RANGKUMAN BUKU
PENERJEMAH :
4KA11
LUTHFI MIFTAH M 13115906
MUHAMMAD FARIZ 14115584
MUHAMMAD FAUZAN A 14115591
RIDHO ILHAM P 15115930
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
PROSES AUDIT (AUDIT PROCESS) .
A. INTERNAL CONTROL
Internal Control , dinyatakan dalam istilah yang paling sederhana, adalah mekanisme
yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam
perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko
untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal
diterapkan untuk mengurangi risiko-risiko tersebut. Internal Control memiliki beberapa tipe,
yaitu :
1. Preventive Control.
Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan
ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini
mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut
pandang teoritis, kontrol pencegahan selalu lebih disukai, karena alasan yang jelas.
Namun, ketika Anda melakukan audit, ingat bahwa kontrol pencegahan tidak selalu
merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih
masuk akal dari titik keuntungan biaya / manfaat.
2. Detective Control.
Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat
semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log
untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.
3. Reactive Control (Corrective Control).
Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak
mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk
mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya
mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin
memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna
memiliki file tanda tangan terinstal terbaru. Idealnya, Anda dapat menonaktifkan
akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis
dari sudut pandang bisnis.
B. INTERNAL CONTROL EXAMPLE
Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan
konsep pengendalian internal.
1. Software Change Control
Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar,
Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini
mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem,
sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang
tidak. Jadi apa saja kontrol internal yang akan mengurangi risiko tersebut?
Jangan izinkan akses logis pemrogram untuk memperbarui kode produksi.
Orang yang memiliki akses logis untuk memperbarui kode produksi tidak
mungkin melakukannya tanpa bukti pengujian dan persetujuan.
2. Access Control
Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk
akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat.
Bagaimana cara mengurangi risiko tersebut?
Minta ID pengguna dan kata sandi untuk mengakses sistem.
Memiliki sejumlah administrator keamanan aplikasi yang mengontrol
kemampuan untuk menambahkan akun pengguna baru ke sistem.
Pastikan bahw administrator keamanan aplikasi adalah individu
berpengetahuan yang tahu pengguna mana yang benar-benar membutuhkan
akses ke sistem.
3. Backup and Disaster-Recovery Plans
ika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang
mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau
mengirim pembayaran baru.
C. DETERMINING WHAT TO AUDIT (MENENTUKAN APA YANG HARUS DI
AUDIT).
Salah satu tugas terpenting dari departemen audit internal adalah menentukan apa yang harus
diaudit. Langkah yang harus diambil ialah :
1. Creating Audit Universe
Sebelum menciptakan lingkungan (universe), sebaiknya memahami terlebih dahulu
lingkungan sekitar agar mampu melakukan audit yang efektif.
2. Centralized IT Function
Pada bagian ini, Anda harus menentukan fungsi TI apa yang terpusat, dan tempatkan
masing-masing fungsi terpusat pada daftar potensi audit IT kita. Salah satu contoh,
jika fungsi utama mengelola lingkungan server Unix dan Linux Anda, salah satu
potensi Anda mungkin merupakan tinjauan terhadap manajemen lingkungan itu.
3. Decentralized IT Function
Setelah membuat daftar semua proses TI terpusat perusahaan, Anda dapat
menentukan sisa alam semesta audit Anda. Mungkin Anda dapat membuat satu
potensi audit per situs perusahaan. Audit ini dapat terdiri dari peninjauan kontrol TI
terdesentralisasi yang dimiliki oleh masing-masing situs, seperti keamanan fisik pusat
data dan kontrol lingkungan.
4. Business Application
Anda juga dapat membuat audit potensial untuk setiap aplikasi bisnis. Anda harus
menentukan apakah lebih efektif untuk melakukan audit ini di alam semesta audit TI
atau di alam audit keuangan. Dalam banyak hal, sangat masuk akal untuk memiliki
audit ini didorong oleh auditor keuangan, yang mungkin dalam posisi terbaik untuk
menentukan kapan waktu untuk melakukan audit saat proses pembelian.
5. Regulatory Compliance (Kepatuhan terhadap peraturan).
Contoh umum termasuk kepatuhan audit dengan Sarbanes-Oxley, Portabilitas
Asuransi Kesehatan dan Undang-Undang Akuntabilitas (HIPPA), serta peraturan dan
standar Industri Kartu Pembayaran (PCI).
6. Ranking The Audit Universe
Setelah Anda membuat semesta audit TI Anda, Anda harus mengembangkan
metodologi untuk menentukan peringkat audit potensial tersebut untuk menentukan
rencana Anda untuk tahun ini (atau kuartal, bulan, dan seterusnya). Anda dapat
memasukkan semua jenis faktor dalam metodologi ini, tetapi berikut ini adalah
beberapa yang penting :
Masalah yang diketahui di lapangan, tersebut Jika Anda tahu ada masalah
di daerah tersebut, Anda harus lebih mungkin untuk melakukan audit terhadap
area tersebut.
Menyadari risiko di lapangan, Anda mungkin tidak menyadari masalah
khusus di area tersebut, tetapi pengalaman Anda memberi tahu Anda bahwa
area ini rentan terhadap masalah, jadi Anda harus mempertimbangkan untuk
melakukan audit.
Manfaat melakukan audit di lapangan, Pertimbangkan manfaat dari
melakukan audit di daerah, dengan fokus terutama pada apakah audit akan
menambah nilai bagi perusahaan.
Management Input, Sebagai contoh, jika manajemen mendorong Anda untuk
melakukan audit, mereka mungkin mengetahui masalah di area tersebut, yang
mungkin mengarahkan Anda untuk meningkatkan peringkat Anda dari faktor
pertama (Menyadari risiko di lapangan). Ini juga dapat mengarahkan Anda
untuk percaya bahwa Anda dapat menambah nilai dengan melakukan audit,
sehingga Anda dapat berpotensi meningkatkan peringkat Anda dari faktor
ketiga (Manfaat melakukan audit di lapangan).
D. THE STAGE OF AUDIT (TAHAPAN AUDIT).
Sekarang setelah Anda memahami proses pemilihan apa yang harus diaudit, mari kita bahas
berbagai tahapan untuk melakukan masing-masing audit dalam rencana audit. Kami akan
membahas enam fase audit utama berikut :
1. Perencanaan
2. Kerja lapangan dan dokumentasi
3. Penemuan masalah dan validasi
4. Pengembangan solusi
5. Pembuatan laporan
6. Pelacakan masalah
AUDIT TECHNIQUES
A. AUDITING ENTITY-LEVEL CONTROLS
Langkah-Langkah Percobaan Untuk Auditing Entity-Level Controls
1. Tinjaulah struktur organisasi TI secara keseluruhan untuk memastikan bahwa
organisasi tersebut menyediakan penugasan yang jelas atas wewenang dan tanggung
jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.
2. Tinjau proses perencanaan strategis TI dan pastikan bahwa itu selaras dengan strategi
bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana
strategis.
3. Tinjau proses perencanaan strategis dan solusi yang selaras dengan strategi bisnis.
Evaluasi proses TI untuk memantau kemajuan dari rencana strategis.
4. Tinjau indikator kinerja dan pengukuran untuk TI. Pastikan bahwa proses dan metrik
tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja
kegiatan sehari-hari dan untuk melacak kinerja terhadap perjanjian tingkat layanan,
anggaran, dan persyaratan operasional lainnya.
5. Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru.
Tentukan apakah proses ini cukup untuk memastikan bahwa akuisisi sistem dan
proyek pengembangan tidak dapat dimulai tanpa persetujuan. Pastikan bahwa
manajemen dan pemangku kepentingan kunci meninjau status proyek, jadwal, dan
anggaran secara berkala sepanjang masa proyek-proyek penting.
6. Mengevaluasi standar untuk mengatur pelaksanaan proyek-proyek TI dan untuk
memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI.
Tentukan bagaimana standar-standar ini dikomunikasikan dan ditegakkan.
7. Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai
untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut
dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.
8. Tinjau dan evaluasi proses penilaian risiko di tempat untuk organisasi TI.
9. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan TI di perusahaan
memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan
mereka.
10. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data
perusahaan, mengklasifikasikan data, melindungi data sesuai dengan klasifikasi
mereka, dan menentukan siklus kehidupan data.
