TSI bank 2 - Gunadarma...
Transcript of TSI bank 2 - Gunadarma...
PENILAIAN RISIKO dan
PROSES PEMERIKSAAN TSI
UNIVERSITAS GUNADARMA
MAGISTER MANAJEMEN PERBANKAN
Konsep Risiko
Dampak
Kelemahan
Ancaman KompleksitasTSI
Keamanan danPengendalian
PerlindunganAset
Risk Assessment PrioritasPemeriksaan
MAGISTER MANAJEMEN PERBANKAN
Konsep Risiko Ancaman
Tindakan atau kejadian yang mungkin merugikankeamanan sistem komputer
Rangkaian keadaan atau kejadian yang membiarkanorang atau alat lain untuk menimbulkan kesulitan yang berkaitan dengan informasi, melalui eksploitasikelemahan-kelemahan dari produk teknologi informasi
Suatu keadaan atau kejadian yang potensialmenimbulkan kerugian sistem dalam bentukpengrusakan, pembukaan, modifikasi data ataupenghalangan pelayanan
MAGISTER MANAJEMEN PERBANKAN
Konsep Risiko Kelemahan
• Kelemahan keamanan pada target evaluasi(misalnya penyebab kegagalan analisis, rancangan, implementasi, atau operasi)
• Kelemahan pada komponen atau sistem informasi(misalnya prosedur pengamanan sistem, rancanganperangkat keras, atau pengendalian internal) yang bisa dieksploitasi sehingga menimbulkan kerugianyang berhubungan dengan informasi
• Kelemahan di dalam prosedur keamanan sistem, rancangan sistem, implementasi, pengendalianinternal, dan sebagainya, yang bisa dieksploitasiuntuk melanggar kebijakan keamanan sistem
MAGISTER MANAJEMEN PERBANKAN
Konsep Risiko Dampak
Konsekuensi (negatif) organisasi, baik jangka pendekmaupun jangka panjang, yang disebabkan olehancaman yang bisa telah mengeksploitas kelemahansistem
50 565 000,-
33 545 000,-
17 256 000,-
11 239 000,-FINANCIALFRAUD
TELECOMM.FRAUD
INFORMATIONTHEFT
UNAUTHORIZED.ACCESS
Jumlah Kerugian (US$)
MAGISTER MANAJEMEN PERBANKAN
Tipe Risiko
1. Risiko Pengembangan
2. Risiko Kesalahan
3. Risiko Terhentinya Bisnis
4. Risiko Pengungkapan Informasi
5. Risiko Penggelapan
MAGISTER MANAJEMEN PERBANKAN
Tipe Risiko Pengembangan
Penundaan atau ketertinggalan dalam implementasisistemKeterlambatan pengembanganPeningkatan biayaKegagalan proyek komputerPengoperasian yang tidak memadai dari sistem yang sudah diimplementasikanPengamanan dan pengendalian tidak dipertimbangkandari awalSKAI atau bagian terkait tidak memberikan kontribusisejak dini dalam proses perancangan
MAGISTER MANAJEMEN PERBANKAN
Tipe Risiko Kesalahan
• Kesalahan selama pemasukan data oleh operator
• Kesalahan selama pengembangan dan perubahanprogram
• Kesalahan yang paling signifikan terjadi selamaproses perancangan sistem
• Kesalahan dalam prosedur pemeliharaan sistemsecara berkala
• Kompleksitas komputer memberi kontibusi pentingpada terjadinya kesalahan
• Kesalahan pada modifikasi perangkat lunak paket
MAGISTER MANAJEMEN PERBANKAN
Tipe Risiko Terhentinya Bisnis
Sistem tidak berjalan jika mengalamikerusakan atau kegagalan fungsiData centre menjadi salah satu titik lemahjika tidak berfungsi, kecelakaan, ataukerusakaan akibat kejahatanPengaruh kerusakan terhadap pelayanan, menghentikan sebagai atau seluruhpelayanan bankDiperlukan rencana darurat yang baik (DRP)
MAGISTER MANAJEMEN PERBANKAN
Tipe Risiko Pengungkapan Informasi
Informasi rahasia bisa diakses dan dibaca denganberbagai cara:
– Fasilitas-fasilitas eksplorasi melalui terminal komputer– Menggunakan program-program (perangkat lunak khusus)
untuk membaca file data– Pemindahan file komputer atau cetakan– Penyadapan saluran telekomunikasi
