Langsung ke konten utama

AUDIT TIS (TEKNOLOGI SISTEM INFORMASI)


TUGAS SOFTSKILL
AUDIT TEKNOLOGI SISTEM INFORMASI






Nama : Windio Yuliar Armanto
NPM : 17115173
Kelas : 4KA19





UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER & TEKNOLOGI INFORMASI (FIKTI)
SISTEM INFORMASI




Pengertian Audit
            Audit Teknologi Informasi merupakan proses pengumpulan dan evaluasi untuk menentukan apakah sistem komputer mengamankan aset, memelihara integritas data, mencapai tujuan organisasi secara efektif, dan mengkonsumsi sumber daya secara efisien, dari semua kegiatan sistem informasi dalam suatu perusahaan maupun organisasi.

Konsep Audit
           Penerapan audit teknologi informasi dibentuk pada pertengahan 1960-an dan sejak saat ini mengalami perkembangan teknologi yang sangat pesat, sehingga telah berubah spesifikasinya. Audit teknologi selalu mengacu pada pemeriksaan kontrol dalam infrastruktur teknologi informasi. Praktek Audit menjamin kelangsungan bisnis dengan mengidentifikasi integritas data organisasi, operasi efektivitas dan tindakan perlindungan untuk melindungi aset teknologi informasi.
            Audit dan kontrol teknologi informasi menjadi penting karena organisasi membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. IT Audit dan Kontrol menjelaskan sebuah proses untuk mereview dan memposisikan IT sebagai instrument penting dalam pencapaian usaha/bisnis korporasi
            IT Audit and Control menggambarkan sebuah proses untuk meninjau dan memposisikan TI sebagai instrumen penting dalam mencapai bisnis / bisnis perusahaan. TI mengaudit dan mengendalikan proses yang sistematis, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan risiko penerapan teknologi.
              Secara umum Audit IT adalah suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit IT lebih dikenal dengan istilah EDP Auditing (Electronic Data Processing), biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer.
            Secara umum dikenal tiga jenis audit, yaitu audit keuangan, audit operasional dan audit sistem informasi (Teknologi Informasi). Audit TI merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapain tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentialy, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Audit TI sendiri merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntasi, Ilmu Komputer, dan Behavioral Science.

Konsep Audit & Kontrol Sistem Informasi terdiri sebagai berikut :

1.      Pengamanan aset yang ditingkatkan, yaitu : Perangkat keras, Perangkat lunak, Fasilitas, Orang-orang, Data, Dokumentasi Sistem, Persediaan
2.      Peningkatan integritas data, yaitu : Kelengkapan, Kesehatan, Kemurnian, Kebenaran
3.      Peningkatan efektivitas sistem
4.      Peningkatan efisiensi sistem, yaitu : Waktu Mesin, Periferal, Perangkat Lunak Sistem, Tenaga kerja


Proses Audit
1.    Merencanakan Audit
·      Tetapkan lingkup dan tujuan
·      Organisir tim audit
·      Kembangkan pengetahuan mengenai operasional bisnis
·      Tinjau hasil audit sebelumnya
·      Identifikasi faktor resiko
·      Siapkan program audit

2.    Mengumpulkan Bukti Audit
·      Pengamatan atas kegiatan operasional
·      Tinjauan dokumentasi
·      Kuesioner
·      Berdiskusi dengan pegawai
·      Pemeriksaan fisik aset
·      Konfirmasi melalui pihak ketiga
·      Melakukan ulang prosedur
·      Pembuktian dengan dokumen sumber
·      Review analitis
·      Pengambilan sample audit

3.    Mengevaluasi Bukti Audit
·      Nilai kualitas pengendalian internal
·      Nilai kehandalan informasi
·      Nilai kinerja operasional
·      Pertimbangkan kebutuhan atas bukti tambahan
·      Pertimbangkan faktor-faktor resiko
·      Pertimbangkan faktor materialitas
·      Dokumentasikan penemuan-penemuan audit

4.    Mengkomunikasikan Hasil Audit
·      Memformulasikan kesimpulan audit
·      Membuat rekomendasi bagi pihak manajemen
·      Mempersiapkan laporan audit
·      Menyajikan hasil-hasil audit kepada pihak manajemen


Teknik Audit
          1.    Audit Pengendalian Entity Level
         Pada bagian ini akan membantu Auditor untuk melihat secara keseluruhan dari perusahaan, seperti : perencanaan strategis dan technology roadmaps, indikator dan matriks kinerja, persetujuan proyek dan proses pengawasan, kebijakan, standar dan prosedur, manajamen karyawan, manajemen aset dan kapasitas, serta konfigurasi sistem dan manajemen perubahan.

