Security Audit & Compliance

📋 Daftar Isi

Pengenalan Security Audit
Proses Audit Keamanan
Vulnerability Assessment
Compliance Frameworks
Reporting & Remediation
Quiz Pemahaman

1. Pengenalan Security Audit

Security Audit adalah evaluasi sistematis dan terstruktur terhadap postur keamanan informasi suatu organisasi. Audit ini menilai sejauh mana kebijakan, prosedur, kontrol teknis, dan praktik keamanan organisasi sesuai dengan standar industri, regulasi, dan best practices. Security audit bukan sekadar "memindai kerentanan" — ini mencakup aspek people (manusia), process (proses), dan technology (teknologi).

Security audit berbeda dari penetration testing. Jika pentest berfokus pada eksploitasi teknis, security audit mencakup gambaran yang lebih luas: apakah kebijakan keamanan ada? Apakah karyawan sudah dilatih? Apakah ada prosedur backup yang teruji? Apakah akses diberikan berdasarkan least privilege? Audit memberikan gambaran komprehensif tentang kesiapan keamanan organisasi.

Jenis-Jenis Security Audit

Jenis	Yang Diaudit	Dilakukan Oleh	Tujuan
Internal Audit	Kontrol keamanan internal organisasi	Tim internal (GRC/InfoSec)	Evaluasi mandiri, persiapan audit eksternal
External Audit	Kepatuhan terhadap standar/regulasi	Firma audit independen (KPMG, Deloitte, EY)	Sertifikasi, regulatory compliance
Compliance Audit	Kepatuhan terhadap regulasi spesifik	Auditor tersertifikasi	PCI-DSS, HIPAA, GDPR, POJK
Technical Audit	Konfigurasi sistem, infrastruktur, kode	Security engineer/consultant	Identifikasi kerentanan teknis
Social Engineering Audit	Kesadaran keamanan karyawan	Red team / consultant	Uji ketahanan terhadap phishing, pretexting
Supply Chain Audit	Keamanan vendor dan pihak ketiga	Tim vendor risk management	Evaluasi risiko dari pihak ketiga

Siapa yang Membutuhkan Security Audit?

Tipe Organisasi	Alasan Audit	Framework yang Umum
Perusahaan Finansial	Regulasi OJK/BI, perlindungan data nasabah	PCI-DSS, ISO 27001, POJK
E-commerce	Perlindungan data pembayaran pelanggan	PCI-DSS, SOC 2
SaaS / Cloud Provider	Kepercayaan pelanggan, enterprise sales	SOC 2, ISO 27001, CSA STAR
Pemerintah	Regulasi keamanan informasi negara	ISO 27001, SNI, Peraturan BSSN
Healthcare	Perlindungan data pasien	HIPAA, ISO 27001
Startup	Due diligence investor, customer trust	SOC 2, ISO 27001

Diagram: Ekosistem Security Audit & Compliance

┌───────────────────────────────────────────────────────┐
│          SECURITY AUDIT ECOSYSTEM                     │
│                                                       │
│  ┌──────────┐    ┌──────────────┐    ┌────────────┐  │
│  │ People   │    │  Process     │    │ Technology │  │
│  │          │    │              │    │            │  │
│  │ Training │    │ Policies     │    │ Firewalls  │  │
│  │ Awareness│    │ Procedures   │    │ SIEM       │  │
│  │ Roles    │    │ Incident Plan│    │ Encryption │  │
│  │ Access   │    │ Backup       │    │ EDR        │  │
│  └────┬─────┘    └──────┬───────┘    └─────┬──────┘  │
│       │                 │                  │          │
│       └─────────────────┼──────────────────┘          │
│                         ▼                             │
│              ┌──────────────────┐                     │
│              │  SECURITY AUDIT  │                     │
│              │  & COMPLIANCE   │                     │
│              └────────┬─────────┘                     │
│                       ▼                               │
│       ┌───────────────┼───────────────┐              │
│       ▼               ▼               ▼              │
│  ┌─────────┐   ┌───────────┐   ┌───────────────┐    │
│  │ ISO     │   │ SOC 2     │   │ PCI-DSS      │    │
│  │ 27001   │   │           │   │              │    │
│  └─────────┘   └───────────┘   └───────────────┘    │
└───────────────────────────────────────────────────────┘

2. Proses Audit Keamanan

Security audit yang profesional mengikuti proses yang terstruktur dan terdokumentasi. Berikut adalah tahapan umum yang dilakukan dalam security audit:

Tahapan Security Audit

Fase	Aktivitas	Durasi	Output
1. Planning & Scoping	Definisikan ruang lingkup, target, metode, timeline	1-2 minggu	Audit plan, scope document
2. Information Gathering	Kumpulkan dokumen kebijakan, arsitektur, asset inventory	1 minggu	Asset register, policy documents
3. Risk Assessment	Identifikasi aset, ancaman, kerentanan, dan dampak	1-2 minggu	Risk register
4. Control Evaluation	Uji efektivitas kontrol keamanan yang ada	2-4 minggu	Control assessment results
5. Technical Testing	Vulnerability assessment, config review, code review	1-3 minggu	Technical findings
6. Analysis & Reporting	Analisis temuan, buat rekomendasi, susun laporan	1-2 minggu	Final audit report
7. Remediation Follow-up	Pantau implementasi rekomendasi	Ongoing	Remediation tracker

Audit Checklist — Control Areas

Text — Security Audit Control Checklist

SECURITY AUDIT CONTROL ASSESSMENT CHECKLIST
=============================================

1. GOVERNANCE & POLICY
   ☐ Information Security Policy — ada, up-to-date, disetujui manajemen
   ☐ Security roles & responsibilities — terdefinisi dengan jelas
   ☐ Risk management framework — proses identifikasi dan mitigasi risiko
   ☐ Security awareness program — training karyawan rutin
   ☐ Acceptable use policy — pedoman penggunaan aset IT
   ☐ Data classification policy — klasifikasi data (public, internal, confidential)

2. ACCESS CONTROL
   ☐ Principle of least privilege — akses minimal yang diperlukan
   ☐ Multi-factor authentication (MFA) — aktif untuk akses kritis
   ☐ Password policy — minimal 12 karakter, kompleksitas, rotasi
   ☐ Account lifecycle management — provisioning & deprovisioning
   ☐ Privileged access management (PAM) — akses admin terkontrol
   ☐ Review akses berkala — quarterly access review
   ☐ Separation of duties — tidak ada satu orang kontrol semua

3. NETWORK SECURITY
   ☐ Firewall rules — reviewed, documented, least privilege
   ☐ Network segmentation — isolasi segment kritis
   ☐ Intrusion Detection/Prevention (IDS/IPS) — aktif dan dimonitor
   ☐ VPN untuk remote access — enkripsi semua koneksi remote
   ☐ Wireless security — WPA3, guest network terpisah
   ☐ DNS security — DNSSEC, DNS filtering
   ☐ DDoS protection — mitigation strategy

4. DATA PROTECTION
   ☐ Encryption at rest — data sensitif dienkripsi di storage
   ☐ Encryption in transit — TLS 1.2+ untuk semua komunikasi
   ☐ Key management — prosedur generate, store, rotate keys
   ☐ Data loss prevention (DLP) — monitor data exfiltration
   ☐ Backup & recovery — 3-2-1 rule, tested restoration
   ☐ Data retention & disposal — policy penghapusan data

5. ENDPOINT SECURITY
   ☐ Endpoint Detection & Response (EDR) — deployed di semua endpoint
   ☐ Patch management — OS dan aplikasi up-to-date
   ☐ Anti-malware — terinstall dan terupdate
   ☐ Device encryption — full disk encryption (BitLocker/FileVault)
   ☐ Mobile device management (MDM) — kontrol perangkat mobile
   ☐ USB/removable media control — pembatasan penggunaan

6. APPLICATION SECURITY
   ☐ Secure SDLC — security di setiap tahap development
   ☐ Code review — static analysis (SAST), dynamic analysis (DAST)
   ☐ Dependency scanning — cek vulnerability di library/package
   ☐ Input validation — semua input user divalidasi
   ☐ Error handling — tidak ekspos informasi internal
   ☐ API security — authentication, rate limiting, input validation

7. INCIDENT RESPONSE
   ☐ IR plan — didokumentasikan, di-test, up-to-date
   ☐ IR team — terbentuk dengan peran jelas
   ☐ Communication plan — siapa yang dihubungi, kapan, bagaimana
   ☐ Logging & monitoring — SIEM aktif, log di-retention minimal 1 tahun
   ☐ Forensic readiness — tools dan prosedur siap
   ☐ Tabletop exercise — dilakukan minimal 2x setahun

8. BUSINESS CONTINUITY
   ☐ Business Continuity Plan (BCP) — didokumentasikan
   ☐ Disaster Recovery Plan (DRP) — prosedur pemulihan
   ☐ RTO/RPO — Recovery Time/Point Objective terdefinisi
   ☐ Backup testing — restore test dilakukan berkala
   ☐ Failover testing — test switching ke DR site

Risk Assessment Matrix

Impact ↓ / Likelihood →	Rendah	Sedang	Tinggi	Sangat Tinggi
Kritis	🟠 Tinggi	🔴 Kritis	🔴 Kritis	🔴 Kritis
Tinggi	🟡 Sedang	🟠 Tinggi	🔴 Kritis	🔴 Kritis
Sedang	🟢 Rendah	🟡 Sedang	🟠 Tinggi	🔴 Kritis
Rendah	🟢 Rendah	🟢 Rendah	🟡 Sedang	🟠 Tinggi

3. Vulnerability Assessment

Vulnerability Assessment adalah proses identifikasi, klasifikasi, dan prioritisasi kerentanan keamanan dalam sistem, jaringan, dan aplikasi. Berbeda dengan penetration testing yang mencoba mengeksploitasi, vulnerability assessment berfokus pada identifikasi dan pelaporan — memberikan gambaran lengkap tentang celah keamanan yang perlu ditutup.

Tahapan Vulnerability Assessment

Bash — Vulnerability Assessment Workflow

# =============================================
# VULNERABILITY ASSESSMENT WORKFLOW
# =============================================

# STEP 1: Asset Discovery — Temukan semua aset di jaringan
nmap -sn 192.168.1.0/24 -oN network_discovery.txt
# Hasil: daftar semua host aktif di jaringan

# STEP 2: Port Scanning — Identifikasi service yang berjalan
nmap -sV -sC -O -p- 192.168.1.0/24 -oA full_port_scan
# Hasil: port terbuka, versi service, OS detection

# STEP 3: Vulnerability Scanning dengan Nmap NSE
nmap --script vuln 192.168.1.0/24 -oA vuln_scan
# Scripts: vuln, exploit, auth, brute

# STEP 4: Vulnerability Scanning dengan Nuclei
# Install nuclei: go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
nuclei -l targets.txt -t cves/ -t vulnerabilities/ -t misconfiguration/ \
  -severity critical,high,medium -o nuclei_results.txt

# STEP 5: Web Application Scanning dengan Nikto
nikto -h https://webapp.target.com -output nikto_report.html
# Mengecek: outdated software, dangerous files, misconfigurations

# STEP 6: SSL/TLS Assessment
testssl.sh https://webapp.target.com
# Cek: cipher suites, certificate validity, protocol support

# STEP 7: Configuration Audit
# CIS Benchmark — Automated dengan Lynis (Linux)
sudo lynis audit system
# Hasil: hardening suggestions berdasarkan CIS benchmarks

# STEP 8: Dependency Scanning (Software Composition Analysis)
# Untuk Node.js project:
npm audit
# Untuk Python:
pip-audit
# Untuk Java (Maven):
dependency-check --project "MyApp" --scan ./src

# STEP 9: Container Security Scanning
trivy image myapp:latest
grype myapp:latest
# Scan Docker image untuk known vulnerabilities

# STEP 10: Cloud Security Posture
# AWS:
prowler aws --compliance cis_2.0
# Azure:
az ad sp create-for-rbac --name security-audit
# Multi-cloud: ScoutSuite
scout aws  # atau scout azure, scout gcp

Vulnerability Severity Rating — CVSS

CVSS (Common Vulnerability Scoring System) adalah standar industri untuk menilai keparahan kerentanan. Skor berkisar dari 0.0 hingga 10.0.

