e-Audit: Uji Tuntas Keamanan Komputer

Terinspirasikan oleh artikel seorang rekan mengenai Government Information Security Research yang berkembang di thread forum diskusi Kecoak Elektronik ditambah pemahaman saya tentang Laporan Uji Tuntas di bidang Hukum (Legal Due Diligence), akhirnya tercetus sebuh ide dalam pikiran ini mengenai bagaimana jika menggabungkan antara konsep Information Security Research dengan konsep Uji Tuntas, sehingga menjadi suatu Uji Tuntas Keamanan Komputer (Computer Security Due Diligence/e-Audit).


e-Audit atau atau yang dikenal juga sebagai electronic audit memang bukan suatu terminologi baru dalam kajian perkomputeran. Penggunaan “e-” di depan kata Audit saya persamakan maknanya dengan penggunaan kata “e-” di depan kata e-Mail dan juga e-Banking. Dalam beberapa kesempatan, kegiatan e-Audit ini biasa juga disebut sebagai Security Audit . Justru mungkin terminologi security audit yang lebih lazim digunakan di Internet. Penggunaan kata e-Audit dalam hal ini saya pergunakan untuk menggambarkan konvergensi antara konsep legal due diligence dengan konsep security audit. Untuk keperluan praktis saya akan tetap menggunakan istilah e-Audit dalam tulisan ini.

Untuk mengetahui lebih lanjut mengenai Security Audit/e-Audit dapat kita lihat dari pendapat Bill Hayes berikut.

a systematic, measurable technical assessment of how the organization’s security policy is employed at a specific site. Computer security auditors work with the full knowledge of the organization, at times with considerable inside information, in order to understand the resources to be audited.

Secara bebas dapat diterjemahkan menjadi suatu kegiatan yang sistematis, terukur dan penuh perhitungan mengenai bagaimana mengorganisasikan suatu kebijakan dibidang keamanan dan bagaimana kebijakan tersebut dapat diberlakukan. Audit dibidang keamanan komputer dilakukan untuk mengetahui sumberdaya objek yang diaudit. Dalam tulisan yang sama, Bill Hayes membedakan antara Security Audit dengan Pen-Test (Penetration Testing ).

Untuk membedakan antara security audit dengan pen-test saya memberikan beberapa poin penting antara lain sebagai berikut.

1. e-Audit merupakan kegiatan yang sistematis, terukur dan penuh perhitungan

2. Fokus dalam melakukan e-Audit terletak pada organisasi kebijakan

3. Pemeriksaan dilakukan secara menyeluruh terhadap segala sumber daya terkait keamanan komputer

Bedasarkan poin tersebut, saya menilai kalau pen-test tidak memenuhi poin yang kedua, yaitu melakukan pemeriksaan terhadap organisasi kebijakan dalam bidang keamanan (security policy), karena pada umumnya, pen-test hanya berfokus pada upaya penetrasi sebuah sistem. Selain itu, dalam pen-test tidak dilakukan pemeriksaan menyeluruh terhadap sumber daya, karena sebagaimana telah dijelaskan, kalau pen-test tersebut berfokus pada “keamanan jaringan belaka”.

Apa yang akan saya konsepkan disini tidak terbatas pada pemeriksaan terhadap keamanan jaringan belaka, tetapi juga mencakup kebijakan mengenai keamanan jaringan. Untuk itu pada dasarnya, e-Audit ini tidak hanya dilakukan secara jarak jauh (remote auditing) tetapi harus juga dilakukan melalui site visiting. Dalam Legal Due Diligence, <em>site visiting</em> sifatnya opsional saja, meskipun sifatnya opsional, site visiting sangat dianjurkan agar si auditor dapat secara langsung mengetahui apa yang dihadapinya, sehingga dalam melakukan audit, auditor lebih paham mengenai kondisi lapangan dan terhindar dari kesalahan pemberian opini. Hal tersebut yang saya pikir perlu juga dilakukan dalam e-Audit.

Dalam konsep e-Audit, ada beberapa aspek yang menjadi tolak ukur auditing. Artinya, aspek ini menjadi titik krusial dalam pemeriksaan si Auditor. Pemilihan aspek ini sebenarnya masih dalam tahap pengembangan dan besar kemungkinan akan ada penambahan titik pemeriksaan atau mungkin terjadi pengurangan titik pemeriksaan sebagai alasan dari efisiensi pemeriksaan. adapun poin tersebut sebagai berikut.

1. Software

Pemeriksaan yang dilakukan terhadap software tidak hanya terbatas pada legalitas dari software tersebut, tetapi pemeriksaannya juga meliputi kebijakan instalasi, manajemen dan pembaharuan software (updating) dan ketentuan lainnya yang secara keseluruhan terkait erat dengan “terms and conditions” dari software tersebut. Pemahaman terhadap terms and conditions suatu software sifatnya adalah mutlak, dimana dengan pemahaman terhadap terms and conditions tersebut, para pihak dapat memahami hak dan kewajiban masing-masing.

Salah satu aspek penting pemahaman terms and conditions dari suatu software adalah terkait pemeriksaan terhadap aspek legalitas yang diharapkan dilakukan tidak hanya sebatas pada bahwa software tersebut diperoleh melalui cara yang legal, melainkan juga pemeriksaan meliputi kesesuaian antara ketentuan terms and condition dari software tersebut dengan kondisi real dari suatu perusahaan. Sebagai contoh, ada kalanya suatu software secara tegas hanya boleh diinstal pada suatu workstation, sementara software lain memperbolehkan lisensi software tersebut digunakan untuk lebih dari satu komputer. Hal tersebut tentu dapat kita ketahui hanya apabila kita memahami terms and condition dari software tersebut.

