Antara Pentest, Audit, dan Assessment

Kata “audit” mungkin tidak asing bagi telinga kebanyakan orang, tetapi terminologi Audit TI seolah-olah menjadi jargon baru bagi sebagian orang, karena mereka beranggapan kalau bicara soal audit, ya audit finansial. Selain kata audit, beberapa terminologi yang muncul terutama masalah keamanan sistem informasi, adalah uji penetrasi atau penetration testing (orang sering menyingkat menjadi pentest), dan assessment. Beberapa orang mempertukarkan istilah-istilah tersebut, yang sebenarnya berbeda.

Pentest vs. Audit

Uji penetrasi adalah cara untuk menguji apakah suatu sistem TI mudah ditembus, atau mempunyai kerentanan untuk ditembus. Masih banyak orang yang menganggap, bahkan men‘dewa’kan pentest sebagai cara yang paling ampuh untuk mengukur tingkat keamanan suatu sistem. Tetapi, perlu diingat, bahwa pentest semata-mata mengukur keamanan hanya dari sisi teknologi; hasil dari pentest tidak dapat digunakan untuk mengungkapkan sebab-sebab lain di luar teknologi.

Contoh sederhana, tapi sering dijumpai, adalah tidak digantinya password default dari vendor pada perangkat teknologi informasi, terutama yang plug-and-play, atau sedikit memerlukan konfigurasi seperti switch dan router. Hasil dari pentest biasanya dapat mengungkapkan hal itu, dan rekomendasinya dipastikan sederhana, yaitu ganti password.

Tetapi, di luar rekomendasi tersebut, pentest tidak mengungkapkan apakah kerentanan itu disebabkan karena administrator tidak mempunyai pengetahuan untuk mengonfigurasi peralatan, sehingga tidak tahu cara mengubah password. Atau, bahkan, tidak ada administrator sama sekali alias tidak ada orang yang bertanggung jawab terhadap peralatan. Ini biasanya karena pihak perusahaan menyerahkan sepenuhnya kepada vendor. Atau, apakah tidak ada semacam check list dan pengujian singkat untuk memastikan bahwa setiap kali instalasi baru, password yang digunakan bukan password default dari vendor.

Selain itu, pentest merupakan pengukuran yang tertuju hanya pada satu saat (snapshot) tertentu saja. Jika hasil pentest menunjukkan bahwa suatu sistem aman, tidak berarti sistem tersebut akan aman sebulan kemudian, karena mungkin ditemukannya kerentanan-kerentanan baru yang tidak dijumpai saat dilakukan pentest.

Jika pada pentest, kontrol-kontrol pengamanan yang ada (biasanya) tidak diberitahukan kepada pihak penguji, sebaliknya dalam melakukan audit, kontrol-kontrol yang ada akan diberitahukan oleh auditee (pihak yang diuji) kepada auditor (pihak penguji). Selanjutnya, auditor akan menilai apakah kontrol-kontrol yang ada tersebut telah dilaksanakan dengan semestinya atau apakah sudah efektif untuk mengurangi risiko yang telah teridentifikasi sebelumnya pada saat assessment .

Pentest sering juga digunakan sebagai salah satu cara dalam melakukan audit; dan biasanya digunakan sebagai substantive test atau pada situasi dimana konfigurasi dari suatu peralatan tidak didapatkan. Misalnya, pada audit untuk menguji apakah firewall yang terpasang sudah sesuai dengan aturan yang diinginkan. Jika konfigurasi firewall tidak didapatkan, maka pentest dapat digunakan sebagai alternatif, atau sebagai pelengkap untuk membuktikan apakah running configuration memang sesuai dengan aturan yang diinginkan (bisa jadi print-out configuration yang diberikan pihak auditor tidak sama dengan running configuration).

Penggunaan Best practices dalam audit

Langkah awal dalam melakukan audit adalah mengidentifikasi struktur kontrol yang ada, beserta alasan kenapa diadakannya kontrol tersebut. Salah satu cara yang dapat dipakai adalah dengan memeriksa kebijakan keamanan (security policy) yang telah ditetapkan. Tetapi, terkadang langkah ini dilewati dengan berbagai macam alasan, dan pihak auditor melakukan blind audit dengan semata-mata berpatokan pada best practices seperti ISO 17799, dan COBIT. Penggunaan best practices tanpa memperhatikan alasan dibalik pangadaan kontrol tersebut, sering menyebabkan kontrol yang disyaratkan pada best practices tapi tidak aplikatif bagi perusahaan, menjadi temuan auditor.

