76
BAB IV PEMBAHASAN
4.1
Manajemen Risiko TI dan Risiko TI pada PT Bank Sinarmas PT Bank Sinarmas saat ini telah menerapkan Manajemen Risiko sesuai dengan
Lampiran 1 Surat Edaran BANK INDONESIA No.5/21/DPNP tanggal 29 September 2003 tentang “Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum”. Perusahaan telah membentuk Komite Manajemen Risiko Bank yang diketuai oleh Direktur Kepatuhan. Satuan Kerja Manajemen Risiko Perusahaan terdiri dari empat orang dan bertanggung jawab langsung kepada Direktur Utama. Komite Manajemen Risiko menangani segala bentuk risiko yang terjadi pada bank, diantaranya adalah risiko kredit, risiko pasar, risiko likuiditas, risiko operasional, risiko hukum, risiko reputasi, risiko strategis, dan risiko kepatuhan. Hingga saat ini Komite Pemantau Risiko bekerja dengan Komite Manajemen Risiko dan Satuan Kerja Manajemen Risiko dalam menangani risiko-risiko pada PT Bank Sinarmas. Berdasarkan analisa penulis, PT Bank Sinarmas telah mengimplementasikan Manajemen Risiko dengan baik karena semua anggota Direksi dan Dewan Komisaris yang berfungsi sebagai Komite Manajemen Risiko, Komite Pemantau Risiko dan Satuan Kerja Manajemen Risiko telah memperoleh sertifikasi manajemen risiko yang diberikan oleh Badan Sertifikasi Manajemen Risiko dan Bank Indonesia. Akan tetapi walaupun telah memiliki Manajemen Risiko yang baik, PT Bank Sinarmas hingga saat ini tidak memiliki Divisi atau Staff khusus untuk menangani risiko-risiko TI dan tidak memiliki Direktur TI yang khusus menangani rencana strategis
76
77
TI, kebijakan dan prosedur, serta masalah-masalah yang ada pada Divisi TI. Semua hal yang berhubungan dengan Divisi TI dikelola oleh Direktur Operasional. Inilah yang menjadi kelemahan perusahaan dalam mengatasi masalah (risiko) TI, yaitu semua hal yang berhubungan dengan Divisi TI dikelola oleh Direktur Operasional, selain itu Divisi TI juga tidak pernah mendokumentasikan risiko-risiko yang telah terjadi. Inilah yang menjadi kelemahan perusahaan dalam mengatasi masalah (risiko) TI. Untuk mengatasi risiko TI, Manajemen perlu melakukan beberapa proses. Proses Manajemen Risiko TI yang harus dilakukan pada PT Bank Sinarmas dengan menggunakan pedoman Peraturan Bank Indonesia, meliputi jenis-jenis risiko TI sebagai berikut ini: Risiko-risiko yang dapat terjadi pada PT Bank Sinarmas: a. Risiko Operasional Contoh kejadian yang ada pada PT Bank Sinarmas adalah: 1.
Kesalahan posting/pembukuan
2.
Mesin ATM tidak dapat digunakan untuk melakukan transaksi
b. Risiko Reputasi Risiko Reputasi dapat muncul sebagai akibat adanya keluhan dari nasabah karena adanya kesalahan/error sistem teknologi serta kegagalan transaksi yang dialami nasabah. Risiko Reputasi tersebut juga dapat muncul akibat kesalahan yang dilakukan oleh pihak ketiga sebagai penyedia sarana penunjang sistem teknologi. c. Risiko Strategis Dalam hal ini risiko yang ada adalah kehilangan data dan pencurian data transaksional harian bank oleh pihak yang tidak berwenang, sehingga untuk masa
78
yang akan datang, manajemen perlu menerapkan strategi pengamanan data atau pengotorisasian penggunaan data. d. Risiko Kepatuhan Divisi TI PT Bank Sinarmas memutuskan untuk mengimplementasikan salah satu proyek seperti Internet Banking. Implementasi proyek, telah direncanakan untuk berjalan pada tanggal 1 Maret 2008. Pihak Divisi TI telah membuat laporan kepada Bank
Indonesia
tentang
rencana
proyek
tersebut
dua
bulan
sebelum
diimplementasikan, dan satu bulan setelah proyek diimplementasikan. Akan tetapi, pada tanggal 3 Maret 2008 proyek tersebut baru dapat diimplementasikan, sehingga waktu pengimplementasian proyek tidak sesuai dengan yang direncanakan (1 Maret 2008). Oleh karena keterlambatan implementasi, Bank membayar sanksi atas keterlambatan proyek selama dua hari. Sanksi tersebut yang diartikan sebagai risiko kepatuhan. e. Risiko Likuiditas (scope pada ATM) Risiko likuiditas dapat muncul apabila: 1. Bank memiliki jumlah ATM yang banyak, sehingga diperlukan penyediaan dana kas yang sangat besar untuk alokasi pengisian uang diseluruh mesin ATM. 2. Jumlah transaksi di mesin ATM yang sangat rendah, sehingga uang yang diisikan ke mesin ATM tidak digunakan (idle money). 3. Nasabah tidak dapat melakukan penarikan uang dari mesin ATM karena uang di mesin ATM tidak tersedia atau habis. 4. Tidak dapat / gagal melakukan settlement dengan bank lain peserta anggota jaringan ATM lokal atau internasional.
79
f. Risiko Hukum (scope pada ATM) Risiko hukum dapat timbul akibat: 1.
Perselisihan antara nasabah dengan Bank terkait dengan transaksi nasabah di ATM yang menyebabkan kerugian finansial di pihak nasabah atau Bank.
2.
Perselisihan dengan pihak luar sehubungan dengan penggunaan lisensi perangkat lunak mesin ATM dan mesin switching.
3.
Perselisihan dengan bank lain yang menjadi anggota jaringan ATM lokal/internasional.
4.2. Pembahasan Pengukuran Risiko 4.2.1
Proses Pengukuran Risiko Terhadap Aset TI pada PT Bank Sinarmas Proses pengukuran risiko terhadap aset TI dengan menggunakan pedoman
Peraturan Bank Indonesia belum pernah dilakukan sebelumnya oleh kelompok atau perusahaan lain karena pedoman tersebut baru diedarkan pada tahun 2007, dengan Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007.
4.2.1.1 Penilaian Risiko Penulis melakukan identifikasi terhadap aset TI yang penting bagi unit kerja pengguna dan unit kerja penyelenggara TI dengan menentukan pemilik aset risiko agar risiko yang diidentifikasi dan dinilai atau diukur dapat dipantau oleh manajemen yang biasa disebut dengan Risk Register. Untuk menghasilkan risk register ini perlu langkah-langkah tertentu yang harus dilakukan. Saat ini terdapat berbagai macam pendekatan, langkah dan metode dapat digunakan dalam penilaian risiko penggunaan Teknologi Informasi (TI) misalnya
80
dengan pedekatan aset atau pendekatan proses. Berikut ini adalah beberapa tahap yang penulis lakukan dalam mengukur risiko aset TI, sebagai berikut:
1. Identifikasi Aset Pada langkah ini, sebelumnya penulis telah melakukan pengumpulan data dan pengolahan data terhadap aset-aset yang ada, yaitu sebagai berikut: 1. Aset Hardware (lih. Tabel Lampiran 1.1 Aset Hardware, hal. L1) Dalam tabel ini, penulis menjelaskan aset-aset hardware pada setiap lokasi yang ada di setiap cabang PT Bank Sinarmas. 2. Aset Software (lih. Tabel Lampiran 1.2 Aset Software, hal. L49) Dalam tabel ini, penulis menjelaskan aset-aset software pada setiap lokasi yang ada di cabang, KCU, KPNO, maupun Data Center PT Bank Sinarmas. 3. Aset Informasi (lih. Tabel Lampiran 1.3 Aset Informasi, hal. L68) Dalam tabel ini, penulis menjelaskan aset-aset informasi pada setiap lokasi yang ada di cabang, KCU, KPNO, maupun Data Center PT Bank Sinarmas. 4. Aset Sumber Daya Manusia (Human Resource) (lih. Tabel Lampiran 1.4 Aset SDM, hal. L79) Dalam tabel ini, penulis menjelaskan aset-aset sumber daya manusia pada setiap lokasi yang ada di cabang dan KPNO PT Bank Sinarmas.
2. Identifikasi Risiko dan Evaluasi Risiko yang Terkait dengan Aset Pada tahap ini, penulis mengidentifikasi risiko-risiko dan jenis-jenis risiko yang terkait dengan aset berikut:
81
a. Aset Hardware (lih. Tabel Lampiran 1.1.1 Identifikasi dan Evaluasi Risiko pada Aset Hardware, hal. L4) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. b. Aset Software (lih. Tabel Lampiran 1.2.1 Identifikasi dan Evaluasi Risiko pada Aset Software, hal. L50) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. c. Aset Informasi (lih. Tabel Lampiran 1.3.1 Identifikasi dan Evaluasi Risiko pada Aset Informasi, hal. L67) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas. d. Aset SDM (lih. Tabel Lampiran 1.4.1 Identifikasi dan Evaluasi Risiko pada Aset SDM, hal. L83) Pada tabel ini, penulis mengidentifikasi risiko-risiko yang dapat terjadi pada asetaset hardware dan jenis-jenis risiko yang dapat terjadi pada PT Bank Sinarmas.
3. Analisa Kerawanan Pada tahap ini penulis menganalisa kerawanan, yakni kerawanan yang timbul akibat risiko-risiko yang dapat terjadi pada aset-aset berikut: a. Aset Hardware (lih. Tabel Lampiran 1.1.2 Analisa Kerawanan pada Aset Hardware, hal. L8) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset hardware.
