Catatanku

Kunci Gitar Dan Lirik,Tugas, Game, Artikel Lainya

Orang yang tidak banyak membaca pasti tidak banyak tahu. Orang yang tidak banyak tahu sangat dekat dengan kebodohan. Dan kebodohan akan sangat dekat dengan kemiskinan ~ Helmy Yahya.

Janganlah terlalu sering berpaling ke belakang, dan terus memutar ulang penyesalan masa lalu untuk mengeruhkan kedamaian Anda hari ini. Syukurilah masa lalu, hiduplah sebaik-baiknya hari ini, dan berjayalah di masa depan Anda -Mario Teguh

AUDIT TEKNOLOGI SISTEM INFORMASI #2

AUDIT TEKNOLOGI SISTEM INFORMASI

PENGERTIAN AUDIT THROUGH THE COMPUTER

Audit through the computer adalah dimana auditor selain memeriksa data masukan dan keluaran, juga melakukan uji coba proses program dan sistemnya atau yang disebut dengan white box, sehinga auditor merasakan sendiri langkah demi langkah pelaksanaan sistem serta mengetahui sistem bagaimana sistem dijalankan pada proses tertentu.
Audit through the computer dilakukan pada saat:
1.Sistem aplikasi komputer memproses input yang cukup besar dan menghasilkan output yang cukup besar pula, sehingga memperluas audit untuk meneliti keabsahannya.
2. Bagian penting dari struktur pengendalian intern perusahaan terdapat di dalam komputerisasi yang digunakan.
Kelebihan dan Kelemahan dari metode Audit Through The Computer adalah sebagai berikut:
Kelebihan:
-Dapat meningkatkan kekuatan pengujian system aplikasi secara efektif.
-Dapat memeriksa secara langsung logika pemprosesan dan system aplikasi.
-Kemampuan system dapat menangani perubahan dan kemungkinan kehilangan yang terjadi pada masa yang akan dating.
-Auditor memperoleh kemampuan yang besar dan efektif dalam melakukan pengujian terhadap system computer.
-Auditor merasa lebih yakin terhadap kebenaran hasil kerjanya.

Kelemahan:
-Biaya yang dibutuhkan relative tinggi karena jumlaj jam kerja yang banyak untuk dapat lebih memahami struktur pengendalian intern dari pelaksanaan system aplikasi.
-Butuh keahlian teknis yang mendalam untuk memahami cara kerja sistem.
Objek yang akan di audit : Tokopedia.com
Era digital ini memang sangat merubah pola kehidupan banyak orang, salah satunya dalam hal berbelanja. Dulu hanya ada pasar tradisional, kemudian ada mini dan supermarket, nah sekarang adalagi yaitu pasar online atau biasa disebut dengan marketplace.
Salah satu marketplace paling populer di Indonesia adalah tokopedia. Tokopedia didirikan oleh beberapa orang, salah satunya adalah William Tanuwijaya.
Karier William boleh dibilang cukup baik, seperti bekerja di PT. Boleh Net Indonesia dibidang game developer, dan sebagai software developer di beberapa perusahaan ternama di Jakarta.
Bahkan pernah menjadi mederator forum Kafegaul, sejak itulah seorang William mulai tertarik untuk memulai startup onlinenya sendiri. Dia punya pemikiran bahwa sebagai startup online yang memfasilitasi jualbeli, harus dapat dipercaya oleh pihak penjual dan juga pihak pembeli.
Dengan keyakinan tersebut maka William berani untuk mengajak sahabatnya Leontinus Alpha Edison untuk mulai merintis startup online yang diberi nama Tokopedia.

Konsep Praktis yang Diperkenalkan Tokopedia

Tokopedia ini mulai dirintis pada 6 Februari 2009, akan tetapi baru dirilis untuk umum pada tanggal 17 Agustus 2009 yang lalu. Bahkan boleh dibilang perkembangan dari Tokopedia ini sangat lancar dan juga sangat membanggakan. Hal ini dapat dilihat dari tahun pertamanya saja yang sudah mendapatkan suntikan dana bahkan penghargaan dari Bubu Award sebagai salah satu startup e-commerce terbaik di Indonesia.
Tokopedia juga mampu memberikan kenyamanan bagi pihak penjual maupun pembeli dengan baik dan nyaman. Bahkan dapat menekan angka penipuan dan kriminalitas di bisnis online.
Karena pihak penjual tak akan menerima uang pembayaran sebelum pihak pembeli memberikan konfirmasi penerimaan barang. Hal ini tentunya akan memberikan garansi tersendiri bagi pihak pembeli, yang khawatir akan ditipu.

Perkembangan Tokopedia dari Waktu ke Waktu

Pada saat baru dirilis, Tokopedia hanya mempunyai 4 karyawan termasuk juga William dan Leontinus. Tapi saat masuk tahun kelimanya Tokopedia sudah mempunyai lebih dari 100 karyawan dengan tugasnya masing-masing.
Dan lihatlah sekarang ini Tokopedia sudah banyak menyediakan beragam barang untuk kebutuhan kita. Trafik yang diperoleh Tokopedia sudah mampu menembus jutaan pengguna internet, hal ini menjadikan Tokopedia salah satu website yang sering diakses.

Memperoleh Dukungan Pendanaan

Pastinya Tokopedia untuk sampai bisa sebesar ini didukung oleh banyak investor untuk pendanaannya. Bahkan ada beberapa investor asing yang memberikan kepercayaan untuk mengelolakan dana pada Tokopedia, seperti East Ventures (2010), CyberAgent Venture (2011), Beenos (212) serta Softbank (2013), Sequoia, dll.
Saat ini Tokopedia juga melebarkan sayapnya untuk merintis aplikasi mobile untuk sistem operasi Android. Bahkan Tokopedia juga telah mempunyai rencana untuk membuat aplikasi untuk para pengguna sistem operaso iOS dan juga versi tablet.
Pastinya perjalanan dari bisnis William Tanuwijaya akan memberikan banyak inspirasi bagi kita untuk meraih kesukesan yang sama. Memang hal itu tak akan mudah, untuk itu mulailah belajar dari sekarang dan tak mudah puas dengan segala hal yang kita capai. Karena kepuasan ini hanya akan membuat kita berhenti untuk berkembang dan tentunya belajar segela sesuatu yang baru.

Tinjau Ulang Aplikasi untuk Otentikasi dan Sesi yang Rusak karena Kerentanan Manajemen
Kredensial akun dan token sesi harus dilindungi. Penyerang yang bisa berkompromi kata sandi, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi

Verifikasi Referensi dan Otorisasi Objek yang Tepat Kontrol
Aplikasi web dapat menggunakan nama sebenarnya atau kunci database sebagai referensi ke objek dalam aplikasi web atau database yang mengandung informasi sensitif atau akses. Praktiknya adalah menggunakan referensi tidak langsung ke objek. Setelah pengguna diautentikasi ke web server, server web menentukan jenis akses yang harus dimiliki pengguna dan untuk apa bagian dari situs web pengguna harus memiliki akses. Gagal menerapkan kontrol akses (otorisasi) untuk setiap referensi objek langsung memungkinkan penyerang untuk keluar dari batas yang berwenang, mengakses data pengguna lain atau administrasi yang tidak berwenang. Secara khusus, penyerang tidak boleh mengubah parameter yang digunakan selama ini sesi pengguna resmi untuk mengakses data pengguna lain. Klien proxy dan alat lainnya memungkinkan penyerang untuk melihat dan mengubah data selama sesi berlangsung.
Verifikasi bahwa kontrol tersedia untuk mencegah Permintaan Lintas Situs Forgery (CSRF atau XSRF).
Permintaan penggelapan, permintaan penganiayaan, mengeksploitasi kepercayaan yang dimiliki situs web untuk diautentikasi oleh pengguna. Penyerang mengeksploitasi kepercayaan ini dengan mengirimkan gambar yang tertanam, skrip, elemen iframe, atau metode lain untuk memanggil perintah yang dijalankan di server web saat Anda login dengan kredensial anda. Membuat keadaan menjadi lebih buruk bagi pengguna, jenis serangan ini berasal dari alamat IP pengguna, dan semua data log akan muncul seolah-olah pengguna memasukkannya. Server web harus memvalidasi sumber permintaan web untuk memperkecil risikonya. Penyerang mencoba membuat permintaan web jahat yang otentik yang berasal dari sumber di luar kendali aplikasi web. Berikut adalah contoh bagaimana tipe ini serangan mungkin terlihat sebagai permintaan gambar:
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
Tinjau Kembali Kontrol Seputar Konfigurasi yang Aman
Ini menangkap semua yang membahas manajemen konfigurasi, konsep menyeluruh tentang menjaga konfigurasi aman dari server web. Subjek konfigurasi server web mengalami penyimpangan dalam teknologi atau proses yang mempengaruhi keamanan platform web dan aplikasi web.

