UTS SUSULAN AUDIT SISTEM Standar Pengelolaan di Dunia IT

Transkripsi

1 UTS SUSULAN AUDIT SISTEM Standar Pengelolaan di Dunia IT Disusun oleh: Nama : Yoga Pratama NIM : PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SUNAN KALIJAGA YOGYAKARTA 2014/2015

2 PENDAHULUAN A. Latar Belakang Berkembangnya dunia teknologi sekarang, menimbulkan persaingan yang ketat perusahaan IT satu dengan lainnya dalam mempertahankan fungsi bisnis mereka. Untuk mempertahankan hal tersebut, tiap perusahaan akan menentukan teknologi yang akan membantu mereka da lam beroperasi. Akan tetapi, teknologi yang digunakan bukanlah sesuatu yang mudah untuk dicapai, dibutuhkan pengesahan atau pengalaman dalam mengoperasikan teknologi tersebut. Hal ini menyebabkan diadakannya sebuah standar penilaian pada teknologi informasi. Dengan adanya standardisasi, organisasi dapat berkembang dengan lebih terarah. Semua anggota organisasi mulai dari programmer, analis, tester, manajer dan direktur mengetahui apa jobdesk masing-masing pribadi. Apa yang harus disediakan bagi pihak lain dan juga apa yang bisa diharapkan dari divisi lain. Dengan demikian, tidak banyak usaha yang sia-sia karena miss-communication atau kurangnya koordinasi. Sayangnya, dunia enterpreneur IT di Indonesia masih jarang yang memperhatikan standardisasi ini, karena adanya beberapa faktor misalnya, tidak mengerti Inggris, standar luar negeri tidak cocok untuk kondisi lokal, standar hanya organisasi merasa monoton dan membosankan. B. Rumusan Masalah 1. Bagaimana cara kerja COBIT? 2. Bagaimana cara kerja ISO/IEC 27002? 3. Bagaimana cara kerja CMMI? C. Tujuan Dengan adanya standar pengelolaan pada bidang teknologi informasi, setiap bagian-bagian penting perusahaan dapat berkoordinasi dengan baik sehingga mengakibatkan tujuan perusahaan dapat berjalan dengan lancar. PEMBAHASAN

3 A. COBIT 1. Pengertian Cobit Control Objective for Information and related Technology, disingkat COBIT adalah suatu panduan standar praktik manajemen teknologi informasi. Adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT. COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai FrameWork IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut. Cobit Adalah satu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor faktor lain yang berpengaruh. Cobit Adalah suatu panduan standar praktik manajemen teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association). COBIT memiliki 4 cakupan domain, yaitu : a. Perencanaan dan organisasi (Planning and Organisation) b. Pengadaan dan implementasi (Acquisition and Implementation) c. Pengantaran dan dukungan (Delivery and Support) d. Pengawasan dan evaluasi (Monitoring) Domain 1 : Planning and Organisation Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula. Langkah-langkah: a. Menetapkan rencana stratejik TI b. Menetapkan hubungan dan organisasi TI c. Mengkomunikasikan arah dan tujuan manajemen d. Mengelola sumberdaya manusia e. Memastikan pemenuhan keperluan pihak eksternal f. Menaksir risiko Domain 2 : Acquisition and Implementation Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis. Langkah-langkah : a. Mengidentifikasi solusi terotomatisasi b. Mendapatkan dan memelihara infrastruktur teknologi c. Mengembangkan dan memelihara prosedur d. Memasang dan mengakui sistem e. Mengelola perubahan

4 Domain 3 : Delivery and Support Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training. Langkah-langkah : a. Menetapkan dan mengelola tingkat pelayanan b. Mengelola pelayanan kepada pihak lain c. Memastikan pelayanan yang kontinyu d. Memastikan keamanan sistem e. Mengelola konfigurasi/susunan f. Mengelola data g. Mengelola fasilitas Domain 4 : Monitoring Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol. Langkah-langkah: a. Memonitor proses menaksir kecukupan pengendalian internal b. Mendapatkan kepastian yang independen Maksud utama COBIT ialah menyediakan kebijakan yang jelas dan good practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola resiko-resiko yang berhubungan dengan IT. COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab. COBIT menyediakan kerangka IT governance dan petunjuk control objective yang detail untuk manajemen, pemilik proses bisnis, user dan auditor. Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan antara resiko bisnis, kontrol dan masalah teknik. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.untuk menpersiapkan proses manajemen dan bisnis dengan model TI governance yang membantu dalam memahami dan memgelola resiko yang berhubungan dengan TI. 2. Kerangka Kerja COBIT Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni: a. Control Objectives Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization, Acquisition & Implementation, Delivery & Support, dan Monitoring & Evaluation. b. Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

