Pengantar
Audit teknologi informasi atau IT (information technology) audit atau juga dikenal sebagai audit
sistem informasi (information system audit) merupakan aktivitas pengujian terhadap
pengendalian dari kelompok-kelompok unit infrastruktur dari sebuah sistem/teknologi informasi.
Sebelumnya IT audit dikenal sebagai EDP (electronic data processing) audit atau audit
pengolahan data secara elektronik. Dimana pada saat itu pengujian lebih menitikberatkan pada
pengumpulan dan evaluasi bukti-bukti pengembangan, penerapan serta operasional sistem
informasi.
Audit TI (teknologi informasi) pun dikenal sebagai ADP (automated data processing) audit dan
computer audit.
Untuk menilai apakah perlu atau tidaknya dilakukan IT audit atau IS audit mungkin dapat dilihat
pada sejarah adanya kegiatan tersebut.
Sejak tahun 1977 beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang
meliputi beberapa aturan penting seperti the Gramm Leach Bliley Act, the Sarbanes-Oxley Act,
the Health Insurance Portability and Accountability Act, the London Stock Exchange Combined
Code, King II serta the Foreign Corrupt Practices Act.
Seperti tersebut di awal tulisan ini maka dapat dilihat bahwa IT audit merupakan hal yang sangat
penting dalam implementasi sebuah sistem informasi bagi organisasi yang mengembangkannya.
Terlebih pada saat ini pemanfaatan teknologi/sistem informasi merupakan hal yang sangat
penting bagi sebuah organisasi dalam pencapaian tujuan/visi/misi lembaganya. Namun di sisi
lain kepentingan tersebut berimbas pada meningkatnya indeks kerawanan dari
pengembangan/pembangunan sistem informasi.
Untuk menekan titik-titik rawan tersebut diperlukan seperangkat batasan-batasan dan tolok-ukur
(parameter) yang dapat dijadikan dasar dalam melakukan evaluasi terhadap kegiatan
pembangunan/pengembangan sistem informasi.
Sebenarnya dalam melaksanakan IT/IS Audit terdapat berbagai tools yang sudah siap digunakan
saat ini. Tools tersebut dikembangkan dan distandarisasikan oleh berbagai badan di dunia.
Standard tools tersebut dikembangkan sebagai framework yang disusun berdasarkan best
pratices dari hasil riset serta pengalaman bertahun-tahun dalam kegiatan audit TI. Framework
tersebut tentunya mengalami penyempurnaan yang berkelanjutan sebagai upaya menciptakan
standar yang semakin baik, efektif dan efisien.
Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun
1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis
COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0
pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai
framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya
profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara
dibangun chapter yang dapat mengelola para profesional tersebut.
Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar
belakang dan para profesional external assurance. Secara manajerial target pengguna
COBIT adalah manajer, pengguna dan profesional TI serta pengawas/pengendali
profesional.
Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau
organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar
COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs)
dan Chartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS)
No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley
compliance.
Sertifikasi non COBIT yang merupakan pengakuan profesional auditor IT diterbitkan
oleh ISACA, sebagai afiliasi ITGI yaitu Certified Information Systems Auditor (CISA®)
dan Certified Information Security Manager® (CISM®).
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
o Effectiveness
o Efficiency
o Confidentiality
o Integrity
o Availability
o Compliance
o Reliability
o Applications
o Information
o Infrastructure
o People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-
menengah (UKM) yang disebut COBIT Quickstart.
COSO adalah organisasi swasta yang menyusun Internal Control – Integrated Network
bagi peningkatan kualitas penyampaian laporan keuangan dan pengawasan internal
untuknya yang lebih efektif. Tujuan dari penyusunan framework ini adalah peningkatan
sistem pengawasan terpadu untuk pengendalian perusahaan/organisasi dalam beberapan
langkah. Hal ini diarahkan untuk memberikan para pemegang kebijakan di organisasi
dapat melakukan pengawasan internal dalam pelaksanaan tugas kepada para eksekutif,
mencapai laba yang menguntungkan serta mengelola resiko-resiko yang timbul.
Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan pertama
kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat ini COSO
maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi keahlian/profesional
bagi framework ini. Lingkup kriteria informasi yang sering menjadi perhatian dalam
Internal Control – Integrated Framework COSO adalah:
o Effectiveness
o Efficiency
o Confidentiality
o Integrity
o Availability
o Compliance
o Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat bahwa komponen-
komponen yang menjadi perhatian dalam Internal Control – Integrated Framework
COSO identik dengan COBIT. Sedangkan fokus terhadap pengelolaan sumber daya
teknologi informasi pun dalam Internal Control – Integrated Framework COSO identik
dengan COBIT.
Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan
framework/best practice bagi IT service management untuk menciptakan layanan
teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang
disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA)
yang sekarang dikenal sebagai the British Office of Government Commerce (OGC).
Delapan serial buku ITIL tersebut terdiri atas:
British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh
Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan
dalam penetapan sertifikasi. Sedangkan untuk pemusatan perhatian pada kebutuhan
keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS
15000.
Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:
o Foundation certificate
Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari
ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini
merupakan sertifikasi pertama dari tingkatan yang ada.
o Practitioner’s certificate
Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan
mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di
tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja
(spesialisasi).
o Manager’s certificate
Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:
o Effectiveness
o Efficiency
o Confidentiality
o Integrity
o Availability
o Compliance
Namun pada bagian kriteria informasi ini tidak terlalu terfokus seperti dalam
COBIT.
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL
identik dengan COBIT.
Melanjutkan topik sebelumnya tentang IT Audit Standard Tools/Framework pada bagian ini akan
dibahas tentang standar lainnya yang terdiri atas:
2. ISO/IEC TR 13335
Format standar laporan ini dapat diterapkan di berbagai jenis lembaga. Dalam bagian
pertama laporan ditujukan untuk para manajer senior dan manajer keamanan informasi.
Sedangkan bagian lainnya ditujukan untuk pelaksana tugas lainnya seperti manajer TI
atau staf keamanan TI yang memiliki tanggung jawab dalam penerapan standar
keamanan TI. Standar ini diterbitkan pertama kali pada tahun 1997 hingga 2004.
Sedangkan sertifikasi keahlian/profesional/lembaga tidak diterbitkan untuk standar ini.
Dibandingkan dengan standar COBIT pada ISO/IEC TR 13335 tidak mengatur mengenai
aspek efficiency dan sedikit menyentuh aspek effectiveness untuk pengaturan kriteria
informasi. Sedangkan di sisi pengelolaan sumber daya TI identik dengan standar COBIT.
Melanjutkan topik sebelumnya yang sudah disampaikan dalam dua posting terdahulu mengenai
IT Audit Standard Tools/Framework, maka dengan ini kita lanjutkan diskusi mengenai hal
tersebut.
Berikut ini adalah IT Audit Standard Tools/Framework yang akan dibicarakan pada posting ini
adalah ISO/IEC 15408:2005/Common Criteria/ITSEC.
Secara kesejarahan, dapat kita lihat bagaimana standar dari masing-masing negara anggota saling
mempengaruhi hingga terbitnya standar ISO/IEC 15408:2005/Common Criteria/ITSEC sebagai
berikut:
Amerika Serikat memiliki/menerbitkan US Orange Book TCSEC yang diterbitkan pada tahun
1985. Standar tersebut menjadi masukan bagi Kanada dalam menyusun dan menerbitkan
Canadian Criteria yang diterbitkan pada tahun 1993 serta Federal Criteria pada tahun yang
sama.
Selain itu dari standar tersebut muncul ITSEC pada tahun 1991. Namun standar ini pun mendapat
pengaruh juga dari UK Confidence Levels yang diterbitkan pada tahun 1989, German Criteria
serta French Criteria. Berangkat dari standar-standar tersebut maka terbitlah standar framework
Common Criteria versi 1.0 pada tahun 1996 yang kemudian disempurnakan menjadi versi 2.0
pada tahun 1998 dan versi 2.1 pada tahun 1999.
