Rabu, 23 Januari 2013

Post Test TSI (Analisis Kinerja Sistem)

Langkah-langkah apa saja yang perlu dilakukan untuk melakukan audit TSI? Jelaskan. 
Jawab : 


  • Kontrol lingkungan
  1. Apakah kebijakan keamanan (security policy) memadai dan efektif ? 
  2. Jika data dipegang oleh vendor, periksa laporan ttg kebijakan dan prosedural yg terikini dr external auditor 
  3. Jika sistem dibeli dari vendor, periksa kestabilan finansial 4.Memeriksa persetujuan lisen (license agreement) 
  • Kontrol keamanan fisik 
  1. Periksa apakah keamanan fisik perangkat keras dan penyimpanan data memadai 
  2. Periksa apakah backup administrator keamanan sudah memadai (trained,tested) 
  3. Periksa apakah rencana kelanjutan bisnis memadai dan efektif 
  4. Periksa apakah asuransi perangkat-keras, OS, aplikasi, dan data memadai 
  • Kontrol keamanan logikal 
  1.  Periksa apakah password memadai dan perubahannya dilakukan reguler 
  2. Apakah administrator keamanan memprint akses kontrol setiap user 
  3. Memeriksa dan mendokumentasikan parameter keamanan default 
  4. Menguji fungsionalitas sistem keamanan (password, suspend userID, etc)
  5. Memeriksa apakah password file / database disimpan dalam bentuk tersandi dan tidak dapat dibuka oleh pengguna umum 
  6. Memeriksa apakah data sensitif tersandi dalam setiap phase dalam prosesnya 
  7. Memeriksa apakah prosedur memeriksa dan menganalisa log memadai 
  8. Memeriksa apakah akses kontrol remote (dari tempat yang lain) memadai: (VPN, CryptoCard, SecureID, etc) 
  • Menguji Kontrol Operasi 
  1. Memeriksa apakah tugas dan job description memadai dalam semua tugas dalam operasi tsb 
  2. Memeriksa apakah ada problem yang signifikan 
  3. Memeriksa apakah control yang menjamin fungsionalitas sistem informasi telah memadai

Pre Test TSI (Analisis Kinerja Sistem)

Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.

Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.
Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan

Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi

Proses perencanaan audit terdiri dari:
a. Penetapan tipe resiko
b. Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada
c. Hitung skor resiko: Resiko = ancaman x kelemahan x dampak
d. Urutkan resiko berdasarkan skor
e. Kaji ulang dan penyesuaian jika diperlukan
f. Buat rencana audit dengan prioritas resiko
g. Kaji ulang rencana dan penyesuaiannya
h. Laksanakan audit

Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
a. Identifikasi spesifikasi sistem
b. Penilaian kompleksitas TSI
c. Penilaian resiko pra pemeriksaan
d. Pemeriksaan around the computer
e. Pemeriksaan through the computer
f. Pemeriksaan keuangan.

Pre Test TSI (Analisis Kinerja Sistem)

Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.

Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.
Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan

Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi

Proses perencanaan audit terdiri dari:
a. Penetapan tipe resiko
b. Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada
c. Hitung skor resiko: Resiko = ancaman x kelemahan x dampak
d. Urutkan resiko berdasarkan skor
e. Kaji ulang dan penyesuaian jika diperlukan
f. Buat rencana audit dengan prioritas resiko
g. Kaji ulang rencana dan penyesuaiannya
h. Laksanakan audit

Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
a. Identifikasi spesifikasi sistem
b. Penilaian kompleksitas TSI
c. Penilaian resiko pra pemeriksaan
d. Pemeriksaan around the computer
e. Pemeriksaan through the computer
f. Pemeriksaan keuangan.

Pre Test TSI (Analisis Kinerja Sistem)


Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.

Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.
Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan

Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi

Proses perencanaan audit terdiri dari:
a. Penetapan tipe resiko
b. Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada
c. Hitung skor resiko: Resiko = ancaman x kelemahan x dampak
d. Urutkan resiko berdasarkan skor
e. Kaji ulang dan penyesuaian jika diperlukan
f. Buat rencana audit dengan prioritas resiko
g. Kaji ulang rencana dan penyesuaiannya
h. Laksanakan audit

Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
a. Identifikasi spesifikasi sistem
b. Penilaian kompleksitas TSI
c. Penilaian resiko pra pemeriksaan
d. Pemeriksaan around the computer
e. Pemeriksaan through the computer
f. Pemeriksaan keuangan.

Post Test Cobit (Analisis Kinerja Sistem)

Adakah tools lain untuk melakukan audit TI (Teknologi Informasi)? Jika ada sebutkan. 
Jawab: 

Berikut beberapa software yang dapat dijadikan alat bantu dalam pelaksanaan audit teknologi informasi : 
1. ACL 
ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber. 

2. Picalo 
Picalo merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang bekerja dengan menggunakan GUI Front end, dan memiliki banyak fitur untuk ETL sebagai proses utama dalam mengekstrak dan membuka data, kelebihan utamanya adalah fleksibilitas dan front end yang baik hingga Librari Python numerik. Berikut ini beberapa kegunaannya : 
• Menganalisis data keuangan, data karyawan, 
• Mengimport file Excel, CSV dan TSV ke dalam database, dan 
• Mengimport email ke dalam relasional dan berbasis teks database 

3. Powertech Compliance Assessment 
Powertech Compliance Assessment merupakan automated audit tool yang dapat dipergunakan untuk mengaudit dan mem-benchmark user access to data, public authority to libraries, user security, system security, system auditing dan administrator rights (special authority) sebuah serverAS/400. 

4. Nipper 
 Nipper (Jaringan Infrastruktur Parser) merupakan audit automation software yang dapat dipergunakan untuk mengaudit, mem-benchmark konfigurasi sebuah router dan mengelola jaringan komputer dan perangkat jaringan infrastruktur. 

5. Nessus 
Nessus merupakan sebuah vulnerability assessment software, yaitu sebuah software yang digunakan untuk mengecek tingkat vulnerabilitas suatu sistem dalam ruang lingkup keamanan yang digunakan dalam sebuah perusahaan. 

6. Metasploit 
Metasploit Framework merupakan sebuah penetration testing tool. 

7. NMAP 
NMAP merupakan open source utility untuk melakukan security auditing. NMAP atau Network Mapper, adalah software untuk mengeksplorasi jaringan, banyak administrator sistem dan jaringan yang menggunakan aplikasi ini menemukan banyak fungsi dalam inventori jaringan, mengatur jadwal peningkatan service, dan memonitor host atau waktu pelayanan. 

8. Wireshark 
Wireshark merupakan aplikasi analisa netwrok protokol paling banyak digunakan di dunia, Wireshark bisa mengcapture data dan secara interaktif menelusuri lalu lintas yang berjalan pada jaringan komputer, berstandartkan de facto dibanyak industri dan lembaga pendidikan.

Pre Test Cobit (Analisis Kinerja Sistem)

Apa yang Anda ketahui mengenai COBIT (Control Ojective for Information and Related Technology)? Jawab: 

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi.