46 platform misal berdasarkan protokol atau sistem operasi dan diterapkan di semua jaringan komunikasi yang digunakan oleh Bank. Kebijakan dan prosedur yang perlu ditetapkan sekurang-kurangnya mencakup hal-hal sebagai berikut: a. pengukuran kinerja dan perencanaan kapasitas jaringan performance and capacity planning; b. pengamanan jaringan komunikasi network access controls, termasuk remote access; c. change management setting, configuration and testing; d. network management, logging dan monitoring; e. penggunaan internet, intranet, e-mail dan wireless termasuk mekanisme penggunaan jaringan komunikasi; f. tersedianya prosedur penanganan masalah problem handling; g. tersedianya fasilitas untuk backup recovery; h. kecukupan kontrak dan tersedianya SLA yang sesuai dengan kebutuhan Bank dan dipantau secara berkala apabila jaringan komunikasi yang digunakan oleh Bank diselenggarakan oleh pihak penyedia jasa.

4.4. MANAJEMEN RISIKO JARINGAN KOMUNIKASI

Bank harus melakukan identifikasi kemungkinan yang akan terjadi, mengukur dampak yang mungkin ditimbulkan, dan melakukan upaya-upaya untuk mengelola risiko penggunaan jaringan komunikasi. Berdasarkan hasil pengukuran yang telah dilakukan atas risiko yang signifikan, maka Bank harus menerapkan pengendalian yang memadai. Bank juga harus senantiasa memantau apakah seluruh risiko yang signifikan tersebut telah ditangani dengan baik.

4.4.1. Identifikasi Risiko

Penggunaan teknologi jaringan komunikasi memberikan berbagai kemudahan dan manfaat bagi Bank dan nasabah, namun demikian, perlu diperhatikan risiko-risiko yang mungkin timbul, antara lain: a. kehilangan datainformasi; b. kehilangan integritas datainformasi; c. tidak lengkapnya datainformasi yang ditransmisikan; d. hilangnya kerahasiaan informasi; e. tidak tersedianya jaringan komunikasi akibat gangguan atau bencana; f. kehilangankerusakan perangkat jaringan komunikasi.

4.4.2. Pengendalian Risiko

Dalam mengendalikan risiko pada jaringan komunikasi, Bank harus memperhatikan hal-hal sebagai berikut: 47 a. Desain Jaringan Komunikasi Jaringan komunikasi harus didesain sedemikian rupa sehingga efisien tetapi juga dinamis untuk mengantisipasi pengembangan di masa yang akan datang. Pada tahap ini, terdapat beberapa hal yang perlu diperhatikan, yaitu: 1 penentuan topologi jaringan komunikasi; 2 perencanaan kapasitas capacity planning jaringan komunikasi; 3 pemilihan media jaringan komunikasi; 4 backup perangkat keras, alternative routing jalur alternatif atau provider alternatif; 5 pengamanan fisik dan logic: a penempatan perangkat jaringan pada lokasi yang aman terhadap gangguan alam dan akses oleh orang yang tidak berhak; b pengaturan parameter sistem perangkat jaringan. 6 tersedianya jejak audit, sekurang-kurangnya terhadap perubahan-perubahan pada setting parameter dan hak akses perangkat jaringan komunikasi dan juga penggunaan atas hak akses tersebut. b. Pengendalian Akses Pengendalian akses di jaringan komunikasi sangat penting dan harus diperhatikan karena jaringan komunikasi merupakan pintu utama untuk masuk ke dalam sistem informasi Bank. Jika tidak dikelola dengan baik, maka keamanan informasi menjadi terancam. Dalam menerapkan pengendalian akses, terdapat beberapa hal yang harus diperhatikan oleh Bank, yaitu: 1 akses ke jaringan komunikasi oleh user didasarkan pada kebutuhan bisnis dengan memperhatikan aspek keamanan informasi. 2 melakukan pemisahan jaringan komunikasi berdasarkan segmen baik secara logical maupun fisik, misalnya pemisahan antara lingkungan pengembangan dan produksi. 3 jika pemisahan secara fisik tidak dapat dilakukan, maka Bank harus memisahkan jaringan komunikasi secara logical dan memantau security access di jaringan komunikasi. 4 keputusan untuk terhubung ke jaringan komunikasi di luar Bank harus sesuai dengan persyaratan pengamanan dan secara formal disetujui oleh manajemen sebelum pelaksanaan. 5 menerapkan pengendalian yang dapat membatasi network traffic yang tidak sah atau tidak diharapkan. 6 konfigurasi perangkat jaringan komunikasi harus diset dengan baik. Fungsi- fungsi atau services yang tidak dibutuhkan harus dinonaktifkan. 7 penggunaan perangkat pengamanan jaringan komunikasi, seperti firewall, Intrusion Detection System IDS, dan Intrusion Prevention System IPS. 48 8 penggunaan penambahan perangkat monitor jaringan komunikasi network management system dengan memperhatikan pengamanannya. 9 pengujian secara berkala terhadap keamanan jaringan komunikasi, misalnya dengan penetration testing. c. Operasi dan Pemeliharaan Jaringan Komunikasi Pengoperasian dan pemeliharaan jaringan komunikasi harus dilakukan dengan memperhatikan hal-hal berikut ini: 1 petugas yang mengoperasikan jaringan komunikasi harus secara jelas ditunjuk oleh manajemen, memiliki kemampuan pengetahuan dan keterampilan yang cukup, dan diberi tugas dan wewenang yang memadai untuk menjalankan fungsinya; 2 Bank harus memiliki incident rensponse plan terhadap gangguan dan serangan jaringan komunikasi; 3 Bank harus memiliki fasilitas backup perangkat keraslunak jaringan komunikasi, termasuk mekanisme restartrecovery yang telah teruji. Fasilitas backup tersebut sebaiknya memiliki risiko yang berbeda dengan perangkat utama seperti menggunakan pihak penyedia jasa yang berbeda; 4 patch dan release harus selalu dikinikan setelah melalui pengujian intern untuk meyakini bahwa kelemahan-kelemahan telah diperbaiki.

4.4.3. Monitoring Risiko