AUDIT TEKNOLOGI SISTEM INFORMASI
RANGKUMAN BUKU
PENERJEMAH :
4KA11
KELOMPOK 6:
DAUD DINSYAFRI SULISTIANTO
(11115602)
RINA GUNAWAN (16115007)
SHUHA MURSILA DALIMUNTE (16115558)
RINA GUNAWAN (16115007)
SHUHA MURSILA DALIMUNTE (16115558)
UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
2018/2019
A. KONSEP
AUDIT
Penerapan audit teknologi
informasi dibentuk pada pertengahan 1960-an dan sejak saat ini mengalami
perkembangan teknologi yang sangat pesat, sehingga telah berubah
spesifikasinya. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam
infrastruktur teknologi informasi. Praktek Audit menjamin kelangsungan bisnis
dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan
tindakan perlindungan untuk melindungi aset teknologi informasi. Menurut
Asosiasi akuntansi Amerika, Auditing adalah sebuah proses sistematis untuk secara obyektif mendapatkan dan mengevaluasi
bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi,
untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria
yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai
yang berkepentingan. Sedangkan menurut Ron Weber, Information System Control
& Audit – 1999, audit sistem informasi adalah proses pengumpulan dan
evaluasi bukti sehingga dapat menentukan apakah perlindungan sistem komputer
aset, integritas data mempertahankan, memungkinkan tujuan organisasi yang akan
dicapai secara efektif, dan menggunakan sumber daya secara efisien. Terkadang
pengauditan sistem informasi memiliki tujuan lain yang pasti bahwa suatu
organisasi mematuhi beberapa peraturan.
Sebagian besar departemen audit dibentuk oleh
komite audit perusahaan (bagian dari dewan direksi) untuk memberikan komite
dengan jaminan independen yang internal kontrol berada di tempat dan berfungsi
secara efektif. Dengan kata lain, komite audit menginginkan grup obyektif yang
akan menceritakan apa yang "benar-benar terjadi" di perusahaan.
Komite menginginkan seseorang yang dapat dipercaya untuk mengungkapkan semua
penjahat yang menolak untuk menerapkan kontrol internal. Departemen audit
internal biasanya melapor langsung kepada ketua komite audit, sehingga mereka
merasa terlindung dari dampak yang dapat ditimbulkan meniup peluit pada
gerombolan manajer yang tidak jujur dalam perusahaan.
Audit komite
memiliki fungsi audit internal yang dapat berfungsi sebagai mata dan telinga
mereka di dalam perusahaan.Ini sangat penting bagi komite untuk berfungsi dan
melayani perusahaan pemegang saham.Selain itu, sebagian besar departemen audit
perusahaan juga melapor kepada eksekutif dalam perusahaan, seperti chief
executive officer (CEO) atau kepala keuangan petugas (CFO).
Oleh karena
itu, misi nyata dari departemen audit internal adalah untuk membantu
meningkatkan keadaan kontrol internal di perusahaan. Misi departemen audit
internal ada dua:
• Untuk memberikan jaminan independen
kepada komite audit (dan senior manajemen) bahwa pengendalian internal ada di
perusahaan dan berada berfungsi secara efektif.
• Untuk meningkatkan keadaan kontrol
internal di perusahaan dengan mempromosikan kontrol internal dan dengan
membantu perusahaan mengidentifikasi kelemahan kontrol dan mengembangkan solusi
hemat biaya untuk mengatasi kelemahan tersebut.
Internal
Control
Internal
Control, dinyatakan dalam istilah yang paling
sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam
perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan
bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan
tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk
mengurangi risiko-risiko tersebut.Internal
Control
memiliki beberapa tipe, yaitu :
1. Preventive Control.
Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya,
membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol
pencegahan. Ini mencegah (secara teoritis) orang yang tidak sah mengakses
sistem. Dari sudut pandang teoritis, kontrol pencegahan selalu lebih disukai,
karena alasan yang jelas. Namun, ketika Anda melakukan audit, ingat bahwa
kontrol pencegahan tidak selalu merupakan solusi yang paling hemat biaya, dan
jenis kontrol lain mungkin lebih masuk akal dari titik keuntungan biaya /
manfaat.
2. Detective Control.
Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya,
mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda
meninjau log untuk mencari aktivitas yang tidak sesuai dengan aturan setelah
acara.
3. Reactive Control (Corrective Control).
Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka
tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara
sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki
situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif.
Misalnya, Anda mungkin memiliki sistem antivirus pusat yang mendeteksi apakah
setiap PC pengguna memiliki file tanda tangan terinstal terbaru. Idealnya, Anda dapat menonaktifkan akses jaringan ke mesin apa pun yang
tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis.
Internal
Control Example
Berikut ini adalah
beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep pengendalian
internal.
1. Software Change Control
Jika perubahan pada kode sistem itu sendiri tidak
disetujui dan diuji dengan benar, Anda mungkin menemukan bahwa logika yang
dijalankan oleh kode itu salah. Ini mungkin berarti Anda kehilangan kepercayaan
pada integritas data di dalam sistem, sehingga tidak tahu pasti siapa yang
telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja kontrol
internal yang akan mengurangi risiko tersebut?
