Senin, 19 Juni 2017

IT FORENSIK (ETIKA & PROFESIONALISME TSI#)

ETIKA & PROFESIONALISME TSI
IT FORENSIK


Disusun Oleh :
1.      Arum Puspitarini          11113405
2.      Erni Arsulia                  12113952
3.      Ricko Aminnudin        17113599
Kelas : 4KA17



SISTEM INFORMASI
UNIVERSITAS GUNADARMA
ATA 2016/2017


IT FORENSIK

A.    Definisi IT Forensik
IT Forensik adalah cabang dari ilmu komputer tetapi menjurus ke bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan digital. Komputer forensik juga dikenal sebagai Digital Forensik yang terdiri dari aplikasi dari ilmu pengetahuan kepada indetifikasi, koleksi, analisa, dan pengujian dari bukti digital. IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal.
Menurut Wikipedia, IT forensik atau forensic computer atau forensic digital adalah cabang forensik, IT forensik berkaitan dengan penyelidikan insiden yang mencurigakan yang melibatkan IT sistem dan penentuan fakta-fakta dan pelaku akuisisi, analisis, dan evaluasi jejak digital dalam sistem computer.
            Secara umum IT forensik adalah ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat).

Kamis, 04 Mei 2017

AUDITOR TEKNOLOGI INFORMASI (COBIT)

AUDITOR TEKNOLOGI INFORMASI (COBIT)



Disusun oleh :

4KA17

Arum Puspitarini                     11113405
Erni Arsulia                             12113952
Ricko Aminnudin                     17113599













SISTEM INFORMASI
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI
UNIVERSITAS GUNADARMA
2017

1.     PENGERTIAN AUDIT IT
Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya. Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.

 

A.    Bidang Pekerjaan IT di perusahaan

·        System Analyst
·        Programmer
·        Administrator (Network, system, database)
·        Support (workshop, maintenance,helpdesk, dll )
·        Security Officer
·        Auditor



B.    Siapa yang Di Audit

·        Management

·        IT Manager

·        IT Specialist (network, database, system analyst, programmer, dll.)

·        User


C.    Yang Melakukan Audit

Tergantung Tujuan Audit 
1.)   Internal Audit (first party audit)
·        Dilakukan oleh atau atas nama perusahaan sendiri
·        Biasanya untuk management review atau tujuan internal perusahaan 
·        Lembaga independen di luar perusahaan
2.)   Second party audit
·        Dilakukan oleh pihak yang memiliki kepentingan thd perusahaan
3.)   Third party audit
·        Dilakukan oleh pihak independen dari luar perusahaan Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

D.    Tugas Auditor IT

·        Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan
·        Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan

E.    Yang Dilakukan Auditor IT

·        Persiapan
·        Review Dokumen
·        Persiapan kegiatan on-site audit
·        Melakukan kegiatan on-site audit
·        Persiapan, persetujuan dan distribusi laporan audit
·        Follow up audit

F.     Output kegiatan Audit

Hasil akhir adalah berupa laporan yang berisi: 
·        Ruang Lingkup audit
·        Mekanisme Audit
·        Temuan-temuan
·        Ketidaksesuaian (sifat ketidaksesuaian, bukti2 pendukung, syarat yg tdk dipenuhi, lokasi, tingkat ketidaksesuaian)
·        Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

 

G.   Keterampilan yang dibutuhkan

·        Audit skill : sampling, komunikasi, melakukan interview, mengajukan pertanyaan, mencatat 

·        Generic knowledge : pengetahuan mengenai prinsip-prinsip audit, prosedur dan teknik, sistem manajemen dan dokumen2 referensi, organisasi, peraturan2 yang berlaku

·        Specific knowledge : background IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan


H.   Prinsip-prinsip Audit

·        Ethical conduct
Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan dan kebijaksanaan
·        Fair Presentation
Kewajiban melaporkan secara jujur dan akurat
·        Due professional care
Implementasi dari kesungguhan dan pertimbangan yang diberikan
·        Independence
·        Evidence-base approach
Pendekatan berdasarkan fakta

I.      Peraturan dan Standar yang Biasa Digunakan

·        ISO / IEC 17799 and BS7799
·        Control Objectives for Information and related Technology (CobiT)
·        ISO TR 13335
·        IT Baseline Protection Manual
·        ITSEC / Common Criteria
·        Federal Information Processing Standard 140-1/2 (FIPS 140-1/2)
·        The “Sicheres Internet” Task Force [Task Force Sicheres Internet]
·        The quality seal and product audit scheme operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)
·        ISO 9000

J.     Tujuan IT audit
·       Availability (ketersediaan informasi), apakah informasi pada perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah tersedia setiap saat. 
·       Confidentiality (kerahasiaan informasi), apakah informasi yang dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi.
·       Integrity, apakah informasi yang tersedia akurat, handal, dan tepat waktu. 