Setelah berkolaborasi dengan ISO/IEC JTC 1 maka disusun dan diterbitkanlah ISO/IEC
15408:1999 yang rilis terakhirnya adalah standar ISO/IEC 15408:2005.
Standar ini diterbitkan sebagai dasar krieteria yang didefinisikan sebagai alat uji bagi keamanan
TI yang lebih difokuskan pada keamanan sistem dan produk TI.
ISO/IEC 15408:2005/Common Criteria/ITSEC seringkali diterapkan pada kasus-kasus bisnis
sebagai berikut:
Standar ini ditujukan secara spesifik untuk tiga kelompok sebagai berikut:
Pelanggan/Consumers
Pengembang/Developers
Penguji/Evaluators
Standar CC hanya menerbitkan sertifikasi untuk produk/jasa TI, tidak untuk personal. Sedangkan
secara sudut pandang IT governance standar ini dianggap masih belum lengkap karena tidak
secara menyeluruh dalam menetapkan setiap aspek penugasan manajemen TI. Standar ini lebih
terpusat pada produk/jasa TI, bukan pada aspek-aspek manajemen TI.
Jika dibandingkan dengan standar COBIT maka secara aspek kriteria informasi hanya berfokus
pada Confidentiality, Integrity, Availability, sedikit aspek Compliance dan Reliability. Namun
dari sisi pengelolaan sumber daya TI identik dengan standar COBIT.
Melanjutkan posting mengenai IT Audit Standard Tools/Framework yang sudah disajikan dalam
Bagian I, Bagian II dan Bagian III dengan judul yang sama sebelumnya maka akan kita lanjutkan
mengenai framework lainnya yang terdiri atas:
PRINCE2
PMBOK
TickIT
Seluruh framework tersebut dalam posting ini akan dibandingkan dengan standar COBIT 4.1
yang disusun dan diterbitkan oleh IT Governance Institute.
PRINCE2
PRINCE2 dipublikasikan pertama kali pada tahun 1996 sebagai respon atas kebutuhan pengguna
yang memerlukan adanya panduan dalam manajemen proyek di segala jenis proyek, tidak hanya
bagi proyek-proyek di bidang TI (teknologi informasi).
Walaupun sebenarnya pada tahun 1989 metode PRINCE sudah dikembangkan pertama kali oleh
Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai
British Office of Government Commerce (OGC) yang meneruskan pengembangannya. Terbitan
terbaru dari PRINCE2 adalah pada tahun 2005.
Tujuan utama dari PRINCE2 adalah mendefinisikan sebuah metode manajemen proyek yang
meliputi seluruh bagian dan aktivitas yang perlu dilaksanakan dalam sebuah proyek. Sedangkan
target organisasi yang dituju dari metode ini adalah setiap jenis maupun besaran lembaga.
Fokus mendasar dari PRINCE2 adalah pada pengelolaan kasus bisnis yang memberikan
gambaran rasional dan penilaiannya untuk proyek yang sedang dilaksanakan. Kasus-kasus bisnis
tersebut membimbing seluruh proses manajemen proyek dari mulai inisial persiapan proyek
hingga penyelesaiannya.
PRINCE2 dalam penerapannya selalu menyertakan subyek berikut yang mengikuti kasus-kasus
bisnis yaitu:
1. Membangun pengertian mendasar atas proses, tanggung jawab dan standar penilaian
untuk manajemen proyek
2. Menyediakan pendekatan yang konsisten dalam manajemen proyek tanpa membedakan
jenis proyeknya
3. Memastikan keterlibatan aktif dari para pengguna dan pemegang kebijakan
4. Memastikan fokus pada tujuan selama pengambilan keputusan dalam pelaksanaan proyek
5. Pengadopsian best-practice dari manajemen proyek yang sudah teruji
1. Foundation Certificate
Ujiannya dilaksanakan dalam satu jam yang meliputi 75 pertanyaan pilihan berganda.
2. Registered Practitioner
Ujiannya dilaksanakan dalam tiga jam yang meliputi tiga kasus berbeda dalam 150
pertanyaan pilihan berganda. Untuk dapat lulus minimal harus lulus 75 pertanyaan yang
dapat dilakukan dengan sistem open book. PRINCE2 Registered Practitioners diwajibkan
melakukan pendaftaran ulang setiap 3-5 tahun untuk memelihara sertifikasi keahlian
mereka. Hal ini dilaksanakan melalui satu ujian praktis yang dilaksanakan dalam satu jam
dengan satu skenario kasus dalam pertanyaannya.
Secara spesifik, PRINCE2 merupakan standar dalam manajemen proyek TI dan tidak memiliki
arah secara khusus pada manajemen TI atau/dan tata-kelola TI (IT governance).
OGC
APMG
PMBOK
Project Management Body of Knowledge (PMBOK) adalah panduan yang berisikan kumpulan
pengetahuan yang diperlukan oleh para profesional dalam manajemen proyek. PMBOK
merupakan standar yang ditetapkan oleh American National Standard, ANSI/PMI 99-001-2004
yang diterbitkan oleh Project Management Institute (PMI).
Tujuan utama dari PMBOK adalah melakukan identifikasi secara bagian per bagian dari
Pengetahuan atas Badan Pengelola Proyek (Project Management Body of Knowledge) yang
secara umum dikenal sebagai praktek terbaik.
Panduan dari PMBOK menyajikan dan mengenalkan bahan-bahan penting untuk didiskusikan,
ditulis dan diterapkan dalam manajemen proyek.
PMBOK selalu diterapkan sebagai subyek pada satu atau lebih kasus-kasus bisnis yang
menyertai hal-hal berikut:
PMBOK ditujukan sebagai referensi dasar bagi pihak manapun yang memiliki kepedulian
terhadap pekerjaan dalam manajemen proyek.
Secara berkala PMBOK ditinjau-ulang dan dimutakhirkan sejak pertama kali dipublikasikan
pada tahun 1983. Rilis terbaru dari PMBOK diterbitkan pada tahun 2004.
PMI menawarkan program sertifikasi PMP (Project Management Professional) bagi para
manajer proyek. Ujian untuk memperoleh sertifikasi ini didasarkan pada Project
Management Professional Examination Specification yang dapat memberikan gambaran tingkat
kompetensi dari seorang PMP, pengetahuan serta keterampilannya dalam menyelesaikan setiap
tugas.
Seperti halnya PRINCE2, PMBOK merupakan standar yang lebih spesifik pada manajemen
proyek TI dan tidak secara khusus dirancang sebagai framework bagi IT governance dan IT
management.
TickIT
TickIT adalah skema baku yang digunakan dalam proses assessement dan sertifikasi pada sistem
manajemen mutu perangkat lunak suatu organisasi.
Standar ini dipublikasikan dan dikelola oleh TickIT Office, sebuah unit bisnis dari British
Standards Institution.
Tujuan dari penyusunan standar ini adalah supaya para pengembang perangkat lunak memiliki
perhatian spesifik pada:
Tujuan penting dari pengembangan TickIT bagi pihak manajemen pengembangan perangkat
lunak adalah membangun sertifikasi yang efisien atas sistem manajemen mutu. Untuk mencapai
hal tersebut, mengikuti langkah-langkah berikut adalah hal yang harus dilakukan:
TickIT biasanya selalu diterapkan pada subyek-subyek yang mengikuti kasus-kasus bisnis
sebagai berikut:
1. Pelanggan (customer)
TickIT memberikan panduan bagaimana pelanggan dapat mempengaruhi mutu dari suatu
produk.
2. Penyalur (supplier)
Sertifikasi TickIT tersedia untuk tingkat organisasi yang memberikan gambaran penerapan dari
skema TickIT bagi manajemen mutu. Sertifikasi ISO 9001:2000 memiliki kesamaan dengan
sertifikasi TickIT secara internasional. Sedangkan bagi para profesional tersedia sertifikasi untuk
auditor.
Walaupun berasal dari Inggris, TickIT banyak digunakan di beberapa negara di wilayah Eropa.
TickIT memiliki fokus utama pada pengembangan perangkat lunak dan terkait dengan sistem
manajemen mutu sehingga standar ini diklasifikasikan sebagai bagian dari tata-kelola TI.
