AUDIT TEKNOLOGI DAN SISTEM INFORMASI

“Information system operation”

DOSEN PENGAMPU:
Drs. Denny Kurniadi, M.Kom

OLEH:
Maulanda Alfarizi

21076061

PROGRAM STUDI PENDIDIKAN TEKNIK INFORMATIKA

JURUSAN TEKNIK ELEKTRONIKA

FAKULTAS TEKNIK

UNIVERSITAS NEGERI PADANG

2023
SKENARIO:
Rencana kelangsungan bisnis dan pemulihan bencana diperlukan untuk mengatasi gangguan terhadap
aktivitas bisnis dan untuk melindungi proses bisnis penting dari dampak kegagalan atau bencana besar.
Departemen Penggajian (“Departemen”) ISO Company, Inc. diklasifikasikan sebagai proses bisnis
penting karena informasi sensitif, pribadi, dan rahasia yang disimpannya. Akan menjadi bencana bagi
Departemen jika informasi hilang atau sistem bisnisnya tidak beroperasi, bahkan untuk sehari pun.
Selama rapat perencanaan, auditor TI selalu mengingat tujuan berikut:

 Apakah sistem bisnis Departemen memiliki dukungan yang memadai?

 Apakah salinan cadangan data Departemen disimpan di penyimpanan media yang aman dan jarak
jauh?
 Apakah ada rencana pemulihan bencana yang sesuai yang ditetapkan sebagai bagian dari bisnis
perusahaan?
 Apakah rencana pemulihan bencana didasarkan pada penilaian risiko yang menyeluruh?

PENGAMATAN:
Sebagai bagian dari audit TI Departemen Penggajian ISO Company, Inc., auditor TI menemukan
sejumlah masalah dengan kelangsungan bisnis perusahaan serta rencana dan praktik pemulihan bencana.
Saat melakukan audit, auditor TI mengamati bahwa kelangsungan bisnis organisasi dan rencana
pemulihan bencana, keduanya dibuat 10 tahun lalu, belum diperbarui untuk mencerminkan praktik
kesinambungan dan pemulihan bencana untuk lingkungan saat ini. Misalnya, meskipun salinan cadangan
informasi Departemen dibuat, setelah diperiksa, auditor TI menemukan bahwa cadangan tersebut tidak
disimpan di lokasi di luar lokasi di mana cadangan tersebut seharusnya disimpan. Selain itu, ketika
auditor TI meminta dokumentasi yang mendukung pengujian yang dilakukan terhadap rencana
kelangsungan bisnis dan pemulihan bencana Departemen, mereka menemukan bahwa Departemen tidak
pernah menguji rencana tersebut. Departemen juga belum melakukan penilaian risiko apa pun untuk
mendukung rencana tersebut.

TUGAS:
Buat daftar risiko yang dihadapi Departemen Penggajian ISO Company, Inc. sebagai hasil observasi.
Juga, dokumentasikan rekomendasi audit yang akan Anda komunikasikan ke ISOManajemen Company,
Inc. terkait dengan kurangnya kesinambungan dan prosedur pemulihan bencana
yang diamati. Dukung alasan dan pembenaran Anda dengan literatur audit TI dan/atau sumber eksternal
valid lainnya. Sertakan contoh, jika sesuai, untuk membuktikan maksud kasus Anda sertakan
referensinya.

JAWABAN:

Berdasarkan observasi yang dilakukan oleh auditor TI, Departemen Penggajian ISO Company, Inc.
menghadapi sejumlah risiko, antara lain:

 Risiko kehilangan data

Salinan cadangan data Departemen tidak disimpan di lokasi yang aman dan jarak jauh. Hal ini
meningkatkan risiko kehilangan data jika terjadi bencana alam, kecelakaan, kegagalan peralatan,
atau tindakan yang disengaja.

 Risiko tidak dapat memulihkan operasi

Rencana pemulihan bencana Departemen tidak diperbarui untuk mencerminkan praktik
kesinambungan dan pemulihan bencana untuk lingkungan saat ini. Selain itu, Departemen tidak
 pernah menguji rencana tersebut. Hal ini meningkatkan risiko tidak dapat memulihkan operasi
Departemen secara efektif jika terjadi gangguan.

