RESUME DAN TUGAS (PR)

CHAPTER 7
INFORMATION TECHNOLOGY RISKS AND CONTROLS

Diajukan untuk memenuhi salah satu Tugas Mata Kuliah Audit Internal Pertemuan 9

Dosen Pengampu : Ibnu Rachman,Dr., Drs., M.Si., M.M., Ak., Qia.

Di Susun Oleh:

Muhamad Bulan Rubiansah

(0117101072)

Kelas B

UNIVERSITAS WIDYATAMA

FAKULTAS EKONOMI

PROGRAM STUDI AKUNTANSI S1

2020
 RESUME (RINGKASAN)
1. Buat penjelasan singkat:
a) Definisi “Cyber Security” dan pengendaliannya
Cyber Security merupakan risiko yang terus meningkat yang membutuhkan peningkatan
control atau pengendalian. Istilah "cybersecurity" mengacu pada teknologi, proses, dan
praktik yang dirancang untuk melindungi aset informasi organisasi komputer, jaringan,
program, dan data dari akses tidak sah. Pengendalian yang efektif untuk mengatasi
keamanan Cyber meliputi:
a. Kerangka kerja keamanan yang kuat;
b. Mengidentifikasi dan mengendalikan risiko tertinggi bagi organisasi terkait keamanan
cyber;
c. Program kesadaran cybersecurity diarahkan untuk semua karyawan;
d. Pertimbangan ancaman eksternal dan internal;
e. Tata kelola keamanan informasi yang kuat dalam organisasi; dan
f. Protokol respons yang kuat jika terjadi pelanggaran keamanan cyber yang serius.

Perkembangan teknologi saat ini memungkinkan lebih banyak akses pengguna ke

informasi organisasi daripada era sebelumnya. Pihak ketiga semakin dibebaskan untuk
mengakses ke informasi organisasi melalui rantai pasokan, pelanggan, dan penyedia
layanan. Berbagai data yang lebih besar telah tersedia karena organisasi sering
menyimpan berbagai file penyimpanan berskala besar melalui infrastruktur virtual yang
dapat diakses melalui “Cloud Computing”.

b) Peran dan Risiko Sosial Media

1. Peran sosial media :
Kemudian peran sosial media pada perkembangannya saat ini menurut Andersen, dkk
terdiri atas:
a) Dapat meningkatkan pendapatan;
b) Dapat Meningkatkan kepuasan dan loyalitas pelanggan;
c) Dapat melakukan rekrut dan mempertahankan bakat terbaik;
d) Dapat meningkatkan pengembangan dan inovasi produk; dan
e) Dapat meningkatkan kesadaran merek dan persepsi pelanggan.
 2. Risiko sosial media:
Risiko Sosial media menurut Andersen, Dkk terdiri atas:
a) Kurang/tidak efektifnya tata kelola perusahaan seputar penggunaan media
sosial.
b) Kurangnya pertimbangan dalam menyusun persyaratan peraturan.
c) Gagal membuat atau memantau metrik disekitar media social; dan
d) Kegagalan untuk menetapkan kebijakan jejaring sosial yang efektif.

Media sosial hanyalah salah satu contoh bagaimana teknologi harus ditinjau dan
dievaluasi secara berkelanjutan untuk menentukan manfaat dan risiko relatif.
Meskipun suatu organisasi mungkin tidak ingin berurusan dengan adopsi
teknologi baru, adopsi masyarakat terhadap teknologi itu masih memiliki dampak
jangka panjang pada setiap organisasi. Fungsi audit internal memiliki peluang
untuk terlibat diawal proses ketika masalah yang muncul dan memberikan
wawasan kepada organisasi mengenai optimalisasi peluang dan mitigasi risiko.

