Materi Webinar Series 9 - 230712 - 163830
Materi Webinar Series 9 - 230712 - 163830
Education Background
7/11/2023
Navigating Disruption in
1 the Digital Era
Understanding Digital Disruption : Trends and Impact
on Risk Management
Outline 2
Risk Unit Involvement
in IT Project
Pembelajaran Strategies for Effective Cyber Risk and Fraud Risk
Management
3
“Bank is an IT company, with a bank license”
4 7/11/2023
DIGITAL FRAUD T R E N D
Fraud incidents meningkat seiring dengan pertumbuhan transaksi digital
Perilaku Konsumen berubah. Fraudster meningkatkan akses ke Fraudster memangsa pasar yang
Lebih digital, lebih mobile, data konsumen, dan memicu modus berkelanjutan dan ketidakpastian
memunculkan lebih banyak fraud. fraud yang lebih canggih. ekonomi.
1 2 3
juta records
Peningkatan breached.
mobile device
60%
Transaksi digital Informasi pribadi di Stres dan ketakutan konsumen dapat
fraud attacks
45%
dilakukan secara Amerika telah ter- menyebabkan transaction behavior yang
mobile (YoY) compromised dalam lebih berisiko
5 tahun terakhir.
Identity Proofing menjadi lebih Data physical dan digital konsumen Volume fraud tumbuh ketika
challenging. merupakan incaran Fraudster. kelemahan dapat dieksploitasi.
Dibutuhkan dukungan proses dan teknologi untuk mitigasi risiko Digital dan Cyber
5 7/11/2023
DIGITAL FRAUD T R E N D (cont’d)
TARGET
Social engineering,
Data breach, fake merchants, Data breach, cyber attack,
phishing, password theft, Data breach, cyber attack,
non-compliant (e.g. PCI DSS) man-in-the-middle attack,
virus/malware, account malware
system, skimming malware
take-over
THREAT
6 7/11/2023
Bank Mandiri dalam menghadapi Disrupsi Digital dan Cyber Threat
Bagian penting dari mitigation plan yang dilakukan Bank Mandiri dalam mencegah ancaman risiko operasional, cyber dan fraud
adalah memastikan IT availability dengan keamanan Cyber yang handal
7 7/11/2023
Peran Risk Management
Identifikasi aset, ancaman dan kerentanan;
Proses perlindungan asset antara lain:
Fungsi Manajemen Risiko a. Implementasi perangkat pengamanan siber;
Terkait Keamanan Siber b. Melaksanakan security awareness;
Melakukan monitoring/deteksi terhadap serangan/insiden siber;
Melakukan penanggulangan dan pemulihan insiden siber.
Identifikasi risiko dan kontrol serta melakukan update/review risiko dan control secara
berkala;
Fungsi Manajemen Risiko Pengujian efektivitas kontrol secara periodik;
dalam Pengujian Efektivitas
Control Memberikan rekomendasi untuk perbaikan control;
Menetapkan framework manajemen risiko operasional (termasuk didalamnya risiko terkait
TI/siber).
8 7/11/2023
Navigating Disruption in
1 the Digital Era
Understanding Digital Disruption : Trends and Impact
on Risk Management
Outline
Risk Unit Involvement
2 in IT Project
Pembelajaran
Strategies for Effective Cyber Risk and Fraud Risk
Management
9
Proses Manajemen Risiko TI
Proses manajemen risiko operasional telah diaplikasikan dari tahap pengembangan s/d evaluasi produk/aktivitas/layanan, dengan
melibatkan unit reviewer dan memenuhi mekanisme Three Line Of Defense
Pre-Launch Launch Post-Launch
10 7/11/2023
Manajemen Risiko pada Tahap Pengembangan
Project TI
01. Risk & Control Review : Risk Assessment
Peran Risk dalam Risk Control & Review :
Risk reviewer bersama-sama dengan product owner berperan menyusun RAWP (Risk Assessment Working Paper).
RAWP adalah “dokumen berisi list risiko atas produk baru dan mitigasinya yang akan di submit ke OJK”
1. Identifikasi Risiko
Berisikan seluruh risiko/ issues yang teridentifikasi pada Self- Authentication & Confidentiality
risk assessment
Terdapat keamanan system yang dikembangkan
1) dengan melakukan security assessment termasuk
2. Mitigasi Risiko penetration test
Berisikan mitigasi dan action plan berdasarkan prinsip - Terdapat priviledges access management untuk
prinsip pengendalian. Risiko Adanya 2) melakukan control, pembatasan, dan monitor
vulnerability system akses terhadap server
pada aplikasi Livin’ by
Integrity
Authorization of Control
Authentication Mandiri yang Non Repudiation
mengakibatkan kerugian
finansial maupun non Terdapat log activity pada setiap akses maupun
Segregation of Duty finansial baik bagi Bank 3) transaksi untuk mempermudah saat dilakukan
Availability
Confidentiality
Integrity
System Development Life Cycle (SDLC) : merupakan serangkaian proses sistematis dari perencanaan, pengembangan, testing,
dan pemeliharaan system/aplikasi
Quality Management
Waterfall Development
Solution Definition Solution Development Solution Testing Solution Deployment kerangka teknis pengembangan sistem aplikasi yang
mengutamakan keselarasan tahapan pengembangan
• Project Charter • Customized • SIT • Training & dalam siklus (SDLC) baik secara full atau partial scope
• RFP Deployment Solution • UAT Sosialisasi suatu inisiatif TI.
• Procurement & Development • Retesting After • Data Conversion
• BRD, FSD, TSD • Developer Testing Merging • Migration
• UST, Epic, PRD • Penyusunan PTO • System Acceptance Readiness
• Sprint Backlog, Testing • Product Trial Run
Product Backlog • Testing • Live
Management Plan Implementation Agile Development
• Test Design • Project Closing kerangka teknis pengembangan sistem aplikasi yang
mengutamakan pengembangan secara
iterasi/berulang-ulang. Tahapan yang dilalui dalam
Change Control setiap iterasi merupakan bagian dari SDLC.
Release Management
Monitoring
12 7/11/2023
Manajemen Risiko pada Tahap Pengembangan
Project TI
02. Design, Development & Testing : Contoh Peran Risk pada SDLC Agile (2/2)
Retrospective
Feedback
Sprint ke - n
Discovery Workshop Backlog Grooming Sprint Planning Sprint Execution Sprint Review
Agile Charter Product Backlog Sprint Backlog Specification Result & Acceptance
Background, Objective, Detail user stories, Selected backlog item; Document User Story, User
Vision, Timeline. Estimation point user Acceptance criteria; Test Script Acceptance & Severity
story, Prioritizes user Test scenarios; Training Material Defect, Feedback.
stories, Testing Definition of Done; Petuntuk Teknis (PTO)
Approach. Release Plan. Nota Migrasi
13 7/11/2023
Manajemen Risiko pada Tahap Pengembangan
Project TI
03. Implementasi System / Launch : RCB
Kewenangan RCB
Item yang akan dimigrasikan dimintakan persetujuan sesuai hasil impact
analysis.
14
14 7/11/2023
Manajemen Risiko pada Tahap
Pengembangan Project TI
04.. Evaluate Performance
CONTINUOUSLY
Goal: Business Improvement
Issue
Business Operational
Fraud Event
Marketing Strategy
Business Target
15 7/11/2023
Risk Assessment Sample
Livin’
Business Needs
- Mengapa fitur tersebut harus dikembangkan? Apakah ada kebutuhan dari
Concern terkait -
nasabah?
Apa dampak positif dari pengembangan?
potensi risiko
Design & Develop
- Bagaimana alur sistem yang dikembangkan?
• Unauthorized transaction - Bagaimana penjagaan terkait limit transaksi?
- Bagaimana penjagaan token digunakan nasabah? Apakah token bersifat
• Token rules (risiko dapat digunakan unique? Apakah terdapat pembatasan penggunaan dan generate token?
berulang kali tanpa batas waktu) - Bagaimana rekonsiliasinya? Bagaimana FDSnya?
• Keterbatasan pilihan denom di ATM
• Social engineering Test & Implement
• Penjagaan limit transaksi - Apakah test script sudah mengakomodir negative test dan regresi test?
• Dispute transaction terkait - Bagaimana hasil UAT? Apakah ada outstanding defect? Apakah ada defect
handling time out yang di drop atau deferred, why?
- Apakah sudah dibuat rundown migrasi beserta rollback plannya?
• Modul atau proses eksisting lain - Apakah sudah dilakukan sosialisasi plan ke user front liner dan nasabah?
terganggu
• Security dan performance system Support & Monitor
Pengembangan fitur : • Front liner tidak memahami - Risk Reviewer memonitoring proses migrasi agar berjalan dengan lancar.
pengembangan yang dilakukan - Risk Reviewer mengawal proses PTR hingga dipastikan fitur baru berjalan
sesuai requirement dan tidak menyebabkan dampak pada fitur eksisting.
Tarik Tunai Tanpa
Kartu pada Livin’ by Assess & Evaluate
Mandiri Pasca implementasi pengembangan, dilakukan penarikan data kembali terkait
performance transaction dan pengaduan nasabah, apakah ada yang bisa
diimporve?
16 11 July 2023
Risk Assessment Sample
Livin’
Business Needs
Outline 2
Risk Unit Involvement
in IT Project
Pembelajaran Strategies for Effective Cyber Risk and Fraud Risk
Management
18
Framework Strategi Anti Fraud
Berdasarkan program 4 pilar SAF yang mengacu pada POJK 39/POJK.03/2019 tentang Penerapan SAF bagi Bank Umum, dalam mengendalikan
& memantau fraud, perusahaan wajib menerapkan Strategi Anti Fraud (SAF) yang mencakup 4 pilar berikut :
P I L A R 1 P I L A R 2 P I L A R 3 P I L A R 4
PENCEGAHAN DETEKSI INVESTIGASI, PELAPORAN, SANKSI PEMANTAUAN, EVALUASI, TINDAK LANJUT
19 7/11/2023
Prinsip Pengendalian Fraud
20 7/11/2023
Fraud Trend at Bank Mandiri
FRAUD CASE 2023*
F R A U D I T R E L A T E D M O D U S
021-300-23787 atau
laporciso@bankmandiri.co.id
22 7/11/2023
Digital Fraud
CYBER FRAUD
MODUS
HOW IT WORKS
Keahlian teknis untuk eksploitasi kelemahan system, sebagai
contoh: malware, technical hacking, email attack, by pass transaction
authorization process
FOR YOUR INFORMATION !
MITIGASI
Web Application Firewall (WAF)
1.208.553 session rata-rata/hari dengan 8,91% session
• Instalasi antivirus, firewall • Pengelolaan security tool malware detected > successfully blocked 0,6% yoy
dan proteksi email/ dan 24x7 Security Mail security
informasi/akses Operation Center 1.355.300 email attack detected rata-rata/bulan >
successfully blocked (Jan s.d Des 2022) 13% yoy
Antivirus (TrendMicro)
71 artifact ransomware terdeteksi di endpoint >
deleted/cleaned (Jan s.d Des 2022) 81% yoy
CYBER FRAUD
Source by CISO Group
• Intensifikasi fraud & security awareness terkait:
o Penerapan 2 Factor Authentification
o Hindari penggunaan wifi gratis ditempat umum
o Abaikan email/notifikasi mencurigakan.
o Hindari sharing password.
Source by : Youtube Channel KASPERSKY(https://youtu.be/n8mbzU0X2nQ)
YOU CAN HELP US
021-300-23787 atau
laporciso@bankmandiri.co.id
23 7/11/2023
Digital Fraud
ACCOUNT TAKE OVER
MODUS
HOW IT WORKS
Percobaan log in akun Livin menggunakan device fraudster
dengan metode kirim kode OTP melalui forward SMS
provisioning yang dikirim ke No HP korban, guna ambil alih
akun nasabah.
MITIGASI
24 7/11/2023
Eksternal Fraud
SOCIAL ENGINEERING
MODUS
MITIGASI
Sebuah teknik manipulasi yang memanfaatkan kesalahan manusia • Monitoring anomaly • Intensifikasi fraud awareness terkait :
untuk mendapatkan akses pada informasi atau data – data
berharga.
transaksi pada tools ‐ Aware terkait pesan masuk dari nomor
FDS yang tidak dikenal (whatsapp / media
social)
‐ Teliti saat menerima pesan berupa file
dokumen,
‐ Pastikan selalu download aplikasi resmi
dari play store / apps store
https://inet.detik.com/security/d-6752176/awas-ada-informasi-sesat
25 7/11/2023
Terima Kasih
Retail Product Delivery & Fraud Risk Group
2023
26
Lampiran
Untuk Memastikan “Zero Security Breach” Pada Sistem IT, Terdapat 3 Pilar
Pengamanan TI Meliputi Aspek Governance & Awareness, Protection, &
Operation
“Zero Security Breach”
3 Struktur Organisasi & Personil 3 User Access Management 3 Security Assessment Mitra
Memastikan kecukupan dan kecakapan SDM Mengelola perangkat/User ID yang telah Implementasi evaluasi aspek security
terkait keamanan TI dan siber. tersentralisasi dan terintegrasi dengan terhadap pihak ketiga yang bekerja sama
(e.g. training dan sertifikasi) jaringan Bank. dengan Bank.
(e.g. IAM dan PAM) (e.g. kuesioner, interview dan asesmen calon mitra)
International Standard
Audit Internal & External Simulasi real-life attack oleh
ISO 27001 – Security Operation Center
Control Testing Konsultan Independen Eksternal
ISO 17025 – Lab. Forensik Digital
Peran Risk Management: Melakukan control testing (pengujian efektivitas kontrol) secara berkala guna memastikan optimalisasi eksekusi 3-pillar pengamanan TI
28
Monitoring 24x7 dan Multi-layer Defense Mechanism Dilakukan untuk
Mengantisipasi Serta Menindaklanjuti Perkembangan Serangan Siber
Terkini
Defense Mechanism Defense Mechanism Defense Mechanism
Defense Mechanism Defense Mechanism Ring 3 – PC/Laptop Ring 2 – Server Cabang Ring 1 – Server Farm
5 4 3 2 1
Security
Pengamanan aplikasi Pengamanan perimeter Pengamanan sistem
Operation
Mobile Internet Aset R3 Aset R2 Aset R1 Center (SOC)
Mobile Sec
Desktop Server
Dashboard
Firewall (IPS/IDS)
Management Management
CIAM/Biometric
EDC
Normalization/Standards/API Integration
Access Access
Control Control Proxy
Web Sec
Pentest 1. Authorization
Leased Line, 2. Authentication
Bank Partners
H2H, Development Clo
Multi Factor
Authentication
VPN S2S Centralized:
ud Pentest
Dashboard
Firewall Alert
Authorization (IPS/IDS) Reporting
Multi Factor Authentication Threat Intelligence Investigation
Peran Risk Management: Melakukan enforcement dalam implementasi tools dan melakukan control testing (pengujian efektivitas kontrol)
secara berkala guna memastikan implementasi tools berjalan dengan optimal sesuai desain yang direncanakan
29
Alur Proses Penanganan Insiden Siber
SEVERITY
Selesai
Pelaporan pegawai (e.g. Cust.
Care, Corp. Secretary, Command SIEM tool
Selesai
Peran Risk Management: Terlibat di dalam Tim Respon Insiden Pengamanan Informasi (TRIPI) dan melakukan pengkoordinasian serta penyusunan
30 pelaporan insiden siber