Melanjutkan posting mengenai IT Audit Standard Tools/Framework yang sudah disajikan dalam
Bagian I, Bagian II, Bagian III dan Bagian IV dengan judul yang sama sebelumnya maka akan
kita lanjutkan mengenai framework lainnya yaitu CMMI.
CMMI dipublikasikan oleh Software Engineering Institute (SEI) of Carnegie Mellon University.
Dimana standar CMMI tersebut secara generik didasarkan pada Capability Maturity Model
(CMM).
Tujuan dari panduan dokumentasi CMMI meliputi peningkatan proses dalam membangun
produk yang lebih baik yang berbasiskan proses pengembangannya.
Target pengguna dari CMMI adalah pengembang perangkat lunak (software developer), manajer
sistem, program dan perangkat lunak, praktisi dari berbagai latar belakang yang terkait dengan
sistem dan perangkat lunak serta pemerintah dan industri yang terkait dengan sistem intensif
perangkat lunak.
Versi pertama dari dokumentasi CMMI dipublikasikan pertama kali pada tahun 2002 dan masih
terus dimutakhirkan sampai sekarang.
Sertifikasi untuk CMMI diterbitkan oleh beberapa organisasi. Sedangkan process maturity
appraisals diproses oleh beberapa organisasi dengan menggunakan standar SEI’s Standard
CMMI Appraisal Method for Process Improvement (SCAMPI) or ISO/IEC 15504.
Untuk memberikan gambaran agak lengkap mengenai pekerjaan auditor IT/IS mungkin harus
merunut ke belakang tentang terbentuknya disiplin profesional ini.
Supaya dapat memahami proses audit teknologi informasi, setidaknya kita harus memahami
jenis/bagian secara umum dari teknologi informasi itu sendiri yang terdiri atas:
Pada bagian ini mewakili bagaimana sebuah data diproses melalui aplikasi perangkat
lunak komputer yang dikelola melalui suatu sistem yang biasanya terdiri atas tingkatan
hierarkis yang mengikuti aturan bisnis yang berlaku di organisasi yang menggunakannya.
Sehingga proses auditnya sendiri akan meliputi verifikasi terhadap sistem dan aplikasinya
apakah handal, efisien serta memiliki kontrol yang melekat untuk memastikan kebenaran,
kehandalan, kecepatan maupun keamanan pada saat pengiriman, pemrosesan serta
pengeluaran informasi di setiap tingkatan kegiatan sistem.
3. Systems Development
Adalah bagian dari proses pembangunan maupun pengembangan dari sistem yang sudah
ada dalam suatu organisasi sesuai tujuan-tujuan aktivitasnya.
Proses audit pada komponen ini ditujukan untuk memverifikasi apakah setiap sistem
yang sedang dalam proses pengembangan sesuai dengan tujuan/pedoman/arahan/visi/misi
dari organisasi penggunanya.
Selain itu proses audit pada bagian ini juga ditujukan untuk memastikan apakah selama
proses pengembangan sistem sesuai dengan standar-standar yang secara umum
digunakan dalam pengembangan sistem.
Pengelolaan atas teknologi informasi serta arsitektur seluruh lingkup internal organisasi
yang disesuaikan dengan struktur dan prosedur yang ditetapkan oleh manajemen adalah
sangat penting.
Pentingnya hal tersebut memerlukan proses audit yang dilaksanakan untuk memastikan
apakah segenap lingkungan/komponen organisasi dalam pemrosesan informasinya
dilakukan secara terkendali dan efisien.
Planning
Pada tahapan ini lakukan perencanaan menyeluruh atas hal-hal mendasar seperti:
Pada tahap ini setelah kita mempelajari bagaimana kondisi dari obyek audit kita.
Biasanya secara mendasar fokus dari audit adalah kemampuan pengendalian/kontrol atas
obyek tersebut. Kemudian dari hasil melakukan analisis tersebut disusun evaluasi
atasnya.
Reporting
Seluruh tahapan yang telah dilakukan sebelumnya dalam proses audit teknologi informasi
kemudian didokumentasikan dalam suatu laporan hasil pemeriksaan/audit.
Follow-up
Hasil dari laporan hasil pemeriksaan/audit kemudian ditindaklanjuti sebagai acuan para
pemegang kebijakan di setiap tingkatan manajemen organisasi dalam menentukan arah
pengembangan dari penerapan teknologi informasi di organisasi tersebut.
Nah, melihat luasnya cakupan aspek audit teknologi/sistem informasi tersebut di atas maka
kualifikasi yang diperlukan untuk menjadi auditor TI/SI menjadi multi-disiplin pengetahuan dan
keahlian.
Seorang auditor TI/SI tidak hanya harus memahami sisi teknis tapi juga harus bisa memahami
aspek manajerial terutama di bagian manajemen keuangan.
Sehingga selain harus memiliki keahlian yang memadai dalam masalah-masalah teknis di bidang
teknologi informasi, seorang auditor TI/SI didukung pula dengan pemahaman yang baik atas
prinsip-prinsip akuntansi.
Hal ini disebabkan oleh besarnya tanggung jawab yang harus dipikul oleh seorang auditor TI/SI
yang melakukan evaluasi terhadap pengendalian atas pencatatan/perekaman dan
pemeliharaan/pengamanan aset organisasi yang diaudit olehnya.
DAFTAR PUSTAKA
1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality Management
System Construction and
Certification, UK, 1994
2. British Office of Government Commerce (OCG), [formerly the Central Computer and
Telecommunications Agency (CCTA)],
IT Infrastructure Library (ITIL), UK, 1989
3. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002,
2005
4. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software Quality
Management Systems Construction,
Certification and Continued Improvement, UK, 2001
5. Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal Control –
Integrated Framework, USA, 1992
6. Computer Security Division of the National Institute of Standards and Technology, Minimum
Security Requirements for Federal
Information and Information Systems (FIPS PUB 200), Department of Commerce, USA, March
2006,
7. Computer Security Resource Center of the National Institute of Standards and Technology, An
Introduction to Computer Security:
The NIST Handbook, Special Publication 800-12, Department of Commerce, USA, 1995
8. Computer Security Resource Center of the National Institute of Standards and Technology,
Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
9. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology
Security Evaluation 2.0, 1999
10. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
International Organisation for Standardisation, Code of Practice for Information Security
Management, ISO/IEC 17799,
Switzerland, 2005
11. International Organisation for Standardisation, Information Technology ”Guidelines for the
Management of IT Security,
ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
12. International Organisation for Standardisation, Quality Management and Quality Assurance
Standards – Part 3: Guidelines for the
Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of
Computer Software, ISO 9000-3,
Switzerland, 1991
13. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
14. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT
Security, ISO/IEC 15408, Switzerland,
2005
15. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
16. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
17. IT Governance Institute, COBIT 4.0, USA, 2005
18. IT Governance Institute, COBIT 4.1, USA, 2007
19. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon
University,
Software Engineering Institute, USA, 1993
20. Project Management Institute, A Guide to the Project Management Body of Knowledge
(PMBOK), 3rd Edition, 2004
21. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model
Integration (CMMI), USA, 2002
22. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003
DAFTAR PUSTAKA
1. British Office of Government Commerce, Managing Successful Projects with PRINCE2, UK, 2002,
2005
2. Computer Security Division of the National Institute of Standards and Technology, Minimum
Security Requirements for Federal
Information and Information Systems (FIPS PUB 200), Department of Commerce, USA, March
2006,
3. Computer Security Resource Center of the National Institute of Standards and Technology, An
Introduction to Computer Security:
The NIST Handbook, Special Publication 800-12, Department of Commerce, USA, 1995
4. Computer Security Resource Center of the National Institute of Standards and Technology,
Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
5. Common Criteria Project Sponsoring Organisation, Common Criteria for Information Technology
Security Evaluation 2.0, 1999
