Information system control for system reliability

Slides:



Advertisements
Presentasi serupa
Tata Kelola Teknologi Informasi
Advertisements

Audit Sistem Informasi
AUDIT SISTEM INFORMASI MANAJEMEN ASET BERDASARKAN PERSPEKTIF PROSES BISNIS INTERNAL BALANCED SCORECARD DAN STANDAR COBIT 4.1 (Studi Kasus: PT. Pertamina.
(Studi Kasus: Rumah Sakit Umum Haji Surabaya)
Minggu Ke : 1 APAKAH SIA ITU ?
Sejarah & Pemahaman Audit Sistem/Teknologi Informasi
Chapter 9 Information Systems Controls for System Reliability— Part 2: Confidentiality and Privacy.
Auditing Computer-Based Information Systems
CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.
Tata Kelola Teknologi Informasi
Pengendalian Sistem Informasi Akuntansi
TUJUAN AUDIT SI/TI Pertemuan 2.
Pengenalan COBIT.
Tata Kelola TI.
Panduan Audit Sistem Informasi
IMPLEMEMENTASI COBIT.
Aktifitas Pengembangan Sistem
SEJARAH DAN PEMAHAMAN AUDIT SISTEM/TEKNOLOGI INFORMASI
Control Objectives for Information and related Technology
MONITORING AND ASSURANCE PRACTICES FOR BOARD AND EXECUTIVE MANAGEMENT IT governance adalah istilah inclusive yang mencakup sistem informasi, teknologi,
Sistem Pengendalian Intern
Pengendalian dan Sistem Informasi Akuntansi
AUDIT SISTEM INFORMASI
STANDARD BALANCED SCORE CARD IT Pertemuan-9 Mata Kuliah: CSI402, IT Governance Tahun Akademik: 2012/
Oleh : Etimanta Veronika Br. Pinem ( ) Oktariani Laoly ( )
Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
Wisnu Haryo Pramudya, S.E., M.Si., Ak., CA
Tata Kelola Teknologi Informasi
Manajemen Sumber Daya Teknologi Informasi
AUDIT SISTEM INFORMASI dan TUJUANNYA
Model Pengendalian Sistem Informasi
Tata Kelola TI dengan Kerangka Kerja COBIT
KEAMANAN DAN PENGENDALIAN SISTEM
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
Control Objectives for Information and related Technology
Tata Kelola Teknologi Informasi
Framework dan Proses Audit SI
OVERVIEW AUDIT SISTEM/TEKNOLOGI INFORMASI
PENGENDALIAN INTERN MODEL REFERENSI
COBIT Control Objectives for Information & Related Technology
Implementasi Kerangka Kerja COBIT
Pengendalian dan Sistem Informasi Akuntansi
PENGERTIAN TSI Teknologi Sistem Informasi (TSI) adalah suatu sistem pengolahan data keuangan dan pelayanan jasa perbankan secara elektronis dengan menggunakan.
Pengendalian dan Sistem Informasi Akuntansi
Pertemuan 12 Sekuriti dan Etika
Audit Teknologi sistem Informasi
Merencanakan dan Menyusun Strategi Sumber Daya Informasi dan Teknologi Informasi
Kuesioner Pengelolaan Teknologi Informasi berdasarkan CobIT
Control Objectives for Information and related Technology (COBIT)
KEAMANAN INFORMASI INFORMATION SECURITY
OVERVIEW AUDIT SISTEM INFORMASI
AUDIT TEKNOLOGI SISTEM INFORMASI BANK XYZ
Audit Teknologi Informasi Pertemuan 11
PENGENDALIAN SISTEM KOMPUTERISASI PERSPEKTIF MANAJEMEN
CobiT Control Objectives for Information and Related Technology
Penyusunan Blueprint TI untuk Perguruan Tinggi, by
ETIKA PROFESI Sesi 7.
Pentingnya Audit Sistem Informasi
Pengenalan COBIT.
UNIVERSITAS SARJANAWIYATA TAMANSISWA
Security+ Guide to Network Security Fundamentals
COBIT An Introduction.
AUDIT SISTEM INFORMASI (Studi Kasus: PT. ANEKA JAYA BAUT SEJAHTERA)
Computer Network Defence
Tata Kelola Teknologi Informasi Information Technologi Gorvernance.
Standar Tata Kelola TI Pertemuan 4
Fokus Area Tata Kelola TI Pertemuan 2,3
Tata Kelola Teknologi Informasi
Pertemuan 6 Audit Teknologi Informasi Kel 4 : - Aditya pratama.
Transcript presentasi:

Information system control for system reliability PERTEMUAN MINGGU KE - 7

Control Objective for Information and Related Technology (COBIT) COBIT (Control Objectives for Information and Related Technology) merupakan sekumpulan dokumentasi dan panduan yang mengarahkan pada IT governance yang dapat membantu auditor, manajemen, dan pengguna (user) untuk menjembatani pemisah antara resiko bisnis, kebutuhan kontrol, dan permasalahan-permasalahan teknis. COBIT dikembangkan oleh IT governance Institute (ITGI) yang merupakan bagian dari Information Systems Audit and Control Association (ISACA)

COBIT COBIT merupakan suatu cara untuk menerapkan IT governance. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat contol objectives untuk bidang teknologi informasi

COBIT DEVELOPMENT COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap kontrol, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance.

COBIT FRAMEWORK COBIT terdiri dari 4 domain, yaitu: Planning & Organization Acquisition & Implementation Delivery & Support Monitoring & Evalution

COBIT FRAMEWORK Plan & Organize Acquire & Implement Deliver & Support Monitor & Evaluate

COBIT FRAMEWORK Plan and Organise (PO) : Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi cara terbaik IT untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi Acquire & Implement ( AI ) : Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi, juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga Delivery & Support ( DS ): Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan Monitor & Evaluate ( ME) : Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan

PLAN & ORGANISE (PO) Domain ini mencakup strategi dan taktik, serta fokus pada identifikasi cara terbaik agar TI dapat memberikan kontribusi pada pencapaian tujuan bisnis perusahaan Implementasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola dalam beberapa perspektif yang berbeda. Sebuah organisasi yang tepat serta pemilihan infrastruktur TI harus diletakkan pada tempatnya. Domain ini biasanya membahas pertanyaan manajemen berikut: Apakah TI dan strategi bisnis sudah selaras? Apakah perusahaan mencapai penggunaan optimal dari sumber dayanya? Apakah setiap orang dalam organisasi memahami tujuan IT? Apakah resiko TI dipahami dan dikelola dengan baik? Apakah kualitas sistem TI sesuai dengan kebutuhan bisnis?

ACQUIRE AND IMPLEMENT (AI) Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan, diperoleh, dan diimplementasikan serta terintegrasi ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang ada dilindungi oleh domain ini untuk memastikan solusi terus memenuhi tujuan bisnis. Apakah proyek baru memiliki kemungkinan untuk memberikan solusi yang sesuai dengan kebutuhan bisnis? Apakah proyek baru dapat terdeliver tepat waktu dan sesuai anggaran? Apakah sistem baru ini bekerja dengan baik bila diterapkan? Apakah perubahan dapat dilakukan tanpa mengganggu continuitas operasi bisnis.

DELIVERY & SUPPORT (DS) Domain ini berkaitan dengan delivery jasa yang dibutuhkan, yang meliputi pelayanan, Manajemen Security dan kontinuitas layanan, dukungan layanan ( Service Support ) bagi user, dan manajemen data dan fasilitas operasional. Domain ini biasanya membahas pertanyaan manajemen berikut: Apakah layanan TI yang disampaikan sesuai dengan prioritas bisnis? Apakah biaya TI sudah optimal? Apakah karyawan dapat menggunakan sistem IT secara produktif dan aman? Apakah kerahasiaan integritas yang memadai tersedia di tempat yang membutuhkan keamanan informasi?

MONITOR AND EVALUATE ( ME ) Semua proses TI perlu dinilai secara teratur dari waktu ke waktu untuk mencapai kualitas dan memenuhi persyaratan kontrol. Domain ini ditujukan untuk manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan pemerintahan. Ini biasanya membahas pertanyaan manajemen berikut: Apakah kinerja TI dapat diukur untuk mendeteksi masalah sebelum terlambat? Apakah manajemen telah memastikan bahwa pengendalian internal bekerja efektif dan efisien? Dapatkah kinerja TI dihubungkan kembali ke tujuan bisnis? Apakah kerahasiaan integritas, ketersediaan memadai dan kontrol di tempat untuk keamanan informasi?

COBIT FRAMEWORK

Trust Service Framework Dikeluarkan oleh AICPA bersama Canadian Institute of Chartered Accountants (CICA) untuk memenuhi kebutuhan atas jaminan informasi Evaluasi baru yang secara independen menguji dan memverifikasi keandalan sistem untuk memberikan jaminan kepada pihak manajemen, pelanggan, vendor dan mitra bisnis bahwa suatu sistem informasi benar-benar andal. SysTrust dikembangkan untuk memberikan tingkat keyakinan tentang reliabilitas sistem

Trust Service Framework

Trust Service Framework Security Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki otorisasi, untuk mencegah : Penggunaan yang tidak sesuai, penghancuran atau pengungkapan informasi dan software Pencurian sumber daya sistem Apakah sistem yang digunakan aman dan memiliki perlindungan dari akses-akses yang tidak dikehendaki. Confidentiality Perlindungan informasi perusahaan (rencana pemasaran, teknik perdagangan) yang rahasia dan penting dari pengungkapan yang tidak terotorisasi. Apakah informasi yang didapat oleh customer benar adanya dan dapat dipertanggungjawabkan, serta sistem yang ada dapat diinovasi apabila diperlukan dan terus memberikan keamanan dan integritas sistem.

Trust Service Framework Privacy Informasi personal dari konsumen dikumpulkan, digunakan, dan di pelihara sesuai dengan kebijakan internal dan eksternal, serta terlindungi dari pengungkapan yang tidak terotorisasi. Apakah informasi yang diberikan customer ditangani dan dijamin kerahasiaannya Processing Integrity Pemrosesan sistem bersifat lengkap, akurat, tepat waktu, dan diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi yang diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi sistem, baik yang tidak diotorisasi maupun yang tidak disengaja. Availability Sistem tersebut tersedia untuk dioperasikan dan digunakan dengan mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan

Trust Service Framework Dengan bantuan prinsip-prinsip dan kriteria tersebut, Auditor (CPA) yang ditunjuk dapat : Mengevaluasi apakah perusahaan layak, dan apabila terdapat kelemahan dapat ditemukan. Menggunakan prinsip dan criteria tersebut untuk membangun pengendalian dari awal. Adanya jaminan yang dibuat CPAs dapat memberikan verifikasi yang independent, sehingga customer dapat mengetahui perusahaan mana yang layak dan aman bagi transaksi yang akan mereka lakukan. Systrust memberikan jaminan pada reliabilitas system yang dimiliki perusahaan, sehingga perusahaan dinyatakan layak menjalankan operasinya dan aman.

Foundation of the Trust Services Framework Management issue, not a technology issue SOX 302 states: CEO and the CFO responsible to certify that the financial statements fairly present the results of the company’s activities. The accuracy of an organization’s financial statements depends upon the reliability of its information systems. Defense-in-depth and the time-based model of information security Have multiple layers of control

Evaluate Internal Control Assessing IT Controls What criteria does your company use to assess the effectiveness of the IT-related internal control structure? Number of companies using criteria Percentage COBIT 27 14.2% Trust Services (formerly SysTrust) 1 0.5% COSO 136 71.6% Combination of the three 26 13.7%. Respondent base: 190 companies

To Mitigate Risk : Training Kontrol Contoh Preventif Training User access controls (authentication and authorization) Physical access controls (locks, guards, etc.) Network access controls (firewalls, intrusion prevention systems, etc.) Device and software hardening controls (configuration options) . Detektif Log Analysis Process of examining logs to identify evidence of possible attacks (analisa log pengguna sistem, unauthorized user) Intrusion Detection Sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan Managerial Reports Security Testing

To Mitigate Risk : Korektif Computer Incident Response Team Kontrol Contoh Korektif Computer Incident Response Team Chief Information Security Officer (CISO) Independent responsibility for information security assigned to someone at an appropriate senior level Patch Management Fix known vulnerabilities by installing the latest updates Security programs Operating systems Applications programs Manajemen patch adalah bidang sistem manajemen yang melibatkan pengujian dan penginstalan beberapa patch (perubahan kode) ke sistem komputer diberikan.