Scribd Logo
Upload

Welcome to Scribd!

  • 122 views

    Masterclass GRC Foundation - BLMI CIMB Niaga

    Uploaded by

    Borjong

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd

    Masterclass GRC Foundation - BLMI CIMB Niaga

    Uploaded by

    Borjong
    122 views115 pages

    Original Title

    2. Masterclass GRC Foundation - BLMI CIMB Niaga

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Download as pdf or txt
    122 views115 pages

    Masterclass GRC Foundation - BLMI CIMB Niaga

    Uploaded by

    Borjong

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Download as pdf or txt
    You are on page 1of 115

    Masterclass GRC

    Foundation
    Audit Teknologi Informasi

    27 Juni 2023
    Profil Pembicara
    Chief Audit
    Executive

    Head of TADA

    Audit Head
    Audit Head
    (Tech. Assurance
    (Tech. Assurance Business Audit Data Analytics Head
    Infrastructure & Cyber
    App. & Tech. Governance)
    Security)

    Audit Advisory Head


    Audit Advisory Head
    (Tech. Innovation,
    (Technology Project)
    Emerging Tech., QA & COE)

    2
    Profil Pembicara
    Aeron Aeron Krisnadi has over ten years of experience in IT audit and IT
    Krisnadi consulting related assignments. He is currently an Audit Head in
    Audit Head Technology Assurance – Infrastructure and Cyber Security. His
    Tech.Assurance Infrastructure &
    Cyber Security responsibility is to plan and supervise assurance assignments over
    infrastructure related IT Process, as well as bank wide cyber security
    practices. He previously joined CIMB Niaga In 2016, as senior auditor
    Serra in IT Project Audit Division. By getting involved as consultative
    Genia reviewer to several of IT projects, he was exposed to various
    Audit Head
    experiences with projects ranging from financial related projects to
    Tech.Assurance Business App & electronic banking products.
    Technology Head

    He started his career as lecturer assistant in Pelita Harapan University.


    He then joined Risk Assurance (previously Risk & Control Solution) in
    Lisiani PwC Indonesia in 2012 as an IT auditor. During his time in PwC
    Muljono Indonesia, he has deeply involved in various engagement ranging from
    Advisory Head
    Tech.Innovation, Emerging Tech., QA
    IT audits to consulting works in IT governance, security and
    & COE infrastructure. His experiences are spanning multi-industries such as
    banking, finance, utilities, manufacturing and telecommunication.
    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 3
    Profil Pembicara
    Aeron Serra Genia has over 15 years of experience in IT audit assignment.
    Krisnadi She is currently an Audit Head in Technology Assurance – Business
    Audit Head Application & Technology Governance. Her responsibility is to
    Tech.Assurance Infrastructure &
    Cyber Security conduct business application & IT governance risk assessment to
    determine risk based audits plan, and supervise assurance
    assignments over application & IT Governance related process. She
    Serra started her career since fresh graduate by joining CIMB Niaga Audit
    Genia Development Program in 2008.
    Audit Head
    Tech.Assurance Business App & During her career, she deeply involved in various audit assignment,
    Technology Head
    from risk based audit to compliance audit for end to end application
    business process, such as: digital banking system middleware
    system, core system, credit system, payment system, branch
    Lisiani operation system, e-channel, AML system, regulatory reporting
    Muljono system process, and also service technology process, such as: data
    Advisory Head
    Tech.Innovation, Emerging Tech., QA center management, system development life cycle, cyber security,
    & COE and 3rd party review.

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 4
    Profil Pembicara
    Aeron Lisiani Muljono has a total of fifteen years of experience in IT
    Krisnadi Audit/Risk & Control field. She is currently the Advisory Head in PT
    Audit Head Bank CIMB Niaga Tbk. Other than supervising her team in e-channel
    Tech.Assurance Infrastructure &
    Cyber Security project advisories work, her responsibility is to monitor, review and
    control Technology Advisory activities and reports in accordance with
    approved audit plan to ensure review process & report completion as
    Serra scheduled and to provide quality review reports.
    Genia
    Audit Head She started her career in 2006 as a software developer, before joining
    Tech.Assurance Business App & as an IT Auditor in PwC Indonesia in 2008. During her tenure in PwC
    Technology Head
    Indonesia, she was exposed to various industries such as banking,
    manufacturing and insurance. She joined PT. Bank CIMB Niaga Tbk in
    2011 as Senior IT Project Auditor performing advisory to multiple IT
    Lisiani projects in the Bank. Lisiani joined PT HM Sampoerna as Digital Risk &
    Muljono Control Manager from January 2020 – September 2022, before
    Advisory Head
    Tech.Innovation, Emerging Tech., QA rejoining PT Bank CIMB Niaga Tbk as Advisory Head specializing in
    & COE Technology Innovation, Emeging Technology, QA & COE.

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 5
    Our Journey for Today

    Emerging Risk & IA


    Focus Area
    Keamanan Aset
    Informasi

    IT Audit

    6
    Agenda Keamanan Aset Informasi

    Pengendalian Siber Klasifikasi & Enkripsi Data


    01 07
    Kerangka, Standar & Panduan
    02 Keamanan Aset Informasi 08 Security Awareness

    Privasi Data Teknik Serangan Siber


    03 09
    Manajemen Akses dan
    04 Identitas 10 Security Testing

    Pengumpulan Bukti Security Monitoring &


    05 Elektronik 11 Incident Response Mgmt.

    Keamanan Endpoint,
    06 Sistem & Jaringan 12 Cybersecurity Assurance
    7
    Agenda IT Audit

    Standar, Pedoman dan


    01 Kompetensi Auditor TI 04 Audit TI

    Proses Bisnis dan Jenis


    02 Kontrol TI 05 Analisis Data

    03 Jenis Audit TI 06 Quality Assurance

    8
    Emerging Risk & IA
    Focus Area
    Emerging Risk

    Cyberthreat IT Governance Data Third Party Risk


    Governance Management

    Source: Gartner 2022 10


    Cyberthreat
    Sample Question to
    Management:
    Audit Focus Area: How often do you conduct
    mock-phishing tests to see how
    • Review Cyber-Risk
    many employees click on
    Management Program and suspicious emails, and how do
    Processes you analyze
    • Review the Incident Response the results of those tests?
    Plan
    • Examine Existing
    Cybersecurity Reporting
    Capabilities Key Risk Indicator
    • Percentage of applications with
    automated disaster recovery

    • Frequency of backups and tests

    • Days since most recent


    comprehensive network security
    penetration test
    11
    IT Governance
    Sample Question to
    Management:
    Audit Focus Area:
    How would the IT department
    • Assess How the Organization respond if it learned that
    Monitors for Unauthorized employees were regularly using
    Software Use an unapproved application or
    service for business purposes?
    • Review Information Security
    Policies and Training
    • Conduct Ongoing IT Talent
    Monitoring and Tracking Key Risk Indicator
    • Number of uses of unauthorized
    software or services discovered
    by IT monitoring tools

    • Training hours per IT employee

    12
    Data Governance
    Sample Question to
    Management:
    Audit Focus Area:
    How does the organization
    • Assess the Organization’s track regulatory developments
    Current Level of Data Privacy concerning AI, PII and other
    Regulation Compliance data-and-analytics-related
    issues?
    • Assess Data Access and
    Storage Policies

    Key Risk Indicator


    • Frequency of updates to data
    classification and use policies

    • Number of approved exceptions to


    data
    and analytics policies

    • Number of employees who can


    access PII 13
    Third-Party Risk Management
    Sample Question to
    Management:
    Audit Focus Area:
    How does the organization
    • Assess Third Parties’ Effects in evaluate the criticality of its
    Business Continuity third parties?
    Management
    • Assess Third-Party Contracts
    • Assess Third-Party Access to
    Personally Identifiable
    Information
    Key Risk Indicator
    • Number of critical third parties

    • Frequency of updates to third-party


    risk profiles

    • Number of disruptions and failures


    involving or triggered by third
    parties
    14
    Keamanan Aset
    Informasi
    Agenda

    Pengendalian Siber Klasifikasi & Enkripsi Data


    01 07
    Kerangka, Standar & Panduan
    02 Keamanan Aset Informasi 08 Security Awareness

    Privasi Data Teknik Serangan Siber


    03 09
    Manajemen Akses dan
    04 Identitas 10 Security Testing

    Pengumpulan Bukti Security Monitoring &


    05 Elektronik 11 Incident Response Mgmt.

    Keamanan Endpoint,
    06 Sistem & Jaringan 12 Cybersecurity Assurance
    16
    Pengendalian
    Keamanan Informasi
    [#]

    1 <3) Proprietary/Internal Use Only> 17


    Konsep Dasar – CIA Triad

    Memastikan informasi hanya Melindungi integritas, accuracy


    dapat diakses oleh pihak yang dan completeness dari process
    berwenang. dan informasi.
    Mencakup Termasuk kemampuan untuk
    data/informasi/asset at rest, in mendeteksi atas adanya
    transit, in use. perubahan pada
    data/informasi/asset.

    Memastikan pihak yang berwenang dapat


    mengakses informasi dan aset, saat diperlukan.
    Mencakup: SLA, Fault tolerance, perlindungan
    dari data loss, redundancy. 18
    Klasifikasi Pengendalian

    Pengendalian dapat diklasifikasikan menurut berbagai perspektif.

    Source: GTAG Information Technology Risk and Controls

    19
    Contoh Klasifikasi Pengendalian

    Administrative Control Physical Control Logical/Technical Control

    Contoh pengendalian: Contoh pengendalian: Contoh pengendalian:


    • Kebijakan dan prosedur • Pagar dan tembok • Firewall
    • Manajemen akses • Security guard • Encryption
    • Pemisahan tugas • Anjing penjaga • Antivirus/Antimalware
    • Manajemen pihak ketiga • Crime prevention through • Secure configuration
    • Business continuity environmental design (CPTED) • Data Loss Prevention
    • Bollards solution
    • Man Trap • Application controls
    • Turnstile
    • Heating Ventilation and Air
    Conditioner (HVAC)

    20
    Committee of Sponsoring Organizations of the Treadway
    Commission (COSO)
    COSO adalah kerangka kerja yang memberikan pendekatan terstruktur bagi organisasi untuk
    meningkatkan tata kelola, mengurangi risiko, dan mendorong kinerja yang berkelanjutan.

    Control Environment 1. Demonstrates commitment to integrity and ethical values


    2. Exercises oversight responsibility
    3. Establishes structure, authority and responsibility
    4. Demonstrates commitment to competence
    5. Enforces accountability
    6. Specifies suitable objectives
    Risk Assessment 7. Identifies and analyzes risk
    8. Assesses fraud risk
    9. Identifies and analyzes significant change

    Control Activities 10. Selects and develops control activities


    11. Selects and develops general controls over technology
    Source: https://www.coso.org/ 12. Deploys through policies and procedures

    Information & 13. Uses relevant information


    Communication 14. Communicates internally
    15. Communicates externally

    Monitoring Activities 16. Conducts ongoing and/or separate evaluations 21

    17. Evaluates and communicates deficiencies


    Defense in Depth

    Disebut juga Layered Defense atau Onion


    Defense

    Pendekatan keamanan siber yang melibatkan


    penggunaan beberapa lapisan pertahanan untuk
    melindungi sistem dan data, termasuk
    penggunaan firewall, enkripsi, otentikasi,
    pemantauan keamanan, dan tindakan
    pencegahan lainnya, dengan tujuan mengurangi
    risiko serangan yang berhasil.

    Source: https://thorteaches.com/cissp-defense-in-depth/
    22
    Kerangka, Standar, dan Panduan
    (Guidelines) Keamanan Aset
    Informasi [#]

    2 <3) Proprietary/Internal Use Only> 23


    Mengapa Organisasi Perlu Mengadopsi Kerangka Kerja Siber

    Pendekatan Komprehensif: Kerangka kerja keamanan cyber menyediakan pendekatan terstruktur


    dan komprehensif untuk mengelola risiko keamanan cyber. Ia menawarkan serangkaian pedoman,
    praktik terbaik, dan kontrol yang dapat diikuti oleh organisasi untuk mengevaluasi,
    mengembangkan, dan meningkatkan posisi keamanan cyber mereka.

    Persyaratan Kepatuhan dan Reputasi: Banyak industri memiliki persyaratan regulasi dan standar
    kepatuhan terkait keamanan cyber. Mengadopsi sebuah kerangka kerja keamanan cyber yang
    diakui membantu organisasi memenuhi kewajiban kepatuhan ini dan menunjukkan komitmen
    mereka terhadap keamanan cyber.

    Standardisasi dan Konsistensi: Kerangka kerja keamanan cyber menyediakan kumpulan praktik dan
    kontrol yang standar, mendorong konsistensi di berbagai area dalam suatu organisasi. Hal ini
    memastikan bahwa langkah-langkah keamanan cyber diimplementasikan secara konsisten dan
    seragam, tanpa memperhatikan preferensi atau interpretasi individu.

    24
    NIST Cyber Security Framework (CSF)

    NIST CSF dapat membantu


    organisasi mengelola dan
    meningkatkan keamanan siber
    mereka.
    Dengan mengadopsi kerangka
    kerja ini, organisasi dapat:
    • Mengidentifikasi dan
    mengurangi risiko keamanan;
    • Meningkatkan kesiapan
    terhadap serangan;
    • Membangun sistem keamanan
    yang tangguh dan responsif
    terhadap ancaman keamanan
    siber yang terus berkembang.

    25
    CIS Critical Security Controls (CSC) v.8
    An IG 1 enterprise is
    a small to medium-
    sized with limited IT
    An IG2 enterprise and cybersecurity
    employs individuals expertise to dedicate
    responsible for towards protecting IT
    managing and assets and personnel
    protecting IT
    infrastructure. An IG3 enterprise
    employs security
    experts that specialize
    in the different facets
    of cybersecurity (e.g.,
    risk management,
    penetration testing,
    application security).

    26
    ISO 27001

    27
    Control Objectives for Information and Related Technologies
    (COBIT) 2019
    Kerangka kerja COBIT 2019
    menekankan pentingnya menjajaki
    keselarasan teknologi informasi
    dengan tujuan dan objektif bisnis.
    COBIT membantu organisasi dalam
    membangun sistem tata kelola dan
    manajemen yang komprehensif
    dengan menetapkan proses dan
    kontrol yang kunci untuk memastikan
    tercapainya nilai, mitigasi risiko, dan
    optimalisasi sumber daya.

    28
    Prinsip-Prinsip Privasi dan
    Ketentuan Privasi Data
    [#]

    3 <3) Proprietary/Internal Use Only> 29


    Key Risks

    Kepatuhan terhadap regulasi


    01 Regulasi mewajibkan kepatuhan
    terhadap perlindungan atas data pribadi
    yang dikelola oleh pengendali data.

    Reputasi dan kerugian finansial


    02 Kegagalan organisasi dalam melindungi
    privasi data dapat menyebabkan
    reputasi yang buruk, hingga denda dan
    tuntutan hukum.

    Key Risks

    30
    Ketentuan Privasi Data

    UU PDP disahkan pada 20


    September 2022.
    Organisasi harus patuh
    terhadap UU PDP pada
    Oktober 2024 (dua tahun
    grace period).
    SKAI dapat:
    • Mempelajari isi dari UU
    PDP.
    • Membantu menilai
    kesiapan organisasi
    menuju kepatuhan
    terhadap UU PDP.

    31
    Prinsip-Prinsip Perlindungan Data Pribadi/Privasi

    Privasi Data vs Proteksi Data

    Data Pribadi umum vs spesifik

    Pengendali Data Pribadi vs


    Prosesor Data Pribadi

    32

    Source: Materi Sosialisasi Internal CIMB Niaga


    Rights of Data Subject

    Hak untuk mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan
    penggunaan data pribadi, dan akuntabilitas pihak yang meminta data Pribadi.
    Hak untuk melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi
    miliknya.
    Hak untuk mendapatkan akses dan memperoleh salinan data pribadi miliknya.
    Hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data Pribadi miliknya.
    Hak untuk menarik kembali persetujuan pemrosesan data pribadi miliknya.
    Hak untuk mengajukan keberatan atas tindakan pengambilan keputusan dan pemrofilan yang hanya didasarkan pada
    pemrosesan secara otomatis.
    Hak untuk menunda atau membatasi pemrosesan data pribadi secara proporsional.
    Hak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data Pribadi miliknya.
    Hak untuk mendapatkan dan/atau menggunakan data pribadi tentang dirinya dari pengendali data pribadi dalam
    bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
    Hak untuk menggunakan dan mengirimkan data pribadi tentang dirinya ke pengendali data pribadi lainnya, sepanjang
    sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip pelindungan data pribadi
    berdasarkan undang-undang ini.

    33
    Manajemen Akses
    dan Identitas
    [#]

    4 <3) Proprietary/Internal Use Only> 34


    Key Risks

    Akses tidak terotorisasi


    01 Kegagalan dalam pengelolaan akses
    dapat menyebabkan terjadinya akses
    dan perubahan yang tidak terotorisasi

    Fraud
    02 Tidak adanya segregation of duties
    dapat meningkatkan potensi terjadinya
    fraud, karena transaksi dapat dilakukan
    oleh satu orang tanpa ada four-eyes.

    Key Risks

    35
    Prinsip-Prinsip Manajemen Akses

    Least Privilege Need-to-Know Segregation of Duties


    Focuses on restricting based on the idea that Critical tasks or actions
    users' access privileges to users should have access should be divided among
    the minimum level to information and multiple individuals or
    necessary for them to resources only if they roles to ensure that no
    perform their authorized genuinely require it to fulfill single person has
    tasks. their specific roles and complete control or
    Ensures that users have responsibilities. authority.
    access only to the ensures that sensitive data This principle prevents
    resources and information is restricted to authorized conflicts of interest,
    necessary to perform their individuals who need it to reduces the risk of abuse
    work, reducing the risk of perform their tasks, or fraud, and increases
    unauthorized access, minimizing the risk of accountability.
    accidental data exposure, unauthorized exposure,
    or intentional misuse. data breaches, or insider
    threats.

    36
    Authentication Factors

    Type 1
    Something you know
    e.g. password, PIN

    Type 2
    Something you have
    e.g. hard atau soft token

    Type 3
    Something you are
    e.g. biometric, fingerprint, iris/retina

    Type 4
    Somewhere you are
    e.g. Lokasi dari GPS

    Type 5
    Something you do
    e.g. pattern based tap or swipe
    37
    Identity Life Cycle Management

    Authorization Provisioning
    • Penentuan hak akses suatu • Pembuatan user ID dan
    identitas ke dalam suatu identitas.
    system. • Group membership,
    • Access Control Matrix. assignment ke sistem terkait.

    Password Mgmt
    • Penentuan dan enforcement
    atas password policies.
    • Password sync, LDAP.

    Account Review Deprovisioning


    • Pengaturan atas aktivitas • Pemutusan akses suatu
    review berkala hak akses user identitas ke sistem.
    terhadap system.
    • Menghindari excessive access.

    38
    Privileged Access Management

    Privileged access perlu mendapat perhatian khusus karena memiliki hak akses lebih tinggi
    dibandingkan akses biasa.
    Best practices dalam pengelolaan privileged access:
    • Melakukan inventarisir atas privileged access.
    • Menonaktifkan default user administrator (jika memungkinkan).
    • Dual custody password secara manual.
    • Gunakan password yang kuat.
    • Gunakan Multi Factor Authentication (MFA).
    • Monitoring dan auditing terhadap penggunaan privileged access.
    • Gunakan Privileged Access Management (PAM) tools.
    • Atur dalam prosedur formal.

    39
    Bukti Elektronik / Audit Log

    [#]

    5 <3) Proprietary/Internal Use Only> 40


    Key Risks

    Ketersediaan dan retention


    01 Audit log tidak tersedia saat diperlukan.

    Informasi tidak lengkap


    02 Audit log tidak mencatat informasi detil
    yang diperlukan untuk investigasi.

    Integritas
    03 Audit log dapat diubah sehingga tidak
    dapat dipastikan integritasnya.
    Key Risks

    41
    Bukti Elektronik / Audit Log

    Security Event Log Transaction Log


    Merupakan bukti elektronik yang Merupakan bukti elektronik yang
    mencatat kejadian-kejadian yang mencatat mengenai transaksi bisnis
    berhubungan dengan keamanan yang terjadi.
    informasi.
    Contoh: Transaksi pembayaran,
    Contoh: Login berhasil atau gagal, Transaction transaksi transfer/pemindahbukuan.
    service atau server shut down, terdapat
    Log
    potensi infeksi malware.

    Security
    Event Log

    Audit log diperlukan untuk mencapai


    accountability, serta non-repudiation.
    Sangat bergantung pada seberapa reliable
    pengendalian akses yang telah diterapkan. 42
    Keamanan Endpoint, Sistem
    dan Jaringan
    [#]

    6 <3) Proprietary/Internal Use Only> 43


    Key Risks

    Celah keamanan
    01 Sistem/aplikasi/infrastruktur TI yang
    tidak diimplementasikan pengamanan
    akan sangat rentan terhadap serangan
    siber.

    Reputasi dan kerugian finansial


    02 Celah keamanan yang dieksploitasi
    dapat menyebabkan kebocoran data
    maupun fraud yang berdampak pada
    kerugian reputasi maupun finansial.

    Gangguan operasional
    03 Sistem/aplikasi yang rentan dapat
    berujung pada gangguan operasional
    (system down, dsb).

    Key Risks

    44
    Pengamanan Endpoint

    Cakupan “Endpoint”, yaitu: physical devices that connect to and exchange information with a
    computer network. Some examples of endpoints are mobile devices, desktop computers, virtual
    machines, embedded devices, and servers. Internet-of-Things devices—like cameras, lighting,
    refrigerators, security systems, smart speakers, and thermostats—are also endpoints.
    “You cannot protect what you don’t know.” Diperlukan proses pengelolaan asset TI untuk
    mendapatkan visibility atas seluruh asset TI di organisasi.
    Pengamanan endpoint (laptop/desktop/workstation) secara umum:
    • HDD encryption
    • DLP agent
    • EDR/Anti Malware
    • VPN
    Pengamanan endpoint (server) secara general
    • Hardening/security baseline per masing2 platform (Wintel, Unix, dll)
    • EDR/Anti Malware

    45
    Pengamanan Jaringan

    Pengamanan Jaringan secara umum:


    • Firewall and DMZ
    • NAC
    • Secure Operation of Hardware
    • Intrusion Prevention System (IPS) and Intrusion Detection System (IDS)
    Pengamanan Wireless secara umum:
    • Change the default administrator password.
    • Change the SSID to something unique.
    • Menonaktifkan SSID Broadcast.
    • Melakukan Site Survey, termasuk penentuan antenna, dan power adjustment.
    • Mengaktifkan Secure Encryption Protocols
    • Mengaktifkan MAC filtering (untuk koneksi endpoint jumlah terbatas).
    • Memisahkan Wireless Access Point dari jaringan kabel utama menggunakan firewall.
    • Memperlakukan wireless sebagai titik masuk serangan, sehingga perlu melakukan pemantauan
    seluruh komunikasi WAP-to-wired-network dengan intrusion detection system (IDS).

