Proses jaminan keamanan siber dari perspektif audit internal

Sezer Bozkus Kahyaoglu

Banking Department, Gazi Universitesi, Ankara, Turkey, and
Kiymet Caliyurt
Faculty of Economics and Administrative Sciences, Trakya Universitesi, Edirne, Turkey
Abstrak

Tujuan - Tujuan dari penelitian ini adalah untuk menganalisis pendekatan jaminan cybersecurity untuk menentukan
masalah dan kelemahan utama dalam perspektif audit internal dan manajemen risiko. Organisasi semakin bergantung
pada data digital untuk mendorong pertumbuhan mereka dan mereka saling terhubung dalam web yang kompleks
dengan banyak pemangku kepentingan.

Desain / metodologi / pendekatan - Dalam makalah ini, cybersecurity didefinisikan, dan model jaminan cybersecurity
dijelaskan berdasarkan literatur yang relevan. Selain itu, peran audit internal diperkenalkan dalam lanskap bisnis baru
ini. Akhirnya, rekomendasi dibuat untuk memberikan praktik terbaik bagi pemangku kepentingan.

Temuan - Ada empat standar dan kerangka kerja yang berfokus pada dunia maya dalam literatur saat ini, yaitu, Tujuan
Pengendalian untuk Informasi dan Teknologi Terkait, Organisasi Internasional untuk Standardisasi, Institut Akuntan
Publik Amerika, Institut Nasional Standar dan Teknologi. Selain itu, ada banyak mekanisme yang ada dan operasi saat
ini yang mendukung jaminan keamanan siber untuk mencegah ancaman besar. Ini termasuk penilaian risiko,
perawatan risiko, manajemen risiko, jaminan keamanan dan audit.

Batasan / implikasi penelitian - Risiko dunia maya bukanlah sesuatu yang dapat dihindari; alih-alih, itu harus dikelola.
Oleh karena itu, sangat penting untuk mempertahankan dokumentasi formal tentang kontrol cyber terkait. Audit internal
harus menjadi bagian integral dari proses jaminan keamanan siber, karena audit internal memiliki posisi unik untuk
melihat ke seluruh organisasi. Kontribusi audit internal juga memberikan kenyamanan kepada Dewan dan Komite
Audit.

Implikasi praktis - Sebuah model diperkenalkan bagaimana audit internal dan fungsi keamanan informasi dapat
bekerja bersama untuk mendukung organisasi mencapai tingkat keamanan informasi yang hemat biaya. Masalah dan
pendekatan utama dijelaskan untuk bagaimana menjadi penasihat keamanan siber terpercaya dan contoh daftar
periksa program kesadaran siber keamanan disediakan di Lampiran 1.

Implikasi sosial - Mempertimbangkan ancaman cybersecurity tumbuh dengan kecepatan, kompleksitas, dan dampak,
organisasi tidak lagi puas dengan jawaban atas pertanyaan seperti "apakah kita aman?" Sebagai gantinya, mereka
membutuhkan jawaban untuk pertanyaan seperti "bagaimana memberikan yang wajar jaminan bahwa bisnis kita akan
cukup aman? ". Dalam hal itu, peran audit internal dibahas berdasarkan literatur yang relevan dan kondisi lingkungan
bisnis saat ini.

Orisinalitas / nilai - Sebuah model diperkenalkan bagaimana audit internal dan fungsi keamanan informasi dapat
bekerja bersama untuk mendukung organisasi mencapai tingkat keamanan informasi yang hemat biaya. Masalah dan
pendekatan utama dijelaskan untuk bagaimana menjadi penasihat keamanan siber terpercaya dan contoh daftar
periksa program kesadaran siber keamanan disediakan di Lampiran 1.

Kata kunci Cybersecurity, Assurance, Internal audit, Risiko siber

Jenis kertas Kertas konseptual

Pengantar

Lingkungan bisnis global dewasa ini memaksakan organisasi di semua sektor industri untuk memiliki infrastruktur
digital yang aman untuk transaksi komersial. Infrastruktur digital global yang saling terhubung ini secara sederhana
disebut dunia maya yang mencakup internet, sistem komputer, perangkat keras, perangkat lunak dan layanan, dan
informasi digital secara keseluruhan. Itu memungkinkan e-commerce, e-government, berbagi informasi dan
perdagangan. Dari perspektif teknologi, konektivitas, perangkat dan penggunaan saat ini - tablet komputasi, jaringan
rumah, smart meter, komputasi awan dan jaringan sosial - telah secara signifikan membuat dunia maya saat ini
berbeda dari masa lalu (Atkinson et al., 2010). Pertumbuhan dunia maya memang akan terus maju jika
interoperabilitas, keterbukaan, stabilitas, ketahanan, pertumbuhan ekonomi dan risiko dimitigasi oleh keamanan
memandu pengembangannya. Menurut Gartner (2015), diperkirakan 6,4 miliar terhubung "hal-hal" yang digunakan
saat ini, naik 30 persen dari 2015 dan akan tumbuh lebih dari tiga kali lipat, menjadi hampir 21 miliar pada tahun 2020.
Penggambaran lanskap bisnis yang signifikan ini adalah panggilan untuk membangunkan yang kuat bagi manajemen
senior. Dengan begitu banyak yang dipertaruhkan - kekayaan intelektual; data pelanggan, operasional dan keuangan;
reputasi organisasi - pemimpin yang terinformasi menyadari bahwa sudah saatnya untuk memikirkan kembali secara
mendasar bagaimana keamanan informasi dipahami dan diposisikan di dalam organisasi mereka.

Internet terus mengubah cara kita hidup dan menjalankan bisnis. Perubahan-perubahan ini terjadi baik dalam
cara yang kita alami saat ini (e-commerce, akses informasi waktu-nyata, e-learning, pilihan komunikasi yang diperluas,
dan sebagainya), dan dengan cara yang belum kita alami. Konvergensi suara, video dan data ada di landasan dan
jaringan komunikasi yang ada membuka jalan ke semua Jaringan yang mendukung IP seperti jaringan generasi
berikutnya (NGN). Menurut laporan survei yang dikeluarkan oleh Organisasi untuk Kerjasama Ekonomi dan
Pengembangan (OECD, 2008), NGN diharapkan untuk sepenuhnya membentuk kembali struktur sistem komunikasi
saat ini dan akses ke Internet. Sebagai masyarakat, kami mulai membuka potensi internet. Dengan pertumbuhan
internet yang cepat, keamanan jaringan telah menjadi perhatian utama bagi para pembuat kebijakan, regulator,
eksekutif dan auditor di seluruh dunia.

