Audit Keamanan Informasi

 Audit Keamanan Informasi

    Audit keamanan adalah sutu proses atau kejadian yang memiliki basis pada kebijakan atau standar keamanan untuk menentukan semua keadaan dari perlindungan yang ada, dan untuk memverifikasi apakah perlindungan yang ada berjalan dengan baik. Target dari audit ini adalah untuk mencari tau apakah lingkungan yang ada sekarang telah aman dilindungi sesuai dengan kebijakkan keamanan yang ditetapkan. Untuk menjaga independensi hasil audit, audit keamanan informasi harus dilaksanakan oleh pihak ketiga yang terpercaya dan independen.

Penilaian Resiko Keamanan

    Penilaian resiko keamanan (PRK) adalah dilakukan pada permulaan tahapan yang dilakukan untuk mengindentifikasi apakah dibutuhkannya pengukuran keamanan dan kapan terjadi perubahan pada aset informasi atau lingkungannya. Sedangkanaudit keamanan adalah proses pemeriksaan berulang (repetitif) untuk menjamin bahwa pengukuran keamanan diimplementasikan dengan baik dari waktu

ke waktu. Maka itu, audit keamanan biasanya dilakukan lebih sering dibandingkan PRK.

Tujuan Audit Keamanan

    Tujuan utama dari audit keamanan, diantaranya adalah:

• Memeriksa kesesuaian dari mulai kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada

• Mengidentifikasi kekurangan dan memeriksa efektifitas dari kebijakkan, bakuan, pedoman, dan prosedur keamanan yang ada

• Mengidentifikasi dan memahami kelemahan (vulnerability) yang ada.

• Mengkaji kendala keamanan yang ada terhadap permasalahan operasional, administrasi, dan manajerial, dan memastikan kesesuaian dengan bakuan keamanan minimum

• Memberikan rekomendasi dan aksi perbaikan/koreksi untuk peningkatan

    Dalam melaksanan audit perlu memperhatikan hal berikut ini, yaitu:

• Saat dan frekuensi audit

• Perangkat audit

• Langkah-langkah audit.

Saat dan Kekerapan Audit

    Audit keamanan harus dilakukan secara periodik untuk memastikan kesesuaian atau kepatuhan pada kebijakkan, bakuan, pedoman, dan prosedur dan untuk menentukan suatu kendali minimum yang diperlukan untuk mengurangi resiko pada level yang dapat diterima. Sebagai catatan, audit keamanan hanya memberikan snapshot dari kelemahan yang diungkapkan pada titik waktu tertentu.

    Audit keamanan adalah aktivitas yang terus berjalan, yang kontinu. Secara umum, audit keamanan dilaksanakan dalam dua putaran.

    Yang keduanya berlaku pada pola tertentu, namun putaran kedua merupakan proses verifikasi untuk memastikan ditemukannya semua kelemahan pada putaran pertama yang mana telah diperbaiki dan diatasi sebagai rekomendasi hasil laporan putaran pertama. Terdapat situasi yang berbeda ketika harus melakukan audit keamanan. Waktu yang pasti tergantung kebutuhan dan sumber daya sistem yang dimiliki.

• Instalasi Baru. Audit yang dilakukan pertama kali setelah implementasi, dalamrangka memastikan konformasi pada kebijakkan dan petunjuk yang ada serta memenuhi bakuan konfigurasi

• Audit Regular. Audit ini adalah audit yang dilakukan secara periodik baik manual maupun otomatis dengan menggunakan perangkat dalam rangka mendeteksi lubang (loopholes) atau kelemahan, yang paling tidak dilakukan sekali dalam setahun

• Audit Acak: Audit ini dilakukan dengan melakukan pemeriksaan acak dalam rangka merefleksikan dengan praktik sesungguhnya

• Audit di Luar Jam Kerja: Audit ini dilakukan untuk mereduksi resiko pengauditan dengan melakukannya di luar jam kerja, biasanya pada malam hari.

    Ada banyak perangkat audit yang dapat digunakan untuk mencari kelemahan. Pemilihan perangkat audit bergantung pada kebutuhan keamanan dan dampak beban kerja dari pengawasan. Sebagai contoh, perangkat pemindai keamanan dapat memeriksa untuk setiap kelemahan pada jaringan dengan melakukan pindaian dan simulasi serangan.

Tahapan Audit

    Secara umum, tahapan audit dibagi menjadi bagian berikut ini:

1. Perencanaan

2. Pengumpulan data audit

3. Pengujian audit

4. Pelaporan hasil audit

5. Perlindungan atas data dan perangkat audit

6. Penambahan dan tindak lanjut