Jika informasi tersebut jatuh ke orang yang tidak berhakmaka bisa mengganggu hubungan nasabah, reputasibank, dan tuntutan
MAGISTER MANAJEMEN PERBANKAN
Tipe Risiko Penggelapan
Perubahan instruksi pembayaran yang tidak syah sebelumdiinput
Transaksi yang tidak diotorisasi dimasukkan langsungmelalui terminal komputer
Perubahan program yang bisa membuat transaksi gelapsecara otomatis
Program khusus untuk mem-by pass pengendalian dan fasilitasjejak audit
File komputer dapat dipindahkan, dirubah dan dikembalikanuntuk diproses lebh lanjut
Transaksi dapat diketahui atau dicegat dan dirubah pada saattransmisi
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian
Tipe dan Jenis Resiko
Peluang / frekuensikejadian
Fasilitas keamanan danpengendalian
Estimasi dampak jikaresiko terjadi
PengukuranRisiko
PengukuranRisiko
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Statistik/Kuantitatif
Resiko A : Kebakaran Gedung
Peluang : 1 kali dalam 10 tahun
Total kerugian : Rp 1 MilyarALE : Rp 1 milyar x 1/10
= Rp 100 juta
Resiko B : Kesalahan data entry
Peluang : 1000 per tahunTotal kerugian : Rp 250 000 per kesalahan
(rata-rata) ALE : Rp 250 000 x 1000
= Rp 250 juta
Annual Loss Expectancy
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Statistik/Kuantitatif
1. Resiko = Ancaman + kelemahan sistem + dampak
Risiko = f(Ancaman, kelemahan sistem,dampak)
Bentuk Hubungan
2. Resiko = Ancaman x kelemahan sistem x dampak
3. Klasifikasi Silang :
Tinggi
Cukup
Rendah
Kelemahan SistemTinggi Cukup Rendah
ResikoTinggi
Anc
aman
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Statistik/Kuantitatif
Skala Pengukuran Klasifikasi Indikator
2
1
3
0
Beresiko Tinggi
Cukup Beresiko
Kurang Beresiko
Tidak Beresiko
0% 25% 50% 75% 100%
Tidak Beresiko Beresiko Tinggi
?
YaTidak
BeresikoTidak Beresiko
1.
2.
3.
?
?
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Statistik/Kuantitatif
Contoh indikator penilaian ancaman kesalahaninput data pada sistem aplikasi tabungan
2
1
3
0
Kesalahan input sangat sering terjadi karena bank relatif barumembeli dan mengimplementasikan sistem aplikasi dengansumber daya pengguna komputer yang belum ahli semuanya
Kesalahan input data cukup sering terjadi karena sebagian besarpengguna komputer belum trampil
Kesalahan jarang terjadi karena sebagian besar pengguna sudahtrampil dan terbiasa menggunakan sistem yang sudah lama dipakai di bank
Kesalahan input data tidasak pernah terjadi(Catratan: Situasi hipotesis yang relatif tidak pernah terjadi)
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Statistik/Kuantitatif
Contoh indikator penilaian kelemahan sistem yang relevan dengan ancaman pada tabel 1
2
1
3
0
Sistem sangat lemah karena tidak menerapkan semuateknik pengendalian aplikasi
Sistem cukup lemah karena sebagian besar teknikpengendalian aplikasi tidak diterapkan
Sistem sedikit memiliki kelemahan karena ada teknikpengendalian aplikasi yang belum diterapkan
Sistem tidak memiliki kelemahan karena sudahmenerapkan semua teknik pengendalian aplikasi yang bisa menjamin ketepatan dan keakuratan input data
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Kualitatif
PENGENDALIANKesalahandata entry
PENGENDALIANKesalahandata entry
DIABAIKANOtorisasi
transaksi kecil
DIABAIKANOtorisasi
transaksi kecil
PENCEGAHANPENCEGAHANASURANSIKebakaran(Gedung)
ASURANSIKebakaran(Gedung)
PELUANG
DA
MPA
K
Tinggi
