PROSEDUR IT AUDIT:
Kontrol lingkungan:
1.Apakah kebijakan keamanan (security policy)
memadai dan efektif ?
2.Jika data dipegang oleh vendor, periksa laporan
ttg kebijakan dan prosedural yg terikini dari external auditor
3. Jika sistem dibeli dari vendor, periksa
kestabilan financial
4. Memeriksa persetujuan lisen (license agreement)
Kontrol keamanan fisik
1.Periksa apakah keamanan fisik perangkat keras dan
penyimpanan data memadai
2.Periksa apakah backup administrator keamanan sudah
memadai (trained,tested)
3.Periksa apakah rencana kelanjutan bisnis memadai
dan efektif
4.Periksa apakah asuransi perangkat-keras, OS, aplikasi,
dan data memadai
Kontrol keamanan logical
1.Periksa apakah password memadai dan perubahannya
dilakukan regular
2.Apakah administrator keamanan memprint akses
kontrol setiap user
CONTOH – CONTOH
-Internal IT Deparment Outputnya Solusi teknologi
meningkat, menyeluruh & mendalam dan Fokus kepada global, menuju ke
standard2 yang diakui.
-External IT
Consultant Outputnya Rekrutmen staff, teknologi baru dan kompleksitasnya
Outsourcing yang tepat dan Benchmark / Best-Practices
Contoh lembar kerja IT Audit
Gambar berikut ini merupakan contoh lembar kerja
pemeriksaan IT Audit. Gambar A untuk contoh yang masih ‘arround the compter‘,
sedangkan B contoh ‘through the computer‘.
Studi Kasus: Pencurian Dana dengan Kartu ATM Palsu
Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44
miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM
palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak
Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.
Bank-bank yang kini sedang disidik polisi adalah
Bank Chugoku yang berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo,
Bank Yachiyo, Bank Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal
itu menggunakan teknik pemalsuan baru untuk membuat kartu ATM tiruan yang
dipakai dalam tindak kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini
kasus pemalsuan ATM ini sebagai ulah komplotan pemalsu ATM yang besar sehingga
pihaknya berencana membentuk gugus tugas penyelidikan bersama dengan satuan
polisi lainnya.
Berdasarkan sumber kepolisian dan bank-bank yang
dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186
nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah
bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening
mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku
dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari
gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya
jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa
serupa menimpa bank-bank lainnya.
Uniknya, tidak satu pun dari para pemilik rekening
itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu
ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki
kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang
berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini
menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan
untuk mengakses informasi dalam ATM.
Sampai berita ini diturunkan, polisi masih
menyelidiki teknik dan metode yang pelaku gunakan dalam melakukan serangkaian
pembobolan ATM tersebut. Namun, polisi telah berhasil menemukan satu benang
merah, yaitu dimana sebagian besar pemilik rekening yang dibobol itu adalah
anggota satu program yang dijalankan olah sebuah perusahaan penjual produk
makanan kesehatan yang berbasis di Tokyo.
Analisa Kasus:
Dari rangkuman berita diatas, dapat ditarik beberapa
kesimpulan, antara lain:
·
Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang
dalam perusahaan atau orang dalam perbankan dan dilakukan lebih dari satu
orang.
·
Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan
tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan oleh satu
perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.
·
Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan.
Korban, yang tergoda mendaftar menjadi anggota, secara tidak sadar mungkin
telah mencantumkan informasi-informasi yang seharusnya bersifat rahasia.
·
Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang
hanya dilindungi oleh PIN.
·
Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem
jaringan perbankan. Hal ini ditunjukkan dengan penggunaan teknik yang masih
belum diketahui dan hampir bisa dapat dipastikan belum pernah digunakan
sebelumnya.
· Dari
rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang
telah melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan
bahwa lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi
salah satu sebab mengapa kasus ini menjadi begitu besar.
Dari segi sistem keamanan kartu ATM itu sendiri,
terdapat 2 kelemahan, yaitu:
1. Kelemahan pada mekanisme pengamanan fisik
kartu ATM.
Kartu ATM yang banyak digunakan selama ini adalah
model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat
pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat
pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data
di dalam sistem.
Sistem pengamanan pada kartu ATM yang banyak
digunakan saat ini adalah dengan penggunaan PIN (Personal Identification
Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam
memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force.
Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini
akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.
Saran:
·
Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM.
Dengan penggunaan kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari
skimming. Atau dengan penggunaan sistem keamanan lainnya yang tidak bersifat
PIN, seperti pengamanan dengan sidik jari, scan retina, atau dengan penerapan
tanda tangan digital misalnya.
·
Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan
pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan kartu ATM
memberikan edukasi kepada para nasabahnya tentang tata cara penggunaan kartu
ATM dan bagaimana cara untuk menjaga keamanannya.
source: freezcha.wordpress.comgid3on.blogspot.com