audit it

16
Audit Teknologi Informasi Budi Rahardjo [email protected] - http://rahard.wordpress.com STEI – Institut Teknologi Bandung Dipresetasikan di Kuliah Kapita Selekta – IT Telkom – 3 Maret 2011

Upload: budi-rahardjo

Post on 27-May-2015

2.838 views

Category:

Education


10 download

DESCRIPTION

Pengantar singkat mengenai audit Teknologi Informasi

TRANSCRIPT

Page 1: Audit IT

Audit Teknologi Informasi

Budi [email protected] - http://rahard.wordpress.com

STEI – Institut Teknologi BandungDipresetasikan di Kuliah Kapita Selekta – IT Telkom – 3 Maret 2011

Page 2: Audit IT

BR - Audit Teknologi Informasi 2

Mengapa audit IT?

• Tingginya ketergantungan bisnis kepada IT– Kegagalan IT menjadi risiko perusahaan– Apakah implementasi /konfigurasi IT

memberikan celah keamanan (security) yang berisiko?

3 Maret 2011

Page 3: Audit IT

BR - Audit Teknologi Informasi 3

Mengapa?

• Mahalnya investasi IT– Apakah implementasi (investasi) IT sudah

selaras (align) dengan binis perusahaan?– Apakah IT sudah dikelola dengan baik? (IT

governance)

3 Maret 2011

Page 4: Audit IT

BR - Audit Teknologi Informasi 4

Audit IT

• Untuk memastikan IT tertata dengan baik, sesuai dengan standar atau best practice

• Dapat dilakukan oleh internal atau pihak ketiga yang independen

• Menguji compliance, akreditasi, dan sertifikasi

• Aspek security dan alignment terhadap bisnis

3 Maret 2011

Page 5: Audit IT

BR - Audit Teknologi Informasi 5

IT SECURITY AUDIT

3 Maret 2011

Page 6: Audit IT

BR - Audit Teknologi Informasi 6

IT Security Audit

• Memeriksa aspek keamanan– People• Awareness, skill

– Process• Policy and Procedure (PnP), standards, guidelines

– Technology• Infrastruktur, server, workstation, aplikasi

• Hasil berupa tingkat risiko

3 Maret 2011

Page 7: Audit IT

BR - Audit Teknologi Informasi 7

Infrastruktur

• Topologi jaringan– Apakah desain sudah baik?– Apakah desain diimplementasikan dengan baik?

3 Maret 2011

Page 8: Audit IT

BR - Audit Teknologi Informasi 8

Networking Devices & Servers

• Versi dari sistem operasi– Apakah sudah yang terbaru dan tidak memiliki

kelemahan (vulnerability)?

• Konfigurasi– Apakah masih ada konfigurasi bawaan (default

configuration)?– Apakah konfigurasi sudah cukup baik?

3 Maret 2011

Page 9: Audit IT

BR - Audit Teknologi Informasi 9

Aplikasi

• Dievaluasi secara khusus– Apakah memiliki kelemahan (vulnerability)?• Desain, implementasi, dan konfigurasi

– Diuji dengan skenario pelaku (user) yang berbeda• Bukan pengguna• Pengguna biasa• Pengembang, administrator

3 Maret 2011

Page 10: Audit IT

BR - Audit Teknologi Informasi 10

Standar & Akreditasi

• ISO 27000 series• Sans.org• TIA 942

(Telecommunications Infrastructure Standard for Data Centers)

• Open Web Application Security Project (OWASP)

• ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements

3 Maret 2011

Page 11: Audit IT

BR - Audit Teknologi Informasi 11

Sertifikasi

• CISSP (Certified Information Systems Security Professional)

• CISM (Certified Information Security Manager)

• CEH (Certified Ethical Hacker)

3 Maret 2011

Page 12: Audit IT

BR - Audit Teknologi Informasi 12

IT ALIGNMENT AUDIT

3 Maret 2011

Page 13: Audit IT

BR - Audit Teknologi Informasi 13

Standar

• Control Objectives for Information and related Technology (COBIT)

• Information Technology Infrastructure Library (ITIL)

3 Maret 2011

Page 14: Audit IT

BR - Audit Teknologi Informasi 143 Maret 2011

Page 15: Audit IT

BR - Audit Teknologi Informasi 15

Information Technology Infrastructure Library

3 Maret 2011

Page 16: Audit IT

BR - Audit Teknologi Informasi 16

Penilaian dan Sertifikasi

• Menggunakan maturity level (0 – 5)

• CISA (Certified Information System Auditor)

3 Maret 2011