Cloud Computing

Pengertian dari Cloud Computing

Cloud Computing adalah suatu istilah yang banyak digunakan oleh Industi IT yang memiliki arti yang berbeda bagi setiap orang. Namun pada intinya Cloud Computing adalah suatu pergeseran dari perusahaan dalam membeli dan memelihara server dan aplikasi on-premise yang mahal, dan bergerak menuju metode penyewaan IT, sesuai dengan kebutuhan, dari satu penyedia layanan publik.

Cloud Computing adalah suatu istilah yang banyak digunakan oleh Industi IT yang memiliki arti yang berbeda bagi setiap orang. Namun pada intinya cloud computing adalah suatu pergeseran dari perusahaan dalam membeli dan memelihara server dan aplikasi on-premise yang mahal, dan bergerak menuju metode penyewaan IT, sesuai dengan kebutuhan, dari penyedia layanan public cloud.

Hanya dalam beberapa tahun terakhir hal ini telah menjadi layak dan masuk akal bagi perusahaan untuk memindahkan teknologi mereka ke sebuah pusat data yang dikelola secara profesional oleh pihak luar. Perubahan ini telah didorong oleh mulai tersedianya Internet berkecepatan tinggi yang tidak hanya tersedia di kantor Anda, tetapi juga di rumah, di warung kopi dan di mana saja anda dapat melakukan penerimaan sinyal telepon seluler. Kenyataan ini telah memungkinkan terjadinya konsolidasi yang revolusioner.

Alasan ekonomi yang menjadi pendorong di belakang konsolidasi ini adalah penghematan biaya yang signifikan dan pengurangan risiko yang diterima oleh perusahaan ketika mereka memusatkan sumber daya teknologi mereka di sebuah pusat data yang dikelola secara profesional oleh pihak luar. Penyedia layanan publik dapat mengimplementasikan keamanan industri yang paling canggih dan proses ketersediaan yang tinggi serta menawarkan pemantauan dan pemeliharaan server 24x7.

Biaya teknologi yang lebih rendah karena penyedia layanan public dapat berbagi sumber daya teknologi dan melakukan pembelian perangkat keras dan perangkat lunak dalam jumlah besar untuk Anda. Saat ini, dengan biaya lebih murah perusahaan dapat mendapatkan perangkat lunak terbaru maupun ketersediaan sistem yang tinggi yang dulunya hanya bisa dijangkau oleh perusahaan besar.

Bagaimana cara mengadopsi Cloud Computing?

Ada dua pendekatan umum untuk mengadopsi Cloud Computing; pendekatan tradisional dengan melakukan pengembangan dari waktu ke waktu, atau pendekatan langsung dengan migrasi langsung dari sistem yang berjalan dipublic cloud.

Dimulai dengan pendekatan tradisional ...

Pendekatan tradisional adalah pendekatan di mana anda melakukan transformasi secara bertahap, dengan setiap tahap adalah pengembangan dari tahap sebelumnya. Langkah pertama adalah mengadopsi teknologi virtualisasi server (VMware, Hyper-V dll) dan menggunakannya di seluruh platform perangkat keras yang dibeli dengan spesifikasi khusus; langkah berikutnya adalah mengadopsi layer manajemen dan otomatisasi yang memungkinkan anda untuk meningkatkan pemanfaatan investasi dari infrastruktur dan mulai memberikan layanan yang lebih konsisten; selanjutnya mengadopsi kerangka IT Service Management yang baru, mengotomatisasi permintaan layanan dan proses provisioning, dan menerapkan sebuah mekanisme tagihan internal (chargeback); kemudian setelah platform berjalan dengan stabil, mulailah menggunakan layanan dari provider luar dan melakukan penggabungan platform internal dan eksternal menjadi satu platform (hybrid cloud); akhirnya, ketika tiba saat membuat keputusan bisnis yang tak terelakkan untuk menggunakan layanan IT dari pihak luar, penggunaan sumber daya internal akan dihapuskan karena semua layanan bisa didapatkan dari penyedia layanan public cloud.