6. Federal Office for Information Security (BSI), IT Baseline Protection Manual (IT BPM), Germany
International Organisation for Standardisation, Code of Practice for Information Security
Management, ISO/IEC 17799,
Switzerland, 2005
7. International Organisation for Standardisation, Information Technology-Guidelines for the
Management of IT Security,
ISO/IEC TR 13335, Switzerland, 1998, 2000, 2001, 2004
8. International Organisation for Standardisation, Quality Management and Quality Assurance
Standards – Part 3: Guidelines for the
Application of ISO 9001:1994 to the Development, Supply, Installation and Maintenance of
Computer Software, ISO 9000-3,
Switzerland, 1991
9. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
10. International Organisation for Standardisation, Security Techniques – Evaluation Criteria for IT
Security, ISO/IEC 15408, Switzerland,
2005
11. IT Governance Institute, COBIT 3rd Edition Framework, USA, 2000
12. IT Governance Institute, COBIT 3rd Edition Management Guidelines, USA, 2000
13. IT Governance Institute, COBIT 4.0, USA, 2005
14. IT Governance Institute, COBIT 4.1, USA, 2007
15. Paulk, M.C., et al; Capability Maturity Models for Software, CMU/SEI-93-TR-24, Carnegie Mellon
University,
Software Engineering Institute, USA, 1993
16. Software Engineering Institute of Carnegie Mellon University, Capability Maturity Model
Integration (CMMI), USA, 2002
17. The Open Group, The Open Group Architecture Framework (TOGAF) 8.1, 2003
DAFTAR PUSTAKA
DAFTAR PUSTAKA
1. British Department of Trade and Industry (DTI), TickIT: Guide to Software Quality
Management System Construction and
Certification, UK, 1994
2. British Office of Government Commerce, Managing Successful Projects with PRINCE2,
UK, 2002, 2005
3. British Standards Institution, TickIT Guide Issue 5 Using IS0 9001:2000 for Software
Quality Management Systems-Construction,
Certification and Continued Improvement, UK, 2001
4. Computer Security Resource Center of the National Institute of Standards and
Technology, Generally Accepted Principles and Practices
for Securing Information Technology Systems, Special Publication 800-14, Department of
Commerce, USA, 1996
5. International Organisation for Standardisation, Quality Management Systems, ISO 9001,
Switzerland, 2000
6. Project Management Institute, A Guide to the Project Management Body of Knowledge
(PMBOK), 3rd Edition, 2004
DAFTAR PUSTAKA
IT AUDIT
Tujuan IT AUDIT:
Audit IT bertujuan untuk meninjau dan mengevaluasi faktor-faktor
ketersediaan (availability), kerahasiaan (confidentiality) dan
keutuhan(integrity) dari sistem informasi organisasi.
Jenis-jenis IT AUDIT
3. Pengembangan Sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang
dikembangkan mencakup kebutuhan obyektif organisasi.
Metodologi IT AUDIT
1.Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor
mengenal benar obyek yang akan diperiksa sehingga menghasilkan
suatu program audit yang didesain sedemikian rupa agar
pelaksanaannya akan berjalan efektif dan efisien.
4.Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan
audit.
5.Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan
yang dilakukan.
•Stakeholders:
– Internal IT Deparment
– External IT Consultant
– Board of Commision
– Management
– Internal IT Auditor
– External IT Auditor
•Kualifikasi Auditor:
– Certified Information Systems Auditor (CISA)
– Certified Internal Auditor (CIA)
– Certified Information Systems Security Professional (CISSP)
– dll
IT FORENSIC
1. Hardware
o Harddisk IDE dan SCSI kapasitas sangat besar, CD-R,
DVR drives
o Memori yang besar (1 - 2 GB RAM)
o Hub, Switch, keperluan LAN
o Legacy hardware (8088s, Amiga)
o Laptop Forensic Workstations
2. Software
o Viewers (QVP http://www.avantstar.com/,
http://www.thumbsplus.de/ )
o Erase/Unerase tools : Diskscrub/Norton utilities
o Hash utility (MD5, SHA1)
o Text search utilities (dtsearch http://www.dtsearch.com/ )
o Drive imaging utilities (Ghost, Snapback, Safeback)
o Forensic toolkits
Unix/Linux : TCT The Coroners Toolkit / ForensiX
Windows : Forensic Toolkit
o Disk editors (Winhex)
o Forensic aquisition tools (DriveSpy, EnCase, Safeback,
SnapCopy)
o Write-blocking tools (FastBloc
http://www.guidancesoftware.com/ ) untuk memproteksi
bukti-bukti
o Forensic software tools for Windows (dd for Windows,
Encase 4, FTK, MD5, ISOBuster)
o Image and Document Readers (ACDSee, DecExt)
o Data Recovery/Investigation (Active Partition Recovery,
Decode – Forensic Date/Time Decoder)
o Dll.
Sumber:
http://www.scribd.com/doc/31675347/Audit-IT-dan-Forensik-Komputer
http://www.forensic-computing.ltd.uk/tools.htm
http://wsilfi.staff.gunadarma.ac.id/Downloads/files/13308/ITAuditForensic.pdf
http://www.digitalkafe.com/wp-content/uploads/2009/09/04_auditti-forensikti.pdf
IT AUDIT
Information Technology audit (IT audit) adalah pemeriksaan akan pengendalian yang ada pada
infrastruktur tekonologi informasi. Proses tersebut meliputi mendapatkandan mengevaluasi
bukti-bukti sistem informasi, praktik, dan operasi perusahaan. Evaluasi yang dilakukan harus
dapat memberikan keyakinan bahwa aset perusahaan terjaga, begitu pula integritas data, serta
operasi perusahaan dapat be rjalan secara efektif dan efisien untuk memenuhi tujuan perusahaan.
IT audit dapat dilakukan secara gabungan antara audit atas laporan keuangan dan audit internal.
Saat ini, IT audit juga dikenal dengan sebutan Electronic Data Processing audit (EDP audit).
Secara garis besar, tujuan IT audit adalah:
1. Availability
Yaitu ketersediaan informasi, apakah sistem informasi pada perusahaan dapatmenjamin
ketersediaan informasi dapat dengan mudah tersedia setiap saat.
2. Confidentiality
Yaitu kerahasiaan informasi, apakah informasi yang dihasilkan oleh sisteminformasi perusahaan
hanya dapat diakses oleh pihak -pihak yang berhak danmemiliki otorisasi.
3. Integrity
Yaitu apakah informasi yang tersedia akurat, handal, dan tepat waktu.
IT audit memliki fokus pada pengidentifikasian resiko yang terkait pada aset informasi
perusahaan dan menentukan pengendalian yang tepat untuk mengurangi (bukanmenghilangkan
sepenuhnya) resiko tersebutSedangkan dalam bukunya, Mulen menjelaskan peran internal
auditor dalam proses IT audit mencakup 4 bidang utama yaitu:
1. Membantu staf audit finansial
2. Mengaudit bidang -bidang lingkungan pengolahan data
3. Mengaudit program -program sistem aplikasi komputer
4. Mereview pengembangan sistem
Karena fokus IT audit adalah pada penentuan resiko beserta pengendaliannya, tentu saja internal
audit juga berperan dalam mengidentifikasi resiko-resiko yang ada beserta pengendalian yang
relevan untuk meminimalisasikan resiko -resiko tersebut.
Enam komponen Audit TI :
1. pendefinisian tujuan perusahaan;
2. penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI;
3. review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan
prioritasnya, staffing levels, belanja TI dan IT change process management;
4. assessment infrastruktur teknologi, assessment aplikasi bisnis;
5. temuan-temuan,
6. laporan rekomendasi.
Sedang subyek yang perlu diaudit mencakup :
1. aspek keamanan,
Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda
cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT.
2. keandalan,
Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical
applications dan prosedur penyimpanan data di file server, bukan di drive lokal C.
3. kinerja
Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai
dengan beban kerja.
4. manageability.
manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan
berkesinambungan
Pengorganisasian bagian TI juga ditetapkan dalam audit assessment. Ini terbagi atas IT
management, IT support dan IT staffing. Untuk pertama kalinya diperkenalkan visi jangka
panjang mengenai IT management yang merujuk pada tujuan bisnis perusahaan. Ini didukung
visi business support yang jelas dan orientasinya dipersiapkan untuk penerapan ERP (enterprise
resource planning) sebagai infrastrukturnya. Selain itu, tanggungjawab dibebankan pada setiap
karyawan pengguna, sedang manajemen TI lebih bertanggung jawab dalam mendukung dan
memecahkan masalah yang muncul.
