109 dapat mengganggu kelangsungan penyelenggaraan TI yang digunakan oleh Bank, baik yang terjadi di Bank maupun di pihak penyedia jasa.

10.4.2.1. Business Continuity Plan BCP

Bank wajib memastikan bahwa risiko ketergantungan pada pihak penyedia jasa dapat dimitigasi sehingga Bank tetap mampu menjalankan bisnisnya apabila penyedia jasa wanprestasi, pemutusan hubungan atau dalam proses menuju likuidasi . Mitigasi risiko yang dapat dilakukan oleh Bank mencakup: a. memastikan bahwa pihak penyedia jasa memiliki BCP sesuai dengan jenis, cakupan dan kompleksitas aktivitasjasa yang diberikan; b. secara aktif mendapatkan jaminan kesiapan BCP milik pihak penyedia jasa seperti pengujian secara berkala atas BCP; c. memiliki perjanjian penyimpanan source code program escrow agreement untuk aplikasi yang memiliki eksposur risiko tinggi, jika Bank tidak memiliki source code dari program aplikasi yang diselenggarakan oleh pihak penyedia jasa; d. dalam hal source code tidak dimiliki oleh penyedia jasa maka penyedia jasa harus memberikan jaminan kepada Bank, bahwa kelangsungan aplikasi didukung oleh principal pengembang software. Untuk menjamin fungsi dan efektifivitas BCP, Bank wajib menyusun dan melakukan pengujian BCP secara berkala, lengkap dan mencakup hal-hal yang signifikan yang didasarkan atas jenis, cakupan dan kompleksitas aktivitas atau kegiatan yang dilakukan oleh penyedia jasa. Disamping itu pihak penyedia jasa harus melakukan pengujian DRP di pihak penyedia jasa sendiri untuk sistem atau fasilitas TI maupun pemrosesan transaksi yang diselenggarakan tanpa melibatkan pihak Bank. Hasil pengujian DRP pihak penyedia jasa tersebut digunakan Bank untuk mengkinikan DRP ataupun BCP yang dimiliki Bank.

10.4.2.2. Pengendalian Risiko Lainnya

Meskipun Bank maupun pihak penyedia jasa sudah menggunakan sistem yang canggih namun masih memungkinkan adanya penyimpangan dari dalam seperti misalnya kesalahan manusia, penerapan prosedur yang lemah serta pencurian pegawai employee theft. Bank harus memastikan adanya pengendalian pengamanan dasar untuk memitigasi risiko yang mencakup hal-hal sebagai berikut: a. pihak penyedia jasa harus melakukan penelitian latar belakang para pegawainya karena serangan dari dalam lebih susah dicegah; b. menutup kemungkinan orphan accounts digunakan untuk transaksi. Password e-mail dari pegawai yang telah keluar harus segera dihapus; c. lingkungan fisik baik di pihak penyedia jasa maupun di Bank harus selalu dipastikan aman, seperti pemantauan orang yang keluar masuk ruangan, kemungkinan bencana banjir dan kebakaran; 110 d. lingkungan elektronik baik di pihak penyedia jasa maupun di Bank harus selalu dipastikan aman; e. prosedur pengamanan dikinikan secara berkala agar selalu mematuhi ketentuan yang berlaku dan sesuai best practices; f. buat kelompok yang melakukan intrusion-detection secara berkala baik didalam Bank maupun menyewa para profesional. Lakukan pemantauan kemajuannya dan pastikan standar diterapkan secara memadai; g. pastikan kewajiban pihak penyedia jasa untuk melakukan pengendalian keamanan terhadap seluruh fasilitas teknologi informasi yang digunakan dan data yang diproses serta informasi yang dihasilkan telah dicantumkan dalam perjanjian; h. pastikan agar sebelum perjanjian ditandatangani pihak penyedia jasa memahami dan dapat memenuhi tingkat pengamanan yang dibutuhkan Bank untuk masing- masing jenis data berdasarkan sensitifitas kerahasiaan data; i. usahakan agar biaya yang dikeluarkan untuk pengamanan masing-masing sebanding dengan tingkat pengamanan yang dibutuhkan dan sesuai dengan tingkat toleransi risiko yang telah ditetapkan oleh Bank. 10.5. PENGENDALIAN INTERN DAN AUDIT INTERN 10.5.1.