Jumat, 21 Juni 2013

Teknik-teknik Estimasi

V-class (Pos-test)
Sebutkan teknik-teknik estimasi pada Proyek Sistem Informasi, tuliskan pada blog Anda yang terkoneksi dengan Studentsite.
Teknik – teknik estimasi pada proyek sistem informasi :
Ada tiga teknik yang digunakan untuk melakukan estimasi, yaitu :
1. Keputusan Profesional
Katakanlah bahwa anda merupakan orang yang memiliki pengalaman yang luas dalam membuat program “report generation modules”. Anda melakukannya dengan pendekatan merancang report tersebut dan memperkirakan berapa lama waktu yang dibutuhkan untuk membuat program tersebut. Setelah mempelajari rancangan program selama 5 menit, programmer lalu menutup matanya selama 5 menit (dia tidak tidur, tetapi berhitung), dan kemudian mengatakan “15 hari”. Inilah yang disebut Keputusan Profesional murni. Keuntungan dari teknik ini adalah cepat , dan jika seseorang sudah ahli dalam teknik ini, maka estimasinya pasti akan lebih akurat. Sedangkan kerugian dari teknik ini adalah bahwa anda membutuhkan seorang ahli yang berpengalaman dalam bidang ini, dan beberapa ahli tersebut akan bekerja keras untuk mendapatkan estimasi yang tepat.
2. Sejarah
Jalan keluar dari ketergantungan pada orang dan untuk membuat estimasi lebih khusus, yaitu anda harus mengerti tentang sejarahnya. Tulislah berapa lama masing-masing tugas dapat diselesaikan dan siapa yang bertanggung jawab atas tugas tersebut. Anda dapat membandingkan tuagas yang akan diestimasik dengan tugas yang sama yang dikerjakan lebih awal, setelah itu mulailah dengan melakukan estimasi. Hal ini dimaksudkan agar anda menjabarkan suatu proyek ke dalam beberapa tugas yang biasanya diulang dan mudah untuk dibandingkan.
3. Rumus-rumus
Ada beberapa rumus yang digunakan dalam software estimasi. Software yang baik untuk diketahui adalah COCOMO (Referensi 15). COCOMO dapat digunakan untuk memperkirakan biaya proyek, usaha (person months), jadwal, dan jumlah staf untuk masing-masing fase berikut ini :
- Preliminary Design – our Analysis Phase
- Detailed Design (DD) – our Design Phase
- Code and Unit Tes (CUT) – same as ours
- System Test – our System Test and Acceptance Phase
Ada 3 tipe penginputan dengan COCOMO
ATURAN PERSETUJUAN ESTIMASI PADA DEC (DAN PERUSAHAAN BESAR LAINNYA)
Apakah perusahaan besar seperti DEC menggunakan pendekatan-pendekatan ini ? Ya, mereka menggunakan rumus-rumus, tetapi mereka tetap mengikuti aturan berikut ini :
• Jangan pernah menanyakan pada seseorang yang tidak berpengalaman untuk melakukan estimasi.
• Lakukan estimasi secara berkelompok, jika anda mampu menyediakan sumber daya manusianya.
• Jangan memaksa melakukan estimasi pada seseorang profesional, seperti programmer.
• Jangan pernah mengambil rata-rata dari estimasi yang berbeda.
• Membagi persoalan menjadi bagian kecil secara mendetail selama satu minggu atau kurang.
• Selalu tambahkan (kalikan ?) untuk kejadian yang tidak pasti.
• Selalu berikan jangka waktu ketika melakukan estimasi bagimanajer atau klien.

Estimasi

V-class (Pre-Test)

Apakah yang disebut dengan ‘estimasi’? Carilah satu contoh yang berhubungan dengan estimasi, tuliskan pada blog Anda yang terkoneksi dengan Studentsite.

