Senin, 12 Juli 2021

Audit Keamanan Informasi~#Pert 11

 

Audit Keamanan Informasi

    Pengelolaan Teknologi Informasi dan Komunikasi yang baik akan mendorong hadir dan terwujudnya good governance. Metodologi dan tata kelola yang baik merupakan suatu prasyarat yang menjadi kewajiban dalam pengelolaan sebuah sistem yang baik. Dengan tata kelola yang baik, maka sistem informasi yang accountable serta sustainable dapat tercapai bagi badan pemerintah dan dapat memberikan manfaat kepada publik seluas-luasnya.

Dasar Hukum 
     Undang-Undang Republik Indonesia No. 11 Tahun 2008. Undang-Undang mengenai Informasi dan Transaksi Elektronik (UUITE) adalah ketentuan yang berlaku untuk setiap orang yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan Indonesia. Undang-Undang Informasi dan Transaksi Elektronik (UUITE) mengatur berbagai perlindungan hukum atas kegiatan yang memanfaatkan internet sebagai medianya, baik transaksi maupun pemanfaatan informasinya

 Konsep Dasar 
Terdapat tiga kriteria mendasar dari keamanan teknologi informasi: 
  • Kerahasiaan (confidentiality). Informasi bersifat rahasia dan harus dilindungi terhadap keterbukaan dari yang tidak berhak atau berkepentingan. 
  • Ketersediaan (availability). Layanan, fungsi sistem teknologi informasi, data dan informasi harus tersedia bagi penggunaa saat diperlukan 
  • Integritas (integrity). Data harus komplit dan tidak diubah. Dalam teknologi informasi, kata ”informasi” terkait dengan ”data”. Hilangya integritas informasi berarti data tersebut telah tanpa adanya ijin atau ilegal. 
Siklus Audit IS
 Pada dasarnya suatu audit Information Security (IS) dilakukan dengan siklus berikut ini: 
  • Audit parsial IS untuk proses bisnis yang kritis harus direncanakan. Proses bisnis yang kritis, khususnya yang memerlukan ketersediaan tinggi (High Availability) harus lebih sering dilakukan. Interval audit harus dengan benar dilakukan untuk hal kritis yang khusus. 
  • Audit parsial IS tambahan dapat dilakukan, misalnya pada saat hal berikut: pemeriksaan mendalam setelah terjadinya kecelakaan keamanan, setelah penerapan prosedur baru, atau pada saat perencanaan restrukturisasi. 
 Pengawasan Audit IS 
    Orang yang bertanggung jawab dalam audit IS juga merupakan orang yang dapat dihubungi pada saat audit IS. Orang tersebut membantu tim audit IS dalam menjawab pertanyaan teknis dan organisasional (sebagai contoh pada saat rapat organisasi, pada saat mengumpulkan dokumen, dan pada saat pemeriksaan langsung (on-site)).

Tim Audit IS 
Untuk setiap audit dilakukan, perlu dibangunnya tim audit yang sesuai. Anggota dari tim audit ini harus memiliki kualifikasi teknis yang sesuai baik secara tim maupun kualifikasi individu. Berikut ini adalah tim-tim audit yang ada dalam organisasi: 
  • Tim Audit IS Internal. Perlu dibentuknya tim audit IS internal yang tergantung pada tipe dan ukuran suatu organisasi. Dengan menugaskan beberapa orang untuk melakukan audit
  • IS akan memberikan keuntungan tersedianya pengetahuan dari kompleksitas struktur dan prosedur organisasi. 
  • Kerjasama antara Tim Audit IS. Karena tidak semua organisasi dapat membentuk tim audit internal yang lengkap, perlu dilakukannya kerjasama dengan tim audit dari organisasi lainnya, seperti penukaran pakar keamanan. 
  • Departemen/Divisi Tim Audit IS. Dengan membentuknya departemen/divisi khusu yang melakukan audit IS. 
  • Penyedia layanan audit IS eksternal. Pihak eksternal yang menyediakan layanan audit. 
 Evaluasi Audit IS 
Ada empat prinsip dasar dalam evaluasi: 
    • Objectiviy 
    • Impartiality 
    • Reproducibility 
    • Repeatability
Teknik Audit IS 
Teknik audit dipahami sebagai metode yang digunakan untuk menentukan fakta dari permasalahan. Berikut adalah beberapa teknik audit yang dapat digunakan selama audit IS:
  • Wawancara (pertanyaan verbal) 
  • Inspeksi visual suatu sistem, lokasi, ruang, kamar, dan objek 
  • Observasi 
  • Analisis file/berkas (termasuk data elektronik) 
  • Pemeriksaan teknis (misal menguji sistem alarm, sistem kontrol akses, aplikasi) 
  • Analisis Data (misal log files, evaluasi database, dll) 
  • Pertanyaan tertulis (misal, kuesioner). 
    Teknik audit sebenarnya digunakan tergantung pada kasus spesifik dan akan dispesifikasikan oleh tim audit IS. Tim audit IS harus memastikan bahwa hasil yang didapat selama semua pemeriksaan disesuaikan dengan jumlah data dan usaha yang dikeluarkan. Jika tim audit IS menemukan adanya deviasi atau penyimpangan dari status dokumen selama pemeriksaan dari sampel yang dipilih, maka jumlah sampel perlu ditambahkan guna mendapatkan penjelasan yang lebih baik. Pemeriksaan dapat dihentikan apabila masalah deviasi atau penyimpangan dapat dicari alasan dan dijelaskan. Beberapa teknik audit dapat dikombinasikan untuk menentukan suatu deviasi.

