Peraturan Bank Indonesia (PBI) 9/15/PBI/2007 dan Penerapan Tata Kelola Pengamanan Informasi di Perbankan 2010 Oleh :Budi Restianto
Objective Mengetahui manajemen risiko di perbankan Mengetahui secara umum Peraturan Bank Indonesia Benchmark PBI dengan Standard Internasional Strategi penerapan dan roadmap untuk memenuhi ketentuan PBI
Materi 1. Apa yang diinginkan Bisnis Bank? 2. Security Issues di Perbankan dan Manajemen Risiko Bank 3. PBI 9/15/PBI/2007 dan Pengamanan Informasi 4. PBI 9/15/PBI/2007 dan ISO/IEC 27001/27002 5. Implementasi PBI tersebut dalam industri perbankan 6. Roadmap dan action plan 7. Penutup
1. Apa yang diinginkan Bisnis Bank? Customer Satisfaction Revenue Cost & Financial Loss Internal Process Data Nasabah Bank Data Operasional Bank RISIKO Mitigasi Risiko dengan penerapan Pengamanan Informasi Pengamanan Data & Informasi Kontrol Terhadap Akses Penerapan Enkripsi Vulnerability Management Penanganan Insiden Monitoring & Audit
2. Security Issues pada Industri Perbankan Opportunities Kebutuhan akan mekanisme Tata Kelola Pengamanan Informasi yang efektif sesuai standar yang ditetapkan oleh Bank Indonesia dan dikomunikasikan kepada seluruh pengguna dan penyelenggara Informasi Perlunya mengoptimalkan fungsi Satuan Kerja Pengamanan Informasi yang disesuaikan Standar Keamanan yang berlaku Strengths IT Resources (People Et Technology) IT Strategic Plan Kebijakan, Standar dan Prosedur Teknologi Informasi (Policy, Framework, Prosedur) Risk Assessment Manual Business Continuity Manual Security Awareness Program Security Incident Response Team Threats Semakin tingginya tingkat ketergantungan bisnis Bank terhadap pemanfaatan Teknologi Informasi Meningkatnya risiko-risiko seiring dengan perkembangan Teknologi Informasi Kurang efektifnya Program Pengamanan Informasi, yang dapat berimplikasi pada kurang memadainya pengendalian risiko Teknologi Informasi dan pengamanan data/informasi Bank Weaknesses Kurang memadainya fungsi Pengelola Program Pengamanan Informasi dan pemantauan pengamanan secara bank-wide Kurang jelasnya peran dan tanggungjawab dalam hal pengelolaan pengamanan informasi yang menyeluruh (pengguna Et penyelenggara informasi) Minimnya tingkat kesadaran/awareness pengguna dan penyelenggara informasi akan pentingnya pengamanan data/informasi nasabah
Manajemen Risiko Bank Risiko didefinisikan sebagai peluang terjadinya hasil (outcome) yang tidak diinginkan Risiko kerugian adalah kerugian ang terjadi sebagai konsekuensi langsung ataupun tidak langsung dari kejadian risiko. Kerugian tersebut dapat bersifat finansial atau non-finansial Bank perlu diregulasi untuk melindungi nasabah dan perekonomian dari kegagalan proses dan prosedur Regulasi Bank berbeda dengan regulasi industri lain. Pada industri perbankan, regulasi juga mencakup kelembagaan bank dan tidak hanya produk-produk perbankan Bank bersifat khusus karena permasalahan dalam sektor perbankan dapat menimbulkan dampak serius pada perekonomian secara keseluruhan dan disebut dengan risiko sistemik Risiko sistemik adalah risiko dimana kegagalan sebuah bank dapat menimbulkan dampak yang menghancurkan perekonomian secara besar-besaran dan bukan hanya dampak berupa kerugian yang secara langsung dihadapi oleh pegawai, nasabah dan pemegang saham Orang lebih mengenal bank rush (penarikan dana besar-besaran dari bank) yang bisa karena ketidakmampuan bank atau hanya sebatas persepsi nasabah Jika bank memberikan pinjaman yang tidak dapat dibayarkan kembali oleh peminjamnya, insolvabilitas bank tersebut bukan saja dapat berakibat pada kehancuran ekuitas para pemegang saham, namun juga kehancuran dana para deposan.
Manajemen Risiko Bank (cont ) Basel II mengenalkan jenis jenis utama risiko yaitu Risiko pasar Risiko kredit Risiko operasional 4 Dibagi menjadi sub kategori Proses internal Manusia Sistem Kejadian eksternal Hukum dan regulasi (risiko legal) Peru bahan-perubahan dalam industri perbankan menyebabkan berubahnya karakteristik risiko operasional yang berupa : Otomatisasi Ketergantungan pada teknologi Outsourcing Terorisme Meningkatnya globalisasi Insentif dan trading rouge trader Meningkatnya volume dan nilai transaksi Meningkatnya litigasi Risiko-risiko lainnya : risiko bisnis, risiko strategis, risiko reputasi
3. Peraturan Bank Indonesia dan Pengamanan Informasi Bank Indonesia menerbitkan Peraturan Bank Indonesia No.9/15/PBI/2007 tgl 30 November 2007 tentang Penerapan Manajemen Resiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
Latar Belakang PBI Peningkatan efisiensi kegiatan operasional dan mutu pelayanan Bank kepada nasabah melalui perkembangan Teknologi Informasi Penggunaan Teknologi Informasi meningkatkan resiko yang dihadapi Bank Penerapan manajemen resiko secara efektif sejalan dengan meningkatnya resiko yang dihadapi Dalam rangka implementasi Basel II
Sistematika PBI 9/15/PBI/2007 Bab 1 Ketentuan Umum Ruang Lingkup Manajemen Resiko Bab 2 Pengawasan aktif Dewan Komisaris dan Direksi Kecukupan Kebijakan dan Prosedur Penggunaan TI Kecukupan Proses Manajemen Resiko atas Penggunaan IT Sistem Pengendalian Intern Atas Penggunaan TI Penerapan Manajemen Resiko ASPEK Bab 3 Manajemen Business Continuity Plan Pengembangan dan Pengadaan End User Computing Operasional TI Electronic Banking Bab 5 Jaringan Komunikasi Penggunaan Penyedia Jasa TI Pengamanan Informasi Bab 4 PELAPORAN Bab 6 Lain-lain, Sanksi, Ketentuan Peralihan, Ketentuan Penutup Bab 7-10
Ruang Lingkup Manajemen Risiko Sistem Pengendalian Intern atas Penggunaan TI Management Oversight Pengawasan AKtif Dewan Komisaris dan Direksi Internal Controls Policies & Procedures Kecukupan Proses Identifikasi, Pengukuran, Pemantauan dan Pengendalian Risiko Penggunaan TI Risk Management Processes Kecukupan Kebijakan dan Prosedur Penggunaan TI
Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi a. Manajemen q. Pengembangan dan Pengadaan o. Operasional Teknologi Informasi Bank wajib memiliki kebijakan dan prosedur penggunaan teknologi informasi m. Jaringan Komunikasi k. Pengamanan Informasi i. Business Continuity Plan Aspek-aspek dalam kebijakan dan prosedur g. End User Computing e. Electronic Banking Bab III, pasal 8 c. Penggunaan pihak penyedia jasa IT
Pengamanan Informasi Ditujukan agar informasi yang dikelola terjaga kerahasiaan (confidentiality), Integritas (integrity) dan ketersediaan (availability) Pengamanan Informasi dilaksanakan secara efektif, dengan memperhatikan : Confidentiality Integrity Availability Effective Efficient : Informasi hanya bisa diakses oleh pihak yang berhak : Informasi akurat dan utuh : Informasi tersedia saat diperlukan : Informasi relevan dan berguna serta disampaikan tepat waktu, benar dan konsisten : Informasi dihasilkan dengan menggunakan sumber daya yang optimal (produktif dan ekonimis) Bab III, pasal 14
Surat Edaran BI (SEBI) No.9/30/Dpnp Ketentuan Pelaksanaan PBI tercantum dalam Surat Edaran Bank Indonesia No.9/30/Dpnp tgl 12 Desember 2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum Berisi 10 Bab, Bab V Pengamanan Informasi
4. PBI dan ISO/IEC 27001 Ruang Lingkup Manajemen Risiko Pengamanan Informasi (PBI pasal 14 dan SE bab 5) Internal Controls Management Oversight Policies & Procedures Meng identifikasi risiko Mempersiapkan dokumen ISMS Audit Internal Tinjauan Manajemen Risk Management Processes
PBI dan ISO 27001 PBI / SE Tugas dan tanggung jawab (ISO 2) Memiliki dan menerapkan kebijakan Dan prosedur (ISO 1) mencakup Sekurang-ku rang nya : Pengelolaan Aset (ISO 3) Pengelolaan Sumber Daya Manusia (ISO 4) Pengamanan Fisik dan Lingkungan (ISO 5) Pengamanan Logic (ISO 7) Operasional TI (ISO 6) Penanganan Insiden (ISO 9) Prosedur lainnya : Pengembangan dan Pengadaan Sistem (ISO 8), Jaringan Komunikasi Data (ISO 6), BCP Dan DRP (ISO 10), Outsourcing dll ISO / IEC 17799 / 27001 Information Technology Security Techniques Code of Practice for Information Security Management 1. Security Policy 2. Organization of Information Security 3. Asset Management 4. Human Resources Security 5. Physical and Enviromental Security 6. Commnunications dan Operations Management 7. Access Control 8. Information Systems Acquisition, Development and Maintenance 9. Information Security Incident Management 10. Business Continuity Management 11. Compliance
Mapping control di PBI dan ISO 27001/27002 PBI BAB SUB BAB 2.1.1 II.Pengembangan dan Pengadaan Sistem 2.1.2 II.Pengembangan dan Pengadaan Sistem 2.1.3 II.Pengembangan dan Pengadaan Sistem MAIN CONTROL ISO CONTROL 2.2.0 Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkahlangkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasiaannya dan integritasnya serta mendukung pencapaian tujuan Bank 2.2.0 Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkahlangkah pengendalian yang mencakup: a.menetapkan dan menerapkan prosedur dan metodologu pengembangan dan pengadaan teknologi informasi secara konsisten 2.2.0 b.menerapkan manajemen proyek dalam pengembangan aplikasi yang utama 1.2.1 Security requirements analysis and spesification 10.1. 1 Document Operating Procedures Tidak ada di ISO, ada di best practice yang lain seperti COBIT dan PMBOK
Mapping control di PBI dan ISO 27001/27002 (cont ) Tidak semua control di ISO 27001/27002 tercantum di dalam PBI Tidak semua control PBI tercantum di ISO 27001/27002 Secara garis besar kesesuaian control di ISO 27001/27001 dengan PBI adalah : 65% Sumber : Bank Indonesia LEMTI - U I
5. Implementasi PBI di Perbankan Sudut Pandang terhadap PBI There is no standard that has one size fits all character Set of Controls Risk Based Point of View Beyond Compliance Mengapa?? Setiap bank memiliki sruktur organisasi/ Kompleksitas TI dan kebutuhan bisnis yang berbeda-beda. Oleh karena itu, tidak ada suatu acuan yang dapat diaplikasikan secara merata ke seluruh bank Setiap bank memiliki resiko yang berbeda beda.oleh karena itu, implementasi kontrol Untuk setiap Bank berbeda dan harus Melalui analisa resiko sebelumnya Dengan mematuhi suatu acuan/peraturan Bank sebenarnya dapat meraih manfaat- Manfaat yang mendukung tercapainya tujuan bisnis.
Metodologi Define Analyze Review Deliverables QUICK SCAN Identify PIC Identify IT Management Executive Summary Perform Interview Compliance Gap Schedule Interview Management Presentation Review diatas akan memberikan gambaran mengenai tingkat kepatuhan Bank Terhadap PBI. Sebuah daftar kontrol yang disusun berdasarkan PBI dan Pedomannya akan diberikan nilai patuh/tidak patuh melalui wawancara dengan PIC terkait. Melakukan kajian dokumentasi dan inspeksi, misalkan dokumen framework Security, hasil assesment dokumen terhadap kontrol di PBI
IT Security Framework Corporate Vision / Mission Regulatory Requirements Trends Stakeholders / Customers Security Policies /Standards /Guidelines /Procedures Compliance Organization of Security Management Framework Security Team 3rd Party Management Enforcement & Compliance Checking Physical Security Secure Areas Equipment Security Asset Management Asset Inventory HR Security Training/ Awareness Business Continuit Management Classification & Handling Recruitment /Termination Incident Management System Acquisition Development & Maintenance Communications & Operations Mgmt Network Security Operational Procedures Access Control Application Host Network User Access Mgmt Mobile Computing
Assesment Document terhadap kontrol PBI di Bab V Keamanan Informasi No PBI/SEBI BANK A PIC TD Progress Status BAB V. Keamanan Informasi 1 Keb Keamanan Informasi IT Policy. H ITC Mar-09 100% Done 4 Std Pengamanan Logik H.01.01.S12 Logical Access Control ITC Dec-09 100% Done 6 Std Penanganan Insiden (CSIRT/CERT) H.01.01.S10 Incident Response for Device Related Security Events & Security Incident Response H.03.06.P01 ITC Jan-00 100% Done 7 Std Anti Virus H.01.01.S01 Anti Virus ITC Dec-09 100% Done 8 Std Access Control Matrix H.01.01.S20 Access Control Matrix ITC Dec-09 50% Progre ss 9 Std Security Key Key Management Manual H.01.01.M03 ITC Oct-09 100% Done 10 Std Userid Pengelolaan User ID H.01.01.M34 ITC, ITP May-10 100% Done 11 Std Password H.01.01.S26 ITC Dec-09 100% Done 12 Licensing (PPPJTI)Form Check List sesuai PBI-SEBI ITC 30% Progre ss 14 Pro Userid & Password Admin Pengelolaan User ID H.01.01.M34 ITSEC May-10 100% Done 15 Pro Key Generation & Distribution Key Management Manual H.01.01.M03 ITSEC,ITG Oct-09 100% Done
6. Roadmap and Action Plan Initiatives Immediate Short Term (1-3 years) Long Term (3-5 years) Security Policy Add New Information Security Procedures x Policy Enforcement x x x Policy Review x x x Policy Socialization x x x Access Control Review of user access rights x x x Revise user access control implementation x x Revise network design / implementation x x Revise server authentication mechanism x x
7. Penutup PBI 9/15/PBI/2007 dan SE-nya telah mencantumkan ketentuan terkait pengamanan informasi di perbankan Penerapan PBI/SE dan atau ISO 27001/27002 tidak menjamin bahwa bank aman dari serangan/gangguan TI/informasi, namun paling tidak : Telah terdapat proses peningkatan kontrol pengamanan TI yang berkesinambungan Mengacu pada international best practice Penerapan PBI dan atau ISO 27001/27002 jangan hanya sebatas pada pemenuhan / ketaatan pada persyaratan / requirement namun harus didasarkan pada kesadaran terhadap pentingnya pengamanan informasi dan pengoptimalan TI untuk memberikan nilai tambah bagi bank
Sumber: Budi Restianto