Sei sulla pagina 1di 28

Chapter 23 : Cybersecurity, Hacking Risks, and Privacy Controls

Dalam dunia ini, dominasi sistem TI serta komunikasi jaringan dan nirkabel yang lebih
kompleks dan nirkabel, keamanan dan kontrol privasi atas data dan informasi penting bagi
perusahaan serta sistem individu pengguna. Hampir setiap hari kita mendengar tentang, atau
kadang-kadang mengalami sendiri, situasi di mana file sistem kunci kita dan data telah diakses
secara tidak benar atau diretas, atau file dan catatan pribadi yang vital telah dicuri, diubah, atau
diberikan kepada pihak yang tidak berwenang. Beberapa dari ini, apa yang kita sebut
pelanggaran cybersecurity, sering hanya hasil dari pengendalian internal yang buruk, tetapi
yang lain adalah produk dari skema penyimpanan data yang sangat canggih. Sementara
pelanggaran cybersecurity kompleks seperti itu berada di luar keterampilan teknis banyak
orang untuk mencegah, yang lain dapat dicegah dengan kontrol keamanan cyber yang kuat,
yang membentuk area yang sangat penting dari audit internal yang mengendalikan
kekhawatiran TI.
Bab ini menjelaskan beberapa masalah dan risiko cybersecurity yang lebih signifikan
hari ini dan membahas keamanan sosio-dunia IT dan kontrol privasi di dua area yang luas.
Pertama, kami akan fokus pada beberapa dari sekian banyak ancaman keamanan cyber dan
privasi yang harus dipertimbangkan oleh auditor internal dalam ulasan mereka tentang sistem
dan proses berbasis IT. Bab ini akan membahas beberapa proses kontrol cybersecurity yang
efektif yang dapat diperiksa dan direkomendasikan oleh auditor internal dalam pekerjaan
mereka. Kami juga akan memperkenalkan kerangka kerja keamanan maya NIST (Institut
Nasional Standar dan Teknologi), alat yang efektif untuk membantu mengelola isu-isu
keamanan dunia maya. Cybersecurity saat ini melampaui empat dinding tradisional di sekitar
pusat operasi TI dan mencakup hal-hal seperti manajemen vendor yang efektif di mana
kontraktor luar atau entitas lain mungkin menggunakan sumber daya TI perusahaan dan dapat
menimbulkan risiko keamanan siber tambahan.
Bab ini akan diakhiri dengan diskusi tentang keamanan dunia maya dan kontrol
kerahasiaan yang harus menjadi bagian dari departemen audit internal dan prosedur operasi.
Mengikuti pepatah lama bahwa “anak-anak pembuat sepatu tidak memiliki sepatu,” fungsi
audit internal terkadang gagal untuk menerapkan perlindungan keamanan dan perlindungan
privasi yang tepat atas proses audit internal mereka sendiri. Ini termasuk kontrol yang memadai
atas bahan bukti audit, kertas kerja audit internal, sumber daya komputer laptop auditor, dan
banyak lainnya. Meskipun setiap departemen audit berbeda, bab ini akan menyarankan praktik
terbaik untuk fungsi audit internal.
Karena ada tingkat kerumitan yang besar terhadap praktik cybersecurity TI, sebagian
besar auditor internal mungkin tidak memandang diri mereka sebagai ahli teknis di banyak
bidang ini. Namun, banyak dari kekhawatiran ini hanya membutuhkan pemahaman yang baik
tentang proses kontrol internal yang efektif seperti yang dibahas di seluruh buku ini. Semua
auditor internal harus mendapatkan pengetahuan tingkat tinggi tentang pengetahuan umum
(CBOK) tentang risiko keamanan siber, kontrol internal yang terkait, dan mekanisme
pencegahan. Juga, auditor internal harus memahami kapan dia perlu mencari bantuan dan saran
ahli keamanan berpengalaman saat melakukan audit internal.

23.1 Hacking and IT Network Security Fundamentals


Di masa lalu, ketika brankas bank menyimpan uang dalam jumlah besar dan dikurung
di malam hari tetapi terbuka dan dilindungi oleh penjaga pada siang hari, tidak jarang bagi
gangster untuk tiba di bank, menaklukkan staf dan penjaga, dan pergi membawa tas dari uang
tunai dari lemari besi. Hari ini lingkungannya sangat berbeda. Sementara bank dapat
mengendalikan sejumlah besar aset, mereka hanya dicatat pada file komputer sehingga pencuri
potensial tidak dapat dengan mudah melakukan holdup dan kabur dengan kantong penuh uang
tunai. Selain itu, di mana bank memang memiliki uang tunai yang berpotensi dikenakan
pencurian, ada kontrol yang sangat kuat, termasuk kamera pengawas, kemampuan untuk
melacak nomor seri mata uang, dan berbagai macam kontrol lainnya.
Hari ini sebagian besar catatan keuangan dan aset terkait dibawa dan disimpan sebagai
catatan elektronik yang dilindungi oleh sistem keamanan berbasis kata sandi, tetapi mereka
dapat dengan mudah dikonversi menjadi uang tunai jika pelaku mampu menembus kontrol kata
sandi dan mengakses catatan elektronik utama ini. Pelaku biasanya mendapatkan akses ke
catatan elektronik ini melalui apa yang disebut hacking, pelanggaran sistem oleh seseorang
yang mencari dan mengeksploitasi kelemahan dalam sistem komputer atau jaringan komputer.
Auditor internal harus memiliki pemahaman bahwa prosedur keamanan TI saat ini
kadang-kadang sedikit lebih dekat dengan hari-hari terakhir perampokan bank. Kadang-kadang
mudah bagi pelaku untuk mendapatkan akses elektronik ke catatan data berharga tanpa deteksi
atau setidaknya tingkat pengawasan aktif. Pencuri kadang-kadang dapat langsung mengunduh
data berharga ini melalui Internet atau jaringan nirkabel tanpa jejak segera untuk
menggunakannya untuk tujuan kriminal. Pencuri IT mungkin juga mengambil aset lebih
berharga daripada hanya uang tunai, seperti nomor otorisasi kartu kredit yang akan
memungkinkan pembelian besar-besaran di tempat lain, kata sandi untuk mendapatkan akses
ke sistem lain yang lebih berharga, atau bahkan identitas orang untuk kemudian digunakan
untuk transaksi penipuan lebih lanjut.
Tidak memiliki prosedur pengendalian internal yang tepat, perangkat keras, perangkat
lunak, dan data sistem TI perusahaan mungkin menghadapi salah satu atau semua empat kelas
dasar ancaman TI berikut:
1. Interupsi. Sistem dapat disimpan secara bersamaan, tidak tersedia, atau tidak didukung oleh
penghancuran program yang berbahaya, pencurian komponen perangkat keras, atau
penggunaan sumber daya jaringan yang tidak tepat.
2. Interceptions. Pihak luar, orang seperti itu, program, atau sistem komputer yang
membangkang, dapat memperoleh akses ke file IT atau aset lainnya. Contoh dari jenis ancaman
ini mungkin adalah program Internet jahat yang memperoleh akses ke file kunci dan
mengunduh isinya ke pihak lain. Interceptions sering dapat terjadi dengan beberapa jejak dan
dapat dalam jangka pendek sulit untuk dideteksi.
3. Modifikasi. Di sini, penyusup yang tidak sah tidak hanya mengakses tetapi juga membuat
perubahan pada data, program, atau bahkan komponen perangkat keras. Sementara modifikasi
sering dapat dengan cepat dideteksi, dalam beberapa kasus mereka dapat berlangsung hampir
tanpa disadari.
4. Fabrikasi. Orang yang mengancam akan mengotorisasi orang lain untuk memasukkan objek-
objek ke dalam lingkungan TI. Ini mungkin termasuk transaksi palsu ke sistem komunikasi
kerja baru atau memasukkan catatan dalam database yang sudah ada.
Auditor internal yang meninjau pengendalian internal dalam lingkungan ini harus
menyadari sistem dan proses ini.
Sama seperti sistem TI telah menjadi lebih canggih dan lebih terkontrol, ancaman
terhadap mereka juga meningkat. Secara teratur, kami melihat akun pers dari beberapa
pelanggaran keamanan komputer dan pencurian atau perusakan data sensitif. Sebagai contoh
tunggal dan tentu saja bukan yang unik, selama musim belanja liburan November dan
Desember 2013 di Amerika Serikat, pengecer Target Corporation menemukan bahwa pelaku
telah menyusup ke sistem TI dan mencuri informasi kartu kredit dari 40 juta pelanggan, dan
diambil informasi pribadi lainnya dari sekitar 70 juta pelanggan.
Target data breach ini bersifat nasional dalam lingkup dan terjadi di semua tokonya,
tidak hanya online, dan termasuk merusak mesin yang digunakan pelanggan untuk menggesek
kartu mereka saat melakukan pembelian. Meskipun Target memiliki proses keamanannya
sendiri, ia mensubkontrakkan beberapa layanan TI ke vendor luar yang diberi akses ke sistem
Target. Seorang pelaku melanggar kontrol subkontraktor dan memperoleh akses ke proses
pemindaian kartu Target. Pencurian Target ini terjadi selama beberapa minggu sebelum dan
sesudah musim belanja liburan. Data dicuri melalui transfer harian data penjualan dari banyak
toko perusahaan. Target mungkin awalnya tidak mendeteksi pelanggaran ini karena untuk itu
transmisi penjualan harian dari toko melalui jaringan komunikasi tampaknya tidak
menunjukkan masalah. Para pelaku hanya membuat duplikat salinan data penjualan pribadi
untuk penggunaan mereka sendiri. Ini hanyalah satu contoh dari banyak pelanggaran keamanan
komputer yang terjadi di seluruh dunia secara teratur.

