CHAPTER 9
Auditor TEKNOLOGI
INFORMASI (TI), yang bekerja dalam profesi untuk waktu yang lama, memahami
bahwa teknologi IT dan proses pendukungnya berubah secara terus menerus.
Beberapa perubahan, seperti perpindahan ke computer atau laptop dari perangkat
desktop yang di sambungkan ke jaringan, tidak memiliki dampak kontrol internal
yang signifikan untuk auditor TI. Yang lainnya melakukannya. Bab ini membahas
tiga bidang di mana TI berubah dan di mana auditor TI mungkin perlu mengambil
pendekatan yang agak berbeda dalam ulasan kontrol internal mereka.
Contoh pertama adalah
pertumbuhan jaringan nirkabel, baik publik maupun swasta. Auditor IT dengan
mudah mengakses pesan email mereka atau mendapatkan berita bisnis terkini dari
perangkat laptop mereka dan Internet. Fasilitas ini memberikan kenyamanan besar
bagi semua pengguna sistem, tetapi mereka memang menghadirkan beberapa kontrol
dan ancaman keamanan jika jaringan perusahaan tidak terlindungi dengan baik
melalui firewall dan kontrol keamanan lainnya. Auditor TI mungkin senang dapat
mengakses pesan email atau mengubah reservasi penerbangan maskapai melalui
jaringan nirkabel, tetapi koneksi tersebut harus aman. Bab ini secara singkat
membahas beberapa masalah keamanan jaringan nirkabel dan kontrol internal.
diperluas dan dikenal
sebagai komputasi awan, sebuah konfigurasi di mana banyak aplikasi Internet
yang berbeda didukung oleh banyak vendor dan beroperasi pada beberapa server
beroperasi bersama-sama dari apa yang tampak seperti awan Internet besar yang
tidak jelas. Bab ini memperkenalkan beberapa konsep komputasi awan dan membahas
keamanan terkait cloud dan mengendalikan masalah yang dapat memengaruhi auditor
TI dalam penilaian mereka atas kontrol umum TI.
Pada tingkat yang agak
berbeda, virtualisasi manajemen penyimpanan adalah infrastruktur TI lain yang
berkembang dengan implikasi kontrol umum. Istilah virtualisasi manajemen
penyimpanan mengacu pada koneksi antara unit prosesor pusat komputer (CPU) dan
drive penyimpanan massal yang terhubung atau mendukung perangkat lain. Dalam
beberapa tahun terakhir, manajer dan auditor TI memikirkan sistem komputer
dalam hal konfigurasi drive disk dan perangkat periferal lainnya yang terhubung
ke CPU komputer. Pada suatu waktu, ini dilampirkan melalui jaringan kabel berkabel
yang seringkali rumit. Namun, mulai sekitar tahun 2001, perangkat lunak
diperkenalkan untuk mengelola koneksi penyimpanan ini dengan lebih baik, ini
disebut virtualisasi penyimpanan. mulai sebagai alat untuk situs server besar,
tetapi hari ini konsep virtualisasi telah diperkenalkan pada semua tingkatan
prosesor komputer. Virtualisasi file dapat memperkenalkan efisiensi yang kuat
untuk operasi TI. Namun, ada juga beberapa risiko pengendalian internal jika
hubungan penyimpanan massal tidak dikelola dan didukung dengan baik. Kami akan
secara singkat memperkenalkan konsep virtualisasi TI yang penting bagi auditor
TI.
Bab ini membahas
bidang teknis TI ini karena dapat berdampak pada auditor TI dalam ulasan dan
penilaian mereka atas kontrol umum TI. Ketiga bidang yang berhubungan dengan IT
ini mungkin tidak akrab bagi banyak auditor dan manajer TI saat ini, tetapi
mereka akan mengendalikan masalah dalam banyak audit kontrol umum TI yang akan
datang. Tentu saja, lanskap selalu berubah, dan auditor TI harus selalu
menyadari masalah kontrol internal berbasis teknologi baru dan harus
memodifikasi ulasan mereka untuk mengakomodasi dan menilai hal ini dan area
kontrol internal baru lainnya. Auditor TI harus selalu mengambil kepemimpinan
yang kuat dalam perusahaan mereka dalam memahami proses berbasis teknologi baru
dan kemudian menerjemahkannya ke ulasan dan penilaian kontrol internal.
MEMAHAMI DAN MEMAKSUDKAN JARINGAN NIRKABEL
Komponen sistem
komputer, seperti terminal atau printer, secara tradisional telah terhubung ke
CPU mereka melalui kabel atau kabel transmisi. Pada hari-hari sebelumnya,
ketika seorang karyawan pindah dari satu kantor ke kantor lain, sering kali
perlu bagi kru pemeliharaan untuk memasang kabel yang diperlukan ke lokasi
kantor yang baru. Meskipun mereka awalnya tidak dapat mengirimkan data
elektronik, alat komunikasi nirkabel berbasis radio mulai memiliki dampak
signifikan pada dunia selama Perang Dunia II. Melalui penggunaan jaringan
nirkabel, informasi dapat dikirim ke luar negeri atau di belakang garis musuh
dengan mudah, efisien, dan lebih andal. Sejak itu, standar transmisi telah
dikembangkan dan jaringan nirkabel telah tumbuh secara signifikan. Menggunakan
stasiun transmisi lokal, jaringan nirkabel pertama kali menjadi biasa untuk
layanan darurat lokal, seperti polisi atau pemadam kebakaran, yang memanfaatkan
jaringan nirkabel untuk mengkomunikasikan informasi penting dengan cepat.