K.   Jenis Audit IT
1.     Sistem dan aplikasi.
Audit yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan pada input, proses, output pada semua tingkat kegiatan sistem.

2.     Fasilitas pemrosesan informasi.
Audit yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk. 
3.     Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi. 

4.     Arsitektur perusahaan dan manajemen TI.
Audit yang berfungsi untuk memeriksa apakah manajemen TI dapat mengembangkan struktur organisasi dan prosedur yang menjamin kontrol dan lingkungan yang berdaya guna untuk pemrosesan informasi. 

5.     Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol berfungsi pada client, server, dan jaringan yang menghubungkan client dan server. 

L.    Manfaat Audit IT
a.     Manfaat pada saat Implementasi (Pre-Implementation Review)
·        Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria. 
·        Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. 
·        Mengetahui apakah outcome sesuai dengan harapan manajemen. 

b.      Manfaat setelah sistem live (Post-Implementation Review) 
·        Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya..
·        Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis, dan anggaran pada periode berikutnya. 
·        Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang. 
·        Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan. 
·        Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan pemeriksaan. 
·        Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.

2.     PENGENDALIAN INTERNAL
“Pengendalian intern adalah sejumlah tindakan untuk mengatur dan mengarahkan aktivitas organisasi untuk mencapai tujuan organisasi tersebut. Sebagai sebuah struktur, ia merupakan kebijakan-kebijakan dan prosedur yang ditetapkan untuk mencapai tujuan entitas khusus”. (Widjaja Tunggal Amin, 1996 ). Sedangkan menurut Romney dan Steinbart (2009) "Pengendalian Intern adalah rencana organisasi dan metode penggunaan bisnis untuk menjaga aset, memberikan informasi yang akurat dan dapat diandalkan, mempromosikan dan meningkatkan efisiensi operasional, dan mendorong kepatuhan terhadap prescibe kebijakan manajerial.

Tujuan utama dari pengendalian internal ada 4 yaitu : Untuk menjaga aktiva perusahaan. Untuk memastikan akurasi dan dapat diandalkan catatan dan informasi akuntansi. Untuk mempromosikan efisiensi operasi perusahaan. Untuk mengukur kesesuaian kebijakan dan prosedur yang telah ditetapkan oleh manajemen.  

3.     CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT)
Control Objectives for Information and Related Technology (COBIT) adalah seperangkat praktik terbaik (kerangka) untuk teknologi informasi (TI) manajemen yang dibuat oleh Information Systems Audit and Control Association (ISACA), dan IT Governance Institute (ITGI). COBIT memberikan manajer, auditor, dan pengguna TI dengan satu set secara umum langkah-langkah, indikator, proses dan praktik terbaik untuk membantu mereka dalam memaksimalkan manfaat yang diperoleh melalui penggunaan TI dan pengembangan tata kelola TI yang sesuai dan pengendalian dalam sebuah perusahaan/
COBIT pertama kali dirilis pada tahun 1996. Misinya adalah untuk meneliti, mengembangkan, mempublikasikan dan mempromosikan otoritatif, up-to-date, set internasional yang diterima secara umum untuk tujuan pengendalian teknologi informasi untuk sehari-hari digunakan oleh para manajer bisnis dan auditor. “Dengan menerapkan COBIT 5 berhasil memerintah IT, organisasi harus dapat memenuhi tujuan bisnis seperti memanfaatkan IT untuk keuntungan yang terbaik, melindungi data dan aset, dan sesuai dengan peraturan yang berlaku” (Sanderson, Ian).  

