Senin, 29 Januari 2018

Tugas 4.3 - Solusi Audit Pembobolan Uang Pada E-Banking

TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
SOLUSI AUDIT PEMBOBOLAN UANG PADA E-BANKING


Contoh gambar transaksi dengan E-Banking. Image src : link

APengertian
Saat ini bank memberikan kemudahan layaknya kita memiliki mesin ATM sendiri di rumah. Seiring dengan perkembangan teknologi, layanan internet banking sudah menjadi bagian dari gaya hidup modern yang mengiringi aktivitas harian kita sehari-hari. Dibalik segala kemudahan yang diberikan, sebenarnya ada resiko yang kadang sering dilupakan atau kita kurang peduli atas ancaman tersebut. Istilah kejahatan perbankan dalam dunia internet dikenal dengan nama Hacking atau Cyber Crime. Kejahatan internet ini menjadi semakin mudah terjadi saat kita tidak paham cara mengamankan transaksi internet bank. Apakah sulit mengamankan transaksi tersebut? Sebenarnya mudah dilakukan, namun memang butuh pengetahuan dan kepeduian dari penggunanya.
Dalam blog ini akan dijelaskan beberapa tips sederhana yang dapat membuat internet banking Anda aman dari ancaman kejahatan internet (cyber crime)

B.Ancaman Phishing
Phishing adalah usaha untuk mendapatkan suatu informasi penting dan rahasia secara tidak sah, seperti user ID, password, PIN, informasi rekening tabungan bank, informasi kartu kredit, atau informasi rahasia yang lainnya untuk tujuan mendapatkan keuntungan pribadi secara tidak sah. Teknik ini paling umum dalam kejahatan internet banking dengan sarana yang digunakan dalam bentuk penggunaan alamat e-mail palsu dan grafik untuk menyesatkan pengguna internet.
Email palsu ini membuat pengguna internet terpancing menerima keabsahan e-mail atau website. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti bank atau atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti password, PIN, atau nomor kartu kredit.
Cara paling gampang mengantisipasi phising adalah dengan tidak mengklik link pada pesan email yang tidak dikenal, hanya mengetik data rahasia pada website yang aman dan secara berkala mengecek akun bank Anda dan segera melaporkan apapun yang mencurigakan kepada bank Anda.

C.Pastikan Semua Data Perbankan Anda Tidak Diketahui Orang Lain Termasuk Petugas Bank
Ingat bahwa semua transaksi bank yang terkait data nasabah hanya dilakukan di kantor cabang bank. Bank tidak pernah meminta petugas bank baik secara langsung atau melalui email untuk meminta informasi data nasabah tanpa datang ke kantor cabang bank secara langsung. Jika ada link yang terlihat mencurigakan dan berhubungan dengan data keuangan masuk ke mail box Anda, abaikan saja walau seolah olah tampak benar-benar otentik. Dianjurkan untuk cek email tersebut ke cabang bank di mana Anda memiliki rekening. Pastikan bahwa Anda tahu semua aturan dan peraturan yang ada di bank terkait keamanan data nasabah.

D.Pastikan Semua Data Perbankan Anda Tidak Diketahui Orang Lain Termasuk Petugas Bank
Ingat bahwa semua transaksi bank yang terkait data nasabah hanya dilakukan di kantor cabang bank. Bank tidak pernah meminta petugas bank baik secara langsung atau melalui email untuk meminta informasi data nasabah tanpa datang ke kantor cabang bank secara langsung. Jika ada link yang terlihat mencurigakan dan berhubungan dengan data keuangan masuk ke mail box Anda, abaikan saja walau seolah olah tampak benar-benar otentik. Dianjurkan untuk cek email tersebut ke cabang bank di mana Anda memiliki rekening. Pastikan bahwa Anda tahu semua aturan dan peraturan yang ada di bank terkait keamanan data nasabah.

E.Ubah Password Anda Secara Berkala
Mengubah password rekening bank secara berkala penting untuk dilakukan, misalnya 3-6 bulan sekali jika transaksi Anda sering dilakukan. Kombinasi password dalam bentuk karakter campuran lebih aman Anda lakukan. Biasanya password terdiri dari 6 karakter.
Cobalah untuk menghindari transaksi perbankan melalui jaringan Wi-Fi umum yang tanpa proteksi keamanan. Sangat dianjurkan untuk menggunakan komputer pribadi karena jelas lebih aman. Pengaturan komputer yang baik dapat menghindarkan Anda dari bahaya hacker dan pelaku kejahatan cyber lain.
Perhatikan juga jangan sampai Anda menulis kata sandi di ponsel pribadi. Password harus ada hafalkan, jika sampai tercatat apalagi di ponsel maka akan mudah bocor ke pihak yang tidak bertanggung jawab, misalnya saat tiba-tiba ponsel Anda rusak dan harus di service. Tentu pihak service harus membuka data, dan ada kemungkinan mereka akan tahu data pribadi Anda.

F.Pastikan Transaksi dengan Web Terkunci dengan Aman
Pertama-tama, pastikan bahwa Anda menggunakan situs otentik sebelum memasukkan informasi pribadi pada website internet banking. Cara cek nya gampang, yaitu dengan melihat tampilan web tersebut harus ada logo ikon kunci gembok tertutup. Hal ini akan menjaga informasi pribadi dan password aman dari gangguan cyber crime. Saat ini banyak mode duplikasi website untuk mencuri data nasabah bank. Ketidaktahuan sederhana ini dapat membuat Anda tertipu dan memasukkan data ke web palsu tersebut.

G.Menginformasikan Bank Anda Segera Jika mengalami kondisi Darurat
Banyak cara yang digunakan hacker dalam upaya mencuri dana nasabah bank. Selain teknik mencuri data melalai email mereka biasa bermain dengan ATM, mengingat mesin ATM stand by selama 24 jam. Jika Anda mengalami kondisi darurat saat menggunakan mesin ATM, misalnya ATM tertelan mesin, atau Anda salah beberapa kali memasukkan kode pin atau mungkin juga pin Anda salah walau sudah yakin bahwa pin tersebut adalah benar, maka segera hubungi call center bank tersebut.
Walaupun kejadiannya adalah malam hari atau hari Sabtu-Minggu saat bank tutup, Anda tetap harus segera lapor ke call center bank yang biasanya tertera di mesin ATM dan stand by 24 jam supaya ATM segera diblokir dan dana Anda aman. Hal ini untuk mengantisipasi kejadi darurat tersebut disengaja oleh pihak yang ingin mencuri data. Kejadian darurat lainnya bisa saja terjadi saat Anda bertransaksi dengan internet banking dan ternyata proses tersebut gagal namun saldo Anda terpotong. Segera hubungi call center bank, lalu pastikan mendapatkan solusi secepatnya.
Saat ini ada beberapa bank memberikan sistem pengamanan tambahan dalam bentuk notifikasi SMS baik persetujuan transaksi maupun informasi setelah transaksi dilakukan.

H.Pastikan Anda Keluar Dari Browser Internet Banking Melalui Cara yang Benar
Jika sudah log in ke rekening bank, jangan pernah keluar tanpa melalui proses klik log out. Seringkali pengguna keluar dengan cara klik silang langsung di pojok kanan atas. Hal tersebut sangat salah, sebab sistem browser bisa saja masih membaca Anda masih posisi log on sehingga rekap transaksi masih terekam dalam cache dan history browser, dan ini membuat data Anda mudah dicuri oleh pihak yang tidak bertanggung jawab.

I.Pastikan Transaksi Internet Banking Anda Melalui Smartphone Aman
Jika Anda adalah orang yang selalu bepergian dan tidak punya waktu untuk mengunjungi bank, smartphone adalah perangkat ideal untuk membantu transaksi Anda. Ponsel pintar juga dianggap solusi aman jika sulit bertransaksi  di ATM pusat-pusat perbelanjaan atau di tempat-tempat umum. Tapi, jangan sekali-sekali menunjukkan data pribadi Anda di smartphone kepada orang lain.

J.Ikuti Prosedurnya
Dengan terus berkembangnya teknologi saat ini dalam bidang perbankan. Tentu saja akan memudahkan setiap nasabah untuk mengakses setiap transaksi perbankan yang dimilikinya. Untuk itu, penting sekali bagi setiap nasabah mengenal sistem keamanan dalam bertransaksi dan apa saja yang harus dilakukan dalam keadaan darurat terkait transaksi itu sendiri. Pastikan Anda mengikuti prosedur yang telah dijelaskan oleh petugas bank, serta pastikan Anda mengetahui perubahan informasi terkait transaksi perbankan yang sudah lakukan. Terakhir, selalu waspada dan tetap cermat!

Referensi
  1. https://www.cermati.com/artikel/transaksi-internet-banking-akan-semakin-aman-dengan-cara-ini

Tugas 4.2. - SOLUSI AUDIT RESIKO PENGGUNAAN VIRTUAL CURRENCY


TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
RESIKO PENGGUNAAN VIRTUAL CURRENCY (BITCOIN)


Salah satu gerai di Perancis yang sudah menerima pembayaran dengan Bitcoin. Image src : link

APengertian
Diakui atau tidak, demam Bitcoin sedang melanda dunia. Cryptocurrency yang bersifat terdesentralisasi dan tidak diatur atau dijamin oleh otoritas pusat ini ramai digunakan untuk bertransaksi di berbagai negara, termasuk Indonesia.Meski memiliki sejumlah kelebihan dibanding mata uang "konvensional", Bitcoin bukannya tidak memiliki risiko. Ada beberapa ancaman yang mengintai para pengguna uang virtual ini. Salah satunya berkaitan dengan persoalan penyimpanan Bitcoin.Untuk bisa membelanjakan Bitcoin, pemilik membutuhkan baris kode khusus bernama "private key". Baris kode ini disimpan di dalam "wallet" atau dompet digital. Ketika akan dipakai, barulah pemilik mengakses kode tersebut dan menggunakannya untuk transaksiPrivate key bisa disimpan secara lokal di komputer maupun dicetak dengan printer. 
Persoalan muncul karena baris kode ini bisa dicuri atau hilang. Apabila itu terjadi, maka semua Bitcoin yang terasosiasi dengan private key bersangkutan akan raib selamanya dari tangan pemilik.Kasus seperti ini beberapa terjadi dalam beberapa bulan terakhir. Misalnya peristiwa yang menimpa Inputs.io. Penyedia wallet online tersebut November lalu dibobol hacker sehingga mengakibatkan para "nasabah" kehilangan Bitcoin senilai 1,2 juta dollar AS.Private key yang disimpan dalam "Cold Storage" (komputer atau media penyimpanan yang tak terkoneksi ke internet) pun memiliki kerentanan tersendiri. Seorang pria bernama James Howells menyimpan 7.500 Bitcoin dalam wallet di dalam hard disk komputernya. Ketika hard disk tersebut hilang, Howells terpaksa merelakan uang virtual senilai jutaan dollar tersebut.Untuk mengurangi risiko itu, CEO Bitcoin Indonesia Oscar Darmawan sedikit berbagi tips.
Pengelola salah satu bursa Bitcoin terbesar di Indonesia ini mengungkapkan bahwa dia membikin print-out dompet Bitcoin dalam bentuk tercetak. "Lalu, agar aman, cetakan tersebut kami simpan dalam safety deposit box," kata Oscar ketika ditemui usai acara gathering Indonesia Bitcoin Community di Jakarta, Sabtu (18/1/2014) kemarin.Untuk melindungi wallet online, password yang kuat bisa digunakan. Dapat pula ditambahi layanan otentikasi dua-faktor macam Google Authenticator yang seringkali ditawarkan oleh dompet berbasis web. Backup wallet juga diperlukan untuk berjaga-jaga terhadap kemungkinan server bermasalah atau komputer/hard disk rusak.

B.Resiko Finansial
Risiko lain terkait Bitcoin adalah nilai mata uang ini sendiri yang terkenal sangat fluktuatif. Pada awal Januari 2013, misalnya, Bitcoin dihargai 13 dollar AS per keping (1 BTC). Angka itu meroket ke lebih dari 1.100 dollar AS per keping pada Desember tahun yang sama, lalu terpangkas menjadi hanya setengahnya (sekitar 500 dollar AS), hanya dalam beberapa jam setelah pelarangan transaksi Bitcoin di China.
Ini membuat nilai Bitcoin yang dimiliki menjadi tidak stabil dan menjadi masalah sendiri bagi pelaku bisnis yang memakai mata uang virtual tersebut. Harga barang dan nilai uang yang dibayarkan bisa naik atau turun dengan tajam dalam waktu sangat singkat sehingga berpotensi merugikan salah satu pihak yang terlibat dalam jual beli.
Tiyo Triyanto dari IBC mengatakan bahwa salah satu cara mengatasi fluktuasi harga tersebut adalah dengan memakai penyedia jasa layanan finansial Bitcoin semacam Artabit. "Pembeli, misalnya, membayar harga barang yang telah ditentukan dalam bentuk Bitcoin kepada Artabit, sisanya ditangani oleh mereka sehingga resiko bukan berada di tangan pengguna."
Dengan asumsi tidak terjadi fluktuasi berlebihan, Bitcoin menawarkan keuntungan tersendiri untuk bisnis yang memasarkan produk secara online karena hampir tak ada biaya transaksi untuk pembeli dan penjual. Begitupun untuk keperluan transfer uang yang dibuat mudah dan murah dibandingkan mata uang konvensional.
Seperti mata uang atau komoditas lain, perilaku hoarding atau penimbunan juga terjadi dengan Bitcoin. Di India dan China, misalnya, angka permintaan Bitcoin terbesar disinyalir berasal dari spekulan yang mencari untung. Tak menutup kemungkinan bahwa harga Bitcoin bisa crash apabila sejumlah besar koin virtual tersebut dilepas dalam satu waktu, terlebih dengan kondisi Bitcoin saat ini yang banyak disebut sedang mengalami bubble.

C.Kurang Pahamnya Pengguna
Risiko lain yang tak kalah penting datang dari kalangan pengguna Bitcoin sendiri, yaitu kurangnya pemahaman mengenai sifat dan cara kerja cryptocurrency ini. Oscar mengatakan bahwa dia menangkap gejala adanya orang yang nekat berinvestasi di Bitcoin tanpa didukung pengetahuan yang memadai. "Kami mendapat permintaan beli sejumlah Bitcoin, tapi setelah itu pembelinya mengontak dan baru bertanya apa itu Bitcoin," jelas Oscar. Dalam kasus tersebut, dia menerangkan bahwa pihaknya biasanya menolak transaksi agar tak disebut "menawarkan jalan pintas menjadi kaya".
Banyak yang mengalami kerugian karena menanam modal di Bitcoin walau sebenarnya tak memahami mata uang tersebut. "Mereka tak tahu kapan harus beli, jual, dan sebagainya. Sebelum investasi, memang mutlak mengetahui seluk-beluk investasi tersebut," kata Oscar lagi.
Bitcoin memang bisa diperoleh melalui "penambangan" atau mining. Tapi cara tersebut terbilang sangat lamban menghasilkan Bitcoin bagi kebanyakan pengguna biasa. Mereka yang ingin cepat memperoleh Bitcoin bisa langsung membeli lewat exchange sesuai kurs yang berlaku, namun ini berisiko tinggi mengingat fluktuasi nilai yang bisa sangat ekstrim.
Agar lebih aman, Oscar menyarankan investor pemula Bitcoin agar memakai uang yang memang sudah disiapkan agar expendable. "Jangan pakai uang untuk belanja, nanti pusing," katanya. Bitcoin sendiri bukan satu-satunya cryptocurrency yang beredar di dunia. Saat ini tersedia puluhan mata uang digital sejenis yang popularitas dan nilai masing-masingnya bervariasi. Beberapa nama yang sering disebut antara lain Litecoin, Ripple, Dogecoin, dan Coinye West yang dituntut atas pelanggaran merek dagang oleh artis Hip-hop Kanye West.

Referensi
  1. http://tekno.kompas.com/read/2014/01/20/1743437/Bitcoin.Aman.atau.Berisiko.

Tugas 4.1 - SOLUSI AUDIT SI TENTANG PEMBOBOLAN UANG MELALUI MESIN ATM


TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
SOLUSI AUDIT SI TENTANG PEMBOBOLAN UANG MELALUI MESIN ATM


Salah satu ATM BNP Paribas, salah satu Bank terbesar di Paris, Perancis. Image src : Link
APendahuluan
Maraknya kejadian pembobolan rekening melalui eksploitasi kelemahan sistem layanan ATM dan juga SMS serta Internet banking meninjukkan semakin canggihnya para penjahat cyber. Pihak perbankan harus memiliki sistem pengamanan yang kuat dan terus ditingkatkan kemampuannya dari waktu ke waktu untuk antisipasi berbagai jenis upaya kejahatan yang terus berubah dan berkembang.
Meskipun demikian, agar terhindar dari tindak kriminal, diperlukan juga peran aktif nasabah. Karena di dalam dunia keamanan dikenal istilah “your security is my security”. Semua pihak harus melakukan peningkatan pengetahuan dan pemahaman bahwa di dalam pemanfaatan berbagai macam layanan yang berbasis teknologi, selain memudahkan juga terdapat resiko yang harus diwaspadai.

