Contoh Audit Sistem Informasi Untuk Memastikan Keamanan Sistem Menggunakan COBIT sebagai Model Tata Kelola IT pada Perusahaan Besar (Wide Enterprise)

Pada konsep COBIT, Delivery dan Support (DS) merupakan akrea yang berkaitan dengan bidang keamanan termasuk tata kelola autorisasi dan enkripsi sistem. Audit DS-5 bertujuan untuk memastikan keamanan sistem pada Tata Kelola IT, akan digunakan dengan framework Control Objectives for Information and related Technology (COBIT). Cobit membantu memenuhi berbagai kebutuhan manajemen dengan menghilangkan perbedaan antara resiko bisnis, mengendalikan kebutuhan dan isu teknis. CobiT menyediakan good practice menyeberangi kerangka domain dan proses juga aktivitas saat ini di dalam suatu struktur yang logis dan manageable. Untuk memastikan tingkat keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia, perlu dilakukan audit untuk mengukur tingkat keamanan sistem Teknologi Informasi yang ada. Hasil audit yang dilakukan terhadap keamanan sistem mengindikasikan telah adanya pengelolaan keamanan sistem yang cukup baik, namun masih ditemukan beberapa lubang keamanan yang harus ditindaklanjuti untuk meningkatkan kualitas keamanan sistem. Pada lavel mature, PT. XYZ Indonesia telah memiliki rencana keamanan, yang diarahkan dengan analisis resiko bagi penciptaan solusi. Dari audit sistem tersebut beberapa rekomendasi dapat diberikan untuk mengurangi lubang keamanan bagi peningkatan kinerja keamanan sistem Teknologi informasi.

PENDAHULUAN

Perkembangan Teknologi Informasi yang dinamis akan mendorong terjadinya perubahan peta bisnis ekspedisi. Berdasar pada fenomena tersebut, PT. XYZ Indonesia sebagai Badan Usaha Negara yang bergerak pada bidang ekspedisi, jasa dan keuangan, harus dapat secara kreatif dan inovatif menciptakan produk dan layanan dengan ketahanan opereasional yang dijamin dengan keberlangungan sistem. Pemanfaatan Teknologi Informasi untuk mendukung kinerja PT. XYZ Indonesia menjadi suatu alternatif yang dipilih oleh PT. XYZ Indonesia untuk tetap dapat pertahan dan mecapai keunggulan kompetitif pada bisnis ekspedisi dan turunannya. Pemanfaatan Teknologi Informasi untuk mendukung bisnis PT. XYZ Indonesia menimbulkan konsekuensi pengelolaan sumber daya Teknologi Informasi. Banyak Faktor yang harus diperhatikan dalam pengelolaan Teknologi Informasi sebagai sumber daya bagi pencapaiaan bisnis obektif.

Terkait dengan definisi Critical Success Factors dan terminologi Kunci Indikator Tujuan dari Teknologi Informasi pada PT. XYZ Indonesia. PT. XYZ Indonesia mengedepankan integrasi dan standarisasi pada mekainesme yang mendukung keberlangsungan oprasional organisasi, dimana hal ini akan memiliki konsekuensi pada pengelolaan Teknologi Informasinya sebagai suatu aset penting organisasi. Teknologi Informasi perlu di amankan dari gangguan yang dapat mengakibatkan terputusnya nilai manfaat teknologi informasi, sebagai prasyarat keberlangungan operasional dari organisasi. Dari arti penting dan dorongan kebutuhan dari Teknologi informasi bagi pencapaian tujuan PT. XYZ Indonesia, perlu dilakukan pengamanan terhadap Sistem Teknologi Informasi yang ada pada PT. XYZ Indonesia.

