Kota Berkeley
Audit Kontrol Umum Sistem Informasi
Disiapkan oleh : Ann-Marie Hogan, City Auditor, CIA, CGAP Teresa Berkeley-Simmsons, Auditor Manager, CIA, CGAP Jocelyn Nip, Auditor II, CPA Dipresentasikan kepada Dewan pada 16 September 2003 Diterjemahkan oleh : Rai S. Regawa
2180 Milvia Street, Berkeley, CA 94704 ♦ Tel.: (510) 981-6750 ♦ Fax: (510) 981-6760
AUDIT KONTROL UMUM SISTEM INFORMASI DAFTAR ISI I.
Halaman RANGKUMAN EKSEKUTIF...........................................................................................1
II.
TUJUAN DARI AUDIT..................................................................................................... 2
III. CAKUPAN DAN METODOLOGI................................................................................... 2 IV.
LATAR BELAKANG........................................................................................................ 2
V.
TEMUAN DAN REKOMENDASI Temuan 1 Temuan 2 Temuan 3 Temuan 4 Temuan 5 Temuan 6 Temuan 7 Temuan 8 Temuan 9 Temuan 10 Temuan 11.1 Temuan 11.2 Temuan 12.1 Temuan 12.2
VI.
Tidak ada kebijakan keamanan tertulis......................................................... 4 Komposisi kata sandi yang sekarang tidak memberikan proteksi kata sandi yang kuat dan kata sandi jaringan tidak memiliki masa berlaku.................. 4 Hak-hak administrasi jaringan tidak dibatasi kepada administratoradministrator jaringan................................................................................... 5 Akun pengguna karyawan yang telah diberhentikan tidak dihilangkan atau di non-aktifkan pada waktunya..................................................................... 6 Terdapat praktek-praktek yang tidak konsisten dalam memasukan “Nama Lengkap” pengguna ketika sebuah akun pengguna baru dibuat, menyebabkan kesulitan untuk mengindentifikasikan pemilik akun............. 7 Log aktivitas atau log kejadian tidak ditinjau secara teratur akan kemungkinan adanya pelanggaran keamanan atau kesalahan sistem, dilaporkan karena terbatasnya sumber daya manusia................................... 8 Kontrol keamanan terhadap akses ke dalam jaringan Kota melalui Internet tidak memadai............................................................................................... 9 Call-back tidak terpasang untuk sambungan modem..................................10 Kaset backup sistem jaringan tidak disimpan di tempat terpisah dan tidak terdapat rencanan pemulihan bencana untuk sistem jaringan..................... 10 Perlindungan terhadap kebakaran untuk ruangan komputer tidak memadai dan penyejuk udara (A/C) dalam ruangan tersebut mungkin tidak berfungsi sebagaimana mestinya.................................................................................12 Ruangan komputer dapat dimasuki oleh karyawan yang tidak memiliki ijin. .....................................................................................................................13 Server sistem yang berlokasi di luar gedung Pusat Kemasyarakatan Kota kemungkinan tidak aman............................................................................ 14 Tidak terdapat catatan inventaris yang lengkap dan akurat untuk peralatan komputer dan piranti lunak......................................................................... 14 Departemen-departemen tidak diharuskan untuk memberitahukan TI atas peralatan komputer yang mereka miliki......................................................15
KESIMPULAN................................................................................................................. 15
REFRENSI..................................................................................................................................16
Audit Kontrol Umum Sistem Informasi AUDIT KONTROL UMUM SISTEM INFORMASI I. RANGKUMAN EKSEKUTIF Kami menyelesaikan Audit Kontrol Umum Sistem Informasi yang berfokus pada kontrol fisik, kontrol inventaris, kontrol lingkungan, keamanan akses dan perencanaan pemulihan untuk sistem informasi Kota. Tiga perhatian utama yang diindentifikasi dalam audit ini adalah : 1. Kota saat ini tidak memiliki kebijakan keamanan tertulis untuk menyediakan acuan dalam pengambilan keputusan, khususnya yang terkait dengan keamanan sistem informasi atau untuk menyediakan prosedur keamanan yang dapat diikuti pengguna dan administrator sistem (Temuan 1). Mengingat kurangnya kebijakan tertulis, beberapa kondisi yang diidentifikasi dalam laporan ini meskipun diketahui secara umum, tidak dijabarkan secara memadai. 2. Kontrol Keamanan untuk menjaga terhadap akses yang tidak diijinkan pada sumber informasi Kota tampaknya tidak memadai seperti dibuktikan pada proteksi kata sandi lemah (Temuan 2), kontrol akses jarak jauh yang tidak memadai (Temuan 7), dan (account) pengguna karyawan yang sudah diberhentikan tidak dihilangkan atau di aktifkan (Temuan 4).
daya yang akun non-
3. Meskipun telah ada rencana pemulihan bencana untuk AS/400, namun tidak terdapat rencana pemulihan bencana untuk server jaringan. Sebagai tambahan, backup untuk server jaringan tidak disimpan di lokasi terpisah (Temuan 9). Pemulihan yang tepat waktu akan informasi kritis kemungkinan tidak dapat dilakukan dalam hal terjadi bencana tak terduga. Kami merekomendasikan diberikannya perhatian segera untuk menetapkan kebijakan keamanan yang mencakup seluruh Kota, untuk memperkuat kontrol akses dan untuk mengembangkan rencana pemulihan bencana untuk server jaringan yang kritis. Penemuan lain yang diidentifikasi dalam audit ini adalah : • • •
• •
• •
Hak-hak administrator jaringan tidak dibatasi kepada administrator jaringan. (Temuan 3) Terdapat praktek-praktek yang tidak konsisten dalam memasukan nama pengguna ketika sebuah akun dibuat. (Temuan 5) Log aktivitas atau log kejadian tidak ditinjau secara teratur akan kemungkinan adanya pelanggaran keamanan atau kesalahan sistem, dilaporkan karena terbatasnya sumber daya manusia. (Temuan 6) Call-back tidak terpasang untuk autentikasi lokasi dial-in ketika sebuah sambungan modem digunakan untuk mengakses jaringan. (Temuan 8) Perlindungan terhadap kebakaran untuk ruangan komputer Pusat Kemasyarakatan Kota Kota tidak memadai. Penyejuk udara (A/C) dalam ruangan tersebut mungkin tidak berfungsi sebagaimana mestinya. (Temuan 10) Peralatan komputer kritis dapat diakses secara fisik oleh karyawan Kota yang tidak memiliki ijin. (Temuan 11.1 & Temuan 11.2) Kota belum menyelesaikan catatan inventaris yang lengkap dan akurat untuk peralatan komputer dan piranti lunak serta tidak ada prosedur yang mengharuskan seluruh departemen untuk memberitahukan TI atas peralatan komputer yang mereka miliki. (Temuan 12.1 & Temuan 12.2) 1
Audit Kontrol Umum Sistem Informasi Kekhawatiran-kehawatiran tersebut telah didiskusikan dengan staf Teknologi Informasi. Kami ingin menyampaikan apresiasi kami atas masukan yang mereka berikan dalam menentukan rekomendasirekomendasi untuk menyelesaikan kekhawatiran kami, serta untuk kerja sama dan bantuan yang diberikan kepada kami selama audit ini dilakukan. II. TUJUAN DARI AUDIT Tujuan audit adalah untuk menentukan apakah kontrol umum, terutama kontrol keamanan, dalam lingkungan sistem informasi adalah memadai. Audit ini dijadwalkan untuk dilakukan dalam rencana audit tahun fiskal Auditor 2003 dengan dukungan Manajer Kota dan Direktur Teknologi Informasi. III. CAKUPAN DAN METODOLOGI Audit difokuskan pada lima area: kontrol fisik, kontrol inventaris, kontrol lingkungan, keamanan akses dan perencanaan pemulihan. Metodologinya mencakup evaluasi dari kebijakan dan prosedur yang terkait dengan teknologi informasi Kota yang sudah ada, wawancara dengan manajemen dan staf, serta analisa data dan catatan yang terkait. Periode yang dievaluasi adalah tahun fiskal 2003. Hari terakhir dari pekerjaan lapangan adalah 6 Agustus 2003, namun pengujian diselesaikan secara substansial pada 16 Juni 2003. Audit dilakukan sesuai dengan Standar Auditing Pemerintah. Audit dibatasi pada area yang dijelaskan pada bagian Cakupan dan Metodologi dari laporan ini. IV. LATAR BELAKANG departemen Teknologi Informasi (TI) memiliki anggaran US$2.506.320 untuk tahun fiskal 2003. Struktur organisasi yang saat ini berlaku pada departemen TI ditampilkan dalam Lampiran A. Berdasarkan laporan yang dipresentasikan kepada Komite oleh TI pada 1 April 2003, Kota memiliki Jaringan Area Lokal (LAN) yang menghubungkan 27 gedung. Pusat jaringan terdiri dari Pusat Kemasyarakatan Kota Kota, Pusat Pelayanan Perijinan, gedung Keselamatan Umum, Pusat Jalan 1947 dan Pusat Pelayanan Keuangan. Gedung-gedung tersebut dihubungkan dengan kabel serat optik (FO) bawah tanah. Gedung-gedung yang lain dihubungkan ke jaringan dengan sambungan T1 yang di-leasing (sambungan serat optic yang membawa data pada kecepatan tinggi dan disambungkan ke router jaringan). Menurut laporan April, Kota menggunakan 78 server Dell dan diperkirakan memiliki 1.027 komputer pribadi (PC) tersebar dalam 20 departemen. Sebagai tambahan, Kota diperkirakan memiliki 200 komputer jinjing (notebook), ditambah alat-alat portable lainnya seperti Palm Pilot dan Pocket PC. Microsoft Windows 2000 adalah sistem operasi desktop standar. Sebagian desktop lama masih menggunakan Windows 95, Windows 98 atau Windows NT. Sistem Keuangan Kota, FUND$ berjalan pada mainframe IBM AS/400. Sistem Keselamatan Umum berjalan pada perangkat keras Hewlett Packards Alpha dan komputer AS/400 yang lebih kecil. Infrastruktur jaringan Kota ditampilkan dalam Lampiran B.
2
Audit Kontrol Umum Sistem Informasi Departemen TI menyediakan dukungan teknis dan pelatihan dengan berbagai tingkatan bagi karyawan dan departemen Kota. Menurut laporan April, fungsi utama TI mencakup : • • • • • • • • •
Memelihara dan mengembangkan jaringan komputer Kota. Menyediakan dukungan kepada para pengguna desktop. Memelihara Website dan Intranet Kota. Menyebarkan dan meningkatkan sistem telepon Kota. Mengembangkan dan memelihara Sistem Informasi Geografis (SIG) Kota. Memelihara dan meningkatkan sistem keuangan Kota Mendukung dan meningkatkan sistem komputer Keselamatan Umum. Menentukan, mendapatkan dan mengembangkan aplikasi untuk departemen-departemen. Mendukung kebijakan telekomunikasi Kota.
Dukungan teknis terutama disediakan melalui Help Desk. Help Desk saat ini mengutilisasi sistem yang dikembangkan secara internal untuk melacak dan menindak lanjuti permohonan dan masalah yang dilaporkan. Departemen IT menyepakati kontrak satu tahun dengan Convergent Computing pada Desember 2000 untuk menyediakan layanan dukungan dan layanan mengatasi-masalah (trouble-shooting) bagi jaringan komputer Kota. Sejak itu, ketentuan kontrak telah dirubah tiga kali. Nilai kontrak ditingkatkan dari US$40.000 menjadi US$120.000 dan jangka waktu kontrak yang berlaku sekarang akan berakhir pada 30 Juni 2004. Seperti disebutkan dalam laporan April, “hampir setiap anggota staf yang bekerja di belakang meja sekarang memiliki komputer jaringan ...” Sebagian besar karyawan Kota diberikan akses ke Internet, Intranet Kota dan jaringan Kota. Kebijakan Kota mengenai surat elektronik (e-mail) diatur lebih lanjut dalam Peraturan Administratif (P.A.) 4.2. Karyawan juga dapat diberikan akses ke FUND$ sesuai dengan kebutuhan tugas Kota mereka. Menurut P.A. 2.6. para penyelia bertanggung jawab untuk menentukan tingkatan akses yang sesuai ke dalam sistem Kota dan mengajukan otorisasi untuk staf mereka melalui departemen TI. TI selanjutnya membuka otorisasi untuk akses ke modul tertentu melalui pemimpin modul dan memberitahukan penyelia serta direktur departemen untuk persetujuan. Permohonan layanan seperti ini diproses secara on-line pada bagian Help-Desk dari Intranet Kota, iCoBWEB. Apabila permohonan tersebut untuk karyawan baru, Help Desk akan membuat ID pengguna jaringan baru berdasarkan permohonan tersebut. Apabila karyawan baru juga memerlukan akses ke FUND$, TI akan meneruskan permohonan kepada administrator sistem AS/400 yang akan membuat akun pengguna. Mengingat terdapat berbagai modul dalam FUND$, tingkatan ijin pengguna diberikan secara individual, berdasarkan kebutuhan sesuai yang ditentukan penyelia, baik oleh administrator sistem TI (staf TI yang bertanggung jawab untuk megarahkan desain, analisa, pembuatan, pantauan, administrasi, mengatasi masalah, dan peningkatan dari jaringan komputer pribadi) atau seorang pimpinan modul (staff dalam departemen yang bertanggung jawab untuk modul tersebut). Menurut P.A. 2.6, penyelia juga bertanggung jawab untuk menginformasikan TI ketika seorang karyawan diberhentikan atau dipindahkan sehingga otorisasi sistem dapat dibatalkan atau dimodifikasi tepat waktu. Untuk mengakses sitem keuangan Kota (FUND$), seorang pengguna harus login ke jaringan Kota menggunakan ID-nya sendiri. Kontrol akses ke jaringan dengan demikian adalah garis pertahanan pertama untuk informasi keuangan yang diproses pada mainframe AS/400. Audit ini terfokus pada keamanan jaringan. Keamanan FUND$, pada basis modul akan dijabarkan dalam audit terpisah yang lebih terinci. 3
Audit Kontrol Umum Sistem Informasi V. TEMUAN DAN REKOMENDASI Temuan 1 :
Tidak ada kebijakan keamanan tertulis.
Kota saat ini tidak memiliki kebijakan keamanan tertulis. Kebijakan keamanan tertulis adalah dasar untuk megembangkan standar guna mengamankan peralatan komputer dan aset data. Kebijakan keamanan tertulis mempromosikan keseragaman dan kesesuiain dalam organisasi. Tanpa kebijakan seperti itu, tanggung jawab kontrol atau untuk menekan resiko akses yang tidak diijinkan dan penyalahgunaan dapat diabaikan. Rekomendasi 1 : Kembangkan kebijakan keamanan tertulis untuk seluruh Kota. Salah satu dari sepuluh besar rekomendasi praktek sistem informasi yang dianjurkan Internet Security Alliance termasuk : “Ciptakan kebijakan yang mencakup topik area keamanan kunci seperti keamanan manajemen resiko, indetifikasi aset kritis, keamanan fisik, manajemen sistem dan jaringan, autentikasi dan otorisasi, kontrol akses, manajemen kelemahan, manajemen insiden, kesadaran dan pelatihan, dan privasi.”1 Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. Meskipun telah ada kebijakan dan prosedur untuk e-mail dan keamanan FUND$, namun tidak ada kebijakan keamanan komprehensif yang menyeuluruh untuk Kota secara menyeluruh. Namun demikian, mengikuti perubahan struktur organisasi TI belum lama ini, Departemen TI telah mulai bekerja pada rencana keamanan komputasi enterprise dan akan membuat rancangan garis besar kebijakan sebelum 31 Desember 2003. Kebijakan tertulis final akan dikeluarkan paling lambat Desember 2004. Di antara waktu tersebut, terdapat sejumlah kebijakan dan prosedur yang dapat dengan cepat diinstitusikan dan kemudian digabungkan ke dalam kebijakan keamaman final. Secara khusus, kata-kata sandi FUND$ akan diharuskan untuk memenuhi standard kata sandi kuat yang disyaratkan, jumlah dari kesempatan untuk login akan dikurangi dan keamanan fisik dari ruangan server akan ditingkatkan. Lebih jauh lagi, sebagian kebijakan telah diimplentasikan, seperti rekomendasi bahwa server yang berada di tempat terpisah diletakkan dalam lemari yang aman, berventilasi, dan mensyaratkan persetujuan TI untuk pengadaan semua piranti keras dan piranti lunak. Temuan 2 :
Komposisi kata sandi yang sekarang tidak memberikan proteksi kata sandi yang kuat dan kata sandi jaringan tidak memiliki masa berlaku.
Menurut P.A. 4.2 yang mengatur surat elektronik, “... Karyawan harus melindungi keamanan Kota dengan secara teratur merubah kata sandi pribadi mereka.” Namun kebijakan ini tidak diterapkan karena kata sandi diatur untuk “tidak memiliki masa berlaku”. Pengguna tidak diharuskan untuk merubah kata sandinya secara berkala. Sebagai tambahan, kata sandi jaringan diatur untuk memiliki minimal 5 karakter. Hal tersebut tidak sesuai dengan “praktek terbaik” yang diterbitkan Microsoft yang menyarankan kata sandi kuat untuk setidaknya memiliki tujuh karakter yang terdiri dari huruf, angka dan simbol. Di samping itu juga tidak ada persyaratan penyusunan untuk kata sandi FUND$, meskipun pengguna diharuskan untuk merubah kata sandinya setiap enam bulan sekali karena masa 4
Audit Kontrol Umum Sistem Informasi berlakunya habis. Sebagai tambahan, sepuluh percobaan login yang tidak berhasil diperkenankan sebelum kata sandinya di-non aktifkan, melampaui praktek umum yaitu tiga hingga enam percobaan. Kata sandi kuat adalah penting karena hacker komputer terus meningkatkan alat kerja untuk memecahkan kata sandi. Kata sandi yang lemah dapat dipecahkan dalam hitungan menit oleh hacker berpengalaman, meningkatkan kelemahan akan akses tanpa ijin. Rekomendasi 2 : 2.1 2.2 2.3
Semua kata sandi diharuskan memiliki paling tidak enam karakter yang terdiri dari, huruf, angka dan simbol sesuai dengan standar “praktek terbaik” Microsoft. Pengguna diharuskan untuk mengganti kata sandi jaringan setiap enam bulan. Mengurangi jumlah percobaan login yang tidak berhasil ke dalam FUND$ menjadi antara tiga hingga enam percobaan.
Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. 2.1 TI akan mengganti persyaratan kata sandi FUND$ paling lambat 1 November 2003. Penggantian kata sandi jaringan secara teknis lebih rumit namun akan diselesaikan paling lambat 31 Desember 2003. 2.2 Kata sandi regular utnuk FUND$ akan disyaratkan untuk diganti setiap tiga bulan dan kata sandi yang lebih kuat (QAECOFR, QPGMR, QHTE, dlsb.) akan disyaratkan untuk diganti setiap bulan. Kata sandi jaringan akan disyaratkan untuk diganti setiap tiga bulan. Kedua perubahan tersebut akan dilaksanakan dalam jangka waktu seperti disebutkan dalam poin 2.1 di atas. 2.3 Hal ini akan dirubah untuk memungkinkan hanya empat percobaan dan akan diselesaikan hingga 31 Oktober 2003. Temuan 3 :
Hak-hak administrasi jaringan tidak dibatasi kepada administratoradministrator jaringan.
Sebagian dari karyawan Help Desk di luar adminstrator jaringan memiliki hak administratif untuk mengakses sumber daya yang dibatasi dalam jaringan, sehingga meningkatkan resiko terjadinya perubahan yang tidak diijinkan pada sumber daya tersebut baik karena kesalahan yang tidak disengaja maupun yang disengaja. Selama jangka waktu kerja lapangan, Administrator Jaringan menyatakan bahwa masalah ini langsung ditanggapi dengan segera menghilangkan atau menonaktifkan semua akun yang tidak diperlukan dari “Domain Admins” dan kelompok “Administrators”. Rekomendasi 3 : 3.1 3.2
Evaluasi hak-hak dan fungsi akses jaringan untuk seluruh staff TI. Hilangkan akses tanpa ijin tertulis atau akses yang tidak konsisten dengan tanggung jawab pekerjaan pengguna. Lakukan evaluasi secara berkala atas keanggotaan dalam kelompok administratif untuk memastikan tidak terjadi penugasan kelompok tanpa ijin.
5
Audit Kontrol Umum Sistem Informasi Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. 3.1 TI menghilangkan akses tanpa ijin tertulis atau akses yang tidak konsisten dengan tanggung jawab pekerjaan pengguna efektif per Juni 2003. 3.2 Evaluasi atas keanggotaan dalam kelompok administratif akan dilakukan secara caturwulanan mulai November 2003. Temuan 4 :
Akun pengguna karyawan yang telah diberhentikan tidak dihilangkan atau di non-aktifkan pada waktunya.
Informasi yang digunakan untuk operasional harian kota sering diambil, disimpan dan diakses dalam bentuk digital. Data digital, karena itu harus dibuat dapat diakses secara mudah, namun harus juga dilindungi dari penyalahgunaan. Ketika karyawan baru mulai bekerja untuk Kota, mereka ditugaskan untuk mengakses sumber daya sistem berdasarkan tanggung jawab pekerjaan. Namun demikian ketika karyawan tersebut meninggalkan Kota, akses mereka tidak selalu langsung dibatalkan. P.A. 2.6 “Aset Kota – Asuransi dan Pengembalian” mensyaratkan bahwa “Penyelia harus memberitahukan Manajer Sistem Informasi, (tembusan Direktur Departemen) untuk membatalkan atau memodifikasi akses dan/atau otorisasi untuk karyawan yang berhenti atau dipindahkan melalui e-mail atau sarana lainnya.” Tampaknya bahwa prosedur ini tidak diikuti dengan seksama. Seorang pengguna yang tidak lagi menjadi karyawan Kota seharusnya tidak lagi memiliki akses ke sistem karena itu memberikan kesempatan untuk akses yang tidak diijinkan. Hal tersebut juga membuka Kota akan resiko tindakan balas dendam yang dilakukan oleh mantan karyawan yang tidak puas. Evaluasi untuk User Manager (utilitas administratif Microsoft) mengungkapkan bahwa terdapat lebih dari 2.600 akun pengguna jaringan. Dengan menggunakan Audit Command Language (ACL) sebuah piranti lunak audit untuk mencocokkan “Nama Lengkap” pengguna dengan karyawan yang sudah diberhentikan yang disediakan oleh Payroll Audit (audit penggajian), maka auditor mengindentifikasikan 418 pengguna telah diberhentikan antara Januari 1995 sampai April 2003 (Piranti lunak penggajian tidak memiliki catatan untuk karyawan yang diberhentikan sebelum 1995). Auditor selanjutnya memilih 38 sampel dari 418 pengguna dan menemukan bahwa hanya 5% dari akun pengguna tersebut telah dinonaktifkan. Dari 38 sampel pengguna, 79% masih memiliki kemampuan akses ke dalam jaringan dan 16% dari akun tersebut disyaratkan untuk mengganti kata sandi pada login berikutnya. Sebagai tambahan, setelah memisahkan 418 akun pengguna yang sudah diidentifikasi di atas, lebih dari 400 dari nama pengguna lainnya tidak dapat dikaitkan pada nama karyawan Kota yang masih aktif sekarang. Hal tersebut mungkin karena karyawan diberhentikan sebelum 1995, nama lain yang digunakan atau dimasukkan, atau terdapat salah ketik pada nama. Rekomendasi 4 : 4.1 4.2
Segera hapus semua akun pengguna yang tidak valid dan akun pengguna karyawan yang sudah diberhentikan. Tanggung jawab untuk memberitahukan TI mengenai terminasi dan pemindahan harus tetap berada pada departemen seperti disyaratkan dalam A.P. 2.6. Namun untuk selanjutnya, seorang karyawan TI yang ditetapkan harus melakukan verfikasi dengan Payroll Audit secara caturwulanan, sebagai pemeriksaan silang bahwa akun pengguna karyawan yang diberhentikan segera dinonaktifkan atau dihapus. Sebagai tambahan, TI harus memberikan 6
Audit Kontrol Umum Sistem Informasi
4.3
masukan kepada Manajer Kota akan departemen yang gagal memberitahukan departemen TI tentang pemberhentian dan pemindahan. Manajer Kota harus mengeluarkan memo untuk mengingatkan semua departemen bahwa adalah tanggung jawab mereka untuk secara tepat waktu memberitahukan TI akan pemberhentian dan pemindahan karyawan.
Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. 4.1 Di masa lalu, akun pengguna e-mail dimatikan dengan mengganti kata sandi ketika seorang anggota staf meninggalkan Kota, tetapi akunnya sendiri dibiarkan dengan tujuan menyimpan e-mail dan file-file untuk para Kepala Departemen. TI sekarang memiliki cara alternatif untuk menyimpan bahan-bahan tersebut tanpa menyimpan akun-akun tersebut. Sebagai akibatnya, TI sekarang menghapus akun-akun karyawan yang sudah diberhentikan. TI akan menonaktifkan atau menghapus semua akun karyawan yang telah diberhentikan paling lambat 31 Agustus 2003. 4.2 Mulai November 2003 TI akan mengevaluasi pemberhentian dan pemindahan karyawan dan melaporkan kepada Manajer Kota, secara caturwulanan, departemen-departemen yang gagal menginformasikan TI tentang pemberhentian dan pemindahan. 4.3 Sebuah memo untuk mengingatkan semua departemen agara secara tepat waktu menginformasikan TI tentang pemberhentian dan pemindahan karyawan akan dikeluarkan paling lambat 16 September 2003. Temuan 5 :
Terdapat praktek-praktek yang tidak konsisten dalam memasukan “Nama Lengkap” pengguna ketika sebuah akun pengguna baru dibuat, menyebabkan kesulitan untuk mengindentifikasikan pemilik akun.
“Nama Lengkap” (Full Name) adalah sebuah area pada layar Microsoft User Manager yang digunakan untuk mencatat nama pengguna ketika akun jaringan baru dibuat. Microsoft menyatakan bahwa “Nama lengkap adalah nama pengguna yang lengkap. Adalah ide yang baik untuk menetapkan sebuah standar dalam memasukkan nama lengkap sehingga selalu dimulai dengan nama depan (Louise G. Morgan) atau dengan nama belakang (Morgan, Louise G.).” Namun Help Desk tidak memiliki aturan yang konsisten untuk memasukkan nama lengkap pemiliki akun. Kadangkala nama belakang dimasukkan diikuti dengan koma dan kemudian nama depan. Kadangkala nama depan dimasukkan lebih dahulu diikuti nama belakang. Dalam kasus tertentu, Liz, Bill dan Ted dimasukkan dan bukannya Elizabeth, William dan Theodore, menyebabkan nama lengkap berbeda dari nama yang muncul dalam catatan penggajian (payroll). Praktek-praktek tidak konsisten menjadikan sangat sulit untuk memelihara atau mempebaharui profil pengguna berdasarkan nama karyawan dan statusnya. Auditor tidak dapat mengindentifikasi semua karyawan yang diberhentikan dengan cara mencocokkan “Nama Lengkap” dengan catatan penggajian karena ketidak-konsistenan ini. Administrator Jaringan juga mengindikasikan bahwa dia menemui kesulitan dalam megindetifikasi pemilik akun khususnya dalam hal terdapat nama yang sama. Rekomendasi 5 : Masukkan “Nama Lengkap” sesuai dengan nama yang digunakan dalam catatan Penggajian. Kami juga merekomendasikan menyertakan nomor karyawan dalam area “deskripsi” untuk membedakan nama yang sama.
7
Audit Kontrol Umum Sistem Informasi Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya tetapi merencanakan untuk meyelesaikannya dengan solusi alternatif. Format nama harus sama, dan TI akan mengikuti standar untuk semua akun baru. Tetapi TI tidak setuju bahwa “Liz” harus selalu “Elizabeth”. Banyak anggota staf hanya menggunakan versi singkat dari nama mereka, dan TI merasa bahwa keinginan orang tentang bagaimana mereka ingin dipanggil harus dihormati. Namun, TI setuju bahwa protokol untuk pembuatan akun harus disebutkan dengan jelas dan akan menyertakan dokumentasi seperti itu dalam rencana keamana mereka. Temuan 6 :
Log aktivitas atau log kejadian tidak ditinjau secara teratur akan kemungkinan adanya pelanggaran keamanan atau kesalahan sistem, dilaporkan karena terbatasnya sumber daya manusia.
Kontrol seharusnya ditempatkan untuk menjamin sebuah lingkungan komputer yang aman terpelihara. Sebuah kontrol yang bagus adalah fungsi audit yang tersedia dalam sebagian besar sistem operasi. Fungsi ini membuat log atau laporan yang merekam aktivitas atau kejadian seperti percobaan akses, kegagalan login dan performa sistem yang terjadi dalam sehari atau jangka waktu tertentu. Ini adalah alat yang bisa digunakan untuk memperingati para administrator sistem akan performa sistem yang rendah atau pelanggaran keamaman. Sebuah log dapat diatur untuk berfokus pada pengguna, obyek atau proses tertentu untuk keperluan spesifik. Saat ini tidak ada prosedur yang mensyaratkan log-log tersebut untuk dievaluasi secara teratur dan tampaknya data aktivitas yang ada tidak diatur dengan baik untuk memfasilitasi evaluasi yang berarti. Sebagian log terpasang tetapi hanya dievaluasi apabila ada masalah yang dilaporkan. Tugas mengevaluasi log-log tersebut dapat menjadi intensif secara personalia. Namun demikian, tanpa evaluasi, pelanggaran keamanan dan performa rendah sistem mungkin tidak terdeteksi dan tertangani tepat waktu. Microsoft menganjurkan penggunaan log-log audit sebagai alat monitoring keamanan yang efektif : “Beberapa kontrol yang baik termasuk laporan pelanggaran dan perkecualian yang membantu manajemen menentukan, dalam waktu singkat, apakah sistem mereka telah dilanggar. Sering kali korporasi menjalankan laporan yang mencatat pelanggaran; namun menjalankan laporan-laporan tersebut saja tidak memuaskan kontrol ini. Baik laporan mengumpulkan terlalu banyak informasi, pelanggaran-pelanggaran tidak disaring, atau tidak ada yang mengevaluasi laporan-laporan. Laporan-laporan tersebut adalah rangkain kontrol lain yang membantu mengurangi resiko keamanan dalam seluruh korporasi, tetapi kami sering melihat hal tersebut dilewatkan.”2 Rekomendasi 6 : Atur log kejadian dan log perkecualian dan dievaluasi secara teratur. Menurut praktek terbaik Microsoft, “... Mengaudit sistem tidak cukup. Sebagai tambahan, log yang mencantum informasi audit harus diamankan dan dipelihara. Dengan kata lain, kontrol keamanan harus ditempatkan dalam file log aktual sendiri untuk memastikan kerahasiaan dan ketersediaan saat dibutuhkan. ... Cara terbaik untuk mengamankan file-file tersebut adalah dengan membuat kelompok auditor yang memiliki akses pada file tersebut, dan kemudian dapat mengambilnya dari semua kelompok yang lain. Orang-orang yang ditugaskan pada kelompok auditor akan bertanggung jawab untuk memlihara data yang terdapat dalam log-log.”2 Karena itu, akses ke log-log tersebut harus dibatasi kepada personil yang ditugaskan untuk memelihara dan mengevaluasi log-log tersebut.
8
Audit Kontrol Umum Sistem Informasi Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. Namun, mengevaluasi semua log adalah tidak praktis dan sangat memakan waktu. TI oleh karena itu akan mengevaluasi sample dari log sekitar satu kali sebulan dan melaporkan hasilnya secara caturwulanan. Sebagai tambahan, keamaman yang sedang dipasang pada AS/400 baru akan menyediakan sebuah tingkatan monitoring otomatis dan memungkinkan laporan audit untuk dijalankan berdasarkan kebutuhan pengguna yang bervariasi. Dokumentasi dari hasil evaluasi bulanan dan cartuwulanan akan mulai tersedia mulai November 2003. Temuan 7 :
Kontrol keamanan terhadap akses ke dalam jaringan Kota melalui Internet tidak memadai.
Menurut Administrator Jaringan, seorang karyawan yang harus menjalankan tugas Kota dari tempat yang tidak tersambung ke jaringan dapat mengajukan ijin untuk mengakses jaringan secara jarak jauh dengan mengisi form otorisasi. Form harus disetujui oleh direktur dapartemen yang bersangkutan atau direktur TI. Semua personil TI dibebaskan dari persyaratan tersebut dan diberikan akses secara otomatis karena tugas pekerjaannya sering mensyaratkan mereka untuk mengakses jaringan secara jarak jauh. Terdapat 47 form otorisasi yang disetujui tersimpan pada departemen TI. Namun lebih dari 150 pengguna termasuk personil TI telah mengakses jaringan secara jarak jauh menurut sebuah laporan sistem. Dari 150 pengguna, auditor mengevaluasi status kepegawaian dari 40 pengguna. Seorang pengguna telah diberhentikan pada tahun 1998 dan tiga pengguna telah diberhentikan pada 2002. Profil pengguna dari keempat karyawan tersebut mengindikasikan bahwa mereka tetap memiliki kemampuan akses jarak jauh ke dalam jaringan. Mengingat “auditing” tidak diaktifkan saat penugasan lapangan, auditor tidak dapat menentukan apakah karyawan-karyawan tersebut pernah mengakses jaringan setelah mereka diberhentikan. “Auditing” diaktifkan oleh Administrator Jaringan sebagai tanggapan atas permintaan auditor. Sebagai tambahan, kebanyak karyawan Kota memiliki akses jarak jauh untuk e-mail mereka melalui Internet. Server e-mail jarak jauh terletak dalam jaringan internal. Pengaturan ini membuka titik masuk kepada sumber daya informasi Kota dari luar. Auditor menemukan bahwa karyawan mana saja dapat login ke dalam jaringan melalui Internet selama dia mengtahui Uniform Resource Locator (URL) dari server akses jarak jauh. URL dapat dengan mudah diperoleh dari rekan sekantor yang memilikinya. Tampaknya informasi tersebut telah dibagi oleh karyawan Kota karena jumlah pengguna (150) jauh melampaui jumlah form otorisasi (47). Kondisi ini, digabungkan dengan proteksi kata sandi yang lemah (Temuan 2), akun pengguna karyawan yang telah diberhentikan tidak dihilangkan atau di non-aktifkan pada waktunya (Temuan 4) dan “auditing” yang tidak diaktifkan, menyebabkan sumber daya informasi Kota sangat rentan terhadap akses yang tidak diijinkan. Rekomendasi 7 : 7.1 7.2 7.3
Tambahkan kontrol keamaan tambahan atau persyaratan otentikasi sehingga hanya pengguna dengan ijin dapat mengakses sumber daya informasi Kota dari jarak jauh. Evaluasi log akses jarak jauh secara teratur untuk memastikan hanya karyawan dengan ijin yang mengakses jaringan dari Internet. Keluarkan sebuah memo yang mengingatkan para karyawan Kota tentang persyaratan atau 9
Audit Kontrol Umum Sistem Informasi 7.4
aturan untuk akses jaringan jarak jauh. IT harus mengevaluasi kebijakan akses jarak jauh jaringan yang ada sekarang dengan berkolaborasi dengan Personalia dan menetapkan perubahan dalam kebijakan keamanan baru.
Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. 7.1 Protokol keamanan WTS yang berlaku sekarang memerlukan peningkatan dan TI berencana melakukannya paling lambat Desember 2003. 7.2 TI akan menyertakan aktivitas ini dalam evaluasi berkala dari log-log yang lain dan akan mengeluasi laporan-laporan yang dibuat mulai November 2003. 7.3 Manager Kota akan mengeluarkan sebuah memo yang mengingatkan karyawan Kota mengenai persyaratan untuk akses jaringan jarak jauh paling lambat 16 Janurai 2003. 7.4 TI akan mengevaluasi kebijakan akses jarak jauh jaringan yang ada sekarang dengan berkolaborasi dengan Personalia; dan menetapkan perubahan dalam kebijakan keamanan baru paling lambat 31 Desember 2003. Temuan 8 :
Call-back tidak terpasang untuk sambungan modem.
Karyawan-karyawan yang bekerja pada lokasi yang tidak tersambung ke jaringan dapat melakukan dial-in ke jaringan Kota melalui sambungan telpon. Menurut Administrator Jaringan, pengaturan dial-in saat ini memungkinkan seorang karyawan untuk dial-in ke jaringan dari mana saja dan kapan saja. Call-back tidak terpasang untuk mengotentifikasi lokasi dial-in. Call-bak adalah alat keamanan yang digunakan untuk memverfikasi bahwa panggilan masuk berasal dari sambungan telpon yang sudah ditentukan sebelumnya. Nomor telpon dapat diatur sebagai bagian dari pengaturan dial-in dari akun pengguna. Percobaan sambungan ditolak apabila nomor call-back sambungan masuk untuk pengguna tidak menyamai nomor call-back yang telah terpasang. Dalam ke-alpa-an perlindungan kata sandi kuat (Temuan 2) dan persyaratan otentifikasi tambahan, resiko akses tanpa ijin melalui sambungan dial-in adalah tinggi. Rekomendasi 8 : Kami merekomendasikan bahwa TI memasang persyaratan call-back untuk semua sambungan dialin melalui sambungan telpon. Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. TI telah bekerja menuju menghilangkan sambungan modem di seantero Kota, dan berencana bahwa beberapa sambungan modem yang tersisa untuk digantikan sambungan leased T1 hingga November 2003, dengan demikian menyelesaikan permasalahan tersebut. Temuan 9 :
Kaset backup sistem jaringan tidak disimpan di tempat terpisah dan tidak terdapat rencanan pemulihan bencana untuk sistem jaringan.
Pendekatan paling sederhana untuk memulihkan data kirits adalah dengan secara ruitn membuat rekaman backup dari data kirits. Rekaman backup disimpan secara terpisah pada lokasi yang berbeda sehingga peralatan komputer dan data tidak hancur semuanya ketika bencana menerpa. Rencana pemulihan bencanan sebuah sistem adalah pendekatan terdokumentasi dan teruji untuk 10
Audit Kontrol Umum Sistem Informasi memulihkan operasional TI dan memulihkan proses komputer dan informasi kritis yang tersimpan dalam rekaman backup dalam hal terjadi bencana. Data AS/400 Menurut Penyelia Analis Sistem, terdapat rencana pemulihan bencana yang teruji untuk mainframe AS/400, dimana sebagian besar data keuangan ditempatkan. Rencana tersebut terakhir diuji dua tahun lalu. “Prosedur Pemulihan Sistem” mendokumentasikan prosedur yang disyaratkan untuk memulihkan file-file kritis dan aplikasi-aplikasi. Namun, tidak menyertakan informasi penting seperti situs pemulihan, informasi vendor, nama dan nomor kontak, tanggung jawab stas selama bencana, dan ketersediaan untuk pengujian berkala serta evaluasi. Prosedur backup untuk AS/400 didokumentasikan dalam “Prosedur Backup AS/400”. Namun sebagian informasi dalam panduan tersebut sudah tidak berlaku dan perlu diperbaharui. Menurut prosedur tertulis, rutinitas backup dilakukan harian dan bulanan. Backup harian dilakukan untuk menyalin pustaka produksi yang khusus dan pustaka yang dikustomisasi yang mengandung data pengguna. Backup bulanan dilakukan pada Sabtu pertama atau kedua dari setiap bulan untuk mem-backup pustaka produksi yang berkitan dengan sistem, file sistem dan profil pengguna. Baik rekaman backup harian dan bulanan dibawa pulang untuk penyimpanan oleh seorang karyawan TI. Jaringan Tidak terdapat rencana pemulihan bencanan untuk sistem jaringan dan tidak terdapat prosedur tertulis untuk mem-backup file-fila jaringan. Rutinitas backup diatur untuk berjalan secara otomatis setiap hari dan setiap dua minggu pada sebuah server backup yang terletak pada departemen TI. Beberapa server exchange yang terletak di luar gedung Pusat Kemasyarakatan Kota memiliki drive backup sendiri. Seorang Spesialis Sistem Informasi harus pergi ke lokasi-lokasi tersebut untuk mengganti kaset rekaman atau membetulkan masalah kaset secara berkala. Semua pekerjaan backup dimonitor secara terpusat oleh kelompok jaringan dalam Departemen TI. Kaset rekaman backup disimpan dalam ruangan sama dimana server backup diletakkan selama seminggu dan kemudian dipindahkan ke ruangan komputer untuk penyimpanan. Dengan tidak adanya rencana pemulihan bencana dan penyimpanan backup di lokasi terpisah, adalah menjadi tidak mungkin untuk memulihkan proses-proses dan informasi kompuer kritis dalam hal terjadi bencana besar. Rekomendasi 9 : 9.1 9.2 9.3 9.4
Simpan semua kaset backup di lokasi terpisah. Sebuah penyimpanan terpisah yang lebih aman dibandingkan dengan rumah karyawan, perlu dipertimbangkan apabila dimungkinkan secara ekonomis. Kembangkan prosedur tertulis untuk mem-backup server-server jaringan. Kembangkan rencana pemulihan bencana untuk server-server jaringan kirits. Rencana tersebut harus menyediakan pengujian berkala dari proses-proses backup. Perbaharui “Prosedur Backup AS/400”. Sempurnakan “Prosedur Pemulihan Sistem” untuk mecantumkan informasi seperti situs pemulihan dan sumber daya yang tersedia, nama-nama personil dan tanggung jawab backup mereka, nomor kontak, informasi vendor yang akan menyediakan dukungan, dan ketersediaan untuk memastikan evaluasi berkala, pengujian dan pembaharuan.
Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. 9.1 TI akan menyelidiki kemungkinandari menyimipan lebih banyak kaset di lokasi terpisah. 11
Audit Kontrol Umum Sistem Informasi 9.2 TI akan memasang peralatan baru pada September 2003 untuk mengotomatisasi seluruh proses backup jaringan. 9.3 Rencana pemulihan besar-besaran untuk seluruh jaringan, serupa dengan yang sudah ada untuk AS/400, akan sangat mahal. Karena itu kita pertama harus melakukan diskusi kebijakan dengan staf eksekutif dan Dewan untuk memutuskan seberapa jauh akan dilakukan. Departemen TI akan memulai diskusi ini di akhir tahun setelah sudah lebih jauh meneliti pilihan-pilihan yang ada. 9.4 “Prosedur Backup AS/400” akan diperbaharui paling lambar 1 September 2003, seperti direkomendasikan. Penyempurnaan “Prosedur Pemulihan Sistem”akan diselesaikan paling lambat 1 Oktober 2003. Temuan 10 :
Perlindungan terhadap kebakaran untuk ruangan komputer tidak memadai dan penyejuk udara (A/C) dalam ruangan tersebut mungkin tidak berfungsi sebagaimana mestinya.
Menurut Manajer Program Peningkatan Kapital, satu-satunya peralatan perlindungan terhadap kebakaran dalam ruang komputer Pusat Kemasyarakatan Kota adalah pemercik air dan detektor asap. Ini adalah peralatan deteksi kebakaran “secara umum” yang juga terpasang di seluruh gedung. Meskipun air adalah pemadam api yang sangat baik, air juga membuat basah peralatan komputer yang sensitif dan sangat mungkin menyebabkan kerusakan yang tidak dapat diperbaiki. Tampaknya ini bukanlah solusi yang optimal untuk melindungi perlatan komputer. Sebagai tambahan ruangan komputer secara umum memiliki aliaran udara yang lebih tinggi yang artinya asap lebih cepat terpecah dibandingkan bagian gedung lainnya. Peralatan deteksi yang lebih sensitif mungkin diperlukan untuk menyediakan deteksi api dini. Penyejuk udara di ruangan komputer mungkin tidak berfungsi sebagaimana mestinya untuk menjaga suhu udara ruangan pada tingkatan yang diinginkan. Suhu udara ruangan optimal ruangan komputer yang direkomendasikan oleh banyak ahli adalah antara 60ºF dan 70ºF. Pada satu hari auditor mengamati bahwa suhu udara luar ruangan adalah sekitar 65ºF dan termostat pada tembok dalam ruangan komputer menunjukkan 80ºF. Juga dicatat bahwa suhu udara pada bagian belakang ruangan bahkan lebih tinggi. Perlatan komputer lebih cenderung untuk rusak pada suhu udara yang tinggi. Rekomendasi 10 : 10.1 Pasang pemadam kebakaran portabel dalam ruangan komputer. Tujuannya adalah untuk meningkatkan kemampuan untuk memadamkan api atau kebakaran segera pada deteksi dini. 10.2 Selesaikan analisa muatan panas untuk menentukan apakah penyejuk udara yang ada berfungsi sebagaimana mestinya atau sudah mencukupi. 10.3 Lakukan analisa resiko untuk menentukan tingkatan perlindungan yang memadai untuk peralatan komputer. Dengan keterbatasan anggaran dan hambatan lainnya, kemungkinan akan ada prioritas yang bertentangan dalam pengeluaran. Biaya dari menerima resiko yang lebih besar akibat pengurangan pengeluaran harus dievaluasi dengan hati-hati. Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. 10.1 Pemadam kebakaran portabel telah disediakan kepada TI dan akan dipasang (secara permanan) oleh Pekerjaan Umum paling lambat November 2003. 12
Audit Kontrol Umum Sistem Informasi 10.2 Karena jumlah peralatan di ruangan server bertambah, penyejuk udara tidak selalu memadai. TI telah mengajukan permohonan kepada Kantor Proyek Kapital untuk meningkatkan penyejuk udara ruangan paling lambat Mei 2004 ketika cuaca akan mulai menempatkan muatan yang tidak dapat diterima oleh sistem penyejuk udara ruangan server. 10.3 IT akan melaksanakan anlisa resiko paling lambat 31 Desember 2003. Temuan 11.1 : Ruangan komputer dapat dimasuki oleh karyawan yang tidak memiliki ijin. Ruangan komputer pada lantai empat dari gedung Pusat Kemasyarakatan Kota secara umum diakses dengan kartu gesek yang diprogram sebelumnya. Menurut Pekerjaan Umum, kartu gesek diprogram untuk mengakses ruangan komputer hanya setelah permohonan tertulis yang disetujui oleh Direktur Teknologi Informasi diterima. Auditor mendapatkan nama-nama dari pemegang kartu gesek dari Pekerjaan Umum, yang mana kartu geseknya sudah diprogram untuk memberikan akses ke ruangan komputer. Auditor membandingkan nama-nama tersebut dengan daftar karyawan yang memiliki ijin yang disediakan TI. Tiga pemegang kartu tidak terdapat pada daftar TI dari karyawan yang memiliki ijin. Satu dari tiga pemegang kartu adalah karyawan non-TI. Tampaknya bahwa beberapa karyawan dikabulkan akses ke ruangan komputer secara salah atau ijin akses yang dikabulkan sebelumnya belum dinonaktifkan berdasarkan keperluan akses. Menurut P.A. 6.1, “Adalah tanggung jawab setiap kepala departemen untuk memastikan bahwa semua kunci gedung dan kartu akses diperoleh kembali dari karyawan-karyawan ketika terjadi pemberhentian dan/atau apabila akses ke gedung tidak lagi diijinkan.” Mengingat komputer mainframe dan sebagian besar server sistem terletak dalam ruangan komputer, akses seharusnya dibatasi kepada karyawan yang perlu melakukan tugas rutinnya dalam ruangan tersebut. Kontrol akses yang tidak memadai meningkatkan resiko dari perubahan yang tidak disengaja dan penyalahgunaan sistem yang disengaja. Rekomendasi 11.1 : Manajemen TI harus secara berkala mengevaluasi log pemegang kartu untuk ruangan komputer yang dibuat oleh Pekerjaan Umum, untuk memastikan bahwa hanya keryawan yang memiliki ijin mempunyai akses ke ruangan komputer. Apabila ada penyimpangan yang dideteksi, TI harus segera memberitahukan Pekerjaan Umum untuk membatalkan hak akses yang tidak memiliki ijin. Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya serta akan memperbaharui daftar karyawan dengan ijin untuk menambahkan dua karyawan TI dan menghilangkan akses dari karyawan non-TI secepatnya. TI juga akan mengevaluasi daftar pengguna ber-ijin dengan Pekerjaan Umum secara caturwulanan paling lambat mulai November 2003. Temuan 11.2 : Server sistem yang berlokasi di luar gedung Pusat Kemasyarakatan Kota kemungkinan tidak aman. Audtior mengunjungi Kantor Pusat Korporasi dan menemukan bahwa server-server disimpan dalam area terbuka yang tidak dikunci, meningkatkan resiko akses tanpa ijin dan pencurian. Kondisi yang sama mungkin terdapat di lokasi yang lainnya. 13
Audit Kontrol Umum Sistem Informasi Rekomendasi 11.2 : Persyaratkan bahwa minimal semua server terkunci dalam lemari apabila ruang penyimpanan yang aman tidak tersedia. Akses fisik harus dimonitor dan dibatasi pada personil yang memiliki ijin. Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. Setiap kali sebuah server dipasang pada lokasi terpisah, Departemen TI mengajukan bahwa disediakan lemari yang aman dan berventilasi. Sayangnya hal ini tidak selalu terpenuhi. Meskipun saat ini TI berusaha untuk memonitor semua ruangan server selama kunjungan lapangan rutin, departemen akan menerapkan sebuah jadwal monitoring yang terarah yang berfokus pada penilaian situs rutin mulai Desember 2003. Pekerjaan Umum berencana memasang lemari besi untuk mengamankan server-server yang berlokasi pada Kantor Pusat Korporasi paling lambar Desember 2003. Temuan 12.1 : Tidak terdapat catatan inventaris yang lengkap dan akurat untuk peralatan komputer dan piranti lunak. Audtior mengajukan permohonan untuk daftar inventaris dari peralatan komputer dan piranti lunak Kota kepada TI. Menurut Analis Sistem Senior, TI bekerja dengan setiap departemen untuk menyiapkan catatan inventaris dari semua desktop dan printer. Menurut TI, daftar inventaris sudah selesai kurang lebih 50 sampai 60 persen hingga Mei 2003. Apabila Kota tidak menyimpan catatan dari peralatan komputer yang dimilikinya, adalah sangat sulit untuk secara efektif menjaga aset-aset tersebut. Rekomendasi 12.1 : Selesaikan daftar inventaris dari peralatan komputer Kota, termasuk desktop, printer, laptop, firewall, router, server dan piranti lunak dsb. Laporan inventaris harus mencantumkan nomor identifikasi unik atau nomor seri untuk setiap item (barang) dan laporan harus diperbaharui sekali setahun. Sebagai tambahan, apabila peralatan komputer yang diidentifikasi tidak digunakan lagi atau sudah ketinggalan jaman, TI harus membuat pengaturan yang memadai untuk meniadakan peralatan tersebut seperti dijabarkan dalam P.A. 3.5 – Peniadaan Barang Surplus. Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. Daftar inventaris dari piranti keras desktop sudah diperbaharui dan sedang dievaluasi keakuratannya oleh masing-masing departemen. Untuk pertama kalinya, Kota sekarang memiliki inventaris komputer online yang tersedia bagi Direkturdirektur Departemen untuk monitoring rutin akan inventaris desktop. Pembaharuan dilakukan secara teratur dengan evaluasi Direktur Departemen mulai Juli 2003. Sebuah mekanisme untuk otomatisasi dari inventarisasi piranti lunak telah diluncurkan pada 70% dari jaringan oleh TI dan akan diselesaikan paling lambat November 2004. Temuan 12.2 : Departemen-departemen tidak diharuskan untuk memberitahukan TI atas peralatan komputer yang mereka miliki. Departemen-departemen dapat membeli desktop, printer dan peralatan komputer lain tanpa memberitahukan departemen TI. Panduan untuk pemebelian komputer yang diterbitkan paling 14
Audit Kontrol Umum Sistem Informasi terakhir dapat ditemukan dalam “Berkeley Matters” yang diterbitkan pada 3 Juni 2003 oleh Manajer Kota : IV. PANDUAN PEMBELIAN KOMPUTER Pembelian komputer dan printer baru untuk penggunaan dalam Kota harus dalam kondisi normal, dibatasi pada pilihan peralatan yang dijabarkan dalam iCoBWEB. Ketika kondisinya menunjukkan bahwa yang dibutuhkan adalah teknologi non standar, maka individu yang bertanggung jawab untuk melakukan pembelian seperti ini disarankan untuk pertama menghubungi Help Desk untuk petunjuk. Departemen Teknologi Informasi mungkin tidak dapat mendukung peralatan yang dipesan tanpa melekat pada kebijakan tersebut!” Panduan tersebut memberikan pilihan kepada departemen-departemen untuk memperoleh peralatan komputer tanpa terlebih dahulu berkonsultasi dengan departemen TI. Praktek tersebut dapat berakibat departemen memperoleh perlatan yang tidak kompatibel dengan sistem Kota, sehingga membuatnya sangat sulit bagi TI untuk melacak dan mendukung perlatan komputer untuk Kota. Rekomendasi 12.2 untuk Manajer Kota dan departemen-departemen : Persyaratkan departemen-departemen untuk mendapatkan ijin tertulis dari TI atas semua perolehan peralatan komputer yang digunakan untuk keperluan Kota. Respon Manajer Kota : TI setuju dengan temuan audit dan rekomendasinya. Divisi Pembelian dari Keuangan belum lama ini menerapkan protokol yang dirancang untuk memastikan bahwa TI diinformasikan atas semua perolehan dari piranti keras dan piranti lunak sebelum Perintah Pembelian (PO) dikeluarkan. Staf akan menentukan cara yang paling efektif untuk memastikan TI memberikan ijin tertulis atas semua pembelian peralatan komputer dan piranti lunak paling lambat November 2003. VI. KESIMPULAN Hasil audit ini mengindikasikan bahwa Kota perlu memperkuat sistem keamanannya untuk memastikan sebuah lingkungan komputer yang aman dipelihara dan sumber daya informasinya dijaga dengan baik. “Keamanan adalah bagian penting dari infrastruktur sistem. Sebuah sistem informasi dengan pondasi keamanan yang lemah akan pada akhirnya mengalami pelanggaran keamanan. Contoh pelanggaran keamanan termasuk hilangnya data, pengungkapan data, kehilangan atas ketersediaan sistem, korupsi data, dan seterusnya. Tergantung pada sistem informasi dan tingkatan pelanggaran, hasilnya bisa bervariasi dari dipermalukan, kehilangan pendapatan, hingga kehilangan nyawa.”3 Dengan semakin tingginya ketergantungan pada teknologi informasi untuk menjalankan operasional sehari-hari, strategi keamanan fleksibel yang beradaptasi terhadap perubahan lingkungan diperlukan utnuk melindungi sistem informasi dan data milik Kota. Keamanan informasi adalah proses berkesinambungan untuk mengembangkan dan menerapkan solusi keamanan. Meskipun tidak mungkin mencapai keamanan 100%, tingkatan keamanan yang memadai dapat dicapai melalui memprioritaskan dan menstandarisasi kebijakan. Sukses dari kebijakan seperti ini sangat tergantung kepada komitmen manajemen dan dukungan teknologi dalam memberlakukan kebijakan. 15
Audit Kontrol Umum Sistem Informasi REFRENSI : 1
Internet Security Alliance. Common Sense Guide for Senior Managers: Top Ten Recommended Information Security Practices, 1st Edition – July 2002, P.7. (The Internet Security Alliance was created in April 2001 to provide a forum of information sharing and thought leadership on information security issues. Its mission is to use the collective experience of the members of the Internet Security Alliance to promote sound information security practices, policies, and technologies that enhance the security of the Internet and global information systems.)
2
Microsoft Technet. Effective Security Monitoring (Chapter 4 form Microsoft Windows NT 4.0 Security, Audit, and Control, published by Microsoft Press), P.1 & P.26. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/network/c h04.asp
3
Microsoft Technet. Windows 2000 Operations Guide Series: Network Administration Operating Guide. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechno1/windows2000s erv/maintain/opsguide/opsguide.asp
16