Estimasi biaya merupakan hal penting dalam dunia industri konstruksi. Ketidak-akuratan dalam estimasi dapat memberikan efek negatif pada seluruh proses konstruksi dan semua pihak yang terlibat. Estimasi biaya konstruksi dikerjakan sebelum pelaksanaan fisik dilakukan dan memerlukan analisis detail dan kompilasi dokumen penawaran dan lainnya. Estimasi biaya mempunyai dampak pada kesuksesan proyek dan perusahaan. Keakuratan dalam estimasi biaya tergantung pada keahlian dan kerajinan estimator dalam mengikuti seluruh proses pekerjaan dan sesuai dengan infomasi terbaru.
Contoh yang berhubungan dengan estimasi:
Misalnya kita akan mengestimasi biaya dalam pembuatan suatu projek. Pertama kita harus menentukan metode yang ingin dikerjakan dulu, kemudian mengkaji Langkah kerja Index biaya. Kemudian kita menerapkan langkah pengujian kajian di lapangan, lalu estimasi biaya produksi. Untuk mengestimasi biaya tersebut, beberapa hal diperhatikan seperti ruang lingkup, waktu persiapan, kualitas dan harga serta keahlian dalam estimasi. Kita harus memperhatikan:
  1. Perhitungan jumlah/volume.
  2. Harga material
  3. Upah tenaga kerja
  4. Prakiraan produktivitas pekerja
  5. Metoda kerja
  6. Biaya peralatan konstruksi
  7. Biaya pekerjaan tak langsung
  8. Bayaran untuk sub-kontraktor
  9. Bayaran untuk supplier material
  10. Ketidak-pahaman kondisi lokasi
  11. Faktor-faktor yang bersifat lokal
  12. Biaya yang berkaitan dengan waktu pelaksanaan konstruksi
  13. Biaya-biaya awal pelaksanaan
  14. Overhead
  15. Pertimbangan keuntungan
  16. Alokasi resiko dan biaya tak terduga
  17. Kesalahan dalam rumusan estimasi
  18. Informasi dasar yang biasa digunakan untuk perumusan estimasi biaya
  19. Tekanan pasar

IT Forencs



IT  audit trial

Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Sedangkan IT Audit Trail adalah suatu bagian yang ada dalam program yang dapat mencatat kegiatan-kegiatan audit yang secara rinci dilakukan oleh para penggunanya secara rinci.

Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.

Audit IT merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi.

Cara Kerja Audit Trail

Audit Trail yang disimpan dalam suatu tabel:
1. Perintah penambahan record ditiap query: Insert, Update dan Delete.
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.

Fasilitas Audit Trail

Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate, jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula dengan jurnal barunya.

Hasil Audit Trail

Record Audit Trail disimpan dalam bentuk, yaitu :
1. Binary File - Ukuran tidak besar dan tidak bisa dibaca begitu saja
2. Text File - Ukuran besar dan bisa dibaca langsung
3. Tabel


Real Time Audit

Real Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan keuangan sehingga dapat memberikan penilaian yang transparan status saat ini dari semua kegiatan, di mana pun mereka berada. Ini mengkombinasikan prosedur sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan “siklus proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.
Dalam pengembangan proyek Real Time Audit berfungsi sebagai analisis karena untuk memastikan bahwa kualitas benar, dan berkualitas. Real Time Audit mempunyai kegunaan pengadaan tersesialisasi yaitu dengan memperbolehkan seorang manajer meniliti tawaran bersaing untuk menyediakan baik jasa maupun komponen proyek. Real Time Audit menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat terlihat dari manajer kegiatan didanai sehingga untuk memantau kemajuan. 

Audit around computer

adalah pendekatan audit disekitar komputer. dalam pendekatan ini auditor dapat melangkah kepada perumusan pendapatdengan hanya menelaah sturuktur pengendalian dan melaksanakan pengujian transaksi dan prosedur verifikasi saldo perkiraan dengan cara sama seperti pada sistem manual(bukan sistem informasi berbasis komputer).

Audit Through the computer

Audit ini berbasis komputer, dimana dalam pendekatan ini auditor melakukan pemeriksaan langsung terhadap program-program dan file-file komputer pada audit sistem informasi berbasis komputer. Auditor menggunakan komputer (software bantu) atau dengan cek logika atau listing program untuk menguji logika program dalam rangka pengujian pengendalian yang ada dalam komputer.


