Sumber daya TI
merupakan komponen penting dari biaya organisasi saat ini. Dengan demikian,
mereka harus dikendalikan dan dikelola untuk memberikan nilai. Organisasi
memerlukan proses untuk mengatur investasi awal, pemilihan solusi, pengambilan
keputusan, tingkat layanan, biaya layanan tersebut, dan manfaat bisnis dari
teknologi. Dengan demikian, sangat penting bahwa sebuah organisasi mendirikan
SDLC formal, lengkap dengan fase yang ditetapkan pembangunan dan poin tertentu
untuk ditinjau dan evaluasi. SDLC juga akan memanfaatkan manfaat auditor TI
secara memadai dengan cara berikut:
• Pengaruh auditor meningkat secara signifikan ketika ada prosedur formal
dan pedoman mengidentifikasi setiap fase dalam SDLC dan tingkat keterlibatan
auditor.
• Auditor akan dapat meninjau semua bidang yang relevan dan fase dari
SDLC dan laporan secara independen untuk manajemen kepatuhan terhadap tujuan
yang direncanakan dan prosedur perusahaan.
• Auditor dapat mengidentifikasi bagian yang dipilih dari sistem dan
menjadi terlibat dalam aspek teknis yang didasarkan pada keterampilan dan
kemampuan mereka.
Seperti disebutkan
sebelumnya, SDLC dapat dibagi ke dalam kategori yang melibatkan langkah berikut
yang menunjukkan peran terkait auditor. Auditor dapat memberikan evaluasi
metode dan teknik yang diterapkan dalam SDLC. Penyelesaian setiap langkah
menandai titik kontrol audit yang memberikan stimulus untuk menganalisis dan
berbagi masalah audit dengan manajemen organisasi dan memberikan perspektif
audit yang tepat waktu tentang keputusan pengendalian internal.
Tinjauan teknis
Solusi
teknis perlu dievaluasi sebelum bergerak maju untuk memastikan kesesuaian
dengan standar teknologi. Sebuah proses peninjauan teknis membantu memastikan
bahwa solusi yang tepat dipilih, yang terintegrasi dengan komponen lain dari
teknologi (misalnya, Jaringan), dan bahwa hal itu dapat didukung dengan
investasi minimal dalam infrastruktur. Salah satu cara untuk mengendalikan
solusi teknologi adalah dengan menerapkan Komite Pengarah teknis dengan
perwakilan dari berbagai disiplin teknis dan arsitek perusahaan. Sebuah Komite
Pengarah teknis menyediakan mekanisme kontrol untuk mengevaluasi dan menyetujui
solusi teknologi baru. Sebuah proses evaluasi produk formal menilai:
•
Kelayakan teknis
•
Teknologi alternatif
•
Arsitektur
•
Kompatibilitas Skill in-House
•
Lingkungan/penggantian yang ada
•
Pertimbangan pelaksanaan, perizinan, dan biaya
•
Penelitian dan analis dilihat
•
Profil perusahaan vendor dan viabilitas keuangan
Sistem manajemen
keamanan informasi
Sebuah manajemen
keamanan informasi terdiri dari infrastruktur dan seperangkat prosedur untuk
menjamin bahwa kerahasiaan, integritas, dan ketersediaan data terpenuhi.
Mendefinisikan sistem seperti ini adalah tugas yang sangat rumit. Teknologi
tidak hanya harus aman tetapi keamanannya sendiri harus dipertahankan seiring
berjalannya waktu.
Sifat kompleks
perusahaan E-commerce ' sistem TI berarti bahwa mereka selalu beresiko jika
mereka tidak memantau tren keamanan internal dan eksternal setiap saat.
Kerusakan keuangan yang disebabkan oleh kurangnya manajemen keamanan bisa
sangat serius. Dengan demikian, perusahaan E-commerce harus menerapkan sistem
manajemen keamanan yang divalidasi secara organisasional.
Langkah berikut
perlu diambil untuk mengidentifikasi dan mendokumentasikan kontrol teknis dan
organisasi serta tujuannya:
• Kebijakan dan prosedur: menetapkan kebijakan dan prosedur keamanan TI.
• Cakupan: menentukan cakupan ISMS. Lingkungan harus didefinisikan dalam
hal karakteristik organisasi, sumber daya, teknologi, dan lokasi.