CVSS Score	Severity	Warna	Response Time	Contoh
9.0 - 10.0	Critical	🔴	24 jam	Log4Shell (CVE-2021-44228), EternalBlue
7.0 - 8.9	High	🟠	7 hari	SQL Injection, RCE tanpa autentikasi
4.0 - 6.9	Medium	🟡	30 hari	XSS, CSRF, information disclosure
0.1 - 3.9	Low	🟢	90 hari	Missing headers, verbose errors
0.0	None	⚪	Best practice	Informational findings

💡 Vulnerability Assessment vs Penetration Testing

Vulnerability Assessment bertujuan menemukan sebanyak mungkin kerentanan — breadth over depth. Penetration Testing bertujuan membuktikan dampak eksploitasi — depth over breadth. Keduanya saling melengkapi: vulnerability assessment sebagai rutin (bulanan/quarterly), penetration testing sebagai deep-dive (tahunan atau setelah perubahan signifikan).

4. Compliance Frameworks

Compliance berarti memenuhi persyaratan yang ditetapkan oleh standar, regulasi, atau kerangka kerja keamanan tertentu. Berbagai industri dan negara memiliki regulasi yang berbeda-beda, tetapi banyak yang saling tumpang tindih. Memahami framework ini sangat penting agar organisasi tidak hanya aman secara teknis, tetapi juga memenuhi kewajiban hukum dan regulasi.

ISO/IEC 27001

Aspek	Detail
Apa itu	Standar internasional untuk Information Security Management System (ISMS)
Tujuan	Menyediakan kerangka kerja sistematis untuk mengelola risiko keamanan informasi
Cakupan	114 kontrol keamanan dalam Annex A, mencakup people, process, technology
Proses Sertifikasi	Gap analysis → Implementasi → Stage 1 Audit → Stage 2 Audit → Sertifikasi
Berlaku untuk	Semua jenis dan ukuran organisasi
Masa berlaku	3 tahun dengan surveillance audit tahunan
Diakui oleh	Global — standar ISMS paling diakui di dunia

Perbandingan Framework Compliance

Framework	Industri	Sifat	Fokus Utama	Kontrol
ISO 27001	Semua	Sukarela (standar)	ISMS — manajemen keamanan	114 kontrol Annex A
SOC 2 Type II	Service providers / SaaS	Sukarela (audit)	5 Trust Service Criteria	Custom controls
PCI-DSS v4.0	Pembayaran kartu	Wajib	Protect cardholder data	~300+ requirements
HIPAA	Healthcare (US)	Wajib	Protect health information (PHI)	Administrative, physical, technical
GDPR	Yang memproses data warga EU	Wajib	Data privacy & protection	Privacy by design, rights
NIST CSF	Semua (US)	Sukarela	Cybersecurity framework	5 functions: ID, PR, DE, RS, RC
CIS Controls v8	Semua	Sukarela	Prioritized security controls	18 control groups

ISO 27001 Implementation Roadmap

Text — ISO 27001 Implementation Roadmap

ISO 27001 IMPLEMENTATION ROADMAP
==================================

PHASE 1: PREPARATION (Bulan 1-2)
─────────────────────────────────
☐ Dapatkan commitment manajemen (top management support)
☐ Tentukan scope ISMS — unit bisnis mana yang dicakup
☐ Bentuk tim implementasi ISMS
☐ Gap analysis — bandingkan kondisi saat ini dengan ISO 27001
☐ Buat project plan dengan timeline dan milestone

PHASE 2: RISK ASSESSMENT (Bulan 2-4)
────────────────────────────────────
☐ Buat asset inventory — identifikasi semua aset informasi
☐ Identifikasi ancaman dan kerentanan untuk setiap aset
☐ Hitung risiko: Risk = Likelihood × Impact
☐ Tentukan risk treatment plan: mitigate, accept, transfer, avoid
☐ Buat Statement of Applicability (SoA) — kontrol mana yang diterapkan

PHASE 3: IMPLEMENTATION (Bulan 4-8)
──────────────────────────────────
☐ Kembangkan kebijakan keamanan informasi
☐ Implementasikan kontrol dari Annex A yang dipilih:
  - A.5: Organizational controls (policies, roles, segregation)
  - A.6: People controls (training, screening, NDAs)
  - A.7: Physical controls (physical security, equipment)
  - A.8: Technology controls (access control, crypto, logging)
☐ Bangun awareness program untuk semua karyawan
☐ Implementasikan incident management process
☐ Setup monitoring, logging, dan internal audit process

PHASE 4: INTERNAL AUDIT & REVIEW (Bulan 8-10)
──────────────────────────────────────────────
☐ Lakukan internal audit — apakah kontrol berjalan efektif?
☐ Management review — evaluasi efektivitas ISMS
☐ Perbaiki temuan dari internal audit (corrective actions)
☐ Pastikan semua dokumentasi lengkap dan up-to-date

PHASE 5: CERTIFICATION AUDIT (Bulan 10-12)
──────────────────────────────────────────
☐ Pilih certification body (accredited registrar)
☐ Stage 1 Audit (Documentation Review):
   - Auditor meninjau dokumentasi ISMS
   - Identifikasi area yang perlu perbaikan
☐ Stage 2 Audit (Implementation Audit):
   - Auditor memverifikasi implementasi di lapangan
   - Wawancara karyawan, cek evidence
   - Temukan ketidaksesuaian (non-conformities)
☐ Corrective actions untuk temuan auditor
☐ Sertifikasi diterbitkan! 🎉

PHASE 6: CONTINUOUS IMPROVEMENT (Ongoing)
────────────────────────────────────────
☐ Surveillance audit tahunan (setiap 12 bulan)
☐ Perbaikan berkelanjutan (PDCA cycle)
☐ Re-certification audit di tahun ke-3
☐ Update ISMS sesuai perubahan bisnis dan ancaman

SOC 2 — 5 Trust Service Criteria

Kriteria	Deskripsi	Contoh Kontrol
🔒 Security	Sistem dilindungi dari akses tidak sah	Firewall, MFA, encryption, security monitoring
⚡ Availability	Sistem tersedia untuk dioperasikan	Uptime SLA, DDoS protection, DR plan, monitoring
🔄 Processing Integrity	Processing data lengkap, valid, dan akurat	Input validation, error handling, QA testing
🔒 Confidentiality	Data rahasia dilindungi sesuai komitmen	Encryption, access control, data classification
🔐 Privacy	Data pribadi ditangani sesuai kebijakan privasi	Consent management, data retention, deletion policy

5. Reporting & Remediation

Laporan audit yang baik adalah jembatan antara temuan teknis dan aksi perbaikan. Tanpa laporan yang jelas dan actionable, temuan audit hanya menjadi "kertas kosong" yang tidak menghasilkan perubahan. Laporan harus bisa dipahami oleh berbagai audiens: dari tim teknis yang akan melakukan perbaikan, hingga manajemen C-level yang perlu membuat keputusan strategis.

Struktur Laporan Security Audit

Text — Template Laporan Security Audit

LAPORAN SECURITY AUDIT
=======================

BAGIAN 1: EXECUTIVE SUMMARY (Untuk Manajemen C-Level)
─────────────────────────────────────────────────────

Ringkasan Eksekutif:
  - Total area yang diaudit: 8 kontrol domain
  - Total temuan: 47 finding
  - Status keseluruhan: PERLU PERBAIKAN SIGNIFIKAN

Temuan per Severity:
  🔴 Critical: 3  (harus diselesaikan dalam 30 hari)
  🟠 High:     8  (harus diselesaikan dalam 60 hari)
  🟡 Medium:  15  (harus diselesaikan dalam 90 hari)
  🟢 Low:     12  (rekomendasi perbaikan)
  ⚪ Info:     9  (observasi dan best practices)

Top 3 Risiko:
  1. [CRITICAL] Tidak ada MFA untuk akses VPN — risiko credential theft
  2. [CRITICAL] Backup tidak pernah di-test — risiko data loss
  3. [HIGH] Tidak ada security awareness training — risiko phishing success

BAGIAN 2: SCOPE & METHODOLOGY
──────────────────────────────
  - Ruang lingkup: Divisi IT, infrastruktur jaringan, aplikasi web
  - Framework acuan: ISO 27001:2022 Annex A, CIS Controls v8
  - Metode: Document review, interview, technical testing, configuration audit
  - Tanggal audit: 1-15 Juli 2026
  - Auditor: Tim Security BeebaneLabs

BAGIAN 3: DETAILED FINDINGS
──────────────────────────

Finding #001: Tidak Ada Multi-Factor Authentication (MFA) pada VPN
  Severity   : CRITICAL
  Control    : A.8.5 — Secure Authentication
  Status     : NON-COMPLIANT

  Deskripsi:
    Saat ini, akses VPN ke jaringan perusahaan hanya menggunakan
    username dan password. Tidak ada faktor autentikasi kedua.

  Evidence:
    - Screenshot konfigurasi VPN (FortiGate) — MFA tidak aktif
    - Interview dengan IT Manager — mengkonfirmasi belum ada MFA
    - Log VPN menunjukkan 100% login hanya password-based

  Risiko:
    Jika credential karyawan bocor (phishing, credential stuffing),
    attacker bisa langsung masuk ke jaringan internal perusahaan.

  Rekomendasi:
    1. Implementasikan MFA untuk semua akses VPN (prioritas: admin)
    2. Gunakan authenticator app (Google Authenticator, Microsoft Auth)
    3. Hindari SMS-based MFA (vulnerable ke SIM swapping)
    4. Target: selesai dalam 30 hari

Finding #002: Backup Tidak Pernah Di-test Restore
  Severity   : CRITICAL
  Control    : A.8.13 — Information Backup
  Status     : NON-COMPLIANT
  ... (dst)

BAGIAN 4: COMPLIANCE GAP ANALYSIS
────────────────────────────────
  ┌────────────────┬────────────┬───────────┬───────────┐
  │ ISO 27001 Ctrl │ Description│ Status    │ Gap       │
  ├────────────────┼────────────┼───────────┼───────────┤
  │ A.5.1          │ Policies   │ ✅ Comply │ -         │
  │ A.5.23         │ Cloud      │ ⚠️ Partial│ Missing   │
  │ A.8.5          │ MFA        │ ❌ Gap    │ No MFA    │
  │ A.8.13         │ Backup     │ ❌ Gap    │ Untested  │
  └────────────────┴────────────┴───────────┴───────────┘

BAGIAN 5: REMEDIATION ROADMAP
─────────────────────────────
  ┌────────────┬────────────────────────────────────────┐
  │ Timeline   │ Actions                                │
  ├────────────┼────────────────────────────────────────┤
  │ 30 hari    │ Implement MFA, Test backup, Patch CVSS │
  │            │ ≥9.0 vulnerabilities                   │
  │ 60 hari    │ Implement SIEM, Security awareness     │
  │            │ training, Network segmentation         │
  │ 90 hari    │ Update all policies, Implement PAM,    │
  │            │ DLP deployment, Code review process    │
  └────────────┴────────────────────────────────────────┘