2.    Audit Data Centers dan Disaster Recovery
Fasilitas pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data, merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung hampir semua hal yang kritis aktivitas bisnis. Berikut ini merupakan langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
·         Keamanan fisik dan pengendalian lingkungan
            Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut sebagai keamanan fisik dan kontrol lingkungan, termasuk sistem kontrol akses fasilitas, sistem alarm, dan sistem pencegah kebakaran. Sistem ini dirancang untuk mencegah intrusi tanpa izin, mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah penyebaran api.
·         Operasi pusat data
Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur :
1.      Kontrol akses fisik
2.      Pemantauan sistem dan fasilitas
3.      Perencanaan fasilitas, peralatan, pelacakan, dan pemeliharaan
4.      Prosedur respons untuk pemadaman, keadaan darurat, dan kondisi alarm
·         Sistem dan ketahanan situs
            Karena sistem komputer yang berada di pusat data dimanfaatkan untuk diotomatisasi fungsi bisnis, mereka harus tersedia setiap saat bisnis beroperasi. Karena itu, pusat data menggabungkan berbagai jenis kontrol untuk memastikan bahwa sistem tetap tersedia untuk melakukan operasi bisnis yang penting. Kontrol ini dirancang untuk melindungi daya, lingkungan komputasi, dan jaringan area luas (WAN).
·         Kesiapsiagaan bencana
            Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan hal itu ketika bencana melanda suatu pusat data, organisasi fasilitas-fasilitas seperti itu mulai berhenti berdecit. Tugas auditor adalah mengidentifikasi dan mengukur fisik dan administratif kontrol di fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk pengikut :
·         Ketahanan sistem
·         Cadangan dan pemulihan data
·         Perencanaan pemulihan bencanaMengaudit Router, Switch, dan Firewall
3.    Audit  Switch, Routers dan Firewalls
Jaringan adalah latar belakang mendasar dari infrastruktur operasi TI , yang memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer data sekaligus melindungi jaringan, data, dan pengguna akhir. Berikut ini membahas bagaimana meninjau potongan-potongan kritis, infrastruktur sambil membantu untuk melakukannya sebagai berikut :
·         Mengungkap kompleksitas peralatan jaringan.
·         Memahami kontrol jaringan kritis.
·         Tinjau kontrol khusus untuk router, switch, dan firewall.

4.    Audit Sistem Operasi
Sistem operasi Sistem operasi Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien Windows, berikut pembahasan Audit server dan klien windows:
·         Sejarah singkat pengembangan Windows
            Microsoft dan IBM bekerja bersama untuk mengembangkan OS / 2 pada awal 1990-an, tetapi hubungan itu berubah menjadi suram. Microsoft dan IBM berpisah dan pergi arah terpisah, dengan Microsoft kemudian merilis Windows NT pada Juli 1993. Pasar server berevolusi dari Windows NT ke Windows Server 2000, Windows Server 2003, dan kemudian Windows Server 2008.
·         Windows essentials: belajar tentang host target
·         Bagaimana mengaudit server Windows
·         Bagaimana mengaudit klien Windows
·         Alat dan sumber daya untuk meningkatkan audit Windows Anda
Sistem operasi membahas langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
Sejarah Unix dan Linux
            Unix tanggal kembali ke 1969, ketika dikembangkan oleh karyawan di AT & T untuk tujuan menyediakan lingkungan di mana beberapa pengguna dapat menjalankan program. Keamanan yang kuat bukanlah salah satu tujuan pengembangannya. Pada akhir tahun 1970-an, mahasiswa di University of California, Berkeley, melakukan modifikasi ekstensif pada sistem AT & T Unix, menghasilkan varian Unified Software Distribution (BSD) Unix, yang menjadi sangat populer di kalangan akademis. Sekitar waktu yang sama, AT & T mulai mendorong untuk mengembangkan sistem operasi Unix menjadi produk komersial yang sah yang disebut AT & T System V (atau hanya System V). Selama tahun 1980-an, karena minat komersial terhadap sistem operasi Unix meningkat, perusahaan menghadapi dilema dalam memutuskan versi mana dari dua versi Unix yang akan diadopsi. Ultrix SunOS dan Digital Equipment Corporation Sun Microsystems didasarkan pada BSD.
            Dari awal yang sederhana, hobiis pada tahun 1991, Linux tumbuh menjadi rilis 1.0 di 1994. Tetapi bahkan sebelum rilis 1.0, sejumlah “distribusi” Linux dikembangkan, menggabungkan kernel Linux dengan aplikasi dan utilitas sistem. Beberapa contoh distribusi populer saat ini adalah Red Hat, Ubuntu, Debian, SUSE, dan Gentoo.
1.      Perintah dasar untuk berkeliling di lingkungan * nix
2.      Bagaimana mengaudit sistem Unix dan Linux, dengan fokus pada bidang utama berikut:
·         Manajemen akun dan kontrol kata sandi
·         File keamanan dan control
·         Keamanan dan kontrol jaringan
·         Audit log
·         Monitoring keamanan dan kontrol umum
·         Alat dan sumber daya untuk meningkatkan audit

