Audit Keamanan Sistem Informasi pada Bank "X" dengan COBIT 4.1 Proses DS5.
iii
Universitas Kristen Maranatha
ABSTRAK
Pada saat ini audit sistem informasi sangat diperlukan karena perkembangan teknologi sistem informasi itu sendiri yang semakin maju. Salah satu
framework yang sering digunakan untuk melakukan proses audit ini adalah COBIT. Metode penelitian yang digunakan pada audit ini ialah dengan observasi dan wawancara. Dikarenakan pembahasan ini menyangkut informasi yang sensitif, maka atas permintaan pihak bank, nama bank dirubah menjadi Bank X. Dengan adanya audit ini diharapkan Bank X akan dapat meningkatkan kualitas dari sistem informasi yang sudah ada khususnya pada domain Delivery and Support modul kelima yaitu Ensure Systems Security yang membahas mengenai keamanan sistem informasi. Keywords : Audit Sistem Informasi, COBIT, Delivery and Support, Ensure Systems Security.
(2)
iv
Universitas Kristen Maranatha
ABSTRACT
Information System audit is very much needed nowadays because of the technology development of the information system itself that became more sophisticated. One of the most used framework for these audit processes is COBIT. The research methods used in this audit are by observation and interview. Because of the sensitive information provided in this study, therefore at the request of the bank, the name of the bank was changed to X. With this audit X Bank can improve the quality of the information system especially within the fifth module of Delivery and Support domain Ensure Systems Security which covers the security of information system.
Keywords : Information System Audit, COBIT, Delivery and Support, Ensure Systems Security.
(3)
vi
Universitas Kristen Maranatha
DAFTAR ISI
PRAKATA ... i
ABSTRAK ... iii
ABSTRACT ...iv
DAFTAR SINGKATAN ... v
DAFTAR ISI...vi
DAFTAR GAMBAR ... viii
BAB I PENDAHULUAN ... 1
1.1. Latar Belakang Masalah... 1
1.2. Rumusan Masalah ... 2
1.3. Tujuan Pembahasan ... 2
1.4. Ruang Lingkup Kajian ... 2
1.5. Sumber Data ... 4
1.6. Sistematika Penyajian ... 4
BAB II KAJIAN TEORI ... 5
2.1. Audit Sistem Informasi ... 5
2.2. Framework ... 6
2.3. COBIT ... 7
2.4. Maturity Level ... 8
2.5. DS5 Ensure Systems Security ... 12
2.6. Kriptografi ... 16
BAB III HASIL AUDIT ... 17
3.1. Proses Bisnis Organisasi ... 17
3.1.1 Proses Pembukaan Deposito ... 17
3.1.2 Proses Pengajuan Kredit ... 19
3.1.3 Proses Pembukaan Rekening Tabungan ... 21
3.1.4 Proses Penutupan Rekening Tabungan ... 22
3.1.5 Proses Kliring Debet ... 24
3.1.6 Proses Kliring Kredit ... 27
3.2. Hasil Analisis ... 29
3.2.1 DS 5.1 Management of IT Security ... 29
(4)
vii
Universitas Kristen Maranatha
3.2.3 DS 5.3 Identity Management ... 33
3.2.4 DS 5.4 User Account Management ... 35
3.2.5 DS 5.5 Security Testing, Surveillance, and Monitoring... 37
3.2.6 DS 5.6 Security Incident Definition ... 38
3.2.7 DS 5.7 Protection of Security Technology ... 39
3.2.8 DS 5.9 Malicious Software Prevention, Detection, and Correction ... 40
3.2.9 DS 5.10 Network Security ... 41
3.2.10 DS 5.11 Exchange of Sensitive Data ... 43
BAB IV SIMPULAN DAN SARAN ... 45
4.1. Simpulan ... 45
4.2. Saran ... 45
DAFTAR PUSTAKA ... 47
(5)
viii
Universitas Kristen Maranatha
DAFTAR GAMBAR
Gambar 1 Pembukaan Deposito ... 17
Gambar 2 Pengajuan Kredit ... 19
Gambar 3 Pembukaan Rekening Tabungan ... 21
Gambar 4 Penutupan Rekening Tabungan ... 22
Gambar 5 Kliring Debet ... 24
(6)
1
Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1. Latar Belakang Masalah
Dalam era globalisasi ini, perkembangan teknologi yang ada mempengaruhi kinerja sebuah perusahaan, salah satu teknologi yang sering digunakan adalah sistem informasi untuk menangani proses bisnis yang dilakukan perusahaan. Akan tetapi penanganan sistem informasi yang kurang baik dapat menghambat proses kegiatan perusahaan.
Bank X merupakan sebuah bank yang sudah menerapkan sistem informasi secara online untuk setiap transaksi perbankan yang terjadi. Salah satu aspek penting dalam sistem informasi adalah keamanan dan integritas data yang diproses dalam sistem tersebut, juga diperlukan manajemen keamanan sistem informasi yang baik untuk menangani celah atau kelemahan pada sistem yang mungkin bisa dimanfaatkan untuk merusak data.
Dengan adanya audit sistem informasi ini, Bank X akan dapat mengenali kelemahan yang terdapat pada sistem, dan menangani masalah yang terjadi dengan lebih baik dan terencana dan juga dapat melakukan peningkatan keamanan pada sistem informasi yang sudah ada.
(7)
Universitas Kristen Maranatha
1.2. Rumusan Masalah
Keamanan dalam tiap transaksi perbankan sangat penting. Bagaimana proses manajemen keamanan yang diterapkan pada Bank X?
1.3. Tujuan Pembahasan
Dengan melakukan audit keamanan sistem informasi yang terdapat pada Bank X, maka akan tercipta manajemen keamanan yang lebih efektif untuk memperkecil efek dari dampak pada bisnis akibat celah pada keamanan sistem dan juga menjaga integritas informasi dan perlindungan aset IT.
1.4. Ruang Lingkup Kajian
Penelitian ini akan terfokus pada domain Delivery and Support pada sistem informasi Bank X khususnya modul DS5, control objective yang akan dibahas antara lain:
5.1 Management of IT security
Mengatur keamanan IT sehingga manajemen keamanan sejalan dengan kebutuhan bisnis.
5.2 IT Security Plan
Membuat perencanaan keamanan IT dan memastikan rencana tersebut dijalankan dalam bentuk prosedur dan kebijakan perusahaan. 5.3 Identity Management
Memastikan pembuatan identitas dan hak akses pengguna diminta oleh manajemen pengguna, disetujui oleh pemilik sistem dan diterapkan oleh penanggung jawab keamanan.
(8)
Universitas Kristen Maranatha 5.4 User Account Management
Menangani permintaan, penciptaan, pengeluaran, penundaan, perubahan, dan penutupan akun pengguna dan hak user terkait dengan berbagai prosedur manajemen akun pengguna.
5.5 Security Testing, Surveillance and Monitoring
Menguji dan mengawasi implementasi keamanan IT dengan cara yang bersifat proaktif.
5.6 Security Incident Definition
Secara jelas mendefinisikan dan mengkomunikasikan berbagai ciri dari insiden keamanan yang berpotensi terjadi sehingga dapat secara benar dikenali dan ditangani.
5.7 Protection of Security Technology
Membuat teknologi keamanan yang tahan akan gangguan, dan tidak menyebarkan dokumentasi keamanan jika tidak perlu.
5.9 Malicious Software Prevention, Detection, and Correction
Menetapkan tindakan pencegahan, pendeteksian, dan koreksi pada tempatnya (khususnya update keamanan terbaru dan kontrol virus). 5.10 Network Security
Menggunakan teknik pengamanan dan prosedur manajemen (contoh:
firewall, aplikasi keamanan, segmentasi jaringan, deteksi gangguan) yang berhubungan untuk mengijinkan akses dan mengendalikan arus informasi dari dan kepada jaringan.
5.11 Exchange of Sensitive Data
Pertukaran data transaksi yang sensitif hanya dilakukan melalui jalur atau perantara yang dipercaya.
(9)
Universitas Kristen Maranatha
1.5. Sumber Data
Penelitian ini akan menggunakan berbagai sumber data antara lain: 1. Referensi tentang proses manajemen keamanan diperoleh dari
CobiT 4.1
2. Information Systems Control and Audit 3. Auditing Information Systems
4. Information Technology Control and Audit 3rd Edition 5. Wawancara dan observasi dokumen Bank X
1.6. Sistematika Penyajian
Secara garis besar laporan ini terdiri dari 4 bab antara lain: BAB I PENDAHULUAN
Membahas mengenai latar belakang dan rumusan masalah juga tujuan diadakannya audit sistem informasi pada Bank X.
BAB II KAJIAN TEORI
Membahas mengenai sumber teori mengenai audit sistem informasi yang akan dilakukan pada Bank X.
BAB III HASIL AUDIT
Membahas mengenai temuan audit yang diperoleh dari Bank X. BAB IV SIMPULAN DAN SARAN
Membahas mengenai simpulan yang diperoleh dari audit yang telah dilakukan dan saran untuk memperbaiki atau meningkatkan sistem informasi yang ada.
(10)
45
Universitas Kristen Maranatha
BAB IV SIMPULAN DAN SARAN
4.1. Simpulan
Berdasarkan hasil audit yang sudah tercapai, maka dapat ditarik kesimpulan berdasarkan perumusan masalah dan tujuan sebagai berikut :
Manajemen keamanan sudah ada di Bank X, akan tetapi sebagian besar dari manajemen tersebut belum optimal terutama pada proses 5.5, 5.6, 5.7, dan 5.10 karena permasalahan keamanan yang terjadi pada proses tersebut umumnya ditangani oleh pihak IT atau vendor
aplikasi dan belum terdapat prosedur khusus untuk menangani permasalahan tersebut. Bank X secara garis besar sudah mencapai level 3 Defined untuk modul DS5.
4.2. Saran
Berikut ini adalah saran yang dapat menjadi bahan pertimbangan apabila Bank X akan melakukan audit pada modul lain di kemudian hari :
1. DS8 Manage Service Desk and Incidents
Karena Bank X perlu memiliki prosedur penanganan akan permasalahan dan insiden yang mungkin terjadi agar masalah bisa ditangani dengan efisien dan dengan demikian meningkatkan produktivitas.
(11)
Universitas Kristen Maranatha 2. DS10 Manage Problems
Karena Bank X perlu memiliki manajemen penanganan permasalahan untuk meningkatkan kualitas layanan dan juga tingkat kepuasan nasabah.
(12)
Universitas Kristen Maranatha
DAFTAR PUSTAKA
CobiT 4.1. (2007). Rolling Meadows, IT Governance Institute.
Imbar, R. V. (2005). Pelaksanaan Sistem Kontrol Audit Sistem Informasi pada Organisasi. Jurnal Informatika UKM, Vol. I, No. 1, 11-19.
Kromodimoeljo, S. (2009), Teori dan Aplikasi Kriptografi, SPK IT Consulting. Senft, S., & Gallegos, F. (2009), Information Technology Control and Audit (3rd ed.). New York: Auerbach Publications.
Weber, R. (1999), Information Systems Control and Audit, Pearson Education.
(1)
1.2. Rumusan Masalah
Keamanan dalam tiap transaksi perbankan sangat penting. Bagaimana proses manajemen keamanan yang diterapkan pada Bank X?
1.3. Tujuan Pembahasan
Dengan melakukan audit keamanan sistem informasi yang terdapat pada Bank X, maka akan tercipta manajemen keamanan yang lebih efektif untuk memperkecil efek dari dampak pada bisnis akibat celah pada keamanan sistem dan juga menjaga integritas informasi dan perlindungan aset IT.
1.4. Ruang Lingkup Kajian
Penelitian ini akan terfokus pada domain Delivery and Support pada sistem informasi Bank X khususnya modul DS5, control objective yang akan dibahas antara lain:
5.1 Management of IT security
Mengatur keamanan IT sehingga manajemen keamanan sejalan dengan kebutuhan bisnis.
5.2 IT Security Plan
Membuat perencanaan keamanan IT dan memastikan rencana tersebut dijalankan dalam bentuk prosedur dan kebijakan perusahaan.
5.3 Identity Management
Memastikan pembuatan identitas dan hak akses pengguna diminta oleh manajemen pengguna, disetujui oleh pemilik sistem dan diterapkan oleh penanggung jawab keamanan.
(2)
5.4 User Account Management
Menangani permintaan, penciptaan, pengeluaran, penundaan, perubahan, dan penutupan akun pengguna dan hak user terkait dengan berbagai prosedur manajemen akun pengguna.
5.5 Security Testing, Surveillance and Monitoring
Menguji dan mengawasi implementasi keamanan IT dengan cara yang bersifat proaktif.
5.6 Security Incident Definition
Secara jelas mendefinisikan dan mengkomunikasikan berbagai ciri dari insiden keamanan yang berpotensi terjadi sehingga dapat secara benar dikenali dan ditangani.
5.7 Protection of Security Technology
Membuat teknologi keamanan yang tahan akan gangguan, dan tidak menyebarkan dokumentasi keamanan jika tidak perlu.
5.9 Malicious Software Prevention, Detection, and Correction
Menetapkan tindakan pencegahan, pendeteksian, dan koreksi pada tempatnya (khususnya update keamanan terbaru dan kontrol virus). 5.10 Network Security
Menggunakan teknik pengamanan dan prosedur manajemen (contoh:
firewall, aplikasi keamanan, segmentasi jaringan, deteksi gangguan)
yang berhubungan untuk mengijinkan akses dan mengendalikan arus informasi dari dan kepada jaringan.
5.11 Exchange of Sensitive Data
Pertukaran data transaksi yang sensitif hanya dilakukan melalui jalur atau perantara yang dipercaya.
(3)
1.5. Sumber Data
Penelitian ini akan menggunakan berbagai sumber data antara lain: 1. Referensi tentang proses manajemen keamanan diperoleh dari
CobiT 4.1
2. Information Systems Control and Audit 3. Auditing Information Systems
4. Information Technology Control and Audit 3rd Edition 5. Wawancara dan observasi dokumen Bank X
1.6. Sistematika Penyajian
Secara garis besar laporan ini terdiri dari 4 bab antara lain: BAB I PENDAHULUAN
Membahas mengenai latar belakang dan rumusan masalah juga tujuan diadakannya audit sistem informasi pada Bank X.
BAB II KAJIAN TEORI
Membahas mengenai sumber teori mengenai audit sistem informasi yang akan dilakukan pada Bank X.
BAB III HASIL AUDIT
Membahas mengenai temuan audit yang diperoleh dari Bank X. BAB IV SIMPULAN DAN SARAN
Membahas mengenai simpulan yang diperoleh dari audit yang telah dilakukan dan saran untuk memperbaiki atau meningkatkan sistem informasi yang ada.
(4)
BAB IV SIMPULAN DAN SARAN
4.1. Simpulan
Berdasarkan hasil audit yang sudah tercapai, maka dapat ditarik kesimpulan berdasarkan perumusan masalah dan tujuan sebagai berikut :
Manajemen keamanan sudah ada di Bank X, akan tetapi sebagian besar dari manajemen tersebut belum optimal terutama pada proses 5.5, 5.6, 5.7, dan 5.10 karena permasalahan keamanan yang terjadi pada proses tersebut umumnya ditangani oleh pihak IT atau vendor aplikasi dan belum terdapat prosedur khusus untuk menangani permasalahan tersebut. Bank X secara garis besar sudah mencapai level 3 Defined untuk modul DS5.
4.2. Saran
Berikut ini adalah saran yang dapat menjadi bahan pertimbangan apabila Bank X akan melakukan audit pada modul lain di kemudian hari :
1. DS8 Manage Service Desk and Incidents
Karena Bank X perlu memiliki prosedur penanganan akan permasalahan dan insiden yang mungkin terjadi agar masalah bisa ditangani dengan efisien dan dengan demikian meningkatkan produktivitas.
(5)
2. DS10 Manage Problems
Karena Bank X perlu memiliki manajemen penanganan permasalahan untuk meningkatkan kualitas layanan dan juga tingkat kepuasan nasabah.
(6)
DAFTAR PUSTAKA
CobiT 4.1. (2007). Rolling Meadows, IT Governance Institute.
Imbar, R. V. (2005). Pelaksanaan Sistem Kontrol Audit Sistem Informasi pada Organisasi. Jurnal Informatika UKM, Vol. I, No. 1, 11-19.
Kromodimoeljo, S. (2009), Teori dan Aplikasi Kriptografi, SPK IT Consulting. Senft, S., & Gallegos, F. (2009), Information Technology Control and Audit (3rd ed.). New York: Auerbach Publications.
Weber, R. (1999), Information Systems Control and Audit, Pearson Education.