Fakultas Program Studi Tatap Muka Kode MK Disusun Oleh

09
Ekonomi Magister Akuntansi DA4322EL Aloysius Harry Mukti, Phd.BM, MS.Ak, ERMCP

TUGAS PERKULIAHAN

Audit Sistem
Informasi
Judul Tugas
Berikan Contoh

Deskripsi Ketentuan
Analisis jurnal ilmiah berdasarkan Tugas bersifat openbook
struktur metodologi penelitian

Luaran/Output Jadwal
Mampu memahami dan menyusun Tugas dikumpulkan paling lambat satu
jurnal imiah dalam struktur minggu setelah tugas diberikan
metodologi penelitian

Penilaian
Bobot Kriteria
Bobot nilai yang digunakan adalah Kesesuaian dan ketepatan format
60 – 100 dengan nilai tertinggi Kecepatan Penyerahan Tugas
adalah 100 dan terendah adalah
60

Daftar Pustaka
Ana Maria & Valahia. 2010. Audit for Information System Security.
Informatica Economica
 Berikan contoh dari bentuk sistem keamanan manajemen informasi dalam konteks tempat
anda bekerja, baik itu berupa hardware ataupun software

Contoh bentuk sistem keamanan dalam Instansi saya mencakup akses. Akses tiap
 Audit Sistem Informasi Keamanan

Ana-Maria SUDUC1, Mihai BÎZOI1, Florin Gheorghe FILIP2 1Valahia Universitas Targoviste,
Targoviste, Rumania, 2Romanian Academy-Ince & BAR, Bucharest, Rumania,
suduc@ssai.valahia.ro, bizoi@ssai.valahia.ro, ffilip @ ACAD. ro

Informasi dan teknologi komunikasi kemajuan yang dibuat dalam jumlah yang sangat besar
dan luas yang tersedia informasi. ketersediaan ini menghasilkan juga risiko yang signifikan
terhadap sistem komputer, informasi dan operasi kritis dan infrastruktur mereka
mendukung. Meskipun kemajuan signifikan di bidang keamanan informasi banyak sistem
informasi masih rentan terhadap serangan di dalam atau di luar. Keberadaan audit internal
untuk informasi sistem- keamanan tem meningkatkan kemungkinan mengadopsi langkah-
langkah keamanan yang memadai dan mencegah serangan ini atau menurunkan
konsekuensi negatif. Makalah ini menyajikan studi eksplorasi audit informatika untuk
keamanan sistem informasi.
Kata Kunci: Sistem Informasi Risiko, Audit, Keamanan

 
pengantar
Fenomena dunia digital, di satu sisi, menawarkan manfaat luar biasa, tetapi di sisi lain, ia
juga menciptakan risiko penyok signifikan dan unprece-. teknologi web memungkinkan
pengguna akses cepat dan murah untuk sejumlah besar in- formasi yang disediakan di
website, perpustakaan digital atau sumber data lainnya [1]. Faktor-faktor yang sama yang
menghasilkan manfaat - kecepatan dan aksesibilitas - jika tidak dikontrol bisa meninggalkan
sistem informasi tion (IS) rentan terhadap penipuan, sabotase, dan tindakan berbahaya atau
nakal [2]. Ada banyak dan beragam teknik keamanan yang dapat diterapkan. Pemilihan satu
atau seperangkat teknik sekuritas yang harus dilakukan sesuai dengan risiko po- bangkan.
Oleh karena itu, langkah pertama untuk memberikan keamanan adalah untuk
mengidentifikasi risiko. Setelah itu ada harus dipilih orang-orang teknik (biasanya hanya satu
ukuran keamanan tidak cukup) yang untuk-gether akan memberikan tingkat yang tepat dari
keamanan bagi data, untuk sistem dan untuk ganization atau-. Sebuah program audit
berbasis risiko-im- akan membuktikan sistem keamanan organisasi.

2 risiko Keamanan
Ada dua kategori risiko terhadap yang sistem informasi harus dilindungi: risiko cal physi- dan
risiko logis. Risiko fisik, yang lebih terkait dengan peralatan daripada dengan sistem
informasi itu sendiri, termasuk bencana natu- ral seperti gempa bumi, angin topan, nadoes
tor- dan banjir, serta bahaya lain seperti pemboman, kebakaran, power surge, pencurian ,
isme vandal- dan gangguan yang tidak sah. Champlain [3] mengidentifikasi daftar kontrol
yang melindungi sistem informasi yang terhadap ancaman fisik.
 
Kontrol ini adalah: berbagai jenis kunci, cakupan Ance insur- atas hardware dan biaya untuk
meralat data yang reate, prosedur untuk melakukan backup harian dari sistem informasi dan
data, off-situs penyimpanan yang usia dan rotasi media backup ke lokasi aman, dan program
pemulihan bencana saat ini dan diuji. Risiko logis mengacu pada akses unauthor- terwujud
dan disengaja atau tidak disengaja penghancuran atau perubahan sistem informasi dan data.
Ancaman ini dapat dikurangi melalui logi- cal kontrol keamanan yang membatasi pabilities
akses ca- de pengguna sistem dan mencegah pengguna yang berwenang un- mengakses
sistem.
Semua tindakan ini bahkan lebih penting dalam hal sistem informasi penting.
Menurut Symantec [4], organisasi hari ini harus mengatasi empat jenis utama dari risiko TI:
risiko keamanan, risiko ketersediaan, risiko kinerja dan risiko kepatuhan. Risiko keamanan
mewakili akses tidak sah ke informasi: kebocoran data, data pribadi, penipuan, dan
keamanan endpoint. Risiko keamanan termasuk juga ancaman yang luas eksternal, seperti
virus, serta serangan lebih bertarget pada aplikasi spesifik, pengguna tertentu, dan informasi
tertentu. Sebuah survei Ernst and Young menunjukkan bahwa insiden keamanan dapat biaya
perusahaan--perusahaan antara 17 dan 28 juta dolar untuk setiap kejadian ([5] dikutip [6]).
Lain sur- vey yang dilakukan selama 13 tahun [7] dengan bantuan
522 praktisi keamanan komputer di AS menunjukkan bahwa insiden virus terjadi paling fre-
paling sering (49% dari organisasi-organisasi responden). The cidents in- kedua yang paling
sering terjadi adalah penyalahgunaan insider jaringan (44%) follow melenguh oleh pencurian
laptop dan keburukan de- mobile lainnya (42%). Gambar 1 menyajikan jenis kunci di-
 

cidents. penulis lain [8] [6] [9] juga mengamati bahwa, bahkan tindakan perusahaan
keamanan difokuskan pada ancaman luar, persen besar dari
 

risiko, yang kadang-kadang melebihi 50% dari jumlah tal ke- risiko, yang berasal dari
pengguna jaringan absah.
 
 
Ara. 1. Jenis Key insiden [7]

 
Pada tahun 2008, sebuah studi yang dibuat di Rumania di Valahia Universitas Targoviste [1],
pada 126 mahasiswa teknik teknis, menunjukkan ity intentional- tinggi sistem informasi
penyalahgunaan (46%). Regard- ing motivasi untuk IS penyalahgunaan (Gambar. 2), 41%
termotivasi rasa ingin tahu, 31% keuntungan pribadi tanpa
 
niat untuk menyakiti seseorang, 25% tantangan intelektual, 3% menjawab keuntungan
pribadi menyadari konsekuensi negatif pada orang lain atau pada perusahaan, dan tidak ada
penyok rekayasa murid menjawab bahwa mereka sengaja akan merugikan orang lain atau
perusahaan.
 
 
Ara. 2. Motivasi untuk IS penyalahgunaan
 
Hasil ini menunjukkan bahwa praktisi keamanan harus memberikan perhatian yang
signifikan terhadap langkah-langkah yang mengurangi ancaman insider.
Pengamatan lain yang menarik dari penelitian ini adalah bahwa sebagian besar pengguna IS
tidak menyadari risiko ICT terkait atau langkah-langkah keamanan IS. Contohnya untuk
pertanyaan mengenai sejauh mana mereka menganggap sebagai risiko (dari 1 sampai 5)
bagian dalam serangan perusahaan dan serangan luar, responden hanya memberikan 37%
nilai 4 dan 5 untuk serangan di dalam dan 31 % terhadap serangan luar.
 
