SOP dan Audit Keamanan

BAB I
PENDAHULUAN

Saat ini teknologi informasi (TI) sudah merupakan bagian yang memegang peranan penting di dunia industri. Banyak kemudahan diberikan oleh teknologi informasi dalam menyelesaikan masalah manusia di bidang industri. Namun di lain sisi, untuk membangun sebuah teknologi informasi yang andal memerlukan biaya yang tidak sedikit.
Teknologi informasi dalam sektor perusahaan publik dan privat, administrasi publik dan bagian lain sangat rentan pada berbagai ancaman, misalnya virus, serangan hacking pada kegagalan sistem.


Proses bisnis dapat menjadi tidak berjalan dengan baik sebagai akibatnya. Secara periodik, teknologi informasi harus dilindungi agar resiko fungsional tidak menjadi rusak. Dalam implementasinya, biaya akan sangat dibutuhkan dan digunakan seefisien mungkin. Semuanya juga harus proporsional dilakukan berdasarkan
prediksi resiko yang mungkin terjadi
Selain perlindungan terhadap resiko, perlu adanya pemeriksaan terhadap implementasi
perlindungan sercara periodik untuk mengidentifikasi jika terjadi penyelewengan implementasi perlindungan. Hasil dari pemeriksaan ini juga dapat dipergunakan untuk memperbaiki standar implementasi perlindungan di masa mendatang.







BAB II
PEMBAHASAN

1. STANDAR OPERASIONAL PROSEDUR
SOP merupakan pedoman kerja bagi setiap perusahaan dalam menjalankan kegiatan operasionalnya. Dalam SOP itu biasanya diatur ketentuan-ketentuan umum yang berlaku dalam suatu unit kerja, sedangkan ketentuan khususnya diatur sendiri dalam bentuk surat edaran (SE) dari Direksi Perusahaan uang bersangkutan
Secara Garis besar setiap materi dalam SOP terdiri atas:
1. Kebijakan Umum
Kebijakan Umum biasanya terdiri atas :
a. Tujuan
b. Ruang Lingkup
c. Penanggung jawab
d. Hal-hal yang akan diatur dalam kebijakan yang bersangkutan

2. Prosedur
Prosedur biasanya berisi petunjuk pelaksanaan operasional pekerjaan yang dilakukan. Biasanya berupa urutan pekerjaan yang harus dilakukan dan lebih baik lagi jika dilengkapi dengan flow of document serta contoh-contoh format lampiran.
Contoh SOP (standard operating procedure) Post audit Inspektorat bidang kinerja kelembagaan


























































2. AUDIT TEKNOLOGI INFORMASI

Audit sendiri sebenarnya adalah proses pengawasan dan pengendalian. Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh.
Audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.

Keuntungan adanya audit antara lain:
 menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi,
 memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan,
 mengukur tingkat efektifitas dari sistem,
 mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang,
 menyediakan informasi untuk proses peningkatan,
 meningkatkan saling memahami antar departemen dan antar individu,
 melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke manajemen.
Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri. Data
audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak bertanggung
jawab.
.


Jenis-jenis audit teknologi informasi antara lain:
 audit sistem; audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional,
 audit pemenuhan (compliance); untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain,
 audit produk atau layanan; untuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan.

Kesuksesan proses audit tergantung pada hal-hal berikut:
• pemilihan auditor yang tepat,
• persiapan yang matang dan adanya respon,
• adanya laporan yang berarti,
• adanya aksi yang tepat yang diminta oleh auditor.
.
Audit teknologi informasi secara internal meliputi hal-hal berikut:
 acuan di dalam proses audit secara internal,
 kunci obyektif dan kebutuhan;
 global dan independen,
 fokus pada resiko,
 keahlian dalam mengontrol teknologi informasi internal,
 keterlibatan proyek teknologi informasi,
 review secara teratur,
 adanya standardisasi dan review yang dalam,
 rekomendasi,
 teknologi informasi dan pengetahuan,
 koordinasi yang efektif dengan pihak luar dan bagian regulasi,
 aplikasi/infrastruktur koordinasi audit,
 metodologi kerangka kerja;

Area penggunaannya meliputi:
 audit teknologi informasi,
 analisis resiko,
 pengecekan kesehatan (perbandingan keamanan),
 konsep keamanan,
 manual keamanan,

