Popular Post

Posted by : Muhammad iskandar Kamis, 25 Oktober 2018

Nama Kelompok :
Fuadillah Al Khumairah (12115794)
Mohammad Iskandar(14115293)
Nur Adi Widyanto (15115160)
Sulis Andriany (16115704)

PROSES AUDIT 

A.    Internal Control

            Audit dan kontrol teknologi informasi merupakan peran yang penting karena dalam suatu perusahaan membutuhkan acuan, parameter dan kontrol untuk memastikan semua sumber daya perusahaan menuju pada pencapaian tujuan organisasi secara terintegratif dan komprehensif. Audit teknologi informasi dan kontrol menjelaskan sebuah proses untuk mereview dan memposisikan teknologi informasi sebagai instrument penting dalam pencapaian usaha bisnis korporasi dengan melakukan proses sistematik, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan resiko dari implementasi teknologi. Kemampuan mengetahui pengetahuan dan skill pada IT Audit dan control selain juga menunjukkan jenjang professional tertentu dalam professional, juga membuat seseorang akan menganalisa, merancang, membangun, mengimplementasikan, memonitor dan melakukan pengembangan berkelanjutan, tidak sekedar beroperasi tetapi juga mengikuti kaidah industri dan standar internasional.
Internal Control , dinyatakan dalam istilah yang paling sederhana, adalah mekanisme yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan untuk mengurangi risiko-risiko tersebut. Internal Control memiliki beberapa tipe, yaitu :

1.      Kontrol Preventive

Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut pandang teoritis, kontrol pencegahan selalu lebih disukai, karena alasan yang jelas. Namun, ketika Anda melakukan audit, ingat bahwa kontrol pencegahan tidak selalu merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih masuk akal dari titik keuntungan biaya / manfaat.

2.      Kontrol Detektif

Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.

3.      Kontrol Reaktif

Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna memiliki file tanda tangan terinstal terbaru. Idealnya, Anda dapat menonaktifkan akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis dari sudut pandang bisnis.



B.     Contoh Kontrol Internal
Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep kontrol internal.

1.      Software Change Control

Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem, sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja kontrol internal yang akan mengurangi risiko tersebut?

·         Jangan izinkan akses logis pemrogram untuk memperbarui kode produksi.

·         Orang yang memiliki akses logis untuk memperbarui kode produksi tidak mungkin melakukannya tanpa bukti pengujian dan persetujuan.

2.      Access Control

Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat. Bagaimana cara mengurangi risiko tersebut?

·         Minta ID pengguna dan kata sandi untuk mengakses sistem.

·         Memiliki sejumlah administrator keamanan aplikasi yang mengontrol kemampuan untuk menambahkan akun pengguna baru ke sistem.

·         Pastikan bahw administrator keamanan aplikasi adalah individu berpengetahuan yang tahu pengguna mana yang benar-benar membutuhkan akses ke sistem.

3.      Backup and Disaster-Recovery Plans

jika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau mengirim pembayaran baru.



C.    Menentukan Apa yang Harus Di Audit

Salah satu tugas terpenting dari departemen audit internal adalah menentukan apa yang harus diaudit. Langkah yang harus diambil ialah :

1.      Creating Audit Universe

Sebelum menciptakan lingkungan (universe), sebaiknya memahami terlebih dahulu lingkungan sekitar agar mampu melakukan audit yang efektif.

2.      Centralized IT Function

Pada bagian ini, Anda harus menentukan fungsi TI apa yang terpusat, dan tempatkan masing-masing fungsi terpusat pada daftar potensi audit IT kita. Salah satu contoh, jika fungsi utama mengelola lingkungan server Unix dan Linux Anda, salah satu potensi Anda mungkin merupakan tinjauan terhadap manajemen lingkungan itu.

3.      Decentralized IT Function

Setelah membuat daftar semua proses TI terpusat perusahaan, Anda dapat menentukan sisa alam semesta audit Anda. Mungkin Anda dapat membuat satu potensi audit per situs perusahaan. Audit ini dapat terdiri dari peninjauan kontrol TI terdesentralisasi yang dimiliki oleh masing-masing situs, seperti keamanan fisik pusat data dan kontrol lingkungan.

4.      Business Application

Anda juga dapat membuat audit potensial untuk setiap aplikasi bisnis. Anda harus menentukan apakah lebih efektif untuk melakukan audit ini di alam semesta audit TI atau di alam audit keuangan. Dalam banyak hal, sangat masuk akal untuk memiliki audit ini didorong oleh auditor keuangan, yang mungkin dalam posisi terbaik untuk menentukan kapan waktu untuk melakukan audit saat proses pembelian.

5.      Regulatory Compliance (Kepatuhan terhadap peraturan).

Contoh umum termasuk kepatuhan audit dengan Sarbanes-Oxley, Portabilitas Asuransi Kesehatan dan Undang-Undang Akuntabilitas (HIPPA), serta peraturan dan standar Industri Kartu Pembayaran (PCI).

6.      Ranking The Audit Universe

Setelah Anda membuat semesta audit TI Anda, Anda harus mengembangkan metodologi untuk menentukan peringkat audit potensial tersebut untuk menentukan rencana Anda untuk tahun ini (atau kuartal, bulan, dan seterusnya). Anda dapat memasukkan semua jenis faktor dalam metodologi ini, tetapi berikut ini adalah beberapa yang penting :

·         Masalah yang diketahui di lapangan, tersebut Jika Anda tahu ada masalah di daerah tersebut, Anda harus lebih mungkin untuk melakukan audit terhadap area tersebut.

·         Menyadari risiko di lapangan, Anda mungkin tidak menyadari masalah khusus di area tersebut, tetapi pengalaman Anda memberi tahu Anda bahwa area ini rentan terhadap masalah, jadi Anda harus mempertimbangkan untuk melakukan audit.

·         Manfaat melakukan audit di lapangan, Pertimbangkan manfaat dari melakukan audit di daerah, dengan fokus terutama pada apakah audit akan menambah nilai bagi perusahaan.

·         Management Input, Sebagai contoh, jika manajemen mendorong Anda untuk melakukan audit, mereka mungkin mengetahui masalah di area tersebut, yang mungkin mengarahkan Anda untuk meningkatkan peringkat Anda dari faktor pertama (Menyadari risiko di lapangan). Ini juga dapat mengarahkan Anda untuk percaya bahwa Anda dapat menambah nilai dengan melakukan audit, sehingga Anda dapat berpotensi meningkatkan peringkat Anda dari faktor ketiga (Manfaat melakukan audit di lapangan).



D.    Tahapan Audit

Sekarang setelah Anda memahami proses pemilihan apa yang harus diaudit, mari kita bahas berbagai tahapan untuk melakukan masing-masing audit dalam rencana audit. Kami akan membahas enam fase audit utama berikut :

1.       Perencanaan

2.       Kerja lapangan dan dokumentasi

3.       Penemuan masalah dan validasi

4.       Pengembangan solusi

5.       Pembuatan laporan

6.       Pelacakan masalah


TEKNIK AUDIT

A.    Auditing Entity-Level Controls

Langkah-Langkah Percobaan Untuk Auditing Entity-Level Controls

1.      Tinjaulah struktur organisasi TI secara keseluruhan untuk memastikan bahwa organisasi tersebut menyediakan penugasan yang jelas atas wewenang dan tanggung jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.

2.      Tinjau proses perencanaan strategis TI dan pastikan bahwa itu selaras dengan strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana strategis.

3.      Tinjau proses perencanaan strategis dan solusi yang selaras dengan strategi bisnis. Evaluasi proses TI untuk memantau kemajuan dari rencana strategis.

4.      Tinjau indikator kinerja dan pengukuran untuk TI. Pastikan bahwa proses dan metrik tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan untuk melacak kinerja terhadap perjanjian tingkat layanan, anggaran, dan persyaratan operasional lainnya.

5.      Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini cukup untuk memastikan bahwa akuisisi sistem dan proyek pengembangan tidak dapat dimulai tanpa persetujuan. Pastikan bahwa manajemen dan pemangku kepentingan kunci meninjau status proyek, jadwal, dan anggaran secara berkala sepanjang masa proyek-proyek penting.