Makalah ini disusun sebagai berikut: pada bagian pertama, cybersecurity didefinisikan, dan model jaminan
cybersecurity dijelaskan berdasarkan literatur yang relevan. Pada bagian kedua, peran audit internal diperkenalkan
dalam lanskap bisnis baru ini. Selain itu, proses implementasi jaminan cybersecurity ditinjau dengan
mempertimbangkan potensi risiko cyber dari perspektif audit internal. Akhirnya, rekomendasi dibuat untuk memberikan
praktik terbaik bagi pemangku kepentingan.

Definisi cybersecurity dan cybersecurity assurance

Sangat penting untuk mengelola risiko informasi dan biasanya diperoleh melalui pelaksanaan kegiatan penjaminan.
Otoritas Teknis Nasional Pemerintah Inggris untuk Jaminan Informasi (CESG) telah mendefinisikan jaminan sebagai
cara untuk memberikan kepercayaan independen bahwa kontrol keamanan menjalankan fungsi yang diharapkan dari
mereka (CESG, 2012). Menurut Institut Nasional Standar dan Teknologi (NIST), jaminan didefinisikan sebagai "dasar
kepercayaan bahwa empat tujuan keamanan (integritas, ketersediaan, kerahasiaan dan akuntabilitas) telah dipenuhi
dengan baik oleh implementasi tertentu" (NIST, 2013a) . Selain itu, NIST mendefinisikan keamanan siber sebagai
proses melindungi informasi dengan mencegah, mendeteksi, dan menanggapi serangan. Kompleksitas "keamanan
siber", dengan kata lain, lebih sedikit berasal dari perangkat yang kami gunakan daripada orang-orang di belakangnya.
Inisiatif Nasional untuk Karier dan Studi Keamanan Cyber (Kissel, 2013) mendefinisikan cybersecurity dalam
glosariumnya sebagai “aktivitas atau proses, kemampuan atau kemampuan atau keadaan dimana informasi dan
sistem komunikasi dan informasi yang terkandung di dalamnya dilindungi dari dan / atau dipertahankan terhadap
kerusakan. , penggunaan atau modifikasi yang tidak sah, atau eksploitasi. ”Karena publikasi berkelanjutan
pelanggaran keamanan tingkat tinggi, organisasi meningkatkan fokus dan mencari cara untuk meningkatkan jaminan
mereka untuk melindungi merek dan reputasi mereka, serta untuk mencegah atau mengurangi yang terkait dampak
keuangan.

Ada empat standar dan kerangka kerja utama yang berfokus pada dunia maya dalam literatur saat ini, yaitu,
Tujuan Pengendalian untuk Informasi dan Teknologi Terkait (COBIT), Organisasi Internasional untuk Standarisasi
(ISO), Institut Akuntan Publik Amerika (AICPA) dan NIST sedemikian rupa sehingga (Gambar 1):

1) COBIT: Ini adalah kerangka kerja yang dibuat oleh ISACA yang memungkinkan manajemen menjembatani
kesenjangan antara persyaratan kontrol, masalah teknis, dan risiko bisnis secara bersamaan.
2) ISO: ISO mengembangkan seri ISO 27000 untuk mengatasi standar yang memungkinkan organisasi
menerapkan proses dan kontrol untuk mendukung prinsip-prinsip keamanan informasi.
3) AICPA: Kerangka kerja pelaporan manajemen risiko cybersecurity diperkenalkan oleh AICPA untuk membantu
organisasi memiliki informasi yang relevan dan berguna tentang efektivitas program manajemen risiko
cybersecurity mereka. Kerangka kerja ini adalah komponen kunci dari Sistem dan Kontrol Organisasi (SOC).
SOC 2 Laporan untuk pemeriksaan keamanan siber. SOC adalah paket penawaran layanan yang dapat
disediakan oleh akuntan publik bersertifikat sehubungan dengan kontrol tingkat sistem dari organisasi layanan
atau kontrol tingkat entitas dari organisasi lain. Berbeda dengan SOC untuk pemeriksaan keamanan siber, di
mana manajemen dapat memilih kriteria yang akan digunakan untuk mengevaluasi efektivitas pengendalian
untuk mencapai tujuan keamanan siber entitas, pemeriksaan SOC 2 hanya dapat dilakukan dengan
menggunakan kriteria layanan kepercayaan AICPA.
4) NIST: NIST merilis versi pertama Kerangka untuk Meningkatkan Cybersecurity Infrastruktur Kritis pada Februari
2014. Kerangka kerja ini dibangun berdasarkan standar, pedoman, dan praktik yang ada untuk memandu
organisasi dalam praktik yang mengurangi potensi dampak risiko cyber.

Ini menghasilkan gambaran tentang tidak memadainya metode jaminan saat ini untuk industri dan masyarakat.
Diperlukan teknik dan pendekatan jaminan, selain teknologi, yang akan melindungi organisasi dan masyarakat dari
pelanggaran keamanan siber yang mahal. Dunn (2014) melaporkan bahwa 93 persen pelanggaran di Inggris
disebabkan oleh kesalahan manusia dan 95 persen kehilangan data disebabkan oleh faktor budaya orang di
berbagai organisasi. Oleh karena itu, mengingat fakta ini, sulit bagi orang yang bertanggung jawab yang berada di
puncak hierarki organisasi seperti Kepala Pejabat Eksekutif, Dewan, Direktur Pelaksana dan Manajemen Senior
untuk memiliki kepercayaan diri atau menjamin bahwa informasi yang menjadi tanggung jawab organisasi mereka
masing-masing pemrosesan tampaknya cukup terjamin.

