BAB IV PEMBAHASAN. 4.1 Manajemen Risiko TI dan Risiko TI pada PT Bank Sinarmas

Transkripsi

1 76 BAB IV PEMBAHASAN 4.1 Manajemen Risiko TI dan Risiko TI pada PT Bank Sinarmas PT Bank Sinarmas saat ini telah menerapkan Manajemen Risiko sesuai dengan Lampiran 1 Surat Edaran BANK INDONESIA No.5/21/DPNP tanggal 29 September 2003 tentang Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum. Perusahaan telah membentuk Komite Manajemen Risiko Bank yang diketuai oleh Direktur Kepatuhan. Satuan Kerja Manajemen Risiko Perusahaan terdiri dari empat orang dan bertanggung jawab langsung kepada Direktur Utama. Komite Manajemen Risiko menangani segala bentuk risiko yang terjadi pada bank, diantaranya adalah risiko kredit, risiko pasar, risiko likuiditas, risiko operasional, risiko hukum, risiko reputasi, risiko strategis, dan risiko kepatuhan. Hingga saat ini Komite Pemantau Risiko bekerja dengan Komite Manajemen Risiko dan Satuan Kerja Manajemen Risiko dalam menangani risiko-risiko pada PT Bank Sinarmas. Berdasarkan analisa penulis, PT Bank Sinarmas telah mengimplementasikan Manajemen Risiko dengan baik karena semua anggota Direksi dan Dewan Komisaris yang berfungsi sebagai Komite Manajemen Risiko, Komite Pemantau Risiko dan Satuan Kerja Manajemen Risiko telah memperoleh sertifikasi manajemen risiko yang diberikan oleh Badan Sertifikasi Manajemen Risiko dan Bank Indonesia. Akan tetapi walaupun telah memiliki Manajemen Risiko yang baik, PT Bank Sinarmas hingga saat ini tidak memiliki Divisi atau Staff khusus untuk menangani risiko-risiko TI dan tidak memiliki Direktur TI yang khusus menangani rencana strategis 76

2 77 TI, kebijakan dan prosedur, serta masalah-masalah yang ada pada Divisi TI. Semua hal yang berhubungan dengan Divisi TI dikelola oleh Direktur Operasional. Inilah yang menjadi kelemahan perusahaan dalam mengatasi masalah (risiko) TI, yaitu semua hal yang berhubungan dengan Divisi TI dikelola oleh Direktur Operasional, selain itu Divisi TI juga tidak pernah mendokumentasikan risiko-risiko yang telah terjadi. Inilah yang menjadi kelemahan perusahaan dalam mengatasi masalah (risiko) TI. Untuk mengatasi risiko TI, Manajemen perlu melakukan beberapa proses. Proses Manajemen Risiko TI yang harus dilakukan pada PT Bank Sinarmas dengan menggunakan pedoman Peraturan Bank Indonesia, meliputi jenis-jenis risiko TI sebagai berikut ini: Risiko-risiko yang dapat terjadi pada PT Bank Sinarmas: a. Risiko Operasional Contoh kejadian yang ada pada PT Bank Sinarmas adalah: 1. Kesalahan posting/pembukuan 2. Mesin ATM tidak dapat digunakan untuk melakukan transaksi b. Risiko Reputasi Risiko Reputasi dapat muncul sebagai akibat adanya keluhan dari nasabah karena adanya kesalahan/error sistem teknologi serta kegagalan transaksi yang dialami nasabah. Risiko Reputasi tersebut juga dapat muncul akibat kesalahan yang dilakukan oleh pihak ketiga sebagai penyedia sarana penunjang sistem teknologi. c. Risiko Strategis Dalam hal ini risiko yang ada adalah kehilangan data dan pencurian data transaksional harian bank oleh pihak yang tidak berwenang, sehingga untuk masa

3 78 yang akan datang, manajemen perlu menerapkan strategi pengamanan data atau pengotorisasian penggunaan data. d. Risiko Kepatuhan Divisi TI PT Bank Sinarmas memutuskan untuk mengimplementasikan salah satu proyek seperti Internet Banking. Implementasi proyek, telah direncanakan untuk berjalan pada tanggal 1 Maret Pihak Divisi TI telah membuat laporan kepada Bank Indonesia tentang rencana proyek tersebut dua bulan sebelum diimplementasikan, dan satu bulan setelah proyek diimplementasikan. Akan tetapi, pada tanggal 3 Maret 2008 proyek tersebut baru dapat diimplementasikan, sehingga waktu pengimplementasian proyek tidak sesuai dengan yang direncanakan (1 Maret 2008). Oleh karena keterlambatan implementasi, Bank membayar sanksi atas keterlambatan proyek selama dua hari. Sanksi tersebut yang diartikan sebagai risiko kepatuhan. e. Risiko Likuiditas (scope pada ATM) Risiko likuiditas dapat muncul apabila: 1. Bank memiliki jumlah ATM yang banyak, sehingga diperlukan penyediaan dana kas yang sangat besar untuk alokasi pengisian uang diseluruh mesin ATM. 2. Jumlah transaksi di mesin ATM yang sangat rendah, sehingga uang yang diisikan ke mesin ATM tidak digunakan (idle money). 3. Nasabah tidak dapat melakukan penarikan uang dari mesin ATM karena uang di mesin ATM tidak tersedia atau habis. 4. Tidak dapat / gagal melakukan settlement dengan bank lain peserta anggota jaringan ATM lokal atau internasional.

4 79 f. Risiko Hukum (scope pada ATM) Risiko hukum dapat timbul akibat: 1. Perselisihan antara nasabah dengan Bank terkait dengan transaksi nasabah di ATM yang menyebabkan kerugian finansial di pihak nasabah atau Bank. 2. Perselisihan dengan pihak luar sehubungan dengan penggunaan lisensi perangkat lunak mesin ATM dan mesin switching. 3. Perselisihan dengan bank lain yang menjadi anggota jaringan ATM lokal/internasional Pembahasan Pengukuran Risiko Proses Pengukuran Risiko Terhadap Aset TI pada PT Bank Sinarmas Proses pengukuran risiko terhadap aset TI dengan menggunakan pedoman Peraturan Bank Indonesia belum pernah dilakukan sebelumnya oleh kelompok atau perusahaan lain karena pedoman tersebut baru diedarkan pada tahun 2007, dengan Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember Penilaian Risiko Penulis melakukan identifikasi terhadap aset TI yang penting bagi unit kerja pengguna dan unit kerja penyelenggara TI dengan menentukan pemilik aset risiko agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang biasa disebut dengan Risk Register. Untuk menghasilkan risk register ini perlu langkah-langkah tertentu yang harus dilakukan. Saat ini terdapat berbagai macam pendekatan, langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi Informasi (TI) misalnya

5 80 dengan pedekatan aset atau pendekatan proses. Berikut ini adalah beberapa tahap yang penulis lakukan dalam mengukur risiko aset TI, sebagai berikut: 1. Identifikasi Aset Pada langkah ini, sebelumnya penulis telah melakukan pengumpulan data dan pengolahan data terhadap aset-aset yang ada, yaitu sebagai berikut: 1. Aset Hardware (lih. Tabel Lampiran 1.1 Aset Hardware, hal. L1) Dalam tabel ini, penulis menjelaskan aset-aset hardware pada setiap lokasi yang ada di setiap cabang PT Bank Sinarmas. 2. Aset Software (lih. Tabel Lampiran 1.2 Aset Software, hal. L49) Dalam tabel ini, penulis menjelaskan aset-aset software pada setiap lokasi yang ada di cabang, KCU, KPNO, maupun Data Center PT Bank Sinarmas. 3. Aset Informasi (lih. Tabel Lampiran 1.3 Aset Informasi, hal. L68) Dalam tabel ini, penulis menjelaskan aset-aset informasi pada setiap lokasi yang ada di cabang, KCU, KPNO, maupun Data Center PT Bank Sinarmas. 4. Aset Sumber Daya Manusia (Human Resource) (lih. Tabel Lampiran 1.4 Aset SDM, hal. L79) Dalam tabel ini, penulis menjelaskan aset-aset sumber daya manusia pada setiap lokasi yang ada di cabang dan KPNO PT Bank Sinarmas. 2. Identifikasi Risiko dan Evaluasi Risiko yang Terkait dengan Aset Pada tahap ini, penulis mengidentifikasi risiko-risiko dan jenis-jenis risiko yang terkait dengan aset berikut:

6 81 a. Aset Hardware (lih. Tabel Lampiran Identifikasi dan Evaluasi Risiko pada Aset Hardware, hal. L4) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. b. Aset Software (lih. Tabel Lampiran Identifikasi dan Evaluasi Risiko pada Aset Software, hal. L50) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. c. Aset Informasi (lih. Tabel Lampiran Identifikasi dan Evaluasi Risiko pada Aset Informasi, hal. L67) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. d. Aset SDM (lih. Tabel Lampiran Identifikasi dan Evaluasi Risiko pada Aset SDM, hal. L83) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. 3. Analisa Kerawanan Pada tahap ini penulis menganalisa kerawanan, yakni kerawanan yang timbul akibat risiko-risiko yang dapat terjadi pada aset-aset berikut: a. Aset Hardware (lih. Tabel Lampiran Analisa Kerawanan pada Aset Hardware, hal. L8) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset hardware.

