REPUBLIKA.CO.ID, JAKARTA -- Otoritas Jasa Keuangan (OJK) telah menerbitkan aturan penyelenggaraan teknologi informasi oleh bank umum yang tertuang dalam Peraturan Otoritas Jasa Keuangan Nomor 11/POJK.03/2022. Hal ini merupakan tindak lanjut dari cetak biru transformasi digital perbankan.
Deputi Komisioner Pengawas Perbankan I OJK Teguh Supangkat mengatakan aturan penyelenggaraan teknologi informasi sangat relevan.
“Penggunaan teknologi informasi secara masif akan meningkatkan risiko serangan siber yang juga dapat berakibat pada pencurian data nasabah. Bank juga perlu memperhatikan potensi risiko yang belum pernah terjadi sebelumnya antara lain security and system failure risk, digital blackout, maupun potensi sistemik akibat digital bank-run," ujarnya dalam keterangan tulis, Kamis (4/8/2022).
Berdasarkan data dari Badan Siber dan Sandi Negara (BSSN), lanjut Teguh, sektor keuangan dan utamanya perbankan, merupakan sektor yang berisiko tinggi menjadi target serangan siber, seperti kasus serangan yang dominan dan serangan ransomware dan phishing.
Maka itu, lanjut Teguh, untuk meningkatkan resiliensi sektor perbankan atas berbagai pola baru serangan siber, bank perlu melakukan berbagai upaya untuk menjaga ketahanan dan keamanan siber secara berkelanjutan.
Adapun beberapa hal yang dapat dilakukan bank antara lain melakukan pengujian keamanan siber, penilaian sendiri atas tingkat maturitas keamanan siber serta pelaporan insiden siber.
Penggunaan teknologi yang masif juga berimbas pada semakin besarnya penggunaan pihak ketiga (outsourcing) yang berpotensi menimbulkan risiko lain pada aktivitas bank seperti risiko operasional. Kecanggihan teknologi perlu diimbangi oleh kesiapan organisasi antara lain digital leader dan digital talent yang memadai, baik dari sisi kualitas maupun kuantitasnya, budaya organisasi yang berorientasi digital dan desain organisasi yang mendukung transformasi digital.
Teguh menjelaskan, ada 11 pokok pengaturan dalam POJK MRTI. Pertama, mengatur tata kelola TI bank. Hal ini harus mempertimbangkan strategi dan tujuan bisnis bank, ukuran dan kompleksitas, peran TI bagi bank, metode pengadaan TI, risiko dan permasalahan terkait TI, praktik atau standar yang berlaku, peraturan perundang-undangan.
"POJK ini diawali dengan pengaturan terkait tata kelola penyelenggaraan TI yang bertujuan untuk meningkatkan peran direksi, dewan komisaris dan seluruh pihak yang berkaitan dengan penyelenggaraan TI bank, sehingga bank dapat memaksimalkan value added dari penyelenggaraan TI sesuai dengan strategi digitalisasi perbankan yang diikuti dengan mitigasi risiko yang memadai," ucapnya.
Kedua, arsitektur TI. Hal ini bank wajib memiliki arsitektur TI yang disusun secara komprehensif yang meliputi perencanaan, desain, implementasi dan kontrol.
“Bank juga diwajibkan memiliki rencana strategis TI yang mendukung rencana korporasi bank,” ucapnya.
Ketiga, penerapan manajemen risiko TI.Bank wajib menerapakan manajemen risiko dengan mengidentifikasi, mengukur, memantau dan mengendalikan resiko.
“Bank juga wajib punya rencana pemulihan bencana atau disaster recovery plan (DRP). Uji coba dan kaji ulang DRP wajib dilakukan paling sedikit sekali setahun,” ucapnya.
Keempat, ketahanan dan keamanan siber. Bank harus melakukan pengujian keamanan siber, penilaian atas tingkat kematangan keamanan siber dan memiliki unit terkait ketahanan dan keamanan siber.
Kelima, penggunaan pihak penyedia jasa TI. Jika menggunakan pihak penyediaan jasa TI, bank harus punya kemampuan melakukan pengawasan terhadap pekerjaan yang dilakukan penyedia jasa tersebut serta memiliki kebijakan dan prosedur dalam menggunakan pihak penyedia jasa itu.
Keenam, penempatan sistem elektronik. Bank wajib menempatkan sistem elektronik pada pusat data dan pusat pemulihan bencana (DRC) di wilayah Indonesia. Namun, ada yang bisa ditempatkan di luar Indonesia sepanjang dapat izin dari OJK.
Ketujuh, pengelolaan data dan perlindungan data pribadi. Pengelolaan data harus memperhatikan kepemilikan dan kepengurusan data, sistem pengelolaan dan kualitas data, serta sumber daya pendukung.
Kedelapan, penyediaan jasa TI oleh bank.Bank dapat menyediakan jasa TI bagi lembaga jasa keuangan yang punya otoritas pengawas dan pengatur setelah dapat izin OJK.
“Penyediaan jasa TI berupa aplikasi kepada jasa keuangan selain bank bisa dilakukan dengan memenuhi kriteria tertentu,” ucapnya.
Kesembilan, pengendalian dan audit internal. Bank harus melakukan audit TI serta kaji ulang terhadap audit internal secara berkala dan melaporkan hasilnya ke OJK.
Sepuluh, pelaporan. Bank menyampaikan laporan rencana strategis IT, rencana pengembangan, kondisi terkini penyelenggaraan TI dan laporan insiden melalui sistem elektronik.
Sebelas, maturitas digital bank. Bank melakukan penilaian sendiri atas tingkat kematangan digital bank paling sedikit sekali setahun.