Peran Audit Internal dalam Cybersecurity

KPMG Internal Audit: Top 10 Key Risk in 2015, menyebutkan bahwa 10 key risk yang harus menjadi
perhatian IA adalah sebagai berikut:

Hal yang cukup menarik adalah bahwa cybersecurity menduduki urutan pertama dimana
internal audit (IA) harus memainkan peran penting dalam mereduksi negatif impact dari cybersecurity.
Juga terdapat beberapa hal terkait cybsersecurity yang perlu kita pahami bersama sbb:

1. Pengamanan informasi termasuk didalamnya upaya-upaya cybersecurity adalah costly(membutuhkan

banyak dana) namun disisi lain hacker/cracker dapat dengan mudah mengganti metode serangan
sehingga memaksa perusahaan mengeluarkan investasi tambahan untuk antisipasinya, on-and-on.

2. Cybersecurity membutuhkan keahlian khusus dan jumlahnya di pasar tidak cukup banyak. Expertise
cybersecurity yang disewa oleh perusahaan umumnya dituntut untuk paham keseluruhan terkait
cybersecurity yang mana tentunya akan mempersulit cybercrime dalam menerobosnya.

3. Dalam mengantisipasi cybersecurity perlu adanya kesadaran bersama/security awareness mulai dari
unsur BOD sampai dengan low-level employee. Meningkatnya penggunaan mobile device (BYOD) secara
langsung membuka banyak celah masuk untuk para hacker/cracker dalam melakukan serangan dimana
harus menjadi perhatian khusus perusahaan.

4. menyerang di sisi client atau user. Terjadi khususnya untuk industri perbankan dimana kita juga bisa
menjadi korban malware sejenis dimana tampilan dari mobile banking yang kita gunakan tidak ada yang
berubah meskipun tanpa disadari sudah dibelokkan ke server milik fraudster.

Dari hal-hal diatas sebagai seorang IT Auditor mungkin terdapat beberapa hal yang dapat kita lakukan
untuk ikut "berperan" dalam cybersecurity:

1. harus memastikan pengamanan informasi, dimana Kita harus memastikan bahwa pengamanan
informasi baik berupa built in control maupun sistem monitoring transaksinya sudah terdefinisi dengan
baik sesuai dengan inherent risk dan kritikalitas dari sistem aplikasi yang dikembangkan.

2. melihat potential target sistem aplikasi yang rentan. melihat sejauh mana sistem pengamanan
informasi yang telah diterapkan dan sejauh mana kesiapan /langkah-langkah yang akan diambil oleh
bank apabila sistem aplikasi tersebut diserang

3. Mendorong information security culture di perusahaan. Dimana mendorong sejauh mana

perusahaan kita telah mengadopsi best practice pengamanan informasi (NIST, ISO, dll).

4. Peningkatan kompetensi terkait cybersecurity. Biasanya dengan secara aktif meng-update

pengetahuan terkait dengan isu-isu cybersecurity terkini.