7 82 b. Aset Software (lih. Tabel Lampiran Analisa Kerawanan pada Aset Software, hal. L49) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset Software. c. Aset Informasi (lih. Tabel Lampiran Analisa Kerawanan pada Aset Informasi, hal. L68) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset Informasi. d. Aset SDM (lih. Tabel Lampiran Analisa Kerawanan pada Aset SDM, hal. L81) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset hardware. 4. Pengukuran Kecenderungan Nilai Risiko Dasar dan Akhir Untuk menentukan tingkatan-tingkatan yang ada, penulis mengukur risiko-risiko yang ada pada aset-aset hardware, software, informasi dan SDM dengan menggunakan tabel Pengukuran Kecenderungan (Probability). (lih. Tabel 2.2 Tingkatan Pengkuran (Sumber:PBI), hal. 33). 5. Pengukuran Dampak Penulis mengukur dan menganalisa risiko-risiko yang dapat terjadi dengan menggunakan tabel Klasifikasi Dampak dalam menentukan seberapa sering atau potensi gangguan yang dapat terjadi terhadap proses bisnis (transaksi) yang ada. (lih. Tabel 2.3 Klasifikasi Dampak (Sumber: PBI), hal. 34).

8 83 6. Penentuan Nilai Risiko Dalam menentukan nilai risiko dan potensi yang dapat timbul, penulis mengukur dengan menggunakan tabel Penentuan Nilai Risiko. (lih. Tabel 2.4 Risk Register (Sumber: PBI), hal. 35). 7. Identifikasi Pengendalian yang Diimplementasikan Sebelum penulis melakukan identifikasi pengendalian yang diimplementasikan, penulis melakukan pengumpulan data dengan metode wawancara (lih. Lampiran Wawancara, hal. LW1). 1. Aset Hardware Pada aset hardware, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset hardware, dan kontrol yang tidak ada pada aset-aset hardware. (lih. Tabel Lampiran Identifikasi Pengendalian pada Aset Hardware, hal. L12). 2. Aset Software Pada aset Software, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset hardware, dan kontrol yang tidak ada pada aset-aset Software. (lih. Tabel Lampiran Identifikasi Pengendalian pada Aset Software, hal. L49). 3. Aset Informasi Pada aset Informasi, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset Informasi, dan kontrol yang tidak ada pada aset-aset Informasi. (lih. Tabel Lampiran Identifikasi Pengendalian pada Aset Informasi, hal. L66).

9 84 4. Aset SDM Pada aset SDM, penulis melakukan pengendalian dengan menganalisa kontrolkontrol yang sudah ada pada aset-aset SDM, dan kontrol yang tidak ada pada aset-aset SDM. (lih. Tabel Lampiran Identifikasi Pengendalian pada Aset SDM, hal. L82) Analisa Proses Bisnis yang Terlibat dalam Aset TI PT Bank Sinarmas Sebelum penulis melakukan pengukuran, penulis melakukan analisa terhadap transaksi-transaksi (proses bisnis yang berhubungan dengan nasabah PT Bank Sinarmas) yang dilakukan oleh, sebagai berikut:

10 Analisa Proses Bisnis Teller Tabel 4.1 Transaksi Bagian Teller (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register) Transaksi Aset TI Hardware yang Aset TI Software yang Aset TI Informasi yang Aset TI Sumber Daya Terlibat dengan Terlibat dengan Terlibat dengan Manusia yang Terlibat Transaksi Transaksi Transaksi dengan Transaksi 1) Tarik Tunai 1, 2, 7-9, 10, 14-18, 19, 1,2,4,8,9,10,12 1,2 1 20, 21, 24, 25, 30, 31 2) Setor Tunai 1, 2, 7-9, 10, 14-18, 19, 1,2,4,8,9,10,12 1,2 1 20, 21, 24, 25, 30, 31 3) Pemindahbukuan 1, 2, 7-9, 10, 14-18, 19, 1,2,4,8,9,10,12 1,2 1 4) Penjualan/Pembelian Banknotes 20, 21, 24, 25, 30, 31 1, 2, 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1,2,4,8,9,10,12 1,2 1 5) Transfer SKN 1, 2, 5, 7-9, 10, 11-13, 14-1,2,4,5,8,9,10,12 1,2 1 18, 19, 20, 21, 24, 25, 28, 85

11 87 30, 31 6) Transfer RTGS 1, 2, 6, 7-9, 10, 11-13, 14-1,2,4,5,8,9,10,12 1,2 1 7) Pembelian Travel Cheque 8) Penjualan Travel Cheque 18, 19, 20, 21, 28, 30, 31 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 1,2,4,8,9,10,12 1,2 1 1,2,4,8,9,10,12 1,2 1 9) Pencairan Deposito 1, 2, 7-9, 10, 14-18, 19, 1,2,4,8,9,10,12 1,2 1 10) Setor/Tarik Kelebihan/Kekurangan Kas 20, 21, 24, 25, 30, 31 1, 2, 7-9, 10, 14-18, 19, 20, 24, 25 1,2,4,8,9,10,12 1,2 1 11) Inkaso Valas 1, 2, 7-9, 10, 14-18, 19, 1,2,4,8,9,10,12 1,2 1 12) Setor/Tarik Tunai via Fokus Group 20, 21, 30, 31 1, 2, 6, 7-9, 10, 11-13, 14-18, 19, 20, 21, 28, 30, 31 1,2,4,8,9,10,12 1,2 1 86

12 Analisa Proses Bisnis Customer Service Tabel 4.2 Transaksi Bagian Customer Service (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register) Transaksi Aset TI Hardware yang Aset TI Software yang Aset TI Informasi yang Aset TI Sumber Daya Terlibat dengan Terlibat dengan Terlibat dengan Manusia yang Terlibat Transaksi Transaksi Transaksi dengan Transaksi 1) Pendataan/Inquiry/Peruba han Info Nasabah 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10, ) Pembukaan Tabungan 2, 7-9, 10, 14-18, 19, 20, 3,6,7,10, , 30, 31 3) Penutupan Tabungan 2, 7-9, 10, 14-18, 19, 20, 3,6,7,10,11 1,2 2 21, 30, 31 4) Pembukaan Giro 2, 7-9, 10, 14-18, 19, 20, 3,6,7,10,11 1,2 2 21, 30, 31 5) Penutupan Giro 2, 7-9, 10, 14-18, 19, 20, 3,6,7,10,11 1,2 2 21, 30, 31 87

13 78 6) Permintaan dan Penyerahan Cek/BG 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 3,6,7,10,11 1,2 2 7) Penempatan Deposito 2, 7-9, 10, 14-18, 19, 20, 3,6,7,10,11 1,2 2 21, 30, 31 8) Pencairan Deposito 2, 7-9, 10, 14-18, 19, 20, 3,6,7,10,11 1,2 2 21, 30, 31 88

14 Analisa Proses Bisnis ATM Tabel 4.3 Transaksi Bagian ATM (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register) Transaksi Aset TI Hardware yang Aset TI Software yang Aset TI Informasi yang Aset TI Sumber Daya Terlibat dengan Terlibat dengan Terlibat dengan Manusia yang Terlibat Transaksi Transaksi Transaksi dengan Transaksi 1) Tarik Tunai 44, 7-9, 10, 14-18, 19, 20, 1,2,4,8,9,10 2-2) Transfer (ALTO, PRIMA, ATM Bersama) 21, 22, 23, 26, 29, 30, 31 44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31 1,2,4,8,9,10 2-3) Pemindahbukuan 44, 7-9, 10, 14-18, 19, 20, 1,2,4,8,9, , 22, 23, 26, 29, 30, 31 4) Informasi Saldo on Us 44, 7-9, 10, 14-18, 19, 20, 1,2,4,8,9, , 22, 23, 26, 29, 30, 31 89

15 Pengukuran Terhadap Data-Data yang Terkumpul Setelah penulis melakukan Identifikasi Aset, Identifikasi Risiko dan Evaluasi Risiko yang Terkait dengan Aset, Analisa Kerawanan, Pengukuran Kecenderungan Nilai Risiko Dasar dan Akhir, Pengukuran Dampak, Penentuan Nilai Risiko, Identifikasi Pengendalian yang Diimplementasikan, dan menganalisa transaksi-transaksi yang terlibat dalam aset TI PT Bank Sinarmas, penulis melakukan pengukuran risiko-risiko pada aset-aset dari data-data yang telah terkumpul ke dalam tabel Risk Register PBI, sebagai berikut:

16 Pengukuran Risiko Aset Hardware Tabel 4.4 Risk Register Hardware No Aset IT Deskripsi Risiko Analisa Inheren Kontrol yang Ada Residual Nilai Kerawanan Kecende Dampak Nilai Kecende Dampak Nilai Risiko rungan (min=1, Risiko rungan (min=1, Risiko Dihara (min=1, maks=5) Dasar (min=1, maks=5) Akhir pkan maks=5) maks=5) S1 Cashier Tidak dapat -Hardware Level 1 Level 5 High Melakukan Level 1 Level 2 Low - Computer melakukan rusak masalah service beberapa Grounding maintenance transaksi karena -Karena daya secara berkala Operating System listrik di kantor oleh pihak staf TI (OS) windows kecil sehingga pada komputer tegangan tidak berfungsi listrik tidak stabil 92 91

17 93 2 Computer Client Tidak dapat -Server Down Level 2 Level 5 High Melakukan Level 1 Level 1 Low Low (Teller,CS, dan melakukan -Hardware service sebagainya) beberapa rusak karena maintenance transaksi karena Grounding secara berkala Operating System oleh pihak staf TI (OS) windows pada komputer tidak berfungsi 3 Printer Teller: Printer tidak Salah Level 2 Level 2 Low - Level 2 Level 1 Low - SP172MC dapat digunakan konfigurasi (salah install driver, dsb) ketika pertama kali pemasangan (installasi) 4 Pinpad Teller: Tidak berfungsi Salah Level 1 Level 2 Low - Level 1 Level 1 Low

18 94 Ingenico (biasanya Terjadi konfigurasi (aktivasi ATM) pada saat (salah install pemasangan driver, dsb) pertama) ketika pertama kali pemasangan (installasi) 5 Server TPU Nasabah tidak - Hardware Level 3 Level 3 Medium Masing-masing Level 1 Level 2 Low Low SKN dapat melakukan rusak karena cabang KCU (kantor cabang transaksi SKN / Grounding (tempat SKN dan kantor RDGS (tidak berada), memiliki pusat) berfungsi) satu backup PC - Software minimum, yg ter- rusak register ke BI. - Listrik tidak stabil - Human Error 93

