Mengaudit Keamanan Siber

Tentang Artikel :

Ancaman keamanan siber (cyber security) terus meningkat seiring dengan intensitas dan kompleksitas penerapan teknologi di berbagai bidang. Sehingga perlindungan terhadapnya semakin penting untuk diperhatikan oleh setiap pihak yang terkait. Bagaimana memastikan bahwa keamanan siber yang diterapkan di organisasi itu telah cukup handal dan memadai?


WAKOOL.ID — Semakin meluasnya penggunaan Teknologi Informasi (TI) membuat semakin kaburnya batas-batas antar organisasi, perusahaan, atau bahkan negara. Informasi yang dikelola masing-masing entitas tersebut bisa saling dipertukarkan untuk mempermudah komunikasi, koordinasi, kolaborasi dan berbagai keperluan lainnya. Perkembangan ini menciptakan sebuah “dunia” baru yang sering dinamakan dengan dunia siber (cyber).

Terciptanya dunia siber ini juga berdampak pada aspek keamanan. Kini setiap organisasi juga harus memikirkan dengan sangat serius bagaimana keamanan sistem dan informasi yang dikelolanya dari ancaman keamanan siber (cyber security). Setiap organisasi tidak dapat lagi hanya menggunakan pendekatan-pendekatan lama dalam pengendalian keamanannya. Karena ancaman keamanan siber ini begitu ekstensif dan bisa berdampak serius pada organisasi.

Perkembangan ini juga berdampak pada kebutuhan Audit TI. Sekarang audit TI juga banyak dituntut untuk mencakup pula audit keamanan siber ini. Sehingga organisasi dapat lebih memastikan keamanan sistem dan informasi yang dikelolanya dari berbagai ancaman keamanan siber.

Tulisan ini mencoba menjelaskan secara singkat dan sederhana mengenai apa yang harus dilakukan oleh Auditor ketika diminta untuk mengaudit keamanan siber tersebut.

Menentukan Subyek Audit

Hal pertama yang perlu dilakukan adalah memastikan subyek audit. ISACA mendefinisikan keamanan siber sebagai “perlindungan aset informasi melalui penanganan ancaman pada informasi yang diproses, disimpan dan dikirim melalui sistem-sistem informasi yang saling berhubungan (internetworking).” Sulit kalau hanya mengacu pada definisi ini, karena masih sangat luas.

Sebenarnya audit keamanan siber ini mencakup seluruh kontrol, praktik-praktik manajemen, penerapan tata kelola, risiko dan kepatuhan pada tingkatan organisasi. Bahkan kadang mencakup juga pihak ketiga yang mempunya kewajiban kontraktual untuk dapat diaudit. Sehingga auditor perlu memperjelas batasan-batasan yang akan menjadi subyek auditnya, karena bisa sangat luas kalau hanya menyebut audit keamanan siber begitu saja.

Intinya yang harus diperjelas pertama kali adalah apa yang akan diaudit dengan sejelas-jelasnya. Kalau subyek audit ini bisa dibuat cukup rinci, maka ia akan memudahkan perencanaan audit, pengalokasian sumber daya, atau mungkin memecah-mecahnya dalam beberapa penugasan audit secara bertahap.

Menentukan Obyektif Audit

Setelah apa yang akan diaudit jelas dan disepakati, maka berikutnya adalah menentukan obyektif yang diharapkan dari audit yang akan dilakukan. Dalam perspektif auditor, perspektif berbasis risiko seperti pada tabel di bawah ini akan sangat membantu dalam mendefinisikan obyektif audit.

Obyektif-obyektif audit harus dibatasi sesuai dengan lingkup yang wajar dan harus terkait dengan tujuan keamanan siber dan perlindungannya yang ditetapkan oleh organisasi.

Menentukan Lingkup Audit

Setelah obyektif audit didefinisikan, maka dapat dilakukan perencanaan dan penetapan lingkup audit berikut area dan aspek keamanan siber apa yang akan masuk dalam lingkup audit. Termasuk lingkup wilayahnya, organisasinya, area prosesnya atau aspek-aspek keamanan siber yang masuk dalam lingkup audit yang akan dilakukan. Penetapan lingkup ini juga banyak dilakukan dengan pendekatan yang berbasis pada risiko.

Perencanaan Pre-Audit

Pada tahapan sebelumnya telah dilakukan identifikasi skenario-skenario risiko serta lingkup dari audit yang akan dilakukan, maka tahap berikutnya adalah mengevaluasi signifikansinya. Semakin besar signifikansi sebuah risiko, maka semakin besar pula kebutuhan audit atau pemastiannya.

Menyusun Prosedur Audit dan Langkah-Langkah untuk Pengumpulan Data

Pada tahap ini, tim audit seharusnya sudah memiliki cukup informasi untuk memilih dan menentukan pendekatan dan strategi audit apa yang akan digunakannya. Sehingga kemudian mereka dapat mulai menyusun program auditnya. Dalam program audit tersebut perlu juga didefinsikan langkah-langkah pengujian yang harus dilakukan.

Pada 2016, ISACA merilis program audit/pemastian yang berbasis pada the US National Institute for Standards and Technology Cybersecurity Framework (NIST CSF). Pada rilis tersebut telah didefinisikan langkah-langkah pengujian untuk audit keamanan siber. Namun demikian, tentu saja program audit tersebut perlu disesuaikan lebih lanjut berdasarkan risiko dan kriteria-kriteria serta risiko yang relevan dengan organisasi yang akan diaudit. Jangan ambil standard tersebut mentah-mentah untuk langsung digunakan. Tanpa melakukan penyesuaian seperti ini maka bisa jadi Auditor dapat menghasilkan rekomendasi yang tidak dapat dilaksanakan oleh organisasi auditee. Sehingga pada gilirannya dapat merusak reputasi dari auditor tersebut. Oleh karena itu hal ini perlu benar-benar diperhatikan oleh setiap auditor sebelum melakukan pengadopsian program audit standar tersebut.

Kesimpulan

Risiko keamanan siber berdampak besar pada organisasi. Sebuah serangan siber dapat membuat organisasi harus mengeluarkan biaya besar atau tergerus pendapatannya secara signifikan. Bahkan bisa jadi sebuah organisasi akan hancur dan tak mampu bangkit lagi setelah terjadinya sebuah serangan siber yang mematikan. Perkembangan, kompleksitas dan kemungkinan serangan siber yang bisa datang kapan serta dimana saja itu pada gilirannya juga menuntut para auditor TI untuk selalu mengembangkan kemampuannya di bidang keamanan sibernya. [wakool.id/isaca]

Tulisan diatas diadaptasi dengan penambahan dan penyuntingan oleh Manajemen-TI dari kolom jurnal ISACA Volume 2 Tahun 2019 berjudul “Auditing Cybersecurity”, oleh Ian Cooke.


ARTIKEL TERKAIT