IT Audit Devops terkait Segregation of Duties #935
Description
Halo kang, mungkin ini pertanyaan agak berbeda dari yang lain. Mau nanya dari POV manajemen resiko dan IT general control akibat pengimplementasian devops pada proses change management.
kalau kita lihat dari sisi resiko dan control segregation of duties, seharusnya dev env hanya bisa diakses oleh team development dan prod env hanya bisa diakses oleh team release. Nah tapi, dengan adanya team devops yang bantu set up CI/CD pipeline di github action atau jenkins dll, jadinya control segregation of duties ga jalan. dalam artian, ada resiko team devops secara diam-diam bikin suatu changes di repo kemudian deploy ke prod pake github action/jenkins. ya kalo dilihat dari sisi jobdesc sih ga makesense, ngapain juga ubah2 code sendiri. tapi kan ini kita lihatnya dari sisi resiko.
Nah dari pandangan kang Eko, kira-kira control tambahan apa untuk bisa memitigate risk ini?
Terima kasih