19 95 (saat update patch) 6 Server RTGS Nasabah tidak - Hardware Level 2 Level 3 Medium - Menyediakan Level 1 Level 1 Low - (kantor pusat ) dapat melakukan rusak karena back up PC transfer dana Grounding - Menyediakan RTGS dalam 1 - Software leased line hari rusak - Menyediakan - Listrik tidak backup jaringan stabil khusus untuk - Human Error RTGS (saat update -Menyediakan patch) juga prosedur pengetesan berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan 94

20 96 serta dibuatkan berita acara-nya) - Untuk RTGS, setiap kali ada perubahan versi software, juga dipelihara CDnya, disimpan dalam SDB dan selalu disamakan versinya antara server production dan server backup) 7 LAN: Client to Kabel mudah - Tidak Level 4 Level 2 Medium - Memiliki kabel Level 2 Level 1 Low - PatchPanel untuk putus memakai kabel LAN cadangan sehingga koneksi CAT5 atau dan dibuatkan 95

21 97 putus CAT6, atau memakai kabel palsu (jadi mudah patah) - Panel berada di tembok bgn bwh jadi mudah tertendang staf panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak) - Mengatur standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru) - Sebagai standard juga menyediakan kabel-kabel LAN yang dibungkus 96

22 98 (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak 8 LAN: Cashier Kabel mudah - Tidak Level 4 Level 2 Medium -Memiliki kabel Level 1 Level 2 Low - to PatchPanel untuk putus memakai kabel LAN cadangan sehingga koneksi CAT5 atau dan dibuatkan putus CAT6, atau panel tambahan memakai kabel (agar User bisa palsu (jadi mencolokkan mudah patah) kabel-nya ke - Panel berada panel ini, bila di tembok bgn panel yg A rusak) bwh jadi - Mengatur mudah standard untuk tertendang staf kontraktor (saat 97

23 99 penarikan kabel LAN untuk pembukaan cabang baru). - Menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. 9 LAN: Kabel mudah - Tidak Level 3 Level 3 Medium - Memiliki kabel Level 1 Level 1 Low - PatchPanel to untuk putus memakai kabel LAN cadangan Switch sehingga koneksi CAT5 atau dan dibuatkan putus CAT6, atau panel tambahan 98

24 100 memakai kabel palsu (jadi mudah patah) - Panel berada di tembok bgn bwh jadi mudah tertendang staf (agar user bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak) - Mengatur standard untuk kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru) - Menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar 99

25 101 tidak digigit tikus atau putus terinjak. 10 LAN: Router Kabel mudah Tidak Level 2 Level 2 Low - Menyediakan Level 2 Level 1 Low - Juniper 2300 untuk putus memakai kabel back up hardware sehingga koneksi CAT5 atau di regional, yang putus CAT6, atau dikirimkan bila memakai kabel cabang ada palsu (jadi masalah jadi satu mudah patah) di sumatera, satu di kalimantan (biasanya di area dimana ada masalah, backup bisa dikirimkan cepat). 11 KPNO LAN: Kabel mudah - Tidak Level 1 Level 2 Low -Memiliki kabel Level 1 Level 1 Low - 100

26 102 RTGS to untuk putus memakai kabel LAN cadangan PatchPanel sehingga koneksi CAT5 atau dan dibuatkan putus CAT6, atau panel tambahan memakai kabel (agar User bisa palsu (jadi mencolokkan mudah patah) kabel-nya ke -Panel berada panel ini, bila di tembok bgn panel yg A rusak) bwh jadi - Mengatur mudah standard untuk tertendang staf kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru) - Menyediakan kabel-kabel LAN 101

27 103 yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. 12 KPNO LAN: Hardware tidak - Hardware Level 1 Level 3 Medium - Menyediakan Level 1 Level 2 Low - Modem Leased berfungsi rusak back up PC Line RTGS sehingga tidak Grounding - Menyediakan dapat megirim - Listrik tidak leased line data stabil - Menyediakan - Human Error back up jaringan (saat update khusus untuk patch) RTGS - Menyediakan prosedur pengetesan 102

28 104 berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan serta dibuatkan berita acara-nya) - Menyediakan jaringan backup dialup yang memakai modem external 13 KPNO LAN: Hardware tidak - Hardware Level 1 Level 3 Medium - Menyediakan Level 1 Level 1 Low - Router Huawei berfungsi rusak back up router sehingga tidak Grounding dapat megirim - Listrik tidak data stabil - Human Error (saat update 103

29 105 patch) 14 WAN : Primary Kantor cabang Daerah kantor Level 3 Level 5 High - Menyediakan Level 2 Level 3 Medium Low Network MPLS tidak dapat merupakan leased line Modem melakukan semua daerah rawan backup sebagai transaksi gempa kontrol - Menggunakan setting BGP (agar bisa saling ganti, tanpa manual interference dari human) jadi jika 1 putus, langsung network-nya ganti ke jaringan yang B secara otomatis. 15 WAN: Primary Sebagian user Jaringan Level 2 Level 3 Medium -Menggunakan Level 1 Level 2 Low - Vendor mengalami backhaul aplikasi MRTG 104

