RANGKUMAN AUDIT SISTEM INFORMASI
Nama kelompok : Fuadillah Al Khumairah (12115794)
Mohammad Iskandar (14115293)
Nur Adi Widyanto (15115160)
Sulis Andriany (16115704)
Kelas : 4KA11
UNIVERSITAS GUNADARMA
A. Proses Audit
1. Internal Control
Audit dan kontrol teknologi informasi merupakan peran yang penting karena dalam suatu perusahaan membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. Audit teknologi informasi dan kontrol menjelaskan sebuah proses untuk mereview dan memposisikan teknologi informasi sebagai instrument penting dalam pencapaian usaha bisnis korporasi dengan melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan, tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.
Internal Control , dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut. Internal Control memiliki beberapa tipe, yaitu :
· Kontrol Preventive
· Kontrol Preventive
Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut pandang teoritis, kontrol pencegahan selalu lebih disukai, karena alasan yang jelas. Namun, ketika Anda melakukan audit, ingat bahwa kontrol pencegahan tidak selalu merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih masuk akal dari titik keuntungan biaya / manfaat.
· Kontrol Detektif
Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.
· Kontrol Reaktif (Kontrol Koreksi)
Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna memiliki file tanda tangan terbaru yang dipasang.
2. Contoh Kontrol Internal
Kontrol Internal dapat diterapkan saat sedang meninjau sistem piutang akun perusahaan. Sistem itu ada untuk tujuan memastikan bahwa dapat melacak siapa yang berutang uang perusahaan Anda sehingga Anda dapat merengek deadbeats yang tidak membayar Anda, dan sehingga Anda mencatat pembayaran dengan benar dari mereka yang melakukannya.
Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep pengendalian internal:
· Software Change Control
Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem, sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak.
· Access Control
Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat.
· Backup and Disaster-Recovery Plans
Jika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau mengirim pembayaran baru.
3. Proses Audit
Konsep pengendalian internal sangat penting bagi profesi audit.Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut.Langkah yang harus diambil ialah :
· Perencanaan
Menentukan apa yang di rencanakan untuk ditinjau. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit.Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit.
· Kerja lapangan dan dokumentasi
Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor.
· Penemuan dan validasi masalah
Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial.Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan.Selain memvalidasi bahwa memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak.
· Pengembangan solusi
Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah.
· Laporan draf dan penerbitan
Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit.
· Pelacakan masalah
Audit berperan penting dalam melakukan dan memimpin audit untuk bertanggung jawab dalam menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Jika ternyata masalah tidak ditangani seperti yang disetujui, auditor bertanggung jawab untuk memulai prosedur eskalasi bila diperlukan.
B. Teknik Audit
1. Auditing Entity-Level Kontrol
Auditing Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi.
2. Pusat Data Audit dan Pemulihan bencana
Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
· Keamanan fisik dan pengendalian lingkungan
· Operasi pusat data
· Sistem dan ketahanan situs
· Kesiapsiagaan bencana
3. Mengaudit Router, Switch, dan Firewall
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir.
4. Mengaudit Windows
Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows.
5. Mengaudit Unix dan Linux
Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix).
6. Mengaudit Web Server dan Aplikasi Web
Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model.
7. Mengaudit Database
Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
· Access Control
Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat.
· Backup and Disaster-Recovery Plans
Jika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau mengirim pembayaran baru.
3. Proses Audit
Konsep pengendalian internal sangat penting bagi profesi audit.Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut.Langkah yang harus diambil ialah :
· Perencanaan
Menentukan apa yang di rencanakan untuk ditinjau. Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit.Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit.
· Kerja lapangan dan dokumentasi
Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor.
· Penemuan dan validasi masalah
Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial.Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk memperdalam daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan.Selain memvalidasi bahwa memiliki fakta-fakta sendiri secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak.
· Pengembangan solusi
Setelah mengidentifikasi potensi masalah di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah.
· Laporan draf dan penerbitan
Setelah menemukan masalah di lingkungan yang diaudit, validasikan dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, selanjutnya dapat menyusun laporan audit.
· Pelacakan masalah
Audit berperan penting dalam melakukan dan memimpin audit untuk bertanggung jawab dalam menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Jika ternyata masalah tidak ditangani seperti yang disetujui, auditor bertanggung jawab untuk memulai prosedur eskalasi bila diperlukan.
B. Teknik Audit
1. Auditing Entity-Level Kontrol
Auditing Entity-Level Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di seluruh organisasi.
