Pada artikel sebelumnya sudah dibahas mengenai salah satu Manajemen Risiko Teknologi Informasi dan Sistem Informasi Perbankan sesuai Bank Indonesia yaitu Akses ke dalam sistem komputer (baca artikel kami Teknologi Informasi Perbankan , pada kesempatan kali ini kami akan membahas cara lain dalam Manajemen Risiko Teknologi Informasi Perbankan sesuai Bank Indonesia, yaitu:
Sistem Pengamanan Teknologi Sistem Informasi
Sesuai dengan ketentuan yang diatur oleh Bank Indonesia, bank wajib memiliki kebijakan dan prosedur penggunaan teknologi informasi, yang meliputi aspek berikut ini:
- Manajemen
- Perencanaan, Pengembangan dan Pengadaaan
- Operasional teknologi informasi
- Jaringan komunikasi
- Pengamanan informasi
- Business continuity plan
- End user computing
- Electronic banking (e-banking)
- Penggunaan pihak penyedia jasa Teknologi Informasi
Kebijakan pengamanan informasi dalam bidang perbankan merupakan komponen penting dalam sistem teknologi yang digunakan oleh dunia perbankan. Kebijakan pengamanan sistem informasi bertujuan mengkomunikasikan kontrol dan kebijakan manajemen untuk melindungi aset-aset informasi yang ada di suatu bank.
Persyaratan pengamanan ditentukan melalui metode pengkajian risiko pengamanan. Pengkajian risiko harus memperhatikan biaya yang dikeluarkan untuk menjalankan kontrol pengamanan dibandingkan dengan kerugian yang mungkin timbul akibat kegagalan pengamanan. Hasil dari pengkajian risiko akan memberikan panduan dalam menentukan prioritas dan tindakan manajemen dalam mengatur risiko pengamanan informasi, dan dalam penerapan kontrol untuk mengurangi risiko tersebut.
Untuk mendukung operasional perbankan dibutuhkan kebijakan tertulis mengenai pengamanan informasi (security policy). Kebijakan ini harus dipahami dan diterapkan secara konsisten oleh semua petugas perbankan.
Ada 6 prinsip dasar terkait kebijakan mengenai pengamanan sistem informasi (security policy)
- Informasi adalah aset yang sangat berharga yang harsu dilindungi
- Kontrol pengamanan informasi dibutuhkan untuk menjaga kerahasiaan, integritas dan ketersediaan aset informasi
- Penerapan kontrol pengamanan yang terbukti memberikan manfaat sesuai pengkajian dan analisa risiko
- Pengamanan informasi harus diterapkan menyeluruh dalam organisasi
- Pengamanan informasi merupakan suatu elemen penting dalam pengelolaan perusahaan
- Pengamanan informasi merupakan salah satu saran pendukung untuk meningkatkan kepercayaan pihak lain
Aktivitas pengamanan informasi harus dikoordinasikan untuk memastikan konsistensi penerapan prinsip dasar. Review berkala terhadap kebijakan pengamanan informasi wajib dilakukan dalam suatu periode, misal paling sedikit sekali setiap dua tahun, atau apabila terjadi kejadian-kejadian signifikan seperti:
- Perubahan dalam lingkungan usaha atau strategi perusahaan (misalnya prioritas bisnis baru merger atau penjualan, perubahan struktur organisasi atau hirarki manajemen perbankan)
- Perubahan dalam lingkungan/kondisi risiko pengamanan informasi (misalnya perubahan sifat/kerentanan pengamanan informasi)
- Perubahan atas peraturan perundang-undangan baru yang mempengaruhi proses sistem informasi, pengelolaan TI dan lain lain
Kebijakan pengamanan informasiharus dinilai/direview secara independen oleh audit internal, audit eksternal, atau konsultan lain yang berkompeten untuk memeriksa cakupan, kesesuaian, dan kualitas dari kebijakan tersebut. Pihak yang melakukan review atas pengamanan informasi dapat diberikan akses khusus untuk kebutuhan review , dengan ketentuan pihak tersebut dapat dipercayai dan mempunyai kinerja yang baik, serta terlebih dulu harus menandatangani perjanjian kerahasiaan.
Pengamanan informasi dilaksanakan secara efektif dengan memperhatikan hal-hal sebagai berikut:
Ditujukan agar informasi yang dikelola terjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaannya (availability) secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan yang berlaku
Dilakukan terhadap aspek teknologi, sumber daya manusia dan proses dalam penggunaan Teknologi Informasi dan Sistem Informasi
Mencakup pengelolaan aset bank yang terkait dengan sistem informasi, kebijakan sumber daya manusia, pengamanan fisik, pengamanan akses, pengamanan operasional, dan aspek penggunaan Teknologi Informasi dan Sistem Informasi lainnya
adalanya manajemen penanganan insiden dalam pengamanan informasi
Diterapkan berdasarkan hasil penilaian terhadap risiko (risk assessment) pada informasi yang dimiliki bank
Salah satu bagian dari security policy menyangkut kebijakan mengenai user security policy dimana user security policy adalah kebijakan yang mengatur semua hal mengenai tugas dan tanggung jawab user terhadap pengamanan informasi teknologi perbankan yang mencakup pemberian dan penggunaan user id dan password, pengamanan dan penggunaan komputer beserta fasilitas kerja lainnya.
Dokumentasi kebijakan security atau keamanan yang terkait dengan user id dan password biasanya mencakup:
- Jenis serta persyaratan user id dan password
- pengelolaan user id
- Penggantian password secara rutin
- Penghapusan dan penonaktifan user id yang dalam jangka waktu tertentu tidak digunakan
- Penggunaan formulir dan log book
- Pembuatan laporan dan verifikasi laporan user id
Pembahasan mengenai Manajemen Risiko Teknologi Informasi / Sistem Informasi Perbankan akan dilanjutkan pada artikel selanjutnya yang akan berjudul masalah sistem komputer. Setelah membaca artikel kali ini diharapkan pengunjung jadi lebih paham mengenai bagaimana bank mengelola Teknologi Informasi / Sistem Informasi