Saturday, June 29, 2019

Tugas Bahasa Inggris Bisnis 2 - Tenses and Conjunction

Pada post kali ini penulis ingin membagikan tugas mata kuliah Bahasa Inggris Bisnis 2 yang berisi tentang tenses dan conjunction.

===========================================================================

Tugas Mata Kuliah Bahasa Inggris Bisnis 2
Nama : Arya Dwi Pramudita
NPM : 11115069
Kelas : 4KA23

1. James will send financial reports to his manager two hours later.
(James akan mengirimkan laporan keuangan ke manajernya dua jam kemudian)
Reason: this sentence was using present future tense ”will send” because of the adverb of time ”two hours later”.

2. Fisherman sails to catch fish everyday.
(Nelayan berlayar untuk menangkap ikan setiap hari)
Reason: this sentence was using simple present tense ”sails” because of the adverb of time ”everyday”.

3. Anne and Roy visited the shopping mall six hours ago.
(Anne dan Roy mengunjungi pusat perbelanjaan enam jam yang lalu)
Reason: this sentence was using simple past tense ”visited” because of the adverb of time ”six hours ago”.

4. They have went to Africa for six years.
(Mereka telah pergi ke Afrika selama enam tahun)
Reason: this sentence was using present perfect ”have went” because of the adverb of time ”for six years”.

5. Paula is printing her homework right now.
(Paula saat ini sedang mencetak pekerjaan rumahnya)
Reason: this sentence was using present continuous ”is printing” because of the adverb of time ”right now”.

6. Andri will wash his car when Patra and Fadli are returned from office.
(Andri akan mencuci mobilnya ketika Patra dan Fadli telah pulang dari kantor)
Reason: this sentence was using the conjunction ”when”, therefore the sentence after ”when” is using present tense passive and the main clause is using present future.

7. Hans was appointed as chairman since he had accomplished the business perfectly.
(Hans ditunjuk sebagai ketua sejak dia menyelesaikan bisnis secara sempurna)
Reason: this sentence was using the conjunction ”since”, therefore the sentence after ”since” is using past perfect and main clause of this sentence is using past tense.

8. Syahrul was studying when someone knocked the door.
(Syahrul sedang belajar ketika seseorang mengetuk pintu)
Reason: this sentence was using the conjunction ”when”, therefore the sentence after ”when” is using past tense and the main clause is using past continuous.
   
9. Eric broke his legs three years ago.
(Eric mematahkan kakinya tiga tahun yang lalu)
Reason: this sentence was using simple past tense ”broke” because of the adverb of time ”three years ago”.

10. Chandra writes the letter to his friend in the afternoon.
(Chandra menulis surat kepada temannya di sore hari)
Reason: this sentence was using simple present tense ”writes” because of the adverb of time ”in the afternoon”.

=========================================================================== 

Wednesday, January 16, 2019

Tulisan 1 Audit Teknologi Sistem Informasi - Framework dan Auditor

Framework yang digunakan sebagai IT Auditor:
NIST 800-14

Framework NIST 800-14 adalah sebuah framework buatan NIST (The National Institute of Standard and Technology) yang didesain untuk memberikan panduan dasar terhadap berbagai lembaga maupun perusahaan untuk melakukan penyusunan dan peninjauan strategi keamanan sistem TI milik lembaga dan perusahaan tersebut. Isi dari framework ini meliputi berbagai persyaratan keamanan khusus yang wajib untuk dipatuhi oleh semua lembaga dan perusahaan dalam rangka mengamankan sumber daya TI secara benar.
Berikut ini adalah beberapa persyaratan kunci dari NIST 800-14 yang wajib dipatuhi oleh lembaga dan perusahaan:

1) Akuntabilitas perorangan dengan melacak tindakan pengguna
Berdasarkan peraturan yang diberikan oleh NIST, setiap pengguna dalam suatu sistem memiliki tanggungjawab atas seluruh tindakan yang mereka lakukan dalam penggunaan sumber daya yang terdapat pada sistem tersebut.
2) Rekonstruksi tindakan pengguna dengan investigasi pasca kejadian
NIST mewajibkan bagi setiap perusahaan atau lembaga untuk merekam setiap aktivitas yang terjadi dalam sistem, dengan setiap rekam jejak tersebut memiliki informasi yang cukup untuk mengetahui kejadian apa saja yang terjadi serta siapa atau apa yang menjadi penyebab dari kejadian tersebut, termasuk dalam hal ini kejadian pembobolan data dalam sistem.
3) Deteksi intrusi saat terjadi kejadian atau pasca kejadian
Rekam jejak aktivitas dari seorang penguna dalam suatu sistem akan berguna pada proses untuk mendeteksi terjadinya intrusi pada sistem tersebut. Kecepatan dan ketepatan dalam mendeteksi dan menghapus intrusi tersebut akan mencegah data yang terdapat di dalam sistem dari bahaya terkena masalah akibat intrusi tersebut. Jika gagal, maka ini akan menimbulkan kerusakan pada data yang bahkan berdampak pada masalah dari lembaga atau perusahaan itu sendiri.
4) Identifikasi masalah melalui audit dan pengawasan
Perangkat keamanan yang dipergunakan dalam melindungi sistem dari masalah seperti pembobolan data dan serangan-serangan siber dapat pula dipergunakan untuk membantu proses audit dan pengawasan yang berfungsi untuk melakukan identifikasi masalah pada sistem seperti tidak berjalannya integrasi dengan baik dan perubahan pada kode.

Framework NIST 800-14 ini dipilih oleh penulis sebagai framework audit TI jika penulis berada di posisi sebagai auditor TI, dengan alasan utama yaitu framework ini memberikan persyaratan serta contoh dari praktik terbaik dalam penerapan keamanan sistem TI secara menyeluruh. Praktik terbaik penerapan keamanan sistem TI yang diberikan di framework NIST 800-14 meliputi hal-hal sebagai berikut:

1) Kebijakan
2) Pengelolaan program
3) Pengelolaan risiko
4) Perencanaan siklus hidup
5) Masalah pengguna
6) Persiapan terhadap hal tak terprediksi dan bencana
7) Penanganan insiden keamanan komputer
8) Kewaspadaan dan pelatihan
9) Pertimbangan keamanan dalam dukungan komputer dan operasi
10) Keamanan fisik dan lingkungan
11) Identifikasi dan otentikasi
12) Kendali akses logis
13) Jejak audit
14) Kriptografi

Selain itu, berbagai persyaratan dan praktik terbaik yang dijelaskan di dalam framework NIST 800-14 juga mempertimbangkan dampak jangka panjang dari segala macam masalah keamanan yang dapat saja menyerang sistem TI setiap saat, seperti pembobolan data, perusakan sistem secara jarak jauh dan sebagainya. Ini dikarenakan apabila masalah tersebut terjadi maka dampaknya akan membuat perusahaan atau lembaga yang memiliki sistem tersebut akan kehilangan berbagai aset data penting yang umumnya merupakan data rahasia yang tidak boleh diketahui oleh pihak di luar perusahaan atau lembaga tersebut, atau bahkan harus mengeluarkan uang lebih untuk memulihkan sistem TI milik mereka dalam jangka waktu yang cukup panjang.

Tugas 4 Audit Teknologi Sistem Informasi - RedHat IT Certificate

AUDIT TEKNOLOGI SISTEM INFORMASI


DISUSUN OLEH

ARYA DWI PRAMUDITA             (11115069)
MOHAMMAD FAISAL .H             (14115280)
RIZKI APRILIA DWIJAYANTI   (16115138)



SISTEM INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019

==========================================================================

BAB 1 - PENDAHULUAN
 
1.1 Sejarah Red Hat

Red Hat adalah salah satu perusahaan terbesar dan dikenal untuk dedikasinya atas perangkat lunak  sumber bebas. Red Hat didirikan pada 1993 dan bermarkas di Raleigh, North Carolina, Amerika Serikat. Red Hat terkenal karena produk Redhat Linux yang merupakan salah satu distro Linux  utama yang mendominasi persebaran distro Linux.
 
Pada tahun 1993 Bob Young mendirikan ACC Corporation, bisnis katalog yang menjual aksesori perangkat lunak Linux dan UNIX. Sementara pada tahun 1994 Marc Ewing membuat distribusi Linux sendiri, yang dinamai Red Hat Linux.  Ewing merilisnya pada Oktober tahun tersebut, dan dikenal sebagai rilis Halloween. Young membeli bisnis Ewing pada tahun 1995, dan keduanya bergabung menjadi Red Hat Software, dengan Young menjabat sebagai CEO.

Saham Red Hat masuk pasar modal pada 11 Agustus 1999, dan menjadi salah satu perusahaan pencetak laba terbesar pada penjualan hari pertama dalam sejarah Wall Street. Matius Szulik  menggantikan Bob Young sebagai CEO pada bulan November tahun tersebut.
         
Pada tanggal 15 November 1999, Red Hat mengakuisisi Cygnus Solutions. Cygnus adalah perusahaan penjual jasa  dukungan atas perangkat lunak bebas dan pengelola perangkat lunak  GNU  seperti GNU Debugger dan GNU Binutils. Salah satu pendiri Cygnus, Michael Tiemann, menjabat sebagai Chief Technical Officer Red Hat dan mulai 2008 menjabat sebagai Vice President untuk urusan Open Source. Red Hat kemudian juga mengakuisisi WireSpeed, C2Net dan Hell's Kitchen Systems. Red Hat juga membeli Planning Technologies, Inc pada tahun 2001 dan pada tahun 2004 direktori dan perangkat lunak server-sertifikat AOL iPlanet. Pada bulan Februari 2000, InfoWorld memberikan Red Hat penghargaan "Operating System Product of the Year" (Produk Sistem Operasi Terbaik Tahun Ini) bagi Red Hat Linux 6.1.

Red Hat memindahkan kantor pusatnya dari Durham, NC, ke Centennial Campus NC State University di Raleigh, North Carolina pada Februari 2002. Pada bulan Maret berikutnya, Red Hat pertama kalinya memperkenalkan sistem operasi Linux untuk perusahaan besar. Red Hat Advanced Server, yang kemudian diganti namanya menjadi Red Hat Enterprise Linux (RHEL). Dell, IBM, HP dan Oracle Corporation mengumumkan dukungan mereka atas platform tersebut.

Pada bulan Desember 2005 majalah CIO Insight melakukan survei nilai peusahaan tahunannya, dan menaruh Red Hat di peringkat #1 dalam nilai untuk tahun kedua berturut-turut.

Saham Red Hat menjadi bagian dari NASDAQ-100 pada 19 Desember 2005. Red Hat menmbeli JBoss perusahaan penyedia perangkat lunak sumber terbuka untuk jaringan pada 5 Juni 5 2006 dan JBoss menjadi bagian dari Red Hat. Pada tahun 2007 Red Hat membeliMetaMatrix dan membuat kesepakatan dengan Exadel untuk mendistribusikan perangkat lunaknya.

Pada tanggal 18 September 2006, Red Hat merilis Red Hat Application Stack, proses pengolahan struktur data berdasarkan teknologi JBoss.
Pada tanggal 12 Desember 2006, Red Hat pindah dari NASDAQ (RHAT) ke New York Stock Exchange (RHT).