Tinggi
Rendah
Rendah
MAGISTER MANAJEMEN PERBANKAN
Model Penilaian Kualitatif
Pencegahan (prevent) jika peluang dan dampak dinilai tinggi. Contohnya adalah menghindari penempatan barang-barang mudahterbakar di ruang data centre
Pengendalian (control) jika peluang tinggi tetapi dampaknyarendah. Contohnya pengendalian dalam bentuk programmed edit check untuk mengurangi kesalahan input data
Asuransi jika peluang rendah tetapi dampaknya tinggi. Contohnyaadalah mengasurnasikan gedung beserta isinya terhadap bahayakebakaran atau kerusuhan
Diabaikan jika peluamg dan dampaknya dinilai rendah. Contohnyaadalah tidak perlu melakukan proses otorisasi bertingkat terhadaptransaksi penarikan tabungan yang tergolong kecil, misalnyadibawah Rp 50 000
MAGISTER MANAJEMEN PERBANKAN
Proses Penilaian Risiko
Identifikasi objek (asset) yang akandilindungi
Penentuan ancaman yang dihadapi
Menetapkan peluang kejadian
Menghitung besarnya dampak dankelemahan sistem
Menilai alat-alat pengamanan yang ada
Rekomendasi dan implementasi
MAGISTER MANAJEMEN PERBANKAN
Penetapan tipe risikoPenetapan tipe risiko
Untuk setiap tipe risiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,
rendah, atau tidak ada
Untuk setiap tipe risiko, ancaman, kelemahansistem, dampak diberi skor/skala tinggi, cukup,
rendah, atau tidak ada
Hitung skor risiko: Risiko = ancaman x kelemahan x dampakHitung skor risiko:
Risiko = ancaman x kelemahan x dampak
Urutkan risiko berdasarkan skorUrutkan risiko berdasarkan skor
Kaji ulang dan penyesuaian jika diperlukanKaji ulang dan penyesuaian jika diperlukan
Buat rencana audit dengan prioritas risikoBuat rencana audit dengan prioritas risiko
Kaji ulang rencana dan penyesuaiannyaKaji ulang rencana dan penyesuaiannya
Laksanakan AuditLaksanakan Audit
Peny
egar
anPe
riod
ik
Informasidari luar
Informasidari organisasi
resiko terurut
hubungan denganmanajemen
Rencana auditprioritas
hubungan denganmanajemen
Aku
mul
asib
asis
peng
etah
uan
audi
tor
MAGISTER MANAJEMEN PERBANKAN
ProsesFormulirIsian TSI
Model Pengukuran
Klasifikasi Bankberdasarkan resiko
Pemeriksaan
KapasitasBank
Kelemahan dankesalahan Sistem
Lembar Kerja
Lembar Kerja
URSIT
FISCAM
UFIRS
Acuan (USA)
Identifikasi spesifikasi sistem
Penilaian kompleksitas TSI
Penilaian risiko pra Pemeriksaan
Pemeriksaan around the computer
Pemeriksaan through the computer
Pemeriksaan keuangan
MAGISTER MANAJEMEN PERBANKAN
Lembar Isian TSI
I. Informasi UmumII. 1. Informasi aplikasi sudah operasional
2. Informasi aplikasi dalam pengembanganIII. 1. Informasi struktur organisasi
2. Informasi personalia TSI3. Informasi audit TSI4. Informasi rencana
IV. 1. Informasi Perangkat keras2. Informasi perangkat lunak3. Informasi perangkat lainnya
V. Informasi Komunikasi DataVI. Informasi DRPVII. Informasi ATM/CardcentreVIII. Informasi penyelenggaraan TSI oleh pihak lainIX. Informasi penyalahgunaan/kejahatan TSI
MAGISTER MANAJEMEN PERBANKAN
Lembar Isian TSI Informasi Perangkat Keras
Merek danModel Mesin
TanggalInstall
OperatingSystem
SecuritySoftware
DatabaseSoftware
NetworkTelecomm.Software
PembiayaanSewa Beli Lain2
1. Mainframe(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..
2. Mini(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..
3. Micro (PC/Stand Alone)(1) ………… ……….. ………….. ………….. …………. ………….. (2) ………… ……….. ………….. ………….. …………. ………….. (3) ………… ……….. ………….. ………….. …………. …………..
