jump to navigation

Perlindungan aset – asset informasi Mei 4, 2010

Posted by Mujiono Sadikin in SI - Audit, Yang Aku Pelajari, Yang Aku Pikirkan.
add a comment

Permasalahan selanjutnya yang harus dipahami dalam hal AUDIT SI menurut standard dari CISA adalah Perlindungan terhadap asset informasi. Dalam suatu organisasi, daur hidup sistem informasi yang selayaknya – menurut berst practice –adalah : perencanaan, pembangunan/pengadaan, operasionalisasi dan penyediaan/dukungan layanan terhadap organisasi, dan disposal (pemusnahan). Maka perlindungan asset informasi ini selaknya dilakukan/mencakup dalam tiap tahap dalam daur hidup tersebut.

Perlindungan terhadap asset – asset informasi dilakukan untuk memastikan bahwa Confidentiality, Integrity dan Availability (CIA) dari asset informasi selalu terjaga. Bagian ini menjelaskan bagaimana mengevaluasi perencanaan, implementasi dan pemantauan alat kendali untuk mengakses asset informasi baik secara lojik maupun fisik dalam rangka memastikan CIA. Bagian ini juga menjelaskan bagaimana mengevaluasi control environment (alat kendali lingkungan yang terkait), pengamanan infrastruktur jaringan, proses dan prosedur yang digunakan dalam penyimpanan, pengambilan kembali (retrieval), pemindahan, maupun pemusnahan asset informasi yang bersifat rahasia.

Dengan demikian pada bagian ini pembahasan menyangkut sangat banyak elemen dan unsur yang terkait dengan perlindungan asset. Di antara elemen – elemen tersebut yang harus dipahami antara lain :

  • Metoda dan teknik untuk perencanaan, implementasi dan pemantauan kemanan (security). Termasuk di dalamnya adalah pengetahuan mengenai assessment terhadap ancaman dan risiko, analias sensifitas, assessment terhadap dampak privasi
  • Alat kendali akses secara lojik untuk melakukan identifikasi, autentifikasi dan pembatasan pengguna atas fungsi – fungsi dan data. Pengetahuan mengenai ini di antaranya adalah dynamic password, change/response, struktur menu yang diijinkan, profile pengguna, dll.
  • Pengetahuan akan arsitektur keamanan akses lojik seperti single sign on, strategi identifikasi pengguna, pengelolaan identitas pengguna
  • Pengetahuan akan berbagai metoda dan teknik serangan terhadap asset informasi. Beberapa di antaranya antara lain hacking, spoofing, trojan horse, DoS, Spamming, Social Engineering, War Driving, War Chalking, Masquariding, Piggybacking, phishing, dll.
  • Pemahaman akan proses yang terkait dengan pemantauan dan respon terhadap security incident. Termasuk pembahasan dalam bagian ini adalah prosedur eskalasi jika ada kejadian yang membahayakan, pengelolaan response atas kejadian seperti pembentukan emergency response team, prosedur serta tanggung jawab masing – masing anggota dalam team
  • Aditor juga dituntut untuk mengetahui dan memahami keamanan peralatan jaringan dan internet, protocol komunikasi data, teknik – teknik pengamanan seperti SSK, SET, VPN maupun NAT.
  • Pengetahuan dan pemahaman akan pencegahan kejadian membahayakan, pendeteksian kejadian yang membahayakan, dan perbaikan  setelah ada kejadian yang membahayakan. Auditor dalam hal ini perlu memahami fungsi dan peran peralatan – peralatan seperti firewall, intrusion detection system, intrusion prevention system. Tidak hanya pemahaman terhadap fungsi, pemahaman terhadap konfigurasi, operasi dan pemeliharaan juga diperlukan.
  • Pemahaman akan metoda dan teknik – teknik untuk menjaga kerahasiaan (confidentiality), keaslian (integrity), keabsahan (non repudiation) informasi maupun data baik pada saat disimpan, dipindahkan maupun dimusnahkan. Maka metoda dan teknik mengenai enkripsi, dekripsi, PKI (sertifikasi, registrasi ) maupun digital signature harus pula dipahami.
  • Pengetahuan dan pemahaman pendeteksian dan pengendalian terhadap virus, worm, spyware, malware, Trojan horse, logic bomb, trap doors, dll.
  • Pengetahuan akan teknik – teknik pengujian terhadap keamanan asset seperti teknik penetration testing, vulnerability scanning.
  • Pengetahuan dan pemahaman terhadap aspek – aspek keamanan lingkungan seperti pemadam kebakaran, sistem pendingin, sensor asap, sensor air, dll.
  • Pengetahuan dan pemahaman terhadap metoda dan teknik pengamanan secara fisik seperti access card/kartu akses, biometric, chipper lock, token
  • Pengetahuan dan pemahaman terhadap metoda dan teknik klasifikasi asset : public, rahasia, privat, asset kritis, asset sensitive, asset vital
  • Pengetahuan akan keamanan komunikasi suara seperti VoIP.
  • Pengetahuan akan proses dan prosedur yang digunakan dalam menyimpan, mengambil kembali, memindahkan maupun memusnahkan aset – aset informasi yang bersifat rahasia.
  • Pengetahuan dan pemahaman tentang risiko dan alat pengendalian terkait dengan penggunaan peralatan portabel dan peralatan nirkabel (PDA, USB, Bluetooth,…)

Penyediaan Layanan dan dukungan Teknologi Informasi (IT Services Delivery & Support/IT SDS) April 25, 2010

Posted by Mujiono Sadikin in SI - Audit, Yang Aku Pelajari, Yang Aku Pikirkan, Yang Kami Kerjakan.
add a comment

Obyektif dari pembahasan bagian ini adalah pemahaman tentang kualitas minimum layanan dan dukungan yang selayaknya diberikan oleh TI organisasi sehingga mampu mendukung obyektif organisasi secara keseluruhan.

Tugas Tugas Auditor SI pada area ini adalah :

1. Evaluasi terhadap praktek pengelolaan dan penyediaan layanan untuk memastikan bahwa tingkat layanan yang disediakan oleh pihak internal maupun eksternal didefinisikan dan dikelola dengan baik.

2. Evaluasi terhadap pengelolaan operasi untuk memastikan bahwa dukungan TI sesuai dengan kebutuhan bisnis secara efisien

3. Evaluasi terhadap adminstrasi data untuk memastikan integritas dan optimasi data.

4. Evaluasi terhadap peralatan serta teknik pemantauan penggunaan dan performansi untuk memastikan layanan TI sesuai dengan obyektif organisasi.

5. Evaluasi terhadap praktik – praktik pengelolaan pengubahan, konfigurasi dan release yang telah dibuat ke lingkungan produksi telah secara cukup dikendalikan dan didokumentasikan

6. Evaluasi terhadap praktik pengelolaan dan penanganan jika terjadi masalah maupun kejadian yang tidak diinginkan untuk memastikan bahwa masalah, kesalahan dan kejadian yang tidak dikehandaki tersevut dicatat, dianalisa dan diselesaikan sesuai dengan standard waktu yang telah ditetapkan.

7. Evaluasi terhadap fungsionalitas infrastruktur TI (komponen jaringan, perangkat keras, perangkat lunak sistem) untuk menjamin bahwa semuanya mendukung obyektif organisasi.

Pengetahuan dan Keahlian Pengetahuan dan keahlian dalam lingkup IT SDS ini adalah :

1. Pengetahuan terhadap praktik – praktik pengelolaan tingkat layanan pada organisasi

2. Pengetahuan terhadap praktik – praktek pengelolaan operasi (penjadwalan pekerjaan, pengelolaan layanan jaringan, pengelolaan pencegahan risiko)

3. Pengetahuan akan peralatan dan teknik pemantauan performansi (network analyzer, system utilitation reports, switches, firewall, dan peripheral lainnya)

4. Pengetahuan fungsionalitas perakngkat keras dan komponen jaringan (router, switch, firewall, bridges, dll)

5. Pengetahuan praktik pengelalaan dan pengadministrasioan basis data

6. Pengetahuan fungsionalitas perangkat lunak sistem sperti sistem operasi, dbms dan utilitasnya

7. Pengetahuan teknik pemantauan terhadap perencanaan kapasitas

8. Pengetahuan terhadpa proses pengelolaan penjadwalan dan perubahan darurat dari lingkungan pengembangan ke lingkungan prioduksi termasuk pengubahan, konfigurasi, reales, patch

9. Pengetahuan praktek pengelolaan masalah/incident (help desk, prsodur eskalasi masalah dan pelacakannya)

10. Pengetahuan lisesnsi dan inventory

11. Pengetahuan akan peralatan dan teknik – teknik kekenyalan (resilency) sistem (fault tolerant, clustering)

Systems & Infrastructures Lifecycle Managament (SILM) April 8, 2010

Posted by Mujiono Sadikin in SI - Audit.
add a comment

Setelah menguasai proses audit Sistem Informasi (Audit SI/IS Audit), memahami Tata Kelola TI, berikutnya ISACA memberikan panduan pemahaman terhadap proses – proses utama serta metodologi yang – biasa – digunakan oleh suatu organisasi dalam membuat maupun melakukan perubahan terhadap sistem dan infrastruktur mereka.

Tugas

Terkait dengan SILM ini, daftar berikut adalah tugas – tugas yang umumnya dilakukan oleh Auditor Sistem Informasi. Urutan tugas ini secara kronologis sesuai dengan pengelolaan sistem dan infrastruktur, mulai dari perisapan sampai dengan pengawasan atas kesesuaian sistem dan infrastruktur yang diimplementasikan dengan strategi dan tujuan (bisnis maupun layanan) suatu organisasi.

1. Tahap persiapan, evaluasi dan pemeriksaan business case terhadap usulan pembangunan atau akuisisi sistem/infrastruktur. Evaluasi ini bertujuan bahwa proposal pembangunan/ akuisisi sesuai dengan tujuan – tujuan (bisnis atau layanan) suatu organisasi.

2. Evaluasi terhadap kerangka kerja proyek dan pengelolaan proyek dalam praktek pembangunan/ akuisisi, untuk memastikan bahwa tujuan (bisnis/layanan) tercapai dengan biaya yang masuk akal dan tetap memperhatikan pengelolaan risiko yang dapat diterima dalam suatu organisasi.

3. Review pengelolaan proyek, untuk memastikan bahwa kemajuan proyek dari waktu maupun resource tidak menyimpan dari perencanaan proyek. Dalam pelaksanaanya proses review ini harus didukung oleh dokumentasi yang cukup dan akurat baik berupa laporan maupun status.
4. Evaluasi terhadap mekanisme pengendalian SILM untuk tiap tahapan, baik mulai dari penyusunan kebutuhan, pembangunan/akuisisi, dan uji coba. Untuk memastikan bahwa semuanya berjalan dalam koridor yang aman (tanpa risiko atau dengan tingkat risiko yang dapat diterima) serta patuh terhadap kebijakan – kebijakan organisasi maupun kebutuhan – kebutuhan lainnya.

5. Evaluasi terhadap proses pembangunan/akuisisi dan ujicoba sistem atau infrastruktur, untuk memastikan bahwa hasil pekerjaan (deliverable) sesuai dengan kebutuhan – kebutuhan organisasi.

6. Evaluasi terhadap kesiapan sistem/infrastruktur untuk implementasi dan migrasi dari proses pembangunan/akuisisi ke tahap produksi.

7. Melakukan review paska implementasi terhadap terhadap sistem/infrastruktur untuk memastikan bahwa kesemuanya sesuai dengan tujuan organisasi, dengan pengendalian internal yang efektif.

8. Melakukan review secara periodic terhadap operasi sistem/infrastruktur untuk memastikan bahwa semuanya secara kontinyu sesuai dengan tujuan organisasi, dengan pengendalian internal yang efektif.

9. Melakukan review secara periodic terhadap proses pemeliharaan dan perawatan sistem/infrastruktur untuk memastikan bahwa semuanya secara kontinyu mampu mendukung usaha pencapaian tujuan organisasi, dengan pengendalian internal yang efektif.

10. Melakukan review terhadap proses pemusnahan sistem/infrastruktur untuk memastikan bahwa semuanya patuh terhadap kebijakan organisasi serta prosedur yang telah ditetapkan.

Pengetahuan dan Keahlian

Untuk melaksankan masing – masing tugas itu, auditor SI harus melengkapi diri dengan pengetahuan dan pemahaman proses daur hidup Sistem dan Infrastruktur mulai dari persiapan, pelaksanaan, implementai, operasi, pemeliharaan sampai dengan “pemusnahan”nya. Bekal pengetahuan yang harus dikuasi oleh auditor SI adalah : Benefits Management Case; mekanisme tata kelola proyek; praktek pengelolaan proyek, kerangka kerja, peralatan dan Kendali kerja; praktek pengelolaan risiko yang diterapkan pada proyek; criteria keberhasilan dan risiko proyek; configuration, change and relase management dalam keterkaitannya dengan pengembangan dan pemeliharaan sistem/infrastruktur; obyektif alat kendail dan teknik – teknik pengendalian untuk memastikan kelengkapan, akurasi, validitas dan otoritas transaksi dan data dalam aplikasi sistem TI; Enterprise Architecture terkait data, aplikasi, teknologi;praktek – praktek pengelolaan dan analisa kebutuhan seperti verifikasi kebutuhan, ketelusuran, analisa kesenjangan;proses pengelolaan kontrak dan akuisisi seperti evaluasi dan pemilihan vendor, persiapan kontrak, pengelolaan vendor, escrow account;metodologi pengembangan sistem, peralatan yang digunakan, serta pengetahuan akan kekuatan dan kelemahan masing – masing metode dan peralatan tersebut;metode – metode penjaminan kualitas;pengelolaan proses uji coba seperti strategies testing, test plans, test environments dan exit criteria;peralatan data konversi, teknik dan prosedur konversi;prosedur pemusnahan sistem/infrastruktur;praktek – praktek akreditasi dan sertifikasi S/W maupun H/W;obyektif dan metodologi dari review paska implementasi sistem/infrastruktur seperti penyelesaian proyek, realisasi benefit, dan pengukuran performansi;praktik – praktik migrasi sistem dan deployment infrastruktur.

IT Governance (Tata Kelola TI) Maret 21, 2010

Posted by Mujiono Sadikin in SI - Audit, Untuk Anak - anakku, Yang Aku Pelajari, Yang Aku Pikirkan.
add a comment

Tugas Auditor Sistem Informasi (Auditor SI/IS Auditor) secara ringkas adalah memeriksa apakah suatu proses terkait Sistem Informasi dalam suatu organisasi telah dilaksanakan sebagaimana mestinya sesuai dengan alat kendali yang ditetapkan/harus dianut oleh suatu organisasi. Oleh karena itu, Auditor dituntut untuk memahami alat kendali maupun pelaksanaan suatu proses. Alat kendali dan proses ini berbeda – beda dari satu Negara dengan Negara lain, dari satu organisasi maupun organisasi yang lain. ISACA memberikan bekal pemahaman itu  kepada Auditor berdasarkan “best practice” yang umum berlaku baik di Amerika maupun di Negara – Negara yang lain.

Dengan demikian maka, sebaiknya Auditor SI memahami IT Governance (Tata Kelola IT) yang merupakan bagian dari Corporate Governance(CG) yang merepresentasikan bagaimana penerapan TI dalam suatu Enterprise (organisasi).Ada beberapa definisi mengenai CG, namun secara ringkas dapat dicuplik dari definisi Sir Adrian Cadbury yang menyatakan CG adalah suatu system yang dengannya suatu korporasi diarahkan dan dikendalikan. Mengikuti CG, maka IT G kurang lebih adalah suatu system yang dengannya TI dalam suatu organisasi diarahkan dan dikenalikan.

Sebegai suatu system, fokus IT G kurang lebih pada :

Strategic Aligment : Strategi dan perencanaan IT harus inline dan sinergi dengan strategi dan arah perusahaan (korporasi)

Value Delivery : Penerapan IT harus memberikan nilai seperti yang direncanakan, cost yang dikeluarkan sesuai dengan nilai / benefit yang didapatkan

Risk Management : Adanya kepedulian risiko – risiko yang mungkin timbul dari manajemen level atas, pengertian yang jelas mengenai tingkat risiko yang dapat diterima, pengertian akan kebutuhan-2 terhadap kepatuhan, transparansi mengenari risiko – risiko bagi seluruh enterprise serta pendelegasian wewenang dan tanggung jawab penanganan risiko bagi pihak – pihak dalam organisasi

Resource Managamnet : optimalisasi sumber daya IT dalam organisasi termasuk infrastruktur, aplikasi, personal, dll.

Performance Management : bagaimana mengendalikan dan mengawasi pelaksanaan strategy, penyelesain proyek, penggunaan sumber daya, performansi proses dan penyediaan layanan dengan menggunakan alat kendali yang sesuai standard (misalnya Balanca Score Card).

IT Governance Framework

Beberapa kerangka kerja yang biasanya diacu untuk pelaksanaan IT G dalam tataran praktis antara lain :

-       CobiT : Control Obyektif for Information and related Technology, yang disusun oleh ITGI

-       ISO/IEC 27001 yang pertama kali dipublikasikan di UK sebagai British Standard 7799 (BS 7799)

-       IT Infrastructur Library (ITIL) yang disusun oleh UK Office of Government Commerce dan IT Services Management Forum

-       IT Baseline Protection Catalogs (IT-Grandschutz Catalogs) oleh German Federal Office for Security in Information Technology.

-       Information Security Management Maturity Model (ISM3)

-       AS80152005 merupakan standard dari pemerintah Australia untuk Corporate governance dalam TIK

Dari berbagai uraian mengenai CG dan IT G dapat diringkas bahwa ITG paling tidak harus mengandung unsur – unsur :strategi, kebijakan, program serta tujuan yang ingin dicapai haris inline dengan strategi corporate, pengelolaan risiko, perencanaan dan pengelolaan sumber daya, pelaksanaan dan operasionalisasi, serta pengendalian dan pengawasan kinerja semua aspek IT.

Strategi, kebijakan, program dan tujuan harus menjadi tanggung jawab dan perhatian manajemen tingkat atas, bukan hanya sebatas personal – personal TI. Diperlukan suatu IT Strategi Committee yang beranggotakan top manajemen dan lintas departemen. Kebijakan, program dan tujuan harus secara formal ditetapkan dan dikomentasikan. Juga harus disosialisaskan ke seluruh tingkatan dalam suatu organisasi.

Tujuan dari pengelolaan risiko adalah mengamanakan segala asset TIK dari ancaman ancaman yang mungkin timbul sehingga kehilangan (asset, informasi, uang) dapat dihindari atau ditekan seminimal mungkin. Inti dari pengelolaan risiko adalah mengamankan asset/informasi/sumber daya informasi yang lain. Oleh karena itu diperlukan strategi dan pengelolaan keamanan Informasi (Information Security Governance). Agar akibat dari risiko yang mungkin timbul dapat ditekan seminimal mungkin maka diperlukan strategi dan perencanaan pengelolaan risiko sejak dini. Penanganan risiko dimulai dari identifikasi risiko, menganalisa risko dan mengukurnya, kemudian mengelolanya dengan menerapkan alat kendali risiko, serta memonitor pelaksanaan alat kendali tersebut.  

Perencanaan dan pengelolaan sumber daya mencakup antara lain meencakup pemahaman mengenai perencaanaan system informasi secara keseluruhan, misalnya dengan menggunakan pendekatan Enterprise Architecture. Beberapa pendekatan EA ini dalam praktisnya antara lain model Zachman Framework atau TOGAF.Pengelolaan sumber daya informasi mencakup bagaimana merencanakan dan mengakuisisi (purchase) h/w, s/w atau infrastruktur yang lain.

Di dalam pelaksanaan dan operasionalisasi terdapat hal – hal pemilihan supplier atau source / sumber layanan/produk. Tentu saja termasuk di dalamnya adalan pengelolaan sumber daya manusai internal mulai dari rekruitmen sampai dengan terminasi. Termasuk dalam operasionalisasi adalah bagaimana organisasi mengatur dan membagi tugas, hak akses dan tanggung jawab personel sesuai dengan aturan keamanan yang ditetapkan, pembagian beban yang adil, maupun penghindaran penumpukan tanggungjawab pada bagian tertentu maupun penghindaran konflik kepentingan akibat pembagian peran yang tidak sesuai. Jika perusahaan memerlukan layanan pihak ke 2 (outsource) maka peraturan dan kaidah-kaidah outsource juga menjadi fokus perhatian auditor.

Pengawasan dan pengukuran kinerja dapat dilakukan dengan menggunakan parameter – parameter yang berlaku dalam “best practice” yang sudah menjadi standard, misalnya Balance Scor Card, CMM atau ISO.

Proses Audit [1] Maret 15, 2010

Posted by Mujiono Sadikin in SI - Audit.
add a comment

Menulis Untuk Belajar

Karena merasa sudah kehilangan “hard skill” saya di bidan TI sebagai latar belakang pendidikan saya, maka per minggu kemarin saya mengambil kursus IS-Audit / Information System Audit CISA Review di PUSILKOM UI. Sudah terlalu lama tidak “belajar keras” membuat saya kesulitan menyerap ilmu. Oleh karena itu saya perlu cara baru untuk belajar. Menulis, itulah cara belajar yang saya anggap efektiv. Jadi saya menulis IS Audit ini bukan karena bisa, tetapi karena masih dalam taraf belajar. Dengan demikian menulis ini adalah sarana belajar saya.

Jika dilihat dari akar katanya, Audit berarti evaluasi/pemeriksaan. Makna audit menurut Wikipedia adalah suatu proses evaluasi terhadap orang, organisasi, sistem, proses, korporasi, proyek ataupun produk. Audit Sistem Informasi (IS Audit) dengan demikian adalah proses evaluasi terhadap sistem informasi pada suatu organisasi. Selanjutnya dalam tulisan – tulisan pada kategori IS Audit ini, pengertian audit tentu saja mengacu pada Audit Sistem Informasi pada suatu organisasi.

Program Audit

Terminologi yang digunakan untuk menjelaskan strategi dan rencana audit. Di dalamnya termasuk ruang lingkup, obyektif/tujuan, sumber daya yang, serta prosedur yang digunakan untuk mengevaluasi sekumpulan alat kandali dan akan menghasilkan opini audit.

Tujuan Audit

Masing – masing audit biasanya mempunyai tujuan yang spesifik. Namun secara umum tujuan dari audit adalah untuk mengetahui sejauh mana alat kendali yang ada dapat secara efektif mengendalikan operasi (bisnis, pemerintahan, dll) dalam suatu organisasi.

Alat Kendali (Set of Controls)

Dengan demikian, maka perlu dipahami yang dimaksud dengan alat kendali. Dalam terminologi audit alat kendali lebih spesifik mengacu kepada alat kendali internal suatu organisasi. Alat kendali internal adalah kebijakan, prosedur, mekanisme, sistem, atau ukuran – ukuran lain yang dirancang untuk meminimalkan risiko bisnis/organisasi. Suatu organisasi/badan mengimplementasikan alat kendali agar tujuan bisnis tercapai, risiko dapat direduksi, dan kesalahan – kesahalan dapat dihindari atau dikoreksi jika terjadi.

Alat kendali digunakan : 1. Untuk mencapai suatu keadaan yang diinginkan, dan 2. Menghindari keadaan yang tidak diinginkan.

Sebagai contoh alat kendali misalnya, terkait Teknologi Informasi di dunia perbankan Indonesia, BI telah menetapkan kebijakan berupa Peraturan Bank Indonesia, Nomor: 9/15/Pbi/2007, Tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi Oleh Bank Umum. Peraturan ini berisi ketentuan – ketentuan yang harus dilakukan oleh organisasi Perbankan Umum terkait Kebijakan dan Implementasi Teknologi Informasi di lingkungan Perbankan. Mengacu pada peraturan ini, maka salah satu tujuan dari Audit SI di lingkungan Perbankan, misalnya, memeriksa apakah peraturan tersebut ada dan dipatuhi.

Dimensi Alat Kendali

Secara grafis klasifikasi alat kendali dapat dilihat seperti gambar di bawah :

Dimensi Alat Kendali

Dimensi Alat Kendali

Tipe – tipe alat kendali

Phyisical

Alat kendali yang dapat diamati secara fisik (tangible) seperti video, lock, akses card, dll

Technical

Dalam terminologi Sistem Informasi ini adalah alat kendali yang tidak dapat diamati secara fisik (intangible) enkripsi, password, logs, dll

Administrative

Adalah kebijakan atau prosedur yang menghendaki atau melarang suatu aktivitas tertentu. Misalnya peraturan perusahaan yang melarang karyawan untuk mengakses informasi/data payroll selain bagian accounting.

Kelas – kelas alat kendali

Preventive

Alat kendali yang mencegah/menghindari suatu kejadian. Misalnya screen saver dan auto log off pada pada PC/note book. Enkripsi file yang mencegah kejadian terbacanya informasi file oleh pihak yang tidak berwenang/berhak

Detective

Alat kendali yang digunakan untuk mencatat kejadian – kejadian baik yang dikehendaki maupun yang tidak dikehendaki. Alat kendali ini misalnya audit logs, video kamera, dll.

Detterent

Alat kendali yang digunakan untuk mencegah pihak – pihak tertentu melakukan hal – hal yang tidak diinginkan. Masuk dalam alat kendali ini misalnya : anjing penjaga, tanda peringatan, video kamera dan monitornya.

Corrective

Alat kendali yang digunakan untuk memperbaiki akibat terjadinya keadaan yang tidak dinginkan, alat kendali ini digunakan setelah keadaan tersebut terjadi. Misalnya perbaikan proses pada proses – proses yang tidak dapat berjalan secara efektiv

Compensating

Alat kendali yang digunakan karena alat kendali lain tidak berjalan sebagaimana mestinya. Misalnya kamera video yang tidak berjalan digantikan dengan akses card.

Recovery

Alat kendali yang digunakan untuk mengembalikan keadaan setelah terjadi suatu kecelakaan pada sistem atau aset. Misalnya restore basis data, pembersihan virus, dll

(Bersambung….)

Sumber :

  1. Modul CISA – Course Review 2010 PUSILKOM – UI / ISACA
  2. CISA Certified Information Systems Auditor EXAM GUIDE, 2010
Ikuti

Get every new post delivered to your Inbox.