A. Audit (Jaringan Komputer)
1. Audit
Audit adalah suatu proses yang sistematik untuk mendapatkan dan mengevaluasi bukti secara
objektif mengenai pernyataan-pernyataan mengenai kegiatan dan kejadian , dengan tujuan untuk
menentukan tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah
ditetapkan, serta menyampaikan hasil-hasilnya kepada pihak-pihak yang berkepentingan
2. Sasaran
• Dapat mengidentifikasi kelebihan dan kekurangan suatu jaringan komputer.
• Dapat mengevaluasi sistem keamanan pada jaringan komputer.
• Memahami konsep dasar audit jaringan komputer.
• Memahami dasar-dasar teknik audit jaringan komputer.
• Mengetahui dan memahami fasilitas yang sudah ada, dan untuk lebih di tingkatkan
3. Jenis Audit
Audit jaringan komputer secara umum dapat dibagi menjadi dua bagian, yaitu Performance
Audit dan Security Audit. Performance Audit lebih menitikberatkan pada peningkatan kinerja
jaringan komputer. Sedangkan Security Audit lebih menitikberatkan pada sistem keamanan
jaringan komputer.
3.a Performance Audit
Performance audit adalah sebuah audit dalam rangka mendapatkan gambaran mengenai kinerja
sebuah organisasi/perusahaan secara keseluruhan. Performance audit lebih menekankan pada
aspek kebutuhan organisasi dalam meningkatkan proses bisnis dan memenangkan kompetisi.
Performance audit akan menghasilkan angka-angka yang dengan diolah menggunakan metode
statistik akan memberikan gambaran langkah-langkah yang harus diambil oleh
organisasi/perusahaan.
Performance audit adalah pengujian yang obyektif dan sistematis yang berkaitan dengan
program, aktivitas, fungsi, sistem manajemen dan prosedur melalui assessmen dalam rangka
pencapaian target yang ada untuk mendapatkan keuntungan secara ekonomi, efisiensi dan
efektifitas penggunaan sumber daya yang ada.
3.b Security Audit
Security Audit adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai
keamanan komputer dan aplikasinya.
Audit keamanan komputer ini terdiri dari dua bagian, yaitu:
• Penilaian otomatis
• Penilaian non-otomatis.
Penilaian otomatis, berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu
perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll.
Penilaian non-otomatis, berhubungan dengan kegiatan wawancara kepada staf yang
menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap
semua akses ke sistem operasi dan software aplikasinya, serta analisis semua akses fisik
terhadap sistem komputer secara menyeluruh.
Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC,
server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang
dipakai oleh organisasi atau perusahaan yang bersangkutan.
4. Metode Audit Jaringan
Proses audit untuk jaringan komputer akan semakin kompleks jika sistemnya semakin besar dan
terintegrasi satu sama lainnya. Untuk mempermudah hal tersebut, teknik audit terhadap jaringan
komputer harus di break-down berdasarkan layer-layer dari 7-layer pada Open System
Interconnection (OSI). Pendekatan auditnya dapat dilakukan dari dua arah, yaitu pendekatan
Top-down dan pendekatan Bottom-up.
5. Identifikasi Melalui Layer OSI
Sebelum melakukan audit, ada baiknya terlebih dulu mengetahui mengenai komponen apa saja
yang terdapat di tiap-tiap layer. Hal ini berfungsi untuk memudahkan kita dalam menentukan
target audit (obyek yang akan di audit).
6. Pendekatan Top-down
Audit dengan pendekatan Top-down adalah dengan memulai melakukan identifikasi dari layer
OSI yang tertinggi, yaitu Application Layer menuju ke layer yang terendah, yaitu Physical
Layer. Berarti audit dilakukan dari perangkat lunak (software) aplikasi komunikasi dan berakhir
di infrastruktur komunikasi.
7. Pendekatan Bottom-up
Audit dengan pendekatan Bottom-up adalah kebalikan dari pendekatan Top-down, yaitu dengan
memulai melakukan identifikasi dari layer OSI yang terendah, yaitu Physical Layer menuju ke
layer yang tertinggi, yaitu Application Layer. Dalam hal ini audit dimulai dari infrastruktur
komunikasi dan berakhir di perangkat lunak (software) aplikasi komunikasi.
8. Prosedur audit
1. Memeriksa apakah ada fungsi manajemen Jaringan yang kuat dengan otoritas untuk
membuat standar dan prosedur
2. Memeriksa apakah tersedia dokumen mengenai inventarisasi peralatan Jaringan,
termasuk dokumen penggantian peralatan
3. Memeriksa apakah tersedia prosedur untuk memantau network usage untuk keperluan
peningkatan kinerja dan penyelesaian masalah yang timbul
4. Memeriksa apakah ada control secara aktif mengenai pelaksanaan standar untuk aplikasi-
aplikasi on-line yang baru diimplementasikan
9. Fungsi Audit Jaringan
• Untuk memonitor setiap perubahan pada konfigurasi kemanan jaringan
• Untuk mengetahui siapa saja yang mengakses file-file tertentu
• Untuk memonitor aktifitas dari sejumlah user jaringan
• Untuk menyimpan rekaman kegiatan login dan logout berdasarkan tanggal dan waktu
B. Audit Keamanan Jaringan Komputer
Secara garis besar, audit terhadap sebuah sistem keamanan jaringan komputer dibagi kedalam 3
kategori yaitu: audit terhadap hak akses (privilege audit), audit terhadap penggunaan sumber
daya (usage audit), audit terhadap eskalasi (escalation audit).
