Setiap perusahaan mempunyai kebijakan tersendiri tentang hal-hal yang akan dilakukan jika perusahaan mengalami kondisi tertentu yang kritis karena force majuer, bencana, kebakaran, gempa bumi, system down, listrik padam atau hal lainnya yang mengganggu operasi bisnis sehingga operasional perusahaan tetap dapat berjalan.
Dalam kondisi sistem offline atau system down, bank dapat melakukan proses manual yang diatur secara khusus menggunakan tuntunan yang terdapat pada buku manual (user manual atau manual prosedur ) sesuai permasalahan yang terjadi sehingga operasional dan pelayanan kepada nasabah dapat tetap dilaksanakan sampai dengan system kembali hidup. Jika gangguan atau masalah pada aplikasi/sistem tersebut tidak dapat diselesaikan sesuai buku manual/panduan, maka petugas terkait berkewajiban menghubungi Help Desk Information & Technology. Setiap masalah yang timbul baik yang dapat diselesaikan maupun yang tidak dapat diselesaikan, harus dicatat dalam buku catatan permasalahan dan solusi.
Sarana yang diperlukan untuk menangani permasalahan sistem komputer dan sistem teknologi informasi
Beberapa hal ini harus dimiliki dan dikelola oleh bank, antara lain:
1. Help Desk
Fungsi helpdesk harus dimiliki oleh bank agar bank cepat tanggap terhadap permasalahan yang dihadapi oleh seluruh pengguna (user) di bank dan menanganinya segera. Bank akan menghadap risiko jika tidak memiliki prosedur helpdesk yang memadai yaitu tidak dapat dipastikannya bahwa pengguna senantiasa memilki tempat bertanya dan memperoleh jawaban dan solusi atas permasalahan-permasalahan yang dihadapi.
Hal-hal yang perlu diperhatikan dalam fungsi helpdesk adalah:
- Tersedianya dokumentasi permasalahan yang lengkap. Dokumentasi permasalahan harus mencakup data user, penjelasan masalah, dampak pada sistem (platform, aplikasi atau lainnya) kode prioritas, status resolusi saat ini, pihak yang bertanggung jawab terhadap resolusi, akar permasalahan (jika teridentifikasi), target waktu resolusi, dan field komentar untuk mencatat kontak pengguna dan informasi relevan lainnya
- Sistem helpdesk yang berbasis pengetahuan untuk memberikan dukungan kepada staff helpdesk tentang alternatif solusi permasalahan yang umum terjadi. Bank secara berkala melakukan pengkinian terhadap sistem tersebut
2. Power User
Penanganan penggunaan power user dimana pemilik user id yang memiliki kewenangan sangat luas. Dalam rangka penanganan permasalahan, bank wajib menetapkan prosedur penanganan power user agar penggunaannya tidak disalahgunakan. Prosedur tersebut, antara lain mengatur tentang hal-hal sebagai berikut:
- Penetapan siapa saja yang memiliki hak askes power user termasuk penerapan dual custody
- Prosedur penyimpanan password power user
- Prosedur break ID power user pada keadaan darurat
- Prosedur penggantian password power user setelah digunakan
- Pendokumentasian penggunaan power user dalam bentuk berita acara
3. Backup
Untuk menjamin kelangsungan proses dan mengantisipasi risiko data transaksi hilang akibat crash atau kegagalan operasi, setiap periode tertentu system operasi bank melakukan proses back up data, dan data back up disimpan pada tempat khusus yang aman.
Bank harus meyakini ketersediaan yang efektif dari informasi bisnis yang penting, perangkat lunak dan dokumentasi terkait sistem dan user untuk setiap proses fungsi bisnis yang penting (critical). Hal-hal yang harus diperhatikan dalam dokumentasi, sistem dan data back up antara lain:
- Back up dimaksud harus disimpan dilokasi lain dari DC (off site). Setiap perubahan dan modifikasi harus didokumentasikan dan salinannya juga harus diperbaharui
- Media back up harus disimpan di lingkungan yang aman di lokasi off site dengan standar sistem pengamanan yang memadai
- Full system back up harus dilakukan secara periodik. Jika terjadi perubahan sistem yang mendasar maka full system backup harus dilakukan sesegera mungkin.
- Seluruh media backup menggunakan standar labeling/penamaan untuk dapat mengidentifikasi penggunaan, tanggal dan jadual retensi
- Media backup harus diuji secara reguler untuk meyakini bahwa dapat digunakan pada saat diperlukan (keadaan emergency)
- Bank harus memiliki prosedur untuk disposal media backup
Sistem back up yang dilakukan oleh perusahaan dapat memakai media backup compact disc/diskette. Isi CD backup ini meliputi data-data adminsitrasi. Data back up harus disimpan di tempat terpisah dan dilakukan oleh pihak berwenang melakukan back up dan penyimpanan data transaksi. CD back up yang dibuat dapat digunakan sebagai sarana untuk memproses kembali jika ada permasalahan atau gangguan pada sistem/aplikasi di bank.
Business Contigency Plan dan Disaster Recovery Plan (Pengamanan Sistem Komputer Perbankan)
Rencana kelangsungan usaha (Business Continuity Plan/BCP) adalah proses manajemen terpadu dan menyeluruh mengenai dampak potensi apabila kritikal bisnis dari suatu perbankan tidak dapat berfungsi karena adanya gangguan.
Konsep BCP yang digunakan adalah terjadinya gangguan yang bersifat menyeluruh/nasional dan merupakan kejadian yang jarang terjadi (low frequency) tetapi mempunyai dampak yang besar (high impact)
Contoh :
- Gedung kantor pusat suatu bank tidak dapat digunakan
- Salah satu data center dari suatu bank tidak dapat digunakan
BCP juga digunakan untuk menghadapi bencana yang bersifat low frequency high impact. Crisis Management Plan digunakan untuk menghadapi kejadian sistem lainnya. BCP harus dikembangkan dan diterapkan untuk memelihara dan/atau mengembalikan layanan dalam waktu yang ditentukan setelah mengalami gangguan atau kegagalan pada proses bisnis utama. Proses BCP harus di fokuskan pada bisnis/layanan yang diprioritaskan, misalnya memulihkan sistem ATM yang berhubungan langsung dengan nasabah dalam jangka waktu yang bisa diterima.
BCP dan disaster recovery tetap harus memenuhi persyaratan pengamanan informasi dan prioritas bisnis. BCP harus menggambarkan pendekatan umum untuk memastikan ketersediaan sistem dan informasi serta individu-individu yang bertanggung jawab untuk menjalankan setiap komponen dari rencana tersebut.
Disaster Recovery Plan adalah suatu rencana yang komprehensif berisi langkah-langkah yang harus diambil sebelum dan sesudah terjadinya suatu ganggunan atau bencana secara terdokumentasi dan teruji, agar kelangsungan operasional tetap berjalan. DRP merupakan salah satu bagian dari BCP.
Dalam DRP diatur pula tentang lokasi penyimpanan data back up yang harus memenuhi kriteria berikut ini:
- Tidak rutin terkena bencana alam (seperti banjir, gempa dahsyat)
- Mudah diakses, jarak tempuh paling lama 2 jam dengan kendaraan roda empat dan mudah dijangkau oleh karyawan serta banyak tersedia angkutan umum dari berbagai jurusan.
- Jaringan komunikasi tersedia dan STO tidak sama antara kedua lokasi DRC (Disaster Recovery Center)
- Jaringan listrik PLN tidak sama dengan jaringan PLN antar kedua DRC (Disaster Recovery Center)
Diharapkan setelah membaca artikel ini pengunjung memiliki gambaran bagaimana bank melakukan pengamanan terhadap sistem komputer