AUDIT TEKNOLOGI SISTEM INFORMASI
DISUSUN OLEH
ARYA DWI PRAMUDITA (11115069)
MOHAMMAD FAISAL .H (14115280)
RIZKI APRILIA DWIJAYANTI (16115138)
SISTEM INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019
-----------------------------------------------
Control Objectives for Information and Related Technologies
-----------------------------------------------
Control Objectives for Information and Related Technologies
BAB 1 PENDAHULUAN
Pengendalian (controlling) adalah salah satu fungsi manajemen dalam mencapai tujuan organisasi, yang merupakan manifestasi dari usaha manajemen untuk mengurangi resiko kerugian dan penyimpangan dalam suatu organisasi. Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam kesuksesan sebuah organisasi. Dengan adanya sistem pengendalian internal yang efektif, dapat membantu dalam mencapai tujuan organisasi yang antara lain dapat mengurangi resiko kerugian organisasi, menghasilkan suatu laporan keuangan yang andal dan sesuai, serta meningkatkan efisiensi. Dengan semakin dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai organisasi, maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Sehingga data elektronik tersebut menghasilkan pelaporan keuangan perusahaan yang dapat dipertanggungjawabkan. Dalam perkembangannya terdapat banyak standar – standar kontrol yang muncul dengan latar belakang yang berbeda. Oleh karena itu, dalam penulisan ini akan diuraikan salah satu standar kontrol untuk EDP (Electronic Data Processing) yaitu COBIT (Control Obejctive for Information and related Technology). Framework COBIT digunakan untuk menyusun dan menerapkan model audit sistem infromasi dengan tujuan untuk memberikan masukan dan rekomendasi bagi pihak manajemen organisasi untuk perbaikan pengelolaan sistem informasi di masa mendatang. COBIT dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan dalam memahami dan mengelola resiko serta keuntungan yang behubungan dengan sumber daya informasi organisasi.
BAB 2 PEMBAHASAN TEORI
2.1 Kriteria Informasi Berdasarkan COBIT
Terdapat beberapa aspek menurut CobIT (Control Objectives for Information and Related Technology) untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:
- Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
- Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
- Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
- Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
- Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
- Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
- Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
Evaluasi terhadap efektivitas sistem harus dilakukan. Untuk mengetahui apakah sistem dan informasi yang dihasilkan telah efektif atau belum, auditor harus mengetahui karakter pemakai dan kebutuhannya.
Selanjutnya perlu dievaluasi apakah sistem telah menggunakan sumber data yang minimal untuk menghasilkan output yang diperlukan. Sistem yang efisien dan efektif, menjaga harta, dan integritas data hanya dapat dicapai jikalau manajemen membuat sistem pengendalian internal yang baik. Pengendalian internal ini bersifat general control dan application control (Gondodiyoto, 2007:263).
2.2 COBIT
Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun 1992. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan tahapan bagi audit. Menurut IT Governance Institute, COBIT adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis dalam perusahaan. COBIT memungkinkan kebijakan pembangunan yang jelas dan baik untuk seluruh organisasi kontrol TI. COBIT menekankan peraturan, membantu organisasi untuk meningkatkan nilai dicapai dari TI, dan memungkinkan pengaturan dan penyederhanaan pelaksanaan pada kerangka COBIT.
2.3 Sejarah Perkembangan COBIT
COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih kepada dokumen sumber, revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi 4.1 diperluas dengan arahan lebih kepada IT Governance. COBIT edisi kelima merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait dengan mencakup keseluruhan dari COBIT 4.1 dengan tambahan tentang Risk IT dan Val IT. ISACA telah meluncurkan Val IT yang berhubungan dengan proses COBIT untuk proses manajemen senior yang dibutuhkan untuk mendapatkan nilai baik dari investasi TI.
2.4 Tujuan Pembentukan COBIT
Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit. Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.
2.5 Kegunaan COBIT
Dalam membantu auditor, COBIT memiliki fungsi – fungsi diantaranya adalah :
Meningkatkan pendekatan/program audit
Mendukung audit kerja dengan arahan audit secara rinci
Memberikan petunjuk untuk IT governance
Sebagai penilaian benchmark untuk kendali IS/IT
Meningkatkan control IS/IT
Sebagai standarisasi pendekatan/program audit.
2.6 Kerangka Kerja COBIT
FRAMEWORK COBIT
COBIT merupakan kerangka kerja pengendalian internal yang berkaitan dengan teknologi informasi, yang dipublikasikan oleh Information System Audit and Control Foundation di tahun 1996 dan di-update pada tahun 1998 dan 2000. COBIT dibuat dengan tujuan melakukan penelitian dan pengembangan terhadap sekumpulan kontrol teknologi informasi, yang dapat diterima secara internasional bagi kepentingan auditor dan manajer bisnis suatu organisasi. COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 33 proses yang terbagi ke dalam empat buah domain proses, meliputi :
1. Plan and Organise (10 proses)
Meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis.
Proses dalam domain ini adalah :
- Menetapkan rencana strategis TI
- Menetapkan susunan informasi
- Menetapkan kebijakan teknologi
- Menetapkan hubungan dan organisasi TI
- Mengelola investasi IT
- Mengkomunikasikan arah dan tujuan manajemen
- Mengelola sumberdaya manusia
2. Acquire and Implement (7 proses)
Merupakan domain proses yang merealisasikan strategi IT, serta solusi – solusi IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk menjamin proses yang berkesinambungan.
Langkah – langkah domain ini adalah :
- Mengidentifikasi solusi terotomatisasi
- Mendapatkan dan memelihara software aplikasi
- Mendapatkan dan memelihara infrastruktur teknologi
- Mengembangkan dan memelihara prosedur
- Memasang dan mengakui system
- Mengelola perubahan
3. Delivery and Support (13 proses)
Domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi – aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan.
Proses dalam domain ini adalah :
- Menetapkan dan mengelola tingkat pelayanan
- Mengelola pelayanan kepada pihak lain
- Mengelola kinerja dan kapasitas
- Memastikan pelayanan yang kontinyu
- Memastikan keamanan system
4. Monitor and Evaluate (3 proses)
Merupakan domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang diisyaratkan.
Proses dalam domain ini sebagai berikut :
- Memonitor proses
- Menaksir kecukupan pengendalian internal
- Mendapatkan kepastian yang independen
Kerangka kerja COBIT juga memasukan hal-hal berikut :
1. Maturity Models
Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices.
Skala-skala maturity models akan dijabarkan sebagai berikut :
- Skala 0 - Not Existance
Karena perusahaan tidak menyadari pentingnya membuatperencanaan strategis di bidang teknologi informasi. Dalam skala ini penting untuk dilakukan evaluasi pengendalian dan dijadikan sebagai temuan yang penting.
- Skala 1- Initial
Adanya fakta- fakta bahwa perusahaan telah menyadari akan pentingnya pembuatan perencanaan strategis di bidang teknologi informasi. Namun, tidak ada prosesyang distandarisasi; perencanaan, perancangan dan manajemen masih belum terorganisir dengan baik. Dalam skala ini keperluan untuk dijadikan temuan tidak diutamakan, karena tingkat kemungkinan terjadinya resiko tidak sebesar skala nol.
- Skala 2 - Repeatable
Perusahaan telah menetapkan prosedur untuk dipatuhi oleh karyawan, namun belum dikomunikasikan dan belum adanya pemberian latihan formal kepada setiap karyawan mengenai prosedur; dan tanggung jawab diberikan sepenuhnya kepada individu sehingga pemberian kepercayaan sepenuhnya kemungkinan dapat terjadi penyalahgunaan.
- Skala 3 - Defined
Seluruh proses telah didokumentasikan dan telah dikomunikasikan,serta dilaksanakan berdasarkan metode pengembangan sistem komputerisasi yang baik, namun belum ada proses evaluasi terhadap sistem tersebut, sehingga masih ada kemungkinan terjadinya penyimpangan.
- Skala 4 - Managed
Proses komputerisasi telah dapat dimonitor dan dievaluasi denganbaik, manajemen proyek pengembangan sistem komputerisasi sudah dijalankan denganlebih terorganisir.
- Skala 5 - Optimised
Best Practices (pedoman terbaik) telah diikuti dan diotomatisasi pada sistem berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi yang tepat.
2. Critical Success Factors (CSFs)
Adalah arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
3. Key Goal Indicators (KGIs)
Merupakan kinerja proses-proses TI sehubungan dengan business requirement.
4. Key Performance Indicators (KPIs)
Adalah kinerja proses-proses TI sehubungan dengan process goals.
2.7 Pengguna COBIT
COBIT dirancang untuk digunakan oleh tiga pengguna berbeda, yaitu:
- ManajemenDengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.
- UserPengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
- AuditorDengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
BAB 3 CONTOH KASUS
Pengamanan sistem Teknologi Informasi pada suatu organisasi menjadi salah satu faktor yang perlu diperhatikan. Pengelolaan yang baik terhadap keamanan sistem Teknologi Informasi dapat meningkatkan nilai kepercayaan internal maupun eksternal organisasi untuk memanfaatkan Teknologi Informasi sebagai pendukung kegiatan organisasi.
Untuk memastikan tingkat keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia, perlu dilakukan audit untuk mengukur tingkat Keamanan Sistem dari Teknologi Informasi yang ada. Dengan adanya audit ini diharapkan dapat dilakukan langkah-langkah perbaikan untuk meningkatkan keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia.
Pelaksanaan kegiatan kontrol dan audit menggunakan Framework COBIT pada PT. XYZ Indonesia dimaksudkan untuk menguji dan mengetahui tingkat pengelolaan keamanan sistem Teknologi Informasi yang diterapkan pada PT. XYZ Indonesia dan memberikan merekomendasikan alternatif pengembangan yang harus dilakukan untuk meningkatkan kualitas keamanan sistem, dengan batasan-batasan tujuan:
- Mengelola ukuran-ukuran keamanan pada PT. XYZ Indonesia.
- Identifikasi, autentikasi dan akses pada PT. XYZ Indonesia.
- Manajemen account pemakai pada PT. XYZ Indonesia.
- Pengontrolan user pada account user serta identifikasi terpusat manajemen hak-hak akses.
- Laporan pelanggaran dan aktivitas keamanan pada PT. XYZ Indonesia.
- Penanganan kejadian, pengakuan ulang, kepercayaan rekan dan otorisasi transaksi pada PT. XYZ Indonesia
- Proteksi pada fungsi-fungsi keamanan pada PT. XYZ Indonesia.
- Manajemen kunci kriptografi pada PT. XYZ Indonesia.
- Pencegahan, pendeteksian, dan perbaikan perangkat lunak yang tidak benar, arsitektur firewall dan hubungan dengan jaringan public serta proteksi pada nilai-nilai elektronis pada PT. XYZ Indonesia.
Tahapan metodologi yang diterapkan untuk mengetahui Kontrol Objetif Memastikan Keaman Sistem, akan dilakukan sebagai berikut :
- Pengumpulan data, anatara lain dengan melakukan pengamatan, wawancara dan observasi sederhana terhadap organisasi untuk mendapatkan informasi yang berupa dokumentasi strategi, tujuan, struktur organisasi dan tugas, kebijakan teknologi informasi dan data penunjang lainnya.
- Metode yang dipakai dalam pembuatan audit “Memastikan Keamanan Sistem” mengacu pada standar IT
Dengan mengunakan COBIT akan dilakukan tahapan - tahapan sebagai berikut :
- Menemukan pemahaman tentang kebutuhan bisnis yang berkaitan dengan teknologi informasi dan risiko yang mungkin terjadi terkait dengan Keamanan Sistem [DS-5].
- Melakukan evaluasi dengan menilai efektivitas control measure yang ada, atau tingkat pencapaian kontrol obyektif keamanan sistem [DS-5]
- Menilai kepatuhan, dengan menjamin control measure yang telah ditetapkan akan berjalan sebagaimana mestinya, konsisten dan berkelanjutan serta menyimpulkan kesesuaian lingkungan kontrol.
- Memperkirakan resiko yang mungkin terjadi karena tidak mematuhi kontrol objektif [DS-5].
- Memberikan Rekomendasi yang diperlukan pada hal-hal yang terkait dengan keamanan sistem [DS-5].
IMPLEMENTASI
A. Memeriksa arsitektur teknologi informasi yang dapat mewadahi kebutuhan interkoneksi dengan standar transaksi yang telah berjalan, seperti : EDI (Electronic Data Interchange), Messaging (ISO, XML, SWIFT, dll), WAP dan standar lainnya.
Dari definsi CSF Teknologi secara umum, maka akan mendapatkan pemdekatan yang dilakukan untuk menilai hal kritis yang timbul dari area Keamanan Sistem [DS-5] berupa kebutuhan integrasi dan arsitektur keamanan dengan pemakaian teknologi kemanan yang layak dan memiliki standar.
- Seluruh rencana keamanan dikembangkan meliputi pembangunan kesadaran personil, penetapan standar dan kebijakan yang jelas, identifikasi efektifitas biaya dan pengembangan berkelanjutan serta pemberdayaan dan monitoring.
- Adanya kesadaran bahwa perencanaan keamanan yang baik.
- Manajemen dan Staff memiliki pemahaman yang cukup terhadap kebutuhan keamanan dan memiliki kesadaran dan untuk bertanggung jawab atas keamanan mereka sendiri.
- Bagian keamanan memberikan laporan kepada senior manajemen dan bertanggung jawab untuk mengimplementasikan perencanaan keamanan.
- Evaluasi Pihak ketiga atas arsitektur dan kebijakan keamanan dilakukan secara periodik
- Adanya program generator akses yang mengidentifikasi layanan keamanan.
- Bagian keamanan memiliki kemampuan untuk mendeteksi, merekam, meneliti, melaporkan dan malakukan tindakan yang sesuai dengan gangguan keamanan yang terjadi, dan mengurangi terjadinya gangguan dengan pengujian dan monitoring keamanan.
- Adannya proses pengelolaan user yang terpusat dan sistem yang menyediakan identifikasi dan autorisasi user dengan cara yang efisien dan standar.
- Proses autentifikasi user tidak membutuhkan biaya tinggi, jelas dan mudah digunakan.
B. Mengukur Indikator Capaian Hasil yang ditetapkan kerangka COBIT dalam Key Goal Indicator (KGI) dan Key Performance Indicators
- [70%] Tidak ada kejadian yang menyebabkan kebingungan publik
- [90%] Adanya laporan langsung atas peristiwa ganguan keamanan.
- [80%] Adanya kesesuaian antara hak akses dan tanggung-jawab organisasi
- [70%] Berkurangnya jumlah implementasi-implemetasi baru, mengakibatkan penundaan atas keamanan
- [80%] Terpenuhinya kebutuhan keamanan minimal
- [80%] Berkurangnya jumlah insiden yang diakibatkan oleh akses yang tidak diotorisasi, kehilangan dan ketidaklengkapan informasi
Indikator Kinerja yang digunakan dibutuhkan untuk medukung tercapainya Indikator Tujuan dari DS-5 (Memanstikan Kemanan Sistem), dimana indikator tersebut telah didefinisikan dalam Framework COBIT sebagai berikut :
- Berkurangnya Jumlah aduan, perubahan permintaan dan perbaikan yang berkaitan dengan layanan keamanan.
- Jumlah downtime yang disebabkan oleh peristiwa yang berkaitan dengan keamanan.
- Berkurangnya jumlah permintaan perubahan atas administrasi keamanan.
- Meningkatnya jumlah sistem yang dilengkapi proses deteksi atas penyusupan.
- Berkurangnya selisih waktu antara deteksi, pelaporan dan aksi atas peristiwa gangguan keamanan.
C. Perhitungan Model Maturistas, dimana Model ini akan merupakan diskripsi dari posisi relatif perusahaan terhadap kondisi industri, maupun kondisi yang diinginkan kedapannya terkait dengan visi dan misi PT. XYZ Indonesia sebagai enterprise. Dari hasil audit yang diukur dengan menginterpretasikan bobot nilai jawaban terhadap jumlah pertanyaan yang mewakili kontrol obyektif pada DS-5 COBIT, diperoleh nilai indeks maturitas 3,46. skala yang didefinsikan terkait dengan maturitas pada Framework COBIT akan mengacu pada tabel berikut :
SKALA MATURITY
---------------------------------------------------------
0 – 0.5 Non-Existent (Tidak ada)
0.51 – 1.5 Initial/Ad Hoc (Inisial)
1.51 – 2.5 Repeatable But Intuitive (Pengulangan Proses berdasarkan intuisi)
2.51 – 3.5 Defined Process (Proses Telah didefiniskan)
3.51 – 4.5 Managed and Measurable (Dikelola dan terukur)
4.51 – 5 Optimised (Optimaisasi)
KESIMPULAN
Dari hasil perencanaan Implementasi diatas akan diperoleh data-data hasil temuan audit. Data-data hasil temuan audit ini nantinya akan dibagi menjadi ringkasan-ringkasan yang dimasukkan ke dalam kategori berikut :
- Temuan Audit yang sifatnya kondisi maupun pernyataan, misalnya:
- Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
- Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sistem.
- Temuan audit yang membutuhkan perhatian dengan segera, rekomendasi dari area permasalahan misalnya akan berupa:
- Penting adanya evalusi Hak akses user secara priodik dengan teratur dan dilakukan direview evaluasi bahwa hak akses tersebut masih relevan dengan kebutuhan organisasi, dimana pada PT. XYZ telah dilakukan, namun frekuensi per periodenya belum ditetapkan dengan jelas
- Belum digunakan teknik kriptografi sistem aplikasi yang dikembangkan, sehingga akan menciptakan potensi lubang keamanan sistem yang cukup signifikan.
- Temuan Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya, bagi terciptanya Tata Kelola IT pada PT. XYZ Indonesia dengan lebih baik, misalnya :
- Adanya evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.
- Bagian keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan akses.
- Setiap transaksi tercatat dalam log file yang terkelola baik dan terpusat.
- Telah ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan akses di luar otoritasnya.
Dari hasil Temuan kemudian akan dibuat rekomendasi-rekomendasi yang dibuat untuk pembenahan Infrastruktur keamanan IT pada PT XYZ ini. Rekomendasi-rekomendasi ini nantinya bisa dibagi menjadi :
Rekomendasi Mempertahankan Aktifitas, seperti:
- Adanya evaluasi pihak ketiga atas arsitektur keamanan jaringan yang telah dilakukan secara periodik [4x dalam setahun ]
- Adanya pengamanan khusus atas transaksi tertentu yag hanya dapat dilakukan pada terminal-terminal tertentu saja dengan sistem user yang telah dilakukan pengelolaan secara terpusat
- Adanya upgrade berkala pada sistem keamanan yang digunakan.
- Telah digunakannya sistem firewall yang melindungi jaringan internal dengan jaringan publik dan adanya pengaman akses jaringan secara hardware (dengan dilakukan pendaftaran mac address untuk host yang diijinkan terkoneksi dalam jaringan).
Rekomendasi Meningkatkan Aktifitas Dengan Manajerial Yang Lebih Baik, seperti:
- Traning mengenai keamanan sistem untuk semua personil PT. XYZ Indonesia harus selalu ditingkatkan [Rekomensai Usulan Proyek Peningkatan SDM]
- Sebaiknya dilakukan review dan validasi ulang secara berkala terhadap account user untuk meningkatkan integritas akses.
- Transaksi-transaksi penting hendaknya dilengkapi dengan konsep/teknik digital signature. [Rekomendasi Usulan Proyek Infrastruktur dan Autorisasi Modern]
- Perlunya peningkatan pengelolaan user jaringan sehingga seluruh komputer menggunakan otorisasi terpusat, sehingga tidak ada lagi istilah supporting komputer yang dapat di install bebas tanpa otorisasi dari admin jaringan.
- Review atas hak akses user secara periodik untuk memastikan hak akses yang diberikan selalu sesuai dengan kebutuhan organisasi (tidak hanya bersifat insindental).
Rekomendasi yang bersifat investasi dan pembernahan infrastruktur, seperti:
- Peningkatan Sistem Keamanan Teknologi Informasi dengan memanfaatkan teknologi biometrik, dynamic passwaord maupun teknologi pengamanan terkini lainnya.
- Sebaiknya pengamanan (password) sistem aplikasi menggunakan teknik enkripsi/kriptografi.
DAFTAR PUSTAKA
COBIT 4.0, Control Objectives, Management Guidelines and Maturity Models. IT Governance Institut. 2005
Fitrianah, Devi dan Yudho Giri Sucahyo. AUDIT SISTEM INFORMASI/TEKNOLOGI INFORMASI DENGAN KERANGKA KERJA COBIT UNTUK EVALUASI MANAJEMEN TEKNOLOGI INFORMASI DI UNIVERSITAS XYZ. Fakultas Ilmu Komputer, Universitas Mercu Buana, Indonesia
Sasongko, Nanang. PENGUKURAN KINERJA TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT VERSI. 4.1, PING TEST DAN CAAT PADA PT.BANK X Tbk. DI BANDUNG. Jurursan Akuntansi Fakultas .Ekonomi Universitas Jenderal Achmad Yani (UNJANI) Cimahi, Bandung