AUDIT TEKNOLOGI SISTEM INFORMASI
DISUSUN OLEH :
1. DANIEL (1D114129)
2. ARIE ARDINI ROSADA (11114554)
3. MEYDI ANNISA (16114610)
4. M. RIDWAN I.D. (17114497)
5. NITHA TIARA PUTRI (17114992)
KELAS 4KA34
JURUSAN SISTEM INFORMASI
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
PTA
2017/2018
AUDIT TEKNOLOGI SISTEM INFORMASI
A.
Konsep
Audit
Gambar di
atas menunjukkan struktur pelaporan tim audit, dimana Direktur membawahi tim IT
dan tim keuangan. Di dalam tim IT terdapat Manajer Audit IT dan tim IT Auditor,
sedangkan dalam tim Keuangan terdapat Manajer Audit Keuangan dan tim
auditornya. Tujuan dari audit itu sendiri ialah untuk mempromosikan sistem
kontrol internal serta membantu dalam melakukan pengembangan suatu perusahaan
dengan memberikan solusi yang tepat.
Dalam
suatu perusahaan ada keterhubungan antara tim audit dan tim IT, setelah tim IT
membuat atau mengembangkan suatu sistem maka tugas tim audit melakukan evaluasi
serta membuat laporan mengenai hasil evaluasi tersebut. Hasil
akhirnya ialah untuk memperbaiki keadaan pengendalian internal di dalam
perusahaan. Pelaporan tersebut menyediakan mekanisme dimana isu-isu tersebut
terungkap dan karenanya dapat menerima sumber daya dan perhatian yang
diperlukan untuk memperbaikinya.
Misi departemen audit internal ada dua yaitu
memberikan jaminan independen kepada komite audit (dan manajemen senior) bahwa
pengendalian internal dilakukan di perusahaan dan berfungsi secara efektif
serta ntuk memperbaiki keadaan pengendalian internal di perusahaan dengan
mempromosikan kontrol internal dan dengan membantu perusahaan mengidentifikasi
kelemahan pengendalian dan mengembangkan solusi hemat biaya untuk mengatasi
kelemahan tersebut.
Dinyatakan dalam istilah yang paling sederhana,
pengendalian internal adalah mekanisme yang menjamin berfungsinya proses di
dalam perusahaan. Setiap sistem dan proses ada untuk beberapa tujuan bisnis
tertentu. Auditor harus mencari risiko yang dapat mempengaruhi pencapaian
tujuan tersebut dan kemudian memastikan bahwa pengendalian internal diterapkan
untuk mengurangi risiko tersebut.
Konsultan dan Keterlibatan
Konsultan dan Keterlibatan
Banyak auditor yang takut saat ditanya pendapat
pra-implementasi. Bagaimana jika mereka memberi nasehat buruk? Kemudian mereka
bertanggung jawab atas kegagalan pengendalian sebagai orang-orang IT yang
menerapkan sistem ini. Tentunya lebih baik mengatakan apa-apa dan membiarkan
orang IT "tenggelam atau berenang" dalam mengembangkan kontrol,
bukan?
Auditor selalu bisa mengauditnya nanti dan memberi tahu mereka di mana mereka melalukan kesalahan. Auditor harus bersedia masuk ke dalam dan memberi masukan. Apakah Anda memberikan opini sebelum pelaksanaan atau setelahnya, Anda tetap harus memberikan masukan yang sama pada dasarnya.
Auditor selalu bisa mengauditnya nanti dan memberi tahu mereka di mana mereka melalukan kesalahan. Auditor harus bersedia masuk ke dalam dan memberi masukan. Apakah Anda memberikan opini sebelum pelaksanaan atau setelahnya, Anda tetap harus memberikan masukan yang sama pada dasarnya.
Ketika harus bekerja dengan tim sebelum
diimplementasikan, beberapa baris tidak boleh dilewati. Auditor tidak perlu
takut untuk melakukan brainstorming dengan tim tentang bagaimana kontrol harus
bekerja. Namun, ini seharusnya tidak termasuk menjalankan kontrol, menulis
kode, atau mengkonfigurasi sistem. Anda tidak bisa mengendalikan dan
mengauditnya sendiri, namun Anda merasa nyaman untuk memberikan masukan
sebanyak mungkin mengenai seperti apa kontrol itu.
4
metode yang dipakai oleh konsultan :
Ø
Keterlibatan
di awal
Begitu Anda menciptakan sebuah sistem,
mengujinya, dan menerapkannya, akan jauh lebih mahal untuk kembali dan
mengubahnya daripada jika Anda melakukannya dengan benar untuk pertama kalinya.
Artinya lebih baik kita mengikuti tahapan dari awal sehingga dapat melakukan pengontrolan
dengan efektif, dan lebih mudah dalam melakukan pengecekan serta perbaikan.
Ø
Audit Informal
Katakan kepada orang-orang bahwa Anda mengaudit
bahwa Anda tidak bermaksud untuk melacak isu-isu yang keluar dari tinjauan
tetapi jika Anda menemukan masalah besar, Anda harus membuat pengecualian.
Ø
Berbagi Pengetahuan
Salah satu kendaraan komunikasi termudah adalah
intranet perusahaan. Bagian audit internal harus memiliki situs web sendiri.
Dimana terdapat pedoman pengendalian, isu umum, praktik terbaik, dan solusi
inovatif serta alatnya.
Ø
Penilaian Diri
Terserah masing-masing
departemen audit untuk menentukan apakah ingin menerapkan model self-assessment
kontrol secara formal.
PERAN TIM AUDIT TI
Fasilitas pusat data Ini, cukup sederhana yaitu
bangunan fisik dan pusat data yang menyimpan peralatan komputer yang menjadi
tempat sistem yang bersangkutan berada. Jaringan, hal ini memungkinkan sistem
dan pengguna lain berkomunikasi dengan sistem yang bersangkutan saat mereka
tidak memiliki akses fisik terhadapnya. Lapisan, mencakup perangkat jaringan
dasar seperti firewall, switch, dan router. System platform, menyediakan
lingkungan operasi dasar dimana aplikasi tingkat yang lebih tinggi berjalan.
Contohnya adalah sistem operasi seperti Unix, Linux, dan Windows.
Database, alat ini mengatur dan menyediakan
akses ke data yang dijalankan oleh aplikasi akhir. Aplikasi, ini adalah
aplikasi akhir yang sebenarnya dilihat dan diakses oleh pengguna akhir. Ini
bisa berupa aplikasi perencanaan sumber daya perusahaan (enterprise) yang
menyediakan fungsi bisnis dasar, aplikasi e-mail, atau sistem yang memungkinkan
ruang konferensi dijadwalkan.
B.
Proses
Audit
Tahap
pertama lakukan perencanaan, studi lapangan dan dokumentasi, penemuan masalah
dan validasi, pengembangan solusi, penyusunan laporan, dan yang terakhir
melakukan pelacakkan masalah.
Kontrol
Internal
Mekanisme
yang memastikan bahwa suatu sistem internal berfungsi dengan baik dalam suatu
perusahaan. Setiap sistem dan proses dalam perusahaan ada untuk tujuan bisnis
tertentu. Tim auditor harus menemukan atau mencari keberadaan suatu risiko dan
memastikan pengendalian internal tersebut mampu mengatasi risiko yang terjadi.
