RANGKUMAN BUKU

PENERJEMAH :

4KA11

LUTHFI MIFTAH M 13115906

MUHAMMAD FARIZ 14115584

MUHAMMAD FAUZAN A 14115591

RIDHO ILHAM P 15115930

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI

UNIVERSITAS GUNADARMA

PROSES AUDIT (AUDIT PROCESS) .

A. INTERNAL CONTROL

Internal Control , dinyatakan dalam istilah yang paling sederhana, adalah mekanisme

yang memastikan berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam

perusahaan ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari adanya risiko

untuk tujuan-tujuan tersebut dan kemudian memastikan bahwa pengendalian internal

diterapkan untuk mengurangi risiko-risiko tersebut. Internal Control memiliki beberapa tipe,

yaitu :

1. Preventive Control.

Kontrol pencegahan menghentikan peristiwa buruk terjadi. Misalnya, membutuhkan

ID pengguna dan kata sandi untuk akses ke sistem adalah kontrol pencegahan. Ini

mencegah (secara teoritis) orang yang tidak sah mengakses sistem. Dari sudut

pandang teoritis, kontrol pencegahan selalu lebih disukai, karena alasan yang jelas.

Namun, ketika Anda melakukan audit, ingat bahwa kontrol pencegahan tidak selalu

merupakan solusi yang paling hemat biaya, dan jenis kontrol lain mungkin lebih

masuk akal dari titik keuntungan biaya / manfaat.

2. Detective Control.

Kontrol detektif merekam peristiwa buruk setelah itu terjadi. Misalnya, mencatat

semua aktivitas yang dilakukan pada sistem akan memungkinkan Anda meninjau log

untuk mencari aktivitas yang tidak sesuai dengan aturan setelah acara.

3. Reactive Control (Corrective Control).

Kontrol reaktif berada di antara kontrol pencegahan dan detektif. Mereka tidak

mencegah peristiwa buruk terjadi, tetapi mereka menyediakan cara sistematis untuk

mendeteksi kapan peristiwa buruk itu terjadi dan memperbaiki situasi, itulah sebabnya

mengapa mereka kadang-kadang disebut kontrol korektif. Misalnya, Anda mungkin

memiliki sistem antivirus pusat yang mendeteksi apakah setiap PC pengguna

memiliki file tanda tangan terinstal terbaru. Idealnya, Anda dapat menonaktifkan

akses jaringan ke mesin apa pun yang tidak sesuai. Namun, ini mungkin tidak praktis

dari sudut pandang bisnis.

B. INTERNAL CONTROL EXAMPLE

Berikut ini adalah beberapa contoh dasar yang dimaksudkan untuk menggambarkan

konsep pengendalian internal.

1. Software Change Control

Jika perubahan pada kode sistem itu sendiri tidak disetujui dan diuji dengan benar,

Anda mungkin menemukan bahwa logika yang dijalankan oleh kode itu salah. Ini

mungkin berarti Anda kehilangan kepercayaan pada integritas data di dalam sistem,

sehingga tidak tahu pasti siapa yang telah membayar perusahaan Anda dan siapa yang

tidak. Jadi apa saja kontrol internal yang akan mengurangi risiko tersebut?

Jangan izinkan akses logis pemrogram untuk memperbarui kode produksi.

Orang yang memiliki akses logis untuk memperbarui kode produksi tidak

mungkin melakukannya tanpa bukti pengujian dan persetujuan.

2. Access Control

Jika akses ke sistem diberikan kepada orang yang tidak memiliki kebutuhan untuk

akses itu, data sistem dapat diubah, ditambahkan, atau dihapus secara tidak tepat.

Bagaimana cara mengurangi risiko tersebut?

Minta ID pengguna dan kata sandi untuk mengakses sistem.

Memiliki sejumlah administrator keamanan aplikasi yang mengontrol

kemampuan untuk menambahkan akun pengguna baru ke sistem.

Pastikan bahw administrator keamanan aplikasi adalah individu

berpengetahuan yang tahu pengguna mana yang benar-benar membutuhkan

akses ke sistem.

3. Backup and Disaster-Recovery Plans

ika sistem atau datanya hilang, fungsionalitas sistem tidak akan tersedia, yang

mengakibatkan hilangnya kemampuan Anda untuk melacak piutang luar biasa atau

mengirim pembayaran baru.

C. DETERMINING WHAT TO AUDIT (MENENTUKAN APA YANG HARUS DI

AUDIT).

Salah satu tugas terpenting dari departemen audit internal adalah menentukan apa yang harus

diaudit. Langkah yang harus diambil ialah :

1. Creating Audit Universe

Sebelum menciptakan lingkungan (universe), sebaiknya memahami terlebih dahulu

lingkungan sekitar agar mampu melakukan audit yang efektif.

2. Centralized IT Function

Pada bagian ini, Anda harus menentukan fungsi TI apa yang terpusat, dan tempatkan

masing-masing fungsi terpusat pada daftar potensi audit IT kita. Salah satu contoh,

jika fungsi utama mengelola lingkungan server Unix dan Linux Anda, salah satu

potensi Anda mungkin merupakan tinjauan terhadap manajemen lingkungan itu.

3. Decentralized IT Function

Setelah membuat daftar semua proses TI terpusat perusahaan, Anda dapat

menentukan sisa alam semesta audit Anda. Mungkin Anda dapat membuat satu

potensi audit per situs perusahaan. Audit ini dapat terdiri dari peninjauan kontrol TI

terdesentralisasi yang dimiliki oleh masing-masing situs, seperti keamanan fisik pusat

data dan kontrol lingkungan.

4. Business Application

Anda juga dapat membuat audit potensial untuk setiap aplikasi bisnis. Anda harus

menentukan apakah lebih efektif untuk melakukan audit ini di alam semesta audit TI

atau di alam audit keuangan. Dalam banyak hal, sangat masuk akal untuk memiliki

audit ini didorong oleh auditor keuangan, yang mungkin dalam posisi terbaik untuk

menentukan kapan waktu untuk melakukan audit saat proses pembelian.

5. Regulatory Compliance (Kepatuhan terhadap peraturan).

Contoh umum termasuk kepatuhan audit dengan Sarbanes-Oxley, Portabilitas

Asuransi Kesehatan dan Undang-Undang Akuntabilitas (HIPPA), serta peraturan dan

standar Industri Kartu Pembayaran (PCI).

6. Ranking The Audit Universe

Setelah Anda membuat semesta audit TI Anda, Anda harus mengembangkan

metodologi untuk menentukan peringkat audit potensial tersebut untuk menentukan

rencana Anda untuk tahun ini (atau kuartal, bulan, dan seterusnya). Anda dapat

memasukkan semua jenis faktor dalam metodologi ini, tetapi berikut ini adalah

beberapa yang penting :

Masalah yang diketahui di lapangan, tersebut Jika Anda tahu ada masalah

di daerah tersebut, Anda harus lebih mungkin untuk melakukan audit terhadap

area tersebut.

Menyadari risiko di lapangan, Anda mungkin tidak menyadari masalah

khusus di area tersebut, tetapi pengalaman Anda memberi tahu Anda bahwa

area ini rentan terhadap masalah, jadi Anda harus mempertimbangkan untuk

melakukan audit.

Manfaat melakukan audit di lapangan, Pertimbangkan manfaat dari

melakukan audit di daerah, dengan fokus terutama pada apakah audit akan

menambah nilai bagi perusahaan.

Management Input, Sebagai contoh, jika manajemen mendorong Anda untuk

melakukan audit, mereka mungkin mengetahui masalah di area tersebut, yang

mungkin mengarahkan Anda untuk meningkatkan peringkat Anda dari faktor

pertama (Menyadari risiko di lapangan). Ini juga dapat mengarahkan Anda

untuk percaya bahwa Anda dapat menambah nilai dengan melakukan audit,

sehingga Anda dapat berpotensi meningkatkan peringkat Anda dari faktor

ketiga (Manfaat melakukan audit di lapangan).

D. THE STAGE OF AUDIT (TAHAPAN AUDIT).

Sekarang setelah Anda memahami proses pemilihan apa yang harus diaudit, mari kita bahas

berbagai tahapan untuk melakukan masing-masing audit dalam rencana audit. Kami akan

membahas enam fase audit utama berikut :

1. Perencanaan

2. Kerja lapangan dan dokumentasi

3. Penemuan masalah dan validasi

4. Pengembangan solusi

5. Pembuatan laporan

6. Pelacakan masalah

AUDIT TECHNIQUES

A. AUDITING ENTITY-LEVEL CONTROLS

Langkah-Langkah Percobaan Untuk Auditing Entity-Level Controls

1. Tinjaulah struktur organisasi TI secara keseluruhan untuk memastikan bahwa

organisasi tersebut menyediakan penugasan yang jelas atas wewenang dan tanggung

jawab atas operasi TI dan menyediakan pembagian tugas yang memadai.

2. Tinjau proses perencanaan strategis TI dan pastikan bahwa itu selaras dengan strategi

bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap rencana

strategis.

3. Tinjau proses perencanaan strategis dan solusi yang selaras dengan strategi bisnis.

Evaluasi proses TI untuk memantau kemajuan dari rencana strategis.

4. Tinjau indikator kinerja dan pengukuran untuk TI. Pastikan bahwa proses dan metrik

tersedia (dan disetujui oleh pemangku kepentingan utama) untuk mengukur kinerja

kegiatan sehari-hari dan untuk melacak kinerja terhadap perjanjian tingkat layanan,

anggaran, dan persyaratan operasional lainnya.

5. Tinjau proses organisasi TI untuk menyetujui dan memprioritaskan proyek baru.

Tentukan apakah proses ini cukup untuk memastikan bahwa akuisisi sistem dan

proyek pengembangan tidak dapat dimulai tanpa persetujuan. Pastikan bahwa

manajemen dan pemangku kepentingan kunci meninjau status proyek, jadwal, dan

anggaran secara berkala sepanjang masa proyek-proyek penting.

6. Mengevaluasi standar untuk mengatur pelaksanaan proyek-proyek TI dan untuk

memastikan kualitas produk yang dikembangkan atau diperoleh oleh organisasi TI.

Tentukan bagaimana standar-standar ini dikomunikasikan dan ditegakkan.

7. Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang memadai

untuk keamanan lingkungan. Tentukan bagaimana kebijakan tersebut

dikomunikasikan dan bagaimana kepatuhan dimonitor dan ditegakkan.

8. Tinjau dan evaluasi proses penilaian risiko di tempat untuk organisasi TI.

9. Tinjau dan evaluasi proses untuk memastikan bahwa karyawan TI di perusahaan

memiliki keterampilan dan pengetahuan yang diperlukan untuk melakukan pekerjaan

mereka.

10. Tinjau dan evaluasi kebijakan dan proses untuk menetapkan kepemilikan data

perusahaan, mengklasifikasikan data, melindungi data sesuai dengan klasifikasi

mereka, dan menentukan siklus kehidupan data.

11. Pastikan bahwa ada proses yang efektif untuk mematuhi hukum dan peraturan yang

berlaku yang memengaruhi TI dan untuk mempertahankan kesadaran akan perubahan

dalam lingkungan peraturan.

12. Tinjau dan evaluasi proses untuk memastikan bahwa pengguna akhir lingkungan TI

dapat melaporkan masalah, dilibatkan secara tepat dalam keputusan TI, dan puas

dengan layanan yang diberikan oleh TI.

13. Tinjau dan evaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa

peran dan tanggung jawab mereka didefinisikan dengan jelas dan memantau

kinerjanya.

14. Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan.

15. Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi

perangkat lunak yang berlaku

16. Tinjau dan evaluasi kontrol atas akses jarak jauh ke jaringan perusahaan (seperti dial-

up, VPN, koneksi eksternal khusus).

17. Pastikan bahwa prosedur perekrutan dan pemberhentian sudah jelas dan

komprehensif.

18. Tinjau dan evaluasi kebijakan dan prosedur untuk mengontrol pengadaan dan

pergerakan perangkat keras.

19. Pastikan konfigurasi sistem dikontrol dengan manajemen perubahan untuk

menghindari pemadaman sistem yang tidak perlu.

20. Pastikan bahwa transportasi media, penyimpanan, penggunaan kembali, dan

pembuangan ditangani secara memadai oleh kebijakan dan prosedur perusahaan.

21. Verifikasi bahwa pemantauan kapasitas dan perencanaan ditangani secara memadai

oleh kebijakan dan prosedur perusahaan.

22. Berdasarkan struktur organisasi dan proses TI perusahaan Anda, identifikasi dan audit

proses TI tingkat entitas lainnya.

B. AUDITING DATA CENTERS & DISASTER RECOVERY

Physical Security and Environmental Controls

Pusat data menggabungkan beberapa jenis kontrol berbasis fasilitas, yang biasa disebut

sebagai keamanan fisik dan kontrol lingkungan, yaitu :

1. Facility access control systems (sistem kontrol akses fasilitas)

Sistem kontrol akses fasilitas mengautentikasi pekerja sebelum memberikan entri fisik

ke fasilitas, dengan tujuan melindungi sistem informasi yang berada di dalam pusat

data.

2. Alarm systems (sistem alarm)

Karena api, air, tingkat panas dan kelembaban yang ekstrim, fluktuasi daya, dan

gangguan fisik mengancam operasi pusat data, pusat data harus menerapkan beberapa

jenis sistem alarm yang berbeda, seperti :

Alarm pencuri (dengan pintu magnet, jendela, atau sensor kabinet; sensor

gerak; dan terkadang sensor audio)

Alarm kebakaran (biasanya panas dan / atau sensor yang diaktifkan oleh asap

yang dipecah menjadi zona yang mencakup berbagai bagian fasilitas)

Alarm air (biasanya dengan sensor di bawah lantai yang ditinggikan, dekat

kamar mandi, atau di pipa saluran air)

3. Fire suppression systems (sistem pencegah kebakaran).

Karena banyaknya peralatan listrik, api merupakan ancaman utama bagi pusat data.

Oleh karena itu, pusat data biasanya dilengkapi dengan sistem penekan api yang

canggih dan harus memiliki sejumlah alat pemadam api yang cukup. Secara umum,

sistem penahan api datang dalam dua varietas: sistem berbasis air dan sistem berbasis

gas.

Data Center Operations

Meskipun pusat data dirancang untuk menjadi otomatis, mereka memang membutuhkan staf

untuk beroperasi. Akibatnya, operasi pusat data harus diatur oleh kebijakan, rencana, dan

prosedur. Auditor harus berharap untuk menemukan bidang-bidang berikut yang dicakup

oleh kebijakan, rencana, dan prosedur :

Physical access control (Kontrol akses fisik)

System and facility monitoring (Pemantauan sistem dan fasilitas)

Facility and equipment planning, tracking, and maintenance (Perencanaan fasilitas,

peralatan, pelacakan, dan pemeliharaan)

Response procedures for outages, emergencies, and alarm condition (Prosedur

respons untuk pemadaman, keadaan darurat, dan kondisi alarm)

Disaster Preparedness (Kesiapsiagaan Bencana)

Semua pusat data rentan terhadap bencana alam dan buatan manusia. Sejarah menunjukkan

bahwa ketika bencana melanda suatu pusat data, organisasi fasilitas seperti itu mulai berhenti.

Tugas auditor adalah mengidentifikasi dan mengukur kontrol fisik dan administratif di

fasilitas yang mengurangi risiko gangguan pemrosesan data, termasuk hal-hal berikut:

System resiliency (Ketahanan sistem).

Data backup and restore (Pencadangan dan pemulihan data).

Disaster recovery planning (Perencanaan pemulihan bencana).

C. AUDITING SWITCHES, ROUTERS, AND FIREWALLS

Langkah-langkah audit dibagi menjadi langkah-langkah umum dan langkah-langkah khusus.

Langkah-langkah audit umum berlaku untuk peralatan jaringan secara umum, diikuti oleh

langkah-langkah khusus berlaku untuk router, switch, dan firewall. Kerjakan bagian pertama

dari kontrol umum tanpa menghiraukan audit Anda dan kemudian pindah ke bagian tertentu

yang Anda butuhkan untuk menyelesaikan audit.

Langkah-langkah Audit Peralatan Jaringan Umum

1. Tinjau kontrol di sekitar pengembangan dan pertahankan konfigurasi.

2. Pastikan bahwa terdapat kontrol yang sesuai untuk setiap kerentanan yang terkait

dengan versi perangkat lunak saat ini. Kontrol ini mungkin termasuk pembaruan

perangkat lunak, perubahan konfigurasi, atau kontrol kompensasi lainnya.

3. Verifikasi bahwa semua layanan yang tidak diperlukan dinonaktifkan.

4. Pastikan bahwa praktik manajemen SNMP yang baik diikuti.

5. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa

akun dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan

mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan

secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

6. Pastikan bahwa kontrol kata sandi yang sesuai digunakan.

7. Verifikasi bahwa protokol manajemen aman digunakan jika memungkinkan.

8. Pastikan bahwa cadangan saat ini ada untuk file konfigurasi.

9. Pastikan cadangan saat ini ada untuk file konfigurasi.

10. Evaluasilah penggunaan Network Time Protocol (NTP).

11. Pastikan spanduk dikonfigurasi untuk membuat semua pengguna yang terhubung

menyadari kebijakan perusahaan untuk digunakan dan memantau.

12. Pastikan bahwa kontrol akses diterapkan ke port konsol.

13. Pastikan semua peralatan jaringan disimpan di lokasi yang aman.

14. Pastikan bahwa konvensi penamaan standar digunakan untuk semua perangkat.

15. Verifikasi bahwa proses standar dan terdokumentasi ada untuk membangun perangkat

jaringan.

Kontrol Saklar Tambahan: Lapisan 2

1. Pastikan bahwa administrator menghindari menggunakan VLAN 1.

2. Evaluasilah penggunaan autonegosiasi batang.

3. Verifikasi bahwa mitigasi serangan Spanning-Tree Protocol diaktifkan (BPDU

Guard, Root Guard).

4. Evaluasilah penggunaan VLAN pada jaringan.

5. Nonaktifkan semua port yang tidak digunakan dan letakkan di VLAN yang tidak

digunakan.

6. Evaluasilah penggunaan VLAN Trunking Protocol (VTP) di lingkungan

7. Verifikasi bahwa ada ambang batas yang membatasi lalu lintas broadcast / multicast

pada port.

Kontrol Router Tambahan: Layer 3

1. Pastikan bahwa antarmuka tidak aktif pada router dinonaktifkan.

2. Pastikan bahwa router dikonfigurasi untuk menyimpan semua dump inti.

3. Verifikasi bahwa semua pembaruan routing dikonfirmasi.

4. Verifikasi bahwa perutean sumber IP dan siaran yang diarahkan IP dinonaktifkan.

Kontrol Firewall Tambahan

1. Pastikan semua paket ditolak secara default.

2. Pastikan alamat IP internal dan eksternal yang tidak sesuai disaring.

3. Evaluasi set aturan firewall untuk memberikan perlindungan yang tepat.

D. AUDITING WINDOWS OPERATING SYSTEMS

Langkah-langkah pengujian untuk mengaudit Windows.

1. Pengaturan dan Kontrol Umum.

a. Dapatkan informasi sistem dan versi paket layanan dan bandingkan dengan

persyaratan kebijakan.

b. Menentukan apakah server menjalankan firewall yang disediakan

perusahaan.

c. Tentukan apakah server menjalankan program antivirus yang disediakan

perusahaan.

d. Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan

manajemen server Anda.

e. Menentukan apakah server menjalankan solusi manajemen tambalan yang

disediakan perusahaan.

f.Tinjau dan verifikasi informasi startup.

g. Layanan Ulasan, Aplikasi Terpasang, dan Tugas Terjadwal.

h. Tentukan layanan apa yang diaktifkan pada sistem, dan validasikan

kebutuhan mereka dengan administrator sistem. Untuk layanan yang

diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang

terkait dengan layanan tersebut dan biarkan mereka diperbaiki.

i. Pastikan hanya aplikasi yang disetujui yang diinstal pada sistem sesuai

kebijakan manajemen server Anda.

j. Pastikan bahwa hanya tugas terjadwal yang disetujui yang sedang berjalan.

2. Manajemen Akun dan Kontrol Kata Sandi

a. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan

memastikan bahwa akun dibuat hanya untuk kebutuhan bisnis yang sah.

Tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau

dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan

pekerjaan.

b. Pastikan bahwa semua pengguna dibuat di tingkat domain dan dianotasi

dengan jelas di direktori aktif. Setiap pengguna harus melacak ke karyawan

atau tim tertentu.

c. Tinjau dan evaluasi penggunaan kelompok, dan tentukan batasan

penggunaannya.

d. Tinjau dan evaluasi kekuatan kata sandi sistem.

e. Evaluasi penggunaan kontrol kata sandi di server, seperti kebijakan

penuaan kata, panjang, kompleksitas, sejarah, dan kebijakan lockout.

f. Tinjau Hak Pengguna dan Opsi Keamanan.

g. Tinjau dan evaluasi penggunaan hak-hak pengguna dan opsi keamanan

yang diberikan kepada elemen-elemen dalam pengaturan kebijakan

keamanan.

3. Keamanan dan Kontrol Jaringan

a. Tinjau dan evaluasi penggunaan dan kebutuhan untuk akses jarak jauh,

termasuk koneksi RAS, FTP, Telnet, SSH, VPN, dan metode lainnya.

b. Pastikan spanduk peringatan hukum ditampilkan saat menghubungkan ke

sistem.

c. Cari dan evaluasi penggunaan saham pada host.

d. Pastikan server telah mengaudit yang diaktifkan sesuai kebijakan

organisasi Anda.

e. Tinjau dan evaluasi prosedur administrator sistem untuk memantau

keadaan keamanan pada sistem.

4. Kerentanan Jaringan Pemindaian dan Pencegahan Intrusi

a. Jika Anda mengaudit lingkungan yang lebih besar (dibandingkan dengan

satu atau dua sistem terisolasi), tentukan apakah ada standar untuk

membangun sistem baru dan apakah baseline tersebut memiliki pengaturan

keamanan yang memadai.

b. Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem

yang Anda audit.

Cara Melakukan Audit yang Disederhanakan dari Klien Windows

1. Tentukan apakah klien menjalankan firewall yang disediakan perusahaan.

2. Tentukan apakah klien menjalankan program antivirus yang disediakan perusahaan.

3. Tentukan apakah klien menjalankan solusi manajemen tambalan yang disediakan

perusahaan.

4. Tentukan apakah klien dilengkapi dengan paket layanan, perbaikan terbaru, dan

perangkat lunak yang direkomendasikan minimum.

5. Pastikan bahwa klien memiliki semua yang berikut sesuai dengan Microsoft Baseline

Security Analyzer (MBSA).

6. Pindai sistem menggunakan pemindai jaringan tingkat komersial.

7. Evaluasilah kontrol keamanan fisik selama walk-through.

E. AUDITING UNIX AND LINUX OPERATING SYSTEMS

Langkah-langkah Uji untuk Audit Unix dan Linux

1. Manajemen akun dan kontrol kata sandi

a. Tinjau dan evaluasi prosedur untuk membuat akun pengguna Unix atau

Linux dan memastikan bahwa akun dibuat hanya jika ada kebutuhan

bisnis yang sah. Selain itu, tinjau dan evaluasi proses untuk memastikan

bahwa akun dihapus atau dinonaktifkan secara tepat waktu dalam hal

penghentian atau perubahan pekerjaan.

b. Pastikan bahwa semua ID pengguna dalam file kata sandi adalah unik.

c. Pastikan bahwa kata sandi dibayangi dan gunakan hash yang kuat jika

memungkinkan.

d. Evaluasi izin file untuk file kata sandi dan bayangan kata sandi.

e. Tinjau dan evaluasi kekuatan kata sandi sistem.

f. Evaluasi penggunaan kontrol kata sandi seperti penuaan.

g. Tinjau proses yang digunakan oleh administrator sistem untuk

menetapkan kata sandi awal untuk pengguna baru dan

mengomunikasikan kata sandi tersebut.

h. Pastikan bahwa setiap akun dikaitkan dengan dan dapat dilacak dengan

mudah ke karyawan tertentu. Pastikan bahwa cangkang tidak sah telah

ditempatkan pada semua akun yang dinonaktifkan.

i. Tinjau dan evaluasi akses ke akun superuser (tingkat akar) dan akun

administrasi lainnya.

j. Tinjau dan evaluasi penggunaan kelompok dan tentukan batasan

penggunaannya.

k. Evaluasi penggunaan kata sandi di tingkat grup.

l. Tinjau dan evaluasi keamanan direktori di jalur default yang digunakan

oleh administrator sistem saat menambahkan pengguna baru. Evaluasi

penggunaan "direktori saat ini" di jalur.

m. Tinjau dan evaluasi keamanan direktori di jalan akar. Evaluasi

penggunaan "direktori saat ini" di jalur.

Hai. Tinjau dan evaluasi keamanan direktori home dan file konfigurasi

pengguna. Mereka umumnya harus ditulis hanya oleh pemiliknya.

2. Keamanan dan kontrol fila.

a. Evaluasi hak akses file untuk sampel penghakiman file penting dan direktori

terkait mereka.

b. Carilah direktori terbuka (direktori dengan izin yang disetel ke drwxrwxrwx) pada

sistem dan tentukan apakah mereka harus memiliki set bit yang lengket

c. Evaluasi keamanan semua file SUID pada sistem, terutama yang SUID untuk

"root."

d. Tinjau dan evaluasi keamanan atas kernel.

e. Pastikan bahwa semua file memiliki pemilik sah di file / etc / passwd.

f. Pastikan bahwa perintah chown tidak dapat digunakan oleh pengguna untuk

mengkompromikan akun pengguna.

g. Dapatkan dan evaluasi nilai umask default untuk server.

h. Periksa crontab sistem, terutama root, untuk entri yang tidak biasa atau

mencurigakan.

saya. Tinjau keamanan file yang direferensikan dalam entri crontab, terutama root.

Pastikan bahwa entri mengacu pada file yang dimiliki oleh dan dapat ditulis hanya

oleh pemilik crontab dan bahwa file-file tersebut terletak di direktori yang dimiliki

oleh dan dapat ditulis hanya oleh pemilik crontab.

i. Periksa jadwal sistem yang ada untuk entri yang tidak biasa atau mencurigakan.

3. Keamanan dan kontrol jaringan.

a. Tentukan layanan jaringan apa yang diaktifkan pada sistem, dan validasikan

kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan,

tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan

layanan tersebut dan biarkan mereka diperbaiki.

b. Jalankan alat pemindaian kerentanan jaringan untuk memeriksa kerentanan saat

ini di lingkungan.

c. Tinjau dan evaluasi penggunaan akses tepercaya melalui file / etc / hosts.equiv

dan file .rhosts pengguna. Pastikan bahwa akses tepercaya tidak digunakan atau,

jika dianggap mutlak diperlukan, dibatasi sejauh mungkin.

d. Tinjau dan evaluasi penggunaan akses tepercaya melalui kunci SSH.

e. Jika FTP anonim diaktifkan dan benar-benar diperlukan, pastikan bahwa itu

dikunci dengan benar.

f. Jika NFS diaktifkan dan benar-benar diperlukan, pastikan bahwa itu dijamin

dengan benar.

g. Tinjau untuk penggunaan protokol aman.

h. Tinjau dan evaluasi penggunaan file .netrc. saya. Pastikan spanduk peringatan

hukum ditampilkan ketika pengguna terhubung ke sistem.

i. Tinjau dan evaluasi penggunaan modem di server.

4. Log audit.

a. Tinjau kontrol untuk mencegah masuknya "root" secara langsung.

b. Tinjau log perintah su dan sudo untuk memastikan bahwa ketika perintah ini

digunakan, mereka dicatat dengan tanggal, waktu, dan pengguna yang

mengetikkan perintah.

c. Evaluasilah syslog untuk memastikan bahwa informasi yang memadai sedang

diambil.

d. Evaluasi keamanan dan retensi log wtmp, sulog, syslog, dan log audit relevan

lainnya.

e. Evaluasi keamanan atas file utmp.

5. Pemantauan keamanan dan kontrol umum.

a. Tinjau dan evaluasi prosedur administrator sistem untuk memantau keadaan

keamanan pada sistem.

b. Jika Anda mengaudit lingkungan Unix / Linux yang lebih besar (sebagai lawan

dari satu atau dua sistem terisolasi), tentukan apakah ada standar yang dibangun

untuk sistem baru dan apakah baseline tersebut memiliki pengaturan keamanan

yang memadai. Pertimbangkan untuk mengaudit sistem yang baru dibuat dari

baseline.

c. Lakukan langkah-langkah dari Bab 4 karena mereka terkait dengan sistem yang

Anda audit.

F. AUDITING WEB SERVERS AND WEB APPLICATIONS

Langkah-langkah Tes untuk Auditing Web Server

1. Verifikasi bahwa server web berjalan pada sistem khusus dan tidak bersama dengan

aplikasi penting lainnya.

2. Verifikasi bahwa server web sepenuhnya ditambal dan diperbarui dengan kode yang

disetujui terakhir.

3. Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu dihapus atau

dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di bawah akun yang

paling tidak diistimewakan.

4. Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk mengakses server

web.

5. Verifikasi bahwa akun yang memungkinkan akses ke server web dikelola dengan

tepat dan dikeraskan dengan kata sandi yang kuat.

6. Pastikan ada kontrol yang sesuai untuk file, direktori, dan direktori virtual.

7. Pastikan bahwa server web memiliki penebangan yang sesuai diaktifkan dan dijamin.

8. Pastikan bahwa ekstensi skrip dipetakan dengan tepat.

9. Periksa validitas dan penggunaan sertifikat server apa pun yang digunakan.

Langkah-langkah Tes untuk Aplikasi Web Audit

1. Pastikan aplikasi web terlindung dari serangan injeksi.

2. Tinjau situs web untuk kerentanan lintas situs-skrip.

3. Tinjau aplikasi untuk otentikasi rusak dan kerentanan manajemen sesi.

4. Pastikan bahwa referensi objek yang tepat dan kontrol otorisasi diberlakukan.

5. Pastikan bahwa ada kontrol untuk mencegah Pemalsuan Permintaan Lintas Situs

(CSRF atau XSRF).

6. Tinjau kontrol di sekitar menjaga konfigurasi aman.

7. Pastikan bahwa mekanisme penyimpanan kriptografi aman digunakan dengan benar.

8. Pastikan bahwa kontrol yang tepat ada untuk membatasi pemfilteran URL.

9. Mengevaluasi mekanisme perlindungan lapisan transportasi (enkripsi lalu lintas

jaringan) untuk melindungi informasi sensitif.

10. Tinjau pengalihan aplikasi web dan ke depan untuk memverifikasi bahwa hanya URL

yang valid yang dapat diakses.

Langkah-langkah tambahan untuk Aplikasi Web Auditing

1. Verifikasi bahwa semua input divalidasi sebelum digunakan oleh server web.

2. Evaluasilah penggunaan penanganan kesalahan yang tepat.

G. AUDITING DATABASES

Langkah-langkah untuk Database Auditing

1. Pengaturan dan Kontrol Umum.

a. Dapatkan versi basis data dan bandingkan dengan persyaratan kebijakan

perusahaan Anda. Verifikasi bahwa database menjalankan versi perangkat lunak

database yang terus didukung vendor.

b. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan

patch tersedia dan untuk menerapkan patch. Pastikan bahwa semua patch yang

disetujui dipasang sesuai kebijakan manajemen basis data Anda.

c. Tentukan apakah membangun standar tersedia untuk sistem database baru dan

apakah baseline itu memiliki pengaturan keamanan yang memadai.

2. Keamanan Sistem Operasi.

a. Pastikan bahwa akses ke sistem operasi dibatasi dengan benar.

b. Pastikan bahwa izin pada direktori tempat database diinstal, dan file database itu

sendiri, dibatasi dengan benar.

c. Pastikan bahwa izin pada kunci registri yang digunakan oleh database benar

dibatasi.

3. Manajemen Akun dan Perizinan

a. Tinjau Akun Database.

b. Tinjau dan evaluasi prosedur untuk membuat akun pengguna dan memastikan

bahwa akun dibuat hanya dengan kebutuhan bisnis yang sah. Juga meninjau dan

mengevaluasi proses untuk memastikan akun pengguna dihapus atau

dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan

pekerjaan.

4. Kekuatan Kata Sandi dan Fitur Manajemen

a. Periksa nama pengguna dan kata sandi default.

b. Periksa kata sandi yang mudah ditebak.

c. Periksa apakah kemampuan manajemen kata sandi diaktifkan.

d. Tinjau Hak Istimewa Database.

e. Verifikasi bahwa izin basis data diberikan atau dicabut secara tepat untuk tingkat

otorisasi yang diperlukan.

f. Tinjau izin basis data yang diberikan kepada individu, bukan grup atau peran.

g. Pastikan bahwa perizinan database tidak secara implisit diberikan secara salah.

h. Tinjau SQL dinamis yang dijalankan dalam prosedur tersimpan.

saya. Pastikan bahwa akses tingkat baris ke data tabel diterapkan dengan benar.

i. Cabut izin PUBLIC jika tidak diperlukan.

5. Enkripsi Data

a. Verifikasi bahwa enkripsi jaringan diimplementasikan.

b. Verifikasi bahwa enkripsi data saat istirahat dilaksanakan jika diperlukan.

6. Pemantauan dan Manajemen

a. Verifikasi penggunaan yang tepat dari audit basis data dan pemantauan aktivitas.

b. Evaluasi bagaimana kapasitas dikelola untuk lingkungan database untuk

mendukung persyaratan bisnis yang ada dan diantisipasi.

c. Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan database

untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

H. AUDITING STORAGE

Test Steps for Auditing Storage

1. Pengaturan dan Kontrol Umum

a. Dokumentasikan arsitektur manajemen penyimpanan keseluruhan, termasuk

perangkat keras dan infrastruktur jaringan pendukung.

b. Dapatkan versi perangkat lunak dan bandingkan dengan persyaratan kebijakan.

c. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan

patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku.

Pastikan bahwa semua patch yang disetujui dipasang sesuai kebijakan Anda.

d. Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan

kebutuhan mereka dengan administrator sistem.

2. Manajemen Akun

a. Tinjau dan evaluasi prosedur untuk membuat akun administratif dan pastikan akun

dibuat hanya ketika ada kebutuhan bisnis yang sah. Juga meninjau dan

mengevaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan

secara tepat waktu dalam hal penghentian atau perubahan pekerjaan.

b. Evaluasi proses dan kebijakan yang digunakan untuk memberikan dan mencabut

akses ke penyimpanan.

3. Manajemen Penyimpanan

a. Evaluasi bagaimana kapasitas dikelola untuk lingkungan penyimpanan untuk

mendukung persyaratan bisnis yang ada dan diantisipasi.

b. Evaluasi bagaimana kinerja dikelola dan dimonitor untuk lingkungan

penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

c. Evaluasi kebijakan, proses, dan kontrol untuk frekuensi pencadangan data,

penanganan, dan penyimpanan jarak jauh.

4. Kontrol Keamanan Tambahan

a. Verifikasi bahwa enkripsi data-at-istirahat dilaksanakan jika diperlukan.

b. Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila

diperlukan.

c. Mengevaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau

firewall data yang sangat sensitif dari sisa lingkungan penyimpanan.

d. Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.

e. Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan

Bencana,” karena mereka terkait dengan sistem yang Anda audit.

I. AUDITING VIRTUALIZED ENVIRONMENTS

Langkah-langkah untuk Mengaudit Virtualisasi

1. Pengaturan dan Kontrol Umum

a. Dokumentasikan arsitektur manajemen virtualisasi keseluruhan, termasuk

perangkat keras dan infrastruktur jaringan pendukung.

b. Dapatkan versi perangkat lunak dari hypervisor dan bandingkan dengan

persyaratan kebijakan.

c. Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan

patch tersedia dan untuk mengevaluasi dan menerapkan patch yang berlaku.

Pastikan bahwa semua patch yang disetujui dipasang sesuai dengan persyaratan

kebijakan Anda.

d. Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasikan

kebutuhan mereka dengan administrator sistem.

2. Penyediaan Akun dan Sumber Daya dan Deprovisioning.

a. Tinjau dan evaluasi prosedur untuk membuat akun administratif dan memastikan

bahwa akun dibuat hanya ketika kebutuhan bisnis yang sah telah diidentifikasi.

Juga meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus

atau dinonaktifkan secara tepat waktu dalam hal penghentian atau perubahan

pekerjaan.

b. Verifikasi manajemen penyediaan dan deprovisioning mesin virtual baru yang

tepat, termasuk sistem operasi yang sesuai dan lisensi aplikasi.

3. Pengelolaan Lingkungan Virtual

a. Evaluasi bagaimana kapasitas perangkat keras dikelola untuk lingkungan virtual

untuk mendukung persyaratan bisnis yang ada dan yang akan datang.

b. Evaluasi bagaimana kinerja dikelola dan dipantau untuk lingkungan virtualisasi

untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

c. Evaluasi kebijakan, proses, dan kontrol untuk frekuensi backup data, penanganan,

dan manajemen offsite.

d. Tinjau dan evaluasi keamanan manajemen hypervisor jarak jauh Anda.

4. Kontrol Keamanan Tambahan.

a. Tinjau dan evaluasi keamanan di sekitar penyimpanan mesin virtual.

b. Verifikasi bahwa enkripsi jaringan data-dalam-gerak diimplementasikan bila

diperlukan.

c. Evaluasi kontrol tingkat rendah dan teknis di tempat untuk memisahkan atau

firewall data yang sangat sensitif pada mesin virtual penting dari sisa lingkungan

virtualisasi.

d. Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.

e. Evaluasi penggunaan kerangka dasar dan keamanan mesin virtual yang di-host

sesuai dengan lingkup audit.

f. Lakukan langkah-langkah dari Bab 4, “Pusat Data Audit dan Pemulihan

Bencana,” dan Bab 10, “Penyimpanan Audit,” karena mereka berkaitan dengan

lingkungan yang Anda audit.

J. AUDITING WLAN AND MOBILE DEVICES

Langkah-langkah Tes untuk Audit LAN Nirkabel

Bagian 1: Audit Teknis WLAN

1. Pastikan bahwa titik akses menjalankan perangkat lunak terbaru yang disetujui.

2. Evaluasi kontrol di sekitar manajemen WLAN terpusat.

3. Verifikasi bahwa klien seluler Anda menjalankan perangkat lunak pelindung.

4. Evaluasi keamanan metode komunikasi yang dipilih.

5. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

6. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

Bagian 2: Audit Operasional WLAN

1. Evaluasi prosedur yang berlaku untuk melacak tiket masalah pengguna akhir.

Pastikan ada kebijakan keamanan yang sesuai untuk WLAN Anda.

2. Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses nirkabel jika

terjadi bencana.

3. Evaluasi apakah proses manajemen perubahan yang efektif ada.

Langkah-langkah Tes untuk Mengaudit Perangkat Seluler

Bagian 1: Audit Teknis Perangkat Seluler

1. Pastikan perangkat lunak manajemen perangkat seluler menjalankan perangkat lunak

dan tambalan yang disetujui terbaru.

2. Pastikan bahwa klien seluler memiliki fitur pelindung yang diaktifkan jika mereka

diwajibkan oleh kebijakan keamanan perangkat seluler Anda.

3. Tentukan efektivitas kontrol keamanan perangkat di sekitar melindungi data ketika

peretas memiliki akses fisik ke perangkat.

4. Evaluasilah penggunaan perangkat lunak dan proses pemantauan keamanan.

5. Pastikan perangkat yang tidak dikelola tidak digunakan di jaringan. Evaluasi kontrol

atas perangkat yang tidak dikelola.

Bagian 2: Audit Operasional Perangkat Seluler

1. Evaluasi prosedur di tempat untuk melacak tiket masalah pengguna akhir.

2. Pastikan bahwa ada kebijakan keamanan yang sesuai untuk perangkat seluler Anda.

3. Evaluasi proses pemulihan bencana di tempat untuk memulihkan akses perangkat

seluler jika terjadi bencana.

4. Evaluasilah apakah ada proses manajemen perubahan yang efektif.

5. Evaluasi kontrol di tempat untuk mengelola siklus hidup layanan dari perangkat milik

pribadi dan milik perusahaan dan akun terkait yang digunakan untuk gateway.

K. AUDITING APPLICATIONS

Praktik terbaik ini dapat membantu Anda menemukan kelemahan umum dan kontrol yang

buruk dengan cepat.

1. Terapkan Defense-in-Depth

Pendekatan berlapis memberikan keamanan lebih dalam jangka panjang daripada satu

massa rumit arsitektur keamanan

2. Gunakan Model Keamanan Positif

Model keamanan positif (daftar putih) hanya mengizinkan apa yang ada dalam daftar,

tidak termasuk yang lainnya secara default. Namun demikian, model keamanan

negatif (daftar hitam) memungkinkan semuanya karena kesalahan, hanya

menghilangkan barang-barang yang Anda tahu buruk

3. Gagal dengan Aman

Ketika suatu aplikasi gagal, itu dapat ditangani dengan tiga cara: memungkinkan,

memblokir, atau kesalahan. Secara umum, kesalahan aplikasi harus gagal dengan cara

yang sama seperti operasi yang tidak diizinkan, seperti yang dilihat dari pengguna

akhir.

4. Jalankan dengan Least Privilege

Prinsip hak istimewa yang paling sedikit mengamanatkan bahwa akun memiliki

jumlah hak seminimum mungkin untuk melakukan kegiatan mereka.

5. Hindari Keamanan oleh Ketidakjelasan

Mengaburkan data, atau menyembunyikannya daripada mengenkripsinya, adalah

mekanisme keamanan yang sangat lemah, terutama untuk aplikasi

6. Jaga Keamanan Sederhana

Mekanisme keamanan sederhana mudah diverifikasi dan mudah diterapkan dengan

benar.

7. Deteksi Intrus dan Simpan Log

Aplikasi harus memiliki logging internal yang dilindungi dan mudah dibaca. Log

membantu Anda memecahkan masalah dan, sama pentingnya, membantu Anda

melacak kapan atau bagaimana suatu aplikasi dikompromikan.

8. Jangan Percaya pada Infrastruktur dan Layanan Eksternal

Banyak organisasi menggunakan kemampuan pemrosesan mitra pihak ketiga yang

kemungkinan besar memiliki kebijakan keamanan dan postur yang berbeda dengan

Anda

9. Tetapkan Default Aman

Aplikasi Anda akan sampai kepada Anda atau disajikan kepada pengguna dengan

pengaturan default paling aman yang memungkinkan bisnis tetap berfungsi

10. Gunakan Standar Terbuka

Sedapat mungkin, keamanan dasar pada standar terbuka untuk meningkatkan

portabilitas dan interop-erability.

Langkah Tes untuk Aplikasi Audit

1. Kontrol Masukan

a. Tinjau dan evaluasi kontrol yang dibangun ke dalam transaksi sistem atas

input data.

b. Tentukan kebutuhan untuk laporan kesalahan / pengecualian yang terkait

dengan integritas data dan evaluasi apakah kebutuhan ini telah diisi.

2. Kontrol Antarmuka

a. Tinjau dan evaluasi kontrol yang ada di atas umpan data ke dan dari sistem

interfacing.

b. Jika data yang sama disimpan dalam beberapa basis data dan / atau sistem,

pastikan bahwa proses sinkronisasi periodik dijalankan untuk mendeteksi

ketidakkonsistenan dalam data.

3. Jalur Audit

a. Tinjau dan evaluasi jejak audit yang ada dalam sistem dan kontrol atas jejak audit

tersebut.

b. Pastikan bahwa sistem menyediakan sarana pelacakan transaksi atau bagian data

dari awal hingga akhir proses yang dimungkinkan oleh sistem.

4. Kontrol Akses

a. Pastikan bahwa aplikasi menyediakan mekanisme yang mengautentikasi

pengguna berdasarkan, minimal, pada pengenal unik untuk setiap pengguna dan

kata sandi rahasia.

b. Tinjau dan evaluasi mekanisme otorisasi aplikasi untuk memastikan bahwa

pengguna tidak diizinkan mengakses transaksi atau data sensitif apa pun tanpa

terlebih dahulu diotorisasi oleh mekanisme keamanan sistem.

c. Pastikan bahwa mekanisme keamanan / otorisasi sistem memiliki fungsi

administrator dengan kontrol dan fungsi yang sesuai.

d. Tentukan apakah mekanisme keamanan memungkinkan proses persetujuan yang

berlaku.

e. Tinjau dan evaluasi proses untuk memberikan akses kepada pengguna. Pastikan

bahwa akses hanya diberikan jika ada kebutuhan bisnis yang sah.

f. Tinjau proses untuk menghapus akses pengguna ketika tidak lagi diperlukan.

Pastikan bahwa ada mekanisme atau proses yang menangguhkan akses pengguna

pada penghentian dari perusahaan atau pada perubahan pekerjaan di dalam

perusahaan.

g. Verifikasi bahwa aplikasi memiliki kontrol kata sandi yang sesuai. Juga, tentukan

apakah kata sandi akun aplikasi default telah diubah.

h. Pastikan bahwa pengguna secara otomatis keluar dari aplikasi setelah periode

tidak aktif tertentu.

i. Evaluasilah penggunaan teknik enkripsi untuk melindungi data aplikasi.

j. Mengevaluasi akses pengembang aplikasi untuk mengubah data produksi.

5. Kontrol Perubahan Perangkat Lunak

a. Pastikan bahwa perangkat lunak aplikasi tidak dapat diubah tanpa melalui proses

checkout / pementasan / pengujian / persetujuan standar setelah dimasukkan ke

dalam produksi.

b. Evaluasilah kontrol terkait checkout kode dan pembuatan versi.

c. Evaluasi kontrol mengenai pengujian kode aplikasi sebelum dimasukkan ke dalam

lingkungan produksi.

d. Mengevaluasi kontrol tentang penjadwalan batch.

6. Backup dan Pemulihan

a. Menentukan apakah Analisis Dampak Bisnis (BIA) telah dilakukan pada aplikasi

untuk menetapkan kebutuhan cadangan dan pemulihan.

b. Pastikan bahwa kontrol pencadangan yang tepat sudah tersedia.

c. Pastikan bahwa kontrol pemulihan yang tepat sudah tersedia.

7. Penyimpanan Data dan Klasifikasi dan Keterlibatan Pengguna

a. Mengevaluasi kontrol terkait retensi data aplikasi.

b. Evaluasilah kontrol terkait klasifikasi data dalam aplikasi.

c. Evaluasi keseluruhan keterlibatan pengguna dan dukungan untuk aplikasi.

L. AUDITING CLOUD COMPUTING AND OUTSOURCED OPERATIONS

Cloud Computing

Pada dasarnya, komputasi awan menyediakan layanan TI melalui Internet sedemikian rupa

sehingga pengguna akhir tidak perlu khawatir tentang di mana data disimpan, di mana

struktur-in berada, dan seterusnya.

IT Service Outsourcing

Layanan TI outsourcing adalah praktik menyewa perusahaan lain untuk melakukan beberapa

atau semua fungsi operasi TI Anda (yaitu, menyewa perusahaan untuk menyediakan orang-

orang dan proses yang diperlukan untuk melakukan fungsi). Operasi yang biasanya di-

operasikan di dalam operasi-operasi bantuan meja tulis dan dukungan PC.

SAS 70 Reports

Ketika mengaudit vendor, Anda perlu memahami SAS (Pernyataan tentang Auditing Stan-

dards) 70 laporan. SAS 70 adalah standar audit yang dikembangkan oleh American Institute

of Certified Public Accountants (AICPA) untuk menangani organisasi layanan. Ini secara

esensial menyediakan standar di mana organisasi layanan (seperti yang menyediakan layanan

TI) dapat menunjukkan efektivitas kontrol internal mereka tanpa harus mengizinkan setiap

pelanggan mereka untuk datang dan melakukan audit mereka sendiri.

Dengan standar ini, organisasi layanan dapat menyewa auditor layanan independen

bersertifikat (seperti Ernst & Young) untuk melakukan audit SAS 70 dan mengeluarkan

laporan.

Langkah-langkah Tes untuk Audit Komputasi Awan dan Operasi Outsourced

1. Preliminary and Overview

a. Tinjau langkah-langkah audit dalam bab-bab lain di bagian buku ini dan tentukan

langkah-langkah risiko dan audit yang berlaku untuk audit yang dilakukan atas

operasi yang dialihdayakan. Lakukan langkah-langkah audit yang berlaku.

b. Mintalah penyedia layanan Anda untuk menghasilkan jaminan independen dari

pihak ketiga yang bereputasi baik mengenai keefektifan pengendalian internal

mereka dan kepatuhan terhadap peraturan yang berlaku. Tinjau dokumentasi

untuk masalah yang telah dicatat. Selain itu, tentukan seberapa erat sertifikasi ini

sesuai dengan tujuan kontrol perusahaan Anda dan identifikasi kesenjangan.

2. Pemilihan dan Kontrak Vendor

a. Tinjau kontrak yang berlaku untuk memastikan bahwa mereka mengidentifikasi

semua pengiriman, persyaratan, dan tanggung jawab yang terkait dengan

keterlibatan perusahaan Anda secara memadai.

b. Tinjau dan evaluasi proses yang digunakan untuk memilih vendor outsourcing.

3. Keamanan Data

a. Tentukan bagaimana data Anda dipisahkan dari data pelanggan lain.

b. Tinjau dan evaluasi penggunaan enkripsi untuk melindungi data perusahaan yang

disimpan dan dikirimkan ke situs vendor.

c. Tentukan bagaimana karyawan vendor mengakses sistem Anda dan bagaimana

data dikontrol dan dibatasi.

d. Tinjau dan evaluasi proses untuk mengendalikan akses logis non-karyawan ke

jaringan internal Anda dan sistem internal.

e. Pastikan bahwa data yang disimpan di lokasi vendor dilindungi sesuai dengan

kebijakan internal Anda.

f. Tinjau dan evaluasi kontrol untuk mencegah, mendeteksi, dan bereaksi terhadap

serangan.

g. Tentukan bagaimana manajemen identitas dilakukan untuk sistem berbasis cloud

dan host.

h. Pastikan bahwa retensi data dan praktik perusakan untuk data yang disimpan di

luar kantor mematuhi kebijakan internal.

i. Tinjau dan evaluasi keamanan fisik vendor.

4. Operasi

a. Tinjau dan evaluasi proses perusahaan Anda untuk memantau kualitas operasi

yang dialihdayakan. Tentukan bagaimana kepatuhan dengan SLA dan persyaratan

kontrak lainnya dimonitor.

b. Pastikan bahwa proses pemulihan bencana yang memadai tersedia untuk

menyediakan kelangsungan bisnis jika terjadi bencana di penyedia layanan Anda.

c. Tentukan apakah proses tata kelola yang tepat sudah ada selama keterlibatan

layanan cloud baru oleh karyawan perusahaan Anda.

d. Tinjau dan evaluasi rencana perusahaan Anda jika ada penghentian hubungan

outsourcing yang diharapkan atau tidak diharapkan.

e. Jika layanan TI telah dialihdayakan, tinjau proses penyedia layanan untuk

memastikan kualitas staf dan meminimalkan dampak dari perputaran. Jika layanan

tersebut dilakukan di luar negeri, carilah kontrol tambahan untuk memastikan

kehadiran karyawan dan komunikasi yang efektif dan penyerahan dengan kantor

pusat.

5. Kepedulian Hukum dan Kepatuhan terhadap Peraturan.

a. Tinjau dan evaluasi hak dan kemampuan perusahaan Anda untuk memperoleh

informasi dari vendor yang mungkin diperlukan untuk mendukung penyelidikan.

b. Tinjau persyaratan untuk pemberitahuan pelanggaran keamanan. Pastikan bahwa

persyaratan secara jelas ditentukan mengenai kapan dan bagaimana vendor harus

memberi tahu perusahaan Anda jika terjadi pelanggaran keamanan dan bahwa

perusahaan Anda telah menetapkan prosedur respons dengan jelas ketika mereka

menerima pemberitahuan tersebut.

c. Tentukan bagaimana kepatuhan dengan undang-undang privasi yang berlaku dan

peraturan lainnya dipastikan.

d. Tinjau dan evaluasi proses untuk memastikan bahwa perusahaan mematuhi lisensi

perangkat lunak yang berlaku untuk perangkat lunak yang dihosting di luar kantor

atau digunakan oleh non-karyawan.

M. AUDITING COMPANY PROJECTS

Langkah Tes untuk Mengaudit Proyek Perusahaan

1. Manajemen Proyek Secara Keseluruhan.

a. Pastikan dokumentasi proyek yang cukup dan dokumentasi proses pengembangan

perangkat lunak (jika ada) telah dibuat. Pastikan bahwa standar metodologi

proyek perusahaan sedang diikuti.

b. Tinjau prosedur untuk memastikan bahwa dokumentasi proyek selalu diperbarui.

c. Evaluasilah keamanan dan proses manajemen perubahan untuk dokumentasi

proyek yang kritis.

d. Evaluasi prosedur untuk mencadangkan perangkat lunak dan dokumentasi proyek

kritis. Pastikan bahwa cadangan disimpan di luar lokasi dan prosedur

terdokumentasi ada untuk pemulihan.

e. Pastikan bahwa ada proses yang efektif untuk menangkap masalah proyek,

mengeskalasi masalah-masalah tersebut sebagaimana mestinya, dan melacaknya

ke resolusi.

f. Pastikan bahwa ada proses yang efektif untuk menangkap permintaan perubahan

proyek, memprioritaskannya, dan membedahnya.

g. Verifikasi bahwa jadwal proyek telah dibuat dan mengandung cukup detail

berdasarkan ukuran proyek. Pastikan bahwa ada proses untuk memantau

kemajuan dan melaporkan penundaan yang signifikan.

h. Pastikan bahwa ada metode untuk melacak biaya proyek dan pelaporan yang

berlebihan. Pastikan bahwa semua biaya proyek, termasuk tenaga kerja,

dipertimbangkan dan dilacak.

i. Mengevaluasi struktur kepemimpinan proyek untuk memastikan bahwa baik

bisnis dan TI diwakili secara memadai.

2. Proyek Start-up: Persyaratan Gathering dan Desain Awal

a. Pastikan bahwa proses persetujuan proyek yang sesuai diikuti sebelum inisiasi

proyek.

b. Pastikan bahwa analisis kelayakan teknis telah dilakukan bersama, jika berlaku,

analisis kelayakan oleh departemen hukum perusahaan.

c. Tinjau dan evaluasi dokumen persyaratan. Tentukan apakah dan bagaimana

persyaratan pelanggan untuk proyek diperoleh dan didokumentasikan sebelum

pengembangan terjadi. Pastikan bahwa pelanggan menandatangani persyaratan

dan bahwa persyaratan tersebut mencakup elemen TI standar.

d. Evaluasi proses untuk memastikan bahwa semua kelompok yang terkena dampak

yang akan membantu mendukung sistem, perangkat lunak, atau proses terlibat

dalam proyek dan akan menjadi bagian dari proses sign-off, yang menunjukkan

kesiapan mereka untuk mendukungnya.

e. Tinjau proses untuk menetapkan prioritas persyaratan.

f. Tentukan apakah persyaratan sistem dan rancangan awal memastikan bahwa

kontrol internal dan elemen keamanan yang sesuai akan dirancang ke dalam

sistem, proses, atau perangkat lunak.

g. Jika proyek melibatkan pembelian perangkat lunak, teknologi, atau layanan

eksternal lainnya, tinjau dan evaluasi proses pemilihan vendor dan kontrak terkait.

3. Desain Rinci dan Pengembangan Sistem

a. Pastikan bahwa semua persyaratan dapat dipetakan ke elemen desain.

b. jika para pemangku kepentingan kunci telah menandatangani dokumen desain

terperinci atau katalog "use case".

c. Tinjau proses untuk memastikan keterlibatan pelanggan yang berkelanjutan

dengan memprioritaskan tugas pada proyek.

d. Carilah bukti ulasan rekan dalam desain dan pengembangan.

e. Verifikasi bahwa kontrol dan keamanan internal yang sesuai telah dirancang ke

dalam sistem.

4. Pengujian

a. Verifikasi bahwa desain dan pengujian terjadi dalam lingkungan pengembangan /

pengujian dan bukan di lingkungan produksi.

b. Tinjau dan evaluasi proses pengujian. Pastikan bahwa proyek memiliki rencana

uji yang memadai dan mengikuti rencana uji ini.

c. Pastikan bahwa semua persyaratan dapat dipetakan ke test case.

d. Pastikan bahwa pengguna terlibat dalam pengujian dan setuju bahwa sistem

memenuhi persyaratan. Ini harus mencakup personil TI yang akan mendukung

sistem dan personel TI yang terlibat dalam melakukan studi kelayakan teknis awal

untuk proyek tersebut.

e. Pertimbangkan berpartisipasi dalam pengujian penerimaan pengguna dan validasi

bahwa keamanan sistem dan kontrol internal berfungsi sebagaimana dimaksud.

5. Implementasi

a. Pastikan bahwa ada proses yang efektif untuk merekam, melacak, mengeskalasi,

dan menyelesaikan masalah yang muncul setelah implementasi.

b. Tinjau dan evaluasi rencana konversi proyek. Pastikan bahwa proyek memiliki

rencana konversi yang memadai dan ikuti rencana ini.

c. Tinjau rencana untuk mengubah dukungan sistem atau perangkat lunak baru dari

tim proyek ke tim dukungan operasional.

d. Pastikan bahwa dokumentasi yang memadai telah dibuat untuk penggunaan sistem

atau proses yang sedang dikembangkan dan pemeliharaan sistem atau perangkat

lunak. Evaluasi proses untuk menjaga dokumentasi tetap mutakhir. Evaluasilah

perubahan kontrol dan keamanan atas dokumentasi itu.

6. Pelatihan

a. Tinjau rencana untuk memastikan bahwa semua pengguna yang terkena dampak

dilatih dalam penggunaan sistem, perangkat lunak, atau proses baru.

b. Pastikan bahwa ada proses untuk menjaga materi pelatihan selalu terbaru.

Evaluasi kontrol perubahan dan keamanan atas materi pelatihan.

7. Penggelapan Proyek

Pastikan bahwa ada proses untuk menutup proyek dan mencatat pelajaran yang

didapat dan bahwa prosesnya diikuti.

REGULAI AUDIT

A. PENGANTAR LEGISLASI TERKAIT DENGAN KONTROL INTERNAL

Motivasi untuk pembuatan dan adopsi legislasi jauh lebih kompleks daripada yang

terlihat. Kepentingan nasional, kepedulian industri, dan perebutan korporasi menciptakan

pengemudi politik yang kuat. Politik dapat memiliki konotasi negatif, tetapi dalam konteks

ini, "politik" hanya mengacu pada pemahaman bahwa peraturan umumnya menguntungkan

atau melindungi sekelompok orang yang representatif. Negara, industri, dan perusahaan

memiliki kekhawatiran tentang kerahasiaan, integritas, dan ketersediaan informasi mereka.

Standar dan legislasi adalah dua metode yang memastikan kekhawatiran ini terpenuhi.

B. THE SARBANES-OXLEY ACT OF 2002

The Sarbanes-Oxley Act dan Public Company Accounting Oversight Board (PCAOB)

diciptakan untuk memulihkan kepercayaan investor di pasar umum AS. Tujuan utamanya

adalah untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan

keuangan, dan mencegah penipuan korporasi dan akuntansi. Dengan demikian, kontrol yang

diperlukan untuk kepatuhan terhadap SOX berfokus pada kontrol utama yang penting untuk

memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.

C. GRAMM-LEACH-BLILEY ACT

Judul resmi dari undang-undang ini adalah Modernisasi Undang-undang Jasa

Keuangan. Tindakan, lebih dikenal sebagai Gramm-Leach-Bliley Act (GLBA), diarahkan

terutama untuk memungkinkan perluasan fungsi dan hubungan antar lembaga keuangan.

Undang-undang ini mencakup bagaimana dan dalam keadaan apa perusahaan induk bank

dapat melakukan afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.

D. PERATURAN PRIVASI

1. California SB 1386

California SB 1386 adalah salah satu hukum negara bagian pertama dan tentu

saja yang paling terlihat yang berurusan dengan pelanggaran keamanan yang

menyebabkan informasi pribadi untuk diungkapkan.

2. Hukum Privasi Internasional

Meskipun undang-undang privasi A.S., termasuk SB 1386, menjadi lebih

umum, beberapa undang-undang privasi internasional lebih ketat.

3. Peraturan Eropa tentang Perlindungan Data Pribadi

Pada bulan Oktober 1995, Uni Eropa mengeluarkan Petunjuk Eropa tentang

Perlindungan Data Pribadi. Arahan mengatur informasi pribadi dalam semua negara

anggota Uni Eropa dan menempatkan persyaratan perlindungan minimum di atasnya.

4. PIPEDA Kanada

Kanada memberlakukan undang-undang privasi nasional ini pada tahun 2004.

Ini menetapkan ketentuan berikut untuk mengatur pengumpulan, penggunaan, dan

pengungkapan informasi pribadi:

a. Pihak yang terlibat dalam pengumpulan informasi harus menunjukkan

akuntabilitas.

b. Pengumpul informasi harus mengidentifikasi tujuan untuk pengumpulan

informasi pribadi.

c. Pengumpul informasi harus mendapatkan persetujuan dari konsumen.

d. Pengumpulan informasi pribadi harus dibatasi.

e. Penggunaan informasi pribadi harus dibatasi.

f. Pengungkapan dan penyimpanan informasi pribadi harus dibatasi.

g. Pengumpul informasi harus memastikan keakuratan informasi pribadi.

h. Pengumpul informasi harus menyediakan keamanan yang memadai untuk

melindungi informasi pribadi.

i. Pengumpul informasi harus membuat kebijakan manajemen informasi

tersedia.

j. Pengumpul informasi harus memberi individu akses ke informasi tentang diri

mereka sendiri.

k. Individu diberikan hak untuk menantang kepatuhan organisasi terhadap

prinsip-prinsip ini.

5. Tren Hukum Privasi

Salah satu konsekuensi dari California SB 1386 adalah adopsi versi identik

atau hampir identik dari tagihan oleh negara-negara lain di Amerika

Serikat.Mengikuti berbagai macam hukum yang serupa merupakan tugas yang

penting.

E. PORTABILITAS ASURANSI KESEHATAN DAN AKUNTABILITAS ACT OF

1996

Pada tahun 1996, Kongres AS mengeluarkan Undang-Undang Portabilitas dan

Akuntabilitas Asuransi Kesehatan (HIPAA). Tindakan itu mencakup dua bagian. Judul I

memberikan perlindungan asuransi kesehatan setelah karyawan kehilangan atau mengganti

pekerjaan. Judul II berkaitan dengan tindakan administratif yang cenderung

menyederhanakan dan menstandardisasi informasi kesehatan.

F. KOMISI UNI EROPA DAN BASEL II

Karena skandal perusahaan Eropa yang sebanding dengan yang ada di Amerika

Serikat, Komisi Uni Eropa memberlakukan persyaratan serupa untuk peningkatan dalam

mengaudit standar, pengawasan, dan tanggung jawab dengan membuat arahan terkait dengan

keuangan, transparansi, audit, standar akuntansi, dan informasi perusahaan jasa. Perbedaan

utama adalah bahwa UU SOX AS membawa denda dan sanksi pidana, sedangkan Komisi UE

tidak merekomendasikan tingkat penegakan hukum.

Meskipun undang-undang SOX berasal dari Amerika Serikat, undang-undang itu

memiliki konsekuensi bagi perusahaan yang bermarkas di negara lain. Standar profesional

Eropa yang berkembang seperti standar yang ditetapkan oleh Dewan Standar Akuntansi

Internasional dan Basel II Capital Accord juga akan terus mempengaruhi banyak perusahaan

multinasional.

G. STANDAR KEAMANAN DATA INDUSTRI KARTU PEMBAYARAN (PCI)

Visa USA menciptakan Program Keamanan Informasi Pemegang Kartu (CISP) pada

pertengahan tahun 2001. Standar itu menjadi persyaratan bagi bank anggota Visa. Program

CISP dimaksudkan untuk memastikan tingkat keamanan informasi yang tinggi untuk data

pemegang kartu Visa. Standar keamanan berlaku untuk semua bank anggota Visa, pedagang

yang menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang

kartu Visa. Pada tahun 2004, standar keamanan data telah disponsori oleh Visa dan

MasterCard menjadi standar industri yang sekarang dikenal sebagai Standar Keamanan

Data Industri Kartu Pembayaran. Penerbit kartu lainnya mulai mengadopsi standar

dan pada 7 September 2006, American Express, Discover Financial Services, JCB,

MasterCard Worldwide, dan Visa International menciptakan Dewan Standar Keamanan

Industri Kartu Pembayaran. Situs web mereka terletak online di

www.pcisecuritystandards.org. Versi internasional dari program VISA CISP yang disebut

Keamanan Informasi Akun Visa (AIS) berlaku untuk entitas yang tidak berbasis di AS.

H. TREN PERATURAN LAINNYA

Ketika komputer menjamur di masa kejayaan tahun 1980-an dan 1990-an, kontrol

internal atas TI gagal mengikuti arsitektur infrastruktur yang berubah dengan cepat. Namun,

tindakan keras terhadap kontrol internal yang dimulai atas pelaporan keuangan telah

diperluas untuk menyertakan TI, dan memang seharusnya demikian.

Sekarang, selain SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya,

persyaratan lebih lanjut akan datang. Dengan pencurian identitas yang mendekati proporsi

krisis, perlindungan data dan privasi adalah topik yang sangat mendesak bagi legislator.

FRAMEWORK AND STANDARDS

A. PENGANTAR PENGENDALIAN TI INTERNAL, KERANGKA KERJA, DAN

STANDAR

Pada tahun 1970-an, kekhawatiran atas meningkatnya kebangkrutan perusahaan dan

keruntuhan keuangan menjadi semakin meningkatkan permintaan akan akuntabilitas dan

transparansi yang lebih besar di antara perusahaan-perusahaan yang dimiliki publik.

Ketika industri tabungan dan pinjaman runtuh pada pertengahan 1980-an, ada teriakan

untuk pengawasan pemerintah terhadap standar akuntansi dan profesi audit.

Dalam upaya untuk mencegah intervensi pemerintah, inisiatif sektor swasta

independen, yang kemudian disebut Komite Organisasi Pensponsoran (COSO), dimulai pada

1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan

keuangan. COSO memformalkan konsep pengendalian internal dan kerangka kerja pada

tahun 1992 ketika menerbitkan publikasi tengara Internal Control – Integrated Framework.

B. COMMITTEE OF SPONSORING ORGANIZATIONS (COSO)

Pada pertengahan 1980-an, Komisi Nasional Penipuan Pelaporan Keuangan dibentuk

sebagai tanggapan terhadap krisis keuangan AS yang meningkat dan jeritan untuk melihat

praktik akuntansi dan audit pemerintah.

COSO menerbitkan pedoman formal pertama untuk kontrol internal, Kerangka Kerja

Internal-Integrated, pada tahun 1992.

Publikasi ini menetapkan definisi umum untuk pengendalian internal dan kerangka

kerja yang dapat digunakan organisasi untuk menilai dan meningkatkan sistem kontrol

mereka. Pada tahun 1994, pekerjaan COSO disahkan oleh kepala Kantor Akuntan Umum

(GAO) dari Kongres AS.

Pada tahun 2001, COSO memulai inisiatif besar kedua yang bertujuan memperluas

kerja sebelumnya pada kontrol internal untuk mengatasi penekanan yang semakin besar pada

manajemen risiko. Pada waktu yang hampir bersamaan, Amerika Serikat dibebani dengan

kegagalan sensasional Enron, Tyco, Global Crossing, Kmart, Adelphia, WorldCom,

HealthSouth, dan banyak lainnya.

Pemerintah AS dengan cepat memberlakukan Undang-Undang Sarbanes-Oxley tahun

2002 untuk mengamanatkan persyaratan untuk kontrol internal yang diaudit bersama dengan

laporan keuangan.

Di tengah-tengah semua aktivitas profil tinggi ini, COSO menerbitkan Enterprise Risk

Management – Integrated Framework pada tahun 2004.

C. COBIT

COBIT, Tujuan Kontrol untuk Informasi dan Teknologi Terkait, pertama kali

diterbitkan pada bulan April 1996. Ini adalah kerangka kerja yang diakui secara internasional

untuk tata kelola dan kontrol TI. Versi terbaru, COBIT 4.1, dirilis pada tahun 2007.

COBIT dikembangkan oleh IT Governance Institute (ITGI) menggunakan panel ahli

di seluruh dunia dari industri, akademisi, pemerintah, dan keamanan dan kontrol profesi TI.

Penelitian mendalam dilakukan di berbagai sumber global untuk mengumpulkan ide-ide

terbaik dari semua standar teknis dan profesional yang baik.

D. IT Infrastructure Library (ITIL)

IT Infrastructure Library (ITIL) dikembangkan oleh pemerintah Inggris pada

pertengahan 1980-an dan telah menjadi standar de facto untuk praktik terbaik dalam

penyediaan manajemen dan penyediaan layanan di bidang infrastruktur. ITIL adalah merek

dagang terdaftar dari Kantor Perdagangan Pemerintah AS (OGC), yang memiliki dan

mengembangkan kerangka kerja terbaik ITIL.

ITIL berevolusi sebagai akibat dari ketergantungan bisnis yang meningkat pada TI

dan telah menikmati pengakuan dan adopsi global yang berkembang dari berbagai ukuran

organisasi.

Tidak seperti banyak standar dan kerangka kerja, adopsi ITIL yang luas telah

menyebabkan berbagai vendor produk komersial dan tidak-untuk-profit untuk

mengembangkan produk yang secara langsung mendukung ITIL.

Selain itu, pertumbuhan ITIL telah dilengkapi dengan proliferasi konsultansi

profesional dan sertifikasi manajer ITIL yang menyediakan akses siap ke manfaat yang

diperlukan untuk merencanakan, mengkonfigurasi, dan menerapkan standar.

E. ISO 27001

Sejak didirikan pada tahun 1947, Organisasi Internasional untuk Standardisasi (ISO)

telah menciptakan sejumlah standar untuk manajemen keamanan jaringan, pengembangan

perangkat lunak, dan kontrol kualitas, di samping sejumlah standar lain untuk berbagai bisnis

dan fungsi pemerintah .

ISO 27001, ISO 17799, dan BS 7799 pada dasarnya adalah rangkaian standar yang

sama yang berkaitan dengan beberapa aspek praktik keamanan informasi, manajemen

keamanan informasi, dan manajemen risiko keamanan informasi.

F. METODOLOGI PENILAIAN NSA INFOSEC

Badan Metodologi Keamanan Nasional INFOSEC Assessment Methodology (NSA

IAM) dikembangkan oleh Badan Keamanan Nasional AS dan dimasukkan ke dalam Program

Pelatihan dan Rating INFOSEC (IATRP) pada awal 2002. Meskipun program IATRP dan

dukungan untuk NSA IAM dihentikan oleh NSA pada tahun 2009, masih banyak digunakan

dan saat ini dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang

memberikan pelatihan NSA IAM dan IEM untuk NSA.

G. KERANGKA DAN KECENDERUNGAN STANDAR

Satu sudut pandang menunjukkan satu kerangka kerja yang diadopsi akan

menyederhanakan pengembangan produk teknologi, struktur organisasi, dan tujuan

pengendalian. Sudut pandang lain menunjukkan bahwa kompleksitas kepentingan regional,

politik, bisnis, budaya, dan kepentingan lain yang berbeda memastikan kerangka kendali

yang diterima secara universal tidak akan pernah dibuat. Kebenaran mungkin terletak di suatu

tempat di tengah. Meskipun satu set standar internasional belum dekat, alat-alat yang

diuraikan dalam bab ini masih kurang berfungsi untuk menciptakan infrastruktur teknologi

yang andal, aman, dan berkelanjutan yang pada akhirnya menguntungkan para peserta.

RISK MANAGEMENT

A. MANFAAT MANAJEMEN RISIKO

Tidak diragukan lagi potensi manajemen risiko TI masih dirahasiakan. Selama

beberapa tahun terakhir, banyak organisasi telah meningkatkan efektivitas kontrol TI mereka

atau mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik manajemen

risiko yang baik. Ketika manajemen memiliki pandangan yang mewakili eksposur TI

organisasi, ia dapat mengarahkan sumber daya yang tepat untuk mengurangi area dengan

risiko tertinggi daripada menghabiskan sumber daya yang langka di daerah-daerah yang

memberikan sedikit atau tanpa pengembalian investasi (ROI). Hasil bersihnya adalah tingkat

pengurangan risiko yang lebih tinggi untuk setiap dolar yang dibelanjakan.

B. UNSUR RISIKO

1. Assets

Biasanya direpresentasikan sebagai nilai moneter, aset dapat didefinisikan sebagai

sesuatu yang berharga bagi organisasi yang dapat rusak, dikompromikan, atau

dihancurkan oleh tindakan yang disengaja atau disengaja. Pada kenyataannya, nilai

aset jarang merupakan biaya penggantian sederhana; Oleh karena itu, untuk

mendapatkan ukuran risiko yang akurat, aset harus dinilai dengan memperhitungkan

biaya garis bawah kompromi.

2. Ancaman

Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika disadari, akan

menyebabkan dampak yang tidak diinginkan. Dampak yang tidak diinginkan bisa

datang dalam berbagai bentuk, tetapi sering mengakibatkan kerugian finansial.

Ancaman digeneralisasikan sebagai persentase, tetapi dua faktor bermain dalam

tingkat keparahan ancaman: tingkat kehilangan dan kemungkinan terjadinya. Faktor

eksposur digunakan untuk mewakili tingkat kehilangan. Ini hanyalah perkiraan

persentase kerugian aset jika ancaman direalisasikan.

3. Kerentanan

Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol

kumulatif yang melindungi aset tertentu. Kerentanan diperkirakan sebagai persentase

berdasarkan tingkat kelemahan kontrol. Kita dapat menghitung defisiensi kontrol

(CD) dengan mengurangi efektifitas kontrol sebesar 1 atau 100 persen.

C. ANALISIS RISIKO KUANTITATIF

Dengan sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik,

atau teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal yang sama.

Risiko dapat ditentukan dengan perhitungan berikut:

Risiko = nilai aset × ancaman × kerentanan

D. ANALISIS RISIKO KUALITATIF

Berbeda dengan pendekatan kuantitatif untuk analisis risiko, teknik analisis risiko

kualitatif dapat memberikan pandangan tingkat tinggi ke dalam risiko perusahaan. Ketika

metode kuantitatif berfokus pada formula, analisis risiko kualitatif akan berfokus pada nilai-

nilai seperti tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk

mengevaluasi risiko.

Seperti disebutkan sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif

saling melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi

manajemen risiko mereka pada metode kualitatif, menggunakan rumus kuantitatif untuk

membangun kasus bisnis untuk investasi mitigasi risiko.

E. SIKLUS HIDUP MANAJEMEN RISIKO TI

Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan dengan benar,

mengambil karakteristik siklus hidup (Gambar 18-1). Ini dapat dibagi menjadi beberapa

tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan manajemen risiko

residual. Fase spesifiknya adalah sebagai berikut:

Fase 1: Identifikasi Aset Informasi

Tujuan fase ini adalah untuk mengidentifikasi semua aset informasi dan menetapkan

setiap aset informasi sebagai nilai kritikalitas tinggi, sedang, atau rendah untuk

persyaratan kerahasiaan, integritas, dan ketersediaannya.

Fase 2: Hitung dan Kualifikasi Ancaman

Ancaman informasi berdampak pada organisasi melalui loyalitas merek yang

berkurang, kehilangan sumber daya, biaya pemulihan, dan tindakan hukum dan

peraturan. Ketika ancaman terealisasi, biaya ini sering tidak diketahui karena mereka

tidak diidentifikasi dengan benar.

Fase 3: Menilai Kerentanan

Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa ancaman, common

denominator adalah aset informasi, karena setiap ancaman terkait dengan aset

informasi.

Fase 4: Remediasi Celah Kontrol

Pada titik ini, risiko kami harus dikategorikan sebagai tinggi, sedang, atau rendah.

Awalnya, kami akan fokus untuk mengurangi risiko yang paling parah, karena

kemungkinan besar kami akan melihat laba tertinggi atas investasi kami.

Fase 5: Mengelola Risiko Residual

Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman risiko. Sebagai

pengulangan, kita perlu mengukur risiko secara terus-menerus dan berinvestasi dalam

kontrol baru untuk menanggapi ancaman yang muncul