Wadah Menulis Mahasiswa

REVIEW JURNAL AUDIT SISTEM INFORMASI DENGAN MENGUNAKAN COBIT

July 18th, 2013 | by | in ICT, Review Jurnal | No Comments

JUDUL :

 Audit Sistem Informasi/Teknologi Informasi Dengan Kerangka Kerja Cobit Untuk Evaluasi Manajemen Teknologi Informasi Di Universitas XYZ

PENULIS :

Devi Fitrianah dan Yudho Giri Sucahyo

LATAR BELAKANG:

Pemanfaatan Teknologi Informasi sebagai pendukung pencapaian tujuan dan sasaran organisasi harus diimbangi dengan keefektifan dan efisiensi pengelolaannya. Maka dari itu, audit TI haruslah dilakukan untuk menjaga keamanan sistem informasi sebagai aset organisasi, untuk mempertahankan integritas informasi yang disimpan dan diolah dan tentu saja untuk meningkatkan keefektifan penggunaan teknologi informasi serta mendukung efisiensi dalam organisasi.

TUJUAN:

Penelitian ini bertujuan untuk melakukan pemetaan terhadap tahap audit TI beserta kontrolnya yang kemudian diaplikasikan pada sebuah organisasi, yaitu Universitas XYZ untuk melihat kinerja TI yang ada.

METODE PENELITIAN:

Peneliyian ini mengunakan metode COBIT-ISACA dengan menggunakan 210 detailed control objective yang ada. Penyelenggaraan audit dilakukan dengan menggunakan tahapan-tahapan yang ada pada IT Assurance Guide

Dalam melaksanakan evaluasi, dilakukan beberapa langkah, yaitu:

a. Penentuan Rencana Audit

1. Memahami visi dan misi dari Universitas XYZ, sasaran, tujuan dan prosesnya.

2. Mengidentifikasi kebijakan, standar, pedoman serta prosedur dari Universitas XYZ.

3. Melakukan analisis resiko.

b. Menentukan lingkup audit dan tujuan audit

1. Menentukan tujuan audit TI.

2. Melakukan pemilihan control objective yang akan digunakan untuk menguji keefektifan dari proses TI yang ada.

3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.

4. Mendefinisikan proses-proses TI yang akan dikaji.

5. Mendefinisikan komponen TI yang ada di Universitas XYZ.

c. Melakukan kajian di universitas XYZ

Kajian akan dilakukan dengan menggunakan panduan yang ada dalam melakukan sebuah kajian teknologi informasi/IT assurance guide. Kajian ini meliputi detailed control objective yang disesuaikan dengan keadaan dari Universitas XYZ (berdasar pada high level control objective).

d. Melakukan analisa hasil audit

Setelah kajian dilakukan, selanjutnya menganalisis temuan-temuan yang didapat. Diharapkan hasil dari tahap analisis dapat memberikan solusi yang tepat terhadap permasalahan yang dihadapi.

HASIL:

Dari kajian yang dilakukan terhadap kondisi TI yang ada di Universitas XYZ, didapatkan temuan-temuan yang berhubungan dengan lemahnya kontrol yang diterapkan. Temuan-temuan hasil audit yang dilaporkan meliputi:

 

1. Rencana dan Strategi TI Universitas XYZ

1. Universitas XYZ sudah mempunyai konsep Rencana Strategis Teknologi Informasi namun belum cukup sempurna sehingga sampai dengan audit TI yang dilakukan, Rencana Strategis TI belum dijadikan sebagai acuan dari setiap pengembangan sistem yang ada (sistem yang dibangun bersifat adhoc).

2. Dalam melakukan pemilihan arsitektur basis data, arsitektur jaringan dan aplikasi yang akan dikembangkan, Universitas XYZ tidak melakukan studi formal, misalkan dengan melakukan tahap cost benefit analysis, atau risk analysis.

2. Keorganisasian Pengelolaan TI

1. Struktur organisasi TI

Struktur organisasi TI yang ada di Universitas TI terbagi menjadi dua unit dan dibawah dua direktorat yang berbeda, hal ini dapat menyebabkan:

a. Pengurangan tingkat independensi pengelolaan TI karena tidak dibawah satu direktorat TI sendiri yang bertanggung jawab langsung kepada rektor

b. Terpisahnya antara pusat pengembangan sistem sebagai pihak perencana dan Cybernet sebagai pihak operasional akan menyulitkan kontrol terhadap komunikasi antar dua belah pihak.

2. Staf TI

a. Untuk unit Cybernet yang sudah ada terlebih dahulu masih belum cukup dalam jumlah staf TI, dalam hal ini dibutuhkan staf yang dapat membantu untuk menjalankan peran pemeliharaan dan operasional seperti IT service desk, IT support, desktop support.

b. Untuk unit Pusat Pengembangan Sistem perlu dibutuhkan staf ahli dalam perencanaan dan pengembangan sistem seperti database administrator, programmer aplikasi, system analyst, tester engineer.

3. SIAK Universitas XYZ

1. User account management

SIAK sudah memiliki fitur untuk mengingat password tanpa harus tergantung pada staf unit Cybernet tetapi belum berjalan dengan yang diharapkan, pengguna masih bertanya kepada staf Cybernet perihal lupa password.

2. Penggunaan

a. SIAK belum memiliki bantuan asistensi penggunaan aplikasi dalam bentuk menu standar help

b. Dikarenakan pengembangan SIAK tidak mengikuti fase-fase pengembangan proyek seperti user requirement, maka dirasa masih banyak kekurangan atau ketidaksesuaian yang dirasa oleh user.

3. Proses kerja

Untuk pengisian nilai yang dimulai dari periode UTS, SIAK belum dapat menampilkan data kelas dan mahasiswa yang up to date.

4. Perancangan Aplikasi dan Basisdata

1. Untuk perancangan basis data tidak megikuti kaidah-kaidah perancangan yang umum, sehingga tidak terdapat dokumentasi yang lengkap mengenai hal tersebut.

2. Tidak terdapat diagram relasi untuk basis data sehingga basis data yang ada tidak didasari pada pendekatan analisis.

 

5. Pengembangan dan Perubahan Aplikasi

Pada awal pengembangan aplikasi SIAK tidak memiliki dokumentasi formal sehingga apabila programmer yang bersangkutan berhalangan atau berhenti maka tidak bisa dilakukan pengembangan terhadap SIAK, kecuali pembuatan dari awal kembali.

6. Pengelolaan Basisdata

1. Fungsi audit trail pada database server belum diaktifkan. Hal tersebut menimbulkan kesulitan untuk mengetahui dan menyelidiki insiden yang terjadi pada database server.

2. Proses backup dilakukan setiap tujuh hari sekali, hal tersebut menimbulkan resiko gangguan, kerusakan dan kehilangan data pada saat setelah proses backup terakhir kali dilakukan sampai proses backup berikutnya.

7. Jaringan Komputer Kampus Utama Universitas XYZ

1. Pembagian network di Universitas XYZ tidak berdasarkan pada fungsi yang sama, tetapi berdasarkan lokasi tempat device berada. Sehingga akan menyulitkan bagi satu unit yang sama tetapi menempati gedung yang berlainan untuk dapat membagi data.

2. Security masih dilakukan di tingkat jaringan saja misalkan dengan firewall atau Intrussion Detection System, dan kurang memperhatikan keamanan fisik, hal ini dilihat dari pengamanan yang kurang terhadap switch-switch yang ada pada setiap network.

8. Layanan ke Pengguna

1. Sebagian besar komputer yang ada di lingkungan kampus utama, tidak dilengkapi dengan software antivirus yang berlisensi maupun gratis (hanya pada komputer-komputer tertentu saja seperti di laboratorium komputer). Walaupun ada software tetapi tidak ter-update secara rutin.

2. Universitas XYZ belum memiliki kebijakan dan prosedur untuk mendeteksi, melaporkan dan merespon atas terjadinya insiden terhadap keamanan komputer.

9. Portal Organisasi

Terdapat keterlambatan updating isi situs web dari Univeritas XYZ, sehingga terkesan berita-berita seputar civitas akademika tidak dinamis.

KESIMPULAN

 

  1. 1.       Dari hasil pengujian terhadap keefektifan kontrol sudah ada kontrol yang berjalan yaitu PO8.1. Quality Management System, PO8.4. Customer Focus, PO8.5 Continuous Improvement dan PO8.6 Quality Measurement, Monitoring and Review, hal itupun karena ada penerapan standarisasi ISO. Kontrol yang lainnya adalah DS5.9. Malicious Software Prevention, Detection and Correction.
  2. Masih ada proses TI yang belum memiliki kontrol sama sekali seperti yang didefinisikan oleh COBIT, yaitu:

a. Domain Plan and Organise

PO3 Determine Technological Direction

PO5 Manage the IT Investment

PO9 Assess and Manage IT Risks

PO10 Manage Projects

 

b. Domain Acquire and Implementation

AI1 Identify Automated Solution

AI7 Install and Accredit Solutions and Changes

 

c. Domain Delivery and Support

DS3 Manage Performance and Capacity

DS4 Ensure Continuous Service

DS6 Identify and Allocate Cost

DS10 Manage Problem

DS11 Manage Data

DS12 Manage the Physical Environment

Ditulis Oleh

Lihat semua tulisan dari

Leave a Reply