LATAR BELAKANG:
Pemanfaatan Teknologi Informasi sebagai pendukung pencapaian tujuan
dan sasaran organisasi harus diimbangi dengan keefektifan dan efisiensi
pengelolaannya. Maka dari itu, audit TI haruslah dilakukan untuk menjaga
keamanan sistem informasi sebagai aset organisasi, untuk mempertahankan
integritas informasi yang disimpan dan diolah dan tentu saja untuk
meningkatkan keefektifan penggunaan teknologi informasi serta mendukung
efisiensi dalam organisasi.
TUJUAN:
Penelitian ini bertujuan untuk melakukan pemetaan terhadap tahap
audit TI beserta kontrolnya yang kemudian diaplikasikan pada sebuah
organisasi, yaitu Universitas XYZ untuk melihat kinerja TI yang ada.
METODE PENELITIAN:
Peneliyian ini mengunakan metode COBIT-ISACA dengan menggunakan 210
detailed control objective yang ada. Penyelenggaraan audit dilakukan
dengan menggunakan tahapan-tahapan yang ada pada IT Assurance GuideDalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:
a. Penentuan Rencana Audit
1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.
2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.
3. Melakukan analisis resiko.
b. Menentukan lingkup audit dan tujuan audit
1. Menentukan tujuan audit TI.
2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.
3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
4. Mendefinisikan proses-proses TI yang akan dikaji.
5. Mendefinisikan komponen TI yang ada di Universitas XYZ.
c. Melakukan kajian di universitas XYZ
Kajian akan dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada high level control objective).
d. Melakukan analisa hasil audit
Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis dapat memberikan solusi yang tepat terhadap permasalahan yang dihadapi.
HASIL:
Dari kajian yang dilakukan terhadap kondisi TI yang ada di
Universitas XYZ, didapatkan temuan-temuan yang berhubungan dengan
lemahnya kontrol yang diterapkan. Temuan-temuan hasil audit yang
dilaporkan meliputi:1. Rencana dan Strategi TI Universitas XYZ
1. Universitas XYZ sudah mempunyai konsep Rencana Strategis Teknologi Informasi namun belum cukup sempurna sehingga sampai dengan audit TI yang dilakukan, Rencana Strategis TI belum dijadikan sebagai acuan dari setiap pengembangan sistem yang ada (sistem yang dibangun bersifat adhoc).
2. Dalam melakukan pemilihan arsitektur basis data, arsitektur jaringan dan aplikasi yang akan dikembangkan, Universitas XYZ tidak melakukan studi formal, misalkan dengan melakukan tahap cost benefit analysis, atau risk analysis.
2. Keorganisasian Pengelolaan TI
1. Struktur organisasi TI
Struktur organisasi TI yang ada di Universitas TI terbagi menjadi dua unit dan dibawah dua direktorat yang berbeda, hal ini dapat menyebabkan:
a. Pengurangan tingkat independensi pengelolaan TI karena tidak dibawah satu direktorat TI sendiri yang bertanggung jawab langsung kepada rektor
b. Terpisahnya antara pusat pengembangan sistem sebagai pihak perencana dan Cybernet sebagai pihak operasional akan menyulitkan kontrol terhadap komunikasi antar dua belah pihak.
2. Staf TI
a. Untuk unit Cybernet yang sudah ada terlebih dahulu masih belum cukup dalam jumlah staf TI, dalam hal ini dibutuhkan staf yang dapat membantu untuk menjalankan peran pemeliharaan dan operasional seperti IT service desk, IT support, desktop support.
b. Untuk unit Pusat Pengembangan Sistem perlu dibutuhkan staf ahli dalam perencanaan dan pengembangan sistem seperti database administrator, programmer aplikasi, system analyst, tester engineer.
3. SIAK Universitas XYZ
1. User account management
SIAK sudah memiliki fitur untuk mengingat password tanpa harus tergantung pada staf unit Cybernet tetapi belum berjalan dengan yang diharapkan, pengguna masih bertanya kepada staf Cybernet perihal lupa password.
2. Penggunaan
a. SIAK belum memiliki bantuan asistensi penggunaan aplikasi dalam bentuk menu standar help
b. Dikarenakan pengembangan SIAK tidak mengikuti fase-fase pengembangan proyek seperti user requirement, maka dirasa masih banyak kekurangan atau ketidaksesuaian yang dirasa oleh user.
3. Proses kerja
Untuk pengisian nilai yang dimulai dari periode UTS, SIAK belum dapat menampilkan data kelas dan mahasiswa yang up to date.
4. Perancangan Aplikasi dan Basisdata
1. Untuk perancangan basis data tidak megikuti kaidah-kaidah perancangan yang umum, sehingga tidak terdapat dokumentasi yang lengkap mengenai hal tersebut.
2. Tidak terdapat diagram relasi untuk basis data sehingga basis data yang ada tidak didasari pada pendekatan analisis.
5. Pengembangan dan Perubahan Aplikasi
Pada awal pengembangan aplikasi SIAK tidak memiliki dokumentasi formal sehingga apabila programmer yang bersangkutan berhalangan atau berhenti maka tidak bisa dilakukan pengembangan terhadap SIAK, kecuali pembuatan dari awal kembali.
6. Pengelolaan Basisdata
1. Fungsi audit trail pada database server belum diaktifkan. Hal tersebut menimbulkan kesulitan untuk mengetahui dan menyelidiki insiden yang terjadi pada database server.
2. Proses backup dilakukan setiap tujuh hari sekali, hal tersebut menimbulkan resiko gangguan, kerusakan dan kehilangan data pada saat setelah proses backup terakhir kali dilakukan sampai proses backup berikutnya.
7. Jaringan Komputer Kampus Utama Universitas XYZ
1. Pembagian network di Universitas XYZ tidak berdasarkan pada fungsi yang sama, tetapi berdasarkan lokasi tempat device berada. Sehingga akan menyulitkan bagi satu unit yang sama tetapi menempati gedung yang berlainan untuk dapat membagi data.
2. Security masih dilakukan di tingkat jaringan saja misalkan dengan firewall atau Intrussion Detection System, dan kurang memperhatikan keamanan fisik, hal ini dilihat dari pengamanan yang kurang terhadap switch-switch yang ada pada setiap network.
8. Layanan ke Pengguna
1. Sebagian besar komputer yang ada di lingkungan kampus utama, tidak dilengkapi dengan software antivirus yang berlisensi maupun gratis (hanya pada komputer-komputer tertentu saja seperti di laboratorium komputer). Walaupun ada software tetapi tidak ter-update secara rutin.
2. Universitas XYZ belum memiliki kebijakan dan prosedur untuk mendeteksi, melaporkan dan merespon atas terjadinya insiden terhadap keamanan komputer.
9. Portal Organisasi
Terdapat keterlambatan updating isi situs web dari Univeritas XYZ, sehingga terkesan berita-berita seputar civitas akademika tidak dinamis.
KESIMPULAN
- 1. Dari hasil pengujian terhadap keefektifan kontrol sudah ada kontrol yang berjalan yaitu PO8.1. Quality Management System, PO8.4. Customer Focus, PO8.5 Continuous Improvement dan PO8.6 Quality Measurement, Monitoring and Review, hal itupun karena ada penerapan standarisasi ISO. Kontrol yang lainnya adalah DS5.9. Malicious Software Prevention, Detection and Correction.
- Masih ada proses TI yang belum memiliki kontrol sama sekali seperti yang didefinisikan oleh COBIT, yaitu:
PO3 Determine Technological Direction
PO5 Manage the IT Investment
PO9 Assess and Manage IT Risks
PO10 Manage Projects
b. Domain Acquire and Implementation
AI1 Identify Automated Solution
AI7 Install and Accredit Solutions and Changes
c. Domain Delivery and Support
DS3 Manage Performance and Capacity
DS4 Ensure Continuous Service
DS6 Identify and Allocate Cost
DS10 Manage Problem
DS11 Manage Data
DS12 Manage the Physical Environment
Source
Tidak ada komentar:
Posting Komentar