BAB I PENDAHULUAN
1.1 Latar Belakang PT. Bank Rakyat Indonesia (Persero) Tbk. merupakan salah satu bank milik pemerintah yang memiliki jaringan terluas dan terbesar di Indonesia. Bank yang awalnya bernama De Poerwokertosche Hulp en Spaarbank der Inlandsche Hoofden didirikan 16 Desember 1895 di Purwokerto, Jawa Tengah oleh Raden Bei Aria Wirjaatmadja. Bank yang telah berdiri 118 tahun ini memiliki 9.736 kantor. PT. Bank Rakyat Indonesia (Persero) Tbk. terdiri dari Kantor Pusat, Kantor Wilayah, Kantor Cabang, Kantor Cabang Pembantu, Kantor Unit, Kantor Kas Bayar, Teras BRI dan Teras Mobile yang tersebar diseluruh Indonesia. PT. Bank Rakyat Indonesia (Persero) Tbk. memiliki jaringan setiap kecamatan yaitu kantor unit. Kantor unit bertugas untuk menghimpun dan menyalurkan kembali dana pada masyarakat dalam lingkup kecamatan. Kantor unit melayani kredit namun terbatas misalnya KUR maksimal dua puluh juta rupiah, kredit modal kerja dan kredit investasi maksimal seratus juta rupiah. Sumber daya manusia yang ada di kantor unit meliputi kepala unit, mantri, customer service, teller, satpam, cleaning service dan penjaga malam. Setiap pegawai memiliki komputer masing-masing yang tersambung oleh aplikasi BRINET kecuali satpam, cleaning service dan penjaga malam. Aplikasi BRINET isinya meliputi sistem operasional dan sistem pelaporan yang terintegrasi dengan Kantor Pusat Jakarta.
1
2
Salah satu kantor unit terletak di kecamatan Sukomoro di Jalan Raya Tinap No. 196 Kabupaten Magetan. Kantor Unit Sukomoro merupakan satu dari dua puluh tiga kantor unit yang dibawahi oleh Kantor Cabang Magetan. Kantor unit ini memiliki satu mesin ATM (Anjungan Tunai Mandiri), server dan beberapa komputer yang terintegrasi dengan aplikasi BRINET. Aplikasi BRINET menghubungkan seluruh jaringan PT. Bank Rakyat Indonesia (Persero) Tbk. diseluruh Indonesia. PT. Bank Rakyat Indonesia (Persero) Tbk. berada dibawah Bank Indonesia dimana semua Kantor dari PT. Bank Rakyat Indonesia (Persero) Tbk. tersebut wajib memenuhi peraturan dari Bank Indonesia terutama dalam hal keamanan informasi. Keamanan Informasi penting karena kebocoran, kerusakan, ketidakakuratan, ketidaktersediaan atau gangguan lain terhadap informasi tersebut dapat menimbulkan dampak yang merugikan baik secara finansial maupun nonfinansial bagi bank (Direktorat Penelitian dan Pengaturan Perbankan, 2007). Kantor Unit Sukomoro memenuhi peraturan keamanan informasi dari Bank Indonesia untuk memberikan jaminan keamanan kepada nasabah. Saat ini belum ada audit eksternal yang spesifik mengenai keamanan informasi pada Kantor Unit Sukomoro. Selama ini audit eksternal dari Bank Indonesia untuk Kantor Unit dari PT. Bank Rakyat Indonesia (Persero) Tbk. seluruh Indonesia dilakukan dengan mengambil sampling. Kantor Unit Sukomoro yang berada dibawah Kantor Cabang Magetan belum pernah menjadi sampling dari Bank Indonesia sehingga Kantor Unit Sukomoro perlu untuk mengetahui sejauh mana keamanan informasi yang diterapkan telah memenuhi peraturan Bank Indonesia. Untuk mengetahui tingkat keamanan informasi tersebut diperlukan audit keamanan informasi.
3
Audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro menggunakan regulasi yang berlaku saat ini yaitu Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007. Surat Edaran Nomor 9/30/DPNP berisi tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Dalam Surat Edaran Nomor 9/30/DPNP terdapat Lampiran 1 yang berisi Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Pedoman tersebut digunakan sebagai pedoman dalam audit yang dilakukan. Dalam audit ini akan dibandingkan kesesuaiannya antara operasional dengan peraturan dari Bank Indonesia karena masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi (Rahardjo, 2005). Audit Keamanan Informasi ini menggunakan penerapan manajemen risiko yang bertujuan untuk meminimalkan risiko yang dapat menggagalkan visi dan misi dari bank. Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum merupakan pokok-pokok penerapan manajemen risiko dalam penggunaan Teknologi Informasi yang harus diterapkan oleh Bank. Dalam penelitian ini Pedoman tersebut dibantu dengan referensi ISO 27002 tahun 2013 untuk hal pengecekan terutama dalam hal kontrol keamanannya. Pada ISO 27002 tahun 2013 kontrol keamanan yang diperiksa cukup jelas sedangkan pada Pedoman merupakan garis besarnya. Pada audit ini terdapat dua prosedur yang tidak dapat dilakukan pada Kantor Unit Sukomoro yaitu tentang prosedur pengelolaan sumber daya manusia dan prosedur pengamanan logic. Kedua prosedur ini tidak dapat diaudit karena
4
prosedur tersebut wewenang kantor pusat. Kantor Unit Sukomoro hanya bertindak sebagai pengguna. Dengan adanya audit keamanan informasi yang menggunakan regulasi dari Bank Indonesia pada Kantor Unit Sukomoro ini diharapkan dapat membantu mengetahui tingkat keamanan informasi yang telah diterapkan. Hasil audit keamanan informasi ini menghasilkan rekomendasi yang dapat digunakan untuk meningkatkan keamanan informasi pada Kantor Unit Sukomoro. 1.2 Perumusan Masalah Berdasarkan latar belakang masalah yang telah diuraikan, maka dapat dirumuskan permasalahan sebagai berikut. 1.
Bagaimana melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.
2.
Bagaimana menyusun laporan audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.
3.
Bagaimana melaporkan hasil rekomendasi dari audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.
1.3 Pembatasan Masalah Batasan permasalahan dalam audit ini adalah sebagai berikut: 1.
Penelitian membahas tentang Pengamanan Informasi berdasarkan risiko yang sesuai dengan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.
2.
Data yang diambil adalah data Maret 2013 hingga Maret 2014.
5
3.
Prosedur yang tidak diaudit adalah Prosedur Pengelolaan Sumber Daya Manusia dan Prosedur Pengamanan Logic karena hal tersebut wewenang Kantor Pusat.
4.
Audit dilakukan pada kegiatan operasional Bank meliputi pembukaan rekening simpanan baru, pembukaan rekening pinjaman baru, pengambilan atau penyetoran uang melalui teller dan penarikan laporan harian.
5.
Aset yang berkaitan dengan informasi yang berupa perangkat lunak dan jaringan tidak dilakukan audit karena wewenang Kantor Cabang.
1.4 Tujuan Berdasarkan rumusan masalah yang ada maka tujuan yang ingin dicapai dalam penelitian ini adalah sebagai berikut. 1.
Melaksanakan audit keamanan informasi pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan menganalisa hasil wawancara berupa bukti dan temuan-temuan audit sehingga dapat mengukur risiko yang terjadi.
2.
Menyusun laporan audit keamanan informasi pada pada PT. Bank Rakyat Indonesia (Persero) Tbk. Unit Sukomoro berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007 dengan melakukan analisa dan evaluasi dari bukti dan temuan yang didapat sehingga menghasilkan laporan audit yang berupa temuan dan rekomendasi.
3.
Melaporkan hasil rekomendasi dari audit keamanan informasi berdasarkan Surat Edaran Bank Indonesia Nomor 9/30/DPNP tanggal 12 Desember 2007.
6
1.5 Sistematika Penulisan Laporan Tugas Akhir (TA) ini ditulis dengan sistematika penulisan sebagai berikut : BAB I:
PENDAHULUAN Pada Bab ini membahas tentang latar belakang masalah dan penjelasan permasalahan secara umum, perumusan masalah serta batasan masalah, tujuan dari pembuatan tugas akhir dan sistematika penulisan buku ini.
BAB II:
LANDASAN TEORI Pada Bab ini membahas mengenai teori yang digunakan pada penelitian audit keamanan informasi pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Teori yang digunakan adalah audit, informasi, keamanan informasi, surat edaran Bank Indonesia nomor 9/30/DPNP tanggal 12 Desember 2007, ISO 27002:2013, manajemen risiko dan penilaian risiko.
BAB III:
METODE PENELITIAN Pada Bab ini berisi uraian mengenai tahapan audit keamanan informasi yang diterapkan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro. Terdapat empat tahap audit yang dilakukan yaitu tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit dan tahap pelaporan audit.
7
BAB IV:
HASIL DAN PEMBAHASAN Pada Bab ini berisi uraian hasil dan pembahasan dari tahapan audit yang telah dilakukan pada PT. Bank Rakyat Indonesia (persero) Tbk. Unit Sukomoro.
BAB V:
PENUTUP Pada Bab ini berisi kesimpulan dari Tugas Akhir, serta saran sehubungan dengan adanya kemungkinan pengembangan pada penelitian selanjutnya.