6.      Mengevaluasi standar untuk mengatur pelaksanaan proyek-proyek TI dan untuk memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI. Tentukan bagaimana standar-standar ini dikomunikasikan dan ditegakkan.

7.      Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.

8.      Tinjau dan evaluasi proses penilaian risiko di tempat untuk organisasi TI.

9.      Tinjau dan evaluasi proses untuk memastikan bahwa karyawan TI di perusahaan memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan mereka.

10.  Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data perusahaan, mengklasifikasikan data, melindungi data sesuai dengan klasifikasi mereka, dan menentukan siklus kehidupan data.

11.  Pastikan bahwa ada proses yang efektif untuk mematuhi hukum dan peraturan yang berlaku yang memengaruhi TI dan untuk mempertahankan kesadaran akan perubahan dalam lingkungan peraturan.

12.  Tinjau dan evaluasi proses untuk memastikan bahwa pengguna akhir lingkungan TI dapat melaporkan masalah, dilibatkan secara tepat dalam keputusan TI, dan puas dengan layanan yang diberikan oleh TI.

13.  Tinjau dan evaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab mereka didefinisikan dengan jelas dan memantau kinerjanya.

14.  Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan.

15.  Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang berlaku

16.  Tinjau dan evaluasi kontrol atas akses jarak jauh ke jaringan perusahaan (seperti dial-up, VPN, koneksi eksternal khusus).

17.  Pastikan bahwa prosedur perekrutan dan pemberhentian sudah jelas dan komprehensif.

18.  Tinjau dan evaluasi kebijakan dan prosedur untuk mengontrol pengadaan dan pergerakan perangkat keras.

19.  Pastikan konfigurasi sistem dikontrol dengan manajemen perubahan untuk menghindari pemadaman sistem yang tidak perlu.

20.  Pastikan bahwa transportasi media, penyimpanan, penggunaan kembali, dan pembuangan ditangani secara memadai oleh kebijakan dan prosedur perusahaan.

21.  Verifikasi bahwa pemantauan kapasitas dan perencanaan ditangani secara memadai oleh kebijakan dan prosedur perusahaan.

22.  Berdasarkan struktur organisasi dan proses TI perusahaan Anda, identifikasi dan audit proses TI tingkat entitas lainnya.



B.     AUDITING DATA CENTERS & DISASTER RECOVERY

Physical Security and Environmental Controls

Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut sebagai keamanan fisik dan kontrol lingkungan, yaitu :

1.       Facility access control systems (sistem kontrol akses fasilitas)

Sistem kontrol akses fasilitas mengautentikasi pekerja sebelum memberikan entri fisik ke fasilitas, dengan tujuan melindungi sistem informasi yang berada di dalam pusat data.

2.      Alarm systems (sistem alarm)

Karena api, air, tingkat panas dan kelembaban yang ekstrim, fluktuasi daya, dan gangguan fisik mengancam operasi pusat data, pusat data harus menerapkan beberapa jenis sistem alarm yang berbeda, seperti :

·         Alarm pencuri (dengan pintu magnet, jendela, atau sensor kabinet; sensor gerak; dan terkadang sensor audio)

·         Alarm kebakaran (biasanya panas dan / atau sensor yang diaktifkan oleh asap yang dipecah menjadi zona yang mencakup berbagai bagian fasilitas)

·         Alarm air (biasanya dengan sensor di bawah lantai yang ditinggikan, dekat kamar mandi, atau di pipa saluran air)

3.      Fire suppression systems  (sistem pencegah kebakaran).

Karena banyaknya peralatan listrik, api merupakan ancaman utama bagi pusat data. Oleh karena itu, pusat data biasanya dilengkapi dengan sistem penekan api yang canggih dan harus memiliki sejumlah alat pemadam api yang cukup. Secara umum, sistem penahan api datang dalam dua varietas: sistem berbasis air dan sistem berbasis gas.



OPERASI PUSAT DATA

Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup oleh kebijakan, rencana, dan prosedur :

·         Physical access control (Kontrol akses fisik)

·         System and facility monitoring (Pemantauan sistem dan fasilitas)

·         Facility and equipment planning, tracking, and maintenance (Perencanaan fasilitas, peralatan, pelacakan, dan pemeliharaan)

·         Response procedures for outages, emergencies, and alarm condition (Prosedur respons untuk pemadaman, keadaan darurat, dan kondisi alarm)



Kesiapan Bencana

Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan bahwa ketika bencana melanda suatu pusat data, organisasi fasilitas seperti itu mulai berhenti. Tugas auditor adalah mengidentifikasi dan mengukur kontrol fisik dan administratif di fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk hal-hal berikut:

·         System resiliency (Ketahanan sistem).

·         Data backup and restore (Pencadangan dan pemulihan data).

·         Disaster recovery planning (Perencanaan pemulihan bencana).



C.    Auditing Switches, Routers, and Firewalls

Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus. Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh langkah-langkah khusus berlaku untuk router, switch, dan firewall. Kerjakan bagian pertama dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu yang Anda butuhkan untuk menyelesaikan audit.

Langkah-langkah Audit Peralatan Jaringan Umum

1.      Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.

2.      Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

3.       Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.

4.      Pastikan bahwa praktik manajemen SNMP yang baik diikuti.

5.      Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

6.      Pastikan bahwa kontrol kata sandi yang sesuai digunakan.

7.      Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.

8.      Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.

9.      Pastikan cadangan saat ini ada untuk file konfigurasi.

10.  Evaluasilah penggunaan Network Time Protocol (NTP).

11.  Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung menyadari kebijakan perusahaan untuk digunakan dan memantau.

12.  Pastikan bahwa kontrol akses diterapkan ke port konsol.

13.  Pastikan semua peralatan jaringan disimpan di lokasi yang aman.

14.  Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.

15.  Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat jaringan.



Kontrol Saklar Tambahan: Lapisan 2

1.      Pastikan bahwa administrator menghindari menggunakan VLAN 1.

2.      Evaluasilah penggunaan autonegosiasi batang.

3.       Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU Guard, Root Guard).

4.      Evaluasilah penggunaan VLAN pada jaringan.

5.      Nonaktifkan semua port yang tidak digunakan dan letakkan di VLAN yang tidak digunakan.

6.      Evaluasilah penggunaan VLAN Trunking Protocol (VTP) di lingkungan

7.      Verifikasi bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast pada port.


Kontrol Router Tambahan: Layer 3

1.       Pastikan bahwa antarmuka tidak aktif pada router dinonaktifkan.

2.       Pastikan bahwa router dikonfigurasi untuk menyimpan semua dump inti.

3.       Verifikasi bahwa semua pembaruan routing dikonfirmasi.

4.       Verifikasi bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.


Kontrol Firewall Tambahan

1.      Pastikan semua paket ditolak secara default.

2.      Pastikan alamat IP internal dan eksternal yang tidak sesuai disaring.

3.      Evaluasi set aturan firewall untuk memberikan perlindungan yang tepat.



D.    Audit sistem operasi windows

Langkah-langkah pengujian untuk mengaudit Windows

1.       Pengaturan dan Kontrol Umum.

a.       Dapatkan informasi sistem dan versi paket layanan dan bandingkan dengan persyaratan kebijakan.

b.      Menentukan apakah server menjalankan firewall yang disediakan perusahaan.

c.       Tentukan apakah server menjalankan program antivirus yang disediakan perusahaan.

d.      Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan manajemen server Anda.

e.       Menentukan apakah server menjalankan solusi manajemen tambalan yang disediakan perusahaan.

f. Tinjau dan verifikasi informasi startup.

g.      Layanan Ulasan, Aplikasi Terpasang, dan Tugas Terjadwal.

h.      Tentukan layanan apa yang diaktifkan pada sistem, dan validasikan kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan layanan tersebut dan biarkan mereka diperbaiki.

i.  Pastikan hanya aplikasi yang disetujui yang diinstal pada sistem sesuai kebijakan manajemen server Anda.

j.  Pastikan bahwa hanya tugas terjadwal yang disetujui yang sedang berjalan.