5 c. Management Guidelines Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut: i. Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya. ii. Apa saja indikator untuk suatu kinerja yang bagus. iii. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ). iv. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan. v. Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan. vi. Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya. 3. Manfaat dan Pengguna COBIT Secara manajerial target pengguna COBIT dan manfaatnya adalah : a. Direktur dan Eksekutif Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI. b. Manajemen i. Untuk mengambil keputusan investasi TI. ii. Untuk keseimbangan resiko dan kontrol investasi. iii. Untuk benchmark lingkungan TI sekarang dan masa depan. c. Pengguna Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal. d. Auditors i. Untuk memperkuat opini untuk manajemen dalam control internal. ii. Untuk memberikan saran pada control minimum yang diperlukan. B. ISO/IEC Pengertian ISO/IEC ISO/IEC adalah suatu standar keamanan informasi yang diterbitkan oleh ISO dan IEC pertama kali dengan nama ISO/IEC 17799:2005 yang berubah menjadi ISO/IEC pada Juli 2007 untuk menyesuaikan dengan penamaan seri standar ISO/IEC Nama lengkapnya adalah ISO/IEC 27002: Information technology - Security techniques - Code of practice for information security management. Versi pertama standar ini, ISO/IEC 17799, merupakan adaptasi dari standar BS :1999. ISO/IEC memberikan rekomendasi praktik terbaik untuk sistem manajemen keamanan informasi (ISMS, information security management system) yang didefinisikan oleh standar ini dalam konteks C-I-A: confidentiality (kerahasiaan), integrity (integritas), dan availabity (ketersediaan). 2. Kerangka Kerja ISO/IEC 27002

6 a. Kebijakan Pengamanan (Security Policy), mengarahkan visi dan misi manajemen agar kelangsungan organisasi dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan data/informasi penting yang dimiliki oleh perusahaan. Kebijakan pengamanan sangat diperlukan mengingat banyaknya masalahmasalah non teknis seperti penggunaan password oleh lebih dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan sistem keamanan informasi. Kebijakan pengamanan ini meliputi aspek infratruktur dan regulasi keamanan informasi. Hal pertama dalam pembuatan kebijakan keamanan adalah dengan melakukan inventarisasi data-data perusahaan. Selanjutnya dibuat regulasi yang melibatkan semua departemen, sehingga peraturan yang akan dibuat tersebut dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi untuk mendapatkan persetujuan dan dukungan agar dapat diterapkan dengan baik. b. Pengendalian Akses Sistem (System Access Control), mengendalikan/membatasi akses user terhadap informasi-informasi dengan cara mengatur kewenangannya, termasuk pengendalian secara mobilecomputing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada yang meliputi berbagai aspek seperti : i. Persyaratan bisnis untuk kendali akses. ii. Pengelolaan akses user (User Access Management) iii. Kesadaran keamanan informasi (User Responsibilities iv. Kendali akses ke jaringan (Network Access Control) v. Kendali akses terhadap sistem operasi (Operating System Access Control) vi. Pengelolaan akses terhadap aplikasi (Application Access Management) vii. Pengawasan dan penggunaan akses sistem (Monitoring System Access and Use) viii. Mobile Computing dan Telenetworking. c. Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu : i. Prosedur dan tanggung jawab operasional ii. Perencanaan dan penerimaan sistem iii. Perlindungan terhadap software jahat (malicious software) iv. Housekeeping v. Pengelolaan Network vi. Pengamanan dan Pemeliharaan Media vii. Pertukaran informasi dan software. d. Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi. Penelitian untuk pengembangan dan pemeliharaan sistem meliputi berbagai aspek, seperti : Persyaratan pengamanan sistem; Pengamanan sistem aplikasi;

7 Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan dan proses pendukungnya. e. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security), mencegah kehilangan dan/atau kerusakan data yang diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan informasi yang lain. Pengamanan fisik dan lingkungan ini meliputi aspek : Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum terhadap lingkungan dan hardware informasi. f. Penyesuaian (Compliance), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk perjanjian kontrak melalui audit sistem secara berkala. Aspek-aspek yang diperlukan untuk membentuk prosedur dan peraturan, yaitu : i. Penyesuaian dengan persyaratan legal ii. Peninjauan kembali kebijakan pengamanan dan penyesuaian secara teknis iii. Pertimbangan dan audit sistem. g. Keamanan personel/sumber daya manusia (Personnel Security), upaya pengurangan resiko dari penyalahgunaan fungsi dan/atau wewenang akibat kesalahan manusia (human error), manipulasi data dalam pengoperasian sistem serta aplikasi oleh user. Kegiatan yang dilakukan diantaranya adalah pelatihanpelatihan mengenai kesadaran informasi (security awareness) agar setiap user mampu menjaga keamanan data dan informasi dalam lingkup kerja masingmasing. Personnel Security meliputi berbagai aspek, yaitu : i. Security in Job Definition and Resourcing ii. Pelatihan-pelatihan iii. Responding to Security Incidens and Malfunction. h. Organisasi Keamanan (Security Organization), memelihara keamanan informasi secara global pada suatu organisasi atau instansi, memelihara dan menjaga keutuhan sistem informasi internal terhadap ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu : keamanan dan pengendalian akses pihak ketiga dan Outsourcing i. Klasifikasi dan pengendalian aset (Asset Classification and Control), memberikan perlindungan terhadap aset perusahaan yang berupa aset informasi berdasarkan tingkat perlindungan yang telah ditentukan. Perlindungan aset ini meliputi accountability for Asset dan klasifikasi informasi. j. Pengelolaan Kelangsungan Usaha (Business Continuity Management), siaga terhadap resiko yang mungkin timbul didalam aktivitas lingkungan bisnis yang bisa mengakibatkan major failure atau resiko kegagalan sistem utama ataupun disaster atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan pengelolaan untuk kelangsungan proses bisnis, dengan mempertimbangkan semua aspek dari business continuity management.

8 Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien. C. CMMI 1. Pengertian CMMI Capability Maturity Model Integration (CMMI) merupakan suatu model pendekatan dalam penilaian skala kematangan dan kemampuan sebuah organisasi perangkat lunak. CMMI pada awalnya dikenal sebagai Capability Maturity Model (CMM) yang dikembangkan oleh Software Enginnering Institute di Pittsburgh pada tahun Namun perkembangan selanjutnya CMM menjadi CMMI. CMMI mendukung proses penilaian secara bertingkat. Penilaiannya tersebut berdasarkan kuisioner dan dikembangkan secara khusus untuk perangkat lunak yang juga mendukung peningkatan proses. CMMI adalah suatu pendekatan perbaikan proses yang memberikan unsurunsur penting proses efektif bagi organisasi. Praktik-praktik terbaik dipublikasikan dalam dokumen-dokumen yang disebut model, yang masingmasing ditujukan untuk berbagai bidang yang berbeda. CMMI memiliki 4 aturan yang dapat disesuaikan menurut organisasi IT, yakni System Engineering (SE), Software Engineering (SW), Integrated Product Process Development (IPPD) dan Supplier Sourcing (SS). CMMI terdiri dari practices Dalam rangkaian practices ini ada rambu-rambu atau rekomendasi yang diikuti. Practices dalam CMMI dibagi menjadi dua, yaitu Generic Practices (GP) Specific Practices (SP). Bila kita sudah mengimplementasikan practices dengan sempurna kita dianggap sudah memenuhi Goals. Sama seperti practices, ada Generic (GG) dan Specific Goals (SG). SG dan SP dikelompokkan menjadi Process Area (PA). Process Area yang ada sebagai berikut

9 Saat ini terdapat dua bidang minat yang dicakup oleh model CMMI: development (pengembangan) dan acquisition (akuisisi). Versi terkini CMMI adalah versi 1.2 dengan dua model yang tersedia yaitu CMMI-DEV (CMMI for Development) yang dirilis pada Agustus 2006 dan ditujukan untuk proses pengembangan produk dan jasa, serta CMMI-ACQ (CMMI for Acquisition) yang dirilis pada November 2007 dan ditujukan untuk manajemen rantai suplai, akuisisi, serta proses outsourcing di pemerintah dan industri. CMMI menangani jalan yang harus ditempuh suatu organisasi untuk bisa mengelola proses yang terpetakan dengan baik, yang memiliki tahapan terdefinisi baik. Asumsi yang berlaku di sini adalah bahwa dalam organisasi yang matang, dimungkinkan untuk mengukur dan mengaitkan antara kualitas produk dan kualitas proses. Terlepas model mana yang dipilih oleh suatu organisasi, praktik-praktik terbaik CMMI harus disesuaikan oleh masing-masing organisasi tergantung pada sasaran bisnisnya. Organisasi tidak dapat memperoleh sertifikasi CMMI, melainkan dinilai dan diberi peringkat 1-5. Hasil pemeringkatan penilaian ini dapat dipublikasikan jika dirilis oleh organisasi penilainya. Maturity Level di CMMI ada 5, mulai dari yang terendah Maturity Level 1 hingga Maturity Level 5. Setiap Maturity Level memiliki seperangkat Process Area yaitu Generic Practices (GP) dan Specific Practices (SP) yg harus dipenuhi agar perusahaan berhak menggunakan titel Maturity Level tersebut. Sebagai contoh, bila perusahaan ingin lulus Maturity Level-2, maka perusahaan harus mengimplementasikan 7 process area. Untuk mencapai Maturity Level-3, perusahaan harus mengimplementasikan 7 process area dari Maturity Level-2 ditambah dengan 11 process area dari Maturity Level-3. Demikian seterusnya, sehingga Maturity Level-5 yang sudah mengimplementasikan 22 process area. 2. Klasifikasi CMMI

10 a. Maturity level 1 Initialized Pada ML1 ini proses biasanya berbentuk ad hoc. Sukses pada level ini didasarkan pada kerja keras dan kompetensi yang tinggi orang-orang yang ada di dalam organisasi tersebut atau dapat juga dikatakan perusahaan ini belum menjalankan tujuan dan sasaran yang telah didefinisikan oleh CMMI. b. Maturity level 2 Managed Pada ML2 ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2. Semua pekerjaan yang berhubungan dengan dengan proses-proses yang terjadi saling menyesuaikan diri agar dapat diambil kebijakan. Setiap orang yang berada pada proses ini dapat mengakses sumber daya yang cukup untuk mengerjakan tugas masing-masing. Setiap orang terlibat aktif pada proses yang membutuhkan. Setiap aktivitas dan hasil pekerjaan berupa memonitor, mengontrol, meninjau, serta mengevaluasi untuk kekonsistenan pada deskripsi yang telah diberikan. c. Maturity level 3 Defined Pada ML3 ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2 dan Level 3. Proses dilihat dengan terjadinya penyesuaian dari kumpulan proses standar sebuah organisasi menurut pedoman-pedoman pada organisasi tersebut, menyokong hasil kerja, mengukur, dan proses menambah informasi lain menjadi milik organisasi. d. Maturity level 4 Quantitatively Managed Pada ML4 ini, sebuah organisasi telah mencapai seluruh specific dan generic goals yang ada pada Level 2, 3, dan 4. Proses yang terjadi dapat terkontrol dan ditambah menggunakan ukuran-ukuran dan taksiran kuantitatif. Sasaran kuantitatif untuk kualitas dan kinerja proses ditetapkan dam digunakan sebagai kreteria dalam manajemen proses. e. Maturity level 5 Optimizing

11 Pada ML5 ini suatu organisasi telah mencapai seluruh specific dan generic goals yang ada di Level 2, 3, 4, dan 5. ML5 fokus kepada peningkatan proses secara berkesinambungan melalui inovasi teknologi. KESIMPULAN

12 COBIT adalah fondasi yang berguna untuk membangun suatu lingkungan pengendalian yang berbasis TI. Cakupannya luas, cukup fleksibel bila berintegrasi dengan lingkungan pengendalian bisnis, databasenya dapat dibagi, dan prosedurnya manual. Sangat mungkin untuk membangun complete toolkit untuk mengimplementasikan lingkungan pengendalian berbasis TI. ISO/IEC sangat berguna dalam menilai sebuah keamanan sistem. Keamanan data/informasi secara langsung maupun tidak langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak. Dalam menentukan level CMMI sebuah perusahaan IT, diperlukan adanya GP dan SP yang telah ditetapkan dari PA setiap level. CMMI membantu sebuah perusahaan IT untuk membangun langkah maju dengan lebih baik, dengan adanya pembagian level kedewasaan maka perusahaan juga dapat mengukur seberapa jauh mereka sudah melangkah dan apa yang bisa menjadi salah satu jaminan bagi mereka dalam menawarkan produknya kepada customer