Preservation Digital Forensic

Dalam beberapa tahun terakhir, digital forensic muncul sebagai salah satu bahan pembuktian dalam pendekatan untuk memfasilitasi kurasi dan kelestarian daripada materi digital terutama dalam memproteksi dan investigasi barang bukti dari masa lalu.

Dibutuhkan sebuah institusi penyimpanan yang profesional dengan tanggung jawab dalam penyimpanan dan penanganan keaslian daripada arsip digital.

Informasi digital ini harus ditangani dengan sangat sensitiv dan dalam penjagaan maksimum karena merupakan barang bukti yang otentik.


Teknologi digital forensik ini memungkinkan kita untuk:
1. mengidentifikasi isu-isu pribadi,
2. melacak kondisi asal dari sebuah isu.
3. mendeteksi pemalsuan atau manipulasi,
4. memfasilitasi kontrol audit
5. dan lainnya.

Forensik digital dikaitkan dalam pikiran banyak orang terutama dengan penyelidikan kejahatan.
Namun saat ini Digital Forensic banyak digunakan khusus untuk melindungi dan menyelidiki bukti dari masa lalu.

Ada tiga prinsip dasar yang penting dalam forensik digital:
1. bahwa bukti tersebut diperoleh tanpa mengubah aslinya,
2. bahwa ini adalah terbukti begitu
3. dan analisis yang dilakukan secara akuntabel dan cara berulang.

Information Security management

Faktor yang paling penting dalam melindungi aset informasi dan privasi adalah meletakkan dasar manajemen keamanan informasi yang efektif.

Adalah penting untuk menyadari bahwa tujuan daripada security management tersebut sangat diperlukan.

Information Security Management  yang terkadang disingkat menjadi InfoSec , adalah praktek membatasi informasi, penggunaan, pengungkapan , gangguan , modifikasi , teliti , inspeksi , rekaman atau perusakan dari akses yang tidak sah.

Information Security Management

Istilah umumnya dapat dikatakan perlakuan proteksi terhadap sesuatu yang digunakan terlepas dari bentuk perangkat elektronik, fisik, dan non fisik dari tindakan ilegal.Dua aspek utama dari Information Security adalah :

1. Keamanan IT :

Biasanya disebut sebagai keamanan komputer. Information Security Management diterapkan pada teknologi (paling sering beberapa bentuk sistem komputer ), hal ini berguna untuk dicatat bahwa komputer tidak selalu berarti sebuah desktop rumah . Sebuah komputer adalah perangkat dengan prosesor dan beberapa memori ( bahkan kalkulator ).

Spesialis keamanan IT hampir selalu ditemukan di setiap perusahaan / usaha  karena sifat dan nilai dari data di dalam bisnis yang lebih besar. Mereka bertanggung jawab untuk menjaga semua teknologi dalam perusahaan agar aman dari serangan cyber berbahaya yang sering mencoba untuk melakukan tindakan ilegal.

2. Jaminan Informasi :

Tindakan memastikan bahwa data tidak hilang ketika isu-isu kritis muncul . Isu-isu ini  tidak terbatas pada : bencana alam, kerusakan komputer / server, pencurian fisik, atau contoh lain di mana data memiliki potensi hilang karena di era modern ini sebagian besar informasi disimpan pada kompute. Jaminan informasi biasanya ditangani oleh para ahli keamanan IT.

Salah satu metode yang paling umum adalah memberikan jaminan informasi dengan memiliki backup off-site untuk mengatasi munculnya masalah-masalah yang disebutkan diatas. Saat ini telah banyak penyedia jasa data center dalam hal mengatasi jaminan informasi.Pemerintah, militer, perusahaan, lembaga keuangan, rumah sakit, dan perusahaan swasta mengumpulkan banyak informasi rahasia tentang  karyawan mereka, pelanggan, produk, penelitian dan bahkan  status keuangan. Sebagian besar informasi ini sekarang dikumpulkan, diolah dan disimpan pada komputer elektronik dan dikirimkan melalui jaringan ke komputer lain .

Haruskah informasi rahasia tentang pelanggan bisnis atau keuangan atau lini produk baru jatuh ke tangan pesaing atau hacker ?, bisnis dan pelanggan bisa menderita yang sangat fatal hingga kerugian keuangan, belum lagi kerusakan pada reputasi perusahaan . Melindungi informasi rahasia adalah kebutuhan bisnis dan dalam banyak kasus juga merupakan persyaratan etika dan hukum .

Tindakan memastikan bahwa data tidak hilang ketika isu-isu kritis muncul . Isu-isu ini  tidak terbatas pada : bencana alam, kerusakan komputer / server, pencurian fisik, atau contoh lain di mana data memiliki potensi hilang karena di era modern ini sebagian besar informasi disimpan pada kompute. Jaminan informasi biasanya ditangani oleh para ahli keamanan IT.

Salah satu metode yang paling umum adalah memberikan jaminan informasi dengan memiliki backup off-site untuk mengatasi munculnya masalah-masalah yang disebutkan diatas. Saat ini telah banyak penyedia jasa data center dalam hal mengatasi jaminan informasi.Pemerintah, militer, perusahaan, lembaga keuangan, rumah sakit, dan perusahaan swasta mengumpulkan banyak informasi rahasia tentang  karyawan mereka, pelanggan, produk, penelitian dan bahkan  status keuangan. Sebagian besar informasi ini sekarang dikumpulkan, diolah dan disimpan pada komputer elektronik dan dikirimkan melalui jaringan ke komputer lain .

Haruskah informasi rahasia tentang pelanggan bisnis atau keuangan atau lini produk baru jatuh ke tangan pesaing atau hacker ?, bisnis dan pelanggan bisa menderita yang sangat fatal hingga kerugian keuangan, belum lagi kerusakan pada reputasi perusahaan . Melindungi informasi rahasia adalah kebutuhan bisnis dan dalam banyak kasus juga merupakan persyaratan etika dan hukum .

Apakah perusahaan atau organisasi anda perlu meningkatkan Information Security Management?

IT infrastructure library (ITIL)

IT Infrastructure Library atau yang biasa disingkat ITIL memiliki inti yang masing-masing memerikan bimbingan yang diperlukan dalam pendekatan terpadu, sebagaimana dibutuhkan sebagai standarisasi ISO / IEC 20000 adalah:

1. Service strategy (strategy pelayanan)
2. Service design (layanan desain) yang meliputi:

• transition design
•  operation design

3. Service transition (layanan transisi)
4. Service operation (layanan operasi)
5. Continual service improvement (peningkatan pelayanan berkelanjutan)

Silahkan klik pada tiap-tiap nomor untuk pembahasan lanjutan.

Control Self Assessment (CSA)

Control Self Assessment (CSA) dapat didefinisikan sebagai suatu teknik manajemen yang menjamin pemegang saham, pelanggan dan pihak lain bahwa sistem pengendalian internal organisasi yang handal. Ini juga menjamin bahwa karyawan sadar akan risiko bisnis dan mereka melakukan berkala, review proaktif kontrol. Ini adalah metodologi yang digunakan untuk meninjau tujuan bisnis utama, risiko yang terlibat dalam mencapai tujuan bisnis dan pengendalian internal yang dirancang untuk mengelola risiko usaha dalam proses, formal kolaboratif didokumentasikan.

Dalam prakteknya, CSA adalah serangkaian tools atau alat pada sebuah metodologi dari kuesioner sederhana, yang dirancang untuk mengumpulkan informasi tentang organisasi dengan meminta mereka yang memiliki pengetahuan bekerja sehari-hari. Alat dasar yang digunakan selama proyek CSA adalah sama. Apakah proyek tersebut bersifat teknis, keuangan atau operasional. Alat ini mencakup pertemuan manajemen, lokakarya klien, lembar kerja, lembar penilaian dan pendekatan proyek CSA. Ada berbagai pendekatan kepada tingkat di bawah manajemen yang tanya, beberapa organisasi bahkan termasuk orang luar (seperti klien atau mitra perdagangan) ketika membuat penilaian CSA