Pastikan Mekanisme Penyimpanan Kriptografi Aman Digunakan dengan Benar
Aplikasi web sering ingin mengaburkan atau mengenkripsi data untuk melindungi data sensitif dan kredensial. Tantangannya adalah bahwa ada dua bagian untuk skema enkripsi yaitu hitam kotak yang melakukan sihir dan penerapan kotak hitam ke web anda aplikasi. Komponen ini sulit untuk kode dengan benar, sering mengakibatkan kelemahan pada  perlindungan
Verifikasi bahwa Kontrol yang Tepat tersedia untuk Membatasi Pemfilteran URL
Kontrol ini menerapkan akses berbasis peran ke area yang dilindungi dan sensitif di web aplikasi Anda. Pembatasan yang hilang atau tidak dikonfigurasi dengan benar ke URL memungkinkan penyerang untuk mengubah URL untuk mengakses halaman pribadi atau hak istimewa. Penyaringan yang tepat memastikan bahwa hanya pengguna terotentikasi yang memiliki akses ke setiap halaman yang dibatasi penggunaannya. Seorang penyerang, yang mungkin pengguna sistem yang berwenang, seharusnya tidak dapat mengubah URL untuk melihat informasi di luar perannya.
Evaluasi Mekanisme Perlindungan Lapisan Transport (jaringan enkripsi lalu lintas) untuk Melindungi Informasi Sensitif.
Percakapan pribadi bersifat pribadi hanya jika tidak ada orang lain yang bisa mendengarkannya. Sampai dienkripsi jaringan menjadi standar, protokol teks jernih harus dihilangkan jika memungkinkan. Meskipun peralatan yang lebih baru dan administrator jaringan yang cerdas dapat membantu mengurangi risiko penyadapan lalu lintas jaringan, risiko nyata untuk menangkap lalu lintas itu masih ada, terutama pada domain VLAN atau broadcast yang sama. Protokol tertentu seperti HTTP, FTP, dan Telnet mentransmisikan semua informasi dalam teks mentah, termasuk ID pengguna dan kata sandi yang diminta. Ini bisa memungkinkan seseorang untuk melakukannya dapatkan informasi ini dengan menguping jaringan. Komunikasi teks jelas. Secara umum harus diminimalisir jika memungkinkan dan hanya protokol yang aman saja diizinkan untuk halaman pribadi.
Tinjau Pengalihan Aplikasi Web dan Memverifikasi itu hanya URL yang valid yang dapat Diakses
Dengan menggunakan redirect yang tidak terkontrol, penyerang mungkin bisa mengarahkan pengguna ke penyerang situs web menggunakan URL yang terlihat seolah-olah berasal dari domain Anda. Ini lebih diutamakan metode untuk penipuan phishing agar permintaan muncul sah dengan menggunakan organisasi yang diserang alamat di bagian pertama URL yang dibuat. Ini terkadang digunakan bersama dengan layanan pemendek URL untuk situs target untuk mengaburkan yang jahat. Maksud dari URL
http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa itu jika tidak bisa diakses jika kontrol otorisasi tambahan diterapkan salah.
http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
Pastikan Semua Masukan sudah Divalidasi sebelum Digunakan oleh Server Web
Informasi harus divalidasi sebelum digunakan oleh aplikasi web. Gagal memvalidasi permintaan web mengarahkan server web untuk meningkatkan risiko dari penyerang yang berusaha melakukannya memanipulasi data masukan untuk menghasilkan hasil yang berbahaya.
Evaluasi Penggunaan Penanganan Kesalahan yang Tepat
Kondisi kesalahan yang tidak terkontrol dengan benar memungkinkan penyerang mendapatkan informasi sistem terperinci, menolak layanan, menyebabkan mekanisme keamanan gagal, atau merusak server.
1. Susunan Instrument Audit
Metasploit merupakan perangkat lunak yang dapat membantu keamanan dan sifat profesionalisme teknologi informasi seperti melakukan identifikasi masalah keamanan, verifikasi kerentanan, dapat melakukan scanning aplikasi website, dan rekayasa sosial.
Terminologi
a.      Exploit
Mengeksploitasi merupakan salah satu metode yang digunakan seorang penyerang maupun pentester. Dalam metode ini,kita mengambil keuntungan dari kecatatan sistem, aplikasi, atau layanan. Penyerang mengeksploitasi untuk menyerang sistem dengan cara yang bisa memberikan hasil yang diinginkan. Eksploitasu yang umum mencangkup butter overflows, kerentanan aplikasi web (seperti SQL injection), dan kesalahan konfigurasi

.
b.      Payload
Payload merupakan sebuah kode, dimana penyerang sangat ingin sistem target mengeksekusinya. Misalnya, reverse shell merupakan payload yang menciptakan koneksi dari sistem target ke penyerang sebagai command prompt (CMD) windows. Sedangkan bind shell merupakan payload yang mengikat command prompt ke listening port pada sistem target. Yang kemudian penyerang dapat terhubung dengan sistem target. Sebuah payload juga bisa menjadi sesuatu yang sederhana. Seperti beberapa perintah yang akan dijalankan pada sistem opersi target.
c.      Shellcode
Shellcode merupakan satu set intruksi yang digunakan payload ketika eksploitasi terjadi. Shellcode biasanya ditulis dalam bahasa assembly. Dalam beberapa kasus, perintah shell atau meterpreter shell akan diberikan setelah serangkaian instruksi sudah dilakukan oleh mesin target.
d.      Module
Module merupakan bagian dari software yang dapat digunakan oleh Metasploit Framework. Pada beberapa waktu, kamu mungkin memerlukan penggunaan exploid module. Dan mungkin module tambahan diperlukan juga untuk melakukan beberapa tindakan. Seperti pemindaian atau sistem enumerate. Modul-modul ini juga merupakan inti dari apa yang bisa membuat Framework menjadi powerful.
e.      Listener
Listener merupakan komponen dalam Metasploit yang tugasnya menunggu sebuah koneksi masuk atau sejenisnya. Misal, setelah mesin target dieksploitasi, koneksi antara penyerang dan target melalui internet. Listener berperan untuk menangani koneksi tersebut.
Metasploit Interfaces
Metasploid menawarkan lebih dari satu antarmuka atas fungsi yang mendasarinya. Termasuk konsol, beris perintah, dan interface grafis. Selain interface ini, utilitas menyediakan akses langsung ke fungsi yang normal internal untuk Metasploid Framework. Utilitas ini dapat sangat membantu untuk perkembangan eksploitasi.
a.  MSFconsole
MSFconsole merupakan bagian paling populer dari Metasploid Framework. Fleksibel, kaya fitur, dan supported tools dalam Framework. MSFconsole menyediakan interface praktis all-in-one untuk setiap opsi dan pengaturan yang ada dalam Framework. Kamu dapat menggunakan MSFconsole untuk melakukan sgala perintah. Termasuk meluncurkan eksploitasi, memuat modul tambahan, melakukan enumerate, menciptakan listener, atau menjalankan eksploitasi terhadap seluruh jaringan.
Meskipun Metasploid Framework terus diperbarui, bagian dari perintah tetap relatif konstan. Dengan menguasai dasar-dasar MSFconsole, akan dapat mengikuti perubahan apapun.
Mengeksploitasi merupakan salah satu metode yang digunakan seorang penyerang maupun pentester. Dalam metode ini,kita mengambil keuntungan dari kecatatan sistem, aplikasi, atau layanan. Penyerang mengeksploitasi untuk menyerang sistem dengan cara yang bisa memberikan hasil yang diinginkan. Eksploitasu yang umum mencangkup butter overflows, kerentanan aplikasi web (seperti SQL injection), dan kesalahan konfigurasi.
Starting MSFconsole, untuk memulai MSFconsole, cukup masukkan perintah msfconsole pada command line :



Untuk menakses file banuan MSFconsole, cukup memasukkan help diikuti perintah yang akan digunakan. Pada contoh berikut ini akan mencari bantuan untuk perintah connect, yang memungkinkan kita berkomunikasi dengan host.



b.  Armitage
Sebuah komponen yang berhubungan dengan Metasploit, armitage menyajikan interface grafis interaktif sepenuhnya yang dibuat oleh Raphael Mudge. Interface yang mengesankan, kaya fitur, dan tersedia secara gratis. Untuk memulai Armitage, cukup jalankan perintah Armitage, pilih Start MSF, yang akan memungkinkan Armitage untuk terhubung ke instance Metasploid.