5.    Audit Web Server dan Web Aplikasi
            Pertumbuhan eksplosif di Internet juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman, web browser, database, dan berbeda model client-server. Hasil yang tidak menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
·         Bagaimana mengaudit server web
·         Bagaimana mengaudit aplikasi web


6.    Audit Database
Mengaudit Database membahas tentang audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut yang mempengaruhi operasional keamanan penyimpanan data:
·         Perizinan database
·         Keamanan sistem operasi
·         Fitur kekuatan dan manajemen kata sandi
·         Aktivitas pemantauan
·         Database enkripsi
·         Database kerentanan, integritas, dan proses patching

7.    Audit Penyimpanan
Penyimpanan audit dan dimulai dengan ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang berbeda, dibawah ini mencakup hal-hal berikut:
·         Ikhtisar teknis singkat tentang penyimpanan
·         Bagaimana mengaudit lingkungan penyimpanan
·         Alat dan sumber daya untuk meningkatkan audit penyimpanan Anda

8.    Audit Lingkungan Virtual
Inovasi dalam virtualisasi sistem operasi dan perangkat keras server diubah secara permanen jejak, arsitektur, dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu. Meski fokus adalah hypervisor dan virtualisasi server, bisa menerapkan banyak langkah dan konsep yang sama untuk virtualisasi desktop ,membuat asumsi bahwa komponen sistem ini adalah di bawah kendali , “Mengaudit Komputasi Awan dan Operasi Outsourcing “untuk panduan bagaimana memastikan virtualisasi dari luar lingkungan dikelola dan diamankan dengan benar. Dibawah ini mencakup hal-hal berikut:
·         Sekilas singkat teknis virtualisasi
·         Bagaimana mengaudit lingkungan virtualisasi
·         Alat dan sumber daya untuk meningkatkan audit virtualisasi Anda

9.    Audit WLAN dan Mobile Devices
Mengaudit WLAN dan Telepon genggam yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data. Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang memungkinkan WLAN aktif, jaringan Audit perangkat mobile data-enabled meliputi Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur yang mendukungnya. Pengikuttopik yang dibahas adalah:
Latar belakang teknologi WLAN dan perangkat mobile
            Pada tahun 1990, Institute of Electrical and Electronic Engineers (IEEE) membentuk kelompok untuk mengembangkan standar untuk peralatan nirkabel. Standar 802.11 lahir pada 26 Juni 1997, dibangun di atas lapisan fisik dan data-link dari model OSI untuk memungkinkan perangkat mobile untuk berkomunikasi secara nirkabel dengan jaringan kabel.
            Anda mungkin mendengar Wi-Fi digunakan di tempat WLAN. Wi-Fi adalah merek yang awalnya dilisensikan oleh Aliansi Wi-Fi untuk menggambarkan teknologi yang mendasari berdasarkan spesifikasi IEEE 802.11. Istilah Wi-Fi digunakan secara luas, dan merek tidak lagi terlindungi. Aliansi Wi-Fi awalnya dimulai sebagai inisiatif untuk membantu membawa interoperabilitas ke semakin banyak perangkat yang menggunakan implementasi yang berbeda dari teknologi 802.11. Tabel 11-1 referensi teknologi nirkabel yang paling umum digunakan dalam lingkungan perusahaan. Ketahuilah bahwa beberapa standar lain dalam keluarga 802.11 ada, dan yang tercantum di sini adalah yang paling sering dirujuk untuk penggunaan komersial.
·         Masalah audit penting untuk teknologi ini
·         Langkah dan saran teknis utama mengenai bagaimana mendekati teknologi.
·         Langkah operasional yang diperlukan agar teknologi ini beroperasi secara efisien di jaringan anda.

10.  Audit Aplikasi
Jejak audit Setiap aplikasi unik, apakah mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun, akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan platform teknologi. Topik-topik berikut dibahas dalam bab ini:
Komponen penting dari audit aplikasi
Bagaimana menelusuri kemungkinan masalah dengan kerangka kerja dan konsep kunci
Langkah terperinci untuk mengaudit aplikasi, termasuk yang berikut ini:
·         Kontrol input
·         Kontrol antarmuka

·         Kontrol akses
·         Kontrol perubahan perangkat lunak
·         Backup dan pemulihan
·         Retensi data dan klasifikasi dan keterlibatan pengguna

11.  Audit Cloud Computing dan Outsourced Operations
Mengaudit Komputasi Awan dan Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
Definisi komputasi awan dan bentuk lain dari outsourcing TI
            Institut Nasional Standar dan Teknologi (NIST) mendefinisikan komputasi awan sebagai “model untuk memungkinkan akses jaringan on-demand yang nyaman ke kumpulan sumber daya komputasi yang dapat dikonfigurasi (misalnya, jaringan, server, penyimpanan, aplikasi, dan layanan) yang dapat dengan cepat ditetapkan dan dirilis dengan upaya manajemen minimal atau interaksi penyedia layanan. ”
SAS 70 melaporkan
            Ketika mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Standar Auditing) 70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American Institute of Certified Public Accountants (AICPA) untuk menangani organisasi layanan. Ini pada dasarnya memberikan standar di mana organisasi layanan (seperti yang menyediakan layanan TI) dapat menunjukkan efektivitas kontrol internal mereka tanpa harus membiarkan setiap pelanggan mereka untuk datang dan melakukan audit mereka sendiri.
            Tanpa standar ini, organisasi jasa akan mengeluarkan volume sumber daya yang berlebihan yang menanggapi permintaan audit dari setiap pelanggan. Dengan standar ini, organisasi layanan dapat menyewa auditor layanan independen bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan mengeluarkan laporan. Laporan ini dapat disajikan kepada setiap pelanggan yang membutuhkan bukti efektivitas pengendalian internal organisasi layanan.
·         Kontrol seleksi vendor
·         Item untuk disertakan dalam kontrak vendor
·         Persyaratan keamanan data
·         Masalah operasional
·         Masalah hukum dan kepatuhan peraturan

12.  Audit proyek perusahaan/organisasi
Proyek Perusahaan Audit adalah kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan manajemen proyek audit teknologi informasi:
Kunci keberhasilan manajemen proyek
            Audit proyek dilakukan untuk mengidentifikasi risiko terhadap keberhasilan proyek-proyek perusahaan. Bab ini khusus membahas proyek-proyek TI (seperti pengembangan perangkat lunak, penyebaran infrastruktur, dan penerapan aplikasi bisnis), tetapi konsep-konsepnya bisa berlaku untuk segala jenis proyek.
·         Kebutuhan pengumpulan dan desain awal
·         Desain dan pengembangan system
·         Pengujian
·         Implementasi
·         Pelatihan
·         Membungkus proyek



Regulasi Audit
          Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :
1)        Tahapan Pengidentifikasian
Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait.
2)        Tahapan Evaluasi audit Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.
·         Dampak Regulasi pada Audit TI
Peraturan dampak pada audit TI berkembang sebagai bisnis yang beradaptasi dengan kompleksitas untuk mematuhi beberapa otoritas. Selama dekade terakhir, pemerintah AS telah melewati berbagai tindakan privasi khusus industri dan peraturan lainnya. Masing-masing telah lulus dengan maksud melindungi konsumen bisnis. Akibatnya, internal dan kelompok audit eksternal diberi tugas untuk meninjau ulang proses dan prosedur bisnis memastikan ada kontrol yang sesuai yang melindungi kepentingan bisnis dan konsumen.
Upaya tersebut terdiri anggota parlemen berusaha melindungi konsumen, layanan keuangan mencoba melindungi aset mereka, vendor yang membantu mencoba menjual lebih banyak produk, dan bisnis yang berusaha mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.
Asosiasi Internasional Auditor Internal (IIA) dan Informasi Internasional Sistem Audit dan Pengendalian Asosiasi (ISACA) mempublikasikan pedoman untuk membantu anggota kelompok audit internal dan eksternal ini dalam membentuk kontrol umum dan proses audit. Teknologi dapat mempengaruhi setiap bagian dari bisnis.
 Diarahkan, dikontrol, dan efisien, yang terbaik, teknologi menawarkan keunggulan kompetitif. Yang terburuk, teknologi adalah keunggulan pesaing Anda ketika Anda tidak memiliki kegiatan yang sesuai dan proses di tempat untuk memastikan tata kelola, manajemen risiko, atau kepatuhan manajemen teknologi dan organisasi.



Standar Dan Kerangka Kerja Audit
           Standar Audit Sistem Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006  pada tanggal 25 Februari 2006 bertempat di Jakarta. SASI IASII berlaku bagi seluruh Anggota IASII (sesuai AD/ART IASII) yang melaksanakan kegiatan Audit Sistem Informasi. Standar ini mulai  berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan sebelum tanggal tersebut. Adapun  beberapa aturan yang standarisasikan, antara lain:
1.         Penugasan Audit, mencakup :
a)       Tanggung Jawab
b)       Wewenang dan
c)       Akuntabilitas
2.         Independensi & Obyektifitas
3.         Profesionalisme & Kompetensi
4.         Perencanaan
5.         Pelaksanaan, yang mencakup :
a)       Pengawasan
b)       Bukti-bukti Audit
c)       Kertas Kerja Audit
6.         Pelaporan
7.         Tindak Lanjut
Kerangka Kerja Audit Sistem Informasi dapat diuraikan dalam  beberapa tahapan berdasarkan kerangka pikir manajemen, teknologi informasi dan pertimbangan sistem ahli yang semuanya mengacu pada kerangka kerja menghasilkan laporan audit sistem informasi.
Gaya standar dan Kerangka Kerja
Persyaratan dan praktik bisnis sangat bervariasi di seluruh dunia, seperti juga kepentingan politik dari banyak organisasi yang menciptakan standar. Kemungkinan besar kerangka kerja dan standar tunggal akan muncul dalam waktu dekat untuk memenuhi kebutuhan setiap orang. Kompleksitas pemetaan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi dengan tepat mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi bagaimana cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk menangani kontrol spesifik dari beberapa peraturan dan standar.
Jaringan Frontiers mungkin adalah perusahaan yang paling terkenal yang mencoba hal yang tidak mungkin: membuat pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang ada. Hasilnya disebut IT Unified Compliance Kerangka. Selanjutnya, ini pemetaan diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan beberapa vendor lainnya untuk membantu menjembatani penyelarasan kontrol yang dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas individual.
Satu sudut pandang menunjukkan kerangka adopsi tunggal akan menyederhanakan teknologi pengembangan produk, struktur organisasi, dan tujuan pengendalian. Yang lain sudut pandang menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan yang berbeda memastikan kerangka kontrol yang diterima secara universal tidak akan pernah tercipta.
Kebenaran mungkin terletak di suatu tempat di tengahnya. Meskipun satu set standar internasional tidak dapat dipastikan, alat yang dijelaskan dalam bab ini tetap berfungsi untuk menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.



Manajemen Resiko
          Siklus Hidup Manajemen Risiko TI dimulai dengan identifikasi aset informasi dan berpuncak pada manajemen PT risiko residual. Fase spesifiknya adalah sebagai berikut:
1.    Mengidentifikasi aset informasi: tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi informasi organisasi aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas :
·         Tentukan nilai kekritisan informasi
·         Mengidentifikasi fungsi bisnis
·         Proses informasi peta
·         Mengidentifikasi aset informasi
·         Tetapkan nilai kekritisan pada aset informasi

Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap informasi. Aset merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan ketersediaan.

2.    Mengukur dan memenuhi syarat ancaman: tahap siklus pengelolaan risiko ini memerlukan langkah-langkah berikut :
·         Menilai ancaman bisnis.
·         Mengidentifikasi ancaman teknis, fisik, dan administratif.
·         Mengukur dampak dan kemungkinan ancaman.
·         Mengevaluasi arus proses untuk kelemahan.
·         Mengidentifikasi ancaman komponen-komponen.

3.    Menilai kerentanan: kita akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:
·         Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
·         Tentukan gap kontrol komponen proses.
·         Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
·         Kategorikan kesenjangan kontrol dengan tingkat keparahan.
·         Tetapkan peringkat risiko.

4.    Remediate control gap: pada titik ini, risiko harus dikategorikan tinggi, menengah, atau rendah. Gunakan langkah-langkah berikut dalam remisiasi gap:
  • ·         Pilih kontrol.
  • ·         Melaksanakan kontrol.
  • ·         Validasi kontrol baru.
  • ·         Hitung ulang peringkat risiko
  • ·         Mengelola risiko residual, Fase ini terdiri dari dua tahap
  • ·         Buat garis dasar risiko
  • ·         Menilai kembali risiko

·                                            


Daftar Pustaka

1. IT Auditing : Using controls to protect information assets, Chris Davis, Mike Sciller, McGrowHill, 2011.
2. Audit dan Kontrol Teknologi Informasi, Mardhani Riasetiawan, Inside technology Publiher. 2016




Klik link ini untuk PPT


Komentar

Posting Komentar

Postingan populer dari blog ini

ITIL ( Information Technology Infrastructure Library ) dan IT Service Management

ITIL ( Information Technology Infrastructure Library ) ITIL atau Information Technology Infrastructure Library adalah merupakan sebuah kerangka kerja atau konsep yang menggambarkan praktek terbaik dalam manajemen layanan teknologi informasi (TI)  dan berfokus pada pengembangan dan pengukuran yang terus menerus terhadap kualitas dari layanan IT yang diberikan baik terhadap bisnis atau pelanggan. Fokus dari ITIL sendiri ialah memberikan kontribusi dan keuntungan dalam menjalankan teknik-teknik dan proses-proses pada organisasi. Dalam perkembangannya ITIL telah mengalami perkembangan seiring dengan berkembangnya teknologi informasi. Tujuan Information Technology Infrastructure Library (ITIL) adalah untuk menyediakan petunjuk untuk praktek terbaik dalam manajemen layanan teknologi informasi. Ini mencakup pilihan yang dapat diapdopsi dan diadaptasi oleh organisasi berdasarkan kebutuhan bisnisnya, keadaan, dan kedewasaan dari penyedia layanan. (Sumber:  Anonim1)  Pada awal perkembang
1 komentar
Baca selengkapnya

IMPLEMENTASI SISTEM TERDISTRIBUSI PADA APLIKASI PENJUALAN TIKET PESAWAT ONLINE

IMPLEMENTASI SISTEM TERDISTRIBUSI PADA APLIKASI  PENJUALAN TIKET PESAWAT ONLINE Sistem Terdistribusi Sistem terdistribusi adalaha sistem yang terdiri dari elemen-elemen yang saling berinteraksi secara sistematis dan teratur untuk mendistribusikan data, informasi, obyek dan layanan dari dan kepada pengguna yang terkait didalamnya.             Salah satu contoh implementasi sistem terdistribusi adalah dalam penjualan tiket pesawat secara online. Penggunaan aplikasi pembayaran/transaksi pembelian tiket pesawat terbang online merupakan contoh dari aplikasi pengolahan data terdistribusi, dimana data pembayaran tiket tersimpan di database bank, dan data tiketnya tersimpan di database server maskapai yang menyediakan tiket online. Contoh Aplikasi Penjualan Tiket Pesawat Secara Online: 1.       Tiket Pada aplikasi Tiket terdapat pilihan tiket pesawat, kereta api, dan persewaan mobil, hingga pemesanan penginapan. 2.       Traveloka Traveloka menyediakan layanan book
Posting Komentar
Baca selengkapnya

PEMBAHASAN KEAMANAN SISTEM TERDISTRIBUSI PADA E-COMMERCE (TOKOPEDIA)

PEMBAHASAN KEAMANAN SISTEM TERDISTRIBUSI PADA E-COMMERCE (TOKOPEDIA) Keamanan Pada Sistem Terdistribusi             Dalam sistem terdistribusi, keamanan adalah hal yang sangat penting. Dengan adanya keamanan dapat mencegah resiko kerusakan sistem kebocoran data, kehilangan data dan resiko lainnya. Tujuan utamanya adalah membatasi akses informasi dana sumber hanya untuk user yang diberikan hak akses. Organisasi, perusahaan, dan badan usaha sudah pasti membutuhkan keamanan dalam sistem terdistribusi. Di penulisan ini akan dibahas mengenai keamanan sistem terdistribusi pada e-commerce yaitu Tokopedia.             Sebelum membahas keamanan sistem terdistribusi pada Tokopedia, ada bebeapa hal yang perlu diketahui mengenai empat bidang keamanan dalam sistem terdistribusi. Ancaman Keamanan             Penyerangan pada sistem terdistribusi dibagi 2, yaitu : 1.     Penyerangan Pasif : Hanya mengamati komunikasi data. 2.     Penyerangan Aktif : Memodifikasi komunikasi data a
Posting Komentar
Baca selengkapnya