Cybersecurity, Hacking

Risks and Privacy Control

Fauzan, Friesta, Gama, Nimas, Riza
CHAPTER 23
23.1 Dasar- dasar Hacking dan Jaringan TI

PERETASAN

4 kelas ancaman TI
1. Interruption/ Gangguan
2. Interception / Intersepsi
3. Modification/ Modifikasi
4. Fabrication/ Fabrikasi
23.2 Konsep keamanan data
23.3 Pentingnya kata sandi dalam TI
Beberapa praktik terbaik dalam penggunaan
kata sandi :

• Kata sandi adalah tanggung jawab pengguna dalam pembuatannya

• Proses harus dilakukan untuk memonitor kata sandi
• Sistem yang menghasilkan atau membutuhkan kata sandi yang sangat
panjang atau rumit tidak boleh digunakan
• Prosedur perusahaan yang sifatnya people-oriented
• Penggunaan kata sandi yang efektif adalah pengendalian otentikasi
keamanan TI yang penting
 23.4 Virus dan Kode Program Berbahaya
Tipe Kode Karakteristik
Virus Menempatkan dirinya ke program dan menyebarkan salinan dirinya
ke program lain
Trojan Horse Mempunyai fungsi yang tak terduga yang kemudian melakukan
fungsi terselubung
Logic Bomb Program hanya memicu ketika beberapa peristiwa lainnya terjadi
Time Bomb Program hanya memicu ketika beberapa periode waktu tertentu
lainnnya terpenuhi
Trapdoor Titik masuk perangkat lunak tidak berdokumen yang menghindari
perlindungan sistem
Worm Menyebarkan salinan dirinya melalui jaringan
Rabbit Kode perangkat lunak yang mereplikasi dirinya sendiri berulang kali
tanpa batas untuk menghabiskan sumber daya
Scareware Kadang- kadang disebur ransomware, dapat menungci perangkat
lunak dan kemudian meminta tebusan
23.5 Pengendalian sistem fairwall
23.6 Risiko Sosial Perekayasaan TI
Tipe Kode Karakteristik
Baiting Penyerang meninggalkan CD-ROM atau flash drive USB yang terinfeksi malware di lokasi yang pasti dapat
ditemukan (kamar mandi, lift, trotoar, tempat parkir, dll.), Memberikannya label yang tampak sah dan
menarik perhatian, dan hanya menunggu korban untuk menggunakan perangkat
Phishing
Upaya memperoleh informasi sensitif seperti nama pengguna, kata sandi, dan detail kartu kredit (dan
terkadang, secara tidak langsung, uang) dengan menyamar sebagai entitas yang dapat dipercaya dalam
komunikasi elektronik
Pretexting Praktek menipu individu agar menyerahkan informasi pribadi untuk tujuan penipuan

Quid Pro Quo Seorang penyerang memanggil nomor acak di sebuah perusahaan, mengaku menelepon kembali dari
dukungan teknis. Akhirnya orang ini akan memukul seseorang dengan masalah yang sah, bersyukur
bahwa seseorang memanggil kembali untuk membantu mereka. Penyerang akan "membantu"
menyelesaikan masalah dan, dalam prosesnya, memiliki perintah tipe pengguna yang memberikan akses
penyerang atau meluncurkan malware
Shoulder Surfing Mengamati informasi pribadi karyawan di atas bahunya. Jenis serangan ini biasa terjadi di tempat-tempat
umum seperti bandara, pesawat terbang, atau kedai kopi

Tailgating Seorang penyerang, yang mencari jalan masuk ke area terlarang yang diamankan oleh kontrol akses
elektronik tanpa pengawasan (mis., Dengan kartu RFID), hanya berjalan di belakang seseorang yang memiliki
akses sah. Setelah sopan santun, orang yang sah biasanya akan membuka pintu untuk penyerang atau
penyerang itu sendiri dapat meminta karyawan untuk membukanya untuk mereka. Orang yang sah mungkin
gagal untuk meminta identifikasi karena salah satu dari beberapa alasan, atau dapat menerima pernyataan
bahwa penyerang telah lupa atau kehilangan token identitas yang sesuai.
23.7 Kekhawatiran privasi sistem TI
MASALAH PRIVASI DATA PROFIL
PRIVASI ONLINE DAN MASALAH E-COMMERCE
RADIO FREQUENCY IDENTIFICATION (RFID)
23.8 Kerangka Cybersecurity NIST
Risiko Parsial Tingkat 1
manajemen bersifat ad hoc, dengan kesadaran perusahaan terbatas akan risiko dan tidak
ada kolaborasi dengan orang lain.

Risiko Informed Tingkat 2

proses dan program manajemen sudah ada tetapi tidak terintegrasi di seluruh
perusahaan; kolaborasi dipahami tetapi perusahaan tidak memiliki kemampuan formal.

Repeatble Format Tingkat 3

kebijakan untuk proses dan program manajemen risiko ada di seluruh perusahaan,
dengan kolaborasi eksternal parsial.

Risiko Adaptif Tingkat 4

proses dan program manajemen didasarkan pada pelajaran yang dipetik dan tertanam dalam budaya,
dengan kolaborasi proaktif
Dalam meninjau di mana kematangan dan kemampuan cybersecurity
perusahaan sesuai dengan tingkatan yang disarankan ini, kerangka kerja
NIST menambahkan fungsi :

• 1. Policies / Kebijakan
• 2. Procedures / Prosedur
• 3. Implementation / Pelaksanaan
• 4. Test / Uji
• 5. Integration/ Integrasi
23.9 Audit terhadap Keamanan dan Privasi TI

• Isu Keamanan Siber (Cybersecurity)

• Membutuhkan keterampilan atau kemahiran
• Bentuk audit terhadap keamanan siber : audit terhadap sistem jarigan nirkabel
• Bagaimana diagram konfigurasi sistem TI?
• Apakah firewall sudah diinstalasi?
• Bagaimana cara perangkat berkomunikasi?
• Jenis transaksi atau tindakan yang dapat dilakukan?
• Bagaimana pemutakhiran firewall?
• Apa saja jenis akses yang tidak layak yang mungkin dapat terjadi?
• Bagaimana tindakan korektif jika terjadi pelanggaran firewall?
• Contoh Prosedur Umum Audit Pengendalian Internal terhadap
Cybersecurity
• Dokumentasi dan pemahaman jaringan TI
• Pengendalian keamanan terhadap konfigurasi jaringan
• Pengendalian akses terhadap sistem jaringan
• Pemahaman siapa yang mengakses jaringan
• Reviu cakupan prosdur keamanan siber
• Pengendalian preventif terhadap keamana
• Pemantauan insiden dan teknik investigasi
• Pelatihan keamanan siber
23.10 Fundamental PCI DSS
PCI DSS
• Diluncurkan tahun 2007 oleh Payment Card Industry Security
Standard Council
• Standar yang digunakan untuk penggunaan kartu kredit sebagai
sarana pembayaran
• Standar memuat konfigurasi dan pedoman audit, termasuk
perangkat TI yang digunakan
Tujuan dan Persyaratan PCI DSS
Tujuan Persyaratan
Jaringan yang aman 1. Instalasi dan pemeliharaan firewall
(secure) 2. Tidak menggunakan password default
Perlindungan Data 3. Melindungi data yang tersimpan;
Pemegang Kartu 4. Enkripsi
Program manajemen 5. Menggunakan antivirus secara update
kerentanan 6. Mengembangkan sistem dan aplikasi yang secure
Pengendalian akses 7. Pembatasan akses terhadap data
yang aman 8. Menggunakan ID yang unik
Pemantauan dan 9. Membatasi akses fisik
pengujian jaringan 10. Melacak dan memantau akses jaringan
11. Secara periodik menguji sistem dan proses keamanan
Kebijakan keamanan 11. Membangun dan memelihara sistem keamanan
informasi
23.11 Keamanan dan Privasi dalam Departemen
Audit Internal
• Perubahan pola dokumentasi audit internal
• Kertas kerja berbasis tinta  dokumentasi elektronik
• Penyimpanan dalam binder  penyimpanan dalam komputer/laptop
• Risiko : kerusakan/kehilangan dalam perjalanan
• Teknik untuk melindungi perangkat laptop:
• Menyusun peraturan mengenai tanggung jawab pribadi atas laptop
• Melakukan back-up secara periodik terhadap file
• Menggunakan penguncian fisk dan mekanisme pengamana
• Mengunakan anti-virus dan alat lainnya
• Keamanan Kertas Kerja
• Bentuk kertas kerja
• Berbentuk kertas/ paper-based
• Berbentuk elektronik
• Kombinasi kertas dan elektronik
• Cara penyusunan
• Binder, lemari penyimpanan
• Elektronik (dalam komputer)
• Tujuan Utama :
• Mengamankan kertas kerja sesuai dengan persyaratan regulasi
• Keamanan Kertas Kerja
• Contoh Praktik Terbaik
• Menyusun standar penyusunan kertas kerja
• Menyusun prosedur penyusunan kertas kerja
• Membangun sistem indeksasi kertas kerja
• Membangun database kertas kerja untuk menghubuungkan kertas kerja ke
pekerjaan audit, laporan akhir, dan temuan signifikan
• Mengembangkan praktik reviu kertas kerja oleh supervisor
• Melakukan reviu kualitas kertas kerja secara periodik
• Melakukan reviu atas perangkat lunak pengelolaan kertas kerja
23.11 Keamanan dan Privasi dalam
Departemen Audit Internal
• Laporan Audit Internal dan Privasinya
• Laporan Hanya Didistribusikan kepada Pihak-Pihak Terkait
• Manajemen auditee
• Manajemen puncak
• Audit eksternal
• Komite audit
• Memberikan disclaimer dalam Laporan Audit Internal
• Laporan audit internal tidak dibagikan atau didistribusikan
kepada pihak yang tidak berhak
• CAE senantiasa menekankan kerahasiaan suatu laporan audit.
23.12 Peran Audit Internal dalam Privasi dan
Keamanan Siber
• Waspada terhadap perkembanan dan evoluasi keamanan siber dan
privasi, baik internal perusahaan maupun eksternal perusahaan
• Memahami risiko dan melakukan pengendalian untuk mengeliminasi
risiko tersebut
• Audit internal tidak diharapkan menjadi ahli, namun sesuai CBOK,
diharapkan memiliki pemahaman mengenai keamaman siber dan risik
privasi TI
CHAPTER 24