Contoh Prosedur dan Lembar Kerja Audit

PROSEDUR IT AUDIT: 
●Kontrol lingkungan:
1. Apakah kebijakan keamanan (security policy) memadai dan efektif ?
2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor
3. Jika sistem dibeli dari vendor, periksa kestabilan finansial
4. Memeriksa persetujuan lisen (license agreement)

●Kontrol keamanan fisik
5. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai
6. Periksa apakah backup administrator keamanan sudah memadai (trained,tested)
7. Periksa apakah rencana kelanjutan bisnis memadai dan efektif
8. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai

●Kontrol keamanan logikal
9. Periksa apakah password memadai dan perubahannya dilakukan reguler
10.Apakah administrator keamanan memprint akses kontrol setiap user


IT Forensics
 
Ada beberapa pengertian mengenai IT forensics, yaitu :
1. Definisi sederhana, yaitu penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Alasan mengapa menggunakan IT forensik, antara lain:
  • Dalam kasus hukum, teknik digital forensik sering digunakan untuk meneliti sistem komputer milik terdakwa (dalam perkara pidana) atau tergugat (dalam perkara perdata).
  • Memulihkan data dalam hal suatu hardware atau software mengalami kegagalan/kerusakan (failure).
  • Meneliti suatu sistem komputer setelah suatu pembongkaran/ pembobolan, sebagai contoh untuk menentukan bagaimana penyerang memperoleh akses dan serangan apa yang dilakukan.
  • Mengumpulkan bukti menindak seorang karyawan yang ingin diberhentikan oleh suatu organisasi.
  • Memperoleh informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimisasi kinerja, atau membalikkan rancang-bangun.
Terminologi IT Forensics.

Bukti digital (digital evidence).
adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail.

Empat elemen kunci forensik dalam teknologi informasi, antara lain :

1.      Identifikasi dari bukti digital.
Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya untuk mempermudah tahapan selanjutnya.

2.      Penyimpanan bukti digital.
Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena penyimpanannya yang kurang baik.

3.      Analisa bukti digital.
Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian penting dalam analisa bukti digital.

4.      Presentasi bukti digital.
Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi disini berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan.

Tools yang digunakan untuk Audit IT dan Audit Forensik

● Hardware:
– Harddisk IDE & SCSI. kapasitas sangat besar, CD-R,DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations

● Software
– Viewers (QVP http://www.avantstar.com dan http://www.thumbsplus.de
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (search di http://www.dtsearch.com/)
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits. Unix/Linux: TCT The Coroners Toolkit/ForensiX dan Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com) untuk memproteksi bukti bukti.

Sumber :

Jenis ancaman dan modus operansi kejahatan di bidang teknologi informasi

Perkembangan Teknologi dan Informasi saat ini sudah semakin pesat. Perkembangan teknoli tersebut pun menimbulkan banyak dampak positif dan dampak negative dalam bidang teknologi  informasi. Salah satu dampak negative nya adalah banyak sekali jenis-jenis ancaman (Threats) yang dapat dilakukan melalui penggunaan Tekhnologi Informasi.  Ada beberapa kasus kejahatan di bidang teknologi informasi contoh nya seperti Kasus computer crime dan  cyber crime.

Kejahatan Komputer (Computer Crime)

Kejahatan komputer atau computer crime adalah kejahatan yang ditimbulkan karena penggunaan komputer secara ilegal.

Secara umum, kejahatan komputer dibedakan atas 2, antara lain:

1. Kejahatan Komputer yang terjadi secara Internal

Pada dasarnya, kejahatan komputer ini dilakukan dengan cara :
a.        Manipulasi transaksi Input dan Output
Metode-metode yang sering dilakukan untuk memanipulasi transaksi-transaksi input, antara lain :
- Mengubah transaksi
- Menghapus transaksi input
- Memasukkan transaksi tambahan
- Mengubah transaksi penyusuaian
b.      Modifikasi Hardware dan Software
Tidak seperti kejahatan komputer yang melakukan tindakan manipulasi transaksi-transaksi input, pemodifikasian software/hardware membutuhkan keahlian tertentu dan sangat sulit untuk dilacak. Beberapa metode yang dipakai, adalah:
- Akses pintu belakang
- Logic Bomb (boom logika)
- Pembulatan angka (metode salami)
- Penambahan Hardware