Metasploit Utilitie
Utilitas metasploit merupakan antarmuka langsung ke fitur tertentu dari framework yang dapat berguna dalam situasi tertentu, terutama dalam eksploitasu development
a.      MSFvenom
MSFvenom merupakan perintah yang menggantikan kombinasi msfpayload dan msfencode untuk merampingkan proses pengkodean ulang sebuah payload Metasploit.
·                Metasploid Payload, memungkinkan untuk membuat shellcode, executable, dan masih banyak lagi yang dapat digunakan untuk eksploitasi diluar Framework. Shellcode apat dihasilkan dalam berbagai format. Termasuk C, Ruby, JavaScript, dan bahkan Visual Basic for Applications.
·                Metasploit Ecode, shellcode yang dihasilkan dari metasploit payload sepenuhnya sudah berfungsi, tetapi masih mengandung beberapa karakter null. Dimana ketika dijalankan pogram, akan menandakan akhir dari string. Hal ini menyebabkan proses berakhir sebelum selesai. Disini shellcode akan melintasi jaringan dalam clartext, lalu akan diambil oleh intrusion detection system (IDS) dan software antivirus. Untuk mengatasi masalah ini Metasploit menarkan komponen encode. Yang akan membantu untuk menghindari bad character, menghindari anti-virus dan menghindari IDS dengan pengkodean payload. Metasploit menawarkan sejumlah encoders berbeda untuk situasi tertentu. Beberapa diantaranya akan berguna ketika harus menggunakan karakter alfanumerik sebagai muatannya. Seperti halnya dengan mengeksploitasu menggunakan format file atau aplikasi lain. Dimana hanya menerima karakter printable sebagai masukan. Untuk melihat opsi msfvenom, cukup mengetikkan ms


b.      Nams Shell

Utilitas nasm_shell.rb dapat berguna ketika mencba untuk memahami kode assembly. Terutama jika selama eksploitasi development, perlu mengidentifikasi opcodes (petunjuk assembly) untuk perintah assembly yang diberikkan. Contohnya, menjalankan tool dan menerima opcode untuk jmp esp command, lalu nams_shell memberitahu FFE4.
Tools yang termasuk dalam paket kerangka kerja metasploit
a.      msfconsole - Antarmuka utama Metasploit Framework
root@kali:~# msfconsole -h
Usage: msfconsole [options]

Common options
    -E, --environment ENVIRONMENT    The Rails environment. Will use RAIL_ENV environment variable if that is set.  Defaults to production if neither option not RAILS_ENV environment variable is set.

Database options
    -M, --migration-path DIRECTORY   Specify a directory containing additional DB migrations
    -n, --no-database                Disable database support
    -y, --yaml PATH                  Specify a YAML file containing database settings

Framework options
    -c FILE                          Load the specified configuration file
    -v, --version                    Show version

Module options
        --defer-module-loads         Defer module loading unless explicitly asked.
    -m, --module-path DIRECTORY      An additional module path


Console options:
    -a, --ask                        Ask before exiting Metasploit or accept 'exit -y'
    -H, --history-file FILE          Save command history to the specified file
    -L, --real-readline              Use the system Readline library instead of RbReadline
    -o, --output FILE                Output to the specified file
    -p, --plugin PLUGIN              Load a plugin on startup
    -q, --quiet                      Do not print the banner on startup
    -r, --resource FILE              Execute the specified resource file (- for stdin)
    -x, --execute-command COMMAND    Execute the specified string as console commands (use ; for multiples)
    -h, --help                       Show this message
msfd – Provides an instance of msfconsole that remote clients can connect to (Menyediakan sebuah instance dari msfconsole yang dapat dihubungkan oleh klien jarak jauh)
root@kali:~# msfd -h

Usage: msfd <options>

OPTIONS:

    -A <opt>  Specify list of hosts allowed to connect
    -D <opt>  Specify list of hosts not allowed to connect
    -a <opt>  Bind to this IP address instead of loopback
    -f        Run the daemon in the foreground
    -h        Help banner
    -p <opt>  Bind to this port instead of 55554
    -q        Do not print the banner on startup
    -s        Use SSL

msfdb – Manages the Metasploit Framework database (Mengatur database Metasploit Framework)
root@kali:~# msfdb

Manage a metasploit framework database

  msfdb init    # initialize the database
  msfdb reinit  # delete and reinitialize the database
  msfdb delete  # delete database and stop using it
  msfdb start   # start the database
  msfdb stop    # stop the database
msfrpc – Connects to an RPC instance of Metasploit (msfrpc - Menyambungkan ke contoh RPC Metasploit)
root@kali:~# msfrpc -h

Usage: msfrpc <options>

OPTIONS:

    -P <opt>  Specify the password to access msfrpcd
    -S        Disable SSL on the RPC socket
    -U <opt>  Specify the username to access msfrpcd
    -a <opt>  Connect to this IP address
    -h        Help banner
    -p <opt>  Connect to the specified port instead of 55553

msfrpcd – Provides an RPC interface to Metasploit (Menyediakan antarmuka RPC untuk Metasploit)
root@kali:~# msfrpcd -h

Usage: msfrpcd <options>

OPTIONS:

    -P <opt>  Specify the password to access msfrpcd
    -S        Disable SSL on the RPC socket
    -U <opt>  Specify the username to access msfrpcd
    -a <opt>  Bind to this IP address
    -f        Run the daemon in the foreground
    -h        Help banner
    -n        Disable database
    -p <opt>  Bind to this port instead of 55553
    -t <opt>  Token Timeout (default 300 seconds
    -u <opt>  URI for Web server

msfvenom – Standalone Metasploit payload generator (Generator muatan muatan standalone Metasploit)
root@kali:~# msfvenom -h
MsfVenom - a Metasploit standalone payload generator.
Also a replacement for msfpayload and msfencode.
Usage: /usr/bin/msfvenom [options] <var=val>

Options:
    -p, --payload       <payload>    Payload to use. Specify a '-' or stdin to use custom payloads
        --payload-options            List the payload's standard options
    -l, --list          [type]       List a module type. Options are: payloads, encoders, nops, all
    -n, --nopsled       <length>     Prepend a nopsled of [length] size on to the payload
    -f, --format        <format>     Output format (use --help-formats for a list)
        --help-formats               List available formats
    -e, --encoder       <encoder>    The encoder to use
    -a, --arch          <arch>       The architecture to use
        --platform      <platform>   The platform of the payload
        --help-platforms             List available platforms
    -s, --space         <length>     The maximum size of the resulting payload
        --encoder-space <length>     The maximum size of the encoded payload (defaults to the -s value)
    -b, --bad-chars     <list>       The list of characters to avoid example: '\x00\xff'
    -i, --iterations    <count>      The number of times to encode the payload
    -c, --add-code      <path>       Specify an additional win32 shellcode file to include
    -x, --template      <path>       Specify a custom executable file to use as a template
    -k, --keep                       Preserve the template behavior and inject the payload as a new thread
    -o, --out           <path>       Save the payload
    -v, --var-name      <name>       Specify a custom variable name to use for certain output formats
        --smallest                   Generate the smallest possible payload
    -h, --help                       Show this message

6.Petunjuk Penggunaan
Langkah-langkah dasar untuk exploit system menggunakan Framework meliputi:
-Memilih dan mengkonfigurasi exploit (kode yang memasuki sistem target dengan mengambil keuntungan dari salah satu bug tersebut; sekitar 900 eksploitasi yang berbeda untuk Windows, Unix / Linux dan Mac OS X ).
·                Opsional memeriksa apakah sistem target yang dimaksud rentan terhadap eksploitasi
·                Memilih dan mengkonfigurasi payload (kode yang akan dieksekusi pada sistem target jika berhasil masuk, misalnya, remote shell atau server VNC).
·                Memilih teknik pengkodean sehingga sistem intrusi pencegahan (IPS) mengabaikan payload dikodekan.
·                Mengeksekusi exploit.
·                Pendekatan modular ini memungkinkan kombinasi dari setiap yang exploit dengan payloads apapun -adalah keuntungan utama dari Framework. Hal ini memfasilitasi tugas penyerang, exploit writers dan payload writers.
Metasploit berjalan pada Unix (termasuk Linux dan Mac OS X) dan pada Windows. Metasploit Framework dapat diperpanjang untuk menggunakan add-ons dalam berbagai bahasa.
Untuk memilih exploit dan payload, beberapa informasi tentang sistem target diperlukan, seperti versi sistem operasi dan layanan jaringan yang terpasang. Informasi ini dapat diperoleh dengan port scanning dan OS fingerprinting tools seperti Nmap. Kerentanan scanner seperti NeXpose, Nessus, dan OpenVAS dapat mendeteksi kerentanan sistem target. Metasploit dapat mengimpor kerentanan data scanner dan membandingkan kerentanan yang diidentifikasi  exploit modul untuk exploit yang akurat.


