COBIT 5 : ACCESS CONTROL COBIT REGULATORY &

COMPLIANCE

OLEH :

ANDI RAHMAT ADNAN RIZAL (10184064)

SI RS 7.2

STMIK PROFESIONAL MAKASSAR

PROVINSI SULAWESI SELATAN
 COBIT 5 : ACCESS CONTROL COBIT REGULATORY & COMPLIANCE

Definisi
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari
ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga
saat artikel ini dimuat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan,
versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di
tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini
adalah Cobit versi 5 yang di rilis baru-baru saja.

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga
disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap
antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan
tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan
yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi,
membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan
alur proses sebuah organisasi dari sisi penerapan IT.

Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar
panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa
mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat
membantu memudahkan pengambilan keputusan di level top dalam organisasi.

Siapa saja yang menggunakan COBIT? COBIT digunakan secara umum oleh mereka
yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang
organisasinya sangat bergantung pada kualitas, kehandalan dan penguasaan
teknologi informasi.

Cobit memiliki 4 Cakupan Domain :

1. Perencanaan dan Organisasi (Plan and Organise)
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang
bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur
teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh
dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri
dari operasi pada security dan aspek kesinambungan bisnis sampai dengan
pengadaan training.
 4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol.

Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko

yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa
besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana
teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi.

COBIT IT Processes Defined Withen The Four Domain

Gambar Kerangka COBIT

 PLANNING AND ORGANISATION (PO)
1 01 Menetapkan Rencana Strategis Teknologi Informasi (Define a
Strategic IT Plan)
2 02 MenetapkanArsitektur Informasi (DefinetheInformation
Architecture)
rah Teknologi (Determine Technological
O3 Direction)
rganisasi TI dan Hubungannya3 (Define
O4 the IT Organisation and Relationships)
stasi TI (Manage the IT Investment)
4 MengkomunikasikanTujuandanArahanManajemen (Communicate Management Aims an
mberdaya Manusia (Manage Human O5 Resources) Memastikan Kesesuaian dengan Kebutuhan-kebutuhan eksternal (Ensure Co
(Assess Risks) Mengatur Proyek5 O6
(Manage Projects) Mengatur Kualitas (Manage Quality)
6
O7
O8
O9
10
911
10
11

ACQUISITION AND IMPLEMENTATION (AI)

12 AI1 Identifikasi solusi-solusi otomatisasi (Identify
Automated Solutions)
13 AI2 Memperoleh dan memelihara Perangkat Lunak Aplikasi
(Acquireand Maintain Application Software)
14 AI3 Memperoleh dan memelihara Infrastruktur Teknologi (Acquire
and Maintain Technology Infrastructure)
15 AI4 Mengembangkan dan memelihara prosedur (Develop
and Maintain Procedures)
Instalasi dan pengakuan sistem (Install and Accredit Systems)
16 AI5 Mengatur Perubahan (Manage Changes)
17 AI6

DELIVERY AND SUPPORT (DS)

18 DS1 Menetapkan dan mengatur tingkatan pelayanan (Define and
Manage Service Levels)
19 DS2 Mengelola layanan pihak ke tiga (Manage Third-Party Services)
20 DS3 Mengelola kapasitas dan kinerja (Manage Performance and
Capacity)
21 DS4 Menjamin layanan berkelanjutan (Ensure Continuous Service)
Menjamin keamanan sistem (Ensure Systems Security)
22 DS5
Mengidentifikasikan dan mengalokasikan biaya (Identify and
23 DS6 Allocate Costs)
Mendidik dan melatih user (Educate and Train Users)
 24 DS7 Membantu dan memberikan masukan kepada pelanggan (Assist
25 DS8 and Advise Customers)
Mengelola konfigurasi (Manage the Configuration)
Mengelola kegiatan dan permasalahan (Manage Problems and
26 DS9
Incidents)
27 DS10 Mengelola Data (Manage Data)
Mengelola Fasilitas (Manage Facilities)
28 DS11 Mengelola Operasi (Manage Operations)
29 DS12
30 DS13

MONITORING (M)
31 M1 Mengawasi proses (Monitor the Processes)
32 M2 Menilai kecukupan pengendalian internal (Assess Internal Control
Adequacy)
33 M3 Memperoleh jaminan independen (Obtain
Independent Assurance)
34 M4
Menyediakan Audit Independen (Provide for Independent Audit)

Secara keseluruhan 34 proses diataslah yang digunakan sebagai panduan dalam

menangani masalah tata kelola IT atau pembuatan IT strategic plan, meskipun
dalam prakteknya tidak mesti menggunakan 34 proses tersebut karena proses-
proses tersebut menyesuaikan dengan kondisi organisasi.
Skala maturity dari Framework COBIT
Maturity model adalah suatu metode untuk mengukur level pengembangan
manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas
manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas
manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh
adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen
keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu
kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk
diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan
kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung
pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol).
Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi,
mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang
dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan
penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini (sebagai pembanding)
3. Status standart internasional dalam bidang TI saat ini (sebagai pembanding)
4. Strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi
pengelolaan TI perusahaan)

Tingkat kemampuan pengelolaan TI pada skala maturity dibagi menjadi 6 level :

1. Level 0 (Non-existent)
Perusahaan tidak mengetahui sama sekali proses teknologi informasi di
perusahaannya.

2. Level 1 (Initial Level)

Pada level ini, organisasi pada umumnya tidak menyediakan lingkungan yang stabil
untuk mengembangkan suatu produk baru. Ketika suatu organisasi kelihatannya
mengalami kekurangan pengalaman manajemen, keuntungan dari
mengintegrasikan pengembangan produk tidak dapat ditentukan dengan
perencanaan yang tidak efektif, respon sistem. Proses pengembangan tidak dapat
diprediksi dan tidak stabil, karena proses secara teratur berubah atau dimodifikasi
selama pengerjaan berjalan beberapa form dari satu proyek ke proyek lain. Kinerja
tergantung pada kemampuan individual atau term dan variasi dengan keahlian yang
dimilikinya.
3. Level 2 (Repeatable Level)
Pada level ini, kebijakan untuk mengatur pengembangan suatu proyek dan prosedur
dalam mengimplementasikan kebijakan tersebut ditetapkan. Tingkat efektif suatu
proses manajemen dalam mengembangankan proyek adalah institutionalized,
dengan memungkinkan organisasi untuk mengulangi pengalaman yang berhasil
dalam mengembangkan proyek sebelumnya, walaupun terdapat proses tertentu
yang tidak sama. Tingkat efektif suatu proses mempunyai karakteristik seperti;
practiced, dokumentasi, enforced, trained, measured, dan dapat ditingkatkan.
Product requirement dan dokumentasi perancangan selalu dijaga agar dapat
mencegah perubahan yang tidak diinginkan.
4. Level 3 (Defined Level)
Pada level ini, proses standar dalam pengembangan suatu produk baru
didokumentasikan, proses ini didasari pada proses pengembangan produk yang
telah diintegrasikan. Proses-proses ini digunakan untuk membantu manejer, ketua
tim dan anggota tim pengembangan sehingga bekerja dengan lebih efektif. Suatu
proses yang telah didefenisikan dengan baik mempunyai karakteristik; readiness
criteria, inputs, standar dan prosedur dalam mengerjakan suatu proyek, mekanisme
verifikasi, output dan kriteria selesainya suatu proyek. Aturan dan tanggung jawab
yang didefinisikan jelas dan dimengerti. Karena proses perangkat lunak didefinisikan
dengan jelas, maka manajemen mempunyai pengatahuan yang baik mengenai
kemajuan proyek tersebut. Biaya, jadwal dan kebutuhan proyek dalam pengawasan
dan kualitas produk yang diawasi.
5. Level 4 (Managed Level)
Pada level ini, organisasi membuat suatu matrik untuk suatu produk, proses dan
pengukuran hasil. Proyek mempunyai kontrol terhadap produk dan proses untuk
mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima.
Resiko perpindahan teknologi produk, prores manufaktur, dan pasar harus
diketahui dan diatur secara hati-hati. Proses pengembangan dapat ditentukan
karena proses diukur dan dijalankan dengan limit yang dapat diukur.
6. Level 5 (Optimized Level)
Pada level ini, seluruh organisasi difokuskan pada proses peningkatan secara terus-
menerus. Teknologi informasi sudah digunakan terintegrasi untuk otomatisasi
proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta
kemampuan beradaptasi perusahaan. Tim pengembangan produk menganalisis
kesalahan dan defects untuk menentukan penyebab kesalahannya. Proses
pengembangan melakukan evaluasi untuk mencegah kesalahan yang telah
diketahui dan defects agar tidak terjadi lagi.

