Audit atas Penyelenggaraan Electronic Banking (1)

OJK bulan lalu meminta seluruh bank untuk lebih memperhatikan keamanan TI, khususnya internet banking. OJK mendorong (atau mewajibkan?) bank-bank untuk melakukan audit atas sistem keamanan TI. Hal ini sepertinya dipicu oleh laporan kejadian di BCA (laporan awal yang menyerang 1000 nasabah (06/03/2015) dan kemudian diralat ternyata hanya mengenai 43 nasabah (06/03/2015)) dan Bank Mandiri (malware pencuri uang (06/03/2015)).

Prinsip-prinsip untuk manajemen risiko penyelengaraan electronic banking telah ditetapkan sejak lama oleh Basel Committee on Bank Supervision pada tahun 20o3, sebagai berikut:

  1. Board and management oversight
    • Effective management oversight of e-banking activities
    • Establishment of a comprehensive security controls process
    • Comprehensive due diligence and management oversight process for outsourcing relationships and other third-party dependencies.
  2.  Security controls
    • Authentication of e-banking customers
    • Non-repudiation and accountability for e-banking transactions
    • Appropriate measures to ensure segregation of duties
    • Proper authorization controls within e-banking systems, databases and applications
    • Data integrity of e-bangking transactions, records and information
    • Establishment of clear audit trail for e-banking transactions
    • Confidentiality of key bank information
  3. Legal and reputational risk management
    • Appropriateness disclosure for e-banking services
    • Privacy of customer information
    • Capacity, business continuity and contingency planning to ensure availability of e-banking systems and services
    • Incident response planning

BI juga merilis pedoman untuk ini, yaitu di Lampiran Surat Edaran Bank Indonesia Nomor: 9/30/DPNP Tanggal 12 Desember 2007 khususnya di Bab VIII tentang Electronic Banking. Dokumen tentang ini dapat diperoleh di sini.

Kejadian di BCA dan Mandiri ini sepertinya memang lebih spesifik ke aspek system authentication dan users’s security awareness. Tetapi sebagai regulator, bisa jadi OJK menjadikan ini sebagai pintu masuk untuk meningkatkan kontrol pada penyelenggaraan electronic banking secara keseluruhan. Sebagai catatan penting, masih banyak bank di Indonesia ini yang melakukan outsourcing ke pihak ketiga atas penyelenggaraan electronic banking-nya, termasuk internet banking. Kebijakan penggunaan outsourcing secara prinsip tidak bermasalah, asal kontrol diimplementasikan secara memadai.

Untuk kepentingan audit, prinsip-prinsip di atas perlu diturunkan dalam kontrol-kontrol kritikal. Kontrol-kontrol kritikal tersebut yang akan menjadi lingkup audit. Merujuk kepada metodologi standar audit, untuk mengidentifikasi kontrol-kontrol kritikal tersebut perlu untuk melihat konteks organisasi dan arsitektur teknis. Tulisan selanjutnya akan membahas tentang kontrol-kontrol kritikal di prinsip-prinsip electronic banking. Jika tidak memungkinkan semua, kemungkinan akan lebih difokuskan pada aspek security controls.

Advertisements

PBI 9/15/PBI/2007 mengadopsi FFIEC IT Examination Handbook?

Tahun lalu saya ada training tentang PBI ITRM ini. Pemahaman saya, PBI tentang ITRM untuk Bank Umum ini tidak akan terlalu jauh dari bagaimana Basel II menetapkan kriteria pengelolaan risiko operasional, karena risiko terkait TI merupakan bagian dari risiko operasional. Setelah pelajari berbagai publikasi tentang Basel, saya juga menemukan sekumpulan dokumen menarik tentang IT Examination Handbook. Serangkaian dokumen ini dirisilis oleh FFIEC (Federal Financial Institution Examinations Council), sebuah lembaga di US sono yang secara umum profilnya sbb:

The Council is a formal interagency body empowered to prescribe uniform principles, standards, and report forms for the federal examination of financial institutions by the Board of Governors of the Federal Reserve System (FRB), the Federal Deposit Insurance Corporation (FDIC), the National Credit Union Administration (NCUA), the Office of the Comptroller of the Currency (OCC), and the Office of Thrift Supervision (OTS), and to make recommendations to promote uniformity in the supervision of financial institutions. In 2006, the State Liaison Committee (SLC) was added to the Council as a voting member. The SLC includes representatives from the Conference of State Bank Supervisors (CSBS), the American Council of State Savings Supervisors (ACSSS), and the National Association of State Credit Union Supervisors (NASCUS).

Jadi tugas FFIEC ini menetapkan prinsip, standar dan form-form report, serta membuat rekomendasi untuk memastikan keseragaman dalam melaksanakan supervisi institusi keuangan di US sana. FFIEC ini mempublikasikan InfoBase yang berisi IT Booklet, Resources, Presentation dan Glossary yang ditujukan untuk menyediakan Just-In-Time Training untuk regulasi baru dan topik lain yang menjadi concern para auditor/penguji di lembaga berikut:

  • Federal Reserve Board
  • Federal Deposit Insurance Corporation
  • National Credit Union Administration
  • Office of Comptroller of the currency
  • Office of Thrift supervision

Berikut ini adalah link untuk infobase tersebut:

http://www.ffiec.gov/ffiecinfobase/index.html

Dan berikut ini adalah link untuk IT Booklet yang isinya merupakan IT Examination Handbook:

http://www.ffiec.gov/ffiecinfobase/html_pages/It_01.html

Nah, jika dibandingkan dengan dengan publikasi Surat Edaran BI yang menjelaskan lebih detail tentang PBI 9/15/PBI/2007 yaitu SE No. 30/DPNP maka kita akan mendapatkan kemiripan yang sangat antara IT Examination Handbook dengan SE No. 30/DPNP. SE No. 30/DPNP terdiri dari 10 bab, sedangkan IT Examination Handbook terdiri dari 10 dokumen. Yang tidak dirujuk dalam SE No. 30/DPNP hanya “Wholesale Payment System”.

Saya sudah sempat membandingkan konten masing-masing bab dalam SE No. 30/DPNP dan dokumen terkait dalam FFIEC IT Examination Handbook. TIdak persis sama, tetapi sangat mirip dan memang telah dimodifikasi.

Untuk regulasi sekelas PBI, saya membayangkan seharusnya BI juga merilis logbook yang akan menjelaskan kepada kita apa saja referensi yang digunakan, apa metodologi yang digunakan dan alasan-alasan apa saja yang digunakan untuk menyesuaikan berbagai referensi tadi dengan kebutuhan Indonesia, jika memang harus mengadopsi. Mungkin ini ada dan saya tidak tahu, tetapi ketika nyari-nyari ke website BI kok tidak ketemu ya? Mungkin ada yang tahu?

Dari beberapa seri training yang kami selenggarakan, ada banyak keluhan dari TI bank-bank khususnya bank menengah kecil tentang implementasi PBI ITRM ini. Pertanyaan paling dasar: tepatkan konstruksi regulasi ITRM untuk bank umum seperti PBI ini? Kalau kita bandingkan dengan ISO 27005 (Security Risk Management) maka kita dapat melihat perbedaan yang sangat mencolok dengan PBI ini.

ITRM menurut saya lebih ditekankan pada orientasi proses, apakah sebuah bank sudah menjalankan PROSES MANAJEMEN RISIKO TI? Karena profil risiko tiap bank bisa beda, proses manajemen risiko TI yang dijalankan bisa sama, tetapi konstruksi kontrol TI-nya bisa berbeda-beda.

PBI 9/15/PBI/2007, dengan format dokumen seperti itu, lebih cenderung membuat STANDARISASI KONTROL TI dibandingkan mendorong bank-bank umum menjalankan proses manajemen risiko TI-nya sendiri. Kalau memang ini benar terjadi, maka berbagai keluhan dari pihak perbankan sekarang ini tentang betapa berdarah-darahnya mereka yang harus mengimplementasikan PBI ITRM ini jadi masuk akal, karena lebih ke standarisasi kontrol dibandingkan dengan keberjalanan proses.

Sharing data ilegal??

Suatu saat ada sebuah perusahaan asuransi menelpon untuk menawarkan produknya. Ternyata dia dapat data dari sebuah Bank BUMN, dimana saya punya kartu kredit di situ. Ini tidak hanya sekali dua kali, tapi berkali-kali. Pernah juga ternyata perusahaan yang menghubungi itu mendapatkan data dari sebuah operator telekomunikasi, dimana saya punya nomor postpaid di situ.

Seringkali ini membuat tak nyaman. Masalahnya, si sumber data (bank & operator telco tadi) tidak bisa disalahkan karena ketika kita mengajukan application, di situ kita tidak disediakan pilihan: apakah data kita boleh dishare ke pihak lain atau tidak. Di negara yang menghargai privacy, selalu ada dua pilihan itu.

Seharusnya data-data pribadi itu nggak boleh dishare seperti itu. Yg jadi pertanyaan lagi, adakah kompensasi finansial dari sharing itu, yg didapatkan pihak yang mempunyai database? Kalau ada kompensasi finansial, apakah memang si perusahaan yg menyimpan data nasabah/customernya itu berhak dengan seenaknya melakukan sharing itu? Belum tahu, apakah hal ini sudah dicover oleh UU ITE yang baru disahkan itu.

ITAC – IT Architect Certification Program

Buat yang senang dengan topik-topik terkait dengan IT Planning atau IT Architecture, ITAC dari OpenGroup dapat jadi alternatif. Saat ini saya sedang melengkapi form sertifikasi untuk selanjutnya bisa disubmit dan direview oleh OpenGroup, jadi ini sepertinya sertifikasinya benar-benar melalui review experience.

OpenGroup ini lembaga yang cukup credible, karena dia mengeluarkan TOGAF sebagai salah satu framework IT Architecture yang termasuk paling banyak dipakai di dunia akademis atau profesional. Selain itu, baru-baru ini OpenGroup juga mengakuisisi NAC, sehingga rasanya dalam waktu dekat ini TOGAF akan semakin menarik karena akan dilengkapi dengan IT Security Architecture yang secara konseptual sangat futuristik (di antaranya konsepnya adalah IT Security Policy Automation).

Kalau ada yang punya informasi lain terkait dengan sertifikasi yg mirip seperti ini, mohon dishare juga ya. Untuk jelasnya, silakan akses ke sini:

http://www.opengroup.org/itac/