Rabu, 04 Oktober 2017

Etika Profesi Tugas 1

SOAL 

2. Sebutkan dan jelaskan alasan penyebab pelanggaran kode etik profesi !

4. Sebutkan dan jelaskan cara penanggulangan ancaman kejahatan di bidang TIK !

6. Sebutkan dan jelaskan jenis - jenis audit TI !

8. Sebutkan dan jelaskan framework IT audit !

10. Sebutkan dan jelaskan tools yang digunakan untuk IT forensik !

JAWABAN 

2. Berikut penyebab pelanggaran kode etik profesi
  • Tidak berjalannya kontrol dan pengawasan dari masyarakat.
  • Organisasi profesi tidak dilengkapi dengan sarana dan mekanisme bagi masyarakat untuk menyampaikan keluhan.
  • Rendahnya pengetahuan masyarakat mengenai substansi kode etik profesi, karena buruknya upaya sosialisasi dari pihak profesi sendiri.
  • Belum terbentuknya kultur dan kesadaran dari para pengemban profesi TI untuk menjaga martabat luhur profesinya.
  • Tidak adanya kesadaran etis dan moralitas di antara para pengemban profesi TI
4. Berikut cara penanggulangan ancaman kejahatan di bidang TIK
  • Pengendalian akses
Pengendalian akses dapat dicapai dengan tiga langkah, yaitu:

  1. Identifikasi pemakai (user identification), mula-mula pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon.
  2. Pembuktian keaslian pemakai (user authentication), Setelah melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan  menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan identification chip), tanda tangan, suara atau pola ucapan.
  3. Otorisasi pemakai (user authorization), Setelah melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut dapat diberi hak wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.
  • Memantau adanya serangan pada sistem
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara yang pasif misalnya dengan melakukan pemantauan pada logfile.

  • Penggunaan Enkripsi
Salah satau mekanisme untuk meningkatkan keamanan sistem yaitu dengan menggunakan teknologi enkripsi data. Data-data yang dikirimkan diubah sedemikian rupa sehingga tidak mudah diketahui oleh orang lain yang tidak berhak.

6. Berikut jenis - jenis audit TI
  • Sistem dan aplikasi, memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi,  berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.
  • Fasilitas pemrosesan informasi, memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.

  • Pengembangan sistem, memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.

  • Arsitektur perusahaan dan manajemen TI, memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi.

  • Client/Server, telekomunikasi, intranet, dan ekstranet, memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.

