• Tidak ada hasil yang ditemukan

MAKALAH AUDIT TEKNOLOGI SISTEM INFORMASI. Disusun Oleh :

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "MAKALAH AUDIT TEKNOLOGI SISTEM INFORMASI. Disusun Oleh :"

Copied!
22
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 22 Halaman )

Teks penuh

(1)

MAKALAH AUDIT TEKNOLOGI SISTEM

INFORMASI

(PENGONTROLAN TINGKAT ENTITAS AUDIT)

Disusun Oleh :

1. Erlin Novianty (1C114791)

2. Robi Haris (19114756 )

3. Tri Kartika Sari (1A114835)

4. Wida Ramadanti (1C114202)

Dosen : Lily Wulandari

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

JURUSAN SISTEM INFORMASI

(2)

i

KATA PENGANTAR

Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Panyayang, Kami panjatkan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat, hidayah, dan inayah-Nya sehingga kami dapat menyelesaikan makalah yang berjudul “PENGONTROLAN TINGAT ENTITAS AUDIT” dengan mata kuliah Softskill yaitu Audit Teknologi Sistem Informasi..

Makalah ini telah disusun dengan maksimal dan mendapatkan bantuan dari berbagai pihak sehingga pembuatan makalah ini dapat berjalan dengan lancar dan selesai tepat pada waktu. Untuk itu Kami menyampaikan terima kasih kepada semua pihak yang telah membantu dalam pembuatan makalah ini.

Terlepas dari semua itu, Kami menyadari sepenuhnya bahwa makalah ini masih jauh dari sempurna dan ada kekurangan baik dari segi penyusunan kalimat, tata bahasa ataupun makalah ini belum memuat secara lengkap mengenai apa yang dibahas. Oleh karena itu dengan tangan terbuka Kami menerima segala kritik dan saran dari pembaca agar makalah ini dapat diperbaiki.

Akhir kata kami berharap semoga makalah ini dapat dimengerti dan memberikan manfaat maupun inpirasi terhadap pembaca. Wasallam.

Bekasi, Oktober 2017

(3)

ii

DAFTAR ISI

Halaman

Kata Pengantar ... i

Daftar Isi ... ii

PENGONTROLAN TINGKAT ENTITAS AUDIT ... 1

Kesimpulan ... 18

(4)

1

PENGONTROLAN TINGKAT ENTITAS AUDIT

1. Tinjau Struktur Organisasi TI Secara Keseluruhan untuk Memastikannya

Menyediakan Penugasan Wewenang dan Tanggung Jawab yang Jelas atas

Operasi TI dan Menyediakan Segregasi Tugas yang Memadai.

Struktur organisasi TI yang kurang jelas dapat menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi dukungan TI dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi kritis mungkin terbengkalai atau dilakukan secara berlebihan. Jika garis wewenang tidak jelas, maka dapat menyebabkan ketidaksepakatan kepada siapa saja yang memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika tugas IT tidak dipisahkan secara tepat, bisa mengakibatkan aktivitas penipuan dan mempengaruhi integritas informasi dan proses perusahaan.

Bagaimana

Model "satu ukuran cocok untuk semua" untuk organisasi TI tidak ada, dan tidak dapat secara mekanis menggunakan daftar periksa untuk menentukan apakah organisasi TI perusahaan memadai. Sebagai gantinya, harus melihat keseluruhan organisasi dan menerapkan penilaian dalam menentukan apakah elemen itu cukup yang paling penting. Meninjau bagan organisasi TI dan pastikan menunjukkan secara jelas struktur pelaporan. Misalnya, di sebagian besar perusahaan, semua organisasi TI akhirnya melapor kepada petugas informasi utama (CIO) sehingga satu otoritas tertinggi dapat menetapkan peraturan untuk keseluruhan lingkungan TI. Meninjau bagan organisasi IT dan piagam dan memastikan secara jelas dalam bidang tanggung jawab yang terbagi antara organisasi, atau mengevaluasi adanya peluang signifikan.

Berikut adalah beberapa panduan umum dasar yang dapat dipertimbangkan selama peninjauan.

- Personel TI seharusnya tidak melakukan pemasukan data. Jadi, beberapa personil pemasukan data dapat diklasifikasikan sebagai IT di perusahaan mereka.

(5)

2

- Pemrogram dan mereka yang menjalankan / memelihara dukungan untuk sistem seharusnya tidak langsung bisa memodifikasi kode produksi, data produksi, atau penjadwalan kerja struktur.

- Pemrogram dan mereka yang menjalankan / mempertahankan dukungan untuk sistem seharusnya dilakukan terpisah dari mereka yang melakukan dukungan operasi TI (seperti dukungan untuk jaringan, pusat data, sistem operasi, dan sebagainya).

- Organisasi keamanan TI harus bertanggung jawab untuk menetapkan kebijakan dan pemantauan untuk mematuhi kebijakan tersebut.

2. Tinjau Proses Perencanaan Strategis TI dan Pastikan Selaras dengan Strategi

Bisnis. Evaluasi Proses Organisasi TI untuk Memantau Kemajuan Terhadap

Rencana Strategis.

Untuk memberikan keefektifan jangka panjang, organisasi TI harus memiliki semacam strategi mengenai tujuannya. Organisasi IT harus sadar akan kebutuhan bisnis dan perubahan lingkungan yang akan datang dapat merencanakan dan bereaksi. Terlalu banyak organisasi IT melupakan fakta bahwa satu-satunya alasan keberadaannya adalah untuk mendukung perusahaan dalam memenuhi tujuan bisnisnya. Bahkan pada saat ini tujuannya tidak secara langsung mendukung keseluruhan tujuan perusahaan.

Bagaimana

Mencari bukti proses perencanaan strategis di dalam TI, dan memahami bagaimana perencanaan itu dilakukan. Menentukan bagaimana strategi dan prioritas perusahaan digunakan untuk mengembangkan strategi dan prioritas TI. Evaluasi proses yang ada untuk pemantauan berkala terhadap kemajuan prioritas tersebut dan untuk mengevaluasi kembali dan memperbarui prioritas tersebut.

(6)

3

3. Menentukan Apakah Teknologi dan Strategi Perencanaan Aplikasi Telah

Ada, dan mengevaluasi proses untuk teknis perencanaan Jangka Panjang.

TI adalah lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk memahami dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan berisiko menjadi usang dan / atau tidak sepenuhnya memanfaatkan teknologi untuk menguntungkan perusahaan.

Bagaimana

Mencari bukti bahwa perencanaan teknis jangka panjang sedang dilakukan. Untuk dibeli aplikasi dan teknologi, menentukan apakah TI memahami dukungan vendor peta jalan untuk produk tersebut. Organisasi TI harus memahami kapan versi produk tidak lagi didukung dan membuat rencana untuk upgrade atau mengganti produk. Menentukan apakah proses sudah sesuai untuk dipantau perubahan teknologi yang relevan, mempertimbangkan bagaimana perubahan tersebut akan berdampak pada perusahaan, dan mencari peluang untuk menggunakan teknologi baru untuk membantu perusahaan.

4. Tinjau Kembali Indikator Kinerja dan Pengukuran untuk TI. Memastikan

Proses dan Metrik Berada di Tempat (dan Disetujui Oleh Kunci Stakeholder)

untuk Mengukur Kinerja Kegiatan Sehari-hari dan untuk Melacak Kinerja

Terhadap Tingkat Layanan, Anggaran, dan Persyaratan Operasional Lainnya.

Organisasi TI ada untuk mendukung bisnis dan operasi sehari-hari. Jika Standar kinerja minimum tidak ditetapkan dan diukur, sulit untuk bisnis dalam menentukan apakah layanan organisasi TI sedang dilakukan di tingkat yang dapat diterima.

Bagaimana

Mendapatkan salinan metrik yang ditangkap untuk aktivitas rutin organisasi TI (seperti uptime sistem dan waktu respon). Menentukan tujuan metrik tersebut, dan memastikan bahwa pemangku kepentingan yang tepat telah menyetujui tujuan tersebut. Meninjau kembali SLA yang telah ditetapkan untuk mendukung pemangku kepentingan utama TI.

(7)

4

Memastikan proses ada untuk mengukur kinerja aktual terhadap persyaratan SLA dan untuk mengoreksi penyimpangan apapun. Memastikan proses sudah sesuai untuk menetapkan anggaran dan untuk memegang organisasi TI bertanggung jawab untuk memenuhi anggarannya.

5. Tinjau Proses Organisasi TI untuk Menyetujui dan Memprioritaskan Proyek

Baru. Menentukan Apakah Proses ini Memadai untuk Memastikan bahwa

Akuisisi dan Pengembangan Sistem Proyek Tidak Dapat Dimulai Tanpa

Persetujuan. Memastikan bahwa Manajemen dan Pemangku Kepentingan

Utama Meninjau Status Proyek, Jadwal dan Anggaran Secara Berkala

Sepanjang Masa Proyek Penting.

Tanpa proses terstruktur untuk menyetujui dan memprioritaskan proyek TI baru, sumber daya TI mungkin tidak akan dapat digunakan secara efisien. Selain itu, proyek TI mungkin akan mulai tidak memenuhi kebutuhan bisnis dan / atau yang tidak sepenting proyek potensial lainnya dimana sumber daya tersebut dapat digunakan. Tanpa proses yang terstruktur dimana manajemen dan pemangku kepentingan utama secara berkala meninjau kemajuan proyek. Hal ini mungkin akan membuat proyek keluar jalur dan gagal memenuhi tujuan dan tonggak utama.

Bagaimana

Meninjau dokumentasi yang ada mengenai usulan proyek dan proses persetujuan. Evaluasi proses untuk lubang potensial yang memungkinkan proyek dimulai tanpa persetujuan. Mencari bukti bahwa proyek yang diusulkan telah diprioritaskan sebelumnya untuk persetujuan. Mempertimbangkan untuk memilih contoh proyek TI yang aktif dan mendapatkan bukti bahwa itu proyek berjalan melalui proses proposal, prioritas, dan persetujuan yang sesuai. Meninjau bukti bahwa manajemen dan pemangku kepentingan utama secara berkala meninjau kembali status, jadwal, dan anggaran untuk proyek TI yang aktif.

(8)

5

6. Evaluasi Standar untuk Mengatur Pelaksanaan Proyek TI dan untuk

Memastikan Kualitas Produk yang Dikembangkan atau Diakuisisi oleh

Organisasi IT. Menentukan Bagaimana Standar ini Dikomunikasikan dan

Ditegakkan.

Jika standar tidak diterapkan dan diterapkan di lingkungan TI, proyek mungkin akan berjalan dieksekusi dengan cara yang tidak disiplin, masalah kualitas akan ada dalam pengembangan atau pembelian produk, dan lingkungan TI tidak perlu beragam (mengarah ke peningkatan biaya dukungan dan masalah antarmuka potensial).

Bagaimana

Tentukan apakah standar terdokumentasi mengatur bidang-bidang seperti berikut ini. Jika begitu, tinjau ulang standar tersebut dan pastikan mereka memadai. Manajemen proyek untuk panduan mengenai elemen kunci yang harus ada dalam standar manajemen proyek Pengembangan perangkat lunak standar harus ada dalam mengatur pembangunan kode, termasuk standar untuk penamaan, riwayat revisi, komentar, dan panggilan ke program lain tanpa standar, waktu dan usaha yang dibutuhkan bagi satu orang untuk mendukung dan memecahkan masalah kode orang lain meningkat secara signifikan. Konfigurasi sistem Ini termasuk konfigurasi standar untuk laptop, desktop, server, dan paket perangkat lunak pengguna biasa. Standar jaminan kualitas Standar harus ada yang memastikan bahwa proses pengembangan meliputi evaluasi risiko keamanan dan internal persyaratan kontrol.

7. Pastikan bahwa Kebijakan Keamanan TI Ada dan Sediakan Persyaratan

Keamanan Lingkungan yang Memadai. Menentukan Bagaimana Kebijakan

Tersebut Dikomunikasikan dan Bagaimana Kepatuhannya Dipantau dan

Ditegakkan.

Jika kebijakan tidak ada atau memberikan cakupan yang memadai, karyawan dipaksa untuk menebusnya aturan sendiri terkait masalah keamanan. Konsep yang sama meluas ke sistem komputer, yang membutuhkan standar dimana keamanan sistem dapat dievaluasi.

(9)

6 Bagaimana

Verifikasi Cakupan Kebijakan yang memadai. Kebijakan harus mencakup cakupan area berikut:

- Penggunaan aset informasi perusahaan yang dapat diterima oleh karyawan (untuk Misalnya, apakah karyawan bisa menggunakan komputer mereka, internet, dan e-mail untuk alasan pribadi)

- Klasifikasi data, retensi, dan kerusakan

- Konektivitas jarak jauh (misalnya, keamanan dan keamanan jaringan secara keseluruhan persyaratan untuk virtual private network (VPN), dial-up, dan bentuk lainnya hubungan dengan pihak eksternal)

- Sandi

- Keamanan server (seperti persyaratan keamanan untuk server Unix dan Windows) - Keamanan klien (seperti persyaratan keamanan untuk komputer desktop dan laptop) - Akses logis (seperti persyaratan untuk mendapatkan dan memberikan akses sistem)

Verifikasi Pemangku Kepentingan Buy-in

Jika kebijakan keamanan TI dibuat dalam ruang hampa oleh organisasi keamanan TI tanpa melibatkan orang lain, mereka cenderung dipandang tidak realistis dan akan diabaikan.

Verifikasi Proses Sekitar Proses Review

Organisasi keamanan TI harus memfasilitasi proses pengecualian, termasuk penyediaan sebuah rekomendasi dan pendapat tentang risiko yang diajukan oleh permintaan tersebut, namun mereka biasanya harus menghindari membuat keputusan akhir mengenai apakah atau tidak untuk menerima risiko.

8. Mengkaji dan Mengevaluasi Proses Penilaian Risiko yang Ada untuk

Organisasi IT

Tanpa proses ini, organisasi TI tidak akan menyadari risiko terhadap pencapaian tersebut dari tujuannya dan karena itu tidak akan memiliki kemampuan untuk membuat keputusan sadar tentang apakah akan menerima atau mengurangi risiko tersebut.

(10)

7 Bagaimana

Tugas beresiko mekanisme dapat mencakup hal-hal berikut:

- Memantau pengendalian internal di lingkungan TI, termasuk audit internal dan penilaian diri

- Melakukan ancaman formal dan penilaian risiko terhadap pusat data kritis dan system - Melakukan tinjauan berkala terhadap rencana strategis TI dan peta jalan teknis dan

menilai risiko terhadap pencapaian rencana tersebut

- Memonitor kepatuhan terhadap kebijakan keamanan TI dan kebijakan TI lainnya yang relevan

9. Mengkaji dan Mengevaluasi Proses untuk Memastikan bahwa Karyawan TI

di Perusahaan Memiliki Keterampilan dan Pengetahuan yang Diperlukan

untuk Melakukan Pekerjaan Mereka

Jika karyawan di organisasi TI tidak memenuhi syarat untuk melakukan pekerjaan mereka, kualitasnya dari layanan TI akan menjadi miskin Jika mekanisme tidak sesuai untuk pemeliharaan dan peningkatan pengetahuan dan keterampilan karyawan IT, pengetahuan mereka bisa menjadi ketinggalan jaman dan usang

Bagaimana

Tinjau kembali kebijakan dan proses sumber daya manusia (SDM) yang berkaitan dengan karyawan TI. Tinjau bukti itu kebijakan dan proses ini diikuti.

Berikut adalah beberapa contohnya:

- Pastikan deskripsi pekerjaan ada untuk semua posisi TI dan pekerjaan itu deskripsi secara khusus menyatakan pengetahuan dan keterampilan yang dibutuhkan untuk setiap pekerjaan.

- Tinjau ulang kebijakan pelatihan organisasi TI dan pastikan mereka menyediakannya kesempatan bagi karyawan untuk mengikuti kelas pelatihan dan seminar meningkatkan dan memperbarui keterampilan dan pengetahuan mereka.

(11)

8

10. Meninjau dan Mengevaluasi Kebijakan dan Proses Penugasan Kepemilikan

Data Perusahaan, Mengklasifikasikan Data, Melindungi Data Sesuai dengan

Klasifikasi nya, dan Menentukan Siklus Hidup Data.

Meskipun TI bertanggung jawab untuk menyediakan teknologi dan mekanisme untuk melindungi data perusahaan, kerangka kerja harus ada untuk membuat keputusan mengenai tingkat perlindungan diperlukan untuk elemen data tertentu (berdasarkan kekritisan data).

Bagaimana

Tentukan apakah informasi siklus hidup telah dibuat untuk data perusahaan. Untuk sebuah sampel elemen data utama, meninjau dokumentasi persyaratan siklus hidup data, termasuk persyaratan retensi, arsip, dan penghancuran. Idealnya, persyaratan akan diidentifikasi berapa lama data harus aktif (online, mudah diakses, dimodifikasi jika sesuai, dan dicadangkan secara berkala), kapan dan untuk berapa lama mereka harus diarsipkan (mungkin offline, belum tentu mudah diakses, tidak lagi bisa dimodifikasi, dan tidak lagi dicadangkan secara berkala), dan kapan harus dihancurkan.

11. Memastikan bahwa Ada Proses yang Efektif Untuk Dipatuhi oleh Hukum

dan Peraturan yang Berlaku Mempengaruhi TI dan Untuk Mememelihara

Kesadaran akan Perubahan Peraturan di Lingkungan.

Jika perusahaan dinyatakan melanggar undang-undang dan peraturan yang berlaku (seperti Asuransi Portabilitas dan Akuntabilitas Asuransi Kesehatan [HIPAA] dan Sarbanes-Oxley), itu bisa menghadapi hukuman dan denda yang berat, reputasi yang rusak, tuntutan hukum, dan kemungkinan penghentian dari perusahaan.

Bagaimana

Tinjau proses yang digunakan untuk memantau lingkungan peraturan, dan evaluasi efektivitas mereka. Dapatkan daftar peraturan yang sesuai dengan IT yang telah

(12)

9

diidentifikasi, dan mencari bukti bahwa tanggung jawab untuk mematuhi peraturan tersebut telah telah ditugaskan dan sedang dipantau.

12. Mengkaji dan Mengevaluasi Proses untuk Memastikan bahwa Pengguna

Akhir Lingkungan TI dapat Melaporkan Masalah, Terlibat Secara Tepat

dalam Keputusan TI, dan Merasa Puas dengan Layanan yang Diberikan oleh

TI.

Lingkungan TI ada untuk mendukung karyawan perusahaan dalam menjalankan pekerjaan mereka, sangat penting bahwa proses ada dimana karyawan tersebut dapat memberikan masukan terhadap kualitas layanan yang mereka terima. Jika tidak, organisasi TI mungkin tidak selaras dengan pengguna nya dan mereka tidak menyadarinya.

Bagaimana

Pastikan fungsi help desk memberi pengguna akhir kemampuan untuk melaporkan masalah. Meninjau dan mengevaluasi proses untuk menangkap masalah dan memastikan bahwa mereka dilacak untuk menyelesaikan masalah. Carilah bukti bahwa metrik kepuasan pengguna disimpan dan manajemen menindaklanjuti umpan balik pengguna akhir.

Untuk memastikan bahwa help desk tidak mencari kepuasan pelanggan dengan mengorbankan keamanan, mengkaji ulang kebijakan dan proses untuk mendapatkan persetujuan yang benar sebelum menanggapi permintaan pengguna agar reset password dan untuk mendapatkan akses sistem. Carilah keberadaan tim pengarah pelanggan untuk memberi masukan dan prioritas proyek dan perangkat tambahan TI. Untuk area bisnis yang signifikan, pemangku kepentingan utama harus diidentifikasi untuk memberikan panduan kepada organisasi TI mengenai proyek dan keputusan yang mempengaruhi mereka. Tinjau kembali SLA yang telah ditetapkan untuk mendukung pemangku kepentingan utama TI.

(13)

10

13. Meninjau dan Mengevaluasi Proses untuk Mengelola Layanan Pihak Ketiga,

Memastikan bahwa Peran dan Tanggung Jawab Didefinisikan Secara Jelas

dan Kinerjanya Dipantau.

Banyak perusahaan melakukan outsourcing beberapa atau semua proses dukungan TI mereka, termasuk area seperti dukungan PC, server web hosting, dukungan sistem, pemrograman, dan sebagainya. Jika vendor ini tidak dikelola dengan tepat, ini bisa menyebabkan layanan yang buruk dan kualitas yang tidak dapat diterima di lingkungan TI. Bergantung pada bagian lingkungan TI mana yang telah dioutsourcing, masalah ini dapat secara signifikan mempengaruhi operasi perusahaan.

Bagaimana

Tinjau ulang proses pemilihan vendor. Pastikan proses tersebut memerlukan permintaan beberapa penawaran kompetitif, perbandingan masing-masing vendor terhadap kriteria yang telah ditentukan, keterlibatan personil pengadaan berpengetahuan untuk membantu menegosiasikan kontrak, mengevaluasi kemampuan dan pengalaman dukungan teknis vendor yang menyediakan dukungan bagi perusahaan dengan ukuran dan industri yang serupa. Tinjau proses untuk memantau kinerja dan memberikan pengawasan terhadap penyedia layanan pihak ketiga yang ada.

14. Mengkaji Ulang dan Mengevaluasi Proses untuk Mengendalikan Akses

Logis non-karyawan.

Sebagian besar perusahaan mempekerjakan beberapa tingkat outsourcing dan tenaga kerja kontrak untuk menambah tenaga kerja internal mereka. Selain itu, beberapa perusahaan mengizinkan vendor pihak ketiga mendapatkan akses logis ke sistem yang dibeli untuk mendapatkan pemecahan masalah dan tujuan dukungan.

(14)

11 Bagaimana

Pastikan bahwa kebijakan memerlukan persetujuan dan sponsor dari seorang karyawan sebelum seorang karyawan tidak memperoleh akses logis ke sistem perusahaan. Mengkaji ulang dan mengevaluasi proses untuk mengkomunikasikan kebijakan perusahaan (termasuk kebijakan keamanan TI) kepada orang-orang yang tidak bekerja sebelum memberi mereka akses sistem. Meninjau dan mengevaluasi proses untuk menghapus akses logis dari orang-orang yang tidak bekerja bila mereka tidak lagi bekerja dengan perusahaan atau tidak lagi membutuhkan akses. Pastikan perjanjian nondisclosure (NDAs) ditandatangani oleh non-karywan untuk melindungi perusahaan dari penggunaan data perusahaan yang tidak tepat. Tarik sampel akun non-karyawan, dan dapatkan salinan NDA untuk akun tersebut. Pastikan bahwa pertimbangan telah diberikan untuk mengidentifikasi data yang tidak boleh dilakukan oleh orang-orang yang tidak bekerja dan kegiatan yang seharusnya tidak dilakukan oleh orang-orang yang tidak bekerja.

15. Meninjau dan Mengevaluasi Proses untuk Memastikan bahwa Perusahaan

Mematuhi Lisensi Perangkat Lunak yang Berlaku.

Menggunakan perangkat lunak secara ilegal dapat menyebabkan denda, denda, dan tuntutan hukum. Semakin mudah bagi karyawan perusahaan mendownload software dari internet. Jika perusahaan tidak mengembangkan proses untuk mencegah atau melacak aktivitas semacam itu (dan juga melacak penggunaan lisensi perusahaan untuk perangkat lunak yang dibeli), mereka dapat menemukan dirinya tunduk pada audit vendor perangkat lunak tanpa kemampuan untuk memperhitungkan dengan benar penggunaan perusahaan perangkat lunak vendor.

Bagaimana

Mencari bukti bahwa perusahaan memelihara daftar lisensi perangkat lunak perusahaan (seperti untuk Microsoft Office, akun aplikasi ERP, dan sebagainya) dan telah mengembangkan sebuah proses untuk memantau penggunaan lisensi tersebut dan mematuhi persyaratan persetujuan. Tentukan bagaimana lisensi terdesentralisasi

(15)

(non-12

perusahaan) dipantau dan dilacak. Pengelolaan aset perangkat lunak yang benar-benar komprehensif memerlukan database terpusat yang berisi informasi tentang perangkat lunak apa yang dimiliki perusahaan yang berhak menggunakannya (lisensi yang dibeli) dan perangkat lunak apa yang digunakan di lingkungan (lisensi yang digunakan) dan dapat membandingkan keduanya. Uji keefektifan metode yang digunakan di perusahaan Anda baik dengan melakukan pemindaian sendiri pada contoh komputer atau dengan meninjau bukti dari proses perusahaan.

16. Mengkaji dan Mengevaluasi Kontrol atas Akses Jarak Jauh ke dalam

Jaringan Perusahaan (seperti dial-up, VPN, koneksi eksternal khusus).

Mengizinkan akses jarak jauh ke jaringan pada dasarnya menghasilkan jaringan yang diperpanjang melampaui batas normalnya. Kurangnya kontrol yang kuat mengenai akses ini dapat mengakibatkan akses yang tidak tepat ke jaringan dan jaringan yang dikompromikan.

Bagaimana

Pastikan ID pengguna dan kata sandi yang kuat diperlukan untuk akses jarak jauh dan kredensial ini dikirim melalui jalur komunikasi yang aman (seperti yang dienkripsi). Tentukan apakah proses persetujuan diterapkan untuk memberikan akses jarak jauh, terutama untuk orang yang tidak bekerja. Tarik sampel pengguna dengan akses jarak jauh, dan cari bukti persetujuan. Juga mengevaluasi proses untuk menghapus akun akses remote dial-up dan VPN saat karyawan meninggalkan perusahaan. Tarik sampel pengguna dengan remote ac-cess, dan pastikan mereka masih menjadi karyawan aktif.

Evaluasi kontrol untuk memastikan bahwa koneksi eksternal yang didedikasikan untuk anggota bisnis dihapus saat tidak diperlukan lagi. Evaluasi kontrol untuk memastikan bahwa koneksi yang tidak sah tidak dapat dilakukan ke jaringan dan / atau untuk mendeteksi mereka jika memang ada. Pastikan bahwa kebijakan memberikan persyaratan keamanan minimum yang harus dipenuhi oleh semua mesin yang mengakses jaringan dari jarak jauh. Pastikan mesin yang mengakses jaringan jarak jauh tidak diizinkan menjadi dual-homed, yang akan menjembatani jaringan.

(16)

13

17. Memastikan Prosedur Perekrutan dan Pemutusan Hubungan Kerja Jelas dan

Komprehensif.

Prosedur perekrutan memastikan bahwa karyawan diserahkan ke bagian pemeriksaan obat dan pemeriksaan latar belakang, di mana undang-undang setempat mengizinkan, sebelum mulai bekerja dalam organisasi. Prosedur Termi-nation memastikan bahwa akses terhadap sistem dan fasilitas perusahaan dicabut sebelum karyawan yang tidak puas dapat menyebabkan kerusakan dan properti perusahaan dikembalikan. Prosedur pemutusan hubungan kerja atau pemutusan hubungan kerja menyamarkan perusahaan untuk menyabotase atau menyalahgunakan hak istimewa yang dapat mengakibatkan kompromi keamanan informasi. Pastikan bahwa prosedur penghentian meliputi pembatalan akses fisik dan logis, pengembalian peralatan milik perusahaan, dan jika perlu, lakukan pengawasan sementara saat mantan karyawan mengumpulkan barang miliknya.

18. Meninjau dan Mengevaluasi Kebijakan dan Prosedur Pengendalian

Pengadaan dan Pergerakan Perangkat Keras.

Manajemen aset adalah pengendalian, pelacakan, dan pelaporan aset organisasi kepada memfasilitasi akuntansi untuk aset. Tanpa pengelolaan aset yang efektif, perusahaan akan dikenakan biaya peningkatan peralatan duplikat dalam situasi di mana peralatan tersedia namun belum diketahui. Perusahaan juga akan dikenakan biaya yang tidak perlu biaya sewa jika peralatan sewa tidak dilacak secara memadai dan dikembalikan pada waktu. Demikian pula, tanpa pengelolaan aset yang memadai, kondisi peralatan akhir kehidupan mungkin tidak dicatat, mengakibatkan peningkatan risiko kegagalan perangkat keras. Selain itu, pencurian peralatan yang tidak dilacak kemungkinan akan luput dari perhatian. Dalam konteks langkah ini, Aset yang di maksud adalah perangkat keras komputer, seperti desktop, laptop, server, dan begitu seterusnya

(17)

14 Bagaimana

Meninjau dan mengevaluasi kebijakan dan prosedur pengelolaan aset Perusahaan, dan pastikan bahwa mereka mencakup hal berikut:

- Proses pengadaan aset Pastikan proses ini membutuhkan yang sesuai persetujuan sebelum pembelian perangkat keras.

- Pelacakan aset Pastikan perusahaan menggunakan tag aset dan memiliki aset manajemen database

- Persediaan semua peralatan saat ini Pastikan inventaris berisi nomor aset dan lokasi semua perangkat keras, beserta informasi tentang status garansi peralatan, masa sewa habis, dan siklus hidup keseluruhan (itu adalah, bila tidak lagi memenuhi syarat untuk mendapatkan dukungan vendor). Pastikan itu efektif Mekanisme ada agar persediaan ini tetap up to date. Contoh aset tag juga harus diperiksa dan diikat kembali ke inventaris.

- Prosedur pemindahan dan pembuangan aset Pastikan peralatan yang tidak digunakan di simpan dengan aman. Juga pastikan bahwa data terhapus dengan benar peralatan sebelum pembuangan.

19. Memastikan

Konfigurasi

Sistem

Dikendalikan dengan

Perubahan

Manajemen untuk Menghindari Pemadaman Sistem yang Tidak Perlu.

Manajemen perubahan konfigurasi memastikan bahwa perubahan sistem dikendalikan dandilacak untuk mengurangi resiko pemadaman sistem. Ini termasuk perencanaan, penjadwalan, penerapan, dan melacak perubahan pada sistem untuk mengurangi risiko perubahan tersebut ke lingkungan.

Bagaimana

Perubahan aktivitas dapat mempengaruhi dua bidang: perangkat keras dan perangkat lunak (termasuk tingkat sistem operasi perubahan). Pastikan bahwa prosedur pengelolaan konfigurasi termasuk proses sebagai berikut:

- Meminta perubahan (termasuk proses bagi pengguna akhir untuk meminta perubahan)

(18)

15

- Menentukan secara spesifik apa yang harus diubah - Memprioritaskan dan menyetujui usulan perubahan - Penjadwalan perubahan yang disetujui

- Menguji dan menyetujui perubahan sebelum implementasi

- Mengkomunikasikan perubahan yang direncanakan sebelum implementasi - Menerapkan perubahan

- Rolling back (menghapus) perubahan yang tidak bekerja seperti yang diharapkan setelahnya pelaksanaan

Juga tinjau dokumentasi kontrol perubahan untuk memverifikasi bahwa perubahan didokumentasikan secara penuh, disetujui, dan dilacak. Persetujuan harus memasukkan penilaian risiko dan biasanya diberikan oleh panitia yang terdiri dari pemangku kepentingan. kamu harus bisa dapatkan contoh permintaan perubahan kontrol, serta manajemen konfigurasi lainnya dokumentasi, dari manajemen TI.

20. Memastikan Media Transportasi, Penyimpanan, Penggunaan Kembali, dan

Pembuangan Ditangani Secara Memadai oleh Kebijakan Perusahaan dan

Prosedur.

Kontrol media memastikan bahwa informasi yang tersimpan di media penyimpan data tetap rahasia dan terlindungi dari kerusakan atau kerusakan dini. Media yang tidak adekuat kebijakan dan prosedur transportasi, penyimpanan, penggunaan kembali, dan pembuangan mengekspos organisasi untuk kemungkinan pengungkapan atau penghancuran informasi penting yang tidak sah. Satu jenis insiden keamanan yang semakin umum adalah hilangnya media backup saat transit operator pihak ketiga Sejumlah perusahaan ternama telah menjadi korbannya ancaman dalam beberapa tahun terakhir, setelah mengalami kerugian karena tindakan hukum, kerusakan reputasi, dan biaya respon insiden.

(19)

16 Bagaimana

Media komputer, termasuk, namun tidak terbatas pada, backup tape, CD dan DVD, susah disk, drive lompat USB, dan floppy disk, harus dikontrol dengan ketat untuk memastikan data pribadi. Sejak operator cadangan, teknisi komputer, administrator sistem, thirdparty operator, dan bahkan pengguna akhir menangani media penyimpanan, kebijakan dan prosedur media harus membahas peran yang berbeda ini. Saat mengaudit kebijakan dan prosedur pengendalian media, cari yang berikut ini:

- Persyaratan informasi sensitif untuk dienkripsi sebelum mengangkutnya melalui operator pihak ketiga

- Persyaratan media magnetik dicabut secara digital atau degaussed sebelumnya untuk digunakan kembali atau dibuang

- Persyaratan media optik dan kertas dicabik secara fisik sebelum pembuangan

- Persyaratan bagi pengguna untuk dilatih secara memadai tentang bagaimana cara menyimpan dan membuang media komputer, termasuk drive lompat

- Persyaratan media komputer untuk disimpan secara fisik aman, dikontrol suhu, dan kering untuk mencegah kerusakan pada media

Anda bisa mendapatkan informasi ini melalui review kebijakan, prosedur, dan dokumen pelatihan kesadaran keamanan, serta wawancara pengguna.

21. Verifikasi bahwa Pemantauan dan Perencanaan Kapasitas Ditangani Secara

Memadai Menurut Kebijakan dan Prosedur Perusahaan.

Mengantisipasi dan memantau kapasitas fasilitas data center, sistem komputer, dan aplikasi merupakan bagian penting untuk memastikan ketersediaan sistem. Saat perusahaan lalai. Kontrol ini, mereka sering mengalami gangguan sistem dan kehilangan data.

(20)

17 Bagaimana

Tinjau hal berikut ini:

- Dokumen arsitektur yang dipilih untuk memastikan bahwa sistem dan fasilitasnya ada dirancang untuk mengantisipasi kebutuhan kapasitas

- Prosedur pemantauan sistem, memberikan perhatian khusus pada kapasitas ambang batas

- Sistem pemantauan log untuk mengetahui persentase sistem yang ada mendekati atau melampaui batas kapasitas

- Laporan ketersediaan sistem untuk memastikan bahwa masalah kapasitas sistem tidak menyebabkan downtime yang tidak semestinya

Karena manajemen kapasitas ditangani paling sering oleh kelompok yang bertanggung jawab pusat data, aplikasi, atau manajemen sistem, prosedur khusus harus ditangani dalam area ini.

22. Berdasarkan Struktur Organisasi Perusahaan TI dan Proses, Identifikasi dan

Audit Proses Tingkat Entitas IT lainnya.

Dengan mengidentifikasi kontrol TI dasar tersebut, Anda harus dapat mengurangi pengujian selama audit lainnya dan menghindari pengulangan. Misalnya, jika perusahaan Anda hanya memiliki satu produksi pusat data, Anda bisa menguji keamanan fisik dan pengendalian lingkungan itu pusat data sekali Kemudian, saat anda melakukan audit terhadap sistem individual yang ada di dalamnya pusat data itu, alih-alih mengaudit keamanan fisik dan pengendalian lingkungan untuk masing - masing sistem (yang akan sangat berulang karena mereka semua di tempat yang sama), Anda bisa merujuk audit tingkat entitas Anda dari topik tersebut dan melanjutkan.

