TSI bank 2 - Gunadarma...

PENILAIAN RISIKO dan

PROSES PEMERIKSAAN TSI

UNIVERSITAS GUNADARMA

MAGISTER MANAJEMEN PERBANKAN

Konsep Risiko

Dampak

Kelemahan

Ancaman KompleksitasTSI

Keamanan danPengendalian

PerlindunganAset

Risk Assessment PrioritasPemeriksaan


Konsep Risiko Ancaman

Tindakan atau kejadian yang mungkin merugikankeamanan sistem komputer

Rangkaian keadaan atau kejadian yang membiarkanorang atau alat lain untuk menimbulkan kesulitan yang berkaitan dengan informasi, melalui eksploitasikelemahan-kelemahan dari produk teknologi informasi

Suatu keadaan atau kejadian yang potensialmenimbulkan kerugian sistem dalam bentukpengrusakan, pembukaan, modifikasi data ataupenghalangan pelayanan


Konsep Risiko Kelemahan

• Kelemahan keamanan pada target evaluasi(misalnya penyebab kegagalan analisis, rancangan, implementasi, atau operasi)

• Kelemahan pada komponen atau sistem informasi(misalnya prosedur pengamanan sistem, rancanganperangkat keras, atau pengendalian internal) yang bisa dieksploitasi sehingga menimbulkan kerugianyang berhubungan dengan informasi

• Kelemahan di dalam prosedur keamanan sistem, rancangan sistem, implementasi, pengendalianinternal, dan sebagainya, yang bisa dieksploitasiuntuk melanggar kebijakan keamanan sistem


Konsep Risiko Dampak

Konsekuensi (negatif) organisasi, baik jangka pendekmaupun jangka panjang, yang disebabkan olehancaman yang bisa telah mengeksploitas kelemahansistem

50 565 000,-

33 545 000,-

17 256 000,-

11 239 000,-FINANCIALFRAUD

TELECOMM.FRAUD

INFORMATIONTHEFT

UNAUTHORIZED.ACCESS

Jumlah Kerugian (US$)


Tipe Risiko

1. Risiko Pengembangan

2. Risiko Kesalahan

3. Risiko Terhentinya Bisnis

4. Risiko Pengungkapan Informasi

5. Risiko Penggelapan


Tipe Risiko Pengembangan

Penundaan atau ketertinggalan dalam implementasisistemKeterlambatan pengembanganPeningkatan biayaKegagalan proyek komputerPengoperasian yang tidak memadai dari sistem yang sudah diimplementasikanPengamanan dan pengendalian tidak dipertimbangkandari awalSKAI atau bagian terkait tidak memberikan kontribusisejak dini dalam proses perancangan


Tipe Risiko Kesalahan

• Kesalahan selama pemasukan data oleh operator

• Kesalahan selama pengembangan dan perubahanprogram

• Kesalahan yang paling signifikan terjadi selamaproses perancangan sistem

• Kesalahan dalam prosedur pemeliharaan sistemsecara berkala

• Kompleksitas komputer memberi kontibusi pentingpada terjadinya kesalahan

• Kesalahan pada modifikasi perangkat lunak paket


Tipe Risiko Terhentinya Bisnis

Sistem tidak berjalan jika mengalamikerusakan atau kegagalan fungsiData centre menjadi salah satu titik lemahjika tidak berfungsi, kecelakaan, ataukerusakaan akibat kejahatanPengaruh kerusakan terhadap pelayanan, menghentikan sebagai atau seluruhpelayanan bankDiperlukan rencana darurat yang baik (DRP)


Tipe Risiko Pengungkapan Informasi

Informasi rahasia bisa diakses dan dibaca denganberbagai cara:

– Fasilitas-fasilitas eksplorasi melalui terminal komputer– Menggunakan program-program (perangkat lunak khusus)

untuk membaca file data– Pemindahan file komputer atau cetakan– Penyadapan saluran telekomunikasi

Jika informasi tersebut jatuh ke orang yang tidak berhakmaka bisa mengganggu hubungan nasabah, reputasibank, dan tuntutan


Tipe Risiko Penggelapan

Perubahan instruksi pembayaran yang tidak syah sebelumdiinput

Transaksi yang tidak diotorisasi dimasukkan langsungmelalui terminal komputer

Perubahan program yang bisa membuat transaksi gelapsecara otomatis

Program khusus untuk mem-by pass pengendalian dan fasilitasjejak audit

File komputer dapat dipindahkan, dirubah dan dikembalikanuntuk diproses lebh lanjut

