Keamanan dan Pemeriksaan TSI Perbankanayu_ws.staff.gunadarma.ac.id/Downloads/files/72378/...Keamanan...
Transcript of Keamanan dan Pemeriksaan TSI Perbankanayu_ws.staff.gunadarma.ac.id/Downloads/files/72378/...Keamanan...
Keamanan dan
Pemeriksaan TSI PerbankanJurusan Sistem Informasi
Fakultas Ilmu Komputer dan Teknologi Informasi
Universitas Gunadarma
Vclass Perkuliahan Minggu 11(12 Mei 2020)
Keamanan (Security) Sistem Aplikasi
Perbankan
Keamanan Komputer (Computer Security) Proseduremenejerial dan teknologi yang diterapkan pada sistemkomputer untuk menjamin ketersediaan, integritas dankerahasiaan informasi yang dikelola oleh sistem komputer
Keamanan Informasi (Information Security) Hasil darisuatu sistem prosedur dan atau kebijakan untukmengidentifikasi, mengawasi dan memproteksi dari aksesyang tidak berwenang, suatu informasi yang proteksinyadibawah kewenangan eksekutif atau undang-undang
Risiko (Risk)
Konsep Risiko
ThreatsKejadian atau aktivitas dari luarsistem yang memanfaatkankelemahan sistem
menyebabkan dampak negatif
VulnerabilitiesKelemahan sistem yang biasdieksplorasi oleh ancaman
ImpactsKonsekuensi jangka pendek ataujangka panjang dari ancamanmelalui kelemahan sistem
Ancaman Sistem
Kejadian atau aktivitas, umumnya dari eksternal ke dalam sistem, yang mungkin mempengaruhi titik lemah sistem sehinggamenyebabkan dampak
SISTEM INFORMASI
Sabotase
Personnel Problem
Hardware Damage
Computer Fraud
Computer Theft
Misuse of Information
Operating Error
Data or Programing
Hacking and Computer Virus
Kelemahan Sistem
Kelemahan keamanan pada target evaluasikegagalan analisis, rancangan, implementasi atauoperasi
Kelemahan pada komponen atau sistem informasi procedure pengamanan, rancangan perangkat kerasatau pengendali internal
Kelemahan di dalam procedure keamanan sistem, rancangan sistem, implementasi dan pengendalianinternal
Kelemahan Sistem Bank di Indonesia
Bank tidak mempunyai mesin back up
Source program terpasang pada production machine
Tidak adanya pemisahan fungsi operasional dengan fungsi pengembangan aplikasi
Ketergantungan yang tinggi terhadap vendor atau staff IT dalam pengoperasian TSI
Pengendalian lingkungan TSI belum memadai
Bank mempunyai beberapa jenis aplikasi paket untuk jasa atau produk yang sama
Perubahan data atau informasi dilakukan bukan melalui sistem aplikasi tetapimelalui bahasa pemrograman atau sistem databasenya
Bank belum menerapkan program edit check untuk memproteksi kesalahan input data
Pengendalian pengguna computer (user control) relative longgar
Tidak terintegrasinta antara front end dengan back end
Dampak Risiko Sistem
Konsekuensi negatif organisasi baik jangka pendekmaupun jangka panjang yang disebabkan oleh ancamanyang bisa telah mengeksploitasi kelemahan sistem
1. Financial Fraud
2. Telecomm Fraud
3. Information Theft
4. Unauthorized Access
Pengendalian (Control)
Pengendali Aplikasi (Application Control)
1. File Control
2. Transaction Control
3. User Control
4. Programmed Procedure
IT Control Menjamin procedure program dalam sistem computer dirancang, diimplementasikan, dipelihara dan dioperasikan dengan tepat, serta perubahan yang diperkenankan saja yang dapat dibuat untuk data atau program komputer
Implikasi : Penelusuran Transaksi
Jejak Audit :
1. Catatan kronologi dari penggunaan sumber daya sistem
2. Mencakup user login, akses file, berbagai aktifitas lain dan pelanggaran
Pengendalian (Control)
Tujuan/Manfaat Control :
1. Pertanggungjawaban individu
2. Rekonstruksi kejadian
3. Deteksi instruksi
4. Analisis masalah
Internal Control
Internal Control Accounting Control danAdministrative Control
Accounting Control Rencana organisasi dan prosedurmenyangkut langsung dengan pengamanan harta milikdan administrasi harta kekayaan yang ada
Administrative Control Rencana organisasi dansemua cara dan procedure menyangkut efisiensi usahadan kebijakan pemimpin perusahaan dan tidakberhubungan langsung dengan catatan keuangan
Pelaksanaan Manajemen Risiko
Pengendalian risiko secara first line of defense yang dilakukanoleh unit kerja yang melaksanakan proses bisnis
Pengendalian risiko secara second line of defense dilakukan olehunit kerja yang memiliki fungsi manajemen risiko danindependen dari unit kerja yang melaksanakan proses bisnis
Pengendalian risiko secara third line of defense dilakukan olehunit kerja yang melaksanakan fungsi audit internal gunamemastikan kegiatan pengendalian risiko dilaksanakan secaraefektif
Internal Control
Adanya pengawasan oleh manajemen danpengendalian
Identifikasi dan penilaian risiko
Kegiatan pemantauan dan koreksi penyimpangan
Sistem akurasi, informasi dan komunikasi
Pengendalian dan pemisahan fungsi risiko
Cara Pengaplikasian Internal Control
Perbankan
Division of Duties Kegiatan pemisahan fungsiadministrative, operasional dan penyimpanan
Dual Control Kegiatan pengecekan kembali suatupekerjaan yang telah dilakukan oleh petugassebelumnya
Joint Custody/Dual Custody Dua pemegang kuncipada safe deposit box atau pada strong room yang berbeda
Cara Pengaplikasian Internal Control
Perbankan
Mandatory Vacation Mandat atau perintah untuklibur pada karyawan
Number Control Penomoran unik untuk setiaptransaksi maupun setiap karyawan
Outside Activities of Bank Personel Kegiatan personeldiluar pekerjaannya
Rotation of Duty Assignment Rolling personel dalamsuatu perusahaan
IT Audit in Banking
Audit IT Proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputeryang digunakan telah dapat melindungi asset milikorganisasi maupun menjaga integritas data, dapatmembantu pencapaian tujuan organisasi secara efektifserta menggunakan sumber daya yang dimiliki secaraefisien.
Audit IT Pengendali Aplikasi (Application Control) dan Pengendalian Umum (General Control)
IT Audit in Banking
Bank Indonesia (BI) banyaknya kasus fraud ataupembobolan bank disebabkan karena lemahnyapengawasan internal
Bank sentral meminta bank untuk introspeksi sertamembenahi pengendalian internal denganmengoptimalkan manajemen risiko
Ruang Lingkup Fungsi Audit Internal
Pelaksanaan kegiatan audit (assurance) dan konsultansiyang mencakup analisis kecukupan rancang bangundan efektivitas pelaksanaan proses Governance
Proses manajemen risiko (risk management)
Proses pengendalian intern (internal control) Bank Indonesia.
Alasan Perlunya Audit IT
Kerugian akibat kehilangan data
Kerugian akibat kesalahan pemrosesan computer
Pengambilankeputusan yang salah akibat informasi yang salah
Kerugian karena penyalahgunaan computer (Computer Abused)
Tujuan dan Lingkup Audit IT
Conformance (Kesesuaian) Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan)
Performance (Kinerja) Effectiveness (Efektifitas), Efficiency (Efisiensi) dan Reliability (Kehandalan)
Prinsip Audit IT
Kerahasiaan (Confidentiality)
Integritas (Integrity)
Ketersediaan (Availability)
Auditing Process
Perencanaan audit pendahuluan
Review pendahuluan dan assessment terhadap strukturpengendalian internal
Pengujian pengendalian dalam audit
Pengujian substantif
Pelaporan audit
Teknik dan Pendekatan Pengauditan
Berbasis Komputer
Teknik Computer Assisted Audit Techniques (CAAT) :
1. Pengauditan sekitar komputer (Auditing Arround the Computer)
2. Pengauditan melalui komputer (Auditing Through the Computer)
3. Pengauditan dengan menggunakan komputer(Auditing with the Computer)
Generalized Audit Software (GAS)
GAS Software audit yang digunakan untukpengujian substantive dengan pendekatan auditing computer
GAS Software audit yang terdiri dari satu atau lebihprogram yang applicable pada bernagai situasi audit pada suatu perusahaan