COBIT

Apa yang Anda ketahui mengenai COBIT (Control Ojective for Information and Related Technology)?

COBIT  adalah  merupakan  kerangka  panduan  tata  kelola  TI  dan  atau  bisa  juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara  kebutuhan  dan  bagaimana  teknis  pelaksanaan  pemenuhan  kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang  jelas  dan  sangat  baik  digunakan  untuk  IT  kontrol  seluruh  organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.

Dikeluarkan  dan  disusun  oleh  IT  Governance  Institute  yang  merupakan  bagian dari ISACA (Information Systems Audit and Control Association) pada tahun 1996, hingga  saat artikel ini  dimuat  setidaknya  sudah  ada  5  versi  COBIT  yang  sudah diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi  3.0  di  tahun  2000,  Cobit  4.0  pada  tahun  2005,  CObit  4.1  tahun  2007  dan yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.

Cobit  dijadikan  suatu  standar panduan  untuk  membantu  mengelola  suatu  organisasi mencapai  tujuannya dengan  memanfaatkan  I T.  Cobit  memberikan  panduan  kerangka  kerja  yang  bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat

membantu memudahkan pengambilan keputusan di level top dalam organisasi. COBIT  digunakan  secara  umum  oleh mereka  yang  memiliki  tanggung  jawab  utama  dalam  alur  proses  organisasi, mereka  yang  organisasinya  sangat  bergantung  pada  kualitas,  kehandalan  dan penguasaan teknologi informasi.

Adakah tools lain untuk melakukan audit TI (Teknologi Informasi)? Jika ada sebutkan.

Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi

a. ACL

ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.

ACL for Windows (sering disebut ACL) adalah sebuah software TABK (TEKNIK AUDIT BERBASIS KOMPUTER) untuk membantu auditor dalam melakukan pemeriksaan di lingkungan sistem informasi berbasis komputer atau Pemrosesan Data Elektronik.

b. Picalo

Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) seperti halnya ACL yang dapat dipergunakan untuk menganalisa data dari berbagai macam sumber.Picalo bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik.

Berikut ini beberapa kegunaannya :

· Menganalisis data keungan, data karyawan

· Mengimport file Excel, CSV dan TSV ke dalam databse

· Analisa event jaringan yang interaktif, log server situs, dan record sistem login

· Mengimport email kedalam relasional dan berbasis teks database

· Menanamkan kontrol dan test rutin penipuan ke dalam sistem produksi.

c. Powertech Compliance Assessment

Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.

d. Nipper

Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.

Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur.

e. Nessus

Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan

f. Metasploit

Metasploit Framework merupakan sebuah penetration testing tool, yaitu sebuah software yang digunakan untuk mencari celah keamanan.

g. NMAP

NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. Secara klasik Nmap klasik menggunakan tampilan command-line, dan NMAP suite sudah termasuk tampilan GUI yang terbaik dan tampilan hasil (Zenmap), fleksibel data transfer, pengarahan ulang dan tools untuk debugging (NCAT) , sebuah peralatan untuk membandingan hasil scan (NDIFF) dan sebuah paket peralatan analisis untuk menggenerasikan dan merespon (NPING)

h. Wireshark

Wireshark merupakan aplikasi analisa netwrok protokol paling digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

Mengapa dalam melakukan audit sebaiknya kita mengacu pada suatu kerangka panduan/ toolset?

Agar lebih terarah dan sesuai kebutuhan

 sumber:

https://chiaisadora.wordpress.com/2013/01/22/adakah-tools-lain-untuk-melakukan-audit-ti-teknologi-informasi-jika-ada-sebutkan/

KENDALI DAN AUDIR SISTEM INFORMASI (KASI)

Pengendalian internal telah mengalami perubahan dari konsep 'ketersediaan pengendalian' ke konsep 'proses pencapaian tujuan'.

Apakah maksud dari konsep 'Proses Pencapaian Tujuan' tersebut?

Intelektualitas tidak lagi terletak pada pucuk pimpinan, tetapi terletak dilapisan bawah. Mereka yang deket dengan konsumenlah yang paling mengerti dengan kebutuhan pasar. Pengorganisasian yang paling tepat untuk kondisi seperti ini adalah seperti pengorganisasian orkes simponi. Organisasi ini  sepenuhnya akan digerakan oleh dinamika para pekerja (ujung tombak) sesuai spesialisai masing-masing. Untuk menjaga kekompakan agar terjadi irama yang serasi dibutuhkan seorang manajer yang berfungsi sebagai konduktor. Manajer tersebut tidak lagi harus memiliki pengetahuan teknis seperti yang dimiliki pemain orkesnya, tetapi yang diperlukan hanya seorang yang mampu mengatur tempo dan menguasai tingkatan nada.

Pengendalian TI didefinisikan sebagai suatu pernyataan hasil yang diinginkan atau maksud yang dicapai oleh prosedur pengendalian implementasi dalam kegiatan TI khusus.

Terdapat 15 area pengendalian, sebut dan jelaskan. 

1. Integritas Sistem

a.  Ketersediaan dan kesinambungan sistem komputer untuk user

b.  Kelengkapan, Keakuratan, Otorisasi, serta proses yang auditable

c.  Persetujuan dari user atas kinerja sistem yang di inginkan

d.  Preventive maintenance agreements untuk seluruh perlengkapan

e.  Kesesuaian kinerja antara S/W dan jaringan dengan yang diharapkan

f.  Serta adanya program yang disusun untuk operasi secara menyeluruh

2. Manajemen Sumber Daya

a.  Faktor-faktor yang melengkapi integritas sistem

b.  Yaitu meyakini kelangsungan (ongoing) H/W, S/W, SO,S/W aplikasi dan komunikasi jaringan komputer, telah dipantau dan dikelola pada kinerja yang maksimal namun tetap dengan biaya yang wajar.

c.  Hal-hal  tersebut  didokumentasikan  secara  formal,  demi  proses  yang berkesinambungan

3. Pengendalian Perubahan S/W Aplikasi dan S/W sistem

a.  Menentukan adanya keterlibatan dan persetujuan user dalam hal adanya perubahan terhadap s/w aplikasi dan s/w sistem

b.  Setiap  pengembangan dan perbaikan aplikasi harus melalui proses formal dan didokumentasikan  serta telah melalui tahapan-tahapan pengembangan sistem yang dibakukan dan disetujui.

4. Backup dan Recovery

a.  Demi kelangsungan usaha, harus tersedia data processing disaster recovery planning (rencana pemulihan data dan pusat sistem informasi apabila terjadi kehancuran),

b.  Baik berupa backup dan pemulihan  normal, maupun rencana contingency untuk kerusakan pusat SI (lokasi gedung, peralatanya, SDM-nya maupun manualnya).

5. Contigency Planning

a.  Perencanaan yang komprehenshif di dalam mengantisipasi terjadinya ancaman

b.  terhadap fasilitas pemrosesan SI

c.  Dimana sebagian besar komponen utama dari disaster recovery plan telah dirumuskan dengan jelas, telah di koordinasikan dan disetujui, seperti critical application systems, identifikasi peralatan dan fasilitas penunjang H/W, sistem S/W dan sebagainya.

6. System S/W Support

a.  Pengukuran pengendalian dalam pengembangan, penggunaan, dan pemeliharaan dari  S/W  SO,  biasanya lebih canggih dan lebih cepat perputarannya dibandingkan dengan S/W aplikasiDengan  ketergantungan yang lebih besar kepada staf teknik untuk integritas fungsionalnya

b.  Pengukuran kendali pengamanan aplikasi individu maupun pengamanan logika sistem secara menyeluruh (systemwide logical security)

7. Dokumentasi

a.  Integritas dan ketersediaan dokumen operasi, pengembangan aplikasi, user dan S/W sistem

b.  Diantaranya dokumentasi program dan sistem, buku pedoman operasi dan schedule operasi,

c.  Untuk setiap aplikasi sebaiknya tersedia dokumentasi untuk tiap jenjang user.