• Penilaian risiko: mengidentifikasi bahaya terhadap sumber daya,
kerentanan, dan dampak pada organisasi, dan menentukan tingkat risiko.
• Bidang risiko: mengidentifikasi area risiko yang akan dikelola
berdasarkan kebijakan keamanan informasi perusahaan dan tingkat perlindungan
yang diperlukan.
• Kontrol: menerapkan kontrol yang diperlukan dan tepat untuk
implementasi oleh perusahaan dan membenarkan pilihan mereka.
• Dokumentasi: Siapkan dokumentasi
yang dipilih tindakan teknis dan organisasi/kontrol, tujuan mereka, dan alasan
untuk memilih mereka.
Pendekatan perencanaan
dan kontrol terhadap E-commerce
Manajemen keamanan
Pendekatan
korporat terhadap manajemen keamanan tingkat tinggi melibatkan berbagai aspek
dalam organisasi. Area perencanaan dan kontrol ini bersifat strategis,
organisasional, teknis, keuangan, dan legal. Masing-masing aspek ini melibatkan
kegiatan tertentu, yang akan dibahas dalam paragraf berikut.
Aspek strategis
Setelah organisasi
telah menyadari dan menerima keamanan sebagai nilai strategis, pendekatan
terhadap keamanan dimulai dengan menganalisis aspek strategis. Aspek strategis
ini melibatkan kegiatan sebagai berikut:
• Merencanakan tujuan perusahaan: Tentukan tujuan E-commerce perusahaan
dengan jelas. Ini akan membantu membentuk rencana keamanan yang efektif dan
memberikan tingkat keamanan yang memadai untuk prakarsa E-Commerce.
• Mendefinisikan anggaran: menentukan anggaran sesuai dengan keamanan
yang diperlukan untuk memenuhi tujuan yang telah disepakati.
• Mendefinisikan kebijakan keamanan informasi: mengembangkan kebijakan
yang mencakup tujuan perusahaan E-commerce, tindakan, dan metode yang
diperlukan untuk melindungi informasi dan membuat setiap karyawan di perusahaan
menyadari kebijakan ini.
Aspek organisasi
Aspek selanjutnya
melibatkan pengembangan dan penerapan tindakan organisasi untuk mendukung
infrastruktur terkait keamanan. Aspek organisasi melibatkan kegiatan berikut:
• Mengatur tim keamanan manajer dan personil teknis: menetapkan tanggung
jawab untuk pengembangan, manajemen, dan pemeliharaan informasi keamanan dan
struktur perusahaan.
• Mendefinisikan tanggung jawab: menentukan tanggung jawab untuk setiap
anggota tim keamanan dan semua orang dengan keterlibatan operasional dalam
eCommerce.
• Menggambar program pelatihan dalam teknologi dan metode: melatih semua
staf dalam masalah keamanan terkait dan penggunaan sistem keamanan. Pastikan
semua staf memiliki akses ke informasi keamanan, kebijakan, dan dokumentasi
teknis. Perbarui staf yang bertanggung jawab atas sistem dan keamanan jaringan
melalui kelas dan konferensi tentang teknologi terbaru dalam keamanan.
• Mendokumentasikan prosedur keamanan informasi: dokumen secara rinci
semua prosedur organisasi yang diperlukan untuk menerapkan kebijakan keamanan.
Menjelaskan metode melakukan setiap tugas seperti menganalisis dan mengelola
risiko informasi, keamanan fisik dari sumber daya perangkat keras/perangkat
lunak, manajemen perangkat lunak, anti- kontrol virus, cadangan, pemulihan
bencana, aman penggunaan sistem informasi (IS), aman penggunaan internet, aman
penggunaan e-mail, sistem operasi (OSs) keamanan, keamanan server web, dan
manajemen insiden.
• Penerapan prosedur keamanan: distribusikan kebijakan dan prosedur
keamanan dalam organisasi dalam bentuk dokumentasi, alat, dan metode.
• Kepatuhan terhadap prosedur keamanan: melakukan audit berkala untuk
menilai validitas dan kecukupan kebijakan. Ini akan membantu perusahaan untuk
memastikan bahwa sistem mematuhi kebijakan dan prosedur tertulis.