2. Kejahatan yang terjadi secara External

• Hacker
Tahun 1960-an Hacker dapat diartikan seorang yang mengganggu, menjaga dan mengoperasikan komputer. Mereka ini pada umumnya adalah para ahli pendesain dan peneliti dibidang komputer. Pada sekitar tahun 1965 istilah hacker berkembang artinya. Hacker bukan hanya seorang yang mendesain dan menciptakan komputer. Hacker seperti menemukan hal-hal baru dalam penggunaan komputer, mencari kelemahan-kelemahan sistem operasi dan sebagainya.
Hacker dapat dikaitkan pula dengan tindakan sabotase. Sabotase dapat dilakukan dengan berbagai cara. Istilah umum ini digunakan untuk menyatakan tindakan masuk ke dalam suatu sistem komputer tanpa otorisasi, yaitu hacking.
Berbagai teknik untuk melakukan hacking :

- Denial of Service
Teknik ini dilaksanakan dengan cara membuat permintaan yang sangat banyak terhadap suatu situs sehingga sistem menjadi macet dan kemudian dengan mencari kelemahan pada sistem si pelaku melakukan serangan pada sistem.

- Sniffer
Teknik ini diimplementasikan dengan membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi Internet, menangkap password atau menangkap isinya.

- Spoofing
Melakukan pemalsuan alamat email atau web dengan tujuan untuk menjebak pemakai agar memasukkan informasi yang penting seperti password atau nomor kartu kredit.

Berbagai kode jahat atau usil juga menjadi ancaman bagi sistem komputer, kode yang dimaksud adalah :

- Virus
Virus berupa penggalan kode yang dapat menggandakan dirinya sendiri dengan cara menyalin kode dan menempelkan ke berkas program yang dapat dieksekusi (misalnya berkas .exe pada DOS). Selanjutnya, salinan virus ini akan menjadi aktif manakala program yang terinfeksi dijalankan. Beberapa virus hanya “sekedar muncul”. Namun sejumlah virus yang lain benar-benar sangat jahat karena akan menghapus berkas-berkas dengan extension tertentu dan bahkan dapat memformat hard disk. Contoh virus jahat adalah CIH atau virus Chernobyl, yang melakukan penularan melalui email. Macam-macam virus :

- Cacing (Worm)
Cacing adalah program komputer yang dapat menggandakan dirinya sendiri dan menulari komputer-komputer dalam jaringan.

- Bom Logika atau Bom Waktu (Logic bomb or time bomb)
Program yang beraksi karena dipicu oleh sesuatu kejadian atau setelah selang waktu berlalu. Sebagai contoh, program dapat diatur agar menghapus hard disk atau menyebabkan lalu lintas jaringan macet.

- Kuda Trojan (Trojan Horse)
Program yang dirancang agar dapat digunakan untuk menyusup ke dalam sistem. Sebagai contoh kuda Trojan dapat menciptakan pemakai dengan wewenang supervisor atau superuser. Pemakai inilah yang nantinya dipakai untuk menyusup ke sistem.

• Phreaker
“Phreaker” berasal dari kata PHone Freak dan hacker. ”Phreaker” lebih diistilahkan untuk hacker yang bermain-main dengan sistem komunikasi telepon, artinya dengan menggunakan sedikit metode para hacker bisa menggunakan jaringan telepon secara gratis.

• Snatcher (Pencuri)
Pada kejahatan modern, pencurian bukan lagi hanya berupa pengambilan barang/material berwujud saja, tetapi termasuk pengambilan data secara illegal.


