e-Audit


Secara bebas dapat diterjemahkan menjadi suatu kegiatan yang sistematis, terukur dan penuh perhitungan mengenai bagaimana mengorganisasikan suatu kebijakan dibidang keamanan dan bagaimana kebijakan tersebut dapat diberlakukan. Audit dibidang keamanan komputer dilakukan untuk mengetahui sumberdaya objek yang diaudit. Harus dibedakan antara Security Audit dengan Pen-Test (Penetration Testing ).

Untuk membedakan antara security audit dengan pen-test ada beberapa poin penting antara lain sebagai berikut. :

1. e-Audit merupakan kegiatan yang sistematis, terukur dan penuh perhitungan

2. Fokus dalam melakukan e-Audit terletak pada organisasi kebijakan

3. Pemeriksaan dilakukan secara menyeluruh terhadap segala sumber daya terkait keamanan komputer

Bedasarkan poin tersebut, saya menilai kalau pen-test tidak memenuhi poin yang kedua, yaitu melakukan pemeriksaan terhadap organisasi kebijakan dalam bidang keamanan (security policy), karena pada umumnya, pen-test hanya berfokus pada upaya penetrasi sebuah sistem. Selain itu, dalam pen-test tidak dilakukan pemeriksaan menyeluruh terhadap sumber daya, karena sebagaimana telah dijelaskan, kalau pen-test tersebut berfokus pada “keamanan jaringan belaka”.

Apa yang akan saya konsepkan disini tidak terbatas pada pemeriksaan terhadap keamanan jaringan belaka, tetapi juga mencakup kebijakan mengenai keamanan jaringan. Untuk itu pada dasarnya, e-Audit ini tidak hanya dilakukan secara jarak jauh (remote auditing) tetapi harus juga dilakukan melalui site visiting. Dalam Legal Due Diligence, site visiting sifatnya opsional saja, meskipun sifatnya opsional, site visiting sangat dianjurkan agar si auditor dapat secara langsung mengetahui apa yang dihadapinya, sehingga dalam melakukan audit, auditor lebih paham mengenai kondisi lapangan dan terhindar dari kesalahan pemberian opini. Hal tersebut yang saya pikir perlu juga dilakukan dalam e-Audit.

Dalam konsep e-Audit, ada beberapa aspek yang menjadi tolak ukur auditing. Artinya, aspek ini menjadi titik krusial dalam pemeriksaan si Auditor. Pemilihan aspek ini sebenarnya masih dalam tahap pengembangan dan besar kemungkinan akan ada penambahan titik pemeriksaan atau mungkin terjadi pengurangan titik pemeriksaan sebagai alasan dari efisiensi pemeriksaan. adapun poin tersebut sebagai berikut.

1. Software

Pemeriksaan yang dilakukan terhadap software tidak hanya terbatas pada legalitas dari software tersebut, tetapi pemeriksaannya juga meliputi kebijakan instalasi, manajemen dan pembaharuan software (updating) dan ketentuan lainnya yang secara keseluruhan terkait erat dengan “terms and conditions” dari software tersebut. Pemahaman terhadap terms and conditions suatu software sifatnya adalah mutlak, dimana dengan pemahaman terhadap terms and conditions tersebut, para pihak dapat memahami hak dan kewajiban masing-masing.

Salah satu aspek penting pemahaman terms and conditions dari suatu software adalah terkait pemeriksaan terhadap aspek legalitas yang diharapkan dilakukan tidak hanya sebatas pada bahwa software tersebut diperoleh melalui cara yang legal, melainkan juga pemeriksaan meliputi kesesuaian antara ketentuan terms and condition dari software tersebut dengan kondisi real dari suatu perusahaan. Sebagai contoh, ada kalanya suatu software secara tegas hanya boleh diinstal pada suatu workstation, sementara software lain memperbolehkan lisensi software tersebut digunakan untuk lebih dari satu komputer. Hal tersebut tentu dapat kita ketahui hanya apabila kita memahami terms and condition dari software tersebut.

