Peraturan Bank Indonesia (PBI)

9/15/PBI/2007

dan Penerapan Tata Kelola Pengamanan

Informasi di Perbankan

2010

Oleh :Budi Restianto

Objective

• Mengetahui manajemen risiko di perbankan

• Mengetahui secara umum Peraturan Bank Indonesia

• “Benchmark” PBI dengan Standard Internasional

• Strategi penerapan dan “roadmap” untuk memenuhi ketentuan PBI

Materi

1. Apa yang diinginkan Bisnis Bank ? 2. Security Issues di Perbankan dan Manajemen

Risiko Bank

3. PBI 9/15/PBI/2007 dan Pengamanan Informasi

4. PBI 9/15/PBI/2007 dan ISO/IEC 27001/27002

5. Implementasi PBI tersebut dalam industri perbankan

6. Roadmap dan action plan

7. Penutup

1. Apa yang diinginkan Bisnis Bank?

PengamananData &

Informasi

Kontrol

Terhadap

Akses

PenerapanEnkripsi

Vulnerability Management

Penanganan

Insiden

Monitoring

& Audit

Customer

Satisfaction

Revenue

Cost &

Financial Loss

Internal

Process

Data Nasabah Bank

Data Operasional Bank

RISIKO

Mitigasi Risiko

dengan penerapan

Pengamanan Informasi

2. Security “Issues” pada Industri Perbankan

Opportunities Threats

• Kebutuhan akan mekanisme “Tata Kelola Pengamanan Informasi” yang efektif sesuai standar yang ditetapkan oleh Bank Indonesia dan dikomunikasikan kepada seluruh pengguna dan penyelenggara Informasi

• Perlunya mengoptimalkan fungsi Satuan Kerja Pengamanan Informasi yang disesuaikan Standar Keamanan yang berlaku

• Semakin tingginya tingkat ketergantungan bisnis Bank terhadap pemanfaatan Teknologi Informasi

• Meningkatnya risiko-risiko seiring dengan perkembangan Teknologi Informasi

• Kurang efektifnya Program Pengamanan Informasi, yang dapat berimplikasi pada kurang memadainya pengendalian risiko Teknologi Informasi dan pengamanan data/informasi Bank

Strengths Weaknesses

• IT Resources (People Et Technology)

• IT Strategic Plan

• Kebijakan, Standar dan Prosedur Teknologi Informasi (Policy, Framework, Prosedur)

• Risk Assessment Manual • Business Continuity Manual

• Security Awareness Program

• Security Incident Response Team

• Kurang memadainya fungsi Pengelola Program Pengamanan Informasi dan pemantauan pengamanan secara bank-wide

• Kurang jelasnya peran dan tanggungjawab dalam hal pengelolaan pengamanan informasi yang menyeluruh (pengguna Et penyelenggara informasi)

• Minimnya tingkat kesadaran/awareness pengguna dan penyelenggara informasi akan pentingnya pengamanan data/informasi nasabah

Manajemen Risiko Bank

• Risiko didefinisikan sebagai peluang terjadinya hasil (outcome) yang tidak diinginkan

• Risiko kerugian adalah kerugian ang terjadi sebagai konsekuensi langsung ataupun tidak langsung dari kejadian risiko. Kerugian tersebut dapat bersifat finansial atau non-finansial

• Bank perlu diregulasi untuk melindungi nasabah dan perekonomian dari kegagalan proses dan prosedur

• Regulasi Bank berbeda dengan regulasi industri lain. Pada industri perbankan, regulasi juga mencakup kelembagaan bank dan tidak hanya produk-produk perbankan

• Bank bersifat “khusus” karena permasalahan dalam sektor perbankan dapat menimbulkan dampak serius pada perekonomian secara keseluruhan dan disebut dengan “risiko sistemik”

• Risiko sistemik adalah risiko dimana kegagalan sebuah bank dapat menimbulkan dampak yang menghancurkan perekonomian secara besar-besaran dan bukan hanya dampak berupa kerugian yang secara langsung dihadapi oleh pegawai, nasabah dan pemegang saham

• Orang lebih mengenal “bank rush” (penarikan dana besar-besaran dari bank) yang bisa karena ketidakmampuan bank atau hanya sebatas persepsi nasabah

• Jika bank memberikan pinjaman yang tidak dapat dibayarkan kembali oleh peminjamnya, insolvabilitas bank tersebut bukan saja dapat berakibat pada kehancuran ekuitas para pemegang saham, namun juga kehancuran dana para deposan.

Manajemen Risiko Bank (cont’)

Basel II mengenalkan jenis jenis utama risiko yaitu Risiko pasar Risiko kredit Risiko operasional 4

Dibagi menjadi sub kategori Proses internal Manusia Sistem Kejadian eksternal Hukum dan regulasi (risiko legal)

Peru bahan-perubahan dalam industri perbankan menyebabkan berubahnya karakteristik risiko operasional yang berupa :

Otomatisasi Ketergantungan pada teknologi Outsourcing Terorisme Meningkatnya globalisasi Insentif dan trading –‘rouge trader’ Meningkatnya volume dan nilai transaksi Meningkatnya litigasi

Risiko-risiko lainnya : risiko bisnis, risiko strategis, risiko reputasi

3. Peraturan Bank Indonesia dan

Pengamanan Informasi

• Bank Indonesia menerbitkan Peraturan Bank Indonesia No.9/15/PBI/2007 tgl 30 November 2007 tentang Penerapan Manajemen Resiko dalam Penggunaan Teknologi Informasi oleh Bank Umum

Latar Belakang PBI

• Peningkatan efisiensi kegiatan operasional dan mutu pelayanan Bank kepada nasabah melalui perkembangan Teknologi Informasi

• Penggunaan Teknologi Informasi meningkatkan resiko yang dihadapi Bank

• Penerapan manajemen resiko secara efektif sejalan dengan meningkatnya resiko yang dihadapi

• Dalam rangka implementasi Basel II

Sistematika PBI 9/15/PBI/2007

Bab 1

Ketentuan Umum

Bab 2

ASPEK Bab 3

Bab 4 Bab 5

Bab 6

Business Continuity Plan

Pengawasan aktif

Dewan Komisaris dan Direksi

Manajemen

End User Computing

Pengembangan danPengadaan

Kecukupan Kebijakan dan

Prosedur Penggunaan TI

Ruang Lingkup Manajemen Resiko

Penerapan Manajemen Resiko

PELAPORAN

Electronic Banking

Operasional TI

Kecukupan Proses Manajemen

Resiko atas Penggunaan IT

Penggunaan Penyedia

Jasa TI

JaringanKomunikasi

Sistem Pengendalian Intern

Atas Penggunaan TI

Pengamanan

Informasi

Bab 7-10 Lain-lain, Sanksi, Ketentuan Peralihan, Ketentuan Penutup

Ruang Lingkup Manajemen Risiko

Kecukupan Proses

Identifikasi, Pengukuran,

Pemantauan dan Pengendalian Risiko

Penggunaan TI

Sistem Pengendalian

Intern atas

Penggunaan TI

Internal Controls

Risk Management

Processes

Management

Oversight

Kecukupan Kebijakan dan

Prosedur Penggunaan TI

Pengawasan AKtif Dewan

Komisaris dan Direksi

Policies &Procedures

Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi

Bank wajib memiliki kebijakan dan prosedur penggunaan

teknologi informasi

Aspek-aspek dalam kebijakan

dan prosedur

a. Manajemen

Bab III, pasal 8

c. Penggunaan pihak penyedia jasa IT

e. Electronic Banking

g. End User Computing

i. Business Continuity Plan

k. Pengamanan Informasi

m. Jaringan Komunikasi

o. Operasional Teknologi Informasi

q. Pengembangan dan Pengadaan

Pengamanan Informasi

Ditujukan agar informasi yang dikelola terjaga kerahasiaan (confidentiality),

Integritas (integrity) dan ketersediaan (availability)

Pengamanan Informasi dilaksanakan secara efektif, dengan memperhatikan :

Confidentiality : Informasi hanya bisa diakses oleh pihak yang berhak

Integrity : Informasi akurat dan utuh

Availability : Informasi tersedia saat diperlukan

Effective : Informasi relevan dan berguna serta disampaikan tepat waktu, benar dan konsisten

Efficient : Informasi dihasilkan dengan menggunakan sumber daya yang optimal (produktif dan ekonimis)

Bab III, pasal 14

Surat Edaran BI (SEBI) No.9/30/Dpnp

• Ketentuan Pelaksanaan PBI tercantum dalam Surat Edaran Bank Indonesia No.9/30/Dpnp tgl 12 Desember 2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum

• Berisi 10 Bab, Bab V Pengamanan Informasi

4. PBI dan ISO/IEC 27001

Ruang Lingkup Manajemen Risiko

• Meng identifikasi

risiko

• Mempersiapkan dokumen ISMS

• Audit Internal

• Tinjauan Manajemen

Pengamanan Informasi

(PBI pasal 14 dan SE bab 5)

Internal Controls

Management

Oversight

Risk Management

Processes

Policies &

Procedures

PBI dan ISO 27001

ISO / IEC 17799 / 27001

Information Technology – SecurityTechniques – Code of Practice for

Information Security Management

1. Security Policy

2. Organization of Information Security

3. Asset Management

4. Human Resources Security

5. Physical and Enviromental Security

6. Commnunications dan Operations Management

7. Access Control

8. Information Systems Acquisition, Development and Maintenance

9. Information Security Incident Management

10. Business Continuity Management

11. Compliance

• Tugas dan tanggung jawab (ISO 2)

• Memiliki dan menerapkan kebijakan

Dan prosedur (ISO 1) mencakup Sekurang-ku rang nya :

• Pengelolaan Aset (ISO 3)

• Pengelolaan Sumber Daya

Manusia (ISO 4)

• Pengamanan Fisik dan Lingkungan (ISO 5)

• Pengamanan Logic (ISO 7)

• Operasional TI (ISO 6)

• Penanganan Insiden (ISO 9)

• Prosedur lainnya :

Pengembangan dan Pengadaan

Sistem (ISO 8), Jaringan Komunikasi Data (ISO 6), BCP

Dan DRP (ISO 10), Outsourcing dll

PBI / SE

Mapping control di PBI dan ISO 27001/27002

PBI BAB SUB

BAB

MAIN CONTROL ISO CONTROL

2.1.1 II.Pengembangan dan Pengadaan Sistem

2.2.0 Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkah-

langkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasiaannya dan integritasnya serta mendukung pencapaian tujuan Bank

1.2.1 Security requirements analysis and spesification

2.1.2 II.Pengembangan dan Pengadaan Sistem

2.2.0 Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkah-

langkah pengendalian yang mencakup:

a.Menetapkan dan menerapkan prosedur dan metodologu pengembangan dan pengadaan teknologi informasi secara konsisten

10.1.

1

Document Operating Procedures

2.1.3 II.Pengembangan dan Pengadaan Sistem

2.2.0 b.Menerapkan manajemen proyek dalam pengembangan aplikasi yang utama

Tidak ada di ISO, ada di best practice yang lain seperti COBIT dan PMBOK

Mapping control di PBI dan ISO 27001/27002 (cont’)

Tidak semua control di ISO 27001/27002 tercantum di dalam PBI

Tidak semua control PBI tercantum di ISO 27001/27002

Secara garis besar kesesuaian control di

ISO 27001/27001 dengan PBI adalah :

Sumber : Bank Indonesia LEMTI - U I

65%

5. Implementasi PBI di Perbankan

Sudut Pandang terhadap PBI

Beyond Compliance

Mengapa ??

• Setiap bank memiliki sruktur organisasi/

Kompleksitas TI dan kebutuhan bisnis yang berbeda-beda. Oleh karena itu, tidak

ada suatu acuan yang dapat diaplikasikan

secara merata ke seluruh bank

• Setiap bank memiliki resiko yang berbeda

beda.Oleh karena itu, implementasi kontrol

Untuk setiap Bank berbeda dan harus Melalui analisa resiko sebelumnya

• Dengan mematuhi suatu acuan/peraturan

Bank sebenarnya dapat meraih manfaat-

Manfaat yang mendukung tercapainya tujuan bisnis.

Set of Controls – Risk Based

Point of View

There is no standard that has

“one size fits all” character

Metodologi

Executive

Summary Identify PIC

Identify IT

Management

Perform

Interview

Compliance Gap

Schedule

Interview

Management Presentation

Review diatas akan memberikan gambaran mengenai tingkat kepatuhan Bank Terhadap PBI. Sebuah daftar kontrol yang disusun berdasarkan PBI dan Pedomannya akan diberikan nilai “patuh/tidak patuh” melalui wawancara dengan PIC terkait. Melakukan kajian dokumentasi dan inspeksi, misalkan dokumen framework Security, hasil assesment dokumen terhadap kontrol di PBI

QUICK

SCAN

Define Analyze Review Deliverables

IT Security Framework Corporate Vision / Mission Regulatory Requirements Trends Stakeholders / Customers

Enforcement &

Compliance Checking

Incident Management

Compliance

System

Acquisition

Development

& Maintenance

Application

Physical Security

Secure Areas

Business ContinuitManagement

Security Policies /Standards /Guidelines /Procedures

ManagementFramework

Host Network User Access Mgmt

EquipmentSecurity

Organization of Security

Access Control

Classification

& Handling

Asset Management

Security Team

Communications & Operations Mgmt

Security

Network

AssetInventory

Recruitment/Termination

HR Security

3rd Party Management

MobileComputing

OperationalProcedures

Training/

Awareness

Assesment Document terhadap kontrol PBI di Bab V Keamanan Informasi

No PBI/SEBI BANK A PIC TD Progress Status

BAB V. Keamanan Informasi

1 Keb Keamanan Informasi IT Policy. H ITC Mar-09 100% Done

4 Std Pengamanan Logik H.01.01.S12 Logical Access Control ITC Dec-09 100% Done

6 Std Penanganan Insiden (CSIRT/CERT) H.01.01.S10 Incident Response for Device Related Security Events & Security Incident Response H.03.06.P01

ITC Jan-00 100% Done

7 Std Anti Virus H.01.01.S01 Anti Virus ITC Dec-09 100% Done

8 Std Access Control Matrix H.01.01.S20 Access Control Matrix ITC Dec-09 50% Progre

ss

9 Std Security Key Key Management Manual H.01.01.M03 ITC Oct-09 100% Done

10 Std Userid Pengelolaan User ID H.01.01.M34 ITC, ITP May-10 100% Done

11 Std Password H.01.01.S26 ITC Dec-09 100% Done

12 Licensing (PPPJTI)Form Check List sesuai PBI-SEBI ITC 30% Progre

ss

14 Pro Userid & Password Admin Pengelolaan User ID H.01.01.M34 ITSEC May-10 100% Done

15 Pro Key Generation & Distribution Key Management Manual H.01.01.M03 ITSEC,ITG Oct-09 100% Done

6. Roadmap and Action Plan

Initiatives Immediate Short Term

(1-3 years)

Long Term

(3-5 years)

Security Policy

Add New Information Security Procedures x

Policy Enforcement x x x

Policy Review x x x

Policy Socialization x x x

Access Control

Review of user access rights x x x

Revise user access control implementation x x

Revise network design / implementation x x

Revise server authentication mechanism x x

7. Penutup

• PBI 9/15/PBI/2007 dan SE-nya telah mencantumkan ketentuan terkait pengamanan informasi di perbankan

• Penerapan PBI/SE dan atau ISO 27001/27002 tidak menjamin bahwa bank aman dari serangan/gangguan TI/informasi, namun paling tidak :

– Telah terdapat proses peningkatan kontrol pengamanan TI yang berkesinambungan

– Mengacu pada international best practice

• Penerapan PBI dan atau ISO 27001/27002 jangan hanya sebatas pada pemenuhan / ketaatan pada persyaratan / requirement namun harus didasarkan pada kesadaran terhadap pentingnya pengamanan informasi dan pengoptimalan TI untuk memberikan nilai tambah bagi bank

Sumber: Budi Restianto