Remediation Tracking

Text — Remediation Tracker Template

REMEDIATION TRACKER
===================

┌─────┬────────────────┬──────────┬────────┬───────────┬──────────┬───────────┐
│ ID  │ Finding        │ Severity │ Owner  │ Deadline  │ Status   │ Evidence  │
├─────┼────────────────┼──────────┼────────┼───────────┼──────────┼───────────┤
│ R01 │ VPN MFA        │ Critical │ IT Ops │ 30 Jul    │ 🟡 In    │ Ticket    │
│     │                │          │        │           │ Progress │ #1234     │
├─────┼────────────────┼──────────┼────────┼───────────┼──────────┼───────────┤
│ R02 │ Backup Testing │ Critical │ DBA    │ 30 Jul    │ 🔴 Not   │ -         │
│     │                │          │        │           │ Started  │           │
├─────┼────────────────┼──────────┼────────┼───────────┼──────────┼───────────┤
│ R03 │ Security       │ High     │ HR +   │ 15 Aug    │ 🟡 In    │ LMS       │
│     │ Training       │          │ InfoSec│           │ Progress │ setup     │
├─────┼────────────────┼──────────┼────────┼───────────┼──────────┼───────────┤
│ R04 │ SIEM Deploy    │ High     │ SOC    │ 30 Aug    │ 🔴 Not   │ -         │
│     │                │          │        │           │ Started  │           │
├─────┼────────────────┼──────────┼────────┼───────────┼──────────┼───────────┤
│ R05 │ Patch MS17-010 │ Critical │ IT Ops │ 30 Jul    │ ✅ Done  │ Scan      │
│     │                │          │        │           │          │ report    │
└─────┴────────────────┴──────────┴────────┴───────────┴──────────┴───────────┘

Status Legend:
  🔴 Not Started — Belum ada aksi
  🟡 In Progress — Sedang dikerjakan
  🟢 Done — Selesai, menunggu verifikasi
  ✅ Verified — Sudah di-verify oleh auditor
  ⚫ Accepted — Risiko diterima oleh manajemen (dengan dokumentasi)

⚠️ Common Audit Pitfalls

Audit tanpa follow-up — Temuan tidak ditindaklanjuti, hanya jadi "kertas"
Compliance ≠ Security — Bisa compliant tapi tetap tidak aman (check-box mentality)
Tidak ada accountability — Tidak jelas siapa yang bertanggung jawab atas remediation
Scope terlalu sempit — Tidak mencakup cloud, remote workers, atau supply chain
Audit hanya setahun sekali — Keamanan harus continuous, bukan point-in-time
Mengabaikan temuan "low" — Banyak low findings yang bisa menjadi attack chain

💡 Tools untuk GRC (Governance, Risk, Compliance)

Open Source: Open-AudIT, Faraday, DefectDojo, ArcherySec
Commercial: ServiceNow GRC, OneTrust, LogicGate, Drata, Vanta
Free/Premium: SecurityScorecard (free tier), UpGuard
Cloud-native: AWS Security Hub, Azure Security Center, GCP Security Command Center

6. Quiz: Uji Pemahamanmu!

Setelah membaca tutorial di atas, jawablah 5 pertanyaan berikut untuk menguji pemahamanmu tentang Security Audit & Compliance:

Pertanyaan 1: Apa perbedaan utama antara security audit dan penetration testing?

a) Tidak ada perbedaan, keduanya sama

b) Security audit mencakup evaluasi people, process, technology secara komprehensif; pentest fokus pada eksploitasi teknis

c) Penetration testing lebih luas dari security audit

d) Security audit hanya untuk perusahaan besar

Pertanyaan 2: Framework apa yang menjadi standar internasional untuk Information Security Management System (ISMS)?

a) PCI-DSS

b) SOC 2

c) ISO/IEC 27001

d) HIPAA

Pertanyaan 3: Apa yang dimaksud dengan CVSS score 9.5?

a) Kerentanan berseverity rendah

b) Kerentanan berseverity sedang

c) Kerentanan berseverity critical

d) Kerentanan berseverity informational

Pertanyaan 4: Berapa fase dalam ISO 27001 Stage 1 Certification Audit?

a) 1 stage — langsung implementasi

b) 2 stages — Stage 1 (Documentation) dan Stage 2 (Implementation)

c) 3 stages — Planning, Testing, Certification

d) Tidak ada stage — langsung disertifikasi

Pertanyaan 5: Apa 5 Trust Service Criteria dalam SOC 2?

a) Security, Availability, Processing Integrity, Confidentiality, Privacy

b) Security, Speed, Reliability, Cost, Performance

c) Authentication, Authorization, Encryption, Logging, Monitoring

d) Governance, Risk, Compliance, Audit, Reporting