·
Jangan izinkan akses logis
pemrogram untuk memperbarui kode produksi.
·
Orang yang memiliki akses
logis untuk memperbarui kode produksi tidak mungkin melakukannya tanpa bukti pengujian dan persetujuan.
2. Access Control
Jika akses ke sistem diberikan kepada orang yang tidak
memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau
dihapus secara tidak tepat. Bagaimana caramengurangi risiko tersebut?
·
Minta ID pengguna dan kata
sandi untuk mengakses sistem.
·
Memiliki sejumlah
administrator keamanan aplikasi yang mengontrol kemampuanuntuk menambahkan akun
pengguna baru ke sistem.
·
Pastikan bahw administrator
keamanan aplikasi adalah individu berpengetahuan yang tahu pengguna mana yang
benar-benar membutuhkan akses ke sistem.
3. Backup and Disaster-Recovery Plans
Jika sistem atau datanya hilang, fungsionalitas sistem tidak akan
tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang
luar biasa atau mengirim pembayaran baru.
B. PROSES AUDIT
Tahapan Audit :
1.
Perencanaan
Menentukan apa yang
di rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara
efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan
dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas,
upaya tim audit dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan
adalah untuk menentukan tujuan dan ruang lingkup audit. Audit perlu menentukan
apa yang ingin dicapai dengan peninjauan. Sebagai bagian dari proses ini, harus
mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan
audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan
pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber
dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:
•
Hand off dari manajer audit
•
Survei pendahuluan
•
Permintaan pelanggan
•
Daftar periksa standar
•
Penelitian
2.
Kerja lapangan dan
dokumentasi
Sebagian besar audit
terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap
sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan
melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi
risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.
Jika memungkinkan,
auditor harus mencari cara untuk memvalidasi secara independen informasi yang
diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak
selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji
sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui
permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna
yang baru saja ditambahkan untuk melihat apakah mereka memang menerima
persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan
bahwa proses sedang diikuti daripada wawancara.
Dokumentasi juga
merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan
yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat
dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci
sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah
dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada
dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah
yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai
kesimpulan itu. ”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan
poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau
teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus
diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.
Proses dokumentasi
mungkin tampak membosankan, tetapi ini penting. Pertama, diperlukan untuk
memenuhi standar profesi. Kedua, adalah mungkin bahwa di masa depan temuan
audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan
tersebut mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada
saat itu (atau mungkin baru saja melupakan detail dari audit). Akan sangat
penting bahwa dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat
kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan
dokumentasi rinci akan memungkinkan tim audit berikutnya untuk belajar dari
pengalaman tim audit sebelumnya, sehingga memungkinkan untuk perbaikan dan
efisiensi yang berkelanjutan.
Satu catatan akhir
tentang kerja lapangan: Selama tahap perencanaan, maka akan mengembangkan
daftar periksa mengenai apa yang di rencanakan untuk tinjau selama audit.
Pastikan daftar periksa tersebut tidak menyebabkan anggota tim audit mematikan
penilaian yang baik. Tim perlu tetap fleksibel selama audit dan bersiap untuk
mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan.
Anggota tim selalu perlu mengingat keseluruhan tujuan audit dan bukan hanya
menjadi robot mengikuti skrip kaleng. Juga penting bahwa setiap anggota tim
memahami tujuan di balik langkah-langkah audit yang ditetapkan. Langkah-langkah
ini harus berfungsi sebagai pedoman untuk mencapai tujuan, dan setiap auditor
harus tetap kreatif dalam bagaimana langkah tersebut dilakukan. Jika langkah
ini dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang
diselidiki, auditor telah gagal.
3.
Penemuan dan validasi
masalah
Saat melaksanakan
kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas
merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati
untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah
valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan
potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati
menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar
masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan, tetapi juga
bisa tidak menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua
informasi akurat dan tidak semua masalah valid. Daripada membuat kasus federal
dari setiap masalah potensial, maka ditekankan mengambil pendekatan lebih
informal dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan
sehingga dapat memastikan terdapat fakta yang benar dan memahami resiko dengan
benar. Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi
masalah dan mendorong pelanggan untuk mengambil kepemilikan masalah.
Selain memvalidasi
bahwa memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi
bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk
dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi
mengangkat masalah. Sebaliknya, isu yang diangkat harus memberikan risiko
signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami
seluruh gambar sebelum menentukan apakah Anda memiliki masalah yang layak
dilaporkan.