2.       Manajemen Akun dan Kontrol Kata Sandi

a.       Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya untuk kebutuhan bisnis yang sah. Tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

b.      Pastikan bahwa semua pengguna dibuat di tingkat domain dan dianotasi dengan jelas di direktori aktif. Setiap pengguna harus melacak ke karyawan atau tim tertentu.

c.       Tinjau dan evaluasi penggunaan kelompok, dan tentukan batasan penggunaannya.

d.      Tinjau dan evaluasi kekuatan kata sandi sistem.

e.       Evaluasi penggunaan kontrol kata sandi di server, seperti kebijakan penuaan kata, panjang, kompleksitas, sejarah, dan kebijakan lockout.

f.     Tinjau Hak Pengguna dan Opsi Keamanan.

g.      Tinjau dan evaluasi penggunaan hak-hak pengguna dan opsi keamanan yang diberikan kepada elemen-elemen dalam pengaturan kebijakan keamanan.



3.       Keamanan dan Kontrol Jaringan

a.       Tinjau dan evaluasi penggunaan dan kebutuhan untuk akses jarak jauh, termasuk koneksi RAS, FTP, Telnet, SSH, VPN, dan metode lainnya.

b.      Pastikan spanduk peringatan hukum ditampilkan saat menghubungkan ke sistem.

c.       Cari dan evaluasi penggunaan saham pada host.

d.      Pastikan server telah mengaudit yang diaktifkan sesuai kebijakan organisasi Anda.

e.       Tinjau dan evaluasi prosedur administrator sistem untuk memantau keadaan keamanan pada sistem.


4.       Kerentanan Jaringan Pemindaian dan Pencegahan Intrusi

a.       Jika Anda mengaudit lingkungan yang lebih besar (dibandingkan dengan satu atau dua sistem terisolasi), tentukan apakah ada standar untuk membangun sistem baru dan apakah baseline tersebut memiliki pengaturan keamanan yang memadai.

b.      Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem yang Anda audit.



Cara Melakukan Audit yang Disederhanakan dari Klien Windows

1.      Tentukan apakah klien menjalankan firewall yang disediakan perusahaan.

2.      Tentukan apakah klien menjalankan program antivirus yang disediakan perusahaan.

3.      Tentukan apakah klien menjalankan solusi manajemen tambalan yang disediakan perusahaan.

4.      Tentukan apakah klien dilengkapi dengan paket layanan, perbaikan terbaru, dan perangkat lunak yang direkomendasikan minimum.

5.      Pastikan bahwa klien memiliki semua yang berikut sesuai dengan Microsoft Baseline Security Analyzer (MBSA).

6.      Pindai sistem menggunakan pemindai jaringan tingkat komersial.

7.      Evaluasilah kontrol keamanan fisik selama walk-through.





E.     Audit sistem operasi unix dan linux

Langkah-langkah Uji untuk Audit Unix dan Linux

1.       Manajemen akun dan kontrol kata sandi

a.       Tinjau dan evaluasi prosedur untuk membuat akun pengguna Unix atau Linux dan memastikan bahwa akun dibuat hanya jika ada kebutuhan bisnis yang sah. Selain itu, tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

b.       Pastikan bahwa semua ID pengguna dalam file kata sandi adalah unik.

c.       Pastikan bahwa kata sandi dibayangi dan gunakan hash yang kuat jika memungkinkan.

d.       Evaluasi izin file untuk file kata sandi dan bayangan kata sandi.

e.       Tinjau dan evaluasi kekuatan kata sandi sistem.

f.        Evaluasi penggunaan kontrol kata sandi seperti penuaan.

g.       Tinjau proses yang digunakan oleh administrator sistem untuk menetapkan kata sandi awal untuk pengguna baru dan mengomunikasikan kata sandi tersebut.

h.       Pastikan bahwa setiap akun dikaitkan dengan dan dapat dilacak dengan mudah ke karyawan tertentu.
saya. Pastikan bahwa cangkang tidak sah telah ditempatkan pada semua akun yang dinonaktifkan.

i.         Tinjau dan evaluasi akses ke akun superuser (tingkat akar) dan akun administrasi lainnya.

j.         Tinjau dan evaluasi penggunaan kelompok dan tentukan batasan penggunaannya.

k.       Evaluasi penggunaan kata sandi di tingkat grup.

l.         Tinjau dan evaluasi keamanan direktori di jalur default yang digunakan oleh administrator sistem saat menambahkan pengguna baru. Evaluasi penggunaan "direktori saat ini" di jalur.

m.     Tinjau dan evaluasi keamanan direktori di jalan akar. Evaluasi penggunaan "direktori saat ini" di jalur.
Hai. Tinjau dan evaluasi keamanan direktori home dan file konfigurasi pengguna. Mereka umumnya harus ditulis hanya oleh pemiliknya.


2.       Keamanan dan kontrol file.

a.       Evaluasi hak akses file untuk sampel penghakiman file penting dan direktori terkait mereka.

b.      Carilah direktori terbuka (direktori dengan izin yang disetel ke drwxrwxrwx) pada sistem dan tentukan apakah mereka harus memiliki set bit yang lengket

c.       Evaluasi keamanan semua file SUID pada sistem, terutama yang SUID untuk "root."

d.      Tinjau dan evaluasi keamanan atas kernel.

e.       Pastikan bahwa semua file memiliki pemilik sah di file / etc / passwd.

f.        Pastikan bahwa perintah chown tidak dapat digunakan oleh pengguna untuk mengkompromikan akun pengguna.

g.      Dapatkan dan evaluasi nilai umask default untuk server.

h.      Periksa crontab sistem, terutama root, untuk entri yang tidak biasa atau mencurigakan.
saya. Tinjau keamanan file yang direferensikan dalam entri crontab, terutama root. Pastikan bahwa entri mengacu pada file yang dimiliki oleh dan dapat ditulis hanya oleh pemilik crontab dan bahwa file-file tersebut terletak di direktori yang dimiliki oleh dan dapat ditulis hanya oleh pemilik crontab.

i.        Periksa jadwal sistem yang ada untuk entri yang tidak biasa atau mencurigakan.


3.       Keamanan dan kontrol jaringan.

a.       Tentukan layanan jaringan apa yang diaktifkan pada sistem, dan validasikan kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan layanan tersebut dan biarkan mereka diperbaiki.

b.      Jalankan alat pemindaian kerentanan jaringan untuk memeriksa kerentanan saat ini di lingkungan.

c.       Tinjau dan evaluasi penggunaan akses tepercaya melalui file / etc / hosts.equiv dan file .rhosts pengguna. Pastikan bahwa akses tepercaya tidak digunakan atau, jika dianggap mutlak diperlukan, dibatasi sejauh mungkin.

d.      Tinjau dan evaluasi penggunaan akses tepercaya melalui kunci SSH.

e.       Jika FTP anonim diaktifkan dan benar-benar diperlukan, pastikan bahwa itu dikunci dengan benar.

f.        Jika NFS diaktifkan dan benar-benar diperlukan, pastikan bahwa itu dijamin dengan benar.

g.      Tinjau untuk penggunaan protokol aman.

h.      Tinjau dan evaluasi penggunaan file .netrc. saya. Pastikan spanduk peringatan hukum ditampilkan ketika pengguna terhubung ke sistem.

i.        Tinjau dan evaluasi penggunaan modem di server.


4.       Log audit.

a.       Tinjau kontrol untuk mencegah masuknya "root" secara langsung.

b.      Tinjau log perintah su dan sudo untuk memastikan bahwa ketika perintah ini digunakan, mereka dicatat dengan tanggal, waktu, dan pengguna yang mengetikkan perintah.

c.       Evaluasilah syslog untuk memastikan bahwa informasi yang memadai sedang diambil.

d.      Evaluasi keamanan dan retensi log wtmp, sulog, syslog, dan log audit relevan lainnya.

e.       Evaluasi keamanan atas file utmp.