Aspek teknis
Setelah aspek
organisasi telah dibuat, infrastruktur teknologi yang tepat dapat dikembangkan
yang memberikan keamanan fisik dan logis untuk IS, sebagai berikut:
• Keamanan infrastruktur
– Firewall: ini adalah suatu keharusan bagi sebuah perusahaan E-commerce
untuk menggunakan firewall untuk melindungi jaringan lokal perusahaan terhadap
serangan luar.
-Akses kontrol: organisasi juga perlu membangun sistem kontrol akses ke informasi.
-Otentikasi: akses sistem otentikasi perlu didirikan dan
diimplementasikan menggunakan teknologi sesuai dengan klasifikasi keamanan yang
ditugaskan untuk data, sistem, dan jaringan.
-Kriptografi: metode kriptografi yang tepat perlu dipilih untuk
melindungi informasi yang ditransmisikan Apakah itu internal atau eksternal.
Akses ini harus aman baik lokal maupun jarak jauh.
-Perlindungan virus: anti-virus sistem harus dilaksanakan untuk
melindungi data dan informasi penting.
-Backup: Backup sistem akan diperlukan dalam kasus kecelakaan yang akan
mengakibatkan hilangnya data.
– Deteksi intrusi: Alat Deteksi intrusi diperlukan untuk memonitor
jaringan kritis, mengidentifikasi setiap serangan atau gangguan, dan mengambil
tindakan korektif segera.
– Sistem operasi dan aplikasi: Pedoman tentang bagaimana melindungi OS
dan aplikasi yang diperlukan untuk mencegah serangan.
-Database dan sistem file: tindakan keamanan yang tepat akan diperlukan
untuk melindungi data dan file sistem terhadap serangan.
-Kerentanan manajemen: setiap elemen dari infrastruktur TI perlu secara
sistematis dikelola untuk kerentanan. Mengidentifikasi kerentanan dari waktu ke
waktu dengan menggunakan alat perangkat lunak. Menganalisa dan menilai risiko.
Terakhir, dan yang paling penting, mengambil tindakan korektif untuk
menyelesaikan masalah yang ditemukan dalam analisis kerentanan.
– Memantau ancaman: staf TI perlu waspada setiap saat tentang ancaman
saat ini. Ancaman dan serangan baru dilaporkan setiap hari dalam peringatan
keamanan di situs web dan di newsgroup.
Aspek keuangan
Sebuah evaluasi
keuangan harus dilakukan dari sumber daya perusahaan yang membutuhkan
perlindungan. Analisis biaya harus dilakukan dari biaya solusi keamanan yang
akan diadopsi. Ingat bahwa untuk sebuah perusahaan E-commerce, tidak ada
keamanan akan menghasilkan biaya yang lebih besar.
Aspek hukum
Organisasi
E-commerce juga perlu mempertimbangkan persyaratan hukum yang berlaku di
masing-masing negara sebelum pelaksanaan kontrol teknis dan organisasi untuk
memastikan keamanan informasi perusahaan. Kebijakan keamanan harus mematuhi
hukum nasional dan internasional. Misalnya, jika Anda memiliki operasi di
Inggris, maka organisasi harus mematuhi UU perlindungan data 1998.
Skenario di atas
mewakili jenis pos pemeriksaan auditor dan manajemen yang biasanya harus dicari
dalam tahap perencanaan dan kontrol. Seperti yang dibahas kemudian, itu
mewakili rencana aksi untuk mencapai produk dan deliverable. Rencana proyek
adalah dokumen yang mengendalikan yang penyimpangan terhadap rencana dapat
dipantau, diidentifikasi, dan dibenarkan dengan dokumentasi pendukung.
Keterlibatan audit
dalam perencanaan dan analisa
Perencanaan dan
analisis untuk sistem adalah area pertama yang menjadi perhatian auditor.
Sebuah kebutuhan bisnis ada sebagai alasan untuk pengembangan setiap sistem.
Kebutuhan bisnis dirumuskan menjadi tujuan, dan rencana dikembangkan untuk
mencapai tujuan.
Upaya awal
terutama terdiri dari pengorganisasian audit dan review dan evaluasi kontrol
pengembangan atas SDLC. Fungsi auditor didominasi kepatuhan. SDLC adalah
struktur kontrol dan auditor yang menjamin kesesuaian proyek dengan struktur
kontrol.
