Prosedur
IT Audit
Kontrol
lingkungan:
1.Apakah
kebijakan keamanan (security policy) memadai dan efektif ?
2.Jika
data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg
terikini dari external auditor
3.
Jika sistem dibeli dari vendor, periksa kestabilan financial
4.
Memeriksa persetujuan lisen (license agreement)
Kontrol
keamanan fisik
1.Periksa
apakah keamanan fisik perangkat keras dan penyimpanan data memadai
2.Periksa
apakah backup administrator keamanan sudah memadai (trained,tested)
3.Periksa
apakah rencana kelanjutan bisnis memadai dan efektif
4.Periksa
apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai
Kontrol
keamanan logical
1.Periksa
apakah password memadai dan perubahannya dilakukan regular
2.Apakah
administrator keamanan memprint akses kontrol setiap user
Contoh-Contoh
-Internal
IT Deparment Outputnya Solusi teknologi meningkat, menyeluruh & mendalam
dan Fokus kepada global, menuju ke standard2 yang diakui.
-External
IT Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh
lembar kerja IT Audit
Gambar
berikut ini merupakan contoh lembar kerja pemeriksaan IT Audit. Gambar A untuk
contoh yang masih ‘arround the computer‘, sedangkan B contoh ‘through the
computer‘.
Studi
Kasus: Pencurian Dana dengan Kartu ATM Palsu
Jakarta
(ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di
Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi
nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian
Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Bank-bank
yang kini sedang disidik polisi adalah Bank Chugoku yang berbasis di Okayama,
North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank Oita, dan Bank Kiyo.
Polisi menduga para tersangka kriminal itu menggunakan teknik pemalsuan baru
untuk membuat kartu ATM tiruan yang dipakai dalam tindak kriminal itu. Pihak
Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM ini sebagai ulah
komplotan pemalsu ATM yang besar sehingga pihaknya berencana membentuk gugus
tugas penyelidikan bersama dengan satuan polisi lainnya.
Berdasarkan
sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan
para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara
17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya
penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka.
Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara
itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah
Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik
rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.
Uniknya,
tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam
kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik
dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening
juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan
kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau
“pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.
Sampai
berita ini diturunkan, polisi masih menyelidiki teknik dan metode yang pelaku
gunakan dalam melakukan serangkaian pembobolan ATM tersebut. Namun, polisi
telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar pemilik
rekening yang dibobol itu adalah anggota satu program yang dijalankan olah
sebuah perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.
Analisa
Kasus:
Dari
rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain:
·
Pembobolan dana rekening tersebut kemungkinan besar
dilakukan oleh orang dalam perusahaan atau orang dalam perbankan dan dilakukan
lebih dari satu orang.
·
Karena tidak semua pemilik rekening memiliki
hubungan dengan perusahaan tersebut, ada kemungkinan pembocoran informasi itu
tidak dilakukan oleh satu perusahaan saja, mengingat jumlah dana yang dibobol
sangat besar.
·
Modusnya mungkin penipuan berkedok program yang
menawarkan keanggotaan. Korban, yang tergoda mendaftar menjadi anggota, secara
tidak sadar mungkin telah mencantumkan informasi-informasi yang seharusnya
bersifat rahasia.
·
Pelaku kemungkinan memanfaatkan kelemahan sistem
keamanan kartu ATM yang hanya dilindungi oleh PIN.
·
Pelaku juga kemungkinan besar menguasai pengetahuan
tentang sistem jaringan perbankan. Hal ini ditunjukkan dengan penggunaan teknik
yang masih belum diketahui dan hampir bisa dapat dipastikan belum pernah
digunakan sebelumnya.
·
Dari rangkuman berita diatas, disebutkan bahwa para
pemilik yang uangnya hilang telah melakukan keluhan sebelumnya terhadap pihak
bank. Hal ini dapat diartikan bahwa lamanya bank dalam merespon keluhan-keluhan
tersebut juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu
besar.
Dari
segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik
kartu ATM.
Kartu
ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita
magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu
jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data
di dalam sistem.
Sistem
pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan
penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan
prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang
dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman
dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah
mengetahui PIN korbannya.
Saran:
·
Melakukan perbaikan atau perubahan sistem keamanan
untuk kartu ATM. Dengan penggunaan kartu ATM berbasis chip misalnya, yang
dirasa lebih aman dari skimming. Atau dengan penggunaan sistem keamanan lainnya
yang tidak bersifat PIN, seperti pengamanan dengan sidik jari, scan retina,
atau dengan penerapan tanda tangan digital misalnya.
·
Karena pembobolan ini sebagiannya juga disebabkan
oleh kelengahan pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan
kartu ATM memberikan edukasi kepada para nasabahnya tentang tata cara
penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.
Sumber :
http://moondanz1509.blogspot.com/2015/04/prosedur-dan-lembar-kerja-it-audit.html
Tidak ada komentar:
Posting Komentar