OBJECTIVES atau Tujuan dari CSA
Ada beberapa tujuan yang terkait dengan mengadopsi program CSA. Tujuan utama adalah untuk memanfaatkan fungsi audit internal dengan menggeser beberapa tanggung jawab kontrol pemantauan ke daerah fungsional. Hal ini tidak dimaksudkan untuk menggantikan tanggung jawab audit, tapi untuk meningkatkan mereka. Auditee seperti line manager bertanggung jawab untuk kontrol di lingkungan mereka, para manajer juga harus bertanggung jawab untuk memantau kontrol. program CSA juga harus mendidik manajemen tentang desain pengendalian dan pengawasan, terutama konsentrasi pada area yang berisiko tinggi.

Baiklah, penjelasan singkat dalam bahasa indonesia mengenai CSA ini sudah saya kilaskan diatas, untuk lebih memfamiliarkan anda tentang Control Self Assesment ini serta mempermudahkan anda saat sertifikasi CCSA ataupun CISA serta penerapannya dalam kondisi nyata maka silahkan lanjutkan ke versi English Silahkan klik disini.

IS Audit Process

IS AUDIT PROSES adalah audit yang meliputi seluruh praktek Information System Audit itu sendiri, termasuk prosedur dan metodologi menyeluruh yang memungkinkan

auditor untuk melakukan audit terhadap apapun yang diberikan area technology informasi secara profesional.

Penjabarannya, bahwa IS AUDIT PROSES itu adalah Audit menyeluruh terhadap praktek information system itu sendiri yang di dalamnya termasuk prosedur dan metodologi.

Tujuannya adalah untuk memastikan bahwa auditor memiliki pengetahuan yang diperlukan

untuk menyediakan sistem informasi (IS) jasa audit sesuai dengan standar IS audit, pedoman dan praktik terbaik untuk memastikan bahwa informasi organisasi teknologi dan bisnis sistem terlindungi dan terkendali.

Teknologi informasi terus berubah. Oleh karena itu, penting bahwa IS auditor mempertahankan kompetensi mereka melalui pembaruan keterampilan yang ada dan mendapatkan pelatihan diarahkan teknik audit baru . Auditing Standar mensyaratkan bahwa auditor secara teknis kompeten memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan audit. Lebih lanjut, auditor adalah untuk mempertahankan kompetensi teknis melalui pendidikan profesional yang tepat melanjutkan. Keterampilan

dan pengetahuan yang harus dipertimbangkan ketika merencanakan audit dan menugaskan staf untuk penugasan audit tertentu.

Lebih lanjut mengenai Information System Audit Process silahkan download disini

IT governance

IT governance ( Tata kelola IT) adalah merupakan satu kesatuan dari enterprise governance melalui peningkatan efektivitas dan efisiensi dalam proses perusahaan yang saling berhubungan.

IT governance menyediakan struktur yang menghubungkan proses IT, sumber daya IT dan informasi bagi strategi dan tujuan perusahaan.

Lebih jauh lagi IT governance merupakan gabungan dari perencanaan IT, pengorganisasian IT,  pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja IT  yang mana IT Governance bertujuan untuk memastikan agar informasi perusahaan dan teknologi saling berhubungan mendukung tujuan bisnis perusahaan.

IT governance memungkinkan perusahaan untuk memperoleh keuntungan penuh dari informasinya, dengan memaksimalkan keuntungan dari peluang dan keuntungan kompetitif yang dimiliki.

Selama beberapa tahun terakhir salah satu topik yang paling umum ditanyakan beberapa costumer perusahaan adalah  good governance untuk meningkatkan kinerja mereka secara keseluruhan dari kelompok IT adalah "corporate governance".  

Beberapa statement yang sering diungkapkan adalah:

• "Kunci keberhasilan kami adalah governance"
• "Kami akan melakukan lebih baik jika kita hanya memiliki pemerintahan yang baik"

Bagaimana IT Governance berbeda?.  Berdasarkan konsep di atas, tata kelola TI dapat digambarkan memiliki dua komponen yang berbeda. Ada komponen struktural yang berkaitan dengan kegiatan organisasi teknologi informasi, cara kegiatan tersebut mendukung tujuan bisnis, dan orang-orang yang membantu mengelola kegiatan tersebut. Ada juga komponen proses yang mendefinisikan hak pengambilan keputusan yang berhubungan dengan IT serta mekanisme dan kebijakan yang digunakan untuk mengukur dan mengontrol cara keputusan TI dibuat dan dilaksanakan dalam organisasi.

Pada akhirnya , pencapaian seperti apa yang didapat dari IT Governance? 

IT Governance (Tata kelola IT) menciptakan kejelasan antara tujuan bisnis dan proyek-proyek TI . Inilah sebabnya mengapa sangat penting . Pikirkan pernyataan yang dibuat pada awal posting ini ( " Kunci keberhasilan kami adalah tata kelola").  Semuanya mulai masuk akal mengapa pernyataan ini berdering benar . IT governance merupakan elemen kunci dari sebuah organisasi TI yang berkinerja baik . Jadi ... setelah semua penjelasan ini . Jadi kesimpulannya apakah tata kelola IT (IT Governance) itu?

1. Jelas memahami strategi bisnis dan menyelaraskan strategi teknologi dengan strategi bisnis
2. Memberikan kejelasan antara strategi bisnis dan inisiatif TI - 
3. Menggambar hubungan antara tujuan bisnis dan tujuan proyek
4. Memberikan kejelasan melalui penyusunan kasus bisnis untuk setiap inisiatif
5. Tidak cukup untuk membuat link tetapi juga untuk membantu membangun kasus untuk bagaimana proyek ini akan meningkatkan kemampuan bisnis
6. Mencapai kesepakatan tentang prioritas sebagai kelompok dalam melihat keseluruhan perusahaan.
7. dan masih banyak lagi yang dapat disimpulkan dari penjelasan IT Governance (tata kelola IT).

Apakah perusahaan atau organisasi anda perlu meningkatkan Tata Kelola IT (IT Governance)?  
Jika berkenan kami dapat membantu anda.

Control Objective for Information and related Technology (COBIT)

Control Objective for Information and relatedTechnology (COBIT) memiliki fungsi dalam:

1.    Mengamankan Aset Sistem Informasi (Assets Safeguarding)

Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file/data dan fasilitas Teknologi Informasi lainnya harus dijaga dengan sistem pengendalian internal yang baik agar tidak terjadi mis­efisiensi, mis-efektifitas, dan penyalahgunaan aset entitas. Dengan demikian sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat penting yang harus dipenuhi oleh entitas.

2.  Efektifitas sistem 

Efektifitas sistem informasi entitas memiliki peranan penting dalam proses pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan efektifbila sistem informasi memberikan manfaat dan ketepatgunaan teknologi informasi dalam operasi dan administrasi.

3. Efisiensi sistem

Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh entitas terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

4. Memberikan dan mengelola ketersediaan layanan sistem informasi (Availability)

Berhubungan dengan ketersediaan dukungan/layanan teknologi informasi. Teknologi Informasi hendaknya dapat mendukung secara berkelanjutan terhadap proses usaha/bisnis entitas. Makin sering terjadi gangguan (system downtime) maka berarti tingkat ketersediaan sistem rendah.

5.  Menjaga kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung dari akses dari pihak-pihak yang tidak berwenang dan bertanggungjawab.

6.  Meningkatkan kehandalan (Reability)

Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam pengelolaan organ isasi, pelaporan dan pertanggungjawaban.

7.   Menjaga integritas data (Data Integrity) 

Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki atribut­-atribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data tidak terpelihara, maka suatu entitas tidak akan lagi memiliki informasi/laporan yang benar, bahkan entitas dapat menderita k kerugian karena pengawasan yang tidak tepat atau keputusan-keputusan yang salah. Faktor utama yang membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas data adalah:

·         Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan kualitas data sehingga dapat memberikan informasi bagi para pengambil keputusan.