Konsep Rencana
Perencanaan yang
buruk dan kurangnya keterlibatan orang kunci dalam rencana proyek adalah kunci utama
dari kegagalan pelaksanaan sistem. Rencana yang baik akan memperjelas tujuan
sistem. Keinginan dan kesalahpahaman pengguna dapat disorot dan diselesaikan di
awal proses pengembangan. Dengan demikian, konsepsi rencana melibatkan kegiatan
berikut:
• Auditor membuat penentuan kewajaran dan manfaat dari proyek, potensi
untuk memenuhi kebutuhan bisnis, dan konsisten kesepakatan dengan kebijakan
perusahaan dan tujuan. Harus ada poin evaluasi proyek secara periodik yang
dirancang dalam rencana di mana proyek dapat diubah atau sepenuhnya
ditinggalkan.
• Auditor mengidentifikasi keberadaan komunikasi tujuan organisasi dari
manajemen puncak ke bawah. Oleh karena itu rencana tersebut harus mencakup
metode untuk memuaskan mandat organisasi tingkat tinggi serta mereka dari
manajemen pengguna dan pengguna tertentu.
• Persyaratan auditor diperkenalkan pada waktu yang tepat. Tidak ada
kejutan dari auditor dan stigma auditor hambatan terhadap proyek ini
diminimalkan. Kepercayaan dari semua pihak SDLC ditingkatkan. Proyek sering
terdiri dari anggota tim dari berbagai bagian organisasi. Koordinator Proyek
harus menyelesaikan pekerjaan tanpa memiliki tanggung jawab langsung atas
anggota tim. Auditor yang berpartisipasi dalam pengembangan sistem akan
menghadapi struktur organisasi matriks ini dan akan diminta untuk mempengaruhi
anggota tim proyek dan pengguna berdasarkan logika dan kekuatan bukti. Auditor
harus menjadi kontributor yang terpercaya dan terbuka untuk mempengaruhi
rencana proyek dan mencapai tujuannya.
Organisasi proyek
Auditor
mengevaluasi kelayakan struktur organisasi untuk mendukung pengembangan sistem
secara memadai. Keputusan mengenai isi dari tim pengembangan proyek adalah
milik manajemen pengguna. Sering kali, keterlibatan pengguna ini telah
diabaikan sebagai manajemen telah turun tanggung jawabnya kepada spesialis TI.
Organisasi proyek melibatkan
kegiatan berikut:
• Tanggung jawab staf harus didefinisikan dengan jelas. Selain itu, Semua
anggota tim harus memiliki pemahaman umum tentang bagaimana proyek akan
dilakukan dan hubungan proyek dengan strategi bisnis perusahaan serta keinginan
pengguna tertentu dari sistem.
• Metode komunikasi harus dibuat dan disetujui oleh semua peserta.
Auditor harus memberikan perhatian khusus pada komunikasi dengan manajemen
pengguna. Hal ini penting bahwa manajemen mengembangkan pemahaman tentang
berbagai aspek proyek. Hal ini memastikan bahwa proyek tidak menyimpang dari
tujuan dasar.
• Tim proyek harus mengerahkan upaya yang cukup besar terhadap analisis
masalah bisnis dan apa sistem adalah untuk menghasilkan tanpa awalnya berusaha
untuk mengembangkan desain sistem (konvensional, mentalitas programmer TI).
Auditor harus mengamati bahwa tanggung jawab utama adalah untuk tidak
mengembangkan produk tetapi untuk memuaskan pengguna. Seringkali pengguna tidak
mengerti apa yang benar-benar diperlukan. Hanya dengan memahami bisnis
pengguna, masalah, tujuan, kendala, kelemahan, dan kekuatan, tim proyek dapat
memberikan produk yang dibutuhkan pengguna.
Masing-masing
daerah sangat penting dalam pengembangan SDLC, perencanaan dan kontrol keamanan
untuk dukungan E-commerce, atau fungsi komponen TI lainnya. Dengan menggunakan
tujuan kontrol untuk informasi dan teknologi terkait atau Komite sponsor
organisasi sebagai pemeriksaan atau bimbingan, auditor atau manajer TI dapat
menentukan apakah struktur perencanaan dan kontrol di tempat dan bekerja.
