AUDIT TEKNOLOGI SISTEM INFORMASI

RANGKUMAN BUKU

PENERJEMAH :

4KA11

KELOMPOK 6:

DAUD DINSYAFRI SULISTIANTO (11115602)
RINA GUNAWAN (16115007)
SHUHA MURSILA DALIMUNTE (16115558)

UNIVERSITAS GUNADARMA

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

2018/2019

A.   KONSEP AUDIT

Penerapan audit teknologi informasi dibentuk pada pertengahan 1960-an dan sejak saat ini mengalami perkembangan teknologi yang sangat pesat, sehingga telah berubah spesifikasinya. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur teknologi informasi. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi aset teknologi informasi. Menurut Asosiasi akuntansi Amerika, Auditing adalah sebuah proses sistematis untuk  secara obyektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan. Sedangkan menurut Ron Weber, Information System Control & Audit – 1999, audit sistem informasi adalah proses pengumpulan dan evaluasi bukti sehingga dapat menentukan apakah perlindungan sistem komputer aset, integritas data mempertahankan, memungkinkan tujuan organisasi yang akan dicapai secara efektif, dan menggunakan sumber daya secara efisien. Terkadang pengauditan sistem informasi memiliki tujuan lain yang pasti bahwa suatu organisasi mematuhi beberapa peraturan.

Sebagian besar departemen audit dibentuk oleh komite audit perusahaan (bagian dari dewan direksi) untuk memberikan komite dengan jaminan independen yang internal kontrol berada di tempat dan berfungsi secara efektif. Dengan kata lain, komite audit menginginkan grup obyektif yang akan menceritakan apa yang "benar-benar terjadi" di perusahaan. Komite menginginkan seseorang yang dapat dipercaya untuk mengungkapkan semua penjahat yang menolak untuk menerapkan kontrol internal. Departemen audit internal biasanya melapor langsung kepada ketua komite audit, sehingga mereka merasa terlindung dari dampak yang dapat ditimbulkan meniup peluit pada gerombolan manajer yang tidak jujur ​​dalam perusahaan.

Audit komite memiliki fungsi audit internal yang dapat berfungsi sebagai mata dan telinga mereka di dalam perusahaan.Ini sangat penting bagi komite untuk berfungsi dan melayani perusahaan pemegang saham.Selain itu, sebagian besar departemen audit perusahaan juga melapor kepada eksekutif dalam perusahaan, seperti chief executive officer (CEO) atau kepala keuangan petugas (CFO).

Oleh karena itu, misi nyata dari departemen audit internal adalah untuk membantu meningkatkan keadaan kontrol internal di perusahaan. Misi departemen audit internal ada dua:

• Untuk memberikan jaminan independen kepada komite audit (dan senior manajemen) bahwa pengendalian internal ada di perusahaan dan berada berfungsi secara efektif.

• Untuk meningkatkan keadaan kontrol internal di perusahaan dengan mempromosikan kontrol internal dan dengan membantu perusahaan mengidentifikasi kelemahan kontrol dan mengembangkan solusi hemat biaya untuk mengatasi kelemahan tersebut.

Internal Control

Internal Control, dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut.Internal Control memiliki beberapa tipe, yaitu :

1.    Preventive Control.

Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut pandang teoritis, kontrol pencegahan selalu lebih disukai, karena alasan yang jelas. Namun, ketika Anda melakukan audit, ingat bahwa kontrol pencegahan tidak selalu merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih masuk akal dari titik keuntungan biaya / manfaat.

2.    Detective Control.

Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.

3.    Reactive Control (Corrective Control).

Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna memiliki file tanda tangan terinstal terbaru. Idealnya, Anda dapat menonaktifkan akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis.

Internal Control Example

Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep pengendalian internal.

1.    Software Change Control

Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem, sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja kontrol internal yang akan mengurangi risiko tersebut?

·         Jangan izinkan akses logis pemrogram untuk memperbarui kode produksi.

