He joined Bank Mandiri since 2002, has held

several positions, including Retail Product

Delivery & Fraud Risk Group Head in
2023, Deposit & Wealth Product Risk Head in
2021, Retail & Distribution Ops Risk in 2018,
Operational Risk Consolidation Head in 2015
and has 10 years experience in risk
management.​

Education Background

2021 (ongoing) 1996-2001

Adityo Wicaksono Monash University Universitas Diponegoro
Master of Data Science Bachelor of Urban & Regional
Senior Vice President of Retail Product Planning Engineering
Delivery & Fraud Risk Group
Digital Risk
Management
Strategi Manajemen Risiko
Digital: Mitigasi Risiko dan
Memastikan Kelangsungan
Bisnis

7/11/2023
 Navigating Disruption in
1 the Digital Era
Understanding Digital Disruption : Trends and Impact
on Risk Management

Outline 2
Risk Unit Involvement
in IT Project​
Pembelajaran Strategies for Effective Cyber Risk and Fraud Risk
Management​

Fraud Risk Management

3 

Anti Fraud Strategy
Fraud Trend at Bank Mandiri

3
 “Bank is an IT company, with a bank license”

“Banking is no longer somewhere

you go, it’s something you do”
- Brett King, Author & CEO of Moven

“We see ourselves as a

technology company with a
bank license”
- Michael Corbat, Citigroup CEO

4 7/11/2023
 DIGITAL FRAUD T R E N D
Fraud incidents meningkat seiring dengan pertumbuhan transaksi digital

Perilaku Konsumen berubah. Fraudster meningkatkan akses ke Fraudster memangsa pasar yang
Lebih digital, lebih mobile, data konsumen, dan memicu modus berkelanjutan dan ketidakpastian
memunculkan lebih banyak fraud. fraud yang lebih canggih. ekonomi.

Peningkatan Data breach telah Perusahaan lebih

46%
Bad actors
transaksi digital
(YoY)
48% > 4,500 terjadi sejak 2005,
dengan lebih dari 816
baru semakin
banyak
sensitive terhadap
customer friction

1 2 3
juta records
Peningkatan breached.
mobile device
60%
Transaksi digital Informasi pribadi di Stres dan ketakutan konsumen dapat
fraud attacks
45%
dilakukan secara Amerika telah ter- menyebabkan transaction behavior yang
mobile (YoY) compromised dalam lebih berisiko
5 tahun terakhir.

IMPACT IMPACT IMPACT

Identity Proofing menjadi lebih Data physical dan digital konsumen Volume fraud tumbuh ketika
challenging. merupakan incaran Fraudster. kelemahan dapat dieksploitasi.

Dibutuhkan dukungan proses dan teknologi untuk mitigasi risiko Digital dan Cyber

5 7/11/2023
 DIGITAL FRAUD T R E N D
Fraud menyerang seluruh pelaku digital tanpa kecuali
NASABAH
TARGET
Social engineering,
phishing, password theft,
virus/malware, account
take-over
THREAT
Multi-factor authentication,
strong password,
security awareness,
regular application update,
C O N T R O L antivirus/malware, awareness
6 7/11/2023
(cont’d)
MERCHANT PAYMENT
GATEWAY
Data breach, fake merchants, Data breach, cyber attack,
non-compliant (e.g. PCI DSS) man-in-the-middle attack,
system, skimming malware
Threat monitoring, PCI-DSS
Threat monitoring, PCI-DSS
standard, regular risk
standard, regular risk assessment
assessment, security tools,
antivirus/malware, network
security
FINANCIAL
INSTITUTION
Data breach, cyber attack,
malware
Threat monitoring, PCI-DSS
standard, security tools,
antivirus/malware, network security,
regular risk assessment and audit,
internal governance, continuous
customer education
 Bank Mandiri dalam menghadapi Disrupsi Digital dan Cyber Threat
Bagian penting dari mitigation plan yang dilakukan Bank Mandiri dalam mencegah ancaman risiko operasional, cyber dan fraud
adalah memastikan IT availability dengan keamanan Cyber yang handal

IT Availability Cyber Security

Layanan Perbankan Digital/Online Virtual Private Network (VPN)

Menjaga stabilitas berbagai Memastikan keamanan penggunaan
layanan/aplikasi berbasis digital, perangkat VPN melalui monitoring
untuk memenuhi kebutuhan dan review berkala terhadap akses
nasabah setiap saat dan memastikan dan penggunaan VPN.
akses mandiri oleh nasabah

Cyber Prevention & Monitoring

IT Infrastructure
• Implementasi tools untuk
Menjaga dan memonitor stabilitas pencegahan cyber attack attempt,
infrastruktur Bank untuk seperti antivirus, pengamanan
meningkatkan availability baik untuk jaringan, updated patch, dll.
nasabah (eksternal) maupun untuk
internal Bank, misalnya • Security monitoring terhadap cyber
ketersediaan jaringan. attack attempt oleh tim Security
Operations

Virtual Platform for Internal Use

User Education & Awareness
Memanfaatkan dan meningkatkan
kemampuan media virtual untuk Periodic infosec & cyber risk awareness
tetap melakukan aktivitas pekerjaan program kepada seluruh pegawai
dan berkolaborasi di mana saja. internal maupun nasabah

7 7/11/2023
 Peran Risk Management
 Identifikasi aset, ancaman dan kerentanan;
 Proses perlindungan asset antara lain:
Fungsi Manajemen Risiko a. Implementasi perangkat pengamanan siber;
Terkait Keamanan Siber b. Melaksanakan security awareness;
 Melakukan monitoring/deteksi terhadap serangan/insiden siber;
 Melakukan penanggulangan dan pemulihan insiden siber.

 Meningkatkan kesadaran anti fraud dan menyusun kebijakan pengendalian fraud;

Fungsi Manajemen  Mendeteksi fraud dengan sistem Whistleblowing, Fraud Detection System atau Surprised
Risiko dalam Audit;
Pengendalian Fraud  Melakukan investigasi dan melaporkan indikasi fraud;
 Memantau dan mengevaluasi tindak-lanjut dari fraud event.

 Melakukan risk assessment untuk inisiatif TI sejak tahap perencanaan;

Fungsi Manajemen
 Identifikasi risiko dalam tahap pengembangan;
Risiko dalam
Mengawal Inisiatif IT  Review risiko untuk peluncuran inisiatif TI / proses migrasi;
 Melakukan review pencapaian target bisnis dan sistem produk.

 Identifikasi risiko dan kontrol serta melakukan update/review risiko dan control secara
berkala;
Fungsi Manajemen Risiko  Pengujian efektivitas kontrol secara periodik;
dalam Pengujian Efektivitas
Control  Memberikan rekomendasi untuk perbaikan control;
 Menetapkan framework manajemen risiko operasional (termasuk didalamnya risiko terkait
TI/siber).

8 7/11/2023
 Navigating Disruption in
1 the Digital Era
Understanding Digital Disruption : Trends and Impact
on Risk Management

Outline
Risk Unit Involvement
2 in IT Project
Pembelajaran
Strategies for Effective Cyber Risk and Fraud Risk
Management​

Fraud Risk Management

3 

Anti Fraud Strategy
Fraud Trend at Bank Mandiri

9
 Proses Manajemen Risiko TI
Proses manajemen risiko operasional telah diaplikasikan dari tahap pengembangan s/d evaluasi produk/aktivitas/layanan, dengan
melibatkan unit reviewer dan memenuhi mekanisme Three Line Of Defense
Pre-Launch Launch Post-Launch

Unit Reviewer Unit Owner &

Unit Reviewer
Reviewer
Risk assessment : Review risiko untuk Evaluasi pencapaian
mitigasi & action plan kesiapan live target bisnis dan sistem
dituangkan dalam implementation pada produk
RAWP RCB (Risk Control
Board)

Risk & Control Design, Dev & Implementasi Operation &

Inisiatif Evaluasi
Review Testing System / Launch Control Testing

Unit Owner dan Unit Owner Unit Owner

Reviewer
Identifikasi & Analisis kebutuhan atas Mengeksekusi control
pengukuran risiko serta pengembangan Inisiatif prosedur pada
self assessment TI dan initial operasional yang telah
requirement diatur pada ketentuan

Unit Reviewer Unit Reviewer

Identifikasi risiko dalam Melakukan identifikasi

tahap development pada risiko dan pengukuran
SDLC efektivitas kontrol,
merekomendasikan
perbaikan kontrol

10 7/11/2023
 Manajemen Risiko pada Tahap Pengembangan
Project TI
01. Risk & Control Review : Risk Assessment
Peran Risk dalam Risk Control & Review :
Risk reviewer bersama-sama dengan product owner berperan menyusun RAWP (Risk Assessment Working Paper).
RAWP adalah “dokumen berisi list risiko atas produk baru dan mitigasinya yang akan di submit ke OJK”

Aspek – Aspek di dalam Risk Assessment Risiko Operasional Mitigasi

1. Identifikasi Risiko
Berisikan seluruh risiko/ issues yang teridentifikasi pada Self- Authentication & Confidentiality
risk assessment
Terdapat keamanan system yang dikembangkan
1) dengan melakukan security assessment termasuk
2. Mitigasi Risiko penetration test
Berisikan mitigasi dan action plan berdasarkan prinsip - Terdapat priviledges access management untuk
prinsip pengendalian. Risiko Adanya 2) melakukan control, pembatasan, dan monitor
vulnerability system akses terhadap server
pada aplikasi Livin’ by
Integrity
Authorization of Control
Authentication Mandiri yang Non Repudiation
mengakibatkan kerugian
finansial maupun non Terdapat log activity pada setiap akses maupun
Segregation of Duty finansial baik bagi Bank 3) transaksi untuk mempermudah saat dilakukan
Availability

maupun Nasabah audit trail.

Confidentiality
Integrity

Non Repudation Memberikan/menyerahterimakan akses user super

4) admin/admin/dll kepada unit/pihak yang
Maintenance of Audit berwenang sesuai dengan ketentuan yang berlaku.
Trail
11
11 11 July 2023 Contoh mitigasi risiko yang dituang di RAWP sesuai dengan prinsip pengendalian
 Manajemen Risiko pada Tahap Pengembangan
Project TI
02. Design, Development & Testing : SDLC (1/2)

System Development Life Cycle (SDLC) : merupakan serangkaian proses sistematis dari perencanaan, pengembangan, testing,
dan pemeliharaan system/aplikasi

Framework SDLC Bank Mandiri Type of SDLC Bank Mandiri

Quality Management
Waterfall Development
Solution Definition Solution Development Solution Testing Solution Deployment kerangka teknis pengembangan sistem aplikasi yang
mengutamakan keselarasan tahapan pengembangan
• Project Charter • Customized • SIT • Training & dalam siklus (SDLC) baik secara full atau partial scope
• RFP Deployment Solution • UAT Sosialisasi suatu inisiatif TI.
• Procurement & Development • Retesting After • Data Conversion
• BRD, FSD, TSD • Developer Testing Merging • Migration
• UST, Epic, PRD • Penyusunan PTO • System Acceptance Readiness
• Sprint Backlog, Testing • Product Trial Run
Product Backlog • Testing • Live
Management Plan Implementation Agile Development
• Test Design • Project Closing kerangka teknis pengembangan sistem aplikasi yang
mengutamakan pengembangan secara
iterasi/berulang-ulang. Tahapan yang dilalui dalam
Change Control setiap iterasi merupakan bagian dari SDLC.

Release Management
Monitoring

12 7/11/2023
 Manajemen Risiko pada Tahap Pengembangan
Project TI
02. Design, Development & Testing : Contoh Peran Risk pada SDLC Agile (2/2)
Review Agile
Charter
Discovery Workshop
Keterlibatan Risk
Discovery Workshop
 Agile Charter
Background, Objective,
Vision, Timeline.
13 7/11/2023
Retrospective
Feedback
Review Product Sprint Review
Backlog
RCB
Sprint ke - n
Backlog Grooming Migration Execution Product Release
Sprint Planning
Sprint Execution
Review Sprint
Backlog Review SD
Backlog Grooming Sprint Planning Sprint Execution Sprint Review
 Product Backlog  Sprint Backlog  Specification  Result & Acceptance
Detail user stories, Selected backlog item; Document User Story, User
Estimation point user Acceptance criteria;  Test Script Acceptance & Severity
story, Prioritizes user Test scenarios;  Training Material Defect, Feedback.
stories, Testing Definition of Done;  Petuntuk Teknis (PTO)
Approach. Release Plan.  Nota Migrasi
 Manajemen Risiko pada Tahap Pengembangan
Project TI
03. Implementasi System / Launch : RCB
Release Control Board (RCB) merupakan
forum yang memutuskan pelaksanaan migrasi
(Go/No Go) suatu sistem TI ke production
environment.
14
14 7/11/2023
Forum RCB
Forum RCB diselenggarakan oleh Sekretariat RCB dan dihadiri oleh
Anggota RCB. Forum RCB melakukan assessment kelayakan pelaksanaan
migrasi.
Anggota RCB adalah grup yang memiliki area of knowledge aplikasi, testing,
infrastruktur, arsitektur, pengamanan informasi, risk reviewer, dan
manajemen risiko operasional.
Impact Analysis Migrasi
Forum RCB melakukan impact analysis pelaksanaan migrasi berdasarkan
aspek transaksional, customer impact, dan downtime.
Kewenangan RCB
Item yang akan dimigrasikan dimintakan persetujuan sesuai hasil impact
analysis.
RCB A : persetujuan Direksi
RCB B : persetujuan Group Head
RCB C : persetujuan Department Head
 Manajemen Risiko pada Tahap
Pengembangan Project TI
04.. Evaluate Performance
CONTINUOUSLY
Goal: Business Improvement

Issue

Business Operational

Fraud Event

Marketing Strategy

OCCASIONALLY (CASE BY CASE)

Menggunakan Risk Based Approach

Business Target

Procedural Control Technical Control

15 7/11/2023
 Risk Assessment Sample
Livin’
Concern terkait
potensi risiko
• Unauthorized transaction
• Token rules (risiko dapat digunakan
berulang kali tanpa batas waktu)
• Keterbatasan pilihan denom di ATM
• Social engineering
• Penjagaan limit transaksi
• Dispute transaction terkait
handling time out
• Modul atau proses eksisting lain
terganggu
• Security dan performance system
Pengembangan fitur : • Front liner tidak memahami
pengembangan yang dilakukan
Tarik Tunai Tanpa
Kartu pada Livin’ by
Mandiri
16 11 July 2023
Business Needs
- Mengapa fitur tersebut harus dikembangkan? Apakah ada kebutuhan dari
-
nasabah?
Apa dampak positif dari pengembangan?
Design & Develop
- Bagaimana alur sistem yang dikembangkan?
- Bagaimana penjagaan terkait limit transaksi?
- Bagaimana penjagaan token digunakan nasabah? Apakah token bersifat
unique? Apakah terdapat pembatasan penggunaan dan generate token?
- Bagaimana rekonsiliasinya? Bagaimana FDSnya?
Test & Implement
- Apakah test script sudah mengakomodir negative test dan regresi test?
- Bagaimana hasil UAT? Apakah ada outstanding defect? Apakah ada defect
yang di drop atau deferred, why?
- Apakah sudah dibuat rundown migrasi beserta rollback plannya?
- Apakah sudah dilakukan sosialisasi plan ke user front liner dan nasabah?
Support & Monitor
- Risk Reviewer memonitoring proses migrasi agar berjalan dengan lancar.
- Risk Reviewer mengawal proses PTR hingga dipastikan fitur baru berjalan
sesuai requirement dan tidak menyebabkan dampak pada fitur eksisting.
Assess & Evaluate
Pasca implementasi pengembangan, dilakukan penarikan data kembali terkait
performance transaction dan pengaduan nasabah, apakah ada yang bisa
diimporve?
 Risk Assessment Sample
Livin’
Business Needs

- Bagaimana mempermudah user Livin’ untuk bertransaksi di berbagai

belahan dunia hanya menggunakan aplikasi Livin’ ?
Concern terkait
Design & Develop
potensi risiko
- Bagaimana alur sistem yang dikembangkan?
- Bagaimana pemilihan metodenya ? Apakah always on, device
verification, atau manual mode
• Metode yang dipilih - Bagaimana kapabilitas jenis OS yang support dan kapabilitas EDC
dalam mengakomodir transaksi tap to pay
• Unauthorized transaction
- Bagaimana rekonsiliasinya? Bagaimana FDSnya?
• Kapabilitas jenis OS dan EDC
• Handling time out Test & Implement
• Rekonsiliasi
- Risk Reviewer memastikan pengembangan aplikasi berjalan dengan baik
• Limit transaksi
dengan melakukan review script testing khususnya negative testing
• Feeding data ke FDS - Apakah sudah dilakukan sosialisasi plan ke user front liner dan
• Terganggunya fitur atau proses nasabah ?
eksisting lain
• Security dan Performance system Support & Monitor
• Monitoring tools dan mekanisme - Risk Reviewer memonitor proses migrasi agar berjalan dengan lancar.
• Merchant nakal khususnya yang - Risk Reviewer mengawal proses PTR hingga dipastikan fitur baru berjalan
Pengembangan fitur : berada di Luar Negeri sesuai requirement dan tidak menyebabkan dampak pada fitur eksisting.
• Pemahaman front liner atas fitur yang - Melakukan monitoring transaksi, termasuk jumlah fraud dan production
issue
Tap To Pay dikembangkan

Livin’ by Mandiri Assess & Evaluate

Pasca implementasi pengembangan, dilakukan penarikan data kembali
terkait performance transaction dan pengaduan nasabah, apakah ada yang
bisa diimporve?
17 11 July 2023
 Navigating Disruption in
1 the Digital Era
Understanding Digital Disruption : Trends and Impact
on Risk Management

Outline 2
Risk Unit Involvement
in IT Project​
Pembelajaran Strategies for Effective Cyber Risk and Fraud Risk
Management​

Fraud Risk Management

3 

Anti Fraud Strategy
Fraud Trend at Bank Mandiri

18
 Framework Strategi Anti Fraud
Berdasarkan program 4 pilar SAF yang mengacu pada POJK 39/POJK.03/2019 tentang Penerapan SAF bagi Bank Umum, dalam mengendalikan
& memantau fraud, perusahaan wajib menerapkan Strategi Anti Fraud (SAF) yang mencakup 4 pilar berikut :

P I L A R 1 P I L A R 2 P I L A R 3 P I L A R 4
PENCEGAHAN DETEKSI INVESTIGASI, PELAPORAN, SANKSI PEMANTAUAN, EVALUASI, TINDAK LANJUT

1 Kesadaran Anti Fraud 4 Whistleblowing 8 Investigasi 12 Pemantauan

2 Identifikasi Kerawanan 5 Fraud Detection System 9 Pelaporan 13 Evaluasi

3 Know Your Employee 6 Surprised Audit 10 Pengenaan Sanksi 14 Tindak Lanjut

7 Surveillance System 11 Proses hukum

19 7/11/2023
 Prinsip Pengendalian Fraud

Zero Tolerance for

Fraud

Prevention is Better than Cure When In Doubt – Report or Consult !

Stop It before It Happens

Fighting Fraud is Our Responsibily

20 7/11/2023
 Fraud Trend at Bank Mandiri
FRAUD CASE 2023*

Based on Product Type Based on Fraud Classification

79% Liabilites Product 24% IT Related

21% Assets Product 76% non IT Related

F R A U D I T R E L A T E D M O D U S

PHISING ACCOUNT TAKE OVER CYBER FRAUD SOCIAL ENGINEERING

* Periode data Januari s.d Mei 2023
21 7/11/2023
 Digital Fraud
PHISING
MODUS MITIGASI

• Penutupan website / akun palsu • Intensifikasi fraud awareness

Pengiriman email palsu dari institusi Bank yang mengajak / a/n Bank Mandiri terkait:
memancing korban guna menginput data credential (PIN, o Keamanan data credential
username, data kartu debit/kredit) pada suatu form/page nasabah
yang dibuat fraudster. o Aktivasi notifikasi transaksi
o Larangan akses situs tidak resmi
CONTOH dan tidak sembarang klik situs
Link/email phising iklan.
Alamat & contact center Palsu
o Pelaporan email phising melalui
Bank Mandiri di Google Maps
https://bantuan24jammandiri.info/ hotline CISO Group
• Program phising drill oleh CISO
Group

YOU CAN HELP US

021-300-23787 atau
laporciso@bankmandiri.co.id

22 7/11/2023
 Digital Fraud
CYBER FRAUD
MODUS
HOW IT WORKS
Keahlian teknis untuk eksploitasi kelemahan system, sebagai
contoh: malware, technical hacking, email attack, by pass transaction
authorization process
FOR YOUR INFORMATION !
MITIGASI
Web Application Firewall (WAF)
1.208.553 session rata-rata/hari dengan 8,91% session
• Instalasi antivirus, firewall • Pengelolaan security tool malware detected > successfully blocked 0,6% yoy
dan proteksi email/ dan 24x7 Security Mail security
informasi/akses Operation Center 1.355.300 email attack detected rata-rata/bulan >
successfully blocked (Jan s.d Des 2022) 13% yoy
Antivirus (TrendMicro)
71 artifact ransomware terdeteksi di endpoint >
deleted/cleaned (Jan s.d Des 2022) 81% yoy

CYBER FRAUD
Source by CISO Group
• Intensifikasi fraud & security awareness terkait:
o Penerapan 2 Factor Authentification
o Hindari penggunaan wifi gratis ditempat umum
o Abaikan email/notifikasi mencurigakan.
o Hindari sharing password.
Source by : Youtube Channel KASPERSKY(https://youtu.be/n8mbzU0X2nQ)
YOU CAN HELP US
021-300-23787 atau
laporciso@bankmandiri.co.id

23 7/11/2023
 Digital Fraud
ACCOUNT TAKE OVER

MODUS
HOW IT WORKS
Percobaan log in akun Livin menggunakan device fraudster
dengan metode kirim kode OTP melalui forward SMS
provisioning yang dikirim ke No HP korban, guna ambil alih
akun nasabah.

MITIGASI

• Monitoring anomaly transaksi • Intensifikasi fraud awareness

pada tools FDS terkait:
 Rutin mengganti password
 Kombinasi password
alphanumeric dan special ACCOUNT TAKE OVER
character
 Tidak mudah percaya atas
pemberian hadiah dari Bank
atau pihak lain.
 Call center Bank Mandiri
hanya 14000.
Source by : Youtube Channel IDSTRONG (https://youtu.be/Nhdrl5I0SR8)

24 7/11/2023
 Eksternal Fraud
SOCIAL ENGINEERING
MODUS
MITIGASI
Sebuah teknik manipulasi yang memanfaatkan kesalahan manusia • Monitoring anomaly • Intensifikasi fraud awareness terkait :
untuk mendapatkan akses pada informasi atau data – data
berharga.
transaksi pada tools ‐ Aware terkait pesan masuk dari nomor
FDS yang tidak dikenal (whatsapp / media
social)
‐ Teliti saat menerima pesan berupa file
dokumen,
‐ Pastikan selalu download aplikasi resmi
dari play store / apps store
https://inet.detik.com/security/d-6752176/awas-ada-informasi-sesat

‐ Pastikan tujuan atas hasil scan QR Code

telah benar dan sesuai dengan
peruntukannya.
‐ Jangan mudah pecaya dan ikuti instruksi
pihak manapun, selalu waspada jika ada
anjuran untuk men-download aplikasi
dan mengaktifkan layanan/sevices yang
asing / tidak pernah digunakan.
‐ Aktifkan fitur biometric (seperti Face ID
dan fingerprint) pada ponsel Aktifkan fitur
https://inet.detik.com/security/d-6624422/awas-modus-baru-penipuan- layanan SMS dan E-Mail alert (peringatan
apk-kini-menyaru-jadi-surat-tilang
E-Maill) untuk menerima notifikasi
transaksi finansial atau perubahan pada
rekening.
https://www.straitstimes.com/singapore/woman-who-scanned-qr-code-with-malware-lost-
20k-to-bubble-tea-survey-scam-while-she-was-sleeping

25 7/11/2023
 Terima Kasih
Retail Product Delivery & Fraud Risk Group
2023

26
Lampiran
 Untuk Memastikan “Zero Security Breach” Pada Sistem IT, Terdapat 3 Pilar
Pengamanan TI Meliputi Aspek Governance & Awareness, Protection, &
Operation
“Zero Security Breach”

A Governance & Awareness B Protection C Operation

1 Security Awareness 1 Defense Mechanism 1 Security Operation Center (SOC) 24x7

Meningkatkan awareness seluruh stakeholders Menerapkan multilayer defense mechanism Melakukan deteksi dan monitoring sistem
akan pentingnya keamanan TI dan siber. yang didukung dengan teknologi keamanan TI dan cyber secara realtime 24x7.
(e.g. ciso newsletter, e-learning, etc) pengamanan terkini. (e.g. monitoring cyber threat)
(e.g. standarisasi security tools)

2 Ketentuan Pengamanan 2 Cyber Security Testing 2 Cyber Threat Intelligence

Memastikan keselarasan dan kepatuhan Mengidentifikasi dan memitigasi risiko celah Penerapan Teknik antisipasi dengan taktik
ketentuan internal serta standar keamanan pada sistem Bank. cyber security attack terkini.
pengamanan TI terhadap ketentuan (e.g. penetration test regular dan untuk aplikasi baru, (e.g. follow up Indicator of Compromise)
Regulator maupun best practice. red teaming)
(e.g. review berkala SPO/PTO)

3 Struktur Organisasi & Personil
Memastikan kecukupan dan kecakapan SDM
terkait keamanan TI dan siber.
(e.g. training dan sertifikasi)
3 User Access Management
Mengelola perangkat/User ID yang telah
tersentralisasi dan terintegrasi dengan
jaringan Bank.
(e.g. IAM dan PAM)
3 Security Assessment Mitra
Implementasi evaluasi aspek security
terhadap pihak ketiga yang bekerja sama
dengan Bank.
(e.g. kuesioner, interview dan asesmen calon mitra)

International Standard
Audit Internal & External Simulasi real-life attack oleh
ISO 27001 – Security Operation Center
Control Testing Konsultan Independen Eksternal
ISO 17025 – Lab. Forensik Digital

Peran Risk Management: Melakukan control testing (pengujian efektivitas kontrol) secara berkala guna memastikan optimalisasi eksekusi 3-pillar pengamanan TI
28
 Monitoring 24x7 dan Multi-layer Defense Mechanism Dilakukan untuk
Mengantisipasi Serta Menindaklanjuti Perkembangan Serangan Siber
Terkini
Defense Mechanism Defense Mechanism Defense Mechanism
Defense Mechanism Defense Mechanism Ring 3 – PC/Laptop Ring 2 – Server Cabang Ring 1 – Server Farm

5 4 3 2 1
Security
Pengamanan aplikasi Pengamanan perimeter Pengamanan sistem
Operation
Mobile Internet Aset R3 Aset R2 Aset R1 Center (SOC)
Mobile Sec
Desktop Server
Dashboard
Firewall (IPS/IDS)
Management Management
CIAM/Biometric
EDC

Web Application Firewall

(WAF) Security Control
Anti DDoS Security Security  Policy Orchestration
Pentest
Nasabah Control Control  Posture Management
Firewall Security Patches  Playbook Management
(IPS/IDS)
Web

Normalization/Standards/API Integration
Access Access
Control Control Proxy
Web Sec

Pentest 1. Authorization
Leased Line, 2. Authentication
Bank Partners
H2H, Development Clo
Multi Factor
Authentication
VPN S2S Centralized:
ud Pentest
 Dashboard
Firewall  Alert
Authorization (IPS/IDS)  Reporting
Multi Factor Authentication  Threat Intelligence  Investigation

ATM/EDC 1) SOC menerima seluruh log source yang berasal

dari solusi pada Defense Mechanism;
ATM security Vulnerability Assessment

SSL/TLS 2) Apabila ditemukan anomali/kemungkinan

ancaman, SOC wajib menyampaikan ke PIC
Bank Staff Access Management (CIAM, SME CISO terkait untuk menindaklanjuti action
Vendor Prod. Support
Email IAM, PAM) sesuai kewenangannya;
Email
Protection  Analytics 3) SOC akan me-monitor tiket insiden hingga
Email Protection  Machine Learning statusnya berubah menjadi “close”.
Authenticator

Teknologi pengamanan aplikasi, perimeter, Security

Reputable threat intelligence Vulnerability Assessment & Pentest
dan sistem menggunakan best-in-class tools

Peran Risk Management: Melakukan enforcement dalam implementasi tools dan melakukan control testing (pengujian efektivitas kontrol)
secara berkala guna memastikan implementasi tools berjalan dengan optimal sesuai desain yang direncanakan
29
 Alur Proses Penanganan Insiden Siber

SEVERITY

Selesai
Pelaporan pegawai (e.g. Cust.
Care, Corp. Secretary, Command SIEM tool

Very High & High

SOC GH CISO (Ketua TRIPI) TRIPI GH CISO (Ketua TRIPI)
Center, tim monitoring, etc) 1. Eskalasi ke GH CISO 1. Deklarasi insiden 1. Melakukan remediasi 1. Melakukan verifikasi
& mitigasi insiden **) atas laporan hasil
2. Menginformasikan 2. Memimpin tindak
remediasi & mitigasi
notifikasi awal lanjut remediasi & 2. Melaporkan hasil
dari TRIPI
insiden ke SOR IT *) mitigasi insiden remediasi & mitigasi
kepada Ketua TRIPI 2. Jika insiden berpotensi
menjadi Crisis, maka
eskalasi kepada BCM
untuk aktivasi Crisis
Management

Selesai

Moderate & Low

SECURITY OPERATIONS CENTER (SOC) SOC TRIPI SOC
1. Menerima laporan dari SIEM (Security Melaporkan pada TRIPI 1. Melakukan remediasi & Melakukan verifikasi atas
Information & Event Management) tool atau dari untuk tindak lanjut mitigasi insiden **) laporan hasil remediasi &
pelaporan pegawai (e.g. Cust. Care, Corp. remediasi & mitigasi mitigasi dari Unit IT
2. Melaporkan hasil
Secretary, Command Center, tim monitoring, insiden terkait. Laporan dicatat
remediasi & mitigasi
pada SIEM.
etc) kepada CISO – SOC

2. Melakukan identifikasi jenis insiden

3. Menganalisa dan memutuskan severity insiden SOR IT melakukan pengkoordinasian serta penyusunan notifikasi awal insiden siber dan laporan insiden siber untuk insiden
*)

dengan severity very high

**) Apabila diperlukan Digital Forensic, berkoordinasi dengan CISO – Security Services untuk eksekusi Digital Forensic

Peran Risk Management: Terlibat di dalam Tim Respon Insiden Pengamanan Informasi (TRIPI) dan melakukan pengkoordinasian serta penyusunan
30 pelaporan insiden siber