IT Audit Methodologies

IT Audit Methodologies

Metodologi IT Auditaudit subject menentukan apa yang akan di audit audit objective menentukan tujuan dari audit audit scope menentukan system, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit preaudit planning : mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit. audit procedures dan steps for data gathering menentukan cara malakukan audit untuk memeriksa dan menguji kontrol, menentukan siapa yang akan diwawancarai. evaluasi hasil pengujian dan pemeriksaan spesifik pada tiap organisasi. prosedur komunikasi dengan pihak manajemen : spesifik pada tiap organisasi audir report preparation (menentukan bagaimana cara mereview hasil audit) : evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.

Metodologi IT AuditComputer Assisted Audit Techniques (CAATs) CobiT International Organization for Standardization (ISO) BS 7799 - Code of Practice (CoP) BSI - IT Baseline Protection Manual ITSEC Common Criteria (CC)

Computer Assisted Audit Techniques (CAATs)

Menggunakan komputer sebagai audit tool Termasuk beberapa tipe tool dan teknik seperti : audit software, data analysis application, test data, software tracing Contohnya : ACL, IDEA, Monarch, dll

Control Objectives for IT (CobiT)Control objectives untuk IT Dikembangkan oleh Information System Audit dan Control Association (ISACA) International open standard Digunakan oleh lebih dari 30,000 auditorsGovernance, Kontrol & Audit untuk IT Developed by ISACA RilisCobiT 1: 199632 Processes 271 Control Objectives

CobiT 2: 199834 Processes 302 Control Objectives

CobiT - Model untuk IT Governance

36 Control models digunakan sebagai basis:Business control models (e.g. COSO) IT control models (e.g. DTIs CoP)

CobiT control model melingkupi:Security (Confidentiality, Integrity, Availability) Fiduciary (Effectiveness, Efficiency, Compliance, Reliability dari Informasi) IT Resources (Data, System Aplikasi , Teknologi, Fasilitas, Manusia)

CobiT - Framework

CobiT - Struktur4 DomainsPO - Perencanaan & Organisasi (Planning and Organization)11 proses (high-level control objectives)

AI - Acquisition & Implementasi6 proses (high-level control objectives)

DS - Delivery & Support13 proses (high-level control objectives)

M - Monitoring4 proses (high-level control objectives)

CobiT - IT Process MatrixKriteria InformationEffectiveness Efficiency Confidentiality Integritas Availability Compliance Reliability

Sumber Daya IT Manusia Aplikasi Teknologi Fasilitas Data

Proses ITMicrosoft Excel-Tabelle

CobiT - KesimpulanUtamanya digunakan untuk IT audits, security aspects Tidak ada detail evaluasi mengenai deskripsi metodologi Dikembangkan oleh organisasi internasional (ISACA) Up-to-date: Versi 2 dirilis pada 1998 Hanya mendeskripsikan tujuan high-level control Detail tentang ukuran IT control tidak didokumentasikan Tidak user friendly - learning curve! Hasil evaluasi tidak ditunjukkan pada bentuk grafik

CobiT - KesimpulanMungkin digunakan untuk self assessments Useful aid dalam implementasi Sistem IT control Tidak cocok basis ke write security handbook CobiT package dari ISACA: $ 100.-3 bagian didownload gratis dari site ISACA Software available dari Methodware Ltd., NZ (www.methodware.co.nz) CobiT Advisor 2nd edition: US$ 600.--

International Organization for Standardization (ISO)ISO 9001 : 2000 Quality management systems ISO 17799 Information Security Management Standard

Definisi SecurityConfidentialitas IntegritasCorrectness (Pembetulan) Completeness (Pelengkap)

Availabilitas

PO - Planning and OrganisationPO 1 Mendefinisikan sebuah rencana Strategis IT PO 2 Mendefinisikan Arsitektur Informasi PO 3 Mendeterminasikan Technological Direction PO 4 Mendefinisikan Organisasi IT dan Relationship PO 5 Memanage IT Investment PO 6 Mengkomunikasikan Tujuan Management dan Direction PO 7 Memanage SDM PO 8 Meyakinkan Compliance dengan

AI - Acquisition dan ImplementasiAI 1 Mengidentifikasi Solusi AI 2 Acquire dan Maintain Software Aplikasi AI 3 Acquire dan Maintain Arsitektur Teknologi AI 4 Develop dan Maintain Prosedur IT AI 5 Menginstall dan Accredit Systems AI 6 Memanage Perubahan

DS - Delivery dan SupportDS 1 Mendefinisikan Level Service DS 2 Memanage Third-Party Service DS 3 Memanage Performance dan Kapasitas DS 4 Meyakinkan Continuous Service DS 5 Meyakinkan Sistem Security DS 6 Mengidentifikasikan dan Biaya Attribute DS 7 Edukasi dan Train Users DS 8 Assist dan Advise IT Customers DS 9 Memanage Konfigurasi DS 10 Memanage Problem dan Incident DS 11 Memanage Data DS 12 Memanage Fasilitas DS 13 Memanage Operation

M - MonitoringM1 M2 M3 M4 Memonitor Processes Assess Internal Control Adequacy Obtain Independent Assurance Menyetujui Independent Audit

BS 7799 - CoPCode of Practice untuk Inform. Security Manag. Dikembangkan oleh UK DTI, BSI: British Standard RilisCoP: 1993 BS 7799: Bagian 1: 1995 BS 7799: Bagian 2: 1998Sertifikasi & Akreditasi scheme (c:cure)

BS 7799 - Kategori ControlInformation security policy Security organisation Assets classification & control Personnel security Physical & environmental security Computer & network management

BS 7799 - Kategori ControlSystem access control Systems development & maintenance Business continuity planning Compliance

BS7799 - 10 Key ControlsDokumen informasi security policy Alokasi dari tanggung jawab informasi security Information security edukasi dan training Report dari security incident Virus control

BS7799 - 10 Key ControlsProses perencanaan lanjutan bisnis Control dari proprietary software copying Safeguarding dari organizational records Proteksi Data Compliance dengan security policy

BS7799 - KesimpulanPenggunaan utama : Security Konsep & Health Checks Tidak ada detail evaluasi mengenai deskripsi metodologi British Standard, dikembangkan oleh UK DTI Sertifikasi scheme in place (c:cure) BS7799, Part1, 1995 telah direvisi pada 1999 Lists 109 siap-untuk-menggunakan security controls Tidak ada detail ukuran security yang dideskripsikan Sangat user friendly mudah untuk belajar

BS7799 - KesimpulanHasil evaluasi tidak ditunjukkan pada bentuk grafik Mungkin digunakan untuk self assessments BS7799, Bagian1: 94.-BS7799, Bagian2: 36.-BSI Electronic book dari Bagian 1: 190.-- + VAT Several BS7799 c:cure publikasi dari BSI CoP-iT software dari SMH, UK: 349+VAT (www.smhplc.com)

BSI (Bundesamt fr Sicherheit in der Informationstechnik)IT Baseline Protection Manual (IT- Grundschutzhandbuch ) Dikembangkan oleh German BSI (GISA: German Information Security Agency) Rilis:IT security manual: 1992 IT baseline protection manual: 1995 Versi baru (paper dan CD-ROM): setiap tahun

BSI - ApproachDigunakan untuk mendeterminasikan ukuran IT security untuk kebutuhan medium-level protection Straight forward approach sejak detail analisis resiko tidak ditunjukkan Berbasis pada generic & platform spesifik security requirements detailed protection measures dikonstruksi menggunakan building blocks yang diberikan List dari assembled security measures mungkin dapat digunakan untuk establish atau enhance baseline protection

BSI - StrukturUkuran IT security7 area 34 modul (building blocks)

Safeguards Katalog6 kategori pada ukuran security

Threats katalog5 kategori pada threats

BSI - KesimpulanUtamanya digunakan : Security concepts & manuals Tidak ada deskripsi metodologi evaluasi Dikembangakn oleh German BSI (GISA) Update versi dirilis setiap tahun Lists 209 threats & 420 ukuran security 34 modul cover generic & platform spesifik security requirements

BSI - KesimpulanUser friendly dengan sebanyak security details Tidak cocok untuk security resiko analysis Results of security coverage not shown in graphic form Manual in HTML format on BSI web server Manual in Winword format on CD-ROM (first CD free, additional CDs cost DM 50.-- each) Paper copy of manual: DM 118.-Software BSI Tool (only in German): DM 515.--

ITSEC, Common CriteriaITSEC: Kriteria Pengevaluasian security IT Developed by UK, Germany, France, Netherl. and based primarily on USA TCSEC(Orange Book)

RilisITSEC: 1991 ITSEM: 1993 (IT Security Evaluation Manual) UK IT Security Evaluation & Certification scheme: 1994

ITSEC, Common CriteriaCommon Criteria (CC) Developed by USA, EC: berdasar pada ITSEC ISO Standar Internasional ReleasesCC 1.0: 1996 CC 2.0: 1998 ISO IS 15408: 1999

ITSEC - MethodologyBerdasar pada sistematik, documented approach untuk pengevaluasian security dari sistem-sistem dan produkproduk Open ended with regard to defined set of security objectives ITSEC Functionality classes; e.g. FC-C2 CC perlindungan profil Langkah-langkiah pengevaluasian: Pendefisian dari fungsionalitas Asuransi: Kepercayaan diri dalam fungsionalitas

ITSEC, CC - SummaryDigunakan secara utama untuk pengevaluasian security dan tidak untuk generalisasi IT audit Used primarily for security evaluations and not for generalized IT audits Pendefinisaian metodologi evaluasi Defines evaluation methodology Berdasar pada International Standard (ISO 15408) Based on International Standard (ISO 15408) Penyertifikasian skema dalam tempatnya Certification scheme in place Updated & enhanced on a yearly basis Includes extensible standard sets of security requirements (Protection Profile libraries)

Comparison of Methods - CriteriaStandardisasi Independensi Certifiabilitas Pengaplikasian dalam latihan Adaptabilitas (Kemampuan Adaptasi)

Comparison of Methods - CriteriaExtent of Scope Hasil dari Presentasi Efisiensi Update frequency Ease of Use

Kegunaan dari Metode-metode untuk IT AuditsCobiT: Metode audit untuk semua proses IT ITSEC, CC: Systematic approach untuk evaluasi BS7799, BSI: Daftar dari penjelasan detail tentang pengukuran security untuk dapat digunakan sebagai dokumentasi terbaik dari latihan Rencana audit secara detail, checklist, alat-alat untuk technical audit (Sistem Operasi, Jaringan LAN, dan lain-lain) Yang dibutuhkan sebagai tambahan : Konsep audit (aspek umum, infrastructure audits, application audits)

Internal AuditTerdiri dari metode-metode dan prosedurprosedur Mencegah, mendeteksi, mengoreksi : yang tidak sah, tidak diinginkan, kejadia yang tidak sewajarnya Mengukur dan mengevaluasi : - keefektifan internal kontrol - pencapaian tujuan organisasi - aktivitas dan efisiensi ekonomi Merekomendasikan solusi Melaporkan ke manajemen tingkat atas atau ke dewan direksi Menyajikan review periodik, yang disebut operational audit

External AuditMemerlukan lebih banyak formalitas ketimbang internal audit Memberitahukan atau menginformasikan auditee paling tidak x bulan sebelum tanggal audit Menekankan pada kerjasama, keuntungan satu sama lain, kepentingan, hasil dan konsekuensi yang diinginkan

Perbedaan antara internal audit dan external auditInternal audit : - mengontrol lebih komprehensif serta pada level periodik yang lebih detail - merekomendasikan solusi External audit : - mengontrol pada level tinggi secara tahunan - tidak merekomendasikan solusi

Notifikasi AuditExternal audit membutuhkan lebih banyak formalitas daripada internal audit Notifikasi formal harus menyertakan : - tujuan dan ruang lingkup audit - tipe audit - waktu dan durasi audit - nama auditors Jika sudah selesai, checklist juga harus disertakan

Keuntungan notifikasi auditMemberikan auditee kesempatan : - untuk menggabungkan dokumentasi - untuk membiasakan diri/mengenalkan dengan scoring guidelines - untuk memfasilitasi presentasi yang mendukung data selama audit

Rencana Audit dan Persiapan Typical audit systems

Tujuan dan jangkauan dari audit akan mendefinisikan kebutuhan sekumpulan data Audit leader akan menentukan : - apa dan dimana data dikumpulkan - alat-alat kebutuhan untuk mengumpulkan data - bagaimana sampling akan diadakan

Maksud, jangkauan, dan tujuan

Model :

Mengembangkan Audit checklist Checklist Dev.Model

Checklist

Checklist: [1.1, 1.1.2, ...] Section: [Equipment security, Power Supplies, ...] Audit question: [ Whether the equipment is protected from power failures by using permanence of power supplies such as multiple feeds, uninterruptible power supply (UPS), backup generator etc., ] Result: Findings: ?? Compliance: ??

Demikian dari Kelompok 12 & Terima Kasih atas perhatiannya