jelas antara management dan governance. Kedua hal ini meliputi aktivitas yang berbeda,membutuhkan struktur organisasi yang berbeda dan melayani tujuan yang berbeda.
Menurut COBIT 5, governance memastikan kebutuhan, kondisi dan pilihan dari stakeholder dievaluasi untuk menentukan objektif dari perusahaan yang akan disepakati untuk dicapai. Governance memberikan arah bagi penentuan prioritas dan pengambilan keputusan. Selain itu, governance juga me-monitor kinerja dan kesesuaian terhadap objektif yang telah disepakati. Sementara, management meliputi aktivitas merencanakan, membangun, menjalankan dan me-monitor aktivitas yang diselaraskan dengan arahan yang ditetapkan oleh organisasi governance untuk mencapai objektif dari perusahaan.
COBIT 5 dikembangkan untuk memenuhi kebutuhan :
1. Memahami ekspektasi stakeholder terhadap informasi dan teknologi terkait.
2. Ketergantungan pada pihak eksternal dan faktor internal
3. Terlalu banyak informasi
4. IT dan bisnis tidak dapat dipisahkan
5. Menyediakan panduan dalam melakukan inovasi dan penerapan teknologi-teknologi terbaru.
6. Fungsi dan Tanggungjawab yang jelas.
7. Memegang kontrol terhadap pemenuhan kebutuhan pengguna.
8. Keterkaitan dengan standar dan kerangka kerja lain.
9. Menyesuaikan dengan hukum, regulasi, kesepakatan kontrak dan aturan internal.
10. Menciptakan nilai dari perusahaan melalui penggunaan IT yang efektif dan inovatif.
3. Frame Work COBIT
COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :
Applications
Information
Infrastructure
People
Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :
Business-focused
Process-oriented
Controls-based
Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :
Planning & Organization.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
Domain ini mencakup :
PO1 – Menentukan rencana strategis
PO2 – Menentukan arsitektur informasi
PO3 – Menentukan arah teknologi
PO4 – Menentukan proses TI, organisasi dan hubungannya
PO5 – Mengelola investasi TI
PO6 – Mengkomunikasikan tujuan dan arahan manajemen
PO7 – Mengelola sumber daya manusia
PO8 – Mengelola kualitas
PO9 – Menilai dan mengelola resiko TI
PO10 – Mengelola proyek
Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.
Domain ini meliputi:
AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
AI2 – Mendapatkan dan maintenance software aplikasi.
AI3 – Mendapatkan dan maintenance infrastuktur teknologi
AI4 – Mengaktifkan operasi dan penggunaan
AI5 – Pengadaan sumber daya IT.
AI6 – Mengelola perubahan
AI7 – Instalasi dan akreditasi solusi dan perubahan.
Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
Domain ini meliputi :
DS1 – Menentukan dan mengelola tingkat layanan.
DS2 – Mengelola layanan dari pihak ketiga
DS3 – Mengelola performa dan kapasitas.
DS4 – Menjamin layanan yang berkelanjutan
DS5 – Menjamin keamanan sistem.
DS6 – Mengidentifikasi dan mengalokasikan dana.
DS7 – Mendidik dan melatih pengguna
DS8 – Mengelola service desk dan insiden.
DS9 – Mengelola konfigurasi.
DS10 – Mengelola permasalahan.
DS11 – Mengelola data
DS12 – Mengelola lingkungan fisik
DS13 – Mengelola operasi.
Monitoring and Evaluation.
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.
Domain ini meliputi:
ME1 – Mengawasi dan mengevaluasi performansi TI.
ME2 – Mengevaluasi dan mengawasi kontrol internal
ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
ME4 – Menyediakan IT Governance.
4. COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Sumber :
https://haendra.wordpress.com/2012/06/08/pengertian-cobit/
https://blogs.itb.ac.id/dudi4studi/2012/10/03/cobit-5-hanya-untuk-tatakelola-dan-manajemen-teknologi-informasi-perusahaan/
https://ridwansetyawan91.blogspot.com/2017/01/tugas-softskill-cobit-5.html
http://cobitindo.blogspot.com/2011/10/sekilas-tentang-control-objective-for.html
COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga saat artikel ini di muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan TI. Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.
COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi informasi.
Cobit memiliki 4 Cakupan Domain :
1. Perencanaan dan Organisasi (Plan and organise)
• Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan implementasi (Acquirw and implement)
• Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan dukungan (Deliver and Support)
• Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan evaluasi (Monitor and Evaluate)
• Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
2. Prinsip COBIT 5
Prinsip 1 : Meeting stakeholder needs
COBIT 5 terdiri atas proses-proses dan enabler untuk mendukung penciptaan nilai bisnis melalui penerapan IT. Sebuah perusahaan dapat menyesuaikan COBIT 5 dengan konteks perusahaan tersebut .
