Banyak organisasi merasa sudah aman karena memiliki dokumen kebijakan keamanan informasi yang lengkap, namun tetap saja mendapatkan temuan mayor saat pelaksanaan audit layanan IT.
Hal ini sering terjadi karena tim hanya fokus pada pemenuhan dokumen administratif dan mengabaikan pembuktian teknis pada infrastruktur awan. Padahal, menurut laporan terbaru, biaya rata-rata kebocoran data kini mencapai angka $4,88 juta per setiap gangguan keamanan.
Melalui standar ISO 27001:2022, auditor kini lebih jeli dalam memeriksa bagaimana perusahaan mengelola kontrol di Annex A yang telah diperbarui untuk menghadapi tantangan digital saat ini.
Daftar Isi
Kenapa Audit Cloud Berbeda dari Audit IT Biasa?
Audit pada layanan cloud berbeda karena adanya pembagian tanggung jawab keamanan yang harus dipahami secara mendalam agar tidak terjadi celah perlindungan data antara penyedia dan pengguna.
Perbedaan utama terletak pada Shared Responsibility Model di mana auditor akan memastikan bahwa organisasi tidak mengabaikan konfigurasi sisi pelanggan seperti pengaturan hak akses serta enkripsi data.
Jika pada sistem fisik tim internal mengendalikan seluruh perangkat, maka pada sistem awan, auditor mencari bukti bahwa Anda telah menutup setiap potensi celah tanggung jawab tersebut secara mandiri.
Apakah tim teknologi di kantor sudah memetakan dengan jelas mana bagian yang menjadi tugas vendor dan mana yang menjadi tugas internal?
Tanpa dokumentasi pembagian ini, auditor akan menganggap organisasi tidak memahami risiko yang dihadapi.
Hal ini sering berujung pada temuan bahwa perusahaan terlalu mengandalkan penyedia tanpa melakukan pengawasan teknis yang memadai untuk melindungi data sensitif.
Baca juga: Prinsip ISO 27001 Keamanan Informasi Ada 3, Apa Saja?
Kontrol Teknis Utama yang Diaudit: Annex A 5.23
Pemeriksaan pada bagian ini bertujuan untuk memastikan setiap layanan pihak ketiga yang digunakan telah melalui proses seleksi dan pengawasan yang ketat agar tidak membahayakan keamanan informasi organisasi.
Auditor ingin melihat bukti nyata bahwa manajemen memiliki kendali penuh terhadap seluruh siklus penggunaan layanan tersebut, mulai dari tahap awal kerja sama hingga rencana pengakhiran kontrak jika diperlukan kelak.
Berikut perkiraan rincian teknis audit layanan IT:
- Cloud Register ISO 27001: Auditor akan meminta daftar inventaris semua layanan awan (SaaS, IaaS, PaaS) yang sedang digunakan beserta penanggung jawab internalnya. Auditor mungkin bertanya: “Tunjukkan daftar seluruh layanan yang aktif saat ini, siapa yang bertanggung jawab memantau keamanannya?”
- Vetting dan Due Diligence: Organisasi wajib melakukan tinjauan terhadap laporan audit pihak ketiga milik penyedia, seperti laporan SOC 2 Type II. Celah yang sering ditemukan adalah kurangnya evaluasi terhadap sertifikat keamanan vendor saat proses pemilihan penyedia layanan dilakukan.
- Cloud Service Agreement: Kontrak kerja sama wajib mencantumkan secara gamblang mengenai kewajiban keamanan, hak untuk melakukan audit, serta batas waktu laporan jika terjadi gangguan keamanan data.
- Exit Strategy Cloud: Perusahaan harus memiliki prosedur tertulis mengenai cara mengambil kembali data jika kontrak berakhir. Hal ini meliputi format pengambilan data serta bukti bahwa data telah dihapus secara bersih dari sistem cadangan milik penyedia.