4.     KERANGKA KERJA YANG MEMBUAT COBIT DAPAT BERJALAN DENGAN BAIK
“Manajer IT yang terlibat dalam merancang atau pengujian terkait kontrol TI harus mencari matriks yang memetakan COBIT ke COSO, dan diskusi terkait TI manajemen risiko dan pemisahan tugas, sangat informatif” (Chan, Anthony S. 2006). “COBIT sejalan dengan Komite umum Sponsoring Organizations (COSO) kerangka dengan pengendalian internal yang terdiri dari empat domain menyelaraskan dengan siklus implementasi TI: perencanaan dan organisasi, akuisisi dan implementasi, pengiriman dan dukungan, dan pemantauan” (Lemme, Steve, 2005).
Sehingga domain tersebut dapat diidentifikasikan yang terdiri dari 34 proses, yaitu (ITGI, 2007) :

1.)      Plan and organize (PO)
            Yaitu mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives, meliputi :
·        PO1 : Define a strategic IT plan
·        PO2 : Define the information architecture
·        PO3 : Determine technological direction
·        PO4 : Define the IT processes, organization and relationships
·        PO5 : Manage the IT investment
·        PO6 : Communicate management aims and direction
·        PO7 : Manage IT human resources
·        PO8 : Manage quality human resource
·        PO9 : Asses and manage IT risks
·        PO10 : Manage projects
2.)        Acquire and Implement (AI)
Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan kedalam proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi :
·        AI1 : Identify automated solutions
·        AI2 : Acquire and maintain application software
·        AI3 : Acquire and maintain technology infrastructure
·        AI4 : Enable operation and use
·        AI5 : Procure IT resources
·        AI6 : Manage changes
·        AI7 : Install and accredit solutions and changes

3.)   Deliver and Support (DS)
            Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan,   pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Dimana domain DS terdiri dari 13 control objectives, meliputi :
·        DS1 : Define and manage service levels
·        DS2 : Manage third-party services
·        DS3 : Manage performance and capacity
·        DS4 : Ensure continuous service
·        DS5 : Ensure systems security
·        DS6 : Identify and allocate costs
·        DS7 : Educate and train users
·        DS8 : Manage service desk and incidents
·        DS9 : Manage the configuration
·        DS10 : Manage problems
·        DS11 : Manage data
·        DS12 : Manage the physical environment
·        DS13 : Manage operations  

4.)   Monitor and Evaluate (ME)
Domain ini menitikberatkan pada proses pengawasan  pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :
·        ME1 : Monitor and evaluate IT performance
·        ME2 : Monitor and evaluate internal control
·        ME3 : Ensure regulatory compliance
·        ME4 : Provide IT Governance
Maka dengan melakukan kontrol terhadap 34 control objectives tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Karena COBIT dirancang beriorientasi bisnis agar bisa digunakan banyak pihak, tetapi lebih penting lagi adalah sebagai panduan yang komprehensif bagi manajemen dan pemilik bisnis proses. Kebutuhan bisnis akan tercermin dari adanya kebutuhan informasi. Dan informasi itu sendiri perlu memenuhi kriteria kontrol tertentu, untuk mencapai tujuan bisnis.   

5.     MANFAAT PENGGUNAAN COBIT PADA PENGENDALIAN INTERNAL TI DALAM PERUSAHAAN
“Salah satu manfaat menggunakan COBIT 5 sebagai kerangka tata kelola adalah bahwa hal itu sejalan dengan praktek terbaik yang diterima di bidang sistem informasi, seperti IT Infrastructure Library dan ISO / IEC seri 27000 standar, serta COSO, yang menambahkan fokus pada IT governance dalam versi update yang dirilis pada bulan Mei” (Sanderson, Ian).
Manfaat-manfaat yang dapat diperoleh dalam penggunaan COBIT pada pengendalian internal TI perusahaan lainnya yaitu : Dapat membantu auditor, manajemen dan pengguna (user), dengan cara membantu menutup kesenjangan antara kebutuhan bisnis, risiko, kontrol, keamanan, melalui peningkatan pengamanan dan mengontrol seluruh proses TI.
COBIT dapat memberikan arahan (guidelines) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Audit Guidelines      Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance atau saran perbaikan. Management Guidelines      Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan. Auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit.
COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi, atau objek khusus di lingkungan TI. COBIT memberikan user kontrol dimana dapat mengukur proses yang terkandung dalam ISO 17799 dan ITIL dan yang dapat dimanfaatkan untuk perbaikan proses.