B.Kenali Produk Anda
Kenali layanan yang digunakan dan cermati bagaimana cara kerja teknologinya serta pahami aturan serta prosedur yang diterapkan terutama di dalam aspek pengamanan. Bank memiliki banyak produk dan layanan, sudah sepatutnya nasabah memahami dan dapat membedakan karakteristiknya. Contoh layanan SMS/mobile banking dan Internet banking pada prinsipnya adalah perluasan dari layanan ATM namun dengan fitur yang lebih terbatas dibandingkan ATM. Artinya, tidak semua fitur yang tersedia di ATM (misalnya ganti PIN) bisa digunakan pula di SMS/mobile banking atau Internet banking.
Nasabah juga perlu mengetahui, bahwa untuk dapat menggunakan SMS/mobile banking dan Internet banking, terlebih dahulu harus memiliki kartu ATM dan PIN yang nanti akan digunakan untuk aktivasi/ mendaftar. Bila nasabah telah paham kondisi ini, maka ybs. dapat memilih untuk menggunakan atau tidak menggunakan layanan tersebut sesuai kebutuhannya. Sebab tidak semua orang memanfaatkan online banking bahkan kartu ATM pun belum tentu digunakan. Sementara sebagian bank, terutama yang sudah online seolah menerapkan keharusan setiap nasabah untuk memiliki kartu ATM.
Setelah memahami karakteristik layanan, maka selanjutnya nasabah juga perlu mengetahui cara kerja teknologi yang bekerja di balik layanan tersebut. Edukasi semacam ini seharusnya menjadi tanggung jawab bank dan atau pihak penyedia teknologi seperti misalnya operator selular dan provider Internet. Yang paling penting di dalam edukasi ini adalah untuk menanamkan pemahaman dan disiplin kepada nasabah prosedur pemanfaatan layanan dan teknologi yang benar, mengenali kelemahannya dan juga sekaligus tata cara pengamanannya. Dengan memahami resiko, nasabah akan lebih waspada.
Yang paling penting bagi nasabah adalah, tidak ada keharusan untuk memanfaatkan semua layanan, fitur dan teknologi yang ditawarkan. Sesuaikan dengan kebutuhan anda, manakah yang paling mudah (dikuasai) dan paling nyaman untuk digunakan di dalam menunjang aktivitas transaksi.
*) catatan: anda punya pilihan untuk memilih bank dan jenis produk layanannya yang paling sesuai dengan kebutuhan. Semua bank masih tetap memiliki layanan teller konvensional dan punya cabang hingga ke pelosok, terutama beberapa bank nasional maupun bank daerah milik pemerintah.

C.Mengetahui Jenis Kartu Transaksi
Khusus untuk layanan yang menggunakan kartu sebagai media, ATM, debit, voucher elektronik, kartu kredit, dlsb. perlu diketahui jenis kartu yang dipakai. Pada prinsipnya saat ini ada 2 jenis kartu yaitu:
Magnetic stripe card, mengikuti standar ISO/IEC untuk ukuran, bentuk, karakteristik bahan magnetik yang digunakan,penempatan jalur pita magnetik, hingga format penyimpanan data. Prinsipnya kartu jenis ini menyimpan data di dalam pita magnetik yang kemudian dapat dibaca ulang menggunakan alat yang memiliki head pembaca seperti di dalam perangkat tape recorder, dengan cara digesekkan. Masyarakat awam menyebut jenis kartu ini dengan istilah “kartu gesek” atau “swipe card”.
Cara kerja teknologi magnetic stripe card pada dasarnya adalah seperti ini: pada saat digesek itulah isi data pita magnetik dibaca, dikirim, diterjemahkan dan diolah pemroses di sisi pusat untuk memeriksa identitas pemegang kartu, validitas dari kartu itu sendiri dan juga keabsahan transaksinya. Proses ini terjadi secara real time dan harus online apabila unit pembaca dan pemrosesnya terpisah.
Kartu magnetik digunakan luas oleh masyarakat untuk berbagai macam keperluan, mulai dari kartu identitas karyawan/mahasiswa/pelajar, SIM hingga kartu akses kamar hotel dlsb. bukan hanya untuk kartu ATM/debit atau kartu kredit. Sehingga perangkat pembaca (reader/skimmer), maupun untuk menulis (recorder) serta aneka software untuk enkripsi/dekripsi data dijual bebas di pasaran. Bukan hal yang luar biasa apabila terjadi penggandaan kartu ATM karena perangkatnya tersedia dan tidak memerlukan keterampilan yang khusus untuk melakukannya. Apalagi teknologi ini sudah digunakan selama sekitar 20 tahun sehingga berbagai macam kelemahan telah diketahui luas dan karenanya sudah sepatutnya mulai digantikan dengan teknologi lainnya yang lebih maju dan aman.
Kartu dengan teknologi baru adalah jenis chip/smart card. Bentuknya seperti yang digunakan pada telepon selular (GSM/CDMA SIM/RUIM card). Ukuran dan formatnya diatur oleh standar internasional (ISO). Chip tersebut bisa berfungsi sebagai memori saja maupun juga sebagai mikroprocessor atau sekaligus keduanya. Pada dasarnya adalah sistem komputer dalam satu chip yang ditanamkan pada kartu plastik. Cara kerjanya dapat melalui kontak langsung dengan cara ditancapkan maupun secara nirkabel, cukup ditempelkan dari jarak dekat pada mesin pembaca atau kombinasi keduanya (hybrid) dan dapat digabungkan dengan teknologi lainnya seperti RFID maupun biometric system.
Biasanya chip card ini juga masih dipasang magnetic stripe untuk kebutuhan backward compatibility (kompatibilitas mundur), terutama untuk aplikasi di sektor perbankan. Karena belum semua jaringan layanan perbankan seperti mesin ATM, EDC telah memiliki kemampuan pembacaan dan pengolahan smart card. Sehingga magnetic stripe tetap dipasang di kartu yang sama sebagai backup.
Kelebihan smart card terutama adalah kemampuan pengolahan transaksi secara offline. Artinya tidak harus terkoneksi real time ke server atau pengolah pusat. Ini dimungkinkan karena seluruh data pada dasarnya telah ditanamkan di dalam chip, bukan hanya identitas tetapi juga termasuk besarnya saldo atau dana yang tersedia. Bahkan dimungkinkan melakukan transaksi langsung dari user ke user tanpa melalui bank. Sehingga kartu jenis ini dapat digunakan untuk beberapa fungsi sekaligus misalnya saja sebagai kartu ATM/debit dan juga sebagai kartu kredit dan voucher sekaligus, jadi praktis.
Smart card juga relatif lebih aman dibanding pendahulunya. Karena memiliki kemampuan processing sendiri selain sebagai memori, maka relatif lebih sulit digandakan dibandingkan jenis kartu magnetic stripe yang bersifat hanya sebagai memori saja. Perlu peralatan khusus untuk mencetak smart card yang harganya jauh lebih mahal dan oleh vendor hanya disediakan dalam jumlah terbatas.
Maka demi keamanan, gunakan hanya kartu chip. Kalau bank belum memberikan kartu chip, Anda harus minta ganti dan jangan menggunakan untuk transaksi sebelum diganti. Aturan Bank Indonesia (BI), sejak Januari 2010 untuk kartu kredit yang boleh digunakan hanya kartu jenis chip.
*) catatan: eksploitasi celah kelemahan smart card juga sudah banyak terjadi dan ada banyak kasus dilaporkan. Misalnya penggandaan chip dan pemindai jarak jauh untuk smart card berbasis teknologi RFID (kartu voucher yang ditempelkan pada mesin EDC). Sehingga beberapa layanan mulai membuat kombinasi sistem keamanan ganda tidak hanya berbasis PIN dan password melainkan juga biometrik (sidik jari, retina dlsb.). Tapi masalahnya adalah biaya dan kerumitan implementasinya.

D.Perlindungan Kartu Secara Fisik
Kalau kartu anda dapat digunakan pada jaringan internasional, maka biasanya akan memiliki kode 3 angka (CVV2) di belakang kartu Anda. Kecuali untuk otorisasi transaksi online, kode CVV2 tidak akan pernah digunakan. Tutup 3 angka di belakang kartu dengan sticker, cellotape yang tidak transparan. Untuk transaksi konvensional di mesin ATM, counter EDC merchant kode CVV2 juga tidak diperlukan. Apabila kartu rusak, terlipat, patah ataupun hilang, segera lakukan pemblokiran dan minta pengganti. Catat nomor telepon hotline, customer service, fax dan alamat resmi bank penerbit kartu. Gandakan catatan ini pada beberapa tempat yang berbeda namun mudah diakses pada saat genting.
Untuk melindungi kartu jenis RFID (misalnya voucher pra bayar elektronik), saat ini di pasaran banyak dijual casing (seperti jaket/sleeve) anti pemindai. Di kalangan underground banyak dijual peralatan ini (pemindai RFID) dengan harga murah dan bahkan cukup mudah dibuat sendiri (homebrew).

E.Manajemen PIN dan Password
Langkah pengamanan sendiri (self protection) yang perlu dilakukan adalah mengganti PIN ATM, kartu debit/kredit, SMS/mobile banking dan password Internet banking anda sesering mungkin. Parameter sederhana untuk penggantian PIN dan password adalah misalnya ketika anda cukur rambut atau ganti kaos kaki (yang mulai bau), atau ganti sikat gigi (karena sudah mulai kusut) atau tiap kali cek tekanan roda kendaraan, itulah saatnya mengganti PIN. Di stasiun pompa bensin biasanya ada mesin ATM dan anda bisa mengganti PIN ketika sedang melakukan transaksi pembelian BBM.
Selain itu simpanlah PIN di tempat aman dan sandikan catatan itu dengan cara anda sendiri (misalnya dengan menyisipkan angka tambahan), sehingga orang lain tidak mudah menebak PIN anda. Sedang untuk password, sebaiknya gunakan kombinasi alfanumerik dan karakter spesial apabila diijinkan oleh sistem. Gunakan frasa panjang (lebih dari 8 karakter) yang tidak mudah dimengerti maknanya secara harfiah. Yang terakhir, jangan pernah memberitahukan PIN dan password kepada siapapun termasuk kepada petugas bank dengan alasan apapun. Karena itu pintu masuk segalanya.
Musuh utama masalah keamanan adalah perilaku (behaviour) manusia itu sendiri, kebiasaan buruk yang diabaikan (permisif). Sebagian besar insiden terjadi akibat eksploitasi kelemahan secara sosial, sehingga tekniknya disebut dengan social engineering (rekayasa sosial). Modus penipuan mengaku undian berhadiah atau petugas bank yang sedang melakukan perawatan atau orang yang mengaku petugas bank dan memberikan bantuan adalah contoh rekayasa sosial tersebut.
*) catatan: manusia punya kelemahan dalam mengingat sejumlah besar PIN dan password, apalagi harus diganti secara periodik. Anda dapat menggunakan software komputer yang disebut password manager untuk mengelola aneka PIN dan password serta perubahannya tanpa harus menghapalkan satu per satu. Software tersebut yang akan melakukan perubahan periodik terhadap password anda bahkan tanpa anda sendiri mengetahui/hapal isi passwordnya. Sehingga teknik social engineering tak akan mudah memperdaya anda. Anda cukup menghapal satu kata kunci pembuka sandi software itu saja. Data hasil penyimpanan disandikan, sehingga walaupun bisa diambil orang lain, tetap saja tidak bisa dibaca secara telanjang. Dengan software ini anda dapat menyimpan dan mengamankan data di tempat yang terpisah untuk memudahkan anda mengaksesnya dan untuk menghindari single point of failure. Misalnya, bila anda hanya menyimpan data PIN dan password di HP atau notebook, maka ada kemungkinan masalah bila justru media itu yang hilang. Dengan software ini anda dapat menyimpan data di sejumlah tempat dan bisa diakses dari manapun, di Internet misalnya.

F.Tidak Mudah Percaya dan Lakukan Cross Check
Jangan pernah memberikan informasi PIN, password dan data pribadi yang biasa digunakan untuk otorisasi perbankan kepada siapapun dengan alasan apapun termasuk pada customer service bank. Data pribadi seperti misalnya nama gadis ibu kandung dan lainnya, walaupun bukan informasi yang rahasia, namun oleh bank selalu dijadikan kata kunci otentikasi identitas nasabah. Oleh karena itu, sebaiknya informasi tersebut diindungi, tidak mudah diberikan kepada siapapun. Kecuali memang yakin bahwa itu prosedur yang harus dilalui, misalnya ketika melaporkan kehilangan kartu.
Oleh karena itu sangat penting bagi nasabah untuk memahami detail setiap aspek layanan sehingga bisa membedakan manakah prosedur sesungguhnya dan yang ternyata adalah jebakan.
Sekarang banyak sekali pihak ketiga (misalnya perusahaan asuransi) dengan alasan ada kerja sama dengan pihak bank penerbit kartu, menawarkan produknya secara telemarketing dan anda diminta memberikan informasi pribadi tertentu dengan alasan untuk keperluan otentikasi. Resikonya, apabila ternyata bukan telemarketing tetapi dari sindikat pelaku fraud yang mencoba mengkorek data dan informasi pribadi, anda tidak pernah tahu dan seolah diposisikan tidak bisa melakukan cross check dalam situasi ini. Lebih bijaksana bersikap tidak mudah percaya dan tetap cross check.
Berhati-hati apabila menerima tawaran dari telemarketing, karena biasanya persetujuan yang anda berikan akan diterjemahkan sebagai kesediaan untuk melakukan auto debet terhadap account anda. Ini berbahaya, lebih baik bila kurang yakin, anda meminta waktu untuk melakukan konfirmasi kepada bank penerbit apakah benar pihak bank punya kerjasama dengan pihak telemarketing tersebut dan bagaimana aturan main serta risikonya. Atau tolak tawaran (telemarketing) itu. Kalau anda tertarik, cukup anda tanyakan kepada petugs telemarketing tsb. nama produk dan siapa penyelenggaranya. Selanjutnya anda sendiri bisa inisiatif yang menghubungi penyelenggara jasa itu dan meminta untuk dilayani. Cara ini lebih aman, lakukan cross check, walau ini perlu partisipasi aktif anda.
Banyak modus kejahatan melakukan eksploitasi psikologis (bagian dari social engineering), seperti di dalam tawaran telemarketing atau undian berhadiah. Manusiawi apabila untuk sesaat seseorang akan merasakan euforia ketika diberikan ucapan selamat karena mendapatkan hadiah besar. Tetapi harus tetap waspada dan selalu melakukan cross check walaupun biasanya pelaku akan menekan dengan cara memberikan ancaman halus berupa batas waktu. Sesungguhnya anda tetap punya waktu untuk melakukan cross check. Demikian juga dengan modus penipuan lain, seperti misalnya berita darurat (sanak keluarga memerlukan tindakan medis segera) ataupun perintah misterius dari seseorang yang mengaku sebagai petugas/aparat keamanan. Informasi pribadi milik anda bisa saja digunakan untuk memperdaya orang terdekat anda atau sebaliknya. Siapapun akan mengalami kepanikan apabila ada kabar orang terdekat dalam kondisi kritis, apalagi si pemberi kabar mampu meyakinkan memberikan data-data pribadi yang sangat akurat, sehingga lalai untuk melakukan cross check.
Hal lain yang perlu anda pahami adalah, tidak selalu informasi pribadi itu akan digunakan untuk suatu tujuan jahat seperti penipuan dengan berbagai macam modus yang telah dipaparkan di atas. Di dalam dunia underground economy (pasar gelap di Internet), informasi pribadi seseorang adalah komoditas yang sangat diminati dan dapat diperjualbelikan. Motif yang pertama adalah untuk data marketing. Di dunia nyata, biaya survey market sangatlah mahal dan seringkali harus memberikan kompensasi pada responden. Maka, data informasi profile responden sangatlah berharga. Bila ada yang menjual dengan harga murah, itu bisa menjadi suatu penghematan besar. Motif yang kedua adalah sebagai media bagi jenis kejahatan yang lain, seperti misalnya spammer – perusahaan marketing online yang selalu haus alamat email baru untuk disebarkan unsolicited mail, brosur dan aneka penawaran sampah. Ataupun digunakan para bot master untuk menyebarkan malware, menginfeksi komputer anda dengan trojan dan menggunakannya sebagai pasukan (bersama ratusan, ribuan komputer lain yang terinfeksi) bots untuk menyerang pihak lain. Di dunia cyber crime, seorang bot master (attacker) bisa disewa untuk melakukan serangan terhadap pihak lain. Dan mereka memanfaatkan komputer anda tanpa disadari. Motif yang ketiga, informasi rahasia anda digunakan untuk tujuan pemalsuan identitas.
Kesimpulannya, jangan mudah percaya dengan permintaan data pribadi. Baik itu melalui permintaan off line, via telepon/telemarketing maupun ketika anda sedang online di Internet. Selalu lakukan cross check dan apabila anda ragu, lebih baik tinggalkan. Keamanan informasi pribadi anda lebih penting dan berharga apabila dibandingkan aneka tawaran yang mungkin diberikan kepada anda.
*) catatan: bank menerapkan suatu teknik pengamanan yang disebut dengan psuedo security, yaitu serangkaian prosedur yang seolah merupakan pengamanan padahal sebenarnya bukan. Prosedur itu diadakan untuk menciptakan rasa aman semu bagi awam, baik itu nasabah maupun manajemen bank itu sendiri. Misalnya, informasi pribadi yang seolah adalah rahasia dan karenanya dijadikan basis data untuk otorisasi seperti nama gadis ibu kandung. Pada prinsipnya nama gadis ibu kandung bukanlah informasi yang rahasia, karena tentu saja banyak orang yang telah mengetahuinya. Sehingga kalau ada yang berniat jahat, bisa saja mengumpulkan informasi tersebut dan merangkainya sedemikian rupa untuk digunakan mengelabui customer service bank (misalnya via phone banking). Kelemahan psuedo security inilah yang dimanfaatkan oleh para pelaku kejahatan fraud, misalnya dengan kedok undian berhadiah atau mengaku sebagai customer service bank, mitra asuransi dlsb. Istilah lain yang mirip dan sangat dikenal di dalam dunia kemanan informasi adalah prinsip security through obscurity. Alasan bank menerapkan pengamanan semu adalah justru demi untuk kenyamanan nasabah, sebab bila sistem pengamanan yang sesungguhnya diterapkan maka akan menyulitkan. Bila pengamanan makin ketat maka tingkat kenyamanan dan kemudahan layanan akan semakin menurun.

G.Berhati-hati Saat Bertransaksi
Modus kejahatan skimming sebenarnya tidak hanya dilakukan di mesin ATM, namun juga terjadi pada transaksi di mesin EDC counter merchant. Bahkan modus ini relatif lebih mudah dilakukan pelaku bila dibandingkan dengan ATM skimmer karena tidak diperlukan kamera pengintip. Beberapa kasus sudah pernah terbongkar sebelumnya. Pilih merchant yang anda yakini benar reputasinya.
Awasi terus keberadaan kartu anda ketika berada di counter merchant, jangan biarkan kartu dibawa kemana-mana dan digesek ke mesin EDC yang berbeda berkali-kali. Lebih baik anda membatalkan transaksi, tidak usah menandatangani apapun dan laporkan ke bank penerbit apabila curiga dengan kondisi di suatu counter merchant. Kalau memungkinkan periksa kondisi mesin EDC, apakah nampak ada perangkat tambahan atau sambungan kabel tambahan yang mencurigakan. Tapi ini perlu sedikit pemahaman teknis, pengguna awam tentu akan sulit membedakan. Namun aksi anda yang seolah tahu kondisi mesin EDC itu mungkin bisa mencegah pelaku dan mengurungkan niatnya.
Patut untuk diingat, begitu kartu digesekkan ke mesin EDC, maka semua informasi penting di dalam magnetic stripe akan tercatat oleh mesin EDC dan sebagian bahkan akan di print out. Seperti nama, nomor kartu dan tanggal masa berlaku (kadang kala tanggal mulai menggunakan). Seseorang tidak perlu punya ingatan super untuk menghapal deretan kode angka yang tertera di kartu. Kalau anda lengah cukup banyak waktu bisa digunakan pelaku untuk mencatat informasi itu atau dengan teknik sederhana menggosok deretan angka yang menonjol (embossed) pada kartu dengan kepingan uang logam pada kertas karbon nota pembelanjaan yang selalu tersedia di meja kasir (thrasing). Bahkan mereka bisa saling kerja sama misalnya berdua, satu orang sengaja mengalihkan perhatian anda dan satunya yang membawa kartu mencatat atau bahkan menggesekkan kartu anda ke mesin skimming yang tidak terlihat. Maka sebaiknya anda berusaha terus mengawasi transaksi tersebut.
Selalu berhati-hati dan harus melakukan pemeriksaan berulang terhadap transaksi dan mencari tahu terlebih dahulu kredibilitas merchant, ketika anda memutuskan untuk melakukan transaksi online di Internet. Perhatikan pula produk yang dijual, apakah benar memiliki kualitas seperti yang dijanjikan ataukah hanya tipuan? Sebaiknya hanya lakukan transaksi di situs yang sudah terkenal dan diketahui reputasinya. Selain lebih meyakinkan, kualitas barang yang ditawarkan pun sesuai.
Banyak sekali situs transaksi online yang tidak kredibel, untuk menjebak konsumen dan mendapatkan informasi kartu kreditnya. Situs transaksi online yang kredibel biasanya memiliki referensi dari pihak ketiga, ada jaminan transaksi pada pelanggan (seperti asuransi, sistem tracking pengiriman barang, garansi). Periksa semua referensi, apakah benar ada atau ternyata hanya tipuan. Lakukan pencarian dengan search engine apakah ditemukan keluhan mengenai situs transaksi tersebut.
Selalu gunakan kartu kredit atau kartu debit yang paling rendah limitnya ketika melakukan transaksi online, untuk antisipasi seandainya terjadi fraud. Atau yang lebih bijaksana, gunakan layanan online payment (e-money) pihak ketiga seperti paypal untuk menghindari transaksi langsung menggunakan kartu kredit. Anda dapat mengisikan dana dari kartu kredit ke layanan uang elektronik dalam jumlah yang terbatas sehingga aman dari upaya pembobolan. Selanjutnya untuk transaksi dengan merchant online dilakukan dengan pembayaran melalui e-money ini. Merchant yang bisa menerima pembayaran dengan e-money punya kredibilitas yang meyakinkan karena dipercaya provider e-money.
Namun bila tetap tidak yakin dengan keamanan kartu kredit dan informasi pribadi anda, sebenarnya masih ada alternatif lain untuk transaksi online, yaitu dengan menggunakan metode pembayaran wire transfer. Cara ini lebih meyakinkan walaupun lebih lama prosesnya dan anda harus menyediakan uang tunai serta tidak bisa menikmati manfaat pembayaran tunda serta fasilitas cicilan tetap yang banyak ditawarkan oleh kartu kredit. Wire transfer juga bisa digunakan untuk mengisi e-money.
*) catatan: perlu diketahui, tidak semua mesin EDC di counter merchant berasal dari bank, atau tidak dalam pengendalian dan pengawasan bank sepenuhnya. Mesin EDC itu mungkin saja disediakan oleh pihak ketiga (vendor outsourcing, perusahaan payment gateway dlsb. Bahkan seperti mesin ATM ada pula yang menyewakan). Akibatnya sangat mungkin terjadi penyimpangan mesin EDC.

H.Berhati-hati Saat Bertransaksi
Ketika anda akan bertransaksi di mesin ATM, hal pertama yang harus anda lakukan adalah mencari mesin ATM yang sekiranya aman. Pilihlah mesin ATM yang berada di tempat terbuka dan selalu ramai dikunjungi dan selalu diawasi keamanannya, misalnya di pusat perbelanjaan. Hindari mesin ATM yang berada di lokasi yang terpencil, gelap, sepi dan tanpa penjagaan atau pengawasan.
Kalau anda sedang terburu-buru, tidak sempat memeriksa kondisi mesin ATM maka langkah paling aman adalah menggunakan outlet yang ada di bank itu sendiri. Setiap kantor cabang, biasanya kini telah menyediakan mesin ATM yang relatif terjaga kondisinya karena ada petugas keamanan 24 jam (walaupun perlu dipahami bahwa tugas petugas keamanan sebenarnya bukan mengamankan mesin ATM, melainkan menjaga kantor cabang – mesin ATM termasuk properti kantor tsb.).
Periksalah kondisi mesin ATM. Perhatikan mulut lubang card reader, apakah ada bekas lem, tempelan atau benda lain yang mencurigakan (karena tidak seharusnya berada di situ). Untuk memastikannya, goyangkan sedikit apabila ada benda asing di sekitar mesin ATM (misalnya kotak pengumuman yang ada di samping mesin ATM), celah di sekitar mesin atau di atap, untuk memeriksa apakah tidak ada peralatan tersembunyi di dalamnya, misalnya kamera. Pastikan mulut lubang card reader ATM telah dilindungi dengan tutup anti skimmer. Cermati apa papan tombol numerik (keyboard) telah dilindungi dengan penutup. Bila tidak yakin, ketika memasukkan PIN, lindungi dan tutupi tangan anda sehingga sulit diintip. Periksa pula apa tidak ada benda lain yang menutupi keyboard, karena pelaku skimmer bisa saja memasang bantalan tambahan yang menyerupai keyboard dan berfungsi sebagai keylogger (perekam keyboard). Bila anda tidak yakin dengan prosedur ini, setiap saat anda bisa meninggalkan mesin ATM tersebut dan mencari lokasi lain yang lebih terjamin keamanannya.
Jangan pernah percaya dengan tawaran bantuan dari orang di sekitar mesin ATM termasuk itu yang mengaku sebagai satpam atau petugas bank. Apabila anda mengalami kesulitan, lebih baik telepon customer service bank dan biarlah masalah anda diatasi oleh mereka – itu sebabnya mengapa anda harus memiliki catatan nomor kontak resmi bank. Jangan pernah percaya informasi dari orang lain di sekitar mesin ATM atau stiker yang seolah menunjukkan nomor kontak resmi bank, karena bisa saja ternyata bukan dan ini adalah jebakan pelaku fraud. Bila kartu anda tersangkut di mesin ATM, maka tinggalkan saja tanpa melakukan apapun kecuali langsung menghubungi CS bank segera diblokir dan meminta kartu baru. Ingat, dalam prosedur pelaporan ini anda tidak akan diminta menyebut nomor PIN. Bila CS atau yang mengaku CS bank menanyakan PIN, tutup saja teleponnya.
Jika anda merasa mengalami penipuan ataupun kejanggalan, lebih baik laporkan kepada bank atau apabila anda telah menderita suatu kerugian, laporkan kepada kepolisian terdekat.
Kewaspadaan yang sama harus anda terapkan ketika menggunakan Internet banking. Syarat utama yang harus dipenuhi adalah memastikan bahwa terminal akses yang anda gunakan aman. Gunakan selalu terminal akses milik anda sendiri (misalnya laptop) yang anda yakini kemanannya. Bila anda menggunakan terminal akses publik (misalnya di warnet, di kampus, di kantor) atau milik orang lain maka pastikan bahwa terminal tersebut bersih dari virus, trojan dan aplikasi berbahaya seperti key logger. Anda harus melakukan hard booting terlebih dahulu sebelum bertransaksi untuk menghapus sejumlah program jahat yang mungkin residen di memori (misalnya key logger) dan melakukan scan menyeluruh dengan anti virus serta anti malware terbaru (sejumlah aplikasi tools pemeriksa ini bisa anda pasang di sebuah media penyimpan USB portabel). Proses ini perlu waktu.
Anda juga harus membiasakan akses dengan menggunakan browser yang aman atau menggunakan aplikasi browser portabel milik anda sendiri. Beberapa layanan Internet banking sudah menyediakan keyboard virtual pada halaman web sehingga anda tidak perlu memasukkan satu huruf atau angka pun dari keyboard komputer. Cara ini lebih aman, namun ternyata belum semua bank menerapkan. Anda juga harus dapat mengenali model penipuan menggunakan teknik phising dan bagaimana cara menghindarinya serta disiplin untuk tidak mengaktifkan opsi fitur otomatis merekam username dan password. Setiap kali selesai melakukan transaksi, hapus pula cookies dan cache.
Tidak cukup sampai di situ, anda juga harus memastikan keamanan saluran akses yang digunakan. Bertransaksi Internet banking menggunakan layanan WiFi (wireless) di sebuah cafe adalah contoh yang sangat tidak dianjurkan. Karena layanan WiFi sangat rawan penyadapan dan teknik ini terlalu mudah untuk dilakukan. Bisa jadi seorang pengguna laptop yang ada di seberang meja anda itulah attacker yang sedang menyadap semua informasi penting dari laptop anda dan mencatat transaksi Internet banking anda termasuk username, password bahkan algoritma token bank.
Perlu anda ketahui, walaupun sudah menggunakan pengaman token, namun bukan berarti algoritma kunci dari tools ini tidak dapat didekripsi oleh pelaku kejahatan. Dengan teknik tertentu token dapat dibobol dan diduplikasi dengan menggunakan software tools pembongkar algoritma.
Menggunakan terminal yang bersih dan diyakini keamanannya serta saluran fixed (kabel) private saat melakukan transaksi melalui Internet banking adalah pilihan yang paling bijaksana.
Terakhir, menggunakan layanan SMS/mobile banking adalah jenis transaksi yang paling tidak aman karena hanya mengandalkan otentikasi berdasarkan nomor HP dan PIN. Tidak ada cara pengamanan tambahan misalnya koneksi yang terenkripsi, metode otentikasi tambahan dan pemakaian token atau one time access code. Anda perlu mengetahui bahwa nomor HP (di Indonesia hampir semua operator menggunakan SIM/RUIM card) dapat dengan mudah digandakan (cloning). Sedang PIN dapat dengan diperoleh misalnya melalui social engineering. Maka, bila anda masih bisa melakukan transaksi dengan cara lain, tidak selalu dalam kondisi mobile, tidak harus melakukan transaksi segera, gunakanlah cara lain, hindari menggunakan fasilitas dan fitur serta layanan SMS/mobile banking. Bahkan mungkin saja anda tidak perlu mengaktifkan layanan ini apabila memang tidak memerlukannya.
Ketika anda secara intensif memanfaatkan teknologi untuk memfasilitasi dan mempermudah aktivitas kehidupan sehari-hari, maka sadarilah bahwa anda juga harus memahami resiko yang menyertai dan memahami bagaimana cara meminimalisir dampak yang mungkin terjadi. Perilaku waspada dan sadar resiko itu menjadi tanggung jawab dan peran anda dalam upaya pengamanan. Karena, your security is my security. Bukan hanya menjadi urusan bank, pemerintah dan penyedia layanan.
Pihak Bank Indonesia, industri perbankan, aparat keamanan dan pemerintah mempunyai kewajiban dan tanggung jawab kepada masyarakat untuk secara berkelanjutan memberikan edukasi mengenal jenis layanan yang memanfaatkan teknologi, karakteristik, aturan main dan resiko yang mungkin saja terjadi. Kampanye semacam ini dapat mematikan niat dan modus pelaku kejahatan.

Referensi
  1. Indonesia Security Incident Response Team on Internet Infrastructure – ID-SIRTII

Senin, 04 Desember 2017

Tugas 3.3 Dampak Audit pada Perusahaan atau Instansi

TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
DAMPAK AUDIT PADA PERUSAHAAN/INSTANSI

 

 Salah satu gambar tim dalam sebuah perusahaan. Sumber : http://www.indonesialaborlaw.com

APendahuluan
Perkembangan teknologi telah mengakibatkan perubahan pengolahan data yang dilakukan perusahaan dari sistem manual menjadi secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik atau komputerisasi. Peralihan ke sistem yang terkomputerisasi memungkinkan data yang kompleks dapat diproses dengan cepat dan teliti, guna menghasilkan suatu informasi. Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang sangat penting baik untuk perkembangan organisasi maupun membaca persaingan pasar. Dalam hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi yang bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis.
Dengan demikian, sangat diperlukan adanya pengelolaan yang baik dalam sistem yang mendukung proses pengolahan data tersebut. Dalam sebuah organisasi tata kelola sistem dilakukan dengan melakukan audit. Menurut Juliandarini (2013) Audit sistem informasi (Information Systems (IS) audit atau Information technology (IT) audit) adalah bentuk pengawasan dan pengendalian dari infrastruktur sistem informasi secara menyeluruh.Menurut Romney (2004) audit sistem informasi merupakan tinjauan pengendalian umum dan aplikasi untuk menilai pemenuhan kebijakan dan prosedur pengendalian internal serta keefektivitasannya untuk menjaga asset.
Sehingga menurut uraian teori diatas, maka penulis dapat simpulkan bahwa audit sistem informasi adalah suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah sistem komputer perusahaan telah menggunakan asset sistem informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.

