Ringkasan

Materi Kuliah 6
Dimas Wiji Utomo (452281)
Krestianto Aji S. (451925)
Sofi Nabila (452326)
 21
Big Data and
Enterprise Content Management
 Gambaran Big Data

Velocity Veracity

Volume Variety
Isu Kepatuhan, Risiko, dan
Tata Kelola Big Data

● Dokumentasi atas seluruh aset data perusahaan

● Identifikasi pemilik dari keseluruhan aset data
● Tanggung jawab untuk memastikan keakuratan,
aksesibilitas, dan karakteristik lain dari data
● Memproses penyimpanan, pengarsipan, dan pembuatan
backup data
● Mekanisme pengendalian untuk mencegah kebocoran data
● Prosedur dan standar untuk penanganan data oleh personel
yang berwenang
 Isu Keamanan, Hadoop, dan
Manajemen Big Data

Hilangkan dan Pertahankan

sederhanakan tugas Fokus pada data perspektif "over the
entri data manual aplikasi yang paling horizon" untuk
yang membosankan relevan masalah keamanan
big data

Reviu dan identifikasi Peningkatan

aplikasi yang memiliki pengetahuan
tingkat kekritisan manusia
yang tinggi
Pemantauan Kepatuhan dan Analitik
Big Data
 Perhatian fungsi audit internal atas
big data dan kaitannya dengan
velocity, volume, variety, dan veracity
Audit Internal
dalam
Lingkungan Big
Data peningkatan produktivitas, proses
yang lebih efisien, posisi kompetitif,
dan inovasi
 —Pengendalian Internal atas ECM

ECM menggambarkan strategi,

metode, dan alat untuk menangkap,
mengelola, menyimpan, dan
mengirimkan konten dan dokumen
yang terkait dengan proses
perusahaan
Audit atas Proses ECM

● Status ECM di dalam perusahaan.

● Status software ECM.
● Perencanaan strategis ECM.
● Isu ketaatan peraturan penggunaan ECM.
● Isu terkait kos ECM.
● Kolaborasi ECM dengan teknologi lain.
● Isu keberlanjutan ECM.
● Pengendalian internal ECM
 22
Reviewing Application
and Software Management Control
Komponen Aplikasi TI

Input Program Aplikasi Output

Auditor internal diharapkan
memperoleh informasi terkait
elemen pengendalian yang
ditemukan di dalam proses
perusahaan
Auditor internal harus dapat
memperoleh keyakinan yang
memadai bahwa program
aplikasi berfungsi sesuai
sebagaimana mestinya
Auditor internal diharapkan
mampu mereviu jangkauan
output
Pemilihan Aplikasi untuk
Dilakukan Reviu

Ketidakcukupan sumber daya

fungsi audit internal untuk
mereviu seluruh aplikasi yang
digunakan perusahaan
Langkah Pelaksanaan Reviu atas Pengendalian
Aplikasi

Pemahaman
Dokumentasi

Walk-through atas
aplikasi

Mengembangkan
tujuan pengendalian
atas aplikasi
Pelaksanaan Pengujian atas Pengendalian
Aplikasi TI

Pengklarifikasian dan Pengujian Tujuan

Pengendalian
perlu ada pernyataan dan diskusi yang
jelas antara manajemen dan fungsi audit
internal
Pelaksanaan Pengujian
• Reperformance atau atas fungsi aplikasi.
• Reviu atas source code dari aplikasi
• Observasi
Contoh Reviu Aplikasi:
Sistem Penganggaran Client-Server

Reviu atas dokumentasi sistem

penganggaran Identifikasi pengendalian kunci Pengujian kepatuhan
- Dokumentasi software Melalui pemahaman atas - Reperformance
- Prosedur unggah data sistem - Perbandingan transaksi
- Prosedur integritas data - Pengujian persetujuan
 Rintangan:
- Sikap mereka melawan kita
- Permasalahan peran auditor internal:
o Anggota tambahan dalam tim pengembangan sistem
o Konsultan yang memiliki keahlian khusus
o Ahli dalam pengendalian internal
o Penghuni kursi tambahan yang mengetahui permasalahan

Audit atas Aplikasi suatu sistem

dalam
Pengembangan Permasalahan terkait keterbatasan
sumber daya fungsi audit internal
Solusi:
- Memilih aplikasi/sistem yang tepat
- Menentukan peran auditor secara tepat
- Penetapan tujuan reviu yang jelas
Pentingnya Reviu atas
Pengendalian Aplikasi TI

Memberikan nilai tambah bagi manajemen

 Cybersecury, Risiko

23
Pembajakan, dan
Pengendalian Privasi
 01
Interruptions
Ancaman Terjadi ketika ada perusakan
program, perusakan
hardware, dan lain-lain.
Dasar pada
TI
03
Modification
Terjadi ketika pihak yang
tidak terautorisasi dapat
mengakses serta mengubah
data, program, atau bahkan
komponen hardware.
02
Interceptions
Terjadi ketika pihak luar
dapat mengakses dokumen
TI atau aset lainnya.
04
Fabrication
Terjadi ketika pelaku
memasukkan dokumen atau
data palsu ke dalam
lingkungan TI.
Konsep Pengamanan Data

Confidentiality Integrity Availability

Data aman dari akses melihat Data aman dari akses Data tersedia dan dapat
oleh pihak yang tidak mengubah oleh pihak yang diakses oleh pihak yang
terautorisasi tidak terautorisasi terautorisasi
Beberapa praktik terbaik dalam
menggunakan kata sandi:

1. Kata sandi merupakan tanggung jawab dari

pengguna, namun perlu adanya aturan
administratif mengenai kata sandi tersebut
2. Kata sandi harus terstruktur sehingga susah
untuk ditebak
3. Perlu adanya penggantian kata sandi secara
berkala
4. Perlu adanya pengawasan kata sandi
5. Sistem dengan syarat kata sandi yang
panjang dan kompleks sebaiknya dihindari
6. Prosedur yang jelas mengenai kata sandi
perlu ditekankan
 Permasalahan mengenai virus juga perlu
diperhatikan oleh auditor internal. Auditor internal perlu
memastikan implementasi dari penggunaan anti-virus,
baik pada pusat sistem TI maupun laptop sehari-hari.
Selain, itu auditor internal dapat memastikan versi dari
anti-virus merupakan versi terbaru serta ketentuan
pembaharuannya. Pengendalian atas unduh software
yang tidak terautorisasi juga diperlukan. Begitu pula,
untuk teknologi firewalls. Auditor internal dapat mereviu
cara teknologi tersebut dipasang dalam sistem.

—Anti-virus dan Firewalls—

 Rekayasa Sosial

2 4
Tailgating Soulder
Surfing

1 3
Phishing
Bating
 Tahapan Implementasi
National Institute 1. Menilai cybersecurity yang ada saat ini
for Standards and 2.
berdasarkan standar
Membuat profil manajemen risiko,
Technology mengidentifikasi gap, dan rencana
cybersecurity

(NIST)
Cybersecurity framework: kumpulan
petunjuk untuk membantu perusahaan
3. Memonitor dan menilai aset infrastruktur
menilai kemampuan mereka dan membuat yang penting sesuai dengan profil target
rencana pengembangan praktik 4. Menyelaraskan dengan eksekutif dan
konteks bisnis
cybersecurity berdasarkan basis risiko.
 Tingkat Kematangan
Cybersecurity
Risiko Parsial
Manajemen bersifat ad hoc.
Kesadaran perusahaan yang
terbatas akan risiko dan tidak
ada kolaborasi dengan orang
lain.
Risiko yang
Diinformasikan
Proses dan program manajemen
tersedia tetapi tidak terintegrasi di
seluruh perusahaan. Kolaborasi
dipahami tetapi perusahaan tidak
memiliki kemampuan formal.
Format Terulang Risiko Adaptif
Kebijakan untuk proses dan Proses dan program
program manajemen risiko manajemen didasarkan pada
diterapkan di seluruh pelajaran yang diperoleh dan
perusahaan. Ada sebagian tertanam dalam budaya. Ada
kolaborasi eksternal. kolaborasi proaktif.
Prosedur audit pengendalian
cybersecurity

● Memahami dan mendokumentasikan jaringan TI

● Memahami pengendalian keamanan konfigurasi jaringan
● Memahami pengendalian akses sistem jaringan
● Memahami pihak-pihak yang memiliki akses
● Mereviu lebih lanjut prosedur cybersecurity berkaitan
dengan pegawai baru, kata sandi, pembuangan informasi,
dan lain-lain
● Memahami tindakan pengendalian keamanan
● Memahami teknik investigasi dan pengawasan terhadap
insiden
● Mereviu pelatihan cybersecurity
 PCI DSS
Standar keamanan penyedia jasa kartu kredit di Amerika Serikat

1 2 3
Membangun dan Melindungi data Melakukan program
menjaga jaringan pemegang kartu manajemen
yang aman kerentanan

4 5 6
Mengimplementasikan Mengawasi dan Menjaga peraturan
pengukuran terhadap mengetes jaringan keamanan informasi
pengendalian akses
yang kuat
 01 02
Risiko laptop Menekankan tanggung jawab
personal untuk laptop auditor
Melakukan prosedur backup
secara berkala

dan kertas
kerja auditor
internal
03 04
Menggunakan mekanisme Menggunakan sistem anti-
pengamanan fisik virus
 24
KEBERLANJUTAN
BISNIS DAN
PERENCANAAN
PEMULIHAN BENCANA
Audit Proses BCP
Auditor internal harus mengembangkan pemahaman yang baik tentang risiko
kehilangan atau gangguan tak terduga dalam layanan TI, teknologi yang digunakan,
dan sifat teknis dan alamiah lingkungan.
● Pusat server tersentralisasi
● Prosedur audit BCP, manajemen proyek, analisis risiko, dan analisis dampak
● Pelaksanaan rencana tanggap darurat, dengan melihat bagaimana tindak lanjut
yang direncanakan bila terjadi bencana seperti reaksi cepat tanggap, investigasi
insiden, perbaikan dan pemulihan, pelaporan insiden berbahaya
● prosedur audit internal perencanaan keberlanjutan client-server
● Rencana keberlanjutan untuk desktop, laptop, dan aplikasi perangkat genggam
Membangun Rencana
Keberlanjutan TI Bisnis
Hasil dari BCP setidaknya memuat hal berikut:
● analisis risiko bisnis dan dampak
● pendokumentasian kegiatan yang dibutuhkan untuk berbagai macam
situasi darurat
● Rincian kegiatan tanggap bencana apakah dengan fuly mirrored
recovery, switchable hot site, atau traditional hot site, relokasi dan
penempatan kembali, atau justru tanpa strategi.
● prosedur untuk mengelola proses pemulihan, berikut rencana
pengujian
● Rencana pelatihan BCP di setiap level organisasi
● Prosedur yang menjamin BCP tetap kekinian
Rencana Keberlanjutan dan
SLAs
Sebuah perusahaan dan fungsi TI-nya tidak dapat secara sembarangan menerbitkan
dan merilis BCP untuk proses bisnis dan area aplikasinya. Harus ada dukungan
yang kuat dari pengguna dan pemilik aplikasi serta jaminan bersama terkait
harapan atas tingkat penyampaian layanan.

Jika seorang eksekutif senior di departemen pengguna tertentu merasa

bahwa beberapa proses bisnisnya harus selalu beroperasi dengan
kemampuan penuh untuk transaksi yang signifikan, departemen tersebut
harus bernegosiasi dengan unit TI untuk menyediakan layanan di level itu.
Kesepakatan ini disebut SLAs (Service Level Agreements)
Audit BCP
Pelaksanaan audit internal atas proses BCP perusahaan harus didasarkan
pada hal-hal seperti kecukupan dan kemutakhiran dokumentasi BCP, hasil
tes terjadwal, dan sejumlah masalah lainnya.
THANKS
Does anyone have any questions?