PROGRAM AUDIT SISTEM INFORMASI Titien S. Sukamto MANFAAT DAN PENTINGNYA PROGRAM AUDIT • Program audit penting agar pelaksanaan audit dapat efektif dan efisien. Program berisi daftar pengujian yang harus dikerjakan oleh Auditor dalam lingkup auditnya. • Program audit juga dapat mendampingi manajemen dalam perencanaan sumberdaya. • Program audit dapat membantu untuk menginformasikan konsistensi pengujian/penilaian pada audit sebelumnya. Misal, dalam melakukan perencanaan dan persiapan audit, program audit yang telah dibuat pada periode sebelumnya, dapat digunakan sebagai dasar untuk menjalankan audit priode saat ini, selama proses atau objek yang akan diaudit sama. PROGRAM AUDIT SISTEM INFORMASI • Program audit dirancang untuk membahas risiko utama yang tampak dalam semua sistem komputer. • Biasanya, kalimat tujuan dan langkah - langkah dalam program audit disebutkan secara umum. • Sistem komputer dapat memiliki berbagai aplikasi yang berjalan, dan masingmasing memiliki perangkat pengendalian yang unik, tetapi pengendalian di sekitar sistem komputer tersebut hampir sama. • Pengendalian SI dalam program audit dibagi ke dalam 4 jenis pengendalian : • Pengendalian lingkungan (Environmental controls) • Pengendalian keamanan fisik (Physical security controls) • Pengendalian keamanan logis (Logical security controls) • Pengendalian operasional SI (IS operating controls) PENGENDALIAN LINGKUNGAN Pengendalian ini kebih umum dibanding dengan pengendalian keamanan fisik dan logis. Pengendalian lingkungan termasuk di dalamnya seperti : Kebijakan, standar, panduan keamanan SI Struktur pelaporan pada lingkungan proses SI (operasi komputer dan programming) Kondisi keuangan vendor Software license, perawatan, support agreement dan garansi dari vendor Status dari kebijakan dan prosedur sistem komputer dalam operasional di organisasi PENGENDALIAN KEAMANAN FISIK DAN LOGIS Pengendalian fisik menyinggung masalah perlindungan hardware, komponen, dan fasilitas yang ada. Biaya yang diciptakan serta penggantian dari program software dan data yang rusak. Pengendalian logis dijalankan pada sistem dan aplikasi untuk membantu mencegah unauthorized access serta perusakan data baik yang disengaja maupun tidak. Termasuk di dalamnya, kemampuan user dalam mengakses sistem, profil akses sistem dan parameter, serta mekanisme log in. PENGENDALIAN OPERASIONAL SI Pengendalian ini dirancang untuk menjamin SI berjalan secara efisien dan efektif. Pengendalian ini termasuk, ketepatan waktu dan keakuratan penyelesaian pekerjaan oleh SI, distribusi output, performa prosedur backup dan recovery, performa prosedur perawatan, dokumentasi dan resolusi dari masalah SI, serta pengawasan CPU dan penggunaan penyimpanan data. KEBIJAKAN, STANDAR DAN PANDUAN KEAMANAN SISTEM INFORMASI Titien S. Sukamto KEBIJAKAN KEAMANAN SI Kebijakan keamanan SI merupakan pernyataan tingkat tinggi yang menjelaskan sasaran umum dalam organisasi untuk mengendalikan dan mengamankan sistem informasinya. Kebijakan harus secara spesifik menjelaskan siapa yang bertanggungjawab atas implementasi kebijakan. Kebijakan biasanya dibuat oleh manajemen dan disetujui oleh dewan direksi. Karena pertemuan antara dewan direksi biasanya tidak sering terjadi, maka akan lebih baik jika isi dari kebijakan tidak terlalu spesifik, karena jika ada perubahan akan memakan waktu yang cukup lama sampai akhirnya kebijakan revisi diresmikan. 5 SECTIONS OF IS SECURITY POLICIES Kebijakan keamanan dibagi ke dalam 5 section : 1. Purpose and Responsibility ( Tujuan dan Tanggung jawab) 2. System Procurement and Development (Pegadaan dan Pengembangan Sistem) 3. Access Terminals (Pembagian Hak Akses) 4. Equipment and Information Security (Keamanan Peralatan dan Informasi) 5. Service Bureau Programs (Program Biro Pelayanan) SECTION 1 : PURPOSE AND RESPONSIBILITY Contoh : Istilah sistem harus merujuk pada semua operasi komputer di dalam organisasi, termasuk dan tidak terbatas pada, mainframe, midranges, LAN dan WAN, personal desktop, laptop, telekomunikasi serta teknologi baru yang sedang dikembangkan, yang berada pada area fungsional dimana data dipertukarkan via media elektronik, telekomunikasi, satelit, microwave, dan media lainnya. SECTION 2 : SYSTEM PROCUREMENT AND DEVELOPMENT Section ini menjelaskan spesifikasi dari langkah-langkah yang dibutuhkan ketika SI yang baru mulai dipertimbangkan. Langkah –langkah ini merepresentasikan standar dalam pendekatan siklus pengembangan sistem. Siklus pengembangan sistem informasi : 1. Definisi ruang lingkup 2. Definisi kebutuhan 3. Tinjauan berbagai solusi alternatif 4. Perancangan sistem 5. Pengembangan sistem 6. Pengujian sistem 7. Pengawasan dan perawatan sistem SECTION 3 : ACCESS TERMINAL Contoh : Manajemen berwenang untuk memasang (install) akses dial-up lainnya jika diperlukan dalam kegiatan operasional organisasi Section ini tidak berisi informasi yang cukup sehingga terkadang, digabung atau dimasukkan ke dalam Section 4. SECTION 4 : EQUIPMENT AND INFORMATION SECURITY Section ini membagi keamanan dalam 3 sub-section : 1. Keamanan peralatan dan lingkungan 2. Keamanan informasi dan komunikasi (kendali akses logis, metode klasifikasi informasi, keamanan jaringan dan lokal, penyimpanan dan pembuangan/penghapusan informasi) 3. Kemungkinan yang akan terjadi dan recovery (identifikasi aplikasi kritis untuk menentukan prioritas recovery, rencana dokumentasi dan backup, prosedur pengujian) SECTION 5 : SERVICE BUREAU PROGRAMS Section ini mengacu pada isu-isu kebijakan yang berkaitan dengan biro jasa. Menyangkut kontrak dengan vendor pengembang sistem atau pihak ketiga lainnya. Contoh : 1. Permintaan programming oleh perusahaan harus diawasi. 2. Perusahaan melalui sistem verifikasi oleh biro jasa akan menjamin bahwa sistem baru beroperasi dengan benar sebelum diterapkan secara resmi 3. Vendor memberikan prosedur operasi dan error-handling kepada perusahaan. STANDAR KEAMANAN SI Standar keamanan SI berisi kriteria minimum, peraturan dan prosedur yang dibuat oleh manajemen senior yang harus diterapkan untuk membantu menjamin pencapaian kebijakan keamanan SI. Standar keamanan diterapkan kepada staff dengan arahan dari manajemen. Standar keamanan harus menjelaskan secara spesifik persyaratan/kebutuhan yang diminta untuk masing-masing pengendalian SI Penyusunan standar tidak perlu persetujuan dari dewan direksi Contoh : Panjang password min 8 karakter Password kadaluwarsa setelah 30 hari Password terdiri dari kombinasi huruf dan angka PANDUAN KEAMANAN SI Panduan keamanan SI dibuat oleh manajemen senior dan dimaksudkan untuk menjamin pencapaian kebijakan. Format panduan hampir sama dengan standar, dimana ia memuat spesifikasi terperinci untuk masing-masing pengendalian SI. Perbedaannya terdapat pada penerapan/implementasi. Pada beberapa organisasi, manajemen mungkin akan mengarahkan staff untuk menerapkan panduan yang dianggap berguna. Pada organisasi lain, mengasumsikan bahwa panduan sama dengan stadndar. KEBIJAKAN, STANDAR DAN PANDUAN KEAMANAN SI Kebijakan, standar dan panduan keamanan SI harus dirancang saling berhubungan satu sama lain untuk menjamin kelangsungan dan konsistensi dalam penerapannya terhadap semua SI di organisasi. Penerapan kebijakan, standar dan panduan keamanan SI juga sebaiknya bersifat fleksibel. Kebijakan, standar dan panduan keamanan SI harus didokumentasikan dan siap pakai serta terjamin ketersediaannya untuk semua pegawai organisasi, baik dalam bentuk tertulis (berkas cetak) maupun format elektronik. Dokumen kebijakan, standar dan panduan disusun sedemikian rupa agar tidak mengintimidasi pegawai disaat membacanya. Dokumen juga harus secara periodik (minimal 1 tahun sekali) diperbaharui. Pegawai juga akan lebih baik jika mendapatkan informasi yang lengkap mengenai letak dokumen kebijakan dan bagaimana cara mengaksesnya. REFERENSI Auditing Information System. Jack J. Champlain. 2nd Edition. 2003