CHAPTER 7
INFORMATION TECHNOLOGY RISKS AND CONTROLS
Diajukan untuk memenuhi salah satu Tugas Mata Kuliah Audit Internal Pertemuan 9
Di Susun Oleh:
(0117101072)
Kelas B
UNIVERSITAS WIDYATAMA
FAKULTAS EKONOMI
2020
RESUME (RINGKASAN)
1. Buat penjelasan singkat:
a) Definisi “Cyber Security” dan pengendaliannya
Cyber Security merupakan risiko yang terus meningkat yang membutuhkan peningkatan
control atau pengendalian. Istilah "cybersecurity" mengacu pada teknologi, proses, dan
praktik yang dirancang untuk melindungi aset informasi organisasi komputer, jaringan,
program, dan data dari akses tidak sah. Pengendalian yang efektif untuk mengatasi
keamanan Cyber meliputi:
a. Kerangka kerja keamanan yang kuat;
b. Mengidentifikasi dan mengendalikan risiko tertinggi bagi organisasi terkait keamanan
cyber;
c. Program kesadaran cybersecurity diarahkan untuk semua karyawan;
d. Pertimbangan ancaman eksternal dan internal;
e. Tata kelola keamanan informasi yang kuat dalam organisasi; dan
f. Protokol respons yang kuat jika terjadi pelanggaran keamanan cyber yang serius.
Media sosial hanyalah salah satu contoh bagaimana teknologi harus ditinjau dan
dievaluasi secara berkelanjutan untuk menentukan manfaat dan risiko relatif.
Meskipun suatu organisasi mungkin tidak ingin berurusan dengan adopsi
teknologi baru, adopsi masyarakat terhadap teknologi itu masih memiliki dampak
jangka panjang pada setiap organisasi. Fungsi audit internal memiliki peluang
untuk terlibat diawal proses ketika masalah yang muncul dan memberikan
wawasan kepada organisasi mengenai optimalisasi peluang dan mitigasi risiko.
Definisi diatas dengan jelas menunjukkan bahwa dewan dan manajemen senior
"memiliki" tata kelola TI, sama seperti mereka memiliki semua aspek tata kelola lainnya.
Beberapa dewan telah membentuk komite tata kelola yang tanggung jawabnya mencakup
tata kelola TI. Komite audit juga sering memainkan peran kunci dalam tata kelola TI.
Peran tata kelola TI dewan dan komite adalah untuk memberikan arahan tata kelola TI
kepada manajemen senior dan mengawasi kegiatan tata kelola TI manajemen senior.
Manajemen senior bertanggung jawab untuk mengarahkan dan mengawasi pelaksanaan
tata kelola TI sehari-hari. Beberapa organisasi telah membentuk komite tata kelola TI,
yang anggotanya termasuk CEO dan eksekutif senior lainnya.
Selanjutnya seperti dijelaskan dalam IIA Standar 2110. A2 dan “GTAG: Audit Tata
Kelola TI,” tata kelola TI sangat penting. Standar IIA 2110.A2 menyatakan, "Audit
internal [fungsi] harus menilai apakah tata kelola teknologi informasi organisasi
mendukung strategi dan tujuan organisasi." "GTAG: Audit Tata Kelola TI" menegaskan
kembali pada poin ini: "Tanggung jawab utama untuk tata kelola TI terletak pada dewan
dan manajemen tingkat senior. Aktivitas audit internal bertanggung jawab untuk menilai
apakah tata kelola TI organisasi mendukung strategi dan tujuan organisasi sebagaimana
diuraikan dalam Standar 2110 [A2]. "
d. Outsourching TI.
Outsourching TI Banyak dilakukan eksekutif untuk dilakukan kepada pihak ketiga
yang mengambil alih tanggungjawab akses pengelolaan asset TI dan staf untuk
pengiriman layanan TI, seperti memasukkan data, operasi pusat data, pengembangan
aplikasi, aplikasi pemeliharaan, dan pengelolaan jaringan. Sehingga proses
pengelolaan asset dari manajemen dapat berjalan dengan baik sesuai dengan yang
diharapkan.
