Untuk memastikan keamanan system dapat dilakukan Auidt system dengan menggunakan COBIT 5. Indikator yang dapat menentukan tingkat keamanan system yang digunakan oeh sebuah perusahaan dapat dilihat dari bobot nilai yang ada pada maturity level hasil perhitungan yang dilakukan pada saat audit.
Ekspektasi bobot yang diharapakan ditentukan terlebih dahulu oleh pimpinan yang bertanggung jawab pada keamanan system informasi. Setelah itu dilakukan pelaksanaan audit dengan menggunakan checklist yang sudah ditetapkan. Audit dilakukan dengan melakukan wawancara kepada karyawan perusahaan yang terlibat dalam keamanan system. Urutan setiap pertanyaan mengikuti daftar pertanyaan yang sudah ada pada checklist.
Pengelompokkan kapabilitas perusahaan dalam pengelolaan proses TI dari level nol (non-existent (belum tersedia) hingga level lima atau optimized (teroptimasi). Hal yang perlu diperhatikan adalah level tersebut bukan dimaksudkan sebagai kenaikan sekuensial yang harus dipenuhi mulai dari tingkatan terendah sampai tertinggi.
Berikut adalah contoh pelaksanaan audit pada proses TI DS5 “memastikan keamanan system”
Keterangan :
Keterangan Isian :
STS = Sangat Tidak Sepakat
SS = Sepakat Sedikit
SST = Sepakat sebagian besar
S = Sepakat
DS5 – Menjamin keamanan system
Yang perlu diingat :
- Setiap proses pada tingkat kedewasaan, harus dihitung tingkat kepatutannya
- Menghitung tingkat kepatutan adalah jumlah bobot dari setiap soal pada leve proses dibagi jumlah soal pada kriteria untuk setiap level proses
- Sealnjutnya model pelaporan ikuti seperti contoh yang dilampirkan untuk audit pada ds5
|
|
Apakah sepakat ? |
0 |
Pertanyaan |
STS |
SS |
SST |
S |
NILAI |
Level |
Kriteria |
0 |
0.33 |
0.66 |
1 |
|
0
Non Existent |
- Organisasi tidak mengenali kebutuhan keamanan TI.
- Akuntabilitas dan tanggungjawab untuk menjamin keamanan belum dibagi-bagi.
- Pengukuran dukungan pengelolaan keamanan TI tidak diimplementasikan.
- Tidak ada laporan keamanan TI dan tidak ada proses untuk merespon keamanan TI.
- Ada kekurangan dalam mengenali proses administrasi keamanan sistem.
|
|
X
X
x |
X
x
|
|
0.33
0.66
0.33
0.33
0.66 |
|
|
Tingkat Kepatutan |
0,46 |
|
|
|
|
|
|
Apakah sepakat ? |
1 |
Pertanyaan |
TSS |
ST |
DTT |
S |
NILAI |
Level |
Kriteria |
0 |
0.33 |
0.66 |
1 |
|
1
Initial/Ad-hoc |
- Organisasi mengenali kebutuhan untuk keamanan TI.
- Kesadaran mengenai kebutuhan keamanan TI bersifat individual.
- Keamanan sistem dilakukan secara reaktif.
- Keamanan sistem tidak diukur.
- Apabila ada pelanggaran keamanan TI akan terjadi saling tunjuk, karena tanggungjawabnya yang tidak jelas.
- Respon pada keamanan dan pelanggaran TI tidak dapat diprediksi.
|
|
|
|
|
|
|
|
Tingkat Kepatutan |
0.20 |
|
|
|
|
|
|
|
|
|
Apakah sepakat ? |
2 |
Pertanyaan |
TSS |
ST |
DTT |
S |
NILAI |
Level |
Kriteria |
0 |
0.33 |
0.66 |
1 |
|
|
|
|
|
|
|
|
2
Repeatable but intuitive |
- Tanggungjawab dan akuntabilitas untuk keamanan TI diberikan pada koordinator keamanan TI, walaupun hak dan wewenang dari manajemen koordinator terbatas.
- Kesadaran akan kebutuhan keamanan dibagi-bagi dan terbatas.
- Walaupun informasi yang relevan mengenai keamanan dihasilkan oleh sistem, tetapi tidak dianalisa.
- Layanan dari pihak ketiga tidak mengatur keamanan spesifik yang diperlukan organisasi.
- Kebijakan keamanan telah dilakukan, tetapi kemampuan dan peralatan masih terbatas.
- Laporan keamanan TI tidak lengkap.
- Disediakan pelatihan mengenai keamanan tetapi inisiatifnya berasal dari individu.
- Keamanan TI dilihat sebagai tanggungjawab dari domain TI dan bisnis dan tidak melihatnya sebagai hal yang dominan.
|
|
|
|
|
|
|
|
Tingkat Kepatutan |
0.40 |
|
|
Apakah sepakat ? |
3 |
Pertanyaan |
TSS |
ST |
DTT |
S |
NILAI |
Level |
Kriteria |
0 |
0.33 |
0.66 |
1 |
|
3
Define process |
- Ada kesadaran keamanan yang dilakukan oleh manajemen.
- Prosedur keamanan TI didefinisikan dan disesuaikan dengan kebijakan keamanan TI.
- Tanggungjawab untuk keamanan TI dilakukan dan dipahami, tetapi belum ditegakkan secara konsisten.
- Ada perencanaan keamanan TI dan solusinya dianalisa dengan faktor resiko.
- Laporan keamanan tidak berisi fokus bisnis yang jelas.
- Testing keamanan dilakukan secara ad hoc (untuk tujuan tertentu) misal pengujian gangguan/intrusion.
- Pelatihan keamanan disediakan untuk TI dan bisnis tetapi belum diatur dan dijadwalkan secara formal.
|
|
|
|
|
|
|
|
Tingkat Kepatutan |
0.3 |
|
|
|
|
|
|
|
|
|
Apakah sepakat ? |
4 |
Pertanyaan |
TSS |
ST |
DTT |
S |
NILAI |
Level |
Kriteria |
0 |
0.33 |
0.66 |
1 |
|
4
Manage and measureable |
- Tanggungjawab untuk keamanan TI telah diatur, dilakukan, dan ditegakkan.
- Resiko keamanan TI dan pengaruhnya telah dianalisa dan dilakukan secara konsisten.
- Kebijakan keamanan dan pelatihan dilengkapi dengan dasar keamanan yang spesifik.
- Metode yang digunakan dalam memperkenalkan kesadaran keamanan bersifat perintah.
- Identifikasi user, bukti otentik, dan otorisasi telah distandarisasi.
- Sertifikasi keamanan telah diberikan pada staff yang bertanggungjawab untuk mengaudit dan mengatur keamanan.
- Testing keamanan dilakukan sesuai standar dan proses formal untuk meningkatkan tingkat keamanan.
- Proses keamanan TI dikoordinasikan dengan seluruh fungsi keamanan organisasi.
- Laporan keamanan TI disesuaikan dengan sasaran bisnis.
- Pelatihan keamanan TI dilakukan untuk bisnis dan TI.
- Pelatihan keamanan TI direncanakan dan diatur untuk merespons kebutuhan bisnis dan menjelaskan resiko keamanan.
- KGI dan KPI untuk pengaturan keamanan telah didefinisikan tetapi belum diukur.
|
|
|
|
|
|
|
|
Tingkat Kepatutan |
0.5 |
|
|
|
|
|
|
|
|
|
|
Apakah sepakat ? |
5 |
Pertanyaan |
TSS |
ST |
DTT |
S |
NILAI |
Level |
Kriteria |
0 |
0.33 |
0.66 |
1 |
|
5
Optimised |
- Keamanan TI merupakan gabungan tanggungjawab bisnis dan manajemen TI diintegrasikan dengan sasaran bisnis.
- Kebutuhan keamanan TI telah didefinisikan, dan disertakan dalam perencanaan keamanan yang telah disetujui.
- User dan customer ditingkatkan akuntabilitasnya dalam mendefinisikan kebutuhan keamanan, dan fungsi keamanan diintegrasikan dengan aplikasi pada tahap desain.
- Insiden keamanan disesuaikan dengan prosedur formal yang didukung oleh tools otomatis.
- Penugasan keamanan secara periodik telah dilakukan untuk mengevaluasi efektifitas implementasi perencanaan keamanan.
- Informasi mengenai ancaman dan gangguan dikumpulkan dan dianalisa secara sistematis.
- Kontrol yang memadai untuk mengurangi resiko dikomunikasikan dan dilakukan.
- Testing keamanan, akar penyebab permasalahan dianalisa dan diidentifikasi yang digunakan untuk peningkatan proses keamanan.
- Proses keamanan dan teknologi disesuaikan dengan perluasan organisasi.
- KGI dan KPI untuk pengaturan keamanan dikumpulkan dan dikomunikasikan.
- Manajemen menggunakan KGI dan KPI untuk menyesuaikan perencanaan keamanan dalam proses peningkatan yang berkelanjutan.
|
|
|
|
|
|
|
|
Tingkat Kepatutan |
0.3 |
|
|
|
|
|
|
|
|
Menghitung tingkat kedewasaan adalah :
Merupakan hasil bagi antara total nilai kriteria dibagi dengan jumlah petanyaan
DS5 |
|
|
|
LEVEL KEDEWASAAN |
TINGKAT KEPATUTAN |
KONTRIBUSI TIAP LEVEL |
NILAI |
0 |
0.3 |
0 |
0 |
1 |
0.2 |
0.3 |
0.06 |
2 |
0.4 |
0.7 |
0.28 |
3 |
0.3 |
1.0 |
0.3 |
4 |
0.5 |
1.3 |
0.65 |
5 |
0.3 |
1.7 |
0.51 |
Tingkat kedewasaan Proses TI = |
1.8 |
Penjelasan penulisan berikutnya adalah membuat laporan hasil audit
FORMAT DALAM PEMBUATAN LAPORAN
- Latar belakang pelaksanaan audit
- Tim Auditor
- Temuan –temuan
No |
Fakta/Temuan |
Potensial Resiko |
Rekomendasi |
|
|
|
|
|
|
|
|
|
|
|
|
- Penjelasan temuan-temuan
- Pelaksanaan audit dengan menggunakan check list
- Grafik Radar
- Kesimpulan