bab 2 fix - thesis.binus.ac.idthesis.binus.ac.id/doc/bab2/2009-1-00253-ka bab 2.pdf2.1 teknologi...
TRANSCRIPT
9
BAB 2
LANDASAN TEORI
2.1 Teknologi Informasi
2.1.1 Pengertian Teknologi Informasi
Menurut Thompson dan Baril (2003, p3), teknologi informasi
adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu
alat untuk menangkap, menyimpan, memproses dan menghasilkan digital.
Menurut Turban, Rainer, dan Potter (2003, p3), teknologi
informasi adalah kumpulan dari komponen teknologi individu yang secara
khusus diatur dalam komputer berbasis sistem informasi.
Menurut Haag, Cummings, dan McCubbrey (2005, p14), teknologi
informasi adalah komputer apa saja yang berbasiskan perangkat yang
digunakan orang (people) untuk bekerja dengan informasi dan mendukung
informasi dan kebutuhan proses informasi dari sebuah organisasi.
Jadi, teknologi informasi atau yang biasa disingkat dengan TI
dapat disimpulkan sebagai alat yang mendukung aktifitas dari sebuah
sistem informasi.
10
2.1.2 Infrastruktur Teknologi Informasi
2.1.2.1 Hardware dan Software
Menurut Haag, Cummings, dan McCubbrey (2005, p15),
ada dua kategori dasar dalam teknologi yaitu hardware dan
software. Hardware terdiri dari peralatan fisik yang menyusun
sebuah komputer (sering dikenal sebagai sistem komputer).
Software adalah kumpulan instruksi–instruksi yang menjalankan
hardware untuk menyelesaikan tugas tertentu.
Hardware dibagi menjadi 6 kategori, yaitu (1) input
device, (2) output device, (3) storage device, (4) CPU dan RAM,
(5) telecommunications device, (6) connecting device.
Input device adalah peralatan yang digunakan untuk
memasukkan informasi dan perintah yang terdiri dari keyboard,
mouse, touch screen, game controller, dan bar code reader.
Output device adalah peralatan yang digunakan untuk melihat,
mendengar, atau sebaliknya mengenali hasil dari permintaan
proses informasi yang terdiri dari printer, monitor dan speaker.
Storage device adalah peralatan yang digunakan untuk
menyimpan informasi yang digunakan dilain waktu terdiri atas
hard disk, flash memory card, dan DVD. CPU adalah hardware
yang mengartikan dan menjalankan sistem dan instruksi–instruksi
aplikasi software dan mengatur pengoperasian dari keseluruhan
hardware. RAM adalah sebuah kawasan sementara untuk
11
informasi yang bekerja seperti halnya sistem, dan instruksi
aplikasi software yang dibutuhkan oleh CPU sekarang ini.
Telecommunications device adalah peralatan yang digunakan
untuk mengirim informasi dan menerima informasi dari orang
atau komputer lain dalam satu jaringan contohnya modem.
Connecting hardware termasuk hal–hal seperti terminal paralel
yang menghubungkan printer, kabel penghubung yang
menghubungkan printer ke terminal paralel dan peralatan
penghubung internal yang sebagian besar termasuk alat pengantar
untuk perjalanan informasi dari satu bagian hardware ke bagian
lainnya.
Ada 2 tipe utama dari software, yaitu application dan
system. Application software yang memungkinkan untuk
menyelesaikan masalah-masalah spesifik atau menampilkan
tugas-tugas spesifik. System software yaitu menangani tugas–
tugas spesifik untuk mengelola teknologi dan mengatur interaksi
dari keseluruhan peralatan teknologi. Di dalam system software
ditemukan operating system software dan utility software.
operating system software adalah software sistem yang
mengendalikan software aplikasi dan mengelola bagaimana
peralatan hardware bekerja bersama–sama. Utility software
adalah software yang menyediakan tambahan fungsionalitas
12
untuk mengoperasikan sistem software, seperti antivirus
software, screen savers, disk optimization software.
2.1.2.2 Jaringan
Menurut Turban, Rainer, Porter (2003, p178), sebuah
jaringan komputer, terdiri atas media komunikasi peralatan–
peralatan dan software yang dibutuhkan untuk menghubungkan
dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran
jaringan yang umum, yaitu: LAN (Local Area Networks) dan
WAN (Wide Area Networks). MAN (Metropolitan Area
Network) berada diantara dua ukuran tersebut. LAN
menghubungkan dua atau lebih alat komunikasi sampai 2000
kaki (biasanya dalam gedung yang sama). Jadi, setiap pengguna
alat dalam jaringan memiliki potensi untuk berkomunikasi
dengan alat lainnya. WAN termasuk jaringan regional yang
terdiri atas kumpulan telepon atau jaringan Internasional seperti
penyedia layanan komunikasi global, mungkin milik komersial,
swasta, atau publik.