Read more ...

Teknologi Informasi Auditing

TEKNOLOGI INFORMASI AUDITING


AUDIT TEKNOLOGI SISTEM INFORMASI

A.     Konsep Audit






Gambar di atas menunjukkan struktur pelaporan tim audit, dimana Direktur membawahi tim IT dan tim keuangan. Di dalam tim IT terdapat Manajer Audit IT dan tim IT Auditor, sedangkan dalam tim Keuangan terdapat Manajer Audit Keuangan dan tim auditornya. Tujuan dari audit itu sendiri ialah untuk mempromosikan sistem kontrol internal serta membantu dalam melakukan pengembangan suatu perusahaan dengan memberikan solusi yang tepat.
Dalam suatu perusahaan ada keterhubungan antara tim audit dan tim IT, setelah tim IT membuat atau mengembangkan suatu sistem maka tugas tim audit melakukan evaluasi serta membuat laporan mengenai hasil evaluasi tersebut. Hasil akhirnya ialah untuk memperbaiki keadaan pengendalian internal di dalam perusahaan. Pelaporan tersebut menyediakan mekanisme dimana isu-isu tersebut terungkap dan karenanya dapat menerima sumber daya dan perhatian yang diperlukan untuk memperbaikinya.
Misi departemen audit internal ada dua yaitu memberikan jaminan independen kepada komite audit (dan manajemen senior) bahwa pengendalian internal dilakukan di perusahaan dan berfungsi secara efektif serta ntuk memperbaiki keadaan pengendalian internal di perusahaan dengan mempromosikan kontrol internal dan dengan membantu perusahaan mengidentifikasi kelemahan pengendalian dan mengembangkan solusi hemat biaya untuk mengatasi kelemahan tersebut.
Dinyatakan dalam istilah yang paling sederhana, pengendalian internal adalah mekanisme yang menjamin berfungsinya proses di dalam perusahaan. Setiap sistem dan proses ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari risiko yang dapat mempengaruhi pencapaian tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko tersebut.

Konsultan dan Keterlibatan
Banyak auditor yang takut saat ditanya pendapat pra-implementasi. Bagaimana jika mereka memberi nasehat buruk? Kemudian mereka bertanggung jawab atas kegagalan pengendalian sebagai orang-orang IT yang menerapkan sistem ini. Tentunya lebih baik mengatakan apa-apa dan membiarkan orang IT "tenggelam atau berenang" dalam mengembangkan kontrol, bukan?
Auditor selalu bisa mengauditnya nanti dan memberi tahu mereka di mana mereka melalukan kesalahan. Auditor harus bersedia masuk ke dalam dan memberi masukan. Apakah Anda memberikan opini sebelum pelaksanaan atau setelahnya, Anda tetap harus memberikan masukan yang sama pada dasarnya.
Ketika harus bekerja dengan tim sebelum diimplementasikan, beberapa baris tidak boleh dilewati. Auditor tidak perlu takut untuk melakukan brainstorming dengan tim tentang bagaimana kontrol harus bekerja. Namun, ini seharusnya tidak termasuk menjalankan kontrol, menulis kode, atau mengkonfigurasi sistem. Anda tidak bisa mengendalikan dan mengauditnya sendiri, namun Anda merasa nyaman untuk memberikan masukan sebanyak mungkin mengenai seperti apa kontrol itu.
4 metode yang dipakai oleh konsultan :
Ø Keterlibatan di awal
Begitu Anda menciptakan sebuah sistem, mengujinya, dan menerapkannya, akan jauh lebih mahal untuk kembali dan mengubahnya daripada jika Anda melakukannya dengan benar untuk pertama kalinya. Artinya lebih baik kita mengikuti tahapan dari awal sehingga dapat melakukan pengontrolan dengan efektif, dan lebih mudah dalam melakukan pengecekan serta perbaikan.
Ø  Audit Informal
Katakan kepada orang-orang bahwa Anda mengaudit bahwa Anda tidak bermaksud untuk melacak isu-isu yang keluar dari tinjauan tetapi jika Anda menemukan masalah besar, Anda harus membuat pengecualian.
Ø  Berbagi Pengetahuan
Salah satu kendaraan komunikasi termudah adalah intranet perusahaan. Bagian audit internal harus memiliki situs web sendiri. Dimana terdapat pedoman pengendalian, isu umum, praktik terbaik, dan solusi inovatif serta alatnya.
Ø  Penilaian Diri
Terserah masing-masing departemen audit untuk menentukan apakah ingin menerapkan model self-assessment kontrol secara formal.



PERAN TIM AUDIT TI





 









Fasilitas pusat data Ini, cukup sederhana yaitu bangunan fisik dan pusat data yang menyimpan peralatan komputer yang menjadi tempat sistem yang bersangkutan berada. Jaringan, hal ini memungkinkan sistem dan pengguna lain berkomunikasi dengan sistem yang bersangkutan saat mereka tidak memiliki akses fisik terhadapnya. Lapisan, mencakup perangkat jaringan dasar seperti firewall, switch, dan router. System platform, menyediakan lingkungan operasi dasar dimana aplikasi tingkat yang lebih tinggi berjalan. Contohnya adalah sistem operasi seperti Unix, Linux, dan Windows.
Database, alat ini mengatur dan menyediakan akses ke data yang dijalankan oleh aplikasi akhir. Aplikasi, ini adalah aplikasi akhir yang sebenarnya dilihat dan diakses oleh pengguna akhir. Ini bisa berupa aplikasi perencanaan sumber daya perusahaan (enterprise) yang menyediakan fungsi bisnis dasar, aplikasi e-mail, atau sistem yang memungkinkan ruang konferensi dijadwalkan.

B.     Proses Audit






Tahap pertama lakukan perencanaan, studi lapangan dan dokumentasi, penemuan masalah dan validasi, pengembangan solusi, penyusunan laporan, dan yang terakhir melakukan pelacakkan masalah.

Kontrol Internal
Mekanisme yang memastikan bahwa suatu sistem internal berfungsi dengan baik dalam suatu perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk tujuan bisnis tertentu. Tim auditor harus menemukan atau mencari keberadaan suatu risiko dan memastikan pengendalian internal tersebut mampu mengatasi risiko yang terjadi.

Jenis Pengendalian Internal
Ø  Kontrol Pencegahan
Pemeriksaan preventif menghentikan terjadinya kejadian yang tidak diinginkan. Misalnya, nama pengguna memerlukan kata sandi untuk mengakses sistem adalah pemeriksaan preventif. Ini mencegah (teoritis) orang yang tidak berwenang dari akses ke sistem. Dari sudut pandang teoritis, preventif kontrol selalu merupakan alasan yang jelas. Namun ingat bahwa kontrol preventif tidak selalu menjadi biaya yang paling efektif bahkan jenis kontrol lainnya bisa lebih bermanfaat dari sudut pandang manfaat biaya.
Ø  Kontrol Pendeteksi
Kontrol pendeteksi dirancang untuk mendeteksi kesalahan dan penyimpangan yang telah terjadi. Kontrol ini merupakan biaya operasi yang terus-menerus dan sering kali mahal, tapi perlu. Kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat mengindetifikasikan suatu kesalahan dengan cepat.
Ø  Kontrol Recovery
Membantu mengurangi pengaruh dari suatu event yang hilang melalui prosedur recovery data atau mengembalikan data yang hilang melalui prosedur recovery data. Misalnya, memperbaiki data yang terkena virus.
Ø  Kontrol Detterent
Digunakan untuk merujuk kepada suatu kepatuhan (compliance) dengan peraturan-peraturan external maupun regulasi-regulasi yang ada.





Tahap Audit
ü  Tahap Pemeriksaan pendahuluan
Sebelum auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang dilakukan). Setelah itu, analisis resiko audit merupakan bagian yang penting dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh aplikasi tersebut. Pada tahap ini pula auditor dapat memutuskan apakah audit diteruskan atau mengundurkan diri dari penugasan audit.
ü  Tahap Pemeriksaan Rinci
Pada tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat terpercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi dasar bagi auditor dalam menentukan langkah selanjutnya.
ü  Tahap Pengujian Kesesuaian
Dalam tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi Informasi yang digunakan berada dalam file data yang biasanya harus diambil menggunakaan software CAATTs(Computer Assisted Audit Tools and Techniques). Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui integritas dan kehandalan data itu sendiri.
ü  Tahap Pengujian Kebenaran Bukti
Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten. Pada tahap ini, pengujian yang dilakukan adalah (Davis at,all. 1981) :
1.    Mengidentifikasi kesalahan dalam pemrosesan data
2.    Menilai kualitas data
3.    Mengidentifikasi ketidakkonsistenan data
4.    Membandingkan data dengan perhitungan fisik
5.    Konfirmasi data dengan sumber-sumber dari luar perusahaan.
ü     Tahap Penilaian Secara Umum
Pada tahap ini auditor telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatannya dalam laporan auditan.
Auditor harus mengintergrasikan hasil proses dalam pendekatan audit yang diterapkan audit. Audit meliputi struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : Pengendalian umum dan Pengendalian aplikasi, yang terdiri dari : Pengendalian secara manual, Pengendalian terhadap output sistem informasi , dan Pengendalian yang sudah diprogram.

