Selasa, 24 Oktober 2017

Pengendalian Jaringan dalam Audit SI

Pengendalian jaringan 

Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengelola wide area network adalah network control terminal. Network control terminal menyediakan akses kepada software system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu :
  • Memulai dan menghentikan jaringan dan proses 
  • Memonitor aktivitas jaringan  
  • Mengganti nama line komunikasi 
  • Mengenerate statistic system  
  • Mensetting ulang panjangnya antrian  
  • Menambah frekuensi backup 
  • Menanyakan status sistem 
  • Mengirimkan system warning dan status message
  • Memeriksa lintasan data pada line komunikasi
Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penting pada suatu jaringan.

Contoh Pengendalian Jaringan dalam Audit SI :

- Misal nya di sebuah perusahaan yang memiliki banyak customer yang tersebar diseluruh indonesia. Maka perlu adanya tim yang memonitor aktivitas jaringan, agar dapat diketahui jika suatu saat ada penyusup yang mencoba mem-bobol kemanan sistem. Kemudian perlunya static sistem seperti koneksi antar IP static, dengan demikian pihak lain yang menggunakan IP selain IP tersebut tidak dapat mengakses ke dalam sistem. Backup juga hal penting yang harus dimiliki oleh semua perusahaan, dimana jika pada sistem primary terkendala, maka bisnis tetap bisa berjalan dengan sistem backup.
Share:

Pengendalian Perangkat Lunak dalam Audit SI

Pengendalian Perangkat Lunak 
Tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
  • Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan sistem
  • Pengendalian keamanan data
Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga keamanan data yang tersimpan didalam media penyimpanan agar tidak hilang dan rusak, atau diakses oleh orang yang tidak berhak.

Contoh Pengendalian Perangkat Lunak :
- Misal sebuah perusahaan memiliki sebuah sistem aplikasi yang digunakan suatu divisi. Maka keamanan baik dari segi data dan akses ke sistem aplikasi tersebut harus benar-benar dijaga, agar tidak ada user lain selain dari divisi tersebut, yang bisa mengakses ke sistem aplikasi. Untuk itu perlu dibuat hak akses ke masing-masing user dengan password unik agar terhindar dari hacking, manipulasi data dan redundant data.
Share:

Pengendalian Perangkat Keras dalam Audit SI

Pengendalian Perangkat Keras

Pengawasan terhadap akses fisik

Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.
  • Pengaturan lokasi fisik
Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian keamanan komputer.

  • Penggunaan alat pengamanan
Alat–alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan.

  • Pengendalian operasi perangkat keras
Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut.


Contoh Pengendalian Perangkat Keras :
 - Misalnya perusahaan membutuhkan sebuah server yang dapat online 24 jam dan dapat di akses dari manapun. Untuk itu perusahaan dan divisi IT perlu membuat ruang server sendiri atau menyewa kolokasi ke vendor-vendor penyedia kolo. Kemudian perlu di pastikan apakah keadaan kolokasi sudah sesuai dengan kebutuhan yang dibutuhkan server, baik dari sisi pengaturan lokasi, suhu ruangan, kelayakan kolo dan keamanan dalam akses masuk kolo patut di pertimbangkan. Agar server yang akan dibangun bisa sesuai dengan ekspektasi yang diharapkan.
Share:

Cara pengendalian personil (user pengguna TI) dalam Audit SI

Pengendalian Personil

Personil mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal‐hal berikut :
  • Adanya prosedur penerimaan dan pemilihan pegawai
  • Adanya program peningkatan keahlian pegawai melalui pelatihan yang berhubungan dengan bidang tugasnya
  • Adanya evaluasi atas pekerjaan yang dilakukan pegawai
  • Administrasi atas gaji dan prosedur promosi yang jelas
  • Penggunaan uraian tugas (job description)
  • Pemilihan dan pelatihan pegawai
  • Penyediaan (supervisi) dan penilaian
  • Penggiliran pekerjaan (job  rotation) dan keharusan mengambil cuti
  • Adanya jenjang karier serta sarana dan aturan untuk mencapainya

Contoh dalam pengendalian Personil :
- Misalnya di dalam sebuah perusahaan dibutuhkan seorang tenaga kerja yang bertanggung jawab pada posisi IT tapi sulit mendapatkan sumber daya manusia yang sesuai dengan kualifikasi yang dibutuhkan, maka perusahaan dapat melihat kemampuan karyawan yang lain yang bisa disesuaikan / di latih dengan pelatihan-pelatihan  IT untuk mengisi kekosongan posisi tersebut.
Dengan demikian posisi tersebut tidak akan kosong.
Share:

Selasa, 10 Oktober 2017

Teknologi Audit SI & contoh

COBIT yaitu Control Objectives for Information and Related Technology yang merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI) pada tahun 1992.
  1. Business information requirements, terdiri dari : Information : effectiveness (efektif), efficiency (efisien), (keyakinan), integrity (integritas), availability (tersedia), (pemenuhan), reliability (dipercaya). 
  2. Confidentiality compliance  
  3. Information Technology Resource, terdiri dari : People, applications, technology, facilities, data. 
  4. High – Level IT Processes.

COBIT didasari oleh analisis dan harmonisasi dari standar teknologi informasi dan best practices yang ada, serta sesuai dengan prinsip governance yang diterima secara umum. COBIT berada pada level atas yang dikendalikan oleh kebutuhan bisnis, yang mencakupi seluruh aktifitas teknologi informasi, dan mengutamakan pada apa yang seharusnya dicapai dari pada bagaimana untuk mencapai tatakelola, manajemen dan kontrol yang efektif. COBIT Framework bergerak sebagai integrator dari praktik IT governance dan juga yang dipertimbangkan kepada petinggi manajemen atau manager; manajemen teknologi informasi dan bisnis; para ahli governance, asuransi dan keamanan; dan juga para ahli auditor teknologi informasi dan kontrol. COBIT Framework dibentuk agar dapat berjalan berdampingan dengan standar dan best practices yang lainnya.

Implementasi dari best practices harus konsisten dengan tatakelola dan kerangka kontrol Perusahaan, tepat dengan organisasi, dan terintegrasi dengan metode lain yang digunakan. Standar dan best practices bukan merupakan solusi yang selalu berhasil dan efektifitasnya tergantung dari bagaimana mereka diimplementasikan dan tetap diperbaharui. Best practices biasanya lebih berguna jika diterapkan sebagai kumpulan pinsip dan sebagai permulaan (starting point) dalam menentukan prosedur. Untuk mencapai keselarasan dari best practices terhadap kebutuhan bisnis, sangat disarankan agar menggunakan COBIT pada tingkatan teratas (highest level), menyediakan kontrol framework berdasarkan model proses teknologi informasi yang seharusnya cocok untuk perusahaan  secara umum.

COBIT FRAMEWORK
Kerangka kerja CobIT terdiri dari beberapa guidelines (arahan), yakni :
a.    Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu : planning & organization, acquisition & implementation, delivery & support, dan monitoring.
b.    Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance atau saran perbaikan.
c.    Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.
d.    Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0 – 5).
Share:

Tujuan Audit SI yang berfokus pada tata kelola & contoh

Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan IT, yaitu :

  •    Conformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu :Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) danCompliance (Kepatuhan).

  •    Performance (Kinerja) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu :Effectiveness(Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).

Contoh implementasi nya yaitu penerpan keamanan suatu sistem dengan menggunakan framework COBIT.
Kerangka kerja COBIT merupakan kumpulan praktek-praktek terbaik (best practices) dan bersifat generik, digunakan sebagai acuan dalam menentukan sasaran kendali (control objectives) dan proses-proses TI yang diperlukan dalam pengelolaan TI. Konsep dasar dari kerangka kerja COBIT adalah bahwa kendali untuk TI didekati dengan melihat informasi yang dibutuhkan untuk mendukung sasaran dan kebutuhan proses bisnis, dan melihat informasi sebagai hasil perpaduan dari berbagai penggunaan sumber daya TI yang harus dikelola melalui proses TI. Untuk memastikan terpenuhinya kebutuhan proses bisnis akan informasi, maka kendali yang tepat untuk pengukuran harus dide nisikan, di implementasikan dan dipantau ke seluruh sumber daya-sumber daya tersebut. Kerangka kerja COBIT terdiri dari 3 level control objectives, dimulai dari level yang paling bawah yaitu activities. Activities merupakan kegiatan rutin yang memiliki konsep siklus hidup. Selanjutnya kumpulan activities dikelompokkan ke dalam proses TI (processes), kemudian proses-proses TI yang memiliki permasalahan yang sama dikelompokkan ke dalam domain (domains).
Share:

Audit Sistem Informasi

Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Ron Weber (1999,10) mengemukakan bahwa audit sistem informasi adalah :
” Information systems auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, allows organizational goals to be achieved effectively, and uses resources efficiently”.

Share: