TUGAS 1
AUDIT TEKNOLOGI SISTEM INFORMASI
KELOMPOK :
Aditya Farhan Achyar (10115179)
Bayu Cakra Setyaji (17115760)
Roni Budianto (16115266)
Fajri Arya (1B118757)
KELAS 4KA08
JURUSAN SISTEM
INFORMASI
FAKULTAS ILMU
KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA 2018 / 2019
1.
KONSEP AUDIT TSI
Perencanaan (Planning)
Tahap perencanaan ini yang akan dilakukan adalah
menentukan ruang lingkup (scope), objek yang akan diaudit, standard evaluasi
dari hasil audit dan komunikasi dengan managen pada organisasi yang
bersangkutan dengan menganalisa visi, misi, sasaran dan tujuan objek yang
diteliti serta strategi, kebijakan-kebijakan yang terkait dengan pengolahan
investigasi.
Perencanaan meliputi beberapa aktivitas utama, yaitu:
§ Penetapan ruang lingkup
dan tujuan audit
§ Pengorganisasian tim
audit
§ Pemahaman mengenai
operasi bisnis klien
§ Kaji ulang hasil audit
sebelumnya
§ Penyiapan program audit
Pemeriksaan Lapangan
(Field Work)
Tahap ini yang akan dilakukan adalah pengumpulan
informasi yang dilakukan dengan cara mengumpulkan data dengan pihak-pihak yang
terkait. Hal ini dapat dilakukan dengan menerapan berbagai metode pengumpulan
data yaitu: wawancara, quesioner ataupun melakukan survey ke lokasi penelitian.
Pelaporan (Reporting)
Setelah proses pengumpulan data, maka akan didapat data
yang akan diproses untuk dihitung berdasarkan perhitungan maturity level.
Pada tahap ini yang akan dilakukan memberikan informasi berupa hasil-hasil dari
audit. Perhitungan maturity level dilakukan mengacu pada hasil wawancara,
survey dan rekapitulasi hasil penyebaran quesioner. Berdasarkan hasil maturity
level yang mencerminkan kinerja saat ini (current maturity level) dan kinerja
standard atau ideal yang diharapkan akan menjadi acuan untuk selanjutnya
dilakukan analisis kesenjangan (gap). Hal tersebut dimaksudkan untuk mengetahui
kesenjangan (gap) serta mengetahui apa yang menyebabkan adanya gap tersebut.
Tindak Lanjut (Follow
Up)
Tahap ini yang dilakukan adalah memberikan laporan hasil
audit berupa rekomendasi tindakan perbaikan kepada pihak managemen objek yang
diteliti, untuk selanjutnya wewenang perbaikan menjadi tanggung jawab managemen
objek yang diteliti apakah akan diterapkan atau hanya menjadi acuhan untuk
perbaikan dimasa yang akan datang.
2.
Tahapan Audit
Audit Teknologi Informasi memiliki beberapa tahapan supaya proses
audit berjalan dengan lancar. Sesuai dengan buku IT Auditing Second Edition, Tahapan IT Auditing dibagi menjadi 6
tahapan yaitu:
1.
Perencanaan
2.
Kerja Lapangan dan Dokumentasi
3.
Penemuan Masalah dan Validasi
4.
Pengembangan Solusi
5.
Pembuatan dan Penerbitan Laporan
6.
Pelacakan Masalah
Dan akan
dibahas secara lebih terperinci di bawah ini:
1. Planning / Perencanaan
Planning atau perencanaan adalah proses
paling awal untuk melakukan audit, planning dimaksudkan untuk merencanakan hal
– hal yang akan dilakukan dalam proses auditing. Adapun berberapa langkah yang
menjadi bagian di dalam tahap perencanaan ialah :
a.
Perintah dari Audit Manager
Manajer audit
harus menyampaikan kepada tim audit informasi yang mengarah pada audit yang
dijadwalkan. Ini mungkin termasuk komentar dari manajemen TI dan / atau
kekhawatiran yang diketahui di daerah tersebut. Faktor-faktor yang menyebabkan
audit yang dijadwalkan perlu dicakup dalam rencana audit.
b.
Survey awal
Tim
audit harus meluangkan waktu sebelum setiap audit melakukan survei awal dari
area yang diaudit untuk memahami apa yang akan ditanggung audit. Kemungkinan
ini akan mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem
atau proses yang sedang ditinjau, serta meninjau dokumentasi yang terkait.
Tujuannya adalah untuk mendapatkan latar belakang dasar dan pemahaman tentang
area yang akan ditinjau. Ini diperlukan untuk melakukan penilaian awal risiko
di daerah tersebut.
c.
Permintaan Pelanggan
Pelanggan
audit harus merasa bahwa mereka memiliki peran dalam proses audit. Tim audit
harus menanyakan kepada pelanggan bidang apa yang mereka pikir harus ditinjau
dan bidang apa yang menjadi perhatian. Masukan ini harus dikaitkan dengan hasil
penilaian risiko objektif auditor untuk menentukan ruang lingkup audit. Tentu
saja, terkadang auditor tidak akan menggunakan input pelanggan. Sebagai contoh,
kadang-kadang pelanggan audit akan khawatir tentang area yang lebih bersifat
operasional dan tidak memiliki dampak pengendalian internal. Dalam kasus
seperti itu, sangat sah bagi tim audit untuk menjaga area tersebut di luar
ruang lingkup audit, dengan penjelasan kepada pelanggan tentang mengapa tim
audit tidak diposisikan untuk mengeksekusi permintaan tersebut. Penting juga
untuk tidak membiarkan pelanggan mengarahkan auditor menjauh dari meninjau area
penting. Para auditor harus akhirnya menerapkan penilaian terbaik mereka.
Namun, mendapatkan masukan pelanggan dan memasukkannya ke dalam rencana audit
di mana mungkin akan membuat pelanggan merasa memiliki dalam proyek audit dan
mengoptimalkan komunikasi yang terbuka dan jujur.
d.
Standar Checklist (Daftar Periksa)
Departemen
audit mungkin memiliki daftar periksa sendiri untuk sistem dan proses standar
di perusahaan. Memiliki daftar periksa audit standar yang dapat diulang untuk
area umum dapat memberikan awal yang berguna untuk banyak audit. Daftar Periksa
harus dievaluasi dan diubah seperlunya untuk setiap audit spesifik. Memiliki
daftar periksa standar tidak menghilangkan persyaratan bagi auditor untuk
melakukan penilaian risiko untuk setiap audit
e.
Penelitian
Internet,
buku, dan materi pelatihan harus dirujuk dan digunakan sebagaimana mestinya
untuk setiap audit untuk memperoleh informasi tambahan tentang area yang
diaudit.
2. FieldworkandDocumentation / Kerja
lapangan dan dokumentasi
Sebagian
besar audit terjadi selama fase ini, ketika langkah-langkah audit yang dibuat
selama tahap sebelumnya dilaksanakan oleh tim audit. Sekarang, tim memperoleh
data dan melakukan wawancara yang akan membantu anggota tim untuk menganalisa
potensi risiko dan menentukan risiko mana yang belum dimitigasi dengan tepat.
auditor harus mencari cara untuk memvalidasi secara independen informasi yang
diberikan dan keefektifan dari lingkungan pengendalian. Meskipun ini tidak
selalu mungkin, auditor harus selalu memikirkan cara-cara kreatif untuk menguji
sesuatu. Misalnya, jika pelanggan audit menggambarkan proses untuk menyetujui
permintaan akun pengguna baru, auditor harus berusaha menarik sampel pengguna
yang baru saja ditambahkan untuk melihat apakah mereka memang menerima
persetujuan yang tepat. Ini akan memberikan bukti yang jauh lebih meyakinkan
bahwa proses sedang diikuti daripada wawancara. Dokumentasi juga merupakan
bagian penting dari kerja lapangan. Auditor harus melakukan pekerjaan yang
cukup untuk mendokumentasikan pekerjaan mereka sehingga kesimpulan dapat
dibuktikan.
Proses
dokumentasi ini penting. Pertama, diperlukan untuk memenuhi standar profesi.
Kedua, adalah mungkin bahwa di masa depan temuan audit dapat dipertanyakan atau
ditantang, dan auditor yang melakukan pekerjaan tersebut mungkin tidak lagi
dipekerjakan oleh perusahaan atau departemen pada saat itu (atau mungkin baru
saja melupakan detail dari audit). Akan sangat penting bahwa dokumentasi ada
untuk menjelaskan dan proses audit dan memperkuat kesimpulan. Ketiga, jika
audit dilakukan lagi suatu hari nanti, mempertahankan dokumentasi rinci akan
memungkinkan tim audit berikutnya untuk belajar dari pengalaman tim audit
sebelumnya, sehingga memungkinkan untuk perbaikan dan efisiensi yang
berkelanjutan.
3. Issue Discovery andValidation /
Penemuan masalah dan validasi
Saat
melaksanakan kerja lapangan, auditor akan mengembangkan daftar masalah
potensial. Ini jelas merupakan salah satu fase penting dari audit, dan auditor
harus berhati-hati untuk menggosok daftar masalah potensial untuk memastikan
bahwa semua masalah valid dan relevan. Dalam semangat kolaborasi, auditor harus
mendiskusikan potensi masalah dengan pelanggan sesegera mungkin. Tidak ada yang
menikmati menunggu auditor untuk menyelesaikan audit dan kemudian harus
menanggung daftar masalah laundry. Tidak hanya ini tidak menyenangkan bagi
pelanggan Anda, tetapi juga bisa tidak menyenangkan bagi Anda, karena Anda
mungkin menemukan bahwa tidak semua informasi Anda akurat dan tidak semua
masalah Anda valid.
Selain
memvalidasi bahwa Anda memiliki fakta yang benar, Anda perlu memvalidasi bahwa
risiko yang disajikan oleh masalah tersebut cukup signifikan untuk dilaporkan
dan ditangani dengan layak. Jangan mengajukan masalah demi mengangkat masalah.
Sebaliknya, isu yang diangkat harus memberikan risiko signifikan bagi
perusahaan. Pertimbangkan untuk mengurangi kontrol, dan pahami seluruh gambar
sebelum menentukan apakah Anda memiliki masalah yang layak dilaporkan. Kecuali
dalam bisnis yang sangat diatur, ambil pendekatan yang sama dengan kepatuhan
pada kebijakan internal. Meskipun jelas penting bagi auditor TI untuk meninjau
sistem agar sesuai dengan kebijakan keamanan TI internal perusahaan,
pendekatannya tetap harus berbasis risiko.
Ada
kalanya suatu sistem secara teknis melanggar kebijakan, tetapi pelanggaran itu
tidak merepresentasikan risiko nyata baik untuk mengurangi kontrol atau sifat
dari sistem tertentu. Dalam kasus seperti itu, apa nilai dari mengangkat
masalah? Demikian juga, dalam banyak kasus, auditor harus menyampaikan
kekhawatiran yang tidak ada hubungannya dengan kebijakan tetapi malah
melibatkan risiko terhadap lingkungan spesifik yang sedang ditinjau. Jangan
biarkan tim audit Anda menjadi tim kepatuhan kebijakan. Sebagai gantinya, Anda
harus mempertimbangkan kebijakan serta semua faktor relevan lainnya dalam
mengevaluasi risiko nyata terhadap lingkungan yang sedang ditinjau.
4.
Solution Development / Pengembangan
Solusi
Setelah
mengidentifikasi masalah potensial di area yang di audit dan telah memvalidasi
fakta dan risiko, auditor bekerja dengan pelanggan untuk mengembangkan rencana
tindakan untuk mengatasi setiap masalah.
Tiga pendekatan
umum digunakan untuk mengembangkan dan mengatasi masalah audit:
a)
Pendekatan Rekomendasi
(RecommendationApproach)
Dengan
menggunakan pendekatan umum ini, auditor mengangkat masalah dan memberikan
rekomendasi untuk mengatasinya. Mereka kemudian bertanya kepada pelanggan
apakah mereka setuju dengan rekomendasi tersebut dan, jika ya, kapan mereka
akan menyelesaikannya.
b)
Pendekatan Manajemen-Respon (The
Management-ResponseApproach)
Dengan
pendekatan manajemen-respons, auditor mengembangkan daftar masalah dan kemudian
melemparkannya ke pelanggan untuk respon dan rencana tindakan mereka.
Kadang-kadang auditor mengirim rekomendasi mereka untuk resolusi bersama dengan
masalah, dan kadang-kadang mereka hanya mengirim masalah tanpa rekomendasi.