Hal lainnya, yaitu instalasi, e-Audit diharapkan dapat dilakukan dengan meliputi pemahaman (i) bagaimana kriteria software yang diperbolehkan diinstal dalam suatu perusahaan, hal ini sehubungan dengan kebutuhan dari suatu perusahaan. Sebagai contoh, perusahaan yang bergerak dibidang perbankan tentu membutuhkan software yang berbeda dengan perusahaan yang bergerak dibidang ekspedisi, (ii) pendataan terhadap software yagn terinstall dalam suatu jaringan guna mengklasifikasi software tersebut berdasarkan kegunaan ataupun berdasarkan ketentuan yang melekat pada software tersebut, seperti apakah software tersebut merupakan free-software, shared-software, dan lainnya.

Berlanjut kepada aspek teknis. Dalam aspek teknis sehubungan dengan software terdapat beberapa hal penting yang harus diperhatikan, yaitu: (i) integritas dari software yang terinstall dalam suatu sistem, (ii) akurasi dari software tersebut, dan (iii) reliability dari software tersebut. Faktor yang perlu dipastikan oleh auditor dalam e-Audit teknis terhadap software adalah memastikan software tersebut memiliki keamanan, keandalan dan sifat reliability yang tepat dengan sistem suatu perusahaan tersebut. Hal ini erat terkait dengan akurasi dari out-put yang dihasilkan oleh sistem. Sebagai contoh, apabila suatu software yang terinstall dalam suatu sistem tidak memiliki integritas yang baik, tentu segala out-put dari sistem secara keseluruhan tidak dapat dipertanggungjawabkan. Kegiatan seperti update dan patching terhadap software juga termasuk dalam genus ini.

Aspek pemeriksaan ini sesungguhnya adalah pengejewantahan dari dari perintah peraturan perundang-undangan yang ada di Indonesia, yang dalam hal ini adalah Undang-undang No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (“UU ITE”). Pasal 15 ayat (1) UU ITE secara tegas menyatakan sebagai berikut.

Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya. “Andal” artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. “Aman” artinya Sistem Elektronik terlindungi secara fisik dan nonfisik. “Beroperasi sebagaimana mestinya” artinya Sistem Elektronik memiliki kemampuan sesuai dengan spesifikasinya.

2. Hardware

Pemeriksaan terhadap hardware hampir serupa dengan pemeriksaan terhadap software, yaitu harus dilakukan terhadap aspek non-teknis dan aspek teknisnya. Untuk aspek non-teknis dari suatu hardware yang perlu diperhatikan adalah apakah hardware yang digunakan dalam suatu sistem tersebut merupakan hardware yang telah memenuhi persyaratan legal untuk digunakan. Sebagai contoh, untuk hardware yang merupakan berkaitan dengan sistem komunikasi, hardware tersebut harus melalui sertifikasi dari Depkominfo sebagaimana dipersyaratkan. Selai itu perlu juga diperhatikan bahwa hardware yang digunakan adalah hardware yang legal, dalam hal ini hardware tersebut bukan merupakan hardware hasil kejahatan terhadap hak kekayaan intelektual (IP infringement products).

Dari segi teknis, sesungguhnya prinsip e-Audit terhadap software juga dapat diterapkan terhadap pemeriksaan hardware, dimana aspek keamanan, keandalan dan reliability merupakan fokus utamanya.

 

3. Policy

Policy atau kebijakan merupakan elemen utama dari e-Audit yang harus diperiksa, karena dari suatu policy lah suatu perusahaan yang diperiksa menentukan software dan hardware yang akan digunakan. Dari policy ini pula lah kita dapat menentukan lebih lanjut aspek pemeriksaan terhadap software dan hardware di suatu perusahaan / jaringan. Sebagai contoh, apabila dalam policy perusahaan secara tegas terlihat bahwa selain software yang secara default terinstall di workstation, maka user dilarang menginstall software lainnya, maka dalam melakukan e-Audit, kita harus dapat memastikan bahwa memang benar tidak ada software lain yang terinstall. Apabila dalam pemeriksaan ternyata ditemukan banyak software lain yang terinstall, maka software tersebut harus dimasukan dalam laporan pemeriksaan agar dapat ditindaklanjuti berdasarkan policy yang ada.

Selain itu, policy yang baik dari suatu pemeriksaan dapat mendukung terciptanya keamanan, keandalan dan reliability dari jaringan secara keseluruhan. Sehingga total suatu proses dalam sistem yang dimulai dari input hingga out-put dapat berjalan dengan baik.

***

Penjabaran di atas adalah uraian secara singkat mengenai konsep dari e-Audit. Diharapkan kedepannya konsep ini dapat berkembang dari kenyataan yang ada dalam dunia praktis, karena setiap kondisi di lapangan dapat mempengaruhi pemeriksaan itu sendiri. Dengan demikian, uraian tersebut di atas langkah awal pemahaman e-Audit.

One Reply to “e-Audit: Uji Tuntas Keamanan Komputer”

  1. Maaf salam kenal, Terkait dengan uji kehandalan mohon pencerahan. Apakah ada metode pengujian kehandalan atau ketahanan produk elektronika, dimana dengan waktu singkat misal 1 minggu bisa mewakili 1 atau 2 tahun untuk pemakaian normal . dimana pemakaian normal misalnya pada suhu ruangan ( sekitar 27 celcius). dan barang dijamin handal minimal 2 tahun jika digunakan pada suhu 27 celcius.
    terima kasih atas tanggapannya.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.