Kementerian Keuangan

Inspektorat Jenderal

Lesson Learned Cloud Computing

Audit di Kementerian Keuangan
Ahmad Ghufron, SE, M.Ak., CGRCP, QRGP, CERG

Seminar Audit Intern AAIPI

Jakarta, 3 Oktober 2022

1
“ MENGENAL CLOUD
COMPUTING DARI
PERSPEKTIF AUDITOR
- Risk & Control

2
 Cloud Computing
Definisi
Definisi

“
Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a
shared pool of configurable computing resources (e.g., networks, servers, storage, applications and
services) that can be rapidly provisioned and released with minimal management effort or service
provider interaction.”

Model Pengelolaan Pusat Data Berbasis Cloud

Service Models Deployment Models Essential Characteristics

Processes auto-
orchestration
Software as a Service On-demand self service
Private Cloud
(SaaS)

Platform as a Service Broad network access

Community Cloud
(PaaS)

Infrastructure as a Service
Public Cloud Resource pool Software multitenancy
(IaaS)

Hybrid Cloud Rapid elasticity

Measured service
Infrastructure
virtualization 3
Sumber: the American National Institute of Standards and Technology (NIST) - 2011
 Analogi
Model Deployment Cloud Computing Cloud Service Model

SERVICE
APARTMENT

Sumber: NIRS.kr (dengan perubahan)

Cloud Service Model

Sumber: Azure.microsoft.com 4
Hal yang Perlu Perhatian Khusus

SHARED RESPONSIBILITY MODEL

Sumber: https://www.doi.gov/cloud/service

5
“ OVERVIEW
KEBIJAKAN NASIONAL TERKAIT
PENGELOLAAN INFRASTRUKTUR TIK &
CLOUD COMPUTING

6
 Kebijakan Nasional Terkait Infrastruktur TIK dan Cloud Computing
PERPRES 95/2018 Pusat Data Nasional
Sistem Pemerintahan Berbasis (poin pengaturan pada pasal 30)
Elektronik
1. Penggunaan Pusat Data nasional bertujuan untuk meningkatkan efisiensi dalam
memanfaatkan sumber daya.
2. Pusat Data nasional harus:
• Memenuhi SNI terkait desain Pusat Data dan manajemen Pusat Data
• Menyediakan fasilitas bagi pakai dengan Instansi Pusat dan Pemerintah Daerah lain
• Mendapatkan persetujuan kelaikan operasi dari Menteri yang menyelenggarakan
urusan di bidang komunikasi dan informatika dan kelaikan keamanan dari kepala
lembaga yang menyelenggarakan tusi bidang keamanan siber.
(poin pengaturan pada Lampiran Bab IV)
Pusat Data nasional diarahkan menggunakan teknologi komputasi awan
sehingga bagi pakai data, aplikasi, dan infrastruktur dapat dilakukan.

(poin pengaturan pada pasal 20)

PP 71/2019
Penyelenggara Sistem dan
Transaksi Elektronik
Penyelenggara Sistem Elektronik Lingkup Publik wajib melakukan pengelolaan,
pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di
wilayah Indonesia.
7
“ OVERVIEW
PENGELOLAAN
INFRASTRUKTUR TIK & PENERAPAN CLOUD
COMPUTING
DI LINGKUNGAN KEMENKEU

8
 Kondisi As-Is
KMK 596/KMK.01/2020
Pengelolaan Infrastruktur TIK DC & DRC KEMENKEU
Kemenkeu 1. Kemenkeu memiliki DC dan DRC yang pengelolaannya menjadi
kewenangan Unit TIK Pusat.
2. Penggunaan DC dan DRC Kemenkeu diutamakan secara bagi pakai antar
Unit di lingkungan Kemenkeu, Instansi Pusat, dan Pemerintah Daerah.

Unit TIK Pusat menyelenggarakan layanan PaaS mencakup:

• Penyediaan komponen layanan PaaS, antara lain platform layer, network

layer, integration layer, data layer, security layer, dan system
management layer.
• Instalasi dan konfigurasi komponen PaaS.
• Operasional layanan PaaS.

Kondisi as - is Cloud Computing Kemenkeu (2020)

Infrastruktur pendukung Core systems *) dan Support systems **)

menggunakan perangkat on premise milik sendiri yang
*) Core systems : CEISA, SPAN, SAKTI, MPN G3, Core Tax System , dll ditempatkan di Pusat Data (DC Kemenkeu)
**) Support systems: layanan perkantoran, HRIS kepegawaian, dll. 9
Kondisi As-Is

Penerapan PaaS di Kemenkeu Penerapan SaaS di Kemenkeu *)

2020 September 2022

Kondisi as - is Cloud Computing Kemenkeu (2022)

Infrastruktur pendukung Core systems tetap menggunakan
perangkat on premise milik sendiri yang ditempatkan
di Pusat Data (DC Kemenkeu)
*) collaboration tools sebagai bagian dari Implementasi
Collaboration tools memanfaatkan perangkat milik pihak IS Kemenkeu (KMK 88/KMK.01/2022)
ketiga (Office 365) 10
“ LESSON LEARNED
PERAN PENGAWASAN ITJEN KEMENKEU
TERKAIT IMPLEMENTASI CLOUD
COMPUTING DI LINGKUNGAN KEMENKEU

11
Audit Universe & Peran Pengawasan (2014 – 2022)

Benefits Realization Enterprise IT Project

Management (BRM) Architecture Management

ASSESSMENT TATA KELOLA TIK – COBIT 5

BENEFITS
REALISATION

AUDIT TERINTEGRASI (IT & Probis)

SMKI / Cyber Incident & Problem
RISK Security Management
MITIGATION
PENGAWASAN

Business Continuity
Red Team
PERAN

Management (BCM)

VALUE
Pengelolaan PaaS Data Center
RESOURCE Infrastruktur TIK Desain & Operasi
OPTIMATION
IT Capacity Plan &
Data Governance
Budgeting
+COMPLIANCE

ISO SERIES – ISO

SPBE PUTIK
9000;20000;27000; 22301
LITBANG
PERAN

CA/CM DATA ANALYTIC / KAJIAN EMERGING

TABK AUDIT ANALYTIC TECHNOLOGY
Ch. Aplikasi e-reviu
12
12
 Lesson Learned

Top 5 - Kompleksitas Cloud terhadap Governance

Potensi loss of direct control atas Infrastruktur TI, infrastruktur cloud yang
1 membentang di beberapa juridiksi negara, dan isu hak kepemilikan data.

Visibilitas dan transparansi yang terbatas- Pengguna Layanan dituntut lebih

2 mengandalkan hasil assessment dibanding hasil pengujian langsung
Kompleksitas Cloud
Governance dengan pihak
ketiga*) 3 Tingkat kematangan dari Cloud Service Provider (CSP) yang berbeda-beda

*) dapat bervariasi sesuai dengan model

layanan cloud yang digunakan
4 Model pembagian tanggung jawab antara provider dan pengguna layanan

Layanan cloud dibangun di atas chain of provider (cloud supply chain) –

5 subprovider berantai

13
 Lesson Learned
ProManfaat
Con &Tantangan Penerapan Cloud Computing
Manfaat Tantangan
1. Mendukung penerapan kebjakan infrastruktur terpusat −cost efficiency. 1. Menimbulkan loss of governance –perlu adanya pengendalian dan
pengawasan lebih atas tata kelola pemanfaatan cloud computing.

2. Meningkatkan resilience –nature cloud computing mengurangi adanya 2. Memunculkan risiko baru terkait keamanan, data, dan privasi.
single point of failure.
3. Mengurangi kebutuhan penyediaan sumber daya perangkat oleh internal – 3. Memunculkan risiko terkait kepatuhan hukum (apabila memanfaatkan
optimalisasi pemanfaatan ketersediaan kapasitas server/storage yang layanan cloud provider yang tidak berkedudukan di Indonesia).
dimiliki, adanya kemampuan scalability, dan karakteristik multi-tenancy
memudahkan upaya berbagi sumber daya antarcloud.

4. Meningkatkan efisiensi penggunaan energi (green technology). 4. Memunculkan risiko terkait kompleksitas pengawasan/audit akibat
adanya variasi kompleksitas cloud governance sesuai dengan model
layanan, deployment, serta shared responsibility model antara provider dan
pengguna cloud) → Auditor perlu memiliki pemahaman yang memadai atas
nature khas dari cloud computing.
5. Meningkatkan kualitas kinerja layanan – implementasi layanan baru
dapat dilakukan lebih cepat, aplikasi lebih mudah dimigrasikan dari satu
server cloud ke yang lain.
6. Mengurangi kebutuhan biaya untuk pemeliharaan perangkat.

Sumber: Itjen kemenkeu (2021) – diolah dari berbagai sumber

14
Lesson Learned

Pengendalian/Mitigasi Risiko Baru Cloud Computing

a. penyusunan panduan/kebijakan spesifik mengenai tata kelola pemanfaatan cloud computing yang mencakup pembagian peran dan
tanggung jawab yang jelas di dalam pengelolaan cloud computing, pengelolaan sumber daya dan kinerja, pengelolaan risiko, serta
akuntabilitas pelaporan dan pertanggungjawaban atas pemanfaatan cloud computing,

b. penyusunan/pemutakhiran strategi TIK dan implementation roadmap yang ada dengan strategi jangka menengah pengembangan
dan pemanfaatan cloud computing secara luas,

c. identifikasi dan asesmen atas risiko-risiko baru (terutama risiko keamanan informasi) yang berpotensi muncul dengan adanya
penerapan layanan cloud computing (Platform as a Service/PaaS, Infrastructure as a Service/IaaS, dan Software as a Service/SaaS) ataupun
model pengelolaannya (private, public, atau hybrid cloud),

d. pembangunan kesiapan organisasi (organizational readiness), terutama aspek people (competency, incentive, karir) dan process,
terkait perubahan proses, peran, dan tanggung jawab dengan adanya risiko baru, dan

e. penyusunan panduan/kerangka pengawasan atas kinerja dan pengelolaan risiko pemanfaatan/penggunaan teknologi cloud
computing.

15
 Kementerian Keuangan
Inspektorat Jenderal

TERIMA KASIH
Inspektorat Jenderal Kementerian Keuangan
Gedung Djuanda II Lantai 4–13
Jl. Dr. Wahidin No. 1 Jakarta 10710
Telp. (021) 3865430

16
www.itjen.kemenkeu.go.id ItjenKemenkeu ItjenKemenkeu itjenkemenkeu Inspektorat Jenderal Kementerian Keuangan
“ Diskusi & Feedback