c) Keahlian system informasi yang harus dimiliki oleh auditor

Berdasarkan Buku yang say abaca, menurut Andersen terdiri dari 5 keahlian yang
harus dimiliki seorang auditor, antara lain:
a) Analisis data. Auditor harus memiliki kapasitas dan penguasaan bagaimana cara
menganalisis data dan menggunakan alat perangkat lunak audit sehingga dapat
dimaksimalkan dalam proses audit.
b) Keamanan siber. Auditor harus mampu memahami apa saja komponen kunci
dari keamanan informasi, termasuk terminologi dan risiko utama dalam
melakukan audit.
c) Kelangsungan bisnis dan pemulihan bencana. Auditor harus memahami area
bisnis yang signifikan dan praktik untuk pemulihan, sehingga risiko yang muncul
dapat diminimalisir seefektif mungkin.
d) Manajemen Perubahan. Auditor harus memahami pengetahuan tentang
manajemen dan perubahan proyek pada setiap proses dan dampak yang sesuai
dengan organisasi.
 e) Teknologi yang lebih baru. Auditor sebaiknya memiliki kemampuan terhadap
teknologi baru dengan berbagai isu terkini dan potensi dampaknya pada bisnis
.
2. Buat penjelasan singkat:
a. Komponen kunci system informasi modern (hardware dan software) :
1) Perangkat keras computer. Merupakan perangkat keras yang dapat dilihat
secara kasat mata dan digunakan dalam menjalankan komputer, Perangkat keras
komputer terdiri dari komponen system informasi, misalnya unit pemrosesan
pusat (CPU), server, teriminal, chip computer, perangkat penyimpanan seperti
drive disk, perangkat input/output seperti scanner.
Contoh:. Perangkat keras komputer termasuk smartphone, komputer desktop, dua
komputer laptop, printer, komputer mainframe, empat server, dan dua firewall.
Perangkat tambahan yang tidak diketahui organisasi juga dapat mengakses data
dan memperbarui basis data di balik firewall. Inilah sebabnya mengapa aturan
keamanan informasi sangat penting bagi organisasi. Bergantung pada kontrol
yang ada dan kekuatan firewall, keamanan siber menjadi semakin signifikan.

2) Jaringan. Merupakan Jaringan yang menghubungkan dua/lebih

computer/perangkat sehingga mereka dapat berbagi informasi. Tipe jaringan
seperti LAN, WAN, VAN, jaringan klien server dan yang skalanya paling besar
adalah Internet dengan cakupan seluruh dunia.
Contoh: perusahaan interkoneksi antara LAN, intranet organisasi dan juga
internet yang menghubungkan juga berbagi data diantara divisi – divisi yang
mebutuhkan.

3) Perangkat lunak komputer. Merupakan sistem operasi perangkat lunak yang

digunakan dalam menjalankan komputer, perangkat lunak utilitas, system
manajemen basis data, perangkat lunak aplikasi, dan perangkat lunak firewall.
Contoh: setiap desktop, laptop, perangkat pintar, mainframe, dan server computer
berisi pengoperasian dan utilitas perangkat lunak yang diperlukan agar computer
berfungsi dengan baik. Seperti Windows, IOS, dan sebagainya.
 4) Basis data. Merupakan penyimpanan data yang besar, biasanya terkandung dalam
banyak file yang ditautkan dan disimpan agar data mudak diakses, diambil.
Contoh: setiap desktop, computer, laptop akan menampung database yang
digunakan untuk menyimpan jumlah data yang bermanfaat untuk pengguna
komputer seperti menyimpan data di data D ataupun local disk.

5) Informasi. Merupakan sumber daya utama untuk semua perusahaan dalam

pengambilan keputusan yang berdampak jangka pendek maupun jangka panjang
bagi manajemen.
Contoh: setiap laptop, server, berisi informasi dalam berbagai jenis file yang
bermanfaat untuk pengguna komputer itu. Informasi mengalir dalam berbagai
arah dianatara berbagai komputer dalam mengambil keputusan yang tepat.

6) Orang-orang/Pengoperasi. Dengan adanya komponen tersebut maka dapat

membrikan peran kepada kepala petugas informasi (CIO), kepala petugas
keamanan ifnormasi (CISO), pengembang system, administrator data.
Contoh: orang-orang yang terlibat dalam system ifnormasi bertanggungjawab
untuk mengelola dan mengoperasikan berbagai server dan firewall.

b) Risiko kunci system informasi modern.

