Peraturan Bank Indonesia (PBI) 9/15/PBI/2007 dan Penerapan Tata Kelola Pengamanan Informasi di Perbankan 2010 Oleh :Budi Restianto
Objective • Mengetahui manajemen risiko di perbankan • Mengetahui secara umum Peraturan Bank Indonesia • “Benchmark” PBI dengan Standard Internasional • Strategi penerapan dan “roadmap” untuk memenuhi ketentuan PBI
Materi 1. Apa yang diinginkan Bisnis Bank ? 2. Security Issues di Perbankan dan Manajemen Risiko Bank 3. PBI 9/15/PBI/2007 dan Pengamanan Informasi 4. PBI 9/15/PBI/2007 dan ISO/IEC 27001/27002 5. Implementasi PBI tersebut dalam industri perbankan 6. Roadmap dan action plan 7. Penutup
1. Apa yang diinginkan Bisnis Bank? Customer Satisfaction
Cost & Financial Loss
Revenue
Internal Process
Data Nasabah Bank Data Operasional Bank
RISIKO
Mitigasi Risiko dengan penerapan Pengamanan Informasi
Pengamanan Data & Informasi
Kontrol Terhadap Akses
Penerapan Enkripsi
Vulnerability Management
Penanganan Insiden
Monitoring & Audit
2. Security “Issues” pada Industri Perbankan Threats
Opportunities •
Kebutuhan akan mekanisme “Tata Kelola Pengamanan Informasi” yang efektif sesuai standar yang ditetapkan oleh Bank Indonesia dan dikomunikasikan kepada seluruh pengguna dan penyelenggara Informasi • Perlunya mengoptimalkan fungsi Satuan Kerja Pengamanan Informasi yang disesuaikan Standar Keamanan yang berlaku
• • •
Weaknesses
Strengths • IT Resources (People Et Technology) • IT Strategic Plan • Kebijakan, Standar dan Prosedur Teknologi Informasi (Policy, Framework, Prosedur) • Risk Assessment Manual • Business Continuity Manual • Security Awareness Program • Security Incident Response Team
Semakin tingginya tingkat ketergantungan bisnis Bank terhadap pemanfaatan Teknologi Informasi Meningkatnya risiko-risiko seiring dengan perkembangan Teknologi Informasi Kurang efektifnya Program Pengamanan Informasi, yang dapat berimplikasi pada kurang memadainya pengendalian risiko Teknologi Informasi dan pengamanan data/informasi Bank
•
Kurang memadainya fungsi Pengelola Program Pengamanan Informasi dan pemantauan pengamanan secara bank-wide • Kurang jelasnya peran dan tanggungjawab dalam hal pengelolaan pengamanan informasi yang menyeluruh (pengguna Et penyelenggara informasi) • Minimnya tingkat kesadaran/awareness pengguna dan penyelenggara informasi akan pentingnya pengamanan data/informasi nasabah
Manajemen Risiko Bank •
Risiko didefinisikan sebagai peluang terjadinya hasil (outcome) yang tidak diinginkan
•
Risiko kerugian adalah kerugian ang terjadi sebagai konsekuensi langsung ataupun tidak langsung dari kejadian risiko. Kerugian tersebut dapat bersifat finansial atau non-finansial
•
Bank perlu diregulasi untuk melindungi nasabah dan perekonomian dari kegagalan proses dan prosedur
•
Regulasi Bank berbeda dengan regulasi industri lain. Pada industri perbankan, regulasi juga mencakup kelembagaan bank dan tidak hanya produk-produk perbankan
•
Bank bersifat “khusus” karena permasalahan dalam sektor perbankan dapat menimbulkan dampak serius pada perekonomian secara keseluruhan dan disebut dengan “risiko sistemik”
•
Risiko sistemik adalah risiko dimana kegagalan sebuah bank dapat menimbulkan dampak yang menghancurkan perekonomian secara besar-besaran dan bukan hanya dampak berupa kerugian yang secara langsung dihadapi oleh pegawai, nasabah dan pemegang saham
•
Orang lebih mengenal “bank rush” (penarikan dana besar-besaran dari bank) yang bisa karena ketidakmampuan bank atau hanya sebatas persepsi nasabah
•
Jika bank memberikan pinjaman yang tidak dapat dibayarkan kembali oleh peminjamnya, insolvabilitas bank tersebut bukan saja dapat berakibat pada kehancuran ekuitas para pemegang saham, namun juga kehancuran dana para deposan.
Manajemen Risiko Bank (cont’) Basel II mengenalkan jenis jenis utama risiko yaitu Risiko pasar Risiko kredit Risiko operasional 4 Dibagi menjadi sub kategori Proses internal Manusia Sistem Kejadian eksternal Hukum dan regulasi (risiko legal) Peru bahan-perubahan dalam industri perbankan menyebabkan berubahnya karakteristik risiko operasional yang berupa : Otomatisasi Ketergantungan pada teknologi Outsourcing Terorisme Meningkatnya globalisasi Insentif dan trading –‘rouge trader’ Meningkatnya volume dan nilai transaksi Meningkatnya litigasi Risiko-risiko lainnya : risiko bisnis, risiko strategis, risiko reputasi
3. Peraturan Bank Indonesia dan Pengamanan Informasi • Bank Indonesia menerbitkan Peraturan Bank Indonesia No.9/15/PBI/2007 tgl 30 November 2007 tentang Penerapan Manajemen Resiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
Latar Belakang PBI • Peningkatan efisiensi kegiatan operasional dan mutu pelayanan Bank kepada nasabah melalui perkembangan Teknologi Informasi • Penggunaan Teknologi Informasi meningkatkan resiko yang dihadapi Bank • Penerapan manajemen resiko secara efektif sejalan dengan meningkatnya resiko yang dihadapi • Dalam rangka implementasi Basel II
Sistematika PBI 9/15/PBI/2007 Bab 1
Ketentuan Umum
Bab 2
Ruang Lingkup Manajemen Resiko Pengawasan aktif Dewan Komisaris dan Direksi
Kecukupan Kebijakan dan Prosedur Penggunaan TI
Kecukupan Proses Manajemen Resiko atas Penggunaan IT
Sistem Pengendalian Intern Atas Penggunaan TI
Penerapan Manajemen Resiko ASPEK
Manajemen
Pengembangan dan Pengadaan
Bab 3
Operasional TI
Jaringan Komunikasi
Pengamanan Informasi Business Continuity Plan
End User Computing
Electronic Banking
Bab 5
PELAPORAN
Penggunaan Penyedia Jasa TI
Bab 4
Bab 6
Lain-lain, Sanksi, Ketentuan Peralihan, Ketentuan Penutup
Bab 7-10
Ruang Lingkup Manajemen Risiko Sistem Pengendalian Intern atas Penggunaan TI
Management Oversight
Policies & Procedures
Internal Controls
Kecukupan Proses Identifikasi, Pengukuran, Pemantauan dan Pengendalian Risiko Penggunaan TI
Pengawasan AKtif Dewan Komisaris dan Direksi
Risk Management Processes
Kecukupan Kebijakan dan Prosedur Penggunaan TI
Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi a. Manajemen q. Pengembangan dan Pengadaan o. Operasional Teknologi Informasi
m. Bank wajib memiliki kebijakan dan prosedur penggunaan teknologi informasi
Jaringan Komunikasi
k. Pengamanan Informasi i. Business Continuity Plan
Aspek-aspek dalam kebijakan dan prosedur
g. End User Computing e. Electronic Banking
Bab III, pasal 8
c. Penggunaan pihak penyedia jasa IT
Pengamanan Informasi Ditujukan agar informasi yang dikelola terjaga kerahasiaan (confidentiality), Integritas (integrity) dan ketersediaan (availability) Pengamanan Informasi dilaksanakan secara efektif, dengan memperhatikan : Confidentiality
: Informasi hanya bisa diakses oleh pihak yang berhak
Integrity
: Informasi akurat dan utuh
Availability
: Informasi tersedia saat diperlukan
Effective
: Informasi relevan dan berguna serta disampaikan tepat waktu, benar dan konsisten
Efficient
: Informasi dihasilkan dengan menggunakan sumber daya yang optimal (produktif dan ekonimis) Bab III, pasal 14
Surat Edaran BI (SEBI) No.9/30/Dpnp • Ketentuan Pelaksanaan PBI tercantum dalam Surat Edaran Bank Indonesia No.9/30/Dpnp tgl 12 Desember 2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum • Berisi 10 Bab, Bab V Pengamanan Informasi
4. PBI dan ISO/IEC 27001 Ruang Lingkup Manajemen Risiko Pengamanan Informasi (PBI pasal 14 dan SE bab 5)
Management Oversight
Policies & Procedures
Internal Controls
Risk Management Processes
• Meng identifikasi risiko • Mempersiapkan dokumen ISMS • Audit Internal • Tinjauan Manajemen
PBI dan ISO 27001 PBI / SE • Tugas dan tanggung jawab (ISO 2) • Memiliki dan menerapkan kebijakan Dan prosedur (ISO 1) mencakup Sekurang-ku rang nya : • Pengelolaan Aset (ISO 3) • Pengelolaan Sumber Daya Manusia (ISO 4) • Pengamanan Fisik dan Lingkungan (ISO 5) • Pengamanan Logic (ISO 7) • Operasional TI (ISO 6) • Penanganan Insiden (ISO 9) • Prosedur lainnya : Pengembangan dan Pengadaan Sistem (ISO 8), Jaringan Komunikasi Data (ISO 6), BCP Dan DRP (ISO 10), Outsourcing dll
ISO / IEC 17799 / 27001 Information Technology – Security Techniques – Code of Practice for Information Security Management 1. 2. 3. 4. 5. 6.
Security Policy Organization of Information Security Asset Management Human Resources Security Physical and Enviromental Security Commnunications dan Operations Management 7. Access Control 8. Information Systems Acquisition, Development and Maintenance 9. Information Security Incident Management 10. Business Continuity Management 11. Compliance
Mapping control di PBI dan ISO 27001/27002 PBI
BAB
SUB MAIN CONTROL BAB
ISO CONTROL
2.1.1
II.Pengembangan dan Pengadaan Sistem
2.2.0
Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkahlangkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasiaannya dan integritasnya serta mendukung pencapaian tujuan Bank
1.2.1
Security requirements analysis and spesification
2.1.2
II.Pengembangan dan Pengadaan Sistem
2.2.0
Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkahlangkah pengendalian yang mencakup: a.Menetapkan dan menerapkan prosedur dan metodologu pengembangan dan pengadaan teknologi informasi secara konsisten
10.1. 1
Document Operating Procedures
2.1.3
II.Pengembangan dan Pengadaan Sistem
2.2.0
b.Menerapkan manajemen proyek dalam pengembangan aplikasi yang utama
Tidak ada di ISO, ada di best practice yang lain seperti COBIT dan PMBOK
Mapping control di PBI dan ISO 27001/27002 (cont’) ¾
¾
¾
Tidak semua control di ISO 27001/27002 tercantum di dalam PBI Tidak semua control PBI tercantum di ISO 27001/27002 Secara garis besar kesesuaian control di ISO 27001/27001 dengan PBI adalah :
65% Sumber : Bank Indonesia LEMTI - U I
5. Implementasi PBI di Perbankan Sudut Pandang terhadap PBI There is no standard that has “one size fits all” character
Mengapa ?? • Setiap bank memiliki sruktur organisasi/ Kompleksitas TI dan kebutuhan bisnis yang berbeda-beda. Oleh karena itu, tidak ada suatu acuan yang dapat diaplikasikan secara merata ke seluruh bank
Set of Controls – Risk Based Point of View
• Setiap bank memiliki resiko yang berbeda beda.Oleh karena itu, implementasi kontrol Untuk setiap Bank berbeda dan harus Melalui analisa resiko sebelumnya
Beyond Compliance
• Dengan mematuhi suatu acuan/peraturan Bank sebenarnya dapat meraih manfaatManfaat yang mendukung tercapainya tujuan bisnis.
Metodologi Define
QUICK SCAN
Identify PIC
Analyze
Identify IT Management
Review
Perform Interview
Deliverables
Executive Summary Compliance Gap
Schedule Interview
Review diatas akan memberikan gambaran mengenai tingkat kepatuhan Bank Terhadap PBI. Sebuah daftar kontrol yang disusun berdasarkan PBI dan Pedomannya akan diberikan nilai “patuh/tidak patuh” melalui wawancara dengan PIC terkait. Melakukan kajian dokumentasi dan inspeksi, misalkan dokumen framework Security, hasil assesment dokumen terhadap kontrol di PBI
Management Presentation
IT Security Framework Corporate Vision / Mission
Regulatory Requirements
Trends
Stakeholders / Customers
Security Policies /Standards /Guidelines /Procedures
Organization of Security
Compliance Management Framework
Enforcement & Compliance Checking
Physical Security Secure
3rd Party Management
Security Team
HR Security
Asset Management Equipment Security
Areas
Business Continuit Management
Asset Inventory Classification & Handling
Training/ Awareness
Recruitment /Termination
Incident Management Communications & Operations Mgmt
System Acquisition Development & Maintenance
Network Security
Operational Procedures
Access Control
Application
Host
Network
User Access Mgmt
Mobile Computing
Assesment Document terhadap kontrol PBI di Bab V Keamanan Informasi
No
PBI/SEBI
BANK A
PIC
TD
Progress
Status
BAB V. Keamanan Informasi 1
Keb Keamanan Informasi
IT Policy. H
ITC
Mar-09
100%
Done
4
Std Pengamanan Logik
H.01.01.S12 Logical Access Control
ITC
Dec-09
100%
Done
6
Std Penanganan Insiden (CSIRT/CERT)
H.01.01.S10 Incident Response for Device Related Security Events & Security Incident Response H.03.06.P01
ITC
Jan-00
100%
Done
7
Std Anti Virus
H.01.01.S01 Anti Virus
ITC
Dec-09
100%
Done
8
Std Access Control Matrix
H.01.01.S20 Access Control Matrix
ITC
Dec-09
50%
Progre ss
9
Std Security Key
Key Management Manual H.01.01.M03
ITC
Oct-09
100%
Done
10
Std Userid
Pengelolaan User ID H.01.01.M34
ITC, ITP
May-10
100%
Done
11
Std Password
H.01.01.S26
ITC
Dec-09
100%
Done
12
Licensing
(PPPJTI)Form Check List sesuai PBI-SEBI
ITC
30%
Progre ss
14
Pro Userid & Password Admin
Pengelolaan User ID H.01.01.M34
ITSEC
May-10
100%
Done
15
Pro Key Generation & Distribution
Key Management Manual H.01.01.M03
ITSEC,ITG
Oct-09
100%
Done
6. Roadmap and Action Plan Initiatives
Immediate
Short Term (1-3 years)
Long Term (3-5 years)
Security Policy Add New Information Security Procedures
x
Policy Enforcement
x
x
x
Policy Review
x
x
x
Policy Socialization
x
x
x
Review of user access rights
x
x
x
Revise user access control implementation
x
x
Revise network design / implementation
x
x
Revise server authentication mechanism
x
x
Access Control
7. Penutup • PBI 9/15/PBI/2007 dan SE-nya telah mencantumkan ketentuan terkait pengamanan informasi di perbankan • Penerapan PBI/SE dan atau ISO 27001/27002 tidak menjamin bahwa bank aman dari serangan/gangguan TI/informasi, namun paling tidak : – Telah terdapat proses peningkatan kontrol pengamanan TI yang berkesinambungan – Mengacu pada international best practice
• Penerapan PBI dan atau ISO 27001/27002 jangan hanya sebatas pada pemenuhan / ketaatan pada persyaratan / requirement namun harus didasarkan pada kesadaran terhadap pentingnya pengamanan informasi dan pengoptimalan TI untuk memberikan nilai tambah bagi bank
Sumber:
Budi Restianto