Access control dalam COBIT :

1. Audit & Assurance
2. Risk Management
3. Information Sequrity
4. Regulatory & Compliance
5. Government Of Enterprise IT

Regulatory & Compliance

Bagaimana COBIT digunakan untuk Regulatory & Compliance?

Perusahaan publik yang diperdagangkan sering menggunakan COBIT untuk
membantu dalam proses kepatuhan Sarbanes-Oxley Act. Undang-undang
mengharuskan kepala eksekutif perusahaan publik untuk membuktikan keakuratan
informasi dalam laporan keuangan mereka, yang memerlukan proses IT yang handal
dan kontrol.

Sebagai COBIT 5 Task Force co-chair Derek Oliver dicatat ketika kerangka
diperbarui dirilis, Sarbanes-Oxley adalah "tentang tata kelola perusahaan, tetapi jika
Anda bisa mendapatkan TI yang tepat, yang benar-benar mendorong persyaratan
kepatuhan untuk Sarbanes Oxley. Salah satu prinsip COBIT 5 bekerja untuk
memenuhi kebutuhan stakeholder. Ketika Anda sedang melihat COBIT, Anda
katakan, siapa stakeholder? satu pemangku kepentingan bisa menjadi badan
pengawas. "
Ø Compliance memastikan bahwa organisasi memiliki proses dan pengendalian internal
untuk memenuhi persyaratan yang diberlakukan oleh badan pemerintah, regulator,
mandat industri atau kebijakan internal.

Compliance atau kepatuhan : Sebuah inisiatif untuk mematuhi peraturan

biasanya dimulai sebagai proyek sebagai perusahaan ras untuk memenuhi tenggat
waktu untuk mematuhi peraturan itu. Proyek-proyek ini mengkonsumsi sumber
daya yang signifikan sebagai memenuhi tenggat waktu menjadi tujuan yang paling
penting. Namun, kepatuhan bukan peristiwa satu kali - organisasi menyadari bahwa
mereka perlu untuk membuatnya menjadi sebuah proses berulang, sehingga
mereka dapat terus mempertahankan kepatuhan terhadap peraturan yang dengan
biaya lebih rendah daripada batas waktu pertama. Ketika sebuah organisasi adalah
berurusan dengan beberapa peraturan pada saat yang sama, proses yang efisien
mengelola sesuai dengan masing-masing inisiatif ini sangat penting, atau yang lain,
biaya bisa lepas kendali dan risiko non-kepatuhan meningkat. Proses kepatuhan
memungkinkan organisasi untuk membuat kepatuhan berulang dan karenanya
memungkinkan mereka untuk mempertahankan itu secara terus-menerus dengan
biaya lebih rendah.

Kemampuan dari solusi Kepatuhan mencakup :

· Kontrol fleksibel hierarki
· Penilaian dan audit
· Pelacakan masalah dan remediasi
· Analitik

Deskripsi proses :

Memantau dan Evaluate Effective pengawasan kepatuhan memerlukan

pembentukan proses review untuk memastikan kepatuhan terhadap hukum,
peraturan dan persyaratan kontrak. Proses ini meliputi identifikasi persyaratan
kepatuhan, mengoptimalkan dan mengevaluasi respon, memperoleh jaminan
bahwa persyaratan telah dipenuhi dan, akhirnya, mengintegrasikan TI kepatuhan
pelaporan dengan sisa bisnis.
 Kontrol atas proses TI Memastikan kepatuhan dengan persyaratan
eksternal yang memenuhi kebutuhan bisnis untuk TI memastikan kepatuhan
terhadap hukum, peraturan dan persyaratan kontrak dengan berfokus pada
mengidentifikasi semua hukum, peraturan dan kontrak dan tingkat yang sesuai
kepatuhan IT dan mengoptimalkan proses IT untuk mengurangi risiko
ketidakpatuhan dicapai dengan:

· Mengidentifikasi persyaratan hukum, peraturan dan kontrak yang berhubungan

dengan
IT
· Menilai dampak dari persyaratan kepatuhan
· Pemantauan dan pelaporan kepatuhan dengan persyaratan ini

