Page 115 - Modul CA Audit & Asurans IAI- Silabus 2019
P. 115
AUDIT & ASURANS
Deteksi: teknik deteksi dapat dikombinasikan dengan teknik
pencegahan: log dapat disimpan atas usaha yang tidak terotorisasi
untuk mendapatkan akses ke sistem computer.
Deterrence: sebagai contoh, penggunaan computer secara tidak sah oleh
karyawan dapat berakibat pada pemecatan atas karyawan tersebut.
Prosedur pemulihan: jika ancaman timbul, konsekuensi yang
ditimbulkannya harus dapat dipulihkan.
Prosedur koreksi: prosedur ini ditujukan untuk memastikan bahwa
kerentanan organisasi telah ditangani (misalnya, dengan membuat
pengendalian yang lebih ketat).
Penghindaran dari ancaman: misalnya mengubah desain sistem.
C. Menangani Risiko dan Keamanan IT
Berikut ini adalah beberapa mekanisme yang praktis bagi organisasi untuk
menangani risiko IT:
Perencanaan kesinambungan usaha: langkah-langkah yang
direncanakan entitas untuk memastikan bahwa jika terjadi kegagalan
DOKUMEN
yang serius atau bencana, bisnis tidak seluruhnya berhenti berfungsi.
Pengendalian atas akses ke sistem: perlindungan informasi, sistem
informasi, layanan jaringan, deteksi aktivitas yang tidak terotorisasi
dan keamanan saat menggunakan sistem.
IAI
Pengembangan dan pemeliharaan sistem: langkah-langkah dan
tindakan pengamanan untuk melindungi data dalam sistem operasional
dan aplikasi dan untuk memastikan bahwa proyek IT dan layanan
pendukungnya dilakukan secara aman.
Keamanan fisik dan lingkungan: langkah-langkah yang dilakukan untuk
mencegah akses yang tidak terotorisasi, kerusakan dan gangguan ke
lokasi usaha, aset, informasi dan fasilitas informasi, dan pencegahan
atas pencurian.
Kepatuhan terhadap persyaratan hukum yang relevan dan juga dengan
kebijakan organisasi. Tidak ada artinya memiliki standar dalam
perusahaan jika tidak ditegakkan
Keamanan karyawan: isu ini mencakup rekrutmen atas karyawan
yang jujur, dan pelaporan atas kejadian yang terkait dengan masalah
keamanan. Pelatihan merupakan hal yang sangat penting dengan
tujuan agar pengguna mengetahui tentang pentingnya keamanan
informasi dan ancaman yang mungkin timbul atas keamanan informasi.
Pelatihan juga penting untuk membantu karyawan mematuhi kebijakan
keamanan organisasi.
Keamanan organisasi: Dalam suatu organisasi harus jelas siapa
yang bertanggung jawab atas beragam aspek keamanan informasi.
Pertimbangan lebih lanjut adalah jika fasilitas atau aset juga dapat
105