C.     Teknik Audit
Auditing Web Servers and Web Auditing
Beberapa penemuan teknologi telah mengubah hidup kita sebanyak-atau secepat-seperti web aplikasi. Antarmuka web telah berkembang dari halaman statis menjadi sangat interaktif perpaduan kemampuan yang digerakkan oleh para pemrogram kreatif. Pada akhir 1980an, konsep World Wide Web memulai permulaannya yang sederhana dengan Tim Berners-Lee dan
Robert Caillieau. Pada tahun 1991, server web pertama dipasang di Amerika Serikat berkomunikasi dengan komputer NeXT di Swiss. Pesatnya perkembangan Internet secara luas dikaitkan dengan kebutuhan berbagi informasi yang akan mempercepat pengembangan di seluruh departemen penelitian ilmiah. Nantinya, perkembangan dan pertumbuhan didorong oleh peluang bisnis. Pengusaha segera menemukan model bisnis baru di Internet dan mampu mengambil keuntungan dari kebutuhan masyarakat untuk mengirim dan menerima informasi dan multimedia secara instan.

Esensi dari Web Auditing
Laporan Insiden Data Pelanggaran Data Verizon 2010 mengidentifikasi web sebagai yang paling umum dari vektor serangan untuk pelanggaran perusahaan yang sukses, terhitung 54 persen dari keseluruhan serangan. Serangan web ini selanjutnya menyumbang 92 persen dari semua rekaman yang dikompromikan di semua kategori serangan, web server menjadi target umum. Bahkan sering mengandung rahasia perusahaan, informasi pribadi, atau pemegang kartu data.
Ingat bahwa audit, sebanyak yang ingin kita percayai sebaliknya, bukanlah sebuah sains yang tepat, dan audit server web adalah salah satu area di mana hal ini terlihat. Audit prosedur mencoba menggunakan subset dari alat dan teknologi yang ada untuk mengidentifikasi risiko umum dalam sistem atau proses di sekitar sistem. Ada puluhan alat dan sumber daya tersedia untuk membantu Anda dalam melakukan audit yang lebih kuat dari aplikasi spesifik anda. Sebagai kata peringatan terakhir, langkah-langkah berikut harus dianggap sebagai titik awal untuk audit. Alat pengujian penetrasi aplikasi web harus digunakan bersamaan dengan pelatihan yang tepat Kontrol berlapis tambahan, seperti Web Application Firewall (WAF), sangat dianjurkan

Satu Audit dengan Beberapa Komponen
Audit web yang lengkap benar-benar merupakan audit terhadap tiga komponen utama, termasuk sistem operasi server, server web, dan aplikasi web. Ketiga komponen ini adalah yang ditunjukkan pada Tabel 8-1. Komponen tambahan seperti database pendukung atau yang relevan infrastruktur jaringan mungkin juga tepat untuk dipertimbangkan sebagai bagian dari audit. Komponen pertama yang kita bahas adalah platform yang mendasari atau sistem operasi
yang server web dan aplikasi yang diinstal dan beroperasi. Berikutnya adalah server web itu sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan untuk meng-host web aplikasi. Akhirnya, kami meliput audit aplikasi web. Aplikasi web untuk tujuan kami mencakup kerangka kerja pengembangan terkait seperti ASP.NET, Java, Python, atau PHP dan sistem manajemen konten yang sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
            Kesulitan utama dalam meninjau aplikasi web ada hubungannya dengan jumlah komponen interaksi yang mungkin ada yang ada dalam kerangka situs web. Volume bisa ditulis tentang setiap web server dan framework aplikasi web dikeberadaan dan pengaturan individu untuk masing-masing. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi web,
mempersulit proses audit. Namun, beberapa alat dan metode juga tersedia.
Langkah-langkah berikut ini mencakup alat bantu dan metode :
 



Langkah Uji untuk Mengaudit Host Sistem operasi
                 Audit sistem operasi host harus dilakukan bersamaan dengan audit web server dan aplikasi web.
Langkah Uji untuk Mengaudit Server Web
                
Setiap langkah mungkin atau mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk melakukannya.
- Pastikan server web berjalan pada sistem khusus dan tidak bersamaan dengan aplikasi kritis lainnya. Host web yang disusupi memungkinkan penyerang untuk mengkompromikan aplikasi lain server web. Anda harus menggunakan mesin khusus untuk server web Anda. Sebagai contoh, Anda tidak akan pernah ingin menginstal server web Anda pada kontroler domain.
- Pastikan server web telah sepenuhnya ditambal dan diperbarui kode terbaru yang disetujui
Kegagalan untuk menjalankan sistem yang cukup ditambal subjek web server untuk risiko yang tidak perlu kompromi dari kerentanan yang mungkin telah ditambal dengan kode yang diperbarui rilis.
- Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu dihapus atau dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di bawah akun yang paling tidak istimewa. Layanan, modul, objek, dan API yang tidak perlu menghadirkan area permukaan serangan tambahan, menghasilkan lebih banyak kesempatan bagi penyerang dan malware jahat.
- Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk mengakses server web.
Meminimalkan jumlah protokol dan port yang diizinkan untuk mengakses server web mengurangi jumlah vektor serangan yang tersedia untuk kompromi server.
- Pastikan akun yang memungkinkan akses ke server web tersebut dikelola dengan tepat dan dengan password yang kuat. Akun yang tidak dikelola dengan benar atau yang digunakan dapat memberikan akses mudah ke web server, melewati kontrol keamanan tambahan lainnya yang mencegah serangan berbahaya. Ini adalah langkah besar dengan cakupan yang luas, meliputi kontrol seputar penggunaan akun dan pengelolaan.
- Pastikan kontrol yang sesuai ada untuk file, direktori, dan direktori virtual. Kontrol yang tidak tepat untuk file dan direktori yang digunakan oleh server web dan sistem umumnya memungkinkan penyerang mengakses lebih banyak informasi dan peralatan daripada yang seharusnya tersedia. Misalnya, utilitas administrasi jarak jauh meningkatkan kemungkinan server web kompromi.

- Pastikan server web mengaktifkan logging yang sesuai dan diamankan. Membukukan peristiwa auditable membantu administrator untuk memecahkan masalah. Penebangan juga memungkinkan tim respon insiden untuk mengumpulkan data forensik.
- Pastikan ekstensi skrip dipetakan dengan tepat. Script mungkin memungkinkan penyerang untuk mengeksekusi kode pilihannya, berpotensi mengorbankan server web.
- Verifikasi keabsahan dan penggunaan sertifikat server yang digunakan. Sertifikat sisi server memungkinkan klien mempercayai identitas server web Anda atau bahwa web Anda
server adalah siapa yang Anda katakan seharusnya server Anda. Sertifikat lama atau yang dicabut menyarankan bahwa situs web Anda mungkin atau mungkin tidak berlaku bagi pengguna akhir.
Langkah Uji untuk Mengaudit Aplikasi Web
Bagian ini merupakan pendekatan terhadap audit aplikasi yang ditunjukkan oleh Open Proyek Keamanan Aplikasi Web (OWASP) Top 10. Menurut situsnya, OWASP "didedikasikan untuk memungkinkan organisasi berkembang, membeli, dan memelihara aplikasi yang bisa dipercaya. "OWASP mempertahankan yang luar biasa jumlah informasi yang dapat membantu Anda mengembangkan program audit untuk Anda. Aplikasi web OWASP Top Ten dianggap sebagai seperangkat standard minimum yang ditinjau selama audit.
                 Desain aplikasi web Anda mungkin memerlukan pengujian tambahan termasuk parsial atau review kode penuh, pengujian penetrasi pihak ketiga, pemindai komersial, atau open source. Masing-masing dapat menawarkan beberapa jaminan tambahan bahwa aplikasi Anda dirancang dan dikonfigurasi dengan benar. Pertimbangkan nilai bisnis dari aplikasi web dan investasikan sumber daya yang sesuai untuk memastikan aplikasi Anda aman. Tambahan panduan tentang cara efektif menemukan kerentanan dalam aplikasi web disediakan dalam Panduan Pengujian OWASP dan Panduan Review Kode OWASP yang terdapat di www.owasp.org.
                 Desain aplikasi mendorong pentingnya langkah-langkah berikut. Kita asumsikan itu interaksi terjadi antara server web dan pengguna. Interaksi ini bisa terjadi dari login ke aplikasi atau melayani data yang diminta pengguna.
Pastikan Aplikasi Web Terlindungi dari Serangan Injeksi
Serangan injeksi memungkinkan klien web melewatkan data melalui server web dan keluar sistem lain. Sebagai contoh, dalam serangan injeksi SQL, kode SQL dilewatkan melalui antarmuka web, dan database diminta untuk melakukan fungsi di luar batas otorisasi. Beberapa situs telah membekap kartu kredit dan kartu Jaminan Sosial informasi kepada hacker yang telah memanfaatkan serangan injeksi. Gagal menyadari kekuatan serangan injeksi dan untuk meninjau ulang sistem Anda kemungkinan dieksploitasi sehingga dapat mengakibatkan hilangnya informasi kritis dan sensitif.
Tinjaulah situs web untuk kerentanan cross-site-scripting.
Cross-site scripting (XSS) memungkinkan aplikasi web untuk mengangkut serangan dari satu pengguna ke browser pengguna akhir lainnya. Serangan yang berhasil bisa mengungkapkan ujung kedua token sesi pengguna, menyerang mesin lokal, atau konten spoof untuk menipu pengguna. Serangan meliputi pengungkapan file pengguna akhir, menginstal program kuda Trojan, mengalihkan pengguna ke beberapa halaman atau situs lain, dan memodifikasi presentasi konten.

Tinjau Ulang Aplikasi untuk Otentikasi dan Sesi yang Rusak karena Kerentanan Manajemen
Kredensial akun dan token sesi harus dilindungi. Penyerang yang bisa berkompromi kata sandi, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi.
Verifikasi Referensi dan Otorisasi Objek yang Tepat Kontrol
Aplikasi web dapat menggunakan nama sebenarnya atau kunci database sebagai referensi ke objek dalam aplikasi web atau database yang mengandung informasi sensitif atau akses. Praktiknya adalah menggunakan referensi tidak langsung ke objek. Setelah pengguna diautentikasi ke web server, server web menentukan jenis akses yang harus dimiliki pengguna dan untuk apa bagian dari situs web pengguna harus memiliki akses. Gagal menerapkan kontrol akses (otorisasi) untuk setiap referensi objek langsung memungkinkan penyerang untuk keluar dari batas yang berwenang, mengakses data pengguna lain atau administrasi yang tidak berwenang. Secara khusus, penyerang tidak boleh mengubah parameter yang digunakan selama ini sesi pengguna resmi untuk mengakses data pengguna lain. Klien proxy dan alat lainnya memungkinkan penyerang untuk melihat dan mengubah data selama sesi berlangsung.
Verifikasi bahwa kontrol tersedia untuk mencegah Permintaan Lintas Situs Forgery (CSRF atau XSRF).
Permintaan penggelapan, permintaan penganiayaan, mengeksploitasi kepercayaan yang dimiliki situs web untuk diautentikasi oleh pengguna. Penyerang mengeksploitasi kepercayaan ini dengan mengirimkan gambar yang tertanam, skrip, elemen iframe, atau metode lain untuk memanggil perintah yang dijalankan di server web saat Anda login dengan kredensial anda. Membuat keadaan menjadi lebih buruk bagi pengguna, jenis serangan ini berasal dari alamat IP pengguna, dan semua data log akan muncul seolah-olah pengguna memasukkannya. Server web harus memvalidasi sumber permintaan web untuk memperkecil risikonya. Penyerang mencoba membuat permintaan web jahat yang otentik yang berasal dari sumber di luar kendali aplikasi web. Berikut adalah contoh bagaimana tipe ini serangan mungkin terlihat sebagai permintaan gambar:
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
Tinjau Kembali Kontrol Seputar Konfigurasi yang Aman
Ini menangkap semua yang membahas manajemen konfigurasi, konsep menyeluruh tentang menjaga konfigurasi aman dari server web. Subjek konfigurasi server web mengalami penyimpangan dalam teknologi atau proses yang mempengaruhi keamanan platform web dan aplikasi web.
Pastikan Mekanisme Penyimpanan Kriptografi Aman Digunakan dengan Benar
Aplikasi web sering ingin mengaburkan atau mengenkripsi data untuk melindungi data sensitif dan kredensial. Tantangannya adalah bahwa ada dua bagian untuk skema enkripsi yaitu hitam kotak yang melakukan sihir dan penerapan kotak hitam ke web anda aplikasi. Komponen ini sulit untuk kode dengan benar, sering mengakibatkan kelemahan pada  perlindungan


Verifikasi bahwa Kontrol yang Tepat tersedia untuk Membatasi Pemfilteran URL
Kontrol ini menerapkan akses berbasis peran ke area yang dilindungi dan sensitif di web aplikasi Anda. Pembatasan yang hilang atau tidak dikonfigurasi dengan benar ke URL memungkinkan penyerang untuk mengubah URL untuk mengakses halaman pribadi atau hak istimewa. Penyaringan yang tepat memastikan bahwa hanya pengguna terotentikasi yang memiliki akses ke setiap halaman yang dibatasi penggunaannya. Seorang penyerang, yang mungkin pengguna sistem yang berwenang, seharusnya tidak dapat mengubah URL untuk melihat informasi di luar perannya.
Evaluasi Mekanisme Perlindungan Lapisan Transport (jaringan enkripsi lalu lintas) untuk Melindungi Informasi Sensitif.
Percakapan pribadi bersifat pribadi hanya jika tidak ada orang lain yang bisa mendengarkannya. Sampai dienkripsi jaringan menjadi standar, protokol teks jernih harus dihilangkan jika memungkinkan. Meskipun peralatan yang lebih baru dan administrator jaringan yang cerdas dapat membantu mengurangi risiko penyadapan lalu lintas jaringan, risiko nyata untuk menangkap lalu lintas itu masih ada, terutama pada domain VLAN atau broadcast yang sama. Protokol tertentu seperti HTTP, FTP, dan Telnet mentransmisikan semua informasi dalam teks mentah, termasuk ID pengguna dan kata sandi yang diminta. Ini bisa memungkinkan seseorang untuk melakukannya dapatkan informasi ini dengan menguping jaringan. Komunikasi teks jelas. Secara umum harus diminimalisir jika memungkinkan dan hanya protokol yang aman saja diizinkan untuk halaman pribadi.
Tinjau Pengalihan Aplikasi Web dan Memverifikasi itu hanya URL yang valid yang dapat Diakses
Dengan menggunakan redirect yang tidak terkontrol, penyerang mungkin bisa mengarahkan pengguna ke penyerang situs web menggunakan URL yang terlihat seolah-olah berasal dari domain Anda. Ini lebih diutamakan metode untuk penipuan phishing agar permintaan muncul sah dengan menggunakan organisasi yang diserang alamat di bagian pertama URL yang dibuat. Ini terkadang digunakan bersama dengan layanan pemendek URL untuk situs target untuk mengaburkan yang jahat. Maksud dari URL
http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa itu jika tidak bisa diakses jika kontrol otorisasi tambahan diterapkan salah.

http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
Pastikan Semua Masukan sudah Divalidasi sebelum Digunakan oleh Server Web
Informasi harus divalidasi sebelum digunakan oleh aplikasi web. Gagal memvalidasi permintaan web mengarahkan server web untuk meningkatkan risiko dari penyerang yang berusaha melakukannya memanipulasi data masukan untuk menghasilkan hasil yang berbahaya.
Evaluasi Penggunaan Penanganan Kesalahan yang Tepat
Kondisi kesalahan yang tidak terkontrol dengan benar memungkinkan penyerang mendapatkan informasi sistem terperinci, menolak layanan, menyebabkan mekanisme keamanan gagal, atau merusak server.

Alat dan Teknologi
Ada beberapa alasan mengapa produk otomatis gagal untuk mengaudit secara menyeluruh kemungkinan komponen server web Anda, tapi bukan berarti produk ini seharusnya diabaikan. Review kode sebenarnya bisa berjalan sangat cepat untuk coders berpengalaman, tapi ini tergantung pada banyak variabel. Misalnya, bagaimana berpengalaman adalah coder? Seberapa baik apakah reviewer mengerti aplikasi web? Seberapa baik resensi itu mengerti konstruksi dari bahasa pemrograman yang digunakan untuk aplikasi? Bagaimana kompleks adalah aplikasi? Apa antarmuka eksternal yang ada, dan seberapa baik resensi memahami antarmuka eksternal ini? Jika Anda tinggal dan bermain di dunia ini, ulasan kode mungkin mudah bagi Anda. Jika Anda tinggal dan bermain di banyak dunia, Anda mungkin ingin mempertimbangkan untuk menambah pencarian Anda dengan alat otomatis, terutama jika Anda tidak punya anggaran untuk mendapatkan bantuan yang Anda tahu itu Anda perlu. Bagian dari perbedaan antara insinyur yang baik dan insinyur hebat adalah akal. Hanya karena Anda tidak punya uang tidak berarti Anda tidak bisa memanfaatkannya alat dan komunitas di sekitar Anda.
Dasar pengetahuan
Di bawah ini Anda akan menemukan sumber tambahan di mana Anda dapat memperoleh informasi tentang web, lingkungan aplikasi, dan kontrol terkait. Banyak vendor mempertahankan yang luar biasa jumlah informasi di situs mereka untuk konsumsi umum. Selain itu, komunitas penggemar dan forum sosial yang membantu terus berkembang.
D.     Regulasi Audit
National Security Agency (NSA) INFOSEC Assessment Methodology
Metodologi Penilaian InFOSEC Security Agency Nasional (NSA IAM) dikembangkan oleh Badan Keamanan Nasional A.S. dan dimasukkan ke dalam Pelatihan INFOSEC-nya dan Program Penilaian (IATRP) pada awal tahun 2002. Meskipun program dan dukungan IATRP NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan dan sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang menyediakannya NSA IAM dan pelatihan IEM untuk NSA.
Konsep Metodologi Penilaian NSA INFOSEC
NSA IAM adalah metodologi penilaian keamanan informasi yang mendasari penilaian kegiatan yang memecahkan penilaian keamanan informasi menjadi tiga tahap yaitu pra-penilaian, kegiatan di tempat, dan pasca penilaian. Masing-masing fase ini berisi wajib kegiatan untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk dicatat, namun penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA dirilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.
Tahap Pra-Penilaian
Tujuan tahap pra-penilaian adalah untuk menentukan kebutuhan pelanggan, mengatur lingkup penilaian dan menentukan batas penilaian, mendapatkan pemahaman tentang kekritisan informasi pelanggan, dan membuat rencana penilaian. NSA IAM mengukur kekritisan informasi organisasi dan kekhasan informasi sistem. Informasi organisasi terdiri dari informasi yang dibutuhkan untuk melakukan mayor fungsi bisnis Informasi sistem kemudian diidentifikasi dengan menganalisa informasi yang diproses oleh sistem yang mendukung fungsi bisnis utama.
NSA IAM menyediakan matriks yang digunakan untuk menganalisis kekritisan informasi. Matriks dibuat untuk setiap fungsi organisasi / bisnis dan setiap sistem yang mendukung organisasi. Sumbu vertikal terdiri dari jenis informasi, sedangkan sumbu horisontal mencakup kolom untuk kerahasiaan, integritas, dan ketersediaan. Informasi nilai dampak kritis diberikan untuk setiap sel. Tabel 16-1 adalah contoh dari matriks kekritisan informasi organisasi sumber daya manusia.
 


E.     Standard dan Kerangka Kerja Audit
Standard auditing merupakan pedoman audit atas laporan keuangan historis. Standar auditing terdiri atas sepuluh standard yg dirinci dalam bentuk Standar Perikatan Audit (SPA). SPA berisi ketentuan-ketentuan dan pedoman utama yang harus diikuti oleh Akuntan Publik dalam melaksanakan penugasan audit. Kepatuhan terhadap SPA yang diterbitkan oleh IAPI ini bersifat wajib bagi seluruh anggota IAPI. Termasuk di dalam SPA adalah Interpretasi Standar Perikatan Audit (ISPA), yang merupakan interpretasi resmi yang dikeluarkan oleh IAPI terhadap ketentuan-ketentuan yang diterbitkan oleh IAPI dalam SPA. Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006 pada tanggal 25 Februari 2006 pukul 11.00 WIB bertempat di Jakarta. Standar ini mulai berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut.
Ada 10 standar yang ditetapkan dan disahkan oleh Institut Akuntan Publik Indonesia (IAPI), yang terdiri dari standar umum, standar pekerjaan lapangan, dan standar pelaporan beserta interpretasinya.
Standard Umum
1.    Audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan teknis yang cukup sebagai auditor.
2.    Dalam semua hal yang berhubungan dengan perikatan, independensi dalam sikap mental harus dipertahankan oleh auditor.
3.    Dalam pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat dan saksama.
Standard Pekerjaan Lapangan
1.    Pekerjaan harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi dengan semestinya.
2.    Pemahaman memadai atas pengendalian intern harus diperoleh unutk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan.
3.    Bukti audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan, permintaan keterangan, dan konfirmasi sebagai dasar memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
Standard Pelaporan
1.    Laporan auditor harus menyatakan apakah laporan keuangan telah disusun sesuai dengan prinsip akuntansi yang berlaku umum di Indonesia.
2.    Laporan auditor harus menunjukkan atau menyatakan, jika ada, ketidakkonsistenan penerapan prinsip akuntansi dalam penyusunan laporan keuangan periode berjalan dibandingkan dengan penerapan prinsip akuntansi tersebut dalam periode sebelumnya.
3.    Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan lain dalam laporan auditor.
4.    Laporan auditor harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam hal nama auditor dikaitkan dengan laporan keuangan, maka laporan auditor harus memuat petunjuk yang jelas mengenai sifat pekerjaan audit yang dilaksanakan, jika ada, dan tingkat tanggung jawab yang dipikul oleh auditor.
Contoh Kerangka Kerja


F.     Manajemen Risiko
Dalam manajemen risiko, ada beberapa manfaat yang diperoleh. Potensi pengelolaan risiko TI masih dirahasiakan, dari beberapa tahun yang lalu, banyak organisasi telah meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki pandangan perwakilan tentang eksposur TI organisasi, ia dapat melakukannya dengan mengarahkan sumber daya yang tepat untuk mengurangi area risiko tertinggi daripada pengeluaran sumber daya langka di daerah yang memberikan sedikit atau tidak ada pengembalian investasi (ROI). Hasilnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dikeluarkan.
Manajemen Risiko dari Perspektif Eksekutif
Bisnis adalah semua tentang risiko (risk) dan penghargaan (reward). Eksekutif diharuskan menimbang manfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup mahir dalam mengukur risiko melalui analisis ROI, indikator kinerja utama, dan segudang alat analisis keuangan dan operasional lainnya.
Mengatasi Risiko
Risiko dapat diatasi dengan tiga cara yaitu menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya itu metode sepenuhnya tergantung pada nilai finansial dari risiko versus investasi diperlukan untuk menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak ketiga. Sebagai tambahannya, kontrol preskriptif, peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian yang wajar untuk mengurangi risiko ke tingkat yang dapat diterima.
Penerimaan Risiko
Nilai finansial suatu risiko seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini, pilihan yang paling masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk menerima risiko, itu harus menunjukkan bahwa risiko memang dinilai dan mendokumentasikan alasan di balik keputusan tersebut.

Mitigasi Risiko
Bila risiko memiliki nilai keuangan yang signifikan, seringkali lebih tepat untuk mengurangi risiko daripada menerimanya. Dengan sedikit pengecualian, biaya pelaksanaan dan pemeliharaan kontrol harus kurang dari nilai moneter dari risiko yang dikurangi.
Transfer Risiko
Industri asuransi didasarkan pada transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem outage. Ini penting untuk diperhatikan bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan kebijakan tersebut kepada pemegang untuk menerapkan kontrol tertentu. Gagal mematuhi persyaratan kontrol dapat membatalkan kebijakan.
Kuantitatif dan Kualitatif Analisis Risiko
Risiko dapat dianalisis dengan dua cara yaitu kuantitatif dan kualitatif. Seperti hal lainnya,
masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif lebih banyak
obyektif dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa lebih mudah membenarkan, juga lebih menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pada pandangan berlapis risiko, tapi bisa lebih subjektif dan karena itu sulit untuk dibuktikan.
            Organisasi dengan program manajemen risiko yang lebih sukses cenderung mengandalkan
lebih banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan kuantitatif pada teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
l  Analisis Risiko Kuantitatif
Dengan sedikit pengecualian, apakah terkait dengan sumber keuangan, fisik, atau teknologi,
berbagai jenis risiko dapat dihitung dengan menggunakan rumus universal yang sama. Resiko bisa didefinisikan dengan perhitungan sebagai berikut:
Risk = asset value × threat × vulnerability