3 Audit untuk IS Security
Lampson [10] melihat bahwa, terlepas dari kemajuan yang signifikan dalam bidang
keamanan informasi, seperti subjek / objek model akses matrix, akses daftar pengawasan
terhadap, keamanan bertingkat menggunakan arus informasi dan bintang-properti, kunci
publik phy cryptogra-, dan protokol kriptografi, banyak sistem in- formasi yang rentan
terhadap serangan sisi dalam atau keluar-. pengaturan keamanan membutuhkan waktu, dan
itu con- upeti ada output yang berguna dan, karena itu, jika setup terlalu permisif tidak ada
yang akan melihat kecuali ada audit atau serangan. observasi ini
 

tion menyoroti perlunya suatu audit internal untuk keamanan sistem informasi di setiap tion
organisasi.
Mukaila Apata, Sistem Auditor dan Keamanan Administrator dengan lebih dari 18 tahun
pengalaman pertimbangkan [11] bahwa tiga bidang komputer ac- tivity harus dipantau
secara teratur: kontrol akses pengguna, monitoring aktivitas sistem, dan jejak audit.
Kegiatan ini ditutup dengan mekanisme dasar untuk implementasi keamanan yang diusulkan
oleh [10]: (a) otentikasi kepala sekolah ( "Siapa yang mengatakan bahwa?" atau "Siapa yang
mendapatkan bahwa masi mation?" - orang, kelompok, mesin, atau pro gram); (B) otorisasi
akses ( "Siapa yang dipercaya untuk melakukan yang operasi pada objek ini?") Dan (c)
mengaudit keputusan penjaga ( "apa yang terjadi apa-apa dan mengapa").
Tujuan keamanan di daerah kontrol akses pengguna untuk mengoptimalkan waktu
komputer produktif, mengurangi risiko de kesalahan dan penipuan, menghilangkan akses
berwenang un- dan mengamankan kerahasiaan informasi. Hal ini juga jelas kebutuhan untuk
secara permanen memonitor aktivitas sistem karena tindakan berbahaya sabotase atau
penipuan yang lebih mungkin terjadi, jika ada kemungkinan rendah deteksi.
Apata menunjukkan empat pertanyaan yang harus ditanyakan pada daerah kemungkinan
risiko: (1) Mungkinkah ini terjadi di sini? (2) Bagaimana? (3) Apakah langkah-langkah
keamanan yang memadai untuk mencegah / mendeteksi ancaman? (4) Bagaimana kita bisa
memperbaiki langkah-langkah? [11]. Lisasi utilitarian keamanan sistem yang efektif dan
kontrol dapat mengurangi cukup terjadinya insiden dan / atau konsekuensi negatif dengan
meningkatkan kemungkinan pencegahan dan deteksi.
Tindakan keamanan lain yang penting adalah untuk menjaga log rinci yang melakukan dan
kapan dan juga jika ada pelanggaran keamanan berusaha. Semua informasi ini sangat
penting bagi tem auditor sistemik.
3.1 standar Audit
Menurut ISO / IEC 18028-3, IT jaringan memiliki keamanan - Bagian 3: komunikasi Keamanan
antara jaringan menggunakan gateway keamanan, Audit adalah "penyelidikan formal,
pemeriksaan formal, atau tion verifikasi fakta terhadap harapan, kepatuhan dan kesesuaian"
. Audit [12] adalah "cara pemeriksaan formal dan verifikasi untuk memeriksa apakah standar
atau set Pedoman sedang diikuti, yang Re- tali akurat, atau bahwa Efisiensi dan effective
tama mengenai efektivitas target terpenuhi. Audit dapat dilakukan oleh kelompok-kelompok
internal atau eksternal. "
ISO milik serangkaian standar, ISO 27000, untuk urusan keamanan informasi [13]:
 

