Otoritas Jasa Keuangan (OJK) merilis Pedoman Keamanan Siber (Cybersecurity Guidelines) bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK). Pedoman ini berisi strategi reaktif dan proaktif atas keamanan siber yang paling banyak menyerang industri keuangan sepanjang 2023.
Dalam konteks penerapan kerangka keamanan siber, pedoman ini memberikan pemetaan atas kerangka keamanan siber melalui pendekatan multiaspek. Lebih lanjut, selain berfungsi sebagai panduan, pedoman ini juga berusaha memenuhi tujuan untuk meningkatkan awareness manajemen risiko dan audit.
Aspek-aspek dan jenis-jenis ancaman siber akan dikupas dalam pedoman ini, dilanjutkan dengan kebijakan-kebijakan mengenai pelindungan data dan keamanan informasi. Tidak hanya memaparkan mekanisme penyimpanan, pedoman ini juga menawarkan mekanisme back-up dan recovery serta pemusnahan data secara aman.
Manajemen risiko tidak luput dibahas dalam pedoman ini. Pasalnya, manajemen risiko merupakan proses penting dalam pemastian keamanan operasional penyelenggara ITSK. Penilaian, mitigasi, hingga perlakuan risiko yang sesuai konteks dibahas secara terperinci.
Strategi tanggap insiden juga menjadi topik utama dalam pedoman, mengingat posisinya yang krusial dalam menghadapi keamanan siber bagi penyelenggara ITSK. Strategi ini dimulai dari penyusunan rencana tanggap insiden, identifikasi set kritis, pembentukan tim tanggap insiden, pelatihan rutin, hingga pembuatan kebijakan eskalasi dan pelaporan insiden. Tidak hanya itu, strategi yang dimaksud juga mencakup tahap deteksi dan analisis agar potensi kejadian keamanan dapat diketahui. Tahap selanjutnya, yaitu tahap pengisolasian, pemberantasan, dan pemulihan, juga mendapat sorotan khusus karena bertujuan untuk mengembalikan data ke kondisi fungsional.
Untuk mengidentifikasi kerentanan, pedoman ini juga mendampingi penyelenggara ITSK dalam melakukan penilaian maturitas. Secara detail, langkah-langkah yang perlu dilakukan untuk meningkatkan pertahanan akan dipaparkan, mulai dari pemanfaatan assessment tools terstandardisasi, tolok ukur (benchmarking) pada standar industri, pengembangan rencana perbaikan, siklus perbaikan berkelanjutan, hingga pelaporan. Seluruh langkah ini diberikan agar penyelenggara ITSK tetap terdepan dalam menghadapi potensi ancaman siber.
Selain itu, sejumlah pendukung keamanan siber juga disebutkan dalam pedoman yang didukung oleh Kedutaan Besar Inggris melalui UK Government cyber capacity-building programme ini. Perangkat pendukung yang dimaksud dapat diterapkan pada tahap pelatihan, peningkatan awareness, dan kolaborasi antarpemangku kepentingan. Artinya, penyelenggara ITSK harus memiliki program pelatihan tertentu yang bertujuan meningkatkan pemahaman dan kemampuan mitigasi risiko. Jenis-jenis kegiatan untuk meningkatkan awareness juga perlu dikembangkan, sebagaimana kolaborasi perlu dilakukan agar informasi yang penting dapat disampaikan lebih cepat.
Secara umum, pedoman ini membawa pendekatan dan analisis komparatif dengan standar dan praktik keamanan siber. Untuk memudahkan pemahaman penyelenggara ITSK, pedoman ini dilengkapi pula dengan Kode Etik Keamanan Siber dan sejumlah checklist. Diharapkan, pedoman ini dapat mendorong pemberdayaan ekosistem digital dan memperkuat ketahanan siber. Dengan demikian, sektor ITSK dapat tumbuh dan berkontribusi pada perekonomian nasional secara optimal.
Artikel ini telah diterbitkan oleh Otoritas Jasa Keuangan, dengan judul “Pedoman Keamanan Siber Bagi Penyelenggara Inovasi Teknologi Sektor Keuangan (ITSK)” pada 25 Juli 2024. Artikel selengkapnya dapat dibaca di sini.