82
b. Aset Software (lih. Tabel Lampiran 1.2.2 Analisa Kerawanan pada Aset Software, hal. L49) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset Software. c. Aset Informasi (lih. Tabel Lampiran 1.3.2 Analisa Kerawanan pada Aset Informasi, hal. L68) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset Informasi. d. Aset SDM (lih. Tabel Lampiran 1.4.2 Analisa Kerawanan pada Aset SDM, hal. L81) Pada tabel ini penulis melampirkan hasil analisa kerawanan pada aset-aset hardware.
4. Pengukuran Kecenderungan Nilai Risiko Dasar dan Akhir Untuk menentukan tingkatan-tingkatan yang ada, penulis mengukur risiko-risiko yang ada pada aset-aset hardware, software, informasi dan SDM dengan menggunakan tabel Pengukuran Kecenderungan (Probability). (lih. Tabel 2.2 Tingkatan Pengkuran (Sumber:PBI), hal. 33).
5. Pengukuran Dampak Penulis mengukur dan menganalisa risiko-risiko yang dapat terjadi dengan menggunakan tabel Klasifikasi Dampak dalam menentukan seberapa sering atau potensi gangguan yang dapat terjadi terhadap proses bisnis (transaksi) yang ada. (lih. Tabel 2.3 Klasifikasi Dampak (Sumber: PBI), hal. 34).
83
6. Penentuan Nilai Risiko Dalam menentukan nilai risiko dan potensi yang dapat timbul, penulis mengukur dengan menggunakan tabel Penentuan Nilai Risiko. (lih. Tabel 2.4 Risk Register (Sumber: PBI), hal. 35).
7. Identifikasi Pengendalian yang Diimplementasikan Sebelum penulis melakukan identifikasi pengendalian yang diimplementasikan, penulis melakukan pengumpulan data dengan metode wawancara (lih. Lampiran Wawancara, hal. LW1). 1. Aset Hardware Pada aset hardware, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset hardware, dan kontrol yang tidak ada pada aset-aset hardware. (lih. Tabel Lampiran 1.1.3 Identifikasi Pengendalian pada Aset Hardware, hal. L12). 2. Aset Software Pada aset Software, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset hardware, dan kontrol yang tidak ada pada aset-aset Software. (lih. Tabel Lampiran 1.2.3 Identifikasi Pengendalian pada Aset Software, hal. L49). 3. Aset Informasi Pada aset Informasi, penulis melakukan pengendalian dengan menganalisa kontrol-kontrol yang sudah ada pada aset-aset Informasi, dan kontrol yang tidak ada pada aset-aset Informasi. (lih. Tabel Lampiran 1.3.3 Identifikasi Pengendalian pada Aset Informasi, hal. L66).
84
4. Aset SDM Pada aset SDM, penulis melakukan pengendalian dengan menganalisa kontrolkontrol yang sudah ada pada aset-aset SDM, dan kontrol yang tidak ada pada aset-aset SDM. (lih. Tabel Lampiran 1.4.3 Identifikasi Pengendalian pada Aset SDM, hal. L82).
4.2.2 Analisa Proses Bisnis yang Terlibat dalam Aset TI PT Bank Sinarmas Sebelum penulis melakukan pengukuran, penulis melakukan analisa terhadap transaksi-transaksi (proses bisnis yang berhubungan dengan nasabah PT Bank Sinarmas) yang dilakukan oleh, sebagai berikut:
86
4.2.2.1 Analisa Proses Bisnis Teller Tabel 4.1 Transaksi Bagian Teller (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register)
Transaksi
1) Tarik Tunai
Aset TI Hardware yang
Aset TI Software yang
Aset TI Informasi yang
Aset TI Sumber Daya
Terlibat dengan
Terlibat dengan
Terlibat dengan
Manusia yang Terlibat
Transaksi
Transaksi
Transaksi
dengan Transaksi
1, 2 , 7-9, 10, 14-18, 19,
1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1,2,4,5,8,9,10,12
1,2
1
20, 21, 24, 25, 30, 31 2) Setor Tunai
1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31
3) Pemindahbukuan
1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31
4) Penjualan/Pembelian Banknotes 5) Transfer SKN
1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31 1, 2, 5, 7-9, 10, 11-13, 1418, 19, 20, 21, 24, 25, 28,
85
87
30, 31 6) Transfer RTGS
1, 2, 6, 7-9, 10, 11-13, 14-
1,2,4,5,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1, 2, 7-9, 10, 14-18, 19, 20, 1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
1,2,4,8,9,10,12
1,2
1
18, 19, 20, 21, 28, 30, 31 7) Pembelian Travel Cheque 8) Penjualan Travel Cheque 9) Pencairan Deposito
2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31 1, 2 , 7-9, 10, 14-18, 19, 20, 21, 24, 25, 30, 31
10) Setor/Tarik Kelebihan/Kekurangan
24, 25
Kas 11) Inkaso Valas
1, 2 , 7-9, 10, 14-18, 19, 20, 21, 30, 31
12) Setor/Tarik Tunai via Fokus Group
18, 19, 20, 21, 28, 30, 31
86
1, 2, 6, 7-9, 10, 11-13, 14-
77
4.2.2.2 Analisa Proses Bisnis Customer Service Tabel 4.2 Transaksi Bagian Customer Service (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register)
Transaksi
1) Pendataan/Inquiry/Peruba han Info Nasabah 2) Pembukaan Tabungan
Aset TI Hardware yang
Aset TI Software yang
Aset TI Informasi yang
Aset TI Sumber Daya
Terlibat dengan
Terlibat dengan
Terlibat dengan
Manusia yang Terlibat
Transaksi
Transaksi
Transaksi
dengan Transaksi
2, 7-9, 10, 14-18, 19, 20,
3,6,7,10,11
1
2
3,6,7,10,11
1
2
3,6,7,10,11
1,2
2
3,6,7,10,11
1,2
2
3,6,7,10,11
1,2
2
21, 30, 31 2, 7-9, 10, 14-18, 19, 20, 21, 30, 31
3) Penutupan Tabungan
2, 7-9, 10, 14-18, 19, 20, 21, 30, 31
4) Pembukaan Giro
2, 7-9, 10, 14-18, 19, 20, 21, 30, 31
5) Penutupan Giro
2, 7-9, 10, 14-18, 19, 20, 21, 30, 31
87
78
6) Permintaan dan
2, 7-9, 10, 14-18, 19, 20,
Penyerahan Cek/BG
21, 30, 31
7) Penempatan Deposito
2, 7-9, 10, 14-18, 19, 20,
3,6,7,10,11
1,2
2
3,6,7,10,11
1,2
2
3,6,7,10,11
1,2
2
21, 30, 31 8) Pencairan Deposito
2, 7-9, 10, 14-18, 19, 20, 21, 30, 31
88
79
4.2.2.3 Analisa Proses Bisnis ATM Tabel 4.3 Transaksi Bagian ATM (Ket: angka yang dimasukkan adalah nomor aset pada Risk Register)
Transaksi
1) Tarik Tunai
Aset TI Hardware yang
Aset TI Software yang
Aset TI Informasi yang
Aset TI Sumber Daya
Terlibat dengan
Terlibat dengan
Terlibat dengan
Manusia yang Terlibat
Transaksi
Transaksi
Transaksi
dengan Transaksi
44, 7-9, 10, 14-18, 19, 20,
1,2,4,8,9,10
2
-
1,2,4,8,9,10
2
-
1,2,4,8,9,10
2
-
1,2,4,8,9,10
2
-
21, 22, 23, 26, 29, 30, 31 2) Transfer (ALTO, PRIMA, ATM Bersama) 3) Pemindahbukuan
44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31 44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31
4) Informasi Saldo on Us
44, 7-9, 10, 14-18, 19, 20, 21, 22, 23, 26, 29, 30, 31
89
90 77
4.2.3 Pengukuran Terhadap Data-Data yang Terkumpul Setelah penulis melakukan Identifikasi Aset, Identifikasi Risiko dan Evaluasi Risiko yang Terkait dengan Aset, Analisa Kerawanan, Pengukuran Kecenderungan Nilai Risiko Dasar dan Akhir, Pengukuran Dampak, Penentuan Nilai Risiko, Identifikasi Pengendalian yang Diimplementasikan, dan menganalisa transaksi-transaksi yang terlibat dalam aset TI PT Bank Sinarmas, penulis melakukan pengukuran risiko-risiko pada aset-aset dari data-data yang telah terkumpul ke dalam tabel Risk Register PBI, sebagai berikut:
92
4.2.3.1 Pengukuran Risiko Aset Hardware Tabel 4.4 Risk Register Hardware No
Aset IT
Deskripsi Risiko
Analisa Kerawanan
Inheren
Kontrol yang Ada
1
1
2
3
Nilai
Kecende
Dampak
Nilai
Kecende
Dampak
Nilai
Risiko
rungan
(min=1,
Risiko
rungan
(min=1,
Risiko
Dihara
(min=1,
maks=5)
Dasar
(min=1,
maks=5)
Akhir
pkan
8
9
10
11
Level 1
Level 2
maks=5)
0
Residual
maks=5)
4
5
6
Level 1
Level 5
High
7
S1 Cashier
Tidak dapat
-Hardware
Computer
melakukan
rusak masalah
service
beberapa
Grounding
maintenance
transaksi karena
-Karena daya
secara berkala
Operating System
listrik di kantor
oleh pihak staf TI
(OS) windows
kecil sehingga
pada komputer
tegangan
tidak berfungsi
listrik tidak
Melakukan
Low
-
stabil 91
92
93
2
Level 2
Level 5
High
Melakukan
Computer Client Tidak dapat
-Server Down
(Teller,CS, dan
melakukan
-Hardware
service
sebagainya)
beberapa
rusak karena
maintenance
transaksi karena
Grounding
secara berkala
Level 1
Level 1
Low
Low
oleh pihak staf TI
Operating System (OS) windows pada komputer tidak berfungsi 3
Printer Teller:
Printer tidak
Salah
SP172MC
dapat digunakan
konfigurasi
Level 2
Level 2
Low
-
Level 2
Level 1
Low
-
Level 1
Level 2
Low
-
Level 1
Level 1
Low
-
(salah install driver, dsb) ketika pertama kali pemasangan (installasi) 4
Pinpad Teller:
Tidak berfungsi
Salah
92 93
94
Ingenico
(biasanya Terjadi
konfigurasi
(aktivasi ATM)
pada saat
(salah install
pemasangan
driver, dsb)
pertama)
ketika pertama kali pemasangan (installasi)
5
Server TPU
Nasabah tidak
- Hardware
SKN
dapat melakukan
rusak karena
cabang KCU
(kantor cabang
transaksi SKN /
Grounding
(tempat SKN
dan kantor
RDGS
(tidak
berada), memiliki
berfungsi)
satu backup PC
- Software
minimum, yg ter-
rusak
register ke BI.
pusat)
Level 3
Level 3
Medium
Masing-masing
Level 1
Level 2
Low
Low
- Listrik tidak stabil - Human Error
93
95
(saat update patch) 6
Server RTGS
Nasabah tidak
- Hardware
(kantor pusat )
dapat melakukan
rusak karena
back up PC
transfer dana
Grounding
- Menyediakan
RTGS dalam 1
- Software
leased line
hari
rusak
- Menyediakan
- Listrik tidak
backup jaringan
stabil
khusus untuk
- Human Error
RTGS
(saat update
-Menyediakan
patch)
juga prosedur
Level 2
Level 3
Medium
- Menyediakan
Level 1
Level 1
Low
-
pengetesan berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan
94
96
serta dibuatkan berita acara-nya) - Untuk RTGS, setiap kali ada perubahan versi software, juga dipelihara CDnya, disimpan dalam SDB dan selalu disamakan versinya antara server production dan server backup)
7
LAN: Client to
Kabel mudah
- Tidak
Level 4
Level 2
Medium
- Memiliki kabel
PatchPanel
untuk putus
memakai kabel
LAN cadangan
sehingga koneksi
CAT5 atau
dan dibuatkan
Level 2
Level 1
Low
-
95
97
putus
CAT6, atau
panel tambahan
memakai kabel
(agar User bisa
palsu (jadi
mencolokkan
mudah patah)
kabel-nya ke
- Panel berada
panel ini, bila
di tembok bgn
panel yg A rusak)
bwh jadi
- Mengatur
mudah
standard untuk
tertendang staf
kontraktor (saat penarikan untuk pembukaan cabang baru) - Sebagai standard juga menyediakan kabel-kabel LAN yang dibungkus
96
98
(dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak 8
Level 4
Level 2
Medium
-Memiliki kabel
LAN: Cashier
Kabel mudah
- Tidak
to PatchPanel
untuk putus
memakai kabel
LAN cadangan
sehingga koneksi
CAT5 atau
dan dibuatkan
putus
CAT6, atau
panel tambahan
memakai kabel
(agar User bisa
palsu (jadi
mencolokkan
mudah patah)
kabel-nya ke
- Panel berada
panel ini, bila
di tembok bgn
panel yg A rusak)
bwh jadi
- Mengatur
mudah
standard untuk
tertendang staf
kontraktor (saat
Level 2
Low
-
97
Level 1
99
penarikan kabel LAN untuk pembukaan cabang baru). - Menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak.
9
LAN:
Kabel mudah
- Tidak
PatchPanel to
untuk putus
memakai kabel
LAN cadangan
Switch
sehingga koneksi
CAT5 atau
dan dibuatkan
putus
CAT6, atau
panel tambahan
Level 3
Medium
- Memiliki kabel
Level 1
Level 1
Low
-
98
Level 3
100
memakai kabel
(agar user bisa
palsu (jadi
mencolokkan
mudah patah)
kabel-nya ke
- Panel berada
panel ini, bila
di tembok bgn
panel yg A rusak)
bwh jadi
- Mengatur
mudah
standard untuk
tertendang staf
kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru) - Menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar
99
101
tidak digigit tikus atau putus terinjak. 10
LAN: Router
Kabel mudah
Tidak
Level 2
Level 2
Low
- Menyediakan
Juniper 2300
untuk putus
memakai kabel
back up hardware
sehingga koneksi
CAT5 atau
di regional, yang
putus
CAT6, atau
dikirimkan bila
memakai kabel
cabang ada
palsu (jadi
masalah jadi satu
mudah patah)
di sumatera, satu
Level 2
Level 1
Low
-
Level 1
Level 1
Low
-
di kalimantan (biasanya di area dimana ada masalah, backup bisa dikirimkan cepat). 11
KPNO LAN:
Kabel mudah
- Tidak
Level 1
Level 2
Low
-Memiliki kabel
100
102
RTGS to
untuk putus
memakai kabel
LAN cadangan
PatchPanel
sehingga koneksi
CAT5 atau
dan dibuatkan
putus
CAT6, atau
panel tambahan
memakai kabel
(agar User bisa
palsu (jadi
mencolokkan
mudah patah)
kabel-nya ke
-Panel berada
panel ini, bila
di tembok bgn
panel yg A rusak)
bwh jadi
- Mengatur
mudah
standard untuk
tertendang staf
kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru) - Menyediakan kabel-kabel LAN
101
103
yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. 12
KPNO LAN:
Hardware tidak
- Hardware
Level 1
Level 3
Medium
- Menyediakan
Modem Leased
berfungsi
rusak
back up PC
Line RTGS
sehingga tidak
Grounding
- Menyediakan
dapat megirim
- Listrik tidak
leased line
data
stabil
- Menyediakan
- Human Error
back up jaringan
(saat update
khusus untuk
patch)
RTGS
Level 1
Level 2
Low
-
- Menyediakan prosedur pengetesan
102
104
berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan serta dibuatkan berita acara-nya) - Menyediakan jaringan backup dialup yang memakai modem external 13
KPNO LAN:
Hardware tidak
- Hardware
Router Huawei
berfungsi
rusak
sehingga tidak
Grounding
dapat megirim data
Level 1
Level 3
Medium
- Menyediakan
Level 1
Level 1
Low
-
back up router
- Listrik tidak stabil - Human Error (saat update
103
105
patch) 14
WAN : Primary
Kantor cabang
Daerah kantor
Level 3
Level 5
High
- Menyediakan
Network MPLS
tidak dapat
merupakan
leased line
Modem
melakukan semua
daerah rawan
backup sebagai
transaksi
gempa
kontrol
Level 2
Level 3
Medium
Level 1
Level 2
Low
Low
- Menggunakan setting BGP (agar bisa saling ganti, tanpa manual interference dari human) jadi jika 1 putus, langsung network-nya ganti ke jaringan yang B secara otomatis. 15
WAN: Primary
Sebagian user
Jaringan
Vendor
mengalami
backhaul
Level 3
Medium
-Menggunakan
-
aplikasi MRTG
104
Level 2
106
Backhaul
request time out.
Router
penuh
untuk memonitor
menyebabkan
secara periodik,
kemacetan /
apakah backhaul
tidak ada
connection sudah
respon.
mencapai limit kapasitas yg sudah digunakan - Menyediakan back up router disetiap cabang regional
16
WAN: Switch
Grounding
dari cabang yang
hardware
Level 2
Level 4
Medium
- Menyediakan
Level 1
Level 2
Low
Low
back up Switch di
menggunakan
TI
provider A (XL,
- Menyediakan
misalnya) putus
back up table
jadi tidak bisa
routing
105
Seluruh koneksi
107
digunakan 17
WAN: “Core
Semua kantor
- Grounding
Router” Juniper
pusat, kantor
hardware
grounding dijaga
2300
cabang tidak
- Kapasitas
(tidak lebih dari 1
dapat melakukan
hardware
volt)
transaksi
seberapa cepat
- Menyediakan
router bisa
back up di kantor
terima dan
TI
forward
- Menyediakan
package
back up dari table
Level 2
Level 5
High
- Monitoring
Level 1
Level 1
Low
-
Level 1
Level 1
Low
-
routing 18
WAN: “Core
Semua kantor
-Core Switch
Level 2
Level 5
High
-Monitoring
Switch” Cisco
pusat, kantor
rusak
grounding dijaga
2960 Gigabit
cabang tidak
-Hardware
(tidak lebih dari 1
dapat melakukan
rusak karena
volt)
transaksi
Grounding
- Menyediakan back up di kantor
106
108
TI - Menyediakan back up dari table routing 19
DMZ 2:
Seluruh koneksi
Firewall Juniper tidak dapat
Konfigurasi
Level 2
Level 5
High
- Menyediakan
dan Bug IDS
network membuat
melintas, karena
di Firewall (yg
firewall ini, bila
hardware ini
menjadi fitur
gagal menjadi
rusak
tambahan dari
"standby", jadi
firewall)
tidak aktif, tapi
Level 1
Level 1
Low
-
Level 1
Level 1
Low
-
bisa dilalui data saja, sampai ada ganti hardware. 20
DMZ 2: Switch
Aplikasi-aplikasi
Hardware
DMZ 2
bank mati jadi
rusak karena
grounding dijaga
tidak bisa
Grounding
(tidak lebih dari 1
dijalankan
Level 5
High
-Monitoring
volt)
107
Level 2
109
- Menyediakan backup di kantor TI 21
DMZ 2: App.
Semua aktivitas
Setiap aplikasi
Level 2
Level 5
High
- Melakukan
Server Temenos
tidak bisa
beda
pengetesan
beroperasi
persyaratannya
(testing) terlebih
Level 1
Level 1
Low
-
Level 2
Level 1
Low
-
dahulu tentang berapa memorynya, apa OS nya 22
DMZ 2: App.
ATM tidak bisa
Salah
X/Link Server
beroperasi
konfigurasi
Level 3
Level 3
Medium
- Menyediakan back up Server -Menyempurna kan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau
108
110
ada fitur baru masuk ke Xlink. 23
DMZ 2: DB.
ATM tidak bisa
-Salah
Level 2
Level 3
Medium
- Menyediakan
X/Link Server
beroperasi
konfigurasi
back up Server
-Hardware
-Menyempurna
rusak
kan prosedur
Level 1
Level 2
Low
-
Level 2 Level 1
Low
-
pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink. 24
DMZ 2: App.
Cabang dapat
Salah
Server S1
beraktivitas tapi
Programming
Level 2
Level 2
Low
Menyediakan back up Server
agak lambat dan lebih sedikit yang dapat digunakan
109
111
user (keterbatasan user) 25
DMZ 2: DB.
Cabang dapat
Salah
Server S1
beraktivitas tapi
Programming
Level 1
Level 3
Medium
Menyediakan
Level 1 Level 1
Low
-
Level 1 Level 1 Low
-
Level 2 Level 1 Low
-
back up Server
agak lambat dan lebih sedikit yang dapat digunakan user (keterbatasan user) 26
DMZ 2: HSM
Level 1
Level 4
Medium Menyediakan
Data-data tidak
Hardware
dapat diakses
rusak karena
back up data ke
grounding
media storage lain
27
DMZ2 :
Aktivitas internet
Database
Channeling,
banking tidak
crash
Wealth
dapat diakses
Level 1
Level 3
Medium
Menyediakan backup database
Management,
110
112
LLD (bank) 28
Level 2
Level 3
Medium
DMZ 2: Server
Semua aktivitas
Aplikasi tidak
- Mempunyai
Interface
transfer
berfungsi
aplikasi cadangan
SKN/RTGS
SKN/RTGS tidak
karena setiap
- Melakukan
bisa beroperasi
aplikasi beda
pengetesan
persyaratannya
(testing) terlebih
Level 1 Level 2 Low
-
Level 1 Level 2 Low
-
Level 1 Level 1 Low
-
dahulu tentang berapa memorynya, apa OS nya. 29
DMZ 2: Server
Tidak dapat
UMG
melakukan
Server down
Level 1
Level 3
Medium
- Menyediakan backup database
transaksi yang berhubungan dengan delivery channel 30
DMZ 2: SAN
-Tidak
Level 1
Level 2
Low
- Menyediakan
111
Kabel putus
113
Switch dan
sehingga koneksi
memakai kabel
back up di kantor
HBA Cable
hilang
CAT5 atau
TI
CAT6, atau memakai kabel palsu (jadi mudah patah) -Panel berada di tembok bgn bwh jadi mudah tertendang staf 31
DMZ 2: Hitachi Storage
Data Bank hilang
Staf TI yang
Level 2
Level 5
High
Menyediakan
bekerja
back up data ke
melakukan
media storage
kesalahan
lain.
Level 1 Level 1 Low
-
dalam pencabutan 112
114
kabel 32
Level 2
Level 5
High
DMZ 1: Nokia
seluruh koneksi
Konfigurasi
- Menyediakan
Firewall dan
tidak bisa
dan Bug IDS
back up network
IDP
melintas, karena
di Firewall (yg
untuk membuat
Hardware ini
menjadi fitur
firewall ini, bila
rusak
tambahan dari
gagal menjadi
firewall)
"standby", jadi
Level 1 Level 1 Low
-
Level 1 Level 1 Low
-
tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware 33
Aplikasi-aplikasi
Hardware
DMZ 1
bank mati jadi
rusak karena
grounding dijaga
tidak bisa
Grounding
(tidak lebih dari 1
dijalankan
Level 1
Level 5
High
DMZ 1: Switch
- Monitoring
volt) - Menyediakan back up di kantor
113
115
TI 34
Level 1
Level 3
Medium
DMZ 1: Server
Tidak dapat
Hardware
Melakukan
HP OpenView
memonitoring
rusak karena
service
cabang
Grounding
maintenance
Level 1 Level 1 Low
-
Level 2 Level 1 Low
-
secara berkala oleh pihak staf TI 35
Level 3
Level 2
Low
DMZ 1: Server
Tidak bisa
- Server down
RSA
menjalankan
- Kapasitas
update patch OS,
transaksi finansial
melebihi batas
update software
di internet
maksimum
RSA
banking
- Maintenance
- Menyediakan kontrol kapasitas (karena mulai mendekati kapasitas, misal 3000 token, tidak bisa dipakai utk
114
116
pelanggan baru.) 36
DMZ 1: Server
Tidak dapat
- Salah
Internet
melakukan
Program
Banking
transaksi financial ming di aplikasi
-Hardware
internet banking
rusak karena
Level 5
Level 2
Medium
-Menyediakan
Level 3 Level 1 Low
-
Level 2 Level 1 Low
-
back up database
Grounding 37
DMZ 1: Server
Tidak dapat
Server rawan
DNS+Portal
mencari
untuk rusak
Level 4
Level 1
Low
- Menyediakan back up data
dokumendokumen di portal 38
DMZ 1: Server
Tidak dapat
Server rawan
Nokia
mengubah
untuk rusak
Management
konfigurasi di
Level 2
Level 1
Low
-
Level 1 Level 1 Low
-
Level 2
Level 1
Low
-
Level 1 Level 1 Low
-
firewall 39
DMZ 1: Server
Tidak dapat
Server rawan
Juniper
mengubah
untuk rusak
115
117
Management
konfigurasi di firewall
40
Level 1
Level 1
Low
DMZ 1: Server
Seluruh karyawan
Server rawan
-Melakukan
Mantis dan
bank tidak bisa
untuk rusak
Email
menerima/mengir
- Menyediakan
im email
back up data
Level 1 Level 1 Low
-
maintenance
masing-masing email oleh masing-masing orang 41
Utility: UPS
UPS tidak
Kurangnya
berfungsi jadi
maintenance
Level 1
Level 4
Medium
-
Level 1 Level 2 Low
-
Level 1
Level 5
High
-
Level 1 Level 1 Low
-
server juga mati 42
Utility: Genset
Genset tidak
Kurangnya
berfungsi
maintenance
sehingga pada saat listrik
116
118
mati,transaksi tidak dapat dilakukan 43
Utility: AC
AC mati karena
Kurangnya
listrik
maintenance
Level 1
Level 4
Medium
Level 3
Level 4
High
-
Level 1 Level 1 Low
Menyediakan alat
Level 2 Level 2 Low
padam/tidak dimaintenance (sehingga server menjadi panas) 44
ATM Machine
Nasabah tidak
Kurangnya
dapat mengambil
maintenance
uang/transfer/
-
monitoring (CCTV).
pembayaran
117
118
Keterangan (Tabel 4.4 Risk Register Hardware) 1.
S1 Cashier Computer Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi. Analisa kerawanannya adalah sebagian atau keseluruhan hardware rusak masalah grounding, karena daya listrik di kantor kecil sehingga tegangan listrik tidak stabil. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
2.
Computer Client (komputer yang dipakai di Teller, Customer Service, dan sebagainya) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan beberapa transaksi karena Operating System (OS) windows pada komputer tidak berfungsi Analisa kerawanannya adalah server down, terkena virus, hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi
119
TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
3.
Printer Teller: SP172MC Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Printer tidak dapat digunakan. Analisa kerawanannya adalah karena salah konfigurasi (salah install driver, dsb) ketika pertama kali pemasangan (installasi). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
4.
Pinpad Teller Ingenico (aktivasi ATM) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak berfungsi (biasanya Terjadi pada saat pemasangan pertama). Analisa kerawanannya adalah karena salah konfigurasi (salah install driver, dsb) ketika pertama kali
120
pemasangan (installasi). Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
5.
Server TPU SKN (kantor cabang dan kantor pusat) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat melakukan transfer dana (transaksi dimana nasabah dapat mengirim uang lebih dari satu hari). Analisa kerawanannya adalah hardware rusak karena grounding (maka tidak berfungsi), driver / software rusak, listrik tidak stabil, Human Error (saat update patch), terkena virus. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah masing2 cabang KCU (tempat SKN berada), memiliki satu backup PC minimum, yg ter-register ke BI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
121
6.
Server RTGS (kantor pusat) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat melakukan transfer dana RTGS dalam satu hari karena hardware tidak berfungsi, juga karena Human Error (saat update patch). Analisa kerawanannya adalah hardware rusak, driver atau software rusak, listrik tidak stabil. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya back up PC, ada leased line serta back up jaringan khusus untuk RTGS, juga ada prosedur pengetesan berkala yg dilakukan satu tahun 2x (dan wajib dilakukan serta dibuatkan berita acaranya), untuk RTGS, setiap kali ada perubahan versi software, juga di-pelihara CDnya, disimpan dalam SDB dan selalu disamakan versi-nya antara server production dan server back up) dengan melakukan maintenance back up tiga kali dalam satu tahun. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
7.
LAN: Client to Patch Panel Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok
tidak
disengaja
tertendang
staf.
Pada
penilaian
inheren,
122
kecenderungannya ada pada level 4, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), mengatur standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru), dan sebagai standard juga, seluruh kabel2 itu harus dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
8.
LAN: Cashier to Patch Panel Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok
tidak
disengaja
tertendang
staf.
Pada
penilaian
inheren,
kecenderungannya ada pada level 4, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), set standard untuk kontraktor (saat penarikan untuk pembukaan cabang
123
baru) dan sebagai standard juga, seluruh kabel2 itu harus dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
9.
LAN: Patch Panel to Switch Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok
tidak
disengaja
tertendang
staf.
Pada
penilaian
inheren,
kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), set standard untuk kontraktor (saat penarikan untuk pembukaan cabang baru) dan menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus atau putus terinjak. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
124
10. LAN: Router Juniper 2300 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah
Low. Dari hasil identifikasi kontrol,penulis
melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up hardware di regional, yang dikirimkan bila cabang ada masalah jadi satu di sumatera, satu di kalimantan (biasanya di area dimana ada masalah, backup bisa dikirimkan cepat). Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
11. KPNO LAN : RTGS to Patch Panel Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok
tidak
disengaja
tertendang
staf.
Pada
penilaian
inheren,
kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank
125
Sinarmas adalah memiliki kabel LAN cadangan dan dibuatkan panel tambahan (agar User bisa mencolokkan kabel-nya ke panel ini, bila panel yg A rusak), mengatur standard untuk kontraktor (saat penarikan kabel LAN untuk pembukaan cabang baru), menyediakan kabel-kabel LAN yang dibungkus (dimasukkan ke dalam pipa), agar tidak digigit tikus. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
12. KPNO LAN: Modem Leased Line RTGS Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi hardware tidak berfungsi. Analisa kerawanannya adalah hardware rusak karena Grounding, listrik tidak stabil, human Error (saat update patch). Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya menyediakan back up PC, menyediakan leased line, menyediakan back up jaringan khusus untuk RTGS, menyediakan prosedur pengetesan berkala yg dilakukan satu tahun 2 kali (dan wajib dilakukan serta dibuatkan berita acara-nya), menyediakan jaringan backup dialup yang memakai modem external. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
126
13. KPNO LAN: Router Huawei Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah hardware tidak berfungsi. Analisa kerawanannya adalah hardware rusak karena Grounding, listrik tidak stabil, human Error (saat update patch). Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up router. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
14. WAN : Primary Network MPLS Modem Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kantor cabang tidak dapat melakukan transaksi. Analisa kerawanannya adalah gempa di laut tempat kantor cabang daerah. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah disediakan line leased line back up sebagai kontrol, dan digunakan setting BGP (agar bisa saling ganti, tanpa manual interference dari human) jadi jika 1 putus, langsung network-nya ganti ke jaringan yang B otomatis. Pada penilaian residual,
127
kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko akhirnya adalah Medium. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
15. WAN: Primary Backhaul Router Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah sebagaian user mengalami request time out. Analisa kerawanannya adalah Jaringan backhaul penuh menyebabkan kemacetan/tidak ada respon. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menggunakan aplikasi MRTG untuk memonitor secara periodik, apakah backhaul connection sudah mencapai limit apasitas yg sudah digunakan, menyediakan back up router disetiap cabang regional. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
16. WAN: Switch Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi dari cabang yang menggunakan provider A (XL, misalnya) putus jadi tidak bisa digunakan. Analisa kerawanannya adalah Grounding hardware. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 4, maka
128
nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah ada backup switch di TI, dan ada backup table routing juga. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
17. WAN: “Core Router” Juniper 2300 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah grounding hardware, kapasitas hardware seberapa cepat router bisa terima dan forward package. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), back up tersedia di kantor TI Bank, back up dari routing table. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
129
18. WAN: “Core Switch” Cisco 2960 Gigabit Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan aktivasi ATM. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Menyewa komputer berikut OS agar komputer/komponen komputer yg rusak, segera diganti oleh pihak penyedia jasa (vendor). Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), menyediakan back up di kantor TI, menyediakan back up dari table routing. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
19. DMZ 2: Firewall Juniper Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi tidak dapat melintas, karena hardware ini rusak. Analisa kerawanannya adalah konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah
130
menyediakan network membuat firewall ini, bila gagal menjadi “standby”, jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
20. DMZ 2: Switch DMZ 2 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah aplikasiaplikasi bank mati jadi tidak bisa dijalankan. Analisa kerawanannya adalah hardware rusak karena Grounding. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), back up tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
21. DMZ 2: App. Server Temenos Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah semua aktivitas tidak bisa beroperasi. Analisa kerawanannya adalah setiap aplikasi beda persyaratannya. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil
131
identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan pengetesan terlebih dahulu tentang berapa memory-nya, apa OS nya. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
22. DMZ 2: App. X/Link Server Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah ATM tidak bisa beroperasi.. Analisa kerawanannya adalah Salah konfigurasi. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up server, menyempurnakan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
23. DMZ 2: DB. X/Link Server Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah ATM tidak bisa beroperasi. Analisa kerawanannya adalah salah konfigurasi, hardware
132
rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up server, menyempurnakan prosedur pengetesan, jika ada fitur baru masuk ke Temenos, atau ada fitur baru masuk ke Xlink. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
24. DMZ 2: App. Server S1 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Cabang dapat beraktivitas tapi agak lambat dan lebih sedikit yang dapat digunakan user (keterbatasan user). Analisa kerawanannya adalah Salah Programming. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan backup server. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
133
25. DMZ 2: DB. Server S1 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan aktivasi ATM. Analisa kerawanannya adalah hardware rusak, driver rusak. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up server. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
26. DMZ 2: HSM (Hierarchical Storage Management) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Data-data tidak dapat diakses. Analisa kerawanannya adalah hardware rusak. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up data ke media storage yang lain. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
134
27. DMZ 2: Channeling, Wealth Management, LLD (Bank) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Aktivitas internet banking tidak dapat diakses. Analisa kerawanannya adalah Database crash. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up database. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
28. DMZ 2: Server Interface SKN/RTGS Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah semua aktivitas transfer SKN/RTGS tidak bisa beroperasi. Analisa kerawanannya adalah aplikasi tidak befungsi karena setiap aplikasi beda persyaratannya. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah mempunyai aplikasi cadangan, melakukan pengetesan terlebih tentang berapa memory-nya, apa OS nya. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level
135
2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
29. DMZ 2: Server UMG Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Tidak dapat melakukan transaksi yang berhubungan dengan delivery channel. Analisa kerawanannya adalah Server down. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up database. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
30. DMZ 2: SAN Switch dan HBA Cable Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah kabel mudah putus sehingga koneksi putus. Analisa kerawanannya adalah tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi mudah patah), panel ditembok tidak sengaja tertendang staf. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam
136
perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
31. DMZ 2: Hitachi Storage Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Data Bank hampir hilang. Analisa kerawanannya adalah staf salah cabut kabel dan salah cabut lagi (sampai lebih dari 2 kali). Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up data
ke media storage lain. Pada penilaian residual,
kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
32. DMZ 1: Nokia Firewall dan IDP Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah seluruh koneksi tidak bisa melintas, karena Hardware ini rusak. Analisa kerawanannya adalah konfigurasi dan Bug IDS di Firewall (yg menjadi fitur tambahan dari firewall). Pada penilaian inheren, kecenderungannya ada pada level 2, dan
137
dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan network membuat firewall ini, bila gagal menjadi “standby”, jadi tidak aktif, tapi bisa dilalui data saja, sampai ada ganti hardware. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
33. DMZ 1: Switch DMZ 1 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah aplikasiaplikasi bank mati jadi tidak bisa dijalankan. Analisa kerawanannya adalah hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah monitoring grounding dijaga (tidak lebih dari 1 volt), backup tersedia di kantor TI Bank. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
138
34. DMZ 1: Server HP OpenView Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat memonitoring cabang. Analisa kerawanannya adalah hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah melakukan service maintenance secara berkala oleh staf TI. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
35. DMZ 1: Server RSA Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak bisa menjalankan transaksi finansial di internet banking. Analisa kerawanannya adalah server down, kapasitas melebihi batas maksimum. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah maintenance update patch OS, update software RSA, maintenance dengan pihak RSA), menyediakan kontrol kapasitas (karena mulai mendekati kapasitas, misal 3000 token, tidak bisa dipakai utk pelanggan baru.). Pada penilaian
139
residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
36. DMZ 1: Server Internet Banking Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat melakukan
transaksi financial di aplikasi Internet Bank. Analisa
kerawanannya adalah salah programming, hardware rusak karena grounding. Pada penilaian inheren, kecenderungannya ada pada level 5, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up database. Pada penilaian residual, kecenderungannya ada pada level 3, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
37. DMZ 1: Server DNS+Portal Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat mencari dokumen-dokumen di portal. Analisa kerawanannya adalah server rusak. Pada penilaian inheren, kecenderungannya ada pada level 4, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam
140
perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up data. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
38. DMZ 1: Server Nokia Management Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Tidak dapat mengubah konfigurasi di firewall. Analisa kerawanannya adalah server rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
39. DMZ 1: Server Juniper Management Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah tidak dapat mengubah konfigurasi di firewall. Analisa kerawanannya adalah server rusak. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam
141
perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
40. DMZ 1: Server Mantis dan Email Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah melakukan maintenance seluruh karyawan bank tidak bisa menerima/mengirim email, back up data. Analisa kerawanannya adalah server rusak. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan back up data masing-masing email oleh masing-masing orang. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
41. Utility: UPS Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah UPS tidak berfungsi. Analisa kerawanannya adalah kurangnya maintenance. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada
142
identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko akhirnya adalah Medium. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
42. Utility: Genset Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah genset tidak berfungsi. Analisa kerawanannya adalah kurangnya maintenance. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko akhirnya adalah High. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
43. Utility: AC Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah AC mati karena listrik padam/tidak di-maintenance. Analisa kerawanannya adalah kurangnya maintenance. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk
143
mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah tidak ada. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko akhirnya adalah Medium. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
44. ATM Machine Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah nasabah tidak dapat mengambil uang/transfer/ pembayaran. Analisa kerawanannya adalah kurangnya maintenace. Pada penilaian inheren, kecenderungannya ada pada level 3, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya alat monitoring, adanya CCTV. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
92
4.2.3.2 Pengukuran Risiko Aset Software Tabel 4.5 Risk Register Software No
Aset IT
Deskripsi Risiko
Analisa Kerawanan
Inheren
Kontrol yang Ada
1
1
2
3
Dampak
Nilai
Kecende
Dampak
Nilai
Risiko
rungan
(min=1,
Risiko
rungan
(min=1,
Risiko
Dihara
(min=1,
maks=5)
Dasar
(min=1,
maks=5)
Akhir
pkan
8
9
10
11
Level 2
Level 1
Low
Low
maks=5)
4
5
6
Level 2
Level 5
High
7
Front End
- Software error
- Modifikasi
SI/Aplikasi
- Tidak dapat
software
software
(Aplikasi Front
membaca file-file
(upgrade / beda
berdasarkan
End S1)
tertentu
transaksi pada
prosedur SDLC
Ada di Client,
- Kena virus
teller)
sekali
cashier dan
- Coding error
Data Center
- Tidak update
Nilai
Kecende
maks=5)
0
Residual
-Modifikasi
antivirus - Konfigurasi 144
93
yang salah 2
IBM Software
-Software error
(Server
-Tidak
- Modifikasi
Level 2 Level 4 Medium
dapat software
-Modifikasi
berdasarkan
Database untuk tertentu
prosedur SDLC
transaksi pada
-Kena virus
-
Level 1 Level 1 Low
-
software
Application dan membaca file-file (upgrade / beda
Front end SI)
Level 1 Level 1 Low
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
3
Aplikasi
-Software error
Customer
-Tidak
Service Phase II
dapat software
(S1) membaca file-file (upgrade / beda tertentu
transaksi pada
Level 2 Level 3 Medium
-Modifikasi software berdasarkan prosedur SDLC
145
- Modifikasi
94
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
4
Software
-Software error
Microsoft
-Tidak
- Modifikasi
dapat software
Level 2 Level 3 Medium
-Modifikasi
Level 1 Level 1 Low
-
software
membaca file-file (upgrade / beda
berdasarkan
tertentu
transaksi pada
prosedur SDLC
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi
146
95
yang salah 5
Software IBS
SKN -Software error -Tidak
- Modifikasi
Level 2 Level 2
Low
dapat software
-Modifikasi
Level 1 Level 2 Low
-
Level 1 Level 1 Low
-
software
membaca file-file (upgrade / beda
berdasarkan
tertentu
transaksi pada
prosedur SDLC
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
6
Software red hat
linux -Software error -Tidak
-Modifikasi
dapat software
membaca file-file (upgrade / beda tertentu
-Modifikasi software berdasarkan prosedur SDLC
147
transaksi pada
Level 2 Level 3 Medium
96
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
7
Xlink Software
-Software error -Tidak
- Modifikasi
dapat software
Level 2 Level 3 Medium
-Modifikasi
Level 1 Level 2 Low
Low
software
membaca file-file (upgrade / beda
berdasarkan
tertentu
transaksi pada
prosedur SDLC
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi
148
97
yang salah 8
Software Front -Software error End S1
-Tidak
- Modifikasi
Level 2 Level 4 Medium
dapat software
-Modifikasi
Level 1 Level 2 Low
Low
software
membaca file-file (upgrade / beda
berdasarkan
tertentu
transaksi pada
prosedur SDLC
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
9
APLIKASI S-1 -Software error Phase I
-Tidak
- Modifikasi
dapat software
membaca file-file (upgrade / beda tertentu
-Modifikasi
Level 1 Level 1 Low
-
software berdasarkan prosedur SDLC
149
transaksi pada
Level 1 Level 2 Low
98
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
10
Switching
-Software error
Software
-Tidak
- Modifikasi
dapat software
Level 1 Level 2
Low
-Modifikasi
Level 1 Level 1 Low
Low
software
membaca file-file (upgrade / beda
berdasarkan
tertentu
transaksi pada
prosedur SDLC
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi
150
99
yang salah 11
Software update -Software error lcs oracle
-Tidak
- Modifikasi
Level 1 Level 2
Low
dapat software
-Modifikasi
Level 1 Level 1 Low
-
software
membaca file-file (upgrade / beda
berdasarkan
tertentu
transaksi pada
prosedur SDLC
-Kena virus
teller) - Coding error - Tidak update antivirus - Konfigurasi yang salah
12
Level 1 Level 3 Medium
Software Tools -Software error
- Modifikasi
Management
-Tidak dapat
software
software
membaca file-file
- Coding error
berdasarkan
tertentu
- Tidak update
prosedur SDLC
Level 1 Level 2 Low
-
151
-Modifikasi
100
-Kena virus
antivirus - Konfigurasi yang salah
152
153
Keterangan (Tabel 4.5 Risk Register Software) 1. Aset Front End S1/Aplikasi (Aplikasi Front End S1) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 2, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
2. Aset software IBM Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya
154
ada pada level 2, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risikoyang diharapkan dari analisa aset ini adalah nol (tidak ada).
3. Aset Aplikasi Customer Service (S1) Phase II Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah nol (tidak ada).
155
4. Aset Software Microsoft Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu. Analisa kerawanannya adalah adanya modifikasi pada software, Coding error, parameter yang salah atau software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol, penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
5. Aset Software SKN IBS Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI
156
untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah nol (tidak ada).
6. Aset Software Linux Red Hat Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah nol (tidak ada).
157
7. Aset Software Xlink Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
8. Aset Sofware Front End S1 Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 2, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah
158
Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan melakukan maintenance dengan pihak penyedia jasa, update antivirus 1-2 kali dalam 1 bulan, modifikasi software berdasarkan prosedur Sistem Development Life Cycle. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
9. Aset Aplikasi Customer Service (S1) Phase I Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah nol (tidak ada)
159
10. Switching Software Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
11. Software update lcs oracle Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah
160
Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
12. Software Tools Management Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah Software Error dan tidak dapat membaca atau membuka file-file tertentu, adanya virus yang merusak aplikasi. Analisa kerawanannya adalah dapat terkena virus,adanya modifikasi pada software (software diperbaharui ke dalam versi terbaru tetapi tidak sesuai dengan hardware yang lama), Coding error, antivirus yang tidak di-update (diupdate rutin), konfigurasi yang salah. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah modifikasi software berdasarkan prosedur SDLC. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
92
4.2.3.3 Pengukuran Risiko Aset Informasi Tabel 4.6 Risk Register Informasi No
Aset IT
Deskripsi Risiko
Analisa Kerawanan
Inheren
Kontrol yang Ada
1
1
2
3
Nilai
Kecende
Dampak
Nilai
Kecender
Dampak
Nilai
Risiko
rungan
(min=1,
Risiko
ungan
(min=1,
Risiko
Dihara
(min=1,
maks=5)
Dasar
(min=1,
maks=5)
Akhir
pkan
maks=5)
maks=5)
0
Residual
4
5
6
Level 1
Level 3
Medium
7
Data
- Kekeliruan
- Data
- Membatasi
Identitas
pencatatan data
Identitas
penyimpanan
Nasabah
nasabah
Nasabah bocor
dengan USB
- Data Identitas
- Staf yang
(disimpan
Nasabah bocor
kurang teliti
dalam server)
8
9
10
11
Level 1
Level 1
Low
Low
- Menyediakan CCTV - Menyediakan penggunaan
161
93
password dan username untuk otorisasi (dalam penggunaan komputer) - Menyediakan pelatihan staf 2
Data
- Saldo
- Saldo
Level 1
Level 5
High
- Membatasi
Nominal
dilihat/dicuri oleh
dilihat/dicuri
penyimpanan
Nasabah
pihak luar
oleh pihak
dengan USB
(Saldo harian
- Kesalahan
luar
(disimpan
terakhir)
pencetakan data
- Staf yang
dalam server)
kurang teliti
- Menyediakan
Level 1
Level 3
Medium
Low
pelatihan staf - Menyediakan
162
94
penggunaan password dan username untuk otorisasi (dalam penggunaan komputer) - Menyediakan CCTV 3
Password dan - Penyalahgunaan
- Password
Level 1
Level 4
Medium
- Menyediakan
Username
password dan
tidak diubah
penggunaan
Staff
username
untuk waktu
password dan
yang lama
username untuk
Level 1
Level 1
Low
-
otorisasi (dalam penggunaan komputer)
163
95
- Menggunakan mesin tes sidik jari untuk masuk ke dalam ruangan tertentu - Memberikan peringatan pada sistem tertentu dengan meminta pengetikan ulang password jika teller/CS kembali
164
96
menggunakan komputernya setelah 3 menit tidak digunakan - Menyediakan CCTV 4
Data
- Data hilang
- Data tidak
transaksional
- Data dicuri
disimpan di
penyimpanan
dalam server
dengan USB
- Tidak
(disimpan
adanya
dalam server)
pembatasan
- Membatasi
akses
akses terhadap
terhadap
sistem maupun
sistem
ruangan
harian
Level 1
Level 2
Low
- Membatasi
Level 1
Level 1
Low
-
165
97
maupun
- Menyediakan
ruangan
penggunaan password dan username untuk otorisasi (dalam penggunaan komputer) ‐ Menyediakan
CCTV 5
Laporan
- Terlambat
- Data tidak
Level 1
Level 4
Low
- Menyediakan
Balancesheet
dalam membuat
disimpan
pelatihan staf
(rugi/laba)
laporan
dengan baik
- Menyediakan
- Adanya
- Kurangnya
tempat
kesalahan hasil
pelatihan
penyimpanan
laporan
pada
data pada ruang
Level 1
Level 2
Low
-
166
98
- Data tidak lengkap
karyawan
khusus - Data disimpan dan disediakan backup di dalam server
167
168
Keterangan Tabel 4.6 Risk Register Informasi 1.
Data Identitas Nasabah Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah data identitas nasabah bocor, kekeliruan pencatatan data, reputasi bank menjadi buruk di mata nasabah. Analisa kerawanannya adalah data tidak disimpan dengan baik, staf yang kurang teliti. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan membatasi penyimpanan dengan USB (disimpan dalam server), menyediakan pelatihan staf, menyediakan penggunaan password dan username untuk otorisasi (dalam penggunaan komputer), dan menyediakan CCTV. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
2. Data Nominal Nasabah (Saldo harian terakhir) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah saldo dilihat atau dicuri oleh pihak luar, kesalahan pencetakan data, reputasi bank menjadi buruk di mata nasabah. Analisa kerawanannya adalah data tidak disimpan dengan baik, staf yang kurang teliti. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 5, maka nilai risiko dasarnya adalah High. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau
169
tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan
membatasi
penyimpanan
dengan
USB
(disimpan
dalam
server),
menyediakan penggunaan password dan username untuk otorisasi (dalam penggunaan komputer), dan menyediakan CCTV. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 3, maka nilai risiko akhirnya adalah Medium. Nilai risiko yang diharapkan dari analisa aset ini adalah Low.
3. Password dan Username Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah penyalahgunaan password dan username sehingga uang atau aset bank dicuri Analisa kerawanannya adalah password tidak diubah untuk waktu yang lama. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan menggunakan password saat login ke komputer, menggunakan mesin tes sidik jari, password setiap staf diganti setiap 1 bulan sekali, sistem meminta pengetikan ulang password jika Teller/CS kembali menggunakan komputernya setelah 3 menit tidak digunakan, menyediakan CCTV. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada
170
4. Data Transaksional Harian Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah data hilang, data dicuri. Analisa kerawanannya adalah data tidak disimpan di dalam server, tidak adanya pembatasan akses terhadap sistem maupun ruangan. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah dengan membatasi penyimpanan dengan USB (disimpan dalam server), penggunaan password dan username, menyediakan CCTV. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
5. Laporan Balancesheet Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah terlambat dalam membuat laporan, adanya kesalahan hasil laporan, data tidak lengkap. Analisa kerawanannya adalah data tidak disimpan dengan baik, kurangnya pelatihan pada karyawan. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah menyediakan pelatihan staf, menyediakan tempat penyimpanan data pada ruang
171
khusus, dan data disimpan dan disediakan backup di dalam server. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
92
4.2.3.4 Pengukuran Risiko Aset SDM Tabel 4.7 Risk Register SDM No
Aset IT
Deskripsi Risiko
Analisa Kerawanan
Inheren
Kontrol yang
Dampak
Nilai
Risiko
Risiko
rungan
(min=1,
Risiko
Dihara
Dasar
(min=1,
maks=5)
Akhir
pkan
9
10
11
Dampak
Nilai
rungan
(min=1,
(min=1,
maks=5)
maks=5)
0
1
1
Teller
2
3
4
Nilai
Kecende
Kecende
Ada
Residual
maks=5)
5
6
7
- Mengundur
- Suasana
kan diri dari
kerja yang
kan
perusahaan
tidak
kesejahteraan
- Menyalahgu
mendukung
staf
Level 1 Level 4 Medium
- Memperhati
nakan password - Kesejahtera
- Menyedia
dan username
an staf tidak
kan CCTV
untuk mencuri
dipedulikan
aset perusahaan
- Sakit
- Sering absen
- Tidak
- Mogok kerja
adanya
8
Level 1 Level 1 Low
-
172
93
- Tidak masuk
penjagaan
kerja
keamanan yang memadai
2
Customer
- Memberikan
- Suasana
Service (CS)
informasi yang
kerja yang
kan
salah kepada
tidak
kesejahteraan
nasabah baru
mendukung
staf
- Mengundur
- Kesejahtera
kan diri
an staf tidak
-Sering absen
dipedulikan
- Mogok kerja
- Sakit
- Tidak masuk
- Kurangnya
kerja
pelatihan
Level 1 Level 4 Medium
- Memperhati
Level 1 Level 1 Low
-
173
94
3
Staff TI
- Mengundur
- Suasana
(Termasuk
kan diri
kerja yang
kan
Kepala Grup TI,
- Sering absen
tidak
kesejahteraan
Kepala Divisi
- Mogok kerja
mendukung
staf
Sistem
- Tidak masuk
- Kesejahtera
Engineering,
kerja
an staf tidak
Kepala Divisi
dipedulikan
Software
- Sakit
Level 1 Level 2 Low
- Memperhati
Level 1 Level 1 Low
-
Engineering)
174
175
Keterangan Tabel 4.7 Risk Register SDM 1.
Teller Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah mengundurkan diri dari perusahaan, menyalahgunakan password dan username untuk mencuri aset perusahaan, mogok kerja, sering absen, tidak masuk kerja. Analisa kerawanannya adalah suasana kerja yang tidak mendukung, kesejahteraan staf tidak dipedulikan, sakit, tidak adanya penjagaan keamanan yang memadai. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah adanya CCTV, memperhatikan kesejahteraan karyawan. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
2. Staff TI (Termasuk Kepala Grup TI, Kepala Divisi Sistem Engineering, Kepala Divisi Software Engineering) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah mengundurkan diri dari perusahaan, mogok kerja, sering absen, tidak masuk kerja. Analisa kerawanannya adalah suasana kerja yang tidak mendukung, kesejahteraan staf tidak dipedulikan, sakit. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 4, maka nilai risiko dasarnya adalah Low. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI
176
untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memperhatikan kesejahteraan staf . Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
3.
Customer Service (CS) Menurut hasil observasi penulis deskripsi risiko yang dapat terjadi adalah mengundurkan diri dari perusahaan, memberikan informasi yang salah kepada nasabah baru,mogok kerja, sering absen, tidak masuk kerja. Analisa kerawanannya adalah suasana kerja yang tidak mendukung, kesejahteraan staf tidak dipedulikan, sakit, kurangnya pelatihan. Pada penilaian inheren, kecenderungannya ada pada level 1, dan dampaknya pada level 2, maka nilai risiko dasarnya adalah Medium. Dari hasil identifikasi kontrol,penulis melakukan wawancara dengan Kepala Divisi TI untuk mengetahui kontrol pada identifikasi kami sudah ada dalam perusahaan atau tidak ada dalam perusahaan. Kontrol yang ada pada PT Bank Sinarmas adalah memperhatikan kesejahteraan staf. Pada penilaian residual, kecenderungannya ada pada level 1, dan dampaknya pada level 1, maka nilai risiko akhirnya adalah Low. Nilai risiko yang diharapkan dari analisa aset ini adalah tidak ada.
177
4.3 Pengendalian dan Mitigasi Risiko Berdasarkan hasil identifikasi dan pengukuran risiko pada tabel Risk Register, dari kontrol yang ada pada perusahaan, ada beberapa kontrol lain yang harus dilakukan oleh perusahaan, kontrol yang belum ada pada tabel adalah kontrol yang akan datang sehingga perusahaan dapat lebih mengurangi risiko yang dapat terjadi. 4.3.1 Kebijakan, Ketentuan dan Prosedur PT. Bank Sinarmas Penulis melakukan mitigasi risiko dari hasil analisa dan pengukuran tersebut dengan memberikan rekomendasi kebijakan, ketentuan dan prosedur terhadap kontrol yang ada pada setiap aset berikut: 1. Aset Hardware PT. Bank Sinarmas perlu menambahkan kontrol yang ada pada aset: a.
Printer Teller yaitu melakukan maintenance dari staf TI bank secara periodik yakni 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti kesalahan konfigurasi sehingga menyebabkan printer tidak dapat digunakan dan menghindari dari risiko operasional dan risiko reputasi pada bank.
b.
Pinpad Teller Ingenico (Aktivasi ATM) yaitu melakukan maintenance secara periodik yakni 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti kesalahan instalasi ketika pertama atau kedua kali pemasangan sehingga menyebabkan user tidak dapat berfungsi dengan baik (biasanya terjadi pada saat pemasangan pertama kali), dan untuk menghindari dari risiko operasional dan risiko reputasi pada bank.
c.
DMZ 2: Server UMG yaitu melakukan maintenance secara periodik yakno 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti server
178
yang mati atau down sehingga menyebabkan user tidak dapat melakukan transaksi yang berhubungan dengan delivery channel dan menghindari dari risiko operasional dan risiko reputasi pada bank. d.
DMZ 2: SAN Switch dan HBA Cable yaitu dengan melakukan maintenance secara periodik 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti kabel putus karena tidak memakai kabel CAT5 atau CAT6, atau memakai kabel palsu (jadi lebih mudah patah) atau Panel berada di tembok bagian bawah jadi mudah tertendang staf (lebih mudah terinjak atau tertendang oleh staf yang bekerja) sehingga menyebabkan user tidak dapat melakukan sebagian transaksi yang ada, dan untuk menghindari dari risiko operasional dan reputasi pada bank.
e.
DMZ 1: Server Internet Banking yaitu dengan melakukan maintenance secara periodik 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti kesalahan pada pemograman atau rusaknya hardware akibat grounding sehingga menyebabkan user tidak dapat melakukan transaksi financial pada aplikasi Internet Banking, dan untuk menghindari dari risiko operasional dan risiko reputasi pada bank.
f.
DMZ 1: Server DNS+Portal yaitu dengan melakukan maintenance secara periodik 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti rusaknya server (karena grounding hardware atau lainnya) sehingga user tidak dapat mencari data dokumen-dokumen pada portal, dan untuk menghindari dari risiko operasional, risiko reputasi dan risiko kepatuhan pada bank.
179
g.
DMZ 1:
Server Nokia Management Portal yaitu dengan melakukan
maintenance secara periodik 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti rusaknya server (karena grounding hardware atau lainnya) sehingga user tidak dapat mengubah konfigurasi pada firewall, dan untuk menghindari risiko operasional pada bank. h.
DMZ 1: Server Juniper Management yaitu dengan melakukan maintenance secara periodik 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti rusaknya server (karena grounding hardware atau lainnya) sehingga user tidak dapat dapat mengubah konfigurasi pada firewall, dan untuk menghindari risiko operasional pada bank.
i.
Utility: UPS yaitu dengan melakukan maintenance UPS secara periodik oleh staf TI secara berkala 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti UPS tidak berfungsi akibatnya server-pun mati sehingga user tidak dapat melakukan transaksi yang dilakukan, dan untuk menghindari dari risiko operasional pada bank.
j.
Utility: Genset yaitu dengan melakukan maintenance Genset secara periodik oleh staf TI secara berkala 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti Genset tidak berfungsi sehingga pada saat listrik mati, transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank.
k.
Utility: AC pada ruangan server yaitu dengan melakukan maintenance AC secara periodik oleh staf TI atau pihak TI bank secara berkala 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti AC mati karena listrik padam/tidak di-maintenance (sehingga server menjadi panas) sehingga pada
180
saat listrik padam transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank.
2. Aset Software a. Front End S1/Aplikasi (Aplikasi Front End S1) yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. b. IBM Software yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. c. Apikasi Customer Service (S1) Phase II yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank.
181
d. Software Microsoft yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. e. Software SKN IBS yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. f. Software Linux Red Hat yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. g. Xlink Software yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank.
182
h. Software Front End S1 yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. i. Aplikasi S1 Phase I yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. j. Switching Software yaitu dengan melakukan maintenance dengan staf TI dan mainternance update antivirus secara berkala untuk meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank. k. Software Update ICS Oracle yaitu dengan melakukan maintenance dengan staf
TI
dan
mainternance
update
antivirus
secara
berkala
untuk
meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank.
183
l. Software Tools Management yaitu dengan melakukan maintenance dengan staf
TI
dan
mainternance
update
antivirus
secara
berkala
untuk
meminimalisasi risiko yang dapat terjadi seperti modifikasi software, coding error, tidak update antivirus, kesalahan konfigurasi sehingga software error, tidak dapat membaca file-file tertentu, terkena virus akibatnya transaksi tidak dapat dilakukan, dan untuk menghindari dari risiko operasional pada bank.
3. Aset Informasi a. Data Identitas Nasabah yaitu dengan melakukan pengotorisasian dalam memberikan komando untuk data yang tidak boleh dicetak bila tidak diminta oleh pihak yang berwenang, untuk meminimalisasi risiko yang dapat terjadi seperti staff yang kurang teliti, data tidak disimpan dengan baik, sehingga Data Identitas Nasabah bocor ke pihak lain, dan untuk menghindari dari risiko reputasi pada bank. b. Data Nominal Nasabah (Saldo harian terakhir) yaitu dengan melakukan pengotorisasian dalam memberikan komando untuk data yang tidak boleh dicetak bila tidak diminta oleh pihak yang berwenang, untuk meminimalisasi risiko yang dapat terjadi seperti staff yang kurang teliti data tidak disimpan dengan baik, sehingga Data Nominal Nasabah, dan untuk menghindari dari risiko reputasi pada bank. c. Password dan Username Staff yaitu dengan melakukan pergantian password setiap staf diganti setiap 1 bulan 1 kali untuk meminimalisasi risiko yang dapat terjadi seperti password tidak diubah untuk waktu yang lama sehingga
184
penyalahgunaan password dan username, dan untuk menghindari dari risiko operasional pada bank. d. Data transaksional harian yaitu dengan melakukan pengotorisasian dalam memberikan komando untuk data yang tidak boleh dicetak bila tidak diminta oleh pihak yang berwenang, untuk meminimalisasi risiko yang dapat terjadi seperti data hilang atau dicuri, dan untuk menghindari dari risiko strategis, risiko kepatuhan dan risiko hukum pada bank.
4. Aset SDM a. Teller yaitu dengan memberikan pengembangan kemampuan bagi staf untuk meminimalisasi risiko yang dapat terjadi seperti staf mengundurkan diri dari perusahaan, menyalahgunakan password dan username untuk mencuri aset perusahaan, sering absen, mogok kerja, tidak masuk kerja sehingga data-data penting bank hilang atau dicuri oleh staf, dan untuk menghindari dari risiko operasional dan risiko hukum pada bank. b. Customer Service (CS) yaitu dengan memberikan pengembangan kemampuan bagi staf berupa pelatihan untuk meminimalisasikan risiko yang dapat terjadi seperti memberikan informasi yang salah kepada nasabah baru, staf mengundurkan diri, sering absen, mogok kerja, tidak masuk kerja sehingga data-data penting bank hilang atau dicuri oleh staf, dan untuk menghindari dari risiko operasional dan risiko hukum pada bank. c. Staff
Kepala
TI (Termasuk Kepala Grup TI, Kepala Divisi Sistem Engineering, Divisi
pengembangan
Software kemampuan
Engineering) bagi
staf
yaitu
dengan
berupa
memberikan
pelatihan
untuk
185
meminimalisasikan risiko yang dapat terjadi seperti memberikan informasi yang salah kepada nasabah baru, staf mengundurkan diri, sering absen, mogok kerja, tidak masuk kerja sehingga data-data penting bank hilang atau dicuri oleh staf, dan untuk menghindari dari risiko operasional dan risiko hukum pada bank.
4.3.2 Sistem Pengendalian yang Dilakukan PT. Bank Sinarmas Menurut PBI cara bank melakukan pengendalian risiko dengan menggunakan teknologi dengan menggunakan teknologi sehingga secara otomatis dapat memitigasi risiko yang ada seperti audit log, on line approval, parameter value di sistem yang digunakan: 1. Audit Log Audit Log pada PT Bank Sinarmas adalah sistem pencatatan pada setiap program aplikasi yang digunakan untuk mendaftarkan setiap proses yang dilakukan atas program aplikasi yang sedang digunakan. Contoh penerapan audit log pada sistem Teller (S1): Sistem akan melakukan pencatatan mulai dari kasir membuka kas besar sampai dengan teller dapat melakukan pembukaan kas kecil serta mencatat seluruh transaksi yang dilakukan oleh teller dan otorisasi yang dilakukan supervisor sebagai persetujuan atas transaksi yang dijalankan. Pencatatan oleh sistem akan dilakukan sampai dengan teller melakukan kas kecil. Laporan logister yang dihasilkan berisi tanggal, waktu, no.NIK teller, no. NIK supervisor dan setiap transaksi yang dijalankan sampai teller melakukan pentupan kas kecil (sign out). Hal ini dapat meminimalisasi terjadinya penyalahgunaan
186
user/client dan memberikan kemudahan dalam mengevaluasi transaksi-transaksi nasabah.
2. On Line Approval Pada PT. Bank Sinarmas on line approval merupakan persetujuan yang dilakukan oleh user/client yang telah mendapat wewenang atas proses yang dijalankan. Contoh penerapan: Untuk dapat masuk ke ruang server, hanya staf-staf yang telah diberikan wewenang saja yang dapat akses. Dan dengan menggunakan teknologi Access ID Card sebelum masuk ke
ruangan
tersebut.
Dengan
demikian,
dapat
meminimalisasi
terjadinya
penyalahgunaan akses ruangan server pada staf lain yang tidak memiliki Access ID Card.
3. Parameter Value Pada PT. Bank Sinarmas parameter value merupakan suatu objek penilaian yang dihasilkan oleh sistem, sehingga menghasilkan keputusan apakah suatu proses dapat atau tidak dapat dilanjutkan. Contoh penerapan parameter value, objek yang dinilai pada sistem teller adalah nominal transaksi, yakni: Pengambilan keputusan akan muncul secara otomatis oleh sistem pada saat nasabah melakukan transaksi lebih dari Rp. 500.000.000,00. Authorizer harus melakukan penilaian atas transaksi yang dilakukan oleh nasabah. Jika transaksi tersebut layak (sesuai dengan profil nasabah), maka user harus mengisi formulir KYCP (Know Your Costumer Principle) yang secara otomatis muncul pada layar transaksi dimana formulir
187
tersebut berisi data nasabah (No. Rekening, nama nasabah, jenis transaksi, nominal transaksi, rekening penerima) dan alasan atas dilakukannya transaksi tersebut. Formulirformulir yang diisi oleh user/client akan menghasilkan laporan yang dapat digunakan untuk meminimalisasi risiko atas transaksi-transaksi yang dilakukan nasabah.