Dokumen tersebut membahas tentang kerangka kerja COBIT 5 untuk keamanan siber, tata kelola, dan audit. COBIT 5 menggunakan 5 prinsip yaitu menemukan kebutuhan stakeholder, mengkaver perusahaan secara end to end, mengaplikasikan kerangka kerja tunggal yang terintegrasi, mengaktifkan pendekatan secara menyeluruh, dan memisahkan tata kelola dan manajemen. COBIT 5 juga membahas area tata kelola dan manaj
3. 5 PRINSIP COBIT 5
Menemukan kebutuhan stakeholder
Mengkaver perusahaan secara end to end
Mengaplikasikan kerangka kerja tunggal yang terintegrasi
Menghidupkan pendekatan secara menyeluruh
Memisahkan tata kelola dan manajemen
5. MENGKAVER PERUSAHAAN SECARA END TO END
Tata Kelola Perusahaan
Tata Kelola IT
Seluruh fungsi, proses,
komponen dan sumber
daya yang menghasilkan
informasi
7. MENGHIDUPKAN PENDEKATAN SECARA MENYELURUH
Enablers
Principles, policies and frameworks
Sebagai kendaraan untuk menerjemahkan tingkah laku organisasi yang diinginkan menjadi
pedoman praktis yang dapat digunakan manajemen sehari – hari
Process
Sekumpulan kebiasaan dan kegiatan yang dilakukan untuk mencapai suatu sasaran dan
menghasilkan keluaran guna mendukung tujuan IT secara keseluruhan
Organisational structures
Kunci penting dalam pemegang keputusan
Culture, ethics and behaviour
Kunci faktor sukses pada tata kelola dan kegiatan manajemen
Information
Sebagai bahan baku untuk menggerakkan organisasi
Sebagai produk yang dihasilkan organisasi
Services, infrastructure and applications
Sebagai penyedia bagi organisasi untuk memproses informasi dan menyediakan layanan
dengan teknologi informasi
People, skills and competencies
Dibutuhkan agar seluruh kegiatan organisasi dapat diselesaikan
13. AREA TATA KELOLA (GOVERNANCE)
Evaluasi,
Arahan dan
Monitor
(Evaluate
Direct
Monitor)
Menjamin pengaturan dan pemeliharaan
pada kerangka kerja tata kelola
Evaluasi sistem tata kelola
Mengarahkan sistem tata kelola
Monitor sistem tata kelola
Menjamin penyampaian manfaat
Evaluasi optimalisasi nilai (value)
Mengarahkan optimalisasi nilai (value)
Memonitor optimalisasi nilai (value)
Menjamin optimalisasi risiko
Evaluasi manajemen risiko
Mengarahkan manajemen risiko
Memonitor manajemen risiko
Menjamin optimalisasi penggunaan
sumber daya
Evaluasi manajemen sumber daya
Mengarahkan manajemen sumber daya
Memonitor manajemen sumber daya
Menjamin transparansi stakeholder
Evaluasi kebutuhan pelaporan bagi stakeholder
Mengarahkan komunikasi dan pelaporan bagi stakeholder
Memonitor komunikasi stakeholder
17. AREA MANAJEMEN
Meluruskan, Merencanakan dan
Mengorganisasi (APO)
•Mengelola manajemen kerangka kerja IT
•Mengelola strategi
•Mengelola arsitektur Enterprise
•Mengelola inovasi
•Mengelola portofolio
•Mengelola anggaran dan biaya
•Mengelola SDM
•Mengelola hubungan
•Mengelola perjanjian layanan
•Mengelola penyedia
•Mengelola kualitas
•Mengelola risiko
•Mengelola keamanan
Membangun, Memperoleh dan
Mengimplementasi (BAI)
•Mengelola program dan proyek
•Mengelola definisi kebutuhan
•Mengelola identifikasi solusi dan
pembangunan
•Mengelola ketersediaan dan kapasitas
•Mengelola pengaktifan perubahan organisasi
•Mengelola perubahan
•Mengelola dukungan perubahan dan transisi
•Mengelola pengetahuan
•Mengelola aset
•Mengelola konfigurasi
Mengirimkan, Melayani dan Mendukung (DSS)
•Mengelola operasi
•Mengelola permintaan layanan dan insiden
•Mengelola masalah
•Mengelola kontinuitas
•Mengelola layanan keamanan
•Melayani kontrol proses bisnis
Memonitor, Mengevaluasi dan Menilai (MEA)
•Memonitor, mengevaluasi dan menilai
performa dan kesesuaian
•Memonitor, mengevaluasi dan menilai kontrol
internal sistem
•Memonitor, mengevaluasi dan menilai
kepatuhan dengan kebutuhan eksternal
18. INTERNAL AUDIT
Sebuah kegiatan mandiri yang terdiri dari kegiatan konsultasi dan
penjaminan yang obyektif .
Kegiatan ini di desain untuk menambah nilai dan meningkatkan
kegiatan operasional organisasi.
Kegiatan ini membantu organisasi untuk menyelesaikan tujuan
dengan cara yang sistematis, pendekatan yang disiplin untuk
mengevaluasi dan meningkatkan efektivitas dari manajemen
risiko, kontrol dan proses dari tata kelola
19. CONTOH INTERNAL AUDIT
Analisis kebutuhan
dasar dan proses
standar untuk IT
1
Implementasi
pengembangan
perangkat lunak dan
aplikasi
2
Perencanaan
prapengembangan
3
Tinjauan sertifikasi
4
Tahap entri dan keluar
pada batu pijakan
(milestones)
5
Tinjauan pasca
implementasi
6
20. KEUNTUNGAN MELAKUKAN INTERNAL AUDIT DENGAN COBIT
Proses kontrol evaluasi dapat dijadikan standar pada lingkungan IT
Analisis perbandingan dari proses sistem manajemen dapat mencakup berbagai macam sistem
Patokan dan standar yang mudah dibawa ke seluruh kegiatan Enterprise
Kegiatan pasca benchmarking dapat mudah tercapai melalui COBIT’s enablers
COBIT dapat dengan mudah dipetakan dengan komponen regulasi yang ada
21. PENDEKATAN PAD2S
PAD2S (Pinpoint, Acclimate,
Delegating/Driving,
Synthesizing)
CCAR (Context, Challenge,
Action, Result)
IDAO (Identify, Determine,
Assign, Orchestrate)
PAD2S merupakan pendekatan yang diusulkan
(Sigler, Ken dan Rainey, James, 2016)
Penggabungan dari dua pendekatan
22. KEAMANAN SIBER, TATA KELOLA, AUDIT DAN KERANGKA KERJA
Initial
• Unpredictable
• Kita tidak bisa menghidupkan server
karena hanya administrator saja yang
punya akses
Managed
• Reactive
• Sistem baik – baik saja selama tidak ada
tiket dan telepon pada helpdesk tidak
berbunyi
Defined
• Proactive
• Berdasarkan data – data yang
dikumpulkan dari sistem monitoring,
sistem baik – baik saja
Quantitatively Measured
• Measured
• Jumlah tiket masalah pada sistem selama
dua minggu meningkat dan waktu
downtime server bertambah
Optimizing
• Improving
• Pimpinan telah mengeluarkan arahan
agar seluruh manajemen mengikuti
kerangka kerja untuk meningkatkan
produktivitas dan efisiensi agar anggaran
dapat dipergunakan secara cermat dan
tepat
Pada akhirnya keamanan siber dapat diukur
dengan melihat kedewasaan dari tata kelola
serta implementasi kerangka kerja yang
digunakan berdasarkan audit internal yang
telah dilakukan