    46
    Pengamanan Mobile, IOT, dan Web

    Pengamanan Mobile secara umum:


    • Password lock screen
    • Mobile security software
    • Mobile Device Management
    • BYOD policy
    Pengamanan IOT secara umum:
    • Memasukkan aspek keamanan sebagai bagian dari pengkajian awal pengadaan
    • Implementasi pada jaringan terpisah
    • Patch management
    Pengamanan teknologi berbasis web (selain hardening di sisi infrastruktur):
    • Secure Coding – OWASP top 10 (https://owasp.org/Top10/) and code review
    • Use secure channel (HTTPS)
    • Web Application Firewall (WAF)
    • VAPT

    47
    Klasifikasi dan
    Enkripsi Data
    [#]

    7 <3) Proprietary/Internal Use Only> 48


    Key Risks

    Overprotection of information asset


    01 Resource yang dikeluarkan untuk
    melindungi data lebih besar disbanding
    nilai dari data.

    Underprotection of information asset


    02 Kurangnya perlindungan data atas data
    atau informasi yang bernilai critical
    untuk organisasi

    Key Risks

    49
    Pengklasifikasian Data

    Pengklasifikasian data akan membantu


    organisasi dalam proses manajemen
    risiko terkait informasi, khususnya pada
    aspek
    • Perlindungan data
    • Data life cyle management
    • Kepatuhan terhadap regulasi Source:
    https://www.clicd
    ata.com/blog/co
    mplete-guide-
    data-lifecycle-
    management/

    Untuk masing-masing klasifikasi


    data, perlu diatur mengenai
    ketentuan penanganan dan
    pengamanan pada setiap tahap data
    life cycle.

    50
    Source: ISC2 CISSP Official Study Guide
    Kriptografi dan Enkripsi Data

    Pesan tidak dapat dibaca Melindungi pesan dari Memastikan identitas dari Memastikan sender tidak
    oleh pihak yang tidak kemungkinan perubahan pengirim atau penerima dapat menyangkal
    berwenang yang tidak terotorisasi pesan pengiriman pesannya

    Confidentiality Integrity Authentication Non-Repudiation

    Tujuan
    Kriptografi vs Enkripsi Enkripsi perlu dilakukan pada
    Kriptografi
    Kriptografi adalah ilmu yang mempelajari • Data at Rest
    secara luas cara mengamankan pesan atau • Data in Transit
    informasi • Data in Use
    Enkripsi adalah metode untuk mengubah
    pesan ke dalam bentuk rahasia.
    51
    Enkripsi Data
    Symmetric Cryptography
    Proses enkripsi dan
    dekirpsi menggunakan
    satu kunci yang sama

    Asymetric Cryptography
    Proses enkripsi dan
    dekripsi menggunakan
    dua kunci.

    Hashing
    Proses enkripsi satu
    arah, hanya berlaku
    proses enkripsi dan
    tidak dapat di dekripsi.
    52
    Security Awareness

    [#]

    8 <3) Proprietary/Internal Use Only> 53


    Key Risks

    Kurangnya awareness perorangan


    01 Kurangnya kesadaran pengguna atas
    perlunya praktik keamanan informasi
    sehari-hari

    Kurang efektifnya awareness program


    02 Program security awareness yang
    dilakukan belum cukup untuk
    meningkatkan kesadaran pengguna.

    Key Risks

    54
    Security Awareness

    Watch Video: https://www.youtube.com/watch?v=lc7scxvKQOo

    55
    Human is often considered the weakest link in cyber security
    chain
    Emotional Triggers Complexity of Attack
    Social engineers seringkali memanfaatkan sisi Serangan social engineering semakin canggih,
    emosional korban, dengan menggunakan sehingga menyebabkan korban semakin sulit
    berbagai faktor seperti rasa takut, sungkan, untuk menyadari dan mengidentifikasi bahwa
    urgency, rasa penasaran, yang dapat dirinya sedang diserang. Penyerang juga
    mempengaruhi korban sehingga membuat dapat memanfaatkan riset yang dalam serta
    keputusan yang impulsive atau terburu-buru tanpa personalisasi untuk meningkatkan kesuksesan
    disertai berpikir kritis. membohongi korban.

    Trust and Compliance Desire to Help or Please Others


    Manusia cenderung untuk percaya dan
    patuh terhadap sosok atasan ataupun Salah satu menjadi sifat dasar manusia adalah
    individu yang dinilai dapat dipercayai. untuk menolong dan menyenangkan sesama. Hal
    Social engineers memanfaatkan tersebut dimanfaatkan oleh social engineers untuk
    kecenderungan ini dengan berpura-pura memancing empati yang akan mendorong
    sebagai atasan ataupun sosok yang seseorang untuk memberitahu informasi sensitive
    kredibel. atau melakukan sesuatu yang tidak biasa.

    56
    Bagaimana Untuk Meningkatkan Awareness?

    Sosialisasi Security
    Awareness Berkala

    Security Awareness Social Engineering


    Training Test
    Continuous Evaluation

    57
    Teknik Serangan
    Siber
    [#]

    9 <3) Proprietary/Internal Use Only> 58


    59
    Common Cyber Attack Vectors

    Malicious Employee
    Sangat berbahaya karena sudah memiliki akses ke
    internal organisasi. Bisa terjadi karena disgruntled
    employee, maupun ditawarkan opportunity.

    Compromised Credentials and Weak Password Poor Encryption


    Memanfaatkan credentials yang sudah bocor di Memanfaatkan kelemahan pada enkripsi sehingga
    public/dark web, ataupun memanfaatkan celah dari confidentiality dari aset dapat dibobol. Contoh teknik
    password yang mudah dibobol. Contoh teknik serangan: cryptographic attacks
    serangan: bruteforce, dictionary attack.

    Social Engineering

    !
    Software Vulnerabilities/Misconfiguration
    Memanfaatkan kelemahan pada aplikasi atau sistem. Memanfaatkan kelemahan sifat dasar manusia
    Serangan dapat dilanjutkan dengan code injection, supaya target melakukan sesuatu yang malicious,
    menanamkan malware (worm, Trojan, ransomware), tanpa disadari oleh target. Contoh teknik serangan:
    maupun mencuri credentials. phishing, spear phishing, whaling, vishing

    DDoS Attack
    Memanfaatkan banyak zombie endpoint untuk
    mengirimkan request ke target. Request yang
    dikirimkan akan sangat banyak sehingga berdampak
    pada availability, yaitu kemampuan target untuk
    merespon sesuai SLA. Contoh teknik serangan:
    HTTP flood, SYN flood 60
    Security Testing

    [#]

    10 <3) Proprietary/Internal Use Only> 61


    Key Risks

    Celah keamanan
    01 Terdapat celah keamanan pada
    sistem/aplikasi yang tidak diketahui
    oleh organisasi

    Reputasi dan kerugian finansial


    02 Celah keamanan yang dieksploitasi
    dapat menyebabkan kebocoran data
    maupun fraud yang berdampak pada
    kerugian reputasi maupun finansial.

    Kepatuhan terhadap regulasi


    03 Beberapa regulasi mewajibkan
    pengujian keamanan menjadi salah
    satu persyaratan yang perlu dilakukan.

    Gangguan operasional
    04 Sistem/aplikasi yang rentan dapat
    berujung pada gangguan operasional
    (system down, dsb).

    Key Risks 62
    Variasi Security Testing

    Penetration Testing
    Pengujian dengan mencoba menembus pertahanan siber. Dapat dilakukan oleh
    internal maupun eksternal. Metode: Black Box, Grey Box, dan White Box. Pentest
    dapat dilakukan secara berkala, maupun saat aplikasi atau system baru akan live.

    Vulnerability Assessment
    Pengujian dengan melakukan scanning atas celah keamanan pada aplikasi
    ataupun infrastruktur TI. Perlu dilakukan secara berkala, umumnya dengan
    bantuan tools. Hasil pengujian perlu dikelola dan dimonitor penyelesaiannya.

    Application Security Testing


    Umumnya dilakukan saat fase development. Pengujian dilakukan untuk
    memastikan aplikasi/system yang dibangun telah sesuai dengan standar
    keamanan organisasi.

    Source Code Review


    Pengujian yang dilakukan di level code. Umumnya dilakukan dengan bantuan
    tools, yang dapat melakukan scanning code. Tipe pengujian mencakup static dan
    dynamic code review.

    63
    Security Monitoring & Incident
    Response Management
    [#]

    11 <3) Proprietary/Internal Use Only> 64


    Key Risks

    Kurang atau tidak adanya IRP


    01 Organisasi tidak memiliki Incident
    Response Plan, atau IRP belum
    komprehensif mencakup seluruh fase
    insiden

    Kurangnya visibility untuk deteksi


    02 Organisasi tidak dapat mendeteksi
    ketika terjadi suatu kejadian terkait
    security.

    Respon dan recovery lambat


    03 Organisasi belum dapat merespon dan
    pemulihan atas kejadian insiden, sesuai
    dengan SLA
    Key Risks

    65
    Incident Response Plan vs Continuity Plan

    Incident Response Plan


    Fokus terhadap langkah-langkah untuk
    menanggapi dan mengelola kejadian atau
    insiden siber yang dapat berdampak pada
    operasional, data atau system pada organisasi.
    Perlu untuk dikaji secara berkala dalam bentuk
    Cyber Drill.

    Disaster Recovery Plan


    Fokus terhadap pemulihan
    infrastruktur, system dan
    operasional TI yang critical dalam Business Continuity Plan
    kejadian atau insiden gangguan yang Fokus untuk memastikan
    bersifat major, seperti bencana alam, operasional dari bisnis tetap berjalan,
    kegagalan hardware, atau serangan dan meminimalkan dampak dari
    siber yang menyebabkan system gangguan insiden terhadap fungsi
    utama organisasi tidak dapat organisasi yang critical.
    beroperasi. 66
    Tahapan dari Security Monitoring & Incident Response Plan

    Detection Response Mitigation Reporting


    • Visibility atas security • Keterlibatan CSIRT • Containment atas incident • Pelaporan terhadap pihak
    event melalui security log • Analisis dan investigasi • Membatasi penyebaran yang relevan (internal,
    • Threat Intelligence atas incident dan dampak atas incident eksternal, regulator)
    • SOC monitoring 24x7
    • Tools: SIEM/SOAR

    Lessons Learned Remediation Recovery


    • Identifikasi continuous • Identifikasi root cause • Mengembalikan sistem ke
    improvement atas mengapa incident bisa fully functioning state
    keseluruhan proses terjadi • Rebulld the system from
    monitoring dan incident • Implementasi solusi scratch, and reconfigure
    response permanen • Aktifkan restorasi backup 67
    • SLA
    Cybersecurity Assurance

    [#]

    12 <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 68
    69

    Cybersecurity Regulatory Requirements & Framework


    Framework & Standard

    PP No. 71 Tahun 2019 Penyelenggaraan POJK No. 11/POJK.03/2022 Penyelenggaraan Global Technology Audit Guide (GTAG)
    Sistem dan Transaksi Elektronik Teknologi Informasi Oleh Bank Umum containing reference to:
    • National Institute of Standards &
    Technology (NIST)
    POJK No. 12/POJK.03/2018 Penyediaan • COBIT
    UU No. 19 Tahun 2016
    Layanan Perbankan Digital Oleh Bank Umum • Centre for Internet Security (CIS)
    Perubahan Atas Undang-Undang Nomor 11
    Tahun 2008 Tentang Informasi Dan
    Transaksi Elektronik ISACA Cybersecurity Audit Program -
    PBI 23/6/PBI/2021 Based on NIST Cybersecurity Framework
    UU No. 27 Tahun 2022 Penyedia Jasa Pembayaran
    Perlindungan Data Pribadi
    ISO 27001 & ISO 27002

    Other Emerging Standard

    Link to Detail 69
    70

    NIST Framework and GTAG Risk Framework


    The NIST Cybersecurity Framework helps to understand, manage, GTAG contains framework and guidance for auditing cybersecurity
    and reduce their cybersecurity risk and protect their networks and data. It also operations. It provides references to other existing standards such as NIST, CIS,
    help to decide where to focus your time and money for cybersecurity and others related standards.
    protection.

    Cybersecurity
    Governance

    Prompt Response Inventory of


    & Remediation Information Assets
    Ongoing
    How to give Monitoring

    assurance?

    Information
    Standard Security
    Access
    Configurations
    Management

    AUDIT OBJECTIVE
    • Provide management with an assessment of their cybersecurity policies and procedures
    and their operating effectiveness.
    • Identify security control concerns that could affect the reliability, accuracy and security of
    the enterprise data due to weaknesses in security controls.
    • Evaluate the effectiveness of response and recovery programs
    70
    71

    GTAG Cybersecurity Risk Framework vs Audit Universe


    Cybersecurity Governance
    It’s about:

    Prompt Response and Policy & procedures


    Inventory of Information Assets:
    Remediation Risk management Data, Infrastructure, Application
    It’s about: Culture It’s about:
    • Communicating risks that Data inventory
    matter.
    Infrastructure inventory
    • Enacting remediation.
    Ongoing Monitoring Application
    • Tracking identified issues to
    resolution. It’s about: External relationships (3rd parties)
    • Trending and reporting on • Access-level evaluation and scanning
    resolutions across the entity.
    • Vulnerability assessment
    • SLA on Remediation activity

    • Third-party risk assessments and monitoring

    • Penetration testing
    Information Access
    Standard Security Configurations
    Management • Malware
    It’s about: It’s about:
    • Incident monitoring and response
    • User Access Management • Standard & Baseline Configuration
    Management
    • Privilege Access Management
    • Patch Management

    71
    72

    Cybersecurity Internal Audit Activities Mapped to GTAG


    Cybersecurity Inventory of Standard Security Information Access Prompt Response and
    Governance Information Assets Configurations Management Remediation
    Review on: • Review on: Review on: Review on: Review on:
    • Cyber Security policies, 1. Third party • Application Security • Access Control Matrix. • Incident & response
    standards, procedures, management. Requirement (ASR) • User access plan on Cybersecurity
    roles and 2. Endpoint and IT implementation & management. Event
    responsibilities. infrastructures documentation. • Privilege user ID • The escalation &
    • Organization's risk (servers, DB, • Security hardening for management. communication process
    management plan Network) endpoints and IT • IPS, IDS, & Firewall to response & recover
    • Effectiveness of • Advisory review on infrastructures Configuration & Access from cybersecurity
    cybersecurity SDLC process of IT (Servers, DB, Network). Control. event.
    awareness training. Asset Management • BCP and DRP
    application • Backup & restore
    implementation.

    Ongoing Monitoring
    • Review System availability and utilization monitoring • Review on Vulnerability Assessment and Penetration Testing
    • Review on Security Operation Center (SOC) • Review on audit trail, security event, anomaly, & alert monitoring from
    • Creation of cybersecurity dashboard using IT security tools data Security Tools.

    Legend: 72
    Advisory Assurance
    Risk Mitigation and Management Best Practices(1/2)
    1 Evaluate Employee Security Training 2 Assess the Organization’s Use of Phishing Tests & Training

     Assess the effectiveness of security awareness and training programs in raising  Assess how often the organization conducts social engineering test
    employee awareness. campaigns and training.
     Review the number of employees who have taken the training, how often  Evaluate how the organization tracks trends in the number of employees
    training is required, and the levels of employees mandated to complete it. who click on suspicious emails and the effectiveness of phishing awareness
     Verify the training includes education and awareness of common security training.
    threats, such as phishing, and adequate guidance on securing devices and  Review whether test campaigns include additional training requirements for
    accessing, transmitting and storing sensitive information while working remotely. employees who demonstrate inadequate security behaviors.

    3 Evaluate Cyberincident Response Plans 4 Examine Cyber-Physical Attack Response Plans


     Ensure response plans are adequate to deal with potential harm to internal  Evaluate the response plan for cyber-physical attacks and determine if it
    systems, infrastructure and loss of customers and reputation. addresses the organization’s vulnerabilities, including operational capabilities,
     Evaluate whether the response plan is adequate relative to the size and building access and employee evacuation.
    scope of threats in the current threat landscape.  Assess the response time and the existence of backup systems. Also assess
     Evaluate the process for determining the appropriate level of whether response plans include all relevant stakeholders in the organization
    cyberinsurance and posture towards ransomware attacks. such as information security, physical security and IT.

    Source: Gartner @2021


    73
    Risk Mitigation and Management Best Practices(2/2)
    5 Conduct a Review of Operational Technology (OT) Assets 6 Review Access Management Policies and Controls

     Determine whether an inventory of all connected OT assets exists.  Review the policies and procedures for granting system access and user
    Evaluate if permission-granting protocols that allow various devices to privileges.
    connect to the network are in place.  Ensure access rights are granted based on defined business needs and job
     Assess if IT has reviewed security measures built into the organization’s requirements and are terminated in a timely manner as employees leave
    IoT devices and has communicated identified deficiencies to business the organization or change roles and administrator privileges are minimized.
    owners.

    7 Evaluate the Organization’s Network Security Mechanisms 8 Review Device Encryption and Patch Management
     Determine if the organization’s critical servers and assets are air-  Review the extent of encryption on all devices
    gapped to control or prevent lateral movement by a malicious actor  Assess the strength of required passwords and the use of multifactor identification.
    during a security breach.  Evaluate requirements for how often passwords must be changed.
     Determine how frequently the IT department performs assessments  Evaluate patch management controls to ensure they meet the organization’s
    to detect any unusual activities in the network. security needs.
     Consider the process through which the organization is notified of a patch & its
    installment throughout the system.

    Source: Gartner @2021


    74
    2023 Director's Handbook on Cyber-Risk Oversight

    Buku dapat dilihat/didownload pada:


    • https://www.nacdonline.org/insights/publications.cfm?ItemNumber=74777
    • https://isalliance.org/wp-content/uploads/2023/03/Cyber-Risk-Oversight-Handbook_WEB.pdf

    75
    Thank You
    Audit TI
    Agenda IT Audit

    Standar, Pedoman dan


    01 Kompetensi Auditor TI 04 Audit TI

    Proses Bisnis dan Jenis


    02 Kontrol TI 05 Analisis Data

    03 Jenis Audit TI 06 Quality Assurance

    78
    STANDAR, PEDOMAN dan
    KOMPETENSI AUDITOR TI

    [#]

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 79
    Standar dan Pedoman Acuan Audit TI

    ISACA Standards,
    Guideline & Procedure
     IS Standards, Guidelines and Procedures for
    Auditing and Control Professionals

     IS Auditing Procedure
    GTAG – Global
    Technology Audit
    Guide
     GTAG 3

     GTAG 8

     GTAG 12

     GTAG – Assessing Cybersecurity Risk

     GTAG – Auditing Cybersecurity Operations:


    Prevention & Detection

    80
    Kompetensi Auditor TI

    81
    PROSES BISNIS dan JENIS
    KONTROL IT

    [#]

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 82
    Proses Bisnis TI

    Teknologi
    Informasi

    IT & Cyber
    IT Governance IT Infrastructure Business Analyst
    Security

    Pengembangan IT Service Delivery


    Pengujian
    Sistem

    83
    Jenis Kontrol TI

    IT General Control IT App. Control


    Review pengendalian secara menyeluruh atas Review terhadap pengendalian sistem aplikasi terkait dengan
    sistem, komponen, proses dan data untuk transaksi dan pengolahan data – unik untuk masing-masing
    lingkungan organisasi atau teknologi informasi1. aplikasi1.

    Kelemahan pada kontrol umum dapat memberi


    Definisi pengaruh signifikan pada efektifitas Application
    Control2.

    Memastikan pengembangan, perubahan, dan Memastikan timeliness, completeness dan accuracy dalam
    implementasi sistem aplikasi dilakukan dengan setiap tahap pemrosesan informasi, termasuk pengendalian
    memadai, serta menjamin integritas dari data, atas proses interface antar aplikasi.
    program atau aplikasi.

    Tujuan
    If ITGC are not implemented or operating effectively, organization may not be able to rely on its
    application controls to manage risk.
    1 GTAG 1: Information Technology Controls, p.3 84
    2 2009 COBIT Manual
    IT General Control (ITGC)
    ACCESS TO PROGRAM
    IT GOVERNANCE & DATA
    Memastikan ketersediaan dan Memastikan bahwa kontrol internal
    keberlangsungan kontrol secara entitas, antar perusahaan secara efektif dapat mengurangi
    lain namun tidak terbatas pada penyusunan risiko akses yang tidak terotorisasi atau tidak
    prosedur dan kebijakan, proses analisa risiko sesuai pada sistem.
    (risk assessment), monitoring atas kontrol yang
    ada.

    COMPUTER
    PROGRAM CHANGES OPERATIONS
    Memastikan proses perubahan teknologi yang Memastikan bahwa perusahaan menjalankan
    dilakukan oleh perusahaan telah dilakukan aktivitas kontrol internal yang menunjang
    secara efektif dan efisien serta bagaimana kelancaran kegiatan operasional.
    pengaruh perubahan pada sistem, program,
    dan aplikasi organisasi.

    85
    IT Application Control
    Processing Control Integrity Control
    Memastikan pemrosesan dilakukan secara Melakukan monitoring atas data yang diolah
    lengkap, akurat dan terotorisasi. dan disimpan untuk memastikan konsistensi
    dan akurasi data.

    Input Control Output Control Management Trail


    Memastikan integritas data yang dimasukkan Memastikan hasil dari pemrosesan sesuai Memastikan ketersediaan audit trail untuk
    ke dalam aplikasi. dengan yang seharusnya. keperluan tracing jika diperlukan.

    86
    JENIS IT AUDIT & ASESMEN

    [#]

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 87
    Audit TI

    “Identifying IT risk and the appropriate controls to mitigate risk to an


    acceptable level.”

    Source: ISACA 88
    IT Audit Services Catalogue
    Tipe Penugasan Assurance
    • Full Scope
    • Thematic
    • Regulatory Review
    • Other Ad-Hoc Review

    Data Analytics
    • Monitoring continuous
    auditing dan alert
    • Other DA Review

    Tipe Penugasan Advisory


    • Project Review
    • Pre/Post Implementation Review
    • Other Ad-Hoc Review

    89
    AUDIT TI

    [#]

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 90
    Perencanaan Audit TI Berbasis Risiko
    Memastikan kelengkapan populasi IT Audit
    Pengajuan audit plan tahunan kepada CAE dan Universe, contoh: List Aplikasi, Struktur
    Audit Komite untuk mendapatkan approval Organisasi, Proses, List Partner/Pihak Ketiga

    1. Penentuan

    !
    4. Approval IT Audit
    Universe
    Technology &
    Business Process are Data Data
    rapidly change, RA Breach Integrity
    should also be carry
    out in more frequent
    basis 3. IT Audit 2. Risk
    Plan Assessment Cyber
    Security
    Availabilit
    y Risk

    System
    Third
    Poor
    Party
    Performa
    Risk
    Menentukan jadwal IT audit, size audit, rating / nce
    priority audit, kebutuhan man power untuk
    menjalankan audit selama 1 tahun berjalan Melakukan risk assessment pada masing-masing
    audit universe, menggunakan pembobotan score 91
    pada masing-masing risiko.
    Pengelolaan Penugasan Audit IT
    1.
    Preliminary
    Survey

    5.
    Monitoring 2. IT Audit
    & Follow Program
    Up
    IT
    Audit

    4. 3. IT Audit
    Reporting Fieldwork
    92
    1. Preliminary Survey
     Walkthrough & Discussion  Previous Audit Report (including
    Internal  Kebijakan, Prosedur, Juknis data analytic exception report)
     List changes, problems, &  RSCA & MSII
    Incident  Input from other SME units

    Eksternal  Top Risk Research by eligible  Ketentuan Regulator, ie:


    source, ie:

     Best Practiced:

    Audit Tujuan dan


    Planning Ruang
    Memorandum Lingkup Audit

    93
    2. IT Audit Program
    IT General Control
    Melakukan review pada kecukupan Kebijakan, Prosedur,
    Audit Standar, Juknis, struktur organisasi, tugas dan tanggung jawab
    Objective staff terkait manajemen risiko TI yang terkait dengan key
    process di auditable entities

    Inkonsistensi pada pelaksanaan kontrol dikarenakan tidak


    tersedianya ketentuan yang jelas, gangguan operasional,
    Risk complain customer, compliance risk, system vulnerability,
    penyalahgunaan wewenang
    IT Governance

     Memastikan ketentuan dan standar perusahaan:


    Common  Mengacu ke proses, risiko, dan control teknologi terkini
    Control  Menggunakan referensi ketentuan regulator dan standard best practice versi terkini
     Di review secara berkala dan mendapatkan approval dari management
    Tested  Masing-masing staff terkait teknologi
     Memiliki job description, KPI yang sesuai dengan tujuan / strategi perusahaan 94
     Memiliki kompetensi, memahami risiko teknologi informasi
    2. IT Audit Program
    IT General Control

    Memastikan terdapat pengamanan yang memadai terhadap


    Audit akses fisik ke asset TI perusahaan, seperti server, PC,
    Objective perangkat network, dan lain sebagainya.

    Akses ke perangkat TI oleh pihak yang tidak berwenang yang


    menyebabkan kerugian perusahaan berupa: kebocoran data,
    Risk kehilangan / kerusakan data dan asset perusahaan, gangguan
    Access to operasional
    Program &
    Data- Physical
    Access

    Common  Perangkat critical TI sudah disimpan di data center


    Control  Terdapat pengelolaan akses fisik ke ruangan penyimpanan perangkat TI / Data
    Center, seperti: Access/ID cards, fingerprint/biometric scanner, access
    Tested administration for visitors, perimeter security (guards, fences, gates, etc)
    95
    2. IT Audit Program
    IT General Control
    Memastikan perusahaan menjalankan aktivitas kontrol
    Audit internal yang menunjang kelancaran kegiatan operasional,
    Objective problem yang terjadi pada sistem dapat tertangani dengan
    baik untuk menjaga keakuratan data dan keberlangsungan
    operasional

    Akses ke sistem oleh pihak yang tidak berwenang yang


    menyebabkan kerugian perusahaan berupa: kebocoran data,
    kehilangan / kerusakan data dan asset perusahaan, gangguan
    Access to Risk operasional
    Program &
    Data- Logical  Permintaan akses ke aplikasi (new and modification) sudah di review dan
    Access mendapatkan persetujuan manajemen
     Akses staff yang sudah resign sudah dihapus
     Kesesuaian pemberian akses ke aplikasi di review secara berkala
    Common  Penerapan control authentikasi yang memadai untuk login kedalam system
    Control  Penerapan konfigurasi password yang aman dan sesuai standar
    Tested  Setting konfigurasi server (Operating System dan Database) di set sesuai dengan
    standard keamanan terkini
     Penerapan Antivirus/anti-malware terkini dan berfungsi dengan baik 96
     Aktivitas Super-user/privilege-ID dimonitor secara berkala
    2. IT Audit Program
    IT General Control
    Memastikan perusahaan menjalankan aktivitas kontrol
    Audit internal yang menunjang kelancaran kegiatan operasional,
    problem yang terjadi pada sistem dapat tertangani dengan
    Objective baik untuk menjaga keakuratan data dan keberlangsungan
    operasional

    Kerugian perusahaan akibat terganggunya / terhentinya


    operasional perusahaan, karena gangguan sistem, bencana
    alam, mengakibatkan kerusakan data, komplain customer,
    Risk compliance risk & reputation risk
    Computer
    Operations  Data yang critical sudah dibackup secara onsite dan offsite
     Terdapat aktivitas uji coba restore secara berkala
     Terdapat monitoring performance server dan jaringan, termasuk pelaksanaan
    monitoring menggunakan tools-tools security
    Common  Terdapat mekanisme pelaporan dan penanganan problem terkait sistem termasuk
    Control SLA penyelesaian problem
    Tested  Perusahaan memiliki Business Continuity Plan dan Disaster Recovery plan yang
    diperbaharui dan di uji coba secara berkala
     Data Center dilengkapi dengan alat pengamanan kebakaran, alat detector asap, 97
    pengaturan suhu, water leakage, dan CCTV
    2. IT Audit Program
    IT General Control

    Audit Memastikan proses perubahan teknologi yang dilakukan oleh


    Objective perusahaan telah dilakukan secara efektif, efisien, dan aman,
    sesuai tujuan perusahaan

    Unathorized changes yang menyebabkan kerugian


    perusahaan, terbukanya celah keamanan, peluang
    penyalahgunaan akses, hilang / rusaknya data, kesalahan
    Risk pencatatan finansial, dan lain sebagainya
    Program
    Changes

     Setiap pengembangan aplikasi sudah mengukuti control system development life


    Common cycle, yang meliputi tahapan: penentuan requirement, pengembangan, testing,
    Control implementasi ke production, review dan maintenance
     Pemisahan lingkungan dan pelaksana aktivitas development/testing dan
    Tested implementasi ke production
     Setiap aktivitas perubahan tercatat kedalam log 98
    2. IT Audit Program
    IT Application Control

    Audit Memastikan integritas data yang dimasukkan ke dalam


    Objective aplikasi.

    Kesalahan data yang di input, sehingga menghasilkan report


    Risk yang tidak akurat dan merugikan perusahaan

    Input Control

    Aplikasi memiliki control input untuk membantu user mengidentifikasi kesalahan input /
    menghindari pemrosesan unauthorized transaction, misal seperti:
    Common • Maker checker by system
    Control • Mandatory field
    • Validation control
    Tested • Range check
    • 2 factor authentication 99
    • Dan lain-lain
    2. IT Audit Program
    IT Application Control

    Memastikan pemrosesan di aplikasi dilakukan secara lengkap,


    Audit akurat dan terotorisasi, dalam kurun waktu yang dapat
    Objective diterima.

    Kesalahan dalam pemrosesan data, sehingga menghasilkan


    Risk report yang tidak akurat, atau proses pengolahan data
    menjadi lambat
    Process
    Control

    Memastikan aplikasi memiliki control pada aktivitas pemrosesan data seperti:


    Common • Duplicate control
    Control • Sequence control
    • Completeness check
    Tested • Error correction
    • Dan lain lain 100
    2. IT Audit Program
    IT Application Control

    Memastikan hasil dari pemrosesan di aplikasi sesuai dengan


    Audit yang seharusnya, menghasilkan Output yang akurat dan
    Objective lengkap

    Kesalahan dalam pengambilan keputusan perusahaan akibat


    Risk menggunakan report yang tidak akurat

    Output Control

    Common Aplikasi memiliki control pada output yang dihasilkan untuk memastikan report:
    Control • Menghasilkan field yang lengkap sesuai kebutuhan
    • Data tidak dapat dilakukan override / perubahan pada report
    Tested • Output report hanya dapat diakses oleh user yang authorized
    101
    2. IT Audit Program
    IT Application Control

    Audit Memastikan terdapat monitoring control atas data yang diolah


    dan disimpan untuk memastikan konsistensi dan akurasi data
    Objective

    Perubahan data yang unauthorized, ketidaktersediaan data


    Risk saat dibutuhkan sehingga dapat merugikan perusahaan
    Integrity
    Control
    Aplikasi memiliki control untuk memastikan integritas data yang disimpan di aplikasi
    (data tetap original dan tidak dapat diubah):
    Common • Restriction access ke lokasi penyimpanan data
    Control • Check sum dan check count control, sehingga setiap perubahan data before dan
    after dapat teridentifikasi
    Tested • Enkripsi
    • Hash 102
    2. IT Audit Program
    IT Application Control

    Memastikan terdapat pencatatan untuk melacak pemrosesan


    Audit data dari input, ke storage/penyimpanan, hingga ke output,
    Objective ketersediaan audit trail untuk keperluan tracing jika
    diperlukan.

    Terhambatnya proses investigasi akibat tidak tersedianya


    informasi record / time stamp/ kronologis atas aktivitas
    Risk kritikal atau transaksi saat dibutuhkan.
    Management
    Trail
     Memastikan terdapat fungsi audit trail pada sistem yang mencatat informasi atas:
     Aktivitas user seperti:
    • Aktivitas user administrator
    Common • Aktivitas user ID maintenance
    Control • Aktivitas perubahan parameter
    • Aktivitas user (login, input, pemrosesan, generate report, dll)
    Tested  Pencatatan informasi transaksional
     User ID, time stamp, before dan after value 103
     Retensi penyimpanan audit trail sudah sesuai dengan kebutuhan
    3. IT Audit Fieldwork

    Opening
    Fieldwork
    Meeting

     Fieldwork phase merupakan suatu kegiatan untuk


     Opening Meeting dilakukan untuk membuka mengumpulkan, memvalidasi, mengevaluasi,
    fieldwork menguji serta mendokumentasikan bukti-bukti IT
     Pada Opening Meeting auditor akan menjelaskan Audit serta informasi lain yang dibutuhkan untuk
    Tujuan dan Ruang Lingkup Audit, termasuk periode mencapai tujuan reasonable assurance
    dan cut off audit  Pelaksanaan fieldwork mengacu pada aktifitas
    pengujian yang telah ditetapkan dalam IT Audit
    Program

    104
    3. IT Audit Fieldwork
    Teknik Audit
    Beberapa teknik audit dibawah ini dapat digunakan olah auditor untuk melakukan pengambilan data /
    evidence, sekaligus melaksanaan proses pemeriksaan Audit IT

    Interview & Reperformance /


    Inquiry To Data Running Script
    Observasi Recalculation

    Document Review Sampling Data Analytic


    105
    3. IT Audit Fieldwork

    Penentuan Sample

    Automatic Control Test Of One

    Manual Control Manual Frequency Population Size Minimum Sampling


    Assumption
    Annual 1 1
    Catatan Penting Dalam
    Penentuan Sample Quarterly 4 2
    Monthly 12 3
     Identifikasi key control (automasi atau manual)
     Sumber populasi Weekly 52 8
     Kelengkapan populasi
    Daily 250 25
     Total / ukuran populasi
     Sifat/frekuensi populasi (untuk manual control) Multiple times per day > 250 30
     Metode Sampling: Statistical Sampling & Non Statistical
    Sampling
     Pencatatan justifikasi jika jumlah sample aktual lebih
    banyak/lebih sedikit dari requirement

    106
    4. IT Audit Reporting

    Penerbitan Laporan Hasil Audit


    Exit Meeting

    Konfirmasi (Pre-Exit Meeting)

    Pembuatan & Pengiriman Draft Hasil Audit

     Reporting Phase bertujuan untuk mengkomunikasikan hasil IT Audit kepada Auditee dan pihak yang
    berkepentingan dalam bentuk laporan tertulis atau Laporan Hasil Audit (LHA). Dalam menyusun
    LHA, perlu memperhatikan standar format/template LHA yang berlaku sesuai dengan tipe
    penugasannya.
     Setelah mendapatkan tanggapan atas draft hasil IT Audit, akan dilaksanakan pre-exit meeting.
    Tujuan dari pre-exit meeting adalah untuk mendapatkan konfirmasi dari tanggapan auditee, serta
    mencapai persetujuan antara rekomendasi, action plan, dan target date yang akan dipenuhi oleh
    auditee. Pre-exit meeting bersifat opsional.
     Berikutnya, adalah pelaksanaan exit meeting .Tujuan exit meeting adalah sebagai konfirmasi final
    atas hasil IT Audit termasuk menyampaikan rating yang akan dikenakan ke auditee. 107
    5. Monitoring & Follow Up

     Monitoring tindak lanjut temuan IT Audit merupakan aktivitas untuk memantau, mengingatkan dan memeriksa pelaksanaan
    komitmen Auditee atas rencana perbaikan dan target waktu yang telah disepakati.

    Pengiriman
    Closing
    Reminder Menerima Validasi
    Tindak
    Tindak Evidence Evidence
    Lanjut
    Lanjut

     Temuan dengan rating high risk, 6 bulan pasca penutupan temuan, akan dilakukan review kembali, untuk memastikan kontrol
    yang dijalankan auditee berjalan dengan konsisten dan tidak terjadi temuan berulang.

    108
    ANALISIS DATA

    [#]

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 109
    Penggunaan Data Analytic

    Perencanaan Fieldwork
    • Risk Profiling • Continuous Control
    Monitoring

    Reporting
    • Risk Quantification
    • Real-time Exception Management

    110
    IT Audit Quality Monitoring
    & Improvement Program

    [#]

    <Specify Data Classifications one of the following: 1) Highly Confidential 2) Confidential 3) Proprietary/Internal Use Only> 111
    IT Audit Quality Monitoring & Improvement Program
    Penilaian kinerja auditor melalui review supervisor
    pada checklist QA, memastikan semua kriteria QA
    sudah di lengkapi oleh auditor selama berjalannya
    pemeriksaan

    Ongoing
    Monitoring
    by
    Supervisors
    Program training kepada Auditor, baik secara Pelaksanaan QA review oleh internal QA
    internal, eksternal, maupun self pace Self secara tahunan, menggunakan sampling
    training, terkait technical skil, soft skill, dsb Trainings Assessment basis
    by QA Audit
    IT Audit Quality
    Monitoring &
    Improvement
    Program
    COE secara berkala melakukan sosialisasi / Eksternal
    Center Of
    sharing knowledge kepada IT Auditor Excellence
    Independent Pelaksanaan QA review oleh external
    Review independent party, misal: kamtor akuntan
    mengenai regulasi terbaru terkait teknologi,
    perkembangan terkini, emerging risk, dsb publik
    Umpan Balik
    dari
    Stakeholder

    Setelah penerbitan LHA, auditor akan mengirimkan


    form suvey untuk mendapatkan umpan balik atas
    112
    audit service yang diberikan
    114

    APPENDIX

    114
    115

    System Information Security – Regulatory Summary


    System Information Security Cybersecurity
    UU No. 19 Tahun 2016 PBI 23/6/PBI/2021

    Aturan untuk beberapa pelanggaran, seperti mendistribusikan konten ilegal, pelanggaran Minimum kewajiban manajemen risiko dan
    perlindungan data, akses tidak berizin ke sistem komputer untuk mendapatkan informasi, dan standar keamanan sistem informasi,
    sebuah pengambilalihan atau penyadapan ilegal dan tidak berizin terhadap sistem komputer termasuk minimum penerapan standar
    atau elektronik lain. keamanan siber dan uji coba simulasi
    ketahanan siber.
    PP No. 71 Tahun 2019

    Kewajiban penyelenggara sistem elektronik menjalankan pengamanan sistem elektronik,


    termasuk kewajiban pelaporan dalam hal terjadi kegagalan atau gangguan sistem yang POJK No. 11/POJK.03/2022
    berdampak serius.
    Kewajiban Bank untuk:
    POJK No. 12/POJK.03/2018 1) melakukan pengujian keamanan siber.
    2) Self-assessment atas tingkat maturitas
    Prinsip pengendalian pengamanan data dan transaksi dari layanan perbankan elektronik. keamanan siber.
    3) Membentuk unit kerja untuk
    menangani ketahanan dan keamanan
    UU No. 27 Tahun 2022 siber Bank.
    Landasan hukum terkait perlindungan data pribadi di Indonesia.

    Back to Summary 115

    You might also like