Pengendalian Internal

Teknologi Informasi
Bekasi, 12 Oktober 2015
 Agenda

• Overview

• Definisi & Prinsip

• Jenis Kontrol

• Fungsi Kontrol

• Pengamanan Informasi

• Pemilihan Kontrol

• Area pengamanan yang perlu diperhatikan

• Case Study
2
Overview

3
 Definisi & Prinsip
Pengamanan Informasi

Suatu kegiatan untuk mengamankan informasi dari akses,

penggunaan, pengungkapan, gangguan, modifikasi,
perekaman atau penghapusan yang tidak sah / tidak
terotorisasi (unauthorized). Ini adalah istilah umum yang
dapat digunakan terlepas dari bentuk data
(misal: elektronik, fisik) - Wikipedia

Tujuan Pengamanan Informasi:

• Confidentiality (kerahasiaan)

• Integrity (integritas)

• Availability (ketersediaan)
4
 Jenis Kontrol

• Administrative

• Physical

• Logical

5
 Jenis Kontrol
Administrative

• Procedural Control

• Policy (kebijakan), procedure (SOP), standards,

guidelines

• Administrative control merupakan dasar dalam

penentuan dan penerapan physical dan logical
controls. Physical dan logical control adalah
turunan dari administrative control.

6
 Jenis Kontrol
Physical

• Pengendalian fisik (physical control) dan pengendalian

lingkungan (environmental contol)

• Memantau dan/atau melakukan pengendalian

terhadap lingkungan juga akses ke dan dari area kerja
dan computing facilities.

• Contoh: Pintu, kunci, A/C, CCTV, pagar, smoke

detector, dll

7
 Jenis Kontrol
Logical

• Technical Control

• Menggunakan software dan data untuk memantau dan

mengendalikan akses ke informasi dan sistem informasi.

Contoh: Passwords, firewalls, access control lists, enkripsi, dll

8
 Fungsi Kontrol

• Preventive, sebelum kejadian

• Detective, saat atau setelah terjadinya

suatu kejadian

• Corrective, tindak perbaikan atas suatu

kejadian untuk meminimalisir dampak

9
Prinsip Pengamanan Informasi

10
 Confidentiality (kerahasiaan)

Meyakini akses ke data atau informasi hanya dapat

dilakukan oleh user/pegawai sesuai kewenangannya
Contoh: Bocornya detail data nasabah, informasi rekening
berstatus dormant, pencurian data yang dikirim melalui
jaringan komunikasi

Kontrol: User id & password, user access rights, enkripsi, dll

11
 Confidentiality (kerahasiaan)
User Account / Access Management

• Kewenangan User (user rights)

Pemberian kewenangan kepada user berbasis need-to-know
dan need-to-do [user access matrix]

• Penonaktifan User (updating user)

User Id pegawai yang resign, pensiun atau cuti
dinonaktifkan, diblokir atau di-reassign

• Pemisahan Tugas / Kewenangan User (segragation-of-duties)

Pemisahan tugas sehingga satu user tidak memiliki
kewenangan yang melemahkan kontrol

• Periodic Review
Melakukan review terhadap kewenangan user yang terdaftar
di sistem secara periodik
12
Confidentiality (kerahasiaan)
Network Sharing, Encryption

13
 Integrity (integritas)

Menjaga dan meyakini akurasi, konsistensi dan

kelengkapan data. Menjaga integritas data berarti
data tidak dapat diubah dengan cara yang tidak
terotorisasi ataupun tidak terdeteksi.
Contoh: Data corrupt, perubahan data saldo rekening
(unauthorized), perbedaan data master-detail, perubahan data
langsung di database

Kontrol: Validasi sistem, dual-control, Hashing, user access

rights, rekonsiliasi, dll

14
 Integrity (integritas)
Kelengkapan Data - Validasi

Auth?

Core Banking System

Maker/Inputter

Checker/Authorizer
 Integrity (integritas)
Unauthorized Changes

Administrator Core Banking System

Integrity (integritas)
Unauthorized Changes
 Availability (ketersediaan)

Menjaga bahwa sistem informasi dapat digunakan

pada saat operasional, termasuk didalamnya
penyediaan backup dan penerapan DRP ketika sistem
utama tidak dapat digunakan.
Contoh: Server rusak, jaringan komunikasi putus, mati listrik

Kontrol: Backup perangkat elektronik / jaringan komunikasi,

UPS, genset, dll

18
 Availability (ketersediaan)
Jaringan Komunikasi & Listrik

DC
Kantor Cabang
 Availability (ketersediaan)
Core Banking System

Onsite Offsite

Onsite Offsite

Media
20
Availability (ketersediaan)
Server / Network Monitoring

21
 Pemilihan Kontrol

Risk Assessment

• Identifikasi Risiko

• Pengukuran Risiko

• Kemungkinan terjadi (likelihood)

