IT & Cyber Security

Awareness
PT BNI Sekuritas, 12 Des 2022

Revisi 1
1
LATAR BELAKANG & TUJUAN
LATAR BELAKANG
➢ Tindak kejahatan di dunia maya semakin meningkat
dan semakin bervariasi
➢ Pentingnya meningkatkan kewaspadaan karyawan
dan nasabah guna mengantisipasi kejahatan terkait
Siber dan Informasi;
➢ Pentingya perlindungan informasi data perusahaan
dan nasabah;
➢ Pentingnya menjaga ketaatan terhadap peraturan,
kewajiban hukum dan menjaga reputasi
perusahaan.
➢ Faktor utama pencurian data/informasi dan
serangan siber adalah disebabkan karena Kesalahan
Manusia (Human Error)
TUJUAN
➢ Memastikan semua karyawan dan/atau vendor
menyadari dan memahami tanggung jawabnya untuk
melindungi kerahasiaan data dan informasi
➢ Memastikan semua karyawan dan/atau vendor
mengetahui dan mampu mematuhi persyaratan
keamanan peraturan dan perundang-undangan yang
berlaku
➢ Meningkatkan kesadaran dan kewaspadaan terkait
Keamanan Teknologi Informasi dan Keamanan Cyber
➢ Menjaga Kerahasiaan Data dan Informasi agar
TERHINDAR dari:
1. Kebocoran Informasi
2. Terhentinya Kegiatan Operasional
3. Kehilangan Kekayaan Intelektual
4. Kehilangan Kepercayaan dari Stakeholder
5. Kerugian Keuangan
6. Rusaknya Reputasi Perusahaan 2
PRINSIP KEAMANAN DATA DAN INFORMASI
Prinsip Keamanan Data dan Informasi terdiri dari: Contoh Penerapannya:

Confidentiality (Kerahasiaan): Data Nasabah hanya dapat diakses terbatas

Melindungi data dan informasi perusahaan oleh yang memiliki hak dan wewenang
dari penyingkapan pihak-pihak yang tidak
berhak

Confidentiality
Integrity (Integritas):
Melindungi keutuhan data dan informasi
perusahaan dari modifikasi yang tidak sah
Information
Security
Integrity Availability
Availability (Ketersediaan):
Melindungi ketersediaan data dan informasi Data Nasabah harus benar dan Data Nasabah harus selalu
perusahaan agar selalu tersedia dan dapat tidak ada modifikasi dapat diakses saat dibutuhkan
diakses pada saat dibutuhkan

3
KEAMANAN PERANGKAT KOMPUTER
DOs

Perangkat komputer wajib Join Domain PT BNI Sekuritas.

Pastikan sistem operasi komputer selalu update dengan patch terbaru

Pastikan anti-virus selalu menggunakan definition/signature terbaru

Lakukan backup data penting secara berkala. Disarankan setiap hari

Pastikan komputer, laptop atau handphone dalam kondisi “locked” saat tidak digunakan

Matikan komputer ketika meninggalkan kantor

4
KEAMANAN PASSWORD
DOs
➢ Password bersifat rahasia. Jaga password agar tetap
rahasia.
➢ Gunakan password yang kuat yang berisi kombinasi angka,
huruf, minimal 1 huruf besar, minimal 1 huruf kecil dan
minimal berjumlah 8 karakter. Disarankan menggunakan
karakter yang spesial ($, &, @, dll). Contoh: SecureIT2022
➢ Gunakan Password yang berbeda untuk aplikasi yang
berbeda
➢ Lakukan penggantian password secara berkala, maksimal
dalam 90 hari
DON’Ts
➢ Jangan membagikan password kepada siapapun
➢ Jangan menggunakan password yang mudah ditebak
seperti ‘bnis123’, ‘bions123’, ‘admin’, ‘password123’
➢ Jangan menggunakan password yang sama pada semua
sistem karena berpotensi terjadi security breach pada
semua system
➢ Jangan menulis password anda pada media yang mudah
dibaca oleh orang lain seperti di meja, di monitor atau di
komputer anda
➢ Jangan mengaktifkan fitur “remember password” pada
browser internet
5
PENGGUNAAN EMAIL
DOs
➢ Jaga kerahasiaan dan keamanan email milik karyawan
➢ Gunakan email perusahaan untuk kepentingan bisnis
perusahaan dan harus dapat dipertanggungjawabkan
➢ Waspada sebelum membuka lampiran email dari pengirim
yang tidak dikenal dan/atau email yang tidak diharapkan.
➢ Gunakan aplikasi untuk enkripsi dokumen yang bersifat
rahasia agar terproteksi password. Contoh informasi User ID
dan Password, Client Information, Laporan Audit, dll
➢ Hapus email spam/junk.
➢ Laporkan ke IT Support jika ada hal-hal yang mencurigakan
DON’Ts
➢ Karyawan tidak boleh menggunakan akun email perusahaan
untuk kepentingan pribadi, kegiatan komersial pribadi,
media sosial atau tujuan hiburan
➢ Karyawan tidak boleh mengirim email yang berisi kata-kata
tidak senonoh, dengan konten palsu, yang bersifat
memfitnah
➢ Karyawan tidak boleh meneruskan email berantai yang
mereka terima dari Internet kepada karyawan lain
➢ Karyawan tidak boleh mengakses email perusahaan dari
lokasi yang tidak aman dan/atau public dekstop karena
program Trojan dan Virus/Malware biasanya ditemukan di
desktop tersebut
6
AKSES INTERNET
DOs DON’Ts

➢ Hanya mengakses internet untuk mendukung tujuan dan

kebutuhan bisnis perusahaan ➢ Karyawan tidak boleh mengunjungi situs web untuk
kegiatan komersial pribadi atau untuk tujuan hiburan
➢ Pastikan alamat website yang dituju adalah website yang:
❖ Valid ➢ Karyawan dilarang keras akses ke layanan Internet yang
❖ Terlindungi: menggunakan alamat “https://” dan menyediakan materi pornografi, materi yang menyinggung
memiliki tanda kunci (SARA), atau ilegal

➢ Karyawan dilarang akses internet ke website yang tidak

terkait kebutuhan bisnis seperti social media, video dan
music streaming, mengandung pornografi, dan games
➢ Hanya menggunakan gateway/proxy yang disediakan
perusahaan untuk akses internet
➢ Karyawan dilarang akses ke situs sosial media
menggunakan sistem komputer Perusahaan karena dapat
➢ Selalu waspada/vigiliant saat menjelajah internet
menimbulkan risiko kebocoran data dan infeksi malware

7
AKSES INTERNET
DON’Ts
➢ Karyawan dilarang menggunakan fasilitas Internet untuk dengan sengaja menyebarkan Trojan dan
virus/malware.

➢ Karyawan dilarang mengakses tautan yang mencurigakan yang berpotensi mengunduh dan
menginstall program yang tidak diinginkan.

➢ Karyawan sangat dilarang mendownload file dengan menggunakan koneksi Peer-to-Peer (P2P).
Misalnya: torrent.

➢ Karyawan dilarang memasang modem apa pun (termasuk broadband nirkabel USB) atau hotspot
Wi-Fi di workstation, untuk mengakses internet atau jaringan eksternal secara bersamaan saat
terhubung ke jaringan perusahaan.

➢ Dilarang mengunduh dari Internet untuk file berikut, namun tidak terbatas pada file audio dan
music, file video, executable (misalnya .exe, torrent), games, dll.

➢ Akses ke situs web yang menyediakan layanan email dan/atau fasilitas penyimpanan file gratis
dilarang untuk mencegah berbagi informasi sensitif melalui Internet, kecuali akses ke situs email
dan/atau file penyimpanan yang ditetapkan perusahaan seperti Google Drive dan One Drive).
8
WASPADA ANCAMAN KEAMANAN INFORMASI
Beberapa contoh serangan Cyber yang sering terjadi

➢ Phising:
Suatu upaya untuk mendapatkan informasi data seseorang (data pribadi, data akun, data finansial)
dengan cara mengelabui menggunakan website atau email palsu yang menyerupai aslinya.

➢ Ransonware:
Salah satu bentuk malicious software dengan enkripsi menggunakan metodologi cryptovirology,
yang mengancam untuk menyebarkan data atau memblok semua akses ke dalam data tersebut jika
pemilik data tidak memberikan sejumlah uang tebusan.

➢ Social Engineering:
❖ Adalah kegiatan untuk mendapatkan informasi rahasia/penting dengan cara memanipulasi
pemilik informasi, mendapatkan kepercayaan korban untuk mencuri data, informasi dan uang

❖ Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu
MANUSIA.

9
PHISING-Website Phising
PHISING
CONTOH PHISING:
• Web Phising
Pelaku phising biasanya mengincar:
Apa itu link phising? Link phising adalah upaya untuk
1. data pribadi (nama, usia, alamat, nama ibu kandung),
menggunakan link palsu untuk menipu korbannya. Link
2. data akun (username dan password), dan
tersebut akan mirip dengan link resmi sehingga korban akan
3. data finansial (informasi kartu kredit dan rekening). mudah tertipu. Contohnya website resmi dari instansi asli
yaitu www.facebook.com, maka pelaku phising akan
CARA KERJA: menggunakan domain yang mirip seperti www.facebo0k.com
1. Pengumpulan Informasi Data Korban: melalui email
palsu, website palsu, penelepon palsu atas nama
institusi, dll
2. Berkomunikasi dengan Korban:
❖ Korban Membuka Pesan Phising
❖ Pelaku Memanfaatkan Data Korban

10
WEB PHISING
• Pesan Singkat Phising
https://ibbripilihantarif.finance.blog”
Pesan singkat juga biasa digunakan untuk menipu seseorang
atau organisasi untuk mendapatkan informasi penting berupa
data pribadi, data finansial dan lainnya.

Pelaku akan mengirimkan pesan palsu dan berpura-pura

berasal dari instansi dan organisasi yang terkemuka/resmi, dan
meminta kita untuk melakukan konfirmasi dengan cara
mengakses tautan yang diberikan, seperti contoh berikut:

“Baik bpk/ibu nasabah yang terhormat disini kami perlu persetujuan dari
nasabah yang tidak setuju dengan tarif baru 150.000 perbulan ingin tetap
gunakan tarif lama saja 6.500

Silahkan bapak/ibu melakukan pengisian formulir nya supaya rekening nya

bisa digunakan kembali ke tarif lama 6.500
Silahkan klik link dibawah ini: https://ibbripilihantarif.finance.blog”

11
EMAIL PHISING
• Email Phising
Email addressnya bukan domain Bank of
America

Alamat URL yang ditampilkan Bank Of America.

Namun jika kursor diarahkan, mengarah BUKAN
ke alamat URL Bank Of America

12
BEWARE OF MALWARE (Malicious Software)
RANSOMWARE
❖ Blocking Access
❖ Mengacak/Enkripsi Data
❖ Meminta tebusan

VIRUS
SPYWARE
❖ Interaksi pengguna
❖ Memata-matai
❖ Merusak system
aktifitas
operasi, network
❖ Menyebarluaskan
❖ Menghapus data

TROJAN
❖ Menyerupai aplikasi
resmi
❖ Game, Crack
❖ Menyebarkan virus,
mencuri data
13
SECURITY TIPS Menghindari serangan Cyber
TIPS #1
Terapkan Clean Desk Policy: Password tidak ditulis di area yang mudah diakses
dan dokumen yang bersifat rahasia disimpan di tempat yang tertutup dan aman
TIPS #2
Pastikan Kertas yang berisi sensitif data, dibuang dengan cara yang tepat.
Dokumen hasil cetak harus segera diambil
TIPS #3
Pastikan melakukan update Sistem, Aplikasi dan Anti-Virus terkini.
Lakukan scan virus secara regular
TIPS #4
Perlindungan perangkat secara fisik: pastikan perangkat terkunci saat tidak digunakan.
Lakukan enkrispi data yang penting dan Backup Data setiap hari
TIPS #5
Tetap waspada terhadap aktifitas yang mencurigakan, baik email, SMS, WA, maupun telepon
Hati-hati terhadap phishing scam. Jangan TERPANCING
TIPS #6
Jangan gunakan Wi-Fi Publik yang gratis saat akses aplikasi mobile/internet banking
Dalam keadaan mendesak, tingkatkan keamanan akses dengan menggunakan VPN 14
Langkah jika terkena serangan Malware
Pengguna memutuskan koneksi ke internet dan jaringan kantor dengan
cara mencabut kabel jaringan (LAN) atau mendisable WIFI

Pengguna segera melaporkan ke pihak IT

IT menjalankan Anti Virus/Malware dan lakukan FULL SCAN

IT menghapus semua malware dan/atau aplikasi yang berbahaya

IT melakukan pengecekan data

15
TANGGUNG JAWAB

Menjaga kerahasian dan keamanan informasi bukan

hanya tanggung jawab Management atau Divisi IT
saja, tapi seluruh karyawan PT BNI Sekuritas

Seluruh karyawan PT BNI Sekuritas adalah

pertahanan terakhir dari serangan Cyber

Hubungi IT Support:

itsupport@bnisekuritas.co.id

16
Thank You

17