16 b. Organisasi memutuskan untuk tidak melakukan suatu aktivitas atau memilih alternatif aktivitas lain yang menghasilkan output yang sama untuk menghindari terjadinya risiko Avoid risk. Contohnya hak privilege administrator pada user yang menggunakan PC yang mengandung risiko akan adanya malicious code pada PC. Risiko ini dapat dihindari dengan tidak memberikan hak privilege pada user sehingga user tidak bisa merubah konfigurasi dan meng-install software pada PC. c. Organisasi memutuskan mengurangi dampak maupun kemungkinan terjadinya risiko Control Mitigate. Contohnya penggunaan PC untuk mendukung proses bisnis organisasi mengandung risiko terjadinya hacking pada PC. Pengendalian risiko dilakukan dengan pemasangan fasilitas firewall untuk mencegah akses yang tidak terotorisasi. d. Organisasi memutuskan untuk mengalihkan seluruh atau sebagian tanggung jawab pelaksanaan suatu proses kepada pihak ketiga Transfer. Contohnya Penggunaan fasilitas ruangan atau gedung mengandung risiko terjadi kebakaran. Risiko ini ditangani dengan memindahkan risiko ke perusahaan asuransi yaitu dengan mengasuransikan fasilitas ruangan atau gedung.

1.3.4. Implementasi Pengendalian Teknologi Informasi

Manajemen harus menerapkan praktek-praktek pengendalian yang memadai sebagai bagian dari strategi mitigasi risiko TI secara keseluruhan. Praktek-praktek pengendalian antara lain: a. penerapan kebijakan, prosedur, struktur organisasi termasuk alur kerjanya; b. pengendalian intern yang efektif yang dapat memitigasi risiko dalam proses TI. Cakupan dan kualitas pengendalian intern adalah kunci utama dalam proses manajemen risiko sehingga manajemen harus mengidentifikasi persyaratan spesifik pengendalian intern yang diperlukan dalam setiap kebijakan dan prosedur yang diterapkan; c. manajemen wajib menetapkan kebijakan dan prosedur serta standar sistem pengelolaan pengamanan informasi yang diperlukan Bank untuk melakukan pengamanan aset-aset terkait penyelenggaraan dan penggunaan TI termasuk didalamnya data atau informasi. Aturan lebih lanjut mengenai Pengamanan dapat dilihat pada Bab V - Pengamanan Informasi; d. manajemen harus mengevaluasi hasil kaji ulang review dan pengujian atas BCP untuk setiap bagian operasional yang kritis. Aturan lebih lanjut mengenai BCP dapat dilihat pada Bab VI - Business Continuity Plan. Seperti halnya dalam pengelolaan pengamanan informasi, BCP merupakan suatu strategi yang menyeluruh dan dilaksanakan oleh segenap satuan kerja yang ada di Bank; e. manajemen wajib memastikan terdapat kebijakan dan prosedur mengenai penggunaan pihak penyedia jasa. direksi harus memiliki pemahaman secara 17 menyeluruh atas risiko yang berhubungan dengan penggunaan jasa pihak penyedia jasa untuk sebagian atau semua operasional TI. Untuk itu satuan kerja TI harus melakukan evaluasi kemampuan penyedia jasa untuk menjaga tingkat keamanan paling tidak sama atau lebih ketat dari yang diterapkan oleh pihak intern Bank baik dari sisi kerahasiaan, integritas data dan ketersediaan informasi. Pengawasan dan pemantauan yang ketat harus dilakukan karena tanggung jawab manajemen Bank tidak hilang atau menjadi berkurang dengan melakukan outsourcing operasional TI kepada pihak penyedia jasa TI. Aturan lebih lanjut dapat dilihat pada Bab X- Outsourcing; f. selain menerapkan bentuk pengendalian tersebut di atas, asuransi dapat digunakan sebagai pelengkap upaya memitigasi potensi kerugian dalam penyelenggaraan TI. Risiko yang perlu diasuransikan adalah residual risk. Bank hendaknya melakukan review secara periodik atas kebutuhan, cakupan dan nilai asuransi yang ditutup. 18

BAB II PENGEMBANGAN DAN PENGADAAN SISTEM

2.1. PENDAHULUAN

Pengembangan dan pengadaan sistem mencakup pengelolaan sistem Teknologi Informasi yang tepat melalui proses identifikasi, pengembanganpengadaan, implementasi dan pemeliharaan sistem Teknologi Informasi yang digunakan dalam proses bisnis Bank. Pengembangan dan pengadaan sistem dimaksud dapat berupa pengembangan perangkat lunak secara internal atau pembelian perangkat lunak, perangkat keras dan jasa pengembangan sistem dari pihak ketiga. Apabila pengelolaan dan pengendalian proses pengembangan dan pengadaan sistem lemah maka Bank dapat menghadapi berbagai risiko akibat adanya kesalahan error, kejahatan fraud maupun produk atau layanan yang tidak tepat.

2.2. TUGAS DAN TANGGUNG JAWAB MANAJEMEN

Dalam melakukan pengembangan dan pengadaan Teknologi Informasi manajemen wajib melakukan langkah-langkah pengendalian untuk menghasilkan sistem dan data yang terjaga kerahasiaan dan integritasnya serta mendukung pencapaian tujuan Bank, antara lain mencakup: a. menetapkan dan menerapkan prosedur dan metodologi pengembangan dan pengadaan Teknologi Informasi secara konsisten; b. menerapkan manajemen proyek dalam pengembangan sistem aplikasi yang utama; c. memastikan testing yang dilakukan pada saat pengembangan dan pengadaan suatu sistem telah memadai; d. memastikan sistem yang dikembangkan sesuai kebutuhan pengguna; e. memastikan kesesuaian satu sistem dengan sistem yang lain; f. melakukan dokumentasi sistem yang dikembangkan dan pemeliharaannya; g. memiliki manajemen perubahan sistem aplikasi; h. mengidentifikasi, mengukur dan mengendalikan secara memadai risiko-risiko yang dapat timbul terkait dengan pengembangan dan pengadaan sistem; i. memastikan bahwa Bank memiliki prosedur pengembangan sistemaplikasi dalam keadaan darurat atau emergency changes.

2.2.1 Manajemen Proyek

Untuk pengembanganpengadaan sistem aplikasi yang utama, Bank harus memiliki manajemen proyek untuk memastikan sistem aplikasi telah dikembangkan dengan struktur yang baik dan telah mengakomodir kebutuhan pengguna serta sesuai dengan