4. Micro (PC/LAN)JARINGAN MERK&MODEL TGL INSTALL- Jaringan 1
………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .
- Jaringan 2………… Server ……….. ………….. ………….. ………….. ………… Terminal ……….. ………….. ………….. ..……….. .
MAGISTER MANAJEMEN PERBANKAN
Model Kompleksitas TSI
Integrasi Sistem
Platform Hardware
Hub
unga
n
Med
ia K
omda
tOn Line/CentralizedOn Line/CombinationOn Line/DistributedOff Line
MainframeMinicomputerPC LANPC Stand Alone
VSATLeased Line
Dial UpTidak ada
Full IntegratedFIS + Deposit ApplicationDeposit Applicationsatu aplikasi
Kompleksitas TSI
MAGISTER MANAJEMEN PERBANKAN
Lembar Kerja Pemeriksaan Arround The Computer
Pengendalian Umum TSI (34)Audit Intern TSI (20)Pengembangan Sistem (35)Disaster and Recovery Plan (13)Pengamanan Sistem Informasi (16)Pengamanan Pelayanan Jasa Perbankan
Elektronis (22)Pengamanan Jaringan Komunikasi Data (23)Penggunaan Microcomputer oleh
end users (19)Evaluasi Pembelian Perangkat Lunak (21)Kontrak TSI dengan Pihak Lain (6)
MAGISTER MANAJEMEN PERBANKAN
Lembar Kerja Pemeriksaan Arround The Computer
• Apakah kebijaksanaan pengamanan penggunaanaplikasi telah memperhatikan prinsip-prinsip umumkontrol aplikasi yang meliputi :
• Pemisahaan tugas …….antara … pengguna, • operasi, dan pengembangan Y/T• Penggunaan … hanya …. yang berwenang Y/T• Menjamin …. data … telah divalidasi Y/T• Menjamin … data yang ditransfer benar dan• lengkap Y/T• Tersedianya jejak audit yang memadai serta• penelaahan oleh pihak yang berwenang Y/T• Tersedianya prosedur restart dan recovery Y/T
Contoh:
MAGISTER MANAJEMEN PERBANKAN
Lembar Kerja Pemeriksaan Through The Computer
Application Program
Operating System
Hardware
CommunicationControl Program
DatabaseManagement
System
Infrastructure(power, teleccomunication, etc)
User Profile
Target Pemeriksaan
MAGISTER MANAJEMEN PERBANKAN
Lembar Kerja Pemeriksaan Through The Computer
Transaction Worksheet
A. Input Control ?B. Processing Control ?C. Error Correction ?D. Output Control ?E. End Documentation ?F. Authorization ?G. Security ?H. Separation of Duties ?I. File Maintenance ?
System :Sub System :Transaction :
MAGISTER MANAJEMEN PERBANKAN
Klasifikasi Resiko
Kom
plek
sita
s Tinggi
Cukup
Rendah
Aset/Volume TransaksiTinggi Cukup Rendah
Tinggi Cukup Rendah
Pemeriksaan TSIPemeriksaan TSI
Kelemahan TSITinggi Cukup Rendah
Tinggi
Cukup
Rendah
MAGISTER MANAJEMEN PERBANKAN
Uniform Rating System for Information Technology (URSIT)
Komponen Kritis:1. Audit2. Management3. Development&Acquisition4. Support&Delivery
Composite Ratings:• Composite 1 • Composite 2• Composite 3• Composite 4• Composite 5
Strong Performance in every respect and generally have components rated 1 or 2
Critically deficient operating performance and are in need of immediate remedial action
Component Rating:• 1 • 2• 3• 4• 5