23.2 Data Security Concepts


Data perusahaan, apakah itu data akun pelanggan yang terletak di server data utama
yang mengirim basis data sistem ERP atau data lapangan yang dikumpulkan di laptop anggota
staf, perlu dilindungi.
Dalam beberapa kasus, data mungkin memerlukan beberapa perlindungan kerahasiaan
dasar. Seperti yang diilustrasikan pada pameran, penekanan kontrol di sini bukan pada
ancaman kerahasiaan dan integritas melalui dinding pelindung luar; melainkan, kontrol
ketersediaan diperlukan untuk melindungi program dan data. Contoh ekstrim dari kerahasiaan
data di sini adalah landasan bangunan di mana beberapa catatan kunci disegel di batu fondasi
dan tidak pernah terlihat lagi ketika bangunan sedang berdiri. Kami tidak lagi membangun
bangunan dengan tingkat permanen seperti itu, dan landasan landasan umumnya tidak banyak
bermanfaat di sebagian besar situasi saat ini. Data harus tersedia dengan cara yang dilindungi
dan rahasia. Meskipun selalu ada ancaman, data harus dilindungi dari tumpahan atau rembesan
yang tidak terduga.
Integritas data adalah masalah besar. Untuk setiap repositori data, selalu ada orang luar
yang mencoba menembus dinding untuk mendapatkan akses. Dalam contoh Target kami
sebelumnya, pelaku memperoleh akses ke data pelanggan dan menghancurkan integritasnya
dengan membuat salinan yang tidak sah. Meskipun dinding kerahasiaan itu penting, data pada
umumnya harus tersedia bagi orang lain. Ini adalah portal dua arah, dan program serta proses
pengontrolan data harus membuatnya tersedia hanya untuk sumber-sumber resmi yang sah.
Dua konsep keamanan data lainnya sangat penting di sini, termasuk apa yang dikenal
sebagai firewall dan perlindungan terhadap virus. Kedua hal ini dibahas lebih lanjut di bagian
selanjutnya. Meskipun pameran ini cukup konseptual, auditor internal harus berpikir tentang
keamanan komputer dalam hal tiga konsep kerahasiaan, ketersediaan, dan integritas.
23.3 IMPORTANCE OF IT PASSWORDS
Password atau sandi adalah kontrol TI dasar di mana pengguna sistem atau data harus
memasukkan beberapa kode pribadi atau kata sandi yang hanya diketahui oleh pengguna
tersebut untuk mendapatkan akses ke sumber daya TI. Mungkin ada konfigurasi lain yang lebih
rumit daripada pertukaran log-on password TI dasar yang ditunjukkan pada exhibit 23.2,
auditor internal harus mencari jenis proses ini dalam tinjauan pengendalian internal mereka.
Seorang pengguna memasukkan kata sandi untuk mendapatkan penerimaan aplikasi, tetapi jika
kata sandi salah, akses sistem ditolak.

Saat meninjau kontrol internal aplikasi TI, auditor internal harus selalu mencari
penggunaan kata sandi yang efektif. Literatur keamanan IT diisi dengan panduan tentang
penggunaan kata sandi, dan beberapa praktik terbaik dalam penggunaan kata sandi TI meliputi:
 Kata sandi adalah tanggung jawab pengguna untuk membuat, tetapi aturan administratif
harus dibuat untuk membuat mereka sulit untuk ditebak oleh orang lain. Misalnya,
kontrol dan bimbingan harus dilakukan untuk mencegah penggunaan tanggal lahir atau
nama panggilan karyawan sebagai kata sandi.
 Kata sandi harus disusun sedemikian rupa sehingga sulit untuk ditebak. Misalnya,
keamanan TI dapat menetapkan aturan yang membutuhkan campuran huruf dan angka
dalam huruf besar dan kecil dalam kata sandi.
 Proses harus dilakukan untuk meminta penggantian kata sandi yang sering. Terkadang
sistem operasi komputer mengatur kontrol ini, jika tidak, prosedur harus ada di tempat
yang membutuhkan perubahan kata sandi secara teratur.
 Proses harus dilakukan untuk memantau kata sandi, menolak akses setelah dua atau tiga
upaya kata sandi tidak valid, dan memungkinkan kata sandi disetel ulang melalui
prosedur administratif. Proses-proses ini juga harus memungkinkan pengguna untuk
menerima pengganti jika kata sandi telah dilupakan.
 Sistem yang menghasilkan atau memerlukan kata sandi yang sangat panjang atau rumit
tidak boleh dipasang. Jika kata sandi terlalu rumit dan sulit untuk diingat, pengguna
akan menuliskannya dan mempostingnya sebagai pengingat, dan tujuan sandi rahasia
akan hilang.
 Prosedur yang berorientasi pada perusahaan yang kuat harus diterapkan pada
penggunaan kata sandi. Artinya, panduan harus melarang berbagi kata sandi atau
menyimpannya di tempat-tempat yang mudah dilihat.

Penggunaan kata sandi yang efektif adalah kontrol otentikasi keamanan TI yang
penting. Ada sistem otentikasi lain, seperti sidik jari atau bahkan scanners iris untuk beberapa
aplikasi yang sangat sensitif, tetapi sistem kata sandi yang efektif mungkin yang terbaik untuk
aplikasi bisnis biasa. Auditor internal harus menyadari persyaratan untuk kontrol kata sandi
yang baik dan harus mencari sistem kata sandi yang efektif sebagai bagian dari banyak tinjauan
mereka tentang kontrol internal aplikasi IT. Auditor internal harus selalu mengingat bahwa
kata sandi adalah garis pertahanan pertama untuk melindungi sumber daya TI. Mereka harus
dijaga tetap aman dan pribadi, sering berubah, dan penggunaan mereka dan upaya akses yang
tidak benar dipantau.

23.4 VIRUSES AND MALICIOUS PROGRAM CODE


Virus komputer biasanya merupakan program rutin komputer yang sangat kecil yang
dapat membuat banyak salinan dari dirinya sendiri dan menginfeksi komputer lain tanpa izin
atau pengetahuan pengguna. Istilah virus digunakan karena itu adalah jenis program yang dapat
menempelkan dirinya ke sistem lain dan kemudian menyebar dirinya ke orang lain karena
mereka bersentuhan dengan set kode virus yang sama. Virus hanya dapat menyebar dari satu
komputer ke komputer lain ketika kode virus dibawa ke komputer lain yang tidak terinfeksi,
misalnya, oleh pengguna yang mengirimnya melalui jaringan atau Internet, atau dengan
membawanya pada media yang dapat dilepas seperti CD atau drive USB. Virus juga dapat
menyebar ke komputer lain dengan menginfeksi file pada sistem file jaringan yang diakses
oleh komputer lain.
Virus komputer pertama kali datang ke dunia dan yang disebut ARPANET, awal tahun
1970-an pelopor internet. Seseorang memperkenalkan program di jaringan yang menampilkan
pesan “I’M THE CREEPER: CATCH ME IF YOU CAN”, yang mulai muncul di banyak
program sistem ARPANET.
Pada awal tahun 1980-an komputer desktop Apple II dan IBM PC, virus muncul
kembali pada floppy disk yang digunakan untuk berbagi program dan data dari komputer ke
komputer. Meskipun pesan Creeper itu mungkin dianggap lucu oleh beberapa pengguna awal,
program virus segera mulai menjadi berbahaya. Sebagai contoh, beberapa virus awal dihuni
dan mengambil alih ruang memori komputer seseorang, dan kemudian siap untuk pindah ke
yang lain jika pengguna yang terinfeksi mencoba memecahkan masalah dengan mengirimkan
disket ke sistem lain untuk mencari bantuan. Kita sering lupa bahwa ini adalah hari-hari ketika
sistem populer seperti Apple II hanya memiliki 32 KB memori, dan memblokir memori yang
menonaktifkan sistem.
Seiring waktu berlalu, virus menjadi semakin jahat dan merusak, dan istilah malware
diperkenalkan sebagai nama untuk perangkat lunak yang buruk atau berbahaya. Beberapa
adalah kuda Troya, sejenis malware yang dinamai mitologi Yunani, yang melekat pada
komputer dan kemudian duduk diam sampai beberapa tanggal atau acara dipenuhi. Contoh lain
disebut bom logika, program tidak dikenal yang hanya memicu ketika beberapa peristiwa lain
terjadi. Sebagai contoh, seorang programmer khawatir tentang dipecat dapat memasukkan
rutinitas bom logika ke dalam sistem penggajian majikan untuk menghapus semua file sistem
jika ID programmer itu pernah dihapus dari catatan penggajian.
Exhibit 23.3 berisi daftar beberapa jenis kode berbahaya yang lebih umum. Industri
perangkat lunak telah menanggapi ancaman malware ini dengan berbagai produk komersial
yang terus-menerus memantau perangkat lunak yang buruk dan ketika itu ditemui baik
memblokir atau memperbaiki kode program yang buruk. Ada banyak orang di seluruh dunia
yang secara konstan mencoba untuk membangun perutean malware yang lebih kompleks dan
sulit untuk dideteksi, dan vendor perangkat lunak pencegahan virus bekerja sama cepat untuk
menangkap kode mereka dan mencegah perkenalan.
Ancaman malware telah berevolusi menjadi berbagai macam risiko cybersecurity yang
semakin meluas dan seringkali cukup canggih mengingat ketergantungan dan penggunaan
yang berat dari semua jenis sistem TI. Ancaman yang signifikan adalah ledakan taktik yang
dirancang untuk mengelabui pengguna agar membocorkan nama pengguna, kata sandi, dan
informasi penting lainnya, yang kemudian dapat digunakan untuk melakukan kejahatan
berdasarkan penipuan identitas. Sasaran dari beberapa ancaman malware ini adalah untuk
membersihkan akun bank korban, dan informasi tersebut juga sering digunakan untuk
membantu pelaku melakukan penipuan lebih lanjut dan mendapatkan akses tidak sah ke
jaringan.

Auditor internal harus mengakui bahwa virus perangkat lunak adalah ancaman konstan
dan mencari penerapan perangkat lunak antivirus yang efektif untuk setiap sistem komputer
yang ditinjau, baik itu sistem TI pusat tingkat perusahaan atau laptop bisnis. Auditor internal
harus menentukan bahwa versi terkini dari perangkat lunak perlindungan perangkat lunak
diinstal, yang secara teratur diperbarui, dan tindakan yang diambil ketika virus terdeteksi.
Kebijakan dan kontrol perangkat lunak harus diberlakukan untuk membatasi perangkat lunak
tidak sah agar tidak diperkenalkan ke dalam operasi sistem TI, baik dalam bentuk upaya untuk
mengunduh program tidak sah dari internet atau flash drive dan CD yang ingin dimuat oleh
karyawan di laptop rumah mereka.

23.5 SYSTEM FIREWALL CONTROLS


Jenis keamanan perangkat lunak TI yang umum disebut firewall sistem, suatu proses
perangkat lunak yang menyaring lalu lintas antara lingkungan "luar" yang terlindung dan
kurang terlindung atau tidak tepercaya "di luar". Ini adalah jenis perangkat lunak khusus yang
memungkinkan atau mencegah jenis transaksi tertentu. Exhibit 23.4 adalah contoh konfigurasi
firewall yang sangat sederhana. Perusahaan perlu memasang firewall baik di antara jaringan
sistemnya dan dunia luar melalui internet atau sumber daya lainnya. Firewall memonitor lalu
lintas, mengarahkan beberapa ke lokasi jaringan yang ditunjuk, dan memblokir yang lain.
Firewall sering diatur sebagai apa yang disebut dengan router penyaringan, gerbang
proxy, atau penjaga. Namun, dari perspektif audit internal, alih-alih memahami detail teknis
dari konfigurasi, auditor internal harus mengajukan pertanyaan dan menentukan bagaimana
firewall telah dipasang di area perusahaan yang ditinjau. Misalnya, penyaringan firewall
konfigurasi router dapat digunakan ketika suatu perusahaan memiliki, misalnya, tiga jaringan
area lokal atau local area networks (LAN), satu untuk perusahaannya, satu untuk operasi AS,
dan yang ketiga untuk fasilitas Uni Eropa (UE). Perusahaan diperbolehkan untuk mengirim
dan menerima pesan ke kedua fasilitas LAN, tetapi mungkin Amerika Serikat dan UE hanya
diizinkan untuk mengirimkan hal-hal tertentu kepada perusahaan dan tidak diperbolehkan
mengakses secara penuh di dua fasilitas LAN.
Demikian pula, firewall proxy gateway digunakan ketika perusahaan ingin mengatur
daftar harga online dan penawaran produk untuk orang luar, tetapi mencegah orang luar dari
memodifikasi harga dan informasi produk atau mengakses file pendukung yang terhubung
dengan penawaran produk. Konfigurasi lain, firewall penjaga, digunakan ketika suatu
perusahaan mengizinkan karyawannya untuk mengakses sebagian besar bidang Web, tetapi
melarang akses ke hal-hal seperti skor olahraga atau situs perjudian online.
Selain penyaringan atau pemantauan alamat jaringan dan alamat web, firewall juga
dapat memantau konten tertentu dalam pesan atau halaman Web. Mereka dapat mengaudit
aktivitas ini dan bahkan melaporkan upaya akses yang tidak benar. Firewall harus dikonfigurasi
dengan benar, tetapi konfigurasi harus diperbarui secara berkala untuk lingkungan internal dan
eksternal. Firewall melindungi lingkungan hanya jika mereka mengendalikan semua akses ke
perimeter jaringan. Sebagai contoh, jika firewall dibuat untuk mengontrol semua akses ke LAN
tetapi jika salah satu perangkat pada LAN itu memiliki koneksi modem dial-up, keamanan
dapat dilanggar. Firewall adalah kontrol keamanan yang kuat, tetapi sering menjadi target
penetrator.
Saat melakukan tinjauan keamanan data, auditor internal harus memahami lokasi dan
sifat firewall yang dipasang. Ini merupakan hal penting bahwa konfigurasi firewall
memberikan perlindungan yang memadai dan diperbarui secara berkala. Selain itu, auditor
internal harus mencari tinjauan yang tepat dan tindak lanjut aktivitas terkait laporan
pelanggaran hukum.

23.6 SOCIAL ENGINEERING IT RISKS


Sebagaimana dibahas, ancaman privasi internet adalah hal yang lumrah. Kita harus
mengakui bahwa internet awalnya dirancang sebagai kendaraan komunikasi yang tidak aman
secara inheren. Peretas sering menunjukkan bahwa mereka dapat dengan mudah menembus
file, basis data, dan sumber daya IT yang terhubung ke internet lainnya di fasilitas militer dan
keuangan yang paling aman secara fisik. Selain itu, perusahaan telah merancang banyak cara
untuk melacak pengguna Web saat mereka melakukan perjalanan dan berbelanja di seluruh
situs internet menggunakan alat pengintaian cyber umum yang disebut cookie. Sebagaimana
dibahas sebelumnya dalam contoh Target kami, pencuri identitas dapat berbelanja online
secara anonim menggunakan identitas kredit orang lain, dan pialang informasi berbasis Web
dapat menjual data pribadi yang sensitif, termasuk nomor social security, relatif murah.
Produk perangkat lunak seperti Facebook dan Twitter dimulai sebagai alat perangkat
lunak pribadi tetapi sekarang ditemukan di banyak tempat kerja perusahaan. Serta pertumbuhan
ponsel cerdas telah mengubah keseluruhan kompleksitas sistem TI dan telah memperkenalkan
berbagai risiko IT dan kekhawatiran rekayasa sosial. Banyak di antaranya melibatkan pelaku
yang memperoleh informasi rahasia melalui semacam upaya akses yang "ramah" tetapi tidak
pantas. Terminologi baru muncul secara teratur, tetapi pelaku rekayasa sosial IT sering
menggunakan salah satu metode sebagai berikut:
 Umpan (Baiting): Penyerang meninggalkan CD-ROM atau USB flash drive yang
terinfeksi malware di lokasi yang pasti ditemukan (kamar mandi, lift, trotoar, tempat
parkir, dll.), Memberikan label yang kelihatannya sah dan rasa ingin tahu, dan hanya
menunggu korban menggunakan perangkat.
 Phising: Upaya untuk memperoleh informasi sensitif seperti nama pengguna, kata
sandi, dan rincian kartu kredit (dan kadang-kadang, secara tidak langsung, uang)
dengan menyamar sebagai entitas yang dapat dipercaya dalam komunikasi elektronik.
 Dalih (Pretexting): Praktek menipu individu menjadi menyerahkan informasi pribadi
untuk tujuan penipuan.
 Kompensasi/Ganti Rugi (Quid Pro Quo): Seorang penyerang memanggil nomor acak
di sebuah perusahaan, mengklaim untuk menelepon kembali dari dukungan teknis.
Pada akhirnya orang ini akan memukul seseorang dengan masalah yang sah, bersyukur
bahwa seseorang menelepon balik untuk membantu mereka. Penyerang akan
"membantu" memecahkan masalah dan, dalam prosesnya, memiliki perintah jenis
pengguna yang memberikan akses penyerang atau meluncurkan malware.
 Shoulder Surfing: Melibatkan mengamati informasi pribadi karyawan di pundaknya.
Jenis serangan ini biasa terjadi di tempat umum seperti bandara, pesawat terbang, atau
kedai kopi.
 Tailgating: Seorang penyerang yang mencari jalan masuk ke area terlarang yang
diamankan oleh kontrol akses elektronik tanpa pengawasan (misalnya, dengan kartu
RFID), hanya berjalan di belakang orang yang memiliki akses yang sah. Mengikuti
kesopanan umum, orang yang sah biasanya akan membuka pintu untuk penyerang atau
penyerang itu sendiri dapat meminta karyawan untuk membukanya untuk mereka.
Orang yang sah mungkin gagal untuk meminta identifikasi karena salah satu dari
beberapa alasan, atau dapat menerima pernyataan bahwa penyerang telah melupakan
atau kehilangan token identitas yang sesuai.

Ada liputan media yang luas tentang masalah ini, dengan kesadaran publik yang
semakin besar tentang masalah privasi online. Beberapa undang-undang privasi Internet A.S.
diperkirakan akan diteruskan di tahun-tahun mendatang yang akan memberikan perlindungan
konsumen yang kuat di bidang ini. Meskipun komentar kami bersifat spekulatif, undang-
undang tersebut dapat mengamanatkan bahwa setiap situs web komersial memberikan
kebijakan privasi, menjelaskan dengan jelas praktik pengumpulan datanya, dan memberikan
cara yang berarti bagi pengunjung untuk mencegah data pribadi mereka diambil dan dijual ke
perusahaan lain.
Penjahat sering mencari cara rekayasa sosial untuk menipu pengguna dan mencuri
identitas pengguna itu. Kontrol yang efektif tidak selalu sangat rumit. Misalnya, pengguna
harus berhati-hati terhadap pesan e-mail dengan alamat URL di dalamnya meminta penerima
untuk menghubungi pengirim melalui tautan internet tersebut. Kontrol yang sangat sederhana
adalah selalu memanggil pengirim yang seharusnya, menggunakan nomor dari buku telepon
atau online, untuk mengkonfirmasi bahwa mereka mengirim pesan sebelum menanggapi
melalui internet. Kegagalan untuk merespons dengan cara itu mengurangi kemungkinan
memiliki identitas dan informasi autentikasi yang dicuri atau rekening bank yang dirampas.
Auditor internal harus sadar bahwa risiko dan masalah sosial TI yang terus berkembang
ini menjadi perhatian yang semakin besar. Meskipun merupakan tanggung jawab perusahaan
untuk mendidik komunitas pengguna mereka dan memperingatkan orang-orang untuk
menghindari penipuan seperti itu, auditor internal harus menyadari skema tersebut dan mencari
peringatan yang tepat ketika diminta. Banyak dari kerentanan ini dapat dipicu oleh karyawan
perusahaan individu hanya mencoba melakukan hal yang benar dengan menanggapi, misalnya,
ke email yang tampak sah yang meminta bantuan. Ada kebutuhan untuk program pendidikan
perusahaan yang kuat yang menguraikan risiko di sini dan langkah-langkah yang harus diambil
untuk melaporkan aktivitas yang mencurigakan.
Kode berbahaya, kata sandi, dan firewalls hanyalah beberapa dari sekian banyak
masalah keamanan yang dihadapi sistem dan jaringan TI saat ini. Lainnya termasuk kontrol
akses yang rumit, kebutuhan untuk menggunakan enkripsi ketika mentransmisikan data,
keamanan bertingkat dalam administrasi basis data, dan banyak lagi. Dari perspektif audit
internal, beberapa masalah keamanan komputer yang paling penting berpusat pada kebutuhan
untuk menetapkan dukungan manajemen yang kuat untuk program keamanan TI di tempat dan
pada program pendidikan pemangku kepentingan secara keseluruhan mengenai ancaman
keamanan jaringan IT dan kerentanan.
Apakah itu program aktif untuk memantau perangkat lunak malware, penempatan
firewall, atau masalah lainnya, auditor internal harus memiliki pemahaman umum CBOK yang
baik tentang jaringan dan prosedur pengendalian cybersecurity dalam tinjauan kontrol internal
TI yang sedang berlangsung. Dalam banyak hal, karena masalah ini menjadi lebih kompleks
secara teknis, risiko keamanan TI meningkat. Auditor internal mungkin bukan spesialis
keamanan TI yang kuat, dan mereka harus selalu dapat meminta bantuan dari spesialis
keamanan organisasi IT perusahaan.

23.7 IT SYSTEMS PRIVACY CONCERNS


Privasi adalah harapan bahwa informasi pribadi rahasia yang diungkapkan di tempat
pribadi tidak akan diungkapkan kepada pihak ketiga, ketika pengungkapan itu akan
menyebabkan rasa malu atau tekanan emosional terhadap seseorang yang memiliki kepekaan
yang wajar. Informasi harus ditafsirkan secara luas untuk menyertakan gambar (misalnya,
gambar digital, foto) dan teks. Ini tentu mencakup semua aspek sistem dan jaringan TI.
Dalam dunia jaringan IT yang kompleks, sistem yang terhubung dengan internet, dan
teknologi yang terus berkembang, masalah privasi di banyak level menjadi perhatian yang
semakin besar. Ada beberapa masalah di sini tentang seberapa banyak data pribadi dan
informasi yang harus diberikan kepada perusahaan yang berminat, otoritas pemerintah, dan
bahkan orang lain. Demikian pula, dari perspektif privasi dan keamanan, perusahaan
menginginkan tingkat perlindungan yang memadai. Dua undang-undang AS, Undang-undang
Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan Gramm-Leach-Bliley Act,
menetapkan beberapa aturan berbasis privasi yang harus disadari oleh auditor internal, dan ada
masalah privasi terkait IT yang dimiliki oleh layar radar auditor internal. Dalam beberapa
kasus, ini hanyalah masalah yang berkembang, tetapi auditor internal setidaknya harus
mewaspadai mereka karena mereka melakukan tinjauan pengendalian internal, khususnya di
bidang yang terkait jaringan TI. Bagian berikut mendeskripsikan beberapa masalah privasi
yang berkembang di dunia saat ini mengenai masalah keamanan dunia maya jaringan
(meskipun masalah ini tidak selalu merupakan audit internal kontrol).

Data Profiling Privacy Issues


Sebagai bagian dari kehidupan sehari-hari, data dikumpulkan dari perorangan dan
perusahaan, sering tanpa persetujuan mereka dan seringkali tanpa realisasi. Untuk perorangan,
data dikumpulkan dan disimpan dalam sistem komputer di mana:
 Tagihan dibayar dengan kartu kredit meninggalkan jejak data yang terdiri dari jumlah
pembelian, jenis, tanggal, dan waktu.
 Penggunaan kartu diskon supermarket menciptakan basis data yang komprehensif dari
semua pembelian konsumen.
 Data dikumpulkan ketika sebuah mobil yang dilengkapi dengan transponder radio dari
sistem pengumpulan tol elektronik melewati jalan tol elektronik. Akun pemilik dengan
perusahaan penagihan tol didebit dan catatan dibuat dari lokasi, tanggal, waktu, dan
identifikasi akun.
 Kami meninggalkan jejak data yang signifikan ketika kami menjelajahi internet dan
mengunjungi situs web.
 Data juga dikumpulkan ketika kita berlangganan majalah, mendaftar untuk buletin,
bergabung dengan asosiasi profesional, mengisi kartu garansi, memberikan uang untuk
amal, donasi ke kandidat politik, perpuluhan ke organisasi keagamaan, berinvestasi
dalam reksadana, membuat panggilan telepon, atau berinteraksi dengan lembaga
pemerintah. Dengan semua transaksi ini kami meninggalkan jejak data yang disimpan
di beberapa file komputer.

Perlindungan hukum untuk privasi data bervariasi di seluruh dunia. Di Amerika Serikat
mereka lemah, dan pengumpulan data tak terbatas dari berbagai sumber, di lingkungan di mana
ada beberapa pembatasan hukum tentang bagaimana data dapat digunakan dan digabungkan,
dapat melanggar privasi dan menginjak-injak kebebasan sipil. Ada beberapa pembatasan di
Amerika Serikat tentang bagaimana data dapat dikumpulkan dan digabungkan, meskipun
hukum yang lebih kuat ada di negara-negara UE, Kanada, Selandia Baru, dan Australia.
Auditor internal harus memiliki pemahaman umum tentang masalah ini.

Online Privacy and E‐Commerce Issues


Setiap situs web komersial memberikan kebijakan privasi dan mengharuskan situs web
komersial dengan jelas menjelaskan praktik pengumpulan data mereka dan memberikan
metode yang berarti bagi pengunjung untuk mencegah data pribadi mereka diambil dan dijual
ke perusahaan lain. Auditor internal harus menyadari masalah yang berkembang di sini. Orang-
orang yang berpengetahuan dapat mengambil langkah-langkah untuk mencegah praktik
penjelajahan Web mereka ditangkap oleh situs web yang mereka kunjungi. Namun, secara
realistis, hanya sedikit orang yang memiliki pengetahuan atau kesabaran yang diperlukan untuk
memanfaatkan strategi peningkatan privasi.

Radio Frequency Identification (RFID)


Ketika konsumen melambaikan gantungan kunci mereka atau kartu kredit tertanam di
depan pengukur pompa bensin untuk membayar bahan bakar secara otomatis, mereka
kemungkinan menggunakan teknologi identifikasi frekuensi radio (RFID). Terlampir ke
gantungan kunci atau kartu adalah chip data kecil yang berisi sensor ID frekuensi radio.
Teknologi RFID juga sering digunakan dalam membangun kartu akses (kartu ID yang
memungkinkan individu untuk masuk ke gedung atau ke area kantor di dalam gedung). Namun
aplikasi lain adalah kartu identifikasi karyawan yang dikeluarkan oleh banyak perusahaan. Ini
sering disebut kartu ID tanpa kontak karena pengguna hanya perlu melambai kartu dalam
beberapa inci dari pembaca untuk mendapatkan masuk ke gedung atau kantor.
Dalam aplikasi yang dijelaskan di sini (membayar bahan bakar dan masuk ke bangunan
aman), individu sangat menyadari setiap penggunaan di mana tag RFID diakses. Namun, tag
RFID sangat kecil dan dapat disematkan pada item dengan cara yang hampir tidak terlihat. Dan
perangkat membaca juga bisa tidak terlihat. Di masa depan, pembaca RFID mungkin dapat
disematkan di tiang lampu jalan, dan tag RFID yang dikaitkan dengan individu (mungkin
tertanam dalam SIM seseorang) dapat mencatat transaksi yang dilakukan orang itu setiap hari,
seperti membeli koran di sudut jalan mesin penjual otomatis, pembelian bahan makanan,
menggunakan angkutan umum, memasuki tempat kerja, dan sebagainya.
Ini adalah contoh jenis kekhawatiran yang berkembang yang mungkin dihadapi oleh
auditor internal. Tantangan bagi banyak auditor internal yang melakukan tinjauan di bidang-
bidang ini adalah bahwa manajemen auditee dan stafnya mungkin memiliki harapan yang
berbeda. Harus ada perhatian tingkat tinggi tentang beberapa masalah privasi yang dibahas di
seluruh bab ini.

U.S. Federal Privacy Protection Laws


Warga negara yang paling maju menikmati hak privasi melalui undang-undang yang
disebut tindakan perlindungan data. Di sebagian besar negara-negara tersebut, komprehensif,
undang-undang perlindungan data mengatur bagaimana informasi pribadi dapat digunakan
oleh lembaga pemerintah dan juga entitas sektor komersial. Penggunaan informasi pribadi
biasanya merupakan keputusan pribadi opt-in atau opt-out di bawah sebagian besar undang-
undang tersebut. Dengan kata lain, informasi pribadi seseorang tidak dapat digunakan,
katakanlah, untuk pemasaran kecuali orang tersebut memberikan persetujuan afirmatif.
Amerika Serikat tidak memiliki undang-undang semacam itu, tetapi ada beberapa
undang-undang yang mencakup sektor industri tertentu, seperti Undang-Undang Perlindungan
Konsumen Telepon (telemarketing), Undang-Undang Pelaporan Kredit yang Adil (laporan
kredit dan pemeriksaan latar belakang pekerjaan), HIPAA yang sebelumnya dijadikan referensi
(catatan medis privasi), dan aturan privasi keuangan lainnya. Kesenjangan di sini
meninggalkan banyak penggunaan informasi pribadi yang tidak terlindungi. Misalnya, surat
sampah yang sering diterima seseorang ketika berlangganan majalah tidak dicakup oleh
undang-undang tertentu.
Pendekatan privasi yang diambil di Amerika Serikat disebut sebagai hak memilih
keluar (opt-out). Misalnya, informasi pribadi konsumen digunakan untuk mengirimi mereka
iklan yang tidak diminta dan kecuali konsumen mendaftar untuk menghentikan ini melalui
pemasaran langsung dari Layanan Preferensi Email atau Mail Preference Service (MPS)
industri pemasaran. Tetapi itu tidak menjamin bahwa kotak surat akan bebas sampah. MPS
adalah standar sukarela. Meskipun anggota Asosiasi Pemasaran Langsung harus berlangganan
sebagai syarat keanggotaan, tidak semua perusahaan yang memasarkan kepada individu adalah
anggota. Sebagian besar auditor internal hanya perlu menyaksikan spam di inbox e-mail
mereka untuk memahami hal ini.

23.8 THE NIST CYBERSECURITY FRAMEWORK


Institut Nasional Standar dan Teknologi Pemerintah AS (NIST) telah bertanggung
jawab untuk mengembangkan standar dan pedoman di banyak bidang selama bertahun-tahun
dan yang lebih baru, beberapa materi panduan terkait TI. Pada awal 2014, NIST merilis
kerangka kerja sosio-keamanannya, sebuah kompilasi berbasis risiko dari pedoman yang
dirancang untuk membantu perusahaan menilai kemampuan mereka saat ini dan menyusun
peta jalan yang diprioritaskan ke arah praktik cybersecurity yang ditingkatkan. Mirip dengan
kerangka kerja pengendalian internal COSO yang diperkenalkan pada Bab 3, dokumen NIST
ini bukan merupakan persyaratan standar tetapi lebih merupakan seperangkat praktik terbaik
yang direkomendasikan untuk membantu perusahaan lebih memahami dan auditor internal
untuk meninjau kontrol cybersecurity perusahaan.
Sebagai area di mana auditor internal dapat membantu dalam kegiatan penilaian
mereka, kerangka NIST meminta TI dan manajemen untuk awalnya menilai kualitas praktik
cybersecurity mereka. Setelah penilaian ini selesai, suatu perusahaan dapat menggunakan
kriteria NIST untuk meningkatkan postur cybersecuritynya dan mengembangkan profil target
cybersecurity perusahaan. Setiap perusahaan akan memiliki persyaratan unik berdasarkan
industri, pelanggan, dan mitra bisnisnya. Profil target NIST dapat mengidentifikasi celah yang
harus ditutup untuk meningkatkan praktik cybersecurity dan memberikan dasar untuk peta
jalan yang diprioritaskan untuk membantu mencapai perbaikan. Exhibit 23.6 menguraikan
lapisan kemantapan cybersecurity yang direkomendasikan oleh NIST. Idenya di sini adalah
untuk perusahaan TI fungsi untuk menggunakan tingkatan ini untuk melihat dengan baik di
mana ia berdiri pada kematangan cybersecurity dan di mana kebutuhan selanjutnya untuk
pergi. Tingkatan implementasi membantu menciptakan konteks yang memungkinkan
organisasi untuk memahami bagaimana kemampuan manajemen risiko sosio-keamanan saat
ini menumpuk terhadap karakteristik yang dijelaskan oleh kerangka kerja. Artinya, jika
tinjauan audit internal menunjukkan bahwa suatu perusahaan saat ini hanya di Tingkat 1,
seringkali paling efektif untuk mengambil langkah-langkah untuk pindah ke Tingkat 2 daripada
mencoba melompat langsung ke Tingkat 4.
Saat meninjau kematangan dan kemampuan cybersecurity perusahaan yang sesuai
dengan tingkat yang disarankan ini, kerangka NIST menambahkan fungsi:
1. Policies / Kebijakan. Kebijakan formal yang terdokumentasi dan terbaru harus ada
yang siap tersedia bagi karyawan. Kebijakan harus membentuk siklus penilaian risiko
dan implementasi yang berkelanjutan dan menggunakan pemantauan untuk efektivitas
program. Kebijakan ini harus ditulis untuk mencakup semua fasilitas utama dan operasi
dan harus secara jelas menetapkan tanggung jawab keamanan TI, dan meletakkan dasar
yang diperlukan untuk mengukur kemajuan dan kepatuhan secara andal. Selain itu,
kebijakan harus mengidentifikasi hukuman tertentu dan tindakan disipliner jika
kebijakan tidak diikuti.
2. Procedures / Prosedur. Prosedur formal, terbaru, dan terdokumentasi harus ada untuk
menerapkan kontrol keamanan yang diidentifikasi oleh definisi kebijakan. Prosedur ini
harus menguraikan apa yang harus dilakukan, siapa yang melakukan prosedur, dan
pada prosedur apa yang harus dilakukan. Prosedur jelas mendefinisikan tanggung
jawab keamanan TI dan perilaku yang diharapkan untuk pemilik aset TI dan
manajemen TI dan administrator keamanan. Prosedur harus memuat individu yang
tepat untuk dihubungi untuk mendapatkan informasi, panduan, dan kepatuhan lebih
lanjut.
3. Implementation / Pelaksanaan. Prosedur dikomunikasikan kepada individu yang
diminta untuk mengikuti mereka. Prosedur dan kontrol keamanan TI diterapkan secara
konsisten di mana-mana bahwa prosedur berlaku dan diperkuat melalui pelatihan.
Pendekatan-pendekatan Ad hoc yang cenderung diterapkan pada individu atau kasus
per kasus tidak disarankan. Kebijakan disetujui oleh pihak-pihak yang terkena dampak.
Pengujian awal dilakukan untuk memastikan kontrol beroperasi sebagaimana
dimaksud.
4. Test / Uji. Uji secara rutin dilakukan untuk mengevaluasi kecukupan dan keefektifan
dari semua implementasi dan untuk memastikan bahwa semua kebijakan, prosedur, dan
kontrol bertindak sebagaimana dimaksud dan bahwa mereka memastikan tingkat
keamanan TI yang sesuai. Tindakan perbaikan yang efektif harus dilakukan untuk
mengatasi kelemahan yang teridentifikasi, termasuk yang diidentifikasi sebagai akibat
dari potensi atau insiden keamanan TI yang sebenarnya. Frekuensi dan kekakuan yang
diuji coba tergantung pada risiko yang akan ditimbulkan jika kontrol tidak beroperasi
secara efektif.
5. Integration / Integrasi. Kebijakan, prosedur, implementasi, dan tes harus terus ditinjau
dengan perbaikan yang dilakukan sesuai kebutuhan. Kerentanan keamanan harus
dipahami dan dikelola. Ancaman harus terus dievaluasi kembali, dan kontrol
disesuaikan dengan perubahan lingkungan keamanan TI. Alternatif-alternatif
keamanan TI tambahan yang lebih hemat biaya diidentifikasi sesuai kebutuhan. Biaya
dan manfaat keamanan TI diukur sesederhana mungkin. Metrik status untuk program
keamanan TI ditetapkan dan dipenuhi.

