ISYS6334
Information System Audit Fundamental
Week ke – 05
LO2. Memahami kontrol, tindakan pencegahan dan audit sistem informasi secara
keseluruhan diterapkan.
LO3. Mampu menerapkan pengetahuan untuk memastikan kerahasiaan, integritas, dan
ketersediaan sistem informasi.
LO4. Mampu menerapkan pengetahuan untuk melakukan audit sistem informasi di bidang
sistem operasi, pengembangan sistem atau database
OUTLINE MATERI :
1. Tata Kelola Teknologi Informasi
2. Struktur Teknologi Informasi
3. Pengolahan Data Terpusat
4. Pusat Komputer
5. Perencanaan Pemulihan Bencana
6. Melakukan Alih Daya pada Fungsi TI
Pusat Komputer
Pemeriksaan lingkungan fisik dari pusat komputer umumnya merupakan bagian dari suatu
audit tahunan. Tujuan dari bagian ini adalah untuk menyajikan risiko pusat komputer dan
kontrol yang membantu mengurangi risiko dan menciptakan lingkungan yang aman.
Lokasi Fisik
Lokasi fisik dari pusat komputer secara langsung mempengaruhi risiko kerusakan yang bisa
disebabkan oleh bencana alam atau kelalaian manusia. Sedapat mungkin, pusat komputer
seharusnya jauh dari bahaya buatan manusia dan alam.
Konstruksi
Idealnya, sebuah pusat komputer harus ditempatkan dalam bangunan konstruksi satu lantai
yang kokoh dengan akses yang dikontrol. Saluran utilitas (listrik dan telepon) sebaiknya
berada di bawah tanah. Jendela bangunan tidak boleh terbuka dan sistem penyaringan udara
harus di tempat yang mampu mengeluarkan serbuk dan debu.
Akses
Akses ke pusat komputer harus dibatasi untuk operator dan karyawan lain yang bekerja di
sana. Kontrol fisik, seperti pintu terkunci harus digunakan untuk membatasi akses ke pusat
data.
AC
Komputer berfungsi paling baik di lingkungan ber-AC, tersedianya udara yang memadai
seringkali merupakan persyaratan bagi garansi vendor. Komputer beroperasi paling baik di
kisaran suhu 70 hingga 75 derajat Fahrenheit dan kelembaban sekitar 50 persen. Kerusakan
dapat terjadi pada perangkat keras komputer ketika suhu berbeda secara signifikan dari
Tujuan Audit
Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat komputer.
Secara khusus, auditor harus memverifikasi bahwa:
Prosedur audit
Umumnya, berikut ini adalah beberapa prosedur yang umumnya di lakukan dalam melakukan
suatu audit.
1. Tes konstruksi fisik. Auditor harus mendapatkan rencana arsitektur untuk menentukan
bahwa pusat komputer dibangun kokoh dari bahan tahan api. Harus memiliki drainase
yang memadai di bawah lantai yang ditinggikan untuk memungkinkan air mengalir
keluar jika terjadi kebocoran. Selain itu, auditor harus menilai lokasi fisik dari pusat
komputer. Fasilitas harus ditempatkan di area yang meminimalkan paparan terhadap
api, kerusuhan sipil, dan bahaya lainnya
2. Tes sistem deteksi kebakaran. Auditor harus memastikan bahwa alat pendeteksi api
dan peralatan supresi, baik manual maupun otomatis, sudah terpasang dan diuji secara
teratur. Sistem pendeteksi kebakaran harus mendeteksi asap, panas, dan asap yang
mudah terbakar.
3. Tes kontrol akses. Auditor harus menetapkan bahwa akses rutin ke komputer pusat
terbatas untuk karyawan yang berwenang. Detail tentang akses pengunjung (oleh
programmer dan lain-lain), seperti waktu kedatangan dan keberangkatan, tujuan, dan
frekuensi akses, dapat diperoleh dengan meninjau log akses. Untuk menetapkan
kebenaran dokumen ini, auditor dapat melakukan observasi langsung atau meninjau
rekaman video dari kamera pada titik akses.
4. Tes RAID. Sebagian besar sistem yang menggunakan RAID menyediakan pemetaan
grafisnya penyimpanan disk yang berlebihan. Dari pemetaan ini, auditor harus
menentukan apakah tingkat RAID di tempat cukup untuk organisasi, mengingat
tingkat risiko bisnis yang terkait dengan kegagalan disk.
5. Tes of the Uninterruptible Power Supply. Tes berkala dari catu daya cadangan harus
secara berkala dilakukan untuk memastikan kecukupan dan ketersediaan kapasitas
untuk menjalankan fungsi fungsi perangkat kelas yang kritikal.
Prosedur Audit
Beberapa prosedur audit yang dapat dilakukan untuk memastikan rencana pemilihan bencana
sudah cukup dalam memitigasi resiko adalah sebagai berikut.
Cadangan Situs. Auditor harus mengevaluasi kecukupan pengaturan situs cadangan
untuk menilai kesiapan situs cadangan dalam menangani proses operasional apabila
terjadi bencana pada situs utama.
Daftar Aplikasi Kritis. Auditor harus meninjau daftar aplikasi kritis atas akurasi dari
penilaian nilai kritisnya (criticality) dan metode yang akan digunakan dalam
memastikan kelanjutan aplikasi tersebut.
Manajemen dapat melakukan alih daya fungsi TI organisasi, tetapi tidak dapat melakukan
pemindahan tanggung jawab manajemen, manajemen tetap harus memastikan kontrol internal
TI yang memadai. Penggunaan organisasi layanan tidak mengurangi tanggung jawab
manajemen untuk mempertahankan pengendalian internal yang efektif.
Penyajian risiko dan kontrol yang terkait dengan tata kelola TI. Dimulai dengan definisi
singkat dari tata kelola TI dan mengidentifikasi implikasinya untuk pengendalian internal dan
keuangan pelaporan.
Paparan yang dapat timbul dari penataan yang tidak tepat dari fungsi TI dalam organisasi
juga dilakukan. Selanjutnya pembahasan juga melihat ancaman dan control yang dapat terjadi
dalam suatu system computer dan bagaimana metode perlindungan dari kerusakan dan
kehancuran dari bencana alam, api, suhu, dan kelembaban.
Elemen kunci dari rencana pemulihan bencana memiliki beberapa faktor yang perlu
dipertimbangkan termasuk menyediakan cadangan situs kedua, mengidentifikasi aplikasi
kritis, melakukan prosedur penyimpanan cadangan dan di luar lokasi, membuat tim
pemulihan bencana, dan pengujian DRP. Bagian terakhir dari bab ini membahas masalah
seputar pertumbuhan kecenderungan menuju alih daya TI. Alih daya IT juga terkait dengan
risiko yang signifikan, yang harus ditangani beserta prosedur audit yang umumnya dilakukan.