2. Pusat Data Audit dan Pemulihan bencana
Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
· Keamanan fisik dan pengendalian lingkungan
· Operasi pusat data
· Sistem dan ketahanan situs
· Kesiapsiagaan bencana
3. Mengaudit Router, Switch, dan Firewall
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir.
4. Mengaudit Windows
Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows.
5. Mengaudit Unix dan Linux
Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix).
6. Mengaudit Web Server dan Aplikasi Web
Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model.
7. Mengaudit Database
Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
· Perizinan database
· Keamanan sistem operasi
· Fitur kekuatan dan manajemen kata sandi
· Aktivitas pemantauan
· Database enkripsi
· Database kerentanan, integritas, dan proses patching
8. Penyimpanan Audit
Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server.
9. Mengaudit Virtualized Lingkungan
Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu.
10. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data.
11. Permohonan Audit
Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri.
12. Mengaudit Komputasi Awan dan Outsource Operasi
Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal.
13. Proyek Perusahaan Audit
Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan.
C. Regulasi Audit
1. Pengantar Legislasi Terkait dengan Kontrol Internal
Kepentingan nasional, kepedulian industri, dan perebutan korporasi menciptakan pengemudi politik yang kuat. Politik dapat memiliki konotasi negatif, tetapi dalam konteks ini, "politik" hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan atau melindungi sekelompok orang yang representatif. Negara, industri, dan perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka. Standar dan legislasi adalah dua metode yang memastikan kekhawatiran ini terpenuhi.
2. Dampak Regulasi pada Audit TI
Peraturan dampak pada audit TI berkembang sebagai bisnis yang beradaptasi dengan kompleksitas untuk mematuhi beberapa otoritas.
3. Standar dan Kerangka Kerja Audit
Kerangka kerja dan standar muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja dan standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
4. GRAMM-LEACH-BLILEY ACT
Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
5. PERATURAN PRIVASI
· California SB 1386
California SB 1386 adalah salah satu hukum negara bagian pertama dan tentu saja yang paling terlihat yang berurusan dengan pelanggaran keamanan yang menyebabkan informasi pribadi untuk diungkapkan.
· Hukum Privasi Internasional
Meskipun undang-undang privasi A.S., termasuk SB 1386, menjadi lebih umum, beberapa undang-undang privasi internasional lebih ketat.
· Peraturan Eropa tentang Perlindungan Data Pribadi
Pada bulan Oktober 1995, Uni Eropa mengeluarkan Petunjuk Eropa tentang Perlindungan Data Pribadi. Arahan mengatur informasi pribadi dalam semua negara anggota Uni Eropa dan menempatkan persyaratan perlindungan minimum di atasnya.
· PIPEDA Kanada
Kanada memberlakukan undang-undang privasi nasional ini pada tahun 2004. Ini menetapkan ketentuan berikut untuk mengatur pengumpulan, penggunaan, dan pengungkapan informasi pribadi.
· Tren Hukum Privasi
Salah satu konsekuensi dari California SB 1386 adalah adopsi versi identik atau hampir identik dari tagihan oleh negara-negara lain di Amerika Serikat.Mengikuti berbagai macam hukum yang serupa merupakan tugas yang penting.
6. PORTABILITAS ASURANSI KESEHATAN DAN AKUNTABILITAS ACT OF 1996
Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).Tindakan itu mencakup dua bagian. Judul I memberikan perlindungan asuransi kesehatan setelah karyawan kehilangan atau mengganti pekerjaan. Judul II berkaitan dengan tindakan administratif yang cenderung menyederhanakan dan menstandardisasi informasi kesehatan.
7. KOMISI UNI EROPA DAN BASEL II
Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan dalam mengaudit standar, pengawasan, dan tanggung jawab dengan membuat arahan terkait dengan keuangan, transparansi, audit, standar akuntansi, dan informasi perusahaan jasa. Perbedaan utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE tidak merekomendasikan tingkat penegakan hukum.
8. STANDAR KEAMANAN DATA INDUSTRI KARTU PEMBAYARAN (PCI)
Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa.Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan.
9. TREN PERATURAN LAINNYA
Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi krisis, perlindungan data dan privasi adalah topik yang sangat mendesak bagi legislator.
D. Standar dan Kerangka Kerja Audit
1. Pengantar Kontrol, Kerangka, dan Standar TI Internal
Pada 1970-an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi di antara perusahaan publik.
Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit.
2. Komite Organisasi Sponsor
Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan terhadap krisis keuangan AS yang meningkat dan jeritan untuk melihat praktik akuntansi dan audit pemerintah.
Pada tahun 2001, COSO memulai inisiatif besar kedua yang bertujuan memperluas kerja sebelumnya pada kontrol internal untuk mengatasi penekanan yang semakin besar pada manajemen risiko. Pada waktu yang hampir bersamaan, Amerika Serikat dibebani dengan kegagalan sensasional Enron, Tyco, Global Crossing, Kmart, Adelphia, WorldCom, HealthSouth, dan banyak lainnya.
3. COBIT
COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI. Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide terbaik dari semua standar teknis dan profesional yang baik.
4. IT Infrastructure Library (ITIL)
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen dan penyediaan layanan di bidang infrastruktur. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka kerja terbaik ITIL.
Selain itu, pertumbuhan ITIL telah dilengkapi dengan proliferasi konsultansi profesional dan sertifikasi manajer ITIL yang menyediakan akses siap ke manfaat yang diperlukan untuk merencanakan, mengkonfigurasi, dan menerapkan standar.
5. ISO 27001
ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah rangkaian standar yang sama yang berkaitan dengan beberapa aspek praktik keamanan informasi, manajemen keamanan informasi, dan manajemen risiko keamanan informasi.
6. METODOLOGI PENILAIAN NSA INFOSEC
Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan dan saat ini dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.
7. KERANGKA DAN KECENDERUNGAN STANDAR
Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan menyederhanakan pengembangan produk teknologi, struktur organisasi, dan tujuan pengendalian.Sudut pandang lain menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan lain yang berbeda memastikan kerangka kendali yang diterima secara universal tidak akan pernah dibuat.
E. Manajemen Risiko
1. Manfaat Manajemen Risiko
Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik.Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.
2. UNSUR RISIKO
· Assets
Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau tidak disengaja.Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi.
· Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.
· Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.
3. ANALISIS RISIKO KUANTITATIF
Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:
Risiko = nilai aset × ancaman × kerentanan
· Keamanan sistem operasi
· Fitur kekuatan dan manajemen kata sandi
· Aktivitas pemantauan
· Database enkripsi
· Database kerentanan, integritas, dan proses patching
8. Penyimpanan Audit
Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server.
9. Mengaudit Virtualized Lingkungan
Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu.
10. Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data.
11. Permohonan Audit
Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri.
12. Mengaudit Komputasi Awan dan Outsource Operasi
Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal.
13. Proyek Perusahaan Audit
Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan.
C. Regulasi Audit
1. Pengantar Legislasi Terkait dengan Kontrol Internal
Kepentingan nasional, kepedulian industri, dan perebutan korporasi menciptakan pengemudi politik yang kuat. Politik dapat memiliki konotasi negatif, tetapi dalam konteks ini, "politik" hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan atau melindungi sekelompok orang yang representatif. Negara, industri, dan perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka. Standar dan legislasi adalah dua metode yang memastikan kekhawatiran ini terpenuhi.
2. Dampak Regulasi pada Audit TI
Peraturan dampak pada audit TI berkembang sebagai bisnis yang beradaptasi dengan kompleksitas untuk mematuhi beberapa otoritas.
3. Standar dan Kerangka Kerja Audit
Kerangka kerja dan standar muncul untuk memberikan panduan bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja dan standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
4. GRAMM-LEACH-BLILEY ACT
Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
5. PERATURAN PRIVASI
· California SB 1386
California SB 1386 adalah salah satu hukum negara bagian pertama dan tentu saja yang paling terlihat yang berurusan dengan pelanggaran keamanan yang menyebabkan informasi pribadi untuk diungkapkan.
· Hukum Privasi Internasional
Meskipun undang-undang privasi A.S., termasuk SB 1386, menjadi lebih umum, beberapa undang-undang privasi internasional lebih ketat.
· Peraturan Eropa tentang Perlindungan Data Pribadi
Pada bulan Oktober 1995, Uni Eropa mengeluarkan Petunjuk Eropa tentang Perlindungan Data Pribadi. Arahan mengatur informasi pribadi dalam semua negara anggota Uni Eropa dan menempatkan persyaratan perlindungan minimum di atasnya.
· PIPEDA Kanada
Kanada memberlakukan undang-undang privasi nasional ini pada tahun 2004. Ini menetapkan ketentuan berikut untuk mengatur pengumpulan, penggunaan, dan pengungkapan informasi pribadi.
· Tren Hukum Privasi
Salah satu konsekuensi dari California SB 1386 adalah adopsi versi identik atau hampir identik dari tagihan oleh negara-negara lain di Amerika Serikat.Mengikuti berbagai macam hukum yang serupa merupakan tugas yang penting.
6. PORTABILITAS ASURANSI KESEHATAN DAN AKUNTABILITAS ACT OF 1996
Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).Tindakan itu mencakup dua bagian. Judul I memberikan perlindungan asuransi kesehatan setelah karyawan kehilangan atau mengganti pekerjaan. Judul II berkaitan dengan tindakan administratif yang cenderung menyederhanakan dan menstandardisasi informasi kesehatan.
7. KOMISI UNI EROPA DAN BASEL II
Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan dalam mengaudit standar, pengawasan, dan tanggung jawab dengan membuat arahan terkait dengan keuangan, transparansi, audit, standar akuntansi, dan informasi perusahaan jasa. Perbedaan utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE tidak merekomendasikan tingkat penegakan hukum.
8. STANDAR KEAMANAN DATA INDUSTRI KARTU PEMBAYARAN (PCI)
Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa.Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan.
9. TREN PERATURAN LAINNYA
Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi krisis, perlindungan data dan privasi adalah topik yang sangat mendesak bagi legislator.
D. Standar dan Kerangka Kerja Audit
1. Pengantar Kontrol, Kerangka, dan Standar TI Internal
Pada 1970-an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan permintaan akan pertanggungjawaban dan transparansi di antara perusahaan publik.
Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit.
2. Komite Organisasi Sponsor
Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan terhadap krisis keuangan AS yang meningkat dan jeritan untuk melihat praktik akuntansi dan audit pemerintah.
Pada tahun 2001, COSO memulai inisiatif besar kedua yang bertujuan memperluas kerja sebelumnya pada kontrol internal untuk mengatasi penekanan yang semakin besar pada manajemen risiko. Pada waktu yang hampir bersamaan, Amerika Serikat dibebani dengan kegagalan sensasional Enron, Tyco, Global Crossing, Kmart, Adelphia, WorldCom, HealthSouth, dan banyak lainnya.
3. COBIT
COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI. Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide terbaik dari semua standar teknis dan profesional yang baik.
4. IT Infrastructure Library (ITIL)
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen dan penyediaan layanan di bidang infrastruktur. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka kerja terbaik ITIL.
Selain itu, pertumbuhan ITIL telah dilengkapi dengan proliferasi konsultansi profesional dan sertifikasi manajer ITIL yang menyediakan akses siap ke manfaat yang diperlukan untuk merencanakan, mengkonfigurasi, dan menerapkan standar.
5. ISO 27001
ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah rangkaian standar yang sama yang berkaitan dengan beberapa aspek praktik keamanan informasi, manajemen keamanan informasi, dan manajemen risiko keamanan informasi.
6. METODOLOGI PENILAIAN NSA INFOSEC
Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan dan saat ini dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.
7. KERANGKA DAN KECENDERUNGAN STANDAR
Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan menyederhanakan pengembangan produk teknologi, struktur organisasi, dan tujuan pengendalian.Sudut pandang lain menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan lain yang berbeda memastikan kerangka kendali yang diterima secara universal tidak akan pernah dibuat.
E. Manajemen Risiko
1. Manfaat Manajemen Risiko
Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik.Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.
2. UNSUR RISIKO
· Assets
Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau tidak disengaja.Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi.
· Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.
· Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.
3. ANALISIS RISIKO KUANTITATIF
Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:
Risiko = nilai aset × ancaman × kerentanan
4. ANALISIS RISIKO KUALITATIF
Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko.
5. SIKLUS HIDUP MANAJEMEN RISIKO TI
Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil karakteristik siklus hidup (Gambar 18-1). Ini dapat dibagi menjadi beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:
· Fase 1: Identifikasi Aset Informasi
Tujuan fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya.
· Fase 2: Hitung dan Kualifikasi Ancaman
Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka tidak diidentifikasi dengan benar.
· Fase 3: Menilai Kerentanan
Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi.
· Fase 4: Remediasi Celah Kontrol
Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.
· Fase 5: Mengelola Risiko Residual
Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk menanggapi ancaman yang muncul
· Fase 5: Mengelola Risiko Residual
Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk menanggapi ancaman yang muncul
0 Komentar:
Posting Komentar