Selain itu, dengan melakukan audit proses terpusat, Anda akan memiliki pemahaman kompensasi kompensasi potensial di lingkungan TI secara keseluruhan yang dapat mengurangi kekhawatiran anda memiliki kontrol tingkat rendah.

(21)

18

KESIMPULAN

Bab ini membahas bidang-bidang yang diharapkan auditor untuk melihat dalam suatu organisasi. Terdapat 22 tahap pada pengontrolan tingkat entitas audit dan hal tersebut menjadi penting bagi organisasi TI. Entitas disuatu perusahaan tidak sama dengan entitas di perusahaan lain. Jika proses TI terpusat maka baik untuk review pengontrolan tingkat entitas. Sangat penting bagi manajemen untuk berkomunikasi dan mengatur kontrol internal, manajemen risiko, dan tata kelola. Organisasi IT harus sadar akan kebutuhan bisnis dan perubahan lingkungan yang akan datang. Terlalu banyak organisasi IT melupakan fakta bahwa satu-satunya alasan keberadaannya adalah untuk mendukung perusahaan dalam memenuhi tujuan bisnisnya

Kontrol tingkat entitas menunjukkan bahwa manajemen TI adalah tentang pengendalian internal, manajemen risiko, dan tata kelola. Keseluruhan pengontrolan lingkungan organisasi akan berujung pada proses dan fungsi desentralisasi. Sebaliknya, kontrol tingkat entitas lemah meningkatkan kemungkinan kontrol akan lemah di seluruh organisasi, karena manajemen puncak belum menunjukkan dan mengkomunikasikannya kepada organisasi yang menilai pengendalian internal. Hal ini sering menyebabkan ketidakkonsistenan di tingkat bawah, karena kepribadian dan nilai-nilai tingkat bawah Manajer akan menjadi satu-satunya faktor penentu dalam seberapa serius pengontrolan internal dilakukan dalam organisasi.

(22)

19

DAFTAR PUSTAKA

Schiller, Mike and Chris Davis with Kevin Wheeler. 2011. IT Auditing : Using

Referensi

Unduh sekarang ( PDF - 22 Halaman - 350.91 KB )

Dokumen terkait

PERANCANGAN TATA KELOLA JAMINAN KETERSEDIAAN LAYANAN TEKNOLOGI INFORMASI PADA RUMAH SAKIT UMUM DAERAH (RSUD) KABUPATEN SIDOARJO

service desk dan insiden, dan pemahaman akan pengelolaan operasi. Manajemen secara konsisten mengkomunikasikan perlunya perencanaan untuk memastikan layanan yang

TUGAS AKHIR. Program Studi S1 Sistem Informasi. Oleh: ISNAINI HAYATI FAKULTAS TEKNOLOGI DAN INFORMATIKA UNIVERSITAS DINAMIKA 2022

Pelanggan menuju website perusahaan, pelanggan akan melihat tampilan awal beranda website, pelanggan mencari produk Kesehatan sesuai kebutuhan, pelanggan melakukan

Audit Sistem Keamanan Teknologi Informasi di PT. MNC Sekuritas Menggunakan COBIT 4.1 Domain DS5

Berdasarkan uraian yang telah di jelaskan pada bab sebelumnya, dapat disimpulkan bahwa tingkat kematangan (maturity level) pengelolaan proses untuk memastikan

AUDIT SISTEM INFORMASI MENGGUNAKAN FRAMEWORK COBIT 4.1 PADA PT. ANEKA SOLUSI TEKNOLOGI

DS2 Manage Third-party Services Proses ini merupakan kebutuhan untuk memastikan bahwa layanan yang diberikan oleh pihak ketiga (pemasok, vendor dan mitra) memenuhi

BAB I PENDAHULUAN. menyadari bahwa sistem informasi berperan penting di dalam memenangkan

Hal ini lah yang mendorong peneliti untuk meneliti mengenai kepuasan pelanggan dan niat pembelian ulang pada aplikasi ojek online Grab Di Kota Kudus serta mengevaluasi

AUDIT MANAJEMEN INSIDEN PADA UNIT TEKNOLOGI SISTEM INFORMASI MENGGUNAKAN COBIT 5 DSS02 PADA PDAM SURYA SEMBADA KOTA SURABAYA

Berdasarkan latar belakang yang saya jelaskan, penelitian tugas akhir ini bertujuan untuk menghasilkan dokumen audit service desk dengan menggunakan manajemen insiden pada

Makalah Sistem Informasi Manajemen Audit

Singkatnya, audit perangkat keras bertujuan untuk menjamin bahwa (a) konfgurasi perangkat keras yang dimiliki perusahaan sesuai dengan kebutuhan informasi, baik untuk

Ecodemica, Vol. No. April 2016

Kerangka Pemikiran Hipotesis Tujuan dari penelitian ini adalah untuk mengkaji tentang pengaruh experiential marketing terhadap kepuasan pelanggan dan minat beli ulang konsumen,