Jenis Pengendalian Internal
Ø
Kontrol Pencegahan
Pemeriksaan preventif menghentikan terjadinya kejadian yang tidak
diinginkan. Misalnya, nama pengguna memerlukan kata sandi untuk mengakses
sistem adalah pemeriksaan preventif. Ini mencegah (teoritis) orang yang tidak
berwenang dari akses ke sistem. Dari sudut pandang teoritis, preventif kontrol
selalu merupakan alasan yang jelas. Namun ingat bahwa kontrol preventif tidak
selalu menjadi biaya yang paling efektif bahkan jenis kontrol lainnya bisa
lebih bermanfaat dari sudut pandang manfaat biaya.
Ø
Kontrol Pendeteksi
Kontrol pendeteksi dirancang untuk mendeteksi
kesalahan dan penyimpangan yang telah terjadi. Kontrol ini merupakan biaya
operasi yang terus-menerus dan sering kali mahal, tapi perlu. Kontrol ini
bertujuan pula untuk menekan dampak dari kesalahan karena dapat mengindetifikasikan
suatu kesalahan dengan cepat.
Ø
Kontrol Recovery
Membantu
mengurangi pengaruh dari suatu event yang hilang melalui prosedur recovery data
atau mengembalikan data yang hilang melalui prosedur recovery data. Misalnya,
memperbaiki data yang terkena virus.
Ø
Kontrol
Detterent
Digunakan untuk merujuk kepada suatu
kepatuhan (compliance) dengan peraturan-peraturan external maupun
regulasi-regulasi yang ada.
Tahap
Audit
ü
Tahap Pemeriksaan pendahuluan
Sebelum
auditor menentukan sifat dan luas pengujian yang harus dilakukan, auditor harus
memahami bisnis auditi (kebijakan, struktur organisasi, dan praktik yang
dilakukan). Setelah itu, analisis resiko audit merupakan bagian yang penting
dan berusaha untuk memahami pengendalian terhadap transaksi yang diproses oleh
aplikasi tersebut. Pada tahap ini pula auditor dapat memutuskan apakah audit
diteruskan atau mengundurkan diri dari penugasan audit.
ü
Tahap Pemeriksaan Rinci
Pada
tahap ini auditnya berupaya mendapatkan informasi lebih mendalam untuk memahami
pengendalian yang diterapkan dalam sistem komputer klien. Auditor harus dapat
memperkirakan bahwa hasil audit pada akhirnya harus dapat dijadikan sebagai
dasar untuk menilai apakah struktur pengendalian intern yang diterapkan dapat
terpercaya atau tidak. Kuat atau tidaknya pengendalian tersebut akan menjadi
dasar bagi auditor dalam menentukan langkah selanjutnya.
ü
Tahap Pengujian Kesesuaian
Dalam
tahap ini, dilakukan pemeriksaan secara terinci saldo akun dan transaksi
Informasi yang digunakan berada dalam file data yang biasanya harus diambil
menggunakaan software CAATTs(Computer Assisted Audit Tools and Techniques).
Dengan kata lain, CAATTs digunakan untuk mengambil data untuk mengetahui
integritas dan kehandalan data itu sendiri.
ü
Tahap Pengujian Kebenaran Bukti
Tujuan
pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup
kompeten. Pada tahap ini, pengujian yang dilakukan adalah (Davis at,all. 1981)
:
1. Mengidentifikasi kesalahan dalam
pemrosesan data
2. Menilai kualitas data
3. Mengidentifikasi ketidakkonsistenan
data
4. Membandingkan data dengan perhitungan
fisik
5. Konfirmasi data dengan sumber-sumber
dari luar perusahaan.
ü
Tahap
Penilaian Secara Umum
Pada tahap ini auditor telah dapat memberikan
penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang
diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk
menyiapkan pendapatannya dalam laporan auditan.
Auditor harus mengintergrasikan hasil proses
dalam pendekatan audit yang diterapkan audit. Audit meliputi struktur
pengendalian intern yang diterapkan perusahaan, yang mencakup : Pengendalian
umum dan Pengendalian aplikasi, yang terdiri dari : Pengendalian secara manual,
Pengendalian terhadap output sistem informasi , dan Pengendalian yang sudah
diprogram.
C.
Teknik
Audit
Auditing
Web Servers and Web Auditing
Beberapa penemuan teknologi telah mengubah
hidup kita sebanyak-atau secepat-seperti web aplikasi. Antarmuka web telah
berkembang dari halaman statis menjadi sangat interaktif perpaduan kemampuan
yang digerakkan oleh para pemrogram kreatif. Pada akhir 1980an, konsep World
Wide Web memulai permulaannya yang sederhana dengan Tim Berners-Lee dan
Robert Caillieau. Pada tahun 1991, server web pertama dipasang di Amerika Serikat berkomunikasi dengan komputer NeXT di Swiss. Pesatnya perkembangan Internet secara luas dikaitkan dengan kebutuhan berbagi informasi yang akan mempercepat pengembangan di seluruh departemen penelitian ilmiah. Nantinya, perkembangan dan pertumbuhan didorong oleh peluang bisnis. Pengusaha segera menemukan model bisnis baru di Internet dan mampu mengambil keuntungan dari kebutuhan masyarakat untuk mengirim dan menerima informasi dan multimedia secara instan.
Robert Caillieau. Pada tahun 1991, server web pertama dipasang di Amerika Serikat berkomunikasi dengan komputer NeXT di Swiss. Pesatnya perkembangan Internet secara luas dikaitkan dengan kebutuhan berbagi informasi yang akan mempercepat pengembangan di seluruh departemen penelitian ilmiah. Nantinya, perkembangan dan pertumbuhan didorong oleh peluang bisnis. Pengusaha segera menemukan model bisnis baru di Internet dan mampu mengambil keuntungan dari kebutuhan masyarakat untuk mengirim dan menerima informasi dan multimedia secara instan.
Esensi dari Web Auditing
Laporan Insiden Data Pelanggaran Data Verizon
2010 mengidentifikasi web sebagai yang paling umum dari vektor serangan untuk
pelanggaran perusahaan yang sukses, terhitung 54 persen dari keseluruhan
serangan. Serangan web ini selanjutnya menyumbang 92 persen dari semua rekaman
yang dikompromikan di semua kategori serangan, web server menjadi target umum.
Bahkan sering mengandung rahasia perusahaan, informasi pribadi, atau pemegang
kartu data.
Ingat bahwa audit, sebanyak yang ingin kita
percayai sebaliknya, bukanlah sebuah sains yang tepat, dan audit server web
adalah salah satu area di mana hal ini terlihat. Audit prosedur mencoba
menggunakan subset dari alat dan teknologi yang ada untuk mengidentifikasi
risiko umum dalam sistem atau proses di sekitar sistem. Ada puluhan alat dan
sumber daya tersedia untuk membantu Anda dalam melakukan audit yang lebih kuat
dari aplikasi spesifik anda. Sebagai kata peringatan terakhir, langkah-langkah
berikut harus dianggap sebagai titik awal untuk audit. Alat pengujian penetrasi
aplikasi web harus digunakan bersamaan dengan pelatihan yang tepat Kontrol
berlapis tambahan, seperti Web Application Firewall (WAF), sangat dianjurkan.
Satu Audit dengan Beberapa Komponen
Audit web yang lengkap benar-benar merupakan
audit terhadap tiga komponen utama, termasuk sistem operasi server, server web,
dan aplikasi web. Ketiga komponen ini adalah yang ditunjukkan pada Tabel 8-1.
