Reporter: Dina Mirayanti Hutauruk | Editor: Herlina Kartika Dewi
KONTAN.CO.ID - JAKARTA. Otoritas Jasa Keuangan (OJK) telah menerbitkan aturan penyelenggaraan teknologi informasi oleh bank umum yang tertuang dalam Peraturan Otoritas Jasa Keuangan Nomor 11/POJK.03/2022. Ini merupakan tindak lanjut dari cetak biru tranformasi digital perbankan.
Deputi Komisioner Pengawas Perbankan I OJK Teguh Supangkat mengatakan aturan penyelenggaraan teknologi informasi ini sangat relevan karena perkembangan digital banking dengan seluruh infrastruktur yang menyertainya akan memicu tantangan tersendiri dalam tranformasi bank digital kedepan. Penggunaan teknologi informasi secara masif akan meningkatkan risiko serangan siber yang juga dapat berakibat pada pencurian data nasabah.
"Bank juga perlu memperhatikan potensi risiko yang belum pernah terjadi sebelumnya antara lain security and system failure risk, digital black-out, maupun potensi sistemik akibat digital bank-run," kata Teguh dalam paparannya, Kamis (4/8).
Baca Juga: Wah, Nasabah Kaya Perbankan di Indonesia Semakin Berusia Muda
Berdasarkan data dari Badan Siber dan Sandi Negara (BSSN), lanjut Teguh, sektor keuangan dan utamanya perbankan, merupakan sektor yang berisiko tinggi menjadi target serangan siber. Diantara kasus serangan yang dominan antara lain serangan ransomware dan phishing.
Oleh karena itu untuk meningkatkan resiliensi sektor perbankan atas berbagai pola baru serangan siber, bank perlu melakukan berbagai upaya untuk menjaga ketahanan dan keamanan siber secara berkelanjutan. Beberapa hal yang dapat dilakukan bank antara lain dengan melakukan pengujian keamanan siber, penilaian sendiri atas tingkat maturitas keamanan siber serta pelaporan insiden siber.
Penggunaan teknologi yang masif juga berimbas pada semakin besarnya penggunaan pihak ketiga (outsourcing) yang berpotensi menimbulkan risiko lain pada aktivitas Bank seperti risiko operasional. Kecanggihan teknologi perlu diimbangi oleh kesiapan organisasi antara lain digital leader dan digital talent yang memadai, baik dari sisi kualitas maupun kuantitasnya, budaya organisasi yang berorientasi digital dan desain organisasi yang mendukung transformasi digital.
Teguh menjelaskan, ada 11 pokok pengaturan dalam POJK MRTI. Pertama, mengatur tata kelola TI bank. Ini harus mempertimbangkan strategi dan tujuan binis bank, ukuran dan kompleksitas, peran TI bagi bank, metode pengadaan TI, risiko dan permasalahan terkait TI, praktik atau standar yang berlaku, peraturan perundang-undangan.
"POJK ini diawali dengan pengaturan terkait tata kelola penyelenggaraan TI yang bertujuan untuk meningkatkan peran direksi, dewan komisaris dan seluruh pihak yang berkaitan dengan penyelenggaraan TI di bank. Sehingga bank dapat memaksimalkan value added dari penyelenggaraan TI sesuai dengan strategi digitalisasi perbankan yang diikuti dengan mitigasi risiko yang memadai," jelas Teguh.
Kedua, Arsitektur TI. Dalam hal ini, bank wajib memiliki arsitektur TI yang disusun secara komprehensif yang meliputi perencanaan, desain, implementasi dan kontrol. Bank juga diwajibkan memiliki rencana strategis TI yang mendukung rencana korporasi bank.
Ketiga, penerapan manajemen risiko TI.Bank wajib menerapakan manajemen resiko dengan mengidetifikasi, mengukur, memantau dan mengendalikan resiko. Bank juga wajib punya rencana pemulihan bencana atau disaster recovery plan (DRP). Uji coba dan kaji ulang DRP wajib dilakukan paling sedikit sekali setahun.
Baca Juga: LPS Catat Simpanan Masyarakat di Bank Digital Capai Rp 49,3 Triliun Per Mei 2022
Keeempat, ketahanan dan keamanan siber. Bank harus melakukan pengujian keamanan siber, penilaian atas tingkat kematangan keamanan siber dan memiliki unit terkait ketahanan dan keamanan siber.
Kelima, penggunaan pihak penyedia jasa TI. Jika menggunakan pihak penyediaan jasa TI, bank harus punya kemampuan melakukan pengawasan terhadap pekerjaan yang dilakukan penyedia jasa tersebut serta memiliki kebijakan dan prosedur dalam menggunakan pihak penyedia jasa itu.
Keenam, penempatan sistem elektronik. Bank wajib menempatkan sistem elektronik pada pusat data dan pusat pemulihan bencana (DRC) di wilayah Indonesia. Namun, ada yang bisa ditempatkan di luar Indonesia sepanjang dapat izin dari OJK.
Ketujuh, pengelolaan data dan perlindungan data pribadi. Pengelolaan data harus memperhatikan kepemilikan dan kepengurusan data, sistem pengelolaan dan kualitas data, serta sumber daya pendukung.
Kedelapan, penyediaan jasa TI oleh bank.Bank dapat menyediakan jasa TI bagi lembaga jasa keuangan yang punya otoritas pengawas dan pengatur setelah dapat izin OJK. Penyediaan jasa TI berupa aplikasi kepada jasa keuangan selain bank bisa dilakukan dengan memenuhi kriteria tertentu.
Baca Juga: Margin Perbankan Semakin Mekar
Kesembilan, pengendalian dan audit internal. Bank harus melakukan audit TI serta kaji ulang terhadap audit internal secara berkala dan melaporkan hasilnya ke OJK.
Sepuluh, pelaporan. Bank menyampaikan laporan rencana strategis IT, rencana pengembangan, kondisi terkini penyelenggaraan TI dan laporan insiden melalui sistem elektronik.
Sebelas, maturitas digital bank. Bank melakukan penilaian sendiri atas tingkat kematangan digital bank paling sedikit sekali setahun.
Cek Berita dan Artikel yang lain di Google News