Prinsip 2 : Covering the enterprise end-to-end
COBIT 5 mengintegrasikan pengelolaan IT perusahaan terhadap tatakelola perusahaan. Hal ini dimungkinkan karena
COBIT 5 mencakup seluruh fungsi dan proses yang ada di perusahaan. COBIT tidak hanya fokus pada fungsi IT, tapi menjadi teknologi dan informasi tersebut sebagai aset yang berhubungan dengan aset-aset lain yang dikelola semua orang di dalam sebuah perusahaan.
COBIT 5 mempertimbangkan seluruh enabler dari governance dan management terkait IT dalam sudut pandang perusahaan dan end-to-end. Artinya COBIT 5 mempertimbangkan seluruh entitas di perusahaan sebagai bagian yang saling mempengaruhi.
Prinsip 3 : Applying a single, integrated framework
COBIT 5 selaras dengan standar-standar terkait yang biasanya memberi panduan untuk sebagian dari aktivitas IT. COBIT 5 adalah framework yang membahas high level terkait governance dan management dari IT perusahaan. COBIT 5 menyediakan panduan high level dan panduan detailnya disediakan oleh standar-standar terkait lainnya.
Prinsip 4 : Enabling a holistic approach
Governance dan management IT perusahaan yang efektif dan efisien membutuhkan pendekatan yang bersifat menyeluruh, yaitu mempertimbangkan komponen-komponen yang saling berinteraksi. COBIT 5 mendefiniskan sekumpulan enabler untuk mendukung implementasi governance dan management sistem IT perusahaan secara komprehensif.
Prinsip 5 : Separating governance from management
COBIT 5 memberikan pemisahan yang jelas antara management dan governance. Kedua hal ini meliputi aktivitas yang berbeda,membutuhkan struktur organisasi yang berbeda dan melayani tujuan yang berbeda.
Menurut COBIT 5, governance memastikan kebutuhan, kondisi dan pilihan dari stakeholder dievaluasi untuk menentukan objektif dari perusahaan yang akan disepakati untuk dicapai. Governance memberikan arah bagi penentuan prioritas dan pengambilan keputusan. Selain itu, governance juga me-monitor kinerja dan kesesuaian terhadap objektif yang telah disepakati. Sementara, management meliputi aktivitas merencanakan, membangun, menjalankan dan me-monitor aktivitas yang diselaraskan dengan arahan yang ditetapkan oleh organisasi governance untuk mencapai objektif dari perusahaan.
COBIT 5 dikembangkan untuk memenuhi kebutuhan :
1. Memahami ekspektasi stakeholder terhadap informasi dan teknologi terkait.
2. Ketergantungan pada pihak eksternal dan faktor internal
3. Terlalu banyak informasi
4. IT dan bisnis tidak dapat dipisahkan
5. Menyediakan panduan dalam melakukan inovasi dan penerapan teknologi-teknologi terbaru.
6. Fungsi dan Tanggungjawab yang jelas.
7. Memegang kontrol terhadap pemenuhan kebutuhan pengguna.
8. Keterkaitan dengan standar dan kerangka kerja lain.
9. Menyesuaikan dengan hukum, regulasi, kesepakatan kontrak dan aturan internal.
10. Menciptakan nilai dari perusahaan melalui penggunaan IT yang efektif dan inovatif.
3. Frame Work COBIT
COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
Effectiveness
Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.
Efficiency
Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
Confidentiality
Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.
Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
Reliability
Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :
Applications
Information
Infrastructure
People
Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :
Business-focused
Process-oriented
Controls-based
Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses, meliputi :
Planning & Organization.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi tentang bagaimana TI dapat memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
Domain ini mencakup :
PO1 – Menentukan rencana strategis
PO2 – Menentukan arsitektur informasi
PO3 – Menentukan arah teknologi
PO4 – Menentukan proses TI, organisasi dan hubungannya
PO5 – Mengelola investasi TI
PO6 – Mengkomunikasikan tujuan dan arahan manajemen
PO7 – Mengelola sumber daya manusia
PO8 – Mengelola kualitas
PO9 – Menilai dan mengelola resiko TI
PO10 – Mengelola proyek
Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi untuk mewujudkan strategi TI, juga meliputi perubahan dan maintenance yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga.
Domain ini meliputi:
AI1 – Mengidentifikasi solusi yang dapat diotomatisasi.
AI2 – Mendapatkan dan maintenance software aplikasi.
AI3 – Mendapatkan dan maintenance infrastuktur teknologi
AI4 – Mengaktifkan operasi dan penggunaan
AI5 – Pengadaan sumber daya IT.
AI6 – Mengelola perubahan
AI7 – Instalasi dan akreditasi solusi dan perubahan.
Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan.
Domain ini meliputi :
DS1 – Menentukan dan mengelola tingkat layanan.
DS2 – Mengelola layanan dari pihak ketiga
DS3 – Mengelola performa dan kapasitas.
DS4 – Menjamin layanan yang berkelanjutan
DS5 – Menjamin keamanan sistem.
DS6 – Mengidentifikasi dan mengalokasikan dana.
DS7 – Mendidik dan melatih pengguna
DS8 – Mengelola service desk dan insiden.
DS9 – Mengelola konfigurasi.
DS10 – Mengelola permasalahan.
DS11 – Mengelola data
DS12 – Mengelola lingkungan fisik
DS13 – Mengelola operasi.
Monitoring and Evaluation.
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan.
Domain ini meliputi:
ME1 – Mengawasi dan mengevaluasi performansi TI.
ME2 – Mengevaluasi dan mengawasi kontrol internal
ME3 – Menjamin kesesuaian dengan kebutuhan eksternal.
ME4 – Menyediakan IT Governance.
4. COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Sumber :
https://haendra.wordpress.com/2012/06/08/pengertian-cobit/
https://blogs.itb.ac.id/dudi4studi/2012/10/03/cobit-5-hanya-untuk-tatakelola-dan-manajemen-teknologi-informasi-perusahaan/
https://ridwansetyawan91.blogspot.com/2017/01/tugas-softskill-cobit-5.html
http://cobitindo.blogspot.com/2011/10/sekilas-tentang-control-objective-for.html
Sabtu, 20 Oktober 2018
Implementasi kegunaan Algoritma DES, RSA dan PGP dibidang keamanan data Jaringan atau Sistem Operasi
1. Algoritma DES
DES merupakan block cipher yang banyak digunakan di dunia. DES menengkrip data dalam blok berukuran 64-bit. Dengan ukuran kunci sebesar 56 bit. Biasanya berukuran 64 bit dengan delapan pariti untuk pengecekan dan diabaikan). Menghasilkan output cipher text berukuran 64 bit. DES menggunakan algoritma yang simetrik. Algoritma dan kunci yang sama digunakan dalam mengenkripsi dan mendekripsi.
Implementasi Algoritma DES :
a. Implementasi modul permutasi awal
Modul verilog permutasi awal berfungsi untuk melakukan pengacakan posisi bit plainteks yang berjumlah 64 bit. Posisi bit diacak berdasarkan matriks permutasi awal. Lalu setelah diacak dengan matriks permutasi awal menghasilkan keluaran berupa 32 bit bagian kiri (L0) dan 32 bit yang merupakan bit ke-33 sampai bit ke-64 dan bagian kanan (R0) bit ke-1 sampai bit ke-32. Operasi pengacakan dengan matriks permutasi awal diatas jika sinyal chip_select_bar bernilai “0”.
b. Implementasi modul permbangkitan kunci internal
Pada modul pembangkitan kunci internal ini mengubah kunci eksternal sepanjang 64-bit menjadi kunci internal yang berjumlah 16 buah yang akan digunakan pada tiap operasi jaringan Feistel yang berjumlah 16 putaran. Operasi terhadap kunci eksternal ini dengan melakukan permutasi dengan matriks permutasi kompresi PC-1. Setelah itu keluaran dari permutasi PC-1 dibagi dua yang akan menjadi masukan matriks PC-2 setelah dilakukan penggeseran kiri 1 bit atau 2 bit sesuai putaran yang dijelaskan pada proses pembangkitan kunci internal.
c. Implementasi modul enciphering
Modul enciphering ini berisi proses yang terjadi pada proses enciphering yang sudah dijelaskan pada sub bab 3.1.5 tentang operasi enciphering. Berupa komputasi fungsi f yang berupa fungsi ekspansi yang memperluas blok Ri-1. Lalu hasilnya di-XOR-kan dengan Ki yang didapatkan dari modul pembangkitan kunci internal. Setelah itu pemrosesan dengan 8 kotak-S yang kemudian keluarannya dipermutasi kembali dengan matriks permutasi P (P-box).
d. Implementasi modul permutasi akhir
Masukan pada operasi permutasi hasil keluaran proses enciphering yang posisinya sudah sesuai 32-bit kanan dan 32bit kiri dengan matriks permutasi awal balikan.Menghasilkan keluaran berupa cipherteks sepanjang 64-bit.
e. Implementasi modul enkripsi
Modul yang menggabungkan seluruh proses enkripsi dari permutasi awal, pembangkitan kunci internal, 16 putaran proses enciphering hingga permutasi dengan matriks permutasi awal balikan digabungkan dalam satu modul untuk menyelaraskan semua operasi menjadi kesatuan proses enkripsi. Dimana masukannya berupa 64-bit plainteks dan 64bit cipherteks sebagai keluaran.
f. Implementasi modul Dekripsi
Modul yang menggabungkan seluruh proses dekripsi dari permutasi awal, pembangkitan kunci internal, 16 putaran proses deciphering hingga permutasi dengan matriks permutasi awal balikan digabungkan dalam satu modul untuk menyelaraskan semua operasi menjadi kesatuan proses dekripsi.
2. RSA
RSA dikeluarkan oleh tiga orang kriptologi, Ron Rivest, Adi Shamir, dan Len Adleman di MIT. Nama RSA diambil dari nama tiga orang tersebut (Rivet-Shamir-Adleman). RSA dikembangkan pada tahun 1977 dan diterbitkan pada tahun 1978. sejak itu RSA mendapat kejayaan sebagai enkripsi dengan pendekatan public-key yang paling diterima dan banyak diimplementasikan. RSA merupakan block cipher, dimana sebuah plaintext dan ciphertext merupakan integer antara 0 dan n-1. Dimana n biasanya bernilai 1024 bit atau 309 dalam desimal.
Implementasi RSA : Tahapan Umum Perangkat Lunak Sistem Kriptografi RSA Simulasi yang dibuat dalam algoritma kriptografi kunci publik RSA ini meliputi dua bagian besar, yaitu :
1. Tahap pembangkitan kunci
2. Tahap enkripsi dan dekripsi Berikut inai akan dijelaskan masing-masing tahapan sistem kriptografi diatas.
a. Tahap Pembangkitan Kunci Untuk pembangkitan kunci, pertama dicari dua buah bilangan prima yang berbeda, yaitu p dan q yang digunakan untuk mencari n dan teta(n), kemudian digunakan fungsi fluclidean, fungsi ini digunakan untuk memperoleh pasangan kunci privat dan kunci publik, melalui proses pengulangan sampai kondisi yang diinginkan terpenuhi. Pada algoritma ini, kunci privat yang digunakan adalah d. Nilai d didapatkan dari nilai fungsi random yang lebih besar dari I dan lebih kecil dai teta(n) , dan d adalah bilangan prima yang relatif prima terhadap teta(n) dimana teta(n) adalah hasil perkalian dua bilangan relatif prima p-1 dan q-1. Perhitungan kunci publik didapat dari fungsi invers d yang di-modulo oleh teta(n).
b. Pada prosedur dekripsi ini, setelah menerima pesan, pasangan kunci privat yang sebelumnya telah dibuat , digunakan. pembacaan terhadap file chipertext tersebut dilakukan dengan prosedur blockread,, dengan algoritma dekripsi RSA, suatu chipertext akan diolah kembali dengan menggunakan kunci privat yaitu d, menjadi nilai ordinal (desimal) dari blok-pesan. Selanjutnya proses dekripsi merupakan kebalikan dari proses enkripsi, dimana setiap dua blok-pesan berurutan diproses. Selanjutnya nilai ordinal tersebut akan diubah menjadi karakter dengan menggunakan fungsi chr yang ada pada bahasa pemrograman. Demikian seterusnya setiap blok-pesan dikembalikan, yang akhirnya dituliskan kembali pada suatu file baru.
3. PGP
Pretty good privacy (PGP) adalah fenomena yang luar biasa. Program ini di temukan oleh Philip Zimmermann. PGP menyediakan fasilitas pengecekan dan autentifikasi yang dapat digunakan dalam surat elektronik dan aplikasi penyimpanan file. Hal-hal yang dilakukan oleh Zimmermann adalah sebagai berikut:
1. Memilih algoritma-algoritma encripsi terbaik
2. Menggabungkan algoritma-algoritma tersebut menjadi suatu aplikasi yang independen dari sistem operasi dan prosesor.
3. Membuat package dan dokumentasinya, termasuk source code, tersedia via internet.
4. Membuat perjanjian dengam perussahaan (Viacrypt) untuk mendukung versi comersial yang murah dan fully compatible.
Implementasi PGP :
Digital signature dalam PGP menggunakan DSS atau RSA untuk mengenkripsi pesan dengan private key pengirim dan hash code pesan dibuat dengan SHA-1. Untuk enkripsi pesan menggunakann CAST-123 atau IDEA atau Three-key Triple DES ataupun dengan menggunakan RSA juga. Pesan dapat terlebih dahulu dikompresi untuk penimpann atau peniriman dengan menggunakan ZIP.
Hasil enkripsi ditampilkan dalam string ASCII dengan menggunakan pengkonversian radix 64. Untuk mengakomodasikan batas ukuran maksimum pesan, PGP melakukan segmentasi dan penyusunan ulang. Seperti yang disebutkan di atas. PGP menggunakan sistem managemen kunci. Dalam dokumentasi, PGP sering menggunakan kunci rahasia, yaitu pasangan kunci public-key dan private-key dalam enkripsinya. PGP dalam operasinya menyangkut lima proses: autentifikasi, pengerahasiaan, kompresi, e-mail compatibility, dan segmentasi.