Pada akhir 1980-an,
jaringan area lokal (LAN) menjadi sangat umum, dan banyak konfigurasi sistem
komputer menjadi didasarkan pada jaringan sistem komputer kabel. Pada awal
1990-an, proses dan standar dikembangkan untuk LAN nirkabel, di mana setiap
sistem adalah titik dalam jaringan lokal.
Dimulai dengan standar
awal 1990-an ini, alat dikembangkan untuk mengimplementasikan LAN nirkabel. LAN
ini awalnya memerlukan kartu komunikasi antara komputer pusat dan terminal
lokal, tetapi mereka meluas ke jaringan luas dengan koneksi ke stasiun
transmisi jarak jauh dan Internet.
Sistem nirkabel
memiliki beberapa risiko kerentanan karena datanya dibawa sebagai sinyal radio
yang dapat diintip. LAN nirkabel, bagaimanapun, memiliki masalah mereka
sendiri. Menghubungkan elemen-elemen jaringan dengan gelombang radio alih-alih
kabel menghadirkan banyak tantangan. Dari sudut pandang keandalan, sulit untuk
memprediksi seberapa besar jangkauan radio jaringan nirkabel yang dapat
diandalkan di dalam gedung karena fitur konstruksi bangunan, seperti balok baja
dan dinding yang diplester, sangat melemahkan gelombang radio. Bahkan di luar
struktur, memprediksi cakupan secara akurat dan dapat diandalkan adalah sulit,
karena masalah propagasi transmisi radio. Yang jauh lebih meresahkan adalah
fakta bahwa LAN nirkabel, berdasarkan sifatnya, menyiarkan data mereka ke ruang
angkasa, di mana data dapat disadap oleh siapa pun dengan kemampuan untuk
mendengarkan pada frekuensi yang sesuai. Tidak semua jaringan, dan tentu saja
tidak semua jaringan kabel, aman. Namun, ketika LAN tradisional beroperasi
melalui kabel dalam perimeter fisik yang relatif aman, tingkat keamanan yang
diberikan oleh konstruksi fisik biasanya cukup. Menambahkan kemampuan transmisi
nirkabel menambah kerentanan keamanan dan kebutuhan untuk kontrol sistem
tambahan, seperti kebutuhan untuk mengotentikasi setiap pengguna jaringan.
Auditor TI harus melihat karakteristik umum kontrol dan keamanan ini di semua
aplikasi nirkabel:
> Kerahasiaan =
Aplikasi harus berisi tingkat perlindungan terhadap intersepsi, atau menguping,
untuk memberikan jaminan bahwa pesan yang dikirim hanya dapat dibaca oleh
penerima yang dituju.
>Keaslian=
Perlindungan terhadap spoofing atau kontrol peniruan identitas harus ada untuk
memastikan bahwa pesan berasal dari entitas yang diklaim.
> Integritas=
Kontrol harus memberikan perlindungan dari kesalahan transmisi dan / atau
modifikasi pesan yang disengaja untuk menawarkan jaminan bahwa pesan tidak
berubah dalam pengiriman.
> Ketersediaan=
Harus ada jaminan bahwa data aplikasi akan tersedia kapan dan di mana
diperlukan, sebagai perlindungan terhadap penolakan layanan atau keandalan yang
buruk.
Jaringan nirkabel dan
LAN nirkabel adalah area penting yang harus dimasukkan dalam tinjauan auditor
TI tentang kontrol umum. Bagian berikutnya membahas beberapa karakteristik
kontrol internal utama dari jaringan nirkabel yang penting bagi auditor TI
serta pertimbangan untuk tinjauan kontrol umum sistem nirkabel TI.
Komponen Kunci Sistem Nirkabel TI
Sistem TI nirkabel
hampir merupakan nama generik, dan mungkin ada beberapa kebingungan tentang
konfigurasi keseluruhan sistem tersebut. Ada beberapa cara dasar untuk
mengkonfigurasi sistem nirkabel. Dalam konfigurasi sistem terbuka, entitas apa
pun yang dapat mengambil sinyal nirkabel berpotensi mendapatkan akses. Ini
adalah jenis sistem nirkabel, dibangun di sekitar titik akses nirkabel (WAP),
yang dijumpai saat mengakses Internet dari kamar hotel atau kedai kopi. Untuk
tujuan definisi, WAP adalah perangkat yang memungkinkan koneksi komunikasi ke
jaringan nirkabel menggunakan standar seperti Wi-Fi, Bluetooth, atau standar
terkait. WAP biasanya terhubung ke jaringan kabel dan dapat menyampaikan data
antara perangkat nirkabel (seperti komputer atau printer) dan perangkat kabel
di jaringan.
Banyak sistem nirkabel
di kantor atau rumah terbatas dalam kedekatannya dengan WAP. Namun, di dalam perbatasan
mereka, mereka dapat terhubung ke berbagai perangkat. Tampilan 9.1 menunjukkan
konfigurasi nirkabel dengan sistem nirkabel yang ada di dalam batas yang
ditentukan, dikendalikan oleh serangkaian router di tepi perbatasan. Router
dibahas di bagian selanjutnya; sejumlah besar komputer laptop, terminal, dan
perangkat lain mungkin
terpasang ke setiap
router. Seperti yang ditunjukkan pameran, jaringan nirkabel terhubung ke
Internet melalui beberapa penyedia layanan dan beberapa sistem eksternal
lainnya di luar jaringan. Selain itu, ada koneksi ke LAN lokal, jaringan
ponsel, dan perangkat genggam pribadi. Meskipun pada tingkat yang sangat umum
dan tinggi, pameran ini menggambarkan jenis sistem nirkabel yang ditemukan di
banyak perusahaan saat ini. Dari perspektif auditor TI, dua kontrol utama dalam
konfigurasi sistem nirkabel ini adalah penempatan router dan firewallnya.