Komponen tambahan seperti database pendukung atau yang relevan infrastruktur
jaringan mungkin juga tepat untuk dipertimbangkan sebagai bagian dari audit.
Komponen pertama yang kita bahas adalah platform yang mendasari atau sistem
operasi
yang server web dan aplikasi yang diinstal dan beroperasi. Berikutnya adalah server web itu sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan untuk meng-host web aplikasi. Akhirnya, kami meliput audit aplikasi web. Aplikasi web untuk tujuan kami mencakup kerangka kerja pengembangan terkait seperti ASP.NET, Java, Python, atau PHP dan sistem manajemen konten yang sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
Kesulitan utama dalam meninjau aplikasi web ada hubungannya dengan jumlah komponen interaksi yang mungkin ada yang ada dalam kerangka situs web. Volume bisa ditulis tentang setiap web server dan framework aplikasi web dikeberadaan dan pengaturan individu untuk masing-masing. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi web,
mempersulit proses audit. Namun, beberapa alat dan metode juga tersedia.
yang server web dan aplikasi yang diinstal dan beroperasi. Berikutnya adalah server web itu sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan untuk meng-host web aplikasi. Akhirnya, kami meliput audit aplikasi web. Aplikasi web untuk tujuan kami mencakup kerangka kerja pengembangan terkait seperti ASP.NET, Java, Python, atau PHP dan sistem manajemen konten yang sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
Kesulitan utama dalam meninjau aplikasi web ada hubungannya dengan jumlah komponen interaksi yang mungkin ada yang ada dalam kerangka situs web. Volume bisa ditulis tentang setiap web server dan framework aplikasi web dikeberadaan dan pengaturan individu untuk masing-masing. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi web,
mempersulit proses audit. Namun, beberapa alat dan metode juga tersedia.
Langkah-langkah berikut ini mencakup alat bantu
dan metode :
Langkah Uji untuk Mengaudit Host Sistem operasi
Audit sistem operasi host harus dilakukan bersamaan dengan audit web server dan aplikasi web.
Audit sistem operasi host harus dilakukan bersamaan dengan audit web server dan aplikasi web.
Langkah Uji untuk Mengaudit Server Web
Setiap langkah mungkin atau mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk melakukannya.
Setiap langkah mungkin atau mungkin tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk melakukannya.
- Pastikan server web berjalan pada sistem khusus dan tidak bersamaan
dengan aplikasi kritis lainnya. Host web yang disusupi memungkinkan penyerang
untuk mengkompromikan aplikasi lain server web anda Anda harus menggunakan
mesin khusus untuk server web Anda. Sebagai contoh, Anda tidak akan pernah
ingin menginstal server web Anda pada kontroler domain.
- Pastikan server web telah sepenuhnya ditambal dan diperbarui kode
terbaru yang disetujui
Kegagalan untuk menjalankan sistem yang cukup ditambal subjek web server untuk risiko yang tidak perlu kompromi dari kerentanan yang mungkin telah ditambal dengan kode yang diperbarui rilis.
Kegagalan untuk menjalankan sistem yang cukup ditambal subjek web server untuk risiko yang tidak perlu kompromi dari kerentanan yang mungkin telah ditambal dengan kode yang diperbarui rilis.
- Verifikasi bahwa layanan, modul, objek, dan API yang tidak perlu
dihapus atau dinonaktifkan. Menjalankan layanan dan modul harus beroperasi di
bawah akun yang paling tidak istimewa. Layanan, modul, objek, dan API yang
tidak perlu menghadirkan area permukaan serangan tambahan, menghasilkan lebih
banyak kesempatan bagi penyerang dan malware jahat.
- Pastikan hanya protokol dan port yang sesuai yang diizinkan untuk
mengakses server web.
Meminimalkan jumlah protokol dan port yang diizinkan untuk mengakses server web mengurangi jumlah vektor serangan yang tersedia untuk kompromi server.
Meminimalkan jumlah protokol dan port yang diizinkan untuk mengakses server web mengurangi jumlah vektor serangan yang tersedia untuk kompromi server.
- Pastikan akun yang memungkinkan akses ke server web tersebut dikelola
dengan tepat dan dengan password yang kuat. Akun yang tidak dikelola dengan
benar atau yang digunakan dapat memberikan akses mudah ke web server, melewati
kontrol keamanan tambahan lainnya yang mencegah serangan berbahaya. Ini adalah
langkah besar dengan cakupan yang luas, meliputi kontrol seputar penggunaan
akun dan pengelolaan.
- Pastikan kontrol yang sesuai ada untuk file, direktori, dan direktori
virtual. Kontrol yang tidak tepat untuk file dan direktori yang digunakan oleh
server web dan sistem umumnya memungkinkan penyerang mengakses lebih banyak
informasi dan peralatan daripada yang seharusnya tersedia. Misalnya, utilitas
administrasi jarak jauh meningkatkan kemungkinan server web kompromi.
- Pastikan server web mengaktifkan logging yang sesuai dan diamankan.
Membukukan peristiwa auditable membantu administrator untuk memecahkan masalah.
Penebangan juga memungkinkan tim respon insiden untuk mengumpulkan data
forensik.
-
Pastikan ekstensi skrip dipetakan dengan tepat. Script mungkin memungkinkan
penyerang untuk mengeksekusi kode pilihannya, berpotensi mengorbankan server
web.
-
Verifikasi keabsahan dan penggunaan sertifikat server yang digunakan.
Sertifikat sisi server memungkinkan klien mempercayai identitas server web Anda
atau bahwa web Anda
server adalah siapa yang Anda katakan seharusnya server Anda. Sertifikat lama atau yang dicabut menyarankan bahwa situs web Anda mungkin atau mungkin tidak berlaku bagi pengguna akhir.
server adalah siapa yang Anda katakan seharusnya server Anda. Sertifikat lama atau yang dicabut menyarankan bahwa situs web Anda mungkin atau mungkin tidak berlaku bagi pengguna akhir.
Langkah Uji untuk Mengaudit Aplikasi Web
Bagian ini merupakan pendekatan terhadap audit aplikasi yang
ditunjukkan oleh Open Proyek Keamanan Aplikasi Web (OWASP) Top 10. Menurut
situsnya, OWASP "didedikasikan untuk memungkinkan organisasi berkembang,
membeli, dan memelihara aplikasi yang bisa dipercaya. "OWASP
mempertahankan yang luar biasa jumlah informasi yang dapat membantu Anda
mengembangkan program audit untuk Anda. Aplikasi web OWASP Top Ten dianggap
sebagai seperangkat standard minimum yang ditinjau selama audit.
Desain aplikasi web Anda mungkin memerlukan pengujian tambahan termasuk parsial atau review kode penuh, pengujian penetrasi pihak ketiga, pemindai komersial, atau open source. Masing-masing dapat menawarkan beberapa jaminan tambahan bahwa aplikasi Anda dirancang dan dikonfigurasi dengan benar. Pertimbangkan nilai bisnis dari aplikasi web dan investasikan sumber daya yang sesuai untuk memastikan aplikasi Anda aman. Tambahan panduan tentang cara efektif menemukan kerentanan dalam aplikasi web disediakan dalam Panduan Pengujian OWASP dan Panduan Review Kode OWASP yang terdapat di www.owasp.org.
Desain aplikasi mendorong pentingnya langkah-langkah berikut. Kita asumsikan itu interaksi terjadi antara server web dan pengguna. Interaksi ini bisa terjadi dari login ke aplikasi atau melayani data yang diminta pengguna.
Desain aplikasi web Anda mungkin memerlukan pengujian tambahan termasuk parsial atau review kode penuh, pengujian penetrasi pihak ketiga, pemindai komersial, atau open source. Masing-masing dapat menawarkan beberapa jaminan tambahan bahwa aplikasi Anda dirancang dan dikonfigurasi dengan benar. Pertimbangkan nilai bisnis dari aplikasi web dan investasikan sumber daya yang sesuai untuk memastikan aplikasi Anda aman. Tambahan panduan tentang cara efektif menemukan kerentanan dalam aplikasi web disediakan dalam Panduan Pengujian OWASP dan Panduan Review Kode OWASP yang terdapat di www.owasp.org.
Desain aplikasi mendorong pentingnya langkah-langkah berikut. Kita asumsikan itu interaksi terjadi antara server web dan pengguna. Interaksi ini bisa terjadi dari login ke aplikasi atau melayani data yang diminta pengguna.
Pastikan
Aplikasi Web Terlindungi dari Serangan Injeksi
Serangan injeksi memungkinkan klien web melewatkan data melalui server web dan keluar sistem lain. Sebagai contoh, dalam serangan injeksi SQL, kode SQL dilewatkan melalui antarmuka web, dan database diminta untuk melakukan fungsi di luar batas otorisasi. Beberapa situs telah membekap kartu kredit dan kartu Jaminan Sosial informasi kepada hacker yang telah memanfaatkan serangan injeksi. Gagal menyadari kekuatan serangan injeksi dan untuk meninjau ulang sistem Anda kemungkinan dieksploitasi sehingga dapat mengakibatkan hilangnya informasi kritis dan sensitif.
Serangan injeksi memungkinkan klien web melewatkan data melalui server web dan keluar sistem lain. Sebagai contoh, dalam serangan injeksi SQL, kode SQL dilewatkan melalui antarmuka web, dan database diminta untuk melakukan fungsi di luar batas otorisasi. Beberapa situs telah membekap kartu kredit dan kartu Jaminan Sosial informasi kepada hacker yang telah memanfaatkan serangan injeksi. Gagal menyadari kekuatan serangan injeksi dan untuk meninjau ulang sistem Anda kemungkinan dieksploitasi sehingga dapat mengakibatkan hilangnya informasi kritis dan sensitif.
Tinjaulah
situs web untuk kerentanan cross-site-scripting.
Cross-site scripting (XSS) memungkinkan aplikasi web untuk mengangkut serangan dari satu pengguna ke browser pengguna akhir lainnya. Serangan yang berhasil bisa mengungkapkan ujung kedua token sesi pengguna, menyerang mesin lokal, atau konten spoof untuk menipu pengguna. Serangan meliputi pengungkapan file pengguna akhir, menginstal program kuda Trojan, mengalihkan pengguna ke beberapa halaman atau situs lain, dan memodifikasi presentasi konten.
Cross-site scripting (XSS) memungkinkan aplikasi web untuk mengangkut serangan dari satu pengguna ke browser pengguna akhir lainnya. Serangan yang berhasil bisa mengungkapkan ujung kedua token sesi pengguna, menyerang mesin lokal, atau konten spoof untuk menipu pengguna. Serangan meliputi pengungkapan file pengguna akhir, menginstal program kuda Trojan, mengalihkan pengguna ke beberapa halaman atau situs lain, dan memodifikasi presentasi konten.
Tinjau
Ulang Aplikasi untuk Otentikasi dan Sesi yang Rusak karena Kerentanan Manajemen
Kredensial akun dan token sesi harus dilindungi. Penyerang yang bisa berkompromi kata sandi, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi.
Kredensial akun dan token sesi harus dilindungi. Penyerang yang bisa berkompromi kata sandi, kunci, cookie sesi, atau token lainnya dapat mengalahkan batasan otentikasi dan menganggap identitas pengguna lain dan tingkat akses yang diotorisasi.
Verifikasi
Referensi dan Otorisasi Objek yang Tepat Kontrol
Aplikasi web dapat
menggunakan nama sebenarnya atau kunci database sebagai referensi ke objek
dalam aplikasi web atau database yang mengandung informasi sensitif atau akses.
Praktiknya adalah menggunakan referensi tidak langsung ke objek. Setelah
pengguna diautentikasi ke web server, server web menentukan jenis akses yang
harus dimiliki pengguna dan untuk apa bagian dari situs web pengguna harus
memiliki akses. Gagal menerapkan kontrol akses (otorisasi) untuk setiap
referensi objek langsung memungkinkan penyerang untuk keluar dari batas yang
berwenang, mengakses data pengguna lain atau administrasi yang tidak berwenang.
Secara khusus, penyerang tidak boleh mengubah parameter yang digunakan selama
ini sesi pengguna resmi untuk mengakses data pengguna lain. Klien proxy dan
alat lainnya memungkinkan penyerang untuk melihat dan mengubah data selama sesi
berlangsung.
Verifikasi
bahwa kontrol tersedia untuk mencegah Permintaan Lintas Situs Forgery (CSRF
atau XSRF).
Permintaan penggelapan,
permintaan penganiayaan, mengeksploitasi kepercayaan yang dimiliki situs web
untuk diautentikasi oleh pengguna. Penyerang mengeksploitasi kepercayaan ini
dengan mengirimkan gambar yang tertanam, skrip, elemen iframe, atau metode lain
untuk memanggil perintah yang dijalankan di server web saat Anda login dengan
kredensial anda. Membuat keadaan menjadi lebih buruk bagi pengguna, jenis
serangan ini berasal dari alamat IP pengguna, dan semua data log akan muncul
seolah-olah pengguna memasukkannya. Server web harus memvalidasi sumber
permintaan web untuk memperkecil risikonya. Penyerang mencoba membuat
permintaan web jahat yang otentik yang berasal dari sumber di luar kendali
aplikasi web. Berikut adalah contoh bagaimana tipe ini serangan mungkin
terlihat sebagai permintaan gambar:
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
<img src = "http://mybank.com/transfer?acct=mine&amt=100&to=attacker">
Tinjau
Kembali Kontrol Seputar Konfigurasi yang Aman
Ini menangkap semua yang
membahas manajemen konfigurasi, konsep menyeluruh tentang menjaga konfigurasi
aman dari server web. Subjek konfigurasi server web mengalami penyimpangan
dalam teknologi atau proses yang mempengaruhi keamanan platform web dan
aplikasi web.
Pastikan
Mekanisme Penyimpanan Kriptografi Aman Digunakan dengan Benar
Aplikasi web sering ingin
mengaburkan atau mengenkripsi data untuk melindungi data sensitif dan
kredensial. Tantangannya adalah bahwa ada dua bagian untuk skema enkripsi yaitu
hitam kotak yang melakukan sihir dan penerapan kotak hitam ke web anda
aplikasi. Komponen ini sulit untuk kode dengan benar, sering mengakibatkan
kelemahan pada perlindungan
Verifikasi
bahwa Kontrol yang Tepat tersedia untuk Membatasi Pemfilteran URL
Kontrol ini menerapkan
akses berbasis peran ke area yang dilindungi dan sensitif di web aplikasi Anda.
Pembatasan yang hilang atau tidak dikonfigurasi dengan benar ke URL
memungkinkan penyerang untuk mengubah URL untuk mengakses halaman pribadi atau
hak istimewa. Penyaringan yang tepat memastikan bahwa hanya pengguna
terotentikasi yang memiliki akses ke setiap halaman yang dibatasi
penggunaannya. Seorang penyerang, yang mungkin pengguna sistem yang berwenang,
seharusnya tidak dapat mengubah URL untuk melihat informasi di luar perannya.
Evaluasi
Mekanisme Perlindungan Lapisan Transport (jaringan enkripsi lalu lintas) untuk
Melindungi Informasi Sensitif.
Percakapan pribadi
bersifat pribadi hanya jika tidak ada orang lain yang bisa mendengarkannya.
Sampai dienkripsi jaringan menjadi standar, protokol teks jernih harus
dihilangkan jika memungkinkan. Meskipun peralatan yang lebih baru dan
administrator jaringan yang cerdas dapat membantu mengurangi risiko penyadapan
lalu lintas jaringan, risiko nyata untuk menangkap lalu lintas itu masih ada,
terutama pada domain VLAN atau broadcast yang sama. Protokol tertentu seperti
HTTP, FTP, dan Telnet mentransmisikan semua informasi dalam teks mentah,
termasuk ID pengguna dan kata sandi yang diminta. Ini bisa memungkinkan
seseorang untuk melakukannya dapatkan informasi ini dengan menguping jaringan.
Komunikasi teks jelas. Secara umum harus diminimalisir jika memungkinkan dan
hanya protokol yang aman saja diizinkan untuk halaman pribadi.
Tinjau
Pengalihan Aplikasi Web dan Memverifikasi itu hanya URL yang valid yang dapat
Diakses
Dengan menggunakan
redirect yang tidak terkontrol, penyerang mungkin bisa mengarahkan pengguna ke
penyerang situs web menggunakan URL yang terlihat seolah-olah berasal dari
domain Anda. Ini lebih diutamakan metode untuk penipuan phishing agar
permintaan muncul sah dengan menggunakan organisasi yang diserang alamat di
bagian pertama URL yang dibuat. Ini terkadang digunakan bersama dengan layanan
pemendek URL untuk situs target untuk mengaburkan yang jahat. Maksud dari URL
http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa itu jika tidak bisa diakses jika kontrol otorisasi tambahan diterapkan salah.
http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
http://www.mydomain.com/redirect.asp?url=badsite.com
Dalam beberapa kasus, forward yang tidak terkendali dapat mengirim pengguna ke halaman istimewa itu jika tidak bisa diakses jika kontrol otorisasi tambahan diterapkan salah.
http://www.mydomain.com/somepage.asp?fwd=adminsite.jsp
Pastikan
Semua Masukan sudah Divalidasi sebelum Digunakan oleh Server Web
Informasi harus divalidasi
sebelum digunakan oleh aplikasi web. Gagal memvalidasi permintaan web
mengarahkan server web untuk meningkatkan risiko dari penyerang yang berusaha
melakukannya memanipulasi data masukan untuk menghasilkan hasil yang berbahaya.
Evaluasi
Penggunaan Penanganan Kesalahan yang Tepat
Kondisi kesalahan yang
tidak terkontrol dengan benar memungkinkan penyerang mendapatkan informasi
sistem terperinci, menolak layanan, menyebabkan mekanisme keamanan gagal, atau
merusak server.
Alat
dan Teknologi
Ada beberapa alasan
mengapa produk otomatis gagal untuk mengaudit secara menyeluruh kemungkinan
komponen server web Anda, tapi bukan berarti produk ini seharusnya diabaikan.
Review kode sebenarnya bisa berjalan sangat cepat untuk coders berpengalaman,
tapi ini tergantung pada banyak variabel. Misalnya, bagaimana berpengalaman
adalah coder? Seberapa baik apakah reviewer mengerti aplikasi web? Seberapa
baik resensi itu mengerti konstruksi dari bahasa pemrograman yang digunakan
untuk aplikasi? Bagaimana kompleks adalah aplikasi? Apa antarmuka eksternal
yang ada, dan seberapa baik resensi memahami antarmuka eksternal ini? Jika Anda
tinggal dan bermain di dunia ini, ulasan kode mungkin mudah bagi Anda. Jika
Anda tinggal dan bermain di banyak dunia, Anda mungkin ingin mempertimbangkan
untuk menambah pencarian Anda dengan alat otomatis, terutama jika Anda tidak
punya anggaran untuk mendapatkan bantuan yang Anda tahu itu Anda perlu. Bagian
dari perbedaan antara insinyur yang baik dan insinyur hebat adalah akal. Hanya
karena Anda tidak punya uang tidak berarti Anda tidak bisa memanfaatkannya alat
dan komunitas di sekitar Anda.
Dasar
pengetahuan
Di bawah ini Anda akan menemukan sumber tambahan di mana Anda dapat memperoleh informasi tentang web, lingkungan aplikasi, dan kontrol terkait. Banyak vendor mempertahankan yang luar biasa jumlah informasi di situs mereka untuk konsumsi umum. Selain itu, komunitas penggemar dan forum sosial yang membantu terus berkembang.
Di bawah ini Anda akan menemukan sumber tambahan di mana Anda dapat memperoleh informasi tentang web, lingkungan aplikasi, dan kontrol terkait. Banyak vendor mempertahankan yang luar biasa jumlah informasi di situs mereka untuk konsumsi umum. Selain itu, komunitas penggemar dan forum sosial yang membantu terus berkembang.
D.
Regulasi
Audit
National
Security Agency (NSA) INFOSEC Assessment Methodology
Metodologi Penilaian InFOSEC Security Agency
Nasional (NSA IAM) dikembangkan oleh Badan Keamanan Nasional A.S. dan
dimasukkan ke dalam Pelatihan INFOSEC-nya dan Program Penilaian (IATRP) pada
awal tahun 2002. Meskipun program dan dukungan IATRP NSA IAM dihentikan oleh
NSA pada tahun 2009, masih banyak digunakan dan sekarang dikelola oleh Security
Horizon, yang merupakan salah satu perusahaan yang menyediakannya NSA IAM dan
pelatihan IEM untuk NSA.
Konsep Metodologi Penilaian NSA INFOSEC
NSA IAM adalah metodologi penilaian keamanan
informasi yang mendasari penilaian kegiatan yang memecahkan penilaian keamanan
informasi menjadi tiga tahap yaitu pra-penilaian, kegiatan di tempat, dan pasca
penilaian. Masing-masing fase ini berisi wajib kegiatan untuk memastikan
konsistensi penilaian keamanan informasi. Penting untuk dicatat, namun
penilaian NSA IAM hanya terdiri dari tinjauan dokumentasi, wawancara, dan
observasi. Tidak ada pengujian yang terjadi selama penilaian IAM NSA. NSA
dirilis Metodologi Evaluasi INFOSEC untuk kegiatan pengujian awal.
Tahap Pra-Penilaian
Tujuan tahap pra-penilaian adalah untuk
menentukan kebutuhan pelanggan, mengatur lingkup penilaian dan menentukan batas
penilaian, mendapatkan pemahaman tentang kekritisan informasi pelanggan, dan
membuat rencana penilaian. NSA IAM mengukur kekritisan informasi organisasi dan
kekhasan informasi sistem. Informasi organisasi terdiri dari informasi yang
dibutuhkan untuk melakukan mayor fungsi bisnis Informasi sistem kemudian
diidentifikasi dengan menganalisa informasi yang diproses oleh sistem yang
mendukung fungsi bisnis utama.
NSA IAM menyediakan matriks yang digunakan untuk menganalisis kekritisan informasi. Matriks dibuat untuk setiap fungsi organisasi / bisnis dan setiap sistem yang mendukung organisasi. Sumbu vertikal terdiri dari jenis informasi, sedangkan sumbu horisontal mencakup kolom untuk kerahasiaan, integritas, dan ketersediaan. Informasi nilai dampak kritis diberikan untuk setiap sel. Tabel 16-1 adalah contoh dari matriks kekritisan informasi organisasi sumber daya manusia.
NSA IAM menyediakan matriks yang digunakan untuk menganalisis kekritisan informasi. Matriks dibuat untuk setiap fungsi organisasi / bisnis dan setiap sistem yang mendukung organisasi. Sumbu vertikal terdiri dari jenis informasi, sedangkan sumbu horisontal mencakup kolom untuk kerahasiaan, integritas, dan ketersediaan. Informasi nilai dampak kritis diberikan untuk setiap sel. Tabel 16-1 adalah contoh dari matriks kekritisan informasi organisasi sumber daya manusia.
E.
Standard
dan Kerangka Kerja Audit
Standard
auditing merupakan pedoman audit atas laporan keuangan historis. Standar
auditing terdiri atas sepuluh standard yg dirinci dalam bentuk Standar
Perikatan Audit (SPA). SPA berisi ketentuan-ketentuan dan pedoman utama yang
harus diikuti oleh Akuntan Publik dalam melaksanakan penugasan audit. Kepatuhan
terhadap SPA yang diterbitkan oleh IAPI ini bersifat wajib bagi seluruh anggota
IAPI. Termasuk di dalam SPA adalah Interpretasi Standar Perikatan Audit (ISPA),
yang merupakan interpretasi resmi yang dikeluarkan oleh IAPI terhadap
ketentuan-ketentuan yang diterbitkan oleh IAPI dalam SPA. Standar Audit Sistem
Informasi (SASI) IASII diresmikan oleh Rapat Anggota IASII Tahun 2006 pada
tanggal 25 Februari 2006 pukul 11.00 WIB bertempat di Jakarta. Standar ini
mulai berlaku efektif sejak tanggal 01 Januari 2007 dan dapat diterapkan
sebelum tanggal tersebut.
Ada 10
standar yang ditetapkan dan disahkan oleh Institut Akuntan Publik Indonesia
(IAPI), yang terdiri dari standar umum, standar pekerjaan lapangan, dan standar
pelaporan beserta interpretasinya.
Standard Umum
1. Audit harus dilaksanakan oleh seorang atau
lebih yang memiliki keahlian dan pelatihan teknis yang cukup sebagai auditor.
2. Dalam semua hal yang berhubungan dengan
perikatan, independensi dalam sikap mental harus dipertahankan oleh auditor.
3. Dalam pelaksanaan audit dan penyusunan
laporannya, auditor wajib menggunakan kemahiran profesionalnya dengan cermat
dan saksama.
Standard Pekerjaan Lapangan
1. Pekerjaan harus direncanakan sebaik-baiknya dan
jika digunakan asisten harus disupervisi dengan semestinya.
2. Pemahaman memadai atas pengendalian intern harus
diperoleh unutk merencanakan audit dan menentukan sifat, saat, dan lingkup
pengujian yang akan dilakukan.
3. Bukti audit kompeten yang cukup harus diperoleh
melalui inspeksi, pengamatan, permintaan keterangan, dan konfirmasi sebagai
dasar memadai untuk menyatakan pendapat atas laporan keuangan yang diaudit.
Standard Pelaporan
1. Laporan auditor harus menyatakan apakah laporan
keuangan telah disusun sesuai dengan prinsip akuntansi yang berlaku umum di
Indonesia.
2. Laporan auditor harus menunjukkan atau menyatakan,
jika ada, ketidakkonsistenan penerapan prinsip akuntansi dalam penyusunan
laporan keuangan periode berjalan dibandingkan dengan penerapan prinsip
akuntansi tersebut dalam periode sebelumnya.
3. Pengungkapan informatif dalam laporan keuangan
harus dipandang memadai, kecuali dinyatakan lain dalam laporan auditor.
4. Laporan auditor harus memuat suatu pernyataan
pendapat mengenai laporan keuangan secara keseluruhan atau suatu asersi bahwa
pernyataan demikian tidak dapat diberikan. Jika pendapat secara keseluruhan
tidak dapat diberikan, maka alasannya harus dinyatakan. Dalam hal nama auditor
dikaitkan dengan laporan keuangan, maka laporan auditor harus memuat petunjuk
yang jelas mengenai sifat pekerjaan audit yang dilaksanakan, jika ada, dan
tingkat tanggung jawab yang dipikul oleh auditor.
Contoh
Kerangka Kerja :
F.
Manajemen
Risiko
Dalam
manajemen risiko, ada beberapa manfaat yang diperoleh. Potensi
pengelolaan risiko TI masih dirahasiakan, dari beberapa tahun yang lalu, banyak
organisasi telah meningkatkan efektivitas pengendalian TI mereka atau
mengurangi biaya mereka dengan menggunakan analisis risiko dan praktik
manajemen risiko yang baik. Ketika manajemen memiliki pandangan perwakilan
tentang eksposur TI organisasi, ia dapat melakukannya dengan mengarahkan sumber
daya yang tepat untuk mengurangi area risiko tertinggi daripada pengeluaran
sumber daya langka di daerah yang memberikan sedikit atau tidak ada
pengembalian investasi (ROI). Hasilnya adalah tingkat pengurangan risiko yang
lebih tinggi untuk setiap dolar yang dikeluarkan.
Manajemen Risiko dari Perspektif Eksekutif
Bisnis adalah semua tentang risiko (risk) dan
penghargaan (reward). Eksekutif diharuskan menimbang manfaat investasi dengan
risiko yang terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup
mahir dalam mengukur risiko melalui analisis ROI, indikator kinerja utama, dan
segudang alat analisis keuangan dan operasional lainnya.
Mengatasi Risiko
Risiko dapat diatasi dengan tiga cara yaitu
menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya itu metode
sepenuhnya tergantung pada nilai finansial dari risiko versus investasi
diperlukan untuk menguranginya ke tingkat yang dapat diterima atau
mentransfernya ke pihak ketiga. Sebagai tambahannya, kontrol preskriptif,
peraturan seperti HIPAA / HITECH dan PCI mengharuskan organisasi tersebut
menilai risiko terhadap informasi yang dilindungi dan menerapkan pengendalian
yang wajar untuk mengurangi risiko ke tingkat yang dapat diterima.
Penerimaan Risiko
Nilai finansial suatu risiko seringkali lebih
kecil daripada biaya mitigasi atau transfer. Dalam hal ini, pilihan yang paling
masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk
menerima risiko, itu harus menunjukkan bahwa risiko memang dinilai dan
mendokumentasikan alasan di balik keputusan tersebut.
Mitigasi Risiko
Bila risiko memiliki nilai keuangan yang
signifikan, seringkali lebih tepat untuk mengurangi risiko daripada
menerimanya. Dengan sedikit pengecualian, biaya pelaksanaan dan pemeliharaan
kontrol harus kurang dari nilai moneter dari risiko yang dikurangi.
Transfer Risiko
Industri asuransi didasarkan pada transferensi
risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran
keamanan atau bencana sistem outage. Ini penting untuk diperhatikan bahwa
perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan
kebijakan tersebut kepada pemegang untuk menerapkan kontrol tertentu. Gagal
mematuhi persyaratan kontrol dapat membatalkan kebijakan.
Kuantitatif
dan Kualitatif Analisis Risiko
Risiko dapat dianalisis dengan dua cara yaitu
kuantitatif dan kualitatif. Seperti hal lainnya, masing-masing memiliki kelebihan dan kekurangan. Dimana pendekatan kuantitatif
lebih banyak obyektif dan mengungkapkan risiko secara finansial sehingga pengambil keputusan
bisa lebih mudah membenarkan, juga lebih menyita waktu. Pendekatan kualitatif
lebih cocok untuk ditampilkan pada pandangan berlapis risiko, tapi bisa lebih
subjektif dan karena itu sulit untuk dibuktikan.
Organisasi dengan program manajemen risiko yang lebih sukses cenderung mengandalkan lebih banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan kuantitatif pada teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
Organisasi dengan program manajemen risiko yang lebih sukses cenderung mengandalkan lebih banyak pada analisis risiko kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan kuantitatif pada teknik analisis risiko untuk membenarkan pengeluaran mitigasi risiko.
l
Analisis Risiko Kuantitatif
Dengan sedikit pengecualian, apakah terkait
dengan sumber keuangan, fisik, atau teknologi,
berbagai jenis risiko dapat dihitung dengan menggunakan rumus universal yang sama. Resiko bisa didefinisikan dengan perhitungan sebagai berikut:
berbagai jenis risiko dapat dihitung dengan menggunakan rumus universal yang sama. Resiko bisa didefinisikan dengan perhitungan sebagai berikut:
Risk = asset value × threat ×
vulnerability
Unsur Risiko
Seperti yang dapat Anda lihat dalam persamaan di atas, risiko terdiri
dari tiga unsur yaitu nilai aset, ancaman, dan kerentanan. Memperkirakan
unsur-unsur ini dengan benar sangat penting untuk menilai risiko secara akurat.
Aset
Biasanya diwakili sebagai nilai moneter, aset dapat didefinisikan
sebagai sesuatu yang layak untuk dilakukan sebuah organisasi yang dapat
dirusak, dikompromikan, atau dimusnahkan secara kebetulan atau tidak dengan
tindakan yang disengaja. Kenyataannya, nilai aset jarang menjadi biaya
pengganti yang sederhana. Oleh karena itu, untuk mendapatkan ukuran risiko yang
akurat, aset harus dinilai dengan mempertimbangkan biaya bottom line
komprominya. Misalnya,
pelanggaran informasi pribadi. Mungkin tidak menyebabkan kerugian moneter
sekilas, tapi kalau itu benar-benar disadari, kemungkinan akan menghasilkan
tindakan hukum, merusak reputasi perusahaan, dan peraturan denda. Konsekuensi
ini berpotensi menimbulkan kerugian finansial yang signifikan. Di kasus ini,
bagian nilai aset dari persamaan tersebut akan mewakili informasi pribadi.
Nilai yang dihitung dari informasi pribadi akan mencakup perkiraan biaya
kumulatif dolar dari tindakan hukum, kerusakan reputasi, dan hukuman peraturan.
Ancaman
Ancaman dapat didefinisikan sebagai peristiwa potensial yang jika
disadari, akan menyebabkan hal yang tidak diinginkan. Dampak yang tidak
diinginkan bisa datang dalam berbagai bentuk, tapi seringkali menghasilkan
kerugian dalam hal keuangan. Ancaman digeneralisasi sebagai persentase, namun
dua faktor berperan dalam tingkat keparahannya dari ancaman: tingkat kehilangan
dan kemungkinan terjadinya. Faktor pemaparan digunakan untuk mewakili tingkat
kerugian. Ini hanyalah perkiraan persentase kerugian aset jika ancaman
terwujud.
Kerentanan
Kerentanan dapat didefinisikan sebagai tidak adanya atau kelemahan
kontrol kumulatif yang melindungi aset tertentu Kerentanan diperkirakan sebagai
persentase berdasarkan tingkat kelemahan kontrol. Kita bisa menghitung defisiensi
kontrol (CD) dengan mengurangkan efektivitas dari kontrol sebesar 1 atau 100
persen. Misalnya, kita bisa menentukan industri kita pengawasan spionase 70
persen efektif, jadi 100 persen - 70 persen = 30 persen (CD). Kerentanan ini
akan diwakili 30 persen, atau 0,3.
l
Analisis Risiko Kualitatif
Berbeda dengan pendekatan kuantitatif terhadap analisis risiko, teknik
analisis risiko kualitatif dapat memberikan pandangan tingkat tinggi terhadap
risiko perusahaan. Dimana metode kuantitatif terpusat pada rumus, analisis
risiko kualitatif akan fokus pada nilai seperti tinggi, sedang, dan rendah atau
warna seperti merah, kuning, dan hijau untuk mengevaluasi risikonya.
Seperti yang disebutkan sebelumnya, pendekatan kualitatif dan kuantitatif melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka di metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk mitigasi risiko investasi.
Seperti yang disebutkan sebelumnya, pendekatan kualitatif dan kuantitatif melengkapi satu sama lain. Sebagian besar organisasi mendasarkan metodologi manajemen risiko mereka di metode kualitatif, menggunakan rumus kuantitatif untuk membangun kasus bisnis untuk mitigasi risiko investasi.
Siklus Hidup Manajemen Risiko IT
Seperti
kebanyakan metodologi, manajemen risiko, bila diterapkan dengan benar,
mengambil alih karakteristik siklus hidup (Gambar 18-1). Hal ini dapat dibagi
menjadi beberapa fase, dimulai dengan identifikasi aset informasi dan berpuncak
pada manajemen risiko residual.
Tahap 1 : Identifikasi Aset Informasi
Tahap pertama dalam siklus pengelolaan risiko adalah mengidentifikasi
informasi organisasi aktiva. Agar sukses, Anda harus menyelesaikan beberapa tugas :
• Tentukan nilai kekritisan informasi.
• Mengidentifikasi fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset informasi.
• Tetapkan nilai kekritisan pada aset informasi.
• Tentukan nilai kekritisan informasi.
• Mengidentifikasi fungsi bisnis.
• Proses informasi peta.
• Mengidentifikasi aset informasi.
• Tetapkan nilai kekritisan pada aset informasi.
Tujuan dari tahap ini adalah untuk mengidentifikasi semua aset
informasi dan menetapkan setiap informasi aset merupakan nilai kekritisan yang
tinggi, sedang, atau rendah untuk kerahasiaan, integritas, dan persyaratan
ketersediaan Misalnya, kami dapat mengidentifikasi informasi kartu kredit
sebagai aset informasi yang diproses oleh sistem ritel kita. Aset informasi ini
diatur dengan standard keamanan data Industri Kartu Pembayaran (PCI Card) dan
sangat berharga jika diungkapkan dengan cara yang tidak sah. Kita juga tahu
bahwa jika diubah, informasi ini tidak ada gunanya bagi kita, tapi pada
sebagian besar kasus, sementara kehilangan akses terhadap informasi ini bisa
ditoleransi. Akibatnya, kami akan menetapkan nilai informasi kartu kredit yang
tinggi baik kerahasiaan maupun integritas dan media untuk ketersediaan.
Cara terbaik untuk
mengidentifikasi aset informasi adalah dengan mengambil pendekatan dari atas ke
bawah dengan fungsi organisasi, mengidentifikasi proses yang mendukung bisnis
tersebut, dan pengeboran ke aset informasi yang diproses oleh sistem yang
mendukung setiap fungsi bisnis. Gambar 18-2 menunjukkan pendekatan terhadap
informasi ini identifikasi aset menggunakan dekomposisi fungsi bisnis.
Tahap 2 : Mengukur dan Mengklaim Ancaman
Ancaman informasi berdampak pada organisasi melalui loyalitas merk yang
berkurang, sumber daya, biaya pemulihan, dan tindakan hukum dan peraturan. Saat
ancaman direalisasikan, biaya ini sering kali tidak diketahui karena tidak
diidentifikasi dengan benar. Misalnya, katakanlah organisasi kita diserang oleh
worm jahat yang menyebabkan A kehilangan kapasitas pemrosesan sementara dan
beberapa ratus jam waktu pemulihan. Biaya tersebut dapat dihitung dengan
menghitung jam yang diperlukan untuk pemulihan dan estimasi kerugian yang
terkait dengan penundaan pemrosesan. Namun, perlu pertimbangan lain. Ditimbang
juga: Apakah reputasi perusahaan telah terpengaruh karena memang begitu tidak
bisa melayani pelanggan? Apakah ada penjualan yang hilang? Apakah beberapa
karyawan tidak mampu bekerja? Apa paparan hukum organisasi karena pelanggaran
keamanan? Seperti kamu dapat melihat, mengidentifikasi semua area dalam
organisasi yang mungkin terkena dampak yang memerlukan A cukup banyak
pemikiran. Oleh karena itu, kami akan membantu memecah proses analisa ancaman
ini dengan langkah selanjutnya dalam siklus hidup manajemen risiko yaitu untuk
mengukur dan memenuhi syarat ancaman.
Kami juga akan mengambil
pendekatan top-down saat kami mengidentifikasi ancaman, dimulai dengan ancaman
bisnis dan beralih ke ancaman teknis yang dapat menyebabkan teridentifikasi
ancaman bisnis.
Tahap siklus pengelolaan risiko ini memerlukan
langkah-langkah berikut :
• Menilai ancaman bisnis.
• Mengidentifikasi ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan kemungkinan ancaman.
• Mengevaluasi arus proses untuk kelemahan.
• Identifikasi ancaman komponen-komponen.
• Menilai ancaman bisnis.
• Mengidentifikasi ancaman teknis, fisik, dan administratif.
• Mengukur dampak dan kemungkinan ancaman.
• Mengevaluasi arus proses untuk kelemahan.
• Identifikasi ancaman komponen-komponen.
Tahap 3 : Kaji Kerentanan
Kami sekarang telah mengidentifikasi aset informasi dan ancaman
terhadap setiap aset. Didalam fase ini, kita akan menilai kerentanan. Dalam
memeriksa ancaman, common denominator adalah aset informasi, karena setiap
ancaman terkait dengan aset informasi. Saat menilai kerentanan, di sisi lain
common denominator adalah informasinya proses. Pertama-tama kita akan
mengidentifikasi kerentanan komponen-komponen dan kemudian menggabungkannya untuk menentukan kerentanan proses kita. Proses kerentanan kemudian akan digabungkan
untuk menentukan kerentanan fungsi bisnis. Alih-alih bekerja dari atas ke bawah
(dari fungsi bisnis hingga komponen proses), kita akan bekerja dari bawah ke
atas dalam menilai kerentanan. Kita akan menggunakan berikut langkah-langkah
dalam menganalisis kerentanan :
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan gap kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Kategorikan kesenjangan kontrol dengan tingkat keparahan.
5. Tetapkan peringkat risiko.
1. Identifikasi kontrol yang ada dalam kaitannya dengan ancaman.
2. Tentukan gap kontrol komponen proses.
3. Gabungkan celah kontrol ke dalam proses dan kemudian fungsi bisnis.
4. Kategorikan kesenjangan kontrol dengan tingkat keparahan.
5. Tetapkan peringkat risiko.
Tahap 4 : Remediasi Kontrol Kesenjangan
Pada titik ini, risiko kita harus dikategorikan tinggi, menengah, atau
rendah. Awalnya, kita akan fokus pada mitigasi risiko paling parah, karena
kemungkinan besar kita akan melihat yang tertinggi. Intinya, kita bisa
mengurangi lebih banyak risiko dengan sedikit uang. Kita akan menggunakan
langkah-langkah berikut dalam remediasi kesenjangan :
1. Pilih kontrol.
2. Melaksanakan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko.
1. Pilih kontrol.
2. Melaksanakan kontrol.
3. Validasi kontrol baru.
4. Hitung ulang peringkat risiko.
Tahap 5 : Mengelola Sisa Risiko
Risiko bersifat inheren dinamis, terutama komponen ancaman risiko. Kita
perlu mengukur risiko secara terus menerus dan berinvestasi pada kontrol baru
untuk meresponsnya ancaman yang muncul. Fase ini terdiri dari dua tahap :
1. Buat garis dasar risiko
2. Menilai kembali risiko
1. Buat garis dasar risiko
2. Menilai kembali risiko
Membuat Garis Dasar Risiko
Karena kita sekarang memiliki peringkat risiko yang dihitung ulang, kita dapat menggabungkannya untuk menciptakan garis dasar risiko. Kami akan menggunakan dasar ini untuk mengukur perubahan dalam postur risiko dan identifikasi kami. Dasar risiko harus mencakup keseluruhan fungsi organisasi, fungsi bisnis dan penilaian risiko, serta narasi yang menjelaskan alasan yang digunakan dalam keputusan untuk menerapkan kontrol atau menerima resiko.
Karena kita sekarang memiliki peringkat risiko yang dihitung ulang, kita dapat menggabungkannya untuk menciptakan garis dasar risiko. Kami akan menggunakan dasar ini untuk mengukur perubahan dalam postur risiko dan identifikasi kami. Dasar risiko harus mencakup keseluruhan fungsi organisasi, fungsi bisnis dan penilaian risiko, serta narasi yang menjelaskan alasan yang digunakan dalam keputusan untuk menerapkan kontrol atau menerima resiko.
Menilai Kembali Resiko
Setelah proses selesai, kita perlu merencanakan untuk menilai kembali risiko secara berkala. Karena, sifat TI yang selalu berubah, organisasi harus menyelesaikan pengelolaan risiko siklus hidup minimal satu kali per tahun. Namun, penilaian risiko harus dipicu dengan kejadian tertentu, seperti berikut ini :
• Korporasi atau akuisisi perusahaan
• Instalasi sistem baru
• Perubahan fungsi bisnis
• Diundangkannya undang-undang atau peraturan baru yang mengamanatkan penambahan baru kontrol (atau memerlukan analisis risiko)
 ...){kind=link}
0 komentar:
Posting Komentar