KEBERLANJUTAN BISNIS dan

RENCANA PEMULIHAN BENCANA
Keberlanjutan Bisnis dan
Rencana Pemulihan Bencana
• TI mendukung keseluruhan aktivitas perusahaan
• Risiko kegagalan TI
• Rencana Pemulihan Bencana
• Agenda
• Bencana TI dan Perencanaan Keberlanjutan Bisnis (BCP)
• Audit terhadap Proses BCP
• Membangun BCP TI
• BCP dan Kesepakatan Tingkat Layanan (SLA)
• Audit terhadap Rencana BCP
• BCP ke Depan
24.2 Proses Perencanaan Audit berlelanjutan Bisnis

• Tinjauan Data Terpusat BCP Internal Audit

• BCP membantu perusahaan pulih dari
gangguan
 • Inisiasi dan manajemen proyek.
• Evaluasi dan kontrol risiko.
Prosedur Audit BCP,
• Analisis dampak bisnis.
Manajemen Proyek, • Mengembangkan strategi kesinambungan bisnis
• Tanggap darurat dan operasi.
Analisis Risiko,
• Mengembangkan dan mengimplementasikan
Pengaruh Analisis rencana kesinambungan bisnis.
• Program kesadaran dan pelatihan.
• Memelihara dan menjalankan rencana
kesinambungan bisnis.
• Hubungan masyarakat dan koordinasi krisis.
• Koordinasi dengan otoritas publik.
Rencana respon kejadian darurat dapat dipisahkan
menjadi empat bagian :
Kegiatan respon
01
langsung

02 Investigasi insiden
Operasi
Koreksi atau Rencana
Tanggap
03
pemulihan
Pelaporan insiden Darurat
04
darurat
Prosedur Audit Internal Perencanaan
Kelanjutan Klien-Server
Langkah-langkah dasar untuk membangun BCP yang
efektif, apa pun ukuran perusahaannya, adalah backup
file dan aplikasi utama.
Perencanaan Kelanjutan untuk Aplikasi Desktop dan Laptop
24.3 Membangun Rencana Kontinuitas IT Bisnis
Hasil BCP harus terdiri dari:

• Analisis risiko dan dampak bisnis

• Kegiatan yang terdokumentasi diperlukan untuk mempersiapkan perusahaan
menghadapi berbagai kemungkinan keadaan darurat
• Kegiatan terperinci untuk awalnya berurusan dengan peristiwa bencana
• Prosedur untuk mengelola proses pemulihan bisnis, termasuk rencana
pengujian
• Rencana pelatihan BCP di berbagai tingkatan di perusahaan
• Prosedur untuk memperbarui BCP
 24.4 Business continuity Planning and Service
Level Agreements
• Untuk membuat BCP berfungsi antara IT dan unit bisnis, perusahaan
harus bersama-sama menegosiasikan harapan pemulihan mereka
melalui Service Level Agreements (SLA).
• SLA adalah kontrak antara pemilik proses bisnis dan penyedia layanan
TI untuk tujuan layanan yang ditentukan.
• SLA menggambarkan tingkat layanan kontinuitas bisnis yang
diharapkan dan dijanjikan dan merupakan blok dasar untuk
membangun BCP yang efektif.
• SLA menggambarkan komitmen atau janji fungsi TI untuk
memberikan tingkat kesinambungan bisnis yang disepakati.
24.5 Auditing Business Continuity Plans
• Audit internal mungkin menawarkan sumber dayanya untuk
mengamati dan mengomentari hasil tes BCP, untuk menyarankan
skenario pengujian, atau untuk menawarkan saran konsultatif tentang
kemajuan pengembangan BCP.
• Sementara audit internal dapat memainkan peran pengamat dalam
proses pengujian BCP, audit internal formal harus dijadwalkan secara
berkala untuk menilai semua aspek kesiapan BCP dan proses
kecukupan yang ada.
• Audit internal harus mengkomunikasikan hasil tinjauannya di sini
dengan manajemen perusahaan senior serta komite audit.
 1 2

Auditor internal memiliki peran

penting di sini dalam 24.6
membantu manajemen Semua auditor internal harus
untuk mengimplementasikan p Business memiliki setidaknya pengetah
roses BCP yang efektif dan
secara teratur menilai operasi
Continuity uan umum tentang persyarat
an BCP dan bagaimana
dan kontrol mereka. Planning menilai proses semacam itu.
Going
Forward
CHAPTER 25

BOARD AUDIT COMMITTEE COMMUNICATION

25.1 Role of The Audit Committee
• Komite audit perlu memulai dan mengelola fungsi audit internal yang
harus menjadi mata dan telinga independen di dalam perusahaan,
memberikan penilaian pengendaliam internal dan hal-hal lain.
Sebuah komite audit
merupakan komponen
25.2
operasional dari dewan
direksi dengan tanggung
jawab untuk pengendalian
internal dan pengawasan
pelaporan keuangan.
Kebanyakan perusahaan
fungsi audit internal secara
rutin beroperasi melalui
sebuah piagam formal
internal audit, dokumen
yang disetujui oleh komite
audit untuk menjelaskan
peran dan tanggung jawab
audit internal.
 • Identifikasi, penilaian, dan pengelolaan risiko
keuangan dan ketidakpastian
• Terus menerus memperbaiki sistem keuangan
• Integritas laporan keuangan dan pengungkapan
Tujuan keuangan

Piagam
• Kepatuhan terhadap persyaratan hukum dan
peraturan

Komitee • Kualifikasi, kemandirian, dan kinerja auditor

independen di luar
Audit • Kemampuan, sumber daya, dan kinerja dari
departemen audit internal
• Penuh dan terbuka komunikasi dengan dan antara
akuntan independen, manajemen, auditor internal,
konsultan, karyawan, komite audit
 Tujuan dan
kekuatan
komite
audit
Batasan Komposisi
komite komite
audit audit

Piagam
Kegiatan
Audit Jadwal
diskresioner pertemuan

Kegiatan
Prosedur
utama
komite
komite
audit
audit
25.3 Ahli Keuangan Komite Audit dan Audit Internal

• SOx mewajibkan setidaknya ada satu direktur independen komite

audit yang bertugas sebagai ahli keuangan
• Audit internal dapat membantu komite audit melalui pendekatan tiga
tahap:
• Melalui pelaporan dan presentasi;
• Bekerja sama dengan sumber daya manusia dan sumber daya lainnya,
memberikan masukan rencana kepada komite audit untuk mendukung etika
dan program whistleblower;
• Mengembangkan rencana yang detil untuk mereviu dan menilai pengendalian
internal perusahaan.
25.4 Tanggung Jawab Komite Audit atas Audit Internal
a) Mereviu sumber daya, rencana, aktivitas, kepegawaian, dan struktur
organisasi audit internal;
b) Mereviu penunjukan, performa, dan pergantian Chief Audit
Executive (CAE);
c) Mereviu seluruh audit dan laporan yang disiapkan oleh audit
internal;
d) Mereviu bersama dengan manajemen, CAE, dan akuntan
independen terkait dengan memadainya pelaporan keuangan dan
sistem pengendalian internal
A. Menunjuk Chief
Audit Executive
• Komite audit bertanggung jawab untuk
mengangkat dan memberhentikan
eksekutif audit internal
• Partisipasi dalam pemilihan CAE biasanya
berupa reviu atas kandidiat yang
diusulkan
 B
PERSETUJUAN PIAGAM
AUDIT INTERNAL
• Komite audit bertanggung jawab dalam menyetujui pia
gam audit internal yang telah dibuat oleh ini CAE
• Piagam audit yang baik sangat penting dalam menjabar
kan tugas dan tanggung jawab audit internal termasuk t
anggung jawabnya kepada komite audit
 C
PERSETUJUAN RENCANA DAN
ANGGARAN AUDIT INTERNAL
• Tanggung jawab final terkait bagaimana audit dijalankan ada di
tangan komite audit
• Manajemen dan komite audit bekerjasama menentukan
area mana yang perlu dilakukan pengawasan, sementara
audit internal yang membuat perencanaanya sesuai dengan batasan
sumber daya yang ada
25.5 Reviu dan Aksi atas Temuan Signifikan

• Tanggung jawab terbesar dari komite audit adalah melaksanakan reviu

dan melakukan tindak lanjut atas temuan pemeriksaan yang signifikan
• Audit internal sebaiknya melaporkan temuan yang signifikan ini
secara periodik dan melakukan monitoring atas perlu tidaknya
dilakukan koreksi terhadap kondisi tersebut
25.6 Komite Audit dan Auditor Eksternal
• Komite audit memiliki tanggung jawab dalam
memilih auditor eksternal, menyetujui rencana
dan biaya auditnya, dan mengumumkan laporan
keuangan yang telah di audit nanti
• Auditor eksternal namun dilarang memberikan jasa:
• Penjurnalan dan aktivitas lain sehubungan dengan
proses akuntansi laporan keuangan;
• Desain dan implementasi IT keuangan;
• Jasa penilaian;
• Melaksanakan jasa audit internal;
• Melaksanakan fungsi manajemen;
• Penasihan investasi, broker dan dealer;
• Jasa lainnya yang tidak berhubungan dengan audit
25.7 Program Whistleblower dan Kode Etik
• Dokumentasi whistleblower
Mandar dari SOx mewajibkan komite audit untuk membangun
program whistleblower
• Disposisi permasalahan whistleblower
Audit internal harus dapat memberikan jaminan terkait dengan
masalah pelaporan whistleblower
• Kode etik
Kode etik berisi serangkaian peraturan yang wajib diketahui oleh
senior officer sehingga mereka wajib membaca, memahami, dan
menyetujui untuk mematuhinya
25.8 Peran Lainnya
• Komite audit sering kali menerima pertanyaan dari
karyawan perihal masalah akuntansi dan audit,
sehingga audit internal dapat mengambil peran ini
sebagai sekretaris komite audit
• Audit internal dapat membantu komite audit melalui
komunikasi yang efektif dan juga dokumentasi yang
memadai
Thank you