 Risiko keamanan
Sistem informasi Departemen, Payroll System Application (PSA), terbuka terhadap serangan
eksternal. Runtuhnya PSA akan mengakibatkan konsekuensi yang buruk bagi Departemen.

Rekomendasi audit

Berdasarkan risiko-risiko yang telah diidentifikasi, auditor TI merekomendasikan kepada ISO Company,
Inc. untuk mengambil langkah-langkah berikut:

 Perbarui rencana kelangsungan bisnis dan pemulihan bencana untuk mencerminkan praktik
kesinambungan dan pemulihan bencana untuk lingkungan saat ini
 Pastikan salinan cadangan data Departemen disimpan di lokasi yang aman dan jarak jauh.
 Lakukan pengujian rutin terhadap rencana kelangsungan bisnis dan pemulihan bencana untuk
memastikan bahwa rencana tersebut efektif.
 Lakukan penilaian risiko menyeluruh untuk mengidentifikasi dan mengurangi risiko terhadap
Departemen Penggajian.

Dukungan literatur dan sumber eksternal

 The International Standards for Business Continuity (ISO/IEC 22301:2012) mensyaratkan bahwa
organisasi harus memiliki rencana kelangsungan bisnis yang komprehensif dan efektif. Rencana
tersebut harus diuji secara rutin untuk memastikan bahwa rencana tersebut dapat diandalkan jika
terjadi gangguan.
 The Disaster Recovery Institute International (DRI) merekomendasikan bahwa organisasi harus
menyimpan salinan cadangan data di lokasi yang aman dan jarak jauh. Hal ini untuk mengurangi
risiko kehilangan data jika terjadi bencana alam, kecelakaan, kegagalan peralatan, atau tindakan
yang disengaja.
 The National Institute of Standards and Technology (NIST) merekomendasikan bahwa organisasi
harus melakukan penilaian risiko menyeluruh untuk mengidentifikasi dan mengurangi risiko
terhadap organisasi. Penilaian risiko ini harus mencakup risiko terhadap sistem informasi, seperti
PSA.

Contoh

Berikut adalah contoh dari risiko yang dapat terjadi jika Departemen Penggajian ISO Company, Inc. tidak
mengambil tindakan untuk mengatasi risiko-risiko yang telah diidentifikasi:

o Jika terjadi bencana alam, seperti banjir atau gempa bumi, salinan cadangan data Departemen
dapat rusak atau hilang. Hal ini dapat mengakibatkan hilangnya data penting, seperti informasi
penggajian karyawan.
o Jika terjadi kecelakaan, seperti kebakaran atau ledakan, sistem informasi Departemen dapat rusak
atau tidak dapat diakses. Hal ini dapat mengganggu proses penggajian dan mengakibatkan
perusahaan tidak dapat membayar gaji karyawan.
 o Jika terjadi kegagalan peralatan, seperti pemadaman listrik atau kegagalan perangkat keras,
sistem informasi Departemen dapat tidak berfungsi. Hal ini dapat mengganggu proses penggajian
dan mengakibatkan perusahaan tidak dapat membayar gaji karyawan.
o Jika terjadi tindakan yang disengaja, seperti serangan siber atau sabotase, sistem informasi
Departemen dapat diserang atau dihancurkan. Hal ini dapat mengakibatkan hilangnya data
penting, seperti informasi penggajian karyawan.

Kesimpulan

Rekomendasi audit yang telah diajukan oleh auditor TI penting untuk dilakukan oleh ISO Company, Inc.
untuk mengurangi risiko terhadap Departemen Penggajian. Dengan mengambil tindakan untuk mengatasi
risiko-risiko yang telah diidentifikasi, ISO Company, Inc. dapat meningkatkan kemampuannya untuk
mengatasi gangguan dan melindungi proses bisnis penting, seperti penggajian.

AUDIT TEKNOLOGI DAN SISTEM INFORMASI

“Information system operation”

DOSEN PENGAMPU:
Drs. Denny Kurniadi, M.Kom

OLEH:
Maulanda Alfarizi

21076061
 PROGRAM STUDI PENDIDIKAN TEKNIK INFORMATIKA

JURUSAN TEKNIK ELEKTRONIKA

FAKULTAS TEKNIK

UNIVERSITAS NEGERI PADANG

2023

SKENARIO:
Rencana kelangsungan bisnis dan pemulihan bencana diperlukan untuk mengatasi gangguan terhadap
aktivitas bisnis dan untuk melindungi proses bisnis penting dari dampak kegagalan atau bencana besar.
Departemen Penggajian (“Departemen”) ISO Company, Inc. diklasifikasikan sebagai proses bisnis
penting karena informasi sensitif, pribadi, dan rahasia yang disimpannya. Akan menjadi bencana bagi
Departemen jika informasi hilang atau sistem bisnisnya tidak beroperasi, bahkan untuk sehari pun.
Selama rapat perencanaan, auditor TI selalu mengingat tujuan berikut:

 Apakah sistem bisnis Departemen memiliki dukungan yang memadai?

 Apakah salinan cadangan data Departemen disimpan di penyimpanan media yang aman dan jarak
jauh?
 Apakah ada rencana pemulihan bencana yang sesuai yang ditetapkan sebagai bagian dari bisnis
perusahaan?
 Apakah rencana pemulihan bencana didasarkan pada penilaian risiko yang menyeluruh?

PENGAMATAN:
Sebagai bagian dari audit TI Departemen Penggajian ISO Company, Inc., auditor TI menemukan
sejumlah masalah dengan kelangsungan bisnis perusahaan serta rencana dan praktik pemulihan bencana.
Saat melakukan audit, auditor TI mengamati bahwa kelangsungan bisnis organisasi dan rencana
pemulihan bencana, keduanya dibuat 10 tahun lalu, belum diperbarui untuk mencerminkan praktik
kesinambungan dan pemulihan bencana untuk lingkungan saat ini. Misalnya, meskipun salinan cadangan
informasi Departemen dibuat, setelah diperiksa, auditor TI menemukan bahwa cadangan tersebut tidak
disimpan di lokasi di luar lokasi di mana cadangan tersebut seharusnya disimpan. Selain itu, ketika
auditor TI meminta dokumentasi yang mendukung pengujian yang dilakukan terhadap rencana
kelangsungan bisnis dan pemulihan bencana Departemen, mereka menemukan bahwa Departemen tidak
pernah menguji rencana tersebut. Departemen juga belum melakukan penilaian risiko apa pun untuk
mendukung rencana tersebut.

TUGAS:
Buat daftar risiko yang dihadapi Departemen Penggajian ISO Company, Inc. sebagai hasil observasi.
Juga, dokumentasikan rekomendasi audit yang akan Anda komunikasikan ke ISOManajemen Company,
Inc. terkait dengan kurangnya kesinambungan dan prosedur pemulihan bencana
yang diamati. Dukung alasan dan pembenaran Anda dengan literatur audit TI dan/atau sumber eksternal
valid lainnya. Sertakan contoh, jika sesuai, untuk membuktikan maksud kasus Anda sertakan
referensinya.

JAWABAN:

Berdasarkan observasi yang dilakukan oleh auditor TI, Departemen Penggajian ISO Company, Inc.
menghadapi sejumlah risiko, antara lain:

 Risiko kehilangan data

Salinan cadangan data Departemen tidak disimpan di lokasi yang aman dan jarak jauh. Hal ini
meningkatkan risiko kehilangan data jika terjadi bencana alam, kecelakaan, kegagalan peralatan,
atau tindakan yang disengaja.