Pengamanan sistem Teknologi Informasi pada suatu organisasi menjadi salah satu faktor yang perlu diperhatikan. Pengelolaan yang baik terhadap keamanan sistem Teknologi Informasi dapat meningkatkan nilai kepercayaan internal maupun eksternal organisasi untuk memanfaatkan Teknologi Informasi sebagai pendukung kegiatan organisasi. Untuk memastikan tingkat keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia, perlu dilakukan audit untuk mengukur tingkat Keamanan Sistem dari Teknologi Informasi yang ada. Dengan adanya audit ini diharapkan dapat dilakukan langkah-langkah perbaikan untuk meningkatkan keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia


CAKUPAN TUGAS DOMAIN AUDIT [DS].
Cakupan Tugas dalam memastikan Keamanan Sistem pada PT. XYZ Indoenesia, dilakukan dengan batasan :

• Meninjau dan melakukan evaluasi dari implementasi Sistem Keamanan PT. XYZ Indonesia sebagai upaya melakukan audit dan pembenahan-pembenahan yang perlu dilakukan dalam krangka Tata Kelola IT yang sesuai dengan standar dan menjamin keberlangungan operasional dari sisi keamanan sistem pada PT. XYZ Indonesia.
• Mengetahui area-area permasalahan yang kritis, sehingga dapat diberikan rekomendasai berupa pembenahan Sistem Keamanan pada PT. XYZ Indonesia berupa usulan kegiatan pembenahan yang mendesak, serta usulan kegiatan yang bersifat dukugan jangka panjang bagi keberlangsungan operasional oganisasi.

TUJUAN AUDIT [DS]
Pelaksanaan kegiatan kontrol dan audit menggunakan Framework COBIT pada PT. XYZ Indonesia dimaksudkan untuk menguji dan mengetahui tingkat pengelolaan keamanan sistem Teknologi Informasi yang diterapkan pada PT. XYZ Indonesia dan memberikan merekomendasikan alternatif pengembangan yang harus dilakukan untuk meningkatkan kualitas keamanan sistem, dengan batasan-batasn tujuan:

1. Mengelola ukuran-ukuran keamanan pada PT. XYZ Indonesia.
2. Identifikasi, autentikasi dan akses pada PT. XYZ Indonesia.
3. Manajemen account pemakai pada PT. XYZ Indonesia.
4. Pengontrolan user pada account user serta identifikasi terpusat manajemen hak-hak akses.
5. Laporan pelanggaran dan aktivitas keamanan pada PT. XYZ Indonesia.
6. Penanganan kejadian, pengakuan ulang, kepercayaan rekan dan otorisasi transaksi pada PT. XYZ Indonesia
7. Proteksi pada fungsi-fungsi keamanan pada PT. XYZ Indonesia.
8. Manajemen kunci kriptografi pada PT. XYZ Indonesia.
9. Pencegahan, pendeteksian, dan perbaikan perangkat lunak yang tidak benar, arsitektur firewall dan hubungan dengan jaringan public serta proteksi pada nilai-nilai elektronis pada PT. XYZ Indonesia.

SASARAN AUDIT
Sasaran kegiatan audit keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia meliputi :
a.Pengujian tingkat keamanan.
b.Pengeloaan sistem keamanan.
c.Disasater recovery.
d.Tingkat pendidikan personil atas pengamanan.

METODOLOGI
Tahapan metodologi yang diterapkan untuk mengetahui Kontrol Objetif Memastikan Keaman Sistem, akan dilakukan sebagai berikut :

• Pengumpulan data, anatara lain dengan melakukan pengamatan, wawancara dan observasi sederhana terhadap organisasi untuk mendapatkan informasi yang berupa dokumentasi strategi, tujuan, struktur organisasi dan tugas, kebijakan teknologi informasi dan data penunjang lainnya.
• Metode yang dipakai dalam pembuatan audit “Memastikan Keamanan Sistem” mengacu pada standar IT

