IT Delivery and Support

S1 Akuntansi FE Untar
By : Henryanto Wijaya

1
 Learning Objectives

1. Security Management Control

2. Operation Management Control

3. Approach to Auditing Network Security

4. Auditing Infrastructure and Operations
 Security Management Control

Sebuah program keamanan adalah seri yang

berlangsung, teratur, review berkala dilakukan
untuk memastikan bahwa aset yang terkait
dengan fungsi sistem informasi dilindungi
secara memadai
 Prepare a project plan

Identify assets

Value assets
Major Steps
in the Conduct of a Identify threats
Security Program
Assess likelihood of threats

Analyze exposures

Adjust controls

Prepare security report

 Project Plan Component
• Tujuan dari kajian tersebut
• Lingkup review
• Tugas yang harus diselesaikan
• Organisasi rencana proyek
• Sumber anggaran
• Jadwal penyelesaian tugas
 Categories of Personnel
IS Assets
Hardware

Physical Facilities

Documentation

Assets
Supplies

Data/information
Logical
Software
Factors that Affect Valuation of IS Assets

Who How
values ? lost ?

Loss Asset
period ? ASSET
age ?
VALUE ?
 Jenis Ancaman Menghadapi IS Aktiva

Nature of
Threat

Accidental Deliberate

e.g. e.g.
External Acts of God Hackers
Source
of
Threat
e.g. e.g.
Internal
Pollution Sabotage

Then assess its likelihood . . . . .

8
 Identify the controls in
Major Tasks in the place
Exposure Analysis Phase

Assess the reliability of

the controls in place

Evaluate the likelihood a

threat will be successful

Assess the resulting loss

if the threat is successful
9
 Ancaman besar ke IS Fungsi

• kerusakan Api
• kerusakan Air
• variasiEnergi
• kerusakan Struktural
• Polusi
• intrusi yangTidak Sah
• Virus dan worm
• Penyalahgunaan perangkat lunak, data, dan layanan
 Controls of Last Resort –
Disaster Recovery Plan
• Rencana darurat, menentukan:
Tindakan yang harus dilakukan segera ketika
bencana terjadi
• rencana Backup, menentukan:
-Jenis cadangan untuk disimpan
-Prosedur untuk membuat cadangan
-Lokasi sumber daya cadangan
-Situs di mana sumber daya tersebut dapat –
dirakit dan operasi dimulai kembali
 Controls of Last Resort –
Disaster Recovery Plan
• Rencana Pemulihan:
Dimaksudkan untuk mengembalikan operasi ini dengan
cepat sehingga fungsi IS dapat melanjutkan ke layanan
organisasi
prosedur keluar Set untuk mengembalikan kemampuan
fungsi IS

• Rencana Test:
Untuk mengidentifikasi kekurangan dalam cadangan,
darurat, atau rencana pemulihan atau dalam kesiapan
organisasi dan personilnya dalam hal terjadi bencana
 Organization Location of the IS Security
Administration Function ( )

President President

Accountant CIO

Operations
President President manager

Manager
CIO
security

IS security IS security
manager manager 13
 Operation Management
• Bertanggung jawab atas menjalankan sehari-
hari fasilitas hardware dan software

• Produksi sistem aplikasi dapat menyelesaikan

pekerjaan mereka

• Pengembangan staf dapat merancang,

mengimplementasikan, dan memelihara sistem
aplikasi
 Computer Operations
• Operasi kontrol
• Penjadwalan kontrol
komputer hanya digunakan untuk tujuan resmi dan
bahwa konsumsi sumber daya sistem yang efisien
• Pemeliharaan kontrol
Pencegahan dan perbaikan pemeliharaan

Network Operations
• WAN
• LAN
 Faktor Harus Dipertimbangkan dalam Penyusunan dan Entry Data

• Petir di daerah keyboard harus memadai tanpa menyebabkan

silau

• Akustik lingkungan harus tidak terlalu berisik atau terlalu

tenang

• Tata letak area kerja harus rapi untuk memudahkan alur kerja

• peralatan kantor ergonomis dirancang harus digunakan untuk

mengurangi kemungkinan cedera punggung atau strain
Production Control :
• Input/output control

• Job-scheduling control

• Management of service-level agreement

• Transfer pricing/chargeout control

• Acquisition of consumables
File Library :
• Penyimpanan media penyimpanan
• Penggunaan media penyimpanan
• Pemeliharaan dan pelepasan media penyimpanan
• Lokasi media penyimpanan
Documentation and Program Librarian’s Function
• Memastikan dokumentasi yang disimpan dengan aman
• Memastikan bahwa hanya personil yang berwenang mendapatkan
akses ke dokumentasi
• Memastikan dokumentasi yang disimpan up-to-date
• Memastikan bahwa ada cukup cadangan untuk dokumentasi

