RISIKO

TEKNOLOGI
&
PENGENDALIAN
NYA
MICHAEL WIJAYANTO HARIONO
(121810025)
 SEPULUH RISIKO
TEKNOLOGI
Global Internal Audit Common Body of Knowledge (disingkat CBoK) adalah kajian global terbesar
mengenai profesi audit internal, termasuk kajian mengenai para praktisi audit internal dan para
pemangku kepentingannya.

CBoK 2015, yang diikuti 14.518 responden dari 166 negara dan menggunakan 23 bahasa,
menunjukkan 10 Risiko utama dalam teknologi yang menjadi perhatian para praktisi audit internal
 SEPULUH RISIKO
TEKNOLOGI
CYBERSECU SOCIAL
01 06
RITY MEDIA USE
INFORMATION MOBILE
02 07
SECURITY COMPUTING
SYSTEMS DEVELOPMENTS SKILLS AMONGS
03 08 INTERNAL AUDITORS
PROJECTS
IT EMERGING
04 GOVERNANC 09 TECHNOLOGIE
E S
BOARD AND AUDIT
OUTSOURCED IT COMMITTEE
05 10 TECHNOLOGY
SERVICES
CYBERSECURITY
 • Cybersecurity adalah pengamanan atas kejahatan penyalahgunaan data
elektronis (Tuanakotta, 2019).

CYBER • Salah satu risiko terbesar dalam cybersecurity yang dihadapi organisasi
adalah kemungkinan penyusup dari luar (external perpetrators) untuk
mencuri data yang sensitif atau rahasia.
SECURITY • Kebanyakan organisasi menyadari kerugian yang diakibatkan oleh
peretasan data (data breaches) terhadap merek dagang atau sejenisnya
(brands) dan reputasi (Tuanakotta, 2019)
 • Apakah organisasi mampu memantau penyusupan ke dalam jaringan?

• Apakah organisasi mampu mengidentifikasi apakah serangan terjadi?

PERTANYAAN • Dapatkah organisasi mencegah serangan dan membatasi potensi
YANG HARUS kerugian?
DIAJUKAN
• Dapatkah organisasi mengetahui apakah ada kebocoran dalam data
AUDIT rahasia?
INTERNAL
• Jika serangan memang terjadi, apakah ada rencana tertulis mengenai
MENGENAI penanganan krisis yang sudah diuji dan yang sejalan dengan risiko
CYBERSECURI organisasi?
TY • Jika serangan memang terjadi, apakah organisasi mempunyai akses ke
(CBoK 2015) tenaga ahli forensik yang dapat membantu?

• Apakah ada tim yang menangani serangan dan apakah mereka

memahami peran dan tanggung jawabnya?
 • Laksakan pemeriksaan tahunan secara independen mengenai daya
DAFTAR YANG serangan dan peretasan terhadap jaringan.
HARUS
DILAKUKAN • Periksa apakah latihan simulasi dilakukan sehubungan rencana
penanganan krisis untuk menyiapkan tim dalam hal serangan benar-
OLEH AUDIT benar terjadi.
INTERNAL
• Lakukan audit atas arsitektur jaringan untuk menentukan kepatuhan
MENGENAI terhadap kebijakan dan prosedur jaringan.
CYBERSECURI
• Lakukan audit atas serangan yang baru terjadi dan tentukan apakah
TY kebijakan, prosedur, dan alat-alat diterapkan seperti direncanakan dan
(CBoK 2015) apakah ahli forensik digunakan ketika itu.
INFORMATION
SECURITY
 • Information security adalah pengamanan terhadap kerahasiaan,
integritas dan ketersediaan informasi yang sangat penting bagi
organisasi.

INFORMATIO • Dalam CBoK 2015 risiko terhadap information security menduduki

urutan dalam top 10 risks.
N SECURITY • Program pengamanan informasi yang baik umumnya mempunyai
pejabat di tingkat Eksekutif atau Manajer tingkat tinggi (high-level
manager) dengan sebutan Chief Information Security Officer (CISO)
yang bertanggung jawab terhadap program ini.
 • Proses penilaian risiko yang tepat.

• Prosedur tata kelola dan kepatuhan yang efektif.

• Kebijakan dan standar pengamanan informasi yang terdokumentasi dan

PROGRAM dikomunikasikan.

PENGAMANA • Program pelatihan mengenai kesadaran pengamanan yang efektif.

N INFORMASI • Prosedur pengendalian atas akses informasi yang efisien.

(INFORMATIO • Program a) pemulihan bencana, b) kesinambungan usaha, dan c)

tanggap terhadap serangan yang sudah teruji.
N SECURITY)
• Proses manajemen a) aset operasional, b) jaringan, c) perbaikan
jaringan yang rusak, dan d) manajemen atas perubahan.

• Pengamanan fisik yang ketat

 • Kapan terakhir kalinya kebijakan pengamanan informasi direviu dan diperbarui?

• Berapa tingkat suksesnya program pelatihan mengenai kesadaran pengamanan?

Apakah pelatihan ini wajib? Apakah dampaknya buat mereka yang tidak mengikuti
PERTANYAAN pelatihan?
YANG HARUS
• Kapan terakhir kalinya penilaian risiko dilakukan? Apakah penilaian risiko
DIAJUKAN dilakukan untuk semua pemasok baru?
AUDIT • Apakah organisasi membuat simulasi untuk menentukan kesiapan menghadapi
INTERNAL serangan terhadap sistem keamanan?

MENGENAI • Kapan terakhir kalinya uji pemulihan bencana dilakukan? Apakah sukses? Apa
masalah yang dihadapi?
INFORMATION
SECURITY • Apa ketentuan wajib dipatuhi organisasi?

(CBOK 2015) • Apakah peretas eksternal dapat membobol parameter fisik dengan menggunakan
rekayasa sosial? (Contoh peretas memulai dengan obrolan basa-basi dengan
karyawan di luar kantor, dan membuntutinya sampai ke pintu masuk untuk men-scan
kartu identitasnya.)
 • Lakukan uji kerentanan atas jaringan internal.

• Telaah proses pengendalian akses. Apakah pemilik (sistem pengamanan) benar-benar

menelaah daftar akses, atau cuma melihat tulisan “setuju” tanpa melihat daftar nama
DAFTAR YANG yang mengakses data?
HARUS
• Gunakan pihak ketiga untuk melakukan simulasi serangan dan audit hasilnya.
DILAKUKAN Contoh lakukan latihan phising terhadap email untuk menentukan efektifnya
program melatih kesadaran mengenai pentingnya keamanan informasi (di
OLEH AUDIT perusahaan besar dan menengah.)
INTERNAL
• Audit informasi cadangan pendukung yang penting dan periksa apakah backup ini
MENGENAI dilakukan secara rutin.
PENGAMANAN • Audit kegiatan pengguna jasa yang mendapat keistimewaan. Periksa apakah hanya
INFORMASI mereka yang berhak, yang mendapatkan keistimewaan. Juga periksa apakah
pengguna ini dicatat dan dipantau.
(CBoK 2015)
• Audit pihak ketiga yang punya akses terhadap aset penting, atau review laporan
pihak ketiga yang dibuat berdasarkan Statement on Standards for Attestation
Engagements No. 16 (untuk organisasi besar).
SYSTEMS
DEVELOPMENT
PROJECTS
 • Tanggal implementasi yang terlalu dipaksakan. Tanggal penyelesaian proyek
RISIKO DAN ditetapkan sebelum tim pelaksana proyek memasuki tahap perencanaan proyek atau
sebelum tim membuat teknik-teknik estimasi proyek (project estimation techniques).
MASALAH • Ekspetasi atau harapan yang tidak realistis
PROYEK • Ekspetasi tidak sejalan dengan sumber daya
PENGEMBAN • Konsekuensi-konsekuensi akibat kinerja proyek yang lemah, tidak selamanya
GAN SISTEM mendapat tanggapan yang memadai.

TI • Pelaporan mengenai status kemajuan proyek jarang dilakukan, atau dilakukan tidak
akurat.
 • Bagaimana proyek-proyek disetujui dalam organisasi?

• Bagaimana proyek-proyek dimulai dalam organisasi?

• Bagaimana proyek-proyek dikelola dalam organisasi?

DAFTAR • Apakah ada manajemen eksekutif yang mensponsori proyek-proyek penting?
PERTANYAAN
• Apakah ada project steering committee, dan apakah ada rapat berkala?
YANG HARUS
DIAJUKAN • Jika vendor terlibat dalam pengembangan proyek, bagaimana proses administrasi
kontraknya?
AUDIT INTERNAL
• Apakah ada laporan status bulanan?
MENGENAI IT
SDP • Proses apa yang dijalankan organisasi jika proyek melampaui anggaran atau
terlambat penyelesaiannya?
(CBOK 2015)
• Apakah ada proses untuk membatalkan proyek-proyek yang tujuannya tidak
tercapai?

• Apakah organisasi TI melaksanakan kajian mengenai kepuasan pemakai mengenai

hasil dan biaya proyek TI?
 • Lakukan audit untuk seluruh siklus proyek pengembangan sistem TI. Siklus ini
meliputi kepatuhan terhadap kontrak, manajemen proyek, biaya (misalnya untuk
pembebanan vendor), kemajuan proyek, order untuk perubahan, program
insentif/bonus, dan lain-lain.

• Ikut serta dalam audit proyek bersama audit yang dilakukan vendor atau tim mutu
DAFTAR YANG untuk membatasi jumlah audit dan/atau mendapatkan pengetahuan tambahan. Hal
HARUS ini akan menekan jumlah gangguan terhadap proyek.

DILAKUKAN • Lakukan audit atas metodologi manajemen proyek.

AUDIT INTERNAL • Telaah daftar proyek dan audit apakah metodologi diikuti, khususnya untuk proyek
MENGENAI IT yang melebihi anggaran atau lewat waktu.

SDP • Periksa apakah pengguna terlibat dalam perubahan lingkup proyek dan apa-apa yang
harus dikerjakan
(CBOK 2015)
• Setelah proyek selesai, reviu kepuasan pengguna berdasarkan kajian organisasi TI,
atau lakukan sendiri kajian untuk meyakinkan kajian organisasi TI.

• Tentukan setelah selesai proyek, hal-hal yang dapat menjadi pembelajaran untuk
perbaikan proyek di kemudian hari.
IT GOVERNANCE
 • Ada kesenjangan yang lebar antara apa yang orang IT pikirkan menjadi kebutuhan
bisnis dan apa yang pebisnis pikirkan tentang apa yang TI dapat berikan kepada
bisnis.

• Maka dari itu, pebisnis mengharapkan, setidak-tidaknya, adalah tata kelola yang
IT GOVERNANCE baik, a good IT governance.

• Tata kelola IT didefinisikan dari IPPF (International Professional Practices

Framework) terdiri atas kepemimpinan, struktur organisasi, dan proses-proses yang
memastikan bahwa teknologi informasi perusahaan mendukung strategi dan tujuan
organisasi tersebut (Tuanakotta, 2019)
 • Menentukan apakah fungsi TI sejalan dengan dan memahami
CARA UNTUK tujuan dan strategi organisasi.
MERENCANAKA
• Menentukan efektifnya sumber daya TI dan manajemen
N AUDIT ATAS kinerjanya.
TATA KELOLA IT
(GTAG 17) • Menilai risiko yang bisa berdampak buruk terhadap lingkungan
TI.
 • Apa kegiatan yang dilaksanakan TI agar sejalan dengan bisnis?
Berapa sering TI bertemu dengan bisnis untuk mengetahui
kebutuhannya?

DAFTAR • Apakah persepsi bisnis mengenai kemampuan dan kinerja TI?

PERTANYAAN
YANG HARUS • Bagaimana TI menentukan nilai yang diberikannya kepada bisnis?
DIAJUKAN • Bagaimana eksekutif TI menentukan jumlah SDM yang
AUDIT INTERNAL dibutuhkan untuk TI?
MENGENAI IT
GOVERNANCE • Apakah TI melakukan penilaian risiko secara berkala?
(CBoK 2015) • Apakah TI mempunyai ukuran keberhasilan untuk menilai
kinerjanya?

• Bagaimana TI mengatur biayanya?

 • Nilai “perilaku panutan”organisasi TI sehubungan dengan budaya korporasi, definisikan
ukuran/ekspetasi kerja, perjanjian mengenai jasa, jasa kepada pelanggan, dan seterusnya.

• Secara berkala, lakukan audit untuk menentukan apakah fungsi TI sejalan dengan dan
memahami prioritas strategis organisasi.
DAFTAR YANG
HARUS • Telaah efektifnya sumber daya TI dan manajemen kinerjanya.

DILAKUKAN • Nilai risiko yang bisa berdampak buruk terhadap lingkungan TI.

AUDIT INTERNAL • Audit upaya menekan biaya dalam lingkungan TI.

MENGENAI IT • Lakukan kajian bisnis untuk menentukan persepsi pimpinan mengenai kemampuan dan
GOVERNANCE kinerja TI.

(CBoK 2015) • Bandingkan program kepatuhan dalam organisasi dengan kerangka yang ada seperti
Control Objectives for Information and Related Technology (COBIT), Committee of
Sponsoring Organizations of the Treadway Commission (COSO), National Institute of
Standards and Technology (NIST), dan International Organization for Standardization
(ISO) 27001 dan ISO 27002, sesuai dengan ukuran (untuk organisasi besar).
OUTSOURCED IT
SERVICES
 • Outsourcing dalam jasa IT berarti bahwa dalam pengerjaan jasa TI meminta jasa-jasa
pihak ketiga

• Drew Perry, seorang IT Compliance Manager, di Ashland, Inc. mengatakan

”memberikan jasa-jasa TI untuk dikerjakan pihak lain sama maknanya dengan
OUTSOURCED IT memberikan kunci-kunci kerajaan Anda, dan mengharapkan/memercayai mereka
mengelola informasi sebaik yang Anda akan lakukan”
SERVICES
• Outsourcing jasa-jasa TI membuka peluang bagi risiko yang tidak terungkap sampai
pengolahan data bisa mengalami kegagalan

• Secara rata-rata, 4 dari 10 auditor internal yang disurvei menyatakan akan ada
peningkatan dalam audit terhadap jasa-jasa TI yang di-outsource.
 • Apakah jasa-jasa yang di-outsource penting untuk organisasi?

• Apakah organisasi punya strategi outsourcing yang dirumuskan dengan baik?

DAFTAR • Apa struktur tata kelola untuk kegiatan yang di-outsource? Apakah peran dan tanggungjawab
dirumuskan dengan baik?
PERTANYAAN • Apakah analisis risiko yang rinci dilakukan ketika outsourcing, dan apakah analisis risiko
YANG HARUS dilakukan secara teratur?

DIAJUKAN • Apakah ada kontak formal atau SLA untuk kegiatan yang di-outsource?

AUDIT INTERNAL • Apakah SLA merumuskan dengan jelas indicator kinerja utama, untuk memantau kerja vendor?
MENGENAI • Bagaimana kepatuhan terhadap kontrak atau SLA dimonitor?
OUTSOURCED IT • Apakah mekanisme yang digunakan jika terjadi ketidakpatuhan terhadap SLA?
SERVICES • Apakah tanggung jawab mengenai kepemilikan sistem data, sistem komunikasi, , sistem
(CBoK 2015) operasi, perangkat lunak utilitas, dan perangkat lunak aplikasi dirumuskan dengan baik dan
disepakati dengan pemberian jasa?

• Apakah proses untuk mendapat kepastian mengenai efektifnya pengendalian internal yang ada
di pihak pemberi jasa?
 • Libatkan diri sedini mungkin dalam proses kontrak outsourcing.

• Lakukan audit atas vendor/pihak ketiga dan telaah SLA dan KPI
mereka.
DAFTAR YANG
HARUS • Telaah jasa pihak ketiga di mana terjadi ketidakpatuhan dan lihat
DILAKUKAN apakah langkah-langkah tepat sudah diambil.
AUDIT INTERNAL • Pastikan bahwa semua source code yang dikirim pemberi jasa
MENGENAI outsourcing telah di-scan untuk melihat adanya malware.
OURSOURCED IT
SERVICES • Audit proses pembuatan keputusan untuk menentukan
bagaimanan organisasi memutuskan unsur-unsur IT yang perlu di
(CBoK 2015)
outsource.

• Pilih vendor yang sudah digunakan, telah penilaian risiko yang

dilakukannya sebelum vendor lain dipilih.
SOCIAL MEDIA
USE
 • Kecepatan tinggi penyebaran berita oleh media sosial mendorong
organisasi merumuskan kebijakan dan prosedur tentang media
sosial.
SOCIAL MEDIA
USE • Kebijakan perusahaan difokuskan pada cara-cara pegawai dapat
menggunakan peralatan media sosial dan batas-batas
pengunaannya, misalnya mengenai content yang boleh di-shared
di media sosial.
 RISIKO
POTENSIAL • Kemungkinan tuntutan hukum
KETIKA
PEGAWAI • Kebocoran informasi bisnis atau rahasia dagang (trade secrets)
MELANGGAR
• Kerugian terhadap reputasi organisasi
KEBIJAKAN
MEDIA SOSIAL
 • Bagaimana organisasi menggunakan media sosial untuk
menghubungi klien atau pelanggannya?

DAFTAR • Apa isi atau content yang diperkenankan ditayangkan di situs

media sosial?
PERTANYAAN
YANG HARUS • Apakah ada tim atau seseorang yang bertanggung jawab untuk
DIAJUKAN memonitor isi sebenarnya dari isi media sosial (dengan men-scan
AUDIT INTERNAL situs media sosial?
MENGENAI • Content apa yang dimonitor oleh perangkat lunak “penyaring
SOCIAL MEDIA content”? Siapa yang memonitor tanda bahaya yang dikeluarkan
USE dari perangkat lunak?

• Apa konsekuensi pegawai yang melanggar kebijakan media

sosial?
 DAFTAR YANG • Laksanakan audit atas kebijakan dan prosedur media sosial.
HARUS • Telaah cukup/tidaknya pelatihan untuk memastikan bahwa topik
DILAKUKAN media sosial dicakup.
AUDIT INTERNAL
MENGENAI • Pahami penggunaan perangkat lunak “saringan content” dan
efektifnya untuk memonitor masuk dan keluarnya content.
SOCIAL MEDIA
USE • Laksanakan scanning situs media sosial secara independen untuk
(CBoK 2015) menentukan independen mengenai organisasi.
MOBILE
COMPUTING
 • Mobile Computing merupakan suatu istilah yang digunakan
untuk menggambarkan aplikasi pada piranti berukuran kecil,
MOBILE
portablem dan wireless serta mendukung komunikasi.
COMPUTING
• Contoh: laptop dan gawai
 RISIKO YANG • Privacy Risks (Risiko Pribadi)
BERHUBUNGAN • Management Risks (Risiko Manajemen)
DENGAN MOBILE
COMPUTING • Legal Risks (Risiko Hukum)
 • Apakah organisasi mempunyai proses untuk menginventarisasi
DAFTAR semua peralatan komputasi yang dapat dibawa ke mana-mana?
PERTANYAAN
YANG HARUS • Bagaimana organisasi mengamankan peralatan komputasi yang
DIAJUKAN dicuri atau hilang?
AUDIT INTERNAL • Bagaimana organisasi mengatur BYOD?
MENGENAI
MOBILE • Bagaimana organisasi mengatur content di dalam peralatan
COMPUTING komputasi ketika pegawai berhenti?
(CBoK 2015) • Apakah alat komputasi menggunakan sandi?
 • Laksanakan audit atas proses inventarisasi alat-alat komputasi
DAFTAR YANG mobile.
HARUS
DILAKUKAN • Periksa bagaimana organisasi menangani alat yang hilang atau
dicuri.
AUDIT INTERNAL
MENGENAI • Pahami cara organisasi menentukan jenis informasi yang dapat
MOBILE disimpan dalam mobile devices.
COMPUTING
• Periksa apakah informasi sensitive memang tidak disimpan dalam
(CBoK 2015)
mobile devices atau informasi tersebut dalam membentuk sandi.
SKILLS AMONGS
INTERNAL
AUDITORS
 • Jumlah auditor dengan spesialisasi TI merupakan masalah.
SKILLS AMONGS
INTERNAL • Survei menunjukkan hanya 10% dari responden mempunyai
AUDITORS spesialisasi dalam TI, sedangkan jumlah terbesar, 25% tidak
mempunyai spesialisasi tertentu
 • Memahami jenis-jenis teknologi yang digunakan dalam organisasi.

• Memetakan keahlian teknologi yang sudah ada terhadap teknologi yang digunakan
LANGKAH YANG dalam organisasi.

DAPAT DIAMBIL • Identifikasi kesenjangan keahlian (skill gap) untuk semua teknologi yang belum
terpenuhi oleh kelompok audit internal. Setelah kesenjangan ini teridentifikasi, audit
AUDIT INTERNAL internal mempunyai beberapa opsi untuk menjembatani kesenjangan ini
UNTUK
Opsi 1: Kembangkan keahlian yang diperlukan dari dalam organisasi dengan
MENGATAS mangalokasikan anggaran dan mengadakan pelatihan untuk staf yang ada.
KEKURANGAN Opsi 2: Rotasi staf dengan keahlian TI, melalui kerja sama dengan CIO (Chief Information
KEAHLIAN IT Officer).

Opsi 3: Kerja sama dengan pihak ketiga, melalui outsourcing (jasa diberikan sepenuhnya
oleh pihak ketiga) atau co-sourcing (kerja sama dengan pihak ketiga).
 • Bangun kerja sama dengan staf inti TI dan tunjukkan bagaimana audit TI menambah
nilai buat organisasi.

• Ikuti pertemuan TI yang penting, (misalnya: rapat-rapat steering committees untuk

KEGIATAN YANG proyek pengembangan sistem TI, pemutakhiran mengenai keamanan informasim
teknologi baru, dan lain-lain) untuk memahami lebih baik tantangan dan risiko TI yang
BERGUNA signifikan.
UNTUK
• Adakan pertemuan berkala dengan staf utama TI, termasuk CTO (Chief Technology
MEMBANGUN Officer) dan CISO (Chief Information Security Officer).
ANTARA AUDIT • Rekrut auditor dengan latar berlakang teknologi untuk meningkatkan keahlian TI dan
INTERNAL kredibilitas audit di mata manajemen TI.

DENGAN • Lakukan audit tata kelola TI.

BAGIAN TI • Bekerja dan berbagi informasi tentang risiko organisasi yang utama, dengan area
manajemen risiko, tata kelola, pengandalian, dan keapatuhan yang lain, untuk
mengurangi duplikasi kegiatan dan menekan disrupsi/gangguan pada staf TI yang sudah
kewalahan dengan kesibukan sendiri.
EMERGING
TECHNOLOGIES
 • Emerging technologies (teknologi yang tumbuh dan
EMERGING berkembang) didefisinikan sebagai teknologi yang belum
TECHNOLOGIES digunakan dalam organisasi pada hari ini, namun akan
digunakan dalam waktu dekat di masa mendatang
 • Predictive data analysis

• Big data

• Fog computing (di mana cloud computing diperluas

sampai ke ujung jaringan perusahaan )
CONTOH
EMERGING • 3D printing (di mana printers deprogram untuk
TECHNOLOGIES menghasilkan output berupa objek-objek tiga dimensi)

• The Internet of Things (di mana objek sehari-hari seperti

refrigenator atau microwaves terhubung dalam jaringan
dan dapat mengirimkan dan menerima data).

• Robotics.
 • Apakah organisasi mempunyai tim yang mengevaluasi
DAFTAR emerging IT technologies?
PERTANYAAN
YANG HARUS • Apakah organisasi mempunyai proses formal untuk
mengevaluasi emerging technologies?
DIAJUKAN
AUDIT INTERNAL • Bagaimana organisasi mengidentifikasi risiko berkenaan
MENGENAI emerging technologies?
EMERGING
TECHNOLOGIES • Apa proyek yang sekarang sedang berjalan di mana
teknologi baru digunakan dalam lingkungan produksi?
 • Dapatkan daftar teknologi yang digunakan saat ini.
DAFTAR YANG
HARUS • Pahami proyek-proyek di mana emerging technology
DILAKUKAN mungkin digunakan.
AUDIT INTERNAL
• Audit proses risiko untuk emerging technologies
MENGENAI (bagaimana risiko diidentifikasi ketika menilai emerging
EMERGING technology).
TECHNOLOGIES
(CBoK 2015) • Diskusi dengan tim teknologi TI untuk memahami strategi
mereka dalam mengadopsi emerging technologies.
BOARD AND
AUDIT
COMMITTEE
TECHNOLOGY
AWARENESS
 • Dalam survey CBoK 2015, Dekom di Sebagian perusahaan tidak
BOARD AND paham teknologi, atau dalam bahasa “anak muda”, Dekom dan
AUDIT Komite-Komitenya “gaptek”
COMMITTEE
TECHNOLOGY • Audit internal memainkan peran kunci dan menjadi perantara
yang membuka mata Dekom dan Komite Audit tentang teknologi
AWARENESS dan manfaatnya dalam organisasi.
 DAFTAR
PERTANYAAN
YANG HARUS
• Jika perubahan teknologi direncanakan, apa strategi TI organisasi?
DIAJUKAN
AUDIT INTERNAL • Apakah komite audit memahami risiko TI, dan apakah komie
MENGENAI audit dapat melihatnya dalam konteks risiko perusahaan?
BOARD AND
• Apakah komite audit memahami tanggung jawab dan perannya
AUDIT dalam konteks risiko perusahaan dan kesadaran teknologi?
COMMITTEE
TECHNOLOGY
AWARENESS
 DAFTAR YANG
HARUS • Pastikan keberadaan berteknologi masuk dalam agenda pertemuan
DILAKUKAN dengan komite audit.
AUDIT INTERNAL
• Bertindak sebagai penasihat untuk organisasi ketika membuat
MENGENAI keputusan tentang emerging technology (misalnya, ketika
AUDIT organisasi berencana untuk memindahkan informasi sensitif ke
COMMITTEE cloud atau ketika informasi sensitif disimpan di penyedia jasa
TECHNOLOGY pihak ketiga).
AWARENESS
STUDI KASUS
MARRIOTT
STARWOOD
 • Peretas telah melanggar sistem reservasi Starwood dan telah
mencuri data pribadi hingga 500 juta tamu

• Serangan itu dimulai sejak 2014, dan merupakan salah satu

pencurian catatan pribadi terbesar yang diketahui, kedua setelah
pelanggaran Yahoo 2013

• Pelanggaran tersebut menimpa pelanggan yang melakukan

reservasi untuk merek hotel Starwood milik Marriott dari 2014
STUDI KASUS hingga September 2018.

• Nama, alamat, nomor telepon, tanggal lahir, alamat email, rincian

kartu kredit terenkripsi dari pelanggan, dan sejarah perjalanan dan
nomor paspor dari sekelompok kecil tamu juga diambil

• Penyusupan tersebut tidak diketahui selama empat tahun oleh

Starwood, yang diakuisisi oleh Marriott pada tahun 2016 senilai
$13,6 miliar
 • Itu terungkap pada awal September, ketika alat keamanan
memberi tahu pejabat Marriott tentang upaya tidak sah untuk
mengakses basis data reservasi tamu Starwood.

• Peringatan tersebut mendorong Marriott untuk bekerja dengan

pakar keamanan luar, yang menemukan bahwa para peretas telah
mengambil pijakan di sistem Starwood mulai tahun 2014.

• industri perhotelan telah menjadi target yang kaya bagi peretas

STUDI KASUS negara-bangsa yang ingin melacak pergerakan perjalanan dan
preferensi kepala negara, diplomat, kepala eksekutif, dan orang
lain yang menarik bagi agen spionase

• Pada kenyataannya, mereka tidak akan banyak berguna bagi

peretas biasa. Tapi bagi pemerintah, mereka akan sangat berguna.
Lewis mengatakan bahwa informasi itu dapat dimasukkan,
misalnya, ke dalam program analisis yang dijalankan oleh aparat
keamanan negara suatu negara
PEMBAHASAN
 • Melihat jumlah pengguna yang dicuri datanya, bisa dikatakan
bahwa kasus yang terjadi pada Marriot Starwood ini merupakan
kasus pencurian data yang sangat masif karena terjadi dalam skala
pengguna yang sangat besar.

• Bisa dikatakan bahwa data tamu hotel yang dicuri merupakan data
IDENTIFIKASI
yang sangat krusial karena itu menyangkut privasi dan berpotensi
MASALAH untuk disalahgunakan

• Kasus Marriott Starwood bisa digolongkan sebagai cybercsecurity

dan berdasarkan survei yang dilakukan oleh CBoK 2015
menunjukkan bahwa cybersecurity merupakan risiko dengan
urutan pertama.
 • Apakah organisasi mampu memantau penyusupan ke dalam jaringan?

• Apakah organisasi mampu mengidentifikasi apakah serangan terjadi?

• Dapatkah organisasi mencegah serangan dan membatasi potensi kerugian?

• Dapatkah organisasi mengetahui apakah ada kebocoran dalam data

POKOK rahasia?
BAHASAN
• Jika serangan memang terjadi, apakah ada rencana tertulis mengenai
UTAMA penanganan krisis yang sudah diuji dan yang sejalan dengan risiko
organisasi?
• Jika serangan memang terjadi, apakah organisasi mempunyai akses ke
tenaga ahi forensik yang dapat membantu?

• Apakah ada tim yang menangani serangan dan apakah mereka memahami
peran dan tanggung jawabnya?
 • Starwood seharusnya dalam waktu 2 tahun bisa mengidentifikasi
penyusupan dan mengatasinya namun hal tersebut gagal

POKOK • akhirnya tidak bisa mengkomunikasikan hal tersebut ke pihak Marriott

yang merupakan pihak pengakuisisi Starwood.
BAHASAN
UTAMA • Setelah Starwood diakuisisi oleh Marriott, maka otomatis risiko bisnis
yang dimiliki oleh Starwood juga ditanggung oleh Marriot. Sayangnya,
Marriot, khususnya auditor internal perusahaan, dalam waktu 2 tahun
kurang jeli dalam melihat penyusupan yang ada.
 • Dalam beberapa tahun terakhir, pakar keamanan siber mengatakan, industri
perhotelan telah menjadi target yang kaya bagi peretas negara-bangsa yang
ingin melacak pergerakan perjalanan dan preferensi kepala negara,
diplomat, kepala eksekutif, dan orang lain yang menarik bagi agen
spionase
ANALISIS • Jadi bisa disimpulkan bahwa kasus ini disinyalir berhubungan dengan
DAMPAK kegiatan politik.

• Selain dari sisi tamu, kasus ini membuat nama baik Marriott Starwood
menjadi tercoret dan Marriott Starwood mendapatkan banyak tuntutan
serta dedenda oleh pengawas privasi data Inggris senilai 18,4 juta
poundsterling atau setara 347 miliar
 • Marriott Starwood telah membuat tindakan untuk pencegahan (prevention)
terhadap kemungkinan penyusupan yang ada, namun sayangnya auditor
internal tidak terlalu memperhatikan deteksi (detection) terhadap
penyusupan yang ada.

• Norm Comstock, managing director UHY Advisors, menyarankan bahwa

perusahaan-perusahaan kecil untuk mengalokasikan anggaran (cyber
budget) mereka secara bijak untuk mencegah (prevention), menemukan
(detection), dan memulihkan (recovery) sistem dari serangan peretas
SOLUSI
• Ia juga mengatakan bahwa jika perusahaan secara kumulatif menggunakan
semua anggarannya hanya untuk pencegahan (prevention), tanpa
sepeserpun diberikan kepada deteksi (detection), maka perusahaan
menciptakan rasa aman yang palsu.

• Comstock juga mengatakan supaya para akuntan berhati-hati denga napa

yang disebut sebagai “mixed environments” seperti penggunaan HP untuk
bisnis dalam lingkungan perkantoran yang menerapkan BYOD (bring your
own device).
KESIMPULAN
 • Kehadiran teknologi adalah sesuatu berdampak positif bagi kemajuan
sebuah perusahaan. Di sisi lain, kehadiran teknologi di dalam perusahaan
di sisi lain juga membawa risiko-risiko baru atau bertambahnya risiko juga
akan ditemui.

• Terdapat 10 risiko teknologi terbesar menurut CBoK 2015, yaitu

KESIMPULAN Cybersecurity, Information Security, Systems Developments Projects, IT
Governance, Outsourced IT Serviced, Social Media Use, Mobile
Computing, Skills Amongs Internal Auditors, Emerging Technologies,
dan.Board and Audit Committee Technology Awareness. Masing-masing
risiko tersebut mempunyai daftar pertanyaan dan pekerjaan yang harus
dilakukan internal auditor demi menjaga reputasi dan brand dari bisnis,
daya saing bisnis, serta keberlangsungan dan keberlanjutan bisnis,
TERIMA KASIH