Transformasi digital perbankan telah meningkatkan eksposur bank terhadap risiko
siber, khususnya serangan phishing yang menargetkan sistem, karyawan, dan nasabah.
Phishing tidak hanya berdampak pada kerugian finansial dan reputasi, tetapi juga berimplikasi
langsung pada risiko kepatuhan terhadap regulasi keamanan informasi. Divisi Kepatuhan
memiliki peran strategis dalam memastikan penerapan manajemen risiko phishing yang
selaras dengan ketentuan regulator, kebijakan internal, serta prinsip tata kelola perusahaan
yang baik (Good Corporate Governance).
TUJUAN
- Memahami karakteristik dan perkembangan risiko phishing di industri perbankan.
- Mengidentifikasi risiko phishing dalam kerangka manajemen risiko dan kepatuhan.
- Memahami dan mengimplementasikan regulasi keamanan informasi yang relevan.
- Mengintegrasikan pengendalian anti-phishing ke dalam kebijakan dan SOP bank.
- Melaksanakan fungsi monitoring, evaluasi, dan pelaporan kepatuhan terkait insiden phishing.
MATERI POKOK
-
Konsep Dasar Phishing dan Ancaman Keamanan Informasi
- Definisi dan jenis phishing (email phishing, spear phishing, smishing, vishing).
- Social engineering sebagai metode utama serangan.
- Dampak phishing terhadap keamanan informasi dan operasional bank.
-
Phishing dalam Kerangka Manajemen Risiko Bank
- Phishing sebagai risiko operasional dan risiko kepatuhan.
- Risk identification, risk assessment, dan risk mapping phishing.
- Penetapan risk appetite dan risk tolerance terkait risiko siber.
-
Regulasi Keamanan Informasi dan Kepatuhan Perbankan
- Ketentuan OJK terkait manajemen risiko TI dan keamanan informasi.
- Prinsip perlindungan data dan kerahasiaan informasi bank.
- Kewajiban kepatuhan terhadap kebijakan internal dan standar regulator.
- Pengantar standar internasional (ISO 27001, NIST Cybersecurity Framework).
-
Kebijakan Pengendalian Risiko Phishing
- Penyusunan dan review kebijakan keamanan informasi.
- Integrasi pengendalian anti-phishing dalam SOP operasional.
- Peran Divisi Kepatuhan dalam compliance review dan compliance testing.
- Koordinasi lintas fungsi (Compliance, TI, Risiko, Operasional).
-
Deteksi Dini dan Pelaporan Insiden Phishing
- Indikator awal dan red flags serangan phishing.
- Mekanisme pelaporan internal insiden keamanan informasi.
- Alur eskalasi dan dokumentasi insiden.
- Kewajiban pelaporan kepada regulator dan manajemen.
-
Penanganan Insiden Phishing dan Tindakan Korektif
- Peran Divisi Kepatuhan dalam incident response.
- Root cause analysis dari perspektif kepatuhan.
- Penyusunan corrective action dan preventive action.
- Monitoring dan pelaporan tindak lanjut perbaikan.
-
Audit Kepatuhan dan Evaluasi Efektivitas Pengendalian
- Ruang lingkup audit kepatuhan terkait keamanan informasi.
- Evaluasi efektivitas kontrol anti-phishing.
- Penyusunan rekomendasi perbaikan.
- Pelaporan hasil evaluasi kepada Direksi dan Komisaris.
-
Penguatan Budaya Kepatuhan dan Keamanan Informasi
- Peran kepatuhan dalam membangun security awareness.
- Program edukasi dan kampanye anti-phishing.
- Key Risk Indicator (KRI) dan Key Compliance Indicator (KCI) terkait phishing.
- Continuous improvement dalam manajemen risiko siber.