Transaksi dapat diketahui atau dicegat dan dirubah pada saattransmisi


Model Penilaian

Tipe dan Jenis Resiko

Peluang / frekuensikejadian

Fasilitas keamanan danpengendalian

Estimasi dampak jikaresiko terjadi

PengukuranRisiko

PengukuranRisiko


Model Penilaian Statistik/Kuantitatif

Resiko A : Kebakaran Gedung

Peluang : 1 kali dalam 10 tahun

Total kerugian : Rp 1 MilyarALE : Rp 1 milyar x 1/10

= Rp 100 juta

Resiko B : Kesalahan data entry

Peluang : 1000 per tahunTotal kerugian : Rp 250 000 per kesalahan

(rata-rata) ALE : Rp 250 000 x 1000

= Rp 250 juta

Annual Loss Expectancy



1. Resiko = Ancaman + kelemahan sistem + dampak

Risiko = f(Ancaman, kelemahan sistem,dampak)

Bentuk Hubungan

2. Resiko = Ancaman x kelemahan sistem x dampak

3. Klasifikasi Silang :

Tinggi

Cukup

Rendah

Kelemahan SistemTinggi Cukup Rendah

ResikoTinggi

Anc

aman



Skala Pengukuran Klasifikasi Indikator

2

1

3

0

Beresiko Tinggi

Cukup Beresiko

Kurang Beresiko

Tidak Beresiko

0% 25% 50% 75% 100%

Tidak Beresiko Beresiko Tinggi

?

YaTidak

BeresikoTidak Beresiko

1.

2.

3.

?

?



Contoh indikator penilaian ancaman kesalahaninput data pada sistem aplikasi tabungan

2

1

3

0

Kesalahan input sangat sering terjadi karena bank relatif barumembeli dan mengimplementasikan sistem aplikasi dengansumber daya pengguna komputer yang belum ahli semuanya

Kesalahan input data cukup sering terjadi karena sebagian besarpengguna komputer belum trampil

Kesalahan jarang terjadi karena sebagian besar pengguna sudahtrampil dan terbiasa menggunakan sistem yang sudah lama dipakai di bank

Kesalahan input data tidasak pernah terjadi(Catratan: Situasi hipotesis yang relatif tidak pernah terjadi)



Contoh indikator penilaian kelemahan sistem yang relevan dengan ancaman pada tabel 1

2

1

3

0

Sistem sangat lemah karena tidak menerapkan semuateknik pengendalian aplikasi

Sistem cukup lemah karena sebagian besar teknikpengendalian aplikasi tidak diterapkan

Sistem sedikit memiliki kelemahan karena ada teknikpengendalian aplikasi yang belum diterapkan

Sistem tidak memiliki kelemahan karena sudahmenerapkan semua teknik pengendalian aplikasi yang bisa menjamin ketepatan dan keakuratan input data


Model Penilaian Kualitatif

PENGENDALIANKesalahandata entry

PENGENDALIANKesalahandata entry

DIABAIKANOtorisasi

transaksi kecil

DIABAIKANOtorisasi

transaksi kecil

PENCEGAHANPENCEGAHANASURANSIKebakaran(Gedung)

ASURANSIKebakaran(Gedung)

PELUANG

DA

MPA

K

Tinggi

Tinggi

Rendah

Rendah


Model Penilaian Kualitatif

Pencegahan (prevent) jika peluang dan dampak dinilai tinggi. Contohnya adalah menghindari penempatan barang-barang mudahterbakar di ruang data centre

Pengendalian (control) jika peluang tinggi tetapi dampaknyarendah. Contohnya pengendalian dalam bentuk programmed edit check untuk mengurangi kesalahan input data

Asuransi jika peluang rendah tetapi dampaknya tinggi. Contohnyaadalah mengasurnasikan gedung beserta isinya terhadap bahayakebakaran atau kerusuhan

Diabaikan jika peluamg dan dampaknya dinilai rendah. Contohnyaadalah tidak perlu melakukan proses otorisasi bertingkat terhadaptransaksi penarikan tabungan yang tergolong kecil, misalnyadibawah Rp 50 000


Proses Penilaian Risiko

Identifikasi objek (asset) yang akandilindungi

Penentuan ancaman yang dihadapi

Menetapkan peluang kejadian

Menghitung besarnya dampak dankelemahan sistem

Menilai alat-alat pengamanan yang ada

Rekomendasi dan implementasi


Penetapan tipe risikoPenetapan tipe risiko

Untuk setiap tipe risiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,

rendah, atau tidak ada

Untuk setiap tipe risiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,

rendah, atau tidak ada

Hitung skor risiko: Risiko = ancaman x kelemahan x dampakHitung skor risiko:

Risiko = ancaman x kelemahan x dampak

Urutkan risiko berdasarkan skorUrutkan risiko berdasarkan skor

Kaji ulang dan penyesuaian jika diperlukanKaji ulang dan penyesuaian jika diperlukan

Buat rencana audit dengan prioritas risikoBuat rencana audit dengan prioritas risiko