8. Pelatihan atau Training

a.  Adanya penjenjagan berdasarkan kemampuan untuk seluruh lapisan manajemen dan staf, dalam hal penguasaannya atas aplikasi-aplikasi dan kemampuan teknisnya

b.  Serta rencana pelatihan yang berkesinambungan

9. Administrasi

a.  Struktur organisasi dan bagannya, rencana strategis, tanggungjawab fungsional, job description,  sejalan dengan metoda job accounting  dan/atau charge  out yang digunakan

b.  Termasuk didalamnya pengukuran atas proses pengadaan dan persetujuan untuk semua sumber daya SI.

10. Pengendalian Lingkungan dan Keamanan Fisik

a.  Listrik,peyejuk  udara,penerang  ruangan, pengaturan kelembaban, serta kendali akses kesumber daya informasi

b.  Pencegahan kebakaran, ketersediaan sumber listrik cadangan,

c.  Juga pengendalian dan backup sarana telekomunikasi

11. Operasi

a.  Diprogram untuk merespon permintaan/keperluan SO

b.  Review atas kelompok SO berdasarkan job schedulling, review yang terus-menerus terhadap  operator, retensi terhadap console log message, dokumentasi untuk run/restore/backup atas seluruh aplikasi

c.  Daftar personel, dan nomor telepon yang harus dihubungi jika muncul masalah SO, penerapan sistem sift dan rotasi serta pengambilan cuti untuk setiap operator.

12. Telekomunikasi

a.  Review terhadap logical and physical access controls,

b.  Metodologi  pengacakan  (encryption)  terhadap  aplikasi  electronic  data  interchange (EDI)

c.  Adanya supervisi yang berkesinambungan terhadap jaringan komputer dan komitmen untuk ketersediaan jaringan tersebut dan juga redundansi saluran telekomunikasi.

13. Program Libraries

a.  Terdapat pemisahan dan prosedur pengendalian formal untuk application ource code dan  compiled production program code dengan yang disimpan diapplication test libraries development

b.  Terdapat review atas prosedur quality assurance.

14. Application Support

a.  Bahwa proses tetap dapat berlangsung walaupun terjadi kegagalan sistem

b.  Sejalan dengan kesinambungan proses untuk inisiasi sistem baru, manajemen

c.  proyek, proses pengujian yang menyeluruh antara user dan staf SI

d.  Adanya review baik formal maupun informal terhadap tingkat kepuasan atas SDLC yang digunakan.

15. Microcomputer Controls

a.  Pembatasan yang ketat dalam pengadaan, pengembanganaplikasi, dokumentasi atas aplikasi  produksi maupun aplikasi dengan misi yang kritis,sekuriti logika, dan fisik terhadap microcomputer yang dimiliki,

b.  Serta pembuatan daftar inventaris atas H/W, S/W, serta legalitas dari S/W untuk menghindari tuntutan pelanggaran hak cipta.

Menurut Anda seberapa perlukan adanya pengendalian internal? Mengapa?

Sangat diperlukan berdasarkan dari tujuan pengendalian internal adalah

1.  Memeriksa ketelitian dan kebenaran data yang akan menghasilkan laporan-laporan yang

dapat diandalkan.

2.  Efektivitas dan efisiensi dalam operasi, yaitu efektif dalam mencapai tujuan organisasi

secara keseluruhan dan efisien dalam pemakaian sumberdaya yang tersedia.

3.  Membantu agar tidak terjadi penyimpangan terhadap hukum dan peraturan yangberlaku

4.  Mengamankan harta milik organisasi atau perusahaan termasuk data yang tersedia

Selain berdasarkan tujuan, pengendalian internal mempunyai pengaruh terhadap komputer yaitu,

Tujuan dari perlindungan aset, integritas data, efektivitas sistem, dan efisiensi sistem dapat

dicapai  dengan  baik  jika  manajemen  organisasi  meningkatkan  sistem  pengendalian

internalnya, yaitu dengan cara :

1.  Pemisahan Tanggung Jawab (Separation of Duties)

2.  Pendelegasian  Wewenang  dan  Tanggung  Jawab  Delegation of  Authority  and

Responsibility)

3.  Personal yang Kompeten dan Dapat dipercaya (Competent and Trustworthy Personnel)

4.  Otorisasi Sistem (System of Authorizations)

5.  Kecukupan Catatan dan Dokumen (Adequate Documents and Records)

6.  Pengendalian  Fisik  atas  banyaknya  Rekord  dan  Aset  (Physical  Control  over  Assets  and

Records)

7.  Kecukupan Supervisi dari pihak Manajemen (Adequate Management Supervision)

8.  Bentuk Pengecekan yang Independen (independent Checks on Performance)

9.  Perbandingan  Akuntabilitas  Rekord  dengan  Aset  (Comparing  Recorded  Accountability with Assets)

MANAJEMEN KONTROL KEAMANAN

Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang perlu dilindungi?

1. Aset Fisik, meliputi :

a. Personnel

b. Hardware (termasuk  media penyimpanan, dan periperalnya)

c. Fasilitas

d. Dokumentasi dan

e. Supplies

2. Aset Logika

a. Data / Informasi dan

b. Sofware (Sistem dan Aplikasi)

Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan langkah-langkah utama pelaksanaan program keamanan tsb.

-Prepare project plan

Persiapan Rencana Pekerjaan (Preparation of a Project Plan)

Perencanaan proyek untuk tinjaun kemanan mengikuti item sbb :

a.  Tujuan Review

b.  Ruang Lingkup (Scope) Review

c.  Tugas yang harus dipenuhi

d.  Organisasi dari Tim Proyek

e.  Sumber Anggaran (Pendanaan) dan

f.  Jadwal untuk Menyelesaikan Tugas

-Identify Assets

Identifikasi Kekayaan (Identification of asset)

Katagori asset :

a.  Personnel (end users, analyst, programmers, operators, clerks, Guards)

b.  Hardware  (Mainfarme,  minicomputer,  microcomputer,  disk,  printer,

communication  lines, concentrator, terminal)

c.  Fasilitas (Furniture, office space, computer rrom, tape storage rack)

d.  Dokumentasi  (System  and  program  doc.,database  doc.,standards  plans,

insurance  policies, contracts)

e.  Persediaan (Negotiable instrument, preprinted forms, paper, tapes, cassettes)

f.  Data/Informasi (Master files, transaction files, archival files)

g.  Software Aplikasi (Debtors, creditors, payroll, bill-of-materials, sales, inventory)

h.  Sistem Software (Compilers, utilities, DBMS, OS, Communication Software,

Spreadsheets)

-Value Assets

Penilaian Kekayaan (Valuation of asset)

Langkah  ke  tiga  adalah  penilaian  kekayaan,  yang  merupakan  langkah  paling  sulit.  Parker

(1981)  menggambarkan  ketergantungan  penilaian  pada  siapa  yang  ditanya  untuk

memberikan  penilaian,  cara  penilaian  atas  kekayaan  yang  hilang  (lost),  waktu  periode

untuk  perhitungan  atas  hilangnya kekayaan, dan umur asset

-Identify Threats

Sumber ancaman External :

1.  Nature / Acts of God

2.  H/W Suppliers

3.  S/W Suppliers

4.  Contractors

5.  Other Resource Suppliers

6.  Competitors  (sabotage,  espionage,  lawsuits,  financial  distress  through

fair  or  unfair competition)

7.  Debt and Equity Holders

8.  Unions (strikes, sabotage,harassment)

9.  Governmnets

10.  Environmentalist (Harassment (gangguan), unfavorable publicity)

11.  Criminals/hackers (theft, sabotage, espionage, extortion)

Sumber ancaman Internal :

1.  Management,  contoh  kesalahan  dalam  penyediaan  sumber  daya,  perencanaan

dan  control yang tidak cukup.

2.  Employee,  contoh  Errors, Theft (pencurian), Fraud (penipuan), sabotase,

extortion (pemerasan), improper  use of service (penggunaan layanan yg tidak

sah)

3.  Unreliable system, contoh Kesalahan H/W, kesalahan S/W, kesalahan fasilitas.

-Assessing Likelihood Or Threats

Penilaian Kemungkinan Ancaman (Threats LikeIihood Assessment)

Contoh,  perusahaan  asuransi  dapat  menyediakan  informasi  tentang  kemungkinan

terjadinya kebakaran api dalam satu waktu periode tertentu.

-Analyze Exposures

Analisis Ekspose (Exposures analysis)

Tahap analisis ekspose terdiri dari 4 tugas yaitu :

1. Identification of the controls in place

2. Assessment of the reliability of the controls in place

3. Evaluation of the likelihood that a threat incident will be successful

4. Assess the resulting loss if the threat is successful

Menurut anda bagaimana cara untuk mengontrol bahwa Sistem Informasi sudah terlindungi dengan baik.

1. KONTROL ADMINISTRATIF

untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya.

Mencakup hal-hal berikut:

– Mempublikasikan kebijakan control.

– Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan   dilaksanakan dengan tegas.

– Perekrutan pegawai dengan orientasi pembinaan, dan pelatihan yang diperlukan.

2. PEMBATASAN AKSES TERHADAP DATA

Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan.

3. KONTROL TERHADAP PERSONEL PENGOPERASI

Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini harus dijalankan dengan tegas.

4. KONTROL TERHADAP PERALATAN

Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.

5. KONTROL TERHADAP PENYIMPANAN ARSIP

Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.

6. KONTROL TERHADAP AKSES INFORMASI

Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).

Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi.

Adapun sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi cleratext, disebut dekrpisi. Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key encryption.

7. Kontrol Terhadap Perlidungan Terakhir

Kontrol terhadap perlindungan terakhir dapat berupa:

– Rencana pemulihan terhadap bencana.

– Asuransi.

Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana.

8. KONTROL APLIKASI

Kontrol aplikasi adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi sistem informasi. Wilayah yang dicakup oleh kontrol ini meliputi:

– KONTROL MASUKAN (Input)

Kontrol masukan digunakan untuk menjamin keakurasian data, kelengkapan masukan (inputan), dan validasi terhadap masukan (inputan).

– KONTROL PEMROSESAN

Kesalahan salam pemrosesan bisa terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga kala terjadi hal-hal yang tidak benar segera bisa diketahui.

Kontrol proses antara lain dilakukan dengan mencantumkan total kontrol, berupa nilai total semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan maksud untuk dicocokkan dengan jumlah transaksi.

– KONTROL KELUARAN (Output)

Kontrol keluaran dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan dengan melaksanakan pengamatan terhadap dokumen-dokumen dan laporan-laporan yang dihasilkan oleh komputer didasarkan pada kebenaran informasi, otorisasi, dan kerahasiaan informasi.

– KONTROL BASIS DATA

Kontrol terhadap basis data antara lain dengan cara:

---Penerapan kebijakan backup dan recovery.

---Penanganan transaksi melalui mekanisme rollback dan commit. (rollback adalah kemampuan basis data yang memungkinkan pengembalian ke keadaan sebelum sebuah transaksi dimulai jika suatu transaksi tidak berjalan dengan sempurna, sedangkan commit digunakan untuk memastikan bahwa data benar-benar teah dimutakhirkan pada basis data sekiranya sebuah transaksi berlangsung dengan sempurna.

---Otorisasi akses, yang mengatur orang tertentu hanya bisa melakukan tindakan tertentu pada berkas tertentu.

– KONTROL TELEKOMUNIKASI

Telekmunikasi merupakan komponen yang paling lemah dalam sistem informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan.

Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya. Teknik checksum juga bisa diterapkan pada data yang vital untuk mendeteksi apakah telah terjadi perubahan pada data atau tidak.