Sumber :
https://media.neliti.com/media/publications/169194-ID-perancangan-dan-implementasi-algoritma-d.pdf
http://informatika.stei.itb.ac.id/~rinaldi.munir/Matdis/2006-2007/Makalah/Makalah0607-92.pdf
https://media.neliti.com/media/publications/90787-ID-analisis-dan-implementasi-algoritma-krip.pdf
DES merupakan block cipher yang banyak digunakan di dunia. DES menengkrip data dalam blok berukuran 64-bit. Dengan ukuran kunci sebesar 56 bit. Biasanya berukuran 64 bit dengan delapan pariti untuk pengecekan dan diabaikan). Menghasilkan output cipher text berukuran 64 bit. DES menggunakan algoritma yang simetrik. Algoritma dan kunci yang sama digunakan dalam mengenkripsi dan mendekripsi.
Implementasi Algoritma DES :
a. Implementasi modul permutasi awal
Modul verilog permutasi awal berfungsi untuk melakukan pengacakan posisi bit plainteks yang berjumlah 64 bit. Posisi bit diacak berdasarkan matriks permutasi awal. Lalu setelah diacak dengan matriks permutasi awal menghasilkan keluaran berupa 32 bit bagian kiri (L0) dan 32 bit yang merupakan bit ke-33 sampai bit ke-64 dan bagian kanan (R0) bit ke-1 sampai bit ke-32. Operasi pengacakan dengan matriks permutasi awal diatas jika sinyal chip_select_bar bernilai “0”.
b. Implementasi modul permbangkitan kunci internal
Pada modul pembangkitan kunci internal ini mengubah kunci eksternal sepanjang 64-bit menjadi kunci internal yang berjumlah 16 buah yang akan digunakan pada tiap operasi jaringan Feistel yang berjumlah 16 putaran. Operasi terhadap kunci eksternal ini dengan melakukan permutasi dengan matriks permutasi kompresi PC-1. Setelah itu keluaran dari permutasi PC-1 dibagi dua yang akan menjadi masukan matriks PC-2 setelah dilakukan penggeseran kiri 1 bit atau 2 bit sesuai putaran yang dijelaskan pada proses pembangkitan kunci internal.
c. Implementasi modul enciphering
Modul enciphering ini berisi proses yang terjadi pada proses enciphering yang sudah dijelaskan pada sub bab 3.1.5 tentang operasi enciphering. Berupa komputasi fungsi f yang berupa fungsi ekspansi yang memperluas blok Ri-1. Lalu hasilnya di-XOR-kan dengan Ki yang didapatkan dari modul pembangkitan kunci internal. Setelah itu pemrosesan dengan 8 kotak-S yang kemudian keluarannya dipermutasi kembali dengan matriks permutasi P (P-box).
d. Implementasi modul permutasi akhir
Masukan pada operasi permutasi hasil keluaran proses enciphering yang posisinya sudah sesuai 32-bit kanan dan 32bit kiri dengan matriks permutasi awal balikan.Menghasilkan keluaran berupa cipherteks sepanjang 64-bit.
e. Implementasi modul enkripsi
Modul yang menggabungkan seluruh proses enkripsi dari permutasi awal, pembangkitan kunci internal, 16 putaran proses enciphering hingga permutasi dengan matriks permutasi awal balikan digabungkan dalam satu modul untuk menyelaraskan semua operasi menjadi kesatuan proses enkripsi. Dimana masukannya berupa 64-bit plainteks dan 64bit cipherteks sebagai keluaran.
f. Implementasi modul Dekripsi
Modul yang menggabungkan seluruh proses dekripsi dari permutasi awal, pembangkitan kunci internal, 16 putaran proses deciphering hingga permutasi dengan matriks permutasi awal balikan digabungkan dalam satu modul untuk menyelaraskan semua operasi menjadi kesatuan proses dekripsi.
2. RSA
RSA dikeluarkan oleh tiga orang kriptologi, Ron Rivest, Adi Shamir, dan Len Adleman di MIT. Nama RSA diambil dari nama tiga orang tersebut (Rivet-Shamir-Adleman). RSA dikembangkan pada tahun 1977 dan diterbitkan pada tahun 1978. sejak itu RSA mendapat kejayaan sebagai enkripsi dengan pendekatan public-key yang paling diterima dan banyak diimplementasikan. RSA merupakan block cipher, dimana sebuah plaintext dan ciphertext merupakan integer antara 0 dan n-1. Dimana n biasanya bernilai 1024 bit atau 309 dalam desimal.