6.     TATA KELOLA TEKNOLOGI INFORMASI
Tata kelola teknologi informasi adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya. Meningkatnya minat pada tata kelola TI sebagian besar muncul karena adanya prakarsa kepatuhan (seperti Sarbanes-Oxley di AS dan Basel II di Eropa) serta semakin diakuinya kemudahan proyek TI untuk lepas kendali yang dapat berakibat besar terhadap kinerja suatu organisasi.
Tema utama diskusi tata kelola TI adalah bahwa teknologi informasi tidak bisa lagi menjadi suatu kotak hitam. Secara tradisional, penanganan pengambilan keputusan kunci di bidang teknologi informasi diberikan kepada para profesional TI karena keterbatasan pengalaman teknis eksekutif lain di tingkatan direksi perusahaan serta karena kompleksitas sistem TI itu sendiri. Tata kelola TI membangun suatu sistem yang semua pemangku kepentingannya, termasuk direksi dan komisaris serta pengguna internal dan bagian terkait seperti keuangan, dapat memberikan masukan yang diperlukan untuk proses pengambilan keputusan. Hal ini mencegah satu pihak tertentu, biasanya TI, disalahkan untuk suatu keputusan yang salah.
7.     Information Technology Governance
Information Technology Governance, IT Governance atau ICT (Information & Communications Technology) Governance, adalah suatu subset dari disiplin Corporate Governance yang berfokus pada teknologi informasi (TI) dan sistem kinerja dan manajemen risiko. Meningkatnya minat IT dalam pemerintahan adalah sebagian karena sesuai inisiatif, misalnya Sarbanes-Oxley di AS dan Basel II di Eropa, serta pengakuan bahwa proyek IT dapat dengan mudah keluar dari pengendalian dan mempengaruhi kinerja suatu organisasi secara mendalam. 
Sebuah tema ciri khas dari diskusi pengaturan IT adalah bahwa kemampuan IT tidak lagi dapat kotak hitam. Keterlibatan tradisional papan-tingkat eksekutif dalam hal TI adalah untuk menghormati semua keputusan penting untuk perusahaan profesional TI. Pengaturan IT menunjukkan sebuah sistem di mana semua pihak pemegang perusahaan, termasuk barisan papan atas, internal pelanggan, dan khususnya seperti departemen keuangan, mempunyai masukan yang penting yang diperlukan dalam proses pengambilan keputusan di kemudiannya. Hal ini guna mencegah TI dari secara bebas membuat dan kemudian dilaksanakan sepenuhnya bertanggung jawab dengan keputusan yang tidak bermutu. Hal ini juga mencegah user secara kritis dari menemukan bahwa sistem tidak berjalan atau melakukan seperti yang diharapkan, seperti yang dijelaskan di Harvard Business Review artikel oleh R. Nolan:
Sebaliknya, Institut pengaturan IT memperluas definisi untuk memasukkan mekanisme dasar: "... dengan kepemimpinan dan struktur organisasi dan proses yang memastikan bahwa organisasi TI bertahan dan memperluas strategi dan tujuan organisasi."
Sementara AS8015, Standar Australia untuk Corporate Governance ICT, mendefinisikan Corporate Governance ICT sebagai "Sistem yang penggunaannya saat ini dan masa depan pada ICT diarahkan dan dikendalikan. Sistem tersebut mengevaluasi dan mengarahkan rencana dari penggunaan ICT untuk mendukung organisasi dan pemantauan ini digunakan untuk mewujudkan rencana. Termasuk strategi dan kebijakan untuk menggunakan ICT di dalam sebuah organisasi
Disiplin pengaturan teknologi informasi berasal dari pengaturan badan hukum terutama berkaitan dengan hubungan antara fokus bisnis dan manajemen TI dari sebuah organisasi. Hal itu menyoroti pentingnya hal-hal yang berhubungan dengan TI dalam organisasi kontemporer dan menyatakan bahwa keputusan strategis TI harus dimiliki oleh kelompok perusahaan, bukan oleh CIO atau manajer TI lainnya.
Tujuan utama untuk teknologi informasi pemerintahan adalah untuk (1) memastikan bahwa investasi IT menghasilkan nilai bisnis, dan (2) mengurangi resiko yang berkaitan dengan IT. Ini dapat dilakukan dengan menerapkan struktur organisasi yang baik dengan yang ditetapkan untuk peran tanggung jawab dari informasi, proses bisnis, aplikasi, infrastruktur, dll.
Hak – hak keputusan adalah kunci bisnis pengaturan IT, sebagai topik utama dari buku yang dinamakan oleh Weill dan Ross. Menurut Weill dan Ross, bergantung pada ukuran, lingkup bisnis, kedewasaan TI dari suatu organisasi, baik sentralisasi, desentralisasi atau model federasi dari tanggung jawab untuk menangani hal-hal strategis TI yang diusulkan. Dalam pandangan ini, pengendalian TI yang dijelaskan dengan baik merupakan kunci menuju sukses.
Setelah banyak dilaporkan keruntuhan Enron pada tahun 2000, dan masalah-masalah yang diduga di dalam WorldCom dan Arthur Andersen, tugas dan tanggung jawab dari papan direksi untuk publik dan secara pribadi dari perusahaan swasta dipertanyakan. Sebagai respon terhadap hal ini, dan untuk mencoba untuk mencegah dari masalah serupa terjadi lagi, the US Sarbanes-Oxley Act ditulis untuk menekankan pentingnya usaha kontrol dan audit. Sarbanes-Oxley dan Basel II di Eropa telah menjadi katalis bagi perkembangan dari disiplin pengaturan teknologi informasi sejak awal 2000s. Namun, kekhawatiran dari Sarbanes Oxley (khususnya Bagian 404) ada sedikit yang harus dilakukan dengan hak sebagai keputusan TI dibahas oleh Weill dan Ross, dan banyak lagi yang harus dilakukan dengan proses operasional seperti Perubahan Manajemen.
Beberapa badan hukum bangkrut di Australia pada waktu bersamaan, kelompok kerja dibangun untuk mengembangkan standar atau ketentuan untuk pengaturan badan hukum. Suatu seri dari standar australia untuk pengaturan badan hukum diterbitkan pada tahun 2003, mereka adalah :
§  Good Governance Principles (AS8000)
§  Fraud and Corruption Control (AS8001)
§  Organisational Codes of Conduct (AS8002)
§  Corporate Social Responsibility (AS8003)
§  Whistle Blower protection programs (AS8004)
Pengaturan badan hukum AS8015 dari ICT diumumkan pada Januari 2005. dulunya adalah diadaptasi secara cepat sebagai ISO/IEC 38500 pada Mei 2008.