 ISO 27001, diterbitkan pada bulan Oktober 2005, diciptakan untuk "menyediakan model
untuk membangun, menerapkan, operasi, pemantauan, ing review-, memelihara, dan
meningkatkan Sistem Manajemen Keamanan informasi tion";
 ISO 27002, mengubah nama dari 17799 standar ISO, adalah kode praktek untuk keamanan
informasi yang "pedoman yang ditetapkan dan prinsip-prinsip umum untuk memulai,
pelaksana,, memelihara, dan meningkatkan manajemen keamanan informasi dalam suatu
organisasi";
 ISO 27003 masih dalam tahap usulan dan bertujuan untuk memberikan bantuan dan
bimbingan dalam implemetasi Sistem Manajemen Keamanan Informasi;
 ISO 27004 diterbitkan pada bulan Desember 2009, dan memberikan panduan pada
pengembangan dan penggunaan langkah-langkah dan pengukuran untuk penilaian
efektivitas tem suatu informasi mented manajemen keamanan mentasi sistemik dan kontrol,
sebagaimana ditentukan dalam ISO 27001;
 ISO 27005 memberikan pedoman untuk informasi tion manajemen risiko keamanan (ISRM)
dalam sebuah organisasi, khususnya mendukung persyaratan yang re- dari keamanan sistem
informasi management didefinisikan oleh ISO 27001;
 ISO 27006, dengan judul formal "teknologi pembentukan In- -. Teknik keamanan
Persyaratan bagi tubuh menyediakan audit dan sertifikasi keamanan informasi manajemen
sistem pemerintah", dimaksudkan untuk digunakan dalam persimpangan con- dengan
sejumlah standar lain dan menawarkan pedoman untuk akreditasi organisasi yang
menawarkan sertifikasi dan registrasi terhadap Sistem Manajemen curity Informasi
Ketahanan. Standar ini mendokumentasikan persyaratan tambahan untuk hal yang diatur
dalam standar ISO 17021, yang mengidentifikasi persyaratan yang lebih umum.
Yang paling dikenal dan matang dari seri ini standar adalah yang pertama: ISO 27001 dan ISO
27002. Ada juga standar-standar lain yang terkait erat, seperti ISO 17021, BS7799-3, ISO
24760, ISO 13335 dan BS25999.
ISO 27003 fokus pada sebelas klausa kontrol:
(1) kebijakan keamanan; (2) organisasi keamanan informasi tion; (3) manajemen aset; (4)
keamanan sumber daya manusia; (5) keamanan fisik; (6) manajemen komunikasi dan ops;
(7) kontrol akses; (8) sistem informasi akuisisi, Pembangunan de-, pemeliharaan; (9)
pengelolaan insiden keamanan informasi; kontinuitas (10) bisnis dan (11) kepatuhan.
Calder [14] mengamati bahwa kebijakan dimiliki oleh top
 
 

manajemen dan klausa kontrol lainnya adalah tanggung jawab erational op dan ia mewakili
 

Hubungan antara klausul kontrol (Gambar. 3).

 
 
Ara. 3. Hubungan antara klausul kontrol

 
Rencana 3.2 Audit
Sebuah audit keamanan memiliki satu tujuan utama [15] untuk:
 Periksa kebijakan keamanan keberadaan, standar-standar, pedoman dan prosedur;
 Mengidentifikasi kekurangan dan memeriksa fectiveness ef- kebijakan, standar, pedoman
dan prosedur yang ada;
 Mengidentifikasi dan memahami kemampuan rentan ada dan risiko;
 Ulasan kontrol keamanan yang ada pada beroperasi, masalah administrasi dan manajerial,
dan memastikan kepatuhan dengan standar keamanan minimum;
 Memberikan rekomendasi dan tions tindakan korektif untuk perbaikan.
Dalam rangka untuk memastikan kepatuhan kebijakan keamanan dan untuk menentukan set
minimal kontrol re- quired untuk mengurangi risiko ke tingkat yang dapat diterima, audit
keamanan harus dilakukan berkala Cally (kerentanan dan ancaman berubah dengan waktu
dan lingkungan) [15] . Audit dapat baru audit instalasi / tambahan, audit reguler, audit acak
atau non-kantor jam audit.
Teknik yang digunakan untuk proses audit dapat mencakup alat otomatis audit (audit sistem
keamanan pe- siap pakai dan / atau auditor keamanan 'alat maju sendiri) atau bisa ada
teknik peninjauan manual (misalnya serangan rekayasa sosial dan daftar periksa audit).
Proses audit dapat mencakup beberapa langkah. 3D
 