Risiko yang dihadapi organisasi atau perusahaan akan bergantung pada sifat bisnis
dan operasi organisasi didalamnya dimana organisasi beroperasi pada konfigurasi dan
organisasi system informasi yang berbeda. Contoh:
1) Perangkat keras komputer rentan terhadap pemadaman listrik yang mengganggu
pemrosesan transaksi. Lainnya lebih canggih dan sulit dideteksi risikonya
termasuk membeli perangkat keras yang sudah terinfeksi malware.
2) Jaringan mengirimkan informasi yang mungkin dicuri, dihack atau
disalahgunakan.
3) Perangkat lunak komputer yang diprogram secara tidak akurat dapat
menghasilkan informasi yang tidak lengkap, tidak valid, dan/atau tidak
akurat. Dirancang dengan buruk perangkat lunak meningkatkan risiko yang tidak
efisien, kinerja, atau kapasitas.
 4) Basis data dapat disusupi dengan tujuan untuk penyalahgunaan atau informasi
yang menyalahgunakan. Terlalu banyak basis data atau kurangnya basis data yang
kuat kontrol versi dapat meningkatkan risiko duplikasi data dan meningkat biaya
pemrosesan.
5) Informasi yang tidak valid, tidak lengkap, dan / atau tidak akurat dapat dihasilkan
dalam keputusan yang buruk. (Risiko bahwa informasi yang buruk akan
mengakibatkan miskin keputusan umumnya disebut sebagai risiko informasi.
6) Seseorang dapat melakukan tugas-tugas TI yang tidak sesuai dan dengan
demikian berada dalam posisi untuk melakukan dan menyembunyikan kesalahan
atau penipuan.

3. Buat penjelasan singkat:

a. Resiko Teknologi informasi:
Berikut beberapa risiko teknologi informasi menurut Andersen, Dkk, antara
lain:
1) Resiko Pemilihan. Risiko dalam pemilihan solusi TI yang tidak selaras dengan
tujuan strategis dapat menghalangi pelaksanaan IT-dependent strategi. Demikian
juga pemilihan solusi TI yang kurang memadai fleksibel dan atau dapat
diskalakan dapat menyebabkan ketidakcocokan antara TI solusi dan sistem
organisasi yang ada atau menghambat masa depan perubahan dan pertumbuhan
organisasi. Penyebabnya meliputi pembuat keputusan yang tidak berkualifikasi
dan informasi yang tidak memadai mendukung keputusan seleksi
2) Risiko pengembangan/akuisisi dan penyebaran. Beberapa masalah yang
ditemui sebagai solusi IT yang sedang dikembangkan menyebabkan
keterlambatan yang tak terduga, pembengkakan biaya, bahkan pengabaian proyek.
Penyebabnya pengembangan/akuisisi dan risiko penyebaran mencakup, misalnya
keahlian in-house yang tidak memadai, dukungan vendor yang tidak memadai,
operator perangkat lunak yang belum dicoba, dan bertahan untuk tidak mengubah
keadaan.
3) Risiko ketersediaan. Risiko ini menyebabkan keterlambatan dalam pengambilan
keputusan, gangguan bisnis, pendapatan yang hilang, dan ketidakpuasan
pelanggan. Contoh: kegagalan perangkat keras/lunak, pemeliharaan tidak
 terjadwal, bencana alam, dan virus dan tindakan jahat lainnya yang menyebabkan
ketersediaan data yang digunakan dalam pengambil keputusan menjadi terbatas.
4) Risiko perangkat keras/lunak. Risiko ini bisa gagal menjalankan perangkat
keras/lunak sehingga menyebabkan gangguan bisnis sementara atau permanen,
atau kerusakan data, dan perbaikan perangkat keras/perangkat lunak atau biaya
penggantian. Penyebab risiko perangkat keras/lunak termasuk, untuk. contoh,
keausan alami, kerusakan lingkungan yang disebabkan oleh hal-hal seperti
kelembaban yang berlebihan, bencana seperti kebakaran dan banjir, tidak
menambal perangkat keras atau perangkat lunak, dan virus dan perangkat jahat
lainnya tindakan.
5) Risiko akses. Merupakan risiko dalam akses fisik atau logis yang tidak sah ke
dalam sistem dan mengakibatkan pencurian atau penyalahgunaan perangkat keras.
Penyebabnya seperti, penggunaan handphone untuk mengakses, memodifikasi,
dan menyimpan data perusahaan dan penggunaan terbuka jaringan nirkabel untuk
tamu akses ke data bisnis dan kurangnya akses pengguna yang kuat atau otentikasi
6) Risiko keandalan sistem dan integrasi informasi. Risiko ini menyebabkan
kesalahan sistematis atau inkonsistensi dalam pemrosesan sehingga menghasilkan
data yang tidak relevan, tidak lengkap, informasi yang tidak akurat, dan / atau
sebelum waktunya. Pada gilirannya, informasi yang buruk diproduksi oleh sistem
dapat mempengaruhi keputusan yang ada berdasarkan informasi. Penyebab
keandalan dan informasi sistem risiko integritas termasuk, misalnya, kesalahan
pemrograman perangkat lunak, kontrol edit atau verifikasi data lemah, dan
perubahan tidak sah perangkat lunak
7) Risiko kerahasiaan dan privasi. Risiko kerahasiaan dapat muncul karena
pengungkapan yang tidak sah atas informasi hak milik mitra bisnis atau pribadi
individu informasi dapat mengakibatkan hilangnya bisnis, tuntutan hukum, pers
negatif, dan penurunan reputasi. Penyebab kerahasiaan dan risiko privasi
termasuk, misalnya, akses tanpa hambatan ke jaringan sistem, perangkat lunak,
dan basis data
8) Risiko penipuan dan tindakan berbahaya. Risiko penipuan seperti pencurian
sumber daya IT, disengaja penyalahgunaan sumber daya TI, atau distorsi yang
disengaja atau perusakan informasi dapat mengakibatkan kerugian finansial
 dan/atau salah saji informasi yang diandalkan oleh pembuat keputusan. Penyebab
penipuan dan risiko tindakan jahat termasuk, misalnya, karyawan yang tidak puas
dan peretas berniat merugikan organisasi untuk keuntungan pribadi