8.     Permasalahan dari IT governance

Apakah pengaturan TI berbeda dari manajemen TI dan kontrol TI? Masalahnya dengan pengaturan TI adalah sering kali bingung dengan penerapan manajemen yang baik dan kerangka kerja pengendalian TI. ISO 38500 telah membantu mengklarifikasi pengaturan TI dengan menjelaskannya sebagai sistem manajemen yang digunakan oleh direktur. Dengan kata lain, IT governance adalah seputar pekerjaan dari sumber daya TI atas nama pihak perusahaan yang diharapkan kembali dari investasi mereka. Direktur yang bertanggung jawab untuk pekerjaan ini akan melihat ke manajemen yang diperlukan untuk menerapkan kebutuhan sistem dan kontrol TI. Sementara pengelolaan risiko dan memastikan kepatuhan adalah komponen penting dari pemerintahan yang baik, hal ini lebih penting untuk difokuskan pada pemberian nilai dan mengukur kinerja.
Nicholas Carr telah muncul sebagai tokoh kritik dari gagasan bahwa teknologi informasi memberikan keuntungan strategis. Ini baris kritikan mungkin menyiratkan bahwa perhatian signifikan ke IT pemerintahan bukan merupakan upaya berharga untuk para pemimpin perusahaan. Namun, Carr juga membalas menyeimbangkan dengan berfokus pada efektivitas manajemen resiko IT.
Manifestasi pengaturan TI rinci bertujuan melalui proses kontrol yang mendetil (misalnya dalam konteks manajemen proyek) adalah hal yang sering kontroversial dalam skala besar manajemen TI. Kesulitan dalam mencapai keseimbangan antara transparansi keuangan dan penghematan biaya data di ambil dalam pengelolaan keuangan TI (misalnya, untuk mengaktifkan chargeback) adalah sebuah topik berkesinambungan dari diskusi dalam literatur profesional, dan dapat dilihat sebagai sebuah batasan praktikal untuk pengaturan IT.

9.     Hubungan ke disiplin IT lainnya

IT governance didukung oleh beberapa disiplin seperti :
·        Business Service Management
·        Business Technology Optimization
·        Enterprise architecture
·        Data governance
·        IT asset management
·        IT portfolio management
·        IT security assessment
·        IT service management
·        Project governance
·        Project management dan Program management dalam konteks perusahaan IT

10.  Kerangka Kerja

Ada beberapa hal mekanismen pendukung yang dikembangkan untuk mengarahkan implementasi dari pengaturan informasi teknologi. Beberapa dari mereka adalah :
·        IT Infrastructure Library (ITIL) adalah kerangka kerja mendetail dengan informasi di dalamnnya tentang bagaimana mencapai sebuah servis operasional manajemen IT yang berhasil, yang dikembangkan oleh Kantor pemasaran pemerintah amerika, dalam kerja samanya dengan forum layanan manajemen IT.
·        Control Objectives for Information and related Technology (COBIT) adalah pendekatan lainnya untuk menstandarisasi keamanan teknologi informasi yang baik dan mengatur penerapan. Hal ini diselesaikan dengan menyediakan peralatan untuk menilai dan mengukur kinerja dari 34 proses IT dari suatu organisasi.ITGI (IT Governance Institute)bertanggung jawab untuk COBIT
·        ISO/IEC 27001 (ISO 27001) adalah sekumpulan penerapan paling baik untuk organisasi untuk mengikuti penerapan dan pemeliharaan sebuah program keamanan. Hal ini dimulai sebagai Standar British 7799 [BS7799], dimana dulunya dikeluarkan oleh United Kingdom dan menjadi sebuah standar terkenal di industri yang dulunya digunakan untuk menyediakan pengawalan untuk organisasi dalam penerapan keamanan informasi.
·        IT Baseline Protection Catalogs, atau IT-Grundschutz Catalogs, ("IT Baseline Protection Manual" sebelum 2005) adalah sekumpulan dokumen dari Kantor Federasi Jerman untuk Keamanan dalam TI (FSI), berguna untuk mendeteksi dan melawan titik kelemahan dari keamanan di dalam lingkungan IT. Koleksi ini mengarahkan lebih dari 3000 halaman dengan perkenalan dan katalog.
·        Keamanan kedewasaan manajemen informasi model ISM3 ini adalah proses berdasar pada kedewasaan model ISM untuk keamanan.
·        AS8015- Standar Australia untuk Tata kelola badan hukum dari teknologi informasi dan komunikasi. AS8015 diadopsi sebagai ISO/IEC 38500 pada bulan May 2008.
·        ISO/IEC 38500:2008 Tata kelola badan hukum dari informasi teknologi, ( sangat dekat berdasar pada AS8015-2005) menyediakan sebuah kerangka kerja untuk efektivitas tata kelola TI untuk membantu mereka yang berada di level tertinggi organisasi untuk memahami dan memenuhi pengesahan mereka, pengaturan, dan obligasi etika dalam menghargai penggunaan IT pada organisasi. ISO/IEC 38500 dapat diterapkan ke organisasi dari berbagai ukuran, termasuk publik dan privasi perusahaan, entitas pemerintah, dan tidak untuk keuntungan organisasi. Standar ini menyediakan prinsip pengarahan untuk direktor organisasi agar efektif, efisien dan dapat penggunaan yang dapat diterima untuk IT di dalam organisasi mereka.
Lainnya meliputi:
·        BS7799 - focus on IT security
·        CMM - The Capability Maturity Model - focus on software engineering
Spesifikasi kerangka kerja non-IT dari penggunaan meliputi:
·        Balanced Scorecard (BSC) – metode untuk menilai kinerja organisasi dalam berbagai area yang berbeda.
·        Six Sigma – berfokus pada jaminan kualitas.

COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko.
COBIT ini juga mencakup bimbingan bagi para direktur dan semua level manajemen dan terdiri atas empat section:
·        Gambaran luas mengenai eksekutif
·        Kerangka kerja
·        Isi utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
·        Appendiks (pemetaan, ajuan silang dan daftar kata-kata)


Sumber :


 
Copyright © WELCOME
Blogger Theme by BloggerThemes Sponsored by Internet Entrepreneur