Keamanan sistem informasi, beberapa prinsip non teknis yang harus dipegang.
1. prinsip multidisipliner (multidisciplinary principle), yang menegaskan bahwa segala macam
pengukuran, praktik, dan prosedur keamanan sistem informasi harus juga meladeni segala
pertimbangan dan sudut pandang berbagai disiplin yang relevan, termasuk aspek sosial budaya,
hukum dan politik.
2. prinsip demokrasi (democracy principle), yang menegaskan bahwa keamanan sistem informasi
perlu mempertimbangkan hak-hak pengguna dan pihak-pihak lain yang dipengaruhi oleh sistem.
IT FORENSIC
Beberapa definisi IT Forensics.
1. Definisi sederhana, yaitu penggunaan sekumpulan prosedur untuk melakukan pengujian secara
menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara
barang bukti tindakan kriminal.
2. Menurut Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan menyajikan
data yang telah diproses secara elektronik dan disimpan di media komputer.
3. Menurut Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer dan teknik
analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Tujuan IT Forensics.
Adalah untuk mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui
survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51%
responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial
akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
1. Komputer fraud.
Kejahatan atau pelanggaran dari segi sistem organisasi komputer.
2. Komputer crime.
Merupakan kegiatan berbahaya dimana menggunakan media komputer dalam melakukan
pelanggaran hukum.
Terminologi IT Forensics.
A. Bukti digital (digital evidence).
adalah informasi yang didapat dalam bentuk atau format digital, contohnya e-mail.
B. Empat elemen kunci forensik dalam teknologi informasi, antara lain :
1. Identifikasi dari bukti digital.
Merupakan tahapan paling awal forensik dalam teknologi informasi. Pada tahapan ini dilakukan
identifikasi dimana bukti itu berada, dimana bukti itu disimpan dan bagaimana penyimpanannya
untuk mempermudah tahapan selanjutnya.
2. Penyimpanan bukti digital.
Termasuk tahapan yang paling kritis dalam forensik. Bukti digital dapat saja hilang karena
penyimpanannya yang kurang baik.
3. Analisa bukti digital.
Pengambilan, pemrosesan, dan interpretasi dari bukti digital merupakan bagian penting dalam
analisa bukti digital.
4. Presentasi bukti digital.
Proses persidangan dimana bukti digital akan diuji dengan kasus yang ada. Presentasi disini
berupa penunjukkan bukti digital yang berhubungan dengan kasus yang disidangkan.
Tools
Hardware:
– Harddisk IDE & SCSI kapasitas sangat besar, CD-R, DVR drives
– Memori yang besar (1-2GB RAM)
– Hub, Switch, keperluan LAN
– Legacy hardware (8088s, Amiga, …)
– Laptop forensic workstations
● Software
– Viewers (QVP http://www.avantstar.com/, http://www.thumbsplus.de/ )
– Erase/Unerase tools: Diskscrub/Norton utilities)
– Hash utility (MD5, SHA1)
– Text search utilities (dtsearch http://www.dtsearch.com/ )
– Drive imaging utilities (Ghost, Snapback, Safeback,…)
– Forensic toolkits
● Unix/Linux: TCT The Coroners Toolkit/ForensiX
● Windows: Forensic Toolkit
– Disk editors (Winhex,…)
– Forensic acquisition tools (DriveSpy, EnCase, Safeback, SnapCopy,…)
– Write-blocking tools (FastBloc http://www.guidancesoftware.com ) untuk memproteksi bukti-
bukti
Sumber :
1. http://irmarr.staff.gunadarma.ac.id/Downloads/files/11616/IT+Forensics.doc
2. http://www.scribd.com/doc/6177708/Enam-Komponen-Audit-TI
3. http://www.scribd.com/doc/45738038/Proyek-It-Audit
4. http://arizkaseptiani.wordpress.com/2011/03/20/audit-it-forensik/
5. http://gembel-it.blogspot.com/2011/03/it-audit-dan-it-forensik.html
Labels:dwipoetra tugas
http://highpecundang.blogspot.com/2011/03/it-audit-dan-it-forensic.html
http://blogkublogku.blogspot.com/2011/03/it-audit-dan-forensik.html
http://www.setiabudi.name/archives/15
Posted by Mujiono Sadikin in SI - Audit, Untuk Anak - anakku, Yang Aku Pelajari, Yang Aku Pikirkan.
trackback
Rate This
Tugas Auditor Sistem Informasi (Auditor SI/IS Auditor) secara ringkas adalah memeriksa
apakah suatu proses terkait Sistem Informasi dalam suatu organisasi telah dilaksanakan
sebagaimana mestinya sesuai dengan alat kendali yang ditetapkan/harus dianut oleh suatu
organisasi. Oleh karena itu, Auditor dituntut untuk memahami alat kendali maupun pelaksanaan
suatu proses. Alat kendali dan proses ini berbeda – beda dari satu Negara dengan Negara lain,
dari satu organisasi maupun organisasi yang lain. ISACA memberikan bekal pemahaman itu
kepada Auditor berdasarkan “best practice” yang umum berlaku baik di Amerika maupun di
Negara – Negara yang lain.
Dengan demikian maka, sebaiknya Auditor SI memahami IT Governance (Tata Kelola IT) yang
merupakan bagian dari Corporate Governance(CG) yang merepresentasikan bagaimana
penerapan TI dalam suatu Enterprise (organisasi).Ada beberapa definisi mengenai CG, namun
secara ringkas dapat dicuplik dari definisi Sir Adrian Cadbury yang menyatakan CG adalah suatu
system yang dengannya suatu korporasi diarahkan dan dikendalikan. Mengikuti CG, maka IT G
kurang lebih adalah suatu system yang dengannya TI dalam suatu organisasi diarahkan dan
dikenalikan.
Strategic Aligment : Strategi dan perencanaan IT harus inline dan sinergi dengan strategi dan
arah perusahaan (korporasi)
Value Delivery : Penerapan IT harus memberikan nilai seperti yang direncanakan, cost yang
dikeluarkan sesuai dengan nilai / benefit yang didapatkan
Risk Management : Adanya kepedulian risiko – risiko yang mungkin timbul dari manajemen
level atas, pengertian yang jelas mengenai tingkat risiko yang dapat diterima, pengertian akan
kebutuhan-2 terhadap kepatuhan, transparansi mengenari risiko – risiko bagi seluruh enterprise
serta pendelegasian wewenang dan tanggung jawab penanganan risiko bagi pihak – pihak dalam
organisasi
IT Governance Framework
Beberapa kerangka kerja yang biasanya diacu untuk pelaksanaan IT G dalam tataran praktis
antara lain :
- CobiT : Control Obyektif for Information and related Technology, yang disusun oleh ITGI
- ISO/IEC 27001 yang pertama kali dipublikasikan di UK sebagai British Standard 7799 (BS
7799)
- IT Infrastructur Library (ITIL) yang disusun oleh UK Office of Government Commerce dan
IT Services Management Forum
- IT Baseline Protection Catalogs (IT-Grandschutz Catalogs) oleh German Federal Office for
Security in Information Technology.
- AS80152005 merupakan standard dari pemerintah Australia untuk Corporate governance
dalam TIK
Dari berbagai uraian mengenai CG dan IT G dapat diringkas bahwa ITG paling tidak harus
mengandung unsur – unsur :strategi, kebijakan, program serta tujuan yang ingin dicapai haris
inline dengan strategi corporate, pengelolaan risiko, perencanaan dan pengelolaan sumber daya,
pelaksanaan dan operasionalisasi, serta pengendalian dan pengawasan kinerja semua aspek IT.