Pada 15 Maret 2007 Red Hat merilis Red Hat Enterprise Linux 5, dan pada bulan Juni, mereka membeli Mobicents.
     
Pada 13 Maret 2008 Red Hat mengakuisisi Amentra, sebuah penyedia layanan integrasi sistem untuk Service-oriented architecture (SOA), bagi manajemen proses bisnis, pengembangan sistem dan solusi data perusahaan. Amentra beroperasi sebagai perusahaan mandiri dari Red Hat.

1.2 Pengertian Red Hat Linux

Red Hat adalah salah satu sistem operasi workstation yang bisa dijalankan dengan mode dhcp server. Adapun untuk mengkonfigurasi dhcp pada RedHat, kita membutuhkan file yang namanya dhcpd.conf. untuk mendapatkan file ini, bisa kita copy dari CD ke-2 RedHat atau kita bisa buat sendiri. Cara membuatnya adalah dengan perintah “touch” dan diletakkan pada direktory /etc/dhcpd.

1.3 Kelebihan dan Kekurangan

Kelebihan :

a. Dapat mengubah alamat IP menjadi domain pada web.
b. Domain juga digunakan sebagai virtual host dalam dunia maya.
c. Domain Lebih mudah di ingat dibandingkan dengan no IP Address.

Kekurangan :

a. Membutuhkan waktu untuk mengkonfigurasinya.
b. Jika kita koneksi terputus domain tidak dapat di akses lagi.

1.4 Sruktur Kernel RedHat

Ada 4 kategori kernel:

1. Monolithic kernel.
Kernel yang menyediakan abstraksi perangkat keras yang kaya dan tangguh.

2. Microkernel.
Kernel yang menyediakan hanya sekumpulan kecil abstraki perangkat keras sederhana, dan menggunakan aplikasi-aplikasi yang di sebut sebagai server untuk menyediakan fungsi-fungsi lainnya.

3. Hybrid (modifikasi dari microkernel)
Kernel yang mirip microkernel, tetapi juga memasukkan beberapa kode tambahan di kernel agar ia menjadi lebih cepat.

4. Exokernel.
Kernel yang tidak menyediakan sama sekali abstraksi hardware, tetapi ia menyediakan sekumpulan pustaka yang menyediakan fungsi-fungsi akses ke perangkat keras secara langsung/ hampir langsung.

1.5 Struktur File RedHat.

Ext2 : merupakan system file yang mendukung standard UNIX (regular files, directories, symbolic, links, dll), system file ini memungkinkan untuk membuat nama file yang legth-nya mencapai 255 karakter.

Ext3 : merupakan system file pengembangan dari ext2 yang sangat efektif. Keuntungan dari system file ini adalah apabila terjadi Crash, tidak perlu melakukan ‘fsck’ system files.

Software RAID
  • Swap : partisi yang digunakan untuk menyimpan temporary. Berbeda dengan format partisi lainnya, dengan partisi swap tidak perlu membuat mount pont, tetapi cukup menentukan ssize dari partisi swap yang akan dibuat.
  • Vfat : merupakan system Linux file yang compatible dengan Microsoft windows.
Secara default terdapat tiga jenis file, yaitu file untuk interface configuration, script untuk interface control dan file untuk network function.

1.6 Sejarah Red Hat IT Certification

1.6.1 Red Hat Certified System Administrator (RHCSA)
 
RHCSA adalah sertifikasi IT Red Hat tingkat awal (entry-level) yang berfokus pada system administrator, termasuk instalasi dan konfigurasi Red Hat Enterprise Linux system lalu menjalankannya pada live network services. Untuk mendapatkan sertifikat ini, peserta harus lulus ujian EX200, dimana ujian tersebut merupakan praktek secara langsung selama 2.5 jam. Nilai minimal yang harus didapatkan untuk lulus adalah 210 dari 300 (70%). Ujian ini tidak perlu persyaratan apapun, tetapi Red Hat menyarankan untuk mengikuti pelatihan Red Hat System Administration (RH124 atau RH134) jika peserta tidak memiliki pengalaman apapun.
 
RHCSA diluncurkan pada tahun 2002 sebagai Red Hat Tichnician (RHCT). Pada Juli 2009 terdapat 30.000 RHCT yang akhirnya diubah menjadi RHCSA pada November 2010.

1.6.2 Red Hat Certified Engineer (RHCE)
 
RHCE merupakan sertifikasi IT Red Hat tingkat menengah (mid to advance level) yang berfokus pada materi lebih lanjut dari sertifikat RHCSA yang diantara lain sekuritas dan insatalasi common enterprise networking (IP) services. Untuk mendapatkan sertifikat ini, peserta harus lulus ujian RHCSA (EX200) dan EX300, dimana ujian tersebut merupakan praktek secara langsung selama 3.5 jam. Red Hat menyarankan untuk mengikuti latihan Linux essentials (RH124), Linux administrator (RH134), dan Linux Linux Networking and Security (RH254) Red Hat juga menyarankan untuk mempunyai pengalaman terlebih dahulu.

1.6.3 Red Hat Certified Architect (RHCA)
 
RHCA merupakan sertifikat paling lengkap dari semua sertifikat yang ada. Pada RHCA terdapat beberapa materi yang dapat dipilih untuk dijadikan keahlian tetapi hal ini tidak disarankan. Materi tersebut diantara lain:
  • DataCenter: keahlian pada bidang datacenter
  • Cloud: keahlian umum pada cloud infrastructure
  • Devops: keahlian dan pengetahuan dalam teknologi dan prakter yang dapat mempercepat perbaharuan dan pemindahan aplikasi dengan membangun dan menguji serangkaian proses dan produksi.
  • Application Development: keahlian dalam pengembangan, integrasi, dan arsitektur aplikasi enterprise.
  • Application Platform: keahlian umum untuk membangun dan mengatur alat dan aplikasi.
Adapun RHCA diluncurkan pada tahun 2005

1.6.4 Red Hat Certified Virtualization Administrator (RHCVA)
 
RHCVA merupakan sertifikat yang berfikus pada Virtualization administrator. Untuk Mendapatkan sertifikat ini, peserta harus lulus ujian EX318, dimana ujian tersebut merupakan praktek secara langsung selama 3 jam. Ujian ini tidak memerlukan persyaratan apapun, tetapi Red Hat menyarankan untuk mengikuti pelatihan RH138, dan mempunyai sertifikat RHCSA. Ujian ini juga memerlukan pengetahuan tentang menggunakan dan insatalasi operasi sistem Windows. Sertifikasi ini diluncurkan pada tahun 2009.

1.6.5 JBoss Certified Application Administrator (JBCAA)
 
JBCAA merupakan sertifikat yang berfokus pada pengelolaan JBoss Enterprise Application Platform. Untuk mendapatkan sertifikat ini, peserta harus lulus ujian EX248, dimana ujian tersebut merupakan prakter secara langsung selama 4 jam. Ujian ini tidak memerlukan persyaratan apapun, tetapi Red Hat menyarankan untuk mengikuti latihan JB248. Sertifikasi JBCAA diluncurkan pada tahun 2009.

==========================================================================

BAB 2 - PEMBAHASAN
 
Secara garis besar sertifikasi IT adalah "Sebuah bentuk penghargaan yang diberikan kepada seorang individu yang dianggap memiliki keahlian dalam bidang IT tertentu / spesifik". Bentuk penghargaan ini berupa sertifikat khusus yang umumnya disertai dengan judul tertentu. Jika pernah mendengar istilah semacam CCNA, MCTS, CEH, dan OCP, itulah contoh judul bagi seorang pemegang sertifikat IT.

Sertifikat IT ini berlaku Internasional dan dirilis / diterbitkan oleh vendor atau organisasi khusus yang tentunya sudah diakui secara Internasional juga. Bidangnya sendiri beragam, mulai dari sistem operasi, aplikasi, networking, programming, database, hingga IT management.

Pada dasarnya sertifikasi IT dibagi kedalam 2 kelompok, yaitu Vendor Based dan Vendor Neutral.

1. Vendor Based

Sertifikasi vendor based adalah sertifikasi IT yang dikeluarkan oleh vendor tertentu dan materi ujiannya jelas mengacu pada produk atau teknologi yang menyediakan sertifikasi tersebut. Contoh vendor yang merilis sertifikasi ini diantaranya Microsoft, Cisco, Oracle, Red Hat, Symantec, HP, Huawei, dst. Contoh title sertifikasinya misalnya MCTS, MCITP, OCP, CCNA, dst.

2. Vendor Neutral

Sertifikasi ini dirilis oleh suatu badan atau organisasi yang tidak terikat ke vendor manapun, dengan kata lain, cakupannya global. Materi ujian untuk sertifikasi ini jelas sangat luas dan tentunya kita juga harus mengetahui produk dan teknologi dari banyak vendor. Dan karena cakupannya global maka sertifikasi Vendor Neutral umumnya memiliki rating yang lebih tinggi dibandingkan sertifikasi Vendor Based. Contoh organisasi yang merilis sertifikasi ini misalnya CompTIA serta EC-Council, dan contoh title sertifikasinya misalnya A+, Network+, CEP, CEH, dst.

Sertifikasi IT Red Hat termasuk dalam kategori Vendor Based. Red Hat menyediakan berbagai macam sertifikasi IT, diantaranya adalah:

1. Red Hat Certified System Administrator (RHCSA)
2. Red Hat Certified Engineer (RHCE)
3. Red Hat Certified Architect (RHCA)
4. Red Hat Certified Virtualization Administrator (RHCVA)
5. JBoss Certified Application Administrator (JBCAA)

Gambar 1. Daftar Sertifikasi Red Hat
Sertifikasi Red Hat adalah sertifikat yang dikeluarkan oleh vendor Red Hat secara resmi. Sertifikasi Linux dibagi menjadi 2 yaitu RHCE (enginer) dan RHCSA (Administator) masing-masing harus menyelesaikan training Red Hat System Administration mulai dari dasar hingga kelanjutannya.

Pada tahun 2010, OpenStack diluncurkan oleh Rackspace dan NASA, sebuah kerjasama di bidang open source berupa rancangan inisiatif cloud software yang memberikan perusahaan kemampuan melakukan cloud computing yang mampu berjalan pada hardware standar. Bermulai dari situlah banyak perusahaan besar IT menjadi sponsor atas inisiatif ini.
Red Hat merupakan kontributor utama pada proyek OpenStack. Dengan menggunakan Openstack perkembangan IT yang sangat cepat dapat dipenuhi baik di bidang performa, skalabilitas, dan standar keamanan. Tetapi tidak semua OpenStack mampu memenuhi  kebutuhan perusahaan tetapi dengan Red Hat OpenStack Platform mampu memenuhi harapan anda.

Kendala yang banyak diterima oleh para perusahaan untuk pengembangan atau implementasi OpenStack ke dalam perusahaan mereka adalah kurangnya kemampuan di bidang tersebut. Dan selain penyedia solusi berupa Red Hat OpenStack Platform, Red Hat juga memberikan solusi training di bidang ini.

Dengan ujian yang semua hands-on, tidak ada essay, pilihan ganda ataupun pilihan benar atau salah. Seseorang dinyatakan lulus ujian Red Hat apabila memenuhi kriteria yang harus dipenuhi. Dengan memiliki sertifikat Red Hat sudah memberikan jaminan bahwa orang tersebut tidak hanya mengetahui, tetapi sudah mengerjakannya secara langsung.

Tapi sebelum mengikuti Training OpenStack terdapat beberapa requirement yang perlu dipenuhi yakni mempunyai kemampuan dasar di bidang linux atau sudah mempunyai sertifikat RHCSA (Red Hat Certified System Administration). Setelah memenuhi persyaratan tersebut, berikut ini list training yang bisa diambil berserta sertifikasinya:

1. Red Hat OpenStack Administrator I ( CL110 )
Materi yang diajarkan pada training ini adalah bagaimana cara menginstall, mengkonfigurasi, menggunakan dan memelihara Red Hat OpenStack Platform.

2. Red Hat OpenStack Administrator II ( CL210 ) 
Materi yang diajarkan pada training ini adalah bagaimana cara menginstall, mengkonfigurasi, dan memelihara environment dari Cloud Computing menggunakan Red Hat OpenStack Platform.
Dan setelah mengikuti training Red Hat OpenStack Administration I serta II dapat mengikuti sertifikasi ujian Red Hat Certified System Administrator (RHCSA) di Red Hat Openstack (EX210).

3. Red Hat OpenStack Administrator III (CL310)
Materi yang diajarkan pada training ini adalah penggunaan distribusi storage dari Red Hat Ceph Storage dan kapabilitas storage serta jaringan dari OpenStack Neuron. Dan juga mengkonfigurasi Red Hat Ceph Storage sebagai back end dari Red Hat OpenStack Platform.
Setelah mengikuti training ini anda dapat memperoleh sertifikasi Red Hat Certified Engineer (RHCE) di Red Hat OpenStack dengan mengikuti ujian EX310.

4. Red Hat Certified Engineer

Sebuah system harus lah dikelola oleh system administrator yang kredibel, dimana selain mampu melakukan konfigurasi juga harus bisa melakukan troubleshoot saat terjadinya insiden pada sistem yang dikelolanya. Namun pada era sekarang ini banyak dari system administrator yang kurang pengetahuan dan pengalaman dalam menangani insiden yang lebih kompleks. Hal ini tentunya berdampak pada system tersebut, salah satunya pada tingkat efisiensinya dikarenakan penanganan yang kurang tepat oleh system administrator. Solusi inilah yang coba ditawarkan Red Hat dengan menyediakan Red Hat Certified  Engineer (RHCE), dimana seorang system administrator mendapatkan pengetahuan yang lebih kompleks dan pembuktian berupa sertifikat Red Hat Certified Engineer.
Seorang system administrator bisa mendapatkan sertifikat Red Hat Certified Engineer setelah terlebih dahulu mendapat sertifikat Red Hat Certified System Administrator (RHCSA) dan disarankan mengikuti kelas Red Hat Enterprise Linux System Administration III, karena banyak sekali lab–lab yang sangat berguna kedepannya bagi system administrator. Course pada  Red Hat Enterprise Linux System Administration III memang dirancang untuk system administrator yang membutuhkan pengetahuan yang lebih komplek terkait system kususnya pada system Red Hat Enterprise Linux.

Pada course Red Hat Enterprise Linux System Administration III akan dipelajari hal–hal berikut:
1. Melakukan manage dan troubleshoot system services
2. Konfigurasi jaringan dan troubleshoot
3. Melakukan manage local storage, membuat dan menggunakan file systems
4. Firewall management menggunakan firewalld
5. Melakukan manage konfigurasi pada Selinux
6. Menggunakan NFS dan Samba sebagai media file sharing
7. Konfigurasi pada iSCSI initiator dan target
8. Troubleshoot pada DNS dan caching name server
9. Apache HTTPD web server management
10. Konfigurasi MariaDB SQL database
11. Postfix Simple Mail Transfer Protocol (SMTP) nullclient pada servers
12. Bash scripting

Beberapa materi diatas yang nantinya dibahas saat di kelas maupun ujian sertifikasi Red Hat Certified Engineer (RHCE) dan kedepannya diharapkan mampu menyelesaikan masalah yang lebih kompleks terkait system pada Red Hat Enterprise Linux. Dengan mengikuti sertifikasi Red Hat Certified Engineer, nantinya peserta akan mendapatkan sertifikat Red Hat Certified Engineer yang merupakan sertifikat lanjutan dari Red Hat Certified System Administrator.

Terdapat beberapa cara untuk mengikuti training Openstack seperti:

1. Classroom
Materi akan diajarkan secara tradisional, dengan pengajaran dilakukan di lokasi training center.
2. Red Hat Online Learning
Training dilakukan secara online, dengan self-paced training selama 90 hari akses untuk materi dan hingga 80 jam di lab.
3. Virtual classroom
Training dilakukan secara online dengan diarahkan instruktur dengan materi dan lab yang sama dengan kelas tradisional.
4. On-site team training
Training dilakukan dilakukan secara tradisional dengan lokasi sesuai permintaan pelanggan.

==========================================================================

BAB 3 - CONTOH KASUS

3.1 Studi Kasus

Lotte Data Comunication Company (LDCC) merupakan penyedia jasa IT di Korea Selatan dengan banyak cabang di Asia. LDCC berencana untuk mengembangkan bisnisnya dengan membangun cloud platform, resource IT yang terintegrasi, dan meningkatkan efisiensi. LDCC juga ingin mengembangkan menjadi penyedia jasa External Cloud, sebuah cloud umum untuk bisnis. LDCC ingin membuat sebuah cloud platform berbasis OpenStack untuk menyelesaikan permasalahan mereka. Mereka berharap dengan melakukan ini akan mengurangi biaya sebanyak 30% selama 5 tahun kedepan, tempat fisik dan listrik sebanyak 80%.

3.2 Pembahasan

LDCC paham bahwa jika mereka ingin mengembangkan dan meningkatkan efisiensi perusahaan mereka, serta menawarkan jasa baru kepada kustomer mereka, mereka harus pindah ke cloud platform. Dengan memindahkan sistem bisnis mereka ke cloud, mereka dapat mengintegrasikan berbagai sistem yang berbeda dan menciptakan peluang bisnis baru untuk menjual cloud services secara publik.

Dengan taktik ini, LDCC memutuskan untuk membuat cloud berbasis OpenStack, seperti software-defined storage dan networking, dan juga Kernel-based Virtual Machine (KVM). Tetapi LDCC tidak memiliki personil yang ahli dalam bidang OpenStack. ”OpenStack tidak akan berhasil karena kami tidak memiliki para ahli di bidang ini”, kata Yoon-soo Kim, manajer cloud service di LDCC.

Karena LDCC tidak punya para ahli di bidang OpenStack, mereka akan mencari pekerja yang ahli yang memiliki kemampuan pada RedHat, terutama OpenStack dan LDCC pastinya akan memprioritaskan mereka yang memiliki sertifikat IT pada bidang RedHat.

Red Hat Certified System Administrator (RHCSA) merupakan entry-level sertifikat pada Red Hat. Para pemilik RHCSA memiliki keahlian yang berkaitan dengan local storage, mempartisi (partitioning), serta memulai dan memberhentikan services, sistem file, dan user. Walaupun RHCSA hanya sertifikat pada entry-level, LDCC akan merekrut mereka karena mereka sudah memiliki keahlian dalam menggunakan Red Hat.

Red Hat Certified Engineer (RHCE) merupakan sertifikasi IT pada level menengah. Jika kita membicarakan keahlian, pemilik RHCE ini sudah melebihi pemilik RHCSA karena untuk mendapatkan sertifikat ini calon pemilik RHCE harus sudah memiliki sertifikat RHCSA. Pemilik RHCE memiliki keahlian dalam sistem administrator pada level senior, termasuk konfigurasi remote storage, shell scripting, konfigurasi kernel run-time parameter, dan konfigurasi network services seperti file sharing, web, ssh, dan ftp. Walaupun para pemilik RHCE ini tidak memiliki keahlian pada berfokus pada bidang OpenStack tetapi mereka memiliki keahlian umum lainnya yang sangat dibutuhkan jika suatu perusahaan ingin menggunakan cloud platform.

Red Hat Certified Engineer in Red Hat OpenStack (RHCE OpenStack) merupakan sertifikat yang paling dicari oleh LDCC karena mereka yang memiliki sertifikat ini sudah pasti sangat ahli dalam menggunakan OpenStack. Pemilik sertifikat ini akan diharapkan dapat melakukan tugas seperti:
  • Membuat dan menggunakan perangkat virtual network
  • Mengelola OpenStack networking agents
  • Menggunakan jaringan IPv6 pada OpenStack
  • Menyediakan jaringan OpenStack
  • Implementasi virtual routing secara terdistribusi
  • Implementasi NFV datapath
  • Membuat software jaringan dengan OpenDaylight
Dengan keahlian diatas sudah pasti LDCC akan merekrut mereka karena mereka dapat mengelola OpenStack sesuai dengan kebutuhan LDCC.

==========================================================================

DAFTAR PUSTAKA

[1] https://www.i-3.co.id/2016/11/10/panduan-mengambil-training-dan-sertifikasi-red-hat-openstack/
[2] https://www.i-3.co.id/2017/09/30/tertarik-mengikuti-sertifikasi-red-hat-certified-engineer-simak-informasi-dan-tips-berikut/
[3] https://dotcampus.net/sertifikasi/sertifikasi-red-hat-linux/
[4] https://www.redhat.com/en/success-stories/lotte-data-communication-company

==========================================================================

TUGAS TAMBAHAN

Soal: pilih framework dari tugas 3 yang terbaik dan bandingkan dengan trend audit TI zaman sekarang.

Jawaban: Diantara framework FIPS 200, ISO/IEC 19770-1 dan NIST 800-14, framework yang terbaik adalah NIST 800-14. Ini dikarenakan NIST 800-14 merupakan framework standar untuk persyaratan dan praktik keamanan sistem TI, dengan konten dari framework tersebut menjelaskan tentang 4 syarat dan 14 pedoman standar praktik keamanan, yang tentunya ini membuktikan bahwa NIST 800-14 memberikan syarat - syarat serta praktek terbaik dalam penerapan keamanan sistem TI pada tingkat yang minimal.

Pada tabel berikut ini NIST 800-14 akan dibandingkan dengan NIST 800-53 revisi ke-5 (2018).

Tabel 1. Perbandingan NIST 800-53 dengan NIST 800-14

Tugas 3 Audit Teknologi Sistem Informasi - Perbandingan 3 Framework

AUDIT TEKNOLOGI SISTEM INFORMASI


DISUSUN OLEH

ARYA DWI PRAMUDITA             (11115069)
MOHAMMAD FAISAL .H             (14115280)
RIZKI APRILIA DWIJAYANTI   (16115138)



SISTEM INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019

==========================================================================

BAB 1 - PENDAHULUAN
 
(Post ini bertujuan sebagai revisi dari tugas 3 yang memuat kesalahan fatal dalam pemilihan materi. Penulis memohon maaf sebesar-besarnya atas kesalahan fatal tersebut)

1.1. FIPS 200
 
Federal Information Processing Standard (atau dapat disebut sebagai FIPS) adalah sebuah framework yang pertama kali diterbitkan pada Maret 2006, dengan pengembang dan penerbit dari standar ini adalah organisasi bernama The National Institute of Standard and Technology (atau disingkat sebagai NIST). Framework ini dirancang sebagai framework audit teknologi informasi (TI) di lembaga-lembaga milik pemerintah Amerika Serikat, yang artinya adalah penerapan framework ini hanya dapat dilakukan di dalam wilayah Amerika Serikat itu sendiri.

Salah satu framework FIPS yang diterbitkan oleh NIST adalah FIPS Publication 200 (sering disebut sebagai FIPS PUB 200 atau FIPS 200 saja), dengan standar yang didefinisikan merupakan standar audit TI untuk kategori keamanan yang diaplikasikan dalam proses pengembangan, penerapan serta pengoperasian dari sistem TI yang aman. Cakupan dari FIPS 200 meliputi 17 area berikut ini:
 
1) Kendali terhadap akses (Access Control)
2) Kewaspadaan dan pelatihan (Awareness and Training)
3) Audit dan akuntabilitas (Audit and Accountability)
4) Sertifikasi, akreditasi dan penilaian keamanan (Certification, Accreditation and Security Assessments)
5) Pengelolaan konfigurasi (Configuration Management)
6) Perencanaan hal tak terprediksi (Contingency Planning)
7) Identifikasi dan otentikasi (Identification and Authentication)
8) Respon terhadap insiden (Incident Response)
9) Perawatan (Maintenance)
10) Perlindungan media (Media Protection)
11) Perlindungan fisik dan lingkungan (Physical and Environmental Protection)
12) Perencanaan (Planning)
13) Keamanan personil (Personnel Security)
14) Penilaian risiko (Risk Assessment)
15) Akuisisi sistem dan pelayanan (Systems and Services Acquisition)
16) Perlindungan sistem dan komunikasi (System and Communications Protection)
17) Integritas sistem dan informasi (System and Information Integrity)

Meskipun begitu, FIPS 200 memberikan syarat bahwa semua lembaga yang ingin menerapkan standar ini harus mengacu kepada NIST Special Publication 800-53 (seringkali disebut sebagai NIST 800-53) sebagai kendali minimum yang wajib diterapkan dalam proses penerapan standar yang diberikan oleh FIPS 200. Ini dikarenakan NIST 800-53 memiliki fungsi sebagai standar dan panduan praktik keamanan dalam penerapan keamanan dunia siber yang bersesuaian dengan peraturan hukum. Ini menjadikan FIPS 200 (bersama dengan NIST 800-53) sebagai framework audit TI yang disarankan dalam dunia industri maupun lembaga pemerintahan di Amerika Serikat.

1.2. ISO/IEC 19770-1
 
Framework ISO/IEC 19770-1 adalah salah satu dari sekian banyak framework yang didefinisikan oleh ISO untuk bidang TI. Secara dasar framework ini menjelaskan tentang persyaratan untuk pembentukan, penerapan, perawatan dan perbaikan dari sistem pengelolaan terhadap aset TI. Dalam versi terbarunya yang dirilis pada Desember 2017 (umumnya disebut sebagai ISO/IEC 19770-1:2017), framework ISO/IEC 19770-1 membutuhkan penerapan dari framework ISO 55001 versi 2014 (dikenal sebagai ISO 55001:2014) yang menjelaskan persyaratan terhadap sebuah sistem pengelolaan aset dan berbagai persyaratan lainnya yang dianggap perlu untuk melakukan pengelolaan terhadap aset TI. Hanya saja yang menjadi pembeda dari ISO/IEC 19770-1 dengan ISO 55001:2014 adalah adanya persyaratan untuk melakukan pengelolaan aset perangkat lunak dengan karakteristik masing-masing yang terperinci.

Dalam framework ini dijelaskan bahwa sistem pengelolaan aset TI harus dapat menangani hal-hal berikut:

1) Kendali atas perubahan, penggandaan dan penyebaran dari perangkat lunak dengan penekanan khusus terhadap kendali akses dan integritas
2) Jejak dari audit terhadap otorisasi dan perubahan yang dilakukan kepada aset TI
3) Kendali atas lisensi (berikut dengan underlicensing dan overlicensing) serta kepatuhan terhadap persyaratan dan ketentuan dari lisensi tersebut
4) Kendali atas situasi yang melibatkan kepemilikan campuran dan tanggungjawab
5) Rekonsiliasi dari data pengelolaan aset IT dengan data dari sistem informasi lainnya saat dicocokkan oleh nilai bisnis, terutama dengan sistem informasi bisnis yang merekam aset dan pengeluaran

Umumnya framework ISO/IEC 19770-1 ditujukan untuk penggunaan oleh mereka yang terlibat dalam hal-hal berikut:

1) Pembentukan, penerapan, perawatan dan perbaikan dari sistem pengelolaan aset TI
2) Aktivitas yang berkaitan dengan pengelolaan aset TI, termasuk pula mereka yang bertugas sebagai penyedia layanan
3) Pihak dalam dan luar yang ingin melakukan penilaian terhadap kemampuan dari sebuah organisasi dalam memenuhi persyaratan yang diberikan oleh organisasi tersebut maupun persyaratan hukum, peraturan dan kontrak yang berlaku.

1.3. NIST 800-14
 
Framework NIST 800-14 adalah sebuah framework buatan NIST yang didesain untuk memberikan panduan dasar terhadap berbagai lembaga maupun perusahaan untuk melakukan penyusunan dan peninjauan strategi keamanan sistem TI milik lembaga dan perusahaan tersebut. Isi dari framework ini meliputi berbagai persyaratan keamanan khusus yang wajib untuk dipatuhi oleh semua lembaga dan perusahaan dalam rangka mengamankan sumber daya TI secara benar.

Berikut ini adalah beberapa persyaratan kunci dari NIST 800-14 yang wajib dipatuhi oleh lembaga dan perusahaan:

1) Akuntabilitas perorangan dengan melacak tindakan pengguna
Berdasarkan peraturan yang diberikan oleh NIST, setiap pengguna dalam suatu sistem memiliki tanggungjawab atas seluruh tindakan yang mereka lakukan dalam penggunaan sumber daya yang terdapat pada sistem tersebut.
2) Rekonstruksi tindakan pengguna dengan investigasi pasca kejadian
NIST mewajibkan bagi setiap perusahaan atau lembaga untuk merekam setiap aktivitas yang terjadi dalam sistem, dengan setiap rekam jejak tersebut memiliki informasi yang cukup untuk mengetahui kejadian apa saja yang terjadi serta siapa atau apa yang menjadi penyebab dari kejadian tersebut, termasuk dalam hal ini kejadian pembobolan data dalam sistem.
3) Deteksi intrusi saat terjadi kejadian atau pasca kejadian
Rekam jejak aktivitas dari seorang penguna dalam suatu sistem akan berguna pada proses untuk mendeteksi terjadinya intrusi pada sistem tersebut. Kecepatan dan ketepatan dalam mendeteksi dan menghapus intrusi tersebut akan mencegah data yang terdapat di dalam sistem dari bahaya terkena masalah akibat intrusi tersebut. Jika gagal, maka ini akan menimbulkan kerusakan pada data yang bahkan berdampak pada masalah dari lembaga atau perusahaan itu sendiri.
4) Identifikasi masalah melalui audit dan pengawasan
Perangkat keamanan yang dipergunakan dalam melindungi sistem dari masalah seperti pembobolan data dan serangan-serangan siber dapat pula dipergunakan untuk membantu proses audit dan pengawasan yang berfungsi untuk melakukan identifikasi masalah pada sistem seperti tidak berjalannya integrasi dengan baik dan perubahan pada kode.

Dalam framework ini dijelaskan berbagai praktik yang umumnya dipergunakan dalam rangka mewujudkan keamanan dalam sistem TI. Tujuan dari berbagai praktik tersebut adalah untuk memberikan standar minimum dari program keamanan sistem TI yang efektif untuk diaplikasikan dalam sistem yang telah ada di dalam sebuah lembaga atau perusahaan. Berikut ini adalah daftar dari praktik keamanan sistem TI yang dijadikan sebagai standar minimum oleh NIST dalam framework NIST 800-14:

1) Kebijakan
2) Pengelolaan program
3) Pengelolaan risiko
4) Perencanaan siklus hidup
5) Masalah pengguna
6) Persiapan terhadap hal tak terprediksi dan bencana
7) Penanganan insiden keamanan komputer
8) Kewaspadaan dan pelatihan
9) Pertimbangan keamanan dalam dukungan komputer dan operasi
10) Keamanan fisik dan lingkungan
11)  Identifikasi dan otentikasi
12)  Kendali akses logis
13)  Jejak audit
14)  Kriptografi

==========================================================================

BAB 2 - PERBANDINGAN

Berikut ini adalah tabel berisi perbandingan dari ketiga framework yang telah dibahas di bab 1, dengan masing-masing framework tersebut memiliki cakupan standar tersendiri.

Tabel 1. Perbandingan antara ketiga framework
==========================================================================

BAB 3 - CONTOH KASUS

Software Assets Management: A Cost Saving Factor

Software Assets Management (SAM) adalah sebuah praktek yang mengatur dan mengelola aset software pada suatu perusahaan secara efisien. Lisensi software saat ini sudah memakan 20% dari biaya IT pada suatu perusahaan, dan akan terus meningkat di masa yang akan datang. SAM merupakan kunci untuk kesuksesan pada pengelolaan aset software suatu perusahaan. SAM membantu untuk mengelola pengeluaran biaya software, diskon, kontrak lisensi, dan peluncuran software secara efisien.

Tujuan dari SAM adalah untuk mengurangi biaya IT dan operasionalnya, finansial, dan resiko terhadap lisensi suatu software. Tidak perlu diingatkan lagi bahwa implementasi SAM yang baik dapat memberikan keuntungan kepada perusahaan. Keuntungan – keuntungan ini harus melebihi biaya implementasi.

SAM mengacu pada framework ISO/IEC 19770-1, sehingga kategori aset software SAM sama seperti ISO/IEC 19770-1, yaitu:

1) Software yang memiliki mempunyai hak (rights).
2) Software yang memiliki the intellectual property value of sotware.
3) Media yang memegang software sejenis yang digunakan untuk kepentingan media.

Saat suatu perusahaan atau organisasi membuat baru SAM, ada perlunya SAM yang baru ini di audisi terlebih dahulu untuk memastikan keefektivitas dan maturitas yang dimiliki SAM yang baru. Salah satu SAM yang sudah ada adalah Microsoft Software Assets Managment (SAM) Optimization Model. Microsoft mendesain SAM Optimization Model dengan menggunakan standar ISO/IEC 19770-1. Microsoft SAM Optimization Model membantu sebuah perusahaan atau organisasi mengevaluasi SAM mereka tanpa harus mengintepretasi dan mengadaptasi ISO 19770-1 secara langsung. Setelah SAM lolos dari audisi Microsoft SAM Optimization Model, suatu organisasi atau perusahaan dapat mengimplementasikan SAM mereka untuk mengelola aset software mereka.

Gambar dibawah menunjukkan hasil dari penggunaan SAM untuk mengontrol penggunaan aset software dalam organisasi.


Gambar (a) menunjukkan catatan untuk aset software yang dibeli, sedangkan Gambar (b) menunjukkan catatan untuk software yang digunakan pada organisasi.


Gambar (c) dan (d) menunjukkan laporan untuk software yang tidak terlisensi dan date expiration.


Gambar (e) memberikan laporan untuk total biaya yang dikeluarkan untuk aset software yang dibeli. Laporan – laporan diatas akan membantu untuk memilih keputusan dalam pembelian aset software. Sedangkan Gambar (f) menampilkan rangkuman dari penggunaan software dan rangkuman ini membantu untuk mengidentifikasi redundansi software.

==========================================================================

DAFTAR PUSTAKA

[1] The National Institute of Standards and Technology, 2006. Minimum Security Requirements for Federal Information and Information Systems (FIPS 200), Department of Commerce, USA.
[2] Anonim, 2017. ISO/IEC 19770-1:2017(en) Information Technology – IT asset management, [online], (https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-1:ed-3:v1:en, diakses tanggal 14 Januari 2019)
[3] Friedlander, Gaby, 2015. NIST 800-14–Principles and Practices for Securing IT Systems, [online], (https://www.observeit.com/blog/nist-800-14-principles-and-practices-securing-it-systems/, diakses tanggal 14 Januari 2019)
[4] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
[5] Okide, Samuel. Dkk. 2017. Software Assest Management: A Cost Saving Factor. International Journal of Innovative Research in Science, Engineering and Technology.

Monday, November 5, 2018

Tugas 2 Audit Teknologi Sistem Informasi - Tentang COBIT

AUDIT TEKNOLOGI SISTEM INFORMASI
"Control Objectives for Information and Related Technologies"

 DISUSUN OLEH
        ARYA DWI PRAMUDITA             (11115069)
        MOHAMMAD FAISAL .H            (14115280)
        RIZKI APRILIA DWIJAYANTI   (16115138)


SISTEM INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019



-------------------------------------------------------------------------------------------------------------------------------


BAB I - PENDAHULUAN

1.1 Tentang COBIT

Pengendalian (controlling) adalah salah satu fungsi manajemen dalam mencapai tujuan organisasi, yang merupakan manifestasi dari usaha manajemen untuk mengurangi resiko kerugian dan penyimpangan dalam suatu organisasi. Pengendalian Internal yang efektif merupakan salah satu faktor kunci dalam kesuksesan sebuah organisasi. Dengan adanya sistem pengendalian internal yang efektif, dapat membantu dalam mencapai tujuan organisasi yang antara lain dapat mengurangi resiko kerugian organisasi, menghasilkan suatu laporan keuangan yang andal dan sesuai, serta meningkatkan efisiensi. Dengan semakin dominannya penggunaan komputer dalam membantu kegiatan operasional diberbagai organisasi, maka diperlukan standar-standar yang tepat sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Sehingga data elektronik tersebut menghasilkan pelaporan keuangan perusahaan yang dapat dipertanggungjawabkan. Dalam perkembangannya terdapat banyak standar – standar kontrol yang muncul dengan latar belakang yang berbeda. Oleh karena itu, dalam penulisan ini akan diuraikan salah satu standar kontrol untuk EDP (Electronic Data Processing) yaitu COBIT (Control Obejctive for Information and related Technology). Framework COBIT digunakan untuk menyusun dan menerapkan model audit sistem infromasi dengan tujuan untuk memberikan masukan dan rekomendasi bagi pihak manajemen organisasi untuk perbaikan pengelolaan sistem informasi di masa mendatang. COBIT dirancang agar dapat menjadi alat bantu yang dapat memecahkan permasalahan dalam memahami dan mengelola resiko serta keuntungan yang behubungan dengan sumber daya informasi organisasi.



BAB II  - PEMBAHASAN TEORI

2.1 Kriteria Informasi Berdasarkan COBIT

Terdapat beberapa aspek menurut CobIT (Control Objectives for Information and Related Technology) untuk memenuhi tujuan bisnis, informasi perlu memenuhi kriteria tertentu, adapun 7 kriteria informasi yang menjadi perhatian COBIT, yaitu sebagai berikut:

  1. Effectiveness (Efektivitas). Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten dapat dipercaya, dan tepat waktu.
  2. Effeciency (Efisiensi). Penyediaan informasi melalui penggunaan sumber daya (yang paling produktif dan ekonomis) yang optimal.
  3. Confidentially (Kerahasiaan). Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasi/tidak berwenang.
  4. Intergrity (Integritas). Berkaitan dengan keakuratan dan kelengkapan data/informasi dan tingkat validitas yang sesuai dengan ekspetasi dan nilai bisnis.
  5. Availability (Ketersediaan). Fokus terhadap ketersediaan data/informasi ketika diperlukan dalam proses bisnis, baik sekarang maupun dimasa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait.
  6. Compliance (Kepatuhan). Pemenuhan data/informasi yang sesuai dengan ketentuan hukum, peraturan, dan rencana perjanjian/kontrak untuk proses bisnis.
  7. Reliability (Handal). Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.
Evaluasi terhadap efektivitas sistem harus dilakukan. Untuk mengetahui apakah sistem dan informasi yang dihasilkan telah efektif atau belum, auditor harus mengetahui karakter pemakai dan kebutuhannya. Selanjutnya perlu dievaluasi apakah sistem telah menggunakan sumber data yang minimal untuk menghasilkan output yang diperlukan. Sistem yang efisien dan efektif, menjaga harta, dan integritas data hanya dapat dicapai jikalau manajemen membuat sistem pengendalian internal yang baik. Pengendalian internal ini bersifat general control dan application control (Gondodiyoto, 2007:263).

2.2 COBIT

Control Objectives for Information and Related Technology (COBIT) dapat definisikan sebagai alat pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan oleh Information System Audit and Control Association (ISACA) melalui lembaga yang dibentuknya yaitu Information and Technology Governance Institute (ITGI) pada tahun 1992. Secara terstruktur, COBIT terdiri dari seperangkat control objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan tahapan bagi audit. Menurut IT Governance Institute, COBIT adalah sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis dalam perusahaan. COBIT memungkinkan kebijakan pembangunan yang jelas dan baik untuk seluruh organisasi kontrol TI. COBIT menekankan peraturan, membantu organisasi untuk meningkatkan nilai dicapai dari TI, dan memungkinkan pengaturan dan penyederhanaan pelaksanaan pada kerangka COBIT.

2.3 Sejarah Perkembangan COBIT

COBIT yang pertama kali diluncurkan pada tahun 1996, mengalami perubahan berupa perhatian lebih kepada dokumen sumber, revisi pada tingkat lebih lanjut serta tujuan pengendalian rinci dan tambahan seperangkat alat implementasi (implementation tool set) pada edisi keduanya yang dipublikasikan pada tahun 1998. COBIT pada edisi ketiga ditandai dengan masuknya penerbit utama baru COBIT yaitu ITGI. COBIT edisi 4.1 diperluas dengan arahan lebih kepada IT Governance. COBIT edisi kelima merupakan versi terakhir dari tujuan pengendalian untuk informasi dan teknologi terkait dengan mencakup keseluruhan dari COBIT 4.1 dengan tambahan tentang Risk IT dan Val IT. ISACA telah meluncurkan Val IT yang berhubungan dengan proses COBIT untuk proses manajemen senior yang dibutuhkan untuk mendapatkan nilai baik dari investasi TI.

2.4 Tujuan Pembentukan COBIT

Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari. Dengan bahasa lain, COBIT dapat pula dikatakan sebagai sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen and pengguna (user) untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.
COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadap corporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit. Fokus utama COBIT adalah harapan bahwa melalui adopsi COBIT ini perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

2.5 Kegunaan COBIT

Dalam membantu auditor, COBIT memiliki fungsi-fungsi yang diantaranya adalah:
  1. Meningkatkan pendekatan/program audit
  2. Mendukung audit kerja dengan arahan audit secara rinci
  3. Memberikan petunjuk untuk IT governance
  4. Sebagai penilaian benchmark untuk kendali IS/IT
  5. Meningkatkan control IS/IT
  6. Sebagai standarisasi pendekatan/program audit.
2.6 Kerangka Kerja COBIT

Gambar 2.1 Diagram Kerangka Kerja COBIT
COBIT merupakan kerangka kerja pengendalian internal yang berkaitan dengan teknologi informasi, yang dipublikasikan oleh Information System Audit and Control Foundation di tahun 1996 dan di-update pada tahun 1998 dan 2000. COBIT dibuat dengan tujuan melakukan penelitian dan pengembangan terhadap sekumpulan kontrol teknologi informasi, yang dapat diterima secara internasional bagi kepentingan auditor dan manajer bisnis suatu organisasi. COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 33 proses yang terbagi ke dalam empat buah domain proses, meliputi:

1. Plan and Organise (10 proses) - meliputi strategi dan taktik yang berkaitan dengan identifikasi pemanfaatan IT yang dapat memberikan kontribusi dalam pencapaian tujuan bisnis. Proses dalam domain ini adalah:
  • Menetapkan rencana strategis TI
  • Menetapkan susunan informasi
  • Menetapkan kebijakan teknologi
  • Menetapkan hubungan dan organisasi TI
  • Mengelola investasi IT
  • Mengkomunikasikan arah dan tujuan manajemen
  • Mengelola sumberdaya manusia
2. Acquire and Implement (7 proses) - merupakan domain proses yang merealisasikan strategi IT, serta solusi-solusi IT yang diperlukan untuk diterapkan pada proses bisnis organisasi. Pada domain ini pula dilakukan pengelolaan perubahan terhadap sistem eksisting untuk menjamin proses yang berkesinambungan. Langkah-langkah yang dilakukan pada domain ini adalah:
  • Mengidentifikasi solusi terotomatisasi
  • Mendapatkan dan memelihara software aplikasi
  • Mendapatkan dan memelihara infrastruktur teknologi
  • Mengembangkan dan memelihara prosedur
  • Memasang dan mengakui sistem
  • Mengelola perubahan
3. Delivery and Support (13 proses) - domain ini berfokus utama pada aspek penyampaian atau pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian berbagai aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu atau masalah keamanan dan juga pelatihan. Proses dalam domain ini adalah:
  • Menetapkan dan mengelola tingkat pelayanan
  • Mengelola pelayanan kepada pihak lain
  • Mengelola kinerja dan kapasitas
  • Memastikan pelayanan yang berkelanjutan
  • Memastikan keamanan sistem
4. Monitor and Evaluate (3 proses) - merupakan domain yang memberikan pandangan bagi pihak manejemen berkaitan dengan kualitas dan kepatuhan dari proses yang berlangsung dengan kendali-kendali yang diisyaratkan. Proses dalam domain ini meliputi hal-hal berikut ini:
  • Memonitor proses
  • Menaksir kecukupan pengendalian internal
  • Mendapatkan kepastian yang independen
Tidak hanya itu, kerangka kerja COBIT juga memasukan hal-hal berikut :

1. Maturity Models - untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices. Skala-skala maturity models dijabarkan dengan pola sebagai berikut:
  • Skala 0 - Not Existance: karena perusahaan tidak menyadari pentingnya membuat perencanaan strategis di bidang teknologi informasi. Dalam skala ini penting untuk dilakukan evaluasi pengendalian dan dijadikan sebagai temuan yang penting.
  • Skala 1- Initial: adanya fakta-fakta bahwa perusahaan telah menyadari akan pentingnya pembuatan perencanaan strategis di bidang teknologi informasi. Namun, tidak ada prosesyang distandarisasi; perencanaan, perancangan dan manajemen masih belum terorganisir dengan baik. Dalam skala ini keperluan untuk dijadikan temuan tidak diutamakan, karena tingkat kemungkinan terjadinya resiko tidak sebesar skala nol.
  • Skala 2 - Repeatable: perusahaan telah menetapkan prosedur untuk dipatuhi oleh karyawan, namun belum dikomunikasikan dan belum adanya pemberian latihan formal kepada setiap karyawan mengenai prosedur; dan tanggung jawab diberikan sepenuhnya kepada individu sehingga pemberian kepercayaan sepenuhnya kemungkinan dapat terjadi penyalahgunaan.
  • Skala 3 - Defined: seluruh proses telah didokumentasikan dan telah dikomunikasikan,serta dilaksanakan berdasarkan metode pengembangan sistem komputerisasi yang baik, namun belum ada proses evaluasi terhadap sistem tersebut, sehingga masih ada kemungkinan terjadinya penyimpangan.
  • Skala 4 - Managed: proses komputerisasi telah dapat dimonitor dan dievaluasi denganbaik, manajemen proyek pengembangan sistem komputerisasi sudah dijalankan denganlebih terorganisir.
  • Skala 5 - Optimised: Best Practices (pedoman terbaik) telah diikuti dan diotomatisasi pada sistem berdasarkan proses yang terencana, terorganisir dan menggunakan metodologi yang tepat.
2. Critical Success Factors (CSFs) - adalah arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.

3. Key Goal Indicators (KGIs) - merupakan kinerja proses-proses TI sehubungan dengan business requirement.

4. Key Performance Indicators (KPIs) - adalah kinerja proses-proses TI sehubungan dengan process goals.

2.7 Pengguna COBIT

COBIT dirancang untuk digunakan oleh tiga pengguna berbeda, yaitu:
  • Manajemen - dengan penerapan COBIT, manajemen dapat terbantu dalam proses penyeimbangan resiko dan pengendalian investasi dalam lingkungan IT yang tidak dapat diprediksi.
  • User - pengguna dapat menggunakan COBIT untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
  • Auditor - dengan penerapan COBIT, auditor dapat memperoleh dukungan dalam opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.



BAB III - ANALISA

3.1 Studi Kasus

Pengamanan sistem Teknologi Informasi pada suatu organisasi menjadi salah satu faktor yang perlu diperhatikan. Pengelolaan yang baik terhadap keamanan sistem Teknologi Informasi dapat meningkatkan nilai kepercayaan internal maupun eksternal organisasi untuk memanfaatkan Teknologi Informasi sebagai pendukung kegiatan organisasi.

Untuk memastikan tingkat keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia, perlu dilakukan audit untuk mengukur tingkat Keamanan Sistem dari Teknologi Informasi yang ada. Dengan adanya audit ini diharapkan dapat dilakukan langkah-langkah perbaikan untuk meningkatkan keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia.

Pelaksanaan kegiatan kontrol dan audit menggunakan Framework COBIT pada PT. XYZ Indonesia dimaksudkan untuk menguji dan mengetahui tingkat pengelolaan keamanan sistem Teknologi Informasi yang diterapkan pada PT. XYZ Indonesia dan memberikan merekomendasikan alternatif pengembangan yang harus dilakukan untuk meningkatkan kualitas keamanan sistem, dengan batasan-batasan tujuan yaitu sebagai berikut:
  • Mengelola ukuran-ukuran keamanan pada PT. XYZ Indonesia.
  • Identifikasi, otentikasi dan akses pada PT. XYZ Indonesia.
  • Manajemen account pemakai pada PT. XYZ Indonesia.
  • Pengontrolan user pada account user serta identifikasi terpusat manajemen hak-hak akses.
  • Laporan pelanggaran dan aktivitas keamanan pada PT. XYZ Indonesia.
  • Penanganan kejadian,  pengakuan ulang, kepercayaan rekan dan otorisasi transaksi pada PT. XYZ Indonesia
  • Proteksi pada fungsi-fungsi keamanan pada PT. XYZ Indonesia.
  • Manajemen kunci kriptografi pada PT. XYZ Indonesia.
  • Pencegahan, pendeteksian, dan perbaikan perangkat lunak yang tidak benar, arsitektur firewall dan hubungan dengan jaringan public serta proteksi pada nilai-nilai elektronis pada PT. XYZ Indonesia.
Tahapan metodologi yang diterapkan untuk mengetahui Kontrol Objetif Memastikan Keamanan Sistem, akan dilakukan sebagai berikut:
  • Pengumpulan data, anatara lain dengan melakukan pengamatan, wawancara dan observasi sederhana terhadap organisasi untuk mendapatkan informasi yang berupa dokumentasi strategi, tujuan, struktur organisasi dan tugas, kebijakan teknologi informasi dan data penunjang lainnya.
  • Metode yang dipakai dalam pembuatan audit “Memastikan Keamanan Sistem” mengacu pada standar IT
Dengan mengunakan COBIT, akan dilakukan tahapan-tahapan sebagai berikut :
  • Menemukan pemahaman tentang kebutuhan bisnis yang berkaitan dengan teknologi informasi dan risiko yang mungkin terjadi terkait dengan Keamanan Sistem [DS-5].
  • Melakukan evaluasi dengan menilai efektivitas control measure yang ada, atau tingkat pencapaian kontrol obyektif keamanan  sistem [DS-5]
  • Menilai kepatuhan, dengan menjamin control measure yang telah ditetapkan  akan berjalan sebagaimana mestinya, konsisten dan berkelanjutan serta menyimpulkan kesesuaian lingkungan kontrol.
  • Memperkirakan resiko yang mungkin terjadi karena tidak mematuhi kontrol objektif [DS-5].
  • Memberikan Rekomendasi yang diperlukan pada hal-hal yang terkait dengan keamanan sistem [DS-5].
3.2 Implementasi

Berikut ini adalah implementasi dari COBIT:

A. Memeriksa arsitektur teknologi informasi yang dapat mewadahi kebutuhan interkoneksi dengan standar transaksi yang telah berjalan, seperti EDI (Electronic Data Interchange), Messaging (ISO, XML, SWIFT, dll), WAP dan standar lainnya. Dari definsi CSF Teknologi secara umum, maka akan mendapatkan pemdekatan yang dilakukan untuk menilai hal kritis yang timbul dari area Keamanan Sistem [DS-5] berupa kebutuhan integrasi dan arsitektur keamanan dengan pemakaian teknologi kemanan yang layak dan memiliki standar.
  1. Seluruh rencana keamanan dikembangkan meliputi pembangunan kesadaran personil, penetapan standar dan kebijakan yang jelas, identifikasi efektifitas biaya dan pengembangan berkelanjutan serta pemberdayaan dan  monitoring.
  2. Adanya kesadaran bahwa perencanaan keamanan yang baik.
  3. Manajemen dan Staff memiliki pemahaman yang cukup terhadap kebutuhan keamanan dan memiliki kesadaran dan untuk bertanggung jawab atas keamanan mereka sendiri.
  4. Bagian keamanan memberikan laporan kepada senior manajemen dan bertanggung jawab untuk mengimplementasikan perencanaan keamanan.
  5. Evaluasi Pihak ketiga atas arsitektur dan kebijakan keamanan dilakukan secara periodik
  6. Adanya program generator akses yang mengidentifikasi layanan keamanan.
  7. Bagian keamanan memiliki kemampuan untuk mendeteksi, merekam, meneliti, melaporkan dan malakukan tindakan yang sesuai dengan gangguan keamanan yang terjadi, dan mengurangi terjadinya gangguan dengan pengujian dan monitoring keamanan.
  8. Adannya proses pengelolaan user yang terpusat dan sistem yang menyediakan identifikasi dan autorisasi user dengan cara yang efisien dan standar.
  9. Proses autentifikasi user tidak membutuhkan biaya tinggi, jelas dan  mudah digunakan.
B. Mengukur Indikator Capaian Hasil yang ditetapkan kerangka COBIT dalam Key Goal Indicator (KGI) dan Key Performance Indicators
  1. [70%] Tidak ada kejadian yang menyebabkan kebingungan publik
  2. [90%] Adanya laporan langsung atas peristiwa ganguan keamanan.
  3. [80%] Adanya kesesuaian antara hak akses dan tanggung-jawab organisasi
  4. [70%] Berkurangnya jumlah implementasi-implemetasi baru, mengakibatkan penundaan atas keamanan
  5. [80%] Terpenuhinya kebutuhan keamanan minimal
  6. [80%] Berkurangnya jumlah insiden yang diakibatkan oleh akses yang tidak diotorisasi, kehilangan dan ketidaklengkapan informasi
Indikator Kinerja yang digunakan dibutuhkan untuk medukung tercapainya Indikator Tujuan dari DS-5 (Memastikan Kemanan Sistem), dimana indikator tersebut telah didefinisikan dalam Framework COBIT sebagai berikut:
  1. Berkurangnya Jumlah aduan, perubahan permintaan dan perbaikan yang berkaitan dengan layanan keamanan.
  2. Jumlah downtime yang disebabkan oleh peristiwa yang berkaitan dengan keamanan.
  3. Berkurangnya jumlah permintaan perubahan atas administrasi keamanan.
  4. Meningkatnya jumlah sistem yang dilengkapi proses deteksi atas penyusupan.
  5. Berkurangnya selisih waktu antara deteksi, pelaporan dan aksi atas peristiwa gangguan keamanan.
C. Perhitungan Model Maturistas, dimana Model ini akan merupakan diskripsi dari posisi relatif perusahaan terhadap kondisi industri, maupun kondisi yang diinginkan kedapannya terkait dengan visi dan misi PT. XYZ Indonesia sebagai enterprise. Dari hasil audit yang diukur dengan menginterpretasikan bobot nilai jawaban terhadap jumlah pertanyaan yang mewakili kontrol obyektif pada DS-5 COBIT, diperoleh nilai indeks maturitas 3,46. skala yang didefinsikan terkait dengan maturitas pada Framework COBIT akan mengacu pada tabel berikut :


SKALA     | MATURITY
---------------------------------------------------------
0 – 0.5       | Non-Existent (Tidak ada)
0.51 – 1.5  | Initial/Ad Hoc (Inisial)
1.51 – 2.5  | Repeatable But Intuitive (Pengulangan Proses berdasarkan intuisi)
2.51 – 3.5  | Defined Process (Proses Telah didefiniskan)
3.51 – 4.5  | Managed and Measurable (Dikelola dan terukur)
4.51 – 5     | Optimised (Optimisasi)

3.3 Kesimpulan

Dari hasil perencanaan Implementasi diatas akan diperoleh data-data hasil  temuan audit. Data-data hasil temuan audit ini nantinya akan dibagi  menjadi ringkasan-ringkasan yang dimasukkan ke dalam kategori berikut:
  • Temuan Audit yang sifatnya kondisi maupun pernyataan, misalnya:
    1. Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
    2. Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sistem.
  • Temuan audit yang membutuhkan perhatian dengan segera, rekomendasi dari area permasalahan misalnya akan berupa:
  1. Penting adanya evalusi Hak akses user secara priodik dengan teratur dan dilakukan direview evaluasi bahwa hak akses tersebut masih relevan dengan kebutuhan organisasi, dimana pada PT. XYZ telah dilakukan, namun frekuensi per periodenya belum ditetapkan dengan jelas
  2. Belum digunakan teknik kriptografi sistem aplikasi yang dikembangkan, sehingga akan menciptakan potensi lubang keamanan sistem yang cukup signifikan.
  • Temuan Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya, bagi terciptanya Tata Kelola IT pada PT. XYZ Indonesia dengan lebih baik, misalnya:
  1. Adanya evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.
  2. Bagian keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan akses.
  3. Setiap transaksi tercatat dalam log file yang terkelola baik dan terpusat.
  4. Telah ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan akses di luar otoritasnya.
Dari hasil Temuan kemudian akan dibuat rekomendasi-rekomendasi yang dibuat untuk pembenahan Infrastruktur keamanan IT pada PT XYZ ini. Rekomendasi-rekomendasi ini nantinya bisa dibagi menjadi:
  • Rekomendasi Mempertahankan Aktifitas, seperti:
  1. Adanya evaluasi pihak ketiga atas arsitektur keamanan jaringan yang telah dilakukan secara periodik [4x  dalam setahun ]
  2. Adanya pengamanan khusus atas transaksi tertentu yag hanya dapat dilakukan pada terminal-terminal tertentu saja dengan sistem user yang telah dilakukan pengelolaan secara terpusat
  3. Adanya upgrade berkala pada sistem keamanan yang digunakan.
  4. Telah digunakannya sistem firewall yang melindungi jaringan internal dengan jaringan publik dan adanya pengaman akses jaringan secara hardware (dengan dilakukan pendaftaran mac address untuk host yang diijinkan terkoneksi dalam jaringan).
  • Rekomendasi Meningkatkan Aktifitas Dengan Manajerial Yang Lebih Baik, seperti:
  1. Traning mengenai keamanan sistem untuk semua personil PT. XYZ Indonesia harus selalu ditingkatkan [Rekomensai Usulan Proyek Peningkatan SDM]
  2. Sebaiknya dilakukan review dan validasi ulang secara berkala terhadap account user untuk meningkatkan integritas akses.
  3. Transaksi-transaksi penting hendaknya dilengkapi dengan konsep/teknik digital signature. [Rekomendasi Usulan Proyek Infrastruktur dan Autorisasi Modern]
  4. Perlunya peningkatan pengelolaan user jaringan sehingga seluruh komputer menggunakan otorisasi terpusat, sehingga tidak ada lagi istilah supporting komputer yang dapat di install bebas tanpa otorisasi dari admin jaringan.
  5. Review atas hak akses user secara periodik untuk memastikan hak akses yang diberikan selalu sesuai dengan kebutuhan organisasi (tidak hanya bersifat insindental).
  • Rekomendasi yang bersifat investasi dan pembernahan infrastruktur, seperti:
  1. Peningkatan Sistem Keamanan Teknologi Informasi dengan memanfaatkan teknologi biometrik, dynamic password maupun teknologi pengamanan terkini lainnya.
  2. Sebaiknya pengamanan terhadap sistem aplikasi menggunakan teknik yang berbasis enkripsi/kriptografi.

-------------------------------------------------------------------------------------------------------------------------------

DAFTAR PUSTAKA

[1] COBIT 4.0, Control Objectives, Management Guidelines and Maturity Models. IT Governance Institut. 2005

[2] Fitrianah, Devi dan Yudho Giri Sucahyo. AUDIT SISTEM INFORMASI/TEKNOLOGI INFORMASI DENGAN KERANGKA KERJA COBIT UNTUK EVALUASI MANAJEMEN TEKNOLOGI INFORMASI DI UNIVERSITAS XYZ. Fakultas Ilmu Komputer, Universitas Mercu Buana, Indonesia

[3] Sasongko, Nanang. PENGUKURAN KINERJA TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT VERSI. 4.1, PING TEST DAN CAAT PADA PT.BANK X Tbk. DI BANDUNG. Jurursan Akuntansi Fakultas .Ekonomi Universitas Jenderal Achmad Yani (UNJANI) Cimahi, Bandung

Thursday, October 25, 2018

Tugas 4 Sistem Keamanan Teknologi Informasi - Resume Bab 10 dan 11

Detail Tugas

Nama: Arya Dwi Pramudita
Kelas: 4KA23
NPM: 11115069
Mata Kuliah: Sistem Keamanan Teknologi Informasi
Dosen: Kurniawan B. Prianto, S.Kom.SH.MM
Nama Tugas: Resume Bab 10 dan 11 Sistem Keamanan Teknologi Informasi

Post ini merupakan tugas keempat dari mata kuliah Sistem Keamanan Teknologi Informasi (SKTI), yang membahas tentang bab 10 (SOP dan Audit Keamanan) dan bab 11 (Permasalahan dan Trend Ke Depan). Di bawah ini adalah link untuk mengakses dokumen resume SKTI bab 10 dan 11:

Terimakasih telah menjadi pembaca setia dari blog ini, semoga resume ini dapat menjadi sumber pengetahuan yang mampu memberikan gambaran bagi para pembaca tentang SKTI serta apa saja yang terkait dengannya.

Friday, October 19, 2018

Tugas 1 Audit Teknologi Sistem Informasi - Tentang ATSI

AUDIT TEKNOLOGI SISTEM INFORMASI

 DISUSUN OLEH
        ARYA DWI PRAMUDITA             (11115069)
        MOHAMMAD FAISAL .H            (14115280)
        RIZKI APRILIA DWIJAYANTI   (16115138)


SISTEM INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019



-------------------------------------------------------------------------------------------------------------------------------

BAB I - PENDAHULUAN

1.1 Tentang Audit Sistem Informasi

Audit sistem informasi adalah fungsi dari organisasi yang mengevaluasi keamanan aset, integritas data, efektifitas dan efisiensi sistem dalam sistem informasi berbasis komputer. Kebutuhan audit ini disebabkan oleh beberapa faktor yaitu:
  1. Kemungkinan kehilangan data.
  2. Kemungkinan kesalahan penempatan sumber daya akibat kesalahan pengambilan keputusan yang diakibatkan karena kesalahan pemrosesan data.
  3. Kemungkinan komputer rusak karena tidak terkontrol.
  4. Harga komputer hardware, software sangat mahal.
  5. Biaya yang tinggi apabila ada error pada computer
  6. Kebutuhan privacy dari organisasi/seseorang.
  7. Kebutuhan untuk mengontrol penggunaan komputer.
Para auditor sistem informasi secara khusus berkonsentrasi pada evaluasi kehandalan atau efektifitas pengendalian / kontrol pada sistem. Kontrol adalah sebuah sistem untuk mencegah, mendeteksi atau memperbaiki situasi yang tidak teratur. Terdapat tiga aspek penting yang berkaitan dengan definisi kontrol di atas, yaitu:
  1. Kontrol adalah sebuah sistem, dengan kata lain kontrol terdiri atas sekumpulan komponen-komponen yang saling berhubungan dan bekerja sama untuk mencapai tujuan yang sama.
  2. Fokus dari kontrol adalah situasi yang tidak teratur, dimana keadaan ini bisa terjadi jika ada masukan yang tidak semestinya masuk ke dalam system.
  3. Kontrol digunakan untuk mencegah, mendeteksi dan memperbaiki situasi yang tidak teratur, sebagai contoh:
    • Preventive control – merupakan instruksi yang diletakkan pada dokumen untuk mencegah kesalahan pemasukan data
    • Detective control – dimaksudkan sebagai kontrol yang diletakkan pada program yang berfungsi mendeteksi kesalahan pemasukan data
    • Corrective control – merujuk kepada jenis program yang dibuat khusus untuk memperbaiki kesalahan pada data yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun kesalahan user.
Secara umum, fungsi dari kontrol adalah untuk menekan kerugian yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin terjadi pada sebuah sistem. Tugas auditor adalah untuk menetapkan apakah kontrol sudah berjalan sesuai dengan yang diharapkan untuk mencegah terjadinya situasi yang tidak diharapkan. Auditor harus dapat memastikan bahwa setidaknya ada satu buah kontrol yang dapat menangani resiko bila resiko tersebut benar-benar terjadi.



BAB II  - PEMBAHASAN

2.1 Definisi Pengendalian Internal

Pengendalian internal merupakan bagian yang sangat penting agar tujuan perusahaan dapat tercapai. Tanpa adanya pengendalian interal, tujuan perusahaan tidak dapat dicapai secara efektif dan efisien. Semakin besar perusahaan semakin penting pula arti dari pengendalian internal dalam perusahaan tersebut. Guna memperoleh pemahaman yang lebih luas mengenai pengendalian internal, maka penulis secara berurutan akan mengemukakan hal-hal yang berhubungan dengan pengendalian internal tersebut (Pratiwi, 2014:12). Definisi dari pengendalian internal menurut Warren, Reeve, dan Fess (2005: 227) adalah “Kebijakan dan prosedur yang melindungi aktiva perusahaan dari kesalahan penggunaan, memastikan bahwa informasi usaha yang disajikan akurat dan meyakinkan bahwa hukum serta peraturan perusahaan telah diikuti".

Menurut Mulyadi (2001: 163), sistem pengendalian internal adalah: “Sistem pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen.”

2.2 Tujuan Sistem Pengendalian Internal

Tujuan dari dilakukannya pengendalian internal adalah menjamin manajemen dari suatu perusahaan, organisasi atau entitas agar:
  1. Tujuan perusahaan yang ditetapkan akan dapat dicapai.
  2. Laporan keuangan yang dihasilkan perusahaan dapat dipercaya
  3. Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.
Pengendalian internal dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan, serta dapat menyediakan informasi tentang bagaimana penilaian terhadap kinerja perusahaan dan manajemennya. Tidak hanya itu, pengendalian internal juga menyediakan informasi yang berguna sebagai pedoman dalam perencanaan terhadap berbagai aktivitas di masa mendatang.


2.3 Sifat-sifat Pengendalian Internal

Menurut Gondodiyoto (2009, p 137), pengendalian internal digolongkan dalam kategori preventive (pencegahan), detection (deteksi) dan corrective (perbaikan), yang penjelasan masing-masingnya adalah sebagai berikut:
  1. Preventive Control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah) agar jangan sampai terjadi kesalahan (error) maupun penyalahgunaan (kecurangan, fraud) dalam pengoperasian sistem.
  2. Detection Control, di sini diartikan sebagai pengendalian yang dirancang dengan tujuan untuk mendeteksi kesalahan (umumnya berkisar di masalah berupa ketidaksesuaian dengan kriteria yang ditetapkan) yang terjadi saat merekam atau melakukan konversi data dari media sumber (media input) untuk ditransfer ke sistem komputer.
  3. Corrective Control, merujuk ke bagian pengendalian yang dilakukan bila ditemukan data yang sebenarnya memiliki error tetapi sama sekali tidak terdeteksi oleh program validasi. Di sini harus ada prosedur yang jelas tentang bagaimana melakukan perbaikan terhadap data yang salah, dengan maksud untuk mengurangi kemungkinan terjadinya kerugian yang lebih besar setelah terjadinya kesalahan tersebut.



BAB III - ANALISA

3.1 Studi Kasus Pengendalian Internal

Pada sebuah perguruan tinggi negeri (PTN) yang sebut saja bernama PTN X, terdapat sebuah kasus dimana PTN tersebut telah mendapat opini Wajar Tanpa Pengecualian dengan berdasarkan laporan keuangan yang dilakukan oleh auditor eksternal. Namun saat hasil laporan keuangan dari auditor eksternal dibandingkan dengan hasil audit operasional yang dilakukan oleh Badan Pemeriksa Keuangan (BPK), hasil yang didapat adalah didapati berbagai temuan yang terkait pengadaan barang dan jasa pada PTN tersebut yang belum sepenuhnya sesuai dengan peraturan yang berlaku seperti Keputusan Presiden (Keppres) tentang Pedoman Pelaksanaan Pengadaan Barang/Jasa Pemerintah maupun peraturan internal dari PTN tersebut. Adanya perbedaan yang muncul pada hasil temuan dari kedua institusi auditor eksternal tersebut dapat menjadi indikasi adanya potensi tata kelola dan pengendalian yang tidak sesuai. Maka untuk studi kasus ini, PTN tersebut dijadikan sebagai subyek penelitian karena posisinya yang strategis, serta menjadi prototipe untuk menggambarkan kompleksitas dari pengelolaan perguruan tinggi serta evaluasi terhadap penerapan sistem pengendalian internal yang selama ini dijalankan di dalam PTN tersebut.

3.2 Analisa Studi Kasus

Berdasarkan hasil analisa dari kasus yang telah disebutkan di subbab sebelumnya, dapat diketahui secara jelas bahwa PTN X telah memenuhi lima poin pengendalian internal yang ditetapkan berdasarkan Peraturan Pemerintah (PP) No. 60 tahun 2008. Lima poin tersebut adalah:
1. Evaluasi Lingkungan Pengendalian – hasil dari proses evaluasi ini berhasil menunjukkan bahwa lingkungan yang ada dalam PTN X tersebut mencerminkan adanya dukungan terhadap manajemen dalam terciptanya sistem pengendalian internal lembaga yang efektif, dengan berdasarkan pada poin-poin berikut:

a. Integritas dan etika yang kuat
b. Komitmen terhadap kompetensi dari setiap pihak di dalam lingkungan PTN
c. Filosofi dan gaya operasi yang mendukung keterbukaan
d. Struktur dari organisasi yang fleksibel dalam menghadapi perubahan
e. Pemahaman yang baik terhadap pertanggungjawaban untuk wewenang dari masing-masing pihak.

2. Evaluasi Penilaian Risiko – secara umum penilaian seluruh risiko yang ada pada lingkungan PTN X dilakukan melalui satuan audit internal dengan baik, yang dimana ini disertai dengan tindakan berupa memberikan perhatian terhadap prioritas dari risiko dan pemilihan unit yang akan diaudit secara seksama. Namun sayangnya dokumentasi dari penilaian risiko yang bersifat spesifik, terukur dan realistis dari pimpinan unit kerja di PTN tersebut masih belum ada sama sekali.

3. Evaluasi Informasi dan Komunikasi – di sini PTN X telah berhasil menerapkan sistem berbasis teknologi informasi yang berfungsi untuk mengatur keuangan dari PTN secara sangat baik, terutama dalam hal proses-proses yang bersinggungan dengan akuntansi dan pengaturan anggaran. Namun karena prosesnya belum sepenuhnya terotomatisasi (masih harus dilakukan dengan menggunakan cara input manual), maka tingkat kerawanan terhadap terjadinya salah penyajian akibat kesalahan input (ditambah dengan besarnya volume data yang harus dihitung dan dikompilasi) masih sangat tinggi.

4. Evaluasi Aktivitas Pengendalian – aktivitas pengendalian keuangan yang dilakukan dalam PTN X secara umum memenuhi poin-poin yang berkaitan dengan hal sebagai berikut:
a. Peninjauan ulang atas kinerja keuangan yang dilakukan bersama dengan proses penyusunan anggaran tahunan dan rencana kegiatan anggaran tahunan (RKAT).
b. Pembinaan SDM yang dilakukan dalam rangka mencapai target dan anggaran yang ditetapkan berdasarkan rencana kegiatan tahunan (RKT) dan RKAT dari PTN tersebut.
c. Pemrosesan informasi yang dikendalikan oleh pihak yang memiliki peran yang sesuai dengan tugas kerjanya.
d. Pengendalian fisik aset yang dilakukan oleh staf yang bertanggungjawab atas pengelolaan aset-aset tersebut kepada Direktorat Pengelola Aset.
e. Pemisahan tanggungjawab dan tugas ke bidang-bidang yang sesuai, termasuk pula untuk transaksi atau kejadian di PTN tersebut. Ini disertai dengan penunjukan staf untuk pengerjaan transaksi atau kejadian yang sah dengan merujuk ke RKAT masing-masing unit kerja
f. Pencatatan dan pengklasifikasian setiap transaksi dan kejadian yang telah terjadi dengan menggunakan bagan yang sesuai untuk masing-masing kegiatan.

5. Evaluasi Pemantauan – untuk evaluasi ini, secara dasar seluruh kegiatan yang sedang berjalan di PTN X diawasi secara langsung dan terus berlanjut, berikut dengan proses audit internal yang dilaksanakan oleh satuan internal dari PTN yang bertanggungjawab atas seluruh data hasil audit, serta melakukan pembandingan antara hasil temuan audit internal dengan tinjauan hasil audit dari pihak eksternal untuk memastikan bahwa seluruh aktivitas keuangan yang dilakukan pada satu periode tahun anggaran tersebut bersifat transparan dan dapat dipantau secara berkelanjutan.

Dari sini kemudian dapat ditarik sebuah pernyataan yang terkait dengan hasil dari analisa di atas bahwa secara garis besar PTN X merupakan salah satu dari institusi perguruan tinggi yang tidak melakukan kecurangan terhadap hasil audit operasional dari auditor eksternal (dalam contoh kasus ini yaitu hasil audit operasional oleh BPK di periode tahun 2012 hingga 2013). Ini disebabkan fakta bahwa penerapan secara menyeluruh dari pengendalian internal dalam aktivitas institusi pendidikan seperti PTN X maupun institusi-institusi lainnya akan mencegah, mendeteksi dan memperbaiki berbagai masalah yang jika dibiarkan akan mendatangkan dampak buruk bagi institusi tersebut, baik secara parsial maupun secara keseluruhan. Sehingga pada akhirnya dapat dikatakan bahwa pengendalian internal akan memberikan efektivitas dan efisiensi kinerja institusi secara keseluruhan. – Arya D.P.
Solusi yang telah diberikan untuk permasalahan diatas merupakan salah satu contoh dari pengaplikasian pengendalian internal. Dengan menggunakan pengendalian internal sebagai langkah pertama untuk menyelesaikan suatu permasalahan dapat dikatakan cukup efektif. Karena pengendalian internal dapat melakukan penanggulangan masalah serta memperbaiki kelemahan – kelemahan prosedur atau kebijakan yang dapat dikatakan berbahaya baik secara langsung maupun tidak langsung. – M. Faisal. H
Dari permasalahan yang dihadapi lembaga pendidikan seperti perguruan tinggi negeri di atas, pengendalian internal dijadikan peringatan pertama yang efektif. Indikasi terjadinya mismanagement atau penyimpangan karena posisinya langsung bersinggungan dengan tubuh institusi keseluruhan, pengendalian internal dapat melakukan pencegahan, pendeteksian dan juga perbaikan kelemahan terhadap serangkaian prosedur, apabila pengendalian internal dilakukan secara kontinu maka permasalahan yang merugikan lembaga pendidikan tersebut tidak terulang di kemudian hari dengan demikian penyusunan sistem pengendalian internal dan penerapannya di rancang untuk dapat mendukung operasional sistem kerja yang berjalan agar efektif dan efisien sesuai SPIP (Sistem Pengendalian Internal Pemerintah). – Rizki A.D



BAB IV - PENUTUP

4.1 Kesimpulan

Para auditor sistem informasi secara khusus berkonsentrasi pada evaluasi kehandalan atau efektifitas pengendalian / kontrol sistem. Dengan menerapkan engendalian internal dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan, serta dapat menyediakan informasi tentang bagaimana penilaian terhadap kinerja perusahaan dan manajemennya. Tidak hanya itu, pengendalian internal juga menyediakan informasi yang berguna sebagai pedoman dalam perencanaan terhadap berbagai aktivitas di masa mendatang.

4.2 Saran

Pengendalian internal dilakukan secara kontinu maka permasalahan yang merugikan lembaga pendidikan tersebut tidak terulang di kemudian hari dengan melakukan penanggulangan masalah serta memperbaiki kelemahan – kelemahan prosedur atau kebijakan yang dapat dikatakan berbahaya baik secara langsung maupun tidak langsung.

-------------------------------------------------------------------------------------------------------------------------------

DAFTAR PUSTAKA

[1] Mulyadi, 2001. Sistem Akuntansi, Edisi Ketiga, Cetakan Ketiga, Salemba Empat, Jakarta.
[2] Warren, Carl S., James M. Reeve, Phillip E. Fess, 2005. Pengantar Akuntansi, Edisi 21, Terjemahan Aria Farahmita, SE. Ak,; Amanugrahani, SE. Ak,; Taufik Hendrawan, SE. Ak.Salemba Empat, Jakarta.
[3] Zamzami, Faiz, Ihda Arifin Faiz, 2015. Evaluasi Implementasi Sistem Pengendalian Internal: Studi Kasus Pada Sebuah Perguruan Tinggi Negeri, [online], (http://jamal.ub.ac.id/index.php/jamal/article/viewFile/351/413, diakses tanggal 14 Oktober 2018)

===========================================================================

Tugas Individu: Standar dan Panduan Untuk Audit Sistem Informasi


Di bawah ini adalah beberapa standar dan panduan yang dipergunakan untuk melakukan audit sistem informasi:

1. IIA COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat sebagai COSO, adalah sebuah inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) dan The Institute of Management Accountants (IMA).

2. ISO 27002

ISO/IEC 27002:2005 secara umum menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO/IEC 27002:2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:
  1. Pengorganisasian keamanan informasi;
  2. Manajemen aset;
  3. Keamanan sumber daya manusia;
  4. Keamanan fisik dan lingkungan;
  5. Komunikasi dan manajemen operasi;
  6. Kontrol akses;
  7. Akuisisi sistem informasi, pengembangan dan pemeliharaan;
  8. Manajemen insiden keamanan informasi;
  9. Manajemen kontinuitas bisnis;
  10. Pemenuhan terhadap kebutuhan.
Sumber:

[1] Anonim. https://www.iso.org/standard/50297.html (diakses 19 Oktober 2018)
[2] Anonim. https://web.archive.org/web/20090228134313/http://www.coso.org/IC-IntegratedFramework-summary.htm (diakses 19 Oktober 2018)