Sabtu, 27 Oktober 2018

Audit Teknologi Informasi (Tugas-1) (Kelompok 1)



“Auditing Routers, Switches dan Firewalls”




Disusun Oleh :
Kelompok 1
Akbar Fauzi Laksono (10115415)
Ivan Revaldi  (13115502)
Malik Abdul Jabbar  (14115005)
Robby Rahman Kusuma (16115222)






KELAS 3KA08
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
Mata Kuliah : Audit Teknologi Sistem Informasi
Dosen :  Priyo Sarjono W, SKom., MMSI





Audit Teknologi Sistem Informasi
(Tugas-1)


1.     Konsep Audit


Ø Misi Departemen Audit Internal

Sebagian besar departemen audit dibentuk oleh komite audit perusahaan (bagian dari dewan direksi) untuk memberikan komite dengan jaminan independen bahwa pengendalian internal sudah berjalan dan berfungsi secara efektif. Dengan kata lain, komite audit menginginkan kelompok obyektif yang akan menceritakan apa yang "benar-benar terjadi" di perusahaan. Panitia menginginkan seseorang yang dapat dipercaya untuk mengungkapkan semua penjahat yang menolak untuk menerapkan kontrol internal. Departemen audit internal biasanya melapor langsung kepada ketua komite audit, sehingga mereka merasa terlindung dari dampak yang dapat dihasilkan dari meniup peluit pada gerombolan manajer yang tidak jujur dalam perusahaan.

Singkatnya, misi departemen audit internal ada dua:

·   Untuk memberikan jaminan independen kepada komite audit (dan manajemen senior) bahwa pengendalian internal ada di perusahaan dan berfungsi secara efektif.
· Untuk meningkatkan keadaan pengendalian internal di perusahaan dengan mempromosikan kontrol internal dan dengan membantu perusahaan mengidentifikasi kelemahan kontrol dan mengembangkan solusi yang hemat biaya untuk mengatasi kelemahan tersebut.

Ø Kebebasan

Kebebasan adalah salah satu prinsip dasar departemen audit. Ini juga merupakan salah satu alasan terbesar yang digunakan oleh departemen audit untuk menghindari penambahan nilai. Hampir semua departemen audit menunjukkan kebebasan mereka sebagai salah satu kunci keberhasilan mereka dan alasan bahwa komite audit dapat bergantung pada mereka.

Meskipun departemen audit melaporkan kepada anggota dewan direksi, di hampir setiap perusahaan, direktur audit juga melaporkan kepada CFO atau CEO perusahaan Gambar 1. Anggaran untuk departemen audit biasanya dikendalikan oleh eksekutif ini, dan begitu juga kompensasi yang dibayarkan kepada anggota departemen audit. Sulit untuk melihat bagaimana seseorang dapat merasakan bahwa dia tidak dipengaruhi oleh orang-orang ini. Selain itu, auditor internal umumnya bekerja di gedung yang sama dengan sesama karyawan mereka, tidak dapat dihindarkan lagi membentuk hubungan di luar departemen audit. Auditor memiliki rencana 401k sama seperti semua karyawan lain, biasanya sebagian besar terdiri dari saham perusahaan. Oleh karena itu, keberhasilan perusahaan adalah kepentingan utama bagi auditor.
Gambar 1 Struktur Pelaporan Tim Audit

Ø Konsultasi dan Keterlibatan Awal

Ada lebih banyak untuk menjadi auditor daripada audit. Meskipun melakukan audit formal adalah fungsi yang penting dan penting dari departemen audit, biaya untuk mengoreksi masalah dan menambahkan kontrol pasca-implementasi secara signifikan lebih tinggi daripada biaya melakukannya dengan benar pada kali pertama. Dalam hal independensi, tidak ada perbedaan antara penyediaan penilaian sistem atau solusi sebelum implementasi dan memberikan penilaian setelah implementasi. Namun, ada perbedaan dalam seberapa banyak nilai yang ditambahkan oleh auditor kepada perusahaan.

Ø Empat Metode untuk Konsultasi dan Keterlibatan Awal

Sekarang telah ditetapkan bahwa tidak masalah untuk berbicara dengan sesama karyawan tentang kontrol internal bahkan ketika Anda tidak mengauditnya, mari kita bicara tentang beberapa cara terbaik untuk melakukan ini. Kami akan membahas empat metode untuk mempromosikan kontrol internal di perusahaan di luar audit formal Anda:

a)  Keterlibatan awal

Perusahaan manufaktur mana pun akan memberi tahu Anda bahwa lebih murah untuk membangun kualitas menjadi produk daripada mencoba menambahkannya setelah fakta. Kontrol internal adalah cara yang sama: Setelah Anda membuat sistem, mengujinya, dan menerapkannya, akan jauh lebih mahal untuk kembali dan mengubahnya daripada jika Anda melakukannya dengan benar pada kali pertama. Sebagai auditor, Anda juga lebih mungkin menghadapi penolakan setelah penerapan. Setiap orang telah pindah ke proyek lain, dan tidak ada yang termotivasi untuk kembali dan membuat perubahan pada proyek yang sudah selesai. Di sisi lain, jika Anda dapat memberikan persyaratan pengendalian internal di awal proses, mereka hanya menjadi bagian lain dari lingkup proyek untuk pelaksana, dan mereka tidak terlalu mempedulikannya (dengan ketentuan bahwa persyaratan kontrol adalah wajar).

b)  Audit informal

Salah satu masalah yang dihadapi hampir setiap departemen di hampir setiap perusahaan adalah kendala sumber daya. Tidak pernah ada cukup waktu untuk melakukan semua hal yang ingin Anda lakukan, dan sebagian besar departemen tidak punya waktu untuk mengatasi semua risiko di luar sana. Selalu ada permintaan untuk audit yang tidak dapat Anda penuhi. Sadarilah bahwa jika audit Anda harus menyeluruh, Anda akan memiliki waktu untuk mengaudit hanya beberapa area setiap tahun. Faktanya, jika proses penjadwalan audit Anda murni berbasis risiko (bukannya memiliki segalanya pada rotasi tertentu), beberapa area tidak akan pernah melakukan pemotongan. Anda mungkin tidak akan pernah pergi ke komite audit dan melaporkan bahwa salah satu dari lima belas risiko teratas yang perlu Anda tinjau untuk tahun ini adalah pusat data kecil di lokasi terpencil yang mendukung segelintir orang yang melakukan bisnis yang kurang penting. proses. Tetapi apakah ini berarti Anda tidak boleh bekerja dengan karyawan tersebut untuk membantu mereka memahami keadaan kontrol internal mereka? Apakah ini berarti Anda tidak pernah memahami risiko di situs itu? Harus ada beberapa cara untuk melakukan peninjauan atas area-area tersebut tanpa mengubahnya menjadi upaya besar yang tidak perlu. Audit informal adalah mekanisme yang digunakan.

c)   Berbagi pengetahuan

Sebagai auditor internal, Anda memiliki perpaduan unik dari pengetahuan perusahaan dan keahlian dalam kontrol internal. Departemen audit internal harus kreatif dalam menemukan cara-cara baru untuk berbagi pengetahuan uniknya dengan bagian lain perusahaan. Tentu saja, banyak berbagi pengetahuan harus terjadi ketika Anda melakukan audit, ketika Anda melakukan tinjauan konsultasi, dan ketika Anda memberikan masukan sebagai bagian dari aktivitas keterlibatan awal Anda. Namun, ini masih menyisakan beberapa celah. Di bagian ini, kita akan membahas cara menutup beberapa celah yang tersisa.

d)  Penilaian-diri

Tentunya, untuk beberapa audit satu kali, jika Anda belum pernah meninjau area sebelumnya dan akan bertahun-tahun sebelum Anda meninjaunya lagi, ini tidak akan praktis. Namun, untuk teknologi dan topik umum, sangat berguna untuk memberikan panduan kontrol yang menjelaskan berbagai hal yang biasanya Anda ulas selama audit. Area yang dibahas dalam Bagian II buku ini adalah kandidat yang baik untuk ini. Mengapa tidak membiarkan orang tahu apa yang Anda cari ketika mengaudit Unix, misalnya? Mengapa tidak membiarkan mereka tahu jenis dasar kontrol yang Anda cari ketika mengaudit aplikasi? Ini tidak hanya akan membantu orang mempersiapkan audit Anda, tetapi ini juga akan memberikan informasi yang sangat baik bagi orang lain di perusahaan yang mungkin tertarik tetapi Anda tidak memiliki rencana untuk mengaudit.