Strategi, kebijakan, program dan tujuan harus menjadi tanggung jawab dan perhatian manajemen
tingkat atas, bukan hanya sebatas personal – personal TI. Diperlukan suatu IT Strategi
Committee yang beranggotakan top manajemen dan lintas departemen. Kebijakan, program dan
tujuan harus secara formal ditetapkan dan dikomentasikan. Juga harus disosialisaskan ke seluruh
tingkatan dalam suatu organisasi.
Tujuan dari pengelolaan risiko adalah mengamanakan segala asset TIK dari ancaman ancaman
yang mungkin timbul sehingga kehilangan (asset, informasi, uang) dapat dihindari atau ditekan
seminimal mungkin. Inti dari pengelolaan risiko adalah mengamankan asset/informasi/sumber
daya informasi yang lain. Oleh karena itu diperlukan strategi dan pengelolaan keamanan
Informasi (Information Security Governance). Agar akibat dari risiko yang mungkin timbul
dapat ditekan seminimal mungkin maka diperlukan strategi dan perencanaan pengelolaan risiko
sejak dini. Penanganan risiko dimulai dari identifikasi risiko, menganalisa risko dan
mengukurnya, kemudian mengelolanya dengan menerapkan alat kendali risiko, serta memonitor
pelaksanaan alat kendali tersebut.
Perencanaan dan pengelolaan sumber daya mencakup antara lain meencakup pemahaman
mengenai perencaanaan system informasi secara keseluruhan, misalnya dengan menggunakan
pendekatan Enterprise Architecture. Beberapa pendekatan EA ini dalam praktisnya antara lain
model Zachman Framework atau TOGAF.Pengelolaan sumber daya informasi mencakup
bagaimana merencanakan dan mengakuisisi (purchase) h/w, s/w atau infrastruktur yang lain.
Di dalam pelaksanaan dan operasionalisasi terdapat hal – hal pemilihan supplier atau source /
sumber layanan/produk. Tentu saja termasuk di dalamnya adalan pengelolaan sumber daya
manusai internal mulai dari rekruitmen sampai dengan terminasi. Termasuk dalam
operasionalisasi adalah bagaimana organisasi mengatur dan membagi tugas, hak akses dan
tanggung jawab personel sesuai dengan aturan keamanan yang ditetapkan, pembagian beban
yang adil, maupun penghindaran penumpukan tanggungjawab pada bagian tertentu maupun
penghindaran konflik kepentingan akibat pembagian peran yang tidak sesuai. Jika perusahaan
memerlukan layanan pihak ke 2 (outsource) maka peraturan dan kaidah-kaidah outsource juga
menjadi fokus perhatian auditor.
http://moedjionosadikin.wordpress.com/2010/03/21/it-governance-tata-kelola-ti/
Permasalahan selanjutnya yang harus dipahami dalam hal AUDIT SI menurut standard dari
CISA adalah Perlindungan terhadap asset informasi. Dalam suatu organisasi, daur hidup sistem
informasi yang selayaknya – menurut berst practice –adalah : perencanaan,
pembangunan/pengadaan, operasionalisasi dan penyediaan/dukungan layanan terhadap
organisasi, dan disposal (pemusnahan). Maka perlindungan asset informasi ini selaknya
dilakukan/mencakup dalam tiap tahap dalam daur hidup tersebut.
Dengan demikian pada bagian ini pembahasan menyangkut sangat banyak elemen dan unsur
yang terkait dengan perlindungan asset. Di antara elemen – elemen tersebut yang harus dipahami
antara lain :
Metoda dan teknik untuk perencanaan, implementasi dan pemantauan kemanan (security).
Termasuk di dalamnya adalah pengetahuan mengenai assessment terhadap ancaman dan risiko,
analias sensifitas, assessment terhadap dampak privasi
Alat kendali akses secara lojik untuk melakukan identifikasi, autentifikasi dan pembatasan
pengguna atas fungsi – fungsi dan data. Pengetahuan mengenai ini di antaranya adalah dynamic
password, change/response, struktur menu yang diijinkan, profile pengguna, dll.
Pengetahuan akan arsitektur keamanan akses lojik seperti single sign on, strategi identifikasi
pengguna, pengelolaan identitas pengguna
Pengetahuan akan berbagai metoda dan teknik serangan terhadap asset informasi. Beberapa di
antaranya antara lain hacking, spoofing, trojan horse, DoS, Spamming, Social Engineering, War
Driving, War Chalking, Masquariding, Piggybacking, phishing, dll.
Pemahaman akan proses yang terkait dengan pemantauan dan respon terhadap security
incident. Termasuk pembahasan dalam bagian ini adalah prosedur eskalasi jika ada kejadian
yang membahayakan, pengelolaan response atas kejadian seperti pembentukan emergency
response team, prosedur serta tanggung jawab masing – masing anggota dalam team
Aditor juga dituntut untuk mengetahui dan memahami keamanan peralatan jaringan dan
internet, protocol komunikasi data, teknik – teknik pengamanan seperti SSK, SET, VPN maupun
NAT.
Pengetahuan dan pemahaman akan pencegahan kejadian membahayakan, pendeteksian
kejadian yang membahayakan, dan perbaikan setelah ada kejadian yang membahayakan.
Auditor dalam hal ini perlu memahami fungsi dan peran peralatan – peralatan seperti firewall,
intrusion detection system, intrusion prevention system. Tidak hanya pemahaman terhadap
fungsi, pemahaman terhadap konfigurasi, operasi dan pemeliharaan juga diperlukan.
Pemahaman akan metoda dan teknik – teknik untuk menjaga kerahasiaan (confidentiality),
keaslian (integrity), keabsahan (non repudiation) informasi maupun data baik pada saat
disimpan, dipindahkan maupun dimusnahkan. Maka metoda dan teknik mengenai enkripsi,
dekripsi, PKI (sertifikasi, registrasi ) maupun digital signature harus pula dipahami.
Pengetahuan dan pemahaman pendeteksian dan pengendalian terhadap virus, worm, spyware,
malware, Trojan horse, logic bomb, trap doors, dll.
Pengetahuan akan teknik – teknik pengujian terhadap keamanan asset seperti teknik
penetration testing, vulnerability scanning.
Pengetahuan dan pemahaman terhadap aspek – aspek keamanan lingkungan seperti pemadam
kebakaran, sistem pendingin, sensor asap, sensor air, dll.
Pengetahuan dan pemahaman terhadap metoda dan teknik pengamanan secara fisik seperti
access card/kartu akses, biometric, chipper lock, token
Pengetahuan dan pemahaman terhadap metoda dan teknik klasifikasi asset : public, rahasia,
privat, asset kritis, asset sensitive, asset vital
Pengetahuan akan keamanan komunikasi suara seperti VoIP.
Pengetahuan akan proses dan prosedur yang digunakan dalam menyimpan, mengambil kembali,
memindahkan maupun memusnahkan aset – aset informasi yang bersifat rahasia.
Pengetahuan dan pemahaman tentang risiko dan alat pengendalian terkait dengan penggunaan
peralatan portabel dan peralatan nirkabel (PDA, USB, Bluetooth,…)
Obyektif dari pembahasan bagian ini adalah pemahaman tentang kualitas minimum layanan dan
dukungan yang selayaknya diberikan oleh TI organisasi sehingga mampu mendukung obyektif
organisasi secara keseluruhan.
2. Evaluasi terhadap pengelolaan operasi untuk memastikan bahwa dukungan TI sesuai dengan
kebutuhan bisnis secara efisien
3. Evaluasi terhadap adminstrasi data untuk memastikan integritas dan optimasi data.
4. Evaluasi terhadap peralatan serta teknik pemantauan penggunaan dan performansi untuk
memastikan layanan TI sesuai dengan obyektif organisasi.
5. Evaluasi terhadap praktik – praktik pengelolaan pengubahan, konfigurasi dan release yang
telah dibuat ke lingkungan produksi telah secara cukup dikendalikan dan didokumentasikan
6. Evaluasi terhadap praktik pengelolaan dan penanganan jika terjadi masalah maupun kejadian
yang tidak diinginkan untuk memastikan bahwa masalah, kesalahan dan kejadian yang tidak
dikehandaki tersevut dicatat, dianalisa dan diselesaikan sesuai dengan standard waktu yang telah
ditetapkan.