Dan diukur dengan

· Biaya IT non-kepatuhan, termasuk pemukiman dan denda

· Rata-rata lag waktu antara identifikasi masalah kepatuhan eksternal dan resolusi
· Frekuensi ulasan kepatuhan
Bagaimana COBIT membantu organisasi memenuhi dalam Regulatory & Compliance
?
Banyak organisasi yang membutuhkan bantuan guna memenuhi persyaratan
kinerja dan kepatuhan atau compliance. Sebuah perusahaan konsultan di Uni Emirat
Arab bekerja dengan tiga organisasi yang berbeda untuk membantu setiap
organisasi yang bertemu dengan tata kelola, risiko dan kepatuhan persyaratan
(GRC). Organisasi termasuk sebuah organisasi pemerintah (5,000-plus karyawan
dengan anggota staf TI 170-plus), lembaga keuangan besar (8,000-plus karyawan,
beroperasi di 3 negara dengan anggota staf TI 250-plus) dan konglomerat besar
(25,000-plus karyawan, beroperasi di 10 negara dengan anggota staf TI 200-plus).
Konsultan ditentukan bahwa cara terbaik untuk membantu nasabah-
nasabah tersebut bergerak dari mana mereka adalah untuk memenuhi syarat-syarat
GRC adalah dengan menggunakan COBIT 5. Gambar 1 menunjukkan kebutuhan dari
klien dan mengapa COBIT 5 bertekad untuk menjadi kerangka terbaik untuk
mempekerjakan.
 Setiap organisasi memiliki prioritas yang perlu diperhatikan. Beberapa isu-isu
lebih penting yang umum untuk semua organisasi 3 adalah:

 Memenuhi persyaratan kepatuhan terhadap peraturan

 Melakukan end-to-end proses penilaian kemampuan untuk mengidentifikasi
kekuatan, kelemahan, dan area membutuhkan perbaikan
 Mengembangkan kerangka kerja manajemen risiko
 Paling penting, kebutuhan untuk membawa semua fungsi individu
didalamnya menjadi umum, terintegrasi model

Salah satu organisasi telah menggunakan COBIT 4.1 selama 3 tahun, dan
bermigrasi ke COBIT 5 juga bagian dari persyaratan. Yang mana COBIT 5 merupakan
sebagai proses pedoman dan model penilaian kemampuan, lalu COBIT 4.1 dan Risk
IT yang digunakan untuk memenuhi kebutuhan klien.
Mendapatkan dukungan dari manajemen
Stakeholder tahu bahwa menerapkan perubahan kritis dalam setiap
organisasi membutuhkan pemahaman dan dukungan dari manajemen senior.
Dalam kasus ini, bahwa dukungan adalah penting. Dukungan dari manajemen senior
diperoleh dengan mengidentifikasi daerah sakit bisnis dan pemetaan mereka untuk
COBIT untuk menjelaskan perlunya kontrol-driven ITU.
Organisasi juga digunakan COBIT 5 tujuan cascade mekanisme untuk
menjelaskan bagaimana proyek-proyek ini akan lebih menyelaraskan dengan tujuan
bisnis. Organisasi menunjukkan pentingnya pendekatan holistik — salah satu COBIT
5 prinsip (gambar 2) — untuk meningkatkan kinerja itu.
Figure 2—COBIT 5 Principles
 Source: ISACA, COBIT 5, USA, 2012
Setiap organisasi memiliki tujuan yang sama. Masing-masing yang diperlukan
untuk menerapkan kosa kata umum antara semua fungsi — untuk memenuhi
kebutuhan kinerja bisnis dan mencapai persyaratan peraturan kepatuhan dan audit.
COBIT diidentifikasi sebagai kerangka untuk memenuhi tujuan dari
organisasi, dan cascade tujuan yang digunakan untuk mengidentifikasi proses yang
tepat.
Mencapai tujuan
Dalam setiap kasus, organisasi yang menggunakan pendekatan yang sama
untuk mencapai tujuan mereka. Pertama, mereka tampil penilaian kemampuan
proses awal untuk mengidentifikasi kekuatan, kelemahan, dan risiko mereka. Dari
sana, paling penting proses dan kontrol (practices) untuk meningkatkan dan fokus
yang dipilih. Prioritas diberikan kepada kepatuhan dan audit persyaratan. Peta jalan
ini kemudian dikembangkan untuk meningkatkan proses (proyek jangka pendek dan
jangka panjang).
Untuk setiap organisasi, peningkatan perjalanan dimulai dengan
mengembangkan grafik yang bertanggung jawab, akuntabel, Consulted dan
informasi
(RACI) untuk menetapkan peran dan tanggung jawab, mendokumentasikan
kebijakan dan prosedur. Lebih fokus diberikan kepada organisasi perubahan
manajemen melalui kesadaran sesi, sesi kereta pelatih untuk personel kunci dan
sering meninjau kemajuan.
Gambar 3 menunjukkan contoh bagaimana suatu proses tertentu atau
masalah ditangani dan diperbaiki. Proyek sistem dan manajemen siklus hidup
pengembangan perbaikan (SDLC) telah dipetakan ke COBIT 5 proses dan tujuan
pengendalian.
Figure 3—Mapping Program and Project Management to COBIT Processes and
Control Objectives
Domain Process ID Process Description
APO06 Manage budget and costs
APO07 Manage human resources
APO08 Manage relationships
APO10 Manage suppliers
BAI01 Manage programs and project
BAI02 Manage requirements definition
Program and Project BAI03 Manage solutions identification and build
Management BAI06 Manage changes
BAI07 Manage change acceptance and transitioning
DSS01 Manage operations
Monitor, evaluate and assess performance and
MEA01
conformance
Source: Global Success System FZ LLC. IT Domain mapped to COBIT Processes.
Reprinted with permission.

Regulatory compliance requirements juga telah dipetakan ke COBIT proses dan

kontrol (figure 4).

Figure 4—Mapping Regulatory Compliance Requirements to COBIT Processes and

Control Objectives
Domain Process ID Process Description
APO13 Manage security
BAI09 Manage assets
Information
Security APO12 Manage risk
Regulations DSS02 Manage service requests and incidents
DSS03 Manage problems
 DSS05 Manage security services
DSS01 Manage operations
APO01 Manage the IT management framework
DSS04 Manage continuity
BAI01 Manage programs and projects
BAI02 Manage requirements definition
BAI03 Manage solutions identification and build
BAI07 Manage change acceptance and transitioning
DSS05 Manage security services
Process RACI charts, organization structure
Monitor, evaluate and assess performance
MEA01
and conformance
Monitor, evaluate and assess the system of
MEA02
internal control
Source: Global Success System FZ LLC. Regulatory Compliance Requirements
mapped to COBIT Processes. Reprinted with permission.
Sebagai hasilnya, model (figure 5) diproduksi, dari yang COBIT dapat
digunakan untuk memenuhi persyaratan IT performance and compliance
requirements klien.
Figure 5—Meeting IT Performance, Audit and Compliance Requirements Model

Source: Global Success System FZ LLC. Integrated IT Performance and Compliance

Model. Reprinted with permission.

Model terpadu satu ini membantu organisasi untuk memprioritaskan tujuan

mereka dan memilih proses yang tepat dan praktek-praktek untuk memenuhi
kinerja TI dan kepatuhan peraturan persyaratan mereka.
 DAFTAR PUSTAKA

http://www.isaca.org/Journal/archives/2013/Volume-5/Pages/A-COBIT-Approach-
to-Regulatory-Compliance-and-Defensible-Disposal.aspx

http://searchcompliance.techtarget.com/guides/FAQ-What-is-the-COBIT-
frameworks-approach-to-IT-management

http://www.metricstream.com/whitepapers/html/GRC_frame.htm

http://www.isaca.org/Search/Pages/DefaultResults.aspx?k=regulatory%20%26%20c
ompliance&s=Site%20Content&start1=0&ct=Site&cs=ISACA&scopes=People,Site%2
0Content,Conversations

http://www.isaca.org/COBIT/focus/Pages/cobit-helps-organizations-meet-
performance-and-compliance-requirements.aspx

https://www.google.com/url?sa=t&source=web&rct=j&url=https://jurnal.unsur.ac.i
d/mjinformatika/article/download/139/78&ved=2ahUKEwj_k5L4qpz0AhUs4zgGHeL
jC4UQFnoECDIQAQ&usg=AOvVaw3pmjy9KRXGWEajfdtN2I5G
https://jurnal.umk.ac.id/index.php/sitech/article/view/2723
https://www.google.com/url?sa=t&source=web&rct=j&url=https://media.neliti.co
m/media/publications/144331-ID-analisis-tata-kelola-teknologi-
informasi.pdf&ved=2ahUKEwjTypP3p5z0AhXmwzgGHYACBlU4ChAWegQIFRAB&usg
=AOvVaw1qlSPh7UN4YO8KlUf6H8Gr
http://frankysilalahi.blogspot.com/2016/11/makalah-cobit-5-access-control-
cobit.html?m=1
https://itgid.org/category/artikel-cobit/