• Dampak (impact) : Finansial dan non-finansial

• Mitigasi Risiko

Cost effective & cost efficient

• Monitoring
22
Area Pengamanan

23
Area Pengamanan

24
Penegakan & Penerapan
Pengamanan Informasi

25
 Penegakan & Penerapan
Pengamanan Informasi

Bottom-up approach

Penerapan pengamanan informasi dari level terbawah – IT / system administrator

yang mencoba untuk memperbaiki atau meningkatkan pengamanan IT / system

Jarang berhasil karena lemahnya dukungan user/partisipan/pegawai, budaya

kerja yang enggan berubah

Top Down approach

Dinisiasi oleh manajemen:

- melalui kebijakan dan prosedur
- penentuan pihak yang bertanggung jawab untuk hal terkait

Pendekatan ini memiliki dukungan yang kuat dari manajemen, perencanaan

yang jelas dan kesempatan untuk mengubah budaya kerja organisasi

26
 Penegakan & Penerapan
Peran Direksi

• Evaluate
 Melakukan evaluasi terhadap SDM, pengamanan informasi
yang dilakukan berdasarkan laporan kejadian terhadap
pengamanan, dan rencana pengamanan informasi
• Direct
 Menetapkan kebijakan & prosedur pengamanan informasi
 Mengkomunikasikan secara efektif, baik pada satker
penyelenggara maupun pengguna TI
 Menumbuhkan risk awareness dari manajemen
• Monitoring
 Menerima laporan pelaksanaan pengamanan informasi.

27
 Penggunaan
Pihak Penyedia Jasa TI

Cakupan kontrak, antara lain:

• Biaya dan jangka waktu perjanjian kerjasama

• Hak dan kewajiban Bank maupun PPJ

• Jaminan pengamanan dan kerahasiaan data. Data hanya

bisa diakses oleh pemilik data (Bank)

• Service Level Agreement (SLA)  Standar & target kinerja

• Pengaturan yang jelas mengenai backup, contingency, record

protection termasuk hardware, equipment, software, data
untuk menjamin kelangsungan penyelenggaraan TI

28
 Case Study
User ID Management

Case:
1) Terdapat banyak User Id yang masih berstatus aktif
milik pegawai yang sudah pensiun, resign atau PHK

2) Terdapat pegawai dengan fungsi yang sama (misal:

teller) namun memiliki kewenangan yang berbeda-beda

3) Terdapat pegawai yang memiliki user Id lebih dari satu

29
 Case Study
User ID Management

1) Terdapat banyak User Id yang masih berstatus aktif

milik pegawai yang sudah pensiun, resign atau PHK
Kelemahan monitoring dan kepatuhan untuk melaporkan ke
divisi yang mengelola User Id  Periodical user access review

2) Terdapat pegawai dengan fungsi yang sama (misal:

teller) namun memiliki kewenangan yang berbeda-beda
Tidak adanya user access matrix, lemahnya awareness dan
fungsi reviewer pada saat pengajuan pembuatan User Id

3) Terdapat pegawai yang memiliki user Id lebih dari satu

Prinsip least privilege – User hanya diberikan kewenangan sesuai
dengan kebutuhannya (need-to-know dan need-to-do basis), no
conflicting function yang melemahkan kontrol
30
 Case Study
Manual / Tech Control

Case:
Ditemukan rekening giro, tabungan dan deposito nasabah
yang tidak dikenakan pajak (flag pajak = “N”)

Alternative Solusi:
1) Enhancement aplikasi set default flag pajak = “Y”

2) Produce dan review laporan harian pembukaan

rekening dan perubahan data master rekening yang
menjadikan flag pajak = “N”

31
 Case Study
User Id Administrator

Case:
Bank bekerjasama dengan pihak vendor core banking
system dengan skema full-outsourcing. User Id
Administrator dipegang oleh pihak vendor.

Solusi:
User Id Administrator diserahterimakan kepada Bank:
1) Prosedur serah terima User Id Administrator kepada pihak
vendor jika ada keperluan khusus
2) Vendor dibuatkan User Id yang powerful (tetapi limited) dan
Bank menerapkan detective control untuk mendeteksi
aktivitas yang mencurigakan
32
 Case Study
Data Center

Informasi:
• Entry menggunakan kartu akses dan biometric berupa
fingerprint

• Terdapat sensor suhu dan kelembaban, smoke detector, heat

detector dan pendingin ruangan

• Terdapat DRC yang berada di kota lain dengan metode

backup real time replication (mirroring) untuk seluruh aplikasi
kritikal

Bank menggunakan water sprinkler untuk

Fire suppression system

33
Terima Kasih