Seminar Nasional Ekonomi dan Bisnis (SNEB) 2014
PENGUKURAN KEAMANAN TRANSAKSI , DALAM RANGKA MENGHINDARI FRAUD, ABUSE , SUBVERSIVE THREAT DAN RISIKO REPUTASI , DI INDUSTRI PERBANKAN (STUDI KASUS BANK BPR X, DI BANDUNG) Nanang Sasongko Jurusan Akuntansi, Fakultas Ekonomi Universitas Jenderal Achmad Yani (UNJANI) Jl.Terusan Jenderal Sudirman PO BOX 48, Cimahi 40321 Email :
[email protected] Abstrak – Kemajuan teknologi informasi mamasuki segala aktivitas bidang bisnis , termasuk kegiatan keungan dan transaksi perbankan, kemajuan transaksi di internet merupakan salah satu penyebab terjadinya kejahatan. Seperti yang disampaikan oleh Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan beberapa statistik yang menarik, seperti misalnya ditunjukkan bahwa “disgruntled worker” (orang dalam) merupakan potensi attack / abuse.(1999). Ciri khas kegiatan perbankan adalah prinsip kehati-hatian (prudent), yaitu menghindari segala risiko termasuk Fraud (kecurangan), Abuse (penyimpangan ), Subversive Threat ( Ancaman Perusakan) dan Risiko reputasi. Penelitian ini, dilakukan pada industri perbankan,bukan bank umum konvensional, namun Bank Perkreditan Rakyat , dengan metode deskriptif kuantitatif, mengunakan analisis hasil penilaian tingkat kematangan dari standar COBIT (Control Objective base related Information Technology),Tujuannya adalah mengukur tingkat keamanan sistem informasi perbankan, Hasilnya bank BPR X diBanadung Jawa Barat,Secara khusus ancaman keamanan berupa subversive threat dan Risiko reputasi menunjukan tingkat Defined , dan secara umum menujukan tingkat managed and measurable ,artinya bahwa sistem keaman keamanan transaksi berada pada tingkat yang dapat dikendalikan , belum pada level optimize, atau tingkat yang optimal. Kata Kunci : Kemanan Transaksi, Fraud, Abuse , Subversive Threat, Risiko Reputasi I. PENDAHULUAN
II. LANDASAN TEORI
Penggunaan Teknologi Informasi pada transaksi perbankan saat ini sudah banyak dilakukan Kegiatan perusahaan Perbankan merupakan , entitas yang memerlukan tingkat akuransi yang tinggi dalam pengelolaan kegiatan keuangan mereka. Isu sentral Teknologi Informasi adalah keamanan data.
2.1. Dasar acuan COBIT Mekanisme pengukuran sistem kontrol keamanan dapat menggunakan dasar acuan COBIT ( Control Objectives base related Information Technology) yang menyediakan standard pengujian terhadap manajemen teknologi informasi , terdapat 4 Domain/kelompok/faktor, yakni faktor perencanaan dan pengembangan, faktor pengembangan dan implementasi , faktor dukungan dan perolehan serta faktor pemantauan dan evaluasi , COBIT menentukan status dari penerapan manajemen teknologi informasii yang dilakukan terhadap suatu sistem informasi dengan 5 (lima) alternatif tingkat kedewasaan (level of maturity) dalam menerapkan manajemen teknologi informasi suatu sistem.
Perbankan Internet, Internet Banking, menjawab tututan nasabah yang mengingikan pelayanan cepat, aman, murah tersedia 24 jam, serat dapat diakses darimnana saja, baik dari telepon seluler, komputer, maupun laptop. Pertumbuhan pengguna internet banking , diindonesia termasuk lambat (Prihtiyani Eny , 2012), disebabkan oleh Pertama, kualitas layanan internet banking belum merata, Nasabah sering kali gagal dalam bertransaksi, yang mengakibatkan kekecewaan, Kedua, Keandalan dan keamanan, Beberapa modus kejahatan antara lain website forging (modus dimana pelaku kejahatan membuat tampilan dan alamat domain situs web persis dengan situs web bank asli) . Nasabah terkecoh dan pelaku dengan mudah memeperoleh username dan password. Ketiga seperti SMS dan mobile Banking, internet banking juga belum punya regulasi khusus lex specislis, masih dinaungi peraturan bersifat umum. Akbatnya ketentuan soal proteksi nasabah kurang dibidik sehingga nasabah belum percaya 100 persen.
2.2. Risiko Reputasi Risiko reputasi (reputation risk) adalah risiko yang, antara lain, disebabkan adanya publikasi negatif yang terkait dengan kegiatan usaha bank atau persepsi negatif terhadap bank. (Peraturan Bank Indonesia (PBI) Nomor 5/8/2003) sedangkan Ludwig menyatakan “Reputation risk affects a bank’s ability to establish new relationships with customers or vendors as well as a bank’s ability to continue existing relationship, it is inherent in all bank activities,” (Eugene A. Ludwig , Banking Policy Report 1996),
Proceedings SNEB 2014: Hal. 1
Seminar Nasional Ekonomi dan Bisnis (SNEB) 2014
Risiko reputasi timbul dari pendapat negatif yang terbentuk di masyarakat, yang biasanya akar Acuan n memaksa bank berhadapan dengan masalah litigasi,
turunnya jumlah nasabah, yang akhirnya akan berujung pada kerugian secara finansial.
Tabel 1. Pengujian Keamanan Transaksi No 1
2
3
4 5
6
7
8
Keterangan Strategi a. Apakah ada strategi bisnis, strategi pemasaran, dan strategi teknologi? b. Apakah kelayakannya sudah diperiksa? c. Apakah memiliki tujuan, faktor keberhasilan danTingkat Pengembalian atas Investasi telah dinilai? Manajemen keamanan a. Apakah ada kebijakan keamanan yang telah disetujui oleh dewan direksi? b. Apakah ada pemisahan tugas Petugas/Satuan Keamanan, berurusan secara eksklusif dengan Sistem Informasi keamanan, dan divisi Teknologi Informasi yang benarbenar menerapkan system komputer? c. Apa peran Petugas/Satuan Keamanan Informasi telah independen? d. Apakah perana uditor Sistem Informasi independen? (Sebaiknya independen dari unit OperasidanTeknologi) e. Bank harus memastikan bahwa auditor Sistem Informasi merupakan bagian dari tim audit internal mereka. Perjanjian Level Pelayanan Apakah Perjanjian Level Pelayanan telah diproduksi, dengan rincian: Ketersediaan Waktu untuk memperbaiki Waktu untuk menerapkan perubahan Backup Volume yang berbasis Keamanan Tingkat minimum pelayanan Pelatihan Apakah pelatihan kesadaran keamanan dan program pendidikan, telah dilaksanakan? Apakah proses pemantauan kapasitas, telah dilaksanakan? Menetapkan proses perencanaan kapasitas keseluruha nuntuk website internet banking, memperhatikanprinsip-prinsipberikut: Pastikanbahwa platform perangkatkerasdan link komunikasidapatsegeraberskala, untukmeresponkenaikanpermintaan, tanpaperubahanmendasardalamarsitektur Menetapkan proses pemantauan, untuk mengukur penggunaan sumber daya fisik dan komunikasi bandwidth, sehingga upgrade dapat diatur, sebelum kapasitas meningkat menjadi bermasalah Apakah masalah keamanan potensial diidentifikasi? Mengidentifikasi sumber-sumber informasi tentang kerentanan keamanan baru, teknologi yang digunakan, misalnya, CERT, dan milis lain, situs pemasok Menetapkan proses perubahan control dapat dikerjakan dan dapat diandalkan, dengan prosedur mencat dan melaporkan, untuk memastikan bahwa update yang dibuat dengan cara yang aman dan tepat waktu Memantau daftar paket layanan saat ini tersedia dan perbaikan, padasitus-situs vendor produk, untuk memastikan bahwa versiter baru sedang digunakan Apakah perubahan dikelola secara efektif (perangkat keras, perangkat lunak dan konten)? Dokumentasikan proses manajemen perubahan dan memastikan bahwa ruanglingkup dipahami secara jelas Menetapkan mekanisme formal untuk mengidentifikas idampak keamanan perubahan dan memastikan bahwa ini dievaluasi oleh individu yang memenuhi syarat Rekam semua perubahan yang dikontrol, secara komprehensif dan konsisten Pastikan bahwa rencana kontinjensi disusun Apakah keamanan dipantau? Melakukan pemeriksaan rutin dan sering, untuk memastikan bahwa komponen situs web selalu mematuhi standa rkonfigurasi yang telah disepakati, diperlukan untuk keamanan Melaksanakan„review dasar‟, sebelum sebuah situs web yang awalnya terhubung ke Internet dan membandingkan ulasan selanjutnya dengan dasar ini, untuk mendeteksi perubahan Periksa bahwa komponen situs tidak rentan terhadap ancaman baru muncul Melakuka npengujian 'penetrasi' aktif, untuk mensimulasikan serangan eksternal di website
1
2
3
4
v v v
v v v v v v
v v
v
v
v
Proceedings SNEB 2014: Hal. 2
Seminar Nasional Ekonomi dan Bisnis (SNEB) 2014 Gunakan alat otomatis, untuk mendukung pemantauan, sedapat mungkin Apakah proses pencatatan efektif diimplementasikan? Mengembangkan prosedur pencatatan audit yang melindung iintegritas dari gangguan, dengan mengambil hal-hal berikut menjadi pertimbangan: Secara rutin backup semuanya, keperangkat yang terpasang langsung Jauhkan log (dan direktori spool) padapartisi disk khusus, untuk mengurangi efek, mereka mengisi seluruh system Gunakan logging penyimpan yang aman, di manacatatan audit yang dikirimkandari host untuk PC yang berdedikasi, melalui link serial, atau media yang dilindungi, seperti, disk WORM Tentukan tindakan apa yang harus diambil bila kapasitasdari log telahter capai, misalnya, Jadwal seringnya pemeriksaan dari penggunaan disk, dan secara otomatis halaman administrator, saat perangkat ini sekitar, 90 persen penuh. 10 Apakah informasi yang tepat dalam Kontrol Jejak Audit Keberhasilan dan kegagalan Log-ondan log-off Keberhasilan dan kegagalan Restart, shutdown dan sistem Keberhasilan dan kegagalan perubahan kebijakan Keamanan Keberhasilan dan kegagalan Pengguna dan manajemen kelompok Keberhasilan dan kegagalan file dan akses objek Penyimpangan dari pola penggunaan 'normal' seperti: Sistem beban pada waktu yang berbeda dari hari Jumlah proses yang berjalan Utilisasi CPU Keberhasilan yang tidak biasa / penolakan koneksi Sukses dan pesan kesalahan dari kedua firewall 11 Apakah deteksi penyusupan dilaksanakan? Mengimplementasikan proses deteksi penyusupan, mengadopsi prinsip-prinsipdi bawah ini: Gunakan paket komersial yang diperbarui secara teratur, sehingga tetap terjaga dari kerentanan baru dan serangan Jalankan layanan minimum absolut, pada platform, terima alat deteksi penyusupan Jangan biarkan platform antar muka untuk dapat dilihat oleh jaringan yang dipantau Membentuk administrasi dan pelaporan jaringan untuk sistem deteksi penyusupan yang diisolasi dari jaringan internal Jangan mengandalkan ekstensif pada alat deteksi di tempat yang benar 12 Apakah manajemen insiden diimplementasikan? Melaksanakan proses yang efektif untuk menangani insiden keamanan. Hal ini dapat didasarkan pada enam langkah-langkah berikut: 1. Siapkan: mengembangkan dan mendokumentasikan rencana respon dan mengidentifikasi staf, peralatan dan sumberdaya eksternal yang mungkin diperlukan 2. Bereaksi: menempatkan rencana kedalam tindakan, dengan menila itingkat keparahan insiden tersebut dan membangun control manajemen 3. Merespon: mengumpulkan sumberdaya yang tepat, untuk mengatasi insiden tersebut dan mengumpulkan informasi 4. Mengandung: mengidentifikasi dan menghapus penyebab insiden tersebut danmeningkatkan pertahanan 5. Recover: memulihkansistem (dari cadangan, ID yang diperlukan) dan memverifikasi bahwa kerentanan telah dihapus 6. Tindaklanjut: Ulasan control dalam kejadian yang jelas dan mengkonfirmasi efektivitas proses kejadian-deteksi dan respon. 13 Apakah dukungan yang memadai disediakan? Pastikan bahwa sumber daya yang memadai berada di tempat, untuk mendukung rencana manajemen insiden. Ini mungkin termasuk: Pemimpin tim respon-insiden dan anggota tim, dengan tingkat tinggi keterampilan teknis Siap mengakses lembaga-lembaga eksternal, untuk dukungan cadangan Mudah tersedia perangkat keras dan perangkat lunak untuk penyelidikan insiden Pelatihan, survey, pedoman dan prosedur Jumlah Jawaban Nilai Jawaban Total Nilai Jawaban Jumlah Pertanyaan Hasil Pengujian Keterangan : 1 = Buruk, 2 = Tidak jelas, 3 = Perlu pengembangan, 4 = Puas 9
v
v
v
v
0 0 -
5 10 46 17 2,7
12 36 -
0 0 -
Proceedings SNEB 2014: Hal. 3
Seminar Nasional Ekonomi dan Bisnis (SNEB) 2014
2.3. Fraud, Abuse ,dan Subversive Threat Keecurangan (Fraoud) adalah Penyimpangan (Abusen) adalah Ancaman substantive (Substantive theats) adalah 2.4. Keamanan Transaski Setiap perusahaan harus mendefinisikan, mengidentifikasi, dan mengisolasi bahaya-bahaya yang seringkali mengancam hardware, software, data dan sumber daya manusia. Security measures menyediakan day-to-day protection terhadap fasilitas komputer dan fasilitas fisik lainya, menjaga integritas dan privacy data files, dan menghindari kerusakan serius atau kehilangan. Yang termasuk dalam security measures antara lain adalah perlindungan fisik terhadap sumber daya non-komputer, fasilitas hardware, dan data/informasi. Tujuan Utama keamanan transaksi (James A,Hall, 2009) adalah sbb 1. Protection from disasters 2. Protection from unauthorized access 3. Protection from breakdowns and interruptions 4. Protection from undetected access 5. Protection from loss or improper alteration 6. Recovery and reconstruction of lost data 7. Establish a system to monitor the above Sedangkan difinisi keamanan computer (Thomas Olovsson (1992) . “ In a generic sense, security is "freedom from risk or danger." In the context of computer science, security is the prevention of, or protection against, access to information by unauthorized recipients, and intentional but unauthorized destruction or alteration of that information. This can be re-stated: "Security is the ability of a system to protect information and system resources with respect to confidentiality and integrity." Note that the scope of this second definition includes system resources, which include CPUs, disks, and programs, in addition to information. III. PEMBAHASAN 3.1 Langkah-Langkah Penellitian Penelitian ini dilakukan dalam 4 tahap kegiatan penelitian: 1. Penelusuran Data.Data untuk keperluan penelitian sesuai dengan topik yang dipilih
dihimpun dari BPR X di Bandung Jawa Barat 2. Penyusunan Kuesioner dan Dasar Teori Pendukung. Setelah data sumber referensi yang dikumpulkan dirasa cukup, dilaksanakan penyusunan kuesioner sebagai alat utama untuk menggali data primer yang diperlukan. 3. Analisis Jawaban Responden Data primer yang diperoleh kemudian dianalisis berdasarkan kerangka operasionalisasi variabel yang telah ditetapkan. Tidak lupa pula alat-alat analisis statistik seperti tabel distribusi frekuensi, uji reliabilitas, dan validitas akan diterapkan terhadap data primer yang telah berhasil digali tersebut untuk meningkatkan kesahihan dan mensistematiskan analisis yang dikerjakan. 4. Pengambilan Kesimpulan Berdasarkan analisis data yang telah dilakukan, ditarik kesimpulan yang akan dapat menggambarkan kondisi permasalahan yang ada. Sesuai kerangka operasionalisasi variabel yang telah diuraikan sebelumnya, kesimpulan akan berupa poin-poin hipotesis. Rangkaian hipotesis faktual yang ada merekonstruksi karakter kondisi yang ada. Metode penelitian yang penulis gunakan dalam penelitian ini adalah metode asosiatif, dimana penyajiannya disertai dengan perumusan hipotesis dan menganalisis objek yang diteliti. Adapun pengertian penelitian asosiatif menurut Sugiyono adalah sebagai berikut: “Penelitian asosiatif merupakan penelitian yang bertujuan untuk mengetahui hubungan antara dua variabel atau lebih. Penelitian ini mempunyai tingkatan tertinggi bila dibandingkan dengan penelitian deskriptif komparatif. Dengan penelitian ini maka akan dapat dibangun suatu teori yang dapat berfungsi untuk menjelaskan, meramalkan, dan mengontrol suatu gejala.” (2011 : 14) Data yang diperoleh selama penelitian ini akan diolah, dianalisis, dan diproses lebih lanjut dengan dasar teori yang telah dipelajari, sehingga diperoleh suatu kejelasan mengenai objek yang diteliti. 3.2 Analisi Penegujian Keamanan Transaksi Dengan menggunakan metode deskriptif kuantitatif , yang menilai dan melakukan pengamatan langsung terhadap objek penilaian dari tabel 1 diatas, dengan rentang skala pengujian : 0 1,5 = Buruk , 1,6 – 2,5 = tidak jelas, 2,6 – 3,5 = Perlu pengembangan , 3,6 – 4 = Puas, maka nilai yang di operoleh yaitu 2,7 adalah pada tiungkat perlu pengembangan. 3.3. Analisis Pengukuran Keamanan Sistem Informasi Proses wawancara (interview), dan Pengujian (test), proses menguji beberapa objek
Proceedings SNEB 2014: Hal. 4
Seminar Nasional Ekonomi dan Bisnis (SNEB) 2014
penilaian dalam kondisi tertentu untuk membandingkan kondisi aktual dengan perilaku yang diharapkan. , adapun hasil akhir dari hasil pengukuran keamanan berdasarkan COBIT, adalah sebagai berikut : Tabel 2. Hasil Pengukuran Keamanan berdasarkan acuan COBIT
N o
Domain
Tingkat kedewasaa n
Keteranga n
1
Perencanaan dan pengembangan
4
Manage
2
Pengembangan dan Implementasi
4
Manage
3
Dukungan dan perolehan
4,5
Manage
Pemantauan dan Evaluasi
4,5
Manage
4,25
Manage
4
Hasil Rata-rata
Dari Tabel 2 diatas hasil pengukuran keamanan diatas. Dengan metode penilaian tingkat penerapan, dan rekapitulasi hasil pengujian terhadap manajemen teknologi informasi perusahaan yang mengacu pada COBIT ,hasilnya adalah 4,25 artinya teknologi informasi yang dibangun dan dikelola oleh PT Bank X memiliki status manage tetapi masih banyak parameter kontrol yang perlu diperbaiki atau ditingkatkan sehingga menghasilkan nilai bisnis yang lebih baik. maka bank BPR X , masih dalam tingkatan tidak optimal. 3.4. Analisis Keamanan Sistem Informasi Di dalam melakukan analisis atas keamanan sistem informasi dengan SNI.ISO-IEC.270012009, hal-hal yang dianalisis meliputi: 1) Kebijakan Keamanan Informasi, 2) Organisasi Keamanan Informas, 3)Pengelolaan Aset, 4)Kemanan Fisik dan Lingkungan, 5) Manajemen Komunikasi & Operasi, 6) Pengendalian Akses, dan 7) Pemeliharaan Sistem Informasi. Kondisi keamanan sistem informasi di BPR berdasarkan respon dari penelitian Nanang Sasongko dan Frita Lussi B (2013) adalah sebagai berikut:
Gambar 1.Hasil analisa terhadap Fraud Abuse dan Substantive Threat IV. KESIMPULAN Dari hasil diatas makan dapat disimpulkan bahwa keamanan transaksi pada bank BPR X di Bandung, masih pada level defined, hal ini disebabkan Bank ini tidak dapat mengikiuti perkembangan teknologi yang terbaru.
REFERENSI Bank
Indonesia (2003),Peraturan Bank Indonesia (PBI) Nomor 5/8/2003 Eugene A. Ludwig , (1996) Banking Policy Report Hasyim Gautama dan Bambang Heru Tjahjono. (2012) Sistem Keamanan Informasi pada Sistem Transaksi Elektronik untuk Pelayanan Publik. Rakornas LPSE. 2012 Hall, A James (2009) , Accounting Information System, 6th edition Mc Graw Hill, New York Nanang Sasongko , dan Frita Lussi B (2013), Pengukuran kinerja Audit Sistem Informasi, Pada Bank BPR Jawa Barat, Prosiding , Forum Manajemen Indonesia ke 5 , Universitas Tanjung Pura Pontianak Sekilas tentang Control Objective for Information and related Technology (COBIT) diakses dari http://cobitindo.blogspot.com/2011/10 /sekilas-tentang-control-objectivefor.html#more tanggal 4 Mei 2009 Sugiono (2011) , Metode Penelitian Sosial, Alfabeta , Bandung Prihtiyani, Eny, (2012, 11 Oktober ) Perbankan Internet, Kompas hal. 17 Tomas Olovsson,(1992) "A Structured Approach to Computer Security," Technical Report No. 122,. See http://www.ce.chalmers.se/
Proceedings SNEB 2014: Hal. 5
Seminar Nasional Ekonomi dan Bisnis (SNEB) 2014
~ulfl/webmdemo/wmwork/www/securit y
Biodata Penulis
Nanang Sasongko, memperoleh gelar Sarjana Ekonomi (SE), Jurusan Akuntansi Universitas Padjadjaran Bandung, lulus tahun 1986. Memperoleh gelar Magister Science (MSi) Program Pasca Sarjana Magister Ilmu Ekonomi Universitas Padjadjaran Bandung, lulus tahun 1996. Saat ini menjadi Dosen di Fakultas Ekonomi Universitas Jenderal Achmad Yani Cimahi
Proceedings SNEB 2014: Hal. 6