Laporan Audit Teknologi Informasi

Universitas Widyatama

Mata Kuliah

Audit Teknologi Informasi

T. A. Ganjil 2022/2023

Ditulis Oleh :

Naufal Hafiyyan Putra Sana (1120101023)

Pranata Alam (11201010

Program Studi Sistem Informasi

Fakultas Teknik

Universitas Widyatama
 INFORMATION SECURITY

1. Tujuan

Buku ini mengakui kebutuhan berkelanjutan bagi organisasi dan auditor untuk mengelola
secara efektif dan memeriksa sistem TI untuk memenuhi tujuan dan sasaran bisnis.
Prinsip dasar, pengetahuan, dan keterampilan tentang cara mengontrol dan menilai sistem TI
yang akan mempersiapkan pembaca untuk karier yang sukses dalam praktik publik, industri
swasta, atau pemerintah. Ditargetkan ke mahasiswa maupun praktisi industri di bidang IT
dan akuntansi,

2. IT Environment

Kebutuhan untuk meningkatkan kontrol atas TI, terutama dalam perdagangan, telah
meningkat selama bertahun-tahun dalam studi sebelumnya dan berkelanjutan oleh banyak
organisasi nasional dan internasional. Pada dasarnya, teknologi telah berdampak pada
berbagai bidang lingkungan bisnis yang signifikan, termasuk penggunaan dan pemrosesan
informasi, proses pengendalian, dan profesi audit.

3. Information Security

Informasi merupakan aset penting di banyak organisasi saat ini. Tanpa dapat diandalkan dan
benar informasi yang aman, organisasi kemungkinan besar akan gulung tikar. Anehnya,
meskipun berinvestasi dalam keamanan dapat memberi mereka banyak manfaat karena
membantu melindungi informasi berharga aset dan mencegah konsekuensi yang
menghancurkan lainnya; banyak organisasi tidak mengeluarkan cukup uang untuk
pengeluaran keamanan. Menurut banyak kepala petugas keamanan, sangat sulit untuk
membuktikan nilainya investasi dalam keamanan kecuali jika terjadi bencana.

Implementasi keamanan informasi yang efektif membantu memastikan bahwa strategi

organisasi tujuan bisnis terpenuhi. Tiga tujuan mendasar untuk informasi adalah kerahasiaan,
integritas, dan ketersediaan. Tujuan ini dijelaskan di bawah ini bersama dengan risiko terkait
yang akan mencegah pencapaiannya.

- Confidentiality adalah perlindungan informasi dari akses yang tidak sah. Ini penting
dalam menjaga citra organisasi dan mematuhi undang-undang privasi. Mungkin risiko
yang terkait dengan kerahasiaan termasuk pelanggaran keamanan informasi yang
memungkinkan untuk akses tidak sah atau pengungkapan data perusahaan yang sensitif
atau berharga (misalnya, pemegang polis informasi atau rencana strategis perusahaan
kepada pesaing atau publik, dll).
- Integrity adalah kebenaran dan kelengkapan informasi. Ini penting dalam menjaga
kualitas informasi untuk pengambilan keputusan. Risiko potensial yang terkait dengan
 informasi integritas termasuk akses tidak sah ke sistem informasi, yang mengakibatkan
rusaknya informasi dan penipuan atau penyalahgunaan informasi atau sistem perusahaan.
- Availability mengacu pada pemeliharaan sistem informasi dalam mendukung proses
bisnis.
Ini penting dalam menjaga efisiensi dan efektivitas operasional. Kemungkinan risiko
yang terkait dengan ketersediaan termasuk gangguan atau kegagalan sistem informasi,
hilangnya kemampuan untuk memproses transaksi bisnis, dan crash sistem informasi
karena sumber seperti bencana, virus, atau sabotase.

4. Information Security in the Current IT Environment

Teknologi terus berkembang dan menemukan cara untuk membentuk lingkungan TI saat ini
di
organisasi. Bagian berikut menjelaskan secara singkat teknologi terbaru yang telah dimulai
untuk merevolusi organisasi, bagaimana bisnis dilakukan, dan dinamika tempat kerja.
Dengan
teknologi ini, keamanan yang memadai harus tersedia untuk mengurangi risiko dan
melindungi informasi.

5. Enterprise Resource Planning (ERP)

Menurut Apps Run the World edisi Juni 2016, sebuah perusahaan riset pasar teknologi
dikhususkan untuk ruang aplikasi, pasar sistem ERP di seluruh dunia akan mencapai $84,1
miliar pada tahun 2020 dibandingkan dengan $82,1 miliar pada tahun 2015. ERP adalah
perangkat lunak yang menyediakan standar bisnis fungsionalitas dalam sistem lingkungan TI
terintegrasi (misalnya, pengadaan, inventaris, akuntansi, dan sumber daya manusia). Intinya,
sistem ERP memungkinkan banyak fungsi untuk mengakses database—mengurangi biaya
penyimpanan dan meningkatkan konsistensi dan akurasi data dari satu sumber. Beberapa
pemasok ERP utama saat ini termasuk SAP, FIS Global, Oracle, Fiserv, Intuit, Inc., Cerner
Corporation, Microsoft, Ericsson, Infor, dan McKesson.

