View
2.838
Download
10
Category
Preview:
DESCRIPTION
Pengantar singkat mengenai audit Teknologi Informasi
Citation preview
Audit Teknologi Informasi
Budi Rahardjobr@paume.itb.ac.id - http://rahard.wordpress.com
STEI – Institut Teknologi BandungDipresetasikan di Kuliah Kapita Selekta – IT Telkom – 3 Maret 2011
BR - Audit Teknologi Informasi 2
Mengapa audit IT?
• Tingginya ketergantungan bisnis kepada IT– Kegagalan IT menjadi risiko perusahaan– Apakah implementasi /konfigurasi IT
memberikan celah keamanan (security) yang berisiko?
3 Maret 2011
BR - Audit Teknologi Informasi 3
Mengapa?
• Mahalnya investasi IT– Apakah implementasi (investasi) IT sudah
selaras (align) dengan binis perusahaan?– Apakah IT sudah dikelola dengan baik? (IT
governance)
3 Maret 2011
BR - Audit Teknologi Informasi 4
Audit IT
• Untuk memastikan IT tertata dengan baik, sesuai dengan standar atau best practice
• Dapat dilakukan oleh internal atau pihak ketiga yang independen
• Menguji compliance, akreditasi, dan sertifikasi
• Aspek security dan alignment terhadap bisnis
3 Maret 2011
BR - Audit Teknologi Informasi 5
IT SECURITY AUDIT
3 Maret 2011
BR - Audit Teknologi Informasi 6
IT Security Audit
• Memeriksa aspek keamanan– People• Awareness, skill
– Process• Policy and Procedure (PnP), standards, guidelines
– Technology• Infrastruktur, server, workstation, aplikasi
• Hasil berupa tingkat risiko
3 Maret 2011
BR - Audit Teknologi Informasi 7
Infrastruktur
• Topologi jaringan– Apakah desain sudah baik?– Apakah desain diimplementasikan dengan baik?
3 Maret 2011
BR - Audit Teknologi Informasi 8
Networking Devices & Servers
• Versi dari sistem operasi– Apakah sudah yang terbaru dan tidak memiliki
kelemahan (vulnerability)?
• Konfigurasi– Apakah masih ada konfigurasi bawaan (default
configuration)?– Apakah konfigurasi sudah cukup baik?
3 Maret 2011
BR - Audit Teknologi Informasi 9
Aplikasi
• Dievaluasi secara khusus– Apakah memiliki kelemahan (vulnerability)?• Desain, implementasi, dan konfigurasi
– Diuji dengan skenario pelaku (user) yang berbeda• Bukan pengguna• Pengguna biasa• Pengembang, administrator
3 Maret 2011
BR - Audit Teknologi Informasi 10
Standar & Akreditasi
• ISO 27000 series• Sans.org• TIA 942
(Telecommunications Infrastructure Standard for Data Centers)
• Open Web Application Security Project (OWASP)
• ISO/IEC 27001:2005 - Information technology -- Security techniques -- Information security management systems – Requirements
3 Maret 2011
BR - Audit Teknologi Informasi 11
Sertifikasi
• CISSP (Certified Information Systems Security Professional)
• CISM (Certified Information Security Manager)
• CEH (Certified Ethical Hacker)
3 Maret 2011
BR - Audit Teknologi Informasi 12
IT ALIGNMENT AUDIT
3 Maret 2011
BR - Audit Teknologi Informasi 13
Standar
• Control Objectives for Information and related Technology (COBIT)
• Information Technology Infrastructure Library (ITIL)
3 Maret 2011
BR - Audit Teknologi Informasi 143 Maret 2011
BR - Audit Teknologi Informasi 15
Information Technology Infrastructure Library
3 Maret 2011
BR - Audit Teknologi Informasi 16
Penilaian dan Sertifikasi
• Menggunakan maturity level (0 – 5)
• CISA (Certified Information System Auditor)
3 Maret 2011
Recommended