B.Kebutuhan Audit di Perusahaan
Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi:
  1. Pencegahan terhadap biaya organisasi untuk data yang hilang
  2. Kehilangan data dapat terjadi karena ketidakmampuan pengendalian terhadap pemakaian komputer. Kelalaian dengan tidak menyediakan backup yang memadai terhadap file data, sehingga kehilangan file dapat terjadi karena program komputer yang rusak, adanya sabotase, atau kerusakan normal yang membuat file tersebut tidak dapat diperbaiki sehingga akhirnya membuat kelanjutan operasional organisasi menjadi terganggu.
  3. Pengambilan keputusan yang tidak sesuai
  4. Membuat keputusan yang berkualitas tergantung pada kualitas data yang akurat dan kualitas dari proses pengambilan keputusan itu sendiri. Pentingnya data yang akurat bergantung kepada jenis keputusan yang akan dibuat oleh orang – orang yang berkepentingan di suatu organisasi.
  5. Penyalahgunaan komputer
  6. Penyalahgunaan komputer memberikan pengaruh kuat terhadap pengembangan EDP audit maka untuk dapat memahami EDP audit diperlukan pemahaman yang baik terhadap beberapa kasus penyalahgunaan komputer yang pernah terjadi.
  7. Nilai dari perangkat keras komputer, perangkat lunak dan personel
  8. Disamping data, hardware dan software serta personel komputer juga merupakan sumber daya yang kritikal bagi suatu organisasi, walaupun investasi hardware perusahaan sudah dilindungi oleh asuransi, tetapi kehilangan hardware baik terjadi karena kesengajaan maupun ketidaksengajaan dapat mengakibatkan gangguan. Jika software rusak akan mengganggu jalannya operasional dan bila software dicuri maka informasi yang rahasia dapat dijual kepada kompetitor. Personel adalah sumber daya yang paling berharga, mereka harus dididik dengan baik agar menjadi tenaga handal dibidang komputer yang profesional.
  9. Biaya yang tinggi untuk kerusakan komputer
  10. Saat ini pemakaian komputer sudah sangat meluas dan dilakukan juga terhadap fungsi kritis pada kehidupan kita. Kesalahan yang terjadi pada komputer memberikan implikasi yang luar biasa, sebagai contoh data error mengakibatkan jatuhnya pesawat di Antartika yang menyebabkan 257 orang meninggal atau seseorang divonis masuk penjara karena kesalahan data di komputer.
  11. Kerahasiaan
  12. Banyak data tentang diri pribadi yang saat ini dapat diperoleh dengan cepat, dengan adanya komputerisasi kependudukan maka data mengenai seseorang dapat segera diketahui termasuk hal – hal pribadi.
  13. Pengontrolan penggunaan komputer
  14. Teknologi adalah hal yang alami, tidak ada teknologi yang baik atau buruk. Pengguna teknologi tersebut yang dapat menentukan apakah teknologi itu akan menjadi baik atau malah menimbulkan gangguan. Banyak keputusan yang harus diambil untuk mengetahui apakah komputer digunakan untuk suatu hal yang baik atau buruk.
C.Tujuan
Menurut Weber (1999) terdapat beberapa alasan mendasar mengapa organisasi perlu melakukan audit sebagai evaluasi dan pengendalian terhadap sistem yang digunakan oleh organisasi:
  1. Mengamankan asset
  2. Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan yang sangat penting.
  3. Menjaga integritas data
  4. Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
  5. Menjaga efektivitas sistem
  6. Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.
  7. Mencapai efisiensi sumber daya
  8. Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.
D.Kesimpulan
Dari alasan dan tujuan tersebut sangat jelas bahwa penting bagi sebuah organisasi untuk melakukan audit sistem informasi guna melihat kembali apakah sistem yang berjalansudah tepat dan terpenting sistem mampu untuk mendukung tercapainya tujuan organisasi.
Terlihat mudah namun percaya atau tidak penulis menemukan masih banyak organisasi yang belum dengan secara konsisten melakukan audit serta evaluasi terhadap sistem yang digunakan meskipun secara sadar bahwa investasi yang ditanamkan tidak dalam jumlah yang kecil, namun ironisnya yang justru terjadi adalah audit dan evaluasi baru mulai secara rutin dilakukan setelah organisasi merasakan resiko dan baru mulai mencari tahu penyebabnya.
Sedari dini, mulailah untuk dengan seksama melakukan penilaian terhadap sistem yang digunakan agar tujuan awal investasi tidak menjadi sia – sia.

Referensi
  1. Juliandarini. Handayaningsih, Sri. Audit Sistem Informasi pada Digilib Universitas XYZ Menggunakan Kerangka Kerja COBIT 4.0. Jurnal Sarjana Teknik Informatika. Volume 1 Nomor 1, Juni 2013. Pp. 276-286. e-ISSN: 2338-5197
  2. Romney, Marshall B., Steinbart, Paul John. (2004). Accounting Information Systems. 9th edition.
  3. Weber, Ron. (1999). Information Systems Control and Audit. Prentice-Hall, Inc., New Jersey.
  4. https://sis.binus.ac.id/2015/06/24/pentingnya-audit-sistem-informasi-bagi-organisasi/

Tugas 3.2 Jenis Audit pada EDP

TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
JENIS AUDIT PADA EDP

Gambar gedung J.P. Morgan Case & Co, Salah satu penyedia jasa keuangan global. Gambar : http://feelgrafix.com

APengertian EDP
Menurut Ron Weber, EDP auditing adalah proses mengumpulkan dan menilai bukti untuk menentukan apakah sistem komputer mampu mengamankan harta, memelihara kebenaran data maupun mencapai tujuan organisasi perusahaan secara efektif dan menggunakan harta perusahaan secara hemat.
Perkembangan teknologi komputer yang semakin pesat dirasakan dampaknya pada dunia auditing. Sekarang hampir semua unit kerja dapat mengolah datanya sendiri dengan komputer yang mereka miliki. Data yang rumit dan banyak yang akan diolah menjadi informasi bentuk tertentu yang sukar dan khusus yang tidak dapat dikerjakan pada unit sendiri, dapat diserahkan pengolahannya pada Unit Pengolahan Data Elektronik (EDP). Pada umumnya, EDP hanya berfungsi membantu pengolahan data, sedangkan rancangan sistemnya disusun oleh unit kerja masing-masing karena unit kerja bersangkutan pasti lebih tahu akan jenis dan bentuk informasi yang diperlukannya. (Amsyah, 2005)

B.Metode Audit EDP
Pada saat kita menjadi auditor, ada baiknya kita tidak bersikap ‘sok galak’ atau menyeramkan di depan auditee. Karena dengan sikap tersebut, auditee akan merasa takut karena mereka merasa sedang diaudit. Hal tersebut akan menimbulkan ketakutan untuk mengeluarkan data yang sebenarnya. Efek dari perilaku ‘sok galak’ juga dapat menimbulkan ketidaksukaan auditee terhadap sang auditor, sehingga dapat berdapak pada hasil auditnya.
Para auditor sebaiknya melakukan audit tanpa disadari oleh sang auditee. Bersikap ramahlah kepada sang auditee, sehingga sang auditee pun merasa bahwa kita merupakan teman mereka yang hendak membantu mereka. Dengan bersikap ramah dan menjadi teman mereka, mereka tidak akan segan-segan memberikan info tentang perusahaan mereka.
Pada saat kita melakukan audit, kita juga perlu membuat proses tersebut senatural mungkin, seperti mengajak berbicara, sambil memperhatikan EDP perusahaan tanpa disadari oleh sang auditee. Dengan cara demikian, hasil yang didapat pun akan lebih akurat.
Dalam melakukan audit EDP, terdapat tiga metode, yaitu:
  1. Auditing-around the Computer
  2. Yaitu pendekatan audit dengan memperlakukan komputer sebagai kotak hitam, teknik ini tidak menguji langkah-langkah proses secara langsung, hanya berfokus pada input dan outpt dari sistem komputer.
  3. Auditing-through the Computer
  4. Yaitu pendekatan audit yang berorientasi komputer secara langsung berfokus pada operasi pemrosesan dalam sistem komputer dengan asumsi bila terdapat pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan dapat dideteksi.
  5. Auditing-with the Computer
  6. Yaitu pendekatan yang menggunakan komputer (audit software) untuk membantu melaksanakan langkah-langkat audit.
Referensi
  1. Alamsyah, Zulkifli. 2005. Manajemen Sistem Informasi. Jakarta: PT Gramedia Pustaka Utama.

Tugas 3.1 Resiko Prosedur Audit Gagal

TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
RESIKO YANG MENYEBABKAN PROSEDUR AUDIT GAGAL

 Gambar pengguna komputer yang marah. Sumber : http://www.engageq.com

APengertian
Apa saja risiko yang dihadapi auditor dalam pelaksanaan audit atas laporan keuangan? Dalam suatu penugasan audit, auditor selalu dihadapkan dengan yang namanya risiko audit. Walaupun suatu laporan keuangan yang disusun oleh perusahaan tidak diaudit, selalu ada risiko yang melekat dalam laporan keuangan tersebut.
SPAP PSA Seksi 312 mendefinisikan risiko audit sebagai risiko yang timbul karena auditor tanpa disadari tidak memodifikasi pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung salah saji material.
Dalam pelaksanaan audit atas laporan keuangan sebuah perusahaan, di samping risiko audit, auditor juga akan menghadapi risiko lainnya seperti risiko kerugian praktek profesionalnya akibat dari tuntutan pengadilan, publikasi negatif, atau peristiwa lain yang mungkin timbul berkaitan dengan audit atas laporan keuangan yang dilakukan.
Oleh karena itu, auditor harus selalu mempertimbangkan faktor risiko audit baik dalam tahap perencanaan audit, perancangan prosedur audit maupun dalam tahap evaluasi kewajaran penyajian laporan keuangan perusahaan.
SPAP SA Seksi 312 mengharuskan auditor untuk selalu merencanakan auditnya sedemikian rupa, sehingga risiko audit dapat dibatasi pada tingkat yang rendah, yang menurut pertimbangan profesionalnya, memadai untuk menyatakan pendapat atas laporan keuangan.