1. Privilege Audit
Audit jenis ini tujuannya adalah untuk melakukan verifikasi apakah “group”, “roles” dan
“account” sudah diterapkan dengan tepat dalam sebuah organisasi dan keamanan yang di
terapkan didalamnya juga sudah tepat. Audit ini juga melakukan verifikasi apakah kebijakan-
kebijakan yang di terapkan dalam sebuah organisasi sudah diikuti dengan benar atau belum,
sudah akurat atau belum, dan apakah akses ke sistem sudah di terapkan dengan benar.
Gambar 1 Privilege Audit Salah Satu Metode Audit
Privilege audit dilakukan dengan cara melakukan review secara lengkap terhadap semua “group”
dan “account” dalam sebuah sistem jaringan untuk sebuah organisasi. Misalnya,ketika seorang
karyawan di mutasi dalam sebuah organisasi, maka nama karyawan tersebut seharusnya di hapus
dari grupnya yang lama. Kesalahan dalam melakukan hal tersebut dapat menyebabkan seorang
user bisa mendapatkan akses lebih tinggi dari yang seharusnya didapatkan oleh user tersebut.
Gambar 2 Pengaturan Groups dan Account yang Tepat, Salah SatuMetode Privilege Audit
2. Usage Audit
Audit jenis ini melakukan verifikasi apakah perangkat lunak dan sistem yang digunakan
dalam sebuah organisasi dipakai secara konsisten dan tepat sesuai dengan kebijakan yang
berlaku dalam organisasi tersebut. Audit ini akan melakukan review secara lengkap dari sisi fisik
sebuah sistem, mem-verifikasi konfigurasi perangkat lunak, dan aktifitas-aktifitas sistem yang
lain.
Gambar 3 Usage audit meruapakan salah satu metode audit sistem
Perhatian yang utama dari audit jenis ini adalah bagaimana peng- instalan dan lisensi perangkat
lunak dengan benar. Organisasi harus menguji sistem secara berkala untuk melakukan
verifikasi bahwa hanya perangkat lunak yang di lisensi oleh organisasi tersebut yang boleh di
instal di setiap komputer yang ada dalam organisasi tersebut.
Gambar 4 Penggunaan Software yang ber-lisensi salah satu parameter usage audit
Selain masalah perangkat lunak dan keamanan fisik sistem yang di audit, hal yang juga menjadi
pertimbangan adalah masalah lubang keamanan yang mungkin saja di timbulkan oleh perangkat
lunak yang di instal di dalam sistem organisasi tersebut. Sehingga harus dapat dipastikan bahwa
perangkat lunak-perangkat lunak yang di instal tersebut sudah di update sesuai dengan
kebutuhannya.
Gambar 5 Mekanisme update software termasuk dalam parameter usage audit
Audit ini juga melakukan pengujian terhadap penggunaan jaringan komputer dalam sebuah
organisasi. Pengecekan dilakukan untuk mengetahui apakah sumber daya jaringan komputer
digunakan sesuai dengan peruntukannya atau tidak. Setiap penggunaan jaringan yang tidak
sesuai penggunaannya akan diberi tanda oleh proses audit ini dan dapat di hentikan sebelum hal
ini menjadi masalah di kemudian hari.
3. Escalation Audit
Eskalasi audit mem-fokuskan seputar bagaimana pihak manajemen/ decision-makers
mengendalikan sistem jaringan jika menemukan masalah darurat terhadap sistem tersebut.
Jenis audit ini akan melakukan pengujian bagaimana sebuah organisasi mampu
menghadapi masalah-masalah yang mungkin muncul ketika keadaan darurat terjadi. Misalnya,
pengujian dan proses verifikasi sistem terhadap “disaster recovery plans” dan “business
continuity plans”. Jenis-jenis perencanaan ini dapat menjadi “outdated” secara cepat dan
sebuah proses audit dapat digunakan untuk menjamin bahwa segala sesuatunya dapat di
selesaikan dan rencana-rencana tersebut dapat sukses di terapkan jika masalah terjadi pada
sistem jaringan komputer organisasi tersebut.
C. TOOLS IT AUDIT
Tools yang dapat digunakan untuk membantu pelaksanaan Audit Teknologi Informasi. Tidak
dapat dipungkiri, penggunaan tool-tool tersebut memang sangat membantu Auditor Teknologi
Informasi dalam menjalankan profesinya, baik dari sisi kecepatan maupun akurasinya.
Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi
informasi.
1. ACL
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit
Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai
macam sumber.
ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT
BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di
lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.
2. Picalo
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya
ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo
bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai
proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas
dan front end yang baik hingga Librari Python numerik.
Berikut ini beberapa kegunaannya :
• Menganalisis data keungan, data karyawan
• Mengimport file Excel, CSV dan TSV ke dalam databse
• Analisa event jaringan yang interaktif, log server situs, dan record sistem login
• Mengimport email kedalam relasional dan berbasis teks database
• Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.
3. Powertech Compliance Assessment
Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan
untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user
security, system security, system auditing dan administrator rights (special authority) sebuah
serverAS/400.
4. Nipper
Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan
mem-benchmark konfigurasi sebuah router.
Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu
profesional TI dalam mengaudit, konfigurasi dan mengelola jaringankomputer dan perangkat
jaringan infrastruktur.
5. Nessus
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang
digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan
yang digunakan dalam sebuah perusahaan.
6. Metasploit
Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang
digunakan untuk mencari celah keamanan.
7. NMAP
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network
Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan
jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan,
mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik
Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan
GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan
tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan
sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)
8. Wireshark
Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark
bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan
komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.