6. Techniques Used to Commit Cybercrimes

Technique Description

Phishing Penipuan berteknologi tinggi yang sering menggunakan pesan

spam atau pop-up untuk menipu orang untuk mengungkapkan
informasi pribadi mereka (yaitu, kreditnomor kartu, informasi
rekening bank, nomor jaminan sosial, sandi, atau informasi sensitif
lainnya). Penipu internet menggunakan umpan email ke "phish"
untuk kata sandi dan data keuangan dari lautan Pengguna internet.
Spoofing Membuat Situs Web palsu untuk meniru Situs Web yang
sebenarnya dan terkenal dijalankan oleh pihak lain. Spoofing
 email terjadi ketika alamat pengirim dan bagian lain dari header
email diubah agar tampak seperti email tersebut berasal dari
sumber yang berbeda. Spoofing menyembunyikan asal pesan
email.
Pharming Metode yang digunakan oleh phisher untuk menipu pengguna agar
percaya bahwa mereka berkomunikasi dengan Situs Web yang
sah. Pharming menggunakan berbagai metode teknis untuk
mengarahkan pengguna ke penipuan atau Situs web palsu ketika
pengguna mengetikkan alamat Web yang sah. Misalnya, salah satu
teknik pharming adalah mengarahkan pengguna—tanpa
pengetahuan mereka—ke Situs Web yang berbeda dari yang
mereka maksudkan untuk mengakses. Selain itu, kerentanan
perangkat lunak dapat dieksploitasi atau malware digunakan untuk
mengarahkan pengguna ke Situs Web palsu ketika pengguna
mengetik di alamat yang sah.
Denial-of-service Serangan yang dirancang untuk menonaktifkan jaringan dengan
attack membanjirinya dengan lalu lintas yang tidak berguna.
Distributed denial- Varian dari serangan penolakan layanan yang menggunakan
of-service serangan terkoordinasi dari sistem komputer terdistribusi, bukan
dari satu sumber. Itu sering menggunakan worm untuk menyebar
ke banyak computer yang kemudian dapat menyerang target.
Viruses Sepotong kode program yang berisi logika yang mereproduksi
sendiri, yang membonceng program lain dan tidak dapat bertahan
dengan sendirinya.
Trojan horse Sepotong kode di dalam program yang menyebabkan kerusakan
dengan menghancurkan data atau memperoleh informasi.
Worm Kode program independen yang mereplikasi dirinya sendiri dan
menggerogoti data, menghabiskan memori, dan memperlambat
pemrosesan.
Malware Kode berbahaya yang menyusup ke komputer. Ini adalah
perangkat lunak yang mengganggu dengan tujuan merusak atau
melumpuhkan komputer dan computer sistem.
Spyware Malware dipasang tanpa sepengetahuan pengguna untuk dilacak
secara diam-diam dan/atau mengirimkan data ke pihak ketiga yang
tidak berwenang.
Botnet Jaringan sistem yang dikendalikan dari jarak jauh yang digunakan
untuk mengoordinasikan serangan dan menyebarkan malware,
spam, dan penipuan phishing. Bot (kependekan dari "robot")
adalah program yang diam-diam diinstal pada sistem yang
ditargetkan memungkinkan pengguna yang tidak sah untuk
mengontrol dari jarak jauh yang dikompromikan komputer untuk
berbagai tujuan jahat.
7. COBIT

COBIT membantu organisasi memenuhi tantangan bisnis saat ini di bidang keamanan
informasi, kepatuhan terhadap peraturan, manajemen risiko, dan penyelarasan strategi TI
dengan organisasi tujuan antara lain. COBIT adalah perangkat IT resmi dan internasional
yang diterima secara umum standar, praktik, atau tujuan pengendalian yang dirancang untuk
membantu karyawan, manajer, eksekutif, dan auditor dalam: memahami sistem TI,
melaksanakan tanggung jawab fidusia, dan memutuskan tingkat keamanan dan kontrol yang
memadai.

COBIT 5 membantu organisasi menciptakan nilai optimal dari TI dengan menjaga

keseimbangan antara
mewujudkan manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya.
COBIT 5 didasarkan pada lima prinsip.
Ini mempertimbangkan kebutuhan TI/keamanan dari pemangku kepentingan internal dan
eksternal
(Prinsip 1), sementara sepenuhnya mencakup tata kelola organisasi dan manajemen informasi
dan teknologi terkait
(Prinsip 2). COBIT 5 menyediakan kerangka kerja terintegrasi yang selaras dan terintegrasi
dengan mudah dengan kerangka kerja lain (misalnya, Komite Organisasi Sponsor dari
Komisi Treadway - Enterprise Risk Management (COSO-ERM), dll.), standar, dan praktik
terbaik yang digunakan (Prinsip 3).
COBIT 5 memungkinkan TI untuk diatur dan dikelola secara holistik untuk seluruh
organisasi (Prinsip 4). Terakhir, ini membantu organisasi dalam memisahkan tata kelola
secara memadai dari manajemen.
tujuan (Prinsip 5).