Kecuali dalam bisnis
yang sangat diatur, ambil pendekatan yang sama dengan kepatuhan pada kebijakan
internal. Meskipun jelas penting bagi auditor TI untuk meninjau sistem agar
sesuai dengan kebijakan keamanan TI internal perusahaan, pendekatannya tetap
harus berbasis risiko. Ada kalanya suatu sistem secara teknis melanggar
kebijakan, tetapi pelanggaran itu tidak merepresentasikan risiko nyata baik
untuk mengurangi kontrol atau sifat dari sistem tertentu. Dalam kasus seperti
itu, apa nilai dari mengangkat masalah? Demikian juga, dalam banyak kasus,
auditor harus menyampaikan kekhawatiran yang tidak ada hubungannya dengan
kebijakan tetapi malah melibatkan risiko terhadap lingkungan spesifik yang
sedang ditinjau. Jangan biarkan tim audit Anda menjadi tim kepatuhan kebijakan.
Sebagai gantinya, Anda harus mempertimbangkan kebijakan serta semua faktor
relevan lainnya dalam mengevaluasi risiko nyata terhadap lingkungan yang sedang
ditinjau.
4.
Pengembangan solusi
Setelah
mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi
fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana
tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang
dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar
diatasi. Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item
tindakan untuk mengatasi masalah audit:
·
Pendekatan
rekomendasi
Pada pendekatan ini
auditor mengangkat masalah dan memberikan rekomendasi untuk mengatasinya.
Mereka kemudian bertanya kepada pelanggan apakah mereka setuju dengan
rekomendasi tersebut dan, jika ya, kapan mereka akan menyelesaikannya.
·
Pendekatan manajemen respons
Pada pendekatan ini
auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan
untuk merespon dan rencana tindakan mereka. Kadang-kadang auditor mengirim
rekomendasi mereka untuk resolusi bersama dengan masalah, dan kadang-kadang
mereka hanya mengirim masalah tanpa rekomendasi. Dengan kata lain, pelanggan
seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan
audit.
·
Pendekatan solusi
Pada pendekatan ini
auditor mengembangkan solusi yang mewakili rencana aksi yang
dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat. Ini
adalah kombinasi dari dua pendekatan sebelumnya, seperti halnya pendekatan
rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan
kontrol mereka. Seperti halnya pendekatan manajemen-respons, pelanggan
menyediakan ide untuk resolusi berdasarkan pengetahuan operasional reallife
mereka. Hasilnya adalah solusi bahwa pelanggan "kepemilikan" dan itu
memuaskan bagi auditor.
5.
Laporan draf dan
penerbitan
Setelah menemukan
masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan
mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan
audit. Laporan audit merupakan bentuk dokumentasi dari hasil audit. Dalam hal
ini ada dua fungsii utama yaitu :
·
Berfungsi sebagai
catatan audit, hasilnya dan rencana aksi yang dihasilkan.
·
Untuk manajemen
senior dan komite audit, berfungsi sebagai "kartu laporan" di area
yang diaudit.
Ada tiga elemen penting dari
laporan audit yaitu :
·
Pernyataan ruang
lingkup audit
·
Ringkasan eksekutif
·
Daftar masalah,
bersama dengan rencana aksi untuk menyelesaikannya
6.
Pelacakan masalah
Audit tidak benar-benar lengkap sampai
masalah yang diangkat dalam audit diselesaikan, baik dengan resolusi yang
diinginkan atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen
audit harus mengembangkan suatu proses di mana para anggotanya dapat melacak
dan menindaklanjuti isu-isu sampai mereka terselesaikan. Ini kemungkinan akan
melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh
tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup,
terlambat, dan seterusnya.
Audit berperan penting dalam melakukan dan
memimpin audit untuk bertanggung jawab dalam menindaklanjuti poin-poin dari
audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh
tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu sampai poin
jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan, tetapi harus
berada dalam kontak reguler terkait status masalah. Ini melayani sejumlah
tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan pelanggan saat
keputusan sedang dibuat. Kedua, memungkinkan auditor untuk diberitahu lebih
awal jika solusi yang diterapkan tidak sesuai dengan harapan. Dengan cara ini,
auditor dapat mencoba untuk mengalihkan kegiatan sebelum hal-hal diselesaikan.
Ketiga, jika masalah tidak diselesaikan, itu memungkinkan departemen audit
untuk mencoba mengatasi masalah sebelum titik menjadi terlambat. Jika ternyata
masalah tidak ditangani seperti yang disetujui, auditor bertanggung jawab untuk
memulai prosedur eskalasi bila diperlukan.
C.
TEKNIK AUDIT
1.
Auditing
Entity-Level Kontrol
Auditing
Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang
meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di
seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit
teknologi informasi (TI) area seperti:
a.
Perencanaan
strategis dan peta jalan teknologi
b.
Indikator
kinerja dan metric
c.
Proses
persetujuan dan pemantauan proyek
d.
Kebijakan,
standar, dan prosedur
e.
Manajemen
karyawan
f.
Pengelolaan
aset dan kapasitas
g.
Manajemen
perubahan konfigurasi system
2. Pusat Data Audit dan Pemulihan bencana
Fasilitas
pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat
data,merupakan inti dari sebagian besar operasi organisasi modern, yang
mendukung hampir semua hal yang kritisaktivitas bisnis. Berikut ini merupakan
langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
a.
Keamanan
fisik dan pengendalian lingkungan
b.
Operasi
pusat data
c.
Sistem
dan ketahanan situs
d.
Kesiapsiagaan
bencana
3.
