44
d. Kegagalan sistem termasuk pada jaringan, interface, perangkat keras, perangkat
lunak, atau kegagalan komunikasi internal; dan e.
Pelanggaran pada keamanan sistem termasuk pelanggaran pada keamanan eksternal dan internal, penipuan dalam pemrograman, atau virus pada komputer.
3.4.2 . Pengukuran Risiko Operasional TI
Tinggi rendahnya risiko yang diukur tergantung pada faktor-faktor yang terkait antara lain terdiri dari:
a. tingkat kepentingan bisnis;
b. perubahan pada cakupan sistem atau proses;
c. lokasi pengaksesan sistem internal atau eksternal, termasuk internet, dial-up, atau
WAN; d.
sumber aplikasi: beli paket, dikembangkan secara internal, atau kombinasi dari keduanya;
e. cakupan dan tingkat kekritisan sistem atau banyaknya unit bisnis yang terpengaruh;
f. kompleksitas tipe pemrosesan batch, real-time, clientserver, parallel distributed;
g. volume transaksi dan nilai transaksi;
h. klasifikasi dan sensitivitas data yang diproses atau digunakan;
i. dampak pada data read, download, upload, update atau alter;
j. tingkat pengalaman dan kemampuan pengelola TI;
k. kecukupan jumlah dan kemampuan staf pelaksana;
l. keragaman platform, aplikasi dan delivery channel;
m. jumlah pengguna dan nasabah;
n. perubahan regulasi;
o. adanya risiko yang baru atau sedang berkembang dari teknologi yang sedang
dikembangkan atau risiko keusangan teknologi; dan p.
adanya kelemahan audit atau kelemahan yang ditemui dalam self-assessment.
3.4.3. Pengendalian Risiko Operasional TI
Atas setiap fungsi operasi TI yang ada, Bank harus memitigasi risiko yang telah diidentifikasi dan diukur dengan cara-cara pengendalian yang telah ditetapkan dalam
kebijakan dan prosedur operasional TI Bank. Meskipun telah dimitigasi, Bank harus tetap memantau risiko yang dikendalikan dan risiko sisa karena setiap gangguan yang
terdapat pada operasional TI pada akhirnya berdampak pada risiko operasional, stategis, transaksi, dan reputasi Bank.
3.5. AUDIT INTERN
Audit atas operasional TI perlu dilakukan untuk memastikan proses manajemen risiko operasional TI berjalan dengan baik. Pengaturan lebih rinci mengenai audit intern di
bahas pada Bab IX tentang Audit Intern TI.
45
BAB IV JARINGAN KOMUNIKASI
4.1. PENDAHULUAN
Perkembangan teknologi jaringan komunikasi telah mengubah pendekatan usaha Bank menjadi tanpa mengenal batasan waktu dan tempat. Bank dapat menyediakan
layanan berbagai produk perbankan secara on-line realtime dari seluruh kantor dan delivery channel lainnya, seperti; Automated Teller Machine ATM, internet Banking,
mobile Banking, dan Electronic Data Capture EDC, baik milik Bank itu sendiri maupun milik pihak penyedia jasa.
Jaringan komunikasi mencakup perangkat keras, perangkat lunak, dan media transmisi yang digunakan untuk mentransmisikan informasi berupa data, suara voice,
gambar image dan video. Penyelenggaraan jaringan komunikasi sangat terpengaruh adanya perubahan dan rentan terhadap gangguan dan penyalahgunaan. Oleh karena itu
Bank perlu memastikan bahwa integritas jaringan dipelihara dengan cara menerapkan kebijakan dan prosedur pengelolaan jaringan dengan baik, memaksimalkan kinerja
jaringan, mendesain jaringan yang tahan terhadap gangguan, dan mendefinisikan layanan
jaringan secara jelas serta melakukan pengamanan yang diperlukan. 4.2. PERAN DAN TANGGUNG JAWAB MANAJEMEN
Keamanan jaringan komunikasi merupakan tanggung jawab seluruh pihak dalam Bank. Dalam pelaksanaannya Bank perlu memiliki petugasfungsi yang menangani jaringan
komunikasi. Petugasfungsi tersebut harus melakukan koordinasi dengan fungsi pengelola pengamanan TI. Bank harus meyakini ketersediaan dan kecukupan kapasitas
layanan jaringan komunikasi baik yang dikelola oleh pihak internal Bank maupun pihak penyedia jasa, diantaranya dengan tersedianya cadangan peralatan dan jasa yang
memadai. Manajemen harus memastikan terdapatnya pengawasan yang memadai dalam pengoperasian jaringan komunikasi dan pada setiap pengembangan atau modifikasi
jaringan komunikasi. Manajemen perlu mempertimbangkan kebutuhan layanan yang diinginkan sesuai dengan kondisi bisnis saat ini dan strategi yang akan dikembangkan.
4.3. KEBIJAKAN DAN PROSEDUR
Bank harus memiliki kebijakan dan prosedur sebagai pedoman dalam menerapkan teknologi jaringan komunikasi untuk meyakinkan bahwa kelangsungan operasional dan
keamanan jaringan komunikasi tetap terjaga. Untuk itu Bank wajib menetapkan baselinestandar yang digunakan secara internal untuk masing-masing.