View
147
Download
0
Category
Preview:
Citation preview
Information Security Forum
AwarenessSecurity & Fraud
Information Security & System Risk Controller
AGENDA• Cases Study• What is Information Security ? • Objective of Security Awareness• Information Security & System Risk Management Policy in The
Use of Information Technology• What is Fraud ?• Objective of Fraud Awareness• Trigger Factors • Fraud Trends• Modus Operation of Fraud• Cost of Fraud• Fraud Today• How to Prevent Fraud• Fraud Management Strategy
CASES STUDY
WHAT IS INFORMATION SECURITY ?
Adalah tindakan untuk melindungi Sistem Informasi (hardcopy/softcopy/media/
lisan) dari pihak-pihak yang tidak berwenang, yang dapat dimanfaatkan untuk
tujuan tertentu yang dapat beresiko terhadap kelangsungan bisnis Bank.
OBJECTIVE OF SECURITY AWARENESS
Untuk menambah wawasan, pengetahuan dan pembelajaran serta menyikapi
kita sebagai karyawan BRP terhadap “Information Security” agar dapat
berperan aktif dalam menjaga dan melindungi asset-asset perusahaan, baik
yang fisik maupun non fisik.
Information Security & System Risk Management Policy in The Use of Information Technology
Diterapkan terhadap semua bentuk layanan IT
yang disediakan oleh Bank.
Diterapkan untuk mengamankan semua bentuk
Informasi Bank (hardcopy, softcopy, media dan
lisan).
Diterapkan untuk mengontrol semua layanan IT
agar sesuai dengan kebijakan Bank.
Diterapkan kepada semua pihak.
Information Security & System Risk Management Policy in The Use of Information Technology
4 (empat) hal utama yang tertuang di dalam kebijakan tersebut :
1. Manajemen
2. Aktivitas Operasional Teknologi Informasi
3. Kebijakan dan Prosedur Pengamanan Informasi
4. Prosedur Implementasi
Information Security & System Risk Management Policy in The Use of Information Technology
PROHIBITED ACTIVITIES :
Menghubungkan Laptop/Notebook pribadi ke jaringan Bank atau sebaliknya.
Melihat, mengakses, men-download atau mengcopy bahan-bahan yang bersifat porno
aksi, kasar, hal-hal yang dapat menyinggung SARA, aplikasi freeware/shareware, dll.
Meregister alamat email perusahaan ke situs komunitas/komersial/jejaring sosial yang
tidak ada hubungan dengan bisnis Bank (untuk kepentingan pribadi).
Menyebarluaskan iklan, promosi atau materi lainnya untuk kepentingan pribadi/kelompok
yang tidak ada hubungan dengan bisnis Bank.
Mem-forward/me-reply email ke banyak orang yang bukan untuk kepentingan bisnis Bank
(istilah : Chain Email).
Information Security & System Risk Management Policy in The Use of Information Technology
PROHIBITED ACTIVITIES :
Mengirim/meneruskan email perusahaan ke email pribadi eksternal.
Membicarakan kondisi dan rahasia Bank di tempat/fasilitas umum (café, lobby, angkutan
umum, Facebook, Twitter, Blogger, dsb).
Memberikan informasi rahasia/penting Bank yang bukan kewenangannya kepada pihak
lain/keluarga/teman.
Menggunakan telepone/handphone/email perusahaan untuk kepentingan pribadi.
Sharing Password
Melakukan verifikasi/approve terhadap dokumen/invoice/transaksi yang bukan
kewenangannya.
WHAT IS FRAUD ?
Adalah tindakan curang/penyelewengan/manipulasi/penggelapan (tidak sah)
yang dilakukan oleh seseorang/sekelompok untuk mendapatkan manfaat
atau keuntungan yang bukan menjadi haknya.
OBJECTIVE
Pemahaman tentang dampak Fraud terhadap bisnis
Bank dan reputasinya.
Meningkatkan wawasan terhadap perkembangan/tren
Fraud sekarang ini.
Membantu dalam mengenali potensi-potensi yang
dapat menimbulkan Fraud
Pemahaman tentang tanggung jawab seseorang dan
risikonya
Membuat langkah-langkah preventif untuk
pencegahannya.
TRIGGER FACTORS
Ada 4 faktor pemicu Fraud atau disebut dengan Teori GONE :
GREED (Keserakahan).
OPPORTUNITY (Kesempatan).
NEED (Kebutuhan).
EXPOSURE (Pengungkapan).
Top 10 Fraud Trends :
1. Wire Transfer Attacking
2. Attacks via Vendor-managed
servers
3. ATM Skimming
4. First Party Fraud
5. Phishing
FRAUD TRENDS
6. Internet Fraud
7. Internal Fraud
8. Mobile Phones
9. Online Application Fraud
10. Prepaid Cards
Manipulasi Simpanan Nasabah/Internal Account.
Penyalahgunaan Kartu Kredit.
Penggelapan Pajak (Restitusi/Transaksi Fiktif).
Money Laundering.
KKN (Korupsi, Kolusi, Nepotisme).
Penipuan konsumen/produk : hadiah, bonus, dsb.
Penyuapan.
Pinjaman/Kredit Fiktif.
MODUS OPERATION OF FRAUD
Menggunakan agunan/jaminan kredit yang tidak bernilai.
Pemalsuan invoice, kwitansi, tanda tangan, bilyet, dokumen, dsb.
Berkolusi dengan karyawan internal.
Computer Crime : Cybercrime, mail/web phishing, ATM Skimming.
MODUS OPERATION OF FRAUD
COST OF FRAUDTangible (Dapat diukur)
Nilai kerugiannya
Investigasi
Pengiriman dan penerbitan ulang kartu
Telepon Customer Services
Penyelesaian permasalahan
Arahan dari Otoritas Tertinggi / Manajemen
Penutupan Rekening (Penyusutan)
Potensi Kehilangan Pendapatan
COST OF FRAUD
Intangible (Tidak dapat diukur)
Ketidakpuasan Nasabah
Merasa melanggar dan memiliki kerentanan dikemudian hari
Dampak terhadap persaingan bisnis
Ancaman terhadap bisnis dan karir
Dapat merusak reputasi
Biaya terhadap pengorbanan karena Fraud
FRAUD TODAY
Nilai-nilai etika tradisional melemah.
Kejahatan kerah putih semakin berkembang pesat.
Hukum tidak mampu menangani kejahatan kerah putih.
Budaya pencegahan penipuan di zaman batu.
Produk dan prosesnya semakin komplek.
HOW TO PREVENT FRAUD
THINK SECURITY
Dimana kelemahan itu ?
Bagaimana proses bisa diserang (dimanipulasi) tanpa menarik
perhatian orang lain ?
Bagaimana bisa sebuah bukti dapat dihancurkan / disembunyikan ?
Dapatkah seorang Audit dapat dikelabui dalam melakukan audit ?
DEVELOPING CONTROL SYSTEM
Pelaku akan selalu mencari sisi lemah pada korbannya.
Pastikan seluruh operasional telah sesuai dengan Policy, Procedures
dan Working Instruction.
FRAUD PROTECTION
THE “K” FACTOR• Know Your Product• Know Your Procedures• Know Your People• Know Your Customer
FRAUD PROTECTION
Identify “Warning Signals”
Tidak ada pemisahan tugas dan fungsi
Membuang kontrol yang tidak perlu
Rincian transaksi akunting/report yang
hilang/berubah.
Tidak pernah cuti
Sharing Password
Kontrol yang lemah
Kurangnya pelatihan pada karyawan baru
Lemahnya proses Self-Assessment
Dokumen yang hilang/diubah/tidak pernah ada.
KNOW YOUR EMPLOYEES
Perilaku yang memicu timbulnya Fraud :
Tekanan ekonomi.
Adanya kesempatan.
Masalah Psikologis (pembenaran).
Tidak punya moral yang baik.
Tekanan keluarga/pengaruh komunitas pergaulan untuk sukses.
Gaya hidup yang berlebihan/boros.
Mencuri sedikit, Perusahaan tidak akan rugi/bangkrut.
Tidak ada hukuman atas pelanggaran tersebut.
FRAUD MANAGEMENT STRATEGY
PROSECUTION
LESSON LEARNED
PREVENTION
TRAINING & AWARENESS
DETECTION
INVESTIGATION
ZEROFRAUD
ZERO TOLERANCE TO FRAUD
5 BUILDING BLOCKS
• Accountability
• Assessment
• Tools
• Training and Awareness
• Establish Goals
Terima Kasih Atas Partisipasi Anda
Teknologi tidak akan mungkin mampu menjaga KEAMANAN lingkungan TI secara sendirian.
Fraudster will STOP !!
if you always THINK SECURITY.
Kesadaran, kerjasama dan usaha yang baik dapat membangun lingkungan kerja yang lebih baik dan aman bagi Stakeholder, Shareholder dan Customer Bank Resona Perdania.
CLOSING
Recommended