5.       Pemantauan keamanan dan kontrol umum.

a.       Tinjau dan evaluasi prosedur administrator sistem untuk memantau keadaan keamanan pada sistem.

b.      Jika Anda mengaudit lingkungan Unix / Linux yang lebih besar (sebagai lawan dari satu atau dua sistem terisolasi), tentukan apakah ada standar yang dibangun untuk sistem baru dan apakah baseline tersebut memiliki pengaturan keamanan yang memadai. Pertimbangkan untuk mengaudit sistem yang baru dibuat dari baseline.

c.       Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem yang Anda audit.


F.     Audit web server dan web aplikasi

Langkah-langkah Tes untuk Audit Web Server:

1.       Verifikasi bahwa server web berjalan pada sistem khusus dan tidak bersama dengan aplikasi penting lainnya.

2.       Verifikasi bahwa server web sepenuhnya ditambal dan diperbarui dengan kode yang disetujui terakhir.

3.       Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu dihapus atau dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di bawah akun yang paling tidak diistimewakan.

4.       Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk mengakses server web.

5.       Verifikasi bahwa akun yang memungkinkan akses ke server web dikelola dengan tepat dan dikeraskan dengan kata sandi yang kuat.

6.       Pastikan ada kontrol yang sesuai untuk file, direktori, dan direktori virtual.

7.       Pastikan bahwa server web memiliki penebangan yang sesuai diaktifkan dan dijamin.

8.       Pastikan bahwa ekstensi skrip dipetakan dengan tepat.

9.       Periksa validitas dan penggunaan sertifikat server apa pun yang digunakan.



Langkah-langkah Tes untuk Aplikasi Web Audit:

1.       Pastikan aplikasi web terlindung dari serangan injeksi.

2.       Tinjau situs web untuk kerentanan lintas situs-skrip.

3.       Tinjau aplikasi untuk otentikasi rusak dan kerentanan manajemen sesi.

4.       Pastikan bahwa referensi objek yang tepat dan kontrol otorisasi diberlakukan.

5.       Pastikan bahwa ada kontrol untuk mencegah Pemalsuan Permintaan Lintas Situs (CSRF atau XSRF).

6.       Tinjau kontrol di sekitar menjaga konfigurasi aman.

7.       Pastikan bahwa mekanisme penyimpanan kriptografi aman digunakan dengan benar.

8.       Pastikan bahwa kontrol yang tepat ada untuk membatasi pemfilteran URL.

9.       Mengevaluasi mekanisme perlindungan lapisan transportasi (enkripsi lalu lintas jaringan) untuk melindungi informasi sensitif.

10.   Tinjau pengalihan aplikasi web dan ke depan untuk memverifikasi bahwa hanya URL yang valid yang dapat diakses.



Langkah-langkah tambahan untuk Audit Aplikasi Web:

1.       Verifikasi bahwa semua input divalidasi sebelum digunakan oleh server web.

2.       Evaluasilah penggunaan penanganan kesalahan yang tepat.



G.    Audit Database

Langkah-langkah untuk Audit Database:

1.       Pengaturan dan Kontrol Umum.

a.       Dapatkan versi basis data dan bandingkan dengan persyaratan kebijakan perusahaan Anda. Verifikasi bahwa database menjalankan versi perangkat lunak database yang terus didukung vendor.

b.      Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk menerapkan patch. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan manajemen basis data Anda.

c.       Tentukan apakah membangun standar tersedia untuk sistem database baru dan apakah baseline itu memiliki pengaturan keamanan yang memadai.

2.       Keamanan Sistem Operasi.

a.       Pastikan bahwa akses ke sistem operasi dibatasi dengan benar.

b.      Pastikan bahwa izin pada direktori tempat database diinstal, dan file database itu sendiri, dibatasi dengan benar.

c.       Pastikan bahwa izin pada kunci registri yang digunakan oleh database benar dibatasi.

3.       Manajemen Akun dan Perizinan

a.       Tinjau Akun Database.

b.      Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya dengan kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan akun pengguna dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

4.       Kekuatan Kata Sandi dan Fitur Manajemen

a.       Periksa nama pengguna dan kata sandi default.

b.      Periksa kata sandi yang mudah ditebak.

c.       Periksa apakah kemampuan manajemen kata sandi diaktifkan.

d.      Tinjau Hak Istimewa Database.

e.       Verifikasi bahwa izin basis data diberikan atau dicabut secara tepat untuk tingkat otorisasi yang diperlukan.

f.        Tinjau izin basis data yang diberikan kepada individu, bukan grup atau peran.

g.      Pastikan bahwa perizinan database tidak secara implisit diberikan secara salah.

h.      Tinjau SQL dinamis yang dijalankan dalam prosedur tersimpan.
saya. Pastikan bahwa akses tingkat baris ke data tabel diterapkan dengan benar.

i.        Cabut izin PUBLIC jika tidak diperlukan.

5.       Enkripsi Data

a.       Verifikasi bahwa enkripsi jaringan diimplementasikan.

b.      Verifikasi bahwa enkripsi data saat istirahat dilaksanakan jika diperlukan.

6.       Pemantauan dan Manajemen

a.       Verifikasi penggunaan yang tepat dari audit basis data dan pemantauan aktivitas.

b.      Evaluasi bagaimana kapasitas dikelola untuk lingkungan database untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

c.       Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan database untuk mendukung persyaratan bisnis yang ada dan diantisipasi.



H.    Audit PENYIMPANAN

Langkah-langkah untuk Audit Peyimpanan:

1.      Pengaturan dan Kontrol Umum

a.       Dokumentasikan arsitektur manajemen penyimpanan keseluruhan, termasuk perangkat keras dan infrastruktur jaringan pendukung.

b.      Dapatkan versi perangkat lunak dan bandingkan dengan persyaratan kebijakan.

c.       Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan Anda.

d.      Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan kebutuhan mereka dengan administrator sistem.

2.      Manajemen Akun

a.       Tinjau dan evaluasi prosedur untuk membuat akun administratif dan pastikan akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

b.      Evaluasi proses dan kebijakan yang digunakan untuk memberikan dan mencabut akses ke penyimpanan.

3.      Manajemen Penyimpanan

a.       Evaluasi bagaimana kapasitas dikelola untuk lingkungan penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

b.      Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

c.       Evaluasi kebijakan, proses, dan kontrol untuk frekuensi pencadangan data, penanganan, dan penyimpanan jarak jauh.

4.      Kontrol Keamanan Tambahan

a.       Verifikasi bahwa enkripsi data-at-istirahat dilaksanakan jika diperlukan.

b.      Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila diperlukan.

c.       Mengevaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau firewall data yang sangat sensitif dari sisa lingkungan penyimpanan.

d.      Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.

e.       Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan Bencana,” karena mereka terkait dengan sistem yang Anda audit.



I.       Audit LINGKUNGAN VIRTUAL

Langkah-langkah untuk Mengaudit Lingkungan Virtual:

1.      Pengaturan dan Kontrol Umum

a.       Dokumentasikan arsitektur manajemen virtualisasi keseluruhan, termasuk perangkat keras dan infrastruktur jaringan pendukung.

b.      Dapatkan versi perangkat lunak dari hypervisor dan bandingkan dengan persyaratan kebijakan.

c.       Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku. Pastikan bahwa semua patch yang disetujui dipasang sesuai dengan persyaratan kebijakan Anda.

d.      Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan kebutuhan mereka dengan administrator sistem.

2.      Penyediaan Akun dan Sumber Daya dan Deprovisioning

a.       Tinjau dan evaluasi prosedur untuk membuat akun administratif dan memastikan bahwa akun dibuat hanya ketika kebutuhan bisnis yang sah telah diidentifikasi. Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

b.      Verifikasi manajemen penyediaan dan deprovisioning mesin virtual baru yang tepat, termasuk sistem operasi yang sesuai dan lisensi aplikasi.

3.      Pengelolaan Lingkungan Virtual

a.       Evaluasi bagaimana kapasitas perangkat keras dikelola untuk lingkungan virtual untuk mendukung persyaratan bisnis yang ada dan yang akan datang.

b.      Evaluasi bagaimana kinerja dikelola dan dipantau untuk lingkungan virtualisasi untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

c.       Evaluasi kebijakan, proses, dan kontrol untuk frekuensi backup data, penanganan, dan manajemen offsite.

d.      Tinjau dan evaluasi keamanan manajemen hypervisor jarak jauh Anda.