Dengan cara apa pun, para pelanggan diharapkan untuk mengirim kembali tanggapan
mereka, yang termasuk dalam laporan audit.
c)
Pendekatan Solusi (The
SolutionApproach)
Dengan
menggunakan pendekatan ini, auditor bekerja dengan pelanggan untuk
mengembangkan solusi yang mewakili rencana aksi yang dikembangkan bersama dan
disepakati untuk mengatasi masalah yang diangkat selama audit. Ini adalah
kombinasi dari dua pendekatan sebelumnya, membawa yang terbaik dari
masing-masing. Seperti halnya pendekatan rekomendasi, auditor menyediakan ide
untuk resolusi berdasarkan pengetahuan kontrol mereka. Seperti halnya
pendekatan manajemen-respons, pelanggan menyediakan ide untuk resolusi
berdasarkan pengetahuan operasional kehidupan nyata mereka. Hasilnya adalah
solusi bahwa pelanggan "memiliki" dan itu memuaskan bagi auditor.
5.
ReportDraftingandIssuance /
Pembuatan dan Penerbitan Laporan
Setelah masalah
ditemukan, di validasi dan dikembangkan solusinya, maka laporan audit dapat
dibuat Laporan audit adalah fasilitas yang digunakan untuk mendokumentasikan
hasil audit. Ini melayani dua fungsi utama:
·
Bagi Anda dan pelanggan audit, ini
berfungsi sebagai catatan audit, hasilnya, dan rencana aksi yang dihasilkan.
·
Untuk manajemen senior dan komite
audit, berfungsi sebagai "kartu laporan" di area yang diaudit.
Elemen
Penting dari Laporan Audit
Ada banyak
format laporan audit karena ada departemen audit internal. Namun, berikut
adalah elemen penting dari laporan audit:
·
Pernyataan ruang lingkup audit
Jelaskan
dalam laporan apa yang termasuk dalam audit dan, jika perlu, apa yang tidak
termasuk dalam audit. Jika suatu area atau topik secara spesifik diambil dari
audit, penting untuk menyatakan sebanyak mungkin dalam laporan untuk
menghindari kesalahpahaman.
·
Ringkasan eksekutif
Selain
daftar semua masalah rinci dan rencana tindakan, Anda perlu menulis ringkasan
eksekutif sehingga seseorang yang tidak memiliki waktu atau keinginan untuk
membaca semua detail dapat memahami keadaan keseluruhan kontrol di lingkungan.
Ringkasan ini harus mampu berdiri sendiri sebagai dokumen informatif, bahkan
jika dihapus dari sisa laporan. Seharusnya tidak daftar atau membahas setiap
masalah, tetapi hanya yang paling signifikan.
·
Daftar Isu / masalah dan cara
menyelesaikannya
Ini adalah daging dari laporan karena
memberikan rincian tentang semua masalah signifikan yang ditemukan selama audit
dan apa yang akan dilakukan untuk memperbaikinya. Kualitas dan kejelasan
penulisan sangat penting, karena setiap masalah harus didokumentasikan
sedemikian rupa sehingga berbagai tingkat pembaca dapat memahaminya.
Orang-orang yang berurusan dengan daerah dari hari ke hari harus dapat memahami
masalah dan rencana Anda, dan manajemen senior juga harus dapat memahami risiko
dan mengapa hal itu perlu dimitigasi.
6.
Pelacakan Masalah / IssueTracking
Mengeluarkan
laporan audit tidak menambah nilai bagi perusahaan kecuali itu menghasilkan
tindakan yang diambil. Audit tidak benar-benar lengkap sampai masalah yang
diangkat dalam audit diselesaikan, baik dengan tetap (resolusi yang diinginkan)
atau dengan diterima oleh tingkat manajemen yang sesuai. Departemen audit harus
mengembangkan suatu proses di mana para anggotanya dapat melacak dan
menindaklanjuti isu-isu sampai mereka terselesaikan. Ini kemungkinan akan
melibatkan pemeliharaan database yang berisi semua poin audit dan tanggal jatuh
tempo mereka, bersama dengan mekanisme untuk menandai mereka sebagai tertutup,
terlambat, dan seterusnya.
3.
Teknik Audit
·
AuditingEntity-Level Kontrol
AuditingEntity-Level
Kontrol membahas bagaimana mengaudit kontrol tingkat entitas, yang meresap di
seluruh organisasi. Karena kontrol tingkat entitas sangat luas di seluruh
organisasi, dan dapat mengauditnya berikut ini pembahasan audit teknologi
informasi (TI) area seperti:
a.
Perencanaan strategis dan peta jalan
teknologi
b.
Indikator kinerja dan metric
c.
Proses persetujuan dan pemantauan
proyek
d.
Kebijakan, standar, dan prosedur
e.
Manajemen karyawan
f.
Pengelolaan aset dan kapasitas
g.
Manajemen perubahan konfigurasi
system
·
Pusat Data Audit dan Pemulihan
bencana
Fasilitas
pengolahan teknologi informasi (TI), biasanya disebut sebagai pusat data,
merupakan inti dari sebagian besar operasi organisasi modern, yang mendukung
hampir semua hal yang kritis aktivitas bisnis. Berikut ini merupakan
langkah-langkah untuk mengaudit pusat data kontrol, termasuk bidang berikut:
a.
Keamanan fisik dan pengendalian
lingkungan
b.
Operasi pusat data
c.
Sistem dan ketahanan situs
d.
Kesiapsiagaan bencana
·
Mengaudit Router, Switch, dan
Firewall
Jaringan
adalah latar belakang mendasar dari infrastruktur operasi TI , yang
memungkinkan data melintang antara pengguna, penyimpanan data, dan pengolahan
data. Router, switch, dan firewall bekerja sama untuk memungkinkan transfer
data sekaligus melindungi jaringan, data, dan pengguna akhir. Berikut ini
membahas bagaimana meninjau potongan-potongan kritis ,infrastruktur sambil
membantu untuk melakukannya sebagai berikut :
a.
Mengungkap kompleksitas peralatan
jaringan.
b.
Memahami kontrol jaringan kritis.
c.
Tinjau kontrol khusus untuk router,
switch, dan firewall.
·
Mengaudit Windows
Sistem operasi Sistem operasi
Windows telah berkembang dari awal yang sederhana dan berkembang menjadi salah
satu sistem operasi paling umum di dunia untuk server dan klien, untuk mencakup
komponen dasar dari audit server Windows dan mencakup audit cepat untuk Klien
Windows,berikut pembahasan Audit server dan klien windows:
a.
Sejarah singkat pengembangan Windows
b.
Windows essentials: belajar tentang
host target
c.
Bagaimana mengaudit server Windows
d.
Bagaimana mengaudit klien Windows
e.
Alat dan sumber daya untuk meningkatkan
audit Windows Anda
·
Mengaudit Unix dan Linux
Sistem operasi membahas
langkah-langkah yang diperlukan untuk mengaudit operasi berbasis Unix dan Linux
sistem (juga disebut sebagai sistem nix) dan mencakup hal-hal berikut:
a.
Sejarah Unix dan Linux
b.
Perintah dasar untuk berkeliling di
lingkungan * nix
c.
Bagaimana mengaudit sistem Unix dan
Linux, dengan fokus pada bidang utama berikut:
·
Manajemen akun dan kontrol kata
sandi
·
File keamanan dan control
·
Keamanan dan kontrol jaringan
·
Audit log
·
Monitoring keamanan dan kontrol umum
·
Alat dan sumber daya untuk
meningkatkan audit
·
Mengaudit Web Server dan Aplikasi
Web
Pertumbuhan eksplosif di Internet
juga mendorong pertumbuhan eksplosif alat pengembangan, bahasa pemrograman,
webbrowser, database, dan berbeda model client-server. Hasil yang tidak
menguntungkan adalah model kompleks yang sering dibutuhkan kontrol tambahan
untuk mengamankan model. Berikut ini mencakup minimum mutlak seperangkat
kontrol yang harus ditinjau ulang. Bab ini mencakup hal-hal berikut:
a.
Bagaimana mengaudit serverweb
b.
Bagaimana mengaudit aplikasi web
·
Mengaudit Database
Mengaudit Database membahas tentang
audit lockbox informasi perusahaan.untuk melakukan audit pada komponen berikut
yang mempengaruhi operasional keamanan penyimpanan data:
a.
Perizinan database
b.
Keamanan sistem operasi
c.
Fitur kekuatan dan manajemen kata
sandi
d.
Aktivitas pemantauan
e.
Databaseenkripsi
f.
Database kerentanan, integritas, dan
proses patching
·
Penyimpanan Audit
Penyimpanan audit dan dimulai dengan
ikhtisar penyimpanan umum teknologi. Audit penyimpanan menggabungkan
kekhawatiran platform dan datanya. Platform memiliki persyaratan kontrol yang
sama seperti yang ditemukan di server. Data memiliki keunikan persyaratan
kontrol karena perlunya menjaga kontrol yang sesuai dengan kelas data yang
berbeda, dibawah ini mencakup hal-hal berikut:
a.
Ikhtisar teknis singkat tentang
penyimpanan
b.
Bagaimana mengaudit lingkungan
penyimpanan
c.
Alat dan sumber daya untuk
meningkatkan audit penyimpanan Anda
·
Mengaudit Virtualized Lingkungan
Inovasi dalam virtualisasi sistem
operasi dan perangkat keras server diubah secara permanen jejak, arsitektur,
dan operasi pusat data. Mengaudit lingkungan virtualisasi, dan dimulai dengan
ikhtisar tentang virtualisasi umum teknologi dan kontrol tombol. Audit
virtualisasi menggabungkan kekhawatiran hypervisor dan sistem operasi tamu.
Meski fokus adalah hypervisor dan virtualisasiserver, bisa menerapkan banyak
langkah dan konsep yang sama untuk virtualisasidesktop ,membuat asumsi bahwa
komponen sistem ini adalah di bawah kendali , "Mengaudit Komputasi Awan
dan Operasi Outsourcing "untuk panduan bagaimana memastikan virtualisasi
dari luar lingkungan dikelola dan diamankan dengan benar. Mencakup hal-hal
berikut:
a.
Sekilas singkat teknis virtualisasi
b.
Bagaimana mengaudit lingkungan virtualisasi
c.
Alat dan sumber daya untuk
meningkatkan audit virtualisasi Anda
·
Mengaudit WLAN dan Telepon genggam
Mengaudit WLAN dan Telepon genggam
yaitu dua audit terpisah, yang dimulai dengan jaringan area lokal
nirkabel(WLAN) dan kemudian mencakup perangkat seluler yang mendukung data.
Audit WLAN meliputi klien, komunikasi, jalur akses, dan faktor operasional yang
memungkinkan WLAN aktif, jaringan Audit perangkat mobiledata-enabled meliputi
Blackberry, iPhone, Droid, dan perangkat data-enabled serupa dan infrastruktur
yang mendukungnya. Pengikuttopik yang dibahas adalah:
a.
Latar belakang teknologi WLAN dan
perangkat mobile
b.
Masalah audit penting untuk
teknologi ini
c.
Langkah dan saran teknis utama
mengenai bagaimana mendekati teknologi
d.
Langkah operasional yang diperlukan
agar teknologi ini beroperasi secara efisien di jaringan anda
·
Permohonan Audit
Setiap aplikasi unik, apakah
mendukung fungsi keuangan atau operasional, dan oleh karena itu masing-masing
memiliki seperangkat persyaratan kontrol tersendiri. Tidak mungkin dokumen
persyaratan kontrol spesifik yang akan berlaku untuk setiap aplikasi. Namun,
akan menjelaskan beberapa pedoman pengendalian umum yang seharusnya berkenaan
dengan aplikasi apapun terlepas dari fungsinya, bahasa pemrogramannya, dan
platform teknologi. Topik-topik berikut dibahas dalam bab ini:
a.
Komponen penting dari audit aplikasi
b.
Bagaimana menelusuri kemungkinan
masalah dengan kerangka kerja dan konsep kunci
c.
Langkah terperinci untuk mengaudit
aplikasi, termasuk yang berikut ini:
o
Kontrol input
o
Kontrol antarmuka
o
Jejak audit
o
Kontrol akses
o
Kontrol perubahan perangkat lunak
o
Backup dan pemulihan
o
Retensi data dan klasifikasi dan
keterlibatan pengguna
·
Mengaudit Komputasi Awan dan
Outsource Operasi
Mengaudit Komputasi Awan dan
Outsource Operasi adalah kunci yang harus dicari saat mengaudit TI operasi yang
telah dialihkan ke perusahaan eksternal, termasuk yang berikut ini:
a.
Definisi komputasi awan dan bentuk
lain dari outsourcing TI
b.
SAS 70 melaporkan
c.
Kontrol seleksi vendor
d.
Item untuk disertakan dalam kontrak
vendor
e.
Persyaratan keamanan data
f.
Masalah operasional
g.
Masalah hukum dan kepatuhan
peraturan
·
Proyek Perusahaan Audit
Proyek Perusahaan Audit adalah
kontrol kunci yang harus dicari saat mengaudit proses yang digunakan untuk mengelola
proyek perusahaan, termasuk memahami hal-hal berikut yang berkaitan dengan
manajemen proyek audit teknologi informasi:
a.
Kunci keberhasilan manajemen proyek
b.
Kebutuhan pengumpulan dan desain
awal
c.
Desain dan pengembangan system
d.
Pengujian
e.
Implementasi
f.
Pelatihan
g.
Membungkus proyek
4.
Regulasi Audit
Komunitas bisnis global terus mendorong
peraturan-peraturan baru yang mempengaruhi dan meningkatkan tanggung jawab
perusahaan untuk pengendalian internal.
a)
Dampak Regulasi pada Audit TI
Dampak regulasi pada audit TI sebagai bisnis beradaptasi dengan kompleksitas untuk
mematuhi beberapa otoritas. Seperti selama dekade terakhir, pemerintah AS telah
melewati berbagai tindakan privasi khusus industri dan peraturan lainnya.
Masing-masing telah lulus dengan maksud melindungi konsumen bisnis.
Akibatnya, kelompok audit internal dan
kelompok audit eksternal diberi tugas untuk meninjau ulang proses dan prosedur
bisnis yang memastikan adanya kontrol yang sesuai yang melindungi kepentingan
bisnis dan konsumen.
Asosiasi Internasional Auditor Internal (IIA)
dan Informasi Internasional Sistem Audit dan Pengendalian Asosiasi (ISACA)
mempublikasikan pedoman untuk membantu anggota kelompok audit internal dan
eksternal ini dalam membentuk kontrol umum dan proses audit. Teknologi dapat
mempengaruhi setiap bagian dari bisnis. Diarahkan, dikontrol, dan efisien,
teknologi menawarkan keunggulan yang
kompetitif. Yang terburuk, ketika pesaing anda unggul dalam penggunaan
teknologi dan anda tidak memiliki kegiatan yang sesuai dan untuk memastikan
tata kelola, manajemen risiko, atau kepatuhan manajemen teknologi dan
organisasi.
Sebagai contoh regulasi Gramm-Leach-BlileyActumumnya dikenal sebagai Gramm-Leach-BlileyAct
(GLBA), mengarah terutama pada kemungkinkan perluasan fungsi dan hubungan antar
lembaga keuangan. Hukum mencakup bagaimana dan dalam keadaan apa perusahaan
induk bank dapat melakukan yang baru afiliasi dan terlibat dalam aktivitas yang
sebelumnya dibatasi.
·
Persyaratan
GLBA
Dari perspektif dampak pada kontrol internal,
menyediakan serangkaian peraturan khusus yang mengatur bagaimana informasi
individu untuk pelanggan lembaga keuangan dapat dibagikan. GLBA mengharuskan
perusahaan keuangan mengungkapkan kepada pelanggan kebijakan dan praktik
privasi institusi. Undang-undang memberikan kontrol terbatas kepada pelanggan
tentang bagaimana informasi disimpan oleh lembaga keuangan dapat dipertahankan
melalui opsi "opt-out". Secara tahunan, keuangan institusi diperlukan
untuk mengubah bentuk klien dari kebijakan privasi institusi. Penegakan
ketentuan tindakan diberikan kepada Federal Trade Commission, lembaga perbankan
federal, National Credit Union Administration, dan SEC.
·
Ketentuan
Privasi Pelanggan
GLBA mewajibkan lembaga keuangan untuk meninjau
dalam banyak kasus, merombak bagaimana mereka
dengan menjaga privasi informasi pelanggan. Selanjutnya, tindakan itu
membutuhkan sebuah ulasan yang sedang berlangsung tentang siapa yang memiliki
akses ke informasi apa, dalam keadaan apa informasi dapat dibagikan, dan dengan
siapa. Dampak yang paling meluas dari tindakan ini adalah persyaratan
berkelanjutan untuk mengontrol akses dan penggunaan informasi klien pada
individu per individu dasar. Persyaratan "menyisih" yang diregulasi dibuat
operasional dan kegiatan pemasaran jauh lebih rumit.
Bagian 501B GLBA pada dasarnya mengamanatkan
tiga tujuan kontrol tingkat tinggi:
o
Memastikan kerahasiaan informasi
keuangan pelanggan
o
Melindungi dari ancaman yang
diantisipasi terhadap catatan pelanggan
o
Melindungi terhadap akses tidak sah
ke informasi pelanggan yang bisamenghasilkan dampak besar bagi pelanggan
·
Peraturan
Privasi
Meringkas karya luar biasa yang dilakukan oleh
Thomas Karol dalam A GuidetoCross-BorderPrivacy Penilaian Dampak, informasi
pribadi pernah dilihat sebagai bisnis eksklusif konten dengan sedikit
memperhatikan hak-hak pribadi individu yang informasinya milik perusahaan.
Organisasi pemerintah dan kelompok aktivis privasi telah melayani membuat
banyak undang-undang yang melindungi informasi pribadi.
Persyaratan nasional dan negara mengatur
bagaimana informasi kesehatan, keuangan, dan identifikasi pribadi mungkin
digunakan dan disimpan. Sayangnya, berbagai kepentingan dan batas kenyamanan
(politik kepentingan) telah menciptakan persyaratan yang berbeda, dan kurangnya
keseragaman memberikan tantangan untuk penanganan informasi pribadi yang
sesuai.
b)
Data
Industri Kartu Pembayaran (PCI)
Visa USA menciptakan Program Keamanan Informasi
Pemegang Kartu (CISP) pada pertengahan tahun 2001. Standar itu menjadi
persyaratan bagi bank anggota Visa. Program CISP adalah dimaksudkan untuk
memastikan tingkat keamanan informasi yang tinggi untuk data pemegang kartu
Visa. Itu standar keamanan berlaku untuk semua bank anggota Visa, pedagang yang
menerima kartu Visa, dan semua penyedia layanan memproses transaksi pemegang
kartu Visa. Pada tahun 2004, keamanan data standar disponsori oleh Visa dan
MasterCard menjadi standar industri sekarang dikenal sebagai Standar Keamanan
Data Industri Kartu Pembayaran.
Standar PCI bukanlah undang-undang semata,
tetapi merupakan persyaratan kepatuhan wajib untuk peserta dalam industri
pemrosesan pembayaran kartu. Secara umum, entitas apa pun, sistem, atau
komponen yang menyimpan, memproses, atau mentransmisikan informasi pemegang
kartu di mana saja dalam rantai nilai tunduk pada standar. Pedagang harus patuh
dengan standar jika mereka ingin terus memproses kartu kredit. Peserta dalam
sistem pemrosesan pembayaran tidak hanya harus mengadopsi PCI tetapi harus juga
memvalidasi kepatuhan terhadap standar.
Standar spesifik berlaku untuk berbagai bagian
dari lingkungan pemrosesan pembayaran. Standar dan audit kepatuhan spesifik persyaratan
diterbitkan untuk pedagang, penyedia layanan, dan penyedia hosting bersama.
Standar auditing dan persyaratan kepatuhan identik untuk pedagang terlepas dari
ukurannya, tetapi persyaratan pelaporan untuk kepatuhan bervariasi sesuai untuk
apa yang diminta pengakuisisi dari pedagang.
·
Dampak
PCI pada Industri Kartu Pembayaran
Penggunaan standar PCI pada industri pemrosesan
pembayaran kartu memiliki dampak yang dramatis pada teknis infrastruktur
industri. PCI telah mengubah fokus setiap pengembang perangkat lunak pemrosesan
pembayaran kartu perangkat lunak dalam bentuk apa pun untuk beralih dari
menambahkan fungsionalitas fitur dan mengurangi biaya merestrukturisasi
perangkat lunak mereka untuk mengakomodasi standar. Standar PCI telah
menambahkan kosakata tentang standar, kontrol, dan audit secara keseluruhan
industri dari yang terkecil hingga terbesar dan di seluruh spektrum industri.
Industri rumahan khusus telah muncul dari
pengenalan standar sekitar mengevaluasi kesesuaian terhadap standar PCI, menguji
kesesuaian, dan melatih perusahaan tentang cara menilai dan mematuhi standar.
Meski standar tidak mewakili teknologi keamanan mutakhir, pengenalan dan
diberlakukan kepatuhan terhadap standar mengubah seluruh industri pemrosesan
pembayaran kartu di kurang dari empat tahun
5.
Standar dan Kerangka Kerja Audit
Kerangka danStandar seiring
perkembangan teknologi informasi (IT) selama akhir abad ke-20, IT departemen
dalam setiap organisasi biasanya mengembangkan metode sendiri untuk mengelola
operasi. Akhirnya, kerangka kerja dan standar muncul untuk memberikan panduan
bagi pengelolaan dan evaluasi proses TI. Beberapa kerangka kerja dan
standar yang paling menonjol saat ini terkait dengan penggunaan teknologi.
Dibawah ini akan mencakup hal berikut:
·
Pengantar
pengendalian, kerangka kerja, dan standar internal TI
·
Komite
Organisasi Sponsor (COSO)
·
Tujuan
Pengendalian Informasi dan Teknologi Terkait (COBIT)
·
IT
InfrastructureLibrary (ITIL)
·
ISO
27001
·
Metodologi
Penilaian INFOSEC Keamanan Nasional (SecuritySecurity Agency / NSA)
·
Kerangka
dan tren standar
·
Pengantar
Kontrol, Kerangka, dan Standar TI Internal
Pada 1970-an, kekhawatiran akan
meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan
permintaan akan pertanggungjawaban dan transparansi di antara perusahaan
publik. ForeignCornuptPracticesAct of 1977 (FCPA) mengkriminalisasi penyuapan
di luar negeri dan merupakan peraturan pertama yang mengharuskan perusahaan
untuk menerapkan program pengendalian internal untuk menyimpan catatan
transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika industri simpan pinjam ambruk
pada pertengahan tahun 1980an, ada seruan untuk mengawasi standar akuntansi dan
profesi auditing pemerintah. Dalam upaya untuk mencegah intervensi pemerintah,
inisiatif sektor swasta independen, yang kemudian disebut Komite
SponsoringOrganizations (COSO), dimulai pada tahun 1985 untuk menilai bagaimana
cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan
konsep pengendalian internal dan kerangka kerja pada tahun 1992 saat
menerbitkan publikasi penting Kerangka Pengendalian Internal.
Sejak saat itu, asosiasi profesional
lainnya terus mengembangkan kerangka kerja dan standar tambahan untuk
memberikan panduan dan praktik terbaik kepada konstituen mereka dan komunitas
TI secara umum.
·
Gaya
standar dan Kerangka Kerja
Persyaratan dan praktik bisnis
sangat bervariasi di seluruh dunia, seperti juga kepentingan politik dari
banyak organisasi yang menciptakan standar. Kemungkinan besar kerangka kerja
dan standar tunggal akan muncul dalam waktu dekat untuk memenuhi kebutuhan
setiap orang. Kompleksitas pemetaan ratusan dokumen otoritas dari peraturan
(internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar
(ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang dan ceruk
pasar.
Vendor teknologi dengan tepat
mengidentifikasi ceruk pasar yang penting ini, atau pembeda, untuk meningkatkan
penjualan produk dengan mengidentifikasi bagaimana cara mendapatkan produk
mereka untuk memenuhi persyaratan otoritas. Vendor melompat pada kesempatan
untuk memetakan kemampuan mereka untuk menangani kontrol spesifik dari beberapa
peraturan dan standar.
Jaringan Frontiers mungkin adalah
perusahaan yang paling terkenal yang mencoba hal yang tidak mungkin: membuat
pemetaan umum kontrol TI di setiap peraturan, standar, dan praktik terbaik yang
ada. Hasilnya disebut IT UnifiedCompliance Kerangka. Selanjutnya, ini pemetaan
diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan
beberapa vendor lainnya untuk membantu menjembatani penyelarasan kontrol yang
dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas
individual.
Satu sudut pandang menunjukkan
kerangka adopsi tunggal akan menyederhanakan teknologi pengembangan produk,
struktur organisasi, dan tujuan pengendalian. Yang lain sudut pandang
menunjukkan bahwa kompleksitas kepentingan regional, politik, bisnis, budaya,
dan kepentingan yang berbeda memastikan kerangka kontrol yang diterima secara
universal tidak akan pernah tercipta. Kebenaran mungkin terletak di suatu
tempat di tengahnya. Meskipun satu set standar internasional tidak dapat
dipastikan, alat yang dijelaskan dalam bab ini tetap berfungsi untuk
menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan yang
pada akhirnya menguntungkan para peserta.
6.
Manajemen Risiko
·
Manfaat
Manajemen Risiko
Tidak diragukan lagi potensi manajemen risiko
TI masih dirahasiakan. Selama beberapa tahun terakhir, banyak organisasi telah
meningkatkan efektivitas kontrol TI mereka atau mengurangi biaya mereka dengan
menggunakan analisis risiko dan praktik manajemen risiko yang baik.
Ketika manajemen memiliki pandangan yang
mewakili eksposur TI organisasi, ia dapat mengarahkan sumber daya yang tepat
untuk mengurangi area dengan risiko tertinggi daripada menghabiskan sumber daya
yang langka di daerah-daerah yang memberikan sedikit atau tanpa pengembalian
investasi (ROI). Hasil bersihnya adalah tingkat pengurangan risiko yang lebih
tinggi untuk setiap dolar yang dibelanjakan.
·
Manajemen
Risiko dari Perspektif Eksekutif
Bisnis adalah tentang risiko dan imbalan.
Eksekutif diminta untuk mempertimbangkan manfaat investasi dengan risiko yang
terkait dengan mereka. Sebagai akibatnya, sebagian besar telah cukup mahir
mengukur risiko melalui analisis ROI(return of investment), indikator kinerja
utama, dan segudang alat analisis keuangan dan operasional lainnya. Agar
berhasil dalam mengelola risiko TI organisasi, Anda harus memahami bahwa
eksekutif melihat risiko dalam hal keuangan.
·
Mengatasi
Risiko
Risiko dapat diatasi dengan tiga cara:
menerimanya, memitigasi, atau mentransfernya. Metode yang tepat sepenuhnya
bergantung pada nilai finansial dari risiko versus investasi yang diperlukan
untuk menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak
ketiga. Selain kontrol preskriptif, peraturan seperti HIPAA / HITECH dan PCI
mengharuskan organisasi menilai risiko terhadap informasi yang dilindungi dan
menerapkan kontrol yang wajar untuk mengurangi risiko ke tingkat yang dapat
diterima.
·
Penerimaan
Risiko
Nilai finansial dari suatu risiko seringkali
lebih kecil daripada biaya mitigasi atau transfernya. Dalam hal ini, opsi yang
paling masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk
menerima risiko, ia harus menunjukkan bahwa risiko memang dinilai dan
mendokumentasikan alasan di balik keputusan tersebut.
·
Mitigasi
risiko
Ketika suatu risiko memiliki nilai finansial
yang signifikan, seringkali lebih tepat untuk mengurangi risiko daripada
menerimanya. Dengan sedikit pengecualian, biaya penerapan dan pemeliharaan
kontrol harus lebih kecil daripada nilai moneter dari risiko yang dimitigasi.
Kami menunjukkan cara menetapkan nilai moneter untuk risiko nanti dalam bab ini
·
Transfer
Risiko
Industri asuransi didasarkan pada transferensi
risiko. Organisasi sering membeli asuransi untuk menutupi biaya dari pelanggaran
keamanan atau pemadaman sistem bencana. Penting untuk dicatat bahwa perusahaan
asuransi yang menawarkan jenis-jenis kebijakan ini sering mengharuskan pemegang
polis menerapkan kontrol tertentu. Kegagalan untuk mematuhi persyaratan kontrol
dapat membatalkan kebijakan.
Ketika manajemen sistem TI dialihkan ke pihak
ketiga, tingkat risiko tertentu dapat secara kontraktual ditransfer ke pihak
ketiga juga. Dalam kasus ini, adalah tanggung jawab organisasi yang
mengalihdayakan sistemnya untuk memverifikasi bahwa risiko TI diturunkan ke
tingkat yang dapat diterima dan bahwa perusahaan yang mengelola sistemnya
memiliki kekuatan keuangan untuk menutupi kerugian jika itu terjadi.
·
Analisis
Risiko Kuantitatif vs Kualitatif
Risiko dapat dianalisis dalam dua cara: kuantitatif
dan kualitatif. Seperti yang lainnya, masing-masing memiliki kelebihan dan
kekurangan. Dimana pendekatan kuantitatif lebih obyektif dan mengekspresikan
risiko dalam hal keuangan yang dapat lebih mudah dibenarkan oleh pembuat
keputusan, juga lebih memakan waktu. Pendekatan kualitatif lebih cocok untuk
menyajikan pandangan risiko bertingkat, tetapi bisa lebih subjektif dan karena
itu sulit dibuktikan.
Organisasi dengan program manajemen risiko yang
lebih sukses cenderung lebih mengandalkan analisis risiko kualitatif untuk
mengidentifikasi area fokus dan kemudian menggunakan teknik analisis risiko
kuantitatif untuk membenarkan pengeluaran mitigasi risiko. Kami akan
mengeksplorasi setiap pendekatan nanti dalam bab ini.
·
Analisis
Risiko Kuantitatif
Dengan
sedikit pengecualian, apakah terkait dengan sumber daya keuangan, fisik, atau
teknologi, berbagai jenis risiko dapat dihitung menggunakan rumus universal
yang sama. Risiko dapat ditentukan dengan perhitungan berikut:
Risiko = nilai aset × ancaman × kerentanan (Risk = assetvalue × threat × vulnerability)
·
Unsur
Risiko
Seperti
yang Anda lihat dalam persamaan sebelumnya, risiko terdiri dari tiga elemen:
nilai aset, ancaman, dan kerentanan. Memperkirakan elemen-elemen ini dengan
benar sangat penting untuk menilai risiko secara akurat.
1. Assets / Aktiva
Biasanya direpresentasikan sebagai nilai
moneter, aset dapat didefinisikan sebagai sesuatu yang berharga bagi organisasi
yang dapat rusak, dikompromikan, atau dihancurkan oleh tindakan yang disengaja.
Pada kenyataannya, nilai aset jarang merupakan biaya penggantian sederhana;
Oleh karena itu, untuk mendapatkan ukuran risiko yang akurat, aset harus
dinilai dengan mempertimbangkan total akhir suatu akun.
2. Threats / Ancaman
Ancaman dapat didefinisikan sebagai peristiwa
potensial yang, jika disadari, akan menyebabkan dampak yang tidak diinginkan.
Dampak yang tidak diinginkan bisa datang dalam berbagai bentuk, tetapi sering
mengakibatkan kerugian finansial. Ancaman digeneralisasikan sebagai persentase,
tetapi dua faktor bermain dalam tingkat keparahan ancaman: tingkat kehilangan
dan kemungkinan terjadinya. Faktor eksposur digunakan untuk mewakili tingkat
kehilangan.
3. Vulnerabilities / Kerentanan
Kerentanan dapat didefinisikan sebagai tidak
adanya atau kelemahan kontrol kumulatif yang melindungi aset tertentu. Kerentanan
diperkirakan sebagai persentase berdasarkan tingkat kelemahan kontrol. Kami
dapat menghitung defisiensi kontrol (CD) dengan mengurangi efektivitas kontrol
dengan 1 atau 100 persen. Sebagai contoh, kita dapat menentukan bahwa kontrol
spionase industri kami adalah 70 persen efektif, jadi 100 persen - 70 persen =
30 persen (CD). Kerentanan ini akan direpresentasikan sebagai 30 persen, atau
0,3.
·
QualitativeRiskAnalysis
/ Analisis Risiko Kualitatif
Berbeda dengan pendekatan kuantitatif untuk
analisis risiko, teknik analisis risiko kualitatif dapat memberikan pandangan
tingkat tinggi ke dalam risiko perusahaan. Di mana metode kuantitatif fokus
pada formula, analisis risiko kualitatif akan berfokus pada nilai-nilai seperti
tinggi, sedang, dan rendah atau warna seperti merah, kuning, dan hijau untuk
mengevaluasi risiko
·
IT
Risk Management Life Cycle / Siklus Hidup Manajemen
Risiko TI
Seperti kebanyakan metodologi, manajemen risiko, ketika diterapkan
dengan benar, mengambil karakteristik siklus hidup . Ini dapat dibagi menjadi
beberapa tahap, dimulai dengan identifikasi aset informasi dan memuncak dengan
manajemen risiko residual. Fase spesifiknya adalah sebagai berikut:
1.
Tahap 1 Identifikasi aset informasi.
2.
Tahap 2 Hitung dan kualifikasi
ancaman.
3.
Tahap
3 Menilai kerentanan.
4.
Tahap 4 Mengurangi kesenjangan
kontrol.
5.
Tahap
5 Mengelola risiko residual.
Fase pertama dalam siklus hidup manajemen risiko adalah
mengidentifikasi aset informasi organisasi. Agar berhasil, Anda harus menyelesaikan
beberapa tugas:
o
Tentukan nilai-nilai kekritisan
informasi.
o
Identifikasi fungsi bisnis.
o
Memetakan proses informasi.
o
Identifikasi aset informasi.
o
Menetapkan nilai kekritisan ke aset
informasi
Tahap
2: Hitung dan Kualifikasi Ancaman
Langkah selanjutnya dalam siklus hidup manajemen risiko adalah
untuk mengukur dan memenuhi syarat ancaman (Gambar 18-4). Kami juga akan
melakukan pendekatan top-down saat mengidentifikasi ancaman, dimulai dengan
ancaman bisnis dan beralih ke ancaman teknis yang dapat meningkatkan ancaman
bisnis yang teridentifikasi. Kami akan menjelaskan ini lebih detail nanti.
Fase siklus hidup manajemen risiko ini memerlukan langkah-langkah berikut:
Fase siklus hidup manajemen risiko ini memerlukan langkah-langkah berikut:
o
Menilai ancaman bisnis.
o
Mengidentifikasi ancaman teknis,
fisik, dan administratif.
o
Hitung dampak ancaman dan
probabilitas.
o
Mengevaluasi aliran proses untuk
kelemahan.
o
Identifikasi ancaman komponen
proses.
Tahap
3: Kaji Kerentanan
Pada fase ini, kami akan menilai kerentanan. Dalam memeriksa
ancaman, common denominator adalah aset informasi, karena setiap ancaman
terkait dengan aset informasi. Ketika menilai kerentanan, di sisi lain,
denominator umum adalah proses informasi. Kami akan mengidentifikasi kerentanan
komponen proses terlebih dahulu dan kemudian menggabungkannya untuk menentukan
kerentanan proses kami.
Kerentanan proses kemudian akan dikombinasikan untuk menentukan
kerentanan fungsi bisnis. Selain bekerja dari atas ke bawah (dari fungsi bisnis
ke komponen proses), kita akan bekerja dari bawah ke atas dalam menilai kerentanan.
Kami akan menggunakan langkah-langkah berikut dalam menganalisis kerentanan:
o
Identifikasi kontrol yang ada dalam
kaitannya dengan ancaman.
o
Tentukan kesenjangan kontrol
komponen proses.
o
Gabungkan celah kontrol ke dalam
proses dan kemudian fungsi bisnis.
o
Mengkategorikan kesenjangan kontrol
berdasarkan tingkat keparahan.
o
Menetapkan peringkat risiko.
Tahap
4: Remediate Control Gaps
Pada titik ini, risiko kami harus dikategorikan sebagai tinggi,
sedang, atau rendah. Awalnya, kami akan fokus untuk mengurangi risiko yang
paling parah, karena kemungkinan besar kami akan melihat laba tertinggi atas
investasi kami. Intinya, kita dapat mengurangi lebih banyak risiko dengan lebih
sedikit uang. Kami akan menggunakan langkah-langkah berikut dalam remediasi kesenjangan
kontrol:
o
Pilih kontrol.
o
Implementasikan kontrol.
o
Validasi kontrol baru.
o
Hitung ulang peringkat risiko.
Tahap 5: ManageResidualRisk / Mengelola Risiko Residual
Risiko pada dasarnya bersifat dinamis, terutama komponen ancaman
risiko. Akibatnya, kita perlu mengukur risiko secara terus-menerus dan
berinvestasi dalam kontrol baru untuk merespons ancaman yang muncul. Fase ini
terdiri dari dua langkah:
o
Buat baseline risiko
o
Menilai kembali risiko
