Mengenal 3 Audit Teknologi Informasi: ISO 27001, COBIT, Penetration Testing

integrasolusi.com – Bukan hanya bangunan atau keuangan, data menjadi aset yang sangat berharga bagi perusahaan. Karena itulah saat ini sudah banyak perusahaan dan lembaga yang menerapkan audit teknologi informasi guna menjaga data informasi sensitif perusahaan.

Dalam hubungannya dengan tata kelola Teknologi Informasi, audit TI ini sangat diperlukan untuk melindungi keamanan data, kelengkapan atau ketersediaan data, dan agar TI yang diterapkan berfungsi secara efektif dalam mencapai visi dan misi manajemen.

Audit TI mencakup berbagai aspek, yaitu kepatuhan terhadap standar keamanan seperti ISO 27001, kerangka manajemen TI seperti COBIT, dan penetration testing (pentest).

Definisi Audit Teknologi Informasi

Audit TI merupakan proses sistematis yang mengacu pada standar global dengan tujuan mengevaluasi dan memastikan efektivitas, keamanan, kelengkapan, dan kepatuhan tata Kelola TI. 

Dengan menerapkan audit TI, diharapkan risiko dan kelemahan dalam TI dapat diidentifikasi. Apabila ditemukan kerentanan pada keamanan informasi, maka manajemen dapat menentukan langkah perbaikan selanjutnya.

Dalam prosesnya, audit teknologi informasi terdiri dari beberapa Langkah, yakni:

1. Merencanakan proses audit.
2. Mempelajari aset TI yang ada dalam perusahaan atau organisasi.
3. Melakukan testing atau pengujian dan kontrol penilaian.
4. Menyusun laporan hasil audit.
5. Mengawal proses perbaikan evaluasi pelaporan.
6. Membuat Dokumen Laporan.

Standar dan Kerangka Kerja Proses Audit TI

Saat melakukan audit, auditor akan menganalisa kepatuhan perusahaan atau organisasi terhadap standar dan kerangka kerja yang sesuai dan signifikan. Berikut ini adalah metode dan kerangka kerja yang biasa digunakan:

ISO 27001

Pengertian ISO 27001

ISO 27001 adalah sertifikasi standar Information Security Management System (ISMS) atau sistem manajemen keamanan informasi. ISO 27001, yang merupakan seri ISO terbaru yang dirilis tahun 2013. Secara umum ISO 27001 mendeskripsikan hal-hal yang harus diterapkan perusahaan atau organisasi dalam melaksanakan konsep-konsep keamanan informasi.

Kontrol Keamanan Pada ISO 27001

Terdapat 113 kontrol keamanan TI yang ada pada ISO 27001:2013. Dalam praktiknya, perusahaan atau organisasi dapat menentukan kontrol keamanan mana yang paling relevan dengan proses yang mereka lakukan di lapangan. 

Namun, memilih kontrol keamanan mana yang paling signifikan bukan perkara mudah. Pasalnya, ada cukup banyak parameter yang harus dipertimbangkan. Karena itulah tidak sedikit perusahaan atau organisasi mengandalkan jasa konsultan keamanan TI dalam proses pemilihan kontrol keamanan tadi.

Manfaat ISO 27001

Adapun manfaat umum dari ISO 27001 adalah:

• • • Memastikan semua informasi karyawan maupun customer tersimpan dan terjaga dengan aman.
    • Mencegah risiko cyber-attack.
    • Menjalankan risiko keamanan sistem informasi dengan lebih tepat, akurat, dan efektif.
    • Dengan ISO 27001, standarisasi dalam pekerjaan bisa ditetapkan, sehingga kepatuhan kerja meningkat.
    • Sertifikasi ISO 27001 secara langsung akan meningkatkan reputasi dan tingkat kepercayaan terhadap perusahaan.
    • Perusahaan bisa meyakinkan lebih banyak customer baru dan mempertahankan customer yang sudah ada.

COBIT (Control Objectives for Information and Related Technologies)

Pengertian COBIT

Standar dan kerangka kerja berikutnya adalah COBIT. COBIT telah menjadi kerangka tata kelola dan manajemen TI yang telah banyak meningkatkan fungsi TI pada banyak lingkungan bisnis dan organisasi.

Secara umum COBIT memberikan petunjuk, panduan, dan tahapan-tahapan untuk memanfaatkan aset dan proses teknologi informasi secara efektif dan efisien. COBIT meliputi kontrol yang rapi dan terstruktur serta mudah dikelola dan dimanfaatkan sebagai alat untuk mendukung, mengarahkan, dan mengawasi semua proses TI.

Manfaat COBIT

Sejak pertama kali dirilis tahun 1996, COBIT telah banyak membantu perusahaan dan organisasi dalam meneliti, mengembangkan, mempromosikan proses pengendalian teknologi informasi. Berikut ini adalah manfaat dari COBIT:

• • • Bagi TI user, COBIT memberikan kepastian dan kepercayaan atas seberapa andal sistem aplikasi yang mereka gunakan.
    • Bagi TI auditor, COBIT membantu mengidentifikasi kontrol keamanan dan celah pada teknologi informasi yang dipakai.
    • Bagi manajemen, COBIT membantu memutuskan rencana strategis terkait TI dan keputusan investasi di bidang teknologi informasi.
    • Mengukur level kematangan TI / maturity level.
    • Memperoleh kepatuhan terhadap hukum dan peraturan yang berlaku.

Framework yang Terafiliasi Dengan COBIT

Terdapat beberapa standar dan kerangka kerja yang terafiliasi dengan COBIT 2019, yaitu:

• • • ISO/IEC 38500
    • ISO/IEC 31000
    • ISO/IEC 27000
    • TOGAF (The Open Group Architecture Framework)
    • PRINCE2 (PRojects In Controlled Environments)/PMBOK (Project Management Body of Knowledge)
    • CMMI (Capability Maturity Model Integration)
    • ITIL (Information Technology Infrastructure Library) dan ISO/IEC 2000

Penetration Testing (Pentest)

Audit teknologi informasi selanjutnya adalah penetration testing atau lebih sering disebut pentest. Pentest adalah metode yang digunakan untuk menguji keamanan sistem dan jaringan dengan melakukan simulasi serangan nyata guna mengidentifikasi celah atau kerentanan pada sistem tersebut.

Selain menguji tingkat keamanan sistem, penetration testing meningkatkan dan memperbaiki kelemahan yang ditemukan. Sehingga, apabila serangan siber nyata terjadi, maka sistem telah dibekali dengan prosedur keamanan yang ketat.

Manfaat Penetration Testing

Selain meningkatkan sistem keamanan TI, beberapa manfaat lain dari pentest adalah:

1. Menemukan celah keamanan

Pentest mampu menemukan celah-celah atau kerentanan suatu sistem jaringan komputer. Dengan ditemukannya kerentanan, sistem akan terhindari dari serangan siber.

2. Memperkirakan kerugian bisnis

Perusahaan mampu mengestimasi risiko kerugian bisnis apabila sistem jaringan komputer diserang oleh hacker. Dari sini, manajemen bisa mengetahui kemungkinan besarnya kerugian yang mereka hadapi dan menentukan langkah tepat untuk meminimalisasi kerugian tersebut.

3. Memenuhi persyaratan kepatuhan

Banyak bisnis dan pihak pemerintah mensyaratkan pengujian keamanan informasi teknologi secara berkala untuk mencegah terjadinya serangan, salah satunya adalah dengan melakukan pentest. Dengan menerapkan kerangka kerja ini, maka perusahaan telah memenuhi kepatuhan dari standar keamanan yang berlaku.

Tahapan Penetration Testing

Terdapat lima tahapan dalam pelaksanaan penetration testing. Tahapan-tahapn ini adalah:

1. Planning (perencanaan)

Tahapan pertama adalah merencanakan ruang lingkup dan tujuan pengujian, termasuk metode yang akan digunakan.

2. Scanning (pemindaian)

Tujuan dari tahap scanning adalah mempelajari bagaimana aplikasi atau sistem jaringan komputer ditargetkan mampu merespon serangan yang muncul. Di tahap ini, pentest dilakukan dengan dua cara yaitu analisis statis dan analisis dinamis.

3. Gaining access (mendapatkan akses)

Di tahap ini, penguji akan menggunakan berbagai aplikasi guna menguji keamanan sistem. Selanjutnya, penguji juga akan mengeksploitasi celah yang muncul.

3. Maintaining access (mempertahankan akses)

Pada tahapan maintaining access, Anda dapat mengetahui apakah celah bersifat permanen atau tidak. Apabila celah yang muncul berlangsung lama, maka tidak menutup kemungkinan peretas yang buruk pun mampu membobol sistem jaringan.

4. Analysis (analisa)

Tahapan yang terakhir adalah menganalisis dan melaporkan. Dengan ini, penguji dan manajemen mampu menentukan langkah strategis selanjutnya yang harus diambil untuk meningkatkan sistem keamanan.

Itu tadi penjelasan mengenai audit teknologi informasi yang digunakan untuk mengevaluasi dan mengaudit infrastruktur TI. Audit ini sangat penting dalam membantu perusahaan dan organisasi mengelola risiko, melindungi aset informasi, dan menetapkan regulasi keamanan informasi.