30 106 Backhaul request time out. penuh untuk memonitor Router menyebabkan secara periodik, kemacetan / apakah backhaul tidak ada connection sudah respon. mencapai limit kapasitas yg sudah digunakan - Menyediakan back up router disetiap cabang regional 16 WAN: Switch Seluruh koneksi Grounding Level 2 Level 4 Medium - Menyediakan Level 1 Level 2 Low Low dari cabang yang hardware back up Switch di menggunakan TI provider A (XL, - Menyediakan misalnya) putus back up table jadi tidak bisa routing 105

31 107 digunakan 17 WAN: Core Semua kantor - Grounding Level 2 Level 5 High - Monitoring Level 1 Level 1 Low - Router Juniper pusat, kantor hardware grounding dijaga 2300 cabang tidak - Kapasitas (tidak lebih dari 1 dapat melakukan hardware volt) transaksi seberapa cepat - Menyediakan router bisa back up di kantor terima dan TI forward - Menyediakan package back up dari table routing 18 WAN: Core Semua kantor -Core Switch Level 2 Level 5 High -Monitoring Level 1 Level 1 Low - Switch Cisco pusat, kantor rusak grounding dijaga 2960 Gigabit cabang tidak -Hardware (tidak lebih dari 1 dapat melakukan rusak karena volt) transaksi Grounding - Menyediakan back up di kantor 106

32 108 TI - Menyediakan back up dari table routing 19 DMZ 2: Seluruh koneksi Konfigurasi Level 2 Level 5 High - Menyediakan Level 1 Level 1 Low - Firewall Juniper tidak dapat dan Bug IDS network membuat melintas, karena di Firewall (yg firewall ini, bila hardware ini menjadi fitur gagal menjadi rusak tambahan dari "standby", jadi firewall) tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware. 20 DMZ 2: Switch Aplikasi-aplikasi Hardware Level 2 Level 5 High -Monitoring Level 1 Level 1 Low - DMZ 2 bank mati jadi rusak karena grounding dijaga tidak bisa Grounding (tidak lebih dari 1 dijalankan volt) 107

33 109 - Menyediakan backup di kantor TI 21 DMZ 2: App. Semua aktivitas Setiap aplikasi Level 2 Level 5 High - Melakukan Level 1 Level 1 Low - Server Temenos tidak bisa beda pengetesan beroperasi persyaratannya (testing) terlebih dahulu tentang berapa memorynya, apa OS nya 22 DMZ 2: App. ATM tidak bisa Salah Level 3 Level 3 Medium - Menyediakan Level 2 Level 1 Low - X/Link Server beroperasi konfigurasi back up Server -Menyempurna kan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau 108

34 110 ada fitur baru masuk ke Xlink. 23 DMZ 2: DB. ATM tidak bisa -Salah Level 2 Level 3 Medium - Menyediakan Level 1 Level 2 Low - X/Link Server beroperasi konfigurasi back up Server -Hardware -Menyempurna rusak kan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink. 24 DMZ 2: App. Cabang dapat Salah Level 2 Level 2 Low Menyediakan Level 2 Level 1 Low - Server S1 beraktivitas tapi Programming back up Server agak lambat dan lebih sedikit yang dapat digunakan 109

35 111 user (keterbatasan user) 25 DMZ 2: DB. Cabang dapat Salah Level 1 Level 3 Medium Menyediakan Level 1 Level 1 Low - Server S1 beraktivitas tapi Programming back up Server agak lambat dan lebih sedikit yang dapat digunakan user (keterbatasan user) 26 DMZ 2: HSM Data-data tidak Hardware Level 1 Level 4 Medium Menyediakan Level 1 Level 1 Low - dapat diakses rusak karena back up data ke grounding media storage lain 27 DMZ2 : Aktivitas internet Database Level 1 Level 3 Medium Menyediakan Level 2 Level 1 Low - Channeling, banking tidak crash backup database Wealth dapat diakses Management, 110

36 112 LLD (bank) 28 DMZ 2: Server Semua aktivitas Aplikasi tidak Level 2 Level 3 Medium - Mempunyai Level 1 Level 2 Low - Interface transfer berfungsi aplikasi cadangan SKN/RTGS SKN/RTGS tidak karena setiap - Melakukan bisa beroperasi aplikasi beda pengetesan persyaratannya (testing) terlebih dahulu tentang berapa memorynya, apa OS nya. 29 DMZ 2: Server Tidak dapat Server down Level 1 Level 3 Medium - Menyediakan Level 1 Level 2 Low - UMG melakukan backup database transaksi yang berhubungan dengan delivery channel 30 DMZ 2: SAN Kabel putus -Tidak Level 1 Level 2 Low - Menyediakan Level 1 Level 1 Low - 111

37 113 Switch dan sehingga koneksi memakai kabel back up di kantor HBA Cable hilang CAT5 atau TI CAT6, atau memakai kabel palsu (jadi mudah patah) -Panel berada di tembok bgn bwh jadi mudah tertendang staf 31 DMZ 2: Hitachi Data Bank hilang Staf TI yang Level 2 Level 5 High Menyediakan Level 1 Level 1 Low - Storage bekerja back up data ke melakukan media storage kesalahan lain. dalam pencabutan 112

38 114 kabel 32 DMZ 1: Nokia seluruh koneksi Konfigurasi Level 2 Level 5 High - Menyediakan Level 1 Level 1 Low - Firewall dan tidak bisa dan Bug IDS back up network IDP melintas, karena di Firewall (yg untuk membuat Hardware ini menjadi fitur firewall ini, bila rusak tambahan dari gagal menjadi firewall) "standby", jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware 33 DMZ 1: Switch Aplikasi-aplikasi Hardware Level 1 Level 5 High - Monitoring Level 1 Level 1 Low - DMZ 1 bank mati jadi rusak karena grounding dijaga tidak bisa Grounding (tidak lebih dari 1 dijalankan volt) - Menyediakan back up di kantor 113

39 115 TI 34 DMZ 1: Server Tidak dapat Hardware Level 1 Level 3 Medium Melakukan Level 1 Level 1 Low - HP OpenView memonitoring rusak karena service cabang Grounding maintenance secara berkala oleh pihak staf TI 35 DMZ 1: Server Tidak bisa - Server down Level 3 Level 2 Low - Maintenance Level 2 Level 1 Low - RSA menjalankan - Kapasitas update patch OS, transaksi finansial melebihi batas update software di internet maksimum RSA banking - Menyediakan kontrol kapasitas (karena mulai mendekati kapasitas, misal 3000 token, tidak bisa dipakai utk 114

40 116 pelanggan baru.) 36 DMZ 1: Server Tidak dapat - Salah Level 5 Level 2 Medium -Menyediakan Level 3 Level 1 Low - Internet melakukan Program back up database Banking transaksi financial ming di aplikasi -Hardware internet banking rusak karena Grounding 37 DMZ 1: Server Tidak dapat Server rawan Level 4 Level 1 Low - Menyediakan Level 2 Level 1 Low - DNS+Portal mencari untuk rusak back up data dokumendokumen di portal 38 DMZ 1: Server Tidak dapat Server rawan Level 2 Level 1 Low - Level 1 Level 1 Low - Nokia mengubah untuk rusak Management konfigurasi di firewall 39 DMZ 1: Server Tidak dapat Server rawan Level 2 Level 1 Low - Level 1 Level 1 Low - Juniper mengubah untuk rusak 115

41 117 Management konfigurasi di firewall 40 DMZ 1: Server Seluruh karyawan Server rawan Level 1 Level 1 Low -Melakukan Level 1 Level 1 Low - Mantis dan bank tidak bisa untuk rusak maintenance menerima/mengir - Menyediakan im back up data masing-masing oleh masing-masing orang 41 Utility: UPS UPS tidak berfungsi jadi server juga mati 42 Utility: Genset Genset tidak berfungsi sehingga pada saat listrik Kurangnya maintenance Kurangnya maintenance Level 1 Level 4 Medium - Level 1 Level 2 Low - Level 1 Level 5 High - Level 1 Level 1 Low - 116

42 118 mati,transaksi tidak dapat dilakukan 43 Utility: AC AC mati karena listrik padam/tidak dimaintenance (sehingga server menjadi panas) Kurangnya maintenance Level 1 Level 4 Medium - Level 1 Level 1 Low 44 ATM Machine Nasabah tidak Kurangnya Level 3 Level 4 High Menyediakan alat Level 2 Level 2 Low - dapat mengambil maintenance monitoring uang/transfer/ (CCTV). pembayaran 117

43 118 Keterangan (Tabel 4.4 Risk Register Hardware) 1. S1 Cashier Computer Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi. Analisa kerawanannya adalah sebagian atau keseluruhan hardware rusak masalah grounding, karena daya listrik di kantor kecil sehingga tegangan listrik tidak stabil. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 2. Computer Client (komputer yang dipakai di Teller, Customer Service, dan sebagainya) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi Analisa kerawanannya adalah server down, terkena virus, hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi

44 119 TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low. 3. Printer Teller: SP172MC Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Printer tidak dapat digunakan. Analisa kerawanannya adalah karena salah konfigurasi (salah install driver, dsb) ketika pertama kali pemasangan (installasi). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 4. Pinpad Teller Ingenico (aktivasi ATM) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak berfungsi (biasanya Terjadi pada saat pemasangan pertama). Analisa kerawanannya adalah karena salah konfigurasi (salah install driver, dsb) ketika pertama kali

45 120 pemasangan (installasi). Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 5. Server TPU SKN (kantor cabang dan kantor pusat) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat melakukan transfer dana (transaksi dimana nasabah dapat mengirim uang lebih dari satu hari). Analisa kerawanannya adalah hardware rusak karena grounding (maka tidak berfungsi), driver / software rusak, listrik tidak stabil, Human Error (saat update patch), terkena virus. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah masing2 cabang KCU (tempat SKN berada), memiliki satu backup PC minimum, yg ter-register ke BI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.

46 Server RTGS (kantor pusat) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat melakukan transfer dana RTGS dalam satu hari karena hardware tidak berfungsi, juga karena Human Error (saat update patch). Analisa kerawanannya adalah hardware rusak, driver atau software rusak, listrik tidak stabil. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya back up PC, ada leased line serta back up jaringan khusus untuk RTGS, juga ada prosedur pengetesan berkala yg dilakukan satu tahun 2x (dan wajib dilakukan serta dibuatkan berita acaranya), untuk RTGS, setiap kali ada perubahan versi software, juga di-pelihara CDnya, disimpan dalam SDB dan selalu disamakan versi-nya antara server production dan server back up) dengan melakukan maintenance back up tiga kali dalam satu tahun. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 7. LAN: Client to Patch Panel Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren,

47 122 kecenderungannya ada pada level 4, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), mengatur standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru), dan sebagai standard juga, seluruh kabel2 itu harus dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low. 8. LAN: Cashier to Patch Panel Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 4, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), set standard untuk kontraktor (saat penarikan untuk pembukaan cabang

48 123 baru) dan sebagai standard juga, seluruh kabel2 itu harus dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 9. LAN: Patch Panel to Switch Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), set standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru) dan menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.

49 LAN: Router Juniper 2300 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up hardware di regional, yang dikirimkan bila cabang ada masalah jadi satu di sumatera, satu di kalimantan (biasanya di area dimana ada masalah, backup bisa dikirimkan cepat). Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 11. KPNO LAN : RTGS to Patch Panel Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak disengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank

50 125 Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), mengatur standard untuk kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru), menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 12. KPNO LAN: Modem Leased Line RTGS Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi hardware tidak berfungsi. Analisa kerawanannya adalah hardware rusak karena Grounding, listrik tidak stabil, human Error (saat update patch). Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya menyediakan back up PC, menyediakan leased line, menyediakan back up jaringan khusus untuk RTGS, menyediakan prosedur pengetesan berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan serta dibuatkan berita acara-nya), menyediakan jaringan backup dialup yang memakai modem external. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.

51 KPNO LAN: Router Huawei Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah hardware tidak berfungsi. Analisa kerawanannya adalah hardware rusak karena Grounding, listrik tidak stabil, human Error (saat update patch). Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up router. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 14. WAN : Primary Network MPLS Modem Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kantor cabang tidak dapat melakukan transaksi. Analisa kerawanannya adalah gempa di laut tempat kantor cabang daerah. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah disediakan line leased line back up sebagai kontrol, dan digunakan setting BGP (agar bisa saling ganti, tanpa manual interference dari human) jadi jika 1 putus, langsung network-nya ganti ke jaringan yang B otomatis. Pada penilaian residual,

52 127 kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko akhirnya adalah Medium. Nilai risiko yang diharapkan dari analisa aset ini adalah Low. 15. WAN: Primary Backhaul Router Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah sebagaian user mengalami request time out. Analisa kerawanannya adalah Jaringan backhaul penuh menyebabkan kemacetan/tidak ada respon. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menggunakan aplikasi MRTG untuk memonitor secara periodik, apakah backhaul connection sudah mencapai limit apasitas yg sudah digunakan, menyediakan back up router disetiap cabang regional. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 16. WAN: Switch Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi dari cabang yang menggunakan provider A (XL, misalnya) putus jadi tidak bisa digunakan. Analisa kerawanannya adalah Grounding hardware. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 4, maka

53 128 nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah ada backup switch di TI, dan ada backup table routing juga. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low. 17. WAN: Core Router Juniper 2300 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah grounding hardware, kapasitas hardware seberapa cepat router bisa terima dan forward package. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), back up tersedia di kantor TI Bank, back up dari routing table. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.

54 WAN: Core Switch Cisco 2960 Gigabit Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan aktivasi ATM. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Menyewa komputer berikut OS agar komputer/komponen komputer yg rusak, segera diganti oleh pihak penyedia jasa (vendor). Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), menyediakan back up di kantor TI, menyediakan back up dari table routing. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 19. DMZ 2: Firewall Juniper Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi tidak dapat melintas, karena hardware ini rusak. Analisa kerawanannya adalah konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah

55 130 menyediakan network membuat firewall ini, bila gagal menjadi standby, jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 20. DMZ 2: Switch DMZ 2 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah aplikasiaplikasi bank mati jadi tidak bisa dijalankan. Analisa kerawanannya adalah hardware rusak karena Grounding. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), back up tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada. 21. DMZ 2: App. Server Temenos Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah semua aktivitas tidak bisa beroperasi. Analisa kerawanannya adalah setiap aplikasi beda persyaratannya. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil