Audit Sistem Informasi Pada Lingkungan Audrop

 Audit Sistem Informasi #
“Pada Lingkungan Universitas XYZ.”


Nama Kelompok / NPM:

Dwi Andhika A              /  1D114254
Erika Pradita                 /  13114606
Sherlianna Dewi           /  1A114225


4KA23
UNIVERSITAS GUNADARMA
FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMATIKA
TAHUN AJARAN
2017/2018


latar belakang
}  Pemenuhan kebutuhan akan sistem informasi bagi semua jenis organisasi menyebabkan perkembangan sistem informasi yang begitu pesat. Begitu pula dengan perkembangan di sektor pelayanan pendidikan yang dikenal dengan Sistem Informasi Akademik.
}  Sistem Informasi Akademik merupakan suatu kebutuhan yang mutlak bagi pelayanan pendidikan terutama pada perguruan tinggi, sehingga dapat memberikan kemudahan dalam administrasi bagi perguruan tinggi yang menerapkannya. Dengan adanya Sistem Informasi Akademik dan Sistem Informasi lainnya di universitas XYZ, bukan hanya pelayanan terhadap mahasiswa yang menjadi lebih baik tetapi juga pelayanan untuk seluruh pihak terkait dengan proses akademik yang ada seperti staf pengajar, biro administrasi bahkan orangtua dan alumni.

Pengertian Sistem Informasi
}  Sistem informasi adalah kombinasi dari teknologi informasi dan aktifitas, yang menggunakan teknologi untuk mendukung kinerja, manajemen dan pembuatan keputusan (Beynon, 2004). Dalam hal ini, sistem informasi digunakan tidak hanya untuk menggambarkan komputer dan perangkatnya serta interaksinya dengan organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen yang terlibat dalam proses bisnis organisasi tersebut.

Pengertian Audit Teknologi Informasi
Merupakan audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
                Dalam pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadaimelalui berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanyamencakup pula bukti elktronis.

Audit Dengan Kerangka Kerja IT Assurance Guide
}  Pada bagian ini akan dipaparkan tentang penggunaan kerangka kerja IT Assurance yang digunakan dalam melakukan audit TI di Universitas XYZ. Sebelumnya akan dijelaskan alasan penggunaan control objective dari COBIT dibandingkan dengan yang lain seperti Ron Weber [1], QAO, dan Jack Champlain

IT Assurance Guide dengan Menggunakan COBIT versi 4.1 
}  Sebelum melakukan pemilihan kerangka kerja audit yang akan digunakan, terlebih dahulu dilakukan perbandingan kelengkapan kontrol yang ada pada masing-masing kerangka kerja audit. Perbandingan itu ditujukan untuk mendapatkan sebuah gambaran lengkap dari kontrol yang ada pada setiap kerangka kerja audit dengan cara memetakan setiap kontrol proses yang ada pada setiap kerangka kerja.
}  Pemetaan yang dilakukan adalah pemetaan antara COBIT, Ron Weber, QAO dan Champlain dan pemetaan antara COBIT dan ITIL. Dari kedua pemetaan tersebut terlihat jelas bahwa kerangka kerja audit yang diajukan oleh COBIT lebih lengkap dalam melihat proses-proses yang ada dalam manajemen TI. Walaupun memang dari setiap kerangka kerja terdapat keunggulan masing-masing.
 
}  Untuk ITIL sendiri berdasarkan pemetaan yang ada, proses yang memiliki banyak kesamaan dengan kerangka kerja COBIT adalah pada domain Delivery and Support. Hampir semua proses dalam domain ini dapat dipetakan dalam ITIL.

Profil Universitas XYZ   
                Untuk dapat menggambarkan Universitas XYZ secara menyeluruh dan objektif, dicoba untuk melihat dari dua sisi profil universitas, yaitu dari sisi profil umum dan profil TI.
 
Profil Umum Universitas XYZ
                Universitas XYZ terbagi menjadi tiga lokasi kampus, di kota Jakarta. Dalam penyelenggaraan proses pendidikan, universitas ini membagi menjadi dua kategori program, yaitu program reguler dan program kelas karyawan. Untuk penyelenggaraan jenjang pendidikan S1 dan D3, terdapat 7 fakultas dan 21 program studi sedangkan untuk jenjang pendidikan S2 terdapat 4 program studi. Jumlah mahasiswa yang menuntut ilmu di Universitas XYZ sampai dengan tahun akademik 2007/2008 adalah sebanyak 11.000 mahasiswa (sumber: wawancara dengan direktur akademik,07). Dengan lebih dari 200 karyawan tetap dan karyawan kontrak, serta 130 lebih dosen tetap dan 170 lebih dosen tidak tetap, universitas XYZ termasuk universitas swasta terbesar di Jakarta. Untuk struktur organisasi Universitas XYZ dapat dilihat pada Gambar 1. Dari struktur organisasi tersebut terlihat bahwa sebenarnya unit TI Audit Sistem Informasi/Teknologi Informasi dengan Kerangka Kerja COBIT untuk Evaluasi Manajemen Teknologi Informasi di Universitas Xyz sendiri belum berada langsung dibawah Rektor. Unit ini secara formal terpecah menjadi 2 bagian, yaitu bagian pengembangan sistem dan bagian Cybernet. Keduanya berada dibawah dua direktorat yang berbeda. Pusat Pengembangan Sistem berada dibawah direktorat Akademik, sedangkan untuk bagian Cybernet terdapat pada direktorat Keuangan dan Pengelolaan Aset.

Profil Teknologi Informasi di Universitas XYZ
                Sifat penggunaan TI di Universitas XYZ masih berada dalam tahap pendukung atau support, karena apabila tidak ada dukungan TI pun, core bisnis dari Universitas ini masih dapat berjalan. Profil TI di Universitas XYZ bisa dikatakan pada taraf yang cukup, hal ini dapat dilihat dari pengukuran tingkat kematangan pemanfaatan TI sekitar 43%, yang juga dilakukan dengan kerangka kerja COBIT.
                Seperti yang telah disebutkan sebelumnya bahwa di Universitas XYZ, secara formal memang belum terbentuk sebuah unit TI, tetapi ada dua unit yang sudah melakukan kegiatan yang mirip ke arah manajemen TI. Unit tersebut adalah PPS (Pusat Pengembangan Sistem) dan unit Cybernet. Kedua unit pun tidak berada dalam satu direktorat yang sama. PPS yang berada langsung dibawah direktorat akademik merupakan penunjang direktorat akademik itu sendiri, dengan alasan karena core dari bisnis adalah akademik, maka para pengambil keputusan lebih menitikberatkan pengembangan sistem yang mendahulukan kepentingan akademik, itulah sebabnya mengapa PPS berada di bawah direktorat akademik.





Hal ini disimpulkan bahwa Cybernet berurusan dengan aset TI yang ada seperti komputer, jaringan, perangkat lunak atau sistem dan perangkat keras lainnya.
                Untuk melakukan koordinasi antara PPS dan Cybernet masing-masing ada work instruction yang dibuat di masing-masing unit (hal ini ada karena Universitas ini sudah menerapkan ISO 9001 untuk manajemen pelayanan).

Infrastruktur TI
                Secara fisik infrastruktur TI di kampus terutama di Universitas XYZ merupakan infrastruktur jaringan komputer yang terdiri dari tujuh core kabel serat optik multi-mode yang menghubungkan tujuh high-speed switch yang tersebar di seluruh ruang kantor dan laboratorium. Untuk menghubungkan antara satu kampus dengan kampus lainnya, digunakan jalur umum (public network) melalui VPN. Untuk jaringan komputer di dua kampus lainnya hanya menggunakan kabel UTP dengan kecepatan 100Mbps. Universitas XYZ memiliki ruang server utama yang berisi web server, mail server, proxy server, dan beberapa backup server. Teknologi prosesor server-server ini setara dengan Pentium 4 pada kisaran 1,7 – 2,6 MHz. Setiap laboratorium komputer terhubung ke server-server ini sehingga mahasiswa dapat mengisi kartu rencana studi (KRS), melihat nilai, dan sebagainya dari laboratorium di program studi masing-masing. Hal ini bahkan dapat dilakukan dari rumah, khusus untuk kelas karyawan.
                Selain infrastruktur kabel, juga terdapat infrastruktur jaringan nirkabel (WLAN) yang dapat di akses secara bebas oleh mahasiswa di Kampus utama dan kedua kampus lainnya. Secara logis jaringan komputer dibagi menjadi subnet-subnet. Dengan demikian di sini diterapkan teknologi WAN seperti routing, DNS, dan sebagainya.

Aplikasi yang Ada
Dari sisi perangkat lunak, khususnya untuk laboratorium dan komputer client, infrastruktur telah menggunakan sistem operasi dari Microsoft di bawah lisensi Microsoft Campus Agreement. Untuk server, lebih banyak menggunakan Linux. Terdapat 10 jenis aplikasi yang ada dan baru akan dijalankan di Universitas XYZ, dimana kesemuanya belum terintegrasi satu dengan yang lain. Tabel 1 memperlihatkan daftar aplikasi apa saja yang ada. Basis Data dalam SIAK Universitas XYZ Pada Sistem Informasi Akademik di Universitas XYZ, basis data yang digunakan adalah basis data dengan model relasional. DBMS yang digunakan adalah Oracle 9i Enterprise Edition. Tabel yang ada pada SIAK Universitas XYZ ada 15 tabel, dapat dilihat pada Tabel 2 dibawah ini. Untuk sebagian tabel yang digunakan dalam SIAK sudah terintegrasi atau digunakan untuk aplikasi yang lain. Contohnya aplikasi PPMB (Pendaftaran dan Pengelolaan Mahasiswa Baru). Adapun untuk perancangan basis data dalam SIAK memang tidak melalui tahapan perancangan basis data pada umumnya, karena memang tidak melalui tahap analisis dan perancangan tetapi lebih kepada pemenuhan tabel-tabel yang harus ada untuk menyimpan data dalam program-program yang dibuat.

IT Assurance Di Universitas XYZ
}  Seperti yang telah disebutkan sebelumnya bahwa dalam kerangka kerja IT Assurance yang diusulkan oleh COBIT terdapat tiga tahapan besar yang mesti dijalani dalam audit TI. Dari tahapan ini masih terdapat sub tahapan lagi. Dalam melakukan audit, tidak mengikuti semua sub tahapan yang ada pada publikasi IT Assurance guide, karena sub tahapan yang ada bersifat redundan, sehingga dicoba meringkas (summarize) tahapan tersebut menjadi:
1. Tahap Perencanaan
 1.1. Dasar Audit
                Audit TI yang dilakukan di Universitas XYZ atas dasar penelitian untuk laporan evaluasi manajemen TI di Universitas XYZ.
 
1.2. Kerangka kerja audit             
Kerangka kerja audit yang digunakan adalah COBIT. Dengan menggunakan 34 control objective yang dibahas lagi lebih detil dalam 210 detailed control objective.
1. Analisis Resiko
Pada analisis resiko dicoba mengikuti beberapa panduan dari IT Assurance guide: using COBIT [5]. Analisis resiko dari Universitas XYZ dibagi kedalam penentuan aset yang harus dilindungi, ancaman dan resiko yang terjadi bila aset tersebut tidak memiliki kontrol yang layak. Dalam mengidentifikasi aset, dikategorisasikannya menjadi:
}  Rencana Strategis Sistem Informasi
}  Struktur organisasi
}  Sumber daya manusia pada unit cyber
}  Sumber daya manusia pada Pusat Pengembangan Sistem
}  Software aplikasi
}  Password management
}  Prosedur penggunaan aplikasi
}  Basis data
}  Portal organisasi
}  Jaringan komputer
}  Pelayanan kepada user

2. Tahap Pembatasan lingkup IT Assurance
2.1. Tujuan
                Tujuan dari dilakukannya audit TI adalah untuk mengevaluasi sejauh mana manajemen TI di Universitas XYZ diterapkan, selain itu juga hasiltemuan dan rekomendasi perbaikan dan pengembangan sistem TI yang ada saat ini.
 
2.2. Penyeleksian Control Objective
                Control objective yang digunakan adalah detailed control objective dari 34 control objective yang ada pada COBIT sebanyak 210 detailed control objective.
2.3. Mendokumentasikan arsitektur yang ada di Universitas XYZ.
                Hal ini dilakukan dengan cara wawancara dengan personil utama dari Univeritas XYZ, yaitu Kepala Pusat Pengembangan Sistem, Kepala Cybernet dan beberapa staf TI yang ada di unit Cybernet.
2.4. Mengidentifikasi Proses yang Akan Dikaji Dalam kajian ini audit TI akan melingkupi semuadomain yang ada, yaitu plan and organise, acquire and implementation, delivery and support dan monitor and evaluation.
2.5. Mengidentifikasi Komponen TI Universitas XYZ
                Komponen yang akan dikaji hanya aplikasi SIAK Universitas XYZ, basis data yang ada, infrastruktur jaringan yang ada di kampus utama dan orang-orang yang ada di kedua unit TI (PPS dan Cybernet).

3. Tahap Pelaksanaan
                Dari daftar control objective yang ada di Universitas XYZ, penulis mengembangkan lebih lanjut ke tahap pelaksanaan yang berikutnya yaitu:
}  Tahap pengujian kelengkapan kontrol
 
}  Tahap pengujian kontrol yang dilakukan adalah dengan mengidentifikasi kelengkapan control objective dan keefektifan dari control objective dalam proses-proses TI di Univerisitas XYZ. Berdasarkan hasil pengujian dari 34 control objective yang ada hampir 85% tidak memiliki kontrol yang lengkap.
}  Tahap berikutnya adalah tahap pengujian terhadap hasil control objective.
}  Pada tahap ini yang akan diuji adalah hasil dari adanya control objective yang efektif di universitas XYZ. Hasilnya adalah mendekati kisaran 30% efektif berdasarkan dari kontrol yang ada / memadai.
4. Temuan Hasil Audit
Dari kajian yang dilakukan terhadap kondisi TI yang ada di Universitas XYZ, didapatkan temuan-temuan yang berhubungan dengan lemahnya kontrol yang diterapkan. Temuan-temuan hasil audit yang dilaporkan meliputi:
 
}  Rencana dan Strategi TI universitas XYZ
}  Keorganisasian pengelolaan TI
}  SIAK Universitas XYZ
}  Perancangan aplikasi dan basisdata
}  Pengembangan dan pengubahan aplikasi
}  Pengelolaan basisdata
}  Jaringan komputer yang ada dikampus utama Universitas XYZ
}  Layanan ke pengguna
}  Portal organisasi.

1. Rencana dan Strategi TI Universitas XYZ
                Universitas XYZ sudah mempunyai konsep Rencana Strategis Teknologi Informasi namun belum cukup sempurna sehingga sampai dengan audit TI yang dilakukan, Rencana Strategis TI belum dijadikan sebagai acuan dari setiap pengembangan sistem yang ada (sistem yang dibangun bersifat adhoc). Dalam melakukan pemilihan arsitektur basis data, arsitektur jaringan dan aplikasi yang akan
dikembangkan, Universitas XYZ tidak melakukan studi formal, misalkan dengan melakukan tahap cost benefit analysis, atau risk analysis.
2. Keorganisasian Pengelolaan TI Struktur organisasi TI
Struktur organisasi TI yang ada di Universitas TI terbagi menjadi dua unit dan dibawah dua direktorat yang berbeda, hal ini dapat menyebabkan:
a.            Pengurangan tingkat independensi pengelolaan TI karena tidak dibawah satu direktorat TI sendiri yang bertanggung jawab langsung kepada rektor
                Terpisahnya antara pusat pengembangan sistem sebagai pihak perencana dan Cybernet sebagai pihak operasional akan menyulitkan kontrol terhadap komunikasi antar dua belah pihak.
                Staf TI Untuk unit Cybernet yang sudah ada terlebih dahulu masih belum cukup dalam jumlah staf TI, dalam hal ini dibutuhkan staf yang dapat membantu untuk menjalankan peran pemeliharaan dan operasional seperti IT service desk, IT support, desktop support.
                Untuk  unit  Pusat  Pengembangan  Sistem perlu dibutuhkan staf ahli dalam perencanaan dan pengembangan sistem seperti database administrator, programmer aplikasi, system analyst, tester

3. SIAK Universitas XYZ
User account management
                SIAK sudah memiliki fitur untuk mengingat password tanpa harus tergantung pada staf unit Cybernet tetapi belum berjalan dengan yang diharapkan, pengguna masih bertanya kepada staf Cybernet perihal lupa password.
                Penggunaan SIAK belum memiliki bantuan asistensi penggunaan aplikasi dalam bentuk menu standar help Dikarenakan pengembangan SIAK tidak mengikuti fase-fase pengembangan proyek seperti user requirement, maka dirasa masih banyak kekurangan atau ketidaksesuaian yang dirasa oleh user.
Proses kerja
                Untuk pengisian nilai yang dimulai dari periode UTS, SIAK belum dapat menampilkan data kelas dan mahasiswa yang up to date.
 
4. Perancangan Aplikasi dan Basisdata
                Untuk perancangan basis data tidak megikuti kaidah-kaidah perancangan yang umum, sehingga tidak terdapat dokumentasi yang lengkap mengenai hal tersebut.
 
                Tidak terdapat diagram relasi untuk basis data sehingga basis data yang ada tidak didasari pada pendekatan analisis.

5. Pengembangan dan Perubahan Aplikasi
                Pada awal pengembangan aplikasi SIAK tidak memiliki    dokumentasi formal       sehingga              apabila programmer yang bersangkutan berhalangan atau berhenti maka tidak bisa dilakukan pengembangan terhadap SIAK, kecuali pembuatan dari awal kembali.
 
6. Pengelolaan Basisdata
                Fungsi audit trail pada database server belum diaktifkan. Hal tersebut menimbulkan kesulitan untuk mengetahui dan menyelidiki insiden yang terjadi pada database server.
                Proses backup dilakukan setiap tujuh hari sekali, hal tersebut menimbulkan resiko gangguan, kerusakan dan kehilangan data pada saat setelah proses backup terakhir kali dilakukan sampai proses backup berikutnya.

7.            Jaringan Komputer Kampus Utama Universitas XYZ
 
                Pembagian network di Universitas XYZ tidak berdasarkan pada fungsi yang sama, tetapi berdasarkan lokasi tempat device berada. Sehingga akan menyulitkan bagi satu unit yang sama tetapi menempati gedung yang berlainan untuk dapat membagi data.
                Security masih dilakukan di tingkat jaringan saja misalkan dengan firewall atau Intrussion Detection System, dan kurang memperhatikan keamanan fisik, hal ini dilihat dari pengamanan yang kurang terhadap switch-switch yang ada pada setiap network.
 
8. Layanan ke Pengguna
                Sebagian besar komputer yang ada di lingkungan kampus utama, tidak dilengkapi dengan software antivirus yang berlisensi maupun gratis (hanya pada komputer-komputer tertentu saja seperti di laboratorium komputer). Walaupun ada software tetapi tidak ter-update secara rutin.
                Universitas XYZ belum memiliki kebijakan dan prosedur untuk mendeteksi, melaporkan dan merespon atas terjadinya insiden terhadap keamanan komputer.
 
9. Portal Organisasi
                Terdapat keterlambatan updating isi situs web dari Univeritas XYZ, sehingga terkesan berita-berita seputar civitas akademika tidak dinamis.


 PPT :
 




















Komentar

Posting Komentar

Postingan populer dari blog ini

PENGUJIAN BERORIENTASI OBYEK

Gambar
MAKALAH TESTING DAN IMPLEMENTASI SISTEM “PENGUJIAN BERORIENTASI OBYEK ”. -Erika Pradita              13114606 -Irsyaad Izzudin           15114472 -Ludfi Satria                16114146 -Sherlianna Dewi         1A114225 4KA23 UNIVERSITAS GUNADARMA FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMATIKA TAHUN AJARAN 2017/2018 PEMBAHASAN PENGUJIAN BERORIENTASI OBYEK Þ     Pengertian Oop Þ     Kelebihan Dan Kekurangan Pemrograman Berorientasi Objek Þ     Object Oriented Testing Þ     Disain Test Case Untuk Software Oo Þ     Unit Testing Dalam Kontek Oo Þ     Validation Testing Dalam Kontek Oo Þ     Object-Oriented Analysis Þ  ...
Baca selengkapnya

CONTOH USE CASE PROSEDUR PENDAFTARAN MAHASISWA BARU

Gambar
1.        Prosedur Pendaftaran Mahasiswa Baru:   1.      Registrasi  Syarat untuk registrasi adalah Anda  harus memiliki email yang aktif . Calon Mahasiswa Baru UG dapat mendaftar melalui Jalur Reguler ini melalui alamat website http://pendaftaran.gunadarma.ac.id/2017. Silakan mengisi form registrasi Anda pada halaman Registration. Setelah mengisi data, Anda akan mendapatkan konfirmasi Melaui Email untuk informasi mengenai user untuk login, proses pembayaran formulir (sesuai yang anda pilih : Setoran Tunai atau ATM). Pastikan untuk mencek email yang anda daftarkan untuk mendapatkan informasi tersebut. 2.      Pembayaran Setelah proses registrasi, selanjutnya silakan Anda melakukan pembayaran melalui Bank . 3.      Melengkapi Data Isian  Setelah mendapatkan konfirmasi Pembayaran Anda akan mendapatkan Nomor Pendaftaran yang dikirmkan melalui SMS dan Ema...
Baca selengkapnya

Soal Latihan Subject Verb Agreement

QUESTIONS & ANSWERS Choose the correct form of the verb-in parentheses in the following sentences. 1.       John, along with twenty friends, (is/ are ) planning a party. 2.       The picture of the soldiers (bring/ brings ) back many memories. 3.       The quality of these recordings (is/ are ) not very good. 4.       If the duties of these office (isn’t/ aren’t ) reduced, there will not be enough time to finish the project. 5.       The effects of cigarette smoking (have/ has ) been proven to be extremely harmful. 6.       The use of credit cards in place of cash (have/ has ) increased rapidly in recent years. 7.       Advertisements on television (is/ are ) becoming more competitive than ever before. 8.       Living expenses in this country, as well as in many ot...
Baca selengkapnya