Inspektorat Jenderal
1
“ MENGENAL CLOUD
COMPUTING DARI
PERSPEKTIF AUDITOR
- Risk & Control
2
Cloud Computing
Definisi
Definisi
“
Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a
shared pool of configurable computing resources (e.g., networks, servers, storage, applications and
services) that can be rapidly provisioned and released with minimal management effort or service
provider interaction.”
Infrastructure as a Service
Public Cloud Resource pool Software multitenancy
(IaaS)
Measured service
Infrastructure
virtualization 3
Sumber: the American National Institute of Standards and Technology (NIST) - 2011
Analogi
Model Deployment Cloud Computing Cloud Service Model
SERVICE
APARTMENT
Sumber: Azure.microsoft.com 4
Hal yang Perlu Perhatian Khusus
Sumber: https://www.doi.gov/cloud/service
5
“ OVERVIEW
KEBIJAKAN NASIONAL TERKAIT
PENGELOLAAN INFRASTRUKTUR TIK &
CLOUD COMPUTING
6
Kebijakan Nasional Terkait Infrastruktur TIK dan Cloud Computing
PERPRES 95/2018 Pusat Data Nasional
Sistem Pemerintahan Berbasis (poin pengaturan pada pasal 30)
Elektronik
1. Penggunaan Pusat Data nasional bertujuan untuk meningkatkan efisiensi dalam
memanfaatkan sumber daya.
2. Pusat Data nasional harus:
• Memenuhi SNI terkait desain Pusat Data dan manajemen Pusat Data
• Menyediakan fasilitas bagi pakai dengan Instansi Pusat dan Pemerintah Daerah lain
• Mendapatkan persetujuan kelaikan operasi dari Menteri yang menyelenggarakan
urusan di bidang komunikasi dan informatika dan kelaikan keamanan dari kepala
lembaga yang menyelenggarakan tusi bidang keamanan siber.
(poin pengaturan pada Lampiran Bab IV)
Pusat Data nasional diarahkan menggunakan teknologi komputasi awan
sehingga bagi pakai data, aplikasi, dan infrastruktur dapat dilakukan.
8
Kondisi As-Is
KMK 596/KMK.01/2020
Pengelolaan Infrastruktur TIK DC & DRC KEMENKEU
Kemenkeu 1. Kemenkeu memiliki DC dan DRC yang pengelolaannya menjadi
kewenangan Unit TIK Pusat.
2. Penggunaan DC dan DRC Kemenkeu diutamakan secara bagi pakai antar
Unit di lingkungan Kemenkeu, Instansi Pusat, dan Pemerintah Daerah.
11
Audit Universe & Peran Pengawasan (2014 – 2022)
Business Continuity
Red Team
PERAN
Management (BCM)
VALUE
Pengelolaan PaaS Data Center
RESOURCE Infrastruktur TIK Desain & Operasi
OPTIMATION
IT Capacity Plan &
Data Governance
Budgeting
+COMPLIANCE
Potensi loss of direct control atas Infrastruktur TI, infrastruktur cloud yang
1 membentang di beberapa juridiksi negara, dan isu hak kepemilikan data.
13
Lesson Learned
ProManfaat
Con &Tantangan Penerapan Cloud Computing
Manfaat Tantangan
1. Mendukung penerapan kebjakan infrastruktur terpusat −cost efficiency. 1. Menimbulkan loss of governance –perlu adanya pengendalian dan
pengawasan lebih atas tata kelola pemanfaatan cloud computing.
2. Meningkatkan resilience –nature cloud computing mengurangi adanya 2. Memunculkan risiko baru terkait keamanan, data, dan privasi.
single point of failure.
3. Mengurangi kebutuhan penyediaan sumber daya perangkat oleh internal – 3. Memunculkan risiko terkait kepatuhan hukum (apabila memanfaatkan
optimalisasi pemanfaatan ketersediaan kapasitas server/storage yang layanan cloud provider yang tidak berkedudukan di Indonesia).
dimiliki, adanya kemampuan scalability, dan karakteristik multi-tenancy
memudahkan upaya berbagi sumber daya antarcloud.
4. Meningkatkan efisiensi penggunaan energi (green technology). 4. Memunculkan risiko terkait kompleksitas pengawasan/audit akibat
adanya variasi kompleksitas cloud governance sesuai dengan model
layanan, deployment, serta shared responsibility model antara provider dan
pengguna cloud) → Auditor perlu memiliki pemahaman yang memadai atas
nature khas dari cloud computing.
5. Meningkatkan kualitas kinerja layanan – implementasi layanan baru
dapat dilakukan lebih cepat, aplikasi lebih mudah dimigrasikan dari satu
server cloud ke yang lain.
6. Mengurangi kebutuhan biaya untuk pemeliharaan perangkat.
14
Lesson Learned
b. penyusunan/pemutakhiran strategi TIK dan implementation roadmap yang ada dengan strategi jangka menengah pengembangan
dan pemanfaatan cloud computing secara luas,
c. identifikasi dan asesmen atas risiko-risiko baru (terutama risiko keamanan informasi) yang berpotensi muncul dengan adanya
penerapan layanan cloud computing (Platform as a Service/PaaS, Infrastructure as a Service/IaaS, dan Software as a Service/SaaS) ataupun
model pengelolaannya (private, public, atau hybrid cloud),
d. pembangunan kesiapan organisasi (organizational readiness), terutama aspek people (competency, incentive, karir) dan process,
terkait perubahan proses, peran, dan tanggung jawab dengan adanya risiko baru, dan
e. penyusunan panduan/kerangka pengawasan atas kinerja dan pengelolaan risiko pemanfaatan/penggunaan teknologi cloud
computing.
15
Kementerian Keuangan
Inspektorat Jenderal
TERIMA KASIH
Inspektorat Jenderal Kementerian Keuangan
Gedung Djuanda II Lantai 4–13
Jl. Dr. Wahidin No. 1 Jakarta 10710
Telp. (021) 3865430
16
www.itjen.kemenkeu.go.id ItjenKemenkeu ItjenKemenkeu itjenkemenkeu Inspektorat Jenderal Kementerian Keuangan
“ Diskusi & Feedback