Audit Sistem Informasiteknologi Informasi Dengan K PDF
Audit Sistem Informasiteknologi Informasi Dengan K PDF
Abstrak
Pemanfaatan Teknologi Informasi sebagai pendukung pencapaian tujuan dan sasaran organisasi
harus diimbangi dengan keefektifan dan efisiensi pengelolaannya. Maka dari itu, audit TI haruslah
dilakukan untuk menjaga keamanan sistem informasi sebagai aset organisasi, untuk
mempertahankan integritas informasi yang disimpan dan diolah dan tentu saja untuk meningkatkan
keefektifan penggunaan teknologi informasi serta mendukung efisiensi dalam organisasi.
Penelitian ini bertujuan untuk melakukan pemetaan terhadap tahap audit TI beserta kontrolnya
yang kemudian diaplikasikan pada sebuah organisasi, yaitu Universitas XYZ untuk melihat kinerja
TI yang ada. Kerangka kerja yang digunakan sebagai acuan adalah COBIT-ISACA dengan
menggunakan 210 detailed control objective yang ada. Penyelenggaraan audit dilakukan dengan
menggunakan tahapan-tahapan yang ada pada IT Assurance Guide. Hasil dari evaluasi atau temuan
dilakukan analisa root cause sehingga didapat sebuah rekomendasi untuk manajemen TI yang
lebih baik lagi.
1. Pendahuluan
mempengaruhi pengambilan keputusan yang salah
Pemenuhan kebutuhan akan sistem informasi bagi pula. Keamanan asetnya salah satunya adalah data
semua jenis organisasi menyebabkan perkembangan tidak terjaga, integritas data yang tidak dapat
sistem informasi yang begitu pesat. Begitu pula dipertahankan, hal–hal inilah yang dapat
dengan perkembangan di sektor pelayanan mempengaruhi efektifitas dan efisiensi dalam
pendidikan yang dikenal dengan Sistem Informasi pencapaian tujuan dan strategi organisasi.
Akademik. Sehubungan dengan alasan tersebut diperlukan
Sistem Informasi Akademik merupakan suatu adanya sebuah mekanisme kontrol terhadap
kebutuhan yang mutlak bagi pelayanan pendidikan pengelolaan teknologi informasi [1]. Masalah yang
terutama pada perguruan tinggi, sehingga dapat sering timbul di Universitas XYZ adalah adanya
memberikan kemudahan dalam administrasi bagi kasus kehilangan data, kesalahan dalam pengambilan
perguruan tinggi yang menerapkannya. Dengan keputusan, kebocoran data, penyalahgunaan
adanya Sistem Informasi Akademik dan Sistem komputer dan nilai investigasi TI yang tinggi tetapi
Informasi lainnya di universitas XYZ, bukan hanya tidak diimbangi dengan pengembalian nilai yang
pelayanan terhadap mahasiswa yang menjadi lebih sesuai. Berawal dari sini maka diperlukan sebuah
baik tetapi juga pelayanan untuk seluruh pihak terkait mekanisme kontrol atau audit Sistem Informasi atau
dengan proses akademik yang ada seperti staf audit Teknologi Informasi. Audit SI/TI dalam
pengajar, biro administrasi bahkan orangtua dan kerangka kerja COBIT lebih sering disebut dengan
alumni. Peranan Sistem Informasi yang signifikan istilah IT Assurance ini bukan hanya dapat
inilah yang tentu saja harus diimbangi dengan memberikan evaluasi terhadap keadaan tata kelola
pengaturan dan pengelolaan yang tepat sehingga Teknologi Informasi di unversitas XYZ tetapi dapat
kerugian–kerugian yang mungkin terjadi dapat juga memberikan masukan yang dapat digunakan
dihindari. Kerugian yang dimaksud bisa dalam untuk perbaikan pengelolaannya di masa yang akan
bentuk informasi yang tidak akurat yang disebabkan datang.