Jaringan [16] mengusulkan proses audit dalam tujuh langkah (gambar 4): (1) kerentanan
pemindaian - pemindaian infrastruktur, (2) laporan audit - laporan diting au- seperti log,
laporan tems deteksi intrusi sistemik, dll, ( 3) arsitektur keamanan audit - audit arsitektur
keamanan yang ada, (4) dasar audit - audit pengaturan keamanan untuk memverifikasi
bahwa itu adalah sesuai dengan dasar keamanan organisasi, (5) pengendalian internal dan
audit yang alur kerja - mengaudit pekerjaan yang ada - aliran, (6) kebijakan audit - audit
keamanan pol- es untuk memastikan bahwa itu adalah sejalan dengan tujuan bisnis dan (7)
penilaian ancaman / risiko - asesmen dari berbagai risiko dan ancaman yang dihadapi sistem
informasi perusahaan.
Selama dan pada akhir proses audit serangkaian laporan dapat diuraikan: laporan dengan
kerentanan diidentifikasi dalam sistem informasi organisasi, laporan dengan ancaman dan
risiko organisasi menghadapi akibat kerentanan isting mantan termasuk rusak kebijakan, ar
chitecture, dll, dan laporan audit yang memberikan keamanan gambaran dan hasil dari
semua audit.
perspektif lain pada proses audit keamanan disediakan oleh [15] yang membagi audit dalam
enam langkah: (1) perencanaan - untuk menentukan dan memilih metode fective dan efisien
ef- untuk melakukan audit dan memperoleh semua informasi yang diperlukan; (2)
mengumpulkan data audit - untuk menentukan berapa banyak
 

dan apa jenis informasi yang akan diambil, dan bagaimana untuk menyaring, toko, akses dan
meninjau data audit dan log; (3) melakukan tes pemeriksaan - tinjauan umum dari kebijakan
keamanan yang ada atau-standar standar-/ konfigurasi keamanan / Teknis gation investigasi;
(4) pelaporan untuk hasil audit - sekarang
 

lingkungan keamanan saat ini; (5) melindungi data audit & alat - menjaga data audit dan alat
untuk audit berikutnya atau digunakan di masa depan; (6) membuat perangkat tambahan
dan tindak lanjut - membuat tindakan korektif jika diperlukan.
 
 
Ara. Proses 4. Audit

 
Proses audit keamanan menjadi ficult lebih-beda untuk melakukan dengan semakin
rumitnya sistem informasi. Ada alat otomatis au- diting yang secara signifikan memfasilitasi
proses ini.

4. Kesimpulan
Ada banyak dan beragam teknik keamanan yang dapat diterapkan. Pemilihan satu set teknik
keamanan harus dilakukan sesuai dengan potensi risiko. Tapi dalam rangka memberikan
benar dan perlindungan yang efektif untuk set organisasi-asumsi, sistem keamanan
(tindakan) harus sebagai- sessed. Internal atau eksternal, audit keamanan adalah salah satu
cara terbaik untuk menentukan efisiensi keamanan terdistribusikan.
Ada sejumlah standar audit keamanan yang menentukan prosedur yang harus diikuti untuk
memastikan bahwa sumber daya TI yang memadai aman-dijaga.
Dengan kerugian masih tinggi karena tidak memadai IS keamanan, audit keamanan harus
diperhatikan oleh setiap organisasi.