Melakukan Audit TSI
pada Lingkungan Workgroup/Enterprise Information System
Workgroup/Enterprise
Information System
PEMBAHASAN
1. Pelaksanaan Audit TSI pada Lingkungan
Workgroup/Enterprise Information System
Workgroup Information Systems
ialah suatu bentuk sistem yang dalam menjalankan fungsinya terdiri dari
beberapa orang yaitu berupa sekelompok tim kecil yang saling berkolaborasi
dalam proyek atau aplikasi yang sama, memiliki aturan yang mengatur fungsi grup
dan anggotanya serta standarisasi peran untuk setiap anggota dalam organisasi
tersebut, Workgroup Information Systems dirancang untuk memenuhi kebutuhan dari
sebuah kelompok kerja. Sistem ini dirancang untuk meningkatkan produktivitas
dari suatu kelompok kerja. Dalam divisi sumber daya manusia, terdapat beberapa
workgroup yang bertugas untuk meningkatkan kemampuan dan produktivitas
personalia guna menunjang kelancaran suatu produk. Workgroup tersebut akan mengatur
dan mengembangkan kemampuan sikap mental SDM yang memiliki potensi serta
motivasi yang kuat untuk berprestasi dalam bidangnya di suatu usaha produk.
Auditor juga harus menggunakan
penilaian yang baik dalam menilai risiko sebenarnya yang terkait dengan langkah-langkah
ini, berdasarkan lingkungan dan keseluruhan postur keamanan sistem.
Auditing Entity-Level
Controls
Karena kontrol tingkat entitas
tersebar luas di seluruh organisasi, Jika tidak dipusatkan atau distandarisasi,
auditor harus mempertanyakan kemampuan lingkungan TI secara keseluruhan agar
terkontrol dengan baik. Apa dan tidak dianggap sebagai kontrol tingkat entitas
tidak selalu ditentukan secara konsisten dan akan berbeda menurut organisasi,
tergantung pada bagaimana lingkungan TI didefinisikan. Bidang yang merupakan
proses tingkat entitas di satu perusahaan tidak harus merupakan proses tingkat
entitas di perusahaan lain.
Auditing Data Centers
and Disaster Recovery
Pusat data adalah fasilitas yang
dirancang untuk menampung sistem kritis organisasi, yang terdiri dari perangkat
keras, sistem operasi, dan aplikasi komputer. Aplikasi biasanya digunakan untuk
mendukung proses bisnis yang spesifik seperti pemenuhan pesanan, customer
relationship management (CRM), dan akuntansi. Pusat data menggabungkan beberapa
jenis kontrol berbasis fasilitas, yang biasa disebut keamanan fisik dan
pengendalian lingkungan, termasuk sistem kontrol akses fasilitas, sistem alarm,
dan sistem pemadaman kebakaran. Sistem ini dirancang untuk mencegah intrusi
yang tidak sah, mendeteksi masalah sebelum menyebabkan kerusakan, dan mencegah
penyebaran api.
Auditing Routers,
Switches and Firewalls
Jaringan memungkinkan host untuk
berkomunikasi menggunakan perangkat keras khusus yang dioptimalkan untuk
mengirimkan data dari satu host ke host lainnya. Pada dasarnya, perangkat keras
adalah komputer yang menjalankan sistem operasi yang dirancang untuk
memindahkan data. Perangkat jaringan seperti router, switch, dan firewall
memiliki komponen dasar yang akan Anda temukan di server biasa Anda, kecuali
perangkat yang sangat disesuaikan. Perangkat ini berisi prosesor khusus dengan
petunjuk tertanam yang dirancang untuk memproses pergerakan data secara cepat
dan efisien. Mereka juga memiliki memori, sistem operasi, dan sarana untuk mengkonfigurasi
perangkat.
Auditing Windows Operating Systems
Banyak komponen seputar sistem
operasi yang harus diperhatikan dalam ulasan lengkap. Misalnya, perhatikan
bahaya yang kurang terpelihara atau aplikasi yang dikonfigurasi Semakin banyak
aplikasi yang Anda tambahkan ke platform, semakin banyak area masalah potensial
yang Anda miliki sebagai auditor saat Anda meningkatkan area permukaan serangan
Anda. Selain itu, perangkat keras, penyimpanan, dan jaringan mempengaruhi
kinerja dan perlindungan sistem operasi. Akhirnya, kontrol dan pengelolaan
lingkungan sekitar mempengaruhi dukungan, risiko, kepatuhan, dan keselarasan
bisnis server.