8. ISO/IEC 27002

ISO/IEC 27002 adalah nama baru dari standar ISO 17799, dan merupakan kode praktik
untuk informasi keamanan. Ini menguraikan ratusan kontrol potensial dan mekanisme
kontrol di bagian utama seperti penilaian risiko; kebijakan keamanan; manajemen aset;
keamanan sumber daya manusia; fisik dan keamanan lingkungan; kontrol akses; akuisisi
sistem informasi, pengembangan, dan pemeliharaan; manajemen insiden keamanan
informasi; manajemen kelangsungan usaha; dan kepatuhan. Dasar dari standar ini awalnya
adalah dokumen yang diterbitkan oleh pemerintah Inggris.
Yang menjadi standar "layak" pada tahun 1995, ketika diterbitkan ulang oleh BSI sebagai
BS7799.
Pada tahun 2000, diterbitkan kembali, kali ini oleh ISO/IEC, sebagai ISO/IEC 17799. Versi
baru dari ini muncul pada tahun 2005, bersama dengan publikasi baru, ISO/IEC 27001.
Kedua dokumen ini adalah dimaksudkan untuk digunakan bersama-sama, dengan yang satu
melengkapi yang lain.
Toolkit ISO/IEC 27000 adalah sumber dukungan utama untuk ISO/IEC 27001 dan ISO/
standar IEC 27002. Ini berisi sejumlah item yang dirancang khusus untuk membantu
implementasi mentasi dan audit.

9. Tanggung Jawab Pemilik Informasi

Pemilik informasi adalah manajer departemen, manajemen senior, atau orang yang ditunjuk
dalam organisasi yang memikul tanggung jawab untuk perolehan, pengembangan, dan
pemeliharaan aplikasi produksi yang memproses informasi. Aplikasi produksi adalah
program computer yang secara teratur memberikan laporan untuk mendukung pengambilan
keputusan dan kegiatan organisasi lainnya.
Semua informasi sistem aplikasi produksi harus memiliki pemilik yang ditunjuk. Untuk
setiap jenis informasi, pemilik menunjuk klasifikasi sensitivitas yang relevan, menunjuk
tingkat yang sesuai kritis, menentukan pengguna mana yang akan diberikan akses, serta
menyetujui permintaan dengan berbagai cara dimana informasi tersebut akan digunakan.

10. Tanggung Jawab Penjaga Informasi

Penjaga secara fisik atau logis memiliki informasi atau informasi organisasi yang telah
dipercayakan kepada organisasi. Sedangkan anggota staf TI jelas adalah penjaga, local
administrator sistem juga penjaga. Setiap kali informasi disimpan hanya pada pribadi
komputer, pengguna juga harus menjadi pemelihara. Setiap jenis informasi sistem aplikasi
harus memiliki satu atau lebih penjaga yang ditunjuk. Penjaga bertanggung jawab untuk
menjaga informasi, termasuk menerapkan sistem kontrol akses untuk mencegah
pengungkapan yang tidak tepat dan membuat cadangan agar informasi penting tidak hilang.
Penjaga juga diharuskan untuk menerapkan, mengoperasikan, dan memelihara langkah-
langkah keamanan yang ditentukan oleh pemilik informasi.

11. Tanggung Jawab Pengguna

Pengguna bertanggung jawab untuk membiasakan diri (dan mematuhi) semua kebijakan,
prosedur, tekanan, dan standar yang berhubungan dengan keamanan informasi. Pertanyaan
tentang penanganan yang tepat dari jenis informasi tertentu harus ditujukan kepada penjaga
atau pemilik informasi yang terlibat. Ketika sistem informasi menjadi semakin terdistribusi
(misalnya, melalui komputasi seluler, komputasi desktop, dll.), pengguna semakin
ditempatkan di “A” posisi di mana mereka harus menangani masalah keamanan informasi
yang tidak mereka tangani dalam beberapa hari sudah lewat. Sistem terdistribusi baru ini
memaksa pengguna untuk memainkan peran keamanan yang tidak mereka miliki dimainkan
sebelumnya.

12. Tanggung Jawab Pihak Ketiga

Akses informasi dari pihak ketiga perlu dikontrol secara formal. Dengan menggunakan
kontraktor dan outsourcing, pihak ketiga akan memiliki kebutuhan untuk mengakses
informasi organisasi. Di sana harus ada proses untuk memberikan akses yang diperlukan
sambil mematuhi aturan dan peraturan.
Proses ini harus mencakup perjanjian kerahasiaan yang ditandatangani oleh pihak ketiga
yang mendefinisikan tanggung jawab atas penggunaan informasi tersebut. Proses serupa
harus dilakukan ketika individu dalam organisasi memiliki akses ke informasi pihak ketiga.