IS Quality Assurance & Control : Case Study PT Bank Perkreditan Rakyat Maju Bersama

(Case Study)

PT Bank Perkreditan Rakyat Maju Bersama adalah sebuah perusahaan yang bergerak dalam bidang perbankan.

PT BPR Maju Bersama saat ini memiliki sistem informasi namun belum menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR Maju Bersama. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program akuntansi menggunakan program aplikasi yang dibangun dengan Visual C.

Data untuk penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI, perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output komputer dan tidak memerlukan verifikasi.

Server PT Majuku berada di kantor pusat yang berada di Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan transaksi menggunakan fasilitas internet.

Perusahaan belum menyusun BCP. Namun berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR Maju Bersama tidak menggunakan audit log dengan alasan membuat penuh memory pada server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Hal yang perlu Anda analisis – sintesis:

Apabila Anda adalah auditor yang ditugaskan untuk melakukan audit terhadap sistem informasi perusahaan tersebut:

  1. Tentukan risiko yang muncul berdasarkan kasus di atas!
  2. Lakukan tahap-tahap audit, jika perlu tambahkan asumsi yang Anda anggap perlu!
  3. Berikan Rekomendasi perbaikan TI PT BPR Maju Bersama!

–o0o—

Risiko – risiko dalam Proses Audit Sistem Informasi PT BPR Maju Bersama

Peranan IT dalam organisasi semakin meningkat dalam membantu kegiatan bisnis atau mencapai tujuan organisasi. Oleh karena itu penanganan resiko yang berhubungan dengan IT menjadi lebih penting karena besarnya ketergantungan organisasi dan risiko kehilangan aset IT menjadi semakin kritikal.

Srivastava dan Shafer (1992) menyatakan risiko merupakan hal-hal negatif yang dipercaya dapat muncul.  Stoneburner (2002) dari NIST mengatakan risiko adalah dampak negatif dari kelemahan sistem baik dari sisi kemungkinan terjadinya serta dampak bila hal tersebut terjadi. Oleh karena itu diperlukan manajemen risiko di mana prosesnya terdiri dari identifikasi risiko, menilai risiko dan mengambil langkah-langkah yang diperlukan untuk mengurangi risiko sampai ke level yang dapat diterima. Tujuan akhirnya adalah membantu organisasi mencapai misi mereka dengan mengelola keamanan sistem informasi, memungkinkan manajemen mendapatkan cukup informasi agar dapat mengambil keputusan terbaik sehubungan dengan investasi TI dalam rangka pengelolaan risiko, dan membantu manajemen dengan memberikan dokumentasi pendukung dari pengelolaan risiko manajemen.

Manajemen Risiko terdiri dari 3 proses utama yaitu penilaian risiko, mitigasi risiko dan penilaian serta evaluasi resiko. Risiko manajemen memungkinkan Manajer TI mengimbangkan operasional perusahaan dengan biaya yang dikeluarkan untuk melindungi sistem IT dan data yang tersimpan di dalamnya untuk mendukung objektif organisasi.

Stoneburner (2002) menjelaskan bahwa aktivitas penilaian resiko terdiri dari 9 langkah seperti yang digambarkan sebagai berikut:

NIST Risk AssessmentGambar 1. Aktivitas Penilaian Risiko

Dapat disimpulkan penilaian resiko dalam kasus PT Bank Perkreditan Rakyat Maju Bersama berdasarkan metode NIST SP 800-30 adalah:

  1. [High] Aktivitas dalam sistem TI yang tidak terlog. Dengan tidak diaktifkannya informasi logging, maka bila ada temuan dalam sistem TI sulit untuk dilakukan pelacakan penyebab sebuah kegagalan sebuah sistem.
  2. [High] Risiko terjadi kebocoran data insentif dan bonus karena terlalu banyak pihak yang terlibat dalam proses perhitungan hingga pendistribusiannya. Kerahasiaan informasi menjadi dipertanyakan karena banyak pihak yang dilibatkan
  3. [High] Password tertinggi dipegang oleh manager TI. Security Best Practice dari SANS Institute menjelaskan bahwa bukanlah ide yang baik untuk memberikan privilege superuser kepada user biasa. Resiko bila seseorang menyalahgunakan akun superuser adalah tidak terdeteksinya aksi penyalahgunaan akun berdasarkan siapa yang login.
  4. [Medium] Transaksi yang dilakukan dengan koneksi internet memungkinkan risiko pencurian data pada saat data transmisi menjadi lebih besar karena kontrol terhadap lalu lintas informasi terlalu luas. Berdasarkan survey yang dilakukan oleh Finn (2016) dari Symantec, rata-rata minimal 1 Zero Day Attack ditemukan per minggunya dan lebih dari 500 juta informasi personal hilang setiap minggunya karena kebocoran data.
  5. [Medium] Pengelolaan 2 sistem yang berbeda. Dengan adanya 2 aplikasi berbeda yang harus dikelola membuat level risiko menjadi 2 kali lebih besar dikarenakan perbedaan vulnerability yang harus dimitigasi risikonya
  6. [Medium] Isu keamanan sehubungan dengan penggunaan teknologi wireless. Menurut Weiss (2002), terdapat dua permasalahan utama sehubungan dengan teknologi wireless: paket nirkabel yang dikirim dapat didengar dan isu otentikasi. Isu tersebut perlu segera diatasi karena dengan makin meningkatnya penggunaan jaringan wireless, kebutuhan untuk keamanan jaringan semakin meningkat.
  7. [Medium] Tidak adanya BCP berupa Disaster Recovery Plan (DRP).  DRP didesain untuk memastikan proses bisnis vital perusahaan bisa tetap berjalan di saat peristiwa buruk terjadi (Martin, 2002).
  8. [Low]. Data operasional dan data backup tersimpan di lokasi yang sama. Martin (2002) menyatakan bahwa penyimpanan arsip software ditempatkan di luar lokasi. Hal ini bertujuan untuk mengurangi resiko kehilangan data actual dan data backup apabila sebuah peristiwa buruk terjadi.

Tahapan-tahapan dalam Melakukan Audit

Dalam melakukan IT audit terdapat beberapa tahapan seperti yang telah dikemukakan oleh Davis (2007). Terdapat 6 tahapan yaitu:

tahapan audit.png
gambar 2. Enam Tahapan Audit

  1. Perencanaan
  2. Kegiatan lapangan dan dokumentasi
  3. Menemukan permasalahan dan melakukan validasi
  4. Membangun solusi
  5. Membuat draf dan menerbitkan laporan
  6. Penelusuran permasalahan

Planning (Perencanaan)

Dalam tahap perencanaan yang dilakukan adalah menentukan tujuan serta ruang lingkup dari audit serta cara-cara yang perlu dilakukan untuk mencapai tujuan dari audit

 Fieldwork and Documentation (Kegiatan Lapangan dan Dokumentasi)

Merupakan bagian terbesar dari proses audit di mana kegiatan pengumpulan data dilakukan. Data yang dikumpulkan harus didokumentasikan dengan baik untuk menjelaskan kegiatan audit itu sendiri

Issue Discovery and Validation (Penemuan Permasalahan dan Melakukan Validasi)

Dalam tahapan ini permasalahan yang sudah dikumpulkan dilakukan validasi untuk memastikan permasalahan tersebut memang dapat menimbulkan risiko bagi perusahaan.

Solution Development (Membangun Solusi)

Bersama-sama dengan customer mendiskusikan setiap permasalahan yang dimunculkan dan mengembangkan solusi untuk mengatasi permasalahan tersebut

Report Drafting and Issuance (Membuat draf dan menerbitkan laporan)

Dalam laporan tersebut disampaikan :
– ruang lingkup audit
– ringkasan laporan
– kumpulan permasalahan beserta rencana penyelesaiannya

Issues tracking (Penelusuran Permasalahan)

Auditor penelusuran untuk memastikan permasalahan dapat diperbaiki atau diterima oleh manajemen perusahaan.

Senft (2009) menjabarkannya lebih detail dalam bentuk diagram di bawah di mana secara garis besar kegiatan audit dibagi menjadi:

  1. Planning (perencanaan)
  2. Audit
  3. Reporting (pelaporan)

kegiatan audit
gambar 3. Kegiatan Audit

Rekomendasi Perbaikan TI pada PT BPR Maju Bersama

Rekomendasi perbaikan dilakukan setelah penilaian risiko selesai dilakukan termasuk di dalamnya sumber ancaman dan kelemahan yang teridentifikasi, risiko yang dinilai serta rekomendasi kontrol yang diberikan. Hasil dokumentasi tersebut dibuat dalam bentuk laporan penilaian risiko yang kemudian diberikan kepada senior manajemen untuk keperluan pengambilan keputusan mengenai kebijakan, prosedur, anggaran, operasional sistem dan manajemen perubahan (Stoneburner, 2002).

Dapat disimpulkan rekomendasi yang dapat diberikan dalam kasus PT Bank Perkreditan Rakyat Maju Bersama berdasarkan metode NIST SP 800-30 adalah:

  1. [High] Untuk mengurangi kebocoran data insentif dan bonus maka perhitungan dan input data yang berhubungan dengan insentif dan bonus dilakukan oleh tim HR berdasarkan data yang diberikan oleh tim Marketing. Tim Finance dan Accounting melakukan fungsi pencatatan secara total. Pendistribusian dilakukan kembali oleh tim HR. Data yang berhubungan dengan karyawan seperti kompensasi dan benefit bersifat rahasia oleh karena itu akses terhadap informasi harus dilimitasi
  2. [High] Password superuser tidak boleh dipegang oleh satu orang. Pengelolaan akses superuser dapat dilakukan dengan SUDO pada LINUX atau Unix (Setty,2001). Menurut NIST SP800-123, administrator diberikan akses minimum yang cukup untuk melakukan pekerjaan mereka. Pengendalian pengelolaan password dapat dilakukan secara otomatisasi dengan melakukan menggunakan satu sistem terpusat untuk pengelolaan semua aplikasi, penyimpanan password di lemari besi di mana pengambilannya membutuhkan persetujuan dari manajemen, dan mengaktifkan monitor serta audit yang dapat melakukan penelusuran kegiatan yang dilakukan admin
  3. [High] Mengaktifkan audit trail untuk melakukan troubleshooting dan review aktivitas yang tidak sesuai. Menurut organisasi OWASP (The Open Web Application Security Project), log diperlukan untuk mengidentifikasi masalah keamanan, monitor pelanggaran kebijakan, menyediakan informasi mengenai masalah dan kondisi yang muncul serta untuk kebutuhan investigasi.
  4. [Medium] meminimalisir transaksi menggunakan fasilitas internet. Akses terhadap aplikasi dapat dilakukan hanya melalui jaringan lokal saja atau via internet dengan menggunakan VPN
  5. [Medium] Memelihara 2 aplikasi yang dibangun dengan Bahasa pemrograman yang berbeda membuat kegiatan pemeliharaan dan update berkala secara rutin harus dilakukan terhadap kedua sistem tersebut untuk memastikan minimum vulnerabilities ditemukan pada kedua sistem ini.
  6. [Medium] Meminimumkan penggunaan jaringan nirkabel ataupun bila tetap digunakan level keamanan perlu ditingkatkan. Menurut Martin (2002) perusahaan beralih dari penggunaan WEP atau WEP2 ke server RADIUS atau Kerberos untuk otentikasi.
  7. [Medium] Pembuatan prosedur untuk BCP (Business Continuity Plan). Menurut Martin (2002) dalam BCP perlu dimasukkan di dalamnya penilaian aplikasi kritikal, prosedur backup, prosedur recovery, prosedur implementasi, prosedur testing dan rencana pemeliharaan. Tujuan pembuatan perencanaan ini adalah untuk mendokumentasikan pada yang perlu dilakukan sehubungan dengan sebuah kejadian, hal ini untuk mengurangi keputusan yang harus dibuat pada saat kejadian terjadi.
  8. [Low] Sebagai bagian dari BCP, data backup dan data operasional ditempatkan di lokasi yang berbeda dan disimpan di dalam lokasi brankas yang tahan api. Kegiatan firedrill sebagai latihan untuk restore data perlu dilakukan secara rutin

Sumber:

(2010). Enterprise PDM – Backup and Restore. Enterprise PDM

Chris Davis. (2007). IT Auditing : Using Controls to Protect Information Assets. 00. McGraw Hill.

Finn,D.S. (2016). The 2016 Internet Security Threat Report.

Martin,B.C. (2002). Disaster Recovery Plan Strategies and Processes. SANS Institute.

Sandra Senft. (2009). Information technology control and audit. 03. CRC Press.

Setty,H. (2001). System Administrator – Security Best Practices. SANS Institute.

Srivastava, R. P., and G. Shafer. (1992). Belief-Function formulas for audit risk. The Accounting Review, 67(2), 249-283.

Stoneburner,G.,Goguen,A.,Feringa,A. (2002). Risk Management Guide for Information Technology Systems. NIST Special Publication 800-30.

OWASP Cheat Sheet. [HTML]. https://www.owasp.org/index.php/Logging_Cheat_Sheet diakses tanggal 2 April 2017.

Weiss,J. (2002). Wireless Networks: Security and Problems. SANS Institute.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s