11. Pastikan bahwa ada proses yang efektif untuk mematuhi hukum dan peraturan yang
berlaku yang memengaruhi TI dan untuk mempertahankan kesadaran akan perubahan
dalam lingkungan peraturan.
12. Tinjau dan evaluasi proses untuk memastikan bahwa pengguna akhir lingkungan TI
dapat melaporkan masalah, dilibatkan secara tepat dalam keputusan TI, dan puas
dengan layanan yang diberikan oleh TI.
13. Tinjau dan evaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa
peran dan tanggung jawab mereka didefinisikan dengan jelas dan memantau
kinerjanya.
14. Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan.
15. Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi
perangkat lunak yang berlaku
16. Tinjau dan evaluasi kontrol atas akses jarak jauh ke jaringan perusahaan (seperti dial-
up, VPN, koneksi eksternal khusus).
17. Pastikan bahwa prosedur perekrutan dan pemberhentian sudah jelas dan
komprehensif.
18. Tinjau dan evaluasi kebijakan dan prosedur untuk mengontrol pengadaan dan
pergerakan perangkat keras.
19. Pastikan konfigurasi sistem dikontrol dengan manajemen perubahan untuk
menghindari pemadaman sistem yang tidak perlu.
20. Pastikan bahwa transportasi media, penyimpanan, penggunaan kembali, dan
pembuangan ditangani secara memadai oleh kebijakan dan prosedur perusahaan.
21. Verifikasi bahwa pemantauan kapasitas dan perencanaan ditangani secara memadai
oleh kebijakan dan prosedur perusahaan.
22. Berdasarkan struktur organisasi dan proses TI perusahaan Anda, identifikasi dan audit
proses TI tingkat entitas lainnya.
B. AUDITING DATA CENTERS & DISASTER RECOVERY
Physical Security and Environmental Controls
Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut
sebagai keamanan fisik dan kontrol lingkungan, yaitu :
1. Facility access control systems (sistem kontrol akses fasilitas)
Sistem kontrol akses fasilitas mengautentikasi pekerja sebelum memberikan entri fisik
ke fasilitas, dengan tujuan melindungi sistem informasi yang berada di dalam pusat
data.
2. Alarm systems (sistem alarm)
Karena api, air, tingkat panas dan kelembaban yang ekstrim, fluktuasi daya, dan
gangguan fisik mengancam operasi pusat data, pusat data harus menerapkan beberapa
jenis sistem alarm yang berbeda, seperti :
Alarm pencuri (dengan pintu magnet, jendela, atau sensor kabinet; sensor
gerak; dan terkadang sensor audio)
Alarm kebakaran (biasanya panas dan / atau sensor yang diaktifkan oleh asap
yang dipecah menjadi zona yang mencakup berbagai bagian fasilitas)
Alarm air (biasanya dengan sensor di bawah lantai yang ditinggikan, dekat
kamar mandi, atau di pipa saluran air)
3. Fire suppression systems (sistem pencegah kebakaran).
Karena banyaknya peralatan listrik, api merupakan ancaman utama bagi pusat data.
Oleh karena itu, pusat data biasanya dilengkapi dengan sistem penekan api yang
canggih dan harus memiliki sejumlah alat pemadam api yang cukup. Secara umum,
sistem penahan api datang dalam dua varietas: sistem berbasis air dan sistem berbasis
gas.
Data Center Operations
Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf
untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan
prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup
oleh kebijakan, rencana, dan prosedur :
Physical access control (Kontrol akses fisik)
System and facility monitoring (Pemantauan sistem dan fasilitas)
Facility and equipment planning, tracking, and maintenance (Perencanaan fasilitas,
peralatan, pelacakan, dan pemeliharaan)
Response procedures for outages, emergencies, and alarm condition (Prosedur
respons untuk pemadaman, keadaan darurat, dan kondisi alarm)
Disaster Preparedness (Kesiapsiagaan Bencana)
Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan
bahwa ketika bencana melanda suatu pusat data, organisasi fasilitas seperti itu mulai berhenti.
Tugas auditor adalah mengidentifikasi dan mengukur kontrol fisik dan administratif di
fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk hal-hal berikut:
System resiliency (Ketahanan sistem).
Data backup and restore (Pencadangan dan pemulihan data).
Disaster recovery planning (Perencanaan pemulihan bencana).
C. AUDITING SWITCHES, ROUTERS, AND FIREWALLS
Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus.
Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh
langkah-langkah khusus berlaku untuk router, switch, dan firewall. Kerjakan bagian pertama
dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu
yang Anda butuhkan untuk menyelesaikan audit.
Langkah-langkah Audit Peralatan Jaringan Umum
1. Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.
2. Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait
dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan
perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.
3. Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.
4. Pastikan bahwa praktik manajemen SNMP yang baik diikuti.
5. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa
akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan
mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan
secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
6. Pastikan bahwa kontrol kata sandi yang sesuai digunakan.
7. Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.
8. Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.
9. Pastikan cadangan saat ini ada untuk file konfigurasi.
10. Evaluasilah penggunaan Network Time Protocol (NTP).
11. Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung
menyadari kebijakan perusahaan untuk digunakan dan memantau.
12. Pastikan bahwa kontrol akses diterapkan ke port konsol.
13. Pastikan semua peralatan jaringan disimpan di lokasi yang aman.
14. Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.
15. Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat
jaringan.
Kontrol Saklar Tambahan: Lapisan 2
1. Pastikan bahwa administrator menghindari menggunakan VLAN 1.
2. Evaluasilah penggunaan autonegosiasi batang.
3. Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU
Guard, Root Guard).
4. Evaluasilah penggunaan VLAN pada jaringan.
5. Nonaktifkan semua port yang tidak digunakan dan letakkan di VLAN yang tidak
digunakan.
6. Evaluasilah penggunaan VLAN Trunking Protocol (VTP) di lingkungan
7. Verifikasi bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast
pada port.
Kontrol Router Tambahan: Layer 3
1. Pastikan bahwa antarmuka tidak aktif pada router dinonaktifkan.
2. Pastikan bahwa router dikonfigurasi untuk menyimpan semua dump inti.
3. Verifikasi bahwa semua pembaruan routing dikonfirmasi.
4. Verifikasi bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.
Kontrol Firewall Tambahan
1. Pastikan semua paket ditolak secara default.
2. Pastikan alamat IP internal dan eksternal yang tidak sesuai disaring.
3. Evaluasi set aturan firewall untuk memberikan perlindungan yang tepat.
D. AUDITING WINDOWS OPERATING SYSTEMS
Langkah-langkah pengujian untuk mengaudit Windows.
1. Pengaturan dan Kontrol Umum.
a. Dapatkan informasi sistem dan versi paket layanan dan bandingkan dengan
persyaratan kebijakan.
b. Menentukan apakah server menjalankan firewall yang disediakan
perusahaan.
c. Tentukan apakah server menjalankan program antivirus yang disediakan
perusahaan.
d. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan
manajemen server Anda.
e. Menentukan apakah server menjalankan solusi manajemen tambalan yang
disediakan perusahaan.
f.Tinjau dan verifikasi informasi startup.
g. Layanan Ulasan, Aplikasi Terpasang, dan Tugas Terjadwal.
h. Tentukan layanan apa yang diaktifkan pada sistem, dan validasikan
kebutuhan mereka dengan administrator sistem. Untuk layanan yang
diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang
terkait dengan layanan tersebut dan biarkan mereka diperbaiki.
i. Pastikan hanya aplikasi yang disetujui yang diinstal pada sistem sesuai
kebijakan manajemen server Anda.
j. Pastikan bahwa hanya tugas terjadwal yang disetujui yang sedang berjalan.
2. Manajemen Akun dan Kontrol Kata Sandi
a. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan
memastikan bahwa akun dibuat hanya untuk kebutuhan bisnis yang sah.
Tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau
dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan
pekerjaan.
b. Pastikan bahwa semua pengguna dibuat di tingkat domain dan dianotasi
dengan jelas di direktori aktif. Setiap pengguna harus melacak ke karyawan
atau tim tertentu.
c. Tinjau dan evaluasi penggunaan kelompok, dan tentukan batasan
penggunaannya.
d. Tinjau dan evaluasi kekuatan kata sandi sistem.
e. Evaluasi penggunaan kontrol kata sandi di server, seperti kebijakan
penuaan kata, panjang, kompleksitas, sejarah, dan kebijakan lockout.
f. Tinjau Hak Pengguna dan Opsi Keamanan.
g. Tinjau dan evaluasi penggunaan hak-hak pengguna dan opsi keamanan
yang diberikan kepada elemen-elemen dalam pengaturan kebijakan
keamanan.
3. Keamanan dan Kontrol Jaringan
a. Tinjau dan evaluasi penggunaan dan kebutuhan untuk akses jarak jauh,
termasuk koneksi RAS, FTP, Telnet, SSH, VPN, dan metode lainnya.
b. Pastikan spanduk peringatan hukum ditampilkan saat menghubungkan ke
sistem.
c. Cari dan evaluasi penggunaan saham pada host.
d. Pastikan server telah mengaudit yang diaktifkan sesuai kebijakan
organisasi Anda.
e. Tinjau dan evaluasi prosedur administrator sistem untuk memantau
keadaan keamanan pada sistem.
4. Kerentanan Jaringan Pemindaian dan Pencegahan Intrusi
a. Jika Anda mengaudit lingkungan yang lebih besar (dibandingkan dengan
satu atau dua sistem terisolasi), tentukan apakah ada standar untuk
membangun sistem baru dan apakah baseline tersebut memiliki pengaturan
keamanan yang memadai.
b. Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem
yang Anda audit.
Cara Melakukan Audit yang Disederhanakan dari Klien Windows
1. Tentukan apakah klien menjalankan firewall yang disediakan perusahaan.
2. Tentukan apakah klien menjalankan program antivirus yang disediakan perusahaan.
3. Tentukan apakah klien menjalankan solusi manajemen tambalan yang disediakan
perusahaan.
4. Tentukan apakah klien dilengkapi dengan paket layanan, perbaikan terbaru, dan
perangkat lunak yang direkomendasikan minimum.
5. Pastikan bahwa klien memiliki semua yang berikut sesuai dengan Microsoft Baseline
Security Analyzer (MBSA).
6. Pindai sistem menggunakan pemindai jaringan tingkat komersial.
7. Evaluasilah kontrol keamanan fisik selama walk-through.
E. AUDITING UNIX AND LINUX OPERATING SYSTEMS
Langkah-langkah Uji untuk Audit Unix dan Linux
1. Manajemen akun dan kontrol kata sandi
a. Tinjau dan evaluasi prosedur untuk membuat akun pengguna Unix atau
Linux dan memastikan bahwa akun dibuat hanya jika ada kebutuhan
bisnis yang sah. Selain itu, tinjau dan evaluasi proses untuk memastikan
bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal
penghentian atau perubahan pekerjaan.
b. Pastikan bahwa semua ID pengguna dalam file kata sandi adalah unik.
c. Pastikan bahwa kata sandi dibayangi dan gunakan hash yang kuat jika
memungkinkan.
d. Evaluasi izin file untuk file kata sandi dan bayangan kata sandi.
e. Tinjau dan evaluasi kekuatan kata sandi sistem.
f. Evaluasi penggunaan kontrol kata sandi seperti penuaan.
g. Tinjau proses yang digunakan oleh administrator sistem untuk
menetapkan kata sandi awal untuk pengguna baru dan
mengomunikasikan kata sandi tersebut.
h. Pastikan bahwa setiap akun dikaitkan dengan dan dapat dilacak dengan
mudah ke karyawan tertentu. Pastikan bahwa cangkang tidak sah telah
ditempatkan pada semua akun yang dinonaktifkan.
i. Tinjau dan evaluasi akses ke akun superuser (tingkat akar) dan akun
administrasi lainnya.
j. Tinjau dan evaluasi penggunaan kelompok dan tentukan batasan
penggunaannya.
k. Evaluasi penggunaan kata sandi di tingkat grup.
l. Tinjau dan evaluasi keamanan direktori di jalur default yang digunakan
oleh administrator sistem saat menambahkan pengguna baru. Evaluasi
penggunaan "direktori saat ini" di jalur.
m. Tinjau dan evaluasi keamanan direktori di jalan akar. Evaluasi
penggunaan "direktori saat ini" di jalur.
Hai. Tinjau dan evaluasi keamanan direktori home dan file konfigurasi
pengguna. Mereka umumnya harus ditulis hanya oleh pemiliknya.
2. Keamanan dan kontrol fila.
a. Evaluasi hak akses file untuk sampel penghakiman file penting dan direktori
terkait mereka.
b. Carilah direktori terbuka (direktori dengan izin yang disetel ke drwxrwxrwx) pada
sistem dan tentukan apakah mereka harus memiliki set bit yang lengket
c. Evaluasi keamanan semua file SUID pada sistem, terutama yang SUID untuk
"root."
d. Tinjau dan evaluasi keamanan atas kernel.
e. Pastikan bahwa semua file memiliki pemilik sah di file / etc / passwd.
f. Pastikan bahwa perintah chown tidak dapat digunakan oleh pengguna untuk
mengkompromikan akun pengguna.
g. Dapatkan dan evaluasi nilai umask default untuk server.
h. Periksa crontab sistem, terutama root, untuk entri yang tidak biasa atau
mencurigakan.
saya. Tinjau keamanan file yang direferensikan dalam entri crontab, terutama root.
Pastikan bahwa entri mengacu pada file yang dimiliki oleh dan dapat ditulis hanya
oleh pemilik crontab dan bahwa file-file tersebut terletak di direktori yang dimiliki
oleh dan dapat ditulis hanya oleh pemilik crontab.
i. Periksa jadwal sistem yang ada untuk entri yang tidak biasa atau mencurigakan.
3. Keamanan dan kontrol jaringan.
a. Tentukan layanan jaringan apa yang diaktifkan pada sistem, dan validasikan
kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan,
tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan
layanan tersebut dan biarkan mereka diperbaiki.
b. Jalankan alat pemindaian kerentanan jaringan untuk memeriksa kerentanan saat
ini di lingkungan.
c. Tinjau dan evaluasi penggunaan akses tepercaya melalui file / etc / hosts.equiv
dan file .rhosts pengguna. Pastikan bahwa akses tepercaya tidak digunakan atau,
jika dianggap mutlak diperlukan, dibatasi sejauh mungkin.
d. Tinjau dan evaluasi penggunaan akses tepercaya melalui kunci SSH.
e. Jika FTP anonim diaktifkan dan benar-benar diperlukan, pastikan bahwa itu
dikunci dengan benar.
f. Jika NFS diaktifkan dan benar-benar diperlukan, pastikan bahwa itu dijamin
dengan benar.
g. Tinjau untuk penggunaan protokol aman.
h. Tinjau dan evaluasi penggunaan file .netrc. saya. Pastikan spanduk peringatan
hukum ditampilkan ketika pengguna terhubung ke sistem.
i. Tinjau dan evaluasi penggunaan modem di server.
4. Log audit.
a. Tinjau kontrol untuk mencegah masuknya "root" secara langsung.
b. Tinjau log perintah su dan sudo untuk memastikan bahwa ketika perintah ini
digunakan, mereka dicatat dengan tanggal, waktu, dan pengguna yang
mengetikkan perintah.
c. Evaluasilah syslog untuk memastikan bahwa informasi yang memadai sedang
diambil.
d. Evaluasi keamanan dan retensi log wtmp, sulog, syslog, dan log audit relevan
lainnya.
e. Evaluasi keamanan atas file utmp.
5. Pemantauan keamanan dan kontrol umum.
a. Tinjau dan evaluasi prosedur administrator sistem untuk memantau keadaan
keamanan pada sistem.
b. Jika Anda mengaudit lingkungan Unix / Linux yang lebih besar (sebagai lawan
dari satu atau dua sistem terisolasi), tentukan apakah ada standar yang dibangun
untuk sistem baru dan apakah baseline tersebut memiliki pengaturan keamanan
yang memadai. Pertimbangkan untuk mengaudit sistem yang baru dibuat dari
baseline.
c. Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem yang
Anda audit.
F. AUDITING WEB SERVERS AND WEB APPLICATIONS
Langkah-langkah Tes untuk Auditing Web Server
1. Verifikasi bahwa server web berjalan pada sistem khusus dan tidak bersama dengan
aplikasi penting lainnya.