2.     Proses Audit

Terdapat 6 fase utama pada proses audit sebagai berikut :

1.    Perencanaan

Tujuan dari proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit. Anda perlu menentukan apa yang ingin Anda capai dengan peninjauan. Sebagai bagian dari proses ini, Anda harus mengembangkan serangkaian langkah yang akan dilaksanakan untuk mencapai tujuan audit. Proses perencanaan ini akan membutuhkan penelitian, pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan audit:

Ø Hand-off dari Manajer Audit

Jika audit dimasukkan dalam rencana audit, pasti ada alasannya. Manajer audit harus menyampaikan kepada tim audit informasi yang mengarah pada audit yang dijadwalkan. Ini mungkin termasuk komentar dari manajemen TI dan / atau kekhawatiran yang diketahui di daerah tersebut. Faktor-faktor yang menyebabkan audit yang dijadwalkan perlu dicakup dalam rencana audit. Selain itu, manajer audit harus dapat menyediakan tim audit dengan kontak kunci untuk audit.

Ø Survei Awal

Tim audit harus meluangkan waktu sebelum setiap audit melakukan survei awal dari area yang diaudit untuk memahami apa yang akan ditanggung audit. Kemungkinan ini akan mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem atau proses yang sedang ditinjau, serta meninjau dokumentasi yang terkait. Tujuannya adalah untuk mendapatkan latar belakang dasar dan pemahaman tentang area yang akan ditinjau. Ini diperlukan untuk melakukan penilaian awal risiko di daerah tersebut.

Ø Permintaan Pelanggan

Tim audit harus menanyakan kepada pelanggan bidang apa yang mereka pikir harus ditinjau dan bidang apa yang menjadi perhatian. Masukan ini harus dikaitkan dengan hasil penilaian risiko objektif auditor untuk menentukan ruang lingkup audit. Tentu saja, terkadang auditor tidak akan menggunakan input pelanggan. Sebagai contoh, kadang-kadang pelanggan audit akan khawatir tentang area yang lebih bersifat operasional dan tidak memiliki dampak pengendalian internal. Dalam kasus seperti itu, sangat sah bagi tim audit untuk menjaga area tersebut di luar ruang lingkup audit, dengan penjelasan kepada pelanggan tentang mengapa tim audit tidak diposisikan untuk mengeksekusi permintaan tersebut. Penting juga untuk tidak membiarkan pelanggan mengarahkan auditor menjauh dari meninjau area penting. Para auditor harus akhirnya menerapkan penilaian terbaik mereka. Namun, mendapatkan masukan pelanggan dan memasukkannya ke dalam rencana audit di mana mungkin akan membuat pelanggan merasa memiliki dalam proyek audit dan mengoptimalkan komunikasi yang terbuka dan jujur.

Ø Checklist Standar

Checklist audit standar untuk area yang sedang ditinjau sering tersedia. Daftar periksa ini dapat berfungsi sebagai titik awal yang sangat baik untuk banyak audit. Selain itu, departemen audit mungkin memiliki daftar periksa sendiri untuk sistem dan proses standar di perusahaan. Memiliki daftar periksa audit standar yang dapat diulang untuk area umum dapat memberikan awal yang berguna untuk banyak audit. Daftar periksa tersebut, bagaimanapun, harus dievaluasi dan diubah seperlunya untuk setiap audit spesifik. Memiliki daftar periksa standar tidak menghilangkan persyaratan bagi auditor untuk melakukan penilaian risiko sebelum setiap audit.

Ø Penelitian

Akhirnya, Internet, buku, dan materi pelatihan harus dirujuk dan digunakan sebagaimana mestinya untuk setiap audit untuk memperoleh informasi tambahan tentang area yang diaudit.

2.    Kerja lapangan dan dokumentasi

Sebagian besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.

Jika memungkinkan, auditor harus mencari cara untuk memvalidasi secara independen informasi yang diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna yang baru saja ditambahkan untuk melihat apakah mereka memang menerima persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan bahwa proses sedang diikuti daripada wawancara.

Dokumentasi juga merupakan bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat dibuktikan. Tujuannya adalah mendokumentasikan pekerjaan itu secara cukup rinci sehingga orang yang berpengetahuan cukup dapat memahami apa yang telah dilakukan dan sampai pada kesimpulan yang sama seperti auditor. Auditor pada dasarnya harus menceritakan sebuah kisah: “Inilah yang saya lakukan. Inilah yang saya temukan. Inilah kesimpulan saya. Inilah alasan mengapa saya mencapai kesimpulan itu. ”Jika suatu proses ditinjau, prosesnya harus dijelaskan, dan poin kontrol utama dalam proses itu harus disorot. Jika suatu sistem atau teknologi ditinjau ulang, pengaturan khusus dan data yang ditinjau harus diuraikan (bersama dengan bagaimana informasi itu diperoleh) dan ditafsirkan.

3.    Penemuan dan validasi masalah

Saat melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor harus berhati-hati untuk menggosok daftar masalah potensial untuk memastikan bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi pelanggan Anda, tetapi juga bisa tidak menyenangkan bagi Anda, karena Anda mungkin menemukan bahwa tidak semua informasi Anda akurat dan tidak semua masalah Anda valid. Daripada membuat kasus federal dari setiap masalah potensial, ambil pendekatan yang lebih informal: “Hei, saya pikir saya menemukan sesuatu yang memprihatinkan. Dapatkah saya mendiskusikannya dengan Anda untuk memastikan saya memiliki fakta yang benar dan memahami risiko dengan benar? ”Ini memungkinkan pelanggan untuk bekerja dengan Anda dalam memvalidasi masalah dan juga mendorong pelanggan untuk mengambil kepemilikan masalah.

Selain memvalidasi bahwa Anda memiliki fakta-fakta Anda secara langsung, Anda perlu memvalidasi bahwa risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah. Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan.

4.    Pengembangan solusi

Setelah Anda mengidentifikasi masalah potensial di area yang Anda audit dan telah memvalidasi fakta dan risiko, Anda dapat bekerja dengan pelanggan Anda untuk mengembangkan rencana tindakan untuk mengatasi setiap masalah. Jelas, hanya mengangkat isu-isu yang dilakukan perusahaan tidak ada gunanya kecuali masalah-masalah itu benar-benar diatasi. Tiga pendekatan umum digunakan untuk mengembangkan dan menugaskan item tindakan untuk mengatasi masalah audit:

Ø Pendekatan rekomendasi

Berikut ini adalah skenario umum untuk pendekatan ini. Tim audit menemukan tidak ada proses untuk memastikan bahwa pengguna memiliki patch keamanan terbaru pada PC mereka sebelum terhubung ke jaringan. Mereka menyajikan masalah ini kepada pelanggan, bersama dengan rekomendasi yang mengatakan, "Kami merekomendasikan bahwa proses untuk memastikan bahwa pengguna memiliki patch keamanan terbaru pada PC mereka sebelum mereka diizinkan untuk terhubung ke jaringan," atau sesuatu sama cemerlang dan berguna. Auditor kemudian bertanya kepada pelanggan ketika prosesnya selesai. Pelanggan membuang tanggal untuk membebaskan auditor dari belakang, umumnya tanpa memikirkan apa yang sebenarnya dibutuhkan oleh pekerjaan. Para auditor pergi dengan senang karena rekomendasi mereka diterima, dan mereka memiliki tanggal jatuh tempo.

Ø Pendekatan manajemen-respons

Dengan pendekatan manajemen-respons, auditor mengembangkan daftar masalah dan kemudian melemparkannya ke pelanggan untuk respon dan rencana tindakan mereka. Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi. Selain itu, pelanggan seharusnya mengirim kembali tanggapan mereka, yang termasuk dalam laporan audit. Ini cocok untuk penunjuk jari dan panggilan nama yang sopan. Auditor menulis, “Ada masalah. Kami menyarankan agar mereka memperbaikinya. ”Manajemen kemudian menulis kembali,“ Kami pikir ini bodoh, tapi kami akan melanjutkan dan menerapkan solusi setengah matang yang kami percaya tidak menambah nilai untuk membuat auditor terlena. ”Atau bahkan lebih buruk lagi, tanggapan manajemen mungkin lebih seperti ini: “Kami pikir ini bodoh dan tidak akan melakukan apa-apa. Auditor bisa melompat di danau. "Dalam kasus seperti itu, auditor dapat memasukkan tanggapan balasan mereka, mengatakan sesuatu seperti ini:" Bisakah Anda mempercayai orang-orang ini? Mereka jelas tidak peduli dengan kontrol. Kami akan memberi tahu CEO dan membuat mereka dalam masalah. "

Ø Pendekatan solusi

Dengan menggunakan pendekatan ini, auditor bekerja dengan pelanggan untuk mengembangkan solusi yang mewakili rencana aksi yang dikembangkan bersama dan disepakati untuk mengatasi masalah yang diangkat selama audit. Ini adalah kombinasi dari dua pendekatan sebelumnya, membawa yang terbaik dari masing-masing. Seperti halnya pendekatan rekomendasi, auditor menyediakan ide untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi berdasarkan pengetahuan operasional keadaan mereka. Hasilnya adalah solusi bahwa pelanggan "memiliki" dan itu memuaskan bagi auditor. Karena mereka memiliki masalah kepemilikan, pelanggan jauh lebih mungkin untuk menindaklanjuti.

5.    Laporan draf dan penerbitan

Setelah Anda menemukan masalah di lingkungan yang diaudit, memvalidasi mereka dengan pelanggan, dan mengembangkan solusi untuk mengatasinya, Anda dapat menyusun laporan audit. Laporan audit adalah kendaraan yang digunakan untuk mendokumentasikan hasil audit. Ini melayani dua fungsi utama:

·      Bagi Anda dan pelanggan audit, ini berfungsi sebagai catatan audit, hasilnya, dan rencana aksi yang dihasilkan.
·      Untuk manajemen senior dan komite audit, berfungsi sebagai "kartu laporan" di area yang diaudit.

6.    Pelacakan masalah

Biasanya bijaksana bagi auditor yang melakukan atau memimpin audit untuk bertanggung jawab untuk menindaklanjuti poin-poin dari audit tersebut dengan pelanggan yang bertanggung jawab sebagai tanggal jatuh tempo untuk setiap titik pendekatan. Auditor tidak boleh menunggu sampai poin jatuh tempo atau lewat jatuh tempo sebelum menghubungi pelanggan, tetapi harus berada dalam kontak reguler terkait status masalah. Ini melayani sejumlah tujuan. Pertama, memungkinkan auditor untuk berkonsultasi dengan pelanggan saat keputusan sedang dibuat. Kedua, memungkinkan auditor untuk diberitahu lebih awal jika solusi yang diterapkan tidak sesuai dengan harapan. Dengan cara ini, auditor dapat mencoba untuk mengalihkan kegiatan sebelum hal-hal diselesaikan. Ketiga, jika masalah tidak diselesaikan, itu memungkinkan departemen audit untuk mencoba mengatasi masalah sebelum titik menjadi terlambat.


3.     Teknik Audit (Auditing Routers, Switches dan Firewalls)


Ø Latar Belakang

Bermula pada tahun 1962, ketika Paul Baran dari RAND Corporation ditugaskan oleh Angkatan Udara AS untuk mempelajari cara mempertahankan kontrol atas pesawat dan senjata nuklir setelah serangan nuklir. Proyek ini terutama dimaksudkan untuk menjadi jaringan militer yang akan memungkinkan angkatan bersenjata untuk mempertahankan komunikasi dengan komando lain di seluruh Amerika Serikat dalam hal bencana. Jaringan baru membawa tujuan memungkinkan angkatan bersenjata untuk mempertahankan kendali senjata nuklir yang diperlukan untuk meluncurkan serangan balik.

Pada tahun 1968, ARPA (Advanced Research Projects Agency) memberikan kontrak ARPANET (Advanced Project Projects Agency Network) ke BBN (Bolt, Beranek, dan Newman). Jaringan fisik dibangun pada 1969, menghubungkan empat simpul: Universitas California di Los Angeles, Stanford Research Institute (SRI), Universitas California di Santa Barbara, dan Universitas Utah. Jaringan itu terhubung bersama hanya menggunakan sirkuit 50-kbps. Dari sana, Internet dikembangkan dan terbang ke masyarakat modern; hari ini berfungsi sebagai tulang punggung setiap perusahaan besar di planet ini. Pada tahun 1973, pengembangan dimulai pada protokol yang kemudian disebut Transmission Control Protocol / Internet Protocol (TCP / IP), tetapi itu adalah 1977 sebelum didemonstrasikan. Protokol baru ini dibuat untuk memungkinkan beragam jaringan komputer saling terhubung dan berkomunikasi satu sama lain. Sepuluh tahun kemudian, pada tahun 1983, TCP / IP menjadi Protokol Internet inti pada ARPANET.

Ø Pentingnya Audit Jaringan

Jaringan memungkinkan host untuk berkomunikasi menggunakan perangkat keras khusus yang dioptimalkan untuk mengirimkan data dari satu host ke yang lain. Pada dasarnya, perangkat keras adalah komputer yang menjalankan sistem operasi yang dirancang untuk memindahkan data. Perangkat jaringan seperti router, switch, dan firewall memiliki komponen dasar yang akan Anda temukan di server Anda, kecuali mereka sangat disesuaikan. Perangkat ini berisi prosesor khusus dengan instruksi yang tertanam yang dirancang untuk memproses gerakan data dengan cepat dan efisien. Mereka juga memiliki memori, sistem operasi, dan sarana untuk mengkonfigurasi perangkat.

Ø Protokol

Tuan rumah berkomunikasi satu sama lain dengan terlebih dahulu menggunakan bahasa yang sama, atau protokol. Perangkat keras dan perangkat lunak yang menangani komunikasi harus tahu cara berkomunikasi di antara berbagai perangkat di jaringan. Protokol menentukan aturan di mana perangkat setuju untuk komunikasi. Sebuah analogi sederhana mungkin seorang teman yang berbicara dalam bahasa yang berbeda. Misalnya, jika teman saya hanya berbicara bahasa Prancis, saya akan setuju untuk berbicara dalam bahasa Prancis atau menggunakan penerjemah (disebut gateway dalam bahasa jaringan) untuk berkomunikasi dengan teman saya.

Ø Model OSI

Model OSI tujuh lapisan menggambarkan bagaimana data bergerak dari satu sistem ke sistem lain. Model ini membantu menjelaskan cara membuat aplikasi, protokol, dan peralatan yang memindahkan data dari aplikasi Anda ke kabel fisik, melintasi ratusan atau ribuan mil, ke aplikasi di sisi lain.
Tabel 1 Model OSI
Layer
Nama yang umum
Deskripsi
Layer 7
Application
Mewakili aplikasi pengguna akhir seperti HTTP, File Transfer Protocol (FTP), File Transfer Protocol (FTP), Simple Mail Transport Protocol (SMTP), atau Telnet.
Layer 6
Presentation
Menangani pemformatan, enkripsi, kompresi, dan penyajian data ke aplikasi. Contohnya termasuk Secure Sockets Layer (SSL) dan Transport Layer Security (TLS).
Layer 5
Session
Berurusan dengan pengaturan dan pengelolaan sesi antara aplikasi komputer. Contohnya termasuk pipa bernama, NetBIOS, dan pembentukan sesi untuk TCP.
Layer 4
Transport
Berkaitan dengan masalah transportasi, seperti mencapai tujuan dalam satu bagian, dan kontrol kesalahan. TCP dan User Datagram Protocol (UDP) mungkin merupakan contoh paling terkenal dalam lapisan ini.
Layer 3
Network
Merutekan paket antar jaringan. Contohnya termasuk IP, Internet Control Message Protocol (ICMP), IP Security (IPSec), dan Address Resolution Protocol (ARP). Router beroperasi pada lapisan ini biasanya menggunakan alamat IP.
Layer 2
Data Link
Mengaitkan data pada host dari satu lokasi ke lokasi lain, biasanya pada jaringan area lokal (LAN) tetapi terkadang pada jaringan area luas (WAN) juga. Contohnya termasuk Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI), Frame Relay, dan Asynchronous Transfer Mode (ATM). Saklar dan jembatan beroperasi pada lapisan ini, biasanya menggunakan alamat Media Access Control (MAC).
Layer 1
Physical
Menentukan hubungan fisik, pemasangan kabel, dan transmisi biner. Modulasi dan kontrol aliran terjadi pada lapisan ini.

Ø Router

Router menghubungkan dan merutekan data antar jaringan menggunakan alamat jaringan Layer 3, biasanya alamat IP. Router beroperasi pada OSI Layer 3. Setelah data dirutekan ke jaringan tujuan, data beralih ke switch tempat host tujuan berada. Switch menggunakan alamat MAC host tujuan, di OSI Layer 2, untuk mengirim sisa data ke host. Router meneruskan paket-paket antar jaringan yang berbeda. Akhirnya, paket data, atau paket, mencapai LAN jarak jauh dan akhirnya tiba di host di sisi lain. Setiap router antara Anda dan host jarak jauh hanya melihat informasi header alamat IP, yang terletak di Layer 3, untuk melihat di mana untuk mengirimnya berikutnya.

Ø Switch

Switch adalah perpanjangan dari konsep hub. Sebuah hub mengambil frame yang diterima pada port tertentu dan mengulanginya ke setiap port di hub. Switch memiliki fitur pembelajaran, di mana ia belajar alamat MAC untuk setiap host yang dicolokkan ke port switch. Setelah mengetahui informasi ini, switch akan mengulang bingkai hanya ke port yang berisi alamat MAC tujuan yang benar. Segala sesuatu di tingkat switch biasanya ditangani dengan alamat MAC, diwakili oleh OSI Layer 2. Setiap lapisan diringkas oleh lapisan berikutnya.

Ø Firewalls

Firewall yang ditempatkan dengan benar di area kunci melindungi aset informasi dari risiko yang tidak perlu. Firewall jaringan sangat penting dalam peran mereka melindungi jaringan. Firewall dapat digunakan untuk perlindungan perimeter atau untuk menciptakan lingkaran konsentris berbagai tingkat kepercayaan dalam suatu jaringan. Firewall juga dapat membantu membangun area terlindung jaringan Anda yang dapat diakses oleh publik atau hanya mitra tertentu. Firewall telah berkembang menjadi fungsi khusus yang mencakup melindungi mesin virtual dari satu sama lain di jaringan virtual atau melindungi web host dari serangan jaringan yang secara khusus menargetkan lalu lintas web.

Ø Auditing Switches, Routers, and Firewalls

Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh bagian khusus untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.

Ø Langkah-langkah Audit Peralatan Jaringan Umum

Mulailah audit dengan meminta teknisi jaringan untuk menyalin file konfigurasi dan versi perangkat yang ingin Anda audit. Untuk router dan switch, seringkali, hampir semua informasi yang Anda inginkan terletak di file konfigurasi, dan ini mencegah Anda untuk masuk ke perangkat berulang kali.

1)  Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.

Langkah ini adalah tangkapan-semua yang membahas manajemen konfigurasi, konsep menyeluruh menjaga konfigurasi aman dari firewall. Kegagalan untuk mempertahankan konfigurasi yang aman menyebabkan firewall mengalami penyimpangan dalam teknologi atau proses yang mempengaruhi keamanan jaringan Anda. Tinjau segera perubahan apa pun pada firewall untuk memastikan bahwa perubahan tidak secara tidak sengaja menurunkan kinerja atau merusak keamanan aset yang dilindungi firewall.

2)  Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

Langkah ini melampaui perubahan konfigurasi dan target khusus pembaruan perangkat lunak dan setiap kerentanan terkait. Langkah ini adalah di mana Anda sebagai auditor akan meneliti kerentanan kritis yang terkait dengan perangkat lunak dan memastikan bahwa kontrol yang sesuai sudah ada, seperti pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

3)  Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.

Menjalankan layanan yang tidak perlu dapat membuat Anda rentan terhadap risiko terkait kinerja dan keamanan. Ini benar untuk semua host atau perangkat dan menambah permukaan serangan yang tersedia untuk penyerang potensial.

4)  Pastikan bahwa praktik manajemen SNMP yang baik diikuti.

Simple Network Management Protocol (SNMP) merupakan cara yang sering diabaikan untuk mendapatkan akses administratif penuh ke perangkat jaringan. Langkah ini mungkin tidak berlaku untuk peralatan Anda jika peralatan tidak mendukung manajemen SNMP atau dinonaktifkan.

5)  Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

Langkah ini memiliki cakupan yang luas, yang mencakup kontrol seputar penggunaan akun dan manajemen. Akun yang dikelola atau digunakan secara tidak tepat dapat memberikan akses mudah ke perangkat jaringan, melewati kontrol keamanan tambahan lainnya untuk mencegah serangan jahat. Langkah ini harus mencakup kebijakan dan prosedur yang penting untuk memastikan bahwa hanya administrator yang berwenang yang dapat masuk ke perangkat jaringan dan setelah masuk, mereka memiliki tingkat hak istimewa yang tepat. Prosedur login harus mematuhi otentikasi, otorisasi, dan akuntansi yang kuat (AAA).

6)  Pastikan bahwa kontrol kata sandi yang sesuai digunakan.

Password yang lemah dan tidak terenkripsi memungkinkan penyerang untuk menebak atau membaca kata sandi dengan mudah di dalam plaintext. Kontrol kata sandi yang kuat sangat penting untuk melindungi peralatan jaringan. Versi lama dari perangkat lunak jaringan memungkinkan menyimpan kata sandi dalam teks-jelas secara default. Anda mungkin tidak akan melihat ini, tetapi Anda harus memverifikasi bahwa kata sandi disimpan dengan aman oleh administrator.

7)  Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.

Telnet mengirimkan semua informasinya dalam bentuk teks-jelas, memungkinkan kata sandi dan informasi lain untuk dilihat dengan sniffer. SNMP Versi 1 dan 2 serupa. Alternatif aman adalah SSH, IPSec, dan SNMPv3. Meskipun sangat penting bahwa protokol aman digunakan dari jaringan yang tidak dipercaya, itu juga penting di dalam juga.

8)  Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.

Simpan salinan semua konfigurasi perangkat jaringan di lokasi yang mudah dijangkau dan aman — ini sangat penting! File-file ini berisi komentar apa pun yang dapat membantu memberikan perspektif ke pengaturan konfigurasi dan filter. Anda dapat mengubah filter dengan lebih mudah dan akurat ketika Anda dapat merujuk kembali ke file konfigurasi lama. Cadangan ini juga dapat sangat berharga untuk mendiagnosis dan memulihkan dari kegagalan jaringan tak terduga.

9)  Pastikan logging diaktifkan dan dikirim ke sistem terpusat.

Log harus dikumpulkan untuk AAA dan kejadian sistem. Log juga harus dikirim ke host yang aman untuk mencegah gangguan pada informasi. Kegagalan menyimpan log dapat mencegah administrator mendiagnosis masalah jaringan atau perilaku berbahaya dengan benar.

10)   Evaluasilah penggunaan Network Time Protocol (NTP).

Gunakan NTP menyediakan sinkronisasi waktu untuk stempel waktu pada semua aktivitas yang tercatat. Stempel waktu ini tidak ternilai dalam pelaporan dan pemecahan masalah.

11)   Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung menyadari kebijakan perusahaan untuk digunakan dan memantau.

Spanduk peringatan yang secara jelas menandai router atau switch sebagai properti pribadi dan tidak mengizinkan akses yang tidak sah adalah hal yang penting jika kompromi yang pernah terjadi dalam tindakan hukum.

12)   Pastikan bahwa kontrol akses diterapkan ke port konsol.

Akses logis dapat diperoleh melalui port konsol dengan kontrol akses fisik yang buruk ke router atau switch. Seringkali port konsol tidak memiliki kata sandi untuk kenyamanan. Pastikan bahwa kata sandi digunakan untuk memberikan lapisan tambahan pertahanan di luar kontrol fisik. Kata sandi sangat penting jika lokasinya tidak aman secara fisik.

13)   Pastikan semua peralatan jaringan disimpan di lokasi yang aman.

Siapa pun dengan akses fisik ke perangkat jaringan mungkin dapat memperoleh akses logis penuh menggunakan prosedur pemulihan kata sandi yang terdokumentasi dengan baik. Seseorang juga bisa mencabut kabel atau mengganggu layanan. Selain itu, akses harus dibatasi untuk mencegah kecelakaan yang tidak berbahaya (seperti tersandung kabel) dari gangguan layanan.

14) Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.

Konvensi penamaan standar membuat pemecahan masalah dan menemukan masalah lebih mudah. Konvensi penamaan standar juga membantu membuat pengelolaan lingkungan menjadi lebih mudah ketika organisasi tumbuh.

15)   Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat jaringan.

Proses yang terdokumentasi memberikan pengulangan desain yang aman dan kualitas pengerjaan yang lebih tinggi, membantu mencegah kesalahan umum yang dapat menyebabkan gangguan layanan atau kompromi jaringan.

Ø Switch Controls Tambahan: Layer 2

Berikut ini adalah langkah uji tambahan untuk switch, atau perangkat Layer 2.

1)  Pastikan bahwa administrator menghindari menggunakan VLAN 1.

Secara default, semua port pada switch Cisco adalah anggota VLAN 1. Menghindari penggunaan VLAN 1 mencegah penyusup jaringan dari plugging ke port yang tidak digunakan dan berkomunikasi dengan seluruh jaringan.

2)  Evaluasilah penggunaan badan autonegosiasi.

Badan pada switch menggabungkan dua VLAN terpisah ke dalam port agregat, yang memungkinkan akses trafik ke VLAN. Ada dua protokol trunking: 802.1q, yang merupakan standar terbuka, dan ISL, yang dikembangkan oleh Cisco. Beberapa jenis switch dan versi perangkat lunak diatur ke mode autotrunking, memungkinkan port untuk mencoba secara otomatis mengubah tautan ke dalam bagasi. Dynamic Trunking Protocol (DTP) mungkin membantu menentukan protokol trunking mana yang harus digunakan dan bagaimana protokol harus beroperasi. Jika ini kasusnya, secara umum, semua VLAN pada switch menjadi anggota port berbatang baru. Menonaktifkan autonegosiasi batang meringankan risiko yang terkait dengan serangan hopping VLAN, dimana seseorang dalam satu VLAN dapat mengakses sumber daya di VLAN lain.

3)  Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU Guard, Root Guard).

Risiko yang terkait dengan jenis serangan ini termasuk memberi penyerang kemampuan untuk menggunakan Spanning-Tree Protocol untuk mengubah topologi jaringan. Protokol Spanning-Tree dirancang untuk mencegah loop jaringan berkembang. Switch akan mempelajari topologi jaringan dan memindahkan port melalui empat tahap — memblokir, mendengarkan, belajar, dan meneruskan — karena memastikan bahwa loop tanpa akhir tidak berkembang dalam pola lalu lintas jaringan.

4)  Evaluasilah penggunaan VLAN pada jaringan.

VLAN harus digunakan untuk memisahkan domain broadcast dan, jika perlu, untuk membantu membagi sumber daya dengan tingkat keamanan yang berbeda.

5)  Nonaktifkan semua port yang tidak digunakan dan letakkan di VLAN yang tidak digunakan.

Pengaturan ini mencegah penyusup jaringan dari plugging ke port yang tidak digunakan dan berkomunikasi dengan seluruh jaringan.

6)  Evaluasilah penggunaan VLAN Trunking Protocol (VTP) di lingkungan.

VTP adalah protokol pesan Layer 2 yang mendistribusikan informasi konfigurasi VLAN di atas trunk. VTP memungkinkan penambahan, penghapusan, dan penggantian nama VLAN pada jaringan secara keseluruhan. Seorang penyerang jaringan dapat menambahkan atau menghapus VLAN dari domain VTP serta membuat loop Spanning-Tree Protocol. Kedua situasi dapat menyebabkan hasil yang sangat sulit untuk dipecahkan. Ini tidak harus menjadi peristiwa yang berbahaya. Switch dengan nomor versi konfigurasi yang lebih tinggi dalam basis data VTP memiliki otoritas atas switch lain dengan jumlah yang lebih rendah. Jika saklar laboratorium seperti ini ditempatkan di jaringan produksi, Anda mungkin secara tidak sengaja mengkonfigurasi ulang seluruh jaringan Anda.

7)  Verifikasi bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast pada port.
Mengonfigurasi kontrol badai membantu mengurangi risiko gangguan jaringan jika terjadi badai siaran.

Ø Kontrol Router Tambahan: Layer 3

Berikut ini adalah langkah uji tambahan untuk router, atau perangkat Layer 3.

1)  Pastikan bahwa antarmuka tidak aktif di router dinonaktifkan.

Antarmuka tidak aktif yang harus dinonaktifkan termasuk antarmuka LAN dan WAN seperti Ethernet, Serial, dan ATM. Antarmuka terbuka adalah kemungkinan sumber serangan jika seseorang dihubungkan ke antarmuka.

2)  Pastikan bahwa router dikonfigurasi untuk menyimpan semua dump inti.

Memiliki inti dump (gambar dari memori router pada saat crash) dapat sangat berguna untuk dukungan teknis Cisco dalam mendiagnosis kecelakaan dan mungkin mendeteksi bahwa serangan adalah penyebab utamanya.

3)  Verifikasi bahwa semua pembaruan routing dikonfirmasi.

Otentikasi memastikan bahwa router penerima menggabungkan ke dalam tabelnya hanya informasi rute yang benar-benar ingin dikirim oleh router pengirim yang dipercaya. Ini mencegah router yang sah menerima dan kemudian menggunakan tabel routing yang tidak sah, berbahaya, atau rusak yang akan membahayakan keamanan atau ketersediaan jaringan. Kompromi seperti itu dapat menyebabkan pengubahan rute lalu lintas, penolakan layanan, atau hanya akses ke paket data tertentu kepada orang yang tidak berwenang.

4)  Verifikasi bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.

Perutean sumber IP memungkinkan pengirim paket IP untuk mengontrol rute paket ke tujuan, dan siaran yang diarahkan IP memungkinkan jaringan untuk digunakan sebagai alat tanpa disadari dalam serangan smurf atau fraggle.

Ø Kontrol Firewall Tambahan

Berikut ini adalah langkah uji tambahan untuk firewall. Perhatikan bahwa beberapa kontrol ini mungkin ditangani oleh router bersama dengan firewall, tetapi router sendiri adalah firewall yang buruk untuk perimeter jaringan perusahaan.

1)  Pastikan semua paket ditolak secara default.

Semua paket pada firewall harus ditolak kecuali paket yang berasal dari dan menuju ke alamat dan port yang semuanya secara eksplisit didefinisikan. Ini adalah posisi bertahan yang jauh lebih kuat daripada mencoba melacak aturan apa yang telah Anda tetapkan untuk memblokir setiap alamat atau layanan tertentu. Misalnya, permintaan SNMP eksternal dari luar jaringan Anda yang ditargetkan ke router di dalam jaringan Anda akan ditolak secara default jika satu-satunya lalu lintas yang Anda izinkan ke DMZ Anda adalah ke server web.

2)  Pastikan alamat IP internal dan eksternal yang tidak sesuai disaring.

Lalu lintas yang berasal dari ruang alamat internal seharusnya tidak memiliki alamat eksternal sebagai alamat sumber. Demikian pula, lalu lintas yang berasal dari luar jaringan seharusnya tidak memiliki jaringan internal Anda sebagai alamat sumber.

3)  Evaluasi set aturan firewall untuk memberikan perlindungan yang tepat.

Kegagalan untuk mengelola aturan firewall Anda dapat mengekspos Anda ke risiko yang tidak perlu dari akses terbuka atau tidak pantas. Belum lama ini beberapa ratus aturan firewall dipertimbangkan.


4.     Regulasi Audit


Ø Pengantar Legislasi Terkait dengan Kontrol Internal

Sifat global bisnis dan teknologi mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana perusahaan bekerja bersama dan bagaimana informasi dibagikan. Kemitraan strategis dan kolaboratif telah berevolusi dengan badan-badan seperti Organisasi Internasional Standardisasi (ISO), Komisi Elektroteknik Internasional (IEC), International Telecommunication Union (ITU), dan Organisasi Perdagangan Dunia (WTO). Partisipasi dalam badan-badan standar ini telah bersifat sukarela, dengan tujuan bersama untuk mempromosikan perdagangan global untuk semua negara. Masing-masing negara telah melangkah lebih jauh untuk menetapkan kontrol pemerintah atas kegiatan bisnis perusahaan yang beroperasi dalam batas-batas mereka.

Ø Dampak Regulasi pada Audit TI

Dampak peraturan yang ada pada audit TI berevolusi ketika bisnis beradaptasi dengan kompleksitas mematuhi beberapa otoritas. Selama dekade terakhir, pemerintah AS telah meloloskan berbagai tindakan privasi khusus industri dan peraturan lainnya. Masing-masing telah berlalu dengan maksud melindungi konsumen bisnis. Akibatnya, kelompok audit internal dan eksternal bertugas meninjau proses dan prosedur bisnis untuk memastikan ada kontrol yang tepat yang melindungi kepentingan bisnis dan konsumen.

Ø Tindakan Sarbanes-Oxley pada 2002

Tindakan Sarbanes-Oxley (SOX) pada 2002 (secara resmi dikenal sebagai Reformasi Akuntansi Perusahaan Publik dan Undang-undang Perlindungan Investor) adalah tanggapan dari pemerintah AS terhadap munculnya skandal perusahaan yang dimulai dengan Enron dan Arthur Andersen, diikuti oleh Tyco. , Adelphia Communications, WorldCom, HealthSouth, dan banyak lainnya.

Tindakan Sarbanes-Oxley dan Public Company Accounting Oversight Board (PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah penipuan korporasi dan akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap SOX berfokus pada kontrol utama yang penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.

Ø Kontrol TI Spesifik Diperlukan untuk Kepatuhan SOX

Sampai saat ini, PCAOB dan auditor eksternal yang meninjau kepatuhan dengan SOX sangat memperhatikan keamanan, manajemen perubahan, dan manajemen masalah. Fokus utama untuk audit adalah integritas infrastruktur teknologi untuk pemrosesan, penyimpanan, dan komunikasi data keuangan. Hal ini terutama berlaku ketika laporan keuangan dihasilkan dari gudang data yang diumpankan oleh berbagai sistem operasi akuntansi dan bisnis.

Kepemilikan kontrol TI mungkin tidak jelas, terutama untuk kontrol aplikasi. Oleh karena itu, audit di setiap area harus mengintegrasikan kontrol otomatis dan manual pada tingkat proses bisnis.

Secara umum, kontrol TI berikut harus didokumentasikan dan dievaluasi sebagai efektif agar sesuai dengan persyaratan SOX:

     Kontrol akses
     Ubah kontrol
     Manajemen data
     Operasi TI
     Operasi jaringan
     Manajemen aset

Ø Tindakan Gramm-Leach-Bliley

Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.

Ø Persyaratan GLBA

Dari perspektif dampak pada pengendalian internal, bagian GLBA Judul V menyediakan serangkaian peraturan khusus yang mengatur bagaimana informasi individu untuk pelanggan lembaga keuangan dapat dibagikan. GLBA mengharuskan perusahaan-perusahaan keuangan mengungkapkan kepada pelanggan kebijakan dan praktik privasi institusi. Undang-undang memberikan beberapa kontrol terbatas kepada pelanggan tentang bagaimana informasi yang disimpan oleh lembaga keuangan dapat dipertahankan melalui opsi "opt-out". Secara tahunan, lembaga keuangan diwajibkan untuk mengubah bentuk klien dari kebijakan privasi lembaga.

Penegakan ketentuan tindakan diberikan kepada Federal Trade Commission, lembaga perbankan federal, National Credit Union Administration, dan SEC.

Ø Peraturan Privasi

Meringkas karya luar biasa yang dilakukan oleh Thomas Karol dalam Panduan untuk Penilaian Dampak Privasi Lintas-Perbatasan, informasi pribadi pernah dilihat sebagai konten bisnis eksklusif dengan sedikit perhatian terhadap hak-hak pribadi dari individu yang informasinya dimiliki oleh perusahaan. Organisasi pemerintah dan kelompok aktivis privasi telah berfungsi untuk menciptakan banyak undang-undang yang melindungi informasi pribadi. Persyaratan nasional dan negara mengatur bagaimana informasi kesehatan, keuangan, dan identifikasi pribadi dapat digunakan dan disimpan. Sayangnya, berbagai kepentingan dan batas kenyamanan (kepentingan politik) telah menciptakan persyaratan yang berbeda, dan kurangnya keseragaman memberikan tantangan untuk penanganan informasi pribadi yang sesuai.

Ø Portabilitas Asuransi Kesehatan dan Tindakan Akuntabilitas pada 1996

Komponen-komponen TI dari undang-undang tersebut menetapkan metodologi standar untuk keamanan. Selanjutnya, HIPAA membakukan format untuk informasi yang berhubungan dengan kesehatan. Standar ini mencakup metode yang memastikan kerahasiaan pasien dan integritas data untuk setiap informasi yang dapat dikaitkan dengan seorang pasien.

Komponen tindakan yang paling sering diidentifikasi adalah kumpulan data yang secara kolektif dikenal sebagai informasi kesehatan yang dilindungi (PHI) atau Informasi Kesehatan Elektronik yang Dilindungi (EPHI) yang mencakup Informasi Kesehatan Individu yang Dapat Diidentifikasi (IIHI). IIHI berhubungan dengan kondisi medis individu, perawatan, atau pembayaran untuk perawatan. Setiap entitas yang mempertahankan dan menggunakan PHI yang dapat diidentifikasi secara individu tunduk pada undang-undang tersebut. Ruang lingkup efektif HIPAA mencakup entitas dari rumah sakit, perusahaan asuransi, hingga dokter (dari semua jenis), ke laboratorium, dan perusahaan yang beroperasi atau berpartisipasi dalam rencana kesehatan. Organisasi yang dipengaruhi oleh HIPAA dirujuk oleh undang-undang sebagai entitas tertutup.

Ø Komisi Uni Eropa dan Basel II

Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan standar audit, pengawasan, dan tanggung jawab dengan membuat arahan yang terkait dengan tata kelola perusahaan, transparansi, audit, standar akuntansi, dan layanan informasi. Perbedaan utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE tidak merekomendasikan tingkat penegakan hukum.

Ø Standar Keamanan Data Industri Kartu Pembayaran (PCI)

Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa. Program CISP dimaksudkan untuk memastikan tingkat keamanan informasi yang tinggi untuk data pemegang kartu Visa. Standar keamanan berlaku untuk semua bank anggota Visa, pedagang yang menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang kartu Visa. Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan Data Industri Kartu Pembayaran. Penerbit kartu lainnya mulai mengadopsi standar dan pada 7 September 2006, American Express, Discover Financial Services, JCB, MasterCard Worldwide, dan Visa International menciptakan Dewan Standar Keamanan Industri Kartu Pembayaran. Situs web mereka terletak online di www.pcisecuritystandards.org. Versi internasional dari program VISA CISP yang disebut Keamanan Informasi Akun Visa (AIS) berlaku untuk entitas yang tidak berbasis di AS.

Ø Tren Peraturan Lainnya

Ketika komputer menjamur di masa kejayaan tahun 1980-an dan 1990-an, kontrol internal atas TI gagal mengikuti arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan keras terhadap kontrol internal yang dimulai atas pelaporan keuangan telah diperluas untuk menyertakan TI, dan memang seharusnya demikian.


5.     Standar dan Kerangka Kerja Audit


Ø Pengantar Kontrol TI Internal, Kerangka, dan Standar

Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit. Dalam upaya untuk menghalangi intervensi pemerintah, inisiatif sektor swasta yang independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.

Ø COSO

Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan terhadap meningkatnya krisis keuangan AS dan teriakan untuk pengawasan pemerintah terhadap praktik akuntansi dan audit. Konsorsium sektor swasta independen ini lebih sering disebut sebagai Komisi Treadway karena dipimpin oleh James C. Treadway, Jr., wakil presiden eksekutif dan penasihat umum di Paine Webber Incorporated dan mantan komisioner Komisi Sekuritas dan Bursa AS. Dalam laporan awal tahun 1987, kelompok tersebut merekomendasikan agar organisasi yang mensponsori komisi bekerja sama untuk mengembangkan pedoman komprehensif untuk pengendalian internal. Oleh karena itu, COSO dibentuk oleh lima asosiasi profesional utama di Amerika Serikat:

·      American Institute of Certified Public Accountants (AICPA)
·      American Accounting Association (AAA)
·      Financial Executives Institute (FEI)
·      Institute of Internal Auditors (IIA)
·      Institute of Management Accountants (IMA)

Ø Definisi COSO Pengendalian Internal

Pengendalian internal adalah suatu proses, dipengaruhi oleh dewan direksi, manajemen, dan personel entitas lain, yang dirancang untuk memberikan jaminan yang wajar terkait pencapaian tujuan dalam kategori berikut:

·      Efektivitas dan efisiensi operasi
·      Keandalan pelaporan keuangan
·      Kepatuhan dengan hukum dan peraturan yang berlaku

Ø Konsep Kunci Pengendalian Internal

Berikut ini adalah konsep kunci dari pengendalian internal menurut COSO:

·      Kontrol internal adalah suatu proses. Ini adalah sarana untuk mencapai tujuan, bukan tujuan itu sendiri.
·      Kontrol internal dipengaruhi oleh orang. Ini bukan hanya panduan dan bentuk kebijakan, tetapi orang-orang di setiap tingkat organisasi.
·      Kontrol internal dapat diharapkan hanya memberikan jaminan yang wajar, bukan jaminan mutlak, kepada manajemen dan dewan entitas.
·      Kontrol internal diarahkan untuk pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.


Ø Internal Control – Integrated Framework

Publikasi Internal Control – Integrated Framework memperkenalkan apa yang sekarang menjadi grafik terkenal: kubus COSO (Gambar 5-1).

Sebagaimana dijelaskan oleh COSO, pengendalian internal terdiri dari lima komponen yang saling terkait:

     Lingkungan kontrol
     Tugas beresiko
     Aktivitas kontrol
     Informasi dan Komunikasi
     Pemantauan



Gambar 5-1 Kubus COSO

Ø Definisi COSO Manajemen Risiko Perusahaan

Manajemen risiko perusahaan adalah suatu proses, dipengaruhi oleh dewan direksi entitas, manajemen, dan personel lainnya, diterapkan dalam pengaturan strategi dan di seluruh perusahaan dan dirancang untuk mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan mengelola risiko untuk berada dalam nafsu risiko, untuk memberikan jaminan yang wajar mengenai pencapaian tujuan entitas.

Definisi ini mencerminkan konsep dasar tertentu. Manajemen risiko perusahaan

     Suatu proses, yang sedang berlangsung dan mengalir melalui suatu entitas;
     Terpengaruh oleh orang di setiap tingkat organisasi;
     Diterapkan dalam pengaturan strategi;
     Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan termasuk mengambil pandangan portofolio tingkat entitas risiko;
     Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi, akan mempengaruhi entitas dan mengelola risiko dalam nafsu risiko;
     Mampu memberikan jaminan yang wajar kepada manajemen dan dewan direksi entitas;
     Diarahkan ke arah pencapaian tujuan dalam satu atau lebih kategori yang terpisah tetapi tumpang tindih.

Ø Enterprise Risk Management – Konsep Kerangka Kerja Terpadu

Dalam publikasi Enterprise Risk Management – Integrated Framework, kubus COSO asli diperluas, seperti yang diilustrasikan pada Gambar 5-2.
Kerangka kerja manajemen risiko perusahaan ini diarahkan untuk mencapai tujuan entitas, yang ditetapkan dalam empat kategori:

·      Tujuan tingkat tinggi Strategis, selaras dengan dan mendukung misinya
·      Operasi Penggunaan sumber daya yang efektif dan efisien
·      Pelaporan Keandalan pelaporan
·      Kepatuhan Kepatuhan dengan hukum dan peraturan yang berlaku

Manajemen risiko perusahaan terdiri dari delapan komponen yang saling terkait. Ini berasal dari cara manajemen menjalankan suatu perusahaan dan terintegrasi dengan proses manajemen.

     Lingkungan internal
     Pengaturan tujuan
     Identifikasi acara
     Tugas beresiko
     Respons risiko
     Aktivitas kontrol
     Informasi dan Komunikasi
     Pemantauan

Gambar 5-2 Kubus COSO yang diperluas

Ø COBIT

COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.

COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI. Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide terbaik dari semua standar teknis dan profesional yang baik.

Ø Konsep COBIT

COBIT membagi tujuan kontrol utamanya menjadi empat domain: merencanakan dan mengatur, memperoleh dan menerapkan, memberikan dan mendukung, dan memantau dan mengevaluasi. Masing-masing domain menunjukkan aktivitas kontrol TI kunci yang terkait dengan area tersebut.

Kerangka kerja ini menyoroti tujuh kualitas informasi:
     Efektivitas
     Efisiensi
     Kerahasiaan
     Integritas
     Ketersediaan
     Kepatuhan
     Keandalan

Ø Fitur COBIT

Berikut ini adalah beberapa fitur tambahan yang disediakan COBIT:

     COBIT mewakili standar praktik yang berlaku umum dan dapat diterima secara internasional untuk kontrol TI.
     COBIT tidak bergantung pada platform teknis.
     COBIT adalah manajemen dan proses bisnis yang berorientasi pada pemilik.
     COBIT telah menjadi standar de facto internasional untuk tata kelola TI.


Ø ITIL

IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen infrastruktur TI dan penyampaian layanan. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka praktik terbaik ITIL.

Ø Konsep ITIL

ITIL menyediakan serangkaian referensi praktis dan standar khusus untuk manajemen infrastruktur dan layanan yang dapat disesuaikan secara virtual untuk organisasi mana pun. Fungsi-fungsi dukungan layanan mengatasi masalah-masalah seperti manajemen masalah, manajemen insiden, meja layanan, manajemen perubahan, manajemen rilis, dan manajemen konfigurasi. Fungsi-fungsi pengiriman layanan membahas manajemen kapasitas, manajemen ketersediaan, manajemen keuangan, manajemen kontinuitas, dan tingkat layanan.

Ø ISO 27001

Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai fungsi bisnis dan pemerintahan.

Ø Konsep ISO 27001

Juga disebut sebagai Kode Praktik untuk Manajemen Keamanan Informasi, ISO 27001: 2005 alamat 11 bidang utama dalam disiplin keamanan informasi. Standar menguraikan 133 kontrol keamanan dalam 11 bidang berikut:

·      Kebijakan keamanan
·      Organisasi keamanan informasi
·      Manajemen aset
·      Keamanan sumber daya manusia
·      Keamanan fisik dan lingkungan
·      Komunikasi dan manajemen operasi
·      Kontrol akses
·      Akuisisi sistem informasi, pengembangan, dan pemeliharaan
·      Manajemen insiden keamanan informasi
·      Manajemen kontinuitas bisnis
·      Kepatuhan

Ø Metodologi Penilaian NSA INFOSEC

Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal tahun 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih digunakan secara luas dan sekarang dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.

Ø Konsep Metodologi Penilaian NSA INFOSEC

The NSA IAM adalah metodologi penilaian keamanan informasi yang kegiatan penilaian baseline. Ini memecah informasi keamanan penilaian menjadi tiga fase: pra-penilaian, kegiatan di tempat, dan pasca-penilaian. Masing-masing fase ini berisi kegiatan wajib untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk dicatat, bagaimanapun, bahwa penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA merilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.

Ø Kerangka dan Gaya Standar

Persyaratan dan praktik bisnis bervariasi secara signifikan di seluruh dunia, seperti halnya kepentingan politik dari banyak organisasi yang menciptakan standar. Tidak mungkin satu set kerangka kerja dan standar akan muncul dalam waktu dekat untuk memenuhi kebutuhan semua orang. Kerumitan memetakan ratusan dokumen otoritas dari peraturan (internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar (ISO, industri khusus, vendor, dan sebagainya) menciptakan peluang dan ceruk pasar. Vendor teknologi berhak mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk mengatasi kontrol tertentu dari berbagai peraturan dan standar.

6.     Manajemen Risiko


Ø Manfaat Manajemen Risiko

Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.

Ø Analisis Risiko Kuantitatif vs Kualitatif

Risiko dapat dianalisis dalam dua cara: kuantitatif dan kualitatif. Seperti yang lainnya, masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif lebih obyektif dan mengekspresikan risiko dalam hal keuangan yang dapat lebih mudah dibenarkan oleh pembuat keputusan, juga lebih memakan waktu. Pendekatan kualitatif lebih cocok untuk menyajikan pandangan risiko bertingkat, tetapi bisa lebih subjektif dan karena itu sulit dibuktikan. Organisasi dengan program manajemen risiko yang lebih sukses cenderung lebih mengandalkan analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan teknik analisis risiko kuantitatif untuk membenarkan pengeluaran mitigasi risiko.

1)    Analisis Risiko Kuantitatif

Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:
Risiko = nilai aset × ancaman × kerentanan

a)  Aktiva

Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi. Misalnya, pelanggaran informasi pribadi mungkin tidak menyebabkan kehilangan uang pada pandangan pertama, tetapi jika itu benar-benar disadari, itu kemungkinan akan menghasilkan tindakan hukum, merusak reputasi perusahaan, dan penalti peraturan. Konsekuensi ini berpotensi akan menyebabkan kerugian finansial yang signifikan. Dalam hal ini, bagian nilai aset dari persamaan akan mewakili informasi pribadi. Nilai yang dihitung dari informasi pribadi akan mencakup perkiraan biaya dolar kumulatif dari tindakan hukum, kerusakan reputasi, dan denda peraturan.

b)  Ancaman

Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan. Sebagai contoh, jika kami memperkirakan bahwa kebakaran akan menyebabkan hilangnya 70 persen dari nilai aset jika itu terjadi, faktor pemaparan adalah 70 persen, atau 0,7. Tingkat kejadian tahunan, di sisi lain, mewakili kemungkinan bahwa ancaman yang diberikan akan direalisasikan dalam satu tahun dalam hal tidak adanya kontrol sepenuhnya. Misalnya, jika kami memperkirakan bahwa kebakaran akan terjadi setiap 3 tahun, tingkat kejadian tahunan akan menjadi 33 persen, atau 0,33. Ancaman, oleh karena itu, dapat dihitung sebagai persentase dengan mengalikan faktor eksposur dengan tingkat kejadian tahunan. Mengingat contoh sebelumnya, ancaman kebakaran akan menghasilkan nilai 23,1 persen, atau 0,231.

c)   Kerentanan

Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektivitas kontrol dengan 1 atau 100 persen. Sebagai contoh, kita dapat menentukan bahwa kontrol spionase industri kami adalah 70 persen efektif, jadi 100 persen - 70 persen = 30 persen (CD). Kerentanan ini akan direpresentasikan sebagai 30 persen, atau 0,3.

2)  Analisis Risiko Kualitatif

Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko.

Ø Siklus Hidup Manajemen Risiko TI

Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil karakteristik siklus hidup (Gambar 6-1). Ini dapat dibagi menjadi beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:

·       Tahap 1 Identifikasi aset informasi.
·       Tahap 2 Hitung dan kualifikasi ancaman.
·       Tahap 3 Menilai kerentanan.
·       Tahap 4 Mengurangi kesenjangan kontrol.
·       Tahap 5 Mengelola risiko residual.



Gambar 6-1 Siklus Hidup Manajemen Risiko
a)  Tahap 1: Identifikasi Aset Informasi

Fase pertama dalam siklus hidup manajemen risiko adalah mengidentifikasi aset informasi organisasi. Agar berhasil, Anda harus menyelesaikan beberapa tugas:

·      Tentukan nilai-nilai kekritisan informasi.
·      Identifikasi fungsi bisnis.
·      Memetakan proses informasi.
·      Identifikasi aset informasi.
·      Menetapkan nilai kekritisan ke aset informasi.

b)  Tahap 2: Hitung dan Kualifikasi Ancaman

Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka tidak diidentifikasi dengan benar. Misalnya, katakanlah bahwa organisasi kami diserang oleh cacing berbahaya yang menyebabkan hilangnya sementara kapasitas pemrosesan dan beberapa ratus jam waktu pemulihan. Biaya dapat dihitung dengan menghitung jam yang diperlukan untuk pemulihan dan memperkirakan kerugian yang terkait dengan penundaan pemrosesan. Namun, pertimbangan lain harus dipertimbangkan juga: Apakah reputasi perusahaan telah terpengaruh secara negatif karena tidak dapat melayani pelanggan? Apakah ada penjualan yang hilang? Apakah beberapa karyawan tidak dapat bekerja? Apa eksposur hukum organisasi karena pelanggaran keamanan? Seperti yang Anda lihat, mengidentifikasi semua area dalam organisasi yang mungkin terpengaruh membutuhkan pemikiran yang cukup. Oleh karena itu, kami akan membantu memecah proses menganalisis ancaman ini.

·      Fase siklus hidup manajemen risiko ini memerlukan langkah-langkah berikut:
·      Menilai ancaman bisnis.
·      Mengidentifikasi ancaman teknis, fisik, dan administratif.
·      Hitung dampak ancaman dan probabilitas.
·      Mengevaluasi aliran proses untuk kelemahan.
·      Identifikasi ancaman komponen proses.

c)   Tahap 3: Menilai kerentanan

Kami sekarang telah mengidentifikasi aset informasi kami dan ancaman terhadap setiap aset. Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, faktor persekutuan adalah aset informasi, karena setiap ancaman terkait dengan aset informasi. Ketika menilai kerentanan, di sisi lain, penyebut umum adalah proses informasi. Kami akan mengidentifikasi kerentanan komponen proses terlebih dahulu dan kemudian menggabungkannya untuk menentukan kerentanan proses kami. Kerentanan proses kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis.

Alih-alih bekerja dari atas ke bawah (dari fungsi bisnis ke komponen proses), kita akan bekerja dari bawah ke atas dalam menilai kerentanan. Kami akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:

·      Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
·      Tentukan kesenjangan kontrol komponen proses.
·      Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
·      Mengkategorikan kesenjangan kontrol berdasarkan tingkat keparahan.
·      Menetapkan peringkat risiko.

d)  Tahap 4: Mengurangi kesenjangan kontrol

Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas investasi kami. Intinya, kita dapat mengurangi lebih banyak risiko dengan lebih sedikit uang. Kami akan menggunakan langkah-langkah berikut dalam remediasi kesenjangan kontrol:

·      Pilih kontrol.
·      Implementasikan kontrol.
·      Validasi kontrol baru.
·      Hitung ulang peringkat risiko.

e)  Tahap 5: Mengelola Risiko Residual

Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Akibatnya, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk merespons ancaman yang muncul. Fase ini terdiri dari dua langkah:
·      Buat garis dasar risiko
·      Menilai kembali risiko


Ringkasan Rumus
Tabel 2 Manajemen Risiko
Penggunaan
Deskripsi
Formula
Definisi risiko
Digunakan untuk mewakili risiko
Risiko = nilai aset × ancaman × kerentanan
Perhitungan ancaman
Representasi numerik dari ancaman
Ancaman = faktor pemaparan (FP) × tingkat kejadian tahunan (TKT)
Perhitungan Kerentanan
Mengukur defisiensi kontrol
Kontrol kekurangan (KK) = 1 - efektivitas kontrol
Perhitungan risiko
Digunakan untuk mengukur risiko
Risiko = nilai aset × FP × TKT × KK

Referensi :
1.   IT Auditing : Using Controls to Protect Information Assets, Chris Davis, Mike Sciller, Mc GrowHill, 2011.

Tidak ada komentar:

Posting Komentar