oleh pemrosesan data yang salah sehingga dapat
Tujuan dan manfaat dari penelitian ini adalah (1) pengembangan sistem, staf Cybernet, Direktur
Melakukan evaluasi terhadap pengelolaan teknologi Akademik, staf pengajar dan mahasiswa.
informasi atau manajemen teknologi informasi yang iii. Analisa basis data.
ada di universitas XYZ. (2) Hasil yang diperoleh dari iv. Analisa jaringan.
kajian ini diharapkan dapat dijadikan landasan dalam Dalam melaksanakan evaluasi, dilakukan
pembuatan kerangka kerja tata kelola TI yang sesuai beberapa langkah, yaitu:
dengan standar. a. Penentuan Rencana Audit
Berdasarkan uraian dari latar belakang Dalam penentuan rencana audit, terdapat langkah-
permasalahan diatas penulis dapat merumuskan langkah yang dilakukan, yaitu:
permasalahan penelitian sebagai berikut: (1) Jenis 1. Memahami visi dan misi dari Universitas XYZ,
evaluasi manajemen TI yang sesuai untuk organisasi sasaran, tujuan dan prosesnya.
seperti Universitas XYZ. (2) Kontrol objektif yang 2. Mengidentifikasi kebijakan, standar, pedoman
digunakan dalam melakukan evaluasi. serta prosedur dari Universitas XYZ.
Penelitian ini difokuskan untuk melakukan 3. Melakukan analisis resiko.
evaluasi terhadap pengelolaan teknologi informasi b. Menentukan lingkup audit dan tujuan audit
yang mengacu pada proses pelaksanaan di Dalam menentukan lingkup audit dan tujuan audit
Universitas XYZ dengan menerapkan IT assurance penulis melakukan hal-hal berikut:
yang berbasis kepada control objective yang ada pada 1. Menentukan tujuan audit TI.
COBIT versi 4.1 [2]. 2. Melakukan pemilihan control objective yang
akan digunakan untuk menguji keefektifan
2. Metodologi Audit SI/TI dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di
Dalam melaksanakan audit TI diterapkan Universitas XYZ.
metodologi audit TI yang sesuai dengan metodologi 4. Mendefinisikan proses-proses TI yang akan
yang diajukan oleh IT Assurance Guide: Using dikaji.
COBIT. Tetapi sebelum menentukan pilihan 5. Mendefinisikan komponen TI yang ada di
menggunakan COBIT sebagai kerangka kerja audit, Universitas XYZ.
dilakukan beberapa pertimbangan diantaranya yaitu c. Melakukan kajian di universitas XYZ
dengan melakukan benchmarking antara kerangka Kajian akan dilakukan dengan menggunakan
kerja audit yang ada seperti Ron Weber [1], panduan yang ada dalam melakukan sebuah kajian
Queensland Audit Office dan Jack Champlain [3]. teknologi informasi/IT assurance guide. Kajian ini
Semua kerangka audit tersebut dipetakan sehingga meliputi detailed control objective yang disesuaikan
didapat sebuah kesimpulan bahwa kerangka COBIT dengan keadaan dari Universitas XYZ (berdasar pada
adalah kerangka kerja audit yang paling lengkap. high level control objective). Kajian akan dilakukan
Kemudian penulis juga melakukan perbandingan dengan pendekatan audit yang sudah dibuat. Setelah
antara COBIT dengan ITIL (Information Technology proses pengkajian selesai tahap berikutnya adalah
Infrastructure Library) [4] untuk mendapatkan mendokumentasikan temuan-temuan hasil audit.
gambaran yang lebih jelas dalam proses pada domain d. Melakukan analisa hasil audit
Delivery and Support. Setelah kajian dilakukan, selanjutnya
Dalam melaksanakan tahapan audit, tidak semua menganalisis temuan-temuan yang didapat.
langkah yang ada didalam panduan tersebut Diharapkan hasil dari tahap analisis ini mendapatkan
dilaksanakan semuanya, dengan alasan mengurangi suatu kesimpulan alasan terjadinya permasalahan
pengulangan aktivitas, maka tetap berpegang pada serta solusi terhadap permasalahan tersebut.
aturan-aturan yang bersifat umum yang telah
ditetapkan oleh IT Assurance Guide [5]. 3. Audit Dengan Kerangka Kerja IT Assurance
Pada dasarnya dalam metodologi audit/assurance, Guide
dilakukan metodologi pengumpulan data, yang
meliputi: Pada bagian ini akan dipaparkan tentang
i. Penelaahan dokumentasi kebijakan teknik penggunaan kerangka kerja IT Assurance yang
maupun non-teknis yang menjadi dasar digunakan dalam melakukan audit TI di Universitas
pengembangan Universitas XYZ. XYZ. Sebelumnya akan dijelaskan alasan
ii. Observasi dan wawancara dengan pihak terkait, penggunaan control objective dari COBIT
wawancara dilakukan dengan pihak terkait yaitu dibandingkan dengan yang lain seperti Ron Weber
kepala pusat Unit Cybernet, kepala pusat [1], QAO, dan Jack Champlain [3].
Yayasan
BPH Yayasan
Dewan Mutu
Kelompok Sekretariat BAA & Biro Adm Biro Pusat Humas & Seleksi & Akadmik
Dosen MKCU Keu. kemhs & pengemb customer pendaftara MM
alumni kurikulum, care n PKK
UPT Biro Adm akreditasi & Adm
Prodi Perpusta- Umum & Biro pengend sertif. Seleksi & Pengdali- umum MM
kaan Pers keg & prog pendaftara an akdmik
Pusat
unggulan n
Penelitian &
POP Pusat Pengembang
Laboratorium Cybernet an
Pusat pengemb
PPBA karakter Pusat
Pengambdian
PPS Masy
sendiri belum berada langsung dibawah Rektor. Unit kematangan pemanfaatan TI sekitar 43%, yang juga
ini secara formal terpecah menjadi 2 bagian, yaitu dilakukan dengan kerangka kerja COBIT.
bagian pengembangan sistem dan bagian Cybernet. Seperti yang telah disebutkan sebelumnya bahwa di
Keduanya berada dibawah dua direktorat yang Universitas XYZ, secara formal memang belum
berbeda. Pusat Pengembangan Sistem berada terbentuk sebuah unit TI, tetapi ada dua unit yang
dibawah direktorat Akademik, sedangkan untuk sudah melakukan kegiatan yang mirip ke arah
bagian Cybernet terdapat pada direktorat Keuangan manajemen TI. Unit tersebut adalah PPS (Pusat
dan Pengelolaan Aset. Pengembangan Sistem) dan unit Cybernet. Kedua
unit pun tidak berada dalam satu direktorat yang
3.4. Profil Teknologi Informasi di Universitas sama. PPS yang berada langsung dibawah direktorat
XYZ akademik merupakan penunjang direktorat akademik
Sifat penggunaan TI di Universitas XYZ masih itu sendiri, dengan alasan karena core dari bisnis
berada dalam tahap pendukung atau support, karena adalah akademik, maka para pengambil keputusan
apabila tidak ada dukungan TI pun, core bisnis dari lebih menitikberatkan pengembangan sistem yang
Universitas ini masih dapat berjalan. Profil TI di mendahulukan kepentingan akademik, itulah
Universitas XYZ bisa dikatakan pada taraf yang sebabnya mengapa PPS berada di bawah direktorat
cukup, hal ini dapat dilihat dari pengukuran tingkat akademik.
tabel yang harus ada untuk menyimpan data dalam resiko yang terjadi bila aset tersebut tidak memiliki
program-program yang dibuat. kontrol yang layak. Dalam mengidentifikasi aset,
dikategorisasikannya menjadi:
4. IT Assurance Di Universitas XYZ 1. Rencana Strategis Sistem Informasi
2. Struktur organisasi
Seperti yang telah disebutkan sebelumnya bahwa 3. Sumber daya manusia pada unit cyber
dalam kerangka kerja IT Assurance yang diusulkan 4. Sumber daya manusia pada Pusat
oleh COBIT terdapat tiga tahapan besar yang mesti Pengembangan Sistem
dijalani dalam audit TI. Dari tahapan ini masih 5. Software aplikasi
terdapat sub tahapan lagi. Dalam melakukan audit, 6. Password management
tidak mengikuti semua sub tahapan yang ada pada 7. Prosedur penggunaan aplikasi
publikasi IT Assurance guide, karena sub tahapan 8. Basis data
yang ada bersifat redundan, sehingga dicoba 9. Portal organisasi
meringkas (summarize) tahapan tersebut menjadi: 10. Jaringan komputer
1. Tahap perencanaan 11. Pelayanan kepada user
a) Dasar audit.
b) Kerangka kerja audit TI yang digunakan. 4.2. Tahap Pembatasan lingkup IT Assurance
c) Analisa awal terhadap resiko.
2. Tahap pembatasan lingkup kajian 4.2.1. Tujuan
a) Tujuan dari dilakukannya audit. Tujuan dari dilakukannya audit TI adalah untuk
b) Pendokumentasian arsitektur TI Universitas mengevaluasi sejauh mana manajemen TI di
XYZ. Universitas XYZ diterapkan, selain itu juga hasil
c) Pemilihan kontrol kerangka kerja yang temuan dan rekomendasi perbaikan dan
dijalankan oleh unit TI Universitas XYZ. pengembangan sistem TI yang ada saat ini.
d) Mengidentifikasi proses TI yang akan dikaji.
e) Melakukan seleksi terhadap komponen TI di 4.2.2. Penyeleksian Control Objective
Universitas XYZ. Control objective yang digunakan adalah detailed
3. Tahap pelaksanaan control objective dari 34 control objective yang ada
a) Melakukan pengujian terhadap kontrol yang pada COBIT sebanyak 210 detailed control
sudah ditetapkan. objective.
b) Melakukan pengujian hasil control
objective. 4.2.3. Mendokumentasikan arsitektur yang ada di
c) Mendokumentasikan akibat dari kelemahan Universitas XYZ.
kontrol. Hal ini dilakukan dengan cara wawancara dengan
d) Menyimpulkan laporan dan memberikan personil utama dari Univeritas XYZ, yaitu Kepala
rekomendasi. Pusat Pengembangan Sistem, Kepala Cybernet dan
beberapa staf TI yang ada di unit Cybernet.
4.1. Tahap Perencanaan
4.2.4. Mengidentifikasi Proses yang Akan Dikaji
4.1.1. Dasar Audit Dalam kajian ini audit TI akan melingkupi semua
Audit TI yang dilakukan di Universitas XYZ atas domain yang ada, yaitu plan and organise, acquire
dasar penelitian untuk laporan evaluasi manajemen and implementation, delivery and support dan
TI di Universitas XYZ. monitor and evaluation.
programmer yang bersangkutan berhalangan atau jangka pendek yang berkaitan dengan hal-hal yang
berhenti maka tidak bisa dilakukan pengembangan harus dengan segera dilakukan oleh Universitas XYZ
terhadap SIAK, kecuali pembuatan dari awal agar proses-proses TI yang ada masih tetap berjalan
kembali. dengan baik. Untuk rekomendasi jangka menengah,
dilakukan pengklasifikasian berdasarkan perencanaan
4.4.6. Pengelolaan Basisdata strategis di unit TI, sementara untuk rekomendasi
1. Fungsi audit trail pada database server belum jangka panjang diberikan rekomendasi yang
diaktifkan. Hal tersebut menimbulkan kesulitan berkenaan dengan kebijakan Universitas setingkat
untuk mengetahui dan menyelidiki insiden yang dengan kebijakan organisasinya.
terjadi pada database server.
2. Proses backup dilakukan setiap tujuh hari sekali, 4.5.1. Rekomendasi Jangka Pendek
hal tersebut menimbulkan resiko gangguan, 1. Agar Universitas XYZ meminta unit Cyber untuk
kerusakan dan kehilangan data pada saat setelah menyempurnakan fitur untuk:
proses backup terakhir kali dilakukan sampai a. Mensosialisasikan cara untuk mengingat
proses backup berikutnya. password dengan cara mandiri tanpa harus
melalui bantuan staf unit Cybernet.
4.4.7. Jaringan Komputer Kampus Utama b. Memaksa user untuk selalu mengganti
Universitas XYZ password secara berkala.
1. Pembagian network di Universitas XYZ tidak c. Mencegah usaha login coba-coba yang
berdasarkan pada fungsi yang sama, tetapi dilakukan secara berturut-turut.
berdasarkan lokasi tempat device berada. d. Merekam usaha login yang tidak berhasil.
Sehingga akan menyulitkan bagi satu unit yang e. Merekam setiap transaksi yang dilakukan
sama tetapi menempati gedung yang berlainan oleh pengguna.
untuk dapat membagi data. f. Menambah fasilitas help yang akan
2. Security masih dilakukan di tingkat jaringan saja mempermudah dalam penggunaan aplikasi
misalkan dengan firewall atau Intrussion SIAK.
Detection System, dan kurang memperhatikan g. Memperbaiki skema basisdata
keamanan fisik, hal ini dilihat dari pengamanan h. Melakukan backup dengan kondisi:
yang kurang terhadap switch-switch yang ada Frekuensi pembuatan backup lebih sering.
pada setiap network. Backup dilakukan terhadap data audit
trail (log) DBMS
4.4.8. Layanan ke Pengguna i. Membuat rencana tertulis yang menjelaskan
1. Sebagian besar komputer yang ada di lingkungan secara lengkap rencana perubahan/
kampus utama, tidak dilengkapi dengan software modifikasi/upgrade aplikasi SIAK.
antivirus yang berlisensi maupun gratis (hanya j. Menyediakan antivirus pada setiap
pada komputer-komputer tertentu saja seperti di komputer dan melakukan update rutin dari
laboratorium komputer). Walaupun ada software server.
tetapi tidak ter-update secara rutin. k. Menyelesaikan masalah-masalah
2. Universitas XYZ belum memiliki kebijakan dan penggunaan aplikasi SIAK kepada semua
prosedur untuk mendeteksi, melaporkan dan user melalui penyediaan manual
merespon atas terjadinya insiden terhadap penggunaan aplikasi, asistensi langsung
keamanan komputer. secara proaktif.
l. Merancangan arsitektur jaringan di
4.4.9. Portal Organisasi Universitas XYZ berdasarkan pada fungsi
Terdapat keterlambatan updating isi situs web unit bukan berdasarkan lokasi device dengan
dari Univeritas XYZ, sehingga terkesan berita-berita menggunkan VLAN.
seputar civitas akademika tidak dinamis. m. Mengatur security jaringan di tingkat fisik
dengan cara menempatkan switch/router
4.5. Rekomendasi pada tempat tersendiri dan diberi pengaman
Rekomendasi yang disampaikan merupakan hasil yang memadai seperti kunci sendiri kedalam
analisis terhadap temuan-temuan yang didapat dari ruangan tersebut.
pengujian keefektifan kontrol dan hasil pengujian 2. Agar Universitas XYZ melakukan usaha-usaha
terhadap output kontrol. untuk menyediakan tenaga staf yang kompeten
Dalam memberikan rekomendasi, dibagi menjadi untuk posisi minimal:
tiga jangka waktu pencapaian, yaitu rekomendasi