2.1.2.3 Internet, Intranet, Ekstranet
Menurut Turban, Rainer, Porter (2003, G11), internet
adalah elektronik dan jaringan telekomunikasi yang besar yang
menghubungkan komputer bisnis, konsumen, instansi
pemerintah, sekolah, dan organisasi lainnya di seluruh dunia,
yang menggunakan pertukaran informasi secara lancar terbuka.
13
Intranet adalah jaringan pribadi yang menggunakan jaringan
internet dan perangkat lunak protokol TCP/IP, umumnya berupa,
internet swasta, atau segmen kelompok swasta dari jaringan
internet publik. Ekstranet adalah jaringan yang aman yang
menghubungkan mitra bisnis dan intranet lewat internet dengan
menyediakan akses ke wilayah masing-masing perusahaan
intranet; perpanjangan dari intranet.
2.1.3 Arsitektur Teknologi Informasi
Arsitektur teknologi informasi yang dibuat oleh perencanaan
strategi bisnis/TI merupakan suatu desain konseptual atau cetak biru
yang meliputi 4 komponen sebagai berikut (O’Brien dan George, 2006,
p480):
1. Platform Teknologi (Technology Platform)
Internet, intranet, ekstranet, dan jaringan lainnya, sistem
komputer, sistem software, dan aplikasi software perusahaan
terintegrasi yang menyediakan infrastruktur komunikasi dan
komputansi atau platform yang mendukung penggunaan strategi TI
bagi e-business, e-commerce, dan aplikasi bisnis/TI lainnya.
2. Sumber Daya Data (Data Resources)
Banyak jenis database operasional dan spesialisasi database
termasuk data warehouse dan database internet/intranet, yang
menyimpan dan menyediakan data serta informasi untuk proses
bisnis dan dukungan keputusan.
14
3. Arsitektur Aplikasi (Applications Architecture)
Aplikasi bisnis dari teknologi informasi dirancang sebagai
sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang
mendukung usaha bisnis strategi bisnis, serta proses lintas fungsi
bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus meliputi
dukungan untuk ERP (Enterprise Resources Planning) terintegrasi
dan aplikasi CRM (Customer Resources Management).
4. Organisasi Teknologi Informasi (IT Organization)
Struktur organisasi dari fungsi sistem informasi dalam sebuah
perusahaan dan distribuasi pakar sistem informasi dirancang untuk
memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI
tergantung pada filosofi manajerial dan strategi bisnis/TI yang
dibentuk selama proses perencanaan bisnis.
2.2 Risiko
2.2.1 Pengertian Risiko
Menurut Djojosoedarso (2003, p2), menguraikan pengertian risiko
dari beberapa ahli, yaitu:
Menurut Arthur Williams dan Richard, M.H, risiko adalah suatu variasi
dari hasil-hasil yang dapat terjadi selama periode tertentu-tertentu.
Menurut A.Abas Salim, risiko adalah ketidakpastian (uncertainty) yang
mungkin melahirkan peristiwa kerugian (loss). Menurut Soekarto, risiko
adalah ketidakpastian atas terjadinya suatu peristiwa. Menurut Herman
Darmawi, risiko merupakan penyebaran/penyimpangan hasil aktual dari
15
hasil yang diharapkan. Atau diartikan risiko adalah probabilitas sesuatu
hasil/outcome yang berbeda dengan yang diharapkan.
Definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan
yang tidak diduga/tidak diinginkan.
2.2.2 Karakteristik dan Wujud Risiko
Menurut Djojosoedarso (2005, p3), karakteristik risiko merupakan
ketidakpastian atas terjadinya suatu peristiwa dan merupakan ketidak
pastian bila terjadi akan menimbulkan kerugian.
Menurut Djojosoedarso (2005, p3), wujud dari risiko itu dapat
bermacam-macam, antara lain:
a. Berupa kerugian atas harta milik/kekayaan atau penghasilan,
misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan
sebagainya.
b. Berupa penderitaan seseorang, misalnya sakit/cacat karena
kecelakaan.
c. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau
peristiwa yang merugikan orang lain.
d. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi
perubahan harga, perubahan selera konsumen dan sebagainya.
