Audit Keamanan Sistem Informasi pada Bank "X" dengan COBIT 4.1 Proses DS5.

(1)

iii

Universitas Kristen Maranatha

ABSTRAK

Pada saat ini audit sistem informasi sangat diperlukan karena perkembangan teknologi sistem informasi itu sendiri yang semakin maju. Salah satu

framework yang sering digunakan untuk melakukan proses audit ini adalah COBIT. Metode penelitian yang digunakan pada audit ini ialah dengan observasi dan wawancara. Dikarenakan pembahasan ini menyangkut informasi yang sensitif, maka atas permintaan pihak bank, nama bank dirubah menjadi Bank X. Dengan adanya audit ini diharapkan Bank X akan dapat meningkatkan kualitas dari sistem informasi yang sudah ada khususnya pada domain Delivery and Support modul kelima yaitu Ensure Systems Security yang membahas mengenai keamanan sistem informasi.

Keywords : Audit Sistem Informasi, COBIT, Delivery and Support, Ensure Systems Security.

(2)

iv

ABSTRACT

Information System audit is very much needed nowadays because of the technology development of the information system itself that became more sophisticated. One of the most used framework for these audit processes is COBIT. The research methods used in this audit are by observation and interview. Because of the sensitive information provided in this study, therefore at the request of the bank, the name of the bank was changed to X. With this audit X Bank can improve the quality of the information system especially within the fifth module of Delivery and Support domain Ensure Systems Security which covers the security of information system.

(3)

vi

DAFTAR SINGKATAN ... v

DAFTAR ISI...vi

DAFTAR GAMBAR ... viii

BAB I PENDAHULUAN ... 1

1.1. Latar Belakang Masalah... 1

1.2. Rumusan Masalah ... 2

1.3. Tujuan Pembahasan ... 2

1.4. Ruang Lingkup Kajian ... 2

1.5. Sumber Data ... 4

1.6. Sistematika Penyajian ... 4

BAB II KAJIAN TEORI ... 5

2.1. Audit Sistem Informasi ... 5

2.2. Framework ... 6

2.3. COBIT ... 7

2.4. Maturity Level ... 8

2.5. DS5 Ensure Systems Security ... 12

2.6. Kriptografi ... 16

BAB III HASIL AUDIT ... 17

3.1. Proses Bisnis Organisasi ... 17

3.1.1 Proses Pembukaan Deposito ... 17

3.1.2 Proses Pengajuan Kredit ... 19

3.1.3 Proses Pembukaan Rekening Tabungan ... 21

3.1.4 Proses Penutupan Rekening Tabungan ... 22

3.1.5 Proses Kliring Debet ... 24

3.1.6 Proses Kliring Kredit ... 27

3.2. Hasil Analisis ... 29

3.2.1 DS 5.1 Management of IT Security ... 29

(4)

vii

3.2.3 DS 5.3 Identity Management ... 33

3.2.4 DS 5.4 User Account Management ... 35

3.2.5 DS 5.5 Security Testing, Surveillance, and Monitoring... 37

3.2.6 DS 5.6 Security Incident Definition ... 38

3.2.7 DS 5.7 Protection of Security Technology ... 39

3.2.8 DS 5.9 Malicious Software Prevention, Detection, and Correction ... 40

3.2.9 DS 5.10 Network Security ... 41

3.2.10 DS 5.11 Exchange of Sensitive Data ... 43

BAB IV SIMPULAN DAN SARAN ... 45

4.1. Simpulan ... 45

4.2. Saran ... 45

DAFTAR PUSTAKA ... 47

(5)

viii

DAFTAR GAMBAR

Gambar 1 Pembukaan Deposito ... 17

Gambar 2 Pengajuan Kredit ... 19

Gambar 3 Pembukaan Rekening Tabungan ... 21

Gambar 4 Penutupan Rekening Tabungan ... 22

Gambar 5 Kliring Debet ... 24

(6)

1

BAB I PENDAHULUAN

1.1. Latar Belakang Masalah

Dalam era globalisasi ini, perkembangan teknologi yang ada

mempengaruhi kinerja sebuah perusahaan, salah satu teknologi yang sering

digunakan adalah sistem informasi untuk menangani proses bisnis yang

dilakukan perusahaan. Akan tetapi penanganan sistem informasi yang

kurang baik dapat menghambat proses kegiatan perusahaan.

Bank X merupakan sebuah bank yang sudah menerapkan sistem

informasi secara online untuk setiap transaksi perbankan yang terjadi. Salah

satu aspek penting dalam sistem informasi adalah keamanan dan integritas

data yang diproses dalam sistem tersebut, juga diperlukan manajemen

keamanan sistem informasi yang baik untuk menangani celah atau

kelemahan pada sistem yang mungkin bisa dimanfaatkan untuk merusak

data.

Dengan adanya audit sistem informasi ini, Bank X akan dapat

mengenali kelemahan yang terdapat pada sistem, dan menangani masalah

yang terjadi dengan lebih baik dan terencana dan juga dapat melakukan

(7)

1.2. Rumusan Masalah

Keamanan dalam tiap transaksi perbankan sangat penting.

Bagaimana proses manajemen keamanan yang diterapkan pada Bank X?

1.3. Tujuan Pembahasan

Dengan melakukan audit keamanan sistem informasi yang terdapat

pada Bank X, maka akan tercipta manajemen keamanan yang lebih efektif

untuk memperkecil efek dari dampak pada bisnis akibat celah pada

keamanan sistem dan juga menjaga integritas informasi dan perlindungan

aset IT.

1.4. Ruang Lingkup Kajian

Penelitian ini akan terfokus pada domain Delivery and Support pada

sistem informasi Bank X khususnya modul DS5, control objective yang akan

dibahas antara lain:

5.1 Management of IT security

Mengatur keamanan IT sehingga manajemen keamanan sejalan

dengan kebutuhan bisnis.

5.2 IT Security Plan

Membuat perencanaan keamanan IT dan memastikan rencana

tersebut dijalankan dalam bentuk prosedur dan kebijakan perusahaan.

5.3 Identity Management

Memastikan pembuatan identitas dan hak akses pengguna diminta

oleh manajemen pengguna, disetujui oleh pemilik sistem dan

(8)

Universitas Kristen Maranatha 5.4 User Account Management

Menangani permintaan, penciptaan, pengeluaran, penundaan,

perubahan, dan penutupan akun pengguna dan hak user terkait

dengan berbagai prosedur manajemen akun pengguna.

5.5 Security Testing, Surveillance and Monitoring

Menguji dan mengawasi implementasi keamanan IT dengan cara

yang bersifat proaktif.

5.6 Security Incident Definition

Secara jelas mendefinisikan dan mengkomunikasikan berbagai ciri

dari insiden keamanan yang berpotensi terjadi sehingga dapat secara

benar dikenali dan ditangani.

5.7 Protection of Security Technology

Membuat teknologi keamanan yang tahan akan gangguan, dan tidak

menyebarkan dokumentasi keamanan jika tidak perlu.

5.9 Malicious Software Prevention, Detection, and Correction

Menetapkan tindakan pencegahan, pendeteksian, dan koreksi pada

tempatnya (khususnya update keamanan terbaru dan kontrol virus).

5.10 Network Security

Menggunakan teknik pengamanan dan prosedur manajemen (contoh:

firewall, aplikasi keamanan, segmentasi jaringan, deteksi gangguan)

yang berhubungan untuk mengijinkan akses dan mengendalikan arus

informasi dari dan kepada jaringan.

5.11 Exchange of Sensitive Data

Pertukaran data transaksi yang sensitif hanya dilakukan melalui jalur

(9)

1.5. Sumber Data

Penelitian ini akan menggunakan berbagai sumber data antara lain:

1. Referensi tentang proses manajemen keamanan diperoleh dari

CobiT 4.1

2. Information Systems Control and Audit

3. Auditing Information Systems

4. Information Technology Control and Audit 3rd Edition

5. Wawancara dan observasi dokumen Bank X

1.6. Sistematika Penyajian

Secara garis besar laporan ini terdiri dari 4 bab antara lain:

BAB I PENDAHULUAN

Membahas mengenai latar belakang dan rumusan masalah juga tujuan diadakannya audit sistem informasi pada Bank X.

BAB II KAJIAN TEORI

Membahas mengenai sumber teori mengenai audit sistem informasi yang akan dilakukan pada Bank X.

BAB III HASIL AUDIT

Membahas mengenai temuan audit yang diperoleh dari Bank X.

BAB IV SIMPULAN DAN SARAN

Membahas mengenai simpulan yang diperoleh dari audit yang telah dilakukan dan saran untuk memperbaiki atau meningkatkan sistem informasi yang ada.

(10)

45

BAB IV SIMPULAN DAN SARAN

4.1. Simpulan

Berdasarkan hasil audit yang sudah tercapai, maka dapat ditarik

kesimpulan berdasarkan perumusan masalah dan tujuan sebagai

berikut :

Manajemen keamanan sudah ada di Bank X, akan tetapi sebagian

besar dari manajemen tersebut belum optimal terutama pada proses

5.5, 5.6, 5.7, dan 5.10 karena permasalahan keamanan yang terjadi

pada proses tersebut umumnya ditangani oleh pihak IT atau vendor

aplikasi dan belum terdapat prosedur khusus untuk menangani

permasalahan tersebut. Bank X secara garis besar sudah mencapai

level 3 Defined untuk modul DS5.

4.2. Saran

Berikut ini adalah saran yang dapat menjadi bahan pertimbangan

apabila Bank X akan melakukan audit pada modul lain di kemudian

hari :

1. DS8 Manage Service Desk and Incidents

Karena Bank X perlu memiliki prosedur penanganan akan

permasalahan dan insiden yang mungkin terjadi agar masalah bisa

ditangani dengan efisien dan dengan demikian meningkatkan

(11)

Universitas Kristen Maranatha 2. DS10 Manage Problems

Karena Bank X perlu memiliki manajemen penanganan

permasalahan untuk meningkatkan kualitas layanan dan juga

(12)

DAFTAR PUSTAKA

CobiT 4.1. (2007). Rolling Meadows, IT Governance Institute.

Imbar, R. V. (2005). Pelaksanaan Sistem Kontrol Audit Sistem Informasi pada Organisasi. Jurnal Informatika UKM, Vol. I, No. 1, 11-19.

Kromodimoeljo, S. (2009), Teori dan Aplikasi Kriptografi, SPK IT Consulting.

Senft, S., & Gallegos, F. (2009), Information Technology Control and Audit (3rd ed.). New York: Auerbach Publications.