4.1. PENDAHULUAN
Perkembangan teknologi jaringan komunikasi telah mengubah pendekatan usaha Bank menjadi tanpa mengenal batasan waktu dan tempat. Bank dapat menyediakan layanan berbagai produk perbankan secara on-line realtime dari seluruh kantor dan
delivery channel lainnya, seperti; Automated Teller Machine (ATM), internet Banking,
mobile Banking, dan Electronic Data Capture (EDC), baik milik Bank itu sendiri
maupun milik pihak penyedia jasa.
Jaringan komunikasi mencakup perangkat keras, perangkat lunak, dan media transmisi yang digunakan untuk mentransmisikan informasi berupa data, suara (voice), gambar (image) dan video. Penyelenggaraan jaringan komunikasi sangat terpengaruh adanya perubahan dan rentan terhadap gangguan dan penyalahgunaan. Oleh karena itu Bank perlu memastikan bahwa integritas jaringan dipelihara dengan cara menerapkan kebijakan dan prosedur pengelolaan jaringan dengan baik, memaksimalkan kinerja jaringan, mendesain jaringan yang tahan terhadap gangguan, dan mendefinisikan layanan jaringan secara jelas serta melakukan pengamanan yang diperlukan.
4.2. PERAN DAN TANGGUNG JAWAB MANAJEMEN
Keamanan jaringan komunikasi merupakan tanggung jawab seluruh pihak dalam Bank. Dalam pelaksanaannya Bank perlu memiliki petugas/fungsi yang menangani jaringan komunikasi. Petugas/fungsi tersebut harus melakukan koordinasi dengan fungsi pengelola pengamanan TI. Bank harus meyakini ketersediaan dan kecukupan kapasitas layanan jaringan komunikasi baik yang dikelola oleh pihak internal Bank maupun pihak penyedia jasa, diantaranya dengan tersedianya cadangan peralatan dan jasa yang memadai. Manajemen harus memastikan terdapatnya pengawasan yang memadai dalam pengoperasian jaringan komunikasi dan pada setiap pengembangan atau modifikasi jaringan komunikasi. Manajemen perlu mempertimbangkan kebutuhan layanan yang diinginkan sesuai dengan kondisi bisnis saat ini dan strategi yang akan dikembangkan.
4.3. KEBIJAKAN DAN PROSEDUR
Bank harus memiliki kebijakan dan prosedur sebagai pedoman dalam menerapkan teknologi jaringan komunikasi untuk meyakinkan bahwa kelangsungan operasional dan keamanan jaringan komunikasi tetap terjaga. Untuk itu Bank wajib menetapkan
platform (misal berdasarkan protokol atau sistem operasi) dan diterapkan di semua jaringan komunikasi yang digunakan oleh Bank.
Kebijakan dan prosedur yang perlu ditetapkan sekurang-kurangnya mencakup hal-hal sebagai berikut:
a. pengukuran kinerja dan perencanaan kapasitas jaringan (performance and capacity
planning);
b. pengamanan jaringan komunikasi (network access controls, termasuk remote access);
c. change management (setting, configuration and testing);
d. network management, logging dan monitoring;
e. penggunaan internet, intranet, e-mail dan wireless (termasuk mekanisme penggunaan jaringan komunikasi);
f. tersedianya prosedur penanganan masalah (problem handling);
g. tersedianya fasilitas untuk backup & recovery;
h. kecukupan kontrak dan tersedianya SLA yang sesuai dengan kebutuhan Bank dan dipantau secara berkala apabila jaringan komunikasi yang digunakan oleh Bank diselenggarakan oleh pihak penyedia jasa.
4.4. MANAJEMEN RISIKO JARINGAN KOMUNIKASI
Bank harus melakukan identifikasi kemungkinan yang akan terjadi, mengukur dampak yang mungkin ditimbulkan, dan melakukan upaya-upaya untuk mengelola risiko penggunaan jaringan komunikasi. Berdasarkan hasil pengukuran yang telah dilakukan atas risiko yang signifikan, maka Bank harus menerapkan pengendalian yang memadai. Bank juga harus senantiasa memantau apakah seluruh risiko yang signifikan tersebut telah ditangani dengan baik.
4.4.1. Identifikasi Risiko
Penggunaan teknologi jaringan komunikasi memberikan berbagai kemudahan dan manfaat bagi Bank dan nasabah, namun demikian, perlu diperhatikan risiko-risiko yang mungkin timbul, antara lain:
a. kehilangan data/informasi;
b. kehilangan integritas data/informasi;
c. tidak lengkapnya data/informasi yang ditransmisikan; d. hilangnya kerahasiaan informasi;
e. tidak tersedianya jaringan komunikasi akibat gangguan atau bencana; f. kehilangan/kerusakan perangkat jaringan komunikasi.
4.4.2. Pengendalian Risiko
Dalam mengendalikan risiko pada jaringan komunikasi, Bank harus memperhatikan hal-hal sebagai berikut:
a. Desain Jaringan Komunikasi
Jaringan komunikasi harus didesain sedemikian rupa sehingga efisien tetapi juga dinamis untuk mengantisipasi pengembangan di masa yang akan datang. Pada tahap ini, terdapat beberapa hal yang perlu diperhatikan, yaitu:
1) penentuan topologi jaringan komunikasi;
2) perencanaan kapasitas (capacity planning) jaringan komunikasi; 3) pemilihan media jaringan komunikasi;
4) backup perangkat keras, alternative routing (jalur alternatif) atau provider
alternatif;
5) pengamanan fisik dan logic:
a) penempatan perangkat jaringan pada lokasi yang aman terhadap gangguan alam dan akses oleh orang yang tidak berhak;
b) pengaturan parameter sistem perangkat jaringan.