2.2.3 Macam–macam Risiko
Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan
berbagai macam cara, antara lain:
16
1. Menurut sifatnya risiko dapat dibedakan kedalam:
a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang
apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa
disengaja; misalnya risiko terjadinya kebakaran, bencana alam,
pencurian, penggelapan, pengacauan, dan sebagainya.
b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya, misalnya risiko utang-piutang,
perjudian, perdagangan berjangka (hedging), dan sebagainya.
c. Risiko fundamental adalah risiko yang penyebabnya tidak dapat
dilimpahkan kepada seseorang dan yang menderita tidak hanya satu
atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin
topan dan sebagainya.
d. Risiko khusus adalah risiko yang bersumber pada peristiwa yang
mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal
kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.
e. Risiko dinamis adalah risiko yang timbul karena perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan
teknologi, seperti risiko keuangan, risiko penerbangan luar
angkasa. Kebalikannya disebut risiko statis, seperti risiko hari tua,
risiko kematian dan sebagainya.
2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko
dapat dibedakan ke dalam:
17
a. Risiko yang dapat dialihkan kepada pihak lain, dengan
mempertanggungkan suatu objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar sejumlah premi asuransi,
sehingga semua kerugian menjadi tanggungan (pindah) pihak
perusahaan asuransi.
b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan); umumnya meliputi semua jenis spekulatif.
3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke
dalam:
a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu
sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri,
kecelakaan kerja, kesalahan manajemen dan sebagainya.
b. Risiko ekstern yaitu risiko yang berasal luar perusahaan, seperti
risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan
kebijakan pemerintah, dan sebagainya.
2.2.4 Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya–upaya untuk
menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat
dihindari atau diminimumkan . Sesuai dengan sifat dan objek yang terkena
risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk
meminimumkan risiko kerugian, antara lain:
1. Melakukan pencegahan dan pengurangan terhadap kemungkinan
terjadinya peristiwa yang menimbulkan kerugian.
18
2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian,
dan untuk mencegah terganggunya operasi perusahaan akibat kerugian
tersebut disediakan sejumlah dana untuk menanggulanginya.
3. Melakukan pengendalian terhadap risiko.
4. Mengalihkan/memindahkan risiko kepada pihak lain.
Tugas dari manajer risiko adalah berkaitan erat dengan upaya
memilih dan menentukan cara–cara/metode yang paling efisien dalam
penanggulangan risiko yang dihadapi perusahaan.
2.3 Risiko Teknologi Informasi
2.3.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi
berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup
dalam 6 kategori, yaitu:
1. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan
terorisme cyber.
2. Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem,
karena kesalahan manusia (human error), perubahan konfigurasi, dan
kurangnya pengurangan arsitektur.
19
3. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam
waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak
atau keras, ancaman eksternal, atau bencana alam.
4. Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang
diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan
topografi informasi teknologi yang beragam.
5. Daya skala
Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk
arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi
baru dan biaya bisnis secara efektif.
6. Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar
keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini
mencakup aturan pemerintah, panduan pengaturan perusahaan dan
kebijakan internal.
2.3.2 Kelas–kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko–risiko teknologi
didefinisikan dalam 7 kelas, di mana pada setiap kasus, teknologi
informasi dapat juga melakukan kesalahan, tetapi konsekuensi–
konsekuensinya dapat berakibat negatif bagi bisnis.
20
Kelas–kelas risiko, yaitu :
1. Projects- failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI.
Beberapa contoh dari gagalnya penyampaian proyek adalah
menyelesaikan proyek yang ada telat/tidak pada waktu nya, sumber
daya dan biaya yang dikonsumsi dalam penyelesaian proyek besar
sehingga tidak efisien, mengganggu proses bisnis selama proses
implementasi, dan juga fungsi dari proyek tidak sesuai dengan
keinginan dari yang diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan
zaman dan tidak dapat diandalkan sehingga menganggu proses bisnis
yang sedang berjalan. Biasanya berhubungan dengan sistem
operasional dan produksi perusahaan serta kemampuan mereka untuk
menyediakan kebutuhan dari user.
3. Information assets–failing to protect and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan
dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa
sangat fatal bagi perusahaan, contohnya informasi yang penting bisa
dicuri oleh perusahaan kompetitor, detail dari kartu kredit dapat dilihat
oleh pihak yang tidak berwenang, sehingga dengan demikian akan
merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya
akan sangat merugikan perusahaan.
21
4. Service providers and vendors-breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan dari provider dan
vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik
bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan.
Dampak lainnya berhubungan dengan dampak jangka panjang, seperti
kekurangan dalam penyediaan layanan TI bagi user perusahaan
tersebut.
5. Applications-flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang
diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu
perusahaan biasanya terdapat kombinasi antara software paket dan
software buatan yang diintegrasikan menjadi satu.
6. Infrastructure–shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur
TI. Infrastruktur adalah suatu nama yang umum bagi komputer maupun
jaringan yang sedang dipakai dan berjalan di perusahaan tersebut. Di
dalam infrastruktur juga termasuk software, seperti Operation System
dan Database Managemen System.
Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu
komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang
putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan
sistem yang ada. Apabila terdapat sitem yang sudah tidak cocok
dengan model yang baru, maka sistem tersebut perlu diganti. Apabila
22
risiko ini dapat ditangani secara rutin, maka itu merupakan suatu
perencanaan jangka panjang yang baik.
7. Strategic and emergent-disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk
memberitahukan strategi bisnis yang dilakukan. Dampak–dampak yang
tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara
luas. Risiko merupakan kemampuan dari perusahaan untuk terus
bergerak maju kearah visi strategi. Untuk tetap kompetitif diperlukan
kemajuan TI untuk dipahami dan dicocokan dengan potensi
kesempatan eksploitasi bagi bisnis.
2.4 Manajemen Teknologi Informasi
2.4.1 Pengelolaan Teknologi Informasi
Gambar 2.1 Komponen Utama Pengelolaan TI Sumber: O’Brien dan George (2006, p478)
Information Technology Management
Managing Business and IT Strategy
Managing Application Development and Technology
Managing the IT organization and Infrastructure
23
Teknologi informasi merupakan sumber daya bisnis penting yang
harus dikelola dengan benar. O’Brien dan George (2006, p478),
mengemukakan sebuah pendekatan yang terkenal untuk mengelola
teknologi informasi dalam perusahaan besar. Pendekatan tersebut terbagi
atas 3 komponen utama, yaitu pengembangan dan implementasi (1)
strategi bisnis/TI, (2) aplikasi dan teknologi bisnis, serta (3) organisasi dan
infrastruktur TI.
Mengelola pengembangan dan implementasi bersama berbagai
strategi bisnis/TI (Managing the joint development and implementation of
business/IT strategies). Pemikiran dari tingkat top level management
dikembangkan oleh manajer TI dan para profesional TI untuk
menggunakan TI agar dapat mendukung prioritas strategi bisnis dalam
perusahaan. Proses perencanaan bisnis/TI sesuai dengan tujuan strategi
bisnis TI. Proses tersebut juga meliputi evaluasi proses bisnis/TI yang
diajukan.
Mengelola pengembangan dan implementasi aplikasi dan teknologi
bisnis/TI baru (Managing the development and implementation of new
business/IT applications and technologies). Pengelolaan pada bagian ini
merupakan tanggung jawab dari top level management . Area manajemen
TI ini melibatkan pengelolaan proses pengembangan dan implementasi
sistem informasi, serta tanggung jawab penelitian ke dalam penggunaan
bisnis yang strategis atas TI yang baru.
24
Mengelola organisasi TI dan infrastruktur TI (Managing the IT
organization and IT infrastructure) . Manajer TI bertanggung jawab dalam
mengelola tugas bagi para pakar TI yang biasanya diatur dalam berbagai
tim proyek dan subunit oragnisasi lainnya. Selain itu, manajer TI juga
bertanggung jawab dalam mengelola infrastruktur TI yang meliputi
hardware, software, database, jaringan telekomunikasi, dan sumber daya
TI lainnnya yang harus diperoleh, dioperasikan, dimonitor dan dipelihara.
2.4.2 Kerangka untuk Pengelolaan Teknologi Informasi
Menurut Lucas (2000, p118), langkah pertama dalam manajemen
teknologi informasi adalah mengembangkan sebuah visi pada organisasi
dan teknologi informasi. Selanjutnya manajer senior melihat bagaimana
teknologi dapat memberikan kontribusinya terhadap struktur organisasi
menggunakan macam–macam desain TI dibahas dalam bab terakhir.
Struktur organisasi mempengaruhi dan dipengaruhi oleh strategi
perusahaan. Strategi, struktur, dan integrasi TI di dalam perusahaan
membantu untuk membuat rencana teknologi. Rencana ini mencakup
struktur TI untuk sub unit dalam organisasi bersama dengan hardware/
software/arsitektur jaringan untuk perusahaan. Rencana menjelaskan
aplikasi baru dan sumber daya apa yang diperlukan untuk mengoperasikan
teknologi yang sudah ada. TI juga menjelaskan sumber dari layanan,
misalnya, dari dalam perusahaan atau dari sumber luar.
25
Gambