Jumat, 25 Januari 2019

Tugas 3 Audit Teknologi Sistem Informasi

  1. Jelaskan fungsi/kegunaan dari audit teknologi sistem informasi? Apa pentingnya melakukan audit teknologi sistem informasi!
  2. Jelaskan apa yang dimaksud dengan laporan audit teknologi sistem informasi!
  3. Apa fungsi/kegunaan dari laporan audit teknologi sistem informasi? Jelaskan!

Jawab

  1. Untuk lebih praktisnya, berikut ini adalah beberapa kegunaan audit sistem informasi yang pernah dilakukan, antara lain : 
    • Evaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan organisasi dengan rencana strategis TIK, rencana tahunan TIK dan rencana proyek/program TIK. 
    • Evaluasi atas kelayakan struktur organisasi TIK, termasuk pemisahan fungsi (segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority). 
    • Evaluasi atas pengelolaan personil TIK, termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil TIK.
    • Evaluasi atas pengembangan TIK, termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi TIK, serta manajemen perubahaan. 
    • Evaluasi atas kegiatan operasional TIK, termasuk pengelolaan keamanan dan kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan masalah dan insiden TIK serta dukungan pengguna (helpdesk). 
    • Evaluasi atas kontinuitas layanan TIK, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat TIK (IT emergency plan), pengelolaan rencana pemulihan layanan TIK (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan).
            Meningkatkan :
    • Perlindungan atas aset TIK lembaga pemerintahan yang merupakan kekayaan negara, atau dengan kata lain aset milik publik 
    • Integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik
    • Penyediaan informasi yang relevan dan handal bagi para pemimpin lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik 
    • Peranan TIK dalam pencapaian tujuan lembaga pemerintaha dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut 
    • Efisiensi penggunaan sumber daya TIK serta efisiensi secara organisasional dan prosedural di lembaga pemerintahan.
      2.     laporan merupakan salah satu bentuk komunikasi tertulis, formal, sehingga auditor tidak                     dapat mengetahui reaksi auditee secara langsung.

     3.  Fungsi Laporan audit Teknologi Sistem Informasi:
  • Berisi makna penting, dan sungguh-sungguh diperlukan dan hasilnya bermanfaat bagi pimpinan perusahaan, auditee, dan auditor sendiri. 
  • Disusun dan didistribusikan tepat waktu. 
  • Ketepatan dan kecukupan bukti pendukung. 
  • Menyajikan temuan dan rekomendasi atau usul solusi dengan nada yang kontruktif (bersifat pencerahan, tidak mendorong “permusuhan”)

Jumat, 18 Januari 2019

Tools Audit TI

Audit TI merupakan suatu proses kontrol pengujian terhadap infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal. Audit TI lebih dikenal dengan istilah EDP. Biasanya digunakan untuk menguraikan dua jenis aktifitas yang berkaitan dengan komputer. Jenis aktivitas ini disebut sebagai auditing melalui komputer. Penggunaan istilah lainnya adalah untuk menjelaskan pemanfaatan komputer oleh auditor untuk melaksanakan beberapa pekerjaan audit yang tidak dapat dilakukan secara manual. Jenis aktivitas ini disebut audit dengan komputer.


Audit TI merupakan gabungan dari berbagai macam ilmu, antara lain Traditional Audit, Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan Behavioral Science. Audit TI bertujuan untuk meninjau dan mengevaluasi faktor-faktor ketersediaan (availability), kerahasiaan (confidentiality), dan keutuhan (integrity) dari sistem informasi organisasi


Jenis Audit TI


1. Sistem dan aplikasi


Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.


2. Fasilitas pemrosesan informasi


Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.


3. Pengembangan sistem


Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.


4. Arsitektur perusahaan dan manajemen TI


Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdayaguna untuk pemrosesan informasi.


5. Client/Server, telekomunikasi, intranet, dan ekstranet


Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server.


Metodologi Audit TI






Dalam praktiknya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya, sebagai berikut:


1. Tahapan Perencanaan


Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang akan diperiksa sehingga menghasilkan suatu program audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.


2. Mengidentifikasikan resiko dan kendali


Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik.


3. Mengevaluasi kendali dan mengumpulkan bukti-bukti


Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.


4. Mendokumentasikan


Mengumpulkan temuan-temuan dan mengidentifikasikan dengan audit.


5. Menyusun laporan


Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.






Tools untuk Melakukan Audit TI


Selain COBIT, terdapat beberapa tools lain yang digunakan untuk melakukan audit teknologi informasi, yaitu sebagai berikut :


1. ACL (Audit Command Language)


Merupakan perangkat lunak dalam pelaksanaan audit yang di design khusus untuk melakukan analisa data elektronik suatu perusahaan dan membantu menyiapkan laporan audit secara mudah dan interaktif. ACL dapat digunakan untuk user biasa atau yang sudah ahli.


2. Picalo


Picalo adalah perangkat lunak yang dapat digunakan untuk melakukan analisa data yang dihasilkan dari berbagai sumber. Picalo dikemas dengan GUI (Graphis User Interface) yang mudah digunakan, dan dapat berjalan di berbagai sistem operasi.


3. Powertech Compliance Assessment


Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400.


4. Nipper


Nipper merupakan audit automation software yang dapat dipergunakan untuk mengaudit dan mem-benchmark konfigurasi sebuah router.


Nipper (Jaringan Infrastruktur Parser) adalah alat berbasis open source untuk membantu profesional TI dalam mengaudit, konfigurasi dan mengelola jaringan komputer dan perangkat jaringan infrastruktur.


5. Nessus


Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan


6. Metasploit


Metasploit merupakan perangkat lunak yang dapat membanttu keamanan dan sifat profesionalisme teknologi informasi seperti melakukan identifikasi masalah keamanan, verifikasi kerentanan, dapat melakukan scanning aplikasi website, dan rekayasa sosial.


7. NMap (Network Mapper)


NMap bersifat open source yang digunakan untuk audit dalam hal keamanan. Sistem dan administrator menggunakan perangkat lunak ini sebagai persediaan jaringan, mengelola jadwal layanan untuk upgrade, jenis firewall apa yang sedang digunakan, dan lain-lain. NMap berjalan pada semua sistem operasi dan paket biner seperti Linux, serta dapat melakukan transfer data secara fleksibel.


8. Wireshark


Wireshark adalah jaringan terkemuka pada analyzer protocol. Perangkat ini dapat membantu dalam melakukan penangkapan dan interaksi dalam penelusuran lalu lintas yang berjalan pada jaringan komputer.

COBIT

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.

Cobit memiliki 4 Cakupan Domain : 

1. Perencanaan dan Organisasi (Plan and Organise) Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. 
2. Pengadaan dan Implementasi (Acquire and Implement) Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis. 
3. Pengantaran dan Dukungan (Deliver and Support) Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training. 
4. Pengawasan dan Evaluasi (Monitor and Evaluate) Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.
Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi.

Skala maturity dari Framework COBIT

Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang. Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.

Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
  1. Status pengelolaan TI perusahaan pada saat itu.
  2. Status standart industri dalam bidang TI saat ini (sebagai pembanding)
  3. Status standart internasional dalam bidang TI saat ini (sebagai pembanding)
  4. Strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi pengelolaan TI perusahaan)