 Bulan
Mei lalu Bank Indonesia mengeluarkan peraturan nomor 5/8/PBI/2003
tentang “Penerapan Manajemen Risiko Bagi Bank Umum” yang
akan berlaku mulai 1 Januari 2004. Tujuan dikeluarkannya
peraturan ini adalah agar Bank umum di Indonesia menerapkan
prinsip-prinsip manajemen risiko yang sejalan dengan rekomendasi
yang dikeluarkan oleh Bank for International Settlement yang
dikenal dengan kesepakatan Basel II.
Dalam Basel II, perhitungan kecukupan modal tidak hanya didasari
pada risiko kredit seperti yang sekarang digunakan tetapi ditambah
dengan perhitungan risiko lainnya, yaitu risiko pasar dan risiko
operasional. Secara formal, seperti yang tertulis pada penjelasan
peraturan Bank Indonesia, risiko operasional adalah risiko
yang antara lain disebabkan oleh adanya ketidakcukupan dan
atau tidak berfungsinya proses internal, kesalahan manusia,
kegagalan sistem, atau adanya problem eksternal yang mempengaruhi
operasional Bank. Sehingga jelas risiko yang disebabkan oleh
kegagalan sistem pengamanan informasi termasuk dalam risiko
operasional (selain juga bisa dikategorikan kedalam risiko
reputasi, risiko hukum maupun risiko lainnya untuk kondisi
tertentu).
Pegamanan sistem informasi disini harus diartikan secara luas
tidak hanya menyangkut misalnya pengamanan terhadap akses informasi
oleh orang yang tidak berwewenang. Menurut Federal Financial
Institutions examination Council (FFIEC) obyektif sistem pengamanan
informasi adalah untuk memastikan ketersediaan (availability),
integritas, kerahasiaan (confidentiality), akuntabilitas (accountability)
dan jaminan (assurance) sistem informasi dalam menunjang kegiatan
perusahaan.
Sehingga hal itu seperti memastikan suatu sistem agar sesuai
dengan kebutuhan bisnis perbankan dengan melakukan terlebih
dahulu studi kelayakan, pengawasan terhadap proses pemilihan
sistem, dan pengujian sistem termasuk dalam obyektif pengamanan
sistem informasi. Begitu pula pemisahan tugas antara programmer
dan operator juga merupakan bentuk pengamanan sistem informasi.
Salah satu kerangka yang dapat digunakan untuk melihat manajemen
sistem keamanan informasi secara komprehensif adalah ISO 17799.
Penerapan peraturan BI merupakan tantangan tersendiri bagi
bank umum di Indonesia terutama dalam kaitannya dengan manajemen
pengamanan sistem informasi. Pertama karena menurut pengamatan
saya, belum banyak bank yang melakukan analisa resiko dalam
pengadaan kontrol sistem keamanan informasi, kedua belum banyak
manajemen senior yang terlibat dalam tugas pengamanan sistem
informasi, ketiga ketidak siapan sistem pengawasan intern (internal
audit) dalam melakukan pengawasan terhadap teknologi informasi
secara umum maupun kontrol sistem pengamanan secara khusus.
Analisa Risiko
Analisa risiko seharusnya merupakan tahapan awal dalam manajemen
pengamanan sistem informasi. Beberapa alasan yang digunakan
perusahaan untuk tidak melakukan analisa risiko adalah
kesulitan dalam mengkuantifikasikan risiko sistem informasi,
selain juga memerlukan waktu yang cukup lama untuk melakukannya.
Mengkuantifikasikan risiko operasional memang bukan hal
yang mudah, tapi ini seharusnya bukan menjadi alasan untuk
tidak melakukan analisa risiko.
Perusahaan dapat menggunakan analisa kualitatif sebagai alternatifnya.
Analisa kualitatif memerlukan waktu relatif singkat dan mudah
dipahami. Untuk tahapan awal, yang penting adalah mengidentifikasikan
aset, potensi kerentanannya (vulnerabilities), potensi ancamannya
(threats), menentukan risikonya secara kualtitatif (misalnya
tinggi, sedang, rendah), baru dilanjutkan dengan menentukan
kontrol.
Dengan demikian pemilihan dan pengadaan kontrol pengamanan
mempunyai landasan yang kuat, misalnya apakah berdasarkan
tingkat resikonya atau apakah kontrol tersebut dapat mengurangi
beberapa resiko secara sekaligus. Perlu juga ditekankan disini
adalah dalam melakukan analisa resiko sistem informasi, selain
melibatkan staf divisi sistem informasi sendiri juga harus
melibatkan end user, staf dari sistem pengawasan Intern (internal
auditor), dan staf lain yang mungkin dibutuhkan seperti HRD
dan legal.
Peran Manajemen Senior
Karena Manajemen senior, termasuk di dalamnya jajaran direksi,
mempunyai peran dan tanggung jawab untuk mengembangkan
strategi perusahaan. Mereka juga diharapkan secara eksplisit,
dan terdokumentasi memberikan arahan, kebijaksanaan, menentukan
akuntabilitas dalam penanganan risiko yang ditimbulkan
oleh sistem informasi.
Selain itu, dalam melakukan review dan memberi persetujuan
terhadap kontrol pengamanan yang penting. Karena begitu pentingnya
peran manajemen senior ini, maka Bank for International Settlements
(BIS) memasukkannya dalam salah satu pilar prinsip-prinsip
manajemen resiko untuk Electronic Banking.
Sistem Pengawasan Intern
Tugas departemen Sistem Pengawasan Intern (Internal Auditor)
pada beberapa Bank umum di Indonesia saat ini masih terbatas
pada pengawasan terhadap jalannya kontrol untuk mengurangi
risiko kredit. Dengan adanya peraturan BI nomor 5/8/PBI/2003
yang akan berlaku 6 bulan lagi, hal ini menjadi pekerjaan
yang cukup besar dalam menyiapkan sumber daya yang mengerti
sistem informasi dan teknologinya, sekaligus menguasai metodologi
dan teknik-teknik audit.
Menyiapkan staf internal auditor yang ada, yang sebelumnya
tidak memiliki pengetahuan dan pengalaman tentang sistem
informasi dan teknologinya, untuk dapat melakukan audit sistem
informasi akan memerlukan waktu yang cukup lama. Sedangkan
merekrut staf baru yang memiliki pengetahuan sistem informasi
dan audit sekaligus, juga bukan hal yang mudah.
Alternatif yang dapat dilakukan adalah dengan menarik staf
dari divisi sistem informasi untuk dijadikan staf audit.
Masa transisi sekitar dua sampai empat bulan dapat digunakan
untuk merekrut pengganti staf sistem informasi tersebut,
transfer knowledge ke staf pengganti, sekaligus digunakan
untuk mempelajari metodologi dan teknik-teknik audit. Selanjutnya
tim audit yang menangani sistem informasi ini dibentuk dengan
melibatkan staf yang ditarik dari sistem informasi tadi ditambah
staf audit yang ada. •
Agus Pracoyo •channel manager / security consultant
pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com
|