6) tersedianya jejak audit, sekurang-kurangnya terhadap perubahan-perubahan pada setting parameter dan hak akses perangkat jaringan komunikasi dan juga penggunaan atas hak akses tersebut.
b. Pengendalian Akses
Pengendalian akses di jaringan komunikasi sangat penting dan harus diperhatikan karena jaringan komunikasi merupakan pintu utama untuk masuk ke dalam sistem informasi Bank. Jika tidak dikelola dengan baik, maka keamanan informasi menjadi terancam. Dalam menerapkan pengendalian akses, terdapat beberapa hal yang harus diperhatikan oleh Bank, yaitu:
1) akses ke jaringan komunikasi oleh user didasarkan pada kebutuhan bisnis dengan memperhatikan aspek keamanan informasi.
2) melakukan pemisahan jaringan komunikasi berdasarkan segmen baik secara
logical maupun fisik, misalnya pemisahan antara lingkungan pengembangan
dan produksi.
3) jika pemisahan secara fisik tidak dapat dilakukan, maka Bank harus memisahkan jaringan komunikasi secara logical dan memantau security access
di jaringan komunikasi.
4) keputusan untuk terhubung ke jaringan komunikasi di luar Bank harus sesuai dengan persyaratan pengamanan dan secara formal disetujui oleh manajemen sebelum pelaksanaan.
5) menerapkan pengendalian yang dapat membatasi networktraffic yang tidak sah atau tidak diharapkan.
6) konfigurasi perangkat jaringan komunikasi harus diset dengan baik. Fungsi-fungsi atau services yang tidak dibutuhkan harus dinonaktifkan.
7) penggunaan perangkat pengamanan jaringan komunikasi, seperti firewall,
8) penggunaan penambahan perangkat monitor jaringan komunikasi (network
management system) dengan memperhatikan pengamanannya.
9) pengujian secara berkala terhadap keamanan jaringan komunikasi, misalnya dengan penetration testing.
c. Operasi dan Pemeliharaan Jaringan Komunikasi
Pengoperasian dan pemeliharaan jaringan komunikasi harus dilakukan dengan memperhatikan hal-hal berikut ini:
1) petugas yang mengoperasikan jaringan komunikasi harus secara jelas ditunjuk oleh manajemen, memiliki kemampuan pengetahuan dan keterampilan yang cukup, dan diberi tugas dan wewenang yang memadai untuk menjalankan fungsinya;
2) Bank harus memiliki incident rensponse plan terhadap gangguan dan serangan jaringan komunikasi;
3) Bank harus memiliki fasilitas backup perangkat keras/lunak jaringan komunikasi, termasuk mekanisme restart/recovery yang telah teruji. Fasilitas
backup tersebut sebaiknya memiliki risiko yang berbeda dengan perangkat
utama seperti menggunakan pihak penyedia jasa yang berbeda;
4) patch dan release harus selalu dikinikan (setelah melalui pengujian intern)
untuk meyakini bahwa kelemahan-kelemahan telah diperbaiki.
4.4.3. Monitoring Risiko
Monitoring terhadap risiko yang mungkin timbul dalam jaringan komunikasi yang digunakan oleh Bank antara lain mencakup hal-hal berikut ini:
a. jejak audit yang tersedia harus dipantau secara teratur untuk dapat mendeteksi secara dini ada tidaknya penyimpangan;
b. kinerja jaringan komunikasi diukur secara berkala berdasarkan tingkat ketersediaan
(availability) dan response time;
c. Bank harus memantau kapasitas yang digunakan dan yang diperlukan untuk rencana pengembangan bisnis dibandingkan dengan kapasitas terpasang;
d. Bank harus memantau dan menindaklanjuti penyusupan/serangan terhadap jaringan komunikasi;
e. Bank harus melakukan kaji ulang pemberian akses ke pengguna secara berkala untuk meyakinkan bahwa akses yang diberikan masih sesuai dengan tugas dan wewenangnya. Selain itu perlu dilakukan kaji ulang atas pengguna jaringan komunikasi di Bank yang memiliki akses ke jaringan komunikasi di luar Bank.
4.5. PENGENDALIAN INTERN 4.5.1. Audit Intern
Audit terhadap jaringan komunikasi harus dilakukan secara berkala oleh pihak independen, baik Auditor Intern maupun Auditor Ekstern. Ruang lingkup audit atas jaringan komunikasi antara lain mencakup kinerja jaringan komunikasi, logical access,
physical access, remote access, infrastruktur jaringan komunikasi, dokumentasi
jaringan komunikasi. Pengaturan lebih lengkap tentang audit mengacu pada Bab X tentang Audit Intern TI.
4.5.2. Dokumentasi
Untuk dapat mengendalikan kegiatan pengelolaan jaringan komunikasi, Bank harus memiliki dokumentasi jaringan komunikasi yang lengkap dan terkini, antara lain: a. kebijakan, prosedur, standar, dan baseline tentang jaringan komunikasi; b. diagram jaringan komunikasi secara rinci;
c. daftar dan spesifikasi perangkat lunak dan perangkat keras jaringan komunikasi; d. daftar permasalahan dan penanganannya;
e. laporan monitoring jaringan komunikasi;
f. laporan perencanaan kapasitas jaringan komunikasi;
g. kontrak dan SLA dengan pihak ketiga penyedia jasa fasilitas jaringan komunikasi; h. dokumen pengujian jaringan komunikasi;
i. dokumen pengimplementasian jaringan komunikasi;
j. dokumen perubahan jaringan komunikasi disertai alasannya; k. daftar user dan wewenangnya.