Umumnya pendekatan tradisional ini dianggap sebagai pendekatan dengan memilki tingkat risiko lebih rendah dalam mengadopsi cloud, namun pendekatan ini umumnya akan menemui resistensi terbesar dari tim IT yang berusaha menolak perubahan. Selain itu ada risiko lain yang muncul apabila pembelian terjadi perangkat keras yang tidak tepat akibat usaha untuk meminimalkan risiko keuangan melalui "memulai kecil" dan pengembangan saat bisnis mulai berkembang; tetapi kemudian terbebani oleh investasi yang tidak dapat dihilangkan dan harus dipertahankan dengan beban yang disesuaikan dengan kapasitasnya.

Sekarang, pendekatan langsung ...

Dalam pendekatan ini, seluruh investasi awal (CapEx) dihindari, dan sebaliknya, aplikasi internal/server tradisional yang ada dipindahkan langsung ke penyedia layanan public cloud dengan sistem sewa (OpEx). Sebagai langkah awal, seluruh aplikasi yang ada dicoba untuk dipindahkan ke layanan Software as a Service (SaaS) yang memiliki fitur yang sama, tapi jika tidak memungkinkan, seluruh server fisik beserta isinya disalin dan dipindahkan ke dalam lingkungan Infrastructure as a Service (IaaS) tanpa memberikan dampak kepada pengguna/user (umumnya bahkan mereka tidak akan sadar bahwa server telah berpindah).

Pendekatan langsung ini memiliki keuntungan yang cukup banyak, terutama meminimalkan investasi yang cukup besar di awal, juga memiliki beberapa kelemahan, dibutuhkan penerapan segera tagihan internal/penggantian biaya, dan memiliki strategi pendanaan IT yang dapat mengakomodasi perubahan dalam biaya operasional.

Walaupun ada anggapan bahwa pendekatan tradisional saat ini dianggap memiliki risiko terendah, namun sebenarnya pendekatan langsunglah yang memiliki risiko terendah; ini dikarenakan adanya dua sistem yang berjalan secara aralel; sistem lama tetap beroperasi pada platform internal, dan sistem baru yang berjalan pada platform public cloud hingga saat yang tepat setelah dilakukan pengujian dan kemudian melakukan pemadaman platform internal.

IndonesianCloud menyadari bahwa memulai transformasi ke cloud dapat menjadi sesuatu hal yang membingungkan bagi banyak perusahaan, untuk itu, untuk membantu mengenali hal-hal yang dibutuhkan, dan menentukan jalur mana yang harus ditempuh, kami menawarkan serangkaian layanan konsultasi khusus yang ditargetkan untuk menganalisa beban kerja internal dan menentukan profil risiko serta kesesuaian dalam memilih platform berbasis cloud.

Anda dapat melakukan survei "Cloud readiness" yang sederhana (layanan dari VMware) dengan mengikuti link berikut: http://getcloudready.vmware.com/crsa/

Gambar di bawah adalah representasi grafis dari dua jalur yang berbeda dalam mengadopsi cloud computing; Rute 1 adalah pendekatan tradisional (jalur biasa), dan Rute 2 merupakan rute langsung (bebas hambatan) menuju public cloud.

Sumber :

http://id.wikipedia.org/wiki/Komputasi_awan

http://indonesiancloud.com/id/content/cloud-computing

Postest Manajemen Kontrol Keamanan

Langkah- langkah pelaksanaak program keamanan:

·         Persiapan Rencana Pekerjaan (Preparation of a Project Plan)

Perencanaan proyek untuk tinjaun kemanan mengikuti item sbb :   

a.       Tujuan Review

b.       Ruang Lingkup (Scope) Review

c.       Tugas yang harus dipenuhi

d.      Organisasi dari Tim Proyek

e.       Sumber Anggaran (Pendanaan) dan

f.       Jadwal untuk Menyelesaikan Tugas

·         Identifikasi Kekayaan (Identification of asset)

Katagori asset :

a.       Personnel (end users, analyst, programmers, operators, clerks, Guards)

b.      Hardware (Mainfarme, minicomputer, microcomputer, disk, printer,

communication lines, concentrator, terminal)

c.       Fasilitas (Furniture, office space, computer rrom, tape storage rack)

d.       Dokumentasi (System and program doc.,database doc.,standards plans, insurance

policies, contracts)

e.       Persediaan (Negotiable instrument, preprinted forms, paper, tapes, cassettes)

f.       Data/Informasi (Master files, transaction files, archival files)

g.      Software Aplikasi (Debtors, creditors, payroll, bill-of-materials, sales, inventory)

h.       Sistem Software (Compi lers, utilities, DBMS, OS, Communication Software,

Spreadsheets)

·         Penilaian Kekayaan (Valuation of asset)

Langkah ke tiga adalah penilaian kekayaan, yang merupakan langkah paling sulit. Parker (1981) menggambarkan ketergantungan penilaian pada siapa yang ditanya untuk

memberikan penilaian, cara penilaian atas kekayaan yang hilang (lost), waktu periode

untuk perhitungan atas hilangnya kekayaan, dan umur asset. Lihat gbr. 6.3

·         Identifikasi Ancaman-ancaman (Threats Identification)

Sumber ancaman External :

a.       Nature / Acts of God

b.       H/W Suppliers

c.        S/W Suppliers

d.      Contractors

e.       Other Resource Suppliers

f.       Competitors (sabotage, espionage, lawsuits, financial distress through fair  or unfair competition)

g.      Debt and Equity Holders

h.      Unions (strikes, sabotage,harassment)

i.         Governmnets

j.        Environmentalist (Harassment (gangguan), unfavorable publicity)

k.      Criminals/hackers (theft, sabotage, espionage, extortion)

Sumber ancaman Internal :

1.      Management, contoh kesalahan dalam penyediaan sumber daya, perencanaan dan control yang tidak cukup.

2.      Employee, contoh Errors, Theft (pencurian), Fraud (penipuan), sabotase, extortion (pemerasan), improper use of service (penggunaan layanan yg tidak sah)

3.      Unreliable system, contoh Kesalahan H/W, kesalahan S/W, kesalahan fasilitas.

·         Penilaian Kemungkinan Ancaman (Threats LikeIihood Assessment)

Contoh, perusahaan asuransi dapat menyediakan informasi tentang kemungkinan terjadinya kebakaran api dalam satu waktu periode tertentu. Analisis Ekspose (Exposures analysis). Tahap analisis ekspose terdiri dari 4 tugas yaitu :

1.    Identification of the controls in place

2.    Assessment of the reliability of the controls in place

3.    Evaluation of the likelihood that a threat incident will be successful

4.    Assess the resulting loss if the threat is successful

Sumber :

http://fitriintan.blogspot.com/2013/11/postest-manajemen-keamanan-kontrol.html

http://heniattabi.wordpress.com/2012/01/07/manajemen-kontrol-keamanan-security-management-controls/

Pre-Test Manajemen Kontrol Keamanan (Analisis Kinerja Sistem)

Kasus : Untuk mengamankan suatu Sistem Informasi, menurut anda apa saja yang perlu dilindungi?

Pembahasan :

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:

Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi

Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

Sumber :
http://misszanindya.blogspot.com/2013/11/pre-test-manajemen-kontrol-keamanan.html
http://wwwmikaelpaul.blogspot.com/2011/11/pentingnya-manajemen-kontrol-keamanan.html

Profesi sebagai IS/IT Auditor

Pekerjaan sebagai seorang IS Auditor cocok untuk mereka yang selalu ingin belajar, karena memang mengharuskan untuk memahami berbagai jenis proses bisnis dari beragam industri, selain itu juga harus mengerti implementasi TI untuk setiap proses bisnis. Mengerti kedua hal tersebut penting karena tugas IS Auditor memastikan semua risiko sudah diantisipasi oleh penggunaan control yang efektif.

Banyak hal menarik yang bisa didapatkan oleh IS Auditor dalam pekerjaannya sehari-hari yang belum tentu dapat dilakukan oleh banyak profesi lainnya, seperti misalkan untuk mendapatkan akses ke setiap lingkungan IT yang ada di setiap organisasi. Namun hal tersebut juga diiringi dengan tanggung jawab yang besar, karena dengan menjadi IS Auditor kita dapat mengetahui kelebihan dan kekurangan dari system yang digunakan oleh perusahaan/organisasi yang kita audit (auditee).
Seorang IS Auditor sebetulnya cukup terbuka untuk melakukan fraud tetapi pada dasarnya seorang IS Auditor professional tidak akan melakukan hal yang tidak etis karena naturenya seorang IS Auditor pasti selalu tergerak untuk berusaha mengendalikan dan mengamankan system IT sebuah organisasi.
Berdasarkan sharing knowledge dari seorang Senior IS Auditor di sebuah bank swasta terkemuka di Indonesia, untuk menjadi seorang IS Auditor khususnya Internal IS Auditor di Bank di perlukan 3 knowledge yang harus terus menerus dimiliki dan diasah, yaitu:
1. Banking Operation
2. IT System
3. Human Relation/Soft Skill
Ketiga hal tersebut harus dimiliki oleh IS Auditor karena dalam pekerjaannya sehari-hari sangat-sangat membutuhkan keseimbangan 3 hal tersebut. So, bagi kalian semua mahasiswa/I School of Information Systems, mulailah sedari dini, sedari semester awal sudah harus bisa menentukan ingin berprofesi apa kalian kedepannya. Tenang saja, ada banyak pilihan profesi yang bisa digeluti oleh kalian di bidang system informasi. Dari mulai Profesi sebagai seorang Sistem Analis, Bisnis Analis, Project Manajer sampai dengan IS Auditor.
Kemudian, bagaimana cara memahami Proses Bisnis di dalam sebuah organisasi ? School of IS membekali para mahasiswanya dengan memberikan matakuliah-matakuliah yang mempelajari proses bisnis dan juga membekali para mahasiswa dalam memahami IT System dengan membekali mahasiswa matakuliah-matakuliah seperti Konsep SIstem Informasi, Analisa dan Perancangan sistem Informasi, Programming dan lainnya. Kemudian untuk membekali mahasiswa yang spesifik ingin menjadi seorang professional IS Auditor, untuk mereka yang memilih program IS Audit mendapatkan matakuliah-matakuliah yang dirancang sesuai dengan kurikulum Asosiasi IS Auditor seluruh dunia (www.isaca.org) yaitu seperti: IS Audit Fundamental dan Advance, IS Control, IT Governance, Business Continuity and Disaster Recovery, dan lainnya. Kemudian untuk mempertajam lagi kemampuan mahasiswa di bidang human relation atau soft skill, beberapa matakuliah menerapkan penilaian EES (Employability and Entrepreneurial Skill) dimana mahasiswa dalam proses pembelajarannya tidak hanya dinilai berdasarkan kemampuan teknis nya saja namun juga bagaimana mereka mampu melakukan kerjasama dengan rekan-rekannya di kelas. Hal ini bertujuan untuk lebih melatih lagi kemampuan soft skill mereka ketika sudah berada di dunia kerja nantinya.

Sumber :
http://sis.binus.ac.id/2012/12/04/profesi-sebagai-isit-auditor/
http://www.itinfopoint.com/post/122/it-audit-steps-/