4.      Kontrol Keamanan Tambahan

a.       Tinjau dan evaluasi keamanan di sekitar penyimpanan mesin virtual.

b.      Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila diperlukan.

c.       Evaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau firewall data yang sangat sensitif pada mesin virtual penting dari sisa lingkungan virtualisasi.

d.      Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.

e.       Evaluasi penggunaan kerangka dasar dan keamanan mesin virtual yang di-host sesuai dengan lingkup audit.

f.        Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan Bencana,” dan Bab 10, “Penyimpanan Audit,” karena mereka berkaitan dengan lingkungan yang Anda audit.



J.      Audit WLAN DAN PERANGKAT SELULAR

Langkah-langkah Tes untuk Audit LAN Nirkabel

Bagian 1: Audit Teknis WLAN

1.      Pastikan bahwa titik akses menjalankan perangkat lunak terbaru yang disetujui.

2.      Evaluasi kontrol di sekitar manajemen WLAN terpusat.

3.      Verifikasi bahwa klien seluler Anda menjalankan perangkat lunak pelindung.

4.      Evaluasi keamanan metode komunikasi yang dipilih.

5.      Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

6.      Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

Bagian 2: Audit Operasional WLAN

1.      Evaluasi prosedur yang berlaku untuk melacak tiket masalah pengguna akhir.
Pastikan ada kebijakan keamanan yang sesuai untuk WLAN Anda.

2.      Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses nirkabel jika terjadi bencana.

3.      Evaluasi apakah proses manajemen perubahan yang efektif ada.



Langkah-langkah Tes untuk Mengaudit Perangkat Seluler

Bagian 1: Audit Teknis Perangkat Seluler

1.      Pastikan perangkat lunak manajemen perangkat seluler menjalankan perangkat lunak dan tambalan yang disetujui terbaru.

2.      Pastikan bahwa klien seluler memiliki fitur pelindung yang diaktifkan jika mereka diwajibkan oleh kebijakan keamanan perangkat seluler Anda.

3.      Tentukan efektivitas kontrol keamanan perangkat di sekitar melindungi data ketika peretas memiliki akses fisik ke perangkat.

4.      Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

5.      Pastikan perangkat yang tidak dikelola tidak digunakan di jaringan. Evaluasi kontrol atas perangkat yang tidak dikelola.

Bagian 2: Audit Operasional Perangkat Seluler

1.      Evaluasi prosedur di tempat untuk melacak tiket masalah pengguna akhir.

2.      Pastikan bahwa ada kebijakan keamanan yang sesuai untuk perangkat seluler Anda.

3.      Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses perangkat seluler jika terjadi bencana.

4.      Evaluasilah apakah ada proses manajemen perubahan yang efektif.

5.      Evaluasi kontrol di tempat untuk mengelola siklus hidup layanan dari perangkat milik pribadi dan milik perusahaan dan akun terkait yang digunakan untuk gateway.



K.    Audit APLIKASI

Praktik terbaik ini dapat membantu Anda menemukan kelemahan umum dan kontrol yang buruk dengan cepat.

1.      Terapkan Defense-in-Depth

Pendekatan berlapis memberikan keamanan lebih dalam jangka panjang daripada satu massa rumit arsitektur keamanan

2.      Gunakan Model Keamanan Positif

Model keamanan positif (daftar putih) hanya mengizinkan apa yang ada dalam daftar, tidak termasuk yang lainnya secara default. Namun demikian, model keamanan negatif (daftar hitam) memungkinkan semuanya karena kesalahan, hanya menghilangkan barang-barang yang Anda tahu buruk

3.      Gagal dengan Aman

Ketika suatu aplikasi gagal, itu dapat ditangani dengan tiga cara: memungkinkan, memblokir, atau kesalahan. Secara umum, kesalahan aplikasi harus gagal dengan cara yang sama seperti operasi yang tidak diizinkan, seperti yang dilihat dari pengguna akhir.

4.      Jalankan dengan Least Privilege

Prinsip hak istimewa yang paling sedikit mengamanatkan bahwa akun memiliki jumlah hak seminimum mungkin untuk melakukan kegiatan mereka.

5.      Hindari Keamanan oleh Ketidakjelasan

Mengaburkan data, atau menyembunyikannya daripada mengenkripsinya, adalah mekanisme keamanan yang sangat lemah, terutama untuk aplikasi

6.      Jaga Keamanan Sederhana

Mekanisme keamanan sederhana mudah diverifikasi dan mudah diterapkan dengan benar.

7.      Deteksi Intrus dan Simpan Log

Aplikasi harus memiliki logging internal yang dilindungi dan mudah dibaca. Log membantu Anda memecahkan masalah dan, sama pentingnya, membantu Anda melacak kapan atau bagaimana suatu aplikasi dikompromikan.

8.      Jangan Percaya pada Infrastruktur dan Layanan Eksternal

Banyak organisasi menggunakan kemampuan pemrosesan mitra pihak ketiga yang kemungkinan besar memiliki kebijakan keamanan dan postur yang berbeda dengan Anda

9.      Tetapkan Default Aman

Aplikasi Anda akan sampai kepada Anda atau disajikan kepada pengguna dengan pengaturan default paling aman yang memungkinkan bisnis tetap berfungsi

10.  Gunakan Standar Terbuka

Sedapat mungkin, keamanan dasar pada standar terbuka untuk meningkatkan portabilitas dan interop-erability.



Langkah Tes untuk Aplikasi Audit

1.      Kontrol Masukan

a.       Tinjau dan evaluasi kontrol yang dibangun ke dalam transaksi sistem atas input data.

b.      Tentukan kebutuhan untuk laporan kesalahan / pengecualian yang terkait dengan integritas data dan evaluasi apakah kebutuhan ini telah diisi.

2.      Kontrol Antarmuka

a.       Tinjau dan evaluasi kontrol yang ada di atas umpan data ke dan dari sistem interfacing.

b.      Jika data yang sama disimpan dalam beberapa basis data dan / atau sistem, pastikan bahwa proses sinkronisasi periodik dijalankan untuk mendeteksi ketidakkonsistenan dalam data.

3.      Jalur Audit

a.       Tinjau dan evaluasi jejak audit yang ada dalam sistem dan kontrol atas jejak audit tersebut.

b.      Pastikan bahwa sistem menyediakan sarana pelacakan transaksi atau bagian data dari awal hingga akhir proses yang dimungkinkan oleh sistem.

4.      Kontrol Akses

a.       Pastikan bahwa aplikasi menyediakan mekanisme yang mengautentikasi pengguna berdasarkan, minimal, pada pengenal unik untuk setiap pengguna dan kata sandi rahasia.

b.      Tinjau dan evaluasi mekanisme otorisasi aplikasi untuk memastikan bahwa pengguna tidak diizinkan mengakses transaksi atau data sensitif apa pun tanpa terlebih dahulu diotorisasi oleh mekanisme keamanan sistem.

c.       Pastikan bahwa mekanisme keamanan / otorisasi sistem memiliki fungsi administrator dengan kontrol dan fungsi yang sesuai.

d.      Tentukan apakah mekanisme keamanan memungkinkan proses persetujuan yang berlaku.

e.       Tinjau dan evaluasi proses untuk memberikan akses kepada pengguna. Pastikan bahwa akses hanya diberikan jika ada kebutuhan bisnis yang sah.

f.        Tinjau proses untuk menghapus akses pengguna ketika tidak lagi diperlukan. Pastikan bahwa ada mekanisme atau proses yang menangguhkan akses pengguna pada penghentian dari perusahaan atau pada perubahan pekerjaan di dalam perusahaan.

g.      Verifikasi bahwa aplikasi memiliki kontrol kata sandi yang sesuai. Juga, tentukan apakah kata sandi akun aplikasi default telah diubah.

h.      Pastikan bahwa pengguna secara otomatis keluar dari aplikasi setelah periode tidak aktif tertentu.

i.        Evaluasilah penggunaan teknik enkripsi untuk melindungi data aplikasi.

j.        Mengevaluasi akses pengembang aplikasi untuk mengubah data produksi.

5.      Kontrol Perubahan Perangkat Lunak

a.       Pastikan bahwa perangkat lunak aplikasi tidak dapat diubah tanpa melalui proses checkout / pementasan / pengujian / persetujuan standar setelah dimasukkan ke dalam produksi.

b.      Evaluasilah kontrol terkait checkout kode dan pembuatan versi.

c.       Evaluasi kontrol mengenai pengujian kode aplikasi sebelum dimasukkan ke dalam lingkungan produksi.

d.      Mengevaluasi kontrol tentang penjadwalan batch.

6.      Backup dan Pemulihan

a.       Menentukan apakah Analisis Dampak Bisnis (BIA) telah dilakukan pada aplikasi untuk menetapkan kebutuhan cadangan dan pemulihan.

b.      Pastikan bahwa kontrol pencadangan yang tepat sudah tersedia.

c.       Pastikan bahwa kontrol pemulihan yang tepat sudah tersedia.

7.      Penyimpanan Data dan Klasifikasi dan Keterlibatan Pengguna

a.       Mengevaluasi kontrol terkait retensi data aplikasi.

b.      Evaluasilah kontrol terkait klasifikasi data dalam aplikasi.

c.       Evaluasi keseluruhan keterlibatan pengguna dan dukungan untuk aplikasi.





L.     Audit kOMPUTASI CLOUD DAN OUTSOURCING APLIKASI

Komputasi CLOUD

Pada dasarnya, komputasi cloud menyediakan layanan TI melalui Internet sedemikian rupa sehingga pengguna akhir tidak perlu khawatir tentang di mana data disimpan, di mana struktur-in berada, dan seterusnya.



IT Service Outsourcing

Layanan TI outsourcing adalah praktik menyewa perusahaan lain untuk melakukan beberapa atau semua fungsi operasi TI Anda (yaitu, menyewa perusahaan untuk menyediakan orang-orang dan proses yang diperlukan untuk melakukan fungsi). Operasi yang biasanya di-operasikan di dalam operasi-operasi bantuan meja tulis dan dukungan PC.



SAS 70 Reports

Ketika mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Auditing Stan-dards) 70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American Institute of Certified Public Accountants (AICPA) untuk menangani organisasi layanan. Ini secara esensial menyediakan standar di mana organisasi layanan (seperti yang menyediakan layanan TI) dapat menunjukkan efektivitas kontrol internal mereka tanpa harus mengizinkan setiap pelanggan mereka untuk datang dan melakukan audit mereka sendiri.
Dengan standar ini, organisasi layanan dapat menyewa auditor layanan independen bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan mengeluarkan laporan
.



Langkah-langkah Tes untuk Audit Komputasi CLOUD dan Operasi Outsourcing 

1.      Preliminary and Overview

a.       Tinjau langkah-langkah audit dalam bab-bab lain di bagian buku ini dan tentukan langkah-langkah risiko dan audit yang berlaku untuk audit yang dilakukan atas operasi yang dialihdayakan. Lakukan langkah-langkah audit yang berlaku.

b.      Mintalah penyedia layanan Anda untuk menghasilkan jaminan independen dari pihak ketiga yang bereputasi baik mengenai keefektifan pengendalian internal mereka dan kepatuhan terhadap peraturan yang berlaku. Tinjau dokumentasi untuk masalah yang telah dicatat. Selain itu, tentukan seberapa erat sertifikasi ini sesuai dengan tujuan kontrol perusahaan Anda dan identifikasi kesenjangan.

2.      Pemilihan dan Kontrak Vendor

a.       Tinjau kontrak yang berlaku untuk memastikan bahwa mereka mengidentifikasi semua pengiriman, persyaratan, dan tanggung jawab yang terkait dengan keterlibatan perusahaan Anda secara memadai.

b.      Tinjau dan evaluasi proses yang digunakan untuk memilih vendor outsourcing.

3.      Keamanan Data

a.       Tentukan bagaimana data Anda dipisahkan dari data pelanggan lain.

b.      Tinjau dan evaluasi penggunaan enkripsi untuk melindungi data perusahaan yang disimpan dan dikirimkan ke situs vendor.

c.       Tentukan bagaimana karyawan vendor mengakses sistem Anda dan bagaimana data dikontrol dan dibatasi.

d.      Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan ke jaringan internal Anda dan sistem internal.

e.       Pastikan bahwa data yang disimpan di lokasi vendor dilindungi sesuai dengan kebijakan internal Anda.

f.        Tinjau dan evaluasi kontrol untuk mencegah, mendeteksi, dan bereaksi terhadap serangan.

g.      Tentukan bagaimana manajemen identitas dilakukan untuk sistem berbasis cloud dan host.

h.      Pastikan bahwa retensi data dan praktik perusakan untuk data yang disimpan di luar kantor mematuhi kebijakan internal.

i.        Tinjau dan evaluasi keamanan fisik vendor.

4.      Operasi

a.       Tinjau dan evaluasi proses perusahaan Anda untuk memantau kualitas operasi yang dialihdayakan. Tentukan bagaimana kepatuhan dengan SLA dan persyaratan kontrak lainnya dimonitor.

b.      Pastikan bahwa proses pemulihan bencana yang memadai tersedia untuk menyediakan kelangsungan bisnis jika terjadi bencana di penyedia layanan Anda.

c.       Tentukan apakah proses tata kelola yang tepat sudah ada selama keterlibatan layanan cloud baru oleh karyawan perusahaan Anda.

d.      Tinjau dan evaluasi rencana perusahaan Anda jika ada penghentian hubungan outsourcing yang diharapkan atau tidak diharapkan.

e.       Jika layanan TI telah dialihdayakan, tinjau proses penyedia layanan untuk memastikan kualitas staf dan meminimalkan dampak dari perputaran. Jika layanan tersebut dilakukan di luar negeri, carilah kontrol tambahan untuk memastikan kehadiran karyawan dan komunikasi yang efektif dan penyerahan dengan kantor pusat.

5.      Kepedulian Hukum dan Kepatuhan terhadap Peraturan.

a.       Tinjau dan evaluasi hak dan kemampuan perusahaan Anda untuk memperoleh informasi dari vendor yang mungkin diperlukan untuk mendukung penyelidikan.

b.      Tinjau persyaratan untuk pemberitahuan pelanggaran keamanan. Pastikan bahwa persyaratan secara jelas ditentukan mengenai kapan dan bagaimana vendor harus memberi tahu perusahaan Anda jika terjadi pelanggaran keamanan dan bahwa perusahaan Anda telah menetapkan prosedur respons dengan jelas ketika mereka menerima pemberitahuan tersebut.

c.       Tentukan bagaimana kepatuhan dengan undang-undang privasi yang berlaku dan peraturan lainnya dipastikan.

d.      Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang berlaku untuk perangkat lunak yang dihosting di luar kantor atau digunakan oleh non-karyawan.



M.   Audit PROYEK PERUSAHAAN

Langkah Tes untuk Mengaudit Proyek Perusahaan

1.      Manajemen Proyek Secara Keseluruhan.

a.       Pastikan dokumentasi proyek yang cukup dan dokumentasi proses pengembangan perangkat lunak (jika ada) telah dibuat. Pastikan bahwa standar metodologi proyek perusahaan sedang diikuti.

b.      Tinjau prosedur untuk memastikan bahwa dokumentasi proyek selalu diperbarui.

c.       Evaluasilah keamanan dan proses manajemen perubahan untuk dokumentasi proyek yang kritis.

d.      Evaluasi prosedur untuk mencadangkan perangkat lunak dan dokumentasi proyek kritis. Pastikan bahwa cadangan disimpan di luar lokasi dan prosedur terdokumentasi ada untuk pemulihan.

e.       Pastikan bahwa ada proses yang efektif untuk menangkap masalah proyek, mengeskalasi masalah-masalah tersebut sebagaimana mestinya, dan melacaknya ke resolusi.

f.        Pastikan bahwa ada proses yang efektif untuk menangkap permintaan perubahan proyek, memprioritaskannya, dan membedahnya.

g.      Verifikasi bahwa jadwal proyek telah dibuat dan mengandung cukup detail berdasarkan ukuran proyek. Pastikan bahwa ada proses untuk memantau kemajuan dan melaporkan penundaan yang signifikan.

h.      Pastikan bahwa ada metode untuk melacak biaya proyek dan pelaporan yang berlebihan. Pastikan bahwa semua biaya proyek, termasuk tenaga kerja, dipertimbangkan dan dilacak.

i.        Mengevaluasi struktur kepemimpinan proyek untuk memastikan bahwa baik bisnis dan TI diwakili secara memadai.