2. Verifikasi bahwa server web sepenuhnya ditambal dan diperbarui dengan kode yang
disetujui terakhir.
3. Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu dihapus atau
dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di bawah akun yang
paling tidak diistimewakan.
4. Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk mengakses server
web.
5. Verifikasi bahwa akun yang memungkinkan akses ke server web dikelola dengan
tepat dan dikeraskan dengan kata sandi yang kuat.
6. Pastikan ada kontrol yang sesuai untuk file, direktori, dan direktori virtual.
7. Pastikan bahwa server web memiliki penebangan yang sesuai diaktifkan dan dijamin.
8. Pastikan bahwa ekstensi skrip dipetakan dengan tepat.
9. Periksa validitas dan penggunaan sertifikat server apa pun yang digunakan.
Langkah-langkah Tes untuk Aplikasi Web Audit
1. Pastikan aplikasi web terlindung dari serangan injeksi.
2. Tinjau situs web untuk kerentanan lintas situs-skrip.
3. Tinjau aplikasi untuk otentikasi rusak dan kerentanan manajemen sesi.
4. Pastikan bahwa referensi objek yang tepat dan kontrol otorisasi diberlakukan.
5. Pastikan bahwa ada kontrol untuk mencegah Pemalsuan Permintaan Lintas Situs
(CSRF atau XSRF).
6. Tinjau kontrol di sekitar menjaga konfigurasi aman.
7. Pastikan bahwa mekanisme penyimpanan kriptografi aman digunakan dengan benar.
8. Pastikan bahwa kontrol yang tepat ada untuk membatasi pemfilteran URL.
9. Mengevaluasi mekanisme perlindungan lapisan transportasi (enkripsi lalu lintas
jaringan) untuk melindungi informasi sensitif.
10. Tinjau pengalihan aplikasi web dan ke depan untuk memverifikasi bahwa hanya URL
yang valid yang dapat diakses.
Langkah-langkah tambahan untuk Aplikasi Web Auditing
1. Verifikasi bahwa semua input divalidasi sebelum digunakan oleh server web.
2. Evaluasilah penggunaan penanganan kesalahan yang tepat.
G. AUDITING DATABASES
Langkah-langkah untuk Database Auditing
1. Pengaturan dan Kontrol Umum.
a. Dapatkan versi basis data dan bandingkan dengan persyaratan kebijakan
perusahaan Anda. Verifikasi bahwa database menjalankan versi perangkat lunak
database yang terus didukung vendor.
b. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan
patch tersedia dan untuk menerapkan patch. Pastikan bahwa semua patch yang
disetujui dipasang sesuai kebijakan manajemen basis data Anda.
c. Tentukan apakah membangun standar tersedia untuk sistem database baru dan
apakah baseline itu memiliki pengaturan keamanan yang memadai.
2. Keamanan Sistem Operasi.
a. Pastikan bahwa akses ke sistem operasi dibatasi dengan benar.
b. Pastikan bahwa izin pada direktori tempat database diinstal, dan file database itu
sendiri, dibatasi dengan benar.
c. Pastikan bahwa izin pada kunci registri yang digunakan oleh database benar
dibatasi.
3. Manajemen Akun dan Perizinan
a. Tinjau Akun Database.
b. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan
bahwa akun dibuat hanya dengan kebutuhan bisnis yang sah. Juga meninjau dan
mengevaluasi proses untuk memastikan akun pengguna dihapus atau
dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan
pekerjaan.
4. Kekuatan Kata Sandi dan Fitur Manajemen
a. Periksa nama pengguna dan kata sandi default.
b. Periksa kata sandi yang mudah ditebak.
c. Periksa apakah kemampuan manajemen kata sandi diaktifkan.
d. Tinjau Hak Istimewa Database.
e. Verifikasi bahwa izin basis data diberikan atau dicabut secara tepat untuk tingkat
otorisasi yang diperlukan.
f. Tinjau izin basis data yang diberikan kepada individu, bukan grup atau peran.
g. Pastikan bahwa perizinan database tidak secara implisit diberikan secara salah.
h. Tinjau SQL dinamis yang dijalankan dalam prosedur tersimpan.
saya. Pastikan bahwa akses tingkat baris ke data tabel diterapkan dengan benar.
i. Cabut izin PUBLIC jika tidak diperlukan.
5. Enkripsi Data
a. Verifikasi bahwa enkripsi jaringan diimplementasikan.
b. Verifikasi bahwa enkripsi data saat istirahat dilaksanakan jika diperlukan.
6. Pemantauan dan Manajemen
a. Verifikasi penggunaan yang tepat dari audit basis data dan pemantauan aktivitas.
b. Evaluasi bagaimana kapasitas dikelola untuk lingkungan database untuk
mendukung persyaratan bisnis yang ada dan diantisipasi.
c. Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan database
untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
H. AUDITING STORAGE
Test Steps for Auditing Storage
1. Pengaturan dan Kontrol Umum
a. Dokumentasikan arsitektur manajemen penyimpanan keseluruhan, termasuk
perangkat keras dan infrastruktur jaringan pendukung.
b. Dapatkan versi perangkat lunak dan bandingkan dengan persyaratan kebijakan.
c. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan
patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku.
Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan Anda.
d. Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan
kebutuhan mereka dengan administrator sistem.
2. Manajemen Akun
a. Tinjau dan evaluasi prosedur untuk membuat akun administratif dan pastikan akun
dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan
mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan
secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.
b. Evaluasi proses dan kebijakan yang digunakan untuk memberikan dan mencabut
akses ke penyimpanan.
3. Manajemen Penyimpanan
a. Evaluasi bagaimana kapasitas dikelola untuk lingkungan penyimpanan untuk
mendukung persyaratan bisnis yang ada dan diantisipasi.
b. Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan
penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
c. Evaluasi kebijakan, proses, dan kontrol untuk frekuensi pencadangan data,
penanganan, dan penyimpanan jarak jauh.
4. Kontrol Keamanan Tambahan
a. Verifikasi bahwa enkripsi data-at-istirahat dilaksanakan jika diperlukan.
b. Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila
diperlukan.
c. Mengevaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau
firewall data yang sangat sensitif dari sisa lingkungan penyimpanan.
d. Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.
e. Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan
Bencana,” karena mereka terkait dengan sistem yang Anda audit.
I. AUDITING VIRTUALIZED ENVIRONMENTS
Langkah-langkah untuk Mengaudit Virtualisasi
1. Pengaturan dan Kontrol Umum
a. Dokumentasikan arsitektur manajemen virtualisasi keseluruhan, termasuk
perangkat keras dan infrastruktur jaringan pendukung.
b. Dapatkan versi perangkat lunak dari hypervisor dan bandingkan dengan
persyaratan kebijakan.
c. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan
patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku.
Pastikan bahwa semua patch yang disetujui dipasang sesuai dengan persyaratan
kebijakan Anda.
d. Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan
kebutuhan mereka dengan administrator sistem.
2. Penyediaan Akun dan Sumber Daya dan Deprovisioning.
a. Tinjau dan evaluasi prosedur untuk membuat akun administratif dan memastikan
bahwa akun dibuat hanya ketika kebutuhan bisnis yang sah telah diidentifikasi.
Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus
atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan
pekerjaan.
b. Verifikasi manajemen penyediaan dan deprovisioning mesin virtual baru yang
tepat, termasuk sistem operasi yang sesuai dan lisensi aplikasi.
3. Pengelolaan Lingkungan Virtual
a. Evaluasi bagaimana kapasitas perangkat keras dikelola untuk lingkungan virtual
untuk mendukung persyaratan bisnis yang ada dan yang akan datang.
b. Evaluasi bagaimana kinerja dikelola dan dipantau untuk lingkungan virtualisasi
untuk mendukung persyaratan bisnis yang ada dan diantisipasi.
c. Evaluasi kebijakan, proses, dan kontrol untuk frekuensi backup data, penanganan,
dan manajemen offsite.
d. Tinjau dan evaluasi keamanan manajemen hypervisor jarak jauh Anda.
