46
platform misal berdasarkan protokol atau sistem operasi dan diterapkan di semua jaringan komunikasi yang digunakan oleh Bank.
Kebijakan dan prosedur yang perlu ditetapkan sekurang-kurangnya mencakup hal-hal sebagai berikut:
a. pengukuran kinerja dan perencanaan kapasitas jaringan performance and capacity
planning; b.
pengamanan jaringan komunikasi network access controls, termasuk remote access; c.
change management setting, configuration and testing; d.
network management, logging dan monitoring; e.
penggunaan internet, intranet, e-mail dan wireless termasuk mekanisme penggunaan jaringan komunikasi;
f. tersedianya prosedur penanganan masalah problem handling;
g. tersedianya fasilitas untuk backup recovery;
h. kecukupan kontrak dan tersedianya SLA yang sesuai dengan kebutuhan Bank dan
dipantau secara berkala apabila jaringan komunikasi yang digunakan oleh Bank diselenggarakan oleh pihak penyedia jasa.
4.4. MANAJEMEN RISIKO JARINGAN KOMUNIKASI
Bank harus melakukan identifikasi kemungkinan yang akan terjadi, mengukur dampak yang mungkin ditimbulkan, dan melakukan upaya-upaya untuk mengelola risiko
penggunaan jaringan komunikasi. Berdasarkan hasil pengukuran yang telah dilakukan atas risiko yang signifikan, maka Bank harus menerapkan pengendalian yang memadai.
Bank juga harus senantiasa memantau apakah seluruh risiko yang signifikan tersebut telah ditangani dengan baik.
4.4.1. Identifikasi Risiko
Penggunaan teknologi jaringan komunikasi memberikan berbagai kemudahan dan manfaat bagi Bank dan nasabah, namun demikian, perlu diperhatikan risiko-risiko yang
mungkin timbul, antara lain: a.
kehilangan datainformasi; b.
kehilangan integritas datainformasi; c.
tidak lengkapnya datainformasi yang ditransmisikan; d.
hilangnya kerahasiaan informasi; e.
tidak tersedianya jaringan komunikasi akibat gangguan atau bencana; f.
kehilangankerusakan perangkat jaringan komunikasi.
4.4.2. Pengendalian Risiko
Dalam mengendalikan risiko pada jaringan komunikasi, Bank harus memperhatikan hal-hal sebagai berikut:
47
a. Desain Jaringan Komunikasi
Jaringan komunikasi harus didesain sedemikian rupa sehingga efisien tetapi juga dinamis untuk mengantisipasi pengembangan di masa yang akan datang. Pada tahap
ini, terdapat beberapa hal yang perlu diperhatikan, yaitu: 1
penentuan topologi jaringan komunikasi; 2
perencanaan kapasitas capacity planning jaringan komunikasi; 3
pemilihan media jaringan komunikasi; 4
backup perangkat keras, alternative routing jalur alternatif atau provider alternatif;
5 pengamanan fisik dan logic:
a penempatan perangkat jaringan pada lokasi yang aman terhadap gangguan
alam dan akses oleh orang yang tidak berhak; b
pengaturan parameter sistem perangkat jaringan. 6
tersedianya jejak audit, sekurang-kurangnya terhadap perubahan-perubahan pada setting parameter dan hak akses perangkat jaringan komunikasi dan juga
penggunaan atas hak akses tersebut. b.
Pengendalian Akses Pengendalian akses di jaringan komunikasi sangat penting dan harus diperhatikan
karena jaringan komunikasi merupakan pintu utama untuk masuk ke dalam sistem informasi Bank. Jika tidak dikelola dengan baik, maka keamanan informasi menjadi
terancam. Dalam menerapkan pengendalian akses, terdapat beberapa hal yang harus diperhatikan oleh Bank, yaitu:
1 akses ke jaringan komunikasi oleh user didasarkan pada kebutuhan bisnis
dengan memperhatikan aspek keamanan informasi. 2
melakukan pemisahan jaringan komunikasi berdasarkan segmen baik secara logical maupun fisik, misalnya pemisahan antara lingkungan pengembangan
dan produksi. 3
jika pemisahan secara fisik tidak dapat dilakukan, maka Bank harus memisahkan jaringan komunikasi secara logical dan memantau security access
di jaringan komunikasi. 4
keputusan untuk terhubung ke jaringan komunikasi di luar Bank harus sesuai dengan persyaratan pengamanan dan secara formal disetujui oleh manajemen
sebelum pelaksanaan. 5
menerapkan pengendalian yang dapat membatasi network traffic yang tidak sah atau tidak diharapkan.
6 konfigurasi perangkat jaringan komunikasi harus diset dengan baik. Fungsi-
fungsi atau services yang tidak dibutuhkan harus dinonaktifkan. 7
penggunaan perangkat pengamanan jaringan komunikasi, seperti firewall, Intrusion Detection System IDS, dan Intrusion Prevention System IPS.
48
8 penggunaan penambahan perangkat monitor jaringan komunikasi network
management system dengan memperhatikan pengamanannya. 9
pengujian secara berkala terhadap keamanan jaringan komunikasi, misalnya dengan penetration testing.
c. Operasi dan Pemeliharaan Jaringan Komunikasi
Pengoperasian dan pemeliharaan jaringan komunikasi harus dilakukan dengan memperhatikan hal-hal berikut ini:
1 petugas yang mengoperasikan jaringan komunikasi harus secara jelas ditunjuk
oleh manajemen, memiliki kemampuan pengetahuan dan keterampilan yang cukup, dan diberi tugas dan wewenang yang memadai untuk menjalankan
fungsinya; 2
Bank harus memiliki incident rensponse plan terhadap gangguan dan serangan jaringan komunikasi;
3 Bank harus memiliki fasilitas backup perangkat keraslunak jaringan
komunikasi, termasuk mekanisme restartrecovery yang telah teruji. Fasilitas backup tersebut sebaiknya memiliki risiko yang berbeda dengan perangkat
utama seperti menggunakan pihak penyedia jasa yang berbeda; 4
patch dan release harus selalu dikinikan setelah melalui pengujian intern untuk meyakini bahwa kelemahan-kelemahan telah diperbaiki.
4.4.3. Monitoring Risiko