IT Quality Assurance and Control: Audit TI

Audit Teknologi Informasi: Pengertian, Cakupan dan Keterlibatannya

Peranan Teknologi Informasi sudah menjadi bagian yang tidak terpisahkan dari kehidupan sehari-hari termasuk pula dalam dunia usaha atau bisnis. Semua bagian atau departemen baik secara langsung maupun tidak langsung sudah memanfaatkan teknologi dalam membantu mengerjakan tugas-tugas mereka.

Sejalan dengan makin berkembangnya potensi teknologi dalam mengubah organisasi dan proses bisnis, peranan auditor Sistem Informasi menjadi semakin besar. Gallegos (1998) menjelaskan bahwa IT memberikan pengaruh yang besar pada lingkungan bisnis dalam tiga cara yang sangat signifikan:

  • IT telah meningkatkan kemampuan perusahaan untuk mengumpulkan, menyimpan, menganalisa dan memproses data dalam jumlah yang sangat luar biasa yang pada akhirnya bisa mempengaruhi atau mengubah proses produksi maupun proses lainnya dalam perusahaan
  • IT juga mempengaruhi proses kendali atau kontrol dalam perusahaan. Dikarenakan teknologi telah mempengaruhi proses di perusahaan sedemikian rupa, maka kontrol terhadap proses perusahaan juga mengalami perubahan dikarenakan kontrol pada proses manual dan proses otomatis sangat berbeda. Meskipun tujuan akhir dari kontrol tersebut adalah sama.
  • IT telah mempengaruhi profesi auditor  dalam pengertian pengetahuan dan keahlian yang diperlukan untuk melakukan audit dan juga pengetahuan dalam membuat kesimpulan

Perusahaan saat ini sedang berlomba-lomba untuk berubah dan perubahan itu tidak mungkin terjadi tanpa bantuan IT. IT telah memberikan pengaruh yang sangat signifikan terhadap perekonomian, sosial dan politik di dunia akhir-akhir ini. Pemain bisnis memiliki ketergantungan yang sangat besar terhadap Teknologi Informasi, oleh karena itu kendali terhadap IT menjadi sangat penting.

Menurut Singleton (2014) Audit Teknologi Informasi adalah kegiatan melakukan identifikasi dan kendali yang sesuai pada teknologi informasi untuk meminimalisir resiko ke level yang dapat diterima. Sedangkan menurut Seft (2009) tugas dari audit TI adalah untuk memastikan bahwa kendali internal tersedia dengan baik dan dapat beroperasi dengan baik dan efektif serta dapat menjaga integritas data dan mengelola akses terhadap informasi.

Senft (2009) melanjutkan bahwa terdapat 4 cakupan dari Audit Teknologi Informasi yaitu

  • IT Audit organisasional, di mana audit dilakukan terhadap pengendalian IT oleh manajemen
  • IT Audit teknikal, meliputi infrastruktur, data center, dan komunikasi data
  • IT Audit aplikasi, meliputi aplikasi bisnis, finansial, dan operasional
  • IT Audit pengembangan/implementasi, berhubungan dengan spesifikasi/kebutuhan, desain, pengembangan dan fase paska implementasi

Sedangkan Simpson menjelaskan bahwa terdapat 4 area utama aktivitas audit TI:

  • Sistem yang sedang dibangun

Lebih detil dijelaskan oleh Simpson bahwa peranan Audit TI pada sistem yang dibagun adalah untuk memberikan pandangan objektif terhadap manajemen proyek dan memastikan akuntabilitas dari proyek. Termasuk pula didalamnya level keamanan dan kontrol yang akan diimplementasikan sesuai dengan resiko yang sudah teridentifikasi

  • Sistem yang sudah berjalan

Secara berkala melakukan evaluasi terhadap keamanan dan kendali terhadap aplikasi dalam perusahaan. Baik dari sisi aplikasi maupun dari sisi Infrastruktur IT

  • Infrastruktur IT

Berikut area-area yang menjadi perhatian dalam audit IT:

  • Keamanan fisikal contoh: CCTV, akses ke ruang IT, proteksi terhadap bajir dan kebakaran
  • Perencanaan cadangan, yang harus dipersiapkan jika terjadi kegagalan pada sistem IT Infrastruktur. Contoh: backup data, backup jaringan, DRC
  • Akses Logikal, dilakukan dengan pembatasan akses ke tiap personal sehubungan dengan akses terhadap aktivitas pada aplikasi
  • Perubahan, pengendalian terhadap perubahan diperlukan untuk memastikan sebelum perubahan dilakukan terhadap environment live diuji coba terlebih dahulu di lingkungan testing
  • Sistem Operasi, untuk memastikan keamanan dan integritas sistem operasi tidak terganggu.
  • Telekomunikasi, memastikan terdapat cukup kendali dan keamanan terhadap jaringan komunikasi perusahaan
  • Kriptografi, memastikan enkripsi aman dan terdapat audit-trail serta pembuatan kunci terkendali dengan baik
  • Pengoperasian Komputer, audit dilakukan untuk memastikan kendali terhadap data yang dipersiapkan, proses yang dilakukan serta output yang dihasilkan.
  • Database, audit dilakukan untuk memastikan integritas dan ketersediaan database, serta memastikan pembagian fungsi database administrator dan operasi fungsi dan support benar-benar terpisah
  • Media Penyimpanan, audit dilakukan untuk memastikan kendali dilakukan terhadap penggunaan dan penyimpanan sehingga terlindungi dari kecelakaan atau kerusakan yang disengaja
  • Otomasi audit

Otomasi audit dilakukan dengan 2 pendekatan:

  • Audit tools, dalam hal ini menggunakan CAATS (Computer Assisted Audit Techniques) yang merupakan bagian integral dalam melakukan review audit untuk tujuan efektivitas dan efisiensi
  • Administration tools, pemanfaatan tools untuk mendukung administrasi proses audit di area perencanaan, penilaian resiko, pengaturan jadwal, pembuatan dokumen kerja dan presentasi

Dapat disimpulkan bahwa audit TI memiliki peranan penting bagi perusahaan agar dapat menjalankan kegiatan perusahaan dengan baik dan dapat meminimalisir resiko yang mungkin muncul ke dalam level yang lebih bisa diterima oleh perusahaan

Kontrol dan Audit TI dalam Dunia Virtual

Perkembangan dunia IT yang makin pesat membuat pergeseran dalam perusahaan mengelola teknologi informasi dari yang sebelumnya melakukan investasi pada PC, server fisikal menjadi berfokus pada virtualisasi dengan tujuan untuk efisiensi biaya akan tetapi di saat yang bersamaan tetap memastikan tujuan perusahaan tetap berjalan. Perusahaan dituntut untuk fleksibel dan agile di dunia yang semakin dinamis.

Dengan berpindahnya organisasi ke dunia virtual, pemahaman terhadap implikasi pada keamanan dan audit perlu dilakukan selain itu perlu diketahui pula fitur-fitur yang ditawarkan oleh virtual machine farms dan virtual machine manager. Virtualisasi sendiri menurut definisi dari PCI DSS ver 2.0 merujuk pada logical abstraksi sumber daya komputasi dari sumber daya fisikal yang terbatas. Abstraksi logical yang dimaksud di sini adalah VM (Virtual Machine). Disimpulkan di sini dengan perangkat fisikal terbatas baik dalam jumlah CPU, Memory dan Storage dapat dibangun beberapa VM sesuai dengan kebutuhan kita.Lingkungan virtual ini bisa dibangun sendiri atau dapat pula menyewa dari penyedia jasa

Kontrol TI dan audit begitu penting di lingkungan virtual seperti sekarang ini dikarenakan saat ini penggunaan mesin menjadi semakin marak dibanding dengan penggunaan mesin fisikal dilihat dari valuenya bagi perusahaan. Meskipun demikian mesin virtual juga perlu diamankan dan diaudit sama perlakukannya dengan server jaringan fisikal.

Beberapa pengukuran seperti prosedur dan checklist dapat digunakan kembali menurut Singleton (2014) misalnya:

  • Hardening sistem dan keamanan
  • Kendali perubahan
  • Penutupan akses yang tidak diijinkan ke perangkat maupun aplikasi
  • Segmentasi jaringan
  • Monitoring
  • Logging
  • Alerting
  • Dan dokumentasi

Beberapa tambahan audit lainnya adalah:

  • Visibilitas
  • Manajemen konfigurasi
  • Manajemen jaringan
  • Disaster recovery

Sedangkan menurut PCI DSS ver 2.0 beberapa resiko yang mungkin muncul dari lingkungan yang tervirtualisasi adalah

  • Kelemahan yang muncul di lingkungan fisikal juga masih tetap ada pada lingkungan virtual termasuk di dalamnya kelemahan pada sisi aplikasi maupun sistem operasi maupun dari sisi jaringan
  • Hypervisor sebagai sumber serangan baru. Hypervisor merupakan pintu masuk ke lingkungan virtual sekaligus single point of failure.
  • Makin kompleksnya sistem dan jaringan virtualisasi. Dengan semakin kompleksnya sebuah sistem virtual, semakin kompleks pula upaya untuk mengelola sistem ini. Dengan peningkatan kompleksitas ini , kegagalan konfigurasi atau ancaman yang bisa terjadi. Contoh: pembuatan instance yang direplikasi setiap pembuatan VM baru memungkinkan kelemahan sistem juga tereplika ke seluruh ekosistem.
  • Terdapat lebih dari satu fungsi per sistem fisikal. Pada lingkungan ini bila sebuah fungsi sistem terkompromi maka fungsi lainnya dalam sistem fisikal yang sama bisa terkena resiko yang sama
  • Menggabungkan VM dari trust level yang berbeda. VM dengan level rendah lebih mudah terkompromi, kemudian dapat menjadi batu pijakan untuk menyerang VM dengan trust level yang lebih tinggi.
  • Pembagian tugas dan tanggung jawab. Dikarenakan semakin bertambahnya akses ke berbagai perangkat virtual dan fungsi dari satu user atau dari satu lokasi logical, maka monitoring dan pemisahan tugas dan tanggung jawab menjadi hal yang krusial
  • VM Non aktif. VM non aktif dapat menjadi sebuah ancaman keamanan karena tidak termonitor dengan baik dan bisa dimanfaatkan oleh orang tertentu untuk melakukan kejahatan
  • VM Image dan Image dan Snapshots bertujuan untuk memudahkan dalam pembangunan VM baru atau juga untuk mengembalikan VM dalam waktu yang singkat. Kompromi terhadap image atau snapshot tersebut dapat menyebabkan penyerang untuk mengambil akses dan memasukkan kode malicious ke dalam sistem.
  • Solusi Monitoring. Solusi monitoring yang baik diperlukan untuk memantaukan sistem lebih baik termasuk level monitoring dan logging terhadap semua komponen di dalam lingkungan virtual
  • Kebocoran Informasi antar segmen Jaringan Virtual. Informasi yang bocor dapat dieksploitasi agar dapat meneruskan kendali keamanan di level jaringan
  • Kebocoran Informasi antar Komponen Virtual. Kebocora informasi ini dapat dimanfaatkan penyerang untuk mengambil informasi di komponen lain dalam satu host.

Dapat disimpulkan meskipun lingkungan virtual lebih mudah dikelola dan lebih tersentralisai, akan tetapi memiliki kerentanan yang lebih tinggi dibandingkan dengan jaringan fisikal. Oleh karena itu perlu dilakukan audit secara menyeluruh dari sejak sebelum implemetasi dan dilanjutkan dengan audit rutin. Pengukuran dan checklist yang umumnya digunakan pada lingkungan fisikal juga wajib dijalankan di lingkungan virtual.

Kontrol dan Audit di Lingkungan Global saat ini

Masalah utama terkait kontrol dan audit di lingkungan global saat ini menurut Senft (2009) adalah kompleksitas pada teknologi dan protocol komunikasi yang melibatkan intranet, internet, EDI (electronic data interchange), client server, LAN/WAN, komunikasi data, teknologi nirkabel dan integrasi sistem data/suara/video. Keberagaman sistem yang berkembang saat ini mengharuskan kontrol dan audit menjadi lebih luas dan mendalam. Sebagai contoh:

  1. Pendekatan audit resiko bisa berbeda
  2. Penyesuaian teknik dan perangkat audit dengan kondisi dan perkembangan jaman
  3. Penggunaan standar audit untuk meningkatkan kualitas sistem dalam pengembangan software dan sesuai dengan standar keamanan perlu menjadi perhatian
  4. Untuk dapat melakukan audit atau kontrol diperlukan pengertian terhadap peranan bisnis dan ekspektasi dari audit maupun kontrol terhadap sistem yang sedang dibangun maupun dibeli serta manajemen proyek
  5. Perlunya melakukan pengecekan dan verifikasi secara berkala terhadap kepatuhan organisasi terhadap isu legal yang dapat menempatkan perusahaan pada resiko

Beberapa keuntungan melakukan Audit TI menurut Dube dan Gulati (2005):

  1. Pemetaan kendali bisnis dan sistem aplikasi

Auditor TI dapat memastikan pada tahapan awal sistem kendali yang dibutuhkan pada sistem. Auditor yang sama tidak boleh melakukan audit pada saat setelah implementasi sistem

2. Business Process Reengineering (BPR)

Pada saat absorpsi TI semakin efektif terdapat beberapa kemungkinan kendali dasar terhadap sistem terlupakan atau terjadi kesalahan konfigurasi yang dapat memberikan dampak serius pada perusahaan. Auditor TI harus terlibat dalam proses BPR untuk memastikan kendali yang dibutuhkan bisnis tetap ada pada saat proses re-engineering

3. IT Security Policy

Auditor TI dapat memberikan petunjuk kebijakan TI yang efektif dalam perusahaan

4. Security Awareness

Auditor TI dapat membantu meningkatkan level kesadaran keamanan di antara para pengguna TI. Hal ini juga memnotivasi administrator sistem menjalankan tugasnya dengan baik

5. Better Return of Investment (ROI)

Auditor TI memastikan pula kepatuhan TI termasuk di dalamnya pengukuran performa, nilai investasi TI dan keselarasan TI dengan bisnis.

6. Risk Management

Manajemen resiko yang efektif merupakan kunci kesuksesan perusahaan, oleh karena itu peranan Auditor TI sangatlah penting untuk memastikan resiko termitigasi dengan baik

Ron Weber (1999) menuliskan bahwa seorang auditor harus mengerti bisnis lebih baik daripada client mereka. Dan analogi yang sama berlaku bagi Auditor TI yang harus lebih mengerti mengenai TI ketimbang manajer TI di organisasi tersebut.

Audit dan kontrol secara rutin dan terus-menerus perlu dilakukan. Senantiasa ter-update atas regulasi, peraturan, standar dan teknologi terkini juga menjadi nilai tambah dalam menjalankan audit dan kontrol dalam organisasi. Akan tetapi tantangannya adalah perkembangan teknologi berjalan lebih cepat dari pada standar audit, regulasi dan pengetahuan yang dapat mendukung pengetahuan untuk melakukan fungsi audit dan kendali dalam organisasi.

E-Cash dan Kontrol TI terhadap E-Cash

Sheehan (1998) dalam artikelnya menuliskan electronic cash (e-cash) merupakan kartu pembayaran yang dapat dipakai untuk melakukan pembayaran produk dan jasa sama seperti menggunakan uang kertas. E-cash memiliki sistem penguncian elektronik sehingga lebih aman ketimbang membawa uang kertas dan juga lebih nyaman untuk dibawa-bawa. Termasuk pula keuntungan tidak adanya otorisasi ataupun tandatangan sehingga proses pembayaran lebih cepat.

Tentunya dalam penerapan teknologi baru perlu ada kendali terhadapnya agar meminimalisir kerugian yang dapat dialami pengguna, merchant atau toko dan pihak bank sendiri. PCI-DSS menegaskan hal- hal yang perlu menjadi kontrol TI terkait e-cash adalah:

  • Akses
    sistem dapat mengidentifikasi pemilik kartu, inventori aset TI dan proses TI yang berhubungan dengan pemrosesan pembayaran dengan kartu, dan menganalisa celah yang dapat membocorkan identitas pemilik kartu
  • Perbaikan
    melakukan perbaikan pada celah yang ditemukan serta tidak menyimpan informasi data pemilik kartu kecuali bila benar-bena dibutuhkan
  • Laporan
    membuat laporan secara berkala terkait pemeriksaan dan perbaikan sehubungan dengan celah yang ditemukan
  • Compliance terhadap PCI DSS (Payment Card Industry Data Security Standards) dapat meningkatkan tingkat kepercayaan customer, menghilangkan resiko kehilangan data, proteksi terhadap nama baik perusahaan. PCI DSS sendiri dikembangkan untuk meningkatkan keamanan data pemegang kartu dan memfasilitasi adopsi kebutuhan teknikal dan operasional yang didesain untuk melindungi keamanan data.

Secara garis besar PCI DSS mencakup hal-hal berikut:

PCIDSS

Dapat disimpulkan bahwa peranan teknologi memang membuat hidup lebih mudah dan nyaman seperti pada penggunaan e-cash sehingga tidak perlu lagi membawa banyak uang tunai. Akan tetapi kenyamanan cenderung berbanding terbalik dengan keamanan, sehingga resiko yang berhubungan dengan pemanfaatan e-cash cukup besar karena berhubungan dengan tingkat kepercayaan baik antara Pengguna, Bank dan Toko. Oleh karena toko dan bank perlu mengikuti diaudit secara berkala sesuai dengan standar dari PCI DSS agar kepercayaan pelanggan tetap terjaga dan di saat yang bersamaan memastikan investasi yang berhubungan dengan e-cash ini dapat dimanfaatkan dengan baik.

Auditor TI dan Lingkungan Hukum Sistem Informasi

Perkembangan TI yang demikian pesat membuka peluang pula bagi para pelaku kejahatan. Kerugian yang dialami merupakan kerugian finansial melalui pencurian informasi dan penipuan finansial. Seft (2009) mengkategorikan 3 kategori utama kejahatan yang berhubungan dengan komputer:

  1. Kejahatan yang ditargetkan pada individual atau komputer individual. Contoh: pencurian informasi, akses yang tidak sah atau modifikasi data. Umumnya kejahatan dilakukan dengan mendapatkan akses super user ke dalam komputer tersebut.
  2. Kejahatan menggunakan komputer. Contoh: penipuan kartu ATM, kartu kredit, telekomunikasi dan penipuan keuangan menggunakan transaksi komputer.
  3. Komputer tidak selalu dijadikan media kejahatan. Contoh: pornografi anak

Peraturan sehubungan dengan kejahatan komputer sudah semakin banyak dibuat, akan tetapi belum cukup untuk melindungi pengguna komputer dari kejahatan yang dapat mengancam mereka. FBI National Computer Crime Squad memiliki beberapa saran sehubungan dengan perlindungan terhadap kejahatan komputer:

  1. Mengaktifkan layar login untuk memastikan tidak terjadi akses tidak sah ke dalam komputer tersebut
  2. Mengaktifkan audit trail
  3. Melakukan monitoring di level yang lebih detil termasuk keystroke tapping atau pelacakan pada telepon
  4. Memasang caller ID
  5. Membuat backup data
  6. Menyimpan backup lama
  7. Menunjuk seseorang untuk mengamankan bukti-bukti keamanan seperti backup tape atau dokumen kertas di dalam lemari terkunci dengan akses terbatas
  8. Memiliki data mengenai orang-orang yang menggunakan sumber daya untuk membangun sistem
  9. Enkripsi file
  10. Enkripsi transmisi data
  11. Menggunakan OTP (One Time Password) generator
  12. Menggunakan firewall

Selain berperan untuk mengaudit TI, Auditor TI juga perlu memberikan rekomendasi pengamanan sistem untuk memastikan client tidak terkena dampak dari resiko sehubungan dengan kejahatan cyber.

Auditor TI perlu pula mengetahui tentang isu hukum sistem informasi karena dengan makin cepatnya perkembangan teknologi temuan isu yang berhubungan dengan keamanan dan privasi juga makin berkembang dan harus segera dicarikan solusinya. Temuan seperti ini harus menjadi perhatian bagi IT auditor karena dampaknya bagi organisasi.

Peraturan dan standar regulasi dari pemerintah juga dituntut untuk senantiasa diperbaharui demi memastikan warganya terlindungi dengan baik.

Auditor TI dituntut untuk mengetahui hukum, regulasi dan standar yang berhubungan dengan TI agar dapat melakukan fungsi kontrol dan audit dengan lebih efektif dan lebih baik.

Sumber:

Butler, J.,Vandenbrink, R.(2009). IT Audit for Virtual Environment. SANS Analyst Program. Diakses pada 12 Maret 2017

Dube,D.P., Gulati, V.P. (2005). Information System Audit and Assurance. New Delhi: Tata McGraw-Hill Publishing Company Limited.

Gallegos, F. (1998). Model Curricula for Information Systems Auditing at the Undergraduate and Graduate Levels. Illinois:ISACF.

Payment Card Industry (PCI) Data Security Standard.(2016). Requirements and Security Assessment Procedures ver 3.2.

Senft, S., Gallagos, F. (2009). Information Technology Control and Audit (3rd ed.). Boca Raton, FL: CRC Press

Sheehan, K.(1998).Electronic Cash. FDIC BANK Review. (https://www.fdic.gov/bank/analytical/banking/1998summ/ecash.pdf) diakses pada 12 Mar 2017.

Simpon, B. An Introdution to Computer Auditing.

Singleton,T.(2014).IS Audit Basics: The Core of IT Auditing.ICASA Journal,6. (https://www.isaca.org/Journal/archives/2014/Volume-6/Pages/The-Core-of-IT-Auditing.aspx) diakses pada 11 Maret 2017.

Virtualization Special Interest Group PCI Security Standards Council. (2011). PCI DSS Security Standard (PCI DSS) version 2.0 Information Supplement: Virtualization Guidelines. PCI Security Standards Council.

Weber,R. (1999). Information Systems Control and Audit. Prentice Hall.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s