November 1, 2017

Teknik Audit

INTERNAL AUDIT DEPT.

A. Rencana strategis dan peta jalan teknologi

B. Indikator dan ukuran kinerja

C. Persetujuan proyek dan proses pemantauan

D. Kebijakan, standar, dan prosedur

Daerah Audit

E. Manajemen karyawan

F. Manajemen asset dan kapasitas

G. Manajemen perubahan konfigurasi sistem

Daerah Audit

1. Tinjau ulang keseluruhan struktur organisasi TI untuk memastikan ketersediaan penugasan kewenangan dan tanggung jawab yang jelas atas operasi TI dan menyediakan pemisahan tugas yang jelas.

Uji Kendali Tingkat Entitas

2. Tinjau ulang proses perencanaan strategis TI dan pastikan kesesuaian dengan strategi bisnis. Evaluasi proses organisasi TI memantau kemajuan yang bertentangan dengan rencana strategis.

Uji Kendali Tingkat Entitas

3. Tentukan apakah teknologi, strategi aplikasi, dan peta jalan telah ada? Dan evaluasi proses untuk perencanaan teknis jangka panjang.

Uji Kendali Tingkat Entitas

4. Tinjau indikasi kinerja dan pengukuran untuk TI. Pastikan bahwa proses dan ukuran telah disiapkan (dan disetujui oleh pihak yang berkepentingan) untuk mengukur kinerja aktifitas harian dan pelacakan kinerja terhadap service-level agreements, anggaran, dan persyaratan operasional lain.

Uji Kendali Tingkat Entitas

5. Tinjau ulang proses untuk persetujuan dan pemberian prioritas atas proyek baru. Pastikan bahwa manajemen dan pihak yang berkepentingan melakukan tinjau ulang, penjadwalan, dan penganggaran secara teratur sepanjang masa hidup dari proyek penting.

Uji Kendali Tingkat Entitas

6. Evaluasi standar penanganan pelaksanaan proyek TI dan memastikan kualitas produk yang dibuat atau diperoleh oleh organisasi TI. Pastikan bahwa standar telah dikomunikasikan dan dilaksanakan.

Uji Kendali Tingkat Entitas

7. Pastikan adanya kebijakan keamanan dan memenuhi persyaratan yang cukup atas keamanan lingkungan. Tentukan cara:▪ penyebaran kebijakan▪ Memantau kepatuhan dan

pelaksanaan.

Uji Kendali Tingkat Entitas

8. Tinjau ulang dan evaluasi proses penilaian atas resiko (risk-assessment) yang tersedia bagi oranisasi TI.

Uji Kendali Tingkat Entitas

9. Tinjau ulang dan evaluasi prosesuntuk memastikan karyawan TI di dalam perusahaan memiliki keterampilan dan pengetahuan yang dibutuhkan untuk menjalankan pekerjaan.

Uji Kendali Tingkat Entitas

10. Tinjau ulang dan evaluasi kebijakan dan proses untuk:▪ Pemberian kepemilikan atas data

perusahaan,▪ klasifikasi data▪ Perlindungan data sesuai dengan

klasifikasi,▪ Menentukan daur hidup data (data’s life

cycle).

Uji Kendali Tingkat Entitas

11. Memastikan adanya proses efektif untuk memenuhi hukum dan peraturan yang berlaku yang berpengaruh atas TI dan untuk memelihara kewaspadaan atas perubahan peraturan.

Uji Kendali Tingkat Entitas

12. Tinjau ulang dan evaluasi proses untuk memastikan end users dari lingkungan IT dapat melaporkan adanya masalah, cukup dilibatkan dalam pengambilan keputusan TI, dan puas atas layanan yang diberikan oleh TI.

Uji Kendali Tingkat Entitas

13. Tinjau dan evaluasi proses untuk mengatur layanan pihak ketiga, memastikan bahwa peran dan tanggung jawab telah ditetapkan, dan memantau kinerja.

Uji Kendali Tingkat Entitas

14. Tinjau ulang dan evaluasi prose untuk pengendalian akses logical non pegawai (nonemployee logical access).

Uji Kendali Tingkat Entitas

15. Tinjau ulang dan evaluasi proses untuk memastikan bahwa perusahaan telah memenuhi lisensi yang berlaku atas perangkat lunak.

Uji Kendali Tingkat Entitas

16. Tinjau ulang dan evaluasi kendali atas akses jarak jauh menuju jaringan perusahaan (dial-up, VPN,koneksi eksternal khusus).

Uji Kendali Tingkat Entitas

17. Memastikan bahwa prosedur pengangkatan dan pemberhentian adalah jelas dan komprehensif.

Uji Kendali Tingkat Entitas

18. Tinjau ulang dan evaluasi kebijakan dan prosedur untuk mengendalikan perolehan dan pergerakan dari perangkat keras.

Uji Kendali Tingkat Entitas

19. Pastikan bahwa konfigurasi sistem dikendalikan dengan manajemen pengubahan untuk menghindari matinya sistem yang tidak diperlukan.

Uji Kendali Tingkat Entitas

20. Pastikan bahwa transportasi media penyimpanan, penggunaan kembali, dan pembuangan diperhatikan dengan seksama oleh prosedur dan kebijakan yang berlaku di seluruh bagian perusahaan.

Uji Kendali Tingkat Entitas

21. Pastikan bahwa perencanaan dan pemantauan kapasitas diperhatikan dengan seksama oleh kebijakan dan prosedur perusahaan.

Uji Kendali Tingkat Entitas

22. Berdasarkan atas strktur dari proses dan organisasi TI, identikasi dan audit proses IT tingkat entitas yang lain.

Uji Kendali Tingkat Entitas

PUSAT DATA

▪ Ancaman alam: cuaca, banjir, gempa bumi, kebakaran.

▪ Ancaman buatan manusia: insiden terror, kerusuhan, pencurian, sabotase.

▪ Bahaya alam: temperature dan kelembaban berlebih.

▪ Hilang komunikasi dan daya listrik.

ANCAMAN PUSAT DATA

▪ Faktor lingkungan dan eksternal

▪ Kendali akses fisik

▪ Kendali lingkungan

▪ Daya dan listrik

▪ Pengendalian kebakaran

AREA AUDIT PUSAT DATA

▪ Operasi pusat data

▪ Ketahanan sistem

▪ Cadangan dan pemulihan data

▪ Perencanaan atas pemulihan daribencana

AREA AUDIT PUSAT DATA

▪ Memungkinkan host untuk berkomunikasi menggunakan perangkat keras (server) yang telah disesuaikan untuk mengirimkan data ke host lain

▪ Di dalam jaringan juga terdapat: routers, switches, dan firewalls.

JARINGAN

1. Tinjau ulang kendali di sekeliling pembuatan dan pemeliharaan konfigurasi.

AUDIT JARINGAN

2. Pastikan kesiapan kendali yang sesuai untuk setiap kelemahan yang terkait dengan perangkat lunak saat ini. Yaitu:▪ software updates,▪ perubahan konfigurasi,▪ kendali lain sesuai keperluan khusus.

AUDIT JARINGAN

3. Pastikan bahwa layanan yang tidak diperlukan dalam keadaan mati.

AUDIT JARINGAN

4. Pastikan bahwa praktek manajemen SNMP (Simple Network Management Protocol) yang baik telah diikuti.

AUDIT JARINGAN

5. Tinjau ulang dan evaluasi prosedur pembuatan akun pengguna dan pastikan akun hanya dibuat jika ada kebutuhan bisnis yang sah. Pastikan akun dihapus/dimatikan di saat yang tepat ketika terjadi pekerjaan telah selesai atau berubah.

AUDIT JARINGAN

6. Pastikan bahwa kendali kata kunci yang tepat telah digunakan.

7. Periksa bahwa protokol manajemen keamanan telah digunakan dimana dimungkinkan.

8. Pastikan bahwa cadangan terkini tersedia untuk berkas konfigurasi (configuration files).

AUDIT JARINGAN

9. Periksa bahwa pencatatan (logging) tersedia dan dikirimkan ke sebuah sistem terpusat.

10. Periksa penggunaan NTP (Network Time Protocol).

AUDIT JARINGAN

11. Periksa apakah sebuah penanda (banner) telah diatur untuk memberikan informasi kepada semua pengguna yang terhubung tentang kebijakan perusahaan atas penggunaan dan pemantauan.

AUDIT JARINGAN

12. Pastikan kendali atas port konsol telah diterapkan.

13. Pastikan bahwa semua peralatan jaringan didimpan di dalam sebuah lokasi aman.

14. Pastikan konvensi penamaan standar untuk semua peralatan telah diterapkan.

AUDIT JARINGAN

AUDIT SISTEM OPERASI

1. Memperoleh informasi sistem danversi service pack dan bandingkan dengan kebutuhan kebijakan (policy requirements).

2. Tentukan apakah server menjalankan firewall yang ditetapkan perusahaan.

AUDIT S.O. WINDOWS

3. Tentukan apakah server menjalankan program antivirus yang ditentukan perusahaan.

4. Pastikan semua tambalan (patch) yang disetujui terpasang sesuai dengan kebijakan manajemen server.

AUDIT S.O. WINDOWS

5. Tentukan apakah server menjalankan solusi manajemen tambalan yang telah ditentukan perusahaan.

6. Tinjau ulang dan periksa informasi startup.

AUDIT S.O. WINDOWS

7. Tentukan layanan apa yang diaktifkan pada sistem, dan validasikan kebutuhan mereka dengan administrator sistem. Untuk layanan yang diperlukan, tinjau dan evaluasi prosedur untuk menilai kerentanan yang terkait dengan layanan tersebut dan jaga agar tetap ditambal (patch).

AUDIT S.O. WINDOWS

8. Pastikan hanya aplikasi yang disetujui yang terpasang pada sistem sesuai kebijakan manajemen server.

9. Pastikan hanya tugas terjadwal yang telah disetujui yang sedang berjalan.

AUDIT S.O. WINDOWS

10. Meninjau ulang dan mengevaluasi prosedur untuk membuat akun pengguna dan memastikan bahwa akun dibuat hanya untuk kebutuhan bisnis yang sah. Meninjau dan mengevaluasi proses untuk memastikan bahwa akun dihapus tepat waktu jika terjadi penghentian atau perubahan pekerjaan.

AUDIT S.O. WINDOWS

11. Pastikan semua pengguna dibuat di tingkat domain dan jelas diberi anotasi di direktori aktif. Setiap pengguna harus terkait dengan karyawan atau tim tertentu.

12. Tinjau dan evaluasi penggunaan kelompok, dan tentukan batasan penggunaannya.

AUDIT S.O. WINDOWS

13. Tinjau dan evaluasi kekuatan password sistem.

14. Evaluasi penggunaan kendali kata sandi di server, seperti masa berlaku kata sandi, panjang, kompleksitas, riwayat, dan kebijakan penguncian.

AUDIT S.O. WINDOWS