Hal lainnya, yaitu instalasi, e-Audit diharapkan dapat dilakukan dengan meliputi pemahaman (i) bagaimana kriteria software yang diperbolehkan diinstal dalam suatu perusahaan, hal ini sehubungan dengan kebutuhan dari suatu perusahaan. Sebagai contoh, perusahaan yang bergerak dibidang perbankan tentu membutuhkan software yang berbeda dengan perusahaan yang bergerak dibidang ekspedisi, (ii) pendataan terhadap software yagn terinstall dalam suatu jaringan guna mengklasifikasi software tersebut berdasarkan kegunaan ataupun berdasarkan ketentuan yang melekat pada software tersebut, seperti apakah software tersebut merupakan free-software, shared-software, dan lainnya.

Berlanjut kepada aspek teknis. Dalam aspek teknis sehubungan dengan software terdapat beberapa hal penting yang harus diperhatikan, yaitu: (i) integritas dari software yang terinstall dalam suatu sistem, (ii) akurasi dari software tersebut, dan (iii) reliability dari software tersebut. Faktor yang perlu dipastikan oleh auditor dalam e-Audit teknis terhadap software adalah memastikan software tersebut memiliki keamanan, keandalan dan sifat reliability yang tepat dengan sistem suatu perusahaan tersebut. Hal ini erat terkait dengan akurasi dari out-put yang dihasilkan oleh sistem. Sebagai contoh, apabila suatu software yang terinstall dalam suatu sistem tidak memiliki integritas yang baik, tentu segala out-put dari sistem secara keseluruhan tidak dapat dipertanggungjawabkan. Kegiatan seperti update dan patching terhadap software juga termasuk dalam genus ini.

Aspek pemeriksaan ini sesungguhnya adalah pengejewantahan dari dari perintah peraturan perundang-undangan yang ada di Indonesia, yang dalam hal ini adalah Undang-undang No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (”UU ITE”). Pasal 15 ayat (1) UU ITE secara tegas menyatakan sebagai berikut.

Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya. “Andal” artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. “Aman” artinya Sistem Elektronik terlindungi secara fisik dan nonfisik. “Beroperasi sebagaimana mestinya” artinya Sistem Elektronik memiliki kemampuan sesuai dengan spesifikasinya.

2. Hardware

Pemeriksaan terhadap hardware hampir serupa dengan pemeriksaan terhadap software, yaitu harus dilakukan terhadap aspek non-teknis dan aspek teknisnya. Untuk aspek non-teknis dari suatu hardware yang perlu diperhatikan adalah apakah hardware yang digunakan dalam suatu sistem tersebut merupakan hardware yang telah memenuhi persyaratan legal untuk digunakan. Sebagai contoh, untuk hardware yang merupakan berkaitan dengan sistem komunikasi, hardware tersebut harus melalui sertifikasi dari Depkominfo sebagaimana dipersyaratkan. Selai itu perlu juga diperhatikan bahwa hardware yang digunakan adalah hardware yang legal, dalam hal ini hardware tersebut bukan merupakan hardware hasil kejahatan terhadap hak kekayaan intelektual (IP infringement products).

Dari segi teknis, sesungguhnya prinsip e-Audit terhadap software juga dapat diterapkan terhadap pemeriksaan hardware, dimana aspek keamanan, keandalan dan reliability merupakan fokus utamanya.

3. Policy

Policy atau kebijakan merupakan elemen utama dari e-Audit yang harus diperiksa, karena dari suatu policy lah suatu perusahaan yang diperiksa menentukan software dan hardware yang akan digunakan. Dari policy ini pula lah kita dapat menentukan lebih lanjut aspek pemeriksaan terhadap software dan hardware di suatu perusahaan / jaringan. Sebagai contoh, apabila dalam policy perusahaan secara tegas terlihat bahwa selain software yang secara default terinstall di workstation, maka user dilarang menginstall software lainnya, maka dalam melakukan e-Audit, kita harus dapat memastikan bahwa memang benar tidak ada software lain yang terinstall. Apabila dalam pemeriksaan ternyata ditemukan banyak software lain yang terinstall, maka software tersebut harus dimasukan dalam laporan pemeriksaan agar dapat ditindaklanjuti berdasarkan policy yang ada.

Selain itu, policy yang baik dari suatu pemeriksaan dapat mendukung terciptanya keamanan, keandalan dan reliability dari jaringan secara keseluruhan. Sehingga total suatu proses dalam sistem yang dimulai dari input hingga out-put dapat berjalan dengan baik.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s