Tata Kelola COBIT dengan Tahapan Sebagai Berikut :
(1)Menemukan pemahaman tentang kebutuhan bisnis yang berkaitan dengan teknologi informasi dan risiko yang mungkin terjadi terkait dengan Keamanan Sistem [DS-5].
(2)Melakukan evaluasi dengan menilai efektivitas control measure yang ada, atau tingkat pencapaian kontrol obyektif keamanan sistem [DS-5]
(3)Menilai kepatuhan, dengan menjamin control measure yang telah ditetapkan akan berjalan sebagaimana mestinya, konsisten dan berkelanjutan serta menyimpulkan kesesuaian lingkungan kontrol.
(4)Memperkirakan resiko yang mungkin terjadi karena tidak mematuhi kontrol objektif [DS-5].
(5)Memberikan Rekomendasi yang diperlukan pada hal-hal yang terkait dengan keamanan sistem [DS-5].

PEMBAHASAN
2.Indikator Kerja dan Indikator Bisnis yang didefinisikan dalam Critical Success Factors (CSF) Teknologi Informasi pada PT. XYZ Indonesia
Komitmen dan Konsisten Board of Director (BOD) dalam menjamin implementasi Teknologi Informasi sebagai pendukung proses bisnis
Arsitektur Sistem Informasi Manajemen yang mendukung ekspansi di area jaringan dan E-Commerce

Arsitektur teknologi informasi yang dapat mewadahi kebutuhan interkoneksi dengan standar transaksi yang telah berjalan, seperti : EDI (Electronic Data Interchange), Messaging (ISO, XML, SWIFT, dll), WAP dan standar lainnya.

Dari definsi CSF Teknologi secara umum, maka akan mendapatkan pemdekatan yang dilakukan untuk menilai hal kritis yang timbul dari area Keamanan Sistem [DS-5] berupa kebutuhan integrasi dan arsitektur keamanan dengan pemakaian teknologi kemanan yang layak dan memiliki standar.

1. Seluruh rencana keamanan dikembangkan meliputi pembangunan kesadaran personil, penetapan standar dan kebijakan yang jelas, identifikasi efektifitas biaya dan pengembangan berkelanjutan serta pemberdayaan dan monitoring
2. Adanya kesadaran bahwa perencanaan keamanan yang baik.
3. Manajemen dan Staff memiliki pemahaman yang cukup terhadap kebutuhan keamanan dan memiliki kesadaran dan untuk bertanggung jawab atas keamanan mereka sendiri
4. Bagian keamanan memberikan laporan kepada senior manajemen dan bertanggung jawab untuk mengimplementasikan perencanaan keamanan
5. Evaluasi Pihak ketiga atas arsitektur dan kebijakan keamanan dilakukan secara periodik
6. Adanya program generator akses yang mengidentifikasi layanan keamanan.
7. Bagian keamanan memiliki kemampuan untuk mendeteksi, merekam, meneliti, melaporkan dan malakukan tindakan yang sesuai dengan gangguan keamanan yang terjadi, dan mengurangi terjadinya gangguan dengan pengujian dan monitoring keamanan
8. Adannya proses pengelolaan user yang terpusat dan sistem yang menyediakan identifikasi dan autorisasi user dengan cara yang efisien dan standar
9. Proses autentifikasi user tidak membutuhkan biaya tinggi, jelas dan mudah digunakan

3.Indikator Capaian Hasil yang ditetapkan kerangka COBIT dalam Key Goal Indicator (KGI) dan Key Performance Indicators
a.70%] Tidak ada kejadian yang menyebabkan kebingungan publik
b.[90%] Adanya laporan langsung atas peristiwa ganguan keamanan.
c.[80%] Adanya kesesuaian antara hak akses dan tanggung-jawab organisasi
d.[70%] Berkurangnya jumlah implementasi-implemetasi baru, mengakibatkan penundaan atas keamanan
e.[80%] Terpenuhinya kebutuhan keamanan minimal
f.[80%] Berkurangnya jumlah insiden yang diakibatkan oleh akses yang tidak diotorisasi, kehilangan dan ketidaklengkapan informasi