·         Orang yang memiliki akses logis untuk memperbarui kode produksi tidak mungkin melakukannya tanpa bukti pengujian dan persetujuan.

2.    Access Control

Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat. Bagaimana caramengurangi risiko tersebut?

·         Minta ID pengguna dan kata sandi untuk mengakses sistem.

·         Memiliki sejumlah administrator keamanan aplikasi yang mengontrol kemampuanuntuk menambahkan akun pengguna baru ke sistem.

·         Pastikan bahw administrator keamanan aplikasi adalah individu berpengetahuan yang tahu pengguna mana yang benar-benar membutuhkan akses ke sistem.

3.    Backup and Disaster-Recovery Plans

Jika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau mengirim pembayaran baru.

B.  PROSES AUDIT

Tahapan Audit :

1.    Perencanaan

Menentukan apa yang di rencanakan untuk ditinjau. Jika proses perencanaan dilaksanakan secara efektif, itu akan membentuk tim audit untuk sukses. Sebaliknya, jika dilakukan dengan buruk dan pekerjaan dimulai tanpa rencana dan tanpa arah yang jelas, upaya tim audit dapat mengakibatkan kegagalan. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Audit perlu menentukan apa yang ingin dicapai dengan peninjauan. Sebagai bagian dari proses ini, harus mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:

• Hand off dari manajer audit

• Survei pendahuluan

• Permintaan pelanggan

• Daftar periksa standar

• Penelitian

2.    Kerja lapangan dan dokumentasi

Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.

Jika memungkinkan, auditor harus mencari cara untuk memvalidasi secara independen informasi yang diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru saja ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses sedang diikuti daripada wawancara.

Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai kesimpulan itu. ”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.

Proses dokumentasi mungkin tampak membosankan, tetapi ini penting. Pertama, diperlukan untuk memenuhi standar profesi. Kedua, adalah mungkin bahwa di masa depan temuan audit dapat dipertanyakan atau ditantang, dan auditor yang melakukan pekerjaan tersebut mungkin tidak lagi dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru saja melupakan detail dari audit). Akan sangat penting bahwa dokumentasi ada untuk menjelaskan dan proses audit dan memperkuat kesimpulan. Ketiga, jika audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi rinci akan memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim audit sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi yang berkelanjutan.

Satu catatan akhir tentang kerja lapangan: Selama tahap perencanaan, maka akan mengembangkan daftar periksa mengenai apa yang di rencanakan untuk tinjau selama audit. Pastikan daftar periksa tersebut tidak menyebabkan anggota tim audit mematikan penilaian yang baik. Tim perlu tetap fleksibel selama audit dan bersiap untuk mengeksplorasi jalan yang tidak dipertimbangkan selama fase perencanaan. Anggota tim selalu perlu mengingat keseluruhan tujuan audit dan bukan hanya menjadi robot mengikuti skrip kaleng. Juga penting bahwa setiap anggota tim memahami tujuan di balik langkah-langkah audit yang ditetapkan. Langkah-langkah ini harus berfungsi sebagai pedoman untuk mencapai tujuan, dan setiap auditor harus tetap kreatif dalam bagaimana langkah tersebut dilakukan. Jika langkah ini dilakukan, tetapi tidak benar-benar mengatasi risiko yang sedang diselidiki, auditor telah gagal.

3.       Penemuan dan validasi masalah

Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan, tetapi juga bisa tidak menyenangkan bagi Anda, karena mungkin menemukan bahwa tidak semua informasi akurat dan tidak semua masalah valid. Daripada membuat kasus federal dari setiap masalah potensial, maka ditekankan mengambil pendekatan lebih informal dengan cara menemukan sesuatu yang menarik dan dapat di diskusikan sehingga dapat memastikan terdapat fakta yang benar dan memahami resiko dengan benar. Sehingga auditor dapat bekerjasama dengan pelanggan dalam memvalidasi masalah dan mendorong pelanggan untuk mengambil kepemilikan masalah.

Selain memvalidasi bahwa memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.

Kecuali dalam bisnis yang sangat diatur, ambil pendekatan yang sama dengan kepatuhan pada kebijakan internal. Meskipun jelas penting bagi auditor TI untuk meninjau sistem agar sesuai dengan kebijakan keamanan TI internal perusahaan, pendekatannya tetap harus berbasis risiko. Ada kalanya suatu sistem secara teknis melanggar kebijakan, tetapi pelanggaran itu tidak merepresentasikan risiko nyata baik untuk mengurangi kontrol atau sifat dari sistem tertentu. Dalam kasus seperti itu, apa nilai dari mengangkat masalah? Demikian juga, dalam banyak kasus, auditor harus menyampaikan kekhawatiran yang tidak ada hubungannya dengan kebijakan tetapi malah melibatkan risiko terhadap lingkungan spesifik yang sedang ditinjau. Jangan biarkan tim audit Anda menjadi tim kepatuhan kebijakan. Sebagai gantinya, Anda harus mempertimbangkan kebijakan serta semua faktor relevan lainnya dalam mengevaluasi risiko nyata terhadap lingkungan yang sedang ditinjau.

4.       Pengembangan solusi

Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:

·         Pendekatan rekomendasi

Pada pendekatan ini auditor mengangkat masalah dan memberikan rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada pelanggan apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan mereka akan menyelesaikannya.

·         Pendekatan manajemen respons

Pada pendekatan ini auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk merespon dan rencana tindakan mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi. Dengan kata lain, pelanggan seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit.

·         Pendekatan solusi

Pada pendekatan ini auditor mengembangkan solusi yang mewakili rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat. Ini adalah kombinasi dari dua pendekatan sebelumnya, seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional reallife mereka. Hasilnya adalah solusi bahwa pelanggan "kepemilikan" dan itu memuaskan bagi auditor.

5.    Laporan draf dan penerbitan

Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit. Laporan audit merupakan bentuk dokumentasi dari hasil audit. Dalam hal ini ada dua fungsii utama yaitu :

·         Berfungsi sebagai catatan audit, hasilnya dan rencana aksi yang dihasilkan.

·         Untuk manajemen senior dan komite audit, berfungsi sebagai "kartu laporan" di area yang diaudit.

Ada tiga elemen penting dari laporan audit yaitu :

·         Pernyataan ruang lingkup audit

·         Ringkasan eksekutif

·         Daftar masalah, bersama dengan rencana aksi untuk menyelesaikannya

6.    Pelacakan masalah

Audit tidak benar-benar lengkap sampai masalah yang diangkat dalam audit diselesaikan, baik dengan resolusi yang diinginkan atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus mengembangkan suatu proses di mana para anggotanya dapat melacak dan menindaklanjuti isu-isu sampai mereka terselesaikan. Ini kemungkinan akan melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup, terlambat, dan seterusnya.

Audit berperan penting dalam melakukan dan memimpin audit untuk bertanggung jawab dalam menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu sampai poin jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan, tetapi harus berada dalam kontak reguler terkait status masalah. Ini melayani sejumlah tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan pelanggan saat keputusan sedang dibuat. Kedua, memungkinkan auditor untuk diberitahu lebih awal jika solusi yang diterapkan tidak sesuai dengan harapan. Dengan cara ini, auditor dapat mencoba untuk mengalihkan kegiatan sebelum hal-hal diselesaikan. Ketiga, jika masalah tidak diselesaikan, itu memungkinkan departemen audit untuk mencoba mengatasi masalah sebelum titik menjadi terlambat. Jika ternyata masalah tidak ditangani seperti yang disetujui, auditor bertanggung jawab untuk memulai prosedur eskalasi bila diperlukan.

C. TEKNIK AUDIT

1.    Auditing Entity-Level Kontrol

Auditing Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi informasi (TI) area seperti:

a.    Perencanaan strategis dan peta jalan teknologi

b.    Indikator kinerja dan metric

c.     Proses persetujuan dan pemantauan proyek

d.    Kebijakan, standar, dan prosedur

e.    Manajemen karyawan

f.      Pengelolaan aset dan kapasitas

g.    Manajemen perubahan konfigurasi system

2.    Pusat Data Audit dan Pemulihan bencana

Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data,merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritisaktivitas bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:

a.    Keamanan fisik dan pengendalian lingkungan

b.    Operasi pusat data

c.     Sistem dan ketahanan situs

d.    Kesiapsiagaan bencana

3.    Mengaudit Router, Switch, dan Firewall

Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkandata melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch,dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data,dan pengguna akhir. Berikut ini membahas bagaimana meninjau potongan-potongan kritis ,infrastruktur sambil membantu untuk melakukannya sebagai berikut :

a.    Mengungkap kompleksitas peralatan jaringan.

b.    Memahami kontrol jaringan kritis.

c.     Tinjau kontrol khusus untuk router, switch, dan firewall.

4.    Mengaudit Windows

Sistem operasiSistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadisalah satu sistem operasi paling umum di dunia untuk server dan klien, untukmencakup komponen dasar dari audit server Windows dan mencakup audit cepat untukKlien Windows,berikut pembahasan Audit server dan klien windows:

a.    Sejarah singkat pengembangan Windows

b.    Windows essentials: belajar tentang host target

c.     Bagaimana mengaudit server Windows

d.    Bagaimana mengaudit klien Windows

e.    Alat dan sumber daya untuk meningkatkan audit Windows Anda

5.    Mengaudit Unix dan Linux

Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:

a.    Sejarah Unix dan Linux

b.    Perintah dasar untuk berkeliling di lingkungan * nix

c.     Bagaimana mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:

·         Manajemen akun dan kontrol kata sandi

·         File keamanan dan control

·         Keamanan dan kontrol jaringan

·         Audit log

·         Monitoring keamanan dan kontrol umum

·         Alat dan sumber daya untuk meningkatkan audit

6.    Mengaudit Web Server dan Aplikasi Web

Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:

a.    Bagaimana mengaudit server web

b.    Bagaimana mengaudit aplikasi web

7.    Mengaudit Database

Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:

a.    Perizinan database

b.    Keamanan sistem operasi

c.     Fitur kekuatan dan manajemen kata sandi

d.    Aktivitas pemantauan

e.    Database enkripsi

f.      Database kerentanan, integritas, dan proses patching

8.    Penyimpanan Audit

Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:

a.    Ikhtisar teknis singkat tentang penyimpanan

b.    Bagaimana mengaudit lingkungan penyimpanan

c.     Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda

9.    Mengaudit Virtualized Lingkungan

Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanenjejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalahhypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang samauntuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalahdi bawah kendali , "Mengaudit Komputasi Awan dan Operasi Outsourcing "untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar.Dibawah ini mencakup hal-hal berikut:

a.    Sekilas singkat teknis virtualisasi

b.    Bagaimana mengaudit lingkungan virtualisasi

c.     Alat dan sumber daya untuk meningkatkan audit virtualisasi Anda

10.  Mengaudit WLAN dan Telepon genggam

Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:

a.    Latar belakang teknologi WLAN dan perangkat mobile

b.    Masalah audit penting untuk teknologi ini

c.     Langkah dan saran teknis utama mengenai bagaimana mendekati teknologi

d.    Langkah operasional yang diperlukan agar teknologi ini beroperasi secara efisien
di jaringan anda

11.  Permohonan Audit

Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional,danoleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab ini:

a.    Komponen penting dari audit aplikasi

b.    Bagaimana menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci

c.     Langkah terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:

·         Kontrol input

·         Kontrol antarmuka

·         Jejak audit

·         Kontrol akses

·         Kontrol perubahan perangkat lunak

·         Backup dan pemulihan

·         Retensi data dan klasifikasi dan keterlibatan pengguna

12.  Mengaudit Komputasi Awan dan Outsource Operasi

Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:

a.    Definisi komputasi awan dan bentuk lain dari outsourcing TI

b.    SAS 70 melaporkan

c.     Kontrol seleksi vendor

d.    Item untuk disertakan dalam kontrak vendor

e.    Persyaratan keamanan data

f.      Masalah operasional

g.    Masalah hukum dan kepatuhan peraturan

13.  Proyek Perusahaan Audit

Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:

a.    Kunci keberhasilan manajemen proyek

b.    Kebutuhan pengumpulan dan desain awal

c.     Desain dan pengembangan system

d.    Pengujian

e.    Implementasi

f.      Pelatihan

g.    Membungkus proyek

AUDITING DATA CENTERS & DISASTER RECOVERY

Physical Security and Environmental Controls

Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut sebagai keamanan fisik dan kontrol lingkungan, yaitu :

1.    Facilityaccess control systems(sistem kontrol akses fasilitas)

Sistem kontrol akses fasilitas mengautentikasi pekerja sebelum memberikan entri fisik ke fasilitas, dengan tujuan melindungi sistem informasi yang berada di dalam pusat data.

2.    Alarm systems(sistem alarm)

Karena api, air, tingkat panas dan kelembaban yang ekstrim, fluktuasi daya, dan gangguan fisik mengancam operasi pusat data, pusat data harus menerapkan beberapa jenis sistem alarm yang berbeda, seperti :

·         Alarm pencuri (dengan pintu magnet, jendela, atau sensor kabinet; sensor gerak; dan terkadang sensor audio)

·         Alarm kebakaran (biasanya panas dan / atau sensor yang diaktifkan oleh asap yang dipecah menjadi zona yang mencakup berbagai bagian fasilitas)

·         Alarm air (biasanya dengan sensor di bawah lantai yang ditinggikan, dekat kamar mandi, atau di pipa saluran air)

3.    Fire suppression systems (sistem pencegah kebakaran).

Karena banyaknya peralatan listrik, api merupakan ancaman utama bagi pusat data.Oleh karena itu, pusat data biasanya dilengkapi dengan sistem penekan api yang canggih dan harus memiliki sejumlah alat pemadam api yang cukup.Secara umum, sistem penahan api datang dalam dua varietas: sistem berbasis air dan sistem berbasis gas.

Data Center Operations

Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur:

·         Physical access control (Kontrol akses fisik)

·         System and facility monitoring (Pemantauan sistem dan fasilitas)

·         Facility and equipment planning, tracking, and maintenance (Perencanaan fasilitas, peralatan, pelacakan, dan pemeliharaan)

·         Response procedures for outages, emergencies, and alarm condition (Prosedur respons untuk pemadaman, keadaan darurat, dan kondisi alarm)

Disaster Preparedness (Kesiapsiagaan Bencana)

Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan bahwa ketika bencana melanda suatu pusat data, organisasi fasilitas seperti itu mulai berhenti. Tugas auditor adalah mengidentifikasi dan mengukur kontrol fisik dan administratif di fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk hal-hal berikut:

·         System resiliency (Ketahanan sistem).

·         Data backup and restore (Pencadangan dan pemulihan data).

·         Disaster recovery planning (Perencanaan pemulihan bencana).

Auditing Switches, Routers, and Firewalls

Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh langkah-langkah khusus berlaku untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.

Langkah-langkah Audit Peralatan Jaringan Umum

1.    Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.

2.    Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

3.     Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.

4.    Pastikan bahwa praktik manajemen SNMP yang baik diikuti.

5.    Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

6.    Pastikan bahwa kontrol kata sandi yang sesuai digunakan.

7.    Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.

8.    Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.

9.    Pastikan cadangan saat ini ada untuk file konfigurasi.

10.  Evaluasilah penggunaan Network Time Protocol (NTP).

11.  Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung menyadari kebijakan perusahaan untuk digunakan dan memantau.

12.  Pastikan bahwa kontrol akses diterapkan ke port konsol.

13.  Pastikan semua peralatan jaringan disimpan di lokasi yang aman.

14.  Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.

15.  Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat jaringan.

D. REGULASI AUDIT

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :

1.    Tahapan PengidentifikasianObjek yang Diaudit

Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.

2.    Tahapan Evaluasi Audit

Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.

Pengantar Legislasi Terkait dengan Kontrol Internal

Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturanyang mengatur bagaimana perusahaan bekerja bersama dan bagaimana informasi dibagikan. Strategisdan kemitraan kolaboratif telah berevolusi dengan badan-badan seperti Organisasi InternasionalStandardisasi (ISO), Komisi Elektroteknik Internasional (IEC),International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia(WTO). Partisipasi dalam badan-badan standar ini telah bersifat sukarela, dengan kesamaantujuan mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah melangkah lebih jauhuntuk membentuk kontrol pemerintah atas kegiatan bisnis perusahaanberoperasi dalam batas-batas mereka.

Dampak Regulasi pada Audit TI

Peraturan dampak pada audit TI berkembang sebagai bisnis yang beradaptasi dengan kompleksitas untuk mematuhi beberapa otoritas. Selama dekade terakhir, pemerintah AS telah melewati berbagai tindakan privasi khusus industri dan peraturan lainnya. Masing-masing telah lulus dengan maksud melindungi konsumen bisnis. Akibatnya, internal dan kelompok audit eksternal diberi tugas untuk meninjau ulang proses dan prosedur bisnis memastikan ada kontrol yang sesuai yang melindungi kepentingan bisnis dan konsumen.

Pertimbangkan Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen fungsional bisnis saat ini terus menarik tuntutan kemitraan yang lebih tinggi pada organisasi TI untuk mendukung proses bisnis. Koneksi yang saling terkait antara TI kontrol dan fungsi bisnis pendukungnya telah membuat upaya besar untuk ikat kontrol TI spesifik untuk proses bisnis yang ada dan yang baru. Upaya tersebut terdiri anggota parlemen berusaha melindungi konsumen, layanan keuangan mencoba melindungi aset mereka, vendor yang membantu mencoba menjual lebih banyak produk, dan bisnis yang berusaha mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.

            Asosiasi Internasional Auditor Internal (IIA) dan Informasi Internasional Sistem Audit dan Pengendalian Asosiasi (ISACA) mempublikasikan pedoman untuk membantu anggota kelompok audit internal dan eksternal ini dalam membentuk kontrol umum dan proses audit. Teknologi dapat mempengaruhi setiap bagian dari bisnis. Diarahkan, dikontrol, dan efisien, yang terbaik, teknologi menawarkan keunggulan kompetitif. Yang terburuk, teknologi adalah keunggulan pesaing Anda ketika Anda tidak memiliki kegiatan yang sesuai dan proses di tempat untuk memastikan tata kelola, manajemen risiko, atau kepatuhan manajemen teknologi dan organisasi.

E.  STANDAR DAN KERANGKA KERJA AUDIT

Pengantar Kontrol TI Internal, Kerangka, dan Standar

Pada 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan banyak akuntabilitas dan transparansi di antara publik yang dipegang perusahaan.

Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada tangisan untukpengawasan pemerintah terhadap standar akuntansi dan profesi audit.

            Dalam upaya untuk mencegah intervensi pemerintah, sebuah sektor swasta independen, yang kemudian disebut Committee of Sponsoring Organizations (COSO), didirikan pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan.

COSO

COSO dibentuk oleh lima asosiasi profesional utama diAmerika Serikat:

·   American Institute of Certified Public Accountants (AICPA) 

·   American Accounting Association (AAA) 

·   Financial Executives Institute (FEI) 

·   Institute of Internal Auditors (IIA) 

·   Institute of Management Accountants (IMA)

Karya COSO sampai hari ini masih diterima sebagai ahli pengendalian internal modern dan praktik manajemen resiko perusahaan.COSOmerevolusi profesi akuntansi dan audit dengan membentuk kesamaandefinisi untuk pengendalian internal, manajemen risiko perusahaan, dan konsep fundamental lainnya.

Definisi Kontrol Internal COSO

               Kontrol internal adalah suatu proses yang dipengaruhi oleh dewan direksi, manajemen, dan entitas personel lain, yang dirancang untuk memberikan jaminan yang wajar terkait sebuah tujuan dalam kategori berikut:

·         Efektifitas dan efisiensi operasi

·         Kehandalan dalam pelaporan keuangan

·         Kepatuhan dengan hukum dan peraturan yang berlaku

Konsep Kunci dari Pengendalian Internal

Berikut ini adalah konsep kunci dari pengendalian internal menurut COSO:

·         Kontrol internal adalah suatu proses. Ini adalah sarana untuk mencapai tujuan, tetapi bukan akhir  dari kontrol internal itu sendiri.

·         Kontrol internal dipengaruhi oleh orang. Ini bukan hanyakebijakan danbentuk manual, tetapi orang-orang di setiap tingkat organisasi.

·         Kontrol internaldiharapkan dapat memberikan jaminan yang wajar, tidak jaminan mutlak, kepada manajemen dan dewan entitas.

·         Kontrol internal diarahkan untuk pencapaian tujuan dalam satu atau lebihkategori terpisah tetapi tumpang tindih.

Kerangka Internal Kontrol Terintegrasi

Sebagaimana dijelaskan oleh COSO, pengendalian internal terdiri dari lima komponen yang saling terkait:

• Lingkungan kontrol

• Tugas beresiko

• Aktivitas kontrol

• Informasi dan Komunikasi

• Pemantauan

               Ini berasal dari cara manajemen menjalankan bisnis dan terintegrasi denganproses manajemen perusahaan.Meskipun komponennya berlaku untuk semua entitas,perusahaan kecil dan menengah dapat menerapkannya secara berbeda dari yang besar. Kontrol nya mungkin kurang formal dan kurang terstruktur, namun perusahaan kecil masih bisa memiliki kontrol internal yang efektif.

Manajemen Risiko Perusahaan — Kerangka Kerja Terintegrasi

COSO menerbitkan Enterprise Risk Management — Integrated Framework pada tahun 2004 untuk menyediakan perusahaan dengan patokan untuk mengelola risiko dalam organisasi mereka.

Definisi COSO Mengenai Manajemen Risiko Perusahaan

Manajemen risiko perusahaan adalah sebuah proses, dipengaruhi oleh dewan direksi, manajemen, dan personel lainnya, yang diterapkan dalam pengaturan strategi dan di seluruh perusahaan dan dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko dalam risk appetite, untuk memberikan jaminan yang layak mengenai pencapaian tujuan entitas.

Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan adalah:

•       Suatu proses, yang sedang berlangsung dan mengalir melalui suatu entitas;

•       Terpengaruh oleh orang di setiap tingkat organisasi;

•       Diterapkan dalam pengaturan strategi;

•       Diterapkan di seluruh perusahaan, di setiap level dan unit, dan termasuk mengambiltampilan portofolio tingkat entitas;

•       Dirancang untuk mengidentifikasi peristiwa potensial yangjika terjadi, akan mempengaruhi entitas

•       Mampu memberikan jaminan yang wajar kepada manajemen dan dewan entitasdirektur;

•       Diarahkan menuju pencapaian tujuan dalam satu atau lebih terpisah tetapikategori tumpang tindih.

Manajemen Resiko Perusahaan-Konsep Kerangka Kerja Terintegrasi

Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai suatu tujuan, yang ditetapkan dalam empat kategori berikut:

•       Strategis, sasaran tingkat tinggi dibarengi dengan apa yang mendukung misinya.

•       Operasi, penggunaan sumber yang efektif dan efisien.

•       Laporan, kehandalan dalam melaporkan.

•       Kepatuhan, kepatuhan dengan hukum dan peraturan yang berlaku.

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Ini adalahberasal dari cara manajemen menjalankan suatu perusahaan dan terintegrasi dengan manajemen proses.

•       Lingkungan internal

•       Pengaturan tujuan

•       Identifikasi acara

•       Tugas beresiko

•       Respons risiko

•       Aktivitas kontrol

•       Informasi dan Komunikasi

•       Pemantauan

Hubungan Antara Kontrol Internal Publikasi Manajemen Risiko Perusahaan

               Karena Kerangka Kerja Kontrol Internal Terpadu telah teruji oleh waktu dan merupakan dasar untuk aturan, peraturan, dan hukum yang ada, dokumen tetap di tempat sebagai definisi dan kerangka kerja untuk pengendalian internal. Pada saat yang sama, kontrol internal bagian integral dari manajemen risiko perusahaan. Kerangka manajemen risiko perusahaan menggabungkan pengendalian internal, membentuk konseptualisasi tambahan dan alat untuk manajemen.

COBIT

               COBIT (Control Objectives for Information and Related Technology) pertama kali diterbitkan pada April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk mengelola dan mengontrol TI. Versi terbaru, COBIT 4.1dirilis pada tahun 2007.

KONSEP COBIT

               COBIT membagi tujuan kontrol utamanya menjadi empat domain: merencanakan dan mengatur, memperolehdan menerapkan, memberikan dan mendukung, serta memantau dan mengevaluasi. Masing-masing domainmenunjukkan aktivitas pengendalian TI kunci yang terkait dengan area tersebut.Kerangka kerja ini menyoroti tujuh kualitas informasi:

•       Efektivitas

•       Efisiensi

•       Kerahasiaan

•       Integritas

•       Ketersediaan

•       Kepatuhan

•       Keandalan

F. Manajemen Risiko

Manajemen Risiko Terintegrasi (MRT) adalah sebuah proses yang dijalankan oleh dewan komisaris dan direksi, manajemen, dan personel lainnya, diaplikasikan dalam penyusunan strategi, diterapkan di seluruh perusahaan, dirancang untuk mengidentifikasi kejadian yang berpotensi memengaruhi perusahaan, dan mengelola risiko tersebut agar tetap berada dalam selera risiko perusahaan, demi memberikan jaminan yang masuk akal (reasonable assurance) atas pencapaian tujuan-tujuan perusahaan.

Manfaat Manajemen Risiko

Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan.Selama beberapa tahun yang lalu, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik.Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, itu bisa sumber daya langsung yang sesuai untuk mengurangi area dengan risiko tertinggi daripada pembelanjaan sumber daya langka di area yang memberikan sedikit atau tanpa pengembalian investasi (ROI).Hasil netnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dihabiskan.

Manajemen Risiko dari Perspektif Eksekutif

            Kebenarannya adalah, merupakan risiko dan imbalan. Eksekutif dituntut untuk menimbangmanfaat investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar menjadicukup mahir mengukur risiko melalui analisis ROI, indikator kinerja utama,dan segudang alat analisis finansial dan operasional lainnya. Agar berhasil dalam mengelolarisiko TI organisasi, Anda harus memahami bahwa eksekutif melihat risiko dalam keuanganistilah. Akibatnya, beberapa jenis analisis keuangan biasanya diperlukan untuk membuat bisniskasus untuk investasi dalam kontrol tambahan.

Unsur Risiko

1.    Assets

Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja.Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi.

2.    Ancaman

Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan.Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.

3.    Kerentanan

Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu.Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol.Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.

A.   Analisis Risiko Kuantitatif

Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:

Risiko = nilai aset × ancaman × kerentanan

B.   Analisis Risiko Kualitatif

Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko.

Seperti disebutkan sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif saling melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk investasi mitigasi risiko.

C.   Siklus Hidup Manajemen Risiko TI

Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil karakteristik siklus hidup (Gambar 18-1).Ini dapat dibagi menjadi beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:

·         Fase 1: Identifikasi Aset Informasi

Tujuan fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya.

·         Fase 2: Hitung dan Kualifikasi Ancaman

Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan.Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka tidak diidentifikasi dengan benar.

·         Fase 3: Menilai Kerentanan

Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi.

·         Fase 4: Remediasi Celah Kontrol

Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.

·         Fase 5: Mengelola Risiko Residual

Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk menanggapi ancaman yang muncul