Mengaudit
Router, Switch, dan Firewall
Jaringan
adalah latar belakang mendasar dari infrastruktur operasi TI , yang
memungkinkandata melintang antara pengguna, penyimpanan data, dan pengolahan
data. Router, switch,dan firewall bekerja sama untuk memungkinkan transfer data
sekaligus melindungi jaringan, data,dan pengguna akhir. Berikut ini membahas
bagaimana meninjau potongan-potongan kritis ,infrastruktur sambil membantu
untuk melakukannya sebagai berikut :
a.
Mengungkap
kompleksitas peralatan jaringan.
b.
Memahami
kontrol jaringan kritis.
c.
Tinjau
kontrol khusus untuk router, switch, dan firewall.
4.
Mengaudit
Windows
Sistem
operasiSistem operasi Windows telah berkembang dari awal yang sederhana dan
berkembang menjadisalah satu sistem operasi paling umum di dunia untuk server
dan klien, untukmencakup komponen dasar dari audit server Windows dan mencakup
audit cepat untukKlien Windows,berikut pembahasan Audit server dan klien
windows:
a.
Sejarah
singkat pengembangan Windows
b.
Windows
essentials: belajar tentang host target
c.
Bagaimana
mengaudit server Windows
d.
Bagaimana
mengaudit klien Windows
e.
Alat
dan sumber daya untuk meningkatkan audit Windows Anda
5.
Mengaudit
Unix dan Linux
Sistem operasi
membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix
dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal
berikut:
a.
Sejarah
Unix dan Linux
b.
Perintah
dasar untuk berkeliling di lingkungan * nix
c. Bagaimana mengaudit sistem Unix dan
Linux, dengan fokus pada bidang utama berikut:
·
Manajemen
akun dan kontrol kata sandi
·
File
keamanan dan control
·
Keamanan
dan kontrol jaringan
·
Audit
log
·
Monitoring
keamanan dan kontrol umum
·
Alat
dan sumber daya untuk meningkatkan audit
6.
Mengaudit
Web Server dan Aplikasi Web
Pertumbuhan
eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan,
bahasa pemrograman, web browser, database, dan berbeda model client-server.
Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan
kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak
seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
a.
Bagaimana
mengaudit server web
b.
Bagaimana
mengaudit aplikasi web
7.
Mengaudit
Database
Mengaudit
Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan
audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan
data:
a.
Perizinan
database
b.
Keamanan
sistem operasi
c.
Fitur
kekuatan dan manajemen kata sandi
d.
Aktivitas
pemantauan
e.
Database
enkripsi
f.
Database
kerentanan, integritas, dan proses patching
8.
Penyimpanan
Audit
Penyimpanan
audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan
menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan
kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan
persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas
data yang berbeda, dibawah ini mencakup hal-hal berikut:
a.
Ikhtisar
teknis singkat tentang penyimpanan
b.
Bagaimana
mengaudit lingkungan penyimpanan
c.
Alat
dan sumber daya untuk meningkatkan audit penyimpanan Anda
9.
Mengaudit
Virtualized Lingkungan
Inovasi dalam
virtualisasi sistem operasi dan perangkat keras server diubah secara
permanenjejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan
virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi
dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor
dan sistem operasi tamu. Meski fokus adalahhypervisor dan virtualisasi server,
bisa menerapkan banyak langkah dan konsep yang samauntuk virtualisasi desktop
,membuat asumsi bahwa komponen sistem ini adalahdi bawah kendali ,
"Mengaudit Komputasi Awan dan Operasi Outsourcing "untuk panduan
bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan
dengan benar.Dibawah ini mencakup hal-hal berikut:
a.
Sekilas
singkat teknis virtualisasi
b.
Bagaimana
mengaudit lingkungan virtualisasi
c.
Alat
dan sumber daya untuk meningkatkan audit virtualisasi Anda
10. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN
dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area
lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung
data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor
operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile
data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled
serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:
a.
Latar
belakang teknologi WLAN dan perangkat mobile
b.
Masalah
audit penting untuk teknologi ini
c.
Langkah
dan saran teknis utama mengenai bagaimana mendekati teknologi
d.
Langkah
operasional yang diperlukan agar teknologi ini beroperasi secara efisien
di jaringan anda
di jaringan anda
11. Permohonan Audit
Setiap
aplikasi unik, apakah mendukung fungsi keuangan atau operasional,danoleh karena
itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak
mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap
aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang
seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa
pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab
ini:
a.
Komponen
penting dari audit aplikasi
b.
Bagaimana
menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
c.
Langkah
terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
·
Kontrol
input
·
Kontrol
antarmuka
·
Jejak
audit
·
Kontrol
akses
·
Kontrol
perubahan perangkat lunak
·
Backup
dan pemulihan
·
Retensi
data dan klasifikasi dan keterlibatan pengguna
12. Mengaudit Komputasi Awan dan Outsource
Operasi
Mengaudit
Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat
mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk
yang berikut ini:
a.
Definisi
komputasi awan dan bentuk lain dari outsourcing TI
b.
SAS
70 melaporkan
c.
Kontrol
seleksi vendor
d.
Item
untuk disertakan dalam kontrak vendor
e.
Persyaratan
keamanan data
f.
Masalah
operasional
g.
Masalah
hukum dan kepatuhan peraturan
13. Proyek Perusahaan Audit
Proyek
Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses
yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal
berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
a.
Kunci
keberhasilan manajemen proyek
b.
Kebutuhan
pengumpulan dan desain awal
c.
Desain
dan pengembangan system
d.
Pengujian
e.
Implementasi
f.
Pelatihan
g.
Membungkus
proyek
AUDITING
DATA CENTERS & DISASTER RECOVERY
Physical
Security and Environmental Controls
Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang
biasa disebut sebagai keamanan fisik dan kontrol lingkungan, yaitu :
1.
Facilityaccess control systems(sistem
kontrol akses fasilitas)
Sistem
kontrol akses fasilitas mengautentikasi pekerja sebelum memberikan entri fisik
ke fasilitas, dengan tujuan melindungi sistem informasi yang berada di dalam
pusat data.
2.
Alarm
systems(sistem alarm)
Karena api,
air, tingkat panas dan kelembaban yang ekstrim, fluktuasi daya, dan gangguan
fisik mengancam operasi pusat data, pusat data harus menerapkan beberapa jenis
sistem alarm yang berbeda,
seperti :
·
Alarm pencuri (dengan pintu magnet, jendela, atau sensor
kabinet; sensor gerak; dan terkadang sensor audio)
·
Alarm kebakaran (biasanya panas dan / atau sensor yang
diaktifkan oleh asap yang dipecah menjadi zona yang mencakup berbagai bagian
fasilitas)
·
Alarm air (biasanya dengan sensor di bawah lantai yang
ditinggikan, dekat kamar mandi, atau di pipa saluran air)
3.
Fire
suppression systems (sistem pencegah kebakaran).
Karena banyaknya
peralatan listrik, api merupakan ancaman utama bagi pusat data.Oleh karena itu,
pusat data biasanya dilengkapi dengan sistem penekan api yang canggih dan harus
memiliki sejumlah alat pemadam api yang cukup.Secara umum, sistem penahan api
datang dalam dua varietas: sistem berbasis air dan sistem berbasis gas.
Data Center Operations
Meskipun pusat data dirancang untuk menjadi otomatis,
mereka memang membutuhkan staf untuk beroperasi. Akibatnya, operasi pusat data
harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap
untuk menemukan bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan
prosedur:
·
Physical
access control (Kontrol akses fisik)
·
System
and facility monitoring (Pemantauan sistem dan fasilitas)
·
Facility
and equipment planning, tracking, and maintenance (Perencanaan fasilitas,
peralatan, pelacakan, dan pemeliharaan)
·
Response
procedures for outages, emergencies, and alarm condition (Prosedur respons
untuk pemadaman, keadaan darurat, dan kondisi alarm)
Disaster Preparedness (Kesiapsiagaan Bencana)
Semua pusat data rentan terhadap bencana alam dan buatan
manusia. Sejarah menunjukkan bahwa ketika bencana melanda suatu pusat data,
organisasi fasilitas seperti itu mulai berhenti. Tugas auditor adalah
mengidentifikasi dan mengukur kontrol fisik dan administratif di fasilitas yang
mengurangi risiko gangguan pemrosesan data, termasuk hal-hal berikut:
·
System resiliency (Ketahanan
sistem).
·
Data backup and restore (Pencadangan
dan pemulihan data).
·
Disaster recovery planning (Perencanaan
pemulihan bencana).
Auditing Switches, Routers,
and Firewalls
Langkah-langkah audit dibagi
menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah audit
umum berlaku untuk peralatan jaringan secara umum, diikuti oleh langkah-langkah khusus berlaku untuk
router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa
menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda
butuhkan untuk menyelesaikan audit.
Langkah-langkah Audit Peralatan Jaringan Umum
1. Tinjau kontrol di sekitar pengembangan dan pertahankan
konfigurasi.
2. Pastikan bahwa terdapat kontrol yang sesuai untuk setiap
kerentanan yang terkait dengan versi perangkat lunak saat ini. Kontrol ini
mungkin termasuk pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol
kompensasi lainnya.
3. Verifikasi bahwa
semua layanan yang tidak diperlukan dinonaktifkan.
4. Pastikan bahwa praktik manajemen SNMP yang baik diikuti.
5. Tinjau dan evaluasi prosedur untuk membuat akun pengguna
dan memastikan bahwa akun dibuat hanya ketika ada kebutuhan bisnis yang sah.
Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau
dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan
pekerjaan.
6. Pastikan bahwa kontrol kata sandi yang sesuai digunakan.
7. Verifikasi bahwa protokol manajemen aman digunakan jika
memungkinkan.
8. Pastikan bahwa cadangan saat ini ada untuk file
konfigurasi.
9. Pastikan cadangan saat ini ada untuk file konfigurasi.
10. Evaluasilah penggunaan Network Time Protocol (NTP).
11. Pastikan spanduk dikonfigurasi untuk membuat semua
pengguna yang terhubung menyadari kebijakan perusahaan untuk digunakan dan
memantau.
12. Pastikan bahwa kontrol akses diterapkan ke port konsol.
13. Pastikan semua peralatan jaringan disimpan di lokasi yang
aman.
14. Pastikan bahwa konvensi penamaan standar digunakan untuk
semua perangkat.
15. Verifikasi bahwa proses standar dan terdokumentasi ada
untuk membangun perangkat jaringan.
D.
REGULASI AUDIT
Uji kepatutan (compliance test) dilakukan dengan menguji
kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap
standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari
hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji
tersebut antara lain akan dipaparkan sebagaimana berikut :
1.
Tahapan
PengidentifikasianObjek yang Diaudit
Tujuan dari langkah ini agar pengaudit mengenal lebih
jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang
membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas
yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas
yang didukung TI memenuhi objektif kontrol terkait.
2.
Tahapan
Evaluasi Audit
Tujuan dari tahapan ini adalah untuk mendapatkan prosedur
tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur
kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu
mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI.
Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung
jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
Pengantar Legislasi Terkait dengan
Kontrol Internal
Sifat global bisnis dan teknologi mendorong kebutuhan akan
standar dan peraturanyang mengatur bagaimana perusahaan bekerja bersama dan
bagaimana informasi dibagikan. Strategisdan kemitraan kolaboratif telah
berevolusi dengan badan-badan seperti Organisasi InternasionalStandardisasi
(ISO), Komisi Elektroteknik Internasional (IEC),International Telecommunication
Union (ITU), dan Organisasi Perdagangan Dunia(WTO). Partisipasi dalam
badan-badan standar ini telah bersifat sukarela, dengan kesamaantujuan
mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah
melangkah lebih jauhuntuk membentuk kontrol pemerintah atas kegiatan bisnis
perusahaanberoperasi dalam batas-batas mereka.
Dampak Regulasi pada Audit TI
Peraturan dampak pada audit TI berkembang sebagai bisnis
yang beradaptasi dengan kompleksitas untuk mematuhi beberapa otoritas. Selama
dekade terakhir, pemerintah AS telah melewati berbagai tindakan privasi khusus
industri dan peraturan lainnya. Masing-masing telah lulus dengan maksud
melindungi konsumen bisnis. Akibatnya, internal dan kelompok audit eksternal
diberi tugas untuk meninjau ulang proses dan prosedur bisnis memastikan ada
kontrol yang sesuai yang melindungi kepentingan bisnis dan konsumen.
Pertimbangkan
Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen
fungsional bisnis saat ini terus menarik tuntutan kemitraan yang lebih tinggi
pada organisasi TI untuk mendukung proses bisnis. Koneksi yang saling terkait
antara TI kontrol dan fungsi bisnis pendukungnya telah membuat upaya besar
untuk ikat kontrol TI spesifik untuk proses bisnis yang ada dan yang baru.
Upaya tersebut terdiri anggota parlemen berusaha melindungi konsumen, layanan
keuangan mencoba melindungi aset mereka, vendor yang membantu mencoba menjual
lebih banyak produk, dan bisnis yang berusaha mematuhi persyaratan yang
tampaknya berkembang dan tidak konsisten.
Asosiasi
Internasional Auditor Internal (IIA) dan Informasi Internasional Sistem Audit
dan Pengendalian Asosiasi (ISACA) mempublikasikan pedoman untuk membantu
anggota kelompok audit internal dan eksternal ini dalam membentuk kontrol umum
dan proses audit. Teknologi dapat mempengaruhi setiap bagian dari bisnis.
Diarahkan, dikontrol, dan efisien, yang terbaik, teknologi menawarkan
keunggulan kompetitif. Yang terburuk, teknologi adalah keunggulan pesaing Anda
ketika Anda tidak memiliki kegiatan yang sesuai dan proses di tempat untuk
memastikan tata kelola, manajemen risiko, atau kepatuhan manajemen teknologi
dan organisasi.
E. STANDAR DAN KERANGKA KERJA AUDIT
Pengantar
Kontrol TI Internal, Kerangka, dan Standar
Pada 1970-an, kekhawatiran
atas meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai
meningkatkan permintaan banyak akuntabilitas dan transparansi di antara publik
yang dipegang perusahaan.
Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada tangisan untukpengawasan pemerintah terhadap standar akuntansi dan profesi audit.
Dalam upaya untuk mencegah intervensi pemerintah, sebuah sektor swasta independen, yang kemudian disebut Committee of Sponsoring Organizations (COSO), didirikan pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan.
COSO
COSO dibentuk oleh lima asosiasi profesional utama diAmerika Serikat:
· American Institute of Certified Public Accountants (AICPA)
· American Accounting Association (AAA)
· Financial Executives Institute (FEI)
· Institute of Internal Auditors (IIA)
· Institute of Management Accountants (IMA)
Karya COSO sampai hari ini masih diterima sebagai ahli pengendalian internal modern dan praktik manajemen resiko perusahaan.COSOmerevolusi profesi akuntansi dan audit dengan membentuk kesamaandefinisi untuk pengendalian internal, manajemen risiko perusahaan, dan konsep fundamental lainnya.
Definisi Kontrol Internal COSO
Kontrol internal adalah suatu proses yang dipengaruhi oleh dewan direksi, manajemen, dan entitas personel lain, yang dirancang untuk memberikan jaminan yang wajar terkait sebuah tujuan dalam kategori berikut:
· Efektifitas dan efisiensi operasi
· Kehandalan dalam pelaporan keuangan
· Kepatuhan dengan hukum dan peraturan yang berlaku
Konsep Kunci dari Pengendalian Internal
Berikut ini adalah konsep kunci dari pengendalian internal menurut COSO:
· Kontrol internal adalah suatu proses. Ini adalah sarana untuk mencapai tujuan, tetapi bukan akhir dari kontrol internal itu sendiri.
· Kontrol internal dipengaruhi oleh orang. Ini bukan hanyakebijakan danbentuk manual, tetapi orang-orang di setiap tingkat organisasi.
· Kontrol internaldiharapkan dapat memberikan jaminan yang wajar, tidak jaminan mutlak, kepada manajemen dan dewan entitas.
· Kontrol internal diarahkan untuk pencapaian tujuan dalam satu atau lebihkategori terpisah tetapi tumpang tindih.
Kerangka Internal Kontrol Terintegrasi
Sebagaimana dijelaskan oleh COSO, pengendalian internal terdiri dari lima komponen yang saling terkait:
• Lingkungan kontrol
• Tugas beresiko
• Aktivitas kontrol
• Informasi dan Komunikasi
• Pemantauan
Ini berasal dari cara manajemen menjalankan bisnis dan terintegrasi denganproses manajemen perusahaan.Meskipun komponennya berlaku untuk semua entitas,perusahaan kecil dan menengah dapat menerapkannya secara berbeda dari yang besar. Kontrol nya mungkin kurang formal dan kurang terstruktur, namun perusahaan kecil masih bisa memiliki kontrol internal yang efektif.
Manajemen Risiko Perusahaan — Kerangka Kerja Terintegrasi
COSO menerbitkan
Enterprise Risk Management — Integrated Framework pada tahun 2004 untuk
menyediakan perusahaan dengan patokan untuk mengelola risiko dalam organisasi
mereka.
Definisi COSO Mengenai Manajemen Risiko Perusahaan
Manajemen risiko
perusahaan adalah sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan
personel lainnya, yang diterapkan dalam pengaturan strategi dan di seluruh
perusahaan dan dirancang untuk mengidentifikasi peristiwa potensial yang dapat
mempengaruhi entitas, dan mengelola risiko dalam risk appetite, untuk
memberikan jaminan yang layak mengenai pencapaian tujuan entitas.
Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan adalah:
• Suatu proses, yang sedang berlangsung dan mengalir melalui suatu entitas;
• Terpengaruh oleh orang di setiap tingkat organisasi;
• Diterapkan dalam pengaturan strategi;
• Diterapkan di seluruh perusahaan, di setiap level dan unit, dan termasuk mengambiltampilan portofolio tingkat entitas;
• Dirancang untuk mengidentifikasi peristiwa potensial yangjika terjadi, akan mempengaruhi entitas
• Mampu memberikan jaminan yang wajar kepada manajemen dan dewan entitasdirektur;
• Diarahkan menuju pencapaian tujuan dalam satu atau lebih terpisah tetapikategori tumpang tindih.
Manajemen Resiko Perusahaan-Konsep Kerangka Kerja Terintegrasi
Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai suatu tujuan, yang ditetapkan dalam empat kategori berikut:
• Strategis, sasaran tingkat tinggi dibarengi dengan apa yang mendukung misinya.
• Operasi, penggunaan sumber yang efektif dan efisien.
• Laporan, kehandalan dalam melaporkan.
• Kepatuhan, kepatuhan dengan hukum dan peraturan yang berlaku.
Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Ini adalahberasal dari cara manajemen menjalankan suatu perusahaan dan terintegrasi dengan manajemen proses.
• Lingkungan internal
• Pengaturan tujuan
• Identifikasi acara
• Tugas beresiko
• Respons risiko
• Aktivitas kontrol
• Informasi dan Komunikasi
• Pemantauan
Hubungan Antara Kontrol Internal Publikasi Manajemen Risiko Perusahaan
Karena Kerangka Kerja Kontrol Internal Terpadu telah teruji oleh waktu dan merupakan dasar untuk aturan, peraturan, dan hukum yang ada, dokumen tetap di tempat sebagai definisi dan kerangka kerja untuk pengendalian internal. Pada saat yang sama, kontrol internal bagian integral dari manajemen risiko perusahaan. Kerangka manajemen risiko perusahaan menggabungkan pengendalian internal, membentuk konseptualisasi tambahan dan alat untuk manajemen.
COBIT
COBIT (Control Objectives for Information and Related Technology) pertama kali diterbitkan pada April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk mengelola dan mengontrol TI. Versi terbaru, COBIT 4.1dirilis pada tahun 2007.
KONSEP COBIT
COBIT membagi tujuan kontrol utamanya menjadi empat domain: merencanakan dan mengatur, memperolehdan menerapkan, memberikan dan mendukung, serta memantau dan mengevaluasi. Masing-masing domainmenunjukkan aktivitas pengendalian TI kunci yang terkait dengan area tersebut.Kerangka kerja ini menyoroti tujuh kualitas informasi:
• Efektivitas
• Efisiensi
• Kerahasiaan
• Integritas
• Ketersediaan
• Kepatuhan
• Keandalan
F. Manajemen Risiko
Manajemen Risiko
Terintegrasi (MRT) adalah sebuah proses yang dijalankan oleh dewan komisaris
dan direksi, manajemen, dan personel lainnya, diaplikasikan dalam penyusunan
strategi, diterapkan di seluruh perusahaan, dirancang untuk mengidentifikasi
kejadian yang berpotensi memengaruhi perusahaan, dan mengelola risiko tersebut
agar tetap berada dalam selera risiko perusahaan, demi memberikan jaminan yang
masuk akal (reasonable assurance) atas pencapaian tujuan-tujuan perusahaan.
Manfaat Manajemen Risiko
Tidak
diragukan lagi potensi manajemen risiko TI masih dirahasiakan.Selama beberapa
tahun yang lalu, banyak organisasi telah meningkatkan efektivitas kontrol TI
mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan
praktik manajemen risiko yang baik.Ketika manajemen memiliki pandangan yang
mewakili eksposur TI organisasi, itu bisa sumber daya langsung yang sesuai
untuk mengurangi area dengan risiko tertinggi daripada pembelanjaan sumber daya
langka di area yang memberikan sedikit atau tanpa pengembalian investasi
(ROI).Hasil netnya adalah tingkat pengurangan risiko yang lebih tinggi untuk
setiap dolar yang dihabiskan.
Manajemen Risiko dari Perspektif Eksekutif
Kebenarannya adalah, merupakan risiko dan imbalan. Eksekutif dituntut untuk menimbangmanfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar menjadicukup mahir mengukur risiko melalui analisis ROI, indikator kinerja utama,dan segudang alat analisis finansial dan operasional lainnya. Agar berhasil dalam mengelolarisiko TI organisasi, Anda harus memahami bahwa eksekutif melihat risiko dalam keuanganistilah. Akibatnya, beberapa jenis analisis keuangan biasanya diperlukan untuk membuat bisniskasus untuk investasi dalam kontrol tambahan.
Unsur Risiko
1. Assets
Biasanya
direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai
sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau
dihancurkan oleh tindakan yang disengaja atau disengaja.Pada kenyataannya,
nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk
mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan
memperhitungkan biaya garis bawah kompromi.
2. Ancaman
Ancaman
dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan
menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa
datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial.
Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam
tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya.
Faktor eksposur digunakan untuk mewakili tingkat kehilangan.Ini hanyalah
perkiraan persentase kerugian aset jika ancaman direalisasikan.
3. Kerentanan
Kerentanan
dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang
melindungi aset tertentu.Kerentanan diperkirakan sebagai persentase berdasarkan
tingkat kelemahan kontrol.Kita dapat menghitung defisiensi kontrol (CD) dengan
mengurangi efektifitas kontrol sebesar 1 atau 100 persen.
A.
Analisis Risiko Kuantitatif
Dengan sedikit pengecualian,
apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai
jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat
ditentukan dengan perhitungan berikut:
Risiko = nilai aset × ancaman ×
kerentanan
B.
Analisis Risiko Kualitatif
Berbeda dengan pendekatan
kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat
memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode
kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus
pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah,
kuning, dan hijau untuk mengevaluasi risiko.
Seperti disebutkan
sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif saling
melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi
manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif
untuk membangun kasus bisnis untuk investasi mitigasi risiko.
C.
Siklus Hidup Manajemen Risiko TI
Seperti kebanyakan
metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil
karakteristik siklus hidup (Gambar 18-1).Ini dapat dibagi menjadi beberapa
tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen
risiko residual. Fase spesifiknya adalah sebagai berikut:
·
Fase
1: Identifikasi Aset Informasi
Tujuan
fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan
setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah
untuk persyaratan kerahasiaan, integritas, dan ketersediaannya.
·
Fase
2: Hitung dan Kualifikasi Ancaman
Ancaman
informasi berdampak pada organisasi melalui loyalitas merek yang berkurang,
kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan
peraturan.Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena
mereka tidak diidentifikasi dengan benar.
·
Fase
3: Menilai Kerentanan
Pada
fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common
denominator adalah aset informasi, karena setiap ancaman terkait dengan aset
informasi.
·
Fase
4: Remediasi Celah Kontrol
Pada
titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah.
Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena
kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.
·
Fase
5: Mengelola Risiko Residual
Risiko
pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai
pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi
dalam kontrol baru untuk menanggapi ancaman yang muncul
Komentar
Posting Komentar