Suatu kali seorang manajer TI perusahaan alat-alat berat mendapat teguran dari atasannya karena pada audit yang dilakukan auditor luar (external auditor), ditemukan adanya user pada divisi keuangan yang mempunyai privilege administrator pada sistem operasi. Temuan tersebut dikategorikan sebagai high risk. Kalau hanya dilihat dari kacamata best practices saja, akses dengan level administrator memang seharusnya hanya diberikan kepada administrator. Tetapi, alasan dibalik kenapa user pada divisi keuangan tersebut mempunyai privilege administrator, ternyata disebabkan oleh program yang digunakan user tadi membutuhkan privilege administrator agar dapat berjalan sempurna.

Assessment

Apa salahnya menggunakan best practices dalam melakukan audit ? Penggunaan best practices sebetulnya sah-sah saja selama pihak yang diaudit juga menggunakan best practice yang sama. Perlu diingat, kontrol yang diuji dalam audit, seharusnya adalah kontrol yang telah disepakati bersama oleh pihak-pihak yang berkepentingan terhadap keamanan aset yang dijaga oleh kontrol tersebut, yang biasanya dirangkum dalam bentuk kebijakan keamanan (security policy ).

Dalam British Standard 7799 bagian kedua (BS 7799:2), yang merupakan acuan dalam proses sertifikasi BS 7799, menyebutkan perlunya statement of applicability (SOA) pada akhir assessment . SOA adalah suatu pernyataan, atau boleh dikatakan sebagai suatu kesepakatan dari perusahaan terhadap kontrol-kontrol mana saja yang disarankan BS 7799:1 (atau sekarang sudah diadopsi menjadi ISO 17799, salah satu standar internasional manajemen kemanan sistem informasi) yang relevan dan dipakai, dan mana yang tidak. Dalam proses sertifikasi BS 7799 ini, pihak auditor akan berpatokan pada SOA yang telah ditetapkan bukan pada keseluruhan kontrol yang direkomendasikan BS 7799.

Kerancuan aktivitas audit dan assessment sering dijumpai pada Request for Proposal (RFP). Beberapa RFP meminta jasa audit yang sebenarnya adalah kegiatan assessment , atau sebaliknya, meminta jasa assessment yang sebenarnya adalah kegiatan audit. Penggunaan kata audit dan assessment sering dipertukarkan, yang pada esensinya berbeda fungsi dalam manajemen keamanan sistem informasi.

Assessment adalah kegiatan yang dilakukan pada awal proses manajemen keamanan sistem informasi, yang ditujukan untuk mengidentifikasikan risiko-risiko beserta bentuk kontrol yang perlu diadakan untuk mengurangi risiko tersebut. Dalam melakukan assessment , best practices seperti COBIT, maupun ISO 17799 akan sangat berguna dalam memberikan kerangka kerja yang sistematis dan komprehensif. Memang kadang kita sulit membedakan kegiatan audit dan assessment dalam praktik di lapangan, karena ada kegiatan audit yang diawali dengan assessment terlebih dahulu. Atau, hasil temuan audit sering menjadi bahan pertimbangan untuk melakukan re- assessment terhadap kontrol yang ada, sehingga kegiatan audit kelihatannya sebagai kegiatan assessment .

Pada kasus manajer TI perusahaan alat-alat berat di atas, temuan audit tersebut seharusnya dapat menjadi pertimbangan untuk pengadaan kontrol yang lebih baik, ketimbang hanya sekedar menyalahkan prosedur kerja divisi TI. Kontrol yang dapat diadakan untuk kasus ini adalah, misalnya pemisahan sistem atau komputer yang digunakan untuk menjalankan program keuangan tadi terhadap sistem yang lain, sehingga si user mempunyai privilege administrator hanya untuk sistem itu saja, bukan untuk sistem yang lain. Atau jika memungkinkan, dibuatkan suatu mekanisme baru sehingga program tersebut pada saat aktif memiliki privilege sebagai administrator, walaupun dijalankan oleh user yang tidak memiliki privilege administrator.

Referensi : Ebizzasia Volume II No 17 – 2004

Sistem Evaluasi Keamanan Informasi

Meningkatnya ketergantungan organisasi pada sistem informasi sejalan dengan resiko yang mungkin timbul. Informasi menjadi suatu yang penting yang harus tetap tersedia dan dapat digunakan serta terjaga keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya untuk kepentingan tertentu atau akan merusak informasi tersebut.

Informasi merupakan sebuah aset penting bagi organisasi yang perlu dilindungi dan diamankan. Keamanan informasi tidak bisa hanya disandarkan pada tools atau teknologi keamanan informasi, melainkan perlu adanya pemahaman dari organisasi tentang apa yang harus dilindungi dan menentukan secara tepat solusi yang dapat menangani permasalahan kebutuhan keamanan informasi.

Sebuah cara sistemik yang bisa dilakukan adalah melalui pendekatan evaluasi resiko keamanan informasi. Cara ini dilakukan untuk memperoleh nilai resiko yang dihadapi oleh organisasi terkait dengan aset informasi yang dimilikinya, kemudian menentukan strategi yang tepat dalam menangani resiko tersebut.

Salah satu metode untuk mengevaluasi resiko keamanan informasi adalah dengan menggunakan OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). OCTAVE dibangun berdasarkan pada 3 (tiga) fase, yaitu Build Asset-Based Threat Profile, Identify Infrastructure Vulnerabilities, dan Develop Security Strategy and Plan.

Build Asset-Based Threat Profile

Fase ini merupakan tahapan untuk membuat profil ancaman (threat profile) dengan cara menentukan aset yang penting bagi organisasi dan kebutuhan pengamanannya. Penentuan aset yang penting dilakukan melalui pengumpulan informasi tentang aset, kebutuhan keamanan, ancaman, dan kekuatan serta kelemahan organisasi dari beberapa tingkatan manajemen mulai dari senior manajer, operasional, sampai dengan staf. Dari pengetahuan dan informasi masing-masing manajemen tersebut, kemudian dipilih beberapa aset informasi (umumnya sekitar 5 (lima)) yang sifatnya kritikal. Selanjutnya didefinisikan profil ancaman terhadap aset tesebut. Setelah profil ancaman terdefinisi dengan baik, maka selanjutnya akan dapat diperoleh kebutuhan keamanan yang diperlukan bagi setiap aset informasi.

Identify Infrastructure Vulnerabilities

Identifikasi kelemahan infrastruktur dilakukan melalui mengidentifikasi beberapa komponen penting dari sistem yang mendukung atau memproses informasi. Selanjutnya melakukan evaluasi terhadap komponen yang telah dipilih dan hasilnya dianalisis untuk memperjelas profil ancaman terhadap aset. Tahap identifikasi kelemahan infrastruktur ini lebih cenderung bersifat teknis terkait dengan teknologi infrastruktur yang digunakan.

Develop Security Strategy and Plan

Pada tahap pengembangan strategi keamanan dan perencanaannya dilakukan proses analisa resiko melalui pendefinisian kriteria evaluasi dampak bagi organisasi untuk membuat landasan umum penentuan impact value (high, medium, low), demikian juga untuk ancaman terhadap aset kritikal. Dari hasil proses analisa resiko, maka selanjutnya dapat mengembangkan strategi yang tepat untuk melindungi aset yang berfokus pada perbaikan praktek keamanan organisasi. Selain itu juga membuat perencanaan mitigasi bila terjadi accident.

Dari tiga fase diatas diharapkan kebutuhan akan sistem keamanan informasi dapat dipenuhi dengan baik. Tentunya berbagai unsur yang ada dalam setiap organisasi menjadi faktor penentu keberhasilan sebuah sistem keamanan informasi.

Peringkat Universitas Top Dunia 2008

Peringkat pertama universitas paling top di dunia tahun 2008 masih diduduki oleh Harvard University. Selanjutnya sebagai peringkat kedua adalah Yale University. Sedangkan University of Cambridge menduduki peringkat ketiga universitas paling top dunia.

Indonesia di tahun 2008 menempatkan tiga universitasnya masuk dalam 500 universitas top dunia. Dipimpin oleh Universitas Indonesia pada peringkat 287, kemudian diikuti Institut Teknologi Bandung pada peringkat 315 dan Universitas Gajah Mada pada peringkat 316.

Sementara itu Universitas Airlangga, Institut Pertanian Bogor, dan Universitas Brawijaya juga masuk dalam peringkat universitas top dunia yang dikeluarkan oleh The Times Higher Education-Qs World University Rankings, namun berada pada peringkat diatas 500. Informasi selengkapnya bisa diperoleh di www.topuniversities.com

Open House apa Open Jail ?

Selain mudik, istilah Open House ketika lebaran sepertinya sudah sangat mentradisi di Indonesia. Terutama di kalangan para pejabat, tidak hanya di tingkat pusat melainkan juga sampai ke daerah pelosok negeri. Tujuannya utama diadakan open house tentunya sebagai ajang silaturahim, namun tidak menutup kemungkinan ada tujuan lagi. Karena memang silaturahim mengandung hikmah yang luas. Tidak saja hanya sebagai menyambung tali persaudaraan dan saling memaafkan, melainkan bisa dijadikan sarana untuk konsolidasi, memperkuat hubungan bisnis dan lain sebagainya.

Demikian halnya yang terjadi dengan mantan menteri kelautan dan perikanan Rokhmin Dahuri. Meskipun masih berada dalam tahanan di LP Cipinang, beliau tetap bisa mengadakan acara open house. Mungkin lebih tepatnya “Open Jail” … ya. Karena tidak dilaksanakan di rumah melainkan di penjara. Terus bagaimana dengan tahanan lainnya? Apakah mereka juga bisa melakukan acara istimewa yang sama? Keterangan lebih lengkapnya bisa ditanyakan ke LP Cipinang J

Informasi diperoleh dari detik foto

Menuliskan Persamaan Matematika di WordPress

Bagi sebagian orang, terutama para scientist tentunya sudah tidak awam lagi menggunakan LaTeX dalam setiap format penulisan karya ilmiahnya, terutama untuk penulisan persamaan matematika. Namun bagi orang kebanyakan tentunya butuh waktu untuk mempelajarinya.

Bagi para blogger yang ingin menuliskan persamaan matematika di wordpress bisa memanfaatkan LaTeX Equation Editor for Internet. Caranya sebagai berikut:

1. Klik situs LaTeX Equation Editor for Internet disini
2. Tuliskan persamaan matematika yang dikehendaki dengan cara mengklik berbagai tombol sesuai dengan persamaan yang akan ditulis.
3. Hasil penulisan dapat dilihat dengan meng-klik tombol render equation
4. Selanjutnya copy paste persamaan tersebut ke halaman wordpress
5. Tuliskan “$latex” di depan persamaan yang dimaksud dan “$” di belakang persamaan. (Tanda ” ” selanjutnya harap dihapus)
6. Selesai

Sebagai contoh bila dituliskan persamaan di wordpress seperti ini

“$latex” {a}^{2}=\sqrt{{b}^{2}+{c}^{2}}“$”

(jangan lupa hilangkan tanda ” “)

maka hasil penulisan persamaannya adalah

Bangkit

Bulan Mei tahun 2008 ini oleh pemerintah Indonesia dijadikan sebagai momen Peringatan 100 tahun Kebangkitan Nasional. Berdirinya organisasi Boedi Oetomo pada 20 Mei 1908 yang lalu dianggap sebagai suatu inovasi politik yang baru yaitu NASIONALISME. Kelahiran Boedi Oetomo dijadikan sebagai tonggak yang menumbuhkan semangat perjuangan kebangsaan.

Perjuangan panjang bangsa ini telah menghasilkan berbagai perolehan. Dari sebuah bangsa yang terjajah, menjadi bangsa yang merdeka. Namun cita-cita perjuangan para pendahulu negeri ini untuk dapat mewujudkan kesejahteraan dan kemakmuran, belumlah tercapai. Krisis pangan, krisis energi, dan krisis ekonomi masih menjadi tantangan bagi negeri ini. Sebuah negeri yang dikenal memiliki kekayaan sumber daya alam yang begitu melimpah, ternyata rakyatnya masih mengalami kekurangan.

Dibutuhkan kebersamaan dari seluruh komponen bangsa untuk dapat bangkit dari keterpurukan. Bangkitlah Negeriku Harapan Itu Masih Ada.

Sebuah untaian kata BANGKIT dari Dedy Mizwar…

Bangkit itu susah
Susah melihat orang lain susah
Senang melihat orang lain senang

Bangkit itu Takut
Takut untuk Korupsi
Takut untuk makan yang bukan haknya

Bangkit itu malu
Malu menjadi benalu
Malu minta melulu

Bangkit itu Marah
Marah bila martabat bangsa dilecehkan

Bangkit itu Mencuri
Mencuri perhatian dunia dengan prestasi

Bangkit itu Tidak ada
Tidak ada kata menyerah
Tidak ada kata putus asa

Bangkit itu aku
Untuk INDONESIAKU

Download Youtube

Bagi yang membutuhkan download file video dari youtube, bisa melakukan dengan cara sebagai berikut :

1. Buka situs KeepVid disini.
2. Ketikkan (copy paste) link file youtube yang akan di download pada text box.
3. Klik Download
4. Muncul menu download dibawahnya
5. Klik pada link “download link”
6. Selanjutnya akan muncul menu save file

Nah bila file hasil downloadnya berformat .FLV, maka perlu player yang bisa di download dari sini.