Langkah 1 - Persiapan Audit IS
     Manajemen tingkat atas untuk setiap instansi pemerintah dan perusahaan bertanggung jawab untuk: pelaksanaan tugas dan fungsi di semua area bisnis, pencapaian target proses bisnis, dan pendeteksian dan minimalisasi resiko tiap waktunya. Sebagaimana ketergantungan proses bisnis dengan TI meningkat, persyaratan untuk menjamin keamanan informasi eksternal dan internal juga meningkat.
    Pihak manajemen harus memulai, mengendalikan dan mengawasi proses keamanan. Tanggung-jawab sepenuhnya di pihak manajemen, namun usaha untuk mencapai level keamanan yang diinginkan dapat didelegasikan ke petugas TI. Dalam prosesnya, manajemen harus secara intensif terlibat dalam proses manajemen keamanan informasi, hal tersebut merupakan satu-satunya jalan bahwa manajemen keamanan informasi dapat menjamin tidak adanya resiko yang tidak dapat diterima dan sumber daya diinvestasikan secara tepat. Ketika memulai audit IS, pihak manajemen harus berpartisipasi pada saat institusi atau organisasinya sedang diperiksa. Dalam tahapan ini, objek yang akan diperiksa harus spesifik/jelas, adanya kontrak yang jelas, dan dalam kontrak tim audit IS harus diberikan otoritas (misalkan otoritas untuk melihat dokumen yang ada). Orang yang bertanggung jawab dalam organisasi dalam audit IS, bagaimanapun haru menjelaskan fungsi inti organisasi kepada auditor dan menyediakan penjelasan singkat akan teknologi informasi (TI) yang digunakan. Dokumen rujukan berikut ini harus disediakan oleh institusi bagi tim audit IS, yang akan menjadi dasar bagi pelaksanaan audit IS: 
  • Dokumen Institusi/Organisasi 
    • Diagram Struktur Organisasi (Organigram)
    •  Konsep kerangka kerja (framework) TI 
    • Jadwal Pertanggungjawaban 
  • Dokumen Teknis 
    • Konsep Keamanan. Konsep keamanan adalah dokumen utama dalam proses dan konten keamanan, seperti rencana jaringan, analisis struktur, definisi kebutuhan perlindungan, analisis keamanan tambahan, pemeriksaan keamanan dasar. 
    • Ekspor database manajemen keamanan informasi, jika memungkinkan 
    • Kebijakkan Keamanan. Pihak manajemen bertanggung jawab atas fungsi organisasi yang berjalan layak dan efisien dan juga menjamin keamanan informasi baik internal maupun eksternal. Untuk alasan tersebut, pihak manajemen harus memulai kontrol,dan memandu atau proses keamanan informasi. Hal tersebut termasuk diantaranya mengeluarkan pernyataan strategis menyangkut keamanan informasi, spesifikasi konseptual, dan kondisi umum organisasi dalam rangka untuk mencapai level keamanan informasi yang diinginkan dalam seluruh proses bisnis. 
    • Daftar Proses Bisnis yang penting. Daftar tersebut haruslah ditampilkan karena merupakan kepentingan pilihan dari objek target dan pemutakhiran (up-date) dari rencana audit IS dengan pendekatan berbasis resiko berikut. 
    • Jika memungkinkan, diperlukan adanya laporan audit IS dari enam (6) tahun sebelumnya.
Langkah 2 - Implementasi audit 
    Langkah ini pada dasarnya adalah pembuatan rencana audit IS dan tahapan pemindaian dokumen. Semua dokumen rujukan harus diperiksa kelengkapan dan kemutakhirannya (up-date-ness). Pada saat mengevaluasi kemutakhiran dokumen, sebagai catatan, bahwa beberapa dokumen akan lebih umum (generik) dibandingkan dokumen lainnya,oleh karena itu diperlukan untuk dan tergantung pad dokumen tersebut. 
    Bagaimanapun, suatu institusi/organisasi harus mengevaluasi seluruh dokumen secara reguler untuk melihat apakan sudah sesuai dengan keadaan sekarang/yang berlaku. Tim audit IS memeriksa prosedur tersebut dengan penyaringan apakah sesuai atau tidak dengan membandingkannya dengan hasil pemeriksaan langsung (on site).

Langkah 3 - Audit Operasional 
    Pemeriksaan dokumen dilaksanakan dengan dasar atas perlindungan yang spesifik dalam rencana audit IS. Pemeriksaan dokumen utamanya berfokus pada kelengkapan (completeness) dan pemahaman atas dokumen. Dalam pengertian kelengkapan, dokumen harus diperiksa untuk menjamin semua aspek utama (seperti sistem, jaringan, aplikasi TI, dan ruangan) terdokumentasi dan peran yang dijelaskan sudah ditugaskan secara aktual.

 Langkah 4 - Audit Infrastruktur 
    Langkah ini dilakukan dengan pemeriksaan di lokasi (on site). Tujuan dari pemeriksaan langsung di lokasi adalah untk membandingkan dan memeriksa dokumen yang dsajikan, seperti konsep dan panduan, dengan kondisi aktual di lokasi sehingga dapat dilihat apakah keamanan informasi digaransi dalam bentuk yang cukup dan praktis dengan jenis perlindungan yang dipilih. 
    Namun pada pelaksanaannya, tim audit IS tidak harus mutlak berpaku setiap saat pada rencana audit IS. Mungkin dan wajar pada suatu waktu melewatkan beberapa bagian dari rencana audit. Hal tersebut merupakan kasus yang terjadi dikarenakan perlindungan untuk sampel pertama yang direview tidak diimplentasikan dengan baik dan cukup, yang berarti perlu dilakukan pengujian mendalam. Selain pengujian mendalam perlu diperlukan pengujian lebih jauh untuk mencari kesenjangan (gap) keamanan. Rencana audit IS perlu dilakukan pemutakhiran atasnya. Bakuan Audit Keamanan Informasi Kemenpora 66 
    Keputusan untuk membatalkan atau memperluas pemeriksaan objek target modul atau perlindungan merupakan diskresi dari tim audit IS. Perluasan pemeriksaan merupakan suatu keharusan, yang bagaimanapun juga tetap ada pembatasan atas objek audit sesuai dengan spesifikasi dalam kontrak dengan manajemen. 
    Tim audit IS mengadakan rapat pembukaan pada permulaan pemeriksaan on-site dengan pihak manajemen institusi/organisasi yang bersangkutan diantaranya, baik orang yang bertanggung jawab akan audit IS, Kepala TI, dan petugas TI. Jika dibutuhkan, dimungkin juga rapat dihadiri perwakilan dari bagian lain. Pada saat rapat perlu dijelaskan oleh mengenai objek audit dan prosedur audit. Tim audit harus mempresentasikan mengenai dokumen apa saja yang diperlukan untuk memperlancar proses audit IS. Perlu dijelaskan juga dalam rapat mengenai anggota tim auditor, waktu pemeriksaan, regulasi akses, dan jam kerja. 
    Rencana audit IS yang digunakan oleh tim audit IS berperan sebagai perangkat bantuan yang bertujuan mempercepat proses pengerjaan, dan digunakan untuk mendokumentasikan kegiatan pengujian yang dilakukan. 
    Pengujian dilaksanakan pada permulaan menggunakan teknik audit yang dipilih, biasanya dalam bentuk wawancara dan inspeksi. Tim audit IS tidak dapat langung mengintervensi langsung ke sistem, terutama ketika sistem dan metode yang rumit atau karena ukuran data yang sangat besar telah berjalan. Untuk mengatasinya, tim dapat meminta informasi pendukung seperti berkas atau dokumentasi elektronik untuk proses evaluasi lebih lanjut. Tetap, tim audit IS harus ter-up-date setiap saat.

Langkah 5 - Evaluasi Audit On-site 
    Setelah pemeriksaan/audit on-site, informasi yang didapat perlu digabungankan dan dievaluasi. Tahap evaluasi ini dapat pula dilakukan oleh pakar/ahli apabila memerlukan pengetahuan pakar tersebut, jika tim audit tidak dapat menjalankan tahap tersebut. Jika ada kontrak dengan pakar tersebut, perlu dijelaskan dan meminta izin dari institusi yang diperiksa, atau dapat membuat informasi anonim sedemikian dapat ditarik kesimpulan terkait organisasi atau personil. Evaluasi informasi termasuk kedalam evaluasi keseluruhan dari pengujian atas perlindungan (safeguards). 
    Setelah evaluasi dokumen dan informasi lainnya, dilakukan evaluasi final/akhir pada perlindungan yang diuji dan hasil diringkas dalam laporan audit IS. 

Langkah 6 - Laporan Audit 
    Laporan audit IS, termasuk dokumen rujukan, dilaporkan dalam bentuk tertulis untuk diserahkan pada pihak manajemen institusi yang diperiksa, Kepala TI, Penanggung jawab audit, dan petugas TI terkait. Versi draft laporan audit IS diberikan kepada pihak manajemen untuk memverifikasi fakta yang ditemukan oleh tim audit IS. Pihak manajemen institusi yang diaudit bertanggung jawab untuk memastikan bahwa memberikan informasi kepada semua pihak yang terkena dampak terkait hasil audit. 
Laporan audit IS, minimal terdiri dari isi sebagai berikut: 
  • Ringkasan Eksekutif, 
  • Evaluasi bergambar dari status keamanan informasi 
  • Deskripsi lengkap atas fakta temuan 
  • Evaluasi setiap perlindungan (safeguards) yang diuji.
di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)

Mysql~9 - Views

Apa Itu View dalam MySQL  View  adalah perintah query yang disimpan pada database dengan suatu nama tertentu, sehingga bisa digunakan setiap...