Kata “audit” mungkin tidak asing bagi telinga kebanyakan orang, tetapi terminologi Audit TI seolah-olah menjadi jargon baru bagi sebagian orang, karena mereka beranggapan kalau bicara soal audit, ya audit finansial. Selain kata audit, beberapa terminologi yang muncul terutama masalah keamanan sistem informasi, adalah uji penetrasi atau penetration testing (orang sering menyingkat menjadi pentest), dan assessment. Beberapa orang mempertukarkan istilah-istilah tersebut, yang sebenarnya berbeda.
Pentest vs. Audit
Uji penetrasi adalah cara untuk menguji apakah suatu sistem TI mudah ditembus, atau mempunyai kerentanan untuk ditembus. Masih banyak orang yang menganggap, bahkan men‘dewa’kan pentest sebagai cara yang paling ampuh untuk mengukur tingkat keamanan suatu sistem. Tetapi, perlu diingat, bahwa pentest semata-mata mengukur keamanan hanya dari sisi teknologi; hasil dari pentest tidak dapat digunakan untuk mengungkapkan sebab-sebab lain di luar teknologi.
Contoh sederhana, tapi sering dijumpai, adalah tidak digantinya password default dari vendor pada perangkat teknologi informasi, terutama yang plug-and-play, atau sedikit memerlukan konfigurasi seperti switch dan router. Hasil dari pentest biasanya dapat mengungkapkan hal itu, dan rekomendasinya dipastikan sederhana, yaitu ganti password.
Tetapi, di luar rekomendasi tersebut, pentest tidak mengungkapkan apakah kerentanan itu disebabkan karena administrator tidak mempunyai pengetahuan untuk mengonfigurasi peralatan, sehingga tidak tahu cara mengubah password. Atau, bahkan, tidak ada administrator sama sekali alias tidak ada orang yang bertanggung jawab terhadap peralatan. Ini biasanya karena pihak perusahaan menyerahkan sepenuhnya kepada vendor. Atau, apakah tidak ada semacam check list dan pengujian singkat untuk memastikan bahwa setiap kali instalasi baru, password yang digunakan bukan password default dari vendor.
Selain itu, pentest merupakan pengukuran yang tertuju hanya pada satu saat (snapshot) tertentu saja. Jika hasil pentest menunjukkan bahwa suatu sistem aman, tidak berarti sistem tersebut akan aman sebulan kemudian, karena mungkin ditemukannya kerentanan-kerentanan baru yang tidak dijumpai saat dilakukan pentest.
Jika pada pentest, kontrol-kontrol pengamanan yang ada (biasanya) tidak diberitahukan kepada pihak penguji, sebaliknya dalam melakukan audit, kontrol-kontrol yang ada akan diberitahukan oleh auditee (pihak yang diuji) kepada auditor (pihak penguji). Selanjutnya, auditor akan menilai apakah kontrol-kontrol yang ada tersebut telah dilaksanakan dengan semestinya atau apakah sudah efektif untuk mengurangi risiko yang telah teridentifikasi sebelumnya pada saat assessment .
Pentest sering juga digunakan sebagai salah satu cara dalam melakukan audit; dan biasanya digunakan sebagai substantive test atau pada situasi dimana konfigurasi dari suatu peralatan tidak didapatkan. Misalnya, pada audit untuk menguji apakah firewall yang terpasang sudah sesuai dengan aturan yang diinginkan. Jika konfigurasi firewall tidak didapatkan, maka pentest dapat digunakan sebagai alternatif, atau sebagai pelengkap untuk membuktikan apakah running configuration memang sesuai dengan aturan yang diinginkan (bisa jadi print-out configuration yang diberikan pihak auditor tidak sama dengan running configuration).
Penggunaan Best practices dalam audit
Langkah awal dalam melakukan audit adalah mengidentifikasi struktur kontrol yang ada, beserta alasan kenapa diadakannya kontrol tersebut. Salah satu cara yang dapat dipakai adalah dengan memeriksa kebijakan keamanan (security policy) yang telah ditetapkan. Tetapi, terkadang langkah ini dilewati dengan berbagai macam alasan, dan pihak auditor melakukan blind audit dengan semata-mata berpatokan pada best practices seperti ISO 17799, dan COBIT. Penggunaan best practices tanpa memperhatikan alasan dibalik pangadaan kontrol tersebut, sering menyebabkan kontrol yang disyaratkan pada best practices tapi tidak aplikatif bagi perusahaan, menjadi temuan auditor.