Help Desk / Technical Support:

• Akuisisi perangkat keras dan perangkat lunak pada nama

pengguna akhir
• Membantu pemakai akhir dengan kesulitan hardware dan
software
• Pelatihan pengguna akhir untuk menggunakan hardware,
software, dan database
Perencanaan Kapasitas dan Pengawasan Kinerja:

• Mengevaluasi apakah profil kinerja menunjukkan

kegiatan yang tidak sah mungkin terjadi
• Tentukan apakah kinerja sistem dapat diterima
• Lebih keras dan perangkat lunak sistem mungkin
diperlukan

Management of Outsourced Management:

• Keuangan viabilitas vendor outsourcing
• Kepatuhan dengan syarat kontrak outsourcing dan
kondisi
• Keandalan pengendalian outsourcing vendor
• Outsourcing kontrol pemulihan bencana
Pendekatan Audit Keamanan Jaringan

• Hari ini ... ...

-Hidup di dunia yang tersambung
-Meningkatkan integrasi sistem
-IS perlu untuk menjangkau pengguna, vendor, pelanggan dan mitra

• Isu:
-Keuntungan jaminan tentang keamanan
-Terhubung ke setiap komputer lain melalui Internet
-Jaringan dan sistem terpisah dan dilindungi

Jaringan Audit :
• Audit perangkat lunak aplikasi

• Audit sistem operasi dan database

• Audit keamanan fisik dan lingkungan

• Audit kelangsungan bisnis (ini telah dibahas dalam isu-isu sebelumnya kolom TI Dasar Audit)

• Audit keamanan jaringan

Kerentanan Jaringan
• Interception
Setelah dicegat, ada risiko dari pengungkapan yang tidak diinginkan,
yaitu, data seseorang mencuri atau memodifikasi data yang
disadap, mengakibatkan hilangnya integritas dan konsekuen lain,
kerugian material lebih

• Ketersediaan
Jika konektivitas jaringan gagal atau menjadi tidak tersedia karena
alasan apapun, akan ada gangguan serius untuk kerusakan bisnis
dan konsekuen

• Akses / entry poin

batas geografis, dan manfaat utama dari jaringan adalah
kemampuannya untuk menyediakan akses dari tempat lain, tugas di
tangan menjadi menemukan cara terbaik untuk merancang
mengendalikan sekitar akses ini
Kemungkinan Control untuk Kerentanan Network
• Interception
-Baik kontrol akses fisik
-Keamanan fisik
-Enkripsi dengan perangkat seperti router, switch
atau multiplexer
-Penggunaan sertificates digital dan tanda tangan
digital

• Ketersediaan
Untuk memastikan ketersediaan dan kehandalan
Kompleks jaringan dan meluas perlu dipantau dan dikelola

• Jalur akses
Pengembangan sistem atau layanan pemeliharaan melalui
jaringan khusus dari lokasi tetap
Information Gathering in Auditing Network
Security

• Apa itu jaringan?

-Menentukan besarnya jaringan
-Memeriksa diagram jaringan
-Diagram jaringan pada dasarnya adalah sebuah peta yang menunjukkan semua rute
yang tersedia pada jaringan

• Apa saja aset informasi penting dalam jaringan?

-Prinsip dasar keamanan informasi dan audit adalah perlindungan yang berkaitan
dengan risiko yang terkait dengan aset sebagaimana ditentukan oleh penilaian risiko
sistematis

• Siapa yang memiliki akses?

-Tentukan orang yang memiliki akses ke sistem pada jaringan
-Apakah pelanggan dan vendor juga mengakses sistem?
-Apakah karyawan mengakses sistem dari luar kantor?
-Apakah pelanggan hanya akses web server lewat internet atau mereka melakukan login
remote ke sistem perusahaan?
• Apa koneksi ke jaringan eksternal?
-Pada tingkat minimum, setiap hari jaringan
telah tersambung ke Internet melalui penyedia
layanan Internet
-Alasan utama untuk menghubungkan ke
Internet adalah untuk mengaktifkan penerimaan
dan pengiriman mail dan untuk memungkinkan
browsing oleh karyawan, memesan, atau
pertukaran informasi lainnya
-Jaringan internal dan jaringan eksternal

• Apa mekanisme perlindungan?

Mengevaluasi Mekanisme Perlindungan
• Langkah pertama adalah mencari pada gateway
sebagai titik potensial melalui yang masuk dapat
diperoleh dengan kode yang tidak sah atau
berbahaya
• Arsitektur jaringan
• Enkripsi mekanisme
• Perangkat jaringan seperti router
• Firewall, antivirus dan deteksi intrusi

Auditing Infrastructure and Operations

Review network diagrams