B.Jenis Resiko Audit
Risiko audit dapat dibagi menjadi tiga jenis yaitu:
  1. Risiko Bawaan (Inherent Risk)
  2. Adalah kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji material, dengan asumsi bahwa tidak terdapat pengendalian yang terkait (maksudnya bahwa risiko bawaan timbul dengan asumsi pengedalian intern dalam perusahaan tidak ada. Jika sekiranya pengendalian intern dalam perusahaan memadai serta efektif dalam pelaksanaannya dengan sendirinya risiko bawaan akan dapat diminimalisasi). Risiko salah saji demikian adalah lebih besar pada saldo akun atau golongan transaksi tertentu dibandingkan dengan yang lain. Sebagai contoh, perhitungan yang rumit lebih mungkin disajikan salah jika dibandingkan dengan perhitungan yang sederhana. Uang tunai dalam perusahaan lebih mudah dicuri daripada persediaan. Suatu akun dalam laporan keuangan yang berasal dari estimasi akuntansi cenderung mengandung risiko yang lebih besar dibandingkan dengan akun yang sifatnya relatif rutin dan berisi data faktual. Perusahaan yang bergerak dalam bidang industri yang memproduksi barang-barang hi-tech seperti misalnya handphone akan lebih berisiko terjadinya penumpukan persediaan yang usang karena tidak sesuai lagi dengan tuntutan pasar.
  3. Risiko Pengendalian (Control Risk)
  4. Adalah risiko bahwa suatu salah saji material yang dapat terjadi dalam suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh pengendalian intern entitas. Risiko ini merupakan fungsi efektivitas desain dan operasi pengendalian intern untuk mencapai tujuan entitas yang relevan dengan penyusunan laporan keuangan entitas. Beberapa risiko pengendalian akan selalu ada karena keterbatasan bawaan dalam setiap pengendalian intern.
  5. Risiko Deteksi (Detection Risk)
  6. Adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi. Risiko deteksi merupakan fungsi efektivitas prosedur audit dan penerapannya oleh auditor. Risiko ini timbul sebagian karena ketidakpastian yang ada pada waktu auditor tidak memeriksa 100% saldo akun atau golongan transaksi, dan sebagian lagi karena ketidakpastian lain yang ada, walaupun saldo akun atau golongan transaksi tersebut telah diperiksa 100%. Ketidakpastian lain semacam itu bisa timbul karena auditor mungkin memilih suatu prosedur audit yang tidak sesuai, menerapkan secara keliru prosedur yang semestinya, atau menafsirkan secara keliru hasil audit. Ketidakpastian seperti ini dapat dikurangi sampai pada tingkat yang dapat diabaikan melalui perencanaan dan supervisi memadai serta pelaksanaan praktek audit yang sesuai dengan standar pengendalian mutu.
C.Perhitungan Resiko
Seperti yang dijelaskan dalam SPAP PSA seksi 312 para. 28 bahwa risiko bawaan dan risiko pengendalian berbeda dengan risiko deteksi. Adapun risiko bawaan dan risiko pengendalian tetap ada, terlepas dari dilakukan atau tidaknya audit atas laporan keuangan, sedangkan risiko deteksi berhubungan dengan prosedur audit dan dapat diubah oleh keputusan auditor itu sendiri. Risiko deteksi mempunyai hubungan yang terbalik dengan risiko bawaan dan risiko pengendalian. Semakin kecil risiko bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin besar risiko deteksi yang dapat diterima. Sebaliknya, semakin besar adanya risiko bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin kecil tingkat risiko deteksi yang dapat diterima. Atau dengan rumus dapat dijabarkan seperti berikut : AR (Audit Risk) = IR X CR X DR
Referensi
  1. http://auditme-post.blogspot.co.id/2010/08/apa-saja-risiko-yang-dihadapi-auditor.html

Rabu, 25 Oktober 2017

2.4 Pengendalian Perangkat Jaringan

TUGAS SOFTSKILL AUDIT SISTEM INFORMASI
PENGENDALIAN PERANGKAT JARINGAN

 Gambar lalu lintas jaringan. Sumber : link
APengertian
Dalam jaringan komputer, khususnya yang berkaitan dengan aplikasi yang melibatkan berbagai kepentingan, akan banyak terjadi hal yang dapat mengganggu kestabilan koneksi jaringan komputer tersebut, baik yang berkaitan dengan hardware (pengamanan fisik, sumber daya listrik) maupun yang berkaitan dengan software (sistem, konfigurasi, sistem akses, dll).
Gangguan pada sistem dapat terjadi karena faktor ketidaksengajaan yang dilakukan oleh pengelola ( human error), akan tetapi tidak sedikit pula yang disebabkan oleh pihak ketiga. Gangguan dapat berupa perusakan, penyusupan, pencurian hak akses, penyalahgunaan data maupun sistem, sampai tindakan kriminal melalui aplikasi jaringan komputer.
Dalam internetworking beberapa jenis gangguan dikenal dengan istilah :
  1. Hacking, berupa pengrusakan pada infrastruktur jaringan yang sudah ada, misalnya pengrusakan pada sistem dari suatu server.
  2. Physing, berupa pemalsuan terhadap data resmi dilakukan untuk hal yang berkaitan dengan pemanfaataanya.
  3. Deface, perubahan terhadap tampilan suatu website secara illegal.
  4. Carding, pencurian data terhadap identitas perbankan seseorang, misalnya pencurian nomor kartu kredit, digunakan untuk memanfaatkan saldo yang terdapat pada rekening tersebut untuk keperluan belanja online.
Serta masih banyak istilah pada sistem keamanan jaringan yang berkaitan dengan penyalahgunaan maupun pengrusakan sistem yang sudah ada.

BLangkah Penanganan
Dalam melakukan persiapan fungsi sistem hendaknya disiapkan pengamanan dalam bentuk berikut :
  1. Mengelompokkan terminal yang difungsikan sebagai pengendali jaringan atau titik pusat akses (Server) pada suatu jaringan, yang selanjutnya harus diberikan pengamanan secara khusus.
  2. Menyediakan pengamanan fisik berupa ruangan khusus untuk pengamanan perangkat yang disebut pada point nomor 1. Ruangan tersebut dapat diberikan label Network Operating Center (NOC) dengan membatasi personil yang diperbolehkan masuk.
  3. Memisahkan sumber daya listrik untuk NOC dari pemakaian yang lain. Perlu juga difungsikan Uninteruptable Power Supply (UPS) dan Stabilizer untuk menjaga kestabilan supply listrik yang diperlukan perangkat pada NOC.
  4. Merapikan wiring ruangan dan memberikan label serta pengklasifikasian kabel.
  5. Memberikan Soft Security berupa Sistem Firewall pada perangkat yang difungsikan di jaringan. Merencanakan maintenance dan menyiapkan Back Up sistem.



CFirewall
Firewall diatas adalah salah satu aplikasi pada sistem operasi yang dibutuhkan oleh jaringan komputer untuk melindungi intergritas data/sistem jaringan dari serangan-serangan pihak yang tidak bertanggung jawab. Caranya dengan melakukan filterisasi terhadap paket-paket yang melewatinya.
Firewall tersusun dari aturan-aturan yang diterapkan baik terhadap hardware, software ataupun sistem itu sendiri dengan tujuan untuk melindungi jaringan, baik dengan melakukan filterisasi, membatasi, ataupun menolak suatu permintaan koneksi dari jaringan luar lainnya seperti internet.
Gambar diatas menunjukkan firewall yang melindungi jaringan lokal dengan cara mengendalikan aliran paket yang melewatinya.
Pada firewall terjadi beberapa proses yang memungkinkannya melindungi jaringan. Ada tiga macam Proses yang terjadi pada firewall, yaitu:
  • Modifikasi header paket, digunakan untuk memodifikasi kualitas layanan bit paket TCP sebelum mengalami proses routing.
  • Translasi alamat jaringan, translasi yang terjadi dapat berupa translasi satu ke satu ( one to one ), yaitu satu alamat IP privat dipetakan kesatu alamat IP publik atau translasi banyak kesatu ( many to one ) yaitu beberapa alamat IP privat dipetakan kesatu alamat publik.
  • Filter paket, digunakan untuk menentukan nasib paket apakah dapat diteruskan atau tidak.


Referensi
  1. Pengendalian Jaringan, http://ozieco900.blogspot.co.id/2012/10/mengidentifikasi-pengendalian-jaringan.html Diakses pada : 25 Oktober 2017

About Us