Konsep Audit IT
|
·
Hanya
melaporkan masalah yang tidak menghasilkan apapun, kecuali membuat orang
terlihat buruk, membuat mereka dipecat, dan menimbulkan kebencian terhadap
auditor.
·
Nilai
yang sebenarnya dari audit muncul ketika masalah ditemukan dan diselesaikan.
Dengan kata lain, melaporkan sebuah masalah adalah alat untuk menyelesaikannya.
·
Hasil
akhir akan meningkatkan bagian pengendalian internal pada perusahaan.
·
Melaporkan
masalah-masalah ini menyediakan sebuah mekanisme yang dimana masalah-masalah tersebut dapat terungkap dan oleh karena itu dapat menerima
sumber daya dan perhatian untuk memperbaikinya.
Singkatnya, ada dua misi dari bagian
audit internal, yaitu :
·
Menyediakan
jaminan yang independen kepada komite audit (dan manajemen senior) bahwa
pengendalian internal dilakukan di perusahaan dan berfungsi secara efektif.
·
Meningkatkan
bagian pengendalian internal pada perusahaan dengan mempromosikan pengendalian
internal dan dengan membantu perusahaan untuk mengenali kelemahan pengendalian
dan mengembangkan solusi hemat biaya untuk mengatasi kelemahan tersebut.
Jika dinyatakan dalam
istilah sederhana, pengendalian internal merupakan mekanisme yang menjamin
berfungsinya suatu proses dalam perusahaan. Setiap sistem dan proses ada untuk
beberapa tujuan bisnis tertentu. Auditor harus melihat risiko yang dapat
mempengaruhi pencapaian tujuan tersebut dan memastikan bahwa pengendalian
internal diterapkan untuk mengurangi risiko tersebut.
Struktur Pelaporan Tim Audit
Area Potensial Audit
·
Fasilitias
Pusat Data. Bangunan fisik dan pusat data yang menyimpan perlatan komputer yang
menjadi tempat sistem yang bersangkutan berada.
·
Jaringan.
Memungkinkan sistem dan pengguna lain untuk berkomunikasi dengan sistem yang
bersangkutan saat mereka tidak memiliki akses fisik terhadapnya. Lapisan ini
mencakup perangkat jaringan dasar seperti firewall, switch, dan router.
·
Platform
sistem. Menyediakan lingkungan operasi dasar dimana aplikasi dengan tingkat
lebih tinggi berjalan. Contohnya adalah sistem operasi seperti Unix, Linux, dan
Windows.
·
Database.
Mengorganisir dan menyediakan akses kepada data yang dijalankan oleh aplikasi
tingkat akhir.
·
Aplikasi.
Merupakan aplikasi tingkat akhir, yang sebenarnya dilihat dan diakses oleh
pengguna tingkat akhir. Ini dapat berupa perencanaan sumber daya perusahaan
yang menyediakan fungsi bisnis dasar, sebuah aplikasi email, atau sebuah sistem
yang memungkinan penjadwalan ruang konferensi.
Tiga peran auditor It :
·
Auditor
Aplikasi
Lapisan
aplikasi.
·
Ekstraksi
Data dan Spesialis Analis.
Mengambil data dan
menganalisanya, ahli dalam ekstraksi data dan peralatan analisis.
·
Auditor
IT
Lapisan
database dan dibawahnya.
Rangkuman Konsep IT Audit
·
Tujuan
sebenarnya dari bagian audit internal adalah untuk meningkatkan bagian
pengendalian internal pada perusahaan.
·
Auditor
internal tidak sepenuhnya independen, tetapi tetap harus objektif.
·
Penting
untuk mencari jalan untuk mencapai tujuan departemen diluar audit formal.
Keterlibatan awal, audit informal, pembagian pengetahuan, dan evaluasi adalah
empat alat penting dalam kasus ini.
·
Membangun
dan memelihara hubungan yang baik dengan organisasi IT adalah elemen penting
dari kesuksesan tim audit IT.
·
Tim
audit IT yang paling efektif adalah memastikan setiap lapisan tumpukan
tertutup, bukan hanya lapisan aplikasi.
·
Tim
audit IT yang sukses umumnya terdiri dari kombinasi auditor yang berkarier dan
profesional IT.
·
Sangat
penting untuk mengembangkan metode untuk mempertahankan keahlian teknis dari
tim audit IT.
·
Sebuah
hubungan yang sehat seharusnya dibangun dengan auditor IT eksternal.
Proses Audit IT
Proses Audit
Teknik Audit (Auditing Entity Level
Controls)
Menguji Langkah untuk Auditing Entity Level Control
1.
Meninjau struktur organisasi TI secara keseluruhan untuk memastikan bahwa tugas
tersebut memberikan tugas dan wewenang yang jelas atas operasi TI dan
memastikan pemisahan tugas secara memadai.
Struktur organisasi TI yang kurang jelas dapat
menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi dukungan TI
dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi
kritis dapat terbengkalai atau dilakukan secara berlebihan. Juga, jika garis
wewenang tidak jelas, dapat menyebabkan ketidaksepakatan mengenai siapa yang
memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika
tugas TI tidak dipisahkan secara tepat, hal itu dapat menyebabkan kegiatan
penipuan dan mempengaruhi integritas informasi dan proses perusahaan
Cara
Model
"satu ukuran cocok untuk semua" untuk organisasi TI tidak ada, dan
Anda tidak dapat secara mekanis menggunakan daftar periksa untuk menentukan
apakah organisasi TI perusahaan Anda memadai. Sebagai gantinya, Anda harus
melihat keseluruhan organisasi dan menerapkan penilaian dalam menentukan apakah
elemen tersebut cukup memenuhi unsur yang paling penting. Dengan pemikiran ini,
diskusi berikut mencakup beberapa bidang utama yang perlu dipertimbangkan
selama tinjauan ini. Tinjau bagan organisasi TI dan pastikan mereka menunjukkan
secara jelas struktur pelaporan. Bagan organisasi harus memberikan indikasi
mengenai di mana di perusahaan yang dihadiri berbagai organisasi TI. Misalnya,
di sebagian besar perusahaan, semua organisasi TI akhirnya melapor kepada
petugas informasi utama (CIO) sehingga satu otoritas tertinggi dapat menetapkan
peraturan untuk keseluruhan lingkungan TI. Pastikan bahwa perusahaan Anda
memiliki struktur pelaporan organisasi TI yang akhirnya melaporkan ke satu
sumber yang "cukup dekat" untuk operasional TI sehari-hari agar
pengaturan tata kelola dan arahan yang efektif.
2. Meninjau proses perencanaan strategis TI
dan pastikan itu sejalan dengan strategi bisnis. Evaluasi proses organisasi TI
untuk memantau kemajuan terhadap rencana strategis.
Untuk
memberikan keefektifan jangka panjang, organisasi TI harus memiliki semacam
strategi mengenai tujuannya, berlawanan dengan mode reaktif secara konstan, di
mana masalah dan krisis sehari-hari adalah satu-satunya pertimbangan.
Organisasi TI harus menyadari kebutuhan bisnis dan perubahan lingkungan yang
akan datang sehingga dapat merencanakan dan meresponsnya.
Cara
Carilah
bukti proses perencanaan strategis di dalam TI, dan pahami bagaimana
perencanaan itu dilakukan. Tentukan bagaimana strategi dan prioritas perusahaan
digunakan dalam mengembangkan strategi dan prioritas TI. Tinjau prioritas TI
jangka pendek dan terdokumentasi. Evaluasi proses yang ada untuk pemantauan
berkala terhadap kemajuan terhadap prioritas tersebut dan untuk mengevaluasi
kembali dan memperbarui prioritas tersebut.
3. Tentukan apakah strategi teknologi dan
aplikasi dan peta jalan ada, dan evaluasi proses perencanaan teknis jarak jauh.
TI adalah
lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk
memahami dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan
berisiko mengalami teknologi usang dan / atau tidak sepenuhnya memanfaatkan
keuntungan perusahaan.
Cara
Carilah
bukti bahwa perencanaan teknis jangka panjang sedang dilakukan. Untuk aplikasi
dan teknologi yang dibeli, tentukan apakah TI memahami peta jalan dukungan
vendor untuk produk tersebut. Organisasi TI harus memahami kapan versi produk
mereka tidak akan didukung dan dibuat rencana untuk meningkatkan atau mengganti
produk. Tentukan apakah proses telah dilakukan untuk memantau perubahan
teknologi yang relevan, pertimbangkan bagaimana perubahan tersebut akan berdampak
pada perusahaan, dan carilah peluang untuk menggunakan teknologi baru untuk
membantu perusahaan.
4. Tinjau kembali indikator kinerja dan
pengukuran untuk TI. Pastikan proses dan metrik tersedia (dan disetujui oleh
pemangku kepentingan utama) untuk mengukur kinerja kegiatan sehari-hari dan
untuk melacak kinerja terhadap kesepakatan tingkat layanan, anggaran, dan
persyaratan operasional lainnya.
Organisasi
TI ada untuk mendukung bisnis dan operasi sehari-hari. Jika standar kinerja
minimum tidak ditetapkan dan diukur, sulit bagi bisnis untuk menentukan apakah
layanan organisasi TI dilakukan pada tingkat yang dapat diterima.
Cara
Dapatkan
salinan metrik yang ditangkap untuk aktivitas rutin organisasi TI (seperti
waktu aktif dan waktu respons sistem). Tentukan tujuan metrik tersebut, dan
pastikan pemangku kepentingan yang tepat telah menyetujui tujuan tersebut. Jika
kinerja aktual jauh lebih rendah daripada tujuan, tentukan apakah analisis akar
penyebab telah dilakukan untuk memahami masalahnya dan apakah rencana disiapkan
untuk menyelesaikan masalah. Tinjau kembali SLA yang telah ditetapkan untuk
mendukung pemangku kepentingan utama TI.
5. Tinjau proses organisasi TI untuk
menyetujui dan memprioritaskan proyek baru. Tentukan apakah proses ini memadai
untuk memastikan bahwa proyek akuisisi dan pengembangan sistem tidak dapat
dimulai tanpa persetujuan. Memastikan bahwa manajemen dan pemangku kepentingan
utama meninjau status proyek, jadwal, dan anggaran secara berkala selama masa
proyek yang signifikan.
Tanpa proses
terstruktur untuk menyetujui dan memprioritaskan proyek TI baru, sumber daya TI
mungkin tidak akan digunakan secara efisien. Sebagai gantinya, mereka akan
ditugaskan secara ad hoc untuk proyek potensial apa pun yang akan terjadi
selanjutnya. Selain itu, proyek-proyek TI dapat dimulai yang tidak memenuhi
kebutuhan bisnis dan / atau yang tidak sepenting proyek potensial lainnya
dimana sumber daya tersebut dapat digunakan.
Cara
Tinjau
dokumentasi yang ada mengenai usulan proyek dan proses persetujuan. Evaluasi
proses untuk lubang potensial yang memungkinkan proyek dimulai tanpa
persetujuan. Carilah bukti bahwa proyek yang diusulkan telah diprioritaskan
sebelum persetujuan dan bahwa beberapa disiplin dan kesamaan ada dalam proses
persetujuan ini. Pertimbangkan untuk memilih contoh proyek TI yang aktif dan
mendapatkan bukti bahwa proyek tersebut melalui proses proposal, prioritas, dan
persetujuan yang sesuai. Tinjau bukti bahwa manajemen dan pemangku kepentingan
utama secara berkala meninjau kembali status, jadwal, dan anggaran untuk proyek
TI yang aktif.
6. Meninjau dan
mengevaluasi proses untuk mengelola layanan pihak ketiga, memastikan bahwa
peran dan tanggung jawab mereka didefinisikan secara jelas dan memantau
kinerjanya.
Banyak
perusahaan melakukan outsourcing beberapa atau semua proses dukungan TI mereka,
termasuk area seperti dukungan PC, server web hosting, dukungan sistem,
pemrograman, dan sebagainya. Jika vendor ini tidak dikelola dengan tepat, ini
bisa menyebabkan layanan yang buruk dan kualitas yang tidak dapat diterima di
lingkungan TI. Bergantung pada bagian lingkungan TI mana yang telah
dioutsourcing, masalah ini dapat secara signifikan mempengaruhi operasi
perusahaan..
Cara
Meninjau
ulang proses pemilihan vendor. Pastikan
proses tersebut memerlukan permintaan beberapa penawaran kompetitif,
perbandingan masing-masing vendor terhadap kriteria yang telah ditentukan,
keterlibatan personil berpengatahuan pengadaan
untuk membantu menegosiasikan kontrak, mengevaluasi kemampuan dan
pengalaman dukungan teknis vendor yang menyediakan dukungan bagi perusahaan
dengan ukuran dan industri yang serupa. seperti kinerja Anda, analisis biaya
menyeluruh, dan penyelidikan terhadap kualifikasi masing-masing vendor dan
kesehatan finansial. Untuk sampel pilihan vendor baru-baru ini, tinjau bukti
bahwa prosesnya diikuti.
7. Meninjau dan mengevaluasi proses
untuk mengendalikan akses logis karyawan.
Sebagian
besar perusahaan mempekerjakan beberapa tingkat outsourcing dan tenaga kerja
kontrak untuk menambah tenaga kerja internal mereka. Selain itu, beberapa
perusahaan mengizinkan vendor pihak ketiga mendapatkan akses logis ke sistem
yang dibeli untuk mendapatkan pemecahan masalah dan tujuan dukungan. Karena
personil ini bukan pegawai perusahaan, mereka cenderung tidak memiliki
investasi perorangan dalam kesuksesan perusahaan atau kesadaran akan kebijakan
dan budaya perusahaan.
Cara
Pastikan bahwa kebijakan memerlukan persetujuan
dan sponsor dari seorang karyawan sebelum seorang karyawan tidak memperoleh
akses logis ke sistem perusahaan. Jika memungkinkan, dapatkan contoh akun non karyawan, dan pastikan
mereka memiliki persetujuan dan sponsor yang tepat.
Mengkaji ulang dan mengevaluasi proses untuk
mengkomunikasikan kebijakan perusahaan (termasuk kebijakan keamanan TI) kepada
orang-orang yang tidak bekerja sebelum memberi mereka sistem akses. Carilah
bukti bahwa komunikasi ini telah terjadi. Misalnya, jika semua karyawan tidak diminta untuk menandatangani sebuah
pernyataan bahwa mereka telah membaca dan menyetujui kebijakan tersebut,
menarik sampel yang tidak bekerjadan dapatkan salinan dari perjanjian ini.
8.
Meninjau dan mengevaluasi
proses untuk memastikan bahwa perusahaan mematuhi lisensi perangkat lunak yang
berlaku
Menggunakan perangkat lunak secara ilegal dapat
mengakibatkan hukuman, denda, dan tuntutan hukum. Semakin mudah bagi karyawan
perusahaan mendownload software dari internet. Jika perusahaan tidak
mengembangkan proses untuk mencegah atau melacak aktivitas semacam itu (dan
juga melacak penggunaan lisensi perusahaan untuk perangkat lunak yang dibeli),
mereka dapat menemukan dirinya tunduk pada audit vendor perangkat lunak tanpa
kemampuan untuk memperhitungkan dengan benar penggunaan vendor perusahaan
perangkat lunak.
Cara
Carilah bukti bahwa perusahaan memelihara daftar
lisensi perangkat lunak perusahaan (seperti untuk Microsoft Office, akun
aplikasi ERP, dan sebagainya) dan telah mengembangkan sebuah proses untuk
memantau penggunaan lisensi tersebut dan mematuhi persyaratan persetujuan.
Tentukan bagaimana lisensi terdesentralisasi (non-perusahaan) dipantau dan
dilacak. Ini termasuk perangkat lunak yang dibeli oleh karyawan dan ditempatkan
di komputer komersil mereka, serta perangkat lunak yang diunduh dari Internet.
Benar-benar memahami software
9.
Mengkaji dan mengevaluasi
kontrol atas akses jarak jauh ke dalam jaringan perusahaan (seperti dial-up,
VPN, koneksi eksternal khusus).
Mengizinkan akses jarak jauh ke jaringan pada
dasarnya menghasilkan jaringan yang diperpanjang melampaui batas normalnya,
melewati kontrol perimeter normal seperti firewall. Kurangnya kontrol yang kuat
mengenai akses ini dapat mengakibatkan akses yang tidak tepat ke jaringan dan
jaringan yang dikompromikan.
Cara
Pastikan ID pengguna dan kata sandi yang kuat
diperlukan untuk akses jarak jauh dan kredensial ini dikirim melalui jalur
komunikasi yang aman (seperti yang dienkripsi).
Tentukan apakah proses persetujuan diterapkan
untuk memberikan akses jarak jauh, terutama untuk orang yang tidak bekerja.
Tarik sampel pengguna dengan akses jarak jauh, dan cari bukti persetujuan. Juga
mengevaluasi proses untuk menghapus akun akses remote dial-up dan VPN saat
karyawan meninggalkan perusahaan. Tarik sampel pengguna dengan remote ac-cess,
dan pastikan mereka masih menjadi karyawan aktif.
10.
Pastikan prosedur
perekrutan dan pemutusan hubungan kerja jelas dan komprehensif.
Prosedur perekrutan memastikan bahwa karyawan diserahkan ke layar dan pemeriksaan latar belakang, di mana
undang-undang setempat mengizinkan, sebelum mulai bekerja dalam organisasi.
Prosedur Termi-nation memastikan bahwa akses terhadap sistem dan fasilitas
perusahaan dicabut sebelumnya
Cara
Tinjau
kebijakan dan prosedur SDM untuk perekrutan dan penghentian karyawan. Pastikan
bahwa prosedur perekrutan mencakup pemeriksaan latar belakang, layar obat, dan
perjanjian rahasia. Pastikan bahwa prosedur penghentian meliputi pembatalan
akses fisik dan logis, pengembalian peralatan milik perusahaan, dan jika perlu,
pengawasan sementara mantan karyawan mengumpulkan barang miliknya
11. Meninjau dan mengevaluasi
kebijakan dan prosedur pengendalian pengadaan dan pergerakan perangkat keras.
Manajemen
aset adalah pengendalian, pelacakan, dan pelaporan aset organisasi untuk
memudahkan akuntansi atas aset. Tanpa pengelolaan aset yang efektif, perusahaan
akan dikenai peningkatan biaya peralatan duplikat dalam situasi di mana
peralatan tersedia namun belum diketahui. Perusahaan juga akan dikenai biaya
sewa yang tidak perlu jika peralatan sewa tidak dilacak secara memadai dan
dikembalikan tepat waktu. Demikian pula, tanpa pengelolaan aset yang memadai,
kondisi peralatan akhir kehidupan mungkin tidak diperhatikan, sehingga
meningkatkan risiko kegagalan perangkat keras.
Cara
Meninjau
dan mengevaluasi kebijakan dan prosedur pengelolaan aset perusahaan, dan
memastikan bahwa hal tersebut mencakup hal-hal berikut:
·
Proses
pengadaan aset Pastikan proses ini memerlukan persetujuan yang sesuai sebelum
pembelian perangkat keras.
·
pelacakan
aset
Memastikan bahwa perusahaan menggunakan tag aset dan memiliki database
manajemen aset.
·
Untuk semua
ivetaris saat ini Pastikan inventaris berisi nomor aset dan lokasi semua
perangkat keras, beserta informasi tentang status garansi peralatan, masa
berlaku sewa, dan siklus hidup keseluruhan (yaitu saat tidak lagi memenuhi
syarat untuk mendapatkan dukungan vendor). Pastikan mekanisme yang efektif
diterapkan agar persediaan ini tetap up to date. Contoh tag aset juga harus
diperiksa dan diikat kembali ke inventaris.
·
Prosedur
pemindahan dan pembuangan aset Pastikan peralatan yang tidak digunakan
disimpan dengan aman. Juga pastikan bahwa data terhapus dengan benar dari
peralatan sebelum dibuang.
12.
Pastikan bahwa sistem konfigurasi dikendalikan
denga perubahan manajemen untuk
menghindari pemadaman sistem yang tidak perlu.
Manajemen perubahan konfigurasi memastikan bahwa perubahan sistem
dikendalikan dan dilacak untuk mengurangi risiko pemadaman sistem. Ini mencakup
perencanaan, penjadwalan, penerapan, dan perubahan pelacakan terhadap sistem
untuk mengurangi risiko perubahan lingkungan tersebut.
Cara
Perubahan aktivitas dapat mempengaruhi dua
bidang: perangkat keras dan perangkat lunak (termasuk perubahan tingkat sistem
operasi). Pastikan bahwa prosedur manajemen konfigurasi mencakup proses sebagai
berikut:
·
Meminta
perubahan (termasuk proses bagi pengguna akhir untuk meminta perubahan)
·
Menentukan
secara spesifik apa yang harus diubah
·
Memprioritaskan
dan menyetujui usulan perubahan
·
Penjadwalan
menyetujui perubahan
·
Menguji dan
menyetujui perubahan sebelum implementasi
·
Mengkomunikasikan
perubahan yang direncanakan sebelum implementasi
·
Menerapkan
perubahan
·
Rolling back
(menghapus) perubahan yang tidak bekerja seperti yang diharapkan setelah
implementasi
13.
Pastikan
media transportasi, penyimpanan, penggunaan kembali, dan pembuangan ditangani
secara memadai oleh kebijakan dan prosedur perusahaan
Media kontrol memastikan bahwa informasi yang tersimpan di
media penyimpan data tetap confi-dential dan terlindungi dari kerusakan atau
kerusakan dini. Kebijakan, prosedur penyimpanan, penggunaan kembali, dan
pembuangan limbah yang tidak memadai, mengekspos organisasi terhadap kemungkinan
pengungkapan atau penghancuran informasi penting yang tidak sah.
Cara
Media komputer,
termasuk, namun tidak terbatas pada, backup tape, CD dan DVD, hard disk, USB
jump drives, dan disket, harus dikontrol dengan ketat untuk memastikan keamanan
data pribadi. Karena operator cadangan, teknisi komputer, administrator sistem,
operator pihak ketiga, dan bahkan pengguna akhir menangani media penyimpanan,
kebijakan dan prosedur media harus mengatasi fungsi yang berbeda ini. Saat
mengaudit kebijakan dan prosedur pengendalian media, carilah hal-hal berikut:
• Persyaratan informasi
sensitif untuk dienkripsi sebelum dikirim melalui operator pihak ketiga.
• Persyaratan media
magnetis digolongkan secara digital atau dimagnetisasi sebelum digunakan
kembali atau dibuang.
• Persyaratan media
optik dan kertas harus dilapisi secara fisik sebelum dibuang.
• Persyaratan bagi
pengguna untuk menerima pelatihan yang memadai tentang bagaimana cara menyimpan
dan membuang media komputer, termasuk jump drive.
• Persyaratan media
komputer untuk disimpan di tempat yang aman secara fisik, terkontrol dan kering
untuk menghindari kerusakan pada media.
14.
Verifikasi bahwa kebijakan dan
prosedur perusahaan secara memadai menangani pengawasan dan perencanaan
kapasitas.
Mengantisipasi dan
memantau kapasitas pusat data, sistem komputer dan aplikasi merupakan kunci
untuk memastikan ketersediaan sistem. Ketika perusahaan mengabaikan kontrol
ini, mereka sering mengalami gangguan sistem dan kehilangan data.
Cara
Tinjau hal berikut ini:
• Dokumen arsitektur
dipilih untuk memastikan sistem dan fasilitas dirancang untuk memenuhi
kebutuhan kapasitas.
• Prosedur pemantauan
sistem, memberikan perhatian khusus pada ambang batas kapasitas.
• Catatan pemantauan
sistem untuk menentukan persentase sistem yang mendekati atau melampaui ambang
batas kapasitas.
• Laporan ketersediaan
sistem untuk memastikan bahwa masalah kapasitas sistem tidak menyebabkan
downtime yang berlebihan.
Karena manajemen
kapasitas paling sering ditangani oleh pusat data, aplikasi atau kelompok
manajemen sistem, prosedur spesifik perlu ditangani dalam area ini.
15.
Berdasarkan struktur proses dan proses TI
organisasi anda, identifikasi dan audit proses TI lainnya di tingkat entitas.
Dengan mengidentifikasi
kontrol TI dasar, anda harus dapat mengurangi pengujian selama audit lain dan
menghindari pengulangan. Misalnya, jika perusahaan anda hanya memiliki satu
pusat data produksi, anda dapat menguji keamanan fisik dan kontrol lingkungan
dari pusat data itu satu kali. Kemudian, dengan mengaudit sistem individual
yang ada di pusat data tersebut, alih-alih mengaudit kontrol keamanan fisik dan
lingkungan dari setiap sistem tersebut (yang akan sangat berulang karena
semuanya ada di tempat yang sama), anda dapat lihat saja audit tingkat entitas
anda terhadap isu-isu tersebut dan lanjutkan.
Cara
Tinjaulah kembali
topik-topik yang dibahas dalam bab-bab lain dari Bagian II buku ini dan
pertimbangkan apakah salah satu bidang ini dipusatkan di perusahaan anda. Topik
ini adalah kandidat untuk tinjauan kontrol tingkat entitas. Berikut adalah
beberapa kandidat yang mungkin:
• Keamanan fisik dari
pusat data dan pengendalian lingkungan
• Pemantauan sistem
(seperti kinerja dan ketersediaan) dan laporan kejadian
• Perencanaan pemulihan
bencana
• Proses backup
• Keamanan dan manajemen
jaringan
• Proses manajemen
sistem Windows (seperti manajemen akun, pemantauan keamanan)
• Keamanan baseline yang
digunakan untuk menerapkan sistem Windows baru
• Perlindungan
anti-virus (seperti antivirus, patch, pemeriksaan kepatuhan)
• Proses administrasi
sistem Unix / Linux (seperti manajemen akun, pemantauan keamanan, patch
keamanan)
• Keamanan baseline yang
digunakan untuk menerapkan sistem Unix dan Linux baru
• Kontrol perubahan
perangkat lunak untuk kode yang dikembangkan secara internal
• Praktik kata sandi
bisnis dan pengelolaan akun
Audit kontrol tingkat entitas
Daftar
periksa audit untuk kontrol tingkat entitas
❑
1. Tinjau keseluruhan struktur organisasi TI untuk memastikan bahwa proyek
tersebut memberikan tugas dan tanggung jawab yang jelas terhadap operasi TI dan
memberikan pemisahan peran yang memadai.
❑
2. Tinjau proses perencanaan TI strategis untuk memastikan keselarasan dengan
strategi bisnis. Evaluasi proses organisasi TI untuk memantau kemajuan terhadap
rencana strategis.
❑
3. Tentukan apakah strategi dan teknologi dan peta jalan implementasi ada dan
evaluasi proses perencanaan teknis jangka panjang.
❑
4. Tinjau kembali indikator kinerja dan ukuran TI. Pastikan proses dan metrik
diterapkan (dan disetujui oleh pemangku kepentingan utama) untuk mengukur
kinerja kegiatan sehari-hari dan untuk melacak kinerja terkait dengan
perjanjian tingkat layanan, anggaran dan persyaratan operasional lainnya.
❑
5. Kaji ulang proses organisasi TI untuk menyetujui dan memprioritaskan proyek
baru. Tentukan apakah proses ini memadai untuk memastikan bahwa proyek akuisisi
dan pengembangan sistem tidak dapat dimulai tanpa persetujuan. Memastikan
manajemen kunci dan pemangku kepentingan meninjau status proyek, jadwal, dan
anggaran secara berkala selama masa proyek yang signifikan.
❑
6. Evaluasi peraturan yang mengatur pelaksanaan proyek TI dan memastikan
kualitas produk yang dikembangkan atau diakuisisi oleh organisasi TI. Tentukan
bagaimana standar ini dikomunikasikan dan ditegakkan.
❑
7. Pastikan bahwa kebijakan keamanan TI ada dan berikan persyaratan yang
memadai untuk keselamatan lingkungan. Tentukan bagaimana kebijakan ini
dikomunikasikan dan bagaimana kepatuhan dipantau dan ditegakkan.
❑
8. Mengkaji dan mengevaluasi proses penilaian risiko yang diterapkan untuk
organisasi TI.
❑
9. Mengkaji dan mengevaluasi proses untuk memastikan bahwa karyawan perusahaan
memiliki keterampilan dan pengetahuan untuk melakukan pekerjaan mereka.
Daftar
periksa audit untuk kontrol tingkat entitas (lanjutan)
❑
10. Meninjau dan mengevaluasi kebijakan dan proses untuk menetapkan kepemilikan
data perusahaan, mengklasifikasikan data, melindungi data sesuai dengan
klasifikasi, dan menentukan siklus hidup data.
❑
11. Pastikan ada proses yang efektif untuk mematuhi undang-undang dan peraturan
yang berlaku yang mempengaruhi TI (seperti HIPAA, Sarbanes-Oxley) dan untuk
menjaga kesadaran akan perubahan di lingkungan peraturan.
❑
12. Mengkaji dan mengevaluasi proses untuk memastikan bahwa pengguna akhir
lingkungan TI memiliki kemampuan untuk melaporkan masalah, berpartisipasi
secara benar dalam keputusan TI, dan merasa puas dengan layanan yang diberikan
oleh TI.
❑
13. Tinjau dan evaluasi proses manajemen layanan pihak ketiga, pastikan peran
dan tanggung jawab mereka didefinisikan secara jelas dan pantau kinerjanya.
❑
14. Meninjau dan mengevaluasi proses untuk mengendalikan akses logis
non-karyawan.
❑
15. Mengkaji dan mengevaluasi proses untuk memastikan bahwa perusahaan mematuhi
perangkat lunak yang berlaku.
❑
16. Mengkaji dan mengevaluasi kontrol terhadap akses jarak jauh di jaringan
perusahaan (seperti sambungan telepon, VPN, koneksi eksternal khusus).
❑
17. Pastikan prosedur perekrutan dan penyelesaian sudah jelas dan lengkap.
❑
18. Meninjau dan mengevaluasi kebijakan dan prosedur untuk mengendalikan
akuisisi dan pergerakan perangkat keras.
❑
19. Pastikan pengaturan sistem dikendalikan oleh manajemen perubahan untuk
menghindari gangguan sistem yang tidak perlu.
❑
20. Memastikan bahwa transportasi, penyimpanan, penggunaan kembali dan
pelepasan media ditangani secara memadai melalui kebijakan dan prosedur
perusahaan.
❑
21. Verifikasi bahwa kebijakan dan prosedur perusahaan secara memadai menangani
pengawasan dan perencanaan kapasitas.
❑
22. Berdasarkan struktur proses dan proses TI organisasi Anda, identifikasi dan
audit proses TI lainnya di tingkat entitas.
Regulasi Audit
Komunitas bisnis global
terus mendukung peraturan dan undang-undang baru yang mempengaruhi dan
meningkatkan tanggung jawab perusahaan untuk pengendalian internal.
Salah satu contoh regulasi audit :
Regulasi Audit Komisi Uni Eropa dan
Basel II.
Dikarenakan skandal
korporat sebanding dengan yang ada di Amerika Serikat, maka Komisi Uni Eropa
memberlakukan persyaratan yang sama untuk perbaikan standar auditing,
pengawasan, dan tanggung jawab dengan membuat arahan terkait tata kelola
perusahaan, transparansi, audit, standar akuntansi, dan layanan informasi.
Perbedaan utama adalah bahwa Undang-undang U.S SOX menerapkan denda dan sanksi
pidana, sedangkan komisi Uni Eropa tidak merekomendasikan tingkat penegakan
tersebut.
Meskipun undang-undang
SOX berasal dari Amerika Serikat, namun tetap memiliki konsekuensi terhadap perusahaan-perusahaan
yang memiliki pusat di negara lain. Munculnya standar profesionalitas Eropa
yang ditetapkan oleh Dewan Standar Akuntansi Internasional dan Kesepakatan
Modal Basel II akan terus mempengaruhi perusahaan multinasional.
Kesepakatan Modal Basel II
Basel II adalah sebuah
konsorsium dari bank-bank internasional yang berada kebanyakan di Eropa tetapi
juga berada di Amerika Serikat dan Kanada. Dimulai pada tahun 1974, kelompok
ini mempublikasikan sebuah kesepakatan yang melingkupi beberapa topik perbankan
dan dimaksudkan untuk menyediakan peningkatan pengawasan atas bank
internasional. Komite penasihat bermaksud untuk mengumumkan berbagai hal teknis
dan standar keuangan. Fokus dari kelompok ini adalah untuk menyediakan kerangka
kerja manajemen risiko disekitar standar kapitalisasi untuk bank internasional.
Kesepakatan Modal Basel II dilakukan sepenuhnya sukarela dan setiap adopsi dari
kesepakatan ini diatur oleh bank sentral negara masing-masing.
Kesepakatan Modal Basel
II adalah rekomendasi terbaru dan paling terlihat. Tujuan kesepakatan ini
adalah untuk menerapkan peningkatan manajamen risiko dan pengawasan
kapitalisasi yang mengatur kecukupan modal bank-bank yang aktif secara
internasional. Secara umum. Kesepakatan Modal Basel II menyediakan bagi
pengendalian IT di dalam manajemen yang berhubungan dengan pinjaman. Oleh
karena itu, seperti halnya SOX, auditor IT harus memperhatikannya, terutama
dengan pengendalian yang melindungi integritas informasi keuangan.
Standar dan Kerangka Kerja Audit
Seiring teknologi
informasi berkembang pada akhir abad ke-20, departemen IT dalam setiap
organisasi biasanya mengembangkan metode sendiri dalam mengelola operasi.
Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan bagi
manajemen dan evaluasi proses IT.
Pada tahun 1970-an,
kecemasan mengenai kenaikan kebangkrutan dan kegagalan keuangan mulai
meningkatkan permintaan akan akuntanbilitas dan transparansi di antara publik
dan perusahaan. Foreign Corrupt Practices Act of 1997(FCPA) mengkriminalisasikan
penyuapan di negara asing dan merupakan peraturan pertama yang mewajibkan
perusahaan untuk menerapkan program pengendalian internal untuk menyimpan
catatan transaksi ekstensif tujuan penyingkapan.
Ketika industri simpan
pinjam ambruk pada pertengahan tahun 1980-an, ada permintaan mendesak untuk
pengawasan pemerintah terhadap standar akuntansi dan profesi auditing. Untuk
mencegah intervensi pemerintah, sebuah inisiatif dari sektor swasta yang independen,
yang kemudian disebut Committee Of Sponsoring Organizations (COSO), dimulai
pada tahun 1985 untuk menilai bagaimana cara terbaik untuk meningkatkan
kualitas pelaporan keuangan. COSO meresmikan konsep pengendalian internal dan
kerangka kerja pada tahun 1992 yang ketika menerbitkan publikasi penting yaitu
Kerangka Pengendalian Internal Terpadu.
Sejak saat itu, asosiasi
profesional lainnya terus mengembangkan kerangka kerja tambahan dan standar
untuk menyediakan panduan dan praktik terbaik kepada konsituen mereka dan
komunitas IT pada umumnya.
Contoh standar dan kerangka kerja
audit :
ITIL
IT Infrastructure
Library (ITIL) dikembangkan oleh pemerintah Inggris pada pertengahan 1980-an
dan telah menjadi standar de facto untuk praktik terbaik dalam penyedian manajemen
infrastruktur IT dan penyedia layanan. ITIL adalah merek dagang terdaftar dari
U.K. Office of Government Commerce (OGC), yang memiliki dan mengembangkan ITIL
best-practices framework.
ITIL berkembang sebagai
sebuah hasil dari ketergantungan bisnis yang berkembang terhadap IT dan telah
menikmati sebuah pengakuan dan penggunaan internasional dari berbagai
organisasi. Sebelumnya, definisi dari praktik terbaik dalam layanan IT
bergantung pada individu dan penilaian subjektif dari apa yang manajer IT pikir
paling baik.
Tidak seperti banyak
standar dan kerangka kerja, adopsi ITIL secara luas telah menyebabkan berbagai
vendor komersial dan nirlaba untuk mengembangkan produk yang mendukung ITIL.
Selain itu, produk manajemen layanan infrastruktur utama telah disempurnakan
dan diorganisasikan dengan pendekatan ITIL, yang pada gilirannya telah
mendorong penerimaan yang lebih luas.
Selain itu, pertumbuhan
ITIL dilengkapi dengan proliferasi ITIL konsultasi profesional dan sertifikasi
manajer yang menyediakan akses untuk keahlian yang diperlukan untuk
merencanakan, mengkonfigurasi, dan menerapkan standar.
Konsep
ITIL
ITIL menyediakan
serangkaian referensi praktis dan standar spesifik untuk infrastruktur dan
manajemen layanan mudah beradaptasi terhadapat organisasi manapun. Fungsi
dukungan layanan masalah seperti manajemen masalah, manajemen insiden, meja
pelayanan, manajemen perubahan, manajemen rilis, dan manajemen konfigurasi.
Fungsi pengiriman layanan menangani manajamen kapasitas, manajemen
ketersediaan, manajamen keuangan, manajemen keberlanjutan, dan tingkat
pelayanan.
Risk Management(Resiko Manajemen)
Saat ini, ancaman orang dalam lebih terasa, ribuan malware didistribusikan,
dan pemerintah telah
memberlakukan undang-undang yang mewajibkan implementasi berbagai
kontrol. Akibatnya, proses manajemen risiko formal sekarang harus menjadi
bagian dari setiap program audit TI. Pertanyaan juta dolar hari ini adalah: Apa itu program
manajemen risiko formal? Didalam
Bab kita akan mengeksplorasi proses analisis risiko, siklus manajemen
risiko, dan metode
untuk mengidentifikasi dan menangani risiko secara efektif. Pada akhir bab
ini adalah ringkasan dari
rumus yang kita gunakan dalam teks.
Benefit of
Risk Management ( Manfaat Resiko Manajemen)
Tak ayal potensi pengelolaan risiko TI masih dirahasiakan. Dari dulu Beberapa tahun,
banyak organisasi telah meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya
mereka dengan menggunakan analisis risiko dan praktik manajemen risiko yang
baik. Ketika
manajemen memiliki pandangan perwakilan tentang eksposur TI organisasi, ia
dapat melakukannya
mengarahkan sumber daya yang tepat untuk mengurangi area risiko tertinggi
daripada pengeluaran
sumber daya langka di daerah yang memberikan sedikit atau tidak ada pengembalian
investasi (ROI). Jaring
Hasilnya adalah tingkat pengurangan risiko yang lebih tinggi untuk setiap
dolar yang dikeluarkan.
Risk
Management from an Executive Perspective (Manajemen Risiko dari Perspektif
Eksekutif)
Yang benar adalah, bisnis adalah semua tentang risiko dan
penghargaan. Eksekutif diharuskan
menimbang manfaat investasi dengan risiko yang
terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup mahir mengukur risiko melalui analisis ROI,
indikator kinerja utama, dan segudang
alat analisis keuangan dan operasional lainnya. Sukses dalam mengelola Risiko TI organisasi, Anda harus
memahami bahwa eksekutif melihat risiko finansial istilah. Akibatnya, semacam analisis keuangan biasanya
diperlukan untuk berbisnis kasus untuk
investasi di kontrol tambahan.
Mengatasi Resiko
Resiko dapat diatasi dengan tiga cara: menerimanya, mengurangi, atau
mentransfernya. Yang
sepantasnya metode
sepenuhnya tergantung pada nilai finansial dari risiko versus investasi diperlukan untuk
menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak
ketiga. Sebagai
tambahannya Kontrol
preskriptif, peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi
tersebut menilai
risiko terhadap informasi yang dilindungi dan menerapkan pengendalian yang wajar mengurangi risiko
ke tingkat yang dapat diterima.
Penerimaan Risiko
Nilai finansial suatu risiko seringkali lebih kecil
daripada biaya mitigasi. Dalam hal ini, pilihan yang paling masuk akal adalah
menerima risiko. Namun, jika organisasi memilih untuk menerima risiko, itu harus menunjukkan bahwa risiko memang
dinilai dan mendokumentasikan alasan
di balik keputusan tersebut.
Mitigasi risiko
Bila risiko memiliki nilai keuangan yang signifikan, seringkali lebih tepat
untuk mengurangi risiko
daripada menerimanya. Dengan sedikit pengecualian, biaya pelaksanaan dan
pemeliharaan kontrol
harus kurang dari nilai moneter dari risiko yang dikurangi.
Transfer Resiko
Industri asuransi didasarkan pada transferensi risiko. Organisasi sering
membeli asuransi untuk
menutupi biaya pelanggaran keamanan atau bencana sistem outage. Ini penting
untuk perhatikan
bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan
kebijakan tersebut
pemegang menerapkan kontrol tertentu. Gagal mematuhi persyaratan kontrol dapat membatalkan
kebijakan Bila
pengelolaan sistem TI dialihkan ke pihak ketiga, tingkat tertentu risiko dapat
ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu adalah tanggung jawab
organisasi meng-outsource sistemnya untuk memverifikasi bahwa risiko TI berkurang ke tingkat yang
dapat diterima dan bahwa perusahaan yang mengelola sistemnya memiliki keuangan Kekuatan untuk
menutupi kerugian harus terjadi. Lihat Bab 14 untuk informasi tentang audit operasi yang
dioutsourcing.
Analisis Risiko Kuantitatif vs
Kualitatif
Risiko dapat dianalisis dengan dua cara: kuantitatif dan kualitatif.
Seperti hal lainnya,masing memiliki kelebihan dan kekurangan. Dimana pendekatan
kuantitatif lebih banyak
obyektif dan mengungkapkan
risiko secara finansial sehingga pengambil keputusan bisa lebih mudah Membenarkan, juga
lebih menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pandangan
berlapis risiko, tapi bisa lebih subjektif dan karena itu sulit untuk
dibuktikan. Organisasi
dengan program manajemen risiko yang lebih sukses cenderung mengandalkan lebih banyak pada
analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian
menggunakan kuantitatif
teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
Analisis Risiko Kuantitatif
Dengan sedikit
pengecualian, apakah terkait dengan sumber keuangan, fisik, atau teknologi, Berbagai jenis
risiko dapat dihitung dengan menggunakan rumus universal yang sama. Resiko bisa didefinisikan
dengan perhitungan sebagai berikut:
Risiko = nilai aset × ancaman × kerentanan
Unsur Risiko
Seperti yang dapat Anda lihat dalam persamaan sebelumnya, risiko terdiri
dari tiga elemen: nilai aset,
ancaman, dan kerentanan. Memperkirakan unsur-unsur ini dengan benar sangat
penting untuk menilai risiko
secara akurat
Aset
Biasanya diwakili sebagai nilai moneter, aset dapat didefinisikan sebagai
sesuatu yang layak untuk dilakukan
sebuah organisasi yang dapat dirusak, dikompromikan, atau dimusnahkan
secara kebetulan atau tidak
tindakan yang disengaja Kenyataannya, nilai aset jarang merupakan biaya
pengganti yang sederhana;
Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus
dinilai dengan mempertimbangkan
biaya bottom line komprominya. Misalnya, pelanggaran informasi pribadi Mungkin tidak
menyebabkan kerugian moneter sekilas, tapi kalau itu benar-benar disadari, itu kemungkinan akan
menghasilkan tindakan hukum, merusak reputasi perusahaan, dan peraturan denda.
Konsekuensi ini berpotensi menimbulkan kerugian finansial yang signifikan. Di Kasus ini, bagian
nilai aset dari persamaan tersebut akan mewakili informasi pribadi. Nilai yang
dihitung dari informasi pribadi akan mencakup perkiraan biaya kumulatif
dolar dari tindakan hukum, kerusakan reputasi, dan hukuman peraturan.
Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang, jika
disadari, akan menyebabkan hal yang tidak diinginkan dampak. Dampak
yang tidak diinginkan bisa datang dalam berbagai bentuk, tapi seringkali
menghasilkan keuangan
kerugian. Ancaman digeneralisasi sebagai persentase, namun dua faktor
berperan dalam tingkat keparahannya dari ancaman: tingkat kehilangan dan kemungkinan
terjadinya. Faktor pemaparan digunakan untuk mewakili tingkat
kerugian. Ini hanyalah perkiraan persentase kerugian aset jika Ancaman terwujud.
Misalnya, jika kita memperkirakan bahwa api akan menyebabkan kerugian 70 persen dari nilai aset
jika terjadi, faktor eksposur adalah 70 persen, atau 0,7. Tingkat bunga tahunan Kejadian, di sisi
lain, mewakili kemungkinan ancaman yang diberikan diwujudkan dalam
satu tahun jika tidak ada kontrol penuh. Misalnya, jika kami
memperkirakan bahwa kebakaran akan terjadi setiap 3 tahun, tingkat kejadian
tahunan akan terjadi 33 persen, atau
0,33. Oleh karena itu, sebuah ancaman dapat dihitung sebagai persentase dengan
cara mengalikan faktor
pemaparan dengan tingkat kejadian tahunan. Dengan contoh sebelumnya, ancaman kebakaran
akan menghasilkan nilai 23,1 persen, atau 0,231
Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan kontrol
kumulatif yang melindungi
aset tertentu Kerentanan diperkirakan sebagai persentase berdasarkan
tingkat.
Kontrol kelemahan
Kita bisa menghitung defisiensi kontrol (CD) dengan mengurangkan efektivitas dari kontrol
sebesar 1 atau 100 persen. Misalnya, kita bisa menentukan industri kita Pengawasan
spionase 70 persen efektif, jadi 100 persen - 70 persen = 30 persen (CD). Kerentanan
ini akan diwakili 30 persen, atau 0,3.
Aplikasi praktis
Sekarang setelah kita menentukan bagaimana menganalisis risiko, kita dapat
mulai menerapkannya.
Berikut adalah beberapa contoh bagaimana persamaan ini relevan dalam TI dan juga
daerah lain.
Berikut adalah beberapa contoh bagaimana persamaan ini relevan dalam TI dan juga
daerah lain.
Skenario Risiko Fisik
Pemerintah A.S. memandang sebuah komando dan pusat kendali di sebuah
instalasi militer
di Timur Tengah sangat penting untuk kemampuannya beroperasi di wilayah
ini. Jika fasilitas ini
hancur, kemungkinan akan menyebabkan hilangnya nyawa (baik di fasilitas
maupun di lapangan), kerusakan
ke fasilitas itu sendiri, dan sebuah kemunduran untuk tujuan militer.
Dalam contoh ini, aset adalah pusat komando dan kontrol. Nilai sebenarnya
dari pusat
komando dan kontrol mencakup kehidupan tentara yang akan tinggal terpengaruh,
fasilitas komando dan kontrol itu sendiri, dan tujuan militer yang akan pergi tidak
terpenuhi jika terjadi kerugiannya. Para ahli memperkirakan
bahwa biaya kumulatif suatu kerugian dari pusat komando dan kontrol akan menjadi $ 500 juta
(bukan berarti Anda dapat menempatkan angka dolar pada kehidupan seorang
prajurit). Kami telah mengidentifikasi ancaman bom terhadap fasilitas tersebut
dan memperkirakan
bahwa serangan yang berhasil akan menyebabkan kerugian 85 persen. Para ahli
mengatakan itu Serangan
percobaan jenis ini akan terjadi sekali dalam seminggu, atau 52 kali per tahun,
jika tidak kontrol
ada untuk mencegahnya. Pusat komando dan kontrol memiliki beberapa safeguard, seperti
penghalang fisik, sistem alarm perimeter, patroli polisi militer, dan 3.500 tentara
tambahan di pangkalan melindunginya. Akibatnya, kami memperkirakan bahwa
kontrolnya adalah
99,99 persen efektif, atau 0,01 persen kurang. Dengan informasi ini, kita bisa hitunglah nilai
moneter dari risiko komando dan pusat kendali bom tersebut $ 500 juta [nilai
aset] × 0,85 kerugian (EF) × 52 kali per tahun (ARO) [threat] × 0,001 kontrol
defisiensi (CD) [kerentanan] = $ 22,100,000 [risiko].
Untuk mengambil latihan ini selangkah lebih maju, kita dapat membenarkan
total investasi sampai
$ 22,1 juta untuk melindungi pusat komando dan kontrol. Jumlah yang tepat
itu kita bisa
membenarkannya akan bergantung sepenuhnya pada dolar yang sudah dikeluarkan untuk mengurangi
risiko ini dan
tingkat proyeksi pengurangan risiko untuk kontrol yang dipilih.
Skenario Risiko TI
Direktur audit TI di pengecer nasional telah menetapkan bahwa iklim hukum
berubah dalam
kaitannya dengan informasi kartu kredit dimana perusahaan dipercayakan. Sampai saat ini,
perusahaan tersebut belum mempertimbangkan risiko pengungkapan nasabahnya informasi kartu
pribadi atau kartu kredit.
Setelah mewawancarai humas, pemangku kepentingan hukum, dan keuangan,
direktur audit TI
memperkirakan biaya satu pelanggaran menjadi sekitar $ 30 juta hilang pendapatan, biaya
legal, dan konsekuensi peraturan. Jadi sekarang kita tahu asetnya kartu kredit pribadi
dan informasi keuangan terkait. Selanjutnya nilainya ke perusahaan adalah
$ 30 juta. Sejak beberapa pelanggaran yang melibatkan hacking baru-baru ini Telah dilaporkan
dalam berita, direktur audit memutuskan untuk mengeksplorasi ancaman ini. Dalam
percakapan Dengan
direktur keamanan informasi, direktur audit mengetahui bahwa perusahaan
tersebut berada di
bawah serangan konstan, meskipun sebagian besar serangan tidak lebih dari probe kerentanan. Dia
memperkirakan bahwa sekitar satu serangan aktual per minggu terjadi dan itu Kompromi sistem
pemrosesan kartu kredit akan mengakibatkan kerugian aset yang lengkap. Direktur keamanan
informasi memperkirakan bahwa kontrol saat ini adalah 99,99 persen efektif, tapi
jika perusahaan tidak berinvestasi di kontrol tambahan, sebuah pelanggaran
berhasil sudah
dekat Dengan informasi ini, kita bisa menghitung risiko keamanan eksternal pelanggaran
menjadi $ 30 juta [nilai aset] × 100 persen kerugian (EF) × 52 upaya peretasan
per tahun
(ARO) [threat] × 0,01 persen atau 0,0001 control deficiency (CD)
[vulnerability] =
$156.000 [risiko].
Analisis Risiko Kuantitatif dalam Praktek
Jika Anda belum mulai mengidentifikasi ancaman organisasi Anda saat ini,
hal itu akan terjadi
bermanfaat untuk melakukannya Dari situ, identifikasi ancaman baru bisa
menjadi latihan mental setiap hari. Seiring perubahan bisnis atau teknologi, Anda harus
bertanya, Ancaman baru apa yang melakukan hal ini perubahan
mengenalkan? Jika disadari, bagaimana ancaman ini akan mempengaruhi bisnis
Anda? Kapan kamu mengidentifikasi
ancaman yang signifikan dan ingin membuat justifikasi bisnis untuk pembelian Kontrol tambahan,
Anda dapat menggunakan perhitungan sebelumnya untuk mendukung kasus Anda.
Penyebab umum
ketidakakuratan.
Sebagian besar analisis risiko yang diupayakan saat ini menghasilkan
perkiraan bottom-line yang jauh dari menandai. Sayangnya, ketika manajemen organisasi
kehilangan kepercayaan terhadap informasi risiko yang disajikan
untuk itu, ia cenderung mengabaikan sejumlah permintaan yang tidak proporsional investasi
mitigasi risiko. Manajemen tertarik untuk menginvestasikan sumber daya yang
terbatas di daerah
yang akan membuat uang organisasi atau akan menghemat uang organisasi. Inilah sebabnya
mengapa sangat penting bahwa Anda menyajikan analisis risiko yang solid kapan pun mendekati
manajemen untuk sumber daya tambahan. Berikut adalah yang paling umum Penyebab
ketidakakuratan analisis risiko.
Analisis Risiko Kualitatif
Berbeda dengan pendekatan kuantitatif terhadap analisis risiko, teknik analisis
risiko kualitatif
dapat memberikan pandangan tingkat tinggi terhadap risiko perusahaan.
Dimana metode kuantitatif
terpusat pada
Rumus, analisis risiko kualitatif akan fokus pada nilai seperti tinggi,
sedang, dan rendah
atau warna seperti merah, kuning, dan hijau untuk mengevaluasi risikonya. Seperti disebutkan
sebelumnya dalam bab ini, pendekatan kualitatif dan kuantitatif melengkapi satu sama lain.
Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka di metode
kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk
mitigasi risiko investasi.
Kami akan menghabiskan sisa bab ini untuk analisis risiko kualitatif.
Siklus Hidup Manajemen Risiko TI
Seperti kebanyakan metodologi, manajemen risiko, bila diterapkan dengan
benar, mengambil alih
karakteristik siklus hidup .Hal ini
dapat dibagi menjadi beberapa fase, dimulai dengan
identifikasi aset informasi dan berpuncak pada manajemen PT risiko residual
Fase spesifiknya adalah sebagai berikut:
• Tahap 1 Mengidentifikasi aset informasi.
• Tahap 2 Mengukur dan memenuhi syarat ancaman.
• Tahap 3 Menilai kerentanan.
• Tahap 4 Remediate control gap.
• Tahap 5 Mengelola risiko residual.
Tidak ada komentar:
Posting Komentar