Kerangka kerja NIST ini telah menciptakan bahasa yang sama untuk memfasilitasi
percakapan tentang proses cybersecurity, kebijakan, dan teknologi, baik secara internal
maupun dengan entitas eksternal seperti penyedia layanan pihak ketiga dan mitra. NIST
mendorong organisasi untuk berbagi informasi terkini tentang kerentanan, informasi ancaman,
dan strategi tanggap.
Meskipun akan memerlukan beberapa pendidikan awal, manfaat potensial dari bahasa
cybersecurity umum dan peningkatan kolaborasi sangat kuat untuk audit internal, TI, dan
manajemen operasi. Kerangka kerja NIST memberikan diskusi tentang cybersecurity dalam
kosa kata manajemen risiko. Dalam konteks itu, para pemimpin eksekutif dan anggota dewan,
yang biasanya lebih paham dalam manajemen risiko, harus dapat lebih efektif
mengartikulasikan pentingnya dan tujuan cybersecurity. Ini juga dapat membantu perusahaan
untuk lebih memprioritaskan dan memvalidasi investasi berdasarkan manajemen risiko.
Kerangka kerja cybersecurity NIST adalah kumpulan panduan keamanan sosio global
pemerintah AS yang baru yang menyeimbangkan kepatuhan keamanan TI dengan standar
manajemen risiko. Meskipun kerangka ini bersifat sukarela, perusahaan di banyak industri
dapat memperoleh manfaat signifikan dengan mengadopsi pedoman pada tingkat toleransi
risiko tertinggi. Melakukannya seharusnya tidak hanya membantu meningkatkan program
cybersecurity, tetapi juga berpotensi memajukan peraturan dan kedudukan hukum untuk masa
depan. Exhibit 23.7 menggambarkan proses implementasi kerangka NIST ini.

Urutan eksekutif yang semula menciptakan kerangka NIST menetapkan bahwa badan
pengatur akan menentukan aspek mana dari kerangka kerja yang harus dimasukkan ke dalam
mandat peraturan yang ada di seluruh sektor industri. Akibatnya, kerangka ini dapat menjadi
standar de facto untuk peraturan keamanan dunia maya dan privasi dan dapat berdampak pada
definisi hukum dan pedoman pelaksanaan untuk keamanan dunia maya yang bergerak maju.
Akibatnya, perusahaan yang mengadopsi kerangka kerja pada tingkat toleransi risiko tertinggi
mungkin lebih baik diposisikan untuk mematuhi peraturan keamanan dunia maya dan privasi
masa depan.
Minimal, bisnis yang beroperasi dalam industri yang diatur harus mulai memantau
bagaimana regulator, penguji, dan entitas sektor-spesifik lainnya mengubah proses peninjauan
mereka sebagai tanggapan terhadap kerangka kerja ini. Kerangka kerja NIST juga dapat
menetapkan standar keamanan dunia maya untuk keputusan hukum di masa depan, dan di masa
depan pengadilan dapat mengidentifikasi kerangka NIST sebagai dasar untuk standar
keamanan siber yang “masuk akal”. Perusahaan yang belum mengadopsi kerangka kerja NIST
ke tingkat yang cukup (Tier 3 atau Tier 4), dapat dianggap lalai dan dapat dimintai
pertanggungjawaban atas denda dan kerusakan lainnya.
Auditor internal harus memiliki kesadaran umum tentang kerangka NIST dan
setidaknya harus berada dalam posisi untuk menanyakan baik IT dan manajemen umum
tentang rencana untuk mengadopsinya. Aturan panduan yang dikeluarkan pemerintah memiliki
kecenderungan untuk menjadi wajib seiring berjalannya waktu dan mereka menjadi lebih
diakui.

23.9 AUDITING IT SECURITY AND PRIVACY


Selain menangani audit kontrol umum TI, audit internal juga harus mempertimbangkan
melakukan peninjauan atas kontrol cybersecurity TI serta penilaian kepatuhan terhadap
perusahaan yang sudah mapan prosedur privasinya. Jika fungsi audit internal secara
keseluruhan memiliki personil dengan keterampilan teknis seperti itu, dapat membantu dalam
merencanakan dan melakukan audit teknis cybersecurity.
Meskipun banyak auditor perorangan dan fungsi audit internal mungkin tidak memiliki
sumber daya untuk melakukan tinjauan teknis "deep dive atau mendalam" yang dapat dipercaya
di wilayah keamanan cyber, banyak dari area yang dibahas dalam bab ini mencakup masalah
keamanan dan pengendalian internal yang hanya dimiliki oleh auditor internal yang hanya
memiliki pengetahuan umum tentang area dan pemahaman yang baik tentang risiko TI terkait
dapat melakukan audit cybersecurity yang efektif yang akan melindungi perusahaan dari
berbagai risiko dan eksposur.
Penggunaan dan implementasi IT firewalls, seperti yang telah dibahas sebelumnya,
adalah contoh yang baik dari area tinjauan audit internal yang efektif. Dalam banyak contoh,
auditor internal tidak perlu tahu, misalnya, atribut teknis dari firewall proxy. Sebaliknya,
auditor internal yang efektif harus menanyakan beberapa pertanyaan umum tetapi sangat
spesifik kontrol yang akan memungkinkan mereka untuk memperoleh pemahaman tentang
kontrol internal cybersecurity di bidang ini.
Sebagai contoh, mari kita asumsikan bahwa auditor internal sedang mengkaji kontrol
cybersecurity yang mencakup sistem jaringan nirkabel lokal di divisi operasi perusahaan kecil.
Auditor internal mungkin mengajukan beberapa pertanyaan di sepanjang baris:
1. Dapatkah Anda memberi saya diagram konfigurasi sistem TI Anda di sini yang
menunjukkan semua koneksi kabel dan router nirkabel internal dan eksternal dalam
jaringan?
2. Sudahkah Anda menginstal firewall di seluruh jaringan untuk melindungi semua dan
berbagai kelas titik akses?
3. Adakah cara agar perangkat di jaringan dapat berkomunikasi dengan fasilitas lain,
seperti saluran dial-up melalui modem yang dapat melewati rintangan firewall?
4. Apa jenis tindakan atau transaksi apakah layar firewall?
5. Apakah parameter firewall diperbarui secara rutin? Kapan terakhir kali?
6. Apa jenis upaya akses yang tidak benar yang dimonitor melalui berbagai tingkat
firewall?
7. Apa jenis prosedur tindakan perbaikan yang ada untuk mencoba pelanggaran firewall?
8. Dapatkah saya meninjau beberapa dokumentasi pelanggaran firewall baru-baru ini?

Tak satu pun dari pertanyaan-pertanyaan ini benar-benar membutuhkan auditor internal
untuk memiliki tingkat pengetahuan teknis yang super kuat. Sebaliknya, auditor internal
mengakui di sini bahwa firewall adalah kontrol keamanan yang efektif, secara umum, cara
pemasangannya untuk konfigurasi nirkabel perusahaan. Tentu saja, auditor internal selalu
menghadapi risiko menerima jawaban techno-mengoceh dari orang IT yang benar-benar ingin
mengesankan auditor atau membenci proses audit internal. Dalam hal ini, solusi terbaik adalah
menuliskan tanggapan dan menindaklanjuti nanti dengan beberapa personel sumber daya
teknis perusahaan lainnya. Namun, tanggapan umum terhadap pertanyaan-pertanyaan ini
mungkin menunjukkan beberapa kekuatan kontrol dan kelemahan di daerah yang ditinjau.
Langkah pertama audit internal yang baik dalam tinjauan cybersecurity apa pun adalah
memahami jaringan TI untuk ditinjau. Seiring waktu, jaringan TI tumbuh, dan bahkan anggota
manajemen dapat kehilangan jejak dari banyak interkoneksi yang dapat dilampirkan ke
jaringan. Ada berbagai perangkat lunak komersial dan bahkan perangkat internet freeware yang
tersedia untuk melihat keseluruhan jaringan dan mengidentifikasi semua perangkat dan
koneksi jaringannya. Audit internal harus bekerja dengan manajemen TI untuk menjalankan
alat analisis tersebut melalui jaringan TI mereka dan mengajukan pertanyaan yang sesuai untuk
mendapatkan pemahaman tentang lingkungan ini.
Banyak masalah kontrol internal cybersecurity lebih terkait dengan masalah
pengendalian internal yang baik daripada hanya natters teknis berat. Pelanggaran data Target
2013, yang dibahas sebelumnya dalam bab ini, terutama disebabkan oleh prosedur manajemen
yang buruk yang mencakup vendor pihak ketiga yang diizinkan mengakses tetapi tidak
diperiksa atau ditinjau secara memadai. Audit internal harus merencanakan dan menjadwalkan
tinjauan prosedur keamanan dunia maya perusahaan mereka. Jika fungsi audit internal tidak
memiliki keterampilan teknis yang diperlukan dalam lingkungan teknis yang rumit,
pertimbangan harus diberikan kepada kontrak dengan bantuan konsultan teknis dari luar.
Exhibit 23.8 berisi beberapa prosedur audit pengendalian internal cybersecurity.
Prosedur ini mungkin tidak memberikan cakupan lengkap dari semua masalah keamanan dunia
maya yang dihadapi perusahaan dan tidak mencakup beberapa masalah privasi yang
berkembang. Dengan demikian, auditor internal harus mengembangkan pemahaman tingkat
tinggi tentang risiko dan kontrol di bidang yang penting ini. Pemahaman umum auditor internal
tentang risiko dan masalah kontrol di bidang ini akan membantu membuatnya menjadi bantuan
yang lebih efektif untuk manajemen perusahaan.
23.10 PCI DSS FUNDAMENTALS
PCI DSS adalah standar cybersecurity yang diluncurkan tahun 2007 oleh Dewan
Standar Keamanan Industri Kartu Pembayaran, grup industri dunia yang dipimpin oleh
American Express, Discover, MasterCard, Visa, dan lainnya. Standar keamanan data PCI DSS
harus digunakan oleh siapa pun yang ingin menerima kartu kredit sebagai bentuk pembayaran.
Kartu kredit semacam ini sangat meluas dalam perdagangan perusahaan di seluruh dunia, dan
kegagalan untuk mematuhi standar dapat mengakibatkan berbagai denda dan berpotensi
kehilangan hak perusahaan untuk menerima kartu kredit sama sekali.
PCI DSS telah ditetapkan untuk mematuhi sejumlah besar aturan pembayaran kartu
kredit lokal dan nasional dan juga mengikuti pedoman dari perusahaan kartu kredit utama.
Standar ini berisi pedoman konfigurasi dan audit, dan standar ini mencakup semua perangkat
TI yang menerima kartu kredit sebagai pembayaran. Ungkapan "perangkat TI apa pun" cukup
luas, karena di luar sistem komputer yang lebih standar, itu berlaku untuk perangkat titik
penjualan yang ditemukan di toko ritel, situs apa pun yang menerima pembayaran e-mail,
meteran parkir perumahan, dan berbagai macam lainnya .
Exhibit 23.9 menunjukkan 12 persyaratan dasar untuk implementasi PCI DSS.
Sementara tingkat yang sangat tinggi dan berorientasi pada industri kartu kredit, banyak dari
ini berlaku untuk keamanan jaringan umum yang baik dan mencakup banyak bidang, seperti
menginstal firewalls yang efektif, penggunaan perangkat lunak antivirus, dan pentingnya
kebijakan keamanan.
Penggunaan yang efektif dari persyaratan ini berarti akan sedikit lebih jauh dalam
memahami kebutuhan kontrol cybersecurity. Misalnya, Persyaratan 11 dalam Exhibit 23.9
adalah kebutuhan untuk menguji sistem dan proses keamanan secara teratur. Ini mungkin
mengharuskan perusahaan untuk:
 Uji kontrol keamanan setiap tahun
 Jalankan pemindaian data internal dan eksternal setiap tiga bulan
 Melakukan tes penetrasi tahunan pada sistem dan aplikasi
 Gunakan alat untuk deteksi intrusi jaringan dan host
 Menerapkan prosedur pemantauan integritas file

Banyak perusahaan di seluruh dunia terlibat dengan transaksi kartu kredit dan bekerja
untuk mencapai kepatuhan PCI DSS. Ini adalah campuran hibrida dari suatu standar, seperti
Standar Internal Institusi Auditor Internasional dan peraturan pemerintah, di mana aturan
hukum mensyaratkan kepatuhan. Ini juga merupakan contoh yang baik tentang semakin
pentingnya masalah cybersecurity.
Auditor internal yang perusahaannya menggunakan transaksi pembayaran kartu kredit
mungkin terlibat dengan upaya kepatuhan di sini, tetapi jika tidak, mereka harus membuat
komunikasi yang sesuai dalam organisasi mereka. Prosedur audit harus disesuaikan untuk
memastikan kepatuhan PCI DSS.
23.11 SECURITY AND PRIVACY IN THE INTERNAL AUDIT DEPARTMENT
Auditor internal sebagai fungsi operasi di perusahaan dan sebagai auditor internal
individu perlu menetapkan prosedur keamanan dan privasi mereka sendiri dan praktik terbaik.
Auditor internal secara teratur mengunjungi situs dan menangkap informasi dan data, baik
dalam format soft atau hard copy, mencakup kegiatan peninjauan ulang mereka serta informasi
pendukung dari situs yang diaudit. Bergantung pada sifat peninjauan, materi bukti audit yang
ditangkap harus dijaga dengan aman dan rahasia.
Dalam beberapa tahun terakhir, auditor internal terus bekerja dalam pengerjaan kertas
tebal, dan setelah audit individual selesai, kertas kerja yang disetujui diajukan ke perpustakaan
departemen audit yang cukup aman. Selalu ada risiko bahwa pengikat kertas kerja bisa hilang,
tetapi dalam era pencatatan elektronik hari ini di tablet dan laptop, mungkin ada risiko audit
internal dan risiko keamanan yang lebih tinggi. Beberapa teknik penting untuk melindungi
laptop auditor meliputi:
 Tetapkan tanggung jawab pribadi untuk laptop auditor. Melalui pelatihan, standar
departemen audit, dan hanya panduan yang baik, semua auditor internal yang telah
diberi tablet atau sistem laptop harus diingatkan bahwa mereka memiliki tanggung
jawab yang kuat untuk keamanan sistem mereka. Ini dapat mencakup panduan
sederhana seperti menyimpannya di bagasi mobil mereka daripada di kursi belakang,
untuk tidak membiarkannya duduk tanpa pengawasan, dan tidak mengizinkan anggota
keluarga menggunakannya untuk mencegah file terhapus atau rusak.
 Memulai prosedur backup file periodik. Apakah menggunakan situs cadangan di
kantor audit internal markas atau drive USB khusus, komputer laptop auditor harus
secara teratur dicadangkan. Perangkat penyimpanan telah menjadi alat yang sangat
murah dan perangkat lunak untuk pencadangan sudah tersedia saat ini. Prosedur harus
ditetapkan untuk auditor internal untuk melakukan pencadangan harian 100% dari
sistem mereka. Tidak perlu menyimpan beberapa versi, tetapi salinan cadangan saat ini
dapat menggantikan versi hari ini.
 Gunakan kunci fisik dan mekanisme keamanan. Ada banyak perangkat kecil yang
mirip dengan kunci sepeda kabel di mana laptop dapat dihubungkan ke meja atau
benda-benda sulit untuk dipindahkan lainnya. Karena ini adalah perangkat yang relatif
tidak eksklusif, fungsi audit internal harus mengadopsinya untuk penggunaan auditor
internal. Sistem tablet atau smartphone yang digunakan dalam pekerjaan audit harus
selalu diamankan juga.
 Gunakan sistem antivirus dan alat lainnya. Bab ini sebelumnya membahas malware
komputer dan perlunya perlindungan antivirus. Jenis alat perangkat lunak yang sama
harus dipasang di semua laptop auditor internal juga.

Komputer laptop auditor internal sering menjadi tempat penyimpanan untuk narasi
auditor, salinan dokumen, dan barang-barang bukti audit lainnya. Prosedur keamanan yang
baik harus ditetapkan untuk melindungi sumber daya audit internal yang penting ini. Bahkan
ketika fungsi audit internal tidak menggunakan laptop dan bergantung pada mesin desktop,
praktik keamanan yang serupa harus diinstal.

Workpaper Security
Kertas Kerja adalah dokumen kunci yang membawa bukti dan hasil pekerjaan
penugasan audit internal. Keamanan departemen audit atas kertas kerja itu sangat penting.
Aturan Sarbanes-Oxley Act mensyaratkan bahwa, sebagai bukti audit, file kertas kerja harus
disimpan untuk periode tujuh tahun. Dalam situasi litigasi, kertas kerja audit internal dapat
menjadi bukti hukum dalam proses pengadilan perdata atau bahkan pidana.
Dalam lingkungan hari ini, dokumentasi audit internal kertas kerja dapat berupa
kombinasi file otomatis soft-copy dan dokumen hard copy. Audit internal membutuhkan
prosedur yang kuat untuk membuat katalog, menyimpan, dan mengamankan kertas kerja audit
internalnya. Fungsi audit internal harus mengembangkan semacam skema penomoran untuk
katalog workpapers-nya. Tidak ada satu pun pendekatan terbaik di sini, tetapi eksekutif audit
kepala dalam meluncurkan program semacam itu harus menyadari bahwa tujuh tahun adalah
waktu yang lama dan akan ada banyak perubahan dalam perusahaan dan unit operasinya.
Keamanan kertas kerja selalu menjadi perhatian, dan apakah dalam format hard copy
atau lunak, prosedur harus dipasang untuk mencadangkan dan melindungi file kertas kerja.
Untuk dokumen hard copy, mereka harus disimpan di fasilitas yang aman dan terkunci dengan
akses terbatas. Karena akumulasi tujuh tahun dapat membuat cukup banyak materi, pengaturan
harus dilakukan untuk mengamankan kertas kerja lama dengan salah satu layanan repositori
dokumen aman yang umum dalam lingkungan bisnis saat ini. Workpaper soft copy juga harus
di-back up. Namun, ada kekhawatiran khusus di sini, karena hal-hal seperti format file dapat
berubah. File floppy disk dan versi sebelumnya dari perangkat lunak pengolah kata, dan
penyimpanan cadangan dari perangkat yang lebih tua akan menghadirkan masalah saat ini jika
diperlukan. Kami tidak dapat memprediksi masa depan, tetapi jika perubahan teknologi
tampaknya membuat versi lama salinan lunak sulit digunakan, pengaturan harus dilakukan
untuk mengkonversinya sebelum menjadi terlambat.
Sebagai dokumentasi penting yang menggambarkan kegiatan audit internal, keamanan
kertas kerja itu penting. Meskipun selalu perlu untuk memperbolehkan anggota tim audit lain
untuk meninjau kertas kerja lama untuk prosedur berikut dan sejenisnya, perhatian yang
ekstrem harus diberikan untuk mencegah perubahan dari kertas kerja ini setelah penugasan
audit telah selesai dan dokumentasi disetujui. Selalu ada bahaya dari anggota nakal tim audit
internal yang membuat setelah-fakta perubahan pada bukti yang dikumpulkan melalui kertas
kerja audit, karena salah satu dari beberapa alasan, sering kali dari perlindungan diri. Ini dapat
dicegah melalui kontrol read-only yang diinstal pada versi soft-copy, tetapi sulit untuk
dikontrol dengan versi hard-copy.

Internal Audit Reports and Privacy


Laporan audit internal adalah dokumen yang menggambarkan kegiatan audit internal
untuk proyek audit yang direncanakan, prosedur yang dilakukan, temuan dan rekomendasi, dan
tanggapan manajemen yang diaudit terhadap temuan tersebut bersama dengan rekomendasinya
untuk tindakan korektif. Berdasarkan sifatnya, laporan audit bukanlah dokumen untuk
distribusi massal. Mereka seharusnya hanya dibagikan dengan manajemen auditee, manajemen
senior perusahaan, audit eksternal, dan komite audit. Discalimers harus ditambahkan untuk
melaporkan dokumen yang menyatakan bahwa mereka tidak boleh disalin atau dibagikan, dan
eksekutif audit kepala (CAE) dan anggota tim audit harus secara teratur menekankan
kebutuhan kerahasiaan untuk dokumen-dokumen ini.
Laporan audit yang diterbitkan menimbulkan masalah privasi juga. Komentar di bagian
temuan dari laporan audit dapat sangat merusak kredibilitas profesional bagian dari perusahaan
dan anggota manajemen. Perawatan harus diberikan untuk mengamankan dan melindungi
laporan audit dari akses ke orang yang tidak berwenang.
Komentar kami tentang prosedur keamanan dan privasi audit internal mewakili
beberapa praktik terbaik yang harus dipertimbangkan oleh fungsi audit internal, terlepas dari
ukuran, industri, atau lokasi geografisnya. Namun, sementara itu adalah satu hal bagi CAE
untuk menyetujui dan menginstal prosedur tersebut, semua anggota audit internal harus
menyadari praktik ini secara berkelanjutan.
Keamanan departemen audit dan standar privasi harus dimasukkan dalam standar dan
pelatihan departemen audit. Secara khusus, sebagaimana dibahas, setiap anggota tim audit
internal harus diminta untuk mengenali kebutuhan privasi dan perlindungan dari komputer
audit yang ditugaskan. Meskipun auditor internal membuat rekomendasi terkait keamanan dan
privasi di banyak bidang audit, mereka juga harus selalu ingat bahwa aturan ini sangat penting
untuk audit internal itu sendiri.

23.12 INTERNAL AUDIT’S PRIVACY AND CYBERSECURITY ROLES


Auditor internal harus menyadari isu-isu cybersecurity dan privasi yang tumbuh dan
berkembang baik di perusahaan mereka dan di seluruh dunia. Sebagaimana dibahas, banyak
masalah di sini dapat menjadi sangat teknis, tetapi semua auditor internal harus mendapatkan
setidaknya pemahaman umum CBOK tentang banyak bidang yang dibahas dalam bab ini.
Sebagai contoh, sebagian besar jika tidak semua pengguna komputer laptop saat ini paling
tidak sadar akan risiko virus komputer atau malware lainnya. Auditor internal harus melangkah
lebih jauh dan memahami jenis kontrol yang dapat diterapkan untuk menghilangkan risiko
tersebut dan kemudian mengambil tindakan untuk mencegahnya.
Risiko cybersecurity dan privasi dan masalah yang dibahas dalam bab ini terus berubah
dan berkembang. Misalnya vendor perangkat lunak akan mengembangkan teknik perlindungan
baru untuk beberapa jenis virus malware, hanya agar seseorang mengalahkan atau
mendapatkan perlindungan segera setelah dirilis. Sebagian besar auditor internal tidak akan
menjadi ahli dalam banyak masalah teknis yang sangat tinggi ini, tetapi semua auditor internal
harus memiliki pemahaman tentang cybersecurity CBOK dan risiko privasi TI terkait.

Potrebbero piacerti anche