Implementasi RSA : Tahapan Umum Perangkat Lunak Sistem Kriptografi RSA Simulasi yang dibuat dalam algoritma kriptografi kunci publik RSA ini meliputi dua bagian besar, yaitu :
1. Tahap pembangkitan kunci
2. Tahap enkripsi dan dekripsi Berikut inai akan dijelaskan masing-masing tahapan sistem kriptografi diatas.
a. Tahap Pembangkitan Kunci Untuk pembangkitan kunci, pertama dicari dua buah bilangan prima yang berbeda, yaitu p dan q yang digunakan untuk mencari n dan teta(n), kemudian digunakan fungsi fluclidean, fungsi ini digunakan untuk memperoleh pasangan kunci privat dan kunci publik, melalui proses pengulangan sampai kondisi yang diinginkan terpenuhi. Pada algoritma ini, kunci privat yang digunakan adalah d. Nilai d didapatkan dari nilai fungsi random yang lebih besar dari I dan lebih kecil dai teta(n) , dan d adalah bilangan prima yang relatif prima terhadap teta(n) dimana teta(n) adalah hasil perkalian dua bilangan relatif prima p-1 dan q-1. Perhitungan kunci publik didapat dari fungsi invers d yang di-modulo oleh teta(n).
b. Pada prosedur dekripsi ini, setelah menerima pesan, pasangan kunci privat yang sebelumnya telah dibuat , digunakan. pembacaan terhadap file chipertext tersebut dilakukan dengan prosedur blockread,, dengan algoritma dekripsi RSA, suatu chipertext akan diolah kembali dengan menggunakan kunci privat yaitu d, menjadi nilai ordinal (desimal) dari blok-pesan. Selanjutnya proses dekripsi merupakan kebalikan dari proses enkripsi, dimana setiap dua blok-pesan berurutan diproses. Selanjutnya nilai ordinal tersebut akan diubah menjadi karakter dengan menggunakan fungsi chr yang ada pada bahasa pemrograman. Demikian seterusnya setiap blok-pesan dikembalikan, yang akhirnya dituliskan kembali pada suatu file baru.
3. PGP
Pretty good privacy (PGP) adalah fenomena yang luar biasa. Program ini di temukan oleh Philip Zimmermann. PGP menyediakan fasilitas pengecekan dan autentifikasi yang dapat digunakan dalam surat elektronik dan aplikasi penyimpanan file. Hal-hal yang dilakukan oleh Zimmermann adalah sebagai berikut:
1. Memilih algoritma-algoritma encripsi terbaik
2. Menggabungkan algoritma-algoritma tersebut menjadi suatu aplikasi yang independen dari sistem operasi dan prosesor.
3. Membuat package dan dokumentasinya, termasuk source code, tersedia via internet.
4. Membuat perjanjian dengam perussahaan (Viacrypt) untuk mendukung versi comersial yang murah dan fully compatible.
Implementasi PGP :
Digital signature dalam PGP menggunakan DSS atau RSA untuk mengenkripsi pesan dengan private key pengirim dan hash code pesan dibuat dengan SHA-1. Untuk enkripsi pesan menggunakann CAST-123 atau IDEA atau Three-key Triple DES ataupun dengan menggunakan RSA juga. Pesan dapat terlebih dahulu dikompresi untuk penimpann atau peniriman dengan menggunakan ZIP.
Hasil enkripsi ditampilkan dalam string ASCII dengan menggunakan pengkonversian radix 64. Untuk mengakomodasikan batas ukuran maksimum pesan, PGP melakukan segmentasi dan penyusunan ulang. Seperti yang disebutkan di atas. PGP menggunakan sistem managemen kunci. Dalam dokumentasi, PGP sering menggunakan kunci rahasia, yaitu pasangan kunci public-key dan private-key dalam enkripsinya. PGP dalam operasinya menyangkut lima proses: autentifikasi, pengerahasiaan, kompresi, e-mail compatibility, dan segmentasi.
Sumber :
https://media.neliti.com/media/publications/169194-ID-perancangan-dan-implementasi-algoritma-d.pdf
http://informatika.stei.itb.ac.id/~rinaldi.munir/Matdis/2006-2007/Makalah/Makalah0607-92.pdf
https://media.neliti.com/media/publications/90787-ID-analisis-dan-implementasi-algoritma-krip.pdf
Jumat, 12 Oktober 2018
Audit Teknologi Sistem Informasi
1. Definisi Audit Teknologi Informasi
Audit Teknologi Informasi adalah sebuah kontrol manajemen dalam sebuah teknologi informasi (TI) yang digunakan untuk menjaga data, integritas data dan beroperasi secara efektif untuk mencapai sebuah tujuan dalam sebuah manajemen organisasi. Audit TI pada umumnya disebut sebagai “Pengolahan Data Otomatis (ADP) Audit”.
Dalam pelaksanaanya, auditor teknologi informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronik. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya data transaksi penjualan, pembelian ,transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
2. Prinsip Audit Teknologi Informasi
Prinsip-prinsip audit ialah,
• Ketepatan waktu, Proses dan pemrograman akan terus menerus diperiksa untuk mengurangi resiko, kesalahan dan kelemahan, tetapi masih sejalan dengan analisis kekuatan dan fungsional dengan aplikasi serupa.
• Sumber Keterbukaan, Membutuhkan referensi tentang audit program yang telah dienskripsi, seperti penanganan open source.
• Elaborateness, Proses Audit harus berorientasi ke standar minimum. Kebutuhan pengetahuan khusus di satu sisi untuk dapat membaca kode pemrograman tentang prosedur yang telah di enskripsi. Komitmen seseorang sebagai auditor adalah kualitas, skala dan efektivitas.
• Konteks Keuangan, transparansi berkelanjutan membutuhan klarifikasi apakah perangkat lunak telah dikembangkan secara komersial dan didanai.
• Referensi Ilmiah Perspektif Belajar, setiap audit harus menjelaskan temuan secara rinci. Seorang auditor berperan sebagai mentor, dan auditor dianggap sebagai bagian dari PDCA = Plan-Do-Check-Act).
• Sastra-Inklusi, Seorang pembaca tidak boleh hanya mengandalkan hasil dari satu review, tetapi juga menilai menurut loop dari sistem manajemen. Maka dalam manajemen membutuhkan reviewer untuk menganalisa masalah lebih lanjut.
• Pencantuman buku petunjuk dan dokumentasi, langkah selanjutnya adalah melakukan hal tersebut, baik secara manual dan dokumentasi teknis.
• Mengidentifikasi referensi untuk inovasi, Aplikasi yang memungkinkan pesan offline dan kontak online, sehingga membutuhkan lebih dari 2 fungsi dalam satu aplikasi.
3. Personaliti Audit Teknologi Informasi
The CISM dan CAP Kredensial adalah dua kredensial keamanan audit terbaru yang ditawarkan oleh ISACA dan ISC.
Sertifikat Professional
• Certified Information Systems Auditor (CISA)
• Certified Internal Auditor (CIA)
• Certified in Risk and Information Systems Control (CRISC)
• Certification and Accreditation Professional (CAP)
• Certified Computer Professional (CCP)
• Certified Information Privacy Professional (CIPP)
• Certified Information Systems Security Professional (CISSP)
• Certified Information Security Manager (CISM)
• Certified Public Accountant (CPA)
• Certified Internal Controls Auditor (CICA)
• Forensics Certified Public Accountant (FCPA)
• Certified Fraud Examiner (CFE)
• Certified Forensic Accountant (CrFA)
• Certified Commercial Professional Accountant (CCPA)
• Certified Accounts Executive (CEA)
• Certified Professional Internal Auditor (CPIA)
• Certified Professional Management Auditor (CPMA)
• Chartered Accountant (CA)
• Chartered Certified Accountant (ACCA/FCCA)
• GIAC Certified System & Network Auditor (GSNA)[11]
• Certified Information Technology Professional (CITP)
• Certified e-Forensic Accounting Professional] (CFAP)
• Certified ERP Audit Professional (CEAP)
4. Manfaat Audit Teknologi Informasi
Manfaat pada saat Implementasi (Pre-Implementation Review)
• Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
• Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
• Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat setelah sistem live (Post-Implementation Review)
• Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
• Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
• Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
• Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
• Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
5. Tujuan Audit Teknologi Informasi
Tujuan audit teknologi informasi adalah sebagai berikut:
• Availability, ketersediaan informasi, apakah informasi pada perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah tersedia setiap saat.
• Confidentiality / kerahasiaan informasi, apakah informasi yang dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi.
• Integrity, apakah informasi yang tersedia akurat, handal, dan tepat waktu.
6. Jalannya Audit Teknologi Informasi
Berikut adalah langkah-langkah dalam melakukan Audit Teknologi Informasi.
1. Melakukan perencanaan audit
2. Mempelajari aset-aset teknologi informasi yang ada di organisasi dan Mengevaluasi Kontrol
3. Melakukan pengujian dan evaluasi kontrol
4. Melakukan pelaporan
5. Mengikuti perkembangan evaluasi pelaporan
6. Membuat Dokumen Laporan
Sumber :
https://itgid.org/audit-ti/
https://www.dictio.id/t/apa-yang-dimaksud-dengan-audit-teknologi-informasi/15065
Rindayn,M.Y.2018. Bigseven Crypto Audit. Jakarta: Sourceforge Projects
Audit Teknologi Informasi adalah sebuah kontrol manajemen dalam sebuah teknologi informasi (TI) yang digunakan untuk menjaga data, integritas data dan beroperasi secara efektif untuk mencapai sebuah tujuan dalam sebuah manajemen organisasi. Audit TI pada umumnya disebut sebagai “Pengolahan Data Otomatis (ADP) Audit”.