Indikator Kinerja yang digunakan dibutuhkan untuk medukung tercapainya Indikator Tujuan dari DS-5 (Memanstikan Kemanan Sistem), dimana indikator tersebut telah didefinisikan dalam Framework COBIT sebagai berikut :
Berkurangnya Jumlah aduan, perubahan permintaan dan perbaikan yang berkaitan dengan layanan keamanan.
Jumlah downtime yang disebabkan oleh peristiwa yang berkaitan dengan keamanan.
Berkurangnya jumlah permintaan perubahan atas administrasi keamanan.
Meningkatnya jumlah sistem yang dilengkapi proses deteksi atas penyusupan.
Berkurangnya selisih waktu antara deteksi, pelaporan dan aksi atas peristiwa gangguan keamanan.

3. Perhitungan Model Maturistas, dimana Model ini akan merupakan diskripsi dari posisi relatif perusahaan terhadap kondisi industri, maupun kondisi yang diinginkan kedapannya terkait dengan visi dan misi PT. XYZ Indonesia sebagai enterprise. Dari hasil audit yang diukur dengan menginterpretasikan bobot nilai jawaban terhadap jumlah pertanyaan yang mewakili kontrol obyektif pada DS-5 COBIT, diperoleh nilai indeks maturitas 3,46. skala yang didefinsikan terkait dengan maturitas pada Framework COBIT akan mengacu pada Tabel-4 berikut :
Tabel-4 : Skala dan Maturitas COBIT

------------------------------------------------------------------------------------------------
SKALA MATURITY
0 – 0.5      Non-Existent (Tidak ada)
0.51 – 1.5 Initial/Ad Hoc (Inisial)
1.51 – 2.5 Repeatable But Intuitive (Pengulangan Proses berdasarkan intuisi)
2.51 – 3.5 Defined Process (Proses Telah didefiniskan)
3.51 – 4.5 Managed and Measurable (Dikelola dan terukur)
4.51 – 5 Optimised (Optimaisasi)
------------------------------------------------------------------------------------------------
Menghitung Rumus Indeks Kematangan dengan COBIT


Maturity Model [DS-5] Pengelolaan Keamanan Sistem Teknologi Informasi pada PT. XYZ Indonesia dengan Nilai Maturity 3, yang mengacu pada kondisi yang ditunjuk pada maturitas model yang didefinsikan COBIT Kesadaran keamanan yang ada dipromosikan oleh manajemen. Pengaranan lisan (briefing) menganai kesadaran keamanan telah dilakukan, dibakukan dan diformalkan. Posedur keamanan telah didefinsikan dan dibentuk dalam struktur bagi kebijakan dan prosedur-prosedur keamanan. Tanggung jawab keamanan IT ditetapkan, namun tidak dijalankan dengan konsisten. Rencana keamanan yang ada, diarahkan analisis resiko dan solusi-solusi keamanan. Keamanan IT dilaporkan lebih kedalam fokus IT, daripada fokus pada bisnis. Pegujian atas penggangguan khusus dilakukan.

5. Ringkasan Temuan Audit, Proses audit yang dilakukan atas keamanan sistem pada PT. XYZ Indonesia, diperoleh temuan yang bersifat medesak dan membutuhkan pembenahan segera, temuan yang membutuhkan kegiatan lanjutan karena proses telah dilaksanakan, namun belum dilakukan dengan semestinya dan area permasalahan keamanan sistem pada PT. XYZ Indonesia lainnya.

Temuan Audit yang sifatnya kondisi maupun pernyataan, berupa:
a.Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
b.Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sitem.


Temuan audit yang membutuhkan perhatian dengan segera, rekomendasi dari area permasalahan akan berupa:

• Penting adanya evalusi Hak akses user secara priodik dengan teratur dan dilakukan direview evaluasi bahwa hak akses tersebut masih relevan dengan kebutuhan organisasi, dimana pada PT. XYZ telah dilakukan, namun frekuensi per periodenya belum ditetapkan dengan jelas.
• Autentifikasi akses terpusat berlaku untuk seluruh terminal yang ada pada PT. XYZ telah dilakukan, namun SOP dan pengelolaan belum dilakukan berdasarkan kebutuhan integrasi dan keamanan yang konsisten.
• Belum digunakan teknik kriptografi sistem aplikasi yang dikembangkan, sehingga akan menciptakan potensi lubang keamanan sistem yang cukup signifikan.
• Pada PT. XYZ Indonesia belum diterapkannya pemakaian konsep digital signature untuk transaksi yang dianggap penting/kritis.

TEMUAN AUDITOR
Temuan Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya, bagi terciptanya Tata Kelola IT pada PT. XYZ Indonesia dengan lebih baik.

Adanya kebijakan keamanan yang jelas dan berkelanjutan.
Pemahaman pentingnya keamanan pada sebagian personil PT. XYZ Indonesia.

1. Adanya evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.
2. Bagian keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan akses.
3. Setiap transaksi tercatat dalam log file yang terkelola baik dan terpusat.
4. Telah ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan akses di luar otoritasnya.
5. Telah dipasangnya aplikasi firewall yang melindungi jaringan lokal dengan jaringan publik
6. Telah diimplementasikannya sistem back-up keamanan yang memungkinkan recovery secara cepat ketika terjadi disaster.
7. Sistem manajemen IP jaringan sudah mengimplementasikan DHCP dengan host terdaftar (mac address terdaftar) yang menghindarkan koneksi hardware liar dalam jaringan.
8. Penanggung jawab keamnanan jaringan dan sistem aplikasi berbeda.
9. Data ditransaksikan dilengkapi atribut informasi user, waktu dan lokasi akses.
10. Penggunaan Software telah menggunakan software lisensi.
11. Mekanisme penambahan instalasi program harus seijin admin jaringan.
12. Mesin server berada pada suatu ruangan khusus dengan pengamanan cukup.

REKOMENDASI
Hasil temuan audit dan simpulan berdasarkan aspke-aspek sumber daya informasi yang terlibat, makan auditor dapat rekomendasi untuk perbaikan Sistem Keamanan Teknologi Informasi pada PT. XYZ Indonesia dengan skala kebutuhan sebagai berikut:

Rekomendasi Mempertahankan Aktifitas

• Adanya evaluasi pihak ketiga atas arsitektur keamanan jaringan yang telah dilakukan secara periodik [4x dalam setahun ]
• Adanya pengamanan khusus atas transaksi tertentu yag hanya dapat dilakukan pada terminal-terminal tertentu saja dengan sistem user yang telah dilakukan pengelolaan secara terpusat
• Adanya upgrade berkala pada sistem keamanan yang digunakan.
• Telah digunakannya sistem firewall yang melindungi jaringan internal dengan jaringan publik dan adanya pengaman akses jaringan secara hardware (dengan dilakukan pendaftaran mac address untuk host yang diijinkan terkoneksi dalam jaringan).

Rekomendasi Meningkatkan Aktifitas Dengan Manajerial Yang Lebih Baik

• Traning mengenai keamanan sistem untuk semua personil PT. XYZ Indonesia harus selalu ditingkatkan [Rekomensai Usulan Proyek Peningkatan SDM]
• Sebaiknya dilakukan review dan validasi ulang secara berkala terhadap account user untuk meningkatkan integritas akses.
• Transaksi-transaksi penting hendaknya dilengkapi dengan konsep/teknik digital signature. [Rekomendasi Usulan Proyek Infrastruktur dan Autorisasi Modern]
• Perlunya peningkatan pengelolaan user jaringan sehingga seluruh komputer menggunakan otorisasi terpusat, sehingga tidak ada lagi istilah supporting komputer yang dapat di install bebas tanpa otorisasi dari admin jaringan.
• Review atas hak akses user secara periodik untuk memastikan hak akses yang diberikan selalu sesuai dengan kebutuhan organisasi (tidak hanya bersifat insindental).

Rekomendasi yang Bersifat Investasi dan Pembernahan Infrastruktur

• Peningkatan Sistem Keamanan Teknologi Informasi dengan memanfaatkan teknologi biometrik, dynamic passwaord maupun teknologi pengamanan terkini lainnya.
• Sebaiknya pengamanan (password) sistem aplikasi menggunakan teknik enkripsi/kriptografi.

KESIMPULAN

Berdasarkan pada temuan audit diatas dan berkaitan dengan aspek pengelolaan sumber daya informasi yang terlibat, dapat ditarik sebuah kesimpulan berdasarkan aspek-aspek yang terkait dengan sumber daya.

• Sumber Daya Manusia (SDM), pada PT. XYZ kesadaran peronel mengenai keamanan sistem telah terbentuk, imlementasi dalam dinamika teknologi yang berkembang dengan cepat membutuhkan penambahan ketrampilan pada area keamanan sistem. Training perlu diintensifkan untuk mengoptimalkan staff yang terlibat dalam manajemen sistem keamanan pada PT. XYZ Indonesia.
• Aplikasi, diterapkan pada PT. XYZ Indonesia telah diselengarakan dengan perencanaan yang baik, dilakukan integrasi dengan penataan sistem yang bagus, namun kebutuhan jangka pendek diperlukan berupa pendefinisian aturan yang jelas dalam bentuk SOP pada semua area yang melibatkan aplikasi.
• Teknologi telah diimplemntasikan, namun belum sesuai dengan strandar yang diterapkan COBIT, sehingga area ini dapat menjadikan pertimbangan kebutuhan pemanfaatan enkripsi kriptografi dan biometrik, yang skala waktunya dapat disesuaian dengan kebutuhan anggaran PT. XYZ Indonesia. Disimpulkan seperti ini mengingat area keamanan pada PT. XYZ yang relatif aman dan tidak pernah mendapatkan serangan dari luar.
• Fasilitas yang dimiliki PT. XYZ Indonesia telah memenuhi kebutuhan pengembangan sistem keamanan dengan lebih baik
• Mekanisme atas penanganan Data telah dilakukan dengan baik, kelemahan muncul pada sisi autorisasi dan validitas user yang mengirimkan data, karena berdasarkan arahan Tata Kelola IT berbasis framework COBIT, mekanisme tersebut harus melalui digital signature, yang belum diterapkan pada PT. XYZ Indonesia.

Artikel COBIT Lainnya...

[1] Bagaimana Cara Menghitung Maturitas Pada COBIT ?
Bagai mana konsep awareness manajemen, menentukan tingkat prioritas kepentingan dan melalkukan menghitung rumus index maturitas
[2] Tata Kelola Sistem Informasi Untuk Memastikan Ketercapaian Keamanan Sistem
Contoh Implentasi COBIT untuk melakkan kontrol objektif Area Keamanan Sistem berserta konsep implemenasinya.
[3] Audit Sistem Informasi untuk Menilai Keamanan Sistem dan Kecukupan Pengawasan Manajemen
Mengembangkan Auidit Sistem pada Objek Riset pada Area DS dan AI yang merupakan domain COBIT
[4] COBIT Sebagai Kerangka Kerja Aristektur Sistem dan Tehnologi
Membangun Perencaan Arsitektur Tata Kelola Sistem dan Tehnologi yang bekerja pada Framework COBIT pada Domain Perencanaan Organisasi dan Akuisisi Implentasi.

DAFTAR PUSTAKA
COBIT 4.0, Control Objectives, Management Guidelines and Maturity Models. IT Governance Institut. 2005