Contingensi Planning Bank Indonesia

1.      Business Impact Analysis

Bisnis analisis dampak Tradisional menguraikan metodologi mana analis bekerja dari atas ke bawah (dari bisnis ke TI), mendokumentasikan dampak terhadap bisnis ketika proses kritis gagal selama gangguan tidak terencana. Teknologi informasi semakin menjadi enabler dari bisnis daripada fungsi pendukung dan ini paling jelas dalam layanan yang berorientasi industri. Makalah ini menguraikan pendekatan bottom-up baru untuk analisis dampak bisnis (dari TI untuk bisnis) dalam industri yang berorientasi pada pelayanan, dengan mengidentifikasi proses bisnis yang diaktifkan oleh TI - benang merah antara TI dan bisnis. Makalah ini juga menjelaskan secara rinci bagaimana proses yang diuraikan dalam makalah ini dapat membantu perusahaan untuk memenuhi persyaratan kelangsungan pelayanan yang disarankan oleh ITIL dan standar layanan TI lainnya kontinuitas. Penulis akan menyambut umpan balik dari sesama profesional bisnis kontinuitas manajemen mengenai pendekatan baru untuk analisis dampak bisnis.

2.      Incident Respon Plan

 

Apa yang terjadi jika institusi Anda menderita serangan menggelapkan ATM dan rekening nasabah telah dikompromikan? Atau jika prosesor pembayaran yang hack dan ribuan kredit / debit pemegang kartu berpotensi terkena penipuan?

Ini bukan pelanggaran hipotetis, mereka telah terjadi. Berulang kali. Dan mereka membuktikan bahwa rencana Respon Insiden bukan hanya 'baik untuk memiliki' untuk lembaga keuangan - itu suatu keharusan. Webinar ini menguraikan komponen-komponen penting dari dokumentasi, pengujian dan memperbarui rencana Incident Response.

Mengawasi program Insiden Respon pada Bank Indonesia, yang akan membahas tren terpanas di Respon Insiden, termasuk:

·       Pedoman peraturan terbaru;

·       Bagaimana untuk memenuhi unsur-unsur rencana yang baik;

·       Bagaimana menangani salah satu elemen paling penting dari Respon Insidenkomunikasi pelanggan;

·       Apa yang harus dilakukan ketika insiden itu terjadi di salah satu vendor Anda.

Latar belakang

Insiden Response menurut definisi mengacu pada reaksi formal untuk pelanggaran keamanan, yaitu hack fisik atau elektronik. Setiap lembaga keuangan diperlukan untuk mendokumentasikan, uji, update dan mengkomunikasikan Respon Rencana Insiden formal, yang dapat meliputi forensik, eDiscovery dan taktik lain yang diperlukan di bangun dari pelanggaran keamanan.

Semakin, Respon Insiden Rencana juga termasuk Hukum dan Humas tim Hubungan yang sesuai, serta pelanggan komunikasi, untuk memastikan ketepatan waktu dari informasi yang akurat.

Dan kemudian ada fokus baru Respon Insiden: pihak ketiga penyedia layanan. Itu salah satu hal untuk menjelaskan insiden di institusi Anda sendiri. Seperti pelanggaran terakhir telah mengajarkan kita, bagaimana jika kejadian tersebut terjadi pada salah satu vendor Anda? Kerusakan bisa sama menyengsarakan bisnis Anda dan kepercayaan pelanggan.

Dalam webinar ini, akan membahas persyaratan bimbingan insiden respon dan langkah-langkah yang industri telah diambil untuk menerapkan solusi untuk mengatasi bimbingan. Diantara topik yang dia akan mendiskusikan:

·       Saat ini peraturan pedoman Respon Insiden

·       Apa hari ini merupakan insiden keamanan?

·       Informasi apa yang dianggap informasi pelanggan yang sensitif?

·       Bagaimana menangani komunikasi pelanggan

·       Langkah yang harus diambil jika ada penyelidikan yang sedang berlangsung

Bagaimana untuk mengatasi insiden yang terjadi pada vendor.

3.      Disaster Recovery Plan

a.      PBI Nomor 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum disusun sebagai pedoman bagi manajemen risiko dalam penggunaan TI yang harus diikuti oleh Bank untuk memitigasi risiko pada penggunaan TI. Hal ini disebabkan oleh fakta bahwa meskipun berbagai manfaat dan keuntungan untuk penggunaan TI dalam usaha operasional Bank dan layanan pelanggan, ada beberapa risiko yang dapat mengganggu Bank dan pelayanan kepada pelanggan, yang meliputi risiko operasional, risiko hukum, dan risiko yang ditimbulkan pada reputasi Bank, selain risiko perbankan lainnya seperti risiko likuiditas dan risiko kredit.

b.      Produk Utama dari Peraturan tentang Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum adalah sebagai berikut:

·         Lingkup Manajemen Risiko
Manajemen risiko yang efektif dalam penggunaan Teknologi Informasi paling kurang meliputi:

1. aktif pengamatan oleh dewan Komisaris dan Direksi;
2. cukup kebijakan dan prosedur penggunaan Teknologi Informasi;
3. kecukupan proses untuk mengidentifikasi, menilai, mengamati dan mengendalikan risiko dalam penggunaan Teknologi Informasi; dan
4. pengendalian internal sistem pada penggunaan teknologi Informasi.

·         Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi
Dalam pelaksanaan langkah-langkah manajemen risiko dalam penggunaan Teknologi Informasi, Bank harus memperhatikan hal berikut:

·         ketersediaan Komite Pengarah Teknologi Informasi yang bertanggung jawab untuk memberikan rekomendasi kepada direksi sehubungan dengan, antara lain, memastikan bahwa Teknologi Informasi Rencana Strategis ini sesuai dengan rencana strategis Bank bisnis;

·         ketersediaan kebijakan dan prosedur dalam penggunaan Teknologi Informasi yang paling tidak mencakup aspek manajerial, pengembangan dan pendirian, operasional Teknologi Informasi, jaringan komunikasi, keamanan informasi, Rencana Bisnis Continuity, komputasi pengguna akhir, perbankan elektronik, dan kerja dengan Teknologi Informasi penyedia jasa;

·         ketersediaan Rencana Kontinuitas Bisnis dan Rencana Pemulihan Bencana yang diuji setidaknya setiap tahun;

·         dengan melakukan audit berkala TI internal. Bank harus dibatasi dalam kemampuannya untuk melakukan audit tersebut, fungsi internal audit TI mungkin dilakukan oleh auditor eksternal;

c.       Penyelenggaraan Teknologi Informasi oleh Penyedia Layanan Teknologi Informasi

1. Teknologi informasi dapat dilakukan oleh Bank sendiri atau melalui kerja dengan penyedia jasa Teknologi Informasi, selama kondisi berikut terpenuhi:

                                                              i.      Bank bertanggung jawab atas penerapan manajemen risiko.

                                                            ii.      Penyedia layanan harus mampu menjamin keamanan informasi total termasuk rahasia Bank dan informasi pribadi pelanggan.

                                                          iii.      Penyedia layanan harus memberikan akses untuk internal, eksternal dan auditor Bank Indonesia.

                                                           iv.      Penyedia layanan harus siap untuk terminasi dini jika dianggap sebagai penyebab obstruksi pengamatan oleh Bank Indonesia.

2. Pusat Data dan / atau Disaster Recovery Center yang akan didirikan di dalam negeri. Jika ada yang akan didirikan keluar dari negara, persetujuan harus diperoleh, sementara masih sesuai dengan persyaratan sebagaimana tercantum pada butir 1) di atas, dan persyaratan tambahan sebagai berikut:

                                                              i.      Pernyataan dari otoritas pengawas di negara terkait bahwa Bank Indonesia dapat melakukan inspeksi pada penyedia layanan;

                                                            ii.      Manfaat bagi Bank melampaui biaya;

                                                          iii.      Tersedianya rencana Bank untuk meningkatkan kemampuan sumber daya manusia terkait dengan pelaksanaan Teknologi Informasi dan transaksi bisnis atau produk yang ditawarkan.

3. Pengolahan berbasis teknologi transaksi oleh dari penyedia layanan negara hanya dapat dilakukan dengan persetujuan terlebih dahulu dari Bank Indonesia, sementara masih sesuai dengan persyaratan sebagaimana tercantum dalam poin 1) dan 2) di atas, dan persyaratan tambahan sebagai berikut:

                                                              i.      Kegiatan yang terlibat adalah bukan dari fungsi perbankan yang melekat;

                                                            ii.      Administrasi keuangan dokumen pendukung transaksi yang dilakukan di kantor Bank Dunia di Indonesia harus dipertahankan pada kantor Bank di Indonesia;

                                                          iii.      Rencana Bisnis Bank menunjukkan upaya untuk memajukan peran Perbankan dalam pembangunan ekonomi Indonesia.

4. Electronic Banking
   Rencana untuk menerbitkan produk Electronic Banking yang transaksional di alam harus dimasukkan dalam Rencana Bisnis Bank dan disampaikan kepada Bank Indonesia 2 (dua) bulan sebelum mengatakan produk (s) yang diterbitkan. Laporan ini harus dilengkapi dengan, antara lain, hasil analisis yang dilakukan oleh pihak independen pada karakteristik produk dan kecukupan pengamanan Teknologi Informasi. Bank harus mendidik pelanggan pada produk elektronik yang Perbankan dan keamanannya.

e.      Transisi Ketentuan. Berikut ini harus sesuai dengan petunjuk dalam Peraturan Bank Indonesia, dalam waktu 12 bulan sejak validasi Peraturan Bank Indonesia:

·         Kebijakan dan prosedur dalam penggunaan Teknologi Informasi dan Pedoman Manajemen Risiko dalam Penggunaan Teknologi Informasi.

·         Kesepakatan kerja dengan penyedia jasa Teknologi Informasi.

·         Komite Pengarah Teknologi Informasi.

·         Pembentukan Pusat Data, Pusat Pemulihan Bencana dan pelaksanaan pengolahan berbasis teknologi oleh asing atau dari penyedia layanan Teknologi Informasi negara.

4.      Business Continuity Plan

Dengan meningkatnya resiko teknis operasional dalampenyelenggaraan sistem pembayaran maka kesiapan business continuity planning mutlak diperlukan. Business continuity planning merupakan proses identifikasi data atau sistem yang bersifat kritikal, analisa terhadap resiko gangguan sistem, serta penentuan kemungkinan terjadinya gangguan serta pengembangan pemulihan sistem apabila terjadinya suatu gangguan.

Tujuan penyusunan BCP dalam penyelenggaraan sistem pembayaran diantanya adalah :

a.      Mempersiapkan pencegahan dan pemulihan teknologi informasi serta mengurangi                                     dampak dari gangguan yang tidak dapat diperkirakan.

b.      Menyediakan mekanisme dan prosedur pemulihan dengan baik untuk mengurangi waktu yang dibutuhkan terutama dalan proses pengambilan keputusan.

c.       Memastikan waktu proses pemulihan sistem secepat mungkin dengan mekanisme dan prosedur yang efektif.

d.      Mengurangi dampak dari kerugian financial dan resputasi penyelenggara sistem apabila terjadi gangguan.

Sebagai suatu proses, kegiatan BCP memiliki beberapa tahapan kegiatan diantaranya adalah melakukan assessment – business impact analysis, penetapan metode atau pendekatan implementasi, rencana pengembangan, rencana dan implementasi Disaster Recovery dan quality assurance.

Sebagai langkah awal dalam tahapan BCP, kegiatan assessment melalui Business Impact Analys (BIA) merupakan hal yang sangat penting dan menjadi acuan dalam langkah selanjutnya. BIA adalah suatu proses yang sistematis dan mendasar untuk mendapatkan informasi secara detail tentang dampak potensial dan biaya apabila suatu gangguan pada sistem terjadi. Informasi yang diperoleh dalam BIA meliputi meliputi aplikasi, data,jaringan, sistem informasi, fasilitas dan lain-lain.

Salah satu tahapan dalam BIA adalah penetapan Recovery Time Objection (RTO). RTO dapat didefinisikan sebagai target waktu yang ditetapkan dalam proses pemulihan kegiatan operasional dan sistem untuk memastikan kesinambungan kegiatan operasional apabila terjadi gangguan (disaster).