FM-UDINUS-BM-04-15/R0

LEMBAR SOAL UJIAN FAKULTAS ILMU

KOMPUTER
UNIVERSITAS DIAN NUSWANTORO SEMARANG

JL. IMAM BONJOL NO. 207 SEMARANG TELP. 024-3575915, 024-3575916

UJIAN TENGAH SEMESTER GANJIL 2021/2022

Mata Kuliah : Audit Sistem Informasi Sifat : Online Test

Hari/Tanggal : Senin/15 November 2021 Waktu : 15-18 Nov 2021

Kelompok : A12.66613 Dosen : Titien S. Sukamto, M.Eng

Kerjakan soal-soal di bawah ini dengan rapi, teliti, dan penuh kejujuran

“Jangan mengejar Nilai semata, tetapi pergunakan kesempatan ini untuk menguji dan

meningkatkan kemampuan belajar kalian”

A. SOAL WAJIB (Kedua soal wajib dikerjakan. Masing-masing bernilai maksimal 35

poin)

Bukalah Studi Kasus yang ada pada Buku “ Understanding and Conducting Information
Systems Auditing” oleh Veena Hingarh dan Arif Ahmed (ada di drive materi). Baca dan
pelajari Chapter 10 halaman 173.
Pada Chapter tersebut, terdapat studi kasus penerapan Audit Sistem Informasi dengan
Objek studi sebuah Bank. Dari paparan studi kasus tersebut, deskripsikan dengan jelas dan
sederhana mengenai:
Studi Kasus : Penerapan Audit Sistem Informasi dengan Objek studi sebuah Bank
Pengantar Materi :
Klasifikasi dan Pengendalian Aset
• Dalam pencatatan inventaris biasanya dicatat dengan informasi yang sangat rinci,
seperti, nomor seri, jenis, hingga lokasi penempatan aset.
• Setiap aset harusnya ada individu yang bertanggungjawab atas aset tersebut.
• Aset juga harus diklasifikasikan sampai ke prosedur untuk menggunakan dan
melindungi aset tersebut.
• Hardware dikategorikan berdasarkan tingkat kepentingannya (kritisnya) terhadap
operasional, dan prioritasnya terhadap bisnis
Pengendalian ini dapat diterapkan melalui 3 fase:
• Pengendalian keamanan software, hal ini memikirkan jenis-jenis ancaman yang
mungkin akan dihadapi, yang kemudian melakukan Tindakan antisipasi bila
permasalahan akan muncul dikemudian hari.
• Pengendalian keamanan akses dan pemrosesan, dilakukannya prosedur sesuai
standar keamanan sebelum menjalankan suatu software.
• Pengendalian operasional, dilakukannya pemantauan secara berkala guna
menemukan celah yang dapat menimbulkan ancaman yang kemudian akan
dilakukan tindakan update sistem software.

Latar Belakang Kasus: Bank merupakan instansi pengendali keuangan setiap

nasabah yang bergabung dalam naungannya.Sehingga hal kecil yang dapat mengancam
keamanan tidak dapat disepelekan,Bank memiliki standar keamanan penting yang
terlibat dalam pembuatan akun rekening untuk mencegah kebocoran infomasi
pengguna sebagaimana organisasi lainnya.Karena berbagai kasus yang hampir serupa
terjadi berbagai upaya dalam penyalahgunaan data informasi pengguna.Namun rata-
rata kesalahan terjadi karena kelalaian pengguna sendiri baik misalnya; lupa password,
lupa melakukan pemindahan data saat mengganti perangkat, satu akun digunakan oleh
beberapa orang, penggunaan password terlalu sering digunakan/hanya satu kombinasi
password untuk beberapa akun, dan lainnya. oleh karena itu bank harus memiliki
beberapa standar keamanan yang harus dipenuhi agar data nasabah maupun bank tetap
aman.

1. Jenis-jenis pengendalian keamanan sistem informasi yang seharusnya dimiliki

oleh sebuah Bank!
.Ada berbagai jenis pengendalian keamanan suatu sistem informasi diantaranya :
1) Pengendalian akses dan Operasional organisasi merupakan kwajiban yang
yang harus dimiliki oleh sebuah bank,dikarenakan jhal tersebut menyangkut
data pribadi setiap pengguna.Dalam pengendaliannya biasanya setiap instansi
melewati beberapa Langkah atau ketentuan yang berlaku meliputi ;
a. User Acces Management
Pada tahap ini dilakukannya prosedur pengguna, yang mengatur alokasi
hak akses dengan melalui tahap awal pendaftaran bagi pengguna baru
sehingga akses pengguna baru dapat di integrasikan data-datanya di dalam
sistm yang sedang berjalan.Hal ini berguna sebagai penetapan pengguna
dikarenakan bila ada user yang tidak terdata maka akan langsung dianggap
ancaman sehingga hal ini mengurangi resiko bagi pihak bank.
b. User Registration
Pada tahap ini dilakukannya pengisan data pribadi pengguna baru
berdasarkan persyaratan dan kebijakan yang sudah ditetapkan oleh pihak
bank demi keamanan data setiap pengguna.Seperti pengaturan ID user,
kombinasi password, akses data tiap pengguna, konfirmasi data pengguna,
pengaturan reset password, dll.Langkah ini dapat dimanfaatkan pihak bank
sebagai data dan prosedur mengamankan data pribadi karena sudah
melewati berbagai persetujuan dari pengguna.
 c. Password Management System
Pada tahap ini dilakukannya pengaturan password dengan mengarahkan
pengguna untuk melakukan kombinasi password yang unik dikarenakan
hal ini mencegah akun pengguna dapat diretas atau digunakan oleh pihak
lain guna kepentingan yan merugikan pihak pengguna maupun bank.
d. Limiting Sign On Attemps
Pembatasan upaya masuk merupakan upaya untuk mencegah terjadi 2
akun melakukan akses data secara bersamaan, karena hal ini bisa saja
adanya pengguna lain yang menggunakan akun satu orang untuk
kepentingan yang merugikan.
e. Limiting of Connection Time
Prosedur keamanan ini sangat penting bagi semua pihak ang menggunakan
sistem informasi yang terorganisir dikarenakan bila tidak adanya
pembatasan jangka waktu dalam akses pengguna,maka bisa saja hal seperti
teretasnya data pengguna yang tidak didampingi dengan pengawasan oleh
pihak pengguna.
f. Information Access Restriction
Upaya Keamanan yang selanjutnya yaitu adanya pembatasan akses
informasi, sehingga hanya menampilkan beberapa data umum saja
dikarenakana bila semua data ditampilkan bisa saja kemungkinan aka nada
pihak ang idak beranggung jawab memanfaatkan hal tersebut untuk
keperluan yang merugikan.
g. Fault Logging
Pada tahap perlindungan keamanan ini,terjadinya pencatatan atau traffic
akses pengguna bila ada suatu kesalahan dalam melakukan akses,sehingga
dapat terpantau apa kesalahan yang sering terjadi dan dapat di tindak
lanjuti.
2) Perlindungan terhadap Malicious Software
 Semua instansi pasti perlu adanya pelindungan virus atau ancaman lainnya
yang dilancarkan melalui perngkat lunak, karena bila suatu perangkat
terserang suatu virus sehingga dapat menimbulkan kerugian yang angat besar
bila hal tersebut dilakukan dengan sengaja untuk merusak sistem maupun
mencuri suatu data yang penting.Pada Perlindungan keamanan ini biasanya
ditanganin oleh pihak IT ahli dan juga software yang terjamin kemanannya
untuk mencegah serangan virus yang menyerang perangkat.Sehingga perlu
juga dilakukan pemantauan terhadap network security yang memungkin dapat
terserang virus yang mengakibatkan banyak data yang hilang maupun
korup.Hacker (2016) Akan Setayev .
3) Backup informasi
Semua pihak instansi pasti menyarankan untuk dilakukan backup data karena
hal ini bertujuan agar bila sewaktu-waktu bila terjadi suatu insiden maka
dengan cepat melakukan recovery data kebutuhan yang diperlukan suatu
instansi.Biasanya pihak-pihak melakukan recovery data menggunakan
aplikasi pihak ketiga maupun aplikasi pribadi milik perusahaan.
4) Operator’s log
Pada pengendalian keamanan ini, sistem informasi harus meninjau prosedur
verifikasi dan periodisitas verifikasi.Pencatatan ini dapat mencakup, antara
lain, lima hal berikut:
1. Operating system logs
2. Firewall logs
3. Application system logs
4. SQL logs
5. ATM terminal access log
Hal,tersebut sangat berpengaruh guna melakukan pelacakan keamanan yang
terancam dari pengguna yang kehilangan hak akses nya pada
 Sumber : Tim Pengampu Mata Kuliah Audit Sistem Informasi, “ Hardware &
Software Security Issues “ , 2020. [Diakses : 16 November 2021 jam 18.30].

2. Tahapan pelaksanaan Audit Sistem Informasi yang dapat dilakukan!

Jawab :

Tahap pertama yang harus dilakukan pada hal ini yaitu menyampaikan maksud
dari tujuan melakukan audit informasi terhadap bank, Kemudian auditor
berkomunikasi dan melakukan pengumpulan data yang terotorisasi pada bank.Tak
lupa Auditor juga harus melakukan analisa terhadap perangkat yang mendukung
kinerja proses bisnis.Hal ini berguna sebagai gambaran bahwa pihak bank sangat
betanggung jawab penuh atas keamanan data pengguna untuk melakukan
pengendalian keamanan baik dari data informasi, perangkat keras maupun lunak
yang dimiliki.Auditor sistem informasi juga perlu meninjau apakah akses
pengguna ke menu dan izinnya sepadan dengan kepentingan yang diberikan
kepada pengguna hal ini mencakup untuk menilai implementasi keamanan mereka
untuk memastikan bahwa mereka tidak membahayakan kerangka keamanan
sistem host.Auditor sistem informasi perlu memverifikasi kecukupan desain dan
implementasi sistem pemeliharaan ID pengguna. Auditor sistem informasi dapat
melakukan pemeriksaan pengujian dan meninjau riwayat perubahan kata sandi
untuk:menetapkan apakah kebijakan tersebut diikuti.Seperti pengguna yang gagal
memberikan kata sandi yang benar, kemudian hak akses sistem mengunci orang
tersebut. User ID pengguna harus dilepaskan atau dibuka kuncinya oleh
administrator. Proses penguncian dan pelepasan ini harus meninggalkan jejak
audit, yang kemudian akan ditinjau oleh auditor sistem informasi. Auditor sistem
informasi harus memverifikasi bahwa peninjauan hanya dilakukan oleh orang
yang berwenang. Kemudian Auditor juga harus meninjau bagaimana pihak
berwenang melakukan keamanan data pengguna pada sistemnya, hal ini
diperlukan sebagai gambaran bahwa pihak bank sangat betanggung jawab penuh
atas keamanan data pengguna.Auditor sistem informasi harus memverifikasi
 tanggal terakhir pembaruan dan laporan yang diarsipkan tentang penahanan virus
saat ini di arsip antivirus. Data tersebut dapat digunakan sebagai pengendalian
network security di dalam sistem.Auditor sistem informasi harus memverifikasi
terhadap sistem informasi yang digunakan yaitu empat prosedur berikut:
1. Kepatuhan terhadap kebijakan keamanan audit.
2. Apakah semua program yang digunakan diperbarui dengan patch keamanan
terbaru.
3. Apakah cabang bank mematuhi kebijakan privasi bank dan memastikan
kerahasiaan informasi pelanggan.
4. Dalam hal layanan yang dialih dayakan, apakah vendor mematuhi informasi
tersebut.
Kemudian Auditor melakukan evaluasi risiko bisnis yang mungkin akan muncul
berdampingan dengan pencapaian sasaran organisasi,hal ini dapat dilakukan juga
dengan pengujian dan evaluasi atas rancangan dan implementasi dari pengendalian
operasional.Setelah dilakukan implemntasi kita pelu mengawasi dan menguji
bukti-bukti untuk menjamin bahwa pengendalian internal di dalam pelaksanaan
proses bisnis berjalan dengan efektif.
Sumber : Tim Pengampu Mata Kuliah Audit Sistem Informasi, “ IS Audit
Requirements “ , 2020. [Diakses : 17 November 2021 jam 15.35].

B. SOAL PILIHAN (pilih dan kerjakan 2 soal saja. Setiap soal bernilai maksimal 15 poin)
1. Paparkan pentingnya menganalisa Business Risk dalam pelaksanaan Audit Sistem
Informasi!
Jawab : Hal ini sangat diperlukan karena dapat mempengaruhi efektifitas dan
mengatasi permasalahan yang akan muncul di kemudian hari sehingga mencegah
kerugian pada suatu instansi. Karena dalam menganalisa resiko bisnis maka kita
dapat melakukan manajemen terhadap Penentuan Permintaan pasar yang
berpengaruh juga dengan perubahan harga,Perubahan harga disini tidak semena-
mena dilakukan begitu saja, harus dengan mempertimbangkan berbagai kondisi
 dalam biaya produksi dan sebagaiinya, kemudian penentuan kuota produksi produk
juga dipengaruhi oleh hasil analisa resiko bisnis karena bila tidak adanya penentuan
dalam produksi bisa saja produk ada yang tersisa maupunn kurang dalam
penjualannya.Penting untuk mengembangkan risk profile yang mengidentifikasi
risiko kritis, untuk mencapai sasaran strategis.
Ada beberapa alat dan metode untuk mengembangkan risk profile :
• Brainstorming dilakukan untuk mengembangkan generic risk model yang
mengidentifikasi perkategori dan tipe risiko yang mungkin dihadapi organisasi
• Kemudian, berbagai jenis risiko diukur berdasarkan dampak dan likelihood.
• Dampak umumnya diukur dari skala rendah-tinggi (kategorinya, low, medium,
high)
• Likelihood dapat dievaluasi dengan mengukur probabilitas terjadinya risiko.
Umumnya, kategori ukuran likelihood tidak dibuat precise.
• Lalu menghubungkan antara risiko yang diidentifikasi dengan sasaran spesifik
“tempat” kemungkinan terjadinya risiko

Sumber : Tim Pengampu Mata Kuliah Audit Sistem Informasi, “ IS Audit

Requirements “ , 2020. [Diakses : 17 November 2021 jam 15.35].

Sumber : Aufa Atila, Jojonomic, “ Business Risk Termasuk Faktor Penentu Dan
Langkah Mengatasinya “ , 2020, https://www.jojonomic.com/blog/business-risk/,
[Diakses : 16 November 2021 jam 10.00].

2. Paparkan jenis dan contoh IS abuse!

Jawab : Untuk menjamin keamanan aset informasi, perlu adanya pengelolaan dari
sistem pengendalian internal. Pengelolaan meliputi penggunaan aset sistem
infromasi dan related process, yang dilakukan secara terkomputerisasi maupun
yang manual.Berikut Beberapa IS Abuse ;

Information System Abuse

1. Perusakan aset sistem informasi => perusakan hardware, ketahuan
menggunakan software bajakan jadi harus dihentikan penggunaannya atau tidak
bisa digunakan selayaknya.
Contoh : Beberapa Mahasiswa yang menggunakan aplikasi bajakan untuk
mendukung kebutuhan kuliahnya.
2. Pencurian Aset => pencurian data dan informasi, menjual data pelanggan atau
pengguna melalui beberapa cara seperti penggunan link bertaut.
Contoh : Munculnya berbagai Film maupun aplikasi bajakan yang tidak
memiliki lisensi resmi yang marak tersebar di berbagai media online maupun
platform website.
3. Modifikasi Aset => bisa terjadi karena kesengajaan pengguna yang memiliki
hak akses maupun pihak ketiga yang merusak data dengan virus.
Contoh : Penyebaran virus perangkat yang sering terjadi bila kita melakukan
download aplikasi tanpa lisensi di situs website tidak resmi.
4. Privacy Violation => penyalahgunaan privasi pengguna yang kemungkin
menimbulkan kerugian yang besar.
Contoh : Penjualan data pribadi yang berada di beberapa platform media social
seperti facebook, twitter, telegram yang dilakukan tanpa sepengetahuan pemilik
data yang beberapa tahun ini marak terjadi.
5. Disruption of Operations => gangguan fungsi operasional harian sistem
informasi yang mengurangi kinerja sistem.
Contoh : Website Kominfo milik negara yang tidak bisa diakses karena
keterlambatan dalam pembayaran sewa domain.
6. Unauthorized Use of Assets => penyalahgunaan aset informasi untuk
melakukan hal yang tidak berhubungan dengan proses bisnis.
Contoh : Biasanya sering terjadi terhadap instansi besar seperti website PT.
Telkom pernah dibajak oleh pihak yang tak bertanggung jawab dengan merubah
isi data dari website tersebut.
Sumber : Tim Pengampu Mata Kuliah Audit Sistem Informasi, “ IS Audit
Requirements “ , 2020. [Diakses : 17 November 2021 jam 15.35].

SELAMAT MENGERJAKAN