Pengetahuan dan Keahlian Pengetahuan dan keahlian dalam lingkup IT SDS ini adalah :
3. Pengetahuan akan peralatan dan teknik pemantauan performansi (network analyzer, system
utilitation reports, switches, firewall, dan peripheral lainnya)
4. Pengetahuan fungsionalitas perakngkat keras dan komponen jaringan (router, switch, firewall,
bridges, dll)
6. Pengetahuan fungsionalitas perangkat lunak sistem sperti sistem operasi, dbms dan utilitasnya
8. Pengetahuan terhadpa proses pengelolaan penjadwalan dan perubahan darurat dari lingkungan
pengembangan ke lingkungan prioduksi termasuk pengubahan, konfigurasi, reales, patch
9. Pengetahuan praktek pengelolaan masalah/incident (help desk, prsodur eskalasi masalah dan
pelacakannya)
11. Pengetahuan akan peralatan dan teknik – teknik kekenyalan (resilency) sistem (fault tolerant,
clustering)
Setelah menguasai proses audit Sistem Informasi (Audit SI/IS Audit), memahami Tata Kelola TI,
berikutnya ISACA memberikan panduan pemahaman terhadap proses – proses utama serta
metodologi yang – biasa – digunakan oleh suatu organisasi dalam membuat maupun melakukan
perubahan terhadap sistem dan infrastruktur mereka.
Tugas
Terkait dengan SILM ini, daftar berikut adalah tugas – tugas yang umumnya dilakukan oleh
Auditor Sistem Informasi. Urutan tugas ini secara kronologis sesuai dengan pengelolaan sistem
dan infrastruktur, mulai dari perisapan sampai dengan pengawasan atas kesesuaian sistem dan
infrastruktur yang diimplementasikan dengan strategi dan tujuan (bisnis maupun layanan) suatu
organisasi.
1. Tahap persiapan, evaluasi dan pemeriksaan business case terhadap usulan pembangunan atau
akuisisi sistem/infrastruktur. Evaluasi ini bertujuan bahwa proposal pembangunan/ akuisisi
sesuai dengan tujuan – tujuan (bisnis atau layanan) suatu organisasi.
2. Evaluasi terhadap kerangka kerja proyek dan pengelolaan proyek dalam praktek
pembangunan/ akuisisi, untuk memastikan bahwa tujuan (bisnis/layanan) tercapai dengan biaya
yang masuk akal dan tetap memperhatikan pengelolaan risiko yang dapat diterima dalam suatu
organisasi.
3. Review pengelolaan proyek, untuk memastikan bahwa kemajuan proyek dari waktu maupun
resource tidak menyimpan dari perencanaan proyek. Dalam pelaksanaanya proses review ini
harus didukung oleh dokumentasi yang cukup dan akurat baik berupa laporan maupun status.
4. Evaluasi terhadap mekanisme pengendalian SILM untuk tiap tahapan, baik mulai dari
penyusunan kebutuhan, pembangunan/akuisisi, dan uji coba. Untuk memastikan bahwa
semuanya berjalan dalam koridor yang aman (tanpa risiko atau dengan tingkat risiko yang dapat
diterima) serta patuh terhadap kebijakan – kebijakan organisasi maupun kebutuhan – kebutuhan
lainnya.
5. Evaluasi terhadap proses pembangunan/akuisisi dan ujicoba sistem atau infrastruktur, untuk
memastikan bahwa hasil pekerjaan (deliverable) sesuai dengan kebutuhan – kebutuhan
organisasi.
6. Evaluasi terhadap kesiapan sistem/infrastruktur untuk implementasi dan migrasi dari proses
pembangunan/akuisisi ke tahap produksi.
Untuk melaksankan masing – masing tugas itu, auditor SI harus melengkapi diri dengan
pengetahuan dan pemahaman proses daur hidup Sistem dan Infrastruktur mulai dari persiapan,
pelaksanaan, implementai, operasi, pemeliharaan sampai dengan “pemusnahan”nya. Bekal
pengetahuan yang harus dikuasi oleh auditor SI adalah : Benefits Management Case; mekanisme
tata kelola proyek; praktek pengelolaan proyek, kerangka kerja, peralatan dan Kendali kerja;
praktek pengelolaan risiko yang diterapkan pada proyek; criteria keberhasilan dan risiko proyek;
configuration, change and relase management dalam keterkaitannya dengan pengembangan dan
pemeliharaan sistem/infrastruktur; obyektif alat kendail dan teknik – teknik pengendalian untuk
memastikan kelengkapan, akurasi, validitas dan otoritas transaksi dan data dalam aplikasi sistem
TI; Enterprise Architecture terkait data, aplikasi, teknologi;praktek – praktek pengelolaan dan
analisa kebutuhan seperti verifikasi kebutuhan, ketelusuran, analisa kesenjangan;proses
pengelolaan kontrak dan akuisisi seperti evaluasi dan pemilihan vendor, persiapan kontrak,
pengelolaan vendor, escrow account;metodologi pengembangan sistem, peralatan yang
digunakan, serta pengetahuan akan kekuatan dan kelemahan masing – masing metode dan
peralatan tersebut;metode – metode penjaminan kualitas;pengelolaan proses uji coba seperti
strategies testing, test plans, test environments dan exit criteria;peralatan data konversi, teknik
dan prosedur konversi;prosedur pemusnahan sistem/infrastruktur;praktek – praktek akreditasi
dan sertifikasi S/W maupun H/W;obyektif dan metodologi dari review paska implementasi
sistem/infrastruktur seperti penyelesaian proyek, realisasi benefit, dan pengukuran
performansi;praktik – praktik migrasi sistem dan deployment infrastruktur.
Dengan demikian maka, sebaiknya Auditor SI memahami IT Governance (Tata Kelola IT) yang
merupakan bagian dari Corporate Governance(CG) yang merepresentasikan bagaimana
penerapan TI dalam suatu Enterprise (organisasi).Ada beberapa definisi mengenai CG, namun
secara ringkas dapat dicuplik dari definisi Sir Adrian Cadbury yang menyatakan CG adalah suatu
system yang dengannya suatu korporasi diarahkan dan dikendalikan. Mengikuti CG, maka IT G
kurang lebih adalah suatu system yang dengannya TI dalam suatu organisasi diarahkan dan
dikenalikan.
Strategic Aligment : Strategi dan perencanaan IT harus inline dan sinergi dengan strategi dan
arah perusahaan (korporasi)
Value Delivery : Penerapan IT harus memberikan nilai seperti yang direncanakan, cost yang
dikeluarkan sesuai dengan nilai / benefit yang didapatkan
Risk Management : Adanya kepedulian risiko – risiko yang mungkin timbul dari manajemen
level atas, pengertian yang jelas mengenai tingkat risiko yang dapat diterima, pengertian akan
kebutuhan-2 terhadap kepatuhan, transparansi mengenari risiko – risiko bagi seluruh enterprise
serta pendelegasian wewenang dan tanggung jawab penanganan risiko bagi pihak – pihak dalam
organisasi
IT Governance Framework
Beberapa kerangka kerja yang biasanya diacu untuk pelaksanaan IT G dalam tataran praktis
antara lain :
- CobiT : Control Obyektif for Information and related Technology, yang disusun oleh ITGI
- ISO/IEC 27001 yang pertama kali dipublikasikan di UK sebagai British Standard 7799 (BS
7799)
- IT Infrastructur Library (ITIL) yang disusun oleh UK Office of Government Commerce dan
IT Services Management Forum
- IT Baseline Protection Catalogs (IT-Grandschutz Catalogs) oleh German Federal Office for
Security in Information Technology.
- AS80152005 merupakan standard dari pemerintah Australia untuk Corporate governance
dalam TIK
Dari berbagai uraian mengenai CG dan IT G dapat diringkas bahwa ITG paling tidak harus
mengandung unsur – unsur :strategi, kebijakan, program serta tujuan yang ingin dicapai haris
inline dengan strategi corporate, pengelolaan risiko, perencanaan dan pengelolaan sumber daya,
pelaksanaan dan operasionalisasi, serta pengendalian dan pengawasan kinerja semua aspek IT.
Strategi, kebijakan, program dan tujuan harus menjadi tanggung jawab dan perhatian manajemen
tingkat atas, bukan hanya sebatas personal – personal TI. Diperlukan suatu IT Strategi
Committee yang beranggotakan top manajemen dan lintas departemen. Kebijakan, program dan
tujuan harus secara formal ditetapkan dan dikomentasikan. Juga harus disosialisaskan ke seluruh
tingkatan dalam suatu organisasi.
Tujuan dari pengelolaan risiko adalah mengamanakan segala asset TIK dari ancaman ancaman
yang mungkin timbul sehingga kehilangan (asset, informasi, uang) dapat dihindari atau ditekan
seminimal mungkin. Inti dari pengelolaan risiko adalah mengamankan asset/informasi/sumber
daya informasi yang lain. Oleh karena itu diperlukan strategi dan pengelolaan keamanan
Informasi (Information Security Governance). Agar akibat dari risiko yang mungkin timbul
dapat ditekan seminimal mungkin maka diperlukan strategi dan perencanaan pengelolaan risiko
sejak dini. Penanganan risiko dimulai dari identifikasi risiko, menganalisa risko dan
mengukurnya, kemudian mengelolanya dengan menerapkan alat kendali risiko, serta memonitor
pelaksanaan alat kendali tersebut.
Perencanaan dan pengelolaan sumber daya mencakup antara lain meencakup pemahaman
mengenai perencaanaan system informasi secara keseluruhan, misalnya dengan menggunakan
pendekatan Enterprise Architecture. Beberapa pendekatan EA ini dalam praktisnya antara lain
model Zachman Framework atau TOGAF.Pengelolaan sumber daya informasi mencakup
bagaimana merencanakan dan mengakuisisi (purchase) h/w, s/w atau infrastruktur yang lain.
Di dalam pelaksanaan dan operasionalisasi terdapat hal – hal pemilihan supplier atau source /
sumber layanan/produk. Tentu saja termasuk di dalamnya adalan pengelolaan sumber daya
manusai internal mulai dari rekruitmen sampai dengan terminasi. Termasuk dalam
operasionalisasi adalah bagaimana organisasi mengatur dan membagi tugas, hak akses dan
tanggung jawab personel sesuai dengan aturan keamanan yang ditetapkan, pembagian beban
yang adil, maupun penghindaran penumpukan tanggungjawab pada bagian tertentu maupun
penghindaran konflik kepentingan akibat pembagian peran yang tidak sesuai. Jika perusahaan
memerlukan layanan pihak ke 2 (outsource) maka peraturan dan kaidah-kaidah outsource juga
menjadi fokus perhatian auditor.
Karena merasa sudah kehilangan “hard skill” saya di bidan TI sebagai latar belakang
pendidikan saya, maka per minggu kemarin saya mengambil kursus IS-Audit / Information
System Audit CISA Review di PUSILKOM UI. Sudah terlalu lama tidak “belajar keras”
membuat saya kesulitan menyerap ilmu. Oleh karena itu saya perlu cara baru untuk belajar.
Menulis, itulah cara belajar yang saya anggap efektiv. Jadi saya menulis IS Audit ini bukan
karena bisa, tetapi karena masih dalam taraf belajar. Dengan demikian menulis ini adalah
sarana belajar saya.
Jika dilihat dari akar katanya, Audit berarti evaluasi/pemeriksaan. Makna audit menurut
Wikipedia adalah suatu proses evaluasi terhadap orang, organisasi, sistem, proses, korporasi,
proyek ataupun produk. Audit Sistem Informasi (IS Audit) dengan demikian adalah proses
evaluasi terhadap sistem informasi pada suatu organisasi. Selanjutnya dalam tulisan – tulisan
pada kategori IS Audit ini, pengertian audit tentu saja mengacu pada Audit Sistem Informasi
pada suatu organisasi.
Program Audit
Terminologi yang digunakan untuk menjelaskan strategi dan rencana audit. Di dalamnya
termasuk ruang lingkup, obyektif/tujuan, sumber daya yang, serta prosedur yang digunakan
untuk mengevaluasi sekumpulan alat kandali dan akan menghasilkan opini audit.
Tujuan Audit
Masing – masing audit biasanya mempunyai tujuan yang spesifik. Namun secara umum tujuan
dari audit adalah untuk mengetahui sejauh mana alat kendali yang ada dapat secara efektif
mengendalikan operasi (bisnis, pemerintahan, dll) dalam suatu organisasi.
Dengan demikian, maka perlu dipahami yang dimaksud dengan alat kendali. Dalam terminologi
audit alat kendali lebih spesifik mengacu kepada alat kendali internal suatu organisasi. Alat
kendali internal adalah kebijakan, prosedur, mekanisme, sistem, atau ukuran – ukuran lain yang
dirancang untuk meminimalkan risiko bisnis/organisasi. Suatu organisasi/badan
mengimplementasikan alat kendali agar tujuan bisnis tercapai, risiko dapat direduksi, dan
kesalahan – kesahalan dapat dihindari atau dikoreksi jika terjadi.
Alat kendali digunakan : 1. Untuk mencapai suatu keadaan yang diinginkan, dan 2. Menghindari
keadaan yang tidak diinginkan.
Sebagai contoh alat kendali misalnya, terkait Teknologi Informasi di dunia perbankan Indonesia,
BI telah menetapkan kebijakan berupa Peraturan Bank Indonesia, Nomor: 9/15/Pbi/2007,
Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank
Umum. Peraturan ini berisi ketentuan – ketentuan yang harus dilakukan oleh organisasi
Perbankan Umum terkait Kebijakan dan Implementasi Teknologi Informasi di lingkungan
Perbankan. Mengacu pada peraturan ini, maka salah satu tujuan dari Audit SI di lingkungan
Perbankan, misalnya, memeriksa apakah peraturan tersebut ada dan dipatuhi.
Secara grafis klasifikasi alat kendali dapat dilihat seperti gambar di bawah :
Phyisical
Alat kendali yang dapat diamati secara fisik (tangible) seperti video, lock, akses card, dll
Technical
Dalam terminologi Sistem Informasi ini adalah alat kendali yang tidak dapat diamati secara fisik
(intangible) enkripsi, password, logs, dll
Administrative
Adalah kebijakan atau prosedur yang menghendaki atau melarang suatu aktivitas tertentu.
Misalnya peraturan perusahaan yang melarang karyawan untuk mengakses informasi/data
payroll selain bagian accounting.
Preventive
Alat kendali yang mencegah/menghindari suatu kejadian. Misalnya screen saver dan auto log off
pada pada PC/note book. Enkripsi file yang mencegah kejadian terbacanya informasi file oleh
pihak yang tidak berwenang/berhak
Detective
Alat kendali yang digunakan untuk mencatat kejadian – kejadian baik yang dikehendaki maupun
yang tidak dikehendaki. Alat kendali ini misalnya audit logs, video kamera, dll.
Detterent
Alat kendali yang digunakan untuk mencegah pihak – pihak tertentu melakukan hal – hal yang
tidak diinginkan. Masuk dalam alat kendali ini misalnya : anjing penjaga, tanda peringatan, video
kamera dan monitornya.
Corrective
Alat kendali yang digunakan untuk memperbaiki akibat terjadinya keadaan yang tidak dinginkan,
alat kendali ini digunakan setelah keadaan tersebut terjadi. Misalnya perbaikan proses pada
proses – proses yang tidak dapat berjalan secara efektiv
Compensating
Alat kendali yang digunakan karena alat kendali lain tidak berjalan sebagaimana mestinya.
Misalnya kamera video yang tidak berjalan digantikan dengan akses card.
Recovery
Alat kendali yang digunakan untuk mengembalikan keadaan setelah terjadi suatu kecelakaan
pada sistem atau aset. Misalnya restore basis data, pembersihan virus, dll
(Bersambung….)
Sumber :