Ini adalah fakta bahwa jaringan pribadi ketika terhubung ke internet terhubung ke lebih dari 50.000 jaringan yang
tidak diketahui dan semua penggunanya. Pengembangan jaringan IP yang kuat dengan kemungkinan satu miliar
orang yang terhubung meningkatkan ancaman keamanan lebih lanjut. Perlindungan layanan dan konsumen dari
pencurian data, penipuan, penolakan serangan layanan, peretasan, perang dunia maya, kegiatan teroris dan
antinasional telah menjadi tantangan. Perhatian utama saat melindungi jaringan IP adalah untuk merumuskan
kebijakan komprehensif seperti itu, yang dapat memberikan perlindungan yang memadai untuk mencegah
pencurian, perusakan, korupsi dan pengenalan informasi yang dapat menyebabkan kerusakan yang tidak dapat
diperbaiki pada data sensitif dan rahasia.

Menurut Cayirci dan Rong (2009), serangan aktif (pasif) dilakukan oleh penyerang aktif (pasif), yang bisa berupa
orang dalam atau orang luar. Penyerang dapat mempelajari semua informasi kriptografi yang dimiliki oleh node yang
dikompromikan ketika itu adalah orang dalam. Mungkin ada satu penyerang atau banyak dari mereka. Ketika ada
banyak penyerang, mereka dapat berkolaborasi satu sama lain yang dapat dianggap sebagai kasus yang lebih sulit
untuk dilawan. Jenis penyerang saat ini ditunjukkan pada Tabel I.
 Memastikan kerahasiaan, integritas, dan ketersediaan perusahaan teknologi informasi (TI) modern adalah
pekerjaan yang penting dan cukup rumit. Prinsip-prinsip utama adalah kerahasiaan (bahwa informasi di komputer
tetap rahasia), integritas (artinya suatu sistem mengoperasikan cara yang seharusnya) dan ketersediaan (bahwa
sistem komputer siap dan dapat berfungsi bila diperlukan). Perlindungan infrastruktur kritis (CIP) juga termasuk
dalam Jaminan Informasi. Ini mencakup banyak tugas, dari rekayasa sistem yang kuat dan manajemen konfigurasi
hingga keamanan cybersecurity atau kebijakan jaminan informasi dan pelatihan tenaga kerja yang komprehensif.
Ini juga harus mencakup operasi keamanan siber, di mana sekelompok orang ditugasi untuk memantau dan
membela perusahaan terhadap semua tindakan serangan cyber. Seperti profil penyerang, jenis ancaman utama
juga dapat dikategorikan seperti yang ditunjukkan pada Tabel II. Jenis ancaman ini menyebabkan kerugian
keuangan yang serius bagi organisasi, dan dalam mengidentifikasi ancaman dunia maya, lebih penting daripada
mengetahui teknologi atau taktik, teknik dan prosedur adalah mengetahui siapa yang berada di balik ancaman
tersebut. Ini membutuhkan intelijen keamanan siber untuk mengatasi tipe ancaman utama yang dijelaskan pada
Tabel II.
 Ada banyak mekanisme dan operasi yang ada saat ini yang mendukung jaminan keamanan siber untuk
mencegah ancaman besar (Hancock, 2017). Ini termasuk penilaian risiko, perawatan risiko, manajemen risiko,
jaminan keamanan dan audit. Misalnya, kerangka audit tradisional harus dimodifikasi untuk memungkinkan
serangkaian layanan jaminan di zaman modern dan mencakup yang berikut:

 Audit berkelanjutan (internal dan eksternal);

 Pemantauan kontrol terus menerus; dan
 Jaminan keamanan siber yang berkelanjutan.

Singkatnya, model audit tradisional harus ditinjau kembali untuk pengembangan layanan jaminan baru, terutama
yang berkaitan dengan cybersecurity dan jaminan berkelanjutan (Gyun No dan Vasarhelyi, 2017).

Di sisi lain, CESG (2012) mengidentifikasi empat elemen jaminan dalam model jaminan. Keempat elemen tersebut
adalah jaminan intrinsik, jaminan ekstrinsik, jaminan implementasi, dan jaminan operasional (Gambar 2). Setiap
elemen dirancang untuk memandu pemilihan rangkaian kontrol yang paling tepat dan seimbang serta proses
penjaminan yang terkait. Pertama, jaminan intrinsik didefinisikan sebagai aktivitas apa pun yang memberikan
kepercayaan pada proses yang diterapkan oleh pemasok selama pengembangan produk, layanan atau sistem.
Kedua, jaminan ekstrinsik didefinisikan sebagai aktivitas apa pun yang independen dari lingkungan pengembangan
yang memberikan tingkat kepercayaan pada produk, layanan, atau sistem. Dengan cara ini, dimungkinkan untuk
menganalisis produk, sistem atau layanan melalui skema evaluasi independen yang diakui yang sesuai dengan
fungsinya dan penggunaan yang diantisipasi. Ketiga, jaminan implementasi didefinisikan sebagai aktivitas apa pun
yang memberikan keyakinan bahwa produk, sistem atau layanan telah diimplementasikan dengan benar. Akhirnya,
jaminan operasional didefinisikan sebagai kegiatan yang diperlukan untuk menjaga fungsionalitas keamanan
produk, sistem atau layanan begitu telah memasuki penggunaan operasional. Ini termasuk ketentuan untuk kegiatan
perusahaan yang akan memantau perubahan dalam kerentanan dan ancaman. Kepercayaan yang dimiliki
organisasi dalam suatu kontrol harus mencerminkan jumlah elemen dari model jaminan yang telah digunakan untuk
mendapatkan jaminan. Sebagai contoh, sebuah organisasi akan lebih percaya pada efektivitas firewall jika
bersumber dari vendor yang dapat dipercaya (intrinsik), telah lulus evaluasi keamanan independen (ekstrinsik) dan
dikelola oleh staf administrasi yang kompeten (implementasi) daripada jika hanya satu kondisi ini diterapkan.

Terlepas dari berbagai mekanisme ini, berita tentang pelanggaran keamanan profil tinggi sedang terjadi dan
dipublikasikan secara terus menerus (Pemerintah HM, 2017) dan dampak dari pelanggaran ini dalam hal finansial
berlipat dua dari 2013 hingga 2014 (Hancock, 2017). Menurut survei EY (EY, 2014), pelanggaran keamanan
informasi yang dilaporkan meningkat setiap tahun sebesar 50 persen.

Satu-satunya cara yang aman untuk menanggapi ancaman ini dapat didasarkan pada pendekatan yang mengakar
strategi keamanan siber organisasi dalam strategi bisnisnya sendiri. Dengan kata lain, tidak cukup untuk mengambil
 strategi keamanan siber sebagai fungsi dari TI lagi. Sebaliknya, sebenarnya ada kebutuhan untuk konsolidasi
strategi bisnis dengan strategi keamanan siber. Ini penting karena dengan strategi cybersecurity yang terdefinisi
dengan baik, organisasi dapat secara lebih efektif merencanakan cara mengatasi ancaman saat ini, dan di masa
depan bagi organisasi mereka, dengan mempertimbangkan undang-undang yang kompleks, regulasi dan risiko
dunia maya yang spesifik untuk industri mereka. Untuk alasan ini, perlu memahami bisnis. Strategi cybersecurity
dan kerangka kerja tata kelola yang sesuai dengan bisnis harus kemudian dibangun karena disesuaikan dengan
profil risiko mereka. Selain itu, arahan untuk pertimbangan teknologi harus didefinisikan dan peluang keamanan
untuk meningkatkan ketahanan operasi kritis misi, menangani "orang", "proses" dan "teknologi" harus diidentifikasi.
Dengan cara ini, sebuah pendekatan terpadu yang memenuhi tujuan dan sasaran dari misi bisnis yang lebih luas
dan visi strategis dihasilkan

Pendekatan terintegrasi untuk jaminan keamanan siber

Organisasi harus mempertimbangkan dinamika lanskap bisnis yang berubah dengan cepat tidak hanya untuk
beradaptasi secara efektif tetapi juga untuk menerapkan pendekatan terpadu untuk proses jaminan keamanan siber
secara efisien berdasarkan praktik terbaik yang dijelaskan di bawah ini:

 Penyelarasan cybersecurity dalam prioritas organisasi: Penting untuk memastikan kesadaran akan proses
penjaminan cybersecurity di seluruh unit bisnis yang penting untuk pencapaian prioritas organisasi. Ada
kebutuhan untuk koordinasi dan penyelarasan jaminan cybersecurity dengan kebijakan organisasi untuk
mendukung dan memfasilitasi kerjasama strategis dan pertukaran informasi antara unit bisnis dan staf terkait
di lingkungan kerja sehari-hari. Penyelarasan keamanan siber dan fungsi, kategori, subkategori, standar
industri dan praktik terbaik dengan persyaratan bisnis, toleransi risiko, dan sumber daya organisasi,
karenanya, merupakan kunci keberhasilan. Direkomendasikan oleh NIST (2013b) untuk mengidentifikasi
kesenjangan antara posisi saat ini dan posisi target dari kelemahan implementasi keamanan siber yang
ditunjukkan pada Gambar 3. Pendekatan ini akan memungkinkan pembuatan peta jalan yang diprioritaskan
untuk organisasi yang akan diterapkan untuk mengurangi keamanan siber. risiko.
 Menetapkan kerangka kerja kontrol keamanan siber: Dalam lingkungan bisnis saat ini, organisasi biasanya
memiliki kerangka kerja respons risiko yang ketinggalan jaman atau tidak lengkap dan mereka terlalu banyak
berfokus pada TI. Sangat penting untuk memiliki pendekatan terpadu untuk mengatasi risiko keamanan siber.
Ada kesadaran terbatas tentang risiko keamanan siber di tingkat organisasi dan pendekatan di seluruh
organisasi untuk mengelola risiko keamanan siber belum ditetapkan secara akurat. Organisasi kebanyakan
menerapkan manajemen risiko keamanan siber berdasarkan kasus per kasus yang tidak teratur karena terlalu
fokus pada TI. Sebaliknya, organisasi harus berkolaborasi dengan para pemimpin teknologi dan / atau badan
standar untuk menyusun, mengembangkan dan mengoordinasikan standar, pedoman atau praktik untuk
secara tepat memenuhi kebutuhan mereka. Menurut laporan survei KPMG (KPMG, 2017), alih-alih memiliki
pendekatan teknologi yang dominan terhadap langkah-langkah implementasi cybersecurity, disarankan untuk
mulai berpikir tentang desain yang berpusat pada pengguna sebagai dua bagian dari keseluruhan yang
bersatu, karena keterlibatan manusia adalah mata rantai terlemah. Masalah utama lain yang terkait dengan
kerangka kerja risiko dan kontrol dijelaskan oleh Komite Organisasi Sponsoring Komisi Treadway (COSO,
2015) yang menyatakan bahwa eksploitasi dunia maya tidak sering diidentifikasi melalui pengamatan satu
peristiwa. Peristiwa dunia maya sebagian besar terdeteksi dengan menerapkan proses pengumpulan dan
pengelompokan titik data dunia maya dari berbagai sumber selama suatu periode. Dengan cara ini, suatu
organisasi dapat mengidentifikasi pola yang meningkat menjadi tindakan terhadap peristiwa cyber yang
terdeteksi. Tanpa terlebih dahulu mengubah data mentah menjadi informasi yang dapat ditindaklanjuti yang
memberi makan ke kontrol otomatis atau manual, organisasi tidak dapat menanggapi risiko cyber dengan
baik karena kontrol bergantung pada pengiriman tepat waktu, informasi berkualitas, relevan yang memiliki
integritas. Dalam hal ini, tiga garis pertahanan harus diperkuat untuk memasukkan kerangka kendali
keamanan siber yang ditunjukkan pada Gambar 4 (Penelitian Accenture dan Chartis, 2017).

 Analitik data besar: Banyak organisasi melawan dengan menggunakan analisis data besar untuk memantau
ancaman keamanan siber rahasia. Dengan cara ini, mereka menjadi pandai memahami risiko keamanan
siber eksternal dan internal yang berkembang, serta pada pemantauan perilaku pengguna dan aktivitas
 jaringan yang lebih baik. Organisasi yang sudah menjadi pengguna analitik data berat memiliki tingkat
kepercayaan yang lebih besar ketika menggunakan analitik data untuk mendeteksi ancaman cyber. Oleh
karena itu, analitik data akan memungkinkan organisasi untuk mengidentifikasi anomali dan vektor serangan
lanjutan. Di sisi lain, data besar dapat menjadi tidak efektif untuk analisis ancaman jika tidak ditambang
dengan buruk untuk meningkatkan keamanan siber. Meskipun metadata tersedia, sulit untuk membuat
manfaat maksimal dari metadata. Kadang-kadang masalah dapat dikaitkan dengan menemukan staf yang
memenuhi syarat - yaitu para ahli masalah pokok yang tahu cara menambang data untuk risiko dan tren
keamanan siber. Saat ini, analisis data besar adalah pendekatan penting untuk jaminan keamanan siber dan
tujuan utamanya adalah agar organisasi dapat memindahkan informasi dengan cepat, dengan
mempertahankan kualitas dan keamanan yang tinggi. Menurut Institute of Internal Auditor (IIA) (Standar
Internasional untuk Praktik Profesional Audit Internal, 2017a), ini membutuhkan tata kelola data yang gesit,
yang memastikan adanya kontrol yang tepat untuk mendukung keberlanjutan dan proposisi nilai dari program-
program ini.
 Kontrol lingkungan dan pemantauan risiko dunia maya: Sementara keahlian tetap merupakan unsur penting
dari kesiapsiagaan, hanya ketika keamanan siber dipahami dalam struktur manajemen risiko organisasi
secara keseluruhan, kepemimpinan eksekutif dapat memiliki keyakinan bahwa satu-satunya aset bisnis
terpenting mereka - informasi - cukup terlindungi. melawan ancaman hari ini dan besok. Manajemen dan
dewan direksi memiliki wewenang dan tanggung jawab untuk menetapkan prioritas utama perusahaan.
Penting untuk mendefinisikan ruang lingkup keamanan, kewaspadaan, dan ketahanan sebagai prioritas, dan
ini harus dikomunikasikan dalam organisasi. Kalau tidak, sulit untuk dicapai bagi suatu organisasi untuk
menggunakan sumber daya yang cukup untuk melindungi sistem informasinya dan untuk menanggapi
peristiwa dunia maya secara tepat. Demikian pula, COSO (2015) menyatakan bahwa risiko dunia maya
bukanlah sesuatu yang dapat dihindari; alih-alih, itu harus dikelola. Oleh karena itu, sangat penting untuk
mempertahankan dokumentasi formal tentang kontrol cyber terkait. Tanpa dokumentasi formal untuk
mendukung ekspektasi dari kontrol internal dan proses pemantauan berkelanjutan, kemampuan organisasi
untuk mengelola risiko cyber secara efektif berkurang secara signifikan. Penting untuk memiliki dokumentasi
yang terperinci untuk memungkinkan evaluasi yang efisien dari desain dan efektivitas kontrol untuk
melindungi sistem informasi organisasi. COSO (2015) mendefinisikan kunci untuk lingkungan kontrol yang
efektif dan pemantauan risiko dunia maya yang ditunjukkan pada Tabel III sebagai berikut. Dalam hal ini,
manajemen dan dewan harus menyadari dan diinformasikan nilai sistem informasi yang selaras dengan
tujuan entitas. Dengan informasi ini, mereka dapat menentukan tingkat toleransi risiko mereka, dan
membantu memastikan bahwa investasi yang memadai diarahkan pada perlindungan sistem informasi yang
penting untuk pencapaian tujuan organisasi.
Sayangnya, infrastruktur infrastruktur dunia maya dan digital yang saling terhubung ini juga menghadirkan peluang
kejahatan baru bagi para pelaku kejahatan. Institute of Risk Management mendefinisikan risiko dunia maya sebagai
risiko kerugian finansial, gangguan, atau kerusakan reputasi organisasi dari beberapa jenis kegagalan sistem TI. Selain
itu, menurut PWC (2017), risiko dunia maya dapat didefinisikan sebagai risiko yang terhubung dengan aktivitas online,
perdagangan internet, sistem elektronik dan jaringan teknologi, serta penyimpanan data pribadi. Survei pelanggaran
keamanan oleh Pemerintah Inggris (PWC, 2017) menemukan bahwa telah terjadi peningkatan jumlah pelanggaran
keamanan dari 81 persen organisasi besar menjadi 90 persen, menunjukkan mengapa pelanggaran keamanan
dianggap terus berlanjut dan menjadi elemen yang diharapkan dari bisnis sekarang dan di masa depan yang tidak
dapat sepenuhnya diberantas. Survei ini juga mengidentifikasi bahwa hampir sembilan dari sepuluh organisasi besar
yang disurvei sekarang menderita dari beberapa bentuk pelanggaran keamanan, menunjukkan bahwa insiden ini
sekarang hampir pasti.

Baru-baru ini, organisasi memiliki empat pendekatan utama saat menangani masalah cybersecurity untuk memberikan
jaminan yang masuk akal:

1) Pendekatan Multilateral: Fokus pada penggunaan undang-undang kejahatan cyber multilateral adalah aspek
penting dari pencegahan. Dengan kata lain, inisiatif multilateral diperlukan untuk mencegah penggunaan jahat
ruang maya, termasuk inisiatif untuk menyelaraskan undang-undang kejahatan cyber dan untuk mempromosikan
hukuman pidana yang lebih keras, dan untuk meningkatkan perundang-undangan e-commerce secara global.
Keys to effective control environment and monitoring of cyber risks
1 Nada yang jelas dari atas mengenai pentingnya melindungi sistem informasi
2 Suatu program evaluasi yang sedang berlangsung dan terpisah untuk menilai desain dan efektivitas
operasi kontrol yang dimaksudkan untuk mengurangi potensi paparan cyber
3 Bantuan dan keterlibatan profesional risiko siber yang berkualitas
 4 Pemantauan risiko cyber dan kontrol yang tepat terkait penyedia layanan outsourcing
5 Komunikasi yang tepat dan tepat waktu tentang kekurangan dunia maya
6 Membuat pemilik kontrol bertanggung jawab untuk membantu melindungi sistem informasi
2) Pendekatan Sistem Informasi Aman: Sistem informasi yang aman adalah bagian dari mekanisme pencegahan
yang efektif. COSO (2015) mendefinisikan sistem informasi sebagai seperangkat kegiatan, yang melibatkan
orang, proses, data dan / atau teknologi, yang memungkinkan organisasi untuk memperoleh, menghasilkan,
menggunakan dan mengomunikasikan transaksi dan informasi untuk mempertahankan akuntabilitas dan
mengukur serta meninjau kinerja entitas atau kemajuan menuju pencapaian tujuan. Desain dan penggunaan
sistem yang lebih aman, manajemen keamanan yang lebih baik, dan promosi mekanisme keamanan yang lebih
disukai oleh manajemen. Inisiatif multilateral untuk mencegah penggunaan jahat pusat dunia maya di sekitar
mempromosikan desain dan penggunaan sistem informasi yang lebih aman; meningkatkan manajemen
keamanan informasi di sektor publik dan swasta; dan inisiatif hukum dan teknologi seperti promosi mekanisme
keamanan.
3) Pendekatan Pemolisian Kooperatif: Mekanisme pemolisian koperasi dan peringatan dini serangan
dipertimbangkan untuk deteksi. Inisiatif multilateral untuk mendeteksi penggunaan jahat ruang maya mencakup
penciptaan mekanisme pemolisian yang ditingkatkan dan peringatan dini melalui pertukaran informasi dengan
tujuan memberikan peringatan dini terhadap serangan dunia maya dengan bertukar informasi antara sektor
publik dan swasta.
4) Program Manajemen Krisis: Ini diperlukan untuk reaksi atau desain infrastruktur informasi yang lebih kuat,
program manajemen krisis, dan upaya kepolisian dan keadilan. Inisiatif multilateral untuk bereaksi terhadap
penggunaan cyberspace yang berbahaya mencakup upaya untuk merancang infrastruktur informasi yang kuat
dan dapat bertahan; pengembangan sistem manajemen krisis; dan peningkatan koordinasi upaya pemolisian
dan peradilan pidana.

Di sisi lain, masalah keamanan siber tidak dapat ditangani dengan mudah oleh kekuatan pasar atau peraturan tetapi
membutuhkan campuran solusi yang cerdas. Terutama, kelompok pemangku kepentingan yang sangat beragam
memiliki peran potensial dalam mengoordinasikan serangkaian fungsi yang secara agregat menghasilkan kebijakan
keamanan siber yang efektif. Dalam hal ini, auditor internal adalah penting, dan mereka harus diperlakukan sebagai
bagian integral dari proses jaminan keamanan siber.

Audit internal sebagai bagian integral dari jaminan keamanan siber

Vasarhelyi dan Halper (1991) menggambarkan aplikasi yang dikembangkan oleh AT&T Bell Laboratories yang
memantau dan memberikan jaminan audit internal kepada, apa yang pada waktu itu, sistem penagihan pelanggan
terbesar di dunia AT&T. Aplikasi ini mengekstraksi data dari berbagai laporan pelanggan, menerapkan berbagai
macam algoritma pemantauan, dan membandingkannya dengan model (yaitu standar) untuk membuat peringatan
untuk anomali dalam sistem. Peningkatan aktivitas virtual untuk manajemen dan kontrol data besar telah memperoleh
dimensi baru berkat aplikasi ini.

Anggota dewan dari beberapa organisasi membutuhkan pemahaman yang jelas tentang paparan keseluruhan
organisasi terhadap risiko dunia maya, tetapi terkadang, gambarannya tidak jelas. Akibatnya, dewan dan komite audit
dan kepatuhan mereka menyerukan audit internal dan / atau kepatuhan untuk memberikan jaminan terkait
manajemen risiko cyber di organisasi. Menurut AHIA dan Deloitte (2017), sementara badan-badan pengatur ini
mendapat manfaat dari pendidikan keamanan siber yang disediakan oleh chief information officer (CIO), chief
technology officer dan chief information security officer (CISO), upaya pendidikan dapat gagal memenuhi kebutuhan
dewan untuk kejelasan dan pengertian untuk tiga alasan utama yang dirangkum sebagai berikut:

1) Kurangnya latar belakang TI: Teknologi informasi dan laporan departemen Keamanan dan presentasi sering
kompleks, sulit untuk terhubung dengan tujuan bisnis, dan berfokus terutama pada risiko teknis yang dapat
menempatkan dewan di wilayah yang tidak dikenal. Dewan saat ini tidak diharuskan untuk memasukkan
spesialis teknis cybersecurity; anggota yang ada mungkin lebih nyaman dengan kontrol dan peraturan internal
keuangan atau operasional.
2) Kurangnya jaminan independen: Adalah fakta bahwa di sebagian besar organisasi, fungsi TI dan keamanan
tidak dapat memberikan jaminan objektif dan independen yang diinginkan oleh anggota dewan ketika
menyangkut keamanan siber. Auditor internal adalah independen, dan jasa penjaminan yang diberikan oleh
auditor internal memperoleh nilai dan kredibilitas mereka dari asumsi fundamental yaitu independensi pikiran
dan kemandirian dalam penampilan. Sebagai pengakuan atas potensi konflik, IIA telah mengeluarkan sejumlah
standar dan pedoman profesional sehubungan dengan independensi dan obyektivitas. Pada tahun 2001, IIA
menerbitkan "Independensi dan Objektivitas: Kerangka Kerja untuk Auditor Internal" (IIA, 2001) sebagai
panduan untuk mengelola ancaman terhadap objektivitas. Kerangka kerja mengidentifikasi tujuh ancaman
utama: tinjauan ulang diri, tekanan sosial, kepentingan ekonomi, hubungan pribadi, keakraban, bias budaya
dan bias kognitif. Ini juga mengidentifikasi berbagai perlindungan terhadap ancaman-ancaman ini.
3) Kurangnya kesadaran: Berdasarkan pada laporan berita tentang pelanggaran dan undang-undang yang muncul
dari badan pengatur, pemerintah dan audit, banyak anggota dewan mungkin perlu memiliki kesadaran yang
tinggi akan risiko dunia maya.

Manajemen dan, pada akhirnya, dewan bertanggung jawab untuk memahami dan menangani berbagai risiko yang
ditimbulkan pada organisasi. Peran audit internal sebagai penyedia jaminan independen sangat penting untuk
manajemen risiko dan tata kelola yang baik. Untuk mencapai peran kunci ini dalam organisasi, auditor internal harus
mempertimbangkan Standar Internasional untuk Praktik Profesional Audit Internal (IIA, 2017b) dan Kerangka Kerja
Praktik Profesional Internasional (IPPF), dan ada kebutuhan untuk rencana penjaminan dunia maya untuk
diterapkan dalam organisasi.
 IPPF telah dikembangkan untuk mengatur berbagai panduan audit internal dari IIA Global dengan cara yang dapat
diakses. Ini mencakup dua jenis panduan:

1) Panduan wajib Anggota IIA diharuskan untuk mematuhi panduan wajib. Bimbingan ini dikembangkan
setelah berkonsultasi dengan anggota.
2) Pedoman yang disarankan Anggota IIA disarankan untuk mematuhi panduan ini. Ini menjelaskan praktik-
praktik untuk penerapan Prinsip Inti secara efektif, Kode Etik IIA dan Standar Internasional untuk Praktik
Profesional Audit Internal (2017b) (Standar Internasional).

Selain itu, auditor internal harus membangun kepercayaan dengan pendekatan berikut untuk memberikan jaminan
cyber secara komprehensif. Rencana jaminan cyber yang solid harus sebagai berikut:

 Terstruktur sebagai program berbasis risiko yang berkelanjutan: Auditor internal harus menerapkan solusi
tunggal, terpadu, dan komprehensif untuk memberikan program keamanan informasi berbasis risiko yang
dapat dikelola dan berkelanjutan. Agar program berbasis risiko terstruktur menjadi komprehensif, ia harus
menawarkan fungsionalitas ujung ke ujung yang mencakup risiko, proses, kebijakan, kerentanan, pelatihan,
vendor, audit, dan manajemen kepatuhan bersama-sama. Dengan kata lain, solusi yang benar-benar
komprehensif akan dapat mengidentifikasi risiko organisasi; mengidentifikasi kontrol untuk mengurangi risiko
itu; pengaturan peta persyaratan untuk kontrol untuk memfasilitasi kepatuhan secara default; beri tahu
organisasi mana kendali sudah ada; mengembangkan rencana untuk menerapkan kontrol yang hilang
berdasarkan efektivitas biaya mereka; dan melaporkan fungsi tata kelola dan proses kepatuhan. Auditor
internal harus memberikan wawasan reguler dari audit lain yang mungkin menarik, penggunaan mitra
eksternal untuk memberikan wawasan industri dalam perspektif audit berbasis risiko yang lebih luas.
 Dibangun di sekitar kerangka kerja jaminan dunia maya: Auditor internal harus menggunakan kerangka kerja
yang sama, tolok ukur dan bahasa untuk menghindari ketidakcocokan dan pesan tidak langsung ke dewan.
Dengan cara ini, auditor internal dapat menyelaraskan dengan manajemen untuk memberikan jaminan
keamanan siber. Auditor internal harus berbagi sumber daya dan / atau mitra sumber daya dengan IT. Ini
khususnya cara terbaik untuk mendekati isu-isu strategis dan berkontribusi pada pengetahuan dunia maya
untuk terlibat dengan CISO dan tim. Karena berbagai peraturan industri menetapkan atau menyarankan
banyak analisis risiko keamanan dan praktik manajemen yang sama, pendekatan terpadu merampingkan
program dan memungkinkan organisasi untuk mematuhi semuanya pada satu waktu. Kemampuan ini secara
dramatis menghilangkan redundansi dalam menjawab pertanyaan yang sama untuk setiap peraturan.
 Dieksekusi pada siklus jaminan: Penting untuk memiliki pendekatan berbasis risiko untuk keamanan informasi
yang memerlukan pendekatan yang terkelola tetapi disiplin yang terkait langsung dengan proses bisnis dan
menyederhanakan program yang sedang berjalan. Ini berarti efisiensi TI yang lebih besar dan secara
dramatis meningkatkan kewaspadaan organisasi untuk patuh juga. Auditor internal harus mengembangkan
 rencana audit berkelanjutan yang selaras dengan rencana keamanan siber secara konsisten. Auditor internal
harus menjaga hubungan berjalan di luar waktu audit untuk memahami masalah keamanan siber dan
kelemahan dalam organisasi. Dengan cara ini, auditor internal menjadi "penasihat dunia maya tepercaya"
dengan berkontribusi pada proses penjaminan keamanan siber dengan temuan-temuan penting mereka
sebagai ahli materi pelajaran. Auditor internal harus menentukan rencana audit berbasis risiko dan setelah
direncanakan, mereka harus menyampaikan audit dan tinjauan dengan tingkat profesionalisme dengan
komunikasi berkelanjutan sepanjang untuk memastikan hasilnya bernilai tambah bagi semua pemangku
kepentingan.

Ini adalah fakta bahwa organisasi sering menghadapi berbagai masalah dan insiden keamanan siber dalam
operasi sehari-hari, dan penting untuk memiliki kegiatan pembelajaran setelah masalah tersebut diangkat oleh
auditor internal. Wallace et al. (2011) menyajikan fakta bahwa tingkat kerja sama antara audit internal dan fungsi
keamanan informasi secara positif terkait dengan tingkat kepatuhan organisasi dengan persyaratan kontrol
internal terkait TI dari Sarbanes-Oxley Act. Demikian pula, Steinbart et al. (2012, 2013, 2015) mengusulkan model
bagaimana audit internal dan fungsi keamanan informasi dapat bekerja bersama untuk mendukung organisasi
mencapai tingkat keamanan informasi yang hemat biaya. Contoh kemungkinan hasil dari kegiatan pembelajaran
untuk berbagai insiden dunia maya adalah sebagai berikut [Institut Standar dan Teknologi Nasional (NIST), 2013c]
dan contoh daftar periksa program kesadaran keamanan siber disediakan di Lampiran 1:

 Perubahan Kebijakan Keamanan: Kebijakan keamanan mungkin dimodifikasi untuk mencegah insiden
serupa. Misalnya, jika menghubungkan perangkat seluler yang dimiliki secara pribadi ke laptop organisasi
menyebabkan infeksi serius, memodifikasi kebijakan organisasi untuk mengamankan, membatasi, atau
melarang koneksi perangkat semacam itu mungkin disarankan oleh auditor internal.
 Perubahan Program Kesadaran. Pelatihan kesadaran keamanan untuk pengguna dapat diubah untuk
mengurangi jumlah infeksi atau meningkatkan tindakan pengguna dalam melaporkan insiden dan membantu
menangani insiden di tuan rumah mereka sendiri.
 Konfigurasi ulang perangkat lunak. Pengaturan aplikasi mungkin perlu diubah untuk mendukung perubahan
kebijakan keamanan atau untuk mencapai kepatuhan dengan kebijakan yang ada.
 Penerapan Perangkat Lunak Deteksi Malware. Jika host terinfeksi melalui mekanisme transmisi yang tidak
dilindungi oleh perangkat lunak antivirus atau alat pendeteksi malware lainnya, sebuah insiden mungkin
memberikan justifikasi yang cukup untuk membeli dan menggunakan perangkat lunak tambahan.

Komentar penutup

Keamanan dunia maya pada dasarnya adalah tentang mengelola risiko di masa depan dan menanggapi insiden dan
serangan saat ini dan di masa lalu. Mengelola risiko di masa depan membutuhkan wawasan tentang kerentanan saat
ini dan di masa depan dan bagaimana mencegah atau menguranginya, probabilitas ancaman dan biaya yang terkait
dengan hasil potensial dan cara memitigasi mereka. Menanggapi insiden dan serangan saat ini dan di masa lalu
membutuhkan pengetahuan tentang apa yang telah terjadi, metode untuk mencegah insiden serupa agar tidak berhasil
di masa depan, dan kemungkinan tindakan hukum atau tindakan perbaikan lainnya terhadap para pelaku.

Dari perspektif auditor internal, menjadi penasihat cybersecurity yang tepercaya tidak boleh terbatas hanya untuk
mengetahui konsep dasar risiko cybersecurity, berkolaborasi secara sederhana dengan staf TI untuk menyediakan
keahlian keamanan siber. Auditor internal harus memperluas kemampuan audit TI mereka sendiri untuk memberikan
wawasan proaktif dan, dengan cara ini, mereka dapat membuat rekomendasi bernilai tambah bagi manajemen. Auditor
internal harus memiliki pengetahuan yang kuat tentang perubahan yang akan datang dalam peraturan terkait,
persyaratan baru dan tren industri lainnya. Auditor internal harus memastikan bahwa program audit
mempertimbangkan tren ini. Mereka harus secara hati-hati menentukan kompetensi cybersecurity untuk CAE dan
auditor internal melalui program pengembangan talenta / pengembangan profesional yang efektif berdasarkan standar
IIA dan secara strategis memanfaatkan co-sourcing untuk memastikan talenta dan kompetensi yang tepat tersedia
sesuai kebutuhan dan sejalan dengan prioritas organisasi.

Dari perspektif manajemen risiko, menjadi penasihat dunia maya yang tepercaya tidak terbatas pada melakukan
penilaian risiko untuk menentukan kemungkinan dan dampak risiko dunia maya, menyadari bagaimana organisasi
menangani keamanan siber dan tindakan yang telah diambil manajemen untuk mengurangi risiko terkait atau meninjau
pihak ketiga. laporan audit pihak. Sebaliknya, auditor internal harus memahami dampak penuh ancaman cyber pada
organisasi. Mereka harus secara khusus memasukkan ini dalam rencana audit berbasis risiko secara bersamaan.
Selain itu, auditor internal harus kompeten untuk secara proaktif mengidentifikasi risiko keamanan siber yang muncul.
Untuk mencapai hal ini, auditor internal harus memahami selera risiko organisasi untuk memerangi ancaman dunia
maya dengan melakukan audit berkelanjutan pada kontrol keamanan siber manajemen. Auditor internal harus memiliki
kemitraan yang kuat dengan CIO / CISO untuk menilai penyedia layanan pihak ketiga.

Dari perspektif jaminan, menjadi penasihat cyber yang tepercaya tidak terbatas pada penilaian kepatuhan terhadap
kebijakan dan prosedur terkait-cyber; memberikan jaminan pada program keamanan siber organisasi; memberikan
jaminan pada respon insiden, pemulihan bencana dan rencana kesinambungan bisnis; dan melaporkan hasil
keterlibatan terkait keamanan siber kepada komite manajemen dan dewan audit. Auditor internal harus memberikan
tinjauan independen terhadap strategi keamanan siber sebelum kebijakan dan prosedur dikembangkan. Auditor
internal harus menjadi bagian dari tim implementasi proyek teknologi untuk memastikan risiko cyber ditangani dan
terintegrasi, daripada ditambahkan nanti untuk proses terkait. Auditor internal harus berkontribusi dalam penentuan
tolok ukur dan pengujian kecukupan dan efektivitas kebijakan / prosedur terhadap kerangka kerja yang berlaku.
Mereka dapat mengevaluasi hasil pelatihan dan retensi pengetahuan. Ini dapat dicapai dengan meningkatkan
kemampuan audit internal dengan lingkungan kontrol yang ada di lini pertahanan pertama / kedua. Auditor internal
harus memberikan wawasan tentang koordinasi rencana dan penyelarasan dengan strategi bisnis. Mereka juga dapat
secara aktif berpartisipasi dalam proses dengan melibatkan manajemen dan dewan / komite audit dalam diskusi-
diskusi berwawasan ke depan, membantu mereka untuk memikirkan kerentanan cyber yang dihadapi organisasi.