4. Kontrol Keamanan Tambahan.
a. Tinjau dan evaluasi keamanan di sekitar penyimpanan mesin virtual.
b. Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila
diperlukan.
c. Evaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau
firewall data yang sangat sensitif pada mesin virtual penting dari sisa lingkungan
virtualisasi.
d. Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.
e. Evaluasi penggunaan kerangka dasar dan keamanan mesin virtual yang di-host
sesuai dengan lingkup audit.
f. Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan
Bencana,” dan Bab 10, “Penyimpanan Audit,” karena mereka berkaitan dengan
lingkungan yang Anda audit.
J. AUDITING WLAN AND MOBILE DEVICES
Langkah-langkah Tes untuk Audit LAN Nirkabel
Bagian 1: Audit Teknis WLAN
1. Pastikan bahwa titik akses menjalankan perangkat lunak terbaru yang disetujui.
2. Evaluasi kontrol di sekitar manajemen WLAN terpusat.
3. Verifikasi bahwa klien seluler Anda menjalankan perangkat lunak pelindung.
4. Evaluasi keamanan metode komunikasi yang dipilih.
5. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.
6. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.
Bagian 2: Audit Operasional WLAN
1. Evaluasi prosedur yang berlaku untuk melacak tiket masalah pengguna akhir.
Pastikan ada kebijakan keamanan yang sesuai untuk WLAN Anda.
2. Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses nirkabel jika
terjadi bencana.
3. Evaluasi apakah proses manajemen perubahan yang efektif ada.
Langkah-langkah Tes untuk Mengaudit Perangkat Seluler
Bagian 1: Audit Teknis Perangkat Seluler
1. Pastikan perangkat lunak manajemen perangkat seluler menjalankan perangkat lunak
dan tambalan yang disetujui terbaru.
2. Pastikan bahwa klien seluler memiliki fitur pelindung yang diaktifkan jika mereka
diwajibkan oleh kebijakan keamanan perangkat seluler Anda.
3. Tentukan efektivitas kontrol keamanan perangkat di sekitar melindungi data ketika
peretas memiliki akses fisik ke perangkat.
4. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.
5. Pastikan perangkat yang tidak dikelola tidak digunakan di jaringan. Evaluasi kontrol
atas perangkat yang tidak dikelola.
Bagian 2: Audit Operasional Perangkat Seluler
1. Evaluasi prosedur di tempat untuk melacak tiket masalah pengguna akhir.
2. Pastikan bahwa ada kebijakan keamanan yang sesuai untuk perangkat seluler Anda.
3. Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses perangkat
seluler jika terjadi bencana.
4. Evaluasilah apakah ada proses manajemen perubahan yang efektif.
5. Evaluasi kontrol di tempat untuk mengelola siklus hidup layanan dari perangkat milik
pribadi dan milik perusahaan dan akun terkait yang digunakan untuk gateway.
K. AUDITING APPLICATIONS
Praktik terbaik ini dapat membantu Anda menemukan kelemahan umum dan kontrol yang
buruk dengan cepat.
1. Terapkan Defense-in-Depth
Pendekatan berlapis memberikan keamanan lebih dalam jangka panjang daripada satu
massa rumit arsitektur keamanan
2. Gunakan Model Keamanan Positif
Model keamanan positif (daftar putih) hanya mengizinkan apa yang ada dalam daftar,
tidak termasuk yang lainnya secara default. Namun demikian, model keamanan
negatif (daftar hitam) memungkinkan semuanya karena kesalahan, hanya
menghilangkan barang-barang yang Anda tahu buruk
3. Gagal dengan Aman
Ketika suatu aplikasi gagal, itu dapat ditangani dengan tiga cara: memungkinkan,
memblokir, atau kesalahan. Secara umum, kesalahan aplikasi harus gagal dengan cara
yang sama seperti operasi yang tidak diizinkan, seperti yang dilihat dari pengguna
akhir.
4. Jalankan dengan Least Privilege
Prinsip hak istimewa yang paling sedikit mengamanatkan bahwa akun memiliki
jumlah hak seminimum mungkin untuk melakukan kegiatan mereka.
5. Hindari Keamanan oleh Ketidakjelasan
Mengaburkan data, atau menyembunyikannya daripada mengenkripsinya, adalah
mekanisme keamanan yang sangat lemah, terutama untuk aplikasi
6. Jaga Keamanan Sederhana
Mekanisme keamanan sederhana mudah diverifikasi dan mudah diterapkan dengan
benar.
7. Deteksi Intrus dan Simpan Log
Aplikasi harus memiliki logging internal yang dilindungi dan mudah dibaca. Log
membantu Anda memecahkan masalah dan, sama pentingnya, membantu Anda
melacak kapan atau bagaimana suatu aplikasi dikompromikan.
8. Jangan Percaya pada Infrastruktur dan Layanan Eksternal
Banyak organisasi menggunakan kemampuan pemrosesan mitra pihak ketiga yang
kemungkinan besar memiliki kebijakan keamanan dan postur yang berbeda dengan
Anda
9. Tetapkan Default Aman
Aplikasi Anda akan sampai kepada Anda atau disajikan kepada pengguna dengan
pengaturan default paling aman yang memungkinkan bisnis tetap berfungsi
10. Gunakan Standar Terbuka
Sedapat mungkin, keamanan dasar pada standar terbuka untuk meningkatkan
portabilitas dan interop-erability.
Langkah Tes untuk Aplikasi Audit
1. Kontrol Masukan
a. Tinjau dan evaluasi kontrol yang dibangun ke dalam transaksi sistem atas
input data.
b. Tentukan kebutuhan untuk laporan kesalahan / pengecualian yang terkait
dengan integritas data dan evaluasi apakah kebutuhan ini telah diisi.
2. Kontrol Antarmuka
a. Tinjau dan evaluasi kontrol yang ada di atas umpan data ke dan dari sistem
interfacing.
b. Jika data yang sama disimpan dalam beberapa basis data dan / atau sistem,
pastikan bahwa proses sinkronisasi periodik dijalankan untuk mendeteksi
ketidakkonsistenan dalam data.
3. Jalur Audit
a. Tinjau dan evaluasi jejak audit yang ada dalam sistem dan kontrol atas jejak audit
tersebut.
b. Pastikan bahwa sistem menyediakan sarana pelacakan transaksi atau bagian data
dari awal hingga akhir proses yang dimungkinkan oleh sistem.
4. Kontrol Akses
a. Pastikan bahwa aplikasi menyediakan mekanisme yang mengautentikasi
pengguna berdasarkan, minimal, pada pengenal unik untuk setiap pengguna dan
kata sandi rahasia.
b. Tinjau dan evaluasi mekanisme otorisasi aplikasi untuk memastikan bahwa
pengguna tidak diizinkan mengakses transaksi atau data sensitif apa pun tanpa
terlebih dahulu diotorisasi oleh mekanisme keamanan sistem.
c. Pastikan bahwa mekanisme keamanan / otorisasi sistem memiliki fungsi
administrator dengan kontrol dan fungsi yang sesuai.
d. Tentukan apakah mekanisme keamanan memungkinkan proses persetujuan yang
berlaku.
e. Tinjau dan evaluasi proses untuk memberikan akses kepada pengguna. Pastikan
bahwa akses hanya diberikan jika ada kebutuhan bisnis yang sah.
f. Tinjau proses untuk menghapus akses pengguna ketika tidak lagi diperlukan.
Pastikan bahwa ada mekanisme atau proses yang menangguhkan akses pengguna
pada penghentian dari perusahaan atau pada perubahan pekerjaan di dalam
perusahaan.
g. Verifikasi bahwa aplikasi memiliki kontrol kata sandi yang sesuai. Juga, tentukan
apakah kata sandi akun aplikasi default telah diubah.
h. Pastikan bahwa pengguna secara otomatis keluar dari aplikasi setelah periode
tidak aktif tertentu.
i. Evaluasilah penggunaan teknik enkripsi untuk melindungi data aplikasi.
j. Mengevaluasi akses pengembang aplikasi untuk mengubah data produksi.
5. Kontrol Perubahan Perangkat Lunak
a. Pastikan bahwa perangkat lunak aplikasi tidak dapat diubah tanpa melalui proses
checkout / pementasan / pengujian / persetujuan standar setelah dimasukkan ke
dalam produksi.
b. Evaluasilah kontrol terkait checkout kode dan pembuatan versi.
c. Evaluasi kontrol mengenai pengujian kode aplikasi sebelum dimasukkan ke dalam
lingkungan produksi.
d. Mengevaluasi kontrol tentang penjadwalan batch.
6. Backup dan Pemulihan
a. Menentukan apakah Analisis Dampak Bisnis (BIA) telah dilakukan pada aplikasi
untuk menetapkan kebutuhan cadangan dan pemulihan.
b. Pastikan bahwa kontrol pencadangan yang tepat sudah tersedia.
c. Pastikan bahwa kontrol pemulihan yang tepat sudah tersedia.
7. Penyimpanan Data dan Klasifikasi dan Keterlibatan Pengguna
a. Mengevaluasi kontrol terkait retensi data aplikasi.
b. Evaluasilah kontrol terkait klasifikasi data dalam aplikasi.
c. Evaluasi keseluruhan keterlibatan pengguna dan dukungan untuk aplikasi.
L. AUDITING CLOUD COMPUTING AND OUTSOURCED OPERATIONS
Cloud Computing
Pada dasarnya, komputasi awan menyediakan layanan TI melalui Internet sedemikian rupa
sehingga pengguna akhir tidak perlu khawatir tentang di mana data disimpan, di mana
struktur-in berada, dan seterusnya.
IT Service Outsourcing
Layanan TI outsourcing adalah praktik menyewa perusahaan lain untuk melakukan beberapa
atau semua fungsi operasi TI Anda (yaitu, menyewa perusahaan untuk menyediakan orang-
orang dan proses yang diperlukan untuk melakukan fungsi). Operasi yang biasanya di-
operasikan di dalam operasi-operasi bantuan meja tulis dan dukungan PC.
SAS 70 Reports
Ketika mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Auditing Stan-
dards) 70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American Institute
of Certified Public Accountants (AICPA) untuk menangani organisasi layanan. Ini secara
esensial menyediakan standar di mana organisasi layanan (seperti yang menyediakan layanan
TI) dapat menunjukkan efektivitas kontrol internal mereka tanpa harus mengizinkan setiap
pelanggan mereka untuk datang dan melakukan audit mereka sendiri.
Dengan standar ini, organisasi layanan dapat menyewa auditor layanan independen
bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan mengeluarkan
laporan.
Langkah-langkah Tes untuk Audit Komputasi Awan dan Operasi Outsourced
1. Preliminary and Overview
a. Tinjau langkah-langkah audit dalam bab-bab lain di bagian buku ini dan tentukan
langkah-langkah risiko dan audit yang berlaku untuk audit yang dilakukan atas
operasi yang dialihdayakan. Lakukan langkah-langkah audit yang berlaku.
b. Mintalah penyedia layanan Anda untuk menghasilkan jaminan independen dari
pihak ketiga yang bereputasi baik mengenai keefektifan pengendalian internal
mereka dan kepatuhan terhadap peraturan yang berlaku. Tinjau dokumentasi
untuk masalah yang telah dicatat. Selain itu, tentukan seberapa erat sertifikasi ini
sesuai dengan tujuan kontrol perusahaan Anda dan identifikasi kesenjangan.
2. Pemilihan dan Kontrak Vendor
a. Tinjau kontrak yang berlaku untuk memastikan bahwa mereka mengidentifikasi
semua pengiriman, persyaratan, dan tanggung jawab yang terkait dengan
keterlibatan perusahaan Anda secara memadai.
b. Tinjau dan evaluasi proses yang digunakan untuk memilih vendor outsourcing.
3. Keamanan Data
a. Tentukan bagaimana data Anda dipisahkan dari data pelanggan lain.
b. Tinjau dan evaluasi penggunaan enkripsi untuk melindungi data perusahaan yang
disimpan dan dikirimkan ke situs vendor.
c. Tentukan bagaimana karyawan vendor mengakses sistem Anda dan bagaimana
data dikontrol dan dibatasi.
d. Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan ke
jaringan internal Anda dan sistem internal.
e. Pastikan bahwa data yang disimpan di lokasi vendor dilindungi sesuai dengan
kebijakan internal Anda.
f. Tinjau dan evaluasi kontrol untuk mencegah, mendeteksi, dan bereaksi terhadap
serangan.
g. Tentukan bagaimana manajemen identitas dilakukan untuk sistem berbasis cloud
dan host.
h. Pastikan bahwa retensi data dan praktik perusakan untuk data yang disimpan di
luar kantor mematuhi kebijakan internal.
i. Tinjau dan evaluasi keamanan fisik vendor.
4. Operasi
a. Tinjau dan evaluasi proses perusahaan Anda untuk memantau kualitas operasi
yang dialihdayakan. Tentukan bagaimana kepatuhan dengan SLA dan persyaratan
kontrak lainnya dimonitor.
b. Pastikan bahwa proses pemulihan bencana yang memadai tersedia untuk
menyediakan kelangsungan bisnis jika terjadi bencana di penyedia layanan Anda.
c. Tentukan apakah proses tata kelola yang tepat sudah ada selama keterlibatan
layanan cloud baru oleh karyawan perusahaan Anda.
d. Tinjau dan evaluasi rencana perusahaan Anda jika ada penghentian hubungan
outsourcing yang diharapkan atau tidak diharapkan.
e. Jika layanan TI telah dialihdayakan, tinjau proses penyedia layanan untuk
memastikan kualitas staf dan meminimalkan dampak dari perputaran. Jika layanan
tersebut dilakukan di luar negeri, carilah kontrol tambahan untuk memastikan
kehadiran karyawan dan komunikasi yang efektif dan penyerahan dengan kantor
pusat.
5. Kepedulian Hukum dan Kepatuhan terhadap Peraturan.
a. Tinjau dan evaluasi hak dan kemampuan perusahaan Anda untuk memperoleh
informasi dari vendor yang mungkin diperlukan untuk mendukung penyelidikan.
b. Tinjau persyaratan untuk pemberitahuan pelanggaran keamanan. Pastikan bahwa
persyaratan secara jelas ditentukan mengenai kapan dan bagaimana vendor harus
memberi tahu perusahaan Anda jika terjadi pelanggaran keamanan dan bahwa
perusahaan Anda telah menetapkan prosedur respons dengan jelas ketika mereka
menerima pemberitahuan tersebut.
c. Tentukan bagaimana kepatuhan dengan undang-undang privasi yang berlaku dan
peraturan lainnya dipastikan.
d. Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi
perangkat lunak yang berlaku untuk perangkat lunak yang dihosting di luar kantor
atau digunakan oleh non-karyawan.
M. AUDITING COMPANY PROJECTS
Langkah Tes untuk Mengaudit Proyek Perusahaan
1. Manajemen Proyek Secara Keseluruhan.
a. Pastikan dokumentasi proyek yang cukup dan dokumentasi proses pengembangan
perangkat lunak (jika ada) telah dibuat. Pastikan bahwa standar metodologi
proyek perusahaan sedang diikuti.
b. Tinjau prosedur untuk memastikan bahwa dokumentasi proyek selalu diperbarui.
c. Evaluasilah keamanan dan proses manajemen perubahan untuk dokumentasi
proyek yang kritis.
d. Evaluasi prosedur untuk mencadangkan perangkat lunak dan dokumentasi proyek
kritis. Pastikan bahwa cadangan disimpan di luar lokasi dan prosedur
terdokumentasi ada untuk pemulihan.
e. Pastikan bahwa ada proses yang efektif untuk menangkap masalah proyek,
mengeskalasi masalah-masalah tersebut sebagaimana mestinya, dan melacaknya
ke resolusi.
f. Pastikan bahwa ada proses yang efektif untuk menangkap permintaan perubahan
proyek, memprioritaskannya, dan membedahnya.
g. Verifikasi bahwa jadwal proyek telah dibuat dan mengandung cukup detail
berdasarkan ukuran proyek. Pastikan bahwa ada proses untuk memantau
kemajuan dan melaporkan penundaan yang signifikan.
h. Pastikan bahwa ada metode untuk melacak biaya proyek dan pelaporan yang
berlebihan. Pastikan bahwa semua biaya proyek, termasuk tenaga kerja,
dipertimbangkan dan dilacak.
i. Mengevaluasi struktur kepemimpinan proyek untuk memastikan bahwa baik
bisnis dan TI diwakili secara memadai.