2.      Proyek Start-up: Persyaratan Gathering dan Desain Awal

a.       Pastikan bahwa proses persetujuan proyek yang sesuai diikuti sebelum inisiasi proyek.

b.      Pastikan bahwa analisis kelayakan teknis telah dilakukan bersama, jika berlaku, analisis kelayakan oleh departemen hukum perusahaan.

c.       Tinjau dan evaluasi dokumen persyaratan. Tentukan apakah dan bagaimana persyaratan pelanggan untuk proyek diperoleh dan didokumentasikan sebelum pengembangan terjadi. Pastikan bahwa pelanggan menandatangani persyaratan dan bahwa persyaratan tersebut mencakup elemen TI standar.

d.      Evaluasi proses untuk memastikan bahwa semua kelompok yang terkena dampak yang akan membantu mendukung sistem, perangkat lunak, atau proses terlibat dalam proyek dan akan menjadi bagian dari proses sign-off, yang menunjukkan kesiapan mereka untuk mendukungnya.

e.       Tinjau proses untuk menetapkan prioritas persyaratan.

f.        Tentukan apakah persyaratan sistem dan rancangan awal memastikan bahwa kontrol internal dan elemen keamanan yang sesuai akan dirancang ke dalam sistem, proses, atau perangkat lunak.

g.      Jika proyek melibatkan pembelian perangkat lunak, teknologi, atau layanan eksternal lainnya, tinjau dan evaluasi proses pemilihan vendor dan kontrak terkait.



3.      Desain Rinci dan Pengembangan Sistem

a.       Pastikan bahwa semua persyaratan dapat dipetakan ke elemen desain.

b.      jika para pemangku kepentingan kunci telah menandatangani dokumen desain terperinci atau katalog "use case".

c.       Tinjau proses untuk memastikan keterlibatan pelanggan yang berkelanjutan dengan memprioritaskan tugas pada proyek.

d.      Carilah bukti ulasan rekan dalam desain dan pengembangan.

e.       Verifikasi bahwa kontrol dan keamanan internal yang sesuai telah dirancang ke dalam sistem.



4.      Pengujian

a.       Verifikasi bahwa desain dan pengujian terjadi dalam lingkungan pengembangan / pengujian dan bukan di lingkungan produksi.

b.      Tinjau dan evaluasi proses pengujian. Pastikan bahwa proyek memiliki rencana uji yang memadai dan mengikuti rencana uji ini.

c.       Pastikan bahwa semua persyaratan dapat dipetakan ke test case.

d.      Pastikan bahwa pengguna terlibat dalam pengujian dan setuju bahwa sistem memenuhi persyaratan. Ini harus mencakup personil TI yang akan mendukung sistem dan personel TI yang terlibat dalam melakukan studi kelayakan teknis awal untuk proyek tersebut.

e.       Pertimbangkan berpartisipasi dalam pengujian penerimaan pengguna dan validasi bahwa keamanan sistem dan kontrol internal berfungsi sebagaimana dimaksud.



5.      Implementasi

a.       Pastikan bahwa ada proses yang efektif untuk merekam, melacak, mengeskalasi, dan menyelesaikan masalah yang muncul setelah implementasi.

b.      Tinjau dan evaluasi rencana konversi proyek. Pastikan bahwa proyek memiliki rencana konversi yang memadai dan ikuti rencana ini.

c.       Tinjau rencana untuk mengubah dukungan sistem atau perangkat lunak baru dari tim proyek ke tim dukungan operasional.

d.      Pastikan bahwa dokumentasi yang memadai telah dibuat untuk penggunaan sistem atau proses yang sedang dikembangkan dan pemeliharaan sistem atau perangkat lunak. Evaluasi proses untuk menjaga dokumentasi tetap mutakhir. Evaluasilah perubahan kontrol dan keamanan atas dokumentasi itu.



6.      Pelatihan

a.       Tinjau rencana untuk memastikan bahwa semua pengguna yang terkena dampak dilatih dalam penggunaan sistem, perangkat lunak, atau proses baru.

b.      Pastikan bahwa ada proses untuk menjaga materi pelatihan selalu terbaru. Evaluasi kontrol perubahan dan keamanan atas materi pelatihan.



7.      Penggelapan Proyek
Pastikan bahwa ada proses untuk menutup proyek dan mencatat pelajaran yang didapat dan bahwa prosesnya diikuti.


REGULASI AUDIT

A.    Pengantar LegULASI Terkait dengan Kontrol Internal

Motivasi untuk pembuatan dan adopsi legulasi jauh lebih kompleks daripada yang terlihat. Kepentingan nasional, kepedulian industri, dan perebutan korporasi menciptakan pengemudi politik yang kuat. Politik dapat memiliki konotasi negatif, tetapi dalam konteks ini, "politik" hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan atau melindungi sekelompok orang yang representatif. Negara, industri, dan perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka. Standar dan legislasi adalah dua metode yang memastikan kekhawatiran ini terpenuhi.



B.     The Sarbanes-Oxley Act of 2002

The Sarbanes-Oxley Act dan Public Company Accounting Oversight Board (PCAOB) diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan mencegah penipuan korporasi dan akuntansi. Dengan demikian, kontrol yang diperlukan untuk kepatuhan terhadap SOX berfokus pada kontrol utama yang penting untuk memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.



C.    Gramm-Leach-Bliley Act

Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan. Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.



D.    Peraturan Privasi

1.      California SB 1386

California SB 1386 adalah salah satu hukum negara bagian pertama dan tentu saja yang paling terlihat yang berurusan dengan pelanggaran keamanan yang menyebabkan informasi pribadi untuk diungkapkan.

2.      Hukum Privasi Internasional

Meskipun undang-undang privasi A.S., termasuk SB 1386, menjadi lebih umum, beberapa undang-undang privasi internasional lebih ketat.

3.      Peraturan Eropa tentang Perlindungan Data Pribadi

Pada bulan Oktober 1995, Uni Eropa mengeluarkan Petunjuk Eropa tentang Perlindungan Data Pribadi. Arahan mengatur informasi pribadi dalam semua negara anggota Uni Eropa dan menempatkan persyaratan perlindungan minimum di atasnya.

4.      PIPEDA Kanada

Kanada memberlakukan undang-undang privasi nasional ini pada tahun 2004. Ini menetapkan ketentuan berikut untuk mengatur pengumpulan, penggunaan, dan pengungkapan informasi pribadi:

a.       Pihak yang terlibat dalam pengumpulan informasi harus menunjukkan akuntabilitas.

b.      Pengumpul informasi harus mengidentifikasi tujuan untuk pengumpulan informasi pribadi.

c.       Pengumpul informasi harus mendapatkan persetujuan dari konsumen.

d.      Pengumpulan informasi pribadi harus dibatasi.

e.       Penggunaan informasi pribadi harus dibatasi.

f.        Pengungkapan dan penyimpanan informasi pribadi harus dibatasi.

g.      Pengumpul informasi harus memastikan keakuratan informasi pribadi.

h.      Pengumpul informasi harus menyediakan keamanan yang memadai untuk melindungi informasi pribadi.

i.        Pengumpul informasi harus membuat kebijakan manajemen informasi tersedia.

j.        Pengumpul informasi harus memberi individu akses ke informasi tentang diri mereka sendiri.

k.      Individu diberikan hak untuk menantang kepatuhan organisasi terhadap prinsip-prinsip ini.

5.      Tren Hukum Privasi

Salah satu konsekuensi dari California SB 1386 adalah adopsi versi identik atau hampir identik dari tagihan oleh negara-negara lain di Amerika Serikat.Mengikuti berbagai macam hukum yang serupa merupakan tugas yang penting.



E.     Portabilitas Asuransi Kesehatan dan Akuntabilitas Act of 1996

Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA). Tindakan itu mencakup dua bagian. Judul I memberikan perlindungan asuransi kesehatan setelah karyawan kehilangan atau mengganti pekerjaan. Judul II berkaitan dengan tindakan administratif yang cenderung menyederhanakan dan menstandardisasi informasi kesehatan.



F.     Komisi Uni Eropa dan Basel II

Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan dalam mengaudit standar, pengawasan, dan tanggung jawab dengan membuat arahan terkait dengan keuangan, transparansi, audit, standar akuntansi, dan informasi perusahaan jasa. Perbedaan utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE tidak merekomendasikan tingkat penegakan hukum.

Meskipun undang-undang SOX berasal dari Amerika Serikat, undang-undang itu memiliki konsekuensi bagi perusahaan yang bermarkas di negara lain. Standar profesional Eropa yang berkembang seperti standar yang ditetapkan oleh Dewan Standar Akuntansi Internasional dan Basel II Capital Accord juga akan terus mempengaruhi banyak perusahaan multinasional.



G.    Standar Keamanan Data Industri Kartu Pembayaran (PCI)

Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa. Program CISP dimaksudkan untuk memastikan tingkat keamanan informasi yang tinggi untuk data pemegang kartu Visa. Standar keamanan berlaku untuk semua bank anggota Visa, pedagang yang menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang kartu Visa. Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan

Data Industri Kartu Pembayaran. Penerbit kartu lainnya mulai mengadopsi standar dan pada 7 September 2006, American Express, Discover Financial Services, JCB, MasterCard Worldwide, dan Visa International menciptakan Dewan Standar Keamanan Industri Kartu Pembayaran. Situs web mereka terletak online di www.pcisecuritystandards.org. Versi internasional dari program VISA CISP yang disebut Keamanan Informasi Akun Visa (AIS) berlaku untuk entitas yang tidak berbasis di AS.



H.    Tren Peraturan Lainnya

Ketika komputer menjamur di masa kejayaan tahun 1980-an dan 1990-an, kontrol internal atas TI gagal mengikuti arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan keras terhadap kontrol internal yang dimulai atas pelaporan keuangan telah diperluas untuk menyertakan TI, dan memang seharusnya demikian.

Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi krisis, perlindungan data dan privasi adalah topik yang sangat mendesak bagi legislator.



STANDAR DAN KERANGKA KERJA AUDIT

A.    Pengantar pengendalian TI internal, kerangka kerja, dan standar

Pada tahun 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan menjadi semakin meningkatkan permintaan akan akuntabilitas dan transparansi yang lebih besar di antara perusahaan-perusahaan yang dimiliki publik.

Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit.

Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor swasta independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO memformalkan konsep pengendalian internal dan kerangka kerja pada tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.



B.     Committee of Sponsoring Organizations (COSO)

            Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk sebagai tanggapan terhadap krisis keuangan AS yang meningkat dan jeritan untuk melihat praktik akuntansi dan audit pemerintah.

COSO menerbitkan pedoman formal pertama untuk kontrol internal, Kerangka Kerja Internal-Integrated, pada tahun 1992.

Publikasi ini menetapkan definisi umum untuk pengendalian internal dan kerangka kerja yang dapat digunakan organisasi untuk menilai dan meningkatkan sistem kontrol mereka. Pada tahun 1994, pekerjaan COSO disahkan oleh kepala Kantor Akuntan Umum (GAO) dari Kongres AS.

Pada tahun 2001, COSO memulai inisiatif besar kedua yang bertujuan memperluas kerja sebelumnya pada kontrol internal untuk mengatasi penekanan yang semakin besar pada manajemen risiko. Pada waktu yang hampir bersamaan, Amerika Serikat dibebani dengan kegagalan sensasional Enron, Tyco, Global Crossing, Kmart, Adelphia, WorldCom, HealthSouth, dan banyak lainnya.

Pemerintah AS dengan cepat memberlakukan Undang-Undang Sarbanes-Oxley tahun 2002 untuk mengamanatkan persyaratan untuk kontrol internal yang diaudit bersama dengan laporan keuangan.

Di tengah-tengah semua aktivitas profil tinggi ini, COSO menerbitkan Enterprise Risk Management – ​​Integrated Framework pada tahun 2004.



C.    COBIT

COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.

COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI. Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide terbaik dari semua standar teknis dan profesional yang baik.



D.    IT Infrastructure Library (ITIL)

IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam penyediaan manajemen dan penyediaan layanan di bidang infrastruktur. ITIL adalah merek dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan mengembangkan kerangka kerja terbaik ITIL.

ITIL berevolusi sebagai akibat dari ketergantungan bisnis yang meningkat pada TI dan telah menikmati pengakuan dan adopsi global yang berkembang dari berbagai ukuran organisasi.

Tidak seperti banyak standar dan kerangka kerja, adopsi ITIL yang luas telah menyebabkan berbagai vendor produk komersial dan tidak-untuk-profit untuk mengembangkan produk yang secara langsung mendukung ITIL.

Selain itu, pertumbuhan ITIL telah dilengkapi dengan proliferasi konsultansi profesional dan sertifikasi manajer ITIL yang menyediakan akses siap ke manfaat yang diperlukan untuk merencanakan, mengkonfigurasi, dan menerapkan standar.



E.     ISO 27001

Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO) telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai bisnis dan fungsi pemerintah .

ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah rangkaian standar yang sama yang berkaitan dengan beberapa aspek praktik keamanan informasi, manajemen keamanan informasi, dan manajemen risiko keamanan informasi.



F.     MEtodologi Penilaian NSA INFOSEC

Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program Pelatihan dan Rating INFOSEC (IATRP) pada awal 2002. Meskipun program IATRP dan dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan dan saat ini dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang memberikan pelatihan NSA IAM dan IEM untuk NSA.



G.    Kerangka dan Kecenderungan Standar

Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan menyederhanakan pengembangan produk teknologi, struktur organisasi, dan tujuan pengendalian. Sudut pandang lain menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya, dan kepentingan lain yang berbeda memastikan kerangka kendali yang diterima secara universal tidak akan pernah dibuat. Kebenaran mungkin terletak di suatu tempat di tengah. Meskipun satu set standar internasional belum dekat, alat-alat yang diuraikan dalam bab ini masih kurang berfungsi untuk menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.



MANAJEMEN RISIKO

A.    Manfaat Manajemen Risiko

Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.



B.     Unsur Risiko

1.      Assets

Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan biaya garis bawah kompromi.

2.      Ancaman

Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan persentase kerugian aset jika ancaman direalisasikan.

3.      Kerentanan

Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.



C.    Analisis Risiko Kuantitatif

Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama. Risiko dapat ditentukan dengan perhitungan berikut:

Risiko = nilai aset × ancaman × kerentanan



D.    Analisis Risiko Kualitatif

Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risiko.

Seperti disebutkan sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif saling melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk investasi mitigasi risiko.



E.     Siklus Hidup Manajemen Risiko TI

Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar, mengambil karakteristik siklus hidup (Gambar 18-1). Ini dapat dibagi menjadi beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:

·         Fase 1: Identifikasi Aset Informasi

Tujuan fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk persyaratan kerahasiaan, integritas, dan ketersediaannya.

·         Fase 2: Hitung dan Kualifikasi Ancaman

Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka tidak diidentifikasi dengan benar.

·         Fase 3: Menilai Kerentanan

Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi, karena setiap ancaman terkait dengan aset informasi.

·         Fase 4: Remediasi Celah Kontrol

Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.

·         Fase 5: Mengelola Risiko Residual

Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam kontrol baru untuk menanggapi ancaman yang muncul.

Leave a Reply

Subscribe to Posts | Subscribe to Comments

- Copyright © Tugas Soft skill - Date A Live - Powered by Blogger - Designed by Johanes Djogan -