Aspek Teknis Audit Layanan IT Lainnya yang Tidak Boleh Terlewat
Penerapan kontrol keamanan harus dibuktikan melalui rekaman aktivitas yang menunjukkan bahwa sistem pemantauan dan perlindungan bekerja secara aktif setiap hari di lingkungan digital organisasi.
Auditor tidak hanya ingin melihat alat keamanan terpasang, tetapi mereka mencari bukti bahwa ada proses manual dan tindakan nyata yang diambil oleh tim keamanan saat muncul peringatan bahaya dari sistem tersebut.
Penjelasannya bisa disimak di bawah:
IAM Audit Keamanan Informasi: Pemeriksaan fokus pada penerapan prinsip akses minimum bagi setiap pengguna. Auditor akan mengecek penggunaan otentikasi ganda pada setiap akses ke layanan yang dianggap menentukan bagi keberlanjutan operasional.
Logging dan Monitoring: Alat seperti CloudTrail, Config, atau Security Hub sangat membantu dalam mengumpulkan bukti teknis. Namun, auditor tetap membutuhkan catatan bahwa tim melakukan tinjauan manual secara berkala terhadap log tersebut dan menindaklanjuti setiap anomali yang ditemukan.
Vulnerability Assessment: Organisasi wajib melakukan pemindaian kelemahan secara rutin, minimal setiap kuartal, menggunakan perangkat pemindai otomatis seperti Nessus atau OpenVAS. Hasil pemeriksaan teknis ini harus didokumentasikan lengkap dengan catatan perbaikan yang sudah dieksekusi agar auditor melihat adanya siklus penanganan risiko yang aktif.
Manajemen Peristiwa Keamanan: Prosedur tanggap darurat harus mencakup skenario yang spesifik, seperti akses tidak sah ke ruang penyimpanan data atau kebocoran kunci akses aplikasi yang bisa berakibat fatal.
Baca juga: Ketahui Istilah Security Testing yang Diimplementasikan Pada ISO 27001
Kesalahan Teknis Paling Umum yang Berujung Temuan Auditor
Kesalahan dalam mengelola detail teknis sering kali menjadi penyebab utama mengapa sebuah organisasi dianggap belum memenuhi kriteria keamanan informasi yang dipersyaratkan oleh pihak eksternal.
Kami sering menemukan bahwa banyak tim TI yang merasa sudah aman hanya dengan menggunakan pengaturan standar tanpa melakukan penyesuaian lebih lanjut. Berikut adalah lima kesalahan yang paling sering muncul dalam audit layanan IT:
- Tidak memiliki daftar layanan yang diperbarui secara rutin, sehingga banyak layanan luar digunakan tanpa sepengetahuan tim keamanan.
- Pengaturan awal dari penyedia layanan tidak diubah, padahal sering kali pengaturan tersebut masih sangat terbuka dan rawan serangan.
- Tidak ada bukti tinjauan berkala terhadap laporan kepatuhan tahunan dari penyedia layanan awan yang digunakan.
- Strategi pengakhiran layanan atau exit strategy cloud hanya ada di dalam ingatan tim dan tidak tertuang dalam dokumen resmi yang sah.
- Sistem pemantauan aktif namun tidak ada laporan mengenai tindak lanjut terhadap setiap peringatan atau alarm keamanan yang muncul di dasbor.
Rekomendasi Persiapan Audit Layanan IT ISO 27001
Pelaksanaan audit layanan IT dalam kerangka SMKI cloud sebenarnya bukan tentang menumpuk dokumen saja, melainkan tentang bagaimana organisasi membuktikan kendali teknis dengan bukti yang nyata.
Standar ISO 27001 dirancang agar perusahaan menjadi lebih sadar akan risiko dan secara proaktif mampu menangani kelemahan sebelum menjadi masalah besar.
Jika Anda ingin memastikan setiap kontrol keamanan di tempat kerja sudah sesuai, tim jasa sertifikasi ISO 27001 di Jasaiso.id siap mendampingi proses evaluasi tersebut melalui nomor 081213473366 agar organisasi Anda lebih siap menghadapi audit eksternal.