Unsur Risiko
Seperti yang dapat Anda lihat dalam persamaan di atas, risiko terdiri dari tiga unsur yaitu nilai aset, ancaman, dan kerentanan. Memperkirakan unsur-unsur ini dengan benar sangat penting untuk menilai risiko secara akurat.
Aset
Biasanya diwakili sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang layak untuk dilakukan sebuah organisasi yang dapat dirusak, dikompromikan, atau dimusnahkan secara kebetulan atau tidak dengan tindakan yang disengaja. Kenyataannya, nilai aset jarang menjadi biaya pengganti yang sederhana. Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan mempertimbangkan biaya bottom line komprominya.           Misalnya, pelanggaran informasi pribadi. Mungkin tidak menyebabkan kerugian moneter sekilas, tapi kalau itu benar-benar disadari, kemungkinan akan menghasilkan tindakan hukum, merusak reputasi perusahaan, dan peraturan denda. Konsekuensi ini berpotensi menimbulkan kerugian finansial yang signifikan. Di kasus ini, bagian nilai aset dari persamaan tersebut akan mewakili informasi pribadi. Nilai yang dihitung dari informasi pribadi akan mencakup perkiraan biaya kumulatif dolar dari tindakan hukum, kerusakan reputasi, dan hukuman peraturan.
Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang jika disadari, akan menyebabkan hal yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tapi seringkali menghasilkan kerugian dalam hal keuangan. Ancaman digeneralisasi sebagai persentase, namun dua faktor berperan dalam tingkat keparahannya dari ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor pemaparan digunakan untuk mewakili tingkat kerugian. Ini hanyalah perkiraan persentase kerugian aset jika ancaman terwujud.
Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita bisa menghitung defisiensi kontrol (CD) dengan mengurangkan efektivitas dari kontrol sebesar 1 atau 100 persen. Misalnya, kita bisa menentukan industri kita pengawasan spionase 70 persen efektif, jadi 100 persen - 70 persen = 30 persen (CD). Kerentanan ini akan diwakili 30 persen, atau 0,3.
l  Analisis Risiko Kualitatif
Berbeda dengan pendekatan kuantitatif terhadap analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi terhadap risiko perusahaan. Dimana metode kuantitatif terpusat pada rumus, analisis risiko kualitatif akan fokus pada nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risikonya.
            Seperti yang disebutkan sebelumnya, pendekatan kualitatif dan kuantitatif melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka di metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk mitigasi risiko investasi.


Siklus Hidup Manajemen Risiko IT

Seperti kebanyakan metodologi, manajemen risiko, bila diterapkan dengan benar, mengambil alih karakteristik siklus hidup (Gambar 18-1). Hal ini dapat dibagi menjadi beberapa fase, dimulai dengan identifikasi aset informasi dan berpuncak pada manajemen risiko residual.






Tahap 1 : Identifikasi Aset Informasi
Tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi
aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas :
• Tentukan nilai kekritisan informasi.
• Mengidentifikasi fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset informasi.
• Tetapkan nilai kekritisan pada aset informasi.
Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan Misalnya, kami dapat mengidentifikasi informasi kartu kredit sebagai aset informasi yang diproses oleh sistem ritel kita. Aset informasi ini diatur dengan standard keamanan data Industri Kartu Pembayaran (PCI Card) dan sangat berharga jika diungkapkan dengan cara yang tidak sah. Kita juga tahu bahwa jika diubah, informasi ini tidak ada gunanya bagi kita, tapi pada sebagian besar kasus, sementara kehilangan akses terhadap informasi ini bisa ditoleransi. Akibatnya, kami akan menetapkan nilai informasi kartu kredit yang tinggi baik kerahasiaan maupun integritas dan media untuk ketersediaan.

            Cara terbaik untuk mengidentifikasi aset informasi adalah dengan mengambil pendekatan dari atas ke bawah dengan fungsi organisasi, mengidentifikasi proses yang mendukung bisnis tersebut, dan pengeboran ke aset informasi yang diproses oleh sistem yang mendukung setiap fungsi bisnis. Gambar 18-2 menunjukkan pendekatan terhadap informasi ini identifikasi aset menggunakan dekomposisi fungsi bisnis.



Tahap 2 : Mengukur dan Mengklaim Ancaman
Ancaman informasi berdampak pada organisasi melalui loyalitas merk yang berkurang, sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Saat ancaman direalisasikan, biaya ini sering kali tidak diketahui karena tidak diidentifikasi dengan benar. Misalnya, katakanlah organisasi kita diserang oleh worm jahat yang menyebabkan A kehilangan kapasitas pemrosesan sementara dan beberapa ratus jam waktu pemulihan. Biaya tersebut dapat dihitung dengan menghitung jam yang diperlukan untuk pemulihan dan estimasi kerugian yang terkait dengan penundaan pemrosesan. Namun, perlu pertimbangan lain. Ditimbang juga: Apakah reputasi perusahaan telah terpengaruh karena memang begitu tidak bisa melayani pelanggan? Apakah ada penjualan yang hilang? Apakah beberapa karyawan tidak mampu bekerja? Apa paparan hukum organisasi karena pelanggaran keamanan? Seperti kamu dapat melihat, mengidentifikasi semua area dalam organisasi yang mungkin terkena dampak yang memerlukan A cukup banyak pemikiran. Oleh karena itu, kami akan membantu memecah proses analisa ancaman ini dengan langkah selanjutnya dalam siklus hidup manajemen risiko yaitu untuk mengukur dan memenuhi syarat ancaman.

            Kami juga akan mengambil pendekatan top-down saat kami mengidentifikasi ancaman, dimulai dengan ancaman bisnis dan beralih ke ancaman teknis yang dapat menyebabkan teridentifikasi ancaman bisnis.
Tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut :
• Menilai ancaman bisnis.
• Mengidentifikasi ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan kemungkinan ancaman.
• Mengevaluasi arus proses untuk kelemahan.
• Identifikasi ancaman komponen-komponen.

Tahap 3 : Kaji Kerentanan
Kami sekarang telah mengidentifikasi aset informasi dan ancaman terhadap setiap aset. Didalam fase ini, kita akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi. Saat menilai kerentanan, di sisi lain common denominator adalah informasinya proses. Pertama-tama kita akan mengidentifikasi kerentanan komponen-komponen dan kemudian menggabungkannya
untuk menentukan kerentanan proses kita. Proses kerentanan kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis. Alih-alih bekerja dari atas ke bawah (dari fungsi bisnis hingga komponen proses), kita akan bekerja dari bawah ke atas dalam menilai kerentanan. Kita akan menggunakan berikut langkah-langkah dalam menganalisis kerentanan :
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan gap kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Kategorikan kesenjangan kontrol dengan tingkat keparahan.
5. Tetapkan peringkat risiko.
Tahap 4 : Remediasi Kontrol Kesenjangan
Pada titik ini, risiko kita harus dikategorikan tinggi, menengah, atau rendah. Awalnya, kita akan fokus pada mitigasi risiko paling parah, karena kemungkinan besar kita akan melihat yang tertinggi. Intinya, kita bisa mengurangi lebih banyak risiko dengan sedikit uang. Kita akan menggunakan langkah-langkah berikut dalam remediasi kesenjangan :
1. Pilih kontrol.
2. Melaksanakan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko
.
Tahap 5 : Mengelola Sisa Risiko
Risiko bersifat inheren dinamis, terutama komponen ancaman risiko. Kita perlu mengukur risiko secara terus menerus dan berinvestasi pada kontrol baru untuk meresponsnya ancaman yang muncul. Fase ini terdiri dari dua tahap :
1. Buat garis dasar risiko
2. Menilai kembali risiko

Membuat Garis Dasar Risiko
            Karena kita sekarang memiliki peringkat risiko yang dihitung ulang, kita dapat menggabungkannya untuk menciptakan garis dasar risiko. Kami akan menggunakan dasar ini untuk mengukur perubahan dalam postur risiko dan identifikasi kami. Dasar risiko harus mencakup keseluruhan fungsi organisasi, fungsi bisnis dan penilaian risiko, serta narasi yang menjelaskan alasan yang digunakan dalam keputusan untuk menerapkan kontrol atau menerima resiko.


            Menilai Kembali Resiko
            Setelah proses selesai, kita perlu merencanakan untuk menilai kembali risiko secara berkala. Karena, sifat TI yang selalu berubah, organisasi harus menyelesaikan pengelolaan risiko siklus hidup minimal satu kali per tahun. Namun, penilaian risiko harus dipicu dengan kejadian tertentu, seperti berikut ini :
• Korporasi atau akuisisi perusahaan
• Instalasi sistem baru
• Perubahan fungsi bisnis
• Diundangkannya undang-undang atau peraturan baru yang mengamanatkan penambahan baru kontrol (atau memerlukan analisis risiko)

Read more ...