 Risiko tidak dapat memulihkan operasi

Rencana pemulihan bencana Departemen tidak diperbarui untuk mencerminkan praktik
kesinambungan dan pemulihan bencana untuk lingkungan saat ini. Selain itu, Departemen tidak
pernah menguji rencana tersebut. Hal ini meningkatkan risiko tidak dapat memulihkan operasi
Departemen secara efektif jika terjadi gangguan.

 Risiko keamanan
Sistem informasi Departemen, Payroll System Application (PSA), terbuka terhadap serangan
eksternal. Runtuhnya PSA akan mengakibatkan konsekuensi yang buruk bagi Departemen.

Rekomendasi audit

Berdasarkan risiko-risiko yang telah diidentifikasi, auditor TI merekomendasikan kepada ISO Company,
Inc. untuk mengambil langkah-langkah berikut:

 Perbarui rencana kelangsungan bisnis dan pemulihan bencana untuk mencerminkan praktik
kesinambungan dan pemulihan bencana untuk lingkungan saat ini
 Pastikan salinan cadangan data Departemen disimpan di lokasi yang aman dan jarak jauh.
 Lakukan pengujian rutin terhadap rencana kelangsungan bisnis dan pemulihan bencana untuk
memastikan bahwa rencana tersebut efektif.
 Lakukan penilaian risiko menyeluruh untuk mengidentifikasi dan mengurangi risiko terhadap
Departemen Penggajian.

Dukungan literatur dan sumber eksternal

 The International Standards for Business Continuity (ISO/IEC 22301:2012) mensyaratkan bahwa
organisasi harus memiliki rencana kelangsungan bisnis yang komprehensif dan efektif. Rencana
tersebut harus diuji secara rutin untuk memastikan bahwa rencana tersebut dapat diandalkan jika
terjadi gangguan.
 The Disaster Recovery Institute International (DRI) merekomendasikan bahwa organisasi harus
menyimpan salinan cadangan data di lokasi yang aman dan jarak jauh. Hal ini untuk mengurangi
risiko kehilangan data jika terjadi bencana alam, kecelakaan, kegagalan peralatan, atau tindakan
yang disengaja.
  The National Institute of Standards and Technology (NIST) merekomendasikan bahwa organisasi
harus melakukan penilaian risiko menyeluruh untuk mengidentifikasi dan mengurangi risiko
terhadap organisasi. Penilaian risiko ini harus mencakup risiko terhadap sistem informasi, seperti
PSA.

Contoh

Berikut adalah contoh dari risiko yang dapat terjadi jika Departemen Penggajian ISO Company, Inc. tidak
mengambil tindakan untuk mengatasi risiko-risiko yang telah diidentifikasi:

o Jika terjadi bencana alam, seperti banjir atau gempa bumi, salinan cadangan data Departemen
dapat rusak atau hilang. Hal ini dapat mengakibatkan hilangnya data penting, seperti informasi
penggajian karyawan.
o Jika terjadi kecelakaan, seperti kebakaran atau ledakan, sistem informasi Departemen dapat rusak
atau tidak dapat diakses. Hal ini dapat mengganggu proses penggajian dan mengakibatkan
perusahaan tidak dapat membayar gaji karyawan.
o Jika terjadi kegagalan peralatan, seperti pemadaman listrik atau kegagalan perangkat keras,
sistem informasi Departemen dapat tidak berfungsi. Hal ini dapat mengganggu proses penggajian
dan mengakibatkan perusahaan tidak dapat membayar gaji karyawan.
o Jika terjadi tindakan yang disengaja, seperti serangan siber atau sabotase, sistem informasi
Departemen dapat diserang atau dihancurkan. Hal ini dapat mengakibatkan hilangnya data
penting, seperti informasi penggajian karyawan.

Kesimpulan

Rekomendasi audit yang telah diajukan oleh auditor TI penting untuk dilakukan oleh ISO Company, Inc.
untuk mengurangi risiko terhadap Departemen Penggajian. Dengan mengambil tindakan untuk mengatasi
risiko-risiko yang telah diidentifikasi, ISO Company, Inc. dapat meningkatkan kemampuannya untuk
mengatasi gangguan dan melindungi proses bisnis penting, seperti penggajian.