BAGAIMANA MELAKUKAN IMPLEMENTASI PENGAMANAN INFORMASI DALAM INDUSTRI FINTECH, DAN MELAKUKAN SERTIFIKASI ISO/IEC 27001:2013

Perkembangan teknologi digital telah berkembang dengan pesat, disatu sisi faktor keamanan informasi menjadi hal yang penting untuk diperhatikan, ini merupakan tantangan bagi industri keuangan, termasuk Financial Technology (Fintech). Dalam pembahasan kali ini akan diulas tuntas bagaimana mengimplementasikan keamanan informasi di industri fintech, dan proses sertifikasi ISO/IEC 27001:2013 secara efektif.

Internet saat ini sudah menjadi kebutuhan, tidak terkecuali masyarakat Indonesia. Menurut riset yang dilansir oleh platform manajemen media sosial HootSuite dan agensi marketing sosial We Are Social bertajuk "Global Digital Reports 2020", hampir 64 persen penduduk Indonesia sudah terkoneksi dengan jaringan internet.

Riset yang dirilis pada akhir Januari 2020 itu menyebutkan, jumlah penguna internet di Indonesia sudah mencapai 175,4 juta orang, sementara total jumlah penduduk Indonesia sekitar 272,1 juta. Dibandiing tahun 2019 lalu, jumlah pengguna internet di Indonesia meningkat sekitar 17 persen atau 25 juta pengguna. Hal ini tentunya menggembirakan dan mendukung perkembangan teknologi digital dan industri fintech di Indonesia.

Gambar 1. Jumlah Pengguna Internet di Indonesia Tahun 2020

Salah satu negara yang berkembang terkait fintech contohnya adalah Irlandia, dimana menurut National Digital Research Centre, yang berlokasi di Dublin, mendifinisikan fintech sebagai startup inovasi finansial yang memberikan sentukan teknologi modern dalam bidang jasa keuangan atau finansial. Dengan memaksimalkan penggunaan teknologi untuk mengubah, mempertajam atau mempercepat berbagai aspek pelayanan keuangan.

Sehingga proses dari pendaftaran pengguna, pembayaran hingga transfer dana, pengumpulan dana, pinjaman hingga pengelolaan aset dapat dipercepat dan dipersingkat menggunakan teknologi, karena semua sudah dapat dilakukan melalui aplikasi fintech dengan berbagai kemudahan dan manfaat serta dukungan layanan menjadikan fintech berkembang dengan pesat.

KLASIFIKASI JENIS FINTECH

Pada praktiknya, fintech memberikan banyak produk dan layanan, namun Bank Indonesia telah membagi klasifikasi jenis fintech menjadi 4 (empat) jenis, yaitu:

1. Peer-to-peer (P2P) Lending dan Crowdfunding

Platform satu ini mempertemukan pihak yang membutuhkan dana dengan pihak yang bersedia memberikan dana untuk investasi. Contoh penyedia layanan P2P lending adalah Modalku, sedangkan untuk contoh crowdfunding adalah KitaBisa.

2. Payment, Clearing, dan Settlement

Bagi yang sering menggunakan payment gateway atau e-wallet, dua produk ini termasuk kategori payment, clearing, dan settlement. Baik yang diselenggarakan oleh Bank Indonesia, contohnya Sistem Kliring Nasional BI (SKNBI) ataupun pihak startup finansial seperti Doku, Xendit, dan Kartuku.

3. Manajemen Risiko dan Investasi

Melalui jenis fintech kategori ini, dapat memantau kondisi keuangan sekaligus melakukan perencanaan keuangan secara lebih mudah dan praktis. Umumnya, fintech manajemen risiko dan investasi hadir dalam bentuk aplikasi yang dapat  diakses dari smartphone. Sehingga yang diperlukan adalah mengisi data-data yang dibutuhkan untuk dapat mengontrol keuangan sesuai kebutuhan.

4. Market Aggregator

Fintech untuk kategori market aggregator mengacu pada portal yang mengumpulkan ragam informasi terkait keuangan untuk disajikan pada pengguna atau target audiens. Informasi ini bermacam-macam, dapat tentang tips keuangan, investasi, hingga kartu kredit.

Dengan adanya market aggregator, diharapkan pengguna dapat mendapatkan informasi yang tepat sebelum mengambil keputusan terkait keuangan.

PROSPEK FINTECH DI INDONESIA

Bagaimana prospek fintech di Indonesia? dapat dikatakan di Indonesia fintech telah bisa diterima dengan baik. Per Januari 2018 lalu, jumlah pengguna fintech di Indonesia sudah mencapai sekitar 260.000 orang. Bicara mengenai industri fintech tentu ada sisi pengguna dan sisi pelaku industri, hal ini harus dijaga oleh ketentuan atau regulasi yang dapat membuat industri ini aman, berkelanjutan dan dapat bermafaat bagi masyarakat serta membantu meningkatkan kegiatan ekonomi sekaligus program pemerintah dan Bank Indonesia dengan program cashless society. Lalu bagaimana dengan regulasi bagi industri fintech yang berlaku di Indonesia dan diatur oleh Pemerintah melalui Bank Indonesia.

REGULASI FINTECH

Dengan adanya dasar hukum yang berlaku, baik penyedia maupun pengguna fintech bisa melakukan berbagai aktivitas finansial secara lebih aman dan nyaman. Ada tiga dasar hukum yang dijadikan landasan, yaitu:

• ­Surat Edaran Bank Indonesia No. 18/22/DKSP perihal Penyelenggaraan Layanan Keuangan Digital.
• ­Peraturan Bank Indonesia No. 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran.
• ­Peraturan Bank Indonesia No. 18/17/PBI/2016 tentang Uang Elektronik.

Selain itu perusahaan fintech harus terdaftar resmi di Otoritas Jasa Keuangan (OJK), dan perusahan fintech peer-to-peer lending (P2P) juga melengkapi perusahaanya dengan sertifikasi standar International Organization for Standardization ISO/IEC 27001:2013. Dari beberapa pengalaman diketahui bahwa proses perizinan fintech pinjaman dari OJK tergolong memakan waktu cukup lama, dimana proses perizinan saat ini paling cepat diperoleh setelah dua tahun proses pengajuan. Hal ini karena industri fintech pinjaman berkembang cepat sehingga harus diimbangi oleh kebijakan yang fokus pada keamanan dan pertumbuhan usaha. Selain terkait dengan kepatuhan dan juga masalah perijinan bagi industri finctech, bahwa standar keamanan informasi dan menjaga data merupakan hal yang sangat penting dalam industri keuangan, termasuk dalam industri fintech yang terus tumbuh diberbagai belahan dunia, tidak terkecuali Indonesia.

KONTROL KEAMANAN INFORMASI

Detil dan tahapan implementasi kontrol disebutkan dalam dokumen ISO lain, yaitu ISO 27002: 2013. Jadi dapat dikatakan bahwa ISO 27001 sebenarnya merupakan standar untuk mendapatkan sertifikasi keamanan dari sudut pandang yang menggunakan ISO 27002 sebagai panduan dari kontrol keamanan. Dalam ISO/IEC 27001:2013 terdapat 10 klausul dan 114 kontrol keamanan dalam standar ISO/IEC 27001:2013.

Daftar kontrol ISO 27001: 14 set kontrol Annex A

1. A.5 Kebijakan keamanan informasi (2 kontrol): bagaimana kebijakan ditulis dan ditinjau.
2. A.6 Organisasi keamanan informasi (7 kontrol): penugasan tanggung jawab untuk tugas tertentu.
3. A.7 Keamanan sumber daya manusia (6 kontrol): memastikan bahwa karyawan memahami tanggung jawab mereka sebelum bekerja dan begitu mereka meninggalkan atau mengubah peran.
4. A.8 Manajemen aset (10 kontrol): mengidentifikasi aset informasi dan menetapkan tanggung jawab perlindungan yang sesuai.
5. A.9 Kontrol akses (14 kontrol): memastikan bahwa karyawan hanya dapat melihat informasi yang relevan dengan peran pekerjaan mereka.
6. A.10 Kriptografi (2 kontrol): enkripsi dan manajemen kunci informasi sensitif.
7. A.11 Keamanan fisik dan lingkungan (15 kontrol): mengamankan bangunan dan peralatan organisasi.
8. A.12 Keamanan operasi (14 kontrol): memastikan bahwa fasilitas pemrosesan informasi aman.
9. A.13 Keamanan komunikasi (7 kontrol): cara melindungi informasi dalam jaringan.
10. A.14 Akuisisi, pengembangan, dan pemeliharaan sistem (13 kontrol): memastikan bahwa keamanan informasi adalah bagian sentral dari sistem organisasi.
11. A.15 Hubungan pemasok (5 kontrol): perjanjian untuk dimasukkan dalam kontrak dengan pihak ketiga, dan bagaimana mengukur apakah perjanjian tersebut dilaksanakan.
12. A.16 Manajemen insiden keamanan informasi (7 kontrol): bagaimana melaporkan gangguan dan pelanggaran, dan siapa yang bertanggung jawab untuk mengelola insiden.
13. A.17 Aspek keamanan informasi manajemen kontinuitas bisnis (4 kontrol): bagaimana mengatasi gangguan/bencana terhadap bisnis.
14. A.18 Kepatuhan (8 kontrol): mengidentifikasi hukum dan peraturan yang berlaku di organisasi.

IMPLEMENTASI ISO/IEC 27001:20013

Persyaratan keamanan ISO 27001 tidak hanya menjadi tanggung jawab departemen TI, seperti yang diasumsikan banyak orang. Sebaliknya, standar membahas masing-masing dari tiga pilar pengelolaan keamanan informasi: orang, proses dan teknologi.

Dalam hal ini maka Departemen TI akan memainkan peran dalam pengelolaan risiko TI karena  terkait dengan teknologi, tetapi juga dalam mengembangkan proses dan kebijakan yang memastikan teknologi tersebut digunakan dengan benar. Sebagian besar kontrol akan melibatkan seluruh organisasi, untuk itu diperlukan tim  yang dapat melibatkan multi departemen untuk melakukan proses implementasi ISO 27001.

Gambar 2. Kontrol ISO27001 Melibatkan Internal & Eksternal Organisasi

Hal yang paling penting bagi organisasi fintech yang akan melakukan implementasi dan sertifikasi ISO 27001:2013 adalah mulai melakukan persiapan implementasi secara bertahap, yaitu dengan melakukan kegiatan sebagai berikut:

1. Mulai mengimplementasikan tata kelola TI, dengan meningkatkan proses TI, dan menyusun kebijakan serta prosedur TI.
2. Meningkatkan budaya pengamanan informasi dalam lingkungan organisasi.
3. Memberikan sosialisasi pengamanan informasi kepada seluruh karyawan dan pihak ketiga.
4. Membentuk tim implementasi ISO 27001:2013 yang melibatkan seluruh unit kerja terkait.
5. Melakukan pengelolaan risiko TI dan mitigasi serta risk treatment plan.
6. Melakukan pencatatan dan pengelolaan aset TI serta pemeliharaan aset TI.
7. Mengembangkan rencana keberlangsungan bisnis dan melakukan pengujian secara berkala.
8. Mengimplementasikan helpdesk dan insiden manajemen.
9. Melakukan pengujian keamanan informasi secara berkala atas infrastruktur dan aplikasi.
10. Melakukan tinjauan secara berkala untuk memastikan proses implementasi keamanan informasi.
11. Melibatkan manajemen untuk meminta dukungan manajemen untuk sumber daya dan tinjauan atas hasil implementasi keamanan informasi.
12. Meningkatkan keamanan informasi secara berkelanjutan.
13. Membagi waktu tahapan pelaksanaan implementasi dan atau sertifikasi ISO 27001:2013.
14. Apabila ingin melakukan sertifikasi maka tentukan ruang lingkup ISO 27001:2013 dengan melihat kebutuhan bisnis perusahaan dan kondisi TI yang ada.

TRAINING IS0/IEC 27001:2013 FOUNDATION

Mengenai bagaimana proses implementasi dan sertifikasi ISO/IEC 27001:2013 dapat dipelajari bersama CTC Metrodata. Mengapa CTC Metrodata?

• ­Perusahaan TI terbesar di Indonesia
• ­Pengalaman menangani semua jenis pelatihan
• ­One Stop Shopping pada layanan pelatihan
• ­Pelatih yang berpengalaman
• ­Fasilitas pelatihan tang memuaskan
• ­Lokasi strategis

ISO/IEC 27001:2013

Diluncurkan ulang pada tahun 2013, ISO/IEC 27001 dibangun di atas fondasi yang telah ditetapkan sebagai standar internasional yang paling dikenal luas yang secara khusus ditujukan untuk manajemen keamanan informasi. Penerapan Sistem Manajemen Keamanan Informasi (SMKI) adalah keputusan strategis yang menggerakkan koordinasi kontrol keamanan operasional di semua sumber daya informasi fisik dan elektronik organisasi. Standar tersebut dapat diintegrasikan dengan standar kerangka kerja sistem manajemen lainnya, seperti standar kualitas ISO 9001 dan ISO / IEC 20000 untuk manajemen layanan TI.

TUJUAN PROGRAM

Pada akhir program, peserta pelatihan akan dapat:

• ­Mempelajari tentang praktik terbaik, ruang lingkup dan tujuan dari standar dalam Manajemen Keamanan Informasi serta bagaimana menerapkannya dalam organisasi;
• ­Memahami istilah dan difinisi utama yang digunakan dalam ISO/IEC 27001 untuk secara efektif mengimplementasikan prinsip-prinsip tersebut;
• ­Memahami tujuan audit internal dan audit sertifikasi eksternal, operasinya dan terminologi terkait.

Pelajari praktik terbaik untuk menerapkan dan mengelola Sistem Manajemen Keamanan Informasi (SMKI) - sebagaimana ditentukan dalam ISO/IEC 27001: 2013. Peserta pelatihan akan diperkenalkan kepada standar ISO 27000 dan mempelajari:

• ­Dasar-dasar keamanan informasi
• ­Cara melakukan audit sertifikasi ISO/IEC 27001
• ­Desain kontrol keamanan informasi berdasarkan praktik terbaik ISO 27002
• ­Dapatkan ISO/IEC 27001 dalam kelas dan lingkungan yang nyaman, dan belajar lebih cepat dengan instruktur profesional dari CTC Metrodata.

Jika peserta pelatihan terlibat dalam penerapan standar ISO/IEC 27001, kursus ini sangat ideal untuk peserta pelatihan. Kursus ini juga bermanfaat untuk:

• ­Auditor
• ­Anggota tim sistem manajemen keamanan informasi
• ­Technical yang terlibat dalam operasi terkait dengan SMKI
• ­Mereka yang ingin belajar tentang proses (SMKI
• ­CxO dan Manajer Senior bertanggung jawab atas tata kelola TI suatu perusahaan dan manajemen risiko.

Untuk informasi dan pendaftaran, silahkan hubungi:

APL Tower 37th Floor
Jl. Letjen S. Parman Kav. 28
Jakarta 11470
Telp: (021) 29345 – 777, (021) 29345 - 700
Email: Info.training@metrodata.co.id

Penulis:

Boyle Jungjunan Jatnika
Technical Consultant

Informasi lengkap, hubungi:

customer.experience@mii.co.id