Auditing Unix and
Linux Operating Systems
File system bisa dianggap sebagai
tree, dan basis setiap tree adalah root. Jadi direktori root, yang ditunjuk
adalah trunk dari cabang direktori lain. Setiap sistem Unix memiliki direktori
root, tapi Anda akan menemukan beberapa varian dalam apa yang Anda lihat dari
sana. File dan directory permissions dapat dipisahkan menjadi user, group, dan
world permissions. Dengan kata lain, setiap file dan direktori memiliki hak
akses yang ditetapkan untuk user file, untuk group yang terkait dengan file
tersebut, dan untuk orang lain (sering disebut "world" atau
"other"). Masing-masing entitas ini dapat diberikan akses baca
(read), tulis (write), dan eksekusi (execute). Baik file dan direktori memiliki
set izin sendiri.
Auditing Web Servers
and Web Applications
Audit web yang lengkap
benar-benar merupakan audit terhadap tiga komponen utama, termasuk sistem
operasi server, server web, dan aplikasi web. Komponen tambahan seperti
database pendukung atau infrastruktur jaringan yang relevan mungkin juga sesuai
untuk dipertimbangkan sebagai bagian dari audit Anda. Komponen pertama yang
kami diskusikan adalah platform atau sistem operasi yang mendasari server dan
aplikasi web yang terpasang dan beroperasi. Selanjutnya adalah web server itu
sendiri, seperti Internet Information Services (IIS) atau Apache, yang
digunakan untuk meng-host aplikasi web. Selanjutnya, meliput audit aplikasi
web. Aplikasi web mencakup kerangka kerja pengembangan terkait seperti ASP.NET,
Java, Python, atau PHP dan sistem pengelolaan konten yang sesuai (CMS) seperti
Drupal, Joomla, atau WordPress.
Auditing Databases
Untuk mengaudit database secara
efektif, Anda memerlukan pemahaman dasar tentang bagaimana sebuah database
bekerja. Anda perlu memahami serangkaian komponen yang luas untuk mengaudit
database dengan benar. Pada awal tahun 1990an, aplikasi ditulis menggunakan
model client-server, yang terdiri dari program desktop yang menghubungkan
melalui jaringan langsung ke database backend. Ini disebut sebagai aplikasi
two-tier. Pada akhir 1990-an, aplikasi three-tiered menjadi norma. Model baru
ini terdiri dari browser web yang terhubung ke aplikasi web tingkat menengah.
Tingkat menengah kemudian dihubungkan dengan database backend. Aplikasi
three-tiered merupakan langkah maju yang bagus. Ini berarti bahwa perangkat
lunak khusus tidak perlu diinstal pada setiap workstation klien, dan pembaruan
perangkat lunak dapat diterapkan ke server pusat. Klien bisa menjalankan sistem
operasi yang mendukung browser dasar. Selain itu, dalam model three-tiered,
mengamankan database jauh lebih sederhana. Tentu saja, infrastruktur yang
dibutuhkan oleh database untuk mendukung aplikasi two-tier masih ada di
database backend untuk aplikasi three-tiered. Bahaya sekarang ada bahwa
penyerang akan menghindari aplikasi web untuk menyerang database backend.
Auditing Storage
Penyimpanan memperluas batas
lingkungan komputasi untuk memungkinkan data dibagi antara pengguna dan
aplikasi. Platform penyimpanan telah berkembang dengan sangat efisien sehingga
server dapat menggunakan lingkungan penyimpanan, berbeda dengan penyimpanan
asli ke server dan bentuk penyimpanan langsung lainnya, untuk kebutuhan
penyimpanan utama mereka. Lingkungan penyimpanan terus berkembang, karena
teknologi dan platform penyimpanan tradisional digabungkan menjadi satu
kesatuan yang mengelola data file dan data aplikasi dalam unit yang sama.
Protokol smart switch yang mampu memindahkan data pada kecepatan terik telah
merusak kemacetan untuk mengkonsolidasikan lingkungan, yang pada gilirannya
memungkinkan perampingan pusat data. Tambahkan ke teknologi ini seperti
deduplikasi data, virtualisasi penyimpanan, dan solid state drive, dan mudah
untuk melihat mengapa administrator penyimpanan yang baik diminati.
KESIMPULAN
Workgroup Information Systems
dirancang untuk memenuhi kebutuhan dari sebuah kelompok kerja. Sistem ini
dirancang untuk meningkatkan produktivitas dari suatu kelompok kerja. Auditor
juga harus menggunakan penilaian yang baik dalam menilai risiko sebenarnya yang
terkait berdasarkan lingkungan dan keseluruhan postur keamanan sistem.
DAFTAR PUSTAKA
Davis, Chris. 2011. IT Auditing :
Using Controls to Protect Information Assets. United States : The McGraw-Hill
Companies.