2. Proyek Start-up: Persyaratan Gathering dan Desain Awal
a. Pastikan bahwa proses persetujuan proyek yang sesuai diikuti sebelum inisiasi
proyek.
b. Pastikan bahwa analisis kelayakan teknis telah dilakukan bersama, jika berlaku,
analisis kelayakan oleh departemen hukum perusahaan.
c. Tinjau dan evaluasi dokumen persyaratan. Tentukan apakah dan bagaimana
persyaratan pelanggan untuk proyek diperoleh dan didokumentasikan sebelum
pengembangan terjadi. Pastikan bahwa pelanggan menandatangani persyaratan
dan bahwa persyaratan tersebut mencakup elemen TI standar.
d. Evaluasi proses untuk memastikan bahwa semua kelompok yang terkena dampak
yang akan membantu mendukung sistem, perangkat lunak, atau proses terlibat
dalam proyek dan akan menjadi bagian dari proses sign-off, yang menunjukkan
kesiapan mereka untuk mendukungnya.
e. Tinjau proses untuk menetapkan prioritas persyaratan.
f. Tentukan apakah persyaratan sistem dan rancangan awal memastikan bahwa
kontrol internal dan elemen keamanan yang sesuai akan dirancang ke dalam
sistem, proses, atau perangkat lunak.
g. Jika proyek melibatkan pembelian perangkat lunak, teknologi, atau layanan
eksternal lainnya, tinjau dan evaluasi proses pemilihan vendor dan kontrak terkait.
3. Desain Rinci dan Pengembangan Sistem
a. Pastikan bahwa semua persyaratan dapat dipetakan ke elemen desain.
b. jika para pemangku kepentingan kunci telah menandatangani dokumen desain
terperinci atau katalog "use case".
c. Tinjau proses untuk memastikan keterlibatan pelanggan yang berkelanjutan
dengan memprioritaskan tugas pada proyek.
d. Carilah bukti ulasan rekan dalam desain dan pengembangan.
e. Verifikasi bahwa kontrol dan keamanan internal yang sesuai telah dirancang ke
dalam sistem.
4. Pengujian
a. Verifikasi bahwa desain dan pengujian terjadi dalam lingkungan pengembangan /
pengujian dan bukan di lingkungan produksi.
b. Tinjau dan evaluasi proses pengujian. Pastikan bahwa proyek memiliki rencana
uji yang memadai dan mengikuti rencana uji ini.
c. Pastikan bahwa semua persyaratan dapat dipetakan ke test case.
d. Pastikan bahwa pengguna terlibat dalam pengujian dan setuju bahwa sistem
memenuhi persyaratan. Ini harus mencakup personil TI yang akan mendukung
sistem dan personel TI yang terlibat dalam melakukan studi kelayakan teknis awal
untuk proyek tersebut.
e. Pertimbangkan berpartisipasi dalam pengujian penerimaan pengguna dan validasi
bahwa keamanan sistem dan kontrol internal berfungsi sebagaimana dimaksud.
5. Implementasi
a. Pastikan bahwa ada proses yang efektif untuk merekam, melacak, mengeskalasi,
dan menyelesaikan masalah yang muncul setelah implementasi.
b. Tinjau dan evaluasi rencana konversi proyek. Pastikan bahwa proyek memiliki
rencana konversi yang memadai dan ikuti rencana ini.
c. Tinjau rencana untuk mengubah dukungan sistem atau perangkat lunak baru dari
tim proyek ke tim dukungan operasional.
d. Pastikan bahwa dokumentasi yang memadai telah dibuat untuk penggunaan sistem
atau proses yang sedang dikembangkan dan pemeliharaan sistem atau perangkat
lunak. Evaluasi proses untuk menjaga dokumentasi tetap mutakhir. Evaluasilah
perubahan kontrol dan keamanan atas dokumentasi itu.
6. Pelatihan
a. Tinjau rencana untuk memastikan bahwa semua pengguna yang terkena dampak
dilatih dalam penggunaan sistem, perangkat lunak, atau proses baru.
b. Pastikan bahwa ada proses untuk menjaga materi pelatihan selalu terbaru.
Evaluasi kontrol perubahan dan keamanan atas materi pelatihan.
7. Penggelapan Proyek
Pastikan bahwa ada proses untuk menutup proyek dan mencatat pelajaran yang
didapat dan bahwa prosesnya diikuti.
REGULAI AUDIT
A. PENGANTAR LEGISLASI TERKAIT DENGAN KONTROL INTERNAL
Motivasi untuk pembuatan dan adopsi legislasi jauh lebih kompleks daripada yang
terlihat. Kepentingan nasional, kepedulian industri, dan perebutan korporasi menciptakan
pengemudi politik yang kuat. Politik dapat memiliki konotasi negatif, tetapi dalam konteks
ini, "politik" hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan
atau melindungi sekelompok orang yang representatif. Negara, industri, dan perusahaan
memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka.
Standar dan legislasi adalah dua metode yang memastikan kekhawatiran ini terpenuhi.
B. THE SARBANES-OXLEY ACT OF 2002
The Sarbanes-Oxley Act dan Public Company Accounting Oversight Board (PCAOB)
diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya
adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan
keuangan, dan mencegah penipuan korporasi dan akuntansi. Dengan demikian, kontrol yang
diperlukan untuk kepatuhan terhadap SOX berfokus pada kontrol utama yang penting untuk
memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
C. GRAMM-LEACH-BLILEY ACT
Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa
Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan
terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan.
Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank
dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
D. PERATURAN PRIVASI
1. California SB 1386
California SB 1386 adalah salah satu hukum negara bagian pertama dan tentu
saja yang paling terlihat yang berurusan dengan pelanggaran keamanan yang
menyebabkan informasi pribadi untuk diungkapkan.
2. Hukum Privasi Internasional
Meskipun undang-undang privasi A.S., termasuk SB 1386, menjadi lebih
umum, beberapa undang-undang privasi internasional lebih ketat.
3. Peraturan Eropa tentang Perlindungan Data Pribadi
Pada bulan Oktober 1995, Uni Eropa mengeluarkan Petunjuk Eropa tentang
Perlindungan Data Pribadi. Arahan mengatur informasi pribadi dalam semua negara
anggota Uni Eropa dan menempatkan persyaratan perlindungan minimum di atasnya.
4. PIPEDA Kanada
Kanada memberlakukan undang-undang privasi nasional ini pada tahun 2004.
Ini menetapkan ketentuan berikut untuk mengatur pengumpulan, penggunaan, dan
pengungkapan informasi pribadi:
a. Pihak yang terlibat dalam pengumpulan informasi harus menunjukkan
akuntabilitas.
b. Pengumpul informasi harus mengidentifikasi tujuan untuk pengumpulan
informasi pribadi.
c. Pengumpul informasi harus mendapatkan persetujuan dari konsumen.
d. Pengumpulan informasi pribadi harus dibatasi.
e. Penggunaan informasi pribadi harus dibatasi.
f. Pengungkapan dan penyimpanan informasi pribadi harus dibatasi.
g. Pengumpul informasi harus memastikan keakuratan informasi pribadi.
h. Pengumpul informasi harus menyediakan keamanan yang memadai untuk
melindungi informasi pribadi.
i. Pengumpul informasi harus membuat kebijakan manajemen informasi
tersedia.
j. Pengumpul informasi harus memberi individu akses ke informasi tentang diri
mereka sendiri.
k. Individu diberikan hak untuk menantang kepatuhan organisasi terhadap
prinsip-prinsip ini.
5. Tren Hukum Privasi
Salah satu konsekuensi dari California SB 1386 adalah adopsi versi identik
atau hampir identik dari tagihan oleh negara-negara lain di Amerika
Serikat.Mengikuti berbagai macam hukum yang serupa merupakan tugas yang
penting.
E. PORTABILITAS ASURANSI KESEHATAN DAN AKUNTABILITAS ACT OF
1996
Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan
Akuntabilitas Asuransi Kesehatan (HIPAA). Tindakan itu mencakup dua bagian. Judul I
memberikan perlindungan asuransi kesehatan setelah karyawan kehilangan atau mengganti
pekerjaan. Judul II berkaitan dengan tindakan administratif yang cenderung
menyederhanakan dan menstandardisasi informasi kesehatan.
F. KOMISI UNI EROPA DAN BASEL II
Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika
Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan dalam
mengaudit standar, pengawasan, dan tanggung jawab dengan membuat arahan terkait dengan
keuangan, transparansi, audit, standar akuntansi, dan informasi perusahaan jasa. Perbedaan
utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE
tidak merekomendasikan tingkat penegakan hukum.
Meskipun undang-undang SOX berasal dari Amerika Serikat, undang-undang itu
memiliki konsekuensi bagi perusahaan yang bermarkas di negara lain. Standar profesional
Eropa yang berkembang seperti standar yang ditetapkan oleh Dewan Standar Akuntansi
Internasional dan Basel II Capital Accord juga akan terus mempengaruhi banyak perusahaan
multinasional.
G. STANDAR KEAMANAN DATA INDUSTRI KARTU PEMBAYARAN (PCI)
Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada
pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa. Program
CISP dimaksudkan untuk memastikan tingkat keamanan informasi yang tinggi untuk data
pemegang kartu Visa. Standar keamanan berlaku untuk semua bank anggota Visa, pedagang
yang menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang
kartu Visa. Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan
MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan
Data Industri Kartu Pembayaran. Penerbit kartu lainnya mulai mengadopsi standar
dan pada 7 September 2006, American Express, Discover Financial Services, JCB,
MasterCard Worldwide, dan Visa International menciptakan Dewan Standar Keamanan
Industri Kartu Pembayaran. Situs web mereka terletak online di
www.pcisecuritystandards.org. Versi internasional dari program VISA CISP yang disebut
Keamanan Informasi Akun Visa (AIS) berlaku untuk entitas yang tidak berbasis di AS.
H. TREN PERATURAN LAINNYA
Ketika komputer menjamur di masa kejayaan tahun 1980-an dan 1990-an, kontrol
internal atas TI gagal mengikuti arsitektur infrastruktur yang berubah dengan cepat. Namun,
tindakan keras terhadap kontrol internal yang dimulai atas pelaporan keuangan telah
diperluas untuk menyertakan TI, dan memang seharusnya demikian.
Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya,
persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi
krisis, perlindungan data dan privasi adalah topik yang sangat mendesak bagi legislator.
FRAMEWORK AND STANDARDS
A. PENGANTAR PENGENDALIAN TI INTERNAL, KERANGKA KERJA, DAN
STANDAR
Pada tahun 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan
keruntuhan keuangan menjadi semakin meningkatkan permintaan akan akuntabilitas dan
transparansi yang lebih besar di antara perusahaan-perusahaan yang dimiliki publik.
Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan
untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit.
Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor swasta
independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada
1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan
keuangan. COSO memformalkan konsep pengendalian internal dan kerangka kerja pada
tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.
B. COMMITTEE OF SPONSORING ORGANIZATIONS (COSO)
Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk
sebagai tanggapan terhadap krisis keuangan AS yang meningkat dan jeritan untuk melihat
praktik akuntansi dan audit pemerintah.
COSO menerbitkan pedoman formal pertama untuk kontrol internal, Kerangka Kerja
Internal-Integrated, pada tahun 1992.
Publikasi ini menetapkan definisi umum untuk pengendalian internal dan kerangka
kerja yang dapat digunakan organisasi untuk menilai dan meningkatkan sistem kontrol
mereka. Pada tahun 1994, pekerjaan COSO disahkan oleh kepala Kantor Akuntan Umum
(GAO) dari Kongres AS.
Pada tahun 2001, COSO memulai inisiatif besar kedua yang bertujuan memperluas
kerja sebelumnya pada kontrol internal untuk mengatasi penekanan yang semakin besar pada
manajemen risiko. Pada waktu yang hampir bersamaan, Amerika Serikat dibebani dengan
kegagalan sensasional Enron, Tyco, Global Crossing, Kmart, Adelphia, WorldCom,
HealthSouth, dan banyak lainnya.
Pemerintah AS dengan cepat memberlakukan Undang-Undang Sarbanes-Oxley tahun
2002 untuk mengamanatkan persyaratan untuk kontrol internal yang diaudit bersama dengan
laporan keuangan.
Di tengah-tengah semua aktivitas profil tinggi ini, COSO menerbitkan Enterprise Risk
Management – Integrated Framework pada tahun 2004.
C. COBIT
COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali
diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional
untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.
COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli
di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI.
Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide
terbaik dari semua standar teknis dan profesional yang baik.
D. IT Infrastructure Library (ITIL)
IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada
pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam
penyediaan manajemen dan penyediaan layanan di bidang infrastruktur. ITIL adalah merek
dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan
mengembangkan kerangka kerja terbaik ITIL.
ITIL berevolusi sebagai akibat dari ketergantungan bisnis yang meningkat pada TI
dan telah menikmati pengakuan dan adopsi global yang berkembang dari berbagai ukuran
organisasi.
Tidak seperti banyak standar dan kerangka kerja, adopsi ITIL yang luas telah
menyebabkan berbagai vendor produk komersial dan tidak-untuk-profit untuk
mengembangkan produk yang secara langsung mendukung ITIL.
Selain itu, pertumbuhan ITIL telah dilengkapi dengan proliferasi konsultansi
profesional dan sertifikasi manajer ITIL yang menyediakan akses siap ke manfaat yang
diperlukan untuk merencanakan, mengkonfigurasi, dan menerapkan standar.
E. ISO 27001
Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO)
telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan
perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai bisnis
dan fungsi pemerintah .
ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah rangkaian standar yang
sama yang berkaitan dengan beberapa aspek praktik keamanan informasi, manajemen
keamanan informasi, dan manajemen risiko keamanan informasi.
F. METODOLOGI PENILAIAN NSA INFOSEC
Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA
IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program
Pelatihan dan Rating INFOSEC (IATRP) pada awal 2002. Meskipun program IATRP dan
dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan
dan saat ini dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang
memberikan pelatihan NSA IAM dan IEM untuk NSA.
G. KERANGKA DAN KECENDERUNGAN STANDAR
Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan
menyederhanakan pengembangan produk teknologi, struktur organisasi, dan tujuan
pengendalian. Sudut pandang lain menunjukkan bahwa kompleksitas kepentingan regional,
politik, bisnis, budaya, dan kepentingan lain yang berbeda memastikan kerangka kendali
yang diterima secara universal tidak akan pernah dibuat. Kebenaran mungkin terletak di suatu
tempat di tengah. Meskipun satu set standar internasional belum dekat, alat-alat yang
diuraikan dalam bab ini masih kurang berfungsi untuk menciptakan infrastruktur teknologi
yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.
RISK MANAGEMENT
A. MANFAAT MANAJEMEN RISIKO
Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama
beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka
atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen
risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur TI
organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan
risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang
memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat
pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.
B. UNSUR RISIKO
1. Assets
Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai
sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau
dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai
aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk
mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan
biaya garis bawah kompromi.
2. Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan
menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa
datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial.
Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam
tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor
eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan
persentase kerugian aset jika ancaman direalisasikan.
3. Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol
kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase
berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol
(CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.
C. ANALISIS RISIKO KUANTITATIF
Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik,
atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama.
Risiko dapat ditentukan dengan perhitungan berikut:
Risiko = nilai aset × ancaman × kerentanan
D. ANALISIS RISIKO KUALITATIF
Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko
kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika
metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-
nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk
mengevaluasi risiko.
Seperti disebutkan sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif
saling melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi
manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk
membangun kasus bisnis untuk investasi mitigasi risiko.
E. SIKLUS HIDUP MANAJEMEN RISIKO TI
Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar,
mengambil karakteristik siklus hidup (Gambar 18-1). Ini dapat dibagi menjadi beberapa
tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko
residual. Fase spesifiknya adalah sebagai berikut:
Fase 1: Identifikasi Aset Informasi
Tujuan fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan
setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk
persyaratan kerahasiaan, integritas, dan ketersediaannya.
Fase 2: Hitung dan Kualifikasi Ancaman
Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang
berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan
peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka
tidak diidentifikasi dengan benar.
Fase 3: Menilai Kerentanan
Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common
denominator adalah aset informasi, karena setiap ancaman terkait dengan aset
informasi.
Fase 4: Remediasi Celah Kontrol
Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah.
Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena
kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.
Fase 5: Mengelola Risiko Residual
Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai
pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam
kontrol baru untuk menanggapi ancaman yang muncul