Kamis, 18 Oktober 2018

MAKALAH AUDIT TEKNOLOGI SISTEM INFORMASI #

MAKALAH
AUDIT TEKNOLOGI SISTEM INFORMASI #


Untuk Memenuhi Salah Satu Tugas
Mata Kuliah Audit Teknologi Sistem Informasi #
Dosen : Qomariyah



Disusun Oleh :
Asdian Nurdianto ( 1B117089)
Gita Maulana Putra (1B117067 )
Santya Febga Dwi (1A114012)




FAKULTAS  ILMU KOMPUTER  DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019


BAB I
 A.           Pengendalian Umum
              Menurut Sawyer, Ditienhofer, & Scheiner (2005, hal. 549), general control consist of those controls in the IS and user environment that are pervasive over all or most application. They include such controls as segregation of incompatible duties, system development procedures, data security, all administrative controls, and disaster recovery capabilities.
               Pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. arahnya ketentuan – ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut.

B.          Contoh Pengendalian Umum
              Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak terkait langsung ke suatu aplikasi tertentu. Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM Adak boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM di situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-­ketentuan tersebut tidak langsung dengan transaksi pengambilan uang di mesin ATM).

C.           Ruang lingkup pengendalian umum
•  Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspektif manajemen) diantaranya adalah :
–  Pengendalian manajemen puncak (top management controls).
–  Pengendalian manajemen pengembangan sistem (information system management controls).
–  Pengendalian manajemen sumber data (data resources management controls).
–  Pengendalian manajemen operasi (operations management controls).
–  Pengendalian manajemen keamanan (security administration management controls).
–  Pengendalian manajemen jaminan kualitas (quality assurance management controls).

D.           Unsur Pengendalian Umum
•  Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup dari penulisan skripsi ini, maka yang akan dibahas adalah :
–  Pengendalian Manajemen Operasi (Operasional Management Controls)
–  Pengendalian Manajemen Keamanan (Security Management Controls)

Operasional Management Controls
              Pengendalian manajemen operasi merupakan jenis pengendalian internal yang didesain untuk pengelolaan sumber daya dan operasi IT pada suatu organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi informasi.
–  Pemisahan tugas dan fungsi
–  Pengendalian personil
–  Pengendalian perangkat keras
–  Pengendalian jaringan
–  Manajemen operasi

Pemisahan tugas dan fungsi
             Pemisahan tugas dan fungsi didesain untuk memastikan bahwa fungsi fungsi yang tidak sejalan (atau seharusnya -­ cek), seperti : fungsi analisis/desain dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu :
–  Pemisahan fungsi departement IT dengan non IT (users) Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan departement IT sehingga meningkatkan pengendalian terhadap akAvitas IT.
–  Pemisahan fungsi dalam departement IT Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan penjadwalan input/output, pemeliharaan media (library).

Pengendalian personil
             Personil mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal-­hal berikut :
–  Adanya prosedur penerimaan dan pemilihan pegawai
–  Adanya program peningkatan keahlian pegawai melalui pelaAhan yang berhubungan dengan bidang tugasnya
–  Adanya evaluasi atas pekerjaan yang dilakukan pegawai
–  Administrasi atas gaji dan prosedur promosi yang jelas
–  Penggunaan uraian tugas (job descrip5on)
–  Pemilihan dan pelaAhan pegawai
–  Penyediaan (supervisi) dan penilaian
–  Penggiliran pekerjaan (job rota5on) dan keharusan mengambil cuA
–  Adanya jenjang karier serta sarana dan aturan untuk mencapainya

Pengendalian perangkat keras
•        Pengawasan terhadap akses fisik Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.
•        Pengaturan lokasi fisik Lokasi ruang komputer merupakan perAmbangan yang penAng dalam pengendalian keamanan komputer
•        Penggunaan alat pengamanan Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan
•        Pengendalian operasi perangkat keras Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut
•        Pengendalian perangkat lunak Pengendalian perangkat lunak didesain untuk memasAkan keamanan dan kehandalan sistem
•        Pengendalian keamanan data Pengendalian keamanan data merupakan suatu Andakan pengendalian untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar Adak hilang dan rusak, atau diakses oleh orang yang Adak berhak

Pengendalian jaringan
             Alat bantu (tools) penAng yang dapat digunakan oleh operator untuk mengelolawide area network adalah network control terminal. Network control terminalmenyediakan akses kepada soLware system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :
–   Memulai dan menghenAkan jaringan dan proses
–   Memonitor aktivitas jaringan
–   Mengganti nama line komunikasi
–   Mengenerate statistic system
–   Menseting ulang panjangnya antrian
–   Menambah frekuensi backup
–   Menanyakan status sistem
–   Mengirimkan system warning dan status message
–   Memeriksa lintasan data pada line komunikasi
Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penAng pada suatu jaringan.

Manajemen operasi
             Saat ini fungsi sistem yang sekarang digunakan pada manajemen operasi adalah komputer mikro secara stand alone, multi user atau jaringan (network) atau dalambentuk client server.
–  Service level agreements
–  Kepustakaan file
–  Fungsi help desk
–  Capacity planning
–  Outsource

Security Management Controls (1)
            Menurut Gondodiyoto (2007, hal. 345) pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer).
–  Kebijakan keamanan IT (IT security policy)
–  Beberapa aspek serangan potensial
–  Mitos-­mitos seputar keamanan komputer
–  Kebijakan keamanan komputer
–  Personil dan kebijakan keamanan computer

Security Management Controls (2)
              Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa ancaman terhadap sistem informasi beserta cara penanganannya:
– Kebakaran
•  Tindakan pengamanan untuk ancaman kebakaran adalah :
•  Memiliki alarm kebakaran otomaAs yang diletakkan di ruangan dimana aset – asetsistem informasi berada.
•  Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
•  Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahanapi.
– Banjir
•  Tindakan pengamanan untuk ancaman kebanjiran, antara lain :
•  Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air. – Perubahan tegangan sumber energi
•  Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik,dapat menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu mengatasi masalah yang terjadi keAka tegangan listrik Aba – Aba turun.


Security Management Controls (3)
– Polusi
•  Tindakan pengamanan untuk menganAsipasi polusi adalah dengan membuat  situasikantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
– Virus dan Worm
•  Tindakan pengamanan untuk mengantisipasi virus dan worm adalah :
•  Preventif, dapat dengan menginstal anti virus dan di-­update secara berkala, melakukan scan atas file yang akan digunakan.
•  Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm.
•  Korektif, memasAkan back up data bebas virus dan worm, pemakaian anti virusterhadap file yang terinfeksi.

  STANDAR DAN PANDUAN UNTUK AUDIT SISTEM INFORMASI

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi. ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

2. IIA COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) danThe Institute of Management Accountants (IMA).

3. ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:
·                     pengorganisasian keamanan informasi;
·                     manajemen aset;
·                     keamanan sumber daya manusia;
·                     keamanan fisik dan lingkungan;
·                     komunikasi dan manajemen operasi;
·                     kontrol akses;
·                     akuisisi sistem informasi, pengembangan dan pemeliharaan;
·                     manajemen insiden keamanan informasi;
·                     manajemen kontinuitas bisnis;
·                     pemenuhan.
 BAB II

AUDIT KEAMANAN INFORMASI: STUDI KASUS PT XYZ

PT XYZ merupakan perusahaan yang bergerak di bidang layanan pengelolaan dokumen. Proses bisnis utamanya yaitu percetakan billing statement atau rekening koran dan penyediaan jasa kurir. Dalam menjalankan bisnisnya, PT XYZ bekerja sama dengan beberapa bank di Indonesia(lokal) dan bank asing, salah satunya adalah Bank ABC. Bank ABC, sebagai salah satu pelanggan PT XYZ merupakan bank yang sudah melakukan sertifiasi ISO 27001.
Bank ABC melakukan audit keamanan informasi pada PT.XYZ selama kurang lebih 2 (dua) bulan, yaitu dari bulan Februari 2012 sampai dengan bulan Maret 2012. Di mana Bank ABC melakukan audit keamanan informasi di PT XYZ, yang meliputi audit terhadap informasi yang diterima, informasi yang diproses, serta informasi yang dicetak dan  didistribusikan kepada pelanggan sesuai alamat pelanggan. Hasil audit Bank ABC berbeda dengan ekspektasi Divisi Teknologi Informasi (TI) PT XYZ selama ini. Sesuai hasil audit keamanan informasi tersebut, keamanan informasi PT XYZ dinilai masih lemah. Selain itu, monitoring dan evaluasi dari pihak yang berwenang dinilai masih kurang, sehingga kriteria keamanan informasi belum terpenuhi. Kurangnya monitoring dan evaluasi ini menjadi salah satu penyebab masalah belum terpenuhinya kriteria keamanan informasi di PT XYZ.
Belum tercapainya kriteria keamanan informasi salah satunya disebabkan karena belum adanya kebijakan dan prosedur keamanan informasi komprehensif, baik yang berlaku pada tingkat operasional (teknis) maupun manajerial. Ekspektasi divisi TI selama ini adalah keamanan informasi perusahaan sudah baik (aman), begitu pula dengan keamanan informasi pelanggan. Hal ini ditunjang dari adanya kebijakan dan prosedur keamanan informasi yang berlaku di PT XYZ.
Ditinjau dari hasil audit bank tersebut, divisi TI memutuskan melakukan audit kepatuhan keamanan informasi untuk menguji apakah tingkat kepatuhan keamanan informasi perusahaan terhadap visi dan misi best services terhadap pelanggan yang sudah memenuhi aspek keamanan informasi dan menguji penga- ruhnya terhadap keamanan informasi perusahaan dan pelanggan. Dari hasil audit kepatuhan keamanan informasi ini, nantinya didapatkan kebijakan dan prosedur yang lemah sehingga dapat diberikan rekomendasi kebijakan dan prosedur yang lebih komprehensif sesuai standar internasional ISO 27001.
Permasalahan yang dihadapi dalam penelitian ini yaitu divisi TI PT. XYZ mengalami kesulitan untuk mengetahui batasan batasan atau ruang lingkup audit yang digunakan oleh bank ABC, sehingga divisi TI hanya terbatas pada audit kepatuhan keamanan informasi terhadap visi dan misi best services perusahaan. Jika di tengah jalan didapatkan kebijakan dan prosedur yang lemah maka akan direkomendasikan kebijakan dan prosedur baru.
Untuk itu penelitian ini ditujukan untuk menjawab pertanyaan penelitian sebagai
berikut:
a. Apakah kepatuhan perusahaan terhadap visi dan misi best services terhadap pelanggan sudah memenuhi aspek keamanan informasi?
b. Apakah Kebijakan dan prosedur yang ada sudah dapat dikatakan best services terhadap aspek keamanan informasi?
c. Apakah rekomendasi kebijakan dan prosedur yang akan dibuat dapat meningkatkan keamanan informasi?
Penelitian ini dilakukan untuk menyelesaikan permasalahan keamanan informasi melalui audit keamanan informasi dengan memberikan rekomendasi perbaikan kebijakan dan prosedur keamanan informasi sehingga lebih komprehensif sesuai praktik terbaik dan standar internasional keamanan
informasi, ISO/IEC 27001: 2005, serta terpenuhinya kriteria keamanan informasi di lingkungan PT XYZ dan pada akhirnya dapat mendukung PT XYZ dalam memberikan best services pengelolaan dokumen kepada pelanggan sesuai dengan visi dan misi PT XYZ.
Sedangkan ruang lingkup dan batasan dalam penelitian ini yaitu hanya terbatas pada audit kepatuhan keamanan informasi untuk memberikan rekomendasi kebijakan dan prosedur guna meningkatkan keamanan informasi di lingkungan PT XYZ sesuai dengan hasil audit yang dilakukan oleh peneliti. Penelitian ini tidak mencakup implementasi, monitoring, dan evaluasi dari rekomendasi perbaikan kebijakan dan prosedur. Data dan informasi yang dimaksud dalam penelitian ini adalah data dan informasi yang dikelola oleh PT XYZ.
 Kerangka kerja dan standar yang menjadi dasar dalam penyusunan kebijakan dan prosedur adalah ISO/IEC 27001: 2005. Dalam penelitian ini tidak dibahas mengenai pemasalahan outsourcing SI/TI di lingkungan PT XYZ dan  keamanan informasi dalam pengiriman dokumen yang dilakukan oleh kurir. Sedangkan best services atau layanan terbaik yang dimaksud dalam penelitian ini adalah pelayanan terhadap keamanan informasi.

Asdian Nurdianto (1B117089)
Analisis Kasus
              PT XYZ bekerja sama dengan beberapa bank di Indonesia(lokal)dan bank asing salah satunya bank ABC sebagai salah satu pelanggan PT XYZ merupakan bank yang hanya sudah melakukan serifikasi ISO 27001. Hasil audit Bank ABC berbeda dengan ekspektasi PT XYZ. Berhubung PT XYZ dinilai masih lemah karena kurangnya monitoring dan evaluasi menjadi masalah belum terpenuhinya kriteria keamanan informasi di PT XYZ.
           Permasalahan yang dihadapi dalam penelitian ini mengalami kesulitan pada batasanan atau ruang lingkup audit yang digunakan oleh bank ABC shingga divisi TI hanya terbatas pada audit keamanan informasi pada visi dan misi best services perusahaan . Sebelum melakukan analisis kesenjangan, terlebih dahulu dilakukan penilaian kesenjangan untuk mengetahui dan membandingkan sejauh apa kontrol-kontrol ISO 27001 yang sudah dilakukan, baik dalam kebijakan, prosedur, instruksi maupun dokumentasinya.
         Hasil penilaian kesenjangan keamanan informasi yang dilakukan melalui wawancara dan observasi sesuai dengan  panduan checklist ISO/IEC 27001:2005 Penelitian memberikan rekomendasi terpenuhinya kriteria keamanan informasi melalui audit keamanan informasi, karena kriteria keamanan informasi PT XYZ yang memberikan best service pengelolaan dokumen kepada pelanggan. best services atau layanan terbaik yang dimaksud dalam penelitian ini adalah pelayanan terhadap keamanan informasi.


Refrensi