05 CONTROL
Kontrol yang dapat dilakukan oleh
Internal Audit untuk meningkatkan
keamanan system.
DEFINITION
IT APPLICATION
CONTROL
Memastikan aplikasi komputer berfungsi sesuai dengan yang diinginkan.
IT GENERAL
CONTROL
memastikan infrastruktur IT secara keseluruhan beroperasi dengan baik..
IT SECURITY
SYSTEM
Dirancang untuk melindungi sistem IT dari ancaman dan kebocoran data.
02
IT Application
IT Application Control Control Risiko:
Kesalahan dalam data, akses tidak sah ke aplikasi, penyalahgunaan informasi.
Kontrol:
Manajemen Akses, Pemantauan jaringan, backup data
IT General
IT General Control Control Risiko
Pencurian data, serangan malware, gangguan jaringan, kehilangan data
karena tidak backup
Kontrol:
Firewall, antivirus, kebijakan akses, pelatihan keamanan
IT Security
IT Security System System
Risiko:
Serangan siber, pencurian identitas, kebocoran data, akses tidak sah ke
sistem
04
Risk Mitigation
Access Control
Memastikan hanya pengguna yang sah yang memiliki akses ke sistem dan
data sensitif.
Risk Mitigation
Application Security System
1. Tindakan Preventif:
Melakukan pengujian aplikasi secara menyeluruh sebelum Tindakan Preventif:
implementasi untuk mengidentifikasi dan memperbaiki bug atau 1. Menggunakan teknologi keamanan seperti
kerentanan. firewall, antivirus, enkripsi data, dan
2. Menyediakan dokumentasi yang jelas tentang cara otentikasi dua faktor.
menggunakan aplikasi dan prosedur pemulihan jika terjadi 2. Melaksanakan kebijakan keamanan yang
kegagalan. ketat, termasuk kebijakan sandi yang kuat
dan rotasi sandi berkala.
Mitigasi
Memonitor kinerja aplikasi secara teratur untuk mendeteksi potensi Mitigasi:
masalah sebelum mereka menjadi kegagalan yang signifikan. Mengimplementasikan sistem deteksi intrusi
(IDS) dan sistem pencegahan intrusi (IPS) untuk
mendeteksi dan mencegah serangan siber
General
Tindakan Preventif:
Mengembangkan kebijakan dan prosedur yang jelas untuk
manajemen akses, pemantauan jaringan, dan backup data.
Mitigasi:
1. Memiliki rencana pemulihan bencana yang mencakup backup
data, pemulihan sistem, dan pemulihan operasi.
2. Melakukan pemantauan jaringan dan pemantauan log secara
teratur untuk mendeteksi aktivitas mencurigakan atau
pelanggaran keamanan.
05
Necessary Control
Pemeriksaan Kebijakan
Keamanan:
• Memastikan bahwa kebijakan password yang kuat telah diterapkan dan dilakukan rotasi secara teratur.
• Memeriksa kepatuhan terhadap kebijakan penggunaan perangkat pribadi di tempat kerja (BYOD) jika
ada.
Pemeriksaan Log:
• Memeriksa apakah sistem telah dikonfigurasi untuk memantau aktivitas pengguna dan jaringan secara
efektif.
• Memeriksa kepatuhan terhadap kebijakan pemantauan dan retensi log.
• Memastikan bahwa sistem memiliki kemampuan untuk mendeteksi dan merespons insiden keamanan
dengan cepat.