Area-area teknologi informasi yang perlu diaudit antara lain:
Area Keterangan
Manajemen Aspek-aspek keamanan yang relevan dengan perencanaan dan proses operasi khususnya pada bidang teknologi informasi
Organisasi/
Personel Aspek-aspek keamanan yang relevan untuk rekruitmen staf dan pelatihan sesuai dengan aturan-aturan fungsi-fungsi kunci, secara individu didesain pertanggungjawabannya sesuai dengan isu-isu keamanan teknologi informasi

Kontraktor
Eksternal Aspek-aspek keamanan yang relevan dalam seleksi kontraktor eksternal teknologi informasi, mendefinisikan termin kontrak dan kerjasama
Alarm-
Manajemen dan Perbaikan dari Kerusakan Identifikasi dan pemrosesan kejadian-kejadian yang relevan dengan keamanan teknologi informasi. Standar/aturan-aturan, pengukuran perbaikan bisnis untuk teknologi informasi untuk kejadian-kejadian mayor yang mungkin terjadi setelahnya.
Manajemen
Account Manajemen user account
Pusat Komputer dan Layanan Teknologi Informasi Aspek-aspek keamanan yang relevan dari konfigurasi, operasi dan proses backup sistem multi-user dan aplikasi yang berjalan didalamnya
Sistem Proses
Kontrol Aspek-aspek keamanan yang relevan dari arsitektur, konfigurasi, dan sistem kontrol proses operasi untuk proses produksi yang bersifat kritis
Infrastuktur Kerja
dan Sistem Mobil Aspek-aspek keamanan yang relevan yang terfokus pada
konfigurasi dan penggunaan PC, PC kantor, laptop, PDA, dan
sistem workstation lainnya
Jaringan Data Aspek-aspek keamanan yang relevan dari arsitektur, konfigurasi, dan operasi jaringan
Infrastruktur
Keamanan
Teknologi
Informasi Aspek-aspek keamanan yang relevan dari arsitektur, konfigurasi, dan operasi anti virus, keamanan gateway
Perubahan Cabang Privat Aspek-aspek keamanan yang relevan dari arsitektur, konfigurasi, dan operasi perubahan cabang privat
Infrastruktur Fisik Konstruksi usaha perlindungan dari infrastruktur fisik dimana operasi teknologi informasi bernaung, ditambah dengan penyediaan perangkat teknologi informasi seperti power, AC, dan kabel
Kesadaran
Keamanan Adanya kesadaran keamanan yang sesuai dan sesuai pula
diantara user


















BAB III
PENUTUP
A. Kesimpulan

Keamanan teknologi informasi banyak tidak diperhatikan karena beberapa hal berikut:
• permasalahan banyaknya biaya,
• dianggap menghabiskan biaya yang mahal,
• menghalangi pemakai melakukan pekerjaannya,
• menambah pekerjaan untuk administrasi teknologi informasi,
• dianggap hanya dibutuhkan untuk perusahaan besar.
Keamanan teknologi informasi perlu diperhatikan karena hal-hal berikut:
• di masa mendatang semua perusahaan akan menggunakan teknologi informasi
• di masa mendatang semua proses bergantung pada teknologi informasi
• persiapan perkembangan jaringan lokal maupun global
• teknologi informasi menjadi semakin kompleks
• sistem teknologi informasi menjadi terbuka (melalui internet dan akses secara
remote)

B. Saran
Demi keperluan perbaikan sistem teknologi informasi di masa mendatang maka sangat dibutuhkan proses SOP( Standar Operasional Prosedur¬) dan audit teknologi informasi demi keamanan dan kenyamanan penggunaan komputer.







DAFTAR PUSTAKA

[1] _________. 2005. IT Security Audit Material For Site Surveys in Critical
Infrastructures. Bundesamt fur Sicherheit in der Informationstechnik: Bonn,
Jerman.
[2] ________. 2008. Audit Teknologi Informasi, [html],
(http://id.wikipedia.org/wiki/Audit_IT , diakses tanggal 17 Desember 2008).
[3] Fasswald , Jan. 2004. Federal Court of Audit (Bundesrechnungshof), Audit Unit
IV 3. 2004: 2nd Seminar on IT-Audit September 1st to 4th, 2004 in Nanjing.
Bundesrechnungshof.
[4] Hone, Karin dan J.H.P. Eloff. 2001. Information Security Policy: What do
International Information Security Say?. Rand Afrikaans University.