TUGAS (PR)
a) Perangkat keras computer. Merupakan perangkat keras yang dapat dilihat secara
kasat mata dan digunakan dalam menjalankan komputer, Perangkat keras komputer
terdiri dari komponen system informasi, misalnya unit pemrosesan pusat (CPU),
server, teriminal, chip computer, perangkat penyimpanan seperti drive disk, perangkat
input/output seperti scanner.
Contoh:. Perangkat keras komputer termasuk smartphone, komputer desktop, dua
komputer laptop, printer, komputer mainframe, empat server, dan dua firewall.
Perangkat tambahan yang tidak diketahui organisasi juga dapat mengakses data dan
memperbarui basis data di balik firewall. Inilah sebabnya mengapa aturan keamanan
informasi sangat penting bagi organisasi. Bergantung pada kontrol yang ada dan
kekuatan firewall, keamanan siber menjadi semakin signifikan.
3. Apa efek potensial (konsekuensi buruk) dari masing-masing mengikuti jenis risiko
IT?
Dampak buruk dari adanya Teknologi informasi tentu saja tidak bias dielakan walaupun
teknologi tersebut sangat canggih, pasti ada risiko yang menghadang, berikut risiko dari
penggunaan TI menurut Andersen, dkk, antara lain:
a) Pengembangan/akuisisi dan penyebaran
Masalah yang ditemui dapat menyebabkan keterlambatan yang tak terduga,
pembengkakan biaya, atau bahkan pengabaian proyek.
b) Perangkat keras dan perangkat lunak
Adanya kegagalan dalam menjalankan perangkat keras/kunak yang dapat
menyebabkan gangguan bisnis baik sementara ataupun permanen, kerusakan data,
dan adanya biaya penggantian untuk perbaikan perangkat keras/lunak
c) System reliability and information integrity
Kesalahan sistematis dan inkonsistensi dalam pengolahan dapat menghasilkan
ketidakrelevanan, tidak lengkap, tidak akurat, dan informasi tidak pada waktunya.
Informasi yang buruk dapat mempengaruhi dalam gagalnya pengambilan keputusan.
Penyebab risiko sistem reliabilitas dan integritas informasi termasuk eror program
perangkat lunak, tidak terotorisasi peruabahan perangkat lunak.
d) Fraud and malicious acts
Pencuri sumber informasi teknologi, peyalahgunaan informasi atau penghancuran
informasi dapat mengakibatkan kerugian keuangan dan informasi dalam
pengambilan keputusan.
4. Apa penyebab dari masing-masing jenis risiko TI?
Penyebab dari masing – masing jenis risiko TI terhadap informasi juga pengambilan
keputusan, menurut Andersen, dkk, antara lain:
a) Pilihan
Penyebabnya: pembuat keputusan yang tidak berkualifikasi dan informasi yang tidak
memadai mendukung keputusan seleksi
b) Ketersediaan
Penyebabnya: kegagalan perangkat keras/lunak, pemeliharaan tidak terjadwal, bencana
alam, virus, dan tindakan jahat lainnya
c) Akses
Akses fisik yang tidak sah dalam sistem dapat mengakibatkan pencurian atau
penyalahgunaan hardware, modifikasi perangkat lunak berbahaya dan pencurian,
penyalahgunaan atau kerusakan data.
d) Kerahasaan dan Privasi
Pengungkapan yang tidak sah oleh partner bisnis mengenai informasi pribadi yang
dapat mengakibatkan hilangnya bisnis, tuntutan hukum, penurunan reputasi.
11 Apa perbedaan antara physical access controls dan logical access controls
Perbedaan utama antara physical access controls dengan logical access controls terletak
pada bagaimana cara pengendalian atas akses keamanan informasi yang akan diterima
atau diperoleh, dimana dalam physical access control memberikan keamanan melalui
sumber daya TI yang nyata seperti kamera pengintai atau penjaga keamanan yang dapat
dilihat secara fisik sedangkan dalam logical acceess Control memberikan kemanan
melalui sistem yang sudah tertanam dalam informasi tersebut yang tidak bisa dilihat
secara kasat mata melalui ID pengguna ataupun Enkripsi.