PROSEDUR IT AUDIT :
Kontrol lingkungan :
1. Apakah kebijakan keamanan (security policy) memadai dan efektif
?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan
dan prosedural yg terikini dari external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan financial
4. Memeriksa persetujuan lisen (license agreement)
Kontrol keamanan fisik
1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan
data memadai
2. Periksa apakah backup administrator keamanan sudah memadai
(trained,tested)
3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
4. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data
memadai
Kontrol keamanan logical
1. Periksa apakah password memadai dan perubahannya dilakukan
regular
2. Apakah administrator keamanan memprint akses kontrol setiap
user
CONTOH – CONTOH
- Internal IT Deparment Outputnya Solusi teknologi meningkat,
menyeluruh & mendalam dan Fokus kepada global, menuju ke standard2 yang
diakui.
- External IT Consultant Outputnya Rekrutmen staff, teknologi baru
dan kompleksitasnya Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh
lembar kerja IT Audit
Gambar
berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk
contoh yang masih ‘arround the compter‘, sedangkan B contoh ‘through the
computer‘.
Studi Kasus : Pencurian Dana dengan Kartu ATM Palsu
Jakarta (ANTARA News) – Sekitar 400
juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh
kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah
perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi
onlinenya, Rabu.
Bank-bank yang kini sedang disidik polisi adalah Bank Chugoku yang
berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank
Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal itu menggunakan
teknik pemalsuan baru untuk membuat kartu ATM tiruan yang dipakai dalam tindak
kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM
ini sebagai ulah komplotan pemalsu ATM yang besar sehingga pihaknya berencana
membentuk gugus tugas penyelidikan bersama dengan satuan polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar
141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di
North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat
mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan
mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua
perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah
Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik
rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik
rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah
satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening
tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di
tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal
ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak
digunakan untuk mengakses informasi dalam ATM.
Sampai berita ini diturunkan, polisi masih menyelidiki teknik dan
metode yang pelaku gunakan dalam melakukan serangkaian pembobolan ATM tersebut.
Namun, polisi telah berhasil menemukan satu benang merah, yaitu dimana sebagian
besar pemilik rekening yang dibobol itu adalah anggota satu program yang
dijalankan olah sebuah perusahaan penjual produk makanan kesehatan yang
berbasis di Tokyo.
Analisa Kasus :
Dari rangkuman berita diatas, dapat ditarik beberapa kesimpulan,
antara lain:
· Pembobolan dana rekening tersebut kemungkinan besar dilakukan
oleh orang dalam perusahaan atau orang dalam perbankan dan dilakukan lebih dari
satu orang.
· Karena tidak semua pemilik rekening memiliki hubungan dengan
perusahaan tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan
oleh satu perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.
· Modusnya mungkin penipuan berkedok program yang menawarkan
keanggotaan. Korban, yang tergoda mendaftar menjadi anggota, secara tidak sadar
mungkin telah mencantumkan informasi-informasi yang seharusnya bersifat
rahasia.
· Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu
ATM yang hanya dilindungi oleh PIN.
· Pelaku juga kemungkinan besar menguasai pengetahuan tentang
sistem jaringan perbankan. Hal ini ditunjukkan dengan penggunaan teknik yang
masih belum diketahui dan hampir bisa dapat dipastikan belum pernah digunakan
sebelumnya.
· Dari rangkuman berita diatas, disebutkan bahwa para pemilik yang
uangnya hilang telah melakukan keluhan sebelumnya terhadap pihak bank. Hal ini
dapat diartikan bahwa lamanya bank dalam merespon keluhan-keluhan tersebut juga
dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2
kelemahan, yaitu:
1. Kelemahan pada mekanisme
pengamanan fisik kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM
berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita
magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita
magnet (skimmer).
2. Kelemahan pada mekanisme
pengamanan data di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini
adalah dengan penggunaan PIN (Personal Identification Number) dan telah
dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN
sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat
dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak
berfungsi jika pelaku telah mengetahui PIN korbannya.
Saran:
· Melakukan perbaikan atau perubahan sistem keamanan untuk kartu
ATM. Dengan penggunaan kartu ATM berbasis chip misalnya, yang dirasa lebih aman
dari skimming. Atau dengan penggunaan sistem keamanan lainnya yang tidak
bersifat PIN, seperti pengamanan dengan sidik jari, scan retina, atau dengan
penerapan tanda tangan digital misalnya.
· Karena pembobolan ini sebagiannya juga disebabkan oleh
kelengahan pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan
kartu ATM memberikan edukasi kepada para nasabahnya tentang tata cara
penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.
SUMBER : freezcha.wordpress.comgid3on.blogspot.comantaranews.com
Tidak ada komentar:
Posting Komentar