Kaji ulang rencana dan penyesuaiannyaKaji ulang rencana dan penyesuaiannya

Laksanakan AuditLaksanakan Audit

Peny

egar

anPe

riod

ik

Informasidari luar

Informasidari organisasi

resiko terurut

hubungan denganmanajemen

Rencana auditprioritas

hubungan denganmanajemen

Aku

mul

asib

asis

peng

etah

uan

audi

tor


ProsesFormulirIsian TSI

Model Pengukuran

Klasifikasi Bankberdasarkan resiko

Pemeriksaan

KapasitasBank

Kelemahan dankesalahan Sistem

Lembar Kerja

Lembar Kerja

URSIT

FISCAM

UFIRS

Acuan (USA)

Identifikasi spesifikasi sistem

Penilaian kompleksitas TSI

Penilaian risiko pra Pemeriksaan

Pemeriksaan around the computer

Pemeriksaan through the computer

Pemeriksaan keuangan


Lembar Isian TSI

I. Informasi UmumII. 1. Informasi aplikasi sudah operasional

2. Informasi aplikasi dalam pengembanganIII. 1. Informasi struktur organisasi

2. Informasi personalia TSI3. Informasi audit TSI4. Informasi rencana

IV. 1. Informasi Perangkat keras2. Informasi perangkat lunak3. Informasi perangkat lainnya

V. Informasi Komunikasi DataVI. Informasi DRPVII. Informasi ATM/CardcentreVIII. Informasi penyelenggaraan TSI oleh pihak lainIX. Informasi penyalahgunaan/kejahatan TSI


Lembar Isian TSI Informasi Perangkat Keras

Merek danModel Mesin

TanggalInstall

OperatingSystem

SecuritySoftware

DatabaseSoftware

NetworkTelecomm.Software

PembiayaanSewa Beli Lain2

1. Mainframe(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

2. Mini(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

3. Micro (PC/Stand Alone)(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..

4. Micro (PC/LAN)JARINGAN MERK&MODEL TGL INSTALL- Jaringan 1

………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .

- Jaringan 2………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .


Model Kompleksitas TSI

Integrasi Sistem

Platform Hardware

Hub

unga

n

Med

ia K

omda

tOn Line/CentralizedOn Line/CombinationOn Line/DistributedOff Line

MainframeMinicomputerPC LANPC Stand Alone

VSATLeased Line

Dial UpTidak ada

Full IntegratedFIS + Deposit ApplicationDeposit Applicationsatu aplikasi

Kompleksitas TSI


Lembar Kerja Pemeriksaan Arround The Computer

Pengendalian Umum TSI (34)Audit Intern TSI (20)Pengembangan Sistem (35)Disaster and Recovery Plan (13)Pengamanan Sistem Informasi (16)Pengamanan Pelayanan Jasa Perbankan

Elektronis (22)Pengamanan Jaringan Komunikasi Data (23)Penggunaan Microcomputer oleh

end users (19)Evaluasi Pembelian Perangkat Lunak (21)Kontrak TSI dengan Pihak Lain (6)


Lembar Kerja Pemeriksaan Arround The Computer

• Apakah kebijaksanaan pengamanan penggunaanaplikasi telah memperhatikan prinsip-prinsip umumkontrol aplikasi yang meliputi :

• Pemisahaan tugas …….antara … pengguna, • operasi, dan pengembangan Y/T• Penggunaan … hanya …. yang berwenang Y/T• Menjamin …. data … telah divalidasi Y/T• Menjamin … data yang ditransfer benar dan• lengkap Y/T• Tersedianya jejak audit yang memadai serta• penelaahan oleh pihak yang berwenang Y/T• Tersedianya prosedur restart dan recovery Y/T

Contoh:


Lembar Kerja Pemeriksaan Through The Computer

Application Program

Operating System

Hardware

CommunicationControl Program

DatabaseManagement

System

Infrastructure(power, teleccomunication, etc)

User Profile

Target Pemeriksaan


Lembar Kerja Pemeriksaan Through The Computer

Transaction Worksheet

A. Input Control ?B. Processing Control ?C. Error Correction ?D. Output Control ?E. End Documentation ?F. Authorization ?G. Security ?H. Separation of Duties ?I. File Maintenance ?

System :Sub System :Transaction :


Klasifikasi Resiko

Kom

plek

sita

s Tinggi

Cukup

Rendah

Aset/Volume TransaksiTinggi Cukup Rendah

Tinggi Cukup Rendah

Pemeriksaan TSIPemeriksaan TSI

Kelemahan TSITinggi Cukup Rendah

Tinggi

Cukup

Rendah


Uniform Rating System for Information Technology (URSIT)

Komponen Kritis:1. Audit2. Management3. Development&Acquisition4. Support&Delivery

Composite Ratings:• Composite 1 • Composite 2• Composite 3• Composite 4• Composite 5

Strong Performance in every respect and generally have components rated 1 or 2

Critically deficient operating performance and are in need of immediate remedial action

Component Rating:• 1 • 2• 3• 4• 5

TSI bank 2 - Gunadarma...

Documents

Transcript of TSI bank 2 - Gunadarma...