Risiko-risiko Teknologi informasi yang diuraikan diatas dimaksudkan sebagai ilustrasi

dan bukan mencakup semua. Perhatikan bahwa risiko ini tidak saling eksklusif.
Misalnya, sistem informasi mungkin tidak tersedia (risiko ketersediaan) karena
kegagalan perangkat keras/lunak (risiko perangkat keras/perangkat lunak). Demikian
juga, penipuan dan tindakan jahat lainnya dapat menyebabkan risiko lainnya. Seri
GTAG secara komprehensif menangani risiko dan kontrol TI dan menawarkan
panduan terperinci tentang cara melakukan perikatan audit TI yang efektif.

b. Peluang Teknologi Informasi

Peluang teknologi informasi memiliki dampak yang sangat baik dalam perkembangan
perekonomian dimana salah satu dampak positifnya seperti menjual barang secara
online adalah peluang yang dimungkinkan oleh e-commerce teknologi yang
dieksploitasi banyak organisasi. Peluang lainnya seperti kemajuan TI telah
memungkinkan termasuk perencanaan sumber daya perusahaan (ERP) sistem dan
pertukaran data elektronik (EDI) yang mengakibatkan pengambilan keputusan ats
keputusan strategis perusahan diambil secara cepat juga tepat

4. Penjelasan singkat tentang tata kelola teknologi informasi

Tata kelola TI merupakan proses kepemimpinan, struktur, dan pengawasan yang
memastikan organisasi IT mendukung tujuan dan strategi organisasi. Dalam menanggapi
dampak luas yang TI miliki terhadap strategi dan operasi bisnis, banyak organisasi telah
menetapkan bahwa tata kelola TI, dengan sendirinya, cukup penting untuk mendapatkan
perhatian khusus.

Definisi diatas dengan jelas menunjukkan bahwa dewan dan manajemen senior
"memiliki" tata kelola TI, sama seperti mereka memiliki semua aspek tata kelola lainnya.
Beberapa dewan telah membentuk komite tata kelola yang tanggung jawabnya mencakup
tata kelola TI. Komite audit juga sering memainkan peran kunci dalam tata kelola TI.
 Peran tata kelola TI dewan dan komite adalah untuk memberikan arahan tata kelola TI
kepada manajemen senior dan mengawasi kegiatan tata kelola TI manajemen senior.
Manajemen senior bertanggung jawab untuk mengarahkan dan mengawasi pelaksanaan
tata kelola TI sehari-hari. Beberapa organisasi telah membentuk komite tata kelola TI,
yang anggotanya termasuk CEO dan eksekutif senior lainnya.

Selanjutnya seperti dijelaskan dalam IIA Standar 2110. A2 dan “GTAG: Audit Tata
Kelola TI,” tata kelola TI sangat penting. Standar IIA 2110.A2 menyatakan, "Audit
internal [fungsi] harus menilai apakah tata kelola teknologi informasi organisasi
mendukung strategi dan tujuan organisasi." "GTAG: Audit Tata Kelola TI" menegaskan
kembali pada poin ini: "Tanggung jawab utama untuk tata kelola TI terletak pada dewan
dan manajemen tingkat senior. Aktivitas audit internal bertanggung jawab untuk menilai
apakah tata kelola TI organisasi mendukung strategi dan tujuan organisasi sebagaimana
diuraikan dalam Standar 2110 [A2]. "

5. Buat penjelasan singkat

a) Manajemen risiko TI :
Manajemen risiko didefinisikan sebagai proses yang dilakukan oleh manajemen untuk
memahami dan menangani ketidakpastian (risiko dan peluang) yang dapat mempengaruhi
kemampuan organisasi untuk mencapai tujuannya. Dalam bab 4 sebelumnya membahas
secara terperinci bagaimana proses manajemen risiko organisasi beroperasi dalam
struktur tata kelola organisasi untuk 1) mengidentifikasi dan mengurangi risiko yang
mengancam keberhasilan organisasi, dan 2) mengidentifikasi dan memanfaatkan peluang
yang memungkinkan keberhasilan organisasi.

b) Pengendalian risiko tata kelola TI.

Pengendalian atau kontrol didefinisikan dalam Bab 1 sebagai proses yang tertanam dalam
manajemen risiko dan dilakukan oleh manajemen untuk memitigasi risiko ke tingkat yang
dapat diterima. Pengendalian internal memberikan cakupan kontrol internal yang
mendalam dan memperkenalkan konsep pengendalian TI, yang umumnya
diklasifikasikan sebagai kontrol umum atau aplikasi:
1) Kontrol umum berlaku untuk semua komponen sistem, proses, dan data untuk
organisasi atau lingkungan sistem tertentu.
 2) Kontrol aplikasi berkaitan dengan ruang lingkup proses bisnis individu atau sistem
aplikasi dan termasuk kontrol dalam aplikasi sekitar input, pemrosesan, dan output.
Control TI tingkat tata kelola adalah bagian penting dari keseluruhan organisasi
system control internal.
Contoh: kebijakan umum tentang tingkat keamanan dan privasi diseluruh organisasi,
kebijakan personalia yang mendefinisikan dan menegakkan kondisi untuk staf di area
sensitive

c) Pengendalian manajemen TI.

Manajemen bertanggung jawab untuk memastikan bahwa kontrol TI dirancang secara
memadai dan beroperasi secara efektif, dengan mempertimbangkan tujuan organisasi,
risiko yang mengancam pencapaian tujuan tersebut, dan proses dan sumber daya bisnis
organisasi. Kontrol TI pada tingkat manajemen terdiri dari standar, organisasi dan
manajemen, dan kontrol fisik dan lingkungan.
Dimana dalam pengendalian manajemen TI manajemen dapat melakukan Proses untuk
memahami dan menangani risiko IT dan peluang yang bisa mempengaruhi
organisasi ' kemampuan untuk mencapai tujuannya.
Contoh: kontrol TI pada tingkat manajemen terdiri dari standar, organisasi dan
manajemen, fisik dan control lingkungan

d) Pengendalian teknik TI.

Kontrol fisik dan lingkungan TI melindungi sumber daya sistem informasi (perangkat
keras, perangkat lunak, dokumentasi, dan informasi) dari kerusakan yang tidak disengaja
atau disengaja, penyalahgunaan, atau kehilangan. Kontrol semacam itu termasuk,
misalnya:
1) Menemukan server di ruang terkunci yang aksesnya dibatasi
2) Menyediakan deteksi kebakaran dan peralatan penindasan.
3) Peralatan, aplikasi, dan data sensitif perumahan yang jauh dari bahaya lingkungan
seperti dataran banjir, jalur penerbangan, atau toko cairan yang mudah terbakar.
 Kontrol Teknis TI
“Kontrol teknis sering membentuk tulang punggung kerangka kontrol manajemen.
Kontrol ini khusus untuk teknologi yang digunakan Kontrol teknis TI mencakup kontrol
perangkat lunak sistem, sistem kontrol pengembangan, dan kontrol berbasis aplikasi.
Perangkat lunak sistem memfasilitasi penggunaan perangkat keras sistem dan mencakup,
misalnya, sistem operasi, sistem jaringan, sistem manajemen basis data, firewall, dan
perangkat lunak antivirus. Kontrol perangkat lunak sistem membatasi akses logis ke
sistem dan aplikasi organisasi, memantau penggunaan sistem, dan menghasilkan jejak
audit. Kontrol perangkat lunak sistem meliputi, misalnya:
1) Hak akses dialokasikan dan dikendalikan sesuai dengan kebijakan yang dinyatakan
organisasi.
2) Pembagian tugas diberlakukan melalui perangkat lunak sistem dan control
konfigurasi lainnya.
3) Penilaian intrusi dan kerentanan, pencegahan, dan deteksi dilakukan dan terus
dipantau.
4) Pengujian intrusi dilakukan secara teratur.
5) Layanan enkripsi diterapkan di mana kerahasiaan adalah persyaratan yang
dinyatakan.
6) Ubah proses manajemen — termasuk manajemen tambalan — tersedia untuk
memastikan proses yang dikontrol ketat untuk menerapkan semua perubahan dan
tambalan pada perangkat lunak, sistem, komponen jaringan, dan data.

6. Buat penjelasan singkat

a. Implikasi terhadap auditor internal.
Teknologi Informasi telah mengubah cara organisasi merumuskan strategi, melakukan
operasi sehari-hari, dan membuat keputusan, maka auditor internal perlu meningkatkan
pengetahuan dan keterampilan TI mereka dan menyesuaikan untuk melakukan
pekerjaannya, sehingga auditor internal dapat dengan mudah melaksanakan berbagai
pekerjaannya karena sudah terintegrasi dengan berbagai platform digital dalam proses
auditnya disamping itu pemahaman auditor internal terhadap kemampuan TI harus
ditingkatkan agar mampu memanfaatkanya semaksimal mungkin.
b. Kecermatan profesi dan kecakapan TI.
Kecermatan profesi auditor dan kecakapan terhadap TI sangat dibutuhkan pada
perkembangan zaam saat ini dengan melakukan pekerjaan penugasan dengan tingkat
kemahiran dan ketekunan yang lebih baik akan berdampak pada peningkatan kualitas
audit yang menghasilkan saran juga perbaikan pada sistem kegiatan operasi
perusahaan dimana era Revolusi Industri 4.0 yang semakin bergerak maju menuntut
semua profesi untuk selalu beradaptasi dengan perkembangan yang semakin cepat,
contoh: auditor akan memberikan jaminan yang masuk akal, bukan jaminan mutlak

c. Tanggungjawab penugasan assurans TI.

Tanggung jawab kepala audit internal harus membagikan tugas dan tanggung jawab
pada suatu level dalam organisasi yang memungkinkan aktivitas audit internal dapat
melaksanakan tanggungjawabnya.
Contoh: kepala audit internal harus melaporkan independensi organisasi bagi aktivitas
audit internal kepada dewan, paling tidak setahun sekali.

d. Outsourching TI.
Outsourching TI Banyak dilakukan eksekutif untuk dilakukan kepada pihak ketiga
yang mengambil alih tanggungjawab akses pengelolaan asset TI dan staf untuk
pengiriman layanan TI, seperti memasukkan data, operasi pusat data, pengembangan
aplikasi, aplikasi pemeliharaan, dan pengelolaan jaringan. Sehingga proses
pengelolaan asset dari manajemen dapat berjalan dengan baik sesuai dengan yang
diharapkan.
 TUGAS (PR)

1. Sebutkan 6 komponen TI modern

a) Perangkat keras computer. Merupakan perangkat keras yang dapat dilihat secara
kasat mata dan digunakan dalam menjalankan komputer, Perangkat keras komputer
terdiri dari komponen system informasi, misalnya unit pemrosesan pusat (CPU),
server, teriminal, chip computer, perangkat penyimpanan seperti drive disk, perangkat
input/output seperti scanner.
Contoh:. Perangkat keras komputer termasuk smartphone, komputer desktop, dua
komputer laptop, printer, komputer mainframe, empat server, dan dua firewall.
Perangkat tambahan yang tidak diketahui organisasi juga dapat mengakses data dan
memperbarui basis data di balik firewall. Inilah sebabnya mengapa aturan keamanan
informasi sangat penting bagi organisasi. Bergantung pada kontrol yang ada dan
kekuatan firewall, keamanan siber menjadi semakin signifikan.

b) Jaringan. Merupakan Jaringan yang menghubungkan dua/lebih computer/perangkat

sehingga mereka dapat berbagi informasi. Tipe jaringan seperti LAN, WAN, VAN,
jaringan klien server dan yang skalanya paling besar adalah Internet dengan cakupan
seluruh dunia.
Contoh: perusahaan interkoneksi antara LAN, intranet organisasi dan juga internet
yang menghubungkan juga berbagi data diantara divisi – divisi yang mebutuhkan.

c) Perangkat lunak komputer. Merupakan sistem operasi perangkat lunak yang

digunakan dalam menjalankan komputer, perangkat lunak utilitas, system manajemen
basis data, perangkat lunak aplikasi, dan perangkat lunak firewall.
Contoh: setiap desktop, laptop, perangkat pintar, mainframe, dan server computer
berisi pengoperasian dan utilitas perangkat lunak yang diperlukan agar computer
berfungsi dengan baik. Seperti Windows, IOS, dan sebagainya.
 d) Basis data. Merupakan penyimpanan data yang besar, biasanya terkandung dalam
banyak file yang ditautkan dan disimpan agar data mudak diakses, diambil.
Contoh: setiap desktop, computer, laptop akan menampung database yang
digunakan untuk menyimpan jumlah data yang bermanfaat untuk pengguna
komputer seperti menyimpan data di data D ataupun local disk.

e) Informasi. Merupakan sumber daya utama untuk semua perusahaan dalam

pengambilan keputusan yang berdampak jangka pendek maupun jangka panjang bagi
manajemen.
Contoh: setiap laptop, server, berisi informasi dalam berbagai jenis file yang
bermanfaat untuk pengguna komputer itu. Informasi mengalir dalam berbagai arah
dianatara berbagai komputer dalam mengambil keputusan yang tepat.

f) Orang-orang/Pengoperasi. Dengan adanya komponen tersebut maka dapat

membrikan peran kepada kepala petugas informasi (CIO), kepala petugas keamanan
informasi (CISO), pengembang system, administrator data.
Contoh: orang-orang yang terlibat dalam system ifnormasi bertanggungjawab untuk
mengelola dan mengoperasikan berbagai server dan firewall.

2. Bagaimana TI memungkinkan peluang? Berikan 2 contoh

Menjual barang secara online adalah peluang yang dimungkinkan oleh e-commerce.
Sehingga sangat disayangkan apabila diera sekarag tidak memanfaatkan teknologi
informasi tersebut semaksimal mungkin. Adapun contoh pemanfaatan TI pada zaman
sekarang menurut Andersen, dkk, antara lain:
a) Sistem ERP. Perangkat lunak sistem modular yang memungkinkan organisasi untuk
mengintegrasikan proses bisnis mereka menggunakan database operasi tunggal.
Manfaat yang diekspektasikan organisasi untuk peningkatan dari
pengimplementasian sistem ERP termasuk pemrosesan transaksi secara online,
interaksi dan berbagi informasi di anatra area fungsional, peningkatan proses kinerja,
pengurangan redudansi data, lebih cepat dalam pengambilan keputusan. Namun,
menerapkan sistem ERP yang efektif dan efisien pada waktu dan anggaran adalah
 usaha besar yang penuh dengan risiko. Memanfaatkan peluang yang sistem ERP
yang ditawarkan tergantung pada efektif mengurangi risiko yang dapat menyebabkan
inisiatif untuk gagal.
b) EDI. Pertukaran dokumen bisnis dari computer ke computer dalam bentuk elektronik
antara organisasi dan mitra dagangnya. Manfaatnya: efisiensi pemrosesan transaksi
dan lebih sedikit pemrosesan kesalahan data.

3. Apa efek potensial (konsekuensi buruk) dari masing-masing mengikuti jenis risiko
IT?
Dampak buruk dari adanya Teknologi informasi tentu saja tidak bias dielakan walaupun
teknologi tersebut sangat canggih, pasti ada risiko yang menghadang, berikut risiko dari
penggunaan TI menurut Andersen, dkk, antara lain:
a) Pengembangan/akuisisi dan penyebaran
Masalah yang ditemui dapat menyebabkan keterlambatan yang tak terduga,
pembengkakan biaya, atau bahkan pengabaian proyek.
b) Perangkat keras dan perangkat lunak
Adanya kegagalan dalam menjalankan perangkat keras/kunak yang dapat
menyebabkan gangguan bisnis baik sementara ataupun permanen, kerusakan data,
dan adanya biaya penggantian untuk perbaikan perangkat keras/lunak
c) System reliability and information integrity
Kesalahan sistematis dan inkonsistensi dalam pengolahan dapat menghasilkan
ketidakrelevanan, tidak lengkap, tidak akurat, dan informasi tidak pada waktunya.
Informasi yang buruk dapat mempengaruhi dalam gagalnya pengambilan keputusan.
Penyebab risiko sistem reliabilitas dan integritas informasi termasuk eror program
perangkat lunak, tidak terotorisasi peruabahan perangkat lunak.
d) Fraud and malicious acts
Pencuri sumber informasi teknologi, peyalahgunaan informasi atau penghancuran
informasi dapat mengakibatkan kerugian keuangan dan informasi dalam
pengambilan keputusan.
4. Apa penyebab dari masing-masing jenis risiko TI?
Penyebab dari masing – masing jenis risiko TI terhadap informasi juga pengambilan
keputusan, menurut Andersen, dkk, antara lain:
a) Pilihan
Penyebabnya: pembuat keputusan yang tidak berkualifikasi dan informasi yang tidak
memadai mendukung keputusan seleksi
b) Ketersediaan
Penyebabnya: kegagalan perangkat keras/lunak, pemeliharaan tidak terjadwal, bencana
alam, virus, dan tindakan jahat lainnya
c) Akses
Akses fisik yang tidak sah dalam sistem dapat mengakibatkan pencurian atau
penyalahgunaan hardware, modifikasi perangkat lunak berbahaya dan pencurian,
penyalahgunaan atau kerusakan data.
d) Kerahasaan dan Privasi
Pengungkapan yang tidak sah oleh partner bisnis mengenai informasi pribadi yang
dapat mengakibatkan hilangnya bisnis, tuntutan hukum, penurunan reputasi.

6 Bagaimana masing-masing manajemen risiko perusahaan COSO berikut (ERM)

komponen yang relevan dengan manajemen risiko TI?
a) Pengaturan objektif.
ERM memastikan bahwa manajemen menetapkan tujuan dan tujuan tersebut mendukung
dan selaras dengan misi organisasi dan konsisten dengan selera resikonya.
b) Tugas beresiko.
Risiko dianalisis dengan mempertimbangkan kemungkinan dan dampaknya sebagai dasar
untuk menentukan bagaimana cara mengelolanya
c) Respon Risiko
Respon risiko yang tepat harus dirumuskan untuk mengidentifikasi kejadian risiko
teknologi informasi. Risiko yang dapat diterima merupakan respon yang tepat untuk
kejadian risiko TI dengan dampak inheren dan tingkat kemungkinan yang terjadi dalam
toleransi risiko manajemen. Kemungkinan respon risiko untuk tingkat risiko TI dengan
toleransi risiko manajemen.
 d) Informasi dan komunikasi
Sistem informasi organisasi adalah untuk mengidentifikasi, mengambil dan informasi
komunikasi kualitas tingkat tinggi untuk pengambilan keputusan dalam basis waktu.
Contohnya informasi terkait untuk mengidentifikasi, menilai dan merespon kejadian
risiko TI yang harus dikomunikasikan melalui organisasi.

7 Apa perbedaan antara general controls dan application controls

Perbedaan utama antara general controls dengan application controls terletak pada
substansi pengendalian yang dilaksanakannya karena jika general controls substansi
pengendaliannya secara menyeluruh dan umum jika application controls substansi
pengendalianya erkaitan dengan ruang lingkup pemeriksaan yang diperiksanya. Supaya
lebih jelas mengenai definisinya, saya jabarkan sebagai berikut:
 General controls berlaku untuk semua komponen system, proses, dan data untuk
lingkungan organisasi atau system tertentu
 Application controls berkaitan dengan ruang lingkup individu proses bisnis atau
system aplikasi dan termasuk control di dalamnya aplikasi di sekitar input,
pemrosesan, dan output

11 Apa perbedaan antara physical access controls dan logical access controls

Perbedaan utama antara physical access controls dengan logical access controls terletak
pada bagaimana cara pengendalian atas akses keamanan informasi yang akan diterima
atau diperoleh, dimana dalam physical access control memberikan keamanan melalui
sumber daya TI yang nyata seperti kamera pengintai atau penjaga keamanan yang dapat
dilihat secara fisik sedangkan dalam logical acceess Control memberikan kemanan
melalui sistem yang sudah tertanam dalam informasi tersebut yang tidak bisa dilihat
secara kasat mata melalui ID pengguna ataupun Enkripsi.

 Physical access control : memberikan keamanan terhadap sumber daya TI yang

nyata.
 Logical access control : memberikan keamanan atas perangkat lunak dan informasi
yang tertanam dalam system.