IT Audit and Control

Audit Keamanan Informasi

rahmadya IT Audit and Control, Komputer dan Masyarakat

Dulu pernah diminta mengajar mata kuliah keamanan sistem informasi, dari dasar-dasar serangan siber, enkripsi, dan sejenisnya. Tetapi ketika beralih ke jurusan sistem informasi, ternyata ada yang namanya audit keamanan sistem informasi. Nah, ini di Indonesia sedang digodok aturannya oleh Badan Siber dan Sandi Nasional (BSSN). Dulu divisi kemanan transaksi elektronik di luar BSSN dibawah Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center (ID-SIRTII/CC) dan sekarang digabung dengan lembaga sandi negara menjadi BSSN, bahkan lembaga sandi negara ditunjuk sebagai pengatur lembaga baru tersebut.

Penilaian & Audit Keamanan Transaksi Perdagangan Berbasis Elektronik

Era disrupsi memiliki konsekuensi dari sisi transaksi yang mengharuskan dalam bentuk elektronik. Bahkan dari sisi audit jika ditemukan dua jenis bukti (elektronik dan paper) maka yang elektronik memiliki kekuatan yang lebih besar. Saat ini hampir sebagian besar transaksi keuangan bersifat elektronik. Jadi audit tentang transaksi ini mutlak diperlukan.

Kekurangan Auditor

Saat ini di Indonesia jumlah auditor hanya 300-an menurut asosiasi auditor sistem informasi di Indonesia (IASII) padahal kebutuhan di tanah air cukup tinggi. Sebagai informasi negara-negara tetangga seperti Thailand, Vietnam, dan Filipina sudah kelebihan auditor dan siap-siap masuk ke Indonesia untuk mensuplai kebutuhan auditor. India? Jangan ditanya, sudah sejak lama mereka masuk bahkan IASII kerap mem-briefing auditor-auditor India yang akan bertugas di Indonesia, waduh. Apalagi perjanjian-perjanjian seperti AFTAA, WTO, MEA, dan lain-lain kebanyakan sudah ditandatangani pemerintah.

Pembentukan Aturan

Memang aturan mudah dibentuk, tetapi jika tidak memandang dunia internasional, agak sulit di era globalisasi ini. Tampak wakil dari praktisi sepertinya keberatan jika auditor harus disertifikasi ulang oleh BSSN mengingat mereka sudah memiliki sertifikasi internasional. Jika aturan dibuat sendiri sertifikasinya, tetangga apalagi internasional akan menanyakan apa itu BSSN, maklum tidak mengenalnya. Bahkan dari asosiasi mempertanyakan mengapa e-KTP yang budgetnya trilyunan tidak diaudit keamanan informasinya, sementara nanti para pengusaha dengan budget yang sedikit diharuskan untuk diaudit keamanan transaksi online-nya. Sepertinya perlu dikomunikasikan dengan para praktisi sebelum aturannya dibuat, dan segera mengingat dunia startup, terutama bidang finansial (misal fintech, paytren, dll) sudah mulai merambah. Sekian sekilas info.

Benarkah “IT doesn’t Matter?”

rahmadya IT Audit and Control, Komputer dan Masyarakat

Salah satu mata kuliah pasca yang rumit adalah mata kuliah “IT Strategic” karena melibatkan faktor-faktor sosial yang memang sulit diukur. Dalam salah satu buku wajibnya adalah buku yang berjudul “Corporate IT Strategic” karya Lynda M. Applegate. Dalam kolom khususnya, disinggung suatu tulisan yang cukup heboh seperti judul di atas, “IT Doesn’t Matter”. Singkatnya tulisan tersebut membahas IT yang saat ini tidak menjadi faktor penentu keberhasilan suatu organisasi. Beberapa survey dilakukan ke perusahaan-perusahaan dan hasilnya ternyata IT di organisasinya tidak memiliki dampak signifikan dibanding biaya yang dikeluarkannya. Sebabnya karena IT sudah menjadi barang umum yang hampir semua organisasi memiliki atau memanfaatkannya. Seandainya suatu perusahaan menerapkan IT sebagai strategi bisnis, toh perusahaan lain dengan mudahnya ikut menerapkan lewat membeli dari vendor-vendor IT yang banyak bermunculan.

Tulisan yang dipublikasi di majalah Harvard Business Review (HBR) oleh Carr edisi Mei 2003 tersebut membuat heboh bidang sistem/teknologi informasi. Maklum majalah terkenal itu merupakan bacaan wajib para pemerhati bisnis. Protes pun bermunculan.

Surat dari Petinggi Xerox

Terus terang buku itu tebal dan berat sekali bagi yang baru belajar membaca teks bahasa Inggris, termasuk saya waktu kuliah pasca dulu. Tapi sebenarnya sangat berbobot dan memiliki dampak yang signifikan terhadap perkembangan bisnis saat ini. Beragam surat balasan bermunculan, salah satunya dari Brown, seorang petinggi dari Xerox.

Brown menyindir Carr yang dalam menganalogikan IT dengan mesin, listrik, dan komponen-komponen industri lainnya. Sebaliknya IT sesungguhnya memiliki dampak yang tidak langsung dalam memberi keuntungan suatu perusahaan. Strategi yang dimunculkan oleh suatu perusahaan yang menerapkan IT dalam proses bisnisnya terletak pada inovasi-inovasi yang bermunculan dengan adanya perkembangan teknologi IT seperti internet yang kian cepat dan terjangkau, aplikasi-aplikasi yang kian mudah dibuat, dan sebagainya.

Disrupsi

Memang buku karya Applegate muncul sebelum era disrupsi yang mengahantam perusahaan-perusahaan besar hingga runtuh. Tetapi ternyata tidak membutuhkan waktu lama ketika era disrupsi yang dimotori oleh startup-startup seperti grab, gojek, fintech, airbnb, dan kawan-kawan menghancurkan perusahaan-perusahaan yang lalai bahwa perkembangan IT memungkinkan inovasi-inovasi bisnis yang bahkan muncul bukan dari pesaing tetapi dari pendatang baru yang tidak pernah dideteksi sebelumnya lewat metode konvensional, seperti Strengths, Weaknesses, Opportunity, and Threats (SWOT).

Bagaimana respon dari petinggi-petinggi organisasi lainnya selain dari Xerox, silahkan baca rujukan aslinya yang sangat seru (termasuk co-author buku tersebut, McFarlan), mirip baca novel-novel, tapi seputar dunia bisnis, dan sistem/teknologi informasi.

Referensi

Lynda M. Applegate, R.D. Austin, and F. W. McFarlan. “Corporate Information Strategy and Management – 7th Ed, Text and Cases”. New york, McGraw-Hill.

Mengenal Istilah-Istilah dalam Audit Sistem Informasi

rahmadya IT Audit and Control

Audit SI merupakan subyek sistem informasi yang kian penting bahkan untuk bidang lainnya seperti accounting. Hal ini terjadi karena peran IT pada suatu organisasi yang kian penting dan melekat dengan sistem yang ada. Untuk bisa mengikuti perkembangan audit SI ada baiknya mengenal terlebih dahulu istilah-istilah yang kerap digunakan dalam literatur Audit SI.

  • GEIT: Governance of Enterprise IT. Atau sering diistilahkan dengan IT governance.
  • COBIT: Control Objective for Information and Related Technology. Saat tulisan ini dibuat masuk COBIT versi 5.
  • ITIL: Information Technology Infrastructure Library.
  • TOGAF: The Open Group Architecture Framework.
  • ISO: International Organization for Standardization. Untuk audit: ISO27001 dan ISO/IEC 38500:2008.
  • ISACA: Information Systems Audit & Control Association. Merupakan badan pencetus COBIT.
  • GRC: Governance, Risk, and Compliance
  • ISCA: Information Systems Control and Audit. Istilah lain dari Audit SI yang sering digunakan di kampus lain di luar negeri.
  • CEO: Chief Executive Officers, CFO: Chief Financial Officer, dan CIO: Chief Information Officers. Merupakan jabatan-jabatan level atas dalam manajemen.
  • ERM: Enterprise Risk Management
  • FAS: Financial Accounting Standards
  • IAS: International Accounting Standards

Mungkin istilah-istilah di atas merupakan istilah yang sering dijumpai berualang kali di buku Audit SI. Ada baiknya selalu diingat agar membacanya jadi lancar. Juga istilah-istilah asing seperti compliance, conformance, governance, dan lain-lain ketika membaca rujukan asing. Berikutnya istilah-istilah dalam proses audit, antra lain:

  • Exposure. Yaitu seberapa besar kehilangan yang diakibatkan dari resiko yang terjadi.
  • Threat. Suatu entitas, lingkungan, kejadian, atau hal-hal lain yang berpotensi membahayakan sistem perangkat lunak atau komponen-komponennya lewat akses yang tidak diperbolehkan/diijinkan, perusakan, modifikasi ilegal, denial of service, dan sejenisnya.
  • Likelihood. Seberapa besar kemungkinan threat menyerang sistem yang ada. Oleh karena pengamanan harus diberikan menyesuaikan likelihood suatu threat yang dianalisa.
  • Attack. Merupakan aksi nyata dari threat yang mengakses sistem secara ilegal. Biasanya attack ini berasal dari luar yang mengeksploitasi ketersediaan sistem yang ada agar berhenti/tidak bekerja.
  • CIA: Confidentiality, Integrity or Availability. Tiga komponen kemananan yang menjaga sistem yang ada dan selalu dijadikan target sasaran attack.
  • Risk. Potensi yang mungkin terjadi ketika ada eksploitasi dari attack yang merusak availability/ketersediaan, sehingga merusak aset yang ada. Risk analysis diperlukan untuk menganalisa seberapa besar potensi suatu resiko berpengaruh terhadap organisasi.

Mungkin istilah-istilah di atas dapat membantu untuk membaca literatur tentang Audit Sistem Informasi. Mudah-mudahan bermanfaat, salah satunya bagi saya yang sering lupa, selamat belajar Audit SI.