Router Sistem
Nirkabel
Komponen utama dari
semua jaringan, termasuk jaringan nirkabel, router adalah perangkat elektronik
yang digunakan untuk menghubungkan dua atau lebih komputer ke Internet melalui
kabel atau sinyal nirkabel. Router memungkinkan beberapa komputer untuk
berkomunikasi satu sama lain dan ke Internet secara bersamaan. Router nirkabel
melakukan fungsi router tetapi juga bertindak sebagai titik akses nirkabel
untuk memungkinkan akses ke Internet atau jaringan komputer tanpa perlu koneksi
kabel. Ini dapat berfungsi sebagai LAN kabel atau nirkabel. Beberapa router
juga mengandung antena nirkabel yang memungkinkan koneksi dari perangkat
nirkabel lainnya.
Firewall Nirkabel
Firewall adalah jenis
pintu perangkat lunak satu arah di mana transaksi dan aktivitas dapat keluar
tetapi tidak bisa masuk. Ini adalah sistem, diimplementasikan dalam perangkat
keras, perangkat lunak, atau kombinasi keduanya, yang dirancang untuk mencegah
akses tidak sah ke atau dari jaringan pribadi. Firewall sering digunakan untuk
mencegah pengguna Internet yang tidak sah mengakses jaringan pribadi yang
terhubung ke Internet, di mana semua pesan masuk atau meninggalkan jaringan
internal, intranet, melewati firewall yang diinstal. Kontrol jaringan yang penting
ini memeriksa setiap pesan dan memblokir pesan yang tidak memenuhi kriteria
keamanan yang ditentukan. Firewall dianggap sebagai garis pertahanan pertama
dalam melindungi informasi pribadi.
Kerentanan dan
Risiko Jaringan Nirkabel
Ada berbagai risiko
kontrol yang terkait dengan jaringan nirkabel apa pun, termasuk risiko
menguping ke dalam aktivitas sistem, masuknya ilegal ke jaringan yang
dimungkinkan oleh kegagalan otentikasi pengguna, dan penolakan layanan. Masalah
integritas sistem utama di sini adalah risiko menguping. Sesuai sifatnya, LAN
nirkabel sengaja memancarkan lalu lintas jaringan sinyal radio ke ruang
angkasa, dan begitu sinyal dipancarkan, mustahil untuk mengontrol siapa yang
dapat menerimanya. Kontrol kunci di sini adalah untuk mengenkripsi semua pesan
semacam itu. Standar pesan nirkabel memungkinkan enkripsi semacam itu, tetapi
standar seperti itu tidak selalu diinstal. Ketika meninjau aplikasi nirkabel,
auditor TI harus menentukan bahwa standar enkripsi telah diinstal dan bahwa
mereka telah diterapkan pada semua aplikasi penting.
Penerapan kontrol
untuk memastikan integritas pesan juga penting untuk sistem nirkabel. Pesan
jaringan ditransmisikan dalam paket kecil data yang kemudian dipasang kembali
untuk menyampaikan pesan yang benar. Perangkat lunak transmisi menyediakan
standar yang harus melindungi integritas semua pesan. Meskipun teknis perincian
di sini mungkin melampaui banyak pembaca, seorang auditor TI harus bertemu
dengan spesialis perangkat lunak komunikasi perusahaan yang bertanggung jawab
atas jaringan nirkabel perusahaan mereka dan membahas standar standar perangkat
lunak yang diterapkan yang menekankan integritas pesan dan memberikan kontrol
atas entri jaringan terlarang.
Diskusi kami di sini
menekankan jaringan nirkabel tertutup yang lebih umum untuk perusahaan bisnis.
Seiring waktu, penggunaan koneksi jaringan nirkabel terbuka, yang umum di
beberapa tempat umum untuk menyediakan akses ke Internet dan situs lain, akan
menjadi lebih umum. Karena sistem nirkabel ini didasarkan pada pesan sinyal
radio, kita mungkin melihat lebih banyak pelaku mencoba untuk mengatasi aturan
keamanan dan berusaha untuk mendapatkan akses yang tidak patut.
Masalah Keamanan
Jaringan Nirkabel
Keamanan adalah
masalah utama dengan banyak jaringan nirkabel perusahaan pada umumnya dan LAN
nirkabel pada khususnya. Siapa pun yang dilengkapi dengan alat yang tepat dalam
jangkauan jaringan geografis jaringan nirkabel terbuka dan tidak terenkripsi
dapat "mengendus," atau merekam, lalu lintas jaringan, memperoleh akses
tidak sah ke sumber daya jaringan internal dan ke Internet, dan kemudian
mungkin mengirim spam pesan atau mencoba tindakan ilegal lainnya menggunakan
alamat Internet jaringan nirkabel. Meskipun ancaman ini mencerminkan masalah
yang telah lama menyusahkan banyak jenis jaringan kabel (mis., Individu dapat
menyambungkan komputer laptop mereka ke jack komunikasi Ethernet yang tersedia
di dalam suatu situs dan mendapatkan akses ke jaringan kabel lokal), aktivitas
akses yang tidak tepat ini biasanya tidak menimbulkan masalah yang signifikan,
karena banyak perusahaan memiliki keamanan fisik yang cukup baik. Namun, sinyal
radio berdarah atau bergerak di luar gedung dan melayang melintasi garis
properti, membuat keamanan fisik jaringan sebagian besar tidak relevan.
Menetapkan prosedur
keamanan nirkabel yang efektif merupakan tantangan bagi administrator jaringan
TI, manajemen perusahaan, dan banyak auditor TI. Ada standar yang kuat dan
diakui untuk melindungi jaringan nirkabel, tetapi banyak dari standar itu
didefinisikan dalam router perangkat keras — seperti perangkat Cisco — yang
merupakan
zopsi keamanan
nirkabel ditetapkan melalui pengontrolan perangkat lunak dengan pemantauan atau
kontrol terbatas.
Proses dan teknologi
IT yang baik sering kali mudah dikacaukan, dan khususnya dengan masalah
manajemen keamanan informasi nirkabel. Namun, banyak dari proses bisnis yang
sama yang menetapkan praktik manajemen risiko yang kuat untuk aset fisik dan
jaringan kabel juga berfungsi untuk melindungi sumber daya nirkabel. Auditor TI
dapat menggunakan pedoman hemat biaya berikut ini untuk memungkinkan perusahaan
membuat perlindungan keamanan yang tepat sebagai bagian dari strategi nirkabel
secara keseluruhan. Daftar ini mencakup area yang mewakili praktik dan tujuan
kontrol internal nirkabel TI yang baik. Auditor TI dapat menggunakan
rekomendasi ini untuk lebih memahami dan mengevaluasi proses keamanan nirkabel
perusahaan.
> Kebijakan
keamanan nirkabel dan desain arsitektur. Kebijakan, prosedur, dan praktik
keamanan perusahaan harus mencakup jaringan nirkabel sebagai bagian dari
arsitektur manajemen keamanan secara keseluruhan untuk menentukan apa yang
diizinkan dan tidak diizinkan dengan teknologi nirkabel.
> Perlakukan semua
jalur akses nirkabel sebagai tidak tepercaya. Jalur akses perlu diidentifikasi
dan dievaluasi secara teratur untuk menentukan apakah perlu dikarantina
220 & Berkembang
Masalah Kontrol
perangkat yang tidak
dipercaya sebelum klien nirkabel dapat memperoleh akses ke jaringan internal.
Penentuan ini berarti penempatan firewall yang sesuai, jaringan pribadi virtual
(VPN), sistem deteksi intrusi (IDS), dan otentikasi antara titik akses atau
Internet.
> Kebijakan
konfigurasi titik akses. Administrator perusahaan perlu menetapkan pengaturan
keamanan standar mereka sebelum sistem nirkabel dapat digunakan. Pengaturan ini
mencakup pedoman tentang ID, kunci nirkabel, dan enkripsi.
> Penemuan jalur
akses. Administrator harus secara teratur mencari ke luar dari jaringan kabel
untuk mengidentifikasi titik akses yang tidak diketahui. Pencarian seperti itu
dapat mengidentifikasi titik akses jahat yang beroperasi di daerah tersebut —
seringkali menjadi perhatian utama di daerah berpenduduk padat.
> Penilaian
keamanan titik akses. Perusahaan harus melakukan tinjauan keamanan dan penilaian
penetrasi secara berkala untuk mengidentifikasi titik akses yang tidak
dikonfigurasi dengan benar atau kata sandi yang mudah ditebak.
> Perlindungan
klien nirkabel. Klien nirkabel — biasanya departemen pengguna — harus diperiksa
secara teratur untuk praktik keamanan yang baik. Fungsi TI perusahaan dapat
menetapkan prosedur nirkabel yang baik, tetapi pengguna sebenarnya juga harus
mengikuti praktik yang baik.
Tujuan keseluruhan bab
ini adalah untuk menyoroti beberapa area kontrol internal yang berkembang yang
berdampak pada auditor TI. Sistem nirkabel TI bukanlah hal yang baru, tetapi
mereka menjadi komponen yang hampir standar dalam banyak konfigurasi sistem
saat ini. Bab 26 memberikan panduan lebih lanjut tentang audit proses
telekomunikasi TI dan sistem nirkabel.
MEMAHAMI KOMPUTASI
CLOUD
Cloud computing adalah
konsep baru dan berkembang yang penting bagi banyak operasi TI. Juga terkait
erat dengan konsep SaaS atau SOA, komputasi awan hari ini mengubah cara banyak
perusahaan membangun dan menggunakan aplikasi TI.
Simbol cloud sering
digunakan saat ini untuk merujuk ke Internet dalam buku ini dan referensi yang
diterbitkan lainnya. Gagasan di balik cloud Internet ini adalah bahwa pengguna
tidak memerlukan pengetahuan, keahlian, atau kontrol atas infrastruktur
teknologi ‘‘ di cloud ’yang mendukung mereka. Istilah ini berasal dari industri
telepon di mana, hingga tahun 1990-an, data dan bahkan sirkuit internet awal
terprogram di antara tujuan, tetapi kemudian perusahaan telepon jarak jauh
mulai menawarkan layanan VPN nirkabel untuk komunikasi data. Pertumbuhan
jaringan nirkabel ini dan konsep World Wide Web Internet meningkatkan cara kami
memikirkan layanan TI.
Komputasi awan lebih
dari sekedar Internet. Ini adalah cara kami memikirkan layanan yang disediakan
oleh aplikasi Internet-resident. Karena tidak mungkin untuk menentukan terlebih
dahulu jalur lalu lintas Internet, simbol cloud digunakan untuk menggambarkan
apa yang menjadi tanggung jawab penyedia layanan serta infrastruktur jaringan.
Konsep produk atau layanan perangkat lunak di Internet — SOA dan SaaS — segera
menyusul.
Pada awal 2000-an,
Microsoft memperluas konsep SaaS ini melalui pengembangan apa yang disebutnya
Layanan Web. IBM juga kemudian merilis apa yang disebutnya Autonom
Computing Manifesto,
yang mendeskripsikan teknik otomatisasi seperti pemantauan mandiri, penyembuhan
diri, konfigurasi sendiri, dan optimalisasi diri dalam pengelolaan sistem TI
yang kompleks dengan penyimpanan heterogen, server, aplikasi, jaringan,
mekanisme keamanan, dan sistem lainnya elemen yang dapat divirtualisasikan di
seluruh perusahaan.
Vendor perangkat lunak
semakin menawarkan produk mereka sebagai layanan di Internet daripada sebagai
aplikasi yang ada di masing-masing server internal. Contoh yang bagus dari tren
ini — dan pemimpin jenis produk awal — adalah penyedia perangkat lunak
manajemen hubungan pelanggan (CRM), SalesForce (www.salesforce.com/crm/prod-
ucts.jsp). Pemasok alat perangkat lunak pelacakan pelanggan dan penjualan ini
tidak menjual produknya sebagai seperangkat program yang dimuat pada CD
eksklusif untuk penggunaan pelanggan. Sebaliknya, semua program dan dokumentasi
SalesForce ditemukan di Internet, dan pelanggan membayar perangkat lunak hanya
ketika mereka menggunakan produk. Aplikasi SalesForce digunakan sebagai layanan
kepada pelanggan.
Tampilan 9.2
menunjukkan konsep komputasi awan SaaS ini. Kami telah menyoroti beberapa
vendor yang saat ini menawarkan produk SaaS hari ini, termasuk Amazon, Google,
Microsoft, dan SalesForce. Ini hanya contoh terbatas dari aplikasi SaaS saat
ini, dan tentunya banyak lagi yang akan mengikuti. Beberapa manfaat aplikasi
SaaS dalam lingkungan komputasi awan adalah:
> Mengurangi biaya
infrastruktur karena sentralisasi. Dengan aplikasi SaaS di cloud, tidak perlu
memelihara manajemen perubahan aplikasi dan kontrol lainnya.
> Peningkatan
kapasitas beban puncak. Penyedia cloud, seperti Amazon atau Google, memiliki
server farm besar dengan kapasitas besar. Kapasitas muatannya hampir tak
terbatas.
> Peningkatan
efisiensi untuk sistem yang sering kurang dimanfaatkan.
> Kinerja konsisten
yang akan dipantau oleh penyedia layanan.
> Ketahanan
aplikasi dan layanan TI. Penyedia cloud telah mencerminkan solusi itu
dapat digunakan dalam
skenario bencana serta untuk lalu lintas penyeimbang muatan. Apakah ada bencana
alam yang membutuhkan situs di wilayah geografis yang berbeda atau hanya lalu
lintas yang padat, penyedia cloud harus memiliki ketahanan dan kapasitas untuk
memastikan keberlanjutan selama peristiwa yang tidak terduga.
Auditor TI perlu
mengambil pendekatan yang berbeda dalam meninjau kontrol internal untuk
aplikasi SaaS dan memahami keamanan TI dalam lingkungan komputasi awan. Web dan
layanan infrastruktur lainnya saat ini semakin banyak disampaikan dalam
lingkungan cloud, dan ada kebutuhan untuk memikirkan kembali beberapa
pertimbangan audit dan kontrol.
Meninjau Kontrol
Aplikasi Komputasi Awan
Seperti yang harus
disadari oleh auditor TI, meskipun aplikasi beroperasi di luar lingkungan SaaS,
kebutuhan untuk menilai dan meninjau kontrol internal aplikasinya tidak hilang.
Aplikasi berbasis SaaS harus terus memiliki jalur audit yang sama, prosedur
pemeriksaan kesalahan, dan praktik baik lainnya yang ditemukan dengan aplikasi
TI yang terkontrol dengan baik. Auditor TI hampir dapat mengharapkan bahwa
aplikasi bisnis berjalan di bawah vendor utama, seperti Google, memiliki
kontrol internal yang memadai.
Komputasi awan
merupakan perubahan besar dalam cara aplikasi dijalankan dan dikelola. Meskipun
hanya sejumlah kecil vendor yang menyediakan aplikasi perangkat lunak berbasis
layanan saat ini, jumlah itu diperkirakan akan meningkat. Banyak vendor
memberikan tingkat kepercayaan implisit pada layanan yang mereka berikan di
bawah awan SaaS, tetapi auditor TI harus bertemu dengan TI dan manajemen bisnis
mereka untuk mendapatkan jaminan bahwa setiap aplikasi terkontrol dengan baik.
Auditor TI harus
berusaha membantu menunjukkan, untuk mengarahkan dan tidak langsung pengguna
komputasi awan, bahwa mereka dapat memiliki tingkat kepercayaan yang kuat pada
layanan perangkat lunak dan infrastruktur yang membentuk cloud untuk suatu
perusahaan. Beberapa masalah jaminan utama yang harus ditangani adalah:
Transparansi. Penyedia layanan harus dapat menunjukkan
keberadaan kontrol keamanan yang efektif dan kuat, memastikan pelanggan bahwa
informasi mereka diamankan dengan baik terhadap akses, perubahan, dan
penghancuran yang tidak sah. Pertanyaan kunci untuk penyedia layanan yang
menyediakan aplikasi SaaS adalah:
> Apa jenis
karyawan penyedia layanan yang memiliki akses ke informasi pelanggan?
> Apakah pemisahan
tugas antara karyawan penyedia dipertahankan?
> Bagaimana file
dan data untuk informasi pelanggan yang berbeda dipisahkan?
> Kontrol apa yang
ada untuk mencegah, mendeteksi, dan bereaksi terhadap keamanan apa pun dan mengontrol
pelanggaran?
Pribadi. Penyedia layanan komputasi awan harus memberikan jaminan bahwa ada
kontrol privasi yang akan mencegah, mendeteksi, dan bereaksi terhadap
pelanggaran secara tepat waktu, dengan jalur komunikasi yang kuat dan teruji
secara berkala. Pemenuhan. Untuk mematuhi berbagai undang-undang, peraturan,
dan standar, mungkin ada kekhawatiran komputasi awan bahwa data mungkin tidak
disimpan di satu tempat dan mungkin tidak mudah didapat. Sangat penting untuk
memastikan bahwa jika pihak berwenang meminta data tertentu, dapat diberikan
tanpa mengorbankan informasi lainnya. Ketika menggunakan layanan cloud, tidak
ada jaminan bahwa suatu perusahaan dapat memperoleh informasinya ketika
diperlukan atau bahwa penyedia layanan mungkin atau mungkin tidak mengklaim hak
untuk menahan informasi dari pihak berwenang.
>Alur informasi Transborder. Dengan
informasi yang dihasilkan cloud berpotensi disimpan di mana saja di cloud,
lokasi fisik informasi tersebut dapat menjadi masalah. Lokasi fisik ini
menentukan yurisdiksi dan kewajiban hukum. Ada banyak masalah hukum di sini
yang belum diselesaikan.
> Sertifikasi.
Penyedia layanan komputasi awan harus meyakinkan pelanggan mereka bahwa mereka
melakukan hal-hal yang 'benar'. Di masa depan, audit pihak ketiga yang
independen dan / atau laporan auditor layanan akan menjadi bagian penting dari
setiap program jaminan penyedia layanan komputasi awan. Namun, fasilitas ini
belum terwujud.
Diperlukan standar
yang kuat dan efektif untuk membantu perusahaan mendapatkan jaminan terkait
kontrol dan keamanan internal pemasok komputasi awan mereka. Pada saat
publikasi ini, tidak ada standar komputasi awan spesifik yang tersedia untuk
umum.
Karena tidak ada set
standar yang ditetapkan, auditor TI yang meninjau aplikasi yang disediakan oleh
penyedia layanan komputasi awan harus mencari jaminan yang kuat dalam tiga
bidang utama:
1. Acara. Penyedia
layanan harus secara teratur mendokumentasikan dan mengkomunikasikan perubahan
dan faktor-faktor lain yang telah mempengaruhi ketersediaan sistem SaaS.
2. Log. Penyedia
layanan harus memberikan informasi komprehensif tentang aplikasi SaaS
perusahaan dan lingkungan runtime.
3. Pemantauan. Setiap
pengawasan seperti itu tidak boleh mengganggu dan harus dibatasi dengan apa
yang secara wajar dibutuhkan oleh penyedia cloud untuk menjalankan fasilitasnya.
Komputasi awan
merupakan peluang baru dan menarik untuk memperbaiki keamanan dan kontrol TI
untuk hari esok yang lebih baik, dan standar audit internal akan segera
menyusul. Asosiasi Audit dan Kontrol Sistem Informasi (ISACA) telah menyediakan
beberapa audit awal komputasi awan dan panduan kontrol, dan kami berharap dapat
melihat lebih banyak di masa depan ketika aplikasi SaaS dan komputasi awan
tumbuh dan berkembang.
Tantangan Keamanan
Cloud dan Komputasi Cloud
Penggunaan aplikasi
SaaS yang beroperasi di lingkungan komputasi awan menggeser berbagai tantangan
dan tanggung jawab terutama dari fungsi TI perusahaan ke lingkungan di mana
beberapa tanggung jawab dipikul oleh penyedia layanan komputasi awan sementara
yang lain tetap menjadi tanggung jawab fungsi TI perusahaan. Ini juga merupakan
tantangan bagi auditor TI, yang harus memahami komponen keamanan dan privasi
dari penyedia layanan yang mereka pilih.
Komputasi awan dan
penggunaan aplikasi SaaS adalah tren baru dan semakin banyak vendor yang
menawarkan rangkaian aplikasi SaaS. Vendor seperti Google dan Amazon sedang
membangun kompleks, komputer cloud multiserver yang besar, tetapi hari ini
tidak ada set praktik terbaik yang diakui ada di berbagai penyedia layanan ini.
Dalam beberapa hal,
tren perusahaan yang mengalihkan sebagian sumber daya TI in-house mereka ke
penyedia layanan cloud memiliki beberapa elemen yang mirip dengan perpindahan
ke biro layanan TI pada awal 1980-an.
Pada pertengahan
hingga akhir 1970-an, semakin banyak perusahaan memutuskan untuk beralih dari
proses kartu punch manual atau unit-record ke sistem komputer mainframe baru.
Banyak yang menambahkan staf pemrograman pengembangan sistem dan memasang
sistem komputer mainframe, tetapi seringkali dengan hasil yang sangat mengecewakan.
Masalah yang sering muncul adalah bahwa sistem baru ini tidak memiliki
kapasitas untuk memproses volume data perusahaan; ketika mereka melakukannya,
sering sistem mengalami pemeliharaan sistem komputer atau masalah downtime.
Solusi bagi banyak
orang pada waktu itu adalah mengubah operasi sistem komputer perusahaan menjadi
apa yang disebut biro layanan — sumber daya sistem komputer terpusat besar yang
mengumpulkan bahan input untuk banyak klien, diproses menggunakan sistem umum,
dan menyampaikan laporan keluaran. Biro layanan ini, bagaimanapun, tidak
bekerja dengan baik untuk semua orang. Banyak perusahaan berlangganan tanpa
sepenuhnya menyadari apa yang akan mereka dapatkan dalam hal layanan dan
integritas dan pemantauan kontrol internal untuk proses perusahaan. Sebagian
besar operasi komputer biro layanan menghilang jauh sebelum matinya mainframe.
Namun, beberapa hal yang sama terjadi hari ini dengan perusahaan yang
mengkonversi beberapa aplikasi konvensional ke lingkungan cloud. Masalah utama
adalah bahwa perusahaan tidak selalu mengajukan pertanyaan yang tepat dari
penyedia layanan mereka.
Ketika membuat
keputusan untuk memilih penyedia layanan sebagai bagian dari perpindahan ke
komputasi awan, perusahaan harus menanyakan beberapa pertanyaan sulit tentang
penyedia layanan yang bersaing tentang operasi dan standar mereka. Auditor TI
dapat memimpin dalam menyarankan bahwa manajemennya harus mendapatkan jaminan
di beberapa bidang ini ketika memilih penyedia layanan komputasi awan:
& Akses pengguna
istimewa. Data sensitif diproses di luar perusahaan dan di cloud membawa serta
tingkat risiko yang melekat, karena layanan outsourcing di cloud mem-bypass
kontrol TI fisik, logis, dan personel konvensional yang akan dilakukan
organisasi TI terhadap program sistem in-house-nya. Penyedia layanan harus
memberikan informasi menyeluruh tentang orang-orang yang mengelola data dan
sistem perusahaan di cloud. Mereka harus memberikan informasi spesifik tentang
perekrutan dan pengawasan administrator yang berhak dan kontrol atas akses
mereka.
> Kepatuhan
terhadap peraturan. Suatu perusahaan pada akhirnya bertanggung jawab atas
keamanan dan integritas datanya sendiri, bahkan ketika data itu dipegang oleh
penyedia layanan. Penyedia layanan komputasi awan harus memberikan informasi
terperinci tentang kebijakan tata kelola keamanan mereka dan hasil audit
eksternal dan sertifikasi keamanan baru-baru ini. Selain itu, mereka harus
setuju untuk memperbarui perusahaan pada kegiatan ini secara teratur.
> Lokasi data.
Ketika suatu perusahaan menggunakan cloud, itu mungkin tidak akan tahu persis
di mana data di-host-bahkan negara. Karena undang-undang kepemilikan data,
penyedia layanan harus mengidentifikasi yurisdiksi spesifik tempat mereka akan
menyimpan dan memproses data perusahaan. Penyedia layanan juga harus membuat
komitmen kontraktual untuk mematuhi persyaratan privasi lokal atas nama
pelanggan mereka.
> Pemisahan data.
Data di cloud biasanya disimpan di lingkungan bersama bersama data dari
pelanggan lain. Penyedia cloud harus memberikan informasi terperinci tentang
apa yang dilakukan untuk memisahkan data perusahaan saat istirahat atau
terpisah dari pengguna lain dan memberikan bukti bahwa skema enkripsi keamanan
mereka dirancang dan diuji oleh spesialis berpengalaman. Kecelakaan enkripsi
dapat membuat data benar-benar tidak dapat digunakan dan dapat mempersulit
ketersediaan.
> Pemulihan. Bahkan
jika suatu perusahaan tidak mengetahui lokasi data cloud-nya, penyedia cloud
harus mendokumentasikan apa yang akan terjadi pada data dan layanan jika
terjadi bencana. Mereka harus memberikan bukti, termasuk hasil pengujian, bahwa
metode pemulihan mereka akan mereplikasi infrastruktur data dan aplikasi di
banyak situs. Layanan harus menyatakan apakah mereka memiliki kemampuan untuk
melakukan restorasi lengkap, dan berapa lama waktu yang dibutuhkan.
> Dukungan
investigasi. Investigasi aktivitas yang tidak pantas atau ilegal mungkin tidak
mungkin dilakukan dalam komputasi awan. Layanan Cloud sangat sulit untuk
diselidiki, karena pencatatan dan data untuk banyak pelanggan dapat dilokasikan
dan / atau disebarluaskan ke seluruh rangkaian host dan pusat data yang terus
berubah. Penyedia layanan harus memberikan komitmen kontraktual untuk mendukung
bentuk investigasi tertentu, bersama dengan bukti bahwa mereka telah berhasil
mendukung kegiatan tersebut.
> Kelangsungan
hidup jangka panjang. Suatu perusahaan tidak memiliki jaminan bahwa penyedia
cloud computing tidak akan pernah bangkrut atau diakuisisi dan ditelan oleh
perusahaan yang lebih besar. Namun, penyedia saat ini seperti Amazon, Google,
IBM, dan Microsoft hampir pasti akan terus ada untuk sementara waktu. Namun
demikian perusahaan harus mendapatkan jaminan bahwa datanya akan tetap tersedia
bahkan setelah peristiwa semacam itu. Semua penyedia layanan harus memberikan
jaminan bahwa pengguna akan mendapatkan kembali data mereka dalam format yang
dapat mereka impor ke aplikasi pengganti.
Komputasi awan dan
aplikasi SaaS adalah bidang baru dan berkembang saat buku ini mulai dicetak.
Kita dapat mengharapkan untuk melihat standar yang ditetapkan dan praktik
terbaik yang diakui di tahun-tahun mendatang. Perusahaan belajar cukup banyak
tahun yang lalu ketika menggunakan biro layanan TI untuk mengenali bagaimana
tidak memilih penyedia layanan cloud. Komputasi awan dan SaaS adalah gelombang
masa depan, dan auditor TI harus melihat lebih banyak dari mereka di
tahun-tahun mendatang.
VIRTUALISASI MANAJEMEN PENYIMPANAN
Virtualisasi adalah
konsep menggabungkan sumber daya penyimpanan fisik TI dari beberapa perangkat
penyimpanan jaringan ke dalam apa yang tampak sebagai perangkat penyimpanan
tunggal yang dikelola dari konsol pusat. Virtualisasi penyimpanan membantu
administrator penyimpanan TI melakukan tugas pencadangan, pengarsipan, dan
pemulihan lebih mudah, dan dalam waktu yang lebih singkat, dengan menyamarkan
kompleksitas aktual jaringan keseluruhan perangkat penyimpanan TI. Penulis ini
pertama kali diperkenalkan dengan virtualisasi manajemen penyimpanan pada tahun
2002 ketika ia sebagai bagian dari kelompok konsultasi kecil untuk EMC
Corporation yang membantu meluncurkan praktik konsultasi Perpustakaan Teknologi
Informasi Infrastruktur (ITIL). (Praktik terbaik ITIL dibahas dalam Bab 7.)
Pada saat itu, EMC adalah pemimpin dalam perangkat manajemen penyimpanan, dan
konsep virtualisasi adalah inovasi teknologi utama. Sejak itu, virtualisasi
telah menjadi proses manajemen sumber daya TI yang banyak digunakan dan
penting.
Untuk memahami
virtualisasi TI, seseorang harus mengunjungi masa-masa awal sistem komputer —
terutama mainframe lama. Komputer-komputer tersebut memiliki sistem operasi
(OS) yang mengendalikan berbagai perangkat periferal yang terhubung, termasuk
printer, tape drive, dan perangkat penyimpanan massal. Meskipun sistem komputer
mainframe sebelumnya pada awalnya membuat penggunaan besar-besaran magnetic
tape drive yang relatif murah untuk menyimpan data, teknologi dengan cepat
pindah ke drum magnetik berputar dan kemudian ke perangkat penyimpanan disk
drive. Meskipun mereka jauh lebih mahal di masa-masa awal IT, disk dan drum
drive dengan cepat menjadi populer. Keterbatasan dengan tape drive adalah bahwa
untuk membaca catatan ke-100.000 pada kaset, drive harus melewati 99.999
catatan pertama untuk menemukan catatan itu. Tape drive dan kemudian drum drive
dengan cepat menjadi anekdot hampir historis, dan teknologi pindah ke memutar
disk drive, yang jauh lebih cepat dan memiliki skema pengindeksan yang
menempatkan rekor ke-100.000 hampir secara instan.
Karena setiap auditor
IT dengan drive C yang dikemas pada laptopnya, penuh dengan catatan dan materi
lainnya, dapat membuktikannya, ada kebutuhan kuat untuk ruang penyimpanan
massal di semua komputer. Perusahaan dari semua ukuran membutuhkan cara untuk
mengelola dan mengontrol data yang tersimpan. Dengan perusahaan yang
menciptakan begitu banyak informasi, operasi TI telah menyimpan data mereka di
beberapa unit penyimpanan atau drive tetapi juga perlu mengkonsolidasikan
penyimpanan dan mendapatkan hasil maksimal dari setiap unit penyimpanan. Skema
untuk mengelola semua perangkat itu segera menjadi sakit kepala. Sebuah solusi
adalah virtualisasi penyimpanan, suatu teknik untuk menggabungkan semua drive
penyimpanan menjadi satu sumber daya yang dapat dikelola secara terpusat.
Virtualisasi secara
umum adalah pemisahan fungsi perangkat dari elemen fisiknya. Dengan
virtualisasi penyimpanan, drive fisik unit dipisahkan dari fungsinya untuk
menyimpan data, dan beberapa disk fisik akan tampak menjadi satu unit.
Virtualisasi adalah metode yang sangat efisien untuk mengelola dan
mengendalikan unit fisik yang terpisah menggunakan perangkat lunak virtualisasi
khusus. Dengan perangkat lunak yang tepat, teknik virtualisasi dapat digunakan
dengan perangkat perangkat keras TI di luar manajemen penyimpanan, komponen
jaringan, server, sistem operasi, atau bahkan aplikasi. Dalam sistem seperti
itu, diagram aplikasi perangkat keras yang harus diminta oleh auditor TI
sebagai bagian dari tinjauan kontrol TI umum tidak lagi berlaku. Perangkat
lunak virtualisasi memikul tanggung jawab unit demi unit ini.
Konsep virtualisasi,
dalam beberapa hal, adalah pelopor komputasi awan. Kami hanya menyebutkan
virtualisasi di sini sebagai konsep baru, dengan sedikit detail pendukung, yang
akan ditemui oleh auditor TI dalam tinjauan kontrol umum mereka. Meskipun
virtualisasi manajemen penyimpanan TI pertama kali diperkenalkan oleh satu
perusahaan saja, banyak vendor manajemen perangkat keras dan penyimpanan telah
mengambil konsep tersebut. Ketika seorang auditor IT menghadapi lingkungan di
mana virtualisasi banyak digunakan, ia harus bertemu dengan anggota staf TI
untuk mendapatkan pemahaman tentang sifat implementasi, untuk memastikan bahwa
itu telah dilaksanakan dengan cara yang menekankan internal TI. kontrol, dan IT
tampaknya menyadari manfaat dari perangkat atau fitur perangkat lunak. Mirip
dengan komputasi awan, virtualisasi adalah produk atau konsep perangkat lunak
yang ditawarkan oleh banyak vendor besar. Ini adalah konsep yang terus
berkembang dan masih terus berkembang dan auditor TI harus meningkatkan
pemahaman mereka tentang hal itu sebagai tren yang berkembang dalam operasi TI.
Komentar
Posting Komentar