Teknologi Informasi Auditing
TEKNOLOGI INFORMASI AUDITING
AUDIT TEKNOLOGI SISTEM
INFORMASI
A.
Konsep
Audit
Gambar
di atas menunjukkan struktur pelaporan tim audit, dimana Direktur membawahi tim
IT dan tim keuangan. Di dalam tim IT terdapat Manajer Audit IT dan tim IT
Auditor, sedangkan dalam tim Keuangan terdapat Manajer Audit Keuangan dan tim
auditornya. Tujuan dari audit itu sendiri ialah untuk mempromosikan sistem
kontrol internal serta membantu dalam melakukan pengembangan suatu perusahaan
dengan memberikan solusi yang tepat.
Dalam suatu perusahaan ada keterhubungan antara tim audit
dan tim IT, setelah tim IT membuat atau mengembangkan suatu sistem maka tugas
tim audit melakukan evaluasi serta membuat laporan mengenai hasil evaluasi
tersebut. Hasil akhirnya ialah untuk memperbaiki keadaan
pengendalian internal di dalam perusahaan. Pelaporan tersebut menyediakan
mekanisme dimana isu-isu tersebut terungkap dan karenanya dapat menerima sumber
daya dan perhatian yang diperlukan untuk memperbaikinya.
Misi departemen audit
internal ada dua yaitu memberikan jaminan independen kepada komite audit (dan
manajemen senior) bahwa pengendalian internal dilakukan di perusahaan dan
berfungsi secara efektif serta ntuk memperbaiki keadaan pengendalian internal
di perusahaan dengan mempromosikan kontrol internal dan dengan membantu
perusahaan mengidentifikasi kelemahan pengendalian dan mengembangkan solusi
hemat biaya untuk mengatasi kelemahan tersebut.
Dinyatakan dalam istilah
yang paling sederhana, pengendalian internal adalah mekanisme yang menjamin
berfungsinya proses di dalam perusahaan. Setiap sistem dan proses ada untuk
beberapa tujuan bisnis tertentu. Auditor harus mencari risiko yang dapat
mempengaruhi pencapaian tujuan tersebut dan kemudian memastikan bahwa
pengendalian internal diterapkan untuk mengurangi risiko tersebut.
Konsultan dan Keterlibatan
Banyak auditor yang takut
saat ditanya pendapat pra-implementasi. Bagaimana jika mereka memberi nasehat
buruk? Kemudian mereka bertanggung jawab atas kegagalan pengendalian sebagai
orang-orang IT yang menerapkan sistem ini. Tentunya lebih baik mengatakan
apa-apa dan membiarkan orang IT "tenggelam atau berenang" dalam
mengembangkan kontrol, bukan?
Auditor selalu bisa mengauditnya nanti dan memberi tahu mereka di mana mereka melalukan kesalahan. Auditor harus bersedia masuk ke dalam dan memberi masukan. Apakah Anda memberikan opini sebelum pelaksanaan atau setelahnya, Anda tetap harus memberikan masukan yang sama pada dasarnya.
Auditor selalu bisa mengauditnya nanti dan memberi tahu mereka di mana mereka melalukan kesalahan. Auditor harus bersedia masuk ke dalam dan memberi masukan. Apakah Anda memberikan opini sebelum pelaksanaan atau setelahnya, Anda tetap harus memberikan masukan yang sama pada dasarnya.
Ketika harus bekerja dengan
tim sebelum diimplementasikan, beberapa baris tidak boleh dilewati. Auditor
tidak perlu takut untuk melakukan brainstorming dengan tim tentang bagaimana
kontrol harus bekerja. Namun, ini seharusnya tidak termasuk menjalankan
kontrol, menulis kode, atau mengkonfigurasi sistem. Anda tidak bisa
mengendalikan dan mengauditnya sendiri, namun Anda merasa nyaman untuk
memberikan masukan sebanyak mungkin mengenai seperti apa kontrol itu.
4 metode yang dipakai oleh konsultan :
Ø Keterlibatan di awal
Begitu Anda menciptakan sebuah sistem,
mengujinya, dan menerapkannya, akan jauh lebih mahal untuk kembali dan
mengubahnya daripada jika Anda melakukannya dengan benar untuk pertama kalinya.
Artinya lebih baik kita mengikuti tahapan dari awal sehingga dapat melakukan
pengontrolan dengan efektif, dan lebih mudah dalam melakukan pengecekan serta
perbaikan.
Ø Audit
Informal
Katakan kepada orang-orang bahwa Anda mengaudit
bahwa Anda tidak bermaksud untuk melacak isu-isu yang keluar dari tinjauan
tetapi jika Anda menemukan masalah besar, Anda harus membuat pengecualian.
Ø Berbagi
Pengetahuan
Salah satu kendaraan komunikasi termudah adalah
intranet perusahaan. Bagian audit internal harus memiliki situs web sendiri.
Dimana terdapat pedoman pengendalian, isu umum, praktik terbaik, dan solusi
inovatif serta alatnya.
Ø Penilaian
Diri
Terserah
masing-masing departemen audit untuk menentukan apakah ingin menerapkan model
self-assessment kontrol secara formal.
PERAN TIM AUDIT TI
Fasilitas pusat data Ini,
cukup sederhana yaitu bangunan fisik dan pusat data yang menyimpan peralatan
komputer yang menjadi tempat sistem yang bersangkutan berada. Jaringan, hal ini
memungkinkan sistem dan pengguna lain berkomunikasi dengan sistem yang bersangkutan
saat mereka tidak memiliki akses fisik terhadapnya. Lapisan, mencakup perangkat
jaringan dasar seperti firewall, switch, dan router. System platform,
menyediakan lingkungan operasi dasar dimana aplikasi tingkat yang lebih tinggi
berjalan. Contohnya adalah sistem operasi seperti Unix, Linux, dan Windows.
Database, alat ini mengatur
dan menyediakan akses ke data yang dijalankan oleh aplikasi akhir. Aplikasi,
ini adalah aplikasi akhir yang sebenarnya dilihat dan diakses oleh pengguna
akhir. Ini bisa berupa aplikasi perencanaan sumber daya perusahaan (enterprise)
yang menyediakan fungsi bisnis dasar, aplikasi e-mail, atau sistem yang
memungkinkan ruang konferensi dijadwalkan.
B.
Proses
Audit
Tahap pertama lakukan perencanaan, studi lapangan dan dokumentasi,
penemuan masalah dan validasi, pengembangan solusi, penyusunan laporan, dan
yang terakhir melakukan pelacakkan masalah.
Kontrol Internal
Mekanisme yang memastikan bahwa suatu sistem internal
berfungsi dengan baik dalam suatu perusahaan. Setiap sistem
dan proses dalam perusahaan ada untuk tujuan bisnis tertentu. Tim auditor harus
menemukan atau mencari keberadaan suatu risiko dan memastikan pengendalian
internal tersebut mampu mengatasi risiko yang terjadi.
Jenis Pengendalian Internal
Ø Kontrol
Pencegahan
Pemeriksaan preventif menghentikan terjadinya kejadian yang tidak
diinginkan. Misalnya, nama pengguna memerlukan kata sandi untuk mengakses
sistem adalah pemeriksaan preventif. Ini mencegah (teoritis) orang yang tidak
berwenang dari akses ke sistem. Dari sudut pandang teoritis, preventif kontrol
selalu merupakan alasan yang jelas. Namun ingat bahwa kontrol preventif tidak
selalu menjadi biaya yang paling efektif bahkan jenis kontrol lainnya bisa
lebih bermanfaat dari sudut pandang manfaat biaya.
Ø Kontrol
Pendeteksi
Kontrol pendeteksi dirancang
untuk mendeteksi kesalahan dan penyimpangan yang telah terjadi. Kontrol ini
merupakan biaya operasi yang terus-menerus dan sering kali mahal, tapi perlu.
Kontrol ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat
mengindetifikasikan suatu kesalahan dengan cepat.
Ø Kontrol
Recovery
Membantu
mengurangi pengaruh dari suatu event yang hilang melalui prosedur recovery data
atau mengembalikan data yang hilang melalui prosedur recovery data. Misalnya,
memperbaiki data yang terkena virus.
Ø Kontrol Detterent
Digunakan untuk merujuk kepada
suatu kepatuhan (compliance) dengan peraturan-peraturan external maupun
regulasi-regulasi yang ada.
Tahap
Audit
ü Tahap
Pemeriksaan pendahuluan
Sebelum
auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus
memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang
dilakukan). Setelah itu, analisis resiko audit merupakan bagian yang penting
dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh
aplikasi tersebut. Pada tahap ini pula auditor dapat memutuskan apakah audit
diteruskan atau mengundurkan diri dari penugasan audit.
ü Tahap
Pemeriksaan Rinci
Pada
tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami
pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat
memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai
dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat
terpercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi
dasar bagi auditor dalam menentukan langkah selanjutnya.
ü Tahap
Pengujian Kesesuaian
Dalam
tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi
Informasi yang digunakan berada dalam file data yang biasanya harus diambil
menggunakaan software CAATTs(Computer Assisted Audit Tools and Techniques).
Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui
integritas dan kehandalan data itu sendiri.
ü Tahap
Pengujian Kebenaran Bukti
Tujuan
pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup
kompeten. Pada tahap ini, pengujian yang dilakukan adalah (Davis at,all. 1981)
:
1. Mengidentifikasi kesalahan
dalam pemrosesan data
2. Menilai kualitas data
3. Mengidentifikasi
ketidakkonsistenan data
4. Membandingkan data dengan
perhitungan fisik
5. Konfirmasi data dengan
sumber-sumber dari luar perusahaan.
ü Tahap Penilaian Secara Umum
Pada tahap ini auditor telah
dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak
mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar
bagi auditor untuk menyiapkan pendapatannya dalam laporan auditan.
Auditor harus mengintergrasikan
hasil proses dalam pendekatan audit yang diterapkan audit. Audit meliputi
struktur pengendalian intern yang diterapkan perusahaan, yang mencakup : Pengendalian umum dan Pengendalian aplikasi, yang terdiri dari :
Pengendalian secara manual, Pengendalian terhadap output sistem informasi , dan
Pengendalian yang sudah diprogram.
C.
Teknik
Audit
Auditing Web Servers and Web Auditing
Beberapa penemuan teknologi
telah mengubah hidup kita sebanyak-atau secepat-seperti web aplikasi. Antarmuka
web telah berkembang dari halaman statis menjadi sangat interaktif perpaduan
kemampuan yang digerakkan oleh para pemrogram kreatif. Pada akhir 1980an,
konsep World Wide Web memulai permulaannya yang sederhana dengan Tim
Berners-Lee dan
Robert Caillieau. Pada tahun 1991, server web pertama dipasang di Amerika Serikat berkomunikasi dengan komputer NeXT di Swiss. Pesatnya perkembangan Internet secara luas dikaitkan dengan kebutuhan berbagi informasi yang akan mempercepat pengembangan di seluruh departemen penelitian ilmiah. Nantinya, perkembangan dan pertumbuhan didorong oleh peluang bisnis. Pengusaha segera menemukan model bisnis baru di Internet dan mampu mengambil keuntungan dari kebutuhan masyarakat untuk mengirim dan menerima informasi dan multimedia secara instan.
Robert Caillieau. Pada tahun 1991, server web pertama dipasang di Amerika Serikat berkomunikasi dengan komputer NeXT di Swiss. Pesatnya perkembangan Internet secara luas dikaitkan dengan kebutuhan berbagi informasi yang akan mempercepat pengembangan di seluruh departemen penelitian ilmiah. Nantinya, perkembangan dan pertumbuhan didorong oleh peluang bisnis. Pengusaha segera menemukan model bisnis baru di Internet dan mampu mengambil keuntungan dari kebutuhan masyarakat untuk mengirim dan menerima informasi dan multimedia secara instan.
Esensi dari Web Auditing
Laporan Insiden Data
Pelanggaran Data Verizon 2010 mengidentifikasi web sebagai yang paling umum
dari vektor serangan untuk pelanggaran perusahaan yang sukses, terhitung 54
persen dari keseluruhan serangan. Serangan web ini selanjutnya menyumbang 92
persen dari semua rekaman yang dikompromikan di semua kategori serangan, web
server menjadi target umum. Bahkan sering mengandung rahasia perusahaan,
informasi pribadi, atau pemegang kartu data.
Ingat bahwa audit, sebanyak
yang ingin kita percayai sebaliknya, bukanlah sebuah sains yang tepat, dan
audit server web adalah salah satu area di mana hal ini terlihat. Audit
prosedur mencoba menggunakan subset dari alat dan teknologi yang ada untuk
mengidentifikasi risiko umum dalam sistem atau proses di sekitar sistem. Ada
puluhan alat dan sumber daya tersedia untuk membantu Anda dalam melakukan audit
yang lebih kuat dari aplikasi spesifik anda. Sebagai kata peringatan terakhir,
langkah-langkah berikut harus dianggap sebagai titik awal untuk audit. Alat
pengujian penetrasi aplikasi web harus digunakan bersamaan dengan pelatihan
yang tepat Kontrol berlapis tambahan, seperti Web Application Firewall (WAF),
sangat dianjurkan
Satu Audit dengan Beberapa
Komponen
Audit web yang lengkap
benar-benar merupakan audit terhadap tiga komponen utama, termasuk sistem
operasi server, server web, dan aplikasi web. Ketiga komponen ini adalah yang
ditunjukkan pada Tabel 8-1. Komponen tambahan seperti database pendukung atau
yang relevan infrastruktur jaringan mungkin juga tepat untuk dipertimbangkan
sebagai bagian dari audit. Komponen pertama yang kita bahas adalah platform
yang mendasari atau sistem operasi
yang server web dan aplikasi yang diinstal dan beroperasi. Berikutnya adalah server web itu sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan untuk meng-host web aplikasi. Akhirnya, kami meliput audit aplikasi web. Aplikasi web untuk tujuan kami mencakup kerangka kerja pengembangan terkait seperti ASP.NET, Java, Python, atau PHP dan sistem manajemen konten yang sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
Kesulitan utama dalam meninjau aplikasi web ada hubungannya dengan jumlah komponen interaksi yang mungkin ada yang ada dalam kerangka situs web. Volume bisa ditulis tentang setiap web server dan framework aplikasi web dikeberadaan dan pengaturan individu untuk masing-masing. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi web,
mempersulit proses audit. Namun, beberapa alat dan metode juga tersedia.
yang server web dan aplikasi yang diinstal dan beroperasi. Berikutnya adalah server web itu sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan untuk meng-host web aplikasi. Akhirnya, kami meliput audit aplikasi web. Aplikasi web untuk tujuan kami mencakup kerangka kerja pengembangan terkait seperti ASP.NET, Java, Python, atau PHP dan sistem manajemen konten yang sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
Kesulitan utama dalam meninjau aplikasi web ada hubungannya dengan jumlah komponen interaksi yang mungkin ada yang ada dalam kerangka situs web. Volume bisa ditulis tentang setiap web server dan framework aplikasi web dikeberadaan dan pengaturan individu untuk masing-masing. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi web,
mempersulit proses audit. Namun, beberapa alat dan metode juga tersedia.
Langkah-langkah berikut ini
mencakup alat bantu dan metode :
Langkah Uji untuk Mengaudit Host Sistem operasi
Audit sistem operasi host harus dilakukan bersamaan dengan audit web server dan aplikasi web.
Audit sistem operasi host harus dilakukan bersamaan dengan audit web server dan aplikasi web.
Langkah Uji untuk Mengaudit Server Web
Setiap langkah mungkin atau mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk melakukannya.
Setiap langkah mungkin atau mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk melakukannya.
- Pastikan server web berjalan pada sistem khusus dan tidak bersamaan
dengan aplikasi kritis lainnya. Host web yang disusupi memungkinkan penyerang
untuk mengkompromikan aplikasi lain server web. Anda harus menggunakan mesin
khusus untuk server web Anda. Sebagai contoh, Anda tidak akan pernah ingin
menginstal server web Anda pada kontroler domain.
- Pastikan server web telah sepenuhnya ditambal dan diperbarui kode
terbaru yang disetujui
Kegagalan untuk menjalankan sistem yang cukup ditambal subjek web server untuk risiko yang tidak perlu kompromi dari kerentanan yang mungkin telah ditambal dengan kode yang diperbarui rilis.
Kegagalan untuk menjalankan sistem yang cukup ditambal subjek web server untuk risiko yang tidak perlu kompromi dari kerentanan yang mungkin telah ditambal dengan kode yang diperbarui rilis.
- Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu
dihapus atau dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di
bawah akun yang paling tidak istimewa. Layanan, modul, objek, dan API yang
tidak perlu menghadirkan area permukaan serangan tambahan, menghasilkan lebih
banyak kesempatan bagi penyerang dan malware jahat.
- Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk
mengakses server web.
Meminimalkan jumlah protokol dan port yang diizinkan untuk mengakses server web mengurangi jumlah vektor serangan yang tersedia untuk kompromi server.
Meminimalkan jumlah protokol dan port yang diizinkan untuk mengakses server web mengurangi jumlah vektor serangan yang tersedia untuk kompromi server.
- Pastikan akun yang memungkinkan akses ke server
web tersebut dikelola dengan tepat dan dengan password yang kuat. Akun yang
tidak dikelola dengan benar atau yang digunakan dapat memberikan akses mudah ke
web server, melewati kontrol keamanan tambahan lainnya yang mencegah serangan
berbahaya. Ini adalah langkah besar dengan cakupan yang luas, meliputi kontrol
seputar penggunaan akun dan pengelolaan.
- Pastikan kontrol yang sesuai ada untuk file, direktori, dan direktori
virtual. Kontrol yang tidak tepat untuk file dan direktori yang digunakan oleh
server web dan sistem umumnya memungkinkan penyerang mengakses lebih banyak
informasi dan peralatan daripada yang seharusnya tersedia. Misalnya, utilitas
administrasi jarak jauh meningkatkan kemungkinan server web kompromi.
- Pastikan server web mengaktifkan logging yang sesuai dan diamankan.
Membukukan peristiwa auditable membantu administrator untuk memecahkan masalah.
Penebangan juga memungkinkan tim respon insiden untuk mengumpulkan data
forensik.
-
Pastikan ekstensi skrip dipetakan dengan tepat. Script mungkin memungkinkan
penyerang untuk mengeksekusi kode pilihannya, berpotensi mengorbankan server
web.
-
Verifikasi keabsahan dan penggunaan sertifikat server yang digunakan.
Sertifikat sisi server memungkinkan klien mempercayai identitas server web Anda
atau bahwa web Anda
server adalah siapa yang Anda katakan seharusnya server Anda. Sertifikat lama atau yang dicabut menyarankan bahwa situs web Anda mungkin atau mungkin tidak berlaku bagi pengguna akhir.
server adalah siapa yang Anda katakan seharusnya server Anda. Sertifikat lama atau yang dicabut menyarankan bahwa situs web Anda mungkin atau mungkin tidak berlaku bagi pengguna akhir.
Langkah Uji untuk Mengaudit Aplikasi Web
Bagian ini merupakan pendekatan terhadap audit aplikasi yang
ditunjukkan oleh Open Proyek Keamanan Aplikasi Web (OWASP) Top 10. Menurut
situsnya, OWASP "didedikasikan untuk memungkinkan organisasi berkembang,
membeli, dan memelihara aplikasi yang bisa dipercaya. "OWASP
mempertahankan yang luar biasa jumlah informasi yang dapat membantu Anda
mengembangkan program audit untuk Anda. Aplikasi web OWASP Top Ten dianggap
sebagai seperangkat standard minimum yang ditinjau selama audit.
Desain aplikasi web Anda mungkin memerlukan pengujian tambahan termasuk parsial atau review kode penuh, pengujian penetrasi pihak ketiga, pemindai komersial, atau open source. Masing-masing dapat menawarkan beberapa jaminan tambahan bahwa aplikasi Anda dirancang dan dikonfigurasi dengan benar. Pertimbangkan nilai bisnis dari aplikasi web dan investasikan sumber daya yang sesuai untuk memastikan aplikasi Anda aman. Tambahan panduan tentang cara efektif menemukan kerentanan dalam aplikasi web disediakan dalam Panduan Pengujian OWASP dan Panduan Review Kode OWASP yang terdapat di www.owasp.org.
Desain aplikasi mendorong pentingnya langkah-langkah berikut. Kita asumsikan itu interaksi terjadi antara server web dan pengguna. Interaksi ini bisa terjadi dari login ke aplikasi atau melayani data yang diminta pengguna.
Desain aplikasi web Anda mungkin memerlukan pengujian tambahan termasuk parsial atau review kode penuh, pengujian penetrasi pihak ketiga, pemindai komersial, atau open source. Masing-masing dapat menawarkan beberapa jaminan tambahan bahwa aplikasi Anda dirancang dan dikonfigurasi dengan benar. Pertimbangkan nilai bisnis dari aplikasi web dan investasikan sumber daya yang sesuai untuk memastikan aplikasi Anda aman. Tambahan panduan tentang cara efektif menemukan kerentanan dalam aplikasi web disediakan dalam Panduan Pengujian OWASP dan Panduan Review Kode OWASP yang terdapat di www.owasp.org.
Desain aplikasi mendorong pentingnya langkah-langkah berikut. Kita asumsikan itu interaksi terjadi antara server web dan pengguna. Interaksi ini bisa terjadi dari login ke aplikasi atau melayani data yang diminta pengguna.
Pastikan
Aplikasi Web Terlindungi dari Serangan Injeksi
Serangan injeksi memungkinkan klien web melewatkan data melalui server web dan keluar sistem lain. Sebagai contoh, dalam serangan injeksi SQL, kode SQL dilewatkan melalui antarmuka web, dan database diminta untuk melakukan fungsi di luar batas otorisasi. Beberapa situs telah membekap kartu kredit dan kartu Jaminan Sosial informasi kepada hacker yang telah memanfaatkan serangan injeksi. Gagal menyadari kekuatan serangan injeksi dan untuk meninjau ulang sistem Anda kemungkinan dieksploitasi sehingga dapat mengakibatkan hilangnya informasi kritis dan sensitif.
Serangan injeksi memungkinkan klien web melewatkan data melalui server web dan keluar sistem lain. Sebagai contoh, dalam serangan injeksi SQL, kode SQL dilewatkan melalui antarmuka web, dan database diminta untuk melakukan fungsi di luar batas otorisasi. Beberapa situs telah membekap kartu kredit dan kartu Jaminan Sosial informasi kepada hacker yang telah memanfaatkan serangan injeksi. Gagal menyadari kekuatan serangan injeksi dan untuk meninjau ulang sistem Anda kemungkinan dieksploitasi sehingga dapat mengakibatkan hilangnya informasi kritis dan sensitif.
Tinjaulah
situs web untuk kerentanan cross-site-scripting.
Cross-site scripting (XSS) memungkinkan aplikasi web untuk mengangkut serangan dari satu pengguna ke browser pengguna akhir lainnya. Serangan yang berhasil bisa mengungkapkan ujung kedua token sesi pengguna, menyerang mesin lokal, atau konten spoof untuk menipu pengguna. Serangan meliputi pengungkapan file pengguna akhir, menginstal program kuda Trojan, mengalihkan pengguna ke beberapa halaman atau situs lain, dan memodifikasi presentasi konten.
Cross-site scripting (XSS) memungkinkan aplikasi web untuk mengangkut serangan dari satu pengguna ke browser pengguna akhir lainnya. Serangan yang berhasil bisa mengungkapkan ujung kedua token sesi pengguna, menyerang mesin lokal, atau konten spoof untuk menipu pengguna. Serangan meliputi pengungkapan file pengguna akhir, menginstal program kuda Trojan, mengalihkan pengguna ke beberapa halaman atau situs lain, dan memodifikasi presentasi konten.
Tinjau
Ulang Aplikasi untuk Otentikasi dan Sesi yang Rusak karena Kerentanan Manajemen
Kredensial akun dan token sesi harus dilindungi. Penyerang yang bisa berkompromi kata sandi, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi.
Kredensial akun dan token sesi harus dilindungi. Penyerang yang bisa berkompromi kata sandi, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi.
Verifikasi
Referensi dan Otorisasi Objek yang Tepat Kontrol
Aplikasi
web dapat menggunakan nama sebenarnya atau kunci database sebagai referensi ke
objek dalam aplikasi web atau database yang mengandung informasi sensitif atau
akses. Praktiknya adalah menggunakan referensi tidak langsung ke objek. Setelah
pengguna diautentikasi ke web server, server web menentukan jenis akses yang
harus dimiliki pengguna dan untuk apa bagian dari situs web pengguna harus
memiliki akses. Gagal menerapkan kontrol akses (otorisasi) untuk setiap
referensi objek langsung memungkinkan penyerang untuk keluar dari batas yang
berwenang, mengakses data pengguna lain atau administrasi yang tidak berwenang.
Secara khusus, penyerang tidak boleh mengubah parameter yang digunakan selama
ini sesi pengguna resmi untuk mengakses data pengguna lain. Klien proxy dan
alat lainnya memungkinkan penyerang untuk melihat dan mengubah data selama sesi
berlangsung.
Verifikasi
bahwa kontrol tersedia untuk mencegah Permintaan Lintas Situs Forgery (CSRF
atau XSRF).
Permintaan
penggelapan, permintaan penganiayaan, mengeksploitasi kepercayaan yang dimiliki
situs web untuk diautentikasi oleh pengguna. Penyerang mengeksploitasi
kepercayaan ini dengan mengirimkan gambar yang tertanam, skrip, elemen iframe,
atau metode lain untuk memanggil perintah yang dijalankan di server web saat
Anda login dengan kredensial anda. Membuat keadaan menjadi lebih buruk bagi
pengguna, jenis serangan ini berasal dari alamat IP pengguna, dan semua data
log akan muncul seolah-olah pengguna memasukkannya. Server web harus
memvalidasi sumber permintaan web untuk memperkecil risikonya. Penyerang
mencoba membuat permintaan web jahat yang otentik yang berasal dari sumber di
luar kendali aplikasi web. Berikut adalah contoh bagaimana tipe ini serangan
mungkin terlihat sebagai permintaan gambar:
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
Tinjau
Kembali Kontrol Seputar Konfigurasi yang Aman
Ini
menangkap semua yang membahas manajemen konfigurasi, konsep menyeluruh tentang
menjaga konfigurasi aman dari server web. Subjek konfigurasi server web
mengalami penyimpangan dalam teknologi atau proses yang mempengaruhi keamanan
platform web dan aplikasi web.
Pastikan
Mekanisme Penyimpanan Kriptografi Aman Digunakan dengan Benar
Aplikasi
web sering ingin mengaburkan atau mengenkripsi data untuk melindungi data
sensitif dan kredensial. Tantangannya adalah bahwa ada dua bagian untuk skema
enkripsi yaitu hitam kotak yang melakukan sihir dan penerapan kotak hitam ke
web anda aplikasi. Komponen ini sulit untuk kode dengan benar, sering
mengakibatkan kelemahan pada
perlindungan
Verifikasi
bahwa Kontrol yang Tepat tersedia untuk Membatasi Pemfilteran URL
Kontrol
ini menerapkan akses berbasis peran ke area yang dilindungi dan sensitif di web
aplikasi Anda. Pembatasan yang hilang atau tidak dikonfigurasi dengan benar ke
URL memungkinkan penyerang untuk mengubah URL untuk mengakses halaman pribadi
atau hak istimewa. Penyaringan yang tepat memastikan bahwa hanya pengguna
terotentikasi yang memiliki akses ke setiap halaman yang dibatasi
penggunaannya. Seorang penyerang, yang mungkin pengguna sistem yang berwenang,
seharusnya tidak dapat mengubah URL untuk melihat informasi di luar perannya.
Evaluasi
Mekanisme Perlindungan Lapisan Transport (jaringan enkripsi lalu lintas) untuk
Melindungi Informasi Sensitif.
Percakapan
pribadi bersifat pribadi hanya jika tidak ada orang lain yang bisa
mendengarkannya. Sampai dienkripsi jaringan menjadi standar, protokol teks
jernih harus dihilangkan jika memungkinkan. Meskipun peralatan yang lebih baru
dan administrator jaringan yang cerdas dapat membantu mengurangi risiko
penyadapan lalu lintas jaringan, risiko nyata untuk menangkap lalu lintas itu
masih ada, terutama pada domain VLAN atau broadcast yang sama. Protokol
tertentu seperti HTTP, FTP, dan Telnet mentransmisikan semua informasi dalam
teks mentah, termasuk ID pengguna dan kata sandi yang diminta. Ini bisa
memungkinkan seseorang untuk melakukannya dapatkan informasi ini dengan
menguping jaringan. Komunikasi teks jelas. Secara umum harus diminimalisir jika
memungkinkan dan hanya protokol yang aman saja diizinkan untuk halaman pribadi.
Tinjau
Pengalihan Aplikasi Web dan Memverifikasi itu hanya URL yang valid yang dapat
Diakses
Dengan
menggunakan redirect yang tidak terkontrol, penyerang mungkin bisa mengarahkan
pengguna ke penyerang situs web menggunakan URL yang terlihat seolah-olah
berasal dari domain Anda. Ini lebih diutamakan metode untuk penipuan phishing
agar permintaan muncul sah dengan menggunakan organisasi yang diserang alamat
di bagian pertama URL yang dibuat. Ini terkadang digunakan bersama dengan
layanan pemendek URL untuk situs target untuk mengaburkan yang jahat. Maksud
dari URL
http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa itu jika tidak bisa diakses jika kontrol otorisasi tambahan diterapkan salah.
http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa itu jika tidak bisa diakses jika kontrol otorisasi tambahan diterapkan salah.
http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
Pastikan
Semua Masukan sudah Divalidasi sebelum Digunakan oleh Server Web
Informasi
harus divalidasi sebelum digunakan oleh aplikasi web. Gagal memvalidasi
permintaan web mengarahkan server web untuk meningkatkan risiko dari penyerang
yang berusaha melakukannya memanipulasi data masukan untuk menghasilkan hasil
yang berbahaya.
Evaluasi
Penggunaan Penanganan Kesalahan yang Tepat
Kondisi
kesalahan yang tidak terkontrol dengan benar memungkinkan penyerang mendapatkan
informasi sistem terperinci, menolak layanan, menyebabkan mekanisme keamanan gagal,
atau merusak server.
Alat dan
Teknologi
Ada
beberapa alasan mengapa produk otomatis gagal untuk mengaudit secara menyeluruh
kemungkinan komponen server web Anda, tapi bukan berarti produk ini seharusnya
diabaikan. Review kode sebenarnya bisa berjalan sangat cepat untuk coders
berpengalaman, tapi ini tergantung pada banyak variabel. Misalnya, bagaimana
berpengalaman adalah coder? Seberapa baik apakah reviewer mengerti aplikasi
web? Seberapa baik resensi itu mengerti konstruksi dari bahasa pemrograman yang
digunakan untuk aplikasi? Bagaimana kompleks adalah aplikasi? Apa antarmuka
eksternal yang ada, dan seberapa baik resensi memahami antarmuka eksternal ini?
Jika Anda tinggal dan bermain di dunia ini, ulasan kode mungkin mudah bagi
Anda. Jika Anda tinggal dan bermain di banyak dunia, Anda mungkin ingin
mempertimbangkan untuk menambah pencarian Anda dengan alat otomatis, terutama
jika Anda tidak punya anggaran untuk mendapatkan bantuan yang Anda tahu itu
Anda perlu. Bagian dari perbedaan antara insinyur yang baik dan insinyur hebat
adalah akal. Hanya karena Anda tidak punya uang tidak berarti Anda tidak bisa
memanfaatkannya alat dan komunitas di sekitar Anda.
Dasar
pengetahuan
Di bawah ini Anda akan menemukan sumber tambahan di mana Anda dapat memperoleh informasi tentang web, lingkungan aplikasi, dan kontrol terkait. Banyak vendor mempertahankan yang luar biasa jumlah informasi di situs mereka untuk konsumsi umum. Selain itu, komunitas penggemar dan forum sosial yang membantu terus berkembang.
Di bawah ini Anda akan menemukan sumber tambahan di mana Anda dapat memperoleh informasi tentang web, lingkungan aplikasi, dan kontrol terkait. Banyak vendor mempertahankan yang luar biasa jumlah informasi di situs mereka untuk konsumsi umum. Selain itu, komunitas penggemar dan forum sosial yang membantu terus berkembang.
D.
Regulasi
Audit
National Security Agency (NSA) INFOSEC Assessment
Methodology
Metodologi Penilaian InFOSEC
Security Agency Nasional (NSA IAM) dikembangkan oleh Badan Keamanan Nasional
A.S. dan dimasukkan ke dalam Pelatihan INFOSEC-nya dan Program Penilaian
(IATRP) pada awal tahun 2002. Meskipun program dan dukungan IATRP NSA IAM
dihentikan oleh NSA pada tahun 2009, masih banyak digunakan dan sekarang
dikelola oleh Security Horizon, yang merupakan salah satu perusahaan yang
menyediakannya NSA IAM dan pelatihan IEM untuk NSA.
Konsep Metodologi Penilaian
NSA INFOSEC
NSA IAM adalah metodologi
penilaian keamanan informasi yang mendasari penilaian kegiatan yang memecahkan
penilaian keamanan informasi menjadi tiga tahap yaitu pra-penilaian, kegiatan
di tempat, dan pasca penilaian. Masing-masing fase ini berisi wajib kegiatan
untuk memastikan konsistensi penilaian keamanan informasi. Penting untuk
dicatat, namun penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara,
dan observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA
dirilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.
Tahap Pra-Penilaian
Tujuan tahap pra-penilaian
adalah untuk menentukan kebutuhan pelanggan, mengatur lingkup penilaian dan
menentukan batas penilaian, mendapatkan pemahaman tentang kekritisan informasi
pelanggan, dan membuat rencana penilaian. NSA IAM mengukur kekritisan informasi
organisasi dan kekhasan informasi sistem. Informasi organisasi terdiri dari informasi
yang dibutuhkan untuk melakukan mayor fungsi bisnis Informasi sistem kemudian
diidentifikasi dengan menganalisa informasi yang diproses oleh sistem yang
mendukung fungsi bisnis utama.
NSA IAM menyediakan matriks yang digunakan untuk menganalisis kekritisan informasi. Matriks dibuat untuk setiap fungsi organisasi / bisnis dan setiap sistem yang mendukung organisasi. Sumbu vertikal terdiri dari jenis informasi, sedangkan sumbu horisontal mencakup kolom untuk kerahasiaan, integritas, dan ketersediaan. Informasi nilai dampak kritis diberikan untuk setiap sel. Tabel 16-1 adalah contoh dari matriks kekritisan informasi organisasi sumber daya manusia.
NSA IAM menyediakan matriks yang digunakan untuk menganalisis kekritisan informasi. Matriks dibuat untuk setiap fungsi organisasi / bisnis dan setiap sistem yang mendukung organisasi. Sumbu vertikal terdiri dari jenis informasi, sedangkan sumbu horisontal mencakup kolom untuk kerahasiaan, integritas, dan ketersediaan. Informasi nilai dampak kritis diberikan untuk setiap sel. Tabel 16-1 adalah contoh dari matriks kekritisan informasi organisasi sumber daya manusia.
E.
Standard
dan Kerangka Kerja Audit
Standard auditing merupakan pedoman audit atas laporan keuangan historis.
Standar auditing terdiri atas sepuluh standard yg dirinci dalam bentuk Standar
Perikatan Audit (SPA). SPA berisi ketentuan-ketentuan dan pedoman utama yang
harus diikuti oleh Akuntan Publik dalam melaksanakan penugasan audit. Kepatuhan
terhadap SPA yang diterbitkan oleh IAPI ini bersifat wajib bagi seluruh anggota
IAPI. Termasuk di dalam SPA adalah Interpretasi Standar Perikatan Audit (ISPA),
yang merupakan interpretasi resmi yang dikeluarkan oleh IAPI terhadap
ketentuan-ketentuan yang diterbitkan oleh IAPI dalam SPA. Standar Audit Sistem
Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006 pada
tanggal 25 Februari 2006 pukul 11.00 WIB bertempat di Jakarta. Standar ini
mulai berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan
sebelum tanggal tersebut.
Ada 10 standar yang ditetapkan dan disahkan oleh Institut Akuntan
Publik Indonesia (IAPI), yang terdiri dari standar umum, standar pekerjaan
lapangan, dan standar pelaporan beserta interpretasinya.
Standard Umum
1.
Audit
harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan
teknis yang cukup sebagai auditor.
2.
Dalam
semua hal yang berhubungan dengan perikatan, independensi dalam sikap mental
harus dipertahankan oleh auditor.
3.
Dalam
pelaksanaan audit dan penyusunan laporannya, auditor wajib menggunakan
kemahiran profesionalnya dengan cermat dan saksama.
Standard Pekerjaan Lapangan
1.
Pekerjaan
harus direncanakan sebaik-baiknya dan jika digunakan asisten harus disupervisi
dengan semestinya.
2.
Pemahaman
memadai atas pengendalian intern harus diperoleh unutk merencanakan audit dan
menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan.
3.
Bukti
audit kompeten yang cukup harus diperoleh melalui inspeksi, pengamatan,
permintaan keterangan, dan konfirmasi sebagai dasar memadai untuk menyatakan
pendapat atas laporan keuangan yang diaudit.
Standard Pelaporan
1.
Laporan
auditor harus menyatakan apakah laporan keuangan telah disusun sesuai dengan
prinsip akuntansi yang berlaku umum di Indonesia.
2.
Laporan
auditor harus menunjukkan atau menyatakan, jika ada, ketidakkonsistenan
penerapan prinsip akuntansi dalam penyusunan laporan keuangan periode berjalan
dibandingkan dengan penerapan prinsip akuntansi tersebut dalam periode
sebelumnya.
3.
Pengungkapan
informatif dalam laporan keuangan harus dipandang memadai, kecuali dinyatakan
lain dalam laporan auditor.
4.
Laporan
auditor harus memuat suatu pernyataan pendapat mengenai laporan keuangan secara
keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan.
Jika pendapat secara keseluruhan tidak dapat diberikan, maka alasannya harus
dinyatakan. Dalam hal nama auditor dikaitkan dengan laporan keuangan, maka
laporan auditor harus memuat petunjuk yang jelas mengenai sifat pekerjaan audit
yang dilaksanakan, jika ada, dan tingkat tanggung jawab yang dipikul oleh
auditor.
Contoh Kerangka Kerja
F.
Manajemen
Risiko
Dalam manajemen risiko, ada beberapa manfaat yang
diperoleh. Potensi pengelolaan risiko TI masih
dirahasiakan, dari beberapa tahun yang lalu, banyak organisasi telah
meningkatkan efektivitas pengendalian TI mereka atau mengurangi biaya mereka
dengan menggunakan analisis risiko dan praktik manajemen risiko yang baik. Ketika
manajemen memiliki pandangan perwakilan tentang eksposur TI organisasi, ia
dapat melakukannya dengan mengarahkan sumber daya yang tepat untuk mengurangi
area risiko tertinggi daripada pengeluaran sumber daya langka di daerah yang
memberikan sedikit atau tidak ada pengembalian investasi (ROI). Hasilnya adalah
tingkat pengurangan risiko yang lebih tinggi untuk setiap dolar yang
dikeluarkan.
Manajemen Risiko dari
Perspektif Eksekutif
Bisnis adalah semua tentang
risiko (risk) dan penghargaan (reward). Eksekutif diharuskan menimbang manfaat
investasi dengan risiko yang terkait dengannya. Akibatnya, sebagian besar telah
menjadi cukup mahir dalam mengukur risiko melalui analisis ROI, indikator
kinerja utama, dan segudang alat analisis keuangan dan operasional lainnya.
Mengatasi Risiko
Risiko dapat diatasi dengan
tiga cara yaitu menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya
itu metode sepenuhnya tergantung pada nilai finansial dari risiko versus
investasi diperlukan untuk menguranginya ke tingkat yang dapat diterima atau
mentransfernya ke pihak ketiga. Sebagai tambahannya, kontrol preskriptif,
peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut
menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian yang
wajar untuk mengurangi risiko ke tingkat yang dapat diterima.
Penerimaan Risiko
Nilai finansial suatu risiko
seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini,
pilihan yang paling masuk akal adalah menerima risiko. Namun, jika organisasi
memilih untuk menerima risiko, itu harus menunjukkan bahwa risiko memang
dinilai dan mendokumentasikan alasan di balik keputusan tersebut.
Mitigasi Risiko
Bila risiko memiliki nilai
keuangan yang signifikan, seringkali lebih tepat untuk mengurangi risiko
daripada menerimanya. Dengan sedikit pengecualian, biaya pelaksanaan dan
pemeliharaan kontrol harus kurang dari nilai moneter dari risiko yang
dikurangi.
Transfer Risiko
Industri asuransi didasarkan
pada transferensi risiko. Organisasi sering membeli asuransi untuk menutupi
biaya pelanggaran keamanan atau bencana sistem outage. Ini penting untuk
diperhatikan bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini
sering mewajibkan kebijakan tersebut kepada pemegang untuk menerapkan kontrol
tertentu. Gagal mematuhi persyaratan kontrol dapat membatalkan kebijakan.
Kuantitatif dan Kualitatif Analisis Risiko
Risiko dapat dianalisis
dengan dua cara yaitu kuantitatif dan kualitatif. Seperti hal lainnya,
masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif lebih banyak
obyektif dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa lebih mudah membenarkan, juga lebih menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pada pandangan berlapis risiko, tapi bisa lebih subjektif dan karena itu sulit untuk dibuktikan.
Organisasi dengan program manajemen risiko yang lebih sukses cenderung mengandalkan
lebih banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan kuantitatif pada teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif lebih banyak
obyektif dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa lebih mudah membenarkan, juga lebih menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pada pandangan berlapis risiko, tapi bisa lebih subjektif dan karena itu sulit untuk dibuktikan.
Organisasi dengan program manajemen risiko yang lebih sukses cenderung mengandalkan
lebih banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan kuantitatif pada teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
l Analisis
Risiko Kuantitatif
Dengan sedikit pengecualian,
apakah terkait dengan sumber keuangan, fisik, atau teknologi,
berbagai jenis risiko dapat dihitung dengan menggunakan rumus universal yang sama. Resiko bisa didefinisikan dengan perhitungan sebagai berikut:
berbagai jenis risiko dapat dihitung dengan menggunakan rumus universal yang sama. Resiko bisa didefinisikan dengan perhitungan sebagai berikut:
Risk = asset value ×
threat × vulnerability
Unsur Risiko
Seperti yang dapat Anda lihat dalam persamaan
di atas, risiko terdiri dari tiga unsur yaitu nilai aset, ancaman, dan
kerentanan. Memperkirakan unsur-unsur ini dengan benar sangat penting untuk
menilai risiko secara akurat.
Aset
Biasanya diwakili sebagai nilai moneter, aset
dapat didefinisikan sebagai sesuatu yang layak untuk dilakukan sebuah
organisasi yang dapat dirusak, dikompromikan, atau dimusnahkan secara kebetulan
atau tidak dengan tindakan yang disengaja. Kenyataannya, nilai aset jarang
menjadi biaya pengganti yang sederhana. Oleh karena itu, untuk mendapatkan
ukuran risiko yang akurat, aset harus dinilai dengan mempertimbangkan biaya
bottom line komprominya. Misalnya,
pelanggaran informasi pribadi. Mungkin tidak menyebabkan kerugian moneter
sekilas, tapi kalau itu benar-benar disadari, kemungkinan akan menghasilkan
tindakan hukum, merusak reputasi perusahaan, dan peraturan denda. Konsekuensi
ini berpotensi menimbulkan kerugian finansial yang signifikan. Di kasus ini,
bagian nilai aset dari persamaan tersebut akan mewakili informasi pribadi.
Nilai yang dihitung dari informasi pribadi akan mencakup perkiraan biaya
kumulatif dolar dari tindakan hukum, kerusakan reputasi, dan hukuman peraturan.
Ancaman
Ancaman dapat didefinisikan sebagai peristiwa
potensial yang jika disadari, akan menyebabkan hal yang tidak diinginkan.
Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tapi seringkali
menghasilkan kerugian dalam hal keuangan. Ancaman digeneralisasi sebagai
persentase, namun dua faktor berperan dalam tingkat keparahannya dari ancaman:
tingkat kehilangan dan kemungkinan terjadinya. Faktor pemaparan digunakan untuk
mewakili tingkat kerugian. Ini hanyalah perkiraan persentase kerugian aset jika
ancaman terwujud.
Kerentanan
Kerentanan dapat didefinisikan sebagai tidak
adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu
Kerentanan diperkirakan sebagai persentase berdasarkan tingkat kelemahan
kontrol. Kita bisa menghitung defisiensi kontrol (CD) dengan mengurangkan
efektivitas dari kontrol sebesar 1 atau 100 persen. Misalnya, kita bisa
menentukan industri kita pengawasan spionase 70 persen efektif, jadi 100 persen
- 70 persen = 30 persen (CD). Kerentanan ini akan diwakili 30 persen, atau 0,3.
l Analisis
Risiko Kualitatif
Berbeda dengan pendekatan kuantitatif terhadap
analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan
tingkat tinggi terhadap risiko perusahaan. Dimana metode kuantitatif terpusat
pada rumus, analisis risiko kualitatif akan fokus pada nilai seperti tinggi,
sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk
mengevaluasi risikonya.
Seperti yang disebutkan sebelumnya, pendekatan kualitatif dan kuantitatif melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka di metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk mitigasi risiko investasi.
Seperti yang disebutkan sebelumnya, pendekatan kualitatif dan kuantitatif melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka di metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk mitigasi risiko investasi.
Siklus Hidup Manajemen Risiko IT
Seperti
kebanyakan metodologi, manajemen risiko, bila diterapkan dengan benar, mengambil
alih karakteristik siklus hidup (Gambar 18-1). Hal ini dapat dibagi menjadi
beberapa fase, dimulai dengan identifikasi aset informasi dan berpuncak pada
manajemen risiko residual.
Tahap 1 : Identifikasi Aset Informasi
Tahap pertama dalam siklus pengelolaan risiko
adalah mengidentifikasi informasi organisasi
aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas :
• Tentukan nilai kekritisan informasi.
• Mengidentifikasi fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset informasi.
• Tetapkan nilai kekritisan pada aset informasi.
aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas :
• Tentukan nilai kekritisan informasi.
• Mengidentifikasi fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset informasi.
• Tetapkan nilai kekritisan pada aset informasi.
Tujuan dari tahap ini adalah untuk
mengidentifikasi semua aset informasi dan menetapkan setiap informasi aset
merupakan nilai kekritisan yang tinggi, sedang, atau rendah untuk kerahasiaan,
integritas, dan persyaratan ketersediaan Misalnya, kami dapat mengidentifikasi
informasi kartu kredit sebagai aset informasi yang diproses oleh sistem ritel
kita. Aset informasi ini diatur dengan standard keamanan data Industri Kartu
Pembayaran (PCI Card) dan sangat berharga jika diungkapkan dengan cara yang
tidak sah. Kita juga tahu bahwa jika diubah, informasi ini tidak ada gunanya
bagi kita, tapi pada sebagian besar kasus, sementara kehilangan akses terhadap
informasi ini bisa ditoleransi. Akibatnya, kami akan menetapkan nilai informasi
kartu kredit yang tinggi baik kerahasiaan maupun integritas dan media untuk
ketersediaan.
Cara terbaik untuk mengidentifikasi aset informasi adalah dengan mengambil pendekatan dari atas ke bawah dengan fungsi organisasi, mengidentifikasi proses yang mendukung bisnis tersebut, dan pengeboran ke aset informasi yang diproses oleh sistem yang mendukung setiap fungsi bisnis. Gambar 18-2 menunjukkan pendekatan terhadap informasi ini identifikasi aset menggunakan dekomposisi fungsi bisnis.
Tahap 2 : Mengukur dan Mengklaim Ancaman
Ancaman informasi berdampak pada organisasi
melalui loyalitas merk yang berkurang, sumber daya, biaya pemulihan, dan
tindakan hukum dan peraturan. Saat ancaman direalisasikan, biaya ini sering
kali tidak diketahui karena tidak diidentifikasi dengan benar. Misalnya,
katakanlah organisasi kita diserang oleh worm jahat yang menyebabkan A
kehilangan kapasitas pemrosesan sementara dan beberapa ratus jam waktu
pemulihan. Biaya tersebut dapat dihitung dengan menghitung jam yang diperlukan
untuk pemulihan dan estimasi kerugian yang terkait dengan penundaan pemrosesan.
Namun, perlu pertimbangan lain. Ditimbang juga: Apakah reputasi perusahaan
telah terpengaruh karena memang begitu tidak bisa melayani pelanggan? Apakah
ada penjualan yang hilang? Apakah beberapa karyawan tidak mampu bekerja? Apa
paparan hukum organisasi karena pelanggaran keamanan? Seperti kamu dapat
melihat, mengidentifikasi semua area dalam organisasi yang mungkin terkena
dampak yang memerlukan A cukup banyak pemikiran. Oleh karena itu, kami akan membantu
memecah proses analisa ancaman ini dengan langkah selanjutnya dalam siklus
hidup manajemen risiko yaitu untuk mengukur dan memenuhi syarat ancaman.
Kami juga akan mengambil pendekatan top-down saat kami mengidentifikasi ancaman, dimulai dengan ancaman bisnis dan beralih ke ancaman teknis yang dapat menyebabkan teridentifikasi ancaman bisnis.
Tahap
siklus pengelolaan risiko ini memerlukan langkah-langkah berikut :
• Menilai ancaman bisnis.
• Mengidentifikasi ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan kemungkinan ancaman.
• Mengevaluasi arus proses untuk kelemahan.
• Identifikasi ancaman komponen-komponen.
• Menilai ancaman bisnis.
• Mengidentifikasi ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan kemungkinan ancaman.
• Mengevaluasi arus proses untuk kelemahan.
• Identifikasi ancaman komponen-komponen.
Tahap 3 : Kaji Kerentanan
Kami sekarang telah mengidentifikasi aset
informasi dan ancaman terhadap setiap aset. Didalam fase ini, kita akan menilai
kerentanan. Dalam memeriksa ancaman, common denominator adalah aset informasi,
karena setiap ancaman terkait dengan aset informasi. Saat menilai kerentanan,
di sisi lain common denominator adalah informasinya proses. Pertama-tama kita
akan mengidentifikasi kerentanan komponen-komponen dan kemudian
menggabungkannya
untuk menentukan kerentanan proses kita. Proses kerentanan kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis. Alih-alih bekerja dari atas ke bawah (dari fungsi bisnis hingga komponen proses), kita akan bekerja dari bawah ke atas dalam menilai kerentanan. Kita akan menggunakan berikut langkah-langkah dalam menganalisis kerentanan :
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan gap kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Kategorikan kesenjangan kontrol dengan tingkat keparahan.
5. Tetapkan peringkat risiko.
untuk menentukan kerentanan proses kita. Proses kerentanan kemudian akan digabungkan untuk menentukan kerentanan fungsi bisnis. Alih-alih bekerja dari atas ke bawah (dari fungsi bisnis hingga komponen proses), kita akan bekerja dari bawah ke atas dalam menilai kerentanan. Kita akan menggunakan berikut langkah-langkah dalam menganalisis kerentanan :
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan gap kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Kategorikan kesenjangan kontrol dengan tingkat keparahan.
5. Tetapkan peringkat risiko.
Tahap 4 : Remediasi Kontrol Kesenjangan
Pada titik ini, risiko kita harus dikategorikan
tinggi, menengah, atau rendah. Awalnya, kita akan fokus pada mitigasi risiko
paling parah, karena kemungkinan besar kita akan melihat yang tertinggi.
Intinya, kita bisa mengurangi lebih banyak risiko dengan sedikit uang. Kita
akan menggunakan langkah-langkah berikut dalam remediasi kesenjangan :
1. Pilih kontrol.
2. Melaksanakan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko.
1. Pilih kontrol.
2. Melaksanakan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko.
Tahap 5 : Mengelola Sisa Risiko
Risiko bersifat inheren dinamis, terutama
komponen ancaman risiko. Kita perlu mengukur risiko secara terus menerus dan
berinvestasi pada kontrol baru untuk meresponsnya ancaman yang muncul. Fase ini
terdiri dari dua tahap :
1. Buat garis dasar risiko
2. Menilai kembali risiko
1. Buat garis dasar risiko
2. Menilai kembali risiko
Membuat Garis Dasar Risiko
Karena kita sekarang memiliki peringkat risiko yang dihitung ulang, kita dapat menggabungkannya untuk menciptakan garis dasar risiko. Kami akan menggunakan dasar ini untuk mengukur perubahan dalam postur risiko dan identifikasi kami. Dasar risiko harus mencakup keseluruhan fungsi organisasi, fungsi bisnis dan penilaian risiko, serta narasi yang menjelaskan alasan yang digunakan dalam keputusan untuk menerapkan kontrol atau menerima resiko.
Karena kita sekarang memiliki peringkat risiko yang dihitung ulang, kita dapat menggabungkannya untuk menciptakan garis dasar risiko. Kami akan menggunakan dasar ini untuk mengukur perubahan dalam postur risiko dan identifikasi kami. Dasar risiko harus mencakup keseluruhan fungsi organisasi, fungsi bisnis dan penilaian risiko, serta narasi yang menjelaskan alasan yang digunakan dalam keputusan untuk menerapkan kontrol atau menerima resiko.
Menilai Kembali Resiko
Setelah proses selesai, kita perlu merencanakan untuk menilai kembali risiko secara berkala. Karena, sifat TI yang selalu berubah, organisasi harus menyelesaikan pengelolaan risiko siklus hidup minimal satu kali per tahun. Namun, penilaian risiko harus dipicu dengan kejadian tertentu, seperti berikut ini :
• Korporasi atau akuisisi perusahaan
• Instalasi sistem baru
• Perubahan fungsi bisnis
• Diundangkannya undang-undang atau peraturan baru yang mengamanatkan penambahan baru kontrol (atau memerlukan analisis risiko)