Suatu kali seorang manajer TI perusahaan alat-alat berat mendapat teguran dari atasannya karena pada audit yang dilakukan auditor luar (external auditor), ditemukan adanya user pada divisi keuangan yang mempunyai privilegeadministrator pada sistem operasi. Temuan tersebut dikategorikan sebagai high risk. Kalau hanya dilihat dari kacamata best practices saja, akses dengan level administrator memang seharusnya hanya diberikan kepada administrator. Tetapi, alasan dibalik kenapa user pada divisi keuangan tersebut mempunyaiprivilege administrator, ternyata disebabkan oleh program yang digunakan usertadi membutuhkan privilege administrator agar dapat berjalan sempurna.
Assessment
Apa salahnya menggunakan best practices dalam melakukan audit ? Penggunaan best practices sebetulnya sah-sah saja selama pihak yang diaudit juga menggunakan best practice yang sama. Perlu diingat, kontrol yang diuji dalam audit, seharusnya adalah kontrol yang telah disepakati bersama oleh pihak-pihak yang berkepentingan terhadap keamanan aset yang dijaga oleh kontrol tersebut, yang biasanya dirangkum dalam bentuk kebijakan keamanan (security policy ).
Dalam British Standard 7799 bagian kedua (BS 7799:2), yang merupakan acuan dalam proses sertifikasi BS 7799, menyebutkan perlunya statement of applicability (SOA) pada akhir assessment . SOA adalah suatu pernyataan, atau boleh dikatakan sebagai suatu kesepakatan dari perusahaan terhadap kontrol-kontrol mana saja yang disarankan BS 7799:1 (atau sekarang sudah diadopsi menjadi ISO 17799, salah satu standar internasional manajemen kemanan sistem informasi) yang relevan dan dipakai, dan mana yang tidak. Dalam proses sertifikasi BS 7799 ini, pihak auditor akan berpatokan pada SOA yang telah ditetapkan bukan pada keseluruhan kontrol yang direkomendasikan BS 7799.
Kerancuan aktivitas audit dan assessment sering dijumpai pada Request for Proposal (RFP). Beberapa RFP meminta jasa audit yang sebenarnya adalah kegiatan assessment , atau sebaliknya, meminta jasa assessment yang sebenarnya adalah kegiatan audit. Penggunaan kata audit dan assessmentsering dipertukarkan, yang pada esensinya berbeda fungsi dalam manajemen keamanan sistem informasi.
Assessment adalah kegiatan yang dilakukan pada awal proses manajemen keamanan sistem informasi, yang ditujukan untuk mengidentifikasikan risiko-risiko beserta bentuk kontrol yang perlu diadakan untuk mengurangi risiko tersebut. Dalam melakukan assessment , best practices seperti COBIT, maupun ISO 17799 akan sangat berguna dalam memberikan kerangka kerja yang sistematis dan komprehensif. Memang kadang kita sulit membedakan kegiatan audit dan assessment dalam praktik di lapangan, karena ada kegiatan audit yang diawali dengan assessment terlebih dahulu. Atau, hasil temuan audit sering menjadi bahan pertimbangan untuk melakukan re- assessment terhadap kontrol yang ada, sehingga kegiatan audit kelihatannya sebagai kegiatanassessment .
Pada kasus manajer TI perusahaan alat-alat berat di atas, temuan audit tersebut seharusnya dapat menjadi pertimbangan untuk pengadaan kontrol yang lebih baik, ketimbang hanya sekedar menyalahkan prosedur kerja divisi TI. Kontrol yang dapat diadakan untuk kasus ini adalah, misalnya pemisahan sistem atau komputer yang digunakan untuk menjalankan program keuangan tadi terhadap sistem yang lain, sehingga si user mempunyai privilege administrator hanya untuk sistem itu saja, bukan untuk sistem yang lain. Atau jika memungkinkan, dibuatkan suatu mekanisme baru sehingga program tersebut pada saat aktif memiliki privilege sebagai administrator, walaupun dijalankan oleh user yang tidak memiliki privilege administrator.
Referensi :
- Ebizzasia Volume II No 17 – 2004
- http://earief.wordpress.com/2009/01/22/antara-pentest-audit-dan-assessment/