Cybercrime

Kejahatan dunia maya  atau cybercrime adalah istilah yang mengacu kepada aktivitas kejahatan dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan.
cybercrime dibagi menjadi tiga bagian yaitu pelanggaran akses, pencurian data, dan penyebaran informasi untuk tujuan kejahatan. Secara garis besar, ada beberapa tipe cybercrime, seperti dikemukakan Philip Renata dalam suplemen BisTek Warta Ekonomi No. 24 edisi Juli 2000, h.52 yaitu:

a. Joy computing, yaitu pemakaian komputer orang lain tanpa izin. Hal ini termasuk pencurian waktu operasi komputer.

b.Hacking, yaitu mengakses secara tidak sah atau tanpa izin dengan alat suatu terminal.

c. The Trojan Horse, yaitu manipulasi data atau program dengan jalan mengubah data atau instruksi pada sebuah program, menghapus, menambah, menjadikan tidak terjangkau dengan tujuan untuk kepentingan pribadi pribadi atau orang lain.
 
d. Data Leakage, yaitu menyangkut bocornya data ke luar terutama mengenai data yang harus dirahasiakan. Pembocoran data komputer itu bisa berupa berupa rahasia negara, perusahaan, data yang dipercayakan kepada seseorang dan data dalam situasi tertentu.

e. Data Diddling, yaitu suatu perbuatan yang mengubah data valid atau sah dengan cara tidak sah, mengubah input data atau output data.

f. To frustate data communication atau penyia-nyiaan data komputer.

g. Software piracy yaitu pembajakan perangkat lunak terhadap hak cipta yang dilindungi HAKI.

Contoh kasus cibercream :

1.       Pencurian dan penggunaan account Internet milik orang lain .
Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Yang dicuri adalah informasi saja. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut.

2.      Membajak situs web .
Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface.

3.      Probing dan port scanning .
Salah satu langkah yang dilakukan cracker sebelum masuk ke server yang ditargetkan adalah melakukan pengintaian. Cara yang dilakukan adalah dengan melakukan “port scanning” atau “probing” untuk melihat servis-servis apa saja yang tersedia di server target. Sebagai contoh, hasil scanning dapat menunjukkan bahwa server target menjalankan program web server Apache, mail server Sendmail, dan seterusnya.

4.      Berbagai program yang digunakan untuk melakukan probing atau portscanning ini dapat diperoleh secara gratis di Internet.
Salah satu program yang paling populer adalah “nmap” (untuk sistem yang berbasis UNIX, Linux) dan “Superscan” (untuk sistem yang berbasis Microsoft Windows). Selain mengidentifikasi port, nmap juga bahkan dapat mengidentifikasi jenis operating system yang digunakan.

5.      Virus .
Penyebaran virus umumnya dilakukan dengan menggunakan email. Seringkali orang yang sistem emailnya terkena virus tidak sadar akan hal ini.

6.      Denial of Service (DoS) dan Distributed DoS (DDos) attack .
DoS attack merupakan serangan yang bertujuan untuk melumpuhkan target (hang, crash) sehingga dia tidak dapat memberikan layanan. Serangan ini tidak melakukan pencurian, penyadapan, ataupun pemalsuan data. Akan tetapi dengan hilangnya layanan maka target tidak dapat memberikan servis sehingga ada kerugian finansial.

7.      Kejahatan yang berhubungan dengan nama domain .
Nama domain (domain name) digunakan untuk mengidentifikasi perusahaan dan merek dagang. Namun banyak orang yang mencoba menarik keuntungan dengan mendaftarkan domain nama perusahaan orang lain dan kemudian berusaha menjualnya dengan harga yang lebih mahal.

8.      IDCERT ( Indonesia Computer Emergency Response Team).
Salah satu cara untuk mempermudah penanganan masalah keamanan adalah dengan membuat sebuah unit untuk melaporkan kasus keamanan. Masalah keamanan ini di luar negeri mulai dikenali dengan munculnya “sendmail worm” (sekitar tahun 1988) yang menghentikan sistem email Internet kala itu. Kemudian dibentuk sebuah Computer Emergency Response Team (CERT). Semenjak itu di negara lain mulai juga dibentuk CERT untuk menjadi point of contact bagi orang untuk melaporkan masalah kemanan. IDCERT merupakan CERT Indonesia .

9.   Sertifikasi perangkat security . Perangkat yang digunakan untuk menanggulangi keamanan semestinya memiliki peringkat kualitas. Perangkat yang digunakan untuk keperluan pribadi tentunya berbeda dengan perangkat yang digunakan untuk keperluan militer. Namun sampai saat ini belum ada institusi yang menangani masalah evaluasi perangkat keamanan di Indonesia. Di Korea hal ini ditangani oleh Korea Information Security Agency.

Sumber :