Dalam pelaksanaanya, auditor teknologi informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi. Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronik. Biasanya, auditor TI menerapkan teknik audit berbantuan computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya data transaksi penjualan, pembelian ,transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
2. Prinsip Audit Teknologi Informasi
Prinsip-prinsip audit ialah,
• Ketepatan waktu, Proses dan pemrograman akan terus menerus diperiksa untuk mengurangi resiko, kesalahan dan kelemahan, tetapi masih sejalan dengan analisis kekuatan dan fungsional dengan aplikasi serupa.
• Sumber Keterbukaan, Membutuhkan referensi tentang audit program yang telah dienskripsi, seperti penanganan open source.
• Elaborateness, Proses Audit harus berorientasi ke standar minimum. Kebutuhan pengetahuan khusus di satu sisi untuk dapat membaca kode pemrograman tentang prosedur yang telah di enskripsi. Komitmen seseorang sebagai auditor adalah kualitas, skala dan efektivitas.
• Konteks Keuangan, transparansi berkelanjutan membutuhan klarifikasi apakah perangkat lunak telah dikembangkan secara komersial dan didanai.
• Referensi Ilmiah Perspektif Belajar, setiap audit harus menjelaskan temuan secara rinci. Seorang auditor berperan sebagai mentor, dan auditor dianggap sebagai bagian dari PDCA = Plan-Do-Check-Act).
• Sastra-Inklusi, Seorang pembaca tidak boleh hanya mengandalkan hasil dari satu review, tetapi juga menilai menurut loop dari sistem manajemen. Maka dalam manajemen membutuhkan reviewer untuk menganalisa masalah lebih lanjut.
• Pencantuman buku petunjuk dan dokumentasi, langkah selanjutnya adalah melakukan hal tersebut, baik secara manual dan dokumentasi teknis.
• Mengidentifikasi referensi untuk inovasi, Aplikasi yang memungkinkan pesan offline dan kontak online, sehingga membutuhkan lebih dari 2 fungsi dalam satu aplikasi.
3. Personaliti Audit Teknologi Informasi
The CISM dan CAP Kredensial adalah dua kredensial keamanan audit terbaru yang ditawarkan oleh ISACA dan ISC.
Sertifikat Professional
• Certified Information Systems Auditor (CISA)
• Certified Internal Auditor (CIA)
• Certified in Risk and Information Systems Control (CRISC)
• Certification and Accreditation Professional (CAP)
• Certified Computer Professional (CCP)
• Certified Information Privacy Professional (CIPP)
• Certified Information Systems Security Professional (CISSP)
• Certified Information Security Manager (CISM)
• Certified Public Accountant (CPA)
• Certified Internal Controls Auditor (CICA)
• Forensics Certified Public Accountant (FCPA)
• Certified Fraud Examiner (CFE)
• Certified Forensic Accountant (CrFA)
• Certified Commercial Professional Accountant (CCPA)
• Certified Accounts Executive (CEA)
• Certified Professional Internal Auditor (CPIA)
• Certified Professional Management Auditor (CPMA)
• Chartered Accountant (CA)
• Chartered Certified Accountant (ACCA/FCCA)
• GIAC Certified System & Network Auditor (GSNA)[11]
• Certified Information Technology Professional (CITP)
• Certified e-Forensic Accounting Professional] (CFAP)
• Certified ERP Audit Professional (CEAP)
4. Manfaat Audit Teknologi Informasi
Manfaat pada saat Implementasi (Pre-Implementation Review)
• Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
• Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
• Mengetahui apakah outcome sesuai dengan harapan manajemen.
Manfaat setelah sistem live (Post-Implementation Review)
• Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
• Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
• Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
• Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
• Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan.
5. Tujuan Audit Teknologi Informasi
Tujuan audit teknologi informasi adalah sebagai berikut:
• Availability, ketersediaan informasi, apakah informasi pada perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah tersedia setiap saat.
• Confidentiality / kerahasiaan informasi, apakah informasi yang dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi.
• Integrity, apakah informasi yang tersedia akurat, handal, dan tepat waktu.
6. Jalannya Audit Teknologi Informasi
Berikut adalah langkah-langkah dalam melakukan Audit Teknologi Informasi.
1. Melakukan perencanaan audit
2. Mempelajari aset-aset teknologi informasi yang ada di organisasi dan Mengevaluasi Kontrol
3. Melakukan pengujian dan evaluasi kontrol
4. Melakukan pelaporan
5. Mengikuti perkembangan evaluasi pelaporan
6. Membuat Dokumen Laporan
Sumber :
https://itgid.org/audit-ti/
https://www.dictio.id/t/apa-yang-dimaksud-dengan-audit-teknologi-informasi/15065
Rindayn,M.Y.2018. Bigseven Crypto Audit. Jakarta: Sourceforge Projects
Langganan:
Postingan (Atom)