8. Berikut framework IT audit

  • COBIT (Control Objectives for Information and related Technology), Suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.1 merupakan versi terbaru. COBIT memiliki 4 cakupan domain, yaitu : Perencanaan dan organisasi (plan and organise), Pengadaan dan implementasi (acquire and implement), Pengantaran dan dukungan (deliver and support), Pengawasan dan evaluasi (monitor and evaluate). Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor. 
  • ITIL (Information Technology Infrastructure Library), Merupakan seperangkat praktek untuk manajemen layanan IT yang berfokus pada menyelaraskan layanan IT dengan kebutuhan bisnis. ITIL menggambarkan proses, prosedur, tugas dan daftar periksa yang dapat diterapkan oleh sebuah organisasi untuk membangun integrasi dengan strategi organisasi, memberikan nilai, dan mempertahankan tingkat minimum kompetensi. Hal ini memungkinkan organisasi untuk menetapkan data dasar yang dapat merencanakan, melaksanakan, dan mengukur. Hal ini digunakan untuk menunjukkan kepatuhan dan untuk mengukur peningkatan.
  • COSO (Committee of Sponsoring Organisations of the Treadway Commission), Merupakan framework yang diperkenalkan pada tahun 1992 sebagai pedoman bagaimana membangun kontrol yang baik sehingga perusahaan dapat mencapai tujuan mereka dengan mengurangi resiko – resiko yang ada. COSO mengkategorikan level entitas kedalam suatu operasi, finansial, pelaporan dan kepatuhan. Framework ini mencakup lebih dari 20 prinsip dasar yang mewakili konsep dasar yang terkait dengan komponen: kontrol lingkungan, penilaian resiko, kontrol aktivitas, informasi dan komunikasi serta monitoring.
  • CICA/CoCo CoCo (Criteria of Control Framework), Diperkenalkan pada tahun 1992 dengan tujuan untuk meningkatkan kinerja organisasi dan pengambilan keputusan dengan kontrol yang lebih baik, manajemen resiko, dan tata kelola perusahaan. Framework ini mencakup 20 kriteria untuk kontrol yang efektif dalam empat bidang organisasi: tujuan (arah), komitmen (identitas dan nilai-nilai), kemampuan (kompetensi), serta pemantauan dan belajar (evolusi).
  • ISO, Merupakan suatu framework yang mengatur dan mengembangkan lebih dari 16.000 standar internasional untuk para stakeholder seperti kepentingan industri dan asosiasi perdagangan, ilmu pengetahuan dan akademisi, pemerintah dan regulator, kelompok kepentingan sosial dan lainnya. ISO seri 9000 berfokus pada sistem manajemen mutu, termasuk memastikan kontrol di tempat untuk mematuhi persyaratan peraturan yang berlaku. ISO 14000 berfokus pada sistem manajemen lingkungan, termasuk menyalahi peraturan lingkungan yang berlaku. ISO 27000 berfokus pada sistem manajemen keamanan informasi.
  • BCBS (Basel Committee on Banking Supervision) Merupakan framework yang diperkenalkan pada tahun 1998. Unsur -unsur dari pengendalian internal ini meliputi: pengawasa manajemen dan budaya kontrol, pengenalan resiko dan penilaian, kontrol kegiatan dan pemisahan/pengelompokan tugas, informasi dan komunikasi, dan pemantauan kegiatan serta mengoreksi. Fungsi efektif dari unsur-unsur tersebut merupakan kunci untuk sebuah organisasi demi tercapainya tujuan kinerja, informasi dan kepatuhan.
  • FIPS (Federal Information Processing Standard), Merupakan salah satu framework yang dikeluarkan oleh NIST (National Institute of Standards and Technology) untuk mengkoordinir kebutuhan dan standarisasi untuk modul kriptografi yang mencakup dari segi komponen hardware dan software.
  • ISO/IEC 17799:2005 Code of Practice for Information Security Management Merupakan pengembangan framework dari ISO yang sangat direkomendasikan untuk pedoman manajemen keamanan informasi dengan pertanggung jawaban dan inisiasi. Yang berubah menjadi ISO/IEC 27002 pada Juli 2007 untuk menyesuaikan dengan penamaan seri standar ISO/IEC 27000. Nama lengkapnya adalah "ISO/IEC 27002:2007 - Information technology - Security techniques - Code of practice for information security management."
  • ISO/IEC TR 13335 Merupakan suatu framework pelaporan teknik sangat penting yang berfungsi untuk manajemen sistem keamanan informasi.
  • ISO/IEC 15408:2005/Common Criteria/ITSEC Merupakan suatu bentuk framework dari ISO yang menangani penanganan teknis suatu teknologi informasi berdasarkan evaluasi kriteria untuk keamanan teknologi informasi.
  • PRINCE2 (Projects In Controlled Environments, version 2) Merupakan framework yang menangani kualitas manajemen, pengendalian dan organisasi suatu proyek dengan konsistensi dan penyampaian kembali dengan objektif suatu proyek.
  • PMBOK (Project Management Body of Knowledge) Merupakan suatu set standar terminologi dan panduan untuk manajemen proyek.
  • TickIT Merupakan sertifikasi program untuk perusahaan dalam pengembangan software dan industri komputer, didukung oleh UKAS (The United Kingdom Accreditation Service) dan SWEDAC (Swedish Board for Accreditation and Confirmity Assessment). Umumnya framework ini dikhususkan untuk pengembangan kualitas software.
  • CMMI (Capability Maturity Model Integration) Merupakan suatu proses pengembangan pelatihan dan penilaian program. CMMI termasuk kedalam salah satu produk dari ISACA.
  • TOGAF (The Open Group Architecture Framework) Merupakan framework yang memperinci metode dan tools pendukung dalam pengembangan suatu arsitektur perusahaan.
  • IT Baseline Protection Manual Merupakan kumpulan dokumen dari German Federal Office for Security in Information Technology (BSI) yang memiliki kegunaan untuk mendeteksi kerusakan dan serangan informasi dalam IT.
  • NIST (National Institute of Standards and Technology) Merupakan agen federal non-peraturan dalam Departemen Perdagangan AS (link eksternal). Misi NIST adalah untuk mempromosikan inovasi AS dan daya saing industri dengan memajukan ilmu pengetahuan pengukuran, standar, dan teknologi dengan cara yang meningkatkan keamanan ekonomi dan meningkatkan kualitas hidup kita.
  • ITAF (Information Technology Assurance Framework) Merupakan pengenalan desain audit sistem informasi profesional dilihat dengan perbedaan kebutuhan dan tipe kebutuhan akan audit dan penjamin penilaian suatu sistem informasi.
  • TickITplus Merupakan pengembangan skema dari TickIT dengan menambahkan dimensi baru yang mengkombinasikan praktek industri dengan standar internasional IT.
  • ISO/IEC 27001:2013 Merupakan salah satu framework ISO untuk menangani manajemen teknik keamanan sistem berdasarkan kebutuhan IT.
  • ISO/IEC DIS 27003 Merupakan salah satu framework ISO untuk manajemen sistem keamanan informasi dari segi pengeimplementasian IT dalam suatu enterprise.
  • ISO/IEC 27010:2015 Merupakan salah satu framework ISO untuk menangani manajemen keamanan informasi untuk inter-sector dan inter-organizational komunikasi.
  • ISO/IEC 27013 Merupakan salah satu framework ISO untuk pedoman dalam pengintegrasian dari implementasi ISO/IEC 27001 dan ISO/IEC 20000-1.
  • ISO/IEC 90003:2014 Merupakan salah satu framework ISO untuk pedoman pengaplikasian ISO 9001:2008 tentang komputer software.
  • ISO/IEC CD 19770-1 Merupakan salah satu framework ISO untuk manajemen pelayanan IT berupa manajemen pelayanan kebutuhan sistem.
  • ISO/IEC 20000-1:2011 Merupakan salah satu framework ISO untuk manajemen pelayanan IT berupa manajemen pelayanan kebutuhan sistem.
10. Berikut tools yang digunakan untuk IT forensik
  • Antiword, merupakan sebuah aplikasi yang digunakan untuk menampilkan teks dan gambar dokumen Microsoft Word. Antiword hanya mendukung dokumen yang dibuat oleh MS Word versi 2 dan versi 6 atau yang lebih baru.

  • The Autopsy Forensic Browser, merupakan antarmuka grafis untuk tool analisis investigasi diginal perintah baris The Sleuth Kit. Bersama, mereka dapat menganalisis disk dan filesistem Windows dan UNIX (NTFS, FAT, UFS1/2, Ext2/3).
  • Binhash, merupakan sebuah program sederhana untuk melakukan hashing terhadap berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
  • Sigtcol, merupakan tool untuk manajemen signature dan database ClamAV. sigtool dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database CVD dan skrip update.
  • ChaosReader, merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC; dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
  • Chkrootkit, merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60 rootkit dan variasinya.
  • Dcfldd, Tool ini mulanya dikembangkan di Department of Defense Computer Forensics Lab (DCFL). Meskipun saat ini Nick Harbour tidak lagi berafiliasi dengan DCFL, ia tetap memelihara tool ini.
  • GNU ddrescue, merupakan sebuah tool penyelamat data, la menyalinkan data dari satu file atau device blok (hard disc, cdrom, dsb.) ke yang lain, berusaha keras menyelamatkan data dalam hal kegagalan pembacaan. Ddrescue tidak memotong file output bila tidak diminta. Sehingga setiap kali anda menjalankannya kefile output yang sama, ia berusaha mengisi kekosongan.
  • Foremost, merupakan sebuah tool yang dapat digunakan untuk me-recover file berdasarkan header, footer, atau struktur data file tersebut. la mulanya dikembangkan oleh Jesse Kornblum dan Kris Kendall dari the United States Air Force Office of Special Investigations and The Center for Information Systems Security Studies and Research. Saat ini foremost dipelihara oleh Nick Mikus seorang Peneliti di the Naval Postgraduate School Center for Information Systems Security Studies and Research.
  • Gqview, merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.
  • Galleta, merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis forensic terhadap cookie Internet Explorer.
  • Ishw (Hardware Lister), merupakan sebuah tool kecil yang memberikan informasi detil mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.
  • Pasco, banyak penyelidikan kejahatan komputer membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file aktivitas Internet Explorer (file index.dat). Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke program spreadsheet favorit Anda.
  • Scalpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan, mengisolasi dan merecover data dari media komputer selama proses investigasi forensik. Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik. Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.
SUMBER

  • https://mahrus.wordpress.com/2008/02/04/penyebab-pelanggaran-kode-etik-profesi-it/
  • http://bintangcreative.blogspot.co.id/2013/04/cara-menanggulangi-ancamangangguan.html
  • https://avanza250.wordpress.com/2013/06/22/pemeriksaan-sistem-informasi-audit-it/
  • https://www.researchgate.net/publication/311972151_Framework_Audit_IT
  • http://pabloexcel.blogspot.co.id/2010/07/macam-macam-tools-dalam-it-forensics.html
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)