Keamanan dan

Pemeriksaan TSI PerbankanJurusan Sistem Informasi

Fakultas Ilmu Komputer dan Teknologi Informasi

Universitas Gunadarma

Vclass Perkuliahan Minggu 11(12 Mei 2020)

Keamanan (Security) Sistem Aplikasi

Perbankan

Keamanan Komputer (Computer Security) Proseduremenejerial dan teknologi yang diterapkan pada sistemkomputer untuk menjamin ketersediaan, integritas dankerahasiaan informasi yang dikelola oleh sistem komputer

Keamanan Informasi (Information Security) Hasil darisuatu sistem prosedur dan atau kebijakan untukmengidentifikasi, mengawasi dan memproteksi dari aksesyang tidak berwenang, suatu informasi yang proteksinyadibawah kewenangan eksekutif atau undang-undang

Risiko (Risk)

Konsep Risiko

ThreatsKejadian atau aktivitas dari luarsistem yang memanfaatkankelemahan sistem

menyebabkan dampak negatif

VulnerabilitiesKelemahan sistem yang biasdieksplorasi oleh ancaman

ImpactsKonsekuensi jangka pendek ataujangka panjang dari ancamanmelalui kelemahan sistem

Ancaman Sistem

Kejadian atau aktivitas, umumnya dari eksternal ke dalam sistem, yang mungkin mempengaruhi titik lemah sistem sehinggamenyebabkan dampak

SISTEM INFORMASI

Sabotase

Personnel Problem

Hardware Damage

Computer Fraud

Computer Theft

Misuse of Information

Operating Error

Data or Programing

Hacking and Computer Virus

Kelemahan Sistem

Kelemahan keamanan pada target evaluasikegagalan analisis, rancangan, implementasi atauoperasi

Kelemahan pada komponen atau sistem informasi procedure pengamanan, rancangan perangkat kerasatau pengendali internal

Kelemahan di dalam procedure keamanan sistem, rancangan sistem, implementasi dan pengendalianinternal

Kelemahan Sistem Bank di Indonesia

Bank tidak mempunyai mesin back up

Source program terpasang pada production machine

Tidak adanya pemisahan fungsi operasional dengan fungsi pengembangan aplikasi

Ketergantungan yang tinggi terhadap vendor atau staff IT dalam pengoperasian TSI

Pengendalian lingkungan TSI belum memadai

Bank mempunyai beberapa jenis aplikasi paket untuk jasa atau produk yang sama

Perubahan data atau informasi dilakukan bukan melalui sistem aplikasi tetapimelalui bahasa pemrograman atau sistem databasenya

Bank belum menerapkan program edit check untuk memproteksi kesalahan input data

Pengendalian pengguna computer (user control) relative longgar

Tidak terintegrasinta antara front end dengan back end

Dampak Risiko Sistem

Konsekuensi negatif organisasi baik jangka pendekmaupun jangka panjang yang disebabkan oleh ancamanyang bisa telah mengeksploitasi kelemahan sistem

1. Financial Fraud

2. Telecomm Fraud

3. Information Theft

4. Unauthorized Access

Pengendalian (Control)

Pengendali Aplikasi (Application Control)

1. File Control

2. Transaction Control

3. User Control

4. Programmed Procedure

IT Control Menjamin procedure program dalam sistem computer dirancang, diimplementasikan, dipelihara dan dioperasikan dengan tepat, serta perubahan yang diperkenankan saja yang dapat dibuat untuk data atau program komputer

Implikasi : Penelusuran Transaksi

Jejak Audit :

1. Catatan kronologi dari penggunaan sumber daya sistem

2. Mencakup user login, akses file, berbagai aktifitas lain dan pelanggaran

Pengendalian (Control)

Tujuan/Manfaat Control :

1. Pertanggungjawaban individu

2. Rekonstruksi kejadian

3. Deteksi instruksi

4. Analisis masalah

Internal Control

Internal Control Accounting Control danAdministrative Control

Accounting Control Rencana organisasi dan prosedurmenyangkut langsung dengan pengamanan harta milikdan administrasi harta kekayaan yang ada

Administrative Control Rencana organisasi dansemua cara dan procedure menyangkut efisiensi usahadan kebijakan pemimpin perusahaan dan tidakberhubungan langsung dengan catatan keuangan

Pelaksanaan Manajemen Risiko

Pengendalian risiko secara first line of defense yang dilakukanoleh unit kerja yang melaksanakan proses bisnis

Pengendalian risiko secara second line of defense dilakukan olehunit kerja yang memiliki fungsi manajemen risiko danindependen dari unit kerja yang melaksanakan proses bisnis

Pengendalian risiko secara third line of defense dilakukan olehunit kerja yang melaksanakan fungsi audit internal gunamemastikan kegiatan pengendalian risiko dilaksanakan secaraefektif

Internal Control

Adanya pengawasan oleh manajemen danpengendalian

Identifikasi dan penilaian risiko

Kegiatan pemantauan dan koreksi penyimpangan

Sistem akurasi, informasi dan komunikasi

Pengendalian dan pemisahan fungsi risiko

Cara Pengaplikasian Internal Control

Perbankan

Division of Duties Kegiatan pemisahan fungsiadministrative, operasional dan penyimpanan

Dual Control Kegiatan pengecekan kembali suatupekerjaan yang telah dilakukan oleh petugassebelumnya

Joint Custody/Dual Custody Dua pemegang kuncipada safe deposit box atau pada strong room yang berbeda

Cara Pengaplikasian Internal Control

Perbankan

Mandatory Vacation Mandat atau perintah untuklibur pada karyawan

Number Control Penomoran unik untuk setiaptransaksi maupun setiap karyawan

Outside Activities of Bank Personel Kegiatan personeldiluar pekerjaannya

Rotation of Duty Assignment Rolling personel dalamsuatu perusahaan

IT Audit in Banking

Audit IT Proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputeryang digunakan telah dapat melindungi asset milikorganisasi maupun menjaga integritas data, dapatmembantu pencapaian tujuan organisasi secara efektifserta menggunakan sumber daya yang dimiliki secaraefisien.

Audit IT Pengendali Aplikasi (Application Control) dan Pengendalian Umum (General Control)

IT Audit in Banking

Bank Indonesia (BI) banyaknya kasus fraud ataupembobolan bank disebabkan karena lemahnyapengawasan internal

Bank sentral meminta bank untuk introspeksi sertamembenahi pengendalian internal denganmengoptimalkan manajemen risiko

Ruang Lingkup Fungsi Audit Internal

Pelaksanaan kegiatan audit (assurance) dan konsultansiyang mencakup analisis kecukupan rancang bangundan efektivitas pelaksanaan proses Governance

Proses manajemen risiko (risk management)

Proses pengendalian intern (internal control) Bank Indonesia.

Alasan Perlunya Audit IT

Kerugian akibat kehilangan data

Kerugian akibat kesalahan pemrosesan computer

Pengambilankeputusan yang salah akibat informasi yang salah

Kerugian karena penyalahgunaan computer (Computer Abused)

Tujuan dan Lingkup Audit IT

Conformance (Kesesuaian) Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan)

Performance (Kinerja) Effectiveness (Efektifitas), Efficiency (Efisiensi) dan Reliability (Kehandalan)

Prinsip Audit IT

Kerahasiaan (Confidentiality)

Integritas (Integrity)

Ketersediaan (Availability)

Auditing Process

Perencanaan audit pendahuluan

Review pendahuluan dan assessment terhadap strukturpengendalian internal

Pengujian pengendalian dalam audit

Pengujian substantif

Pelaporan audit

Teknik dan Pendekatan Pengauditan

Berbasis Komputer

Teknik Computer Assisted Audit Techniques (CAAT) :

1. Pengauditan sekitar komputer (Auditing Arround the Computer)

2. Pengauditan melalui komputer (Auditing Through the Computer)

3. Pengauditan dengan menggunakan komputer(Auditing with the Computer)

Generalized Audit Software (GAS)

GAS Software audit yang digunakan untukpengujian substantive dengan pendekatan auditing computer

GAS Software audit yang terdiri dari satu atau lebihprogram yang applicable pada bernagai situasi audit pada suatu perusahaan