LATAR BELAKANG:
Pemanfaatan Teknologi Informasi sebagai pendukung pencapaian tujuan
dan sasaran organisasi harus diimbangi dengan keefektifan dan efisiensi
pengelolaannya. Maka dari itu, audit TI haruslah dilakukan untuk menjaga
keamanan sistem informasi sebagai aset organisasi, untuk mempertahankan
integritas informasi yang disimpan dan diolah dan tentu saja untuk
meningkatkan keefektifan penggunaan teknologi informasi serta mendukung
efisiensi dalam organisasi.
TUJUAN:
Penelitian ini bertujuan untuk melakukan pemetaan terhadap tahap
audit TI beserta kontrolnya yang kemudian diaplikasikan pada sebuah
organisasi, yaitu Universitas XYZ untuk melihat kinerja TI yang ada.
METODE PENELITIAN:
Peneliyian ini mengunakan metode COBIT-ISACA dengan menggunakan 210
detailed control objective yang ada. Penyelenggaraan audit dilakukan
dengan menggunakan tahapan-tahapan yang ada pada IT Assurance Guide
Dalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
a. Penentuan Rencana Audit
1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
3. Melakukan analisis resiko.
b. Menentukan lingkup audit dan tujuan audit
1. Menentukan tujuan audit TI.
2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
4. Mendefinisikan proses-proses TI yang akan dikaji.
5. Mendefinisikan komponen TI yang ada di Universitas XYZ.
c. Melakukan kajian di universitas XYZ
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam
melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian
ini meliputi detailed control objective yang disesuaikan dengan keadaan
dari Universitas XYZ (berdasar pada high level control objective).
d. Melakukan analisa hasil audit
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang
didapat. Diharapkan hasil dari tahap analisis dapat memberikan solusi
yang tepat terhadap permasalahan yang dihadapi.
HASIL:
Dari kajian yang dilakukan terhadap kondisi TI yang ada di
Universitas XYZ, didapatkan temuan-temuan yang berhubungan dengan
lemahnya kontrol yang diterapkan. Temuan-temuan hasil audit yang
dilaporkan meliputi:
1. Rencana dan Strategi TI Universitas XYZ
1. Universitas XYZ sudah mempunyai konsep Rencana Strategis Teknologi
Informasi namun belum cukup sempurna sehingga sampai dengan audit TI
yang dilakukan, Rencana Strategis TI belum dijadikan sebagai acuan dari
setiap pengembangan sistem yang ada (sistem yang dibangun bersifat
adhoc).
2. Dalam melakukan pemilihan arsitektur basis data, arsitektur
jaringan dan aplikasi yang akan dikembangkan, Universitas XYZ tidak
melakukan studi formal, misalkan dengan melakukan tahap
cost benefit analysis, atau
risk analysis.
2. Keorganisasian Pengelolaan TI
1. Struktur organisasi TI
Struktur organisasi TI yang ada di Universitas TI terbagi menjadi dua
unit dan dibawah dua direktorat yang berbeda, hal ini dapat
menyebabkan:
a. Pengurangan tingkat independensi pengelolaan TI karena tidak
dibawah satu direktorat TI sendiri yang bertanggung jawab langsung
kepada rektor
b. Terpisahnya antara pusat pengembangan sistem sebagai pihak
perencana dan Cybernet sebagai pihak operasional akan menyulitkan
kontrol terhadap komunikasi antar dua belah pihak.
2. Staf TI
a. Untuk unit Cybernet yang sudah ada terlebih dahulu masih belum
cukup dalam jumlah staf TI, dalam hal ini dibutuhkan staf yang dapat
membantu untuk menjalankan peran pemeliharaan dan operasional seperti
IT service desk,
IT support,
desktop support.
b. Untuk unit Pusat Pengembangan Sistem perlu dibutuhkan staf ahli dalam perencanaan dan pengembangan sistem seperti
database administrator,
programmer aplikasi,
system analyst,
tester engineer.
3. SIAK Universitas XYZ
1.
User account management
SIAK sudah memiliki fitur untuk mengingat
password tanpa harus
tergantung pada staf unit Cybernet tetapi belum berjalan dengan yang
diharapkan, pengguna masih bertanya kepada staf Cybernet perihal lupa
password.
2. Penggunaan
a. SIAK belum memiliki bantuan asistensi penggunaan aplikasi dalam bentuk menu standar
help
b. Dikarenakan pengembangan SIAK tidak mengikuti fase-fase pengembangan proyek seperti
user requirement, maka dirasa masih banyak kekurangan atau ketidaksesuaian yang dirasa oleh
user.
3. Proses kerja
Untuk pengisian nilai yang dimulai dari periode UTS, SIAK belum dapat menampilkan data kelas dan mahasiswa yang
up to date.
4. Perancangan Aplikasi dan Basisdata
1. Untuk perancangan basis data tidak megikuti kaidah-kaidah
perancangan yang umum, sehingga tidak terdapat dokumentasi yang lengkap
mengenai hal tersebut.
2. Tidak terdapat diagram relasi untuk basis data sehingga basis data yang ada tidak didasari pada pendekatan analisis.
5. Pengembangan dan Perubahan Aplikasi
Pada awal pengembangan aplikasi SIAK tidak memiliki dokumentasi formal sehingga apabila
programmer yang
bersangkutan berhalangan atau berhenti maka tidak bisa dilakukan
pengembangan terhadap SIAK, kecuali pembuatan dari awal kembali.
6. Pengelolaan Basisdata
1. Fungsi
audit trail pada
database server belum diaktifkan. Hal tersebut menimbulkan kesulitan untuk mengetahui dan menyelidiki insiden yang terjadi pada
database server.
2. Proses
backup dilakukan setiap tujuh hari sekali, hal
tersebut menimbulkan resiko gangguan, kerusakan dan kehilangan data pada
saat setelah proses
backup terakhir kali dilakukan sampai proses
backup berikutnya.
7. Jaringan Komputer Kampus Utama Universitas XYZ
1. Pembagian
network di Universitas XYZ tidak berdasarkan pada fungsi yang sama, tetapi berdasarkan lokasi tempat
device berada. Sehingga akan menyulitkan bagi satu unit yang sama tetapi menempati gedung yang berlainan untuk dapat membagi data.
2.
Security masih dilakukan di tingkat jaringan saja misalkan dengan
firewall atau
Intrussion Detection System, dan kurang memperhatikan keamanan fisik, hal ini dilihat dari pengamanan yang kurang terhadap
switch-switch yang ada pada setiap
network.
8. Layanan ke Pengguna
1. Sebagian besar komputer yang ada di lingkungan kampus utama, tidak dilengkapi dengan
software antivirus yang berlisensi maupun gratis (hanya pada komputer-komputer tertentu saja seperti di laboratorium komputer). Walaupun ada
software tetapi tidak ter-
update secara rutin.
2. Universitas XYZ belum memiliki kebijakan dan prosedur untuk
mendeteksi, melaporkan dan merespon atas terjadinya insiden terhadap
keamanan komputer.
9. Portal Organisasi
Terdapat keterlambatan
updating isi situs web dari Univeritas XYZ, sehingga terkesan berita-berita seputar civitas akademika tidak dinamis.
KESIMPULAN
- 1. Dari hasil pengujian terhadap keefektifan kontrol sudah ada kontrol yang berjalan yaitu PO8.1. Quality Management System, PO8.4. Customer Focus, PO8.5 Continuous Improvement dan PO8.6 Quality Measurement, Monitoring and Review, hal itupun karena ada penerapan standarisasi ISO. Kontrol yang lainnya adalah DS5.9. Malicious Software Prevention, Detection and Correction.
- Masih ada proses TI yang belum memiliki kontrol sama sekali seperti yang didefinisikan oleh COBIT, yaitu:
a. Domain Plan and Organise
PO3 Determine Technological Direction
PO5 Manage the IT Investment
PO9 Assess and Manage IT Risks
PO10 Manage Projects
b. Domain Acquire and Implementation
AI1 Identify Automated Solution
AI7 Install and Accredit Solutions and Changes
c. Domain Delivery and Support
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS6 Identify and Allocate Cost
DS10 Manage Problem
DS11 Manage Data
DS12 Manage the Physical Environment
Source
