REVIEW QUESTIONS
10) What are the three types of IT technical controls described in the chapter? Provide two
examples of each type.
Answers :
1. Standards, mendukung kebijakan TI dengan lebih spesifik mendefinisikan apa
yang diperlukan untuk mencapai tujuan organisasi. Standar harus mencakup :
System development processes, System software configuration, Application
controls
2. Organization and Management Controls, memberikan jaminan bahwa
organisasi terstruktur dengan garis pelaporan dan tanggung jawab yang jelas
- Segregation of duties. struktur organisasi tidak boleh membiarkan
tanggung jawab semua proses data hanya pada satu individu. dalam
aplikasi dilakukan dengan memberikan hak akses sesuai pekerjaan. -
- Perlu kontrol anggrann dan keuangan untuk memastikan teknologi
menghasilkan pengembalian investasi atau penghematan yang
diusulkan.
- Change management process memastikan bahwa perubahan pada
lingkungan TI, perangkat lunak sistem, sistem aplikasi, dan data
diterapkan dengan cara yang menerapkan pemisahan tugas yang sesuai
3. Physical and Environmental Controls, Melindungi sumber daya sistem
informasi dari kerusakan, penyalahgunaan, atau kerugian yang tidak disengaja
atau disengaja.
- Menemukan server di ruang terkunci yang aksesnya dibatasi.
- Membatasi akses server ke individu tertentu.
- Menyediakan peralatan deteksi dan pemadam kebakaran
11) What is the difference between physical access controls and logical access controls
Answers :
Perbedaan antara kontrol akses fisik dan kontrol akses logis terletak pada metode yang
digunakan untuk mengatur dan mengelola akses ke sumber daya dalam lingkungan TI
organisasi:
1. Physical Access Controls:melibatkan langkah-langkah nyata yang
diimplementasikan untuk mengamankan akses fisik ke fasilitas, peralatan, dan
sumber daya.
Contoh: Kontrol ini mencakup langkah-langkah keamanan seperti pintu
terkunci, gerbang, pagar, pemindai biometrik (misalnya, pembaca sidik jari,
pemindai retina), kartu akses, kamera pengawas, penjaga keamanan, dan
penghalang fisik lainnya.
Tujuan: Tujuan utama dari kontrol akses fisik adalah mencegah individu yang
tidak diotorisasi dari secara fisik masuk ke area terbatas atau mendapatkan
akses ke aset sensitif, sehingga menjaga infrastruktur fisik dan sumber daya.
2. Logical Access Controls: Kontrol akses logis mengatur akses ke sistem
komputer, jaringan, data, dan aplikasi berdasarkan kredensial pengguna,
mekanisme otentikasi, dan kebijakan otorisasi.
Contoh: Kontrol ini mencakup metode otentikasi pengguna (misalnya, nama
pengguna/sandi, otentikasi biometrik), kontrol akses berbasis peran (RBAC),
daftar kontrol akses (ACL), enkripsi, otentikasi multi-faktor (MFA), dan sistem
deteksi intrusi (IDS).
Tujuan: Tujuan utama dari kontrol akses logis adalah memastikan bahwa hanya
pengguna yang diotorisasi yang dapat mengakses sumber daya dan data digital,
sambil juga mencegah akses tidak sah, pelanggaran data, dan ancaman siber.
12) What two Attribute Implementation Standards specifically address the IT proficiency
internal auditors must possess and the consideration they must give to using
technology-based audit techniques?
Answers :
Dua Standar Implementasi Atribuut secara khusus membahas kecakapan TI yang harus
dimiliki auditor internal dan pertimbangan yang harus mereka berikan untuk
menggunakan teknik audit berbasis teknologi :
- 12210.A3
Auditor internal harus memiliki pengetahuan yang cukup tentang risiko
dan pengendalian teknologi informasi utama dan teknik audit bebrbasis
teknologi yang tersedia untuk melakukan pekerjaan yang ditugaskan kepada
mereka. Namun, tidak semua auditor internal diharapkan memiliki keahlian
sebagai auditor internal yang tanggung jawab utamanya adalah audit teknologi
informasi.
- 1220.A2
Dalam melaksanakan kehati-hatian profesional, auditor internal harus
mempertimbangkan penggunaan audit berbasis teknologi dan teknik analisis
data lainnya.