·          Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing dapat menggunakan data tersebut untuk mengalahkan entitas saingannya sehingga mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan, dan sebagainya.

8. Mentaati seluruh peraturan dan aturan yang ada dan berlaku saat ini, baik itu di internal dan eksternal organisasi/entitas (Compliance).

Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas memberikan dampak positif dan bernilai tambah guna memberikan keyakinan yang cukup bagi para pihak yang berkepentingan entitas khususnya para regulator bahwa entitas menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip biaya­manfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan teknologi informasi.

Belajar cobit 

Kiat Sukses Ujian CISA dan CISM

Sertifikasi profesi yang di ternitkan ISACA International untuk bidang IS audit dan Security adalah CISA dan CISM. Dalam setahun ujian ini dilaksanakan hanya 2 kali. Untuk jadwal ujiannya anda bisa melihatnya pada website ISACA atau dapat juga di lihat pada learning partner ISACA yang saat ini terdapat juga di luar Jakarta. Namun yang perlu diingat, untuk Indonesia ujian CISA dan CISM ini hanya dilakukan di Jakarta. 

Kira-kira materi apa saja yang bakalan di ujikan pada ujian CISA dan CISM. Untuk bisa mengikuti ujian CISM anda harus dinyatakan lulus ujian CISA. Materi yang diujikan pada ujian CISA dominan meliputi aspek security.  

Sebagai persiapan yang anda lakukan adalah:

1.Cari tau jadwal ujian CISA terdekat yang ingin anda ikuti. 
Biasanya gelombang pertama ujian CISA dan CISM dilaksanakan pada bulan Juni dan pendaftaran dibuka pada bulan Februari. 
Gelombang ke 2 biasanya ujian di bulan Desember dan pendaftaran dilakukan pada bulan Agustus. 
Untuk lokasi ujian biasanya bertempat di Jakarta International School berlokasi di Pondok Indah Jakarta Selatan.

2. Target kelulusan CISA dan CISM.  
Dikarenakan ujian ini menghabiskan biaya yang tidak sedikit, maka “Lulus” adalah target utama.Fokuskan membaca frame work, best practice serta buku-buku ICASA dan memahami apa yang akan kita targetkan. Materi atau contoh ujian dapat anda download disini. CISA atau CISM holder terikat dengan code of professional conduct dan standards dari isaca dan untuk dapat comply terhadap keduanya, isaca menerbitkan guidelines dan procedures yang bisa di download gratis di www.isaca.org. Jangan sungkan bertanya dengan orang yang sudah mengikuti ujian CISA dan CISM. 

3. Mengerti apa yang harus dilakukan sebagai Auditor.

Salah satu dari pertanyaan yang sering muncul adalah “what auditor must do”. Untuk dapat menjawab ini kamu harus mengacu kepada profesional code of conduct versi ISACA, untuk itu bacalah preperation terbitan ICASA.

4.   4. Memahami tentang kelompok besar dari General dan Aplication Control.

Untuk general Kelompok besarnya dibagi menjadi 4 bagian yaitu : Program Development, Program Changes, Access to program and Data Operation (security), computer operations. 
Untuk aplication control kelompok contoh kelompok besarnya completeness, Accuracy, Validity, Authorization, Segregation of duties

5.  Sebagai seorang Auditor maka pahami mengenai RISK – CONTROL – IMPACT AFFECTED

 Silahka baca postingan mengenai RISK , CONTROL, IMPACT AFFECTED, COBIT

6.  Latihan Ujian CISA dan CISM

Jika tidak ada perubahan, durasi ujian adalah 4 jam. Apa yang harus anda latih untuk tidak depresi dalam 4 jam ini? Anda sendirilah yang tau kondisi fisik anda.  Pastinya anda akan fresh 70 persen jika anda sudah merasa siap untuk urusan materi ujian. Yang 30 persennya anda sendiri yang tau komposisinya. Apakah 30 persennya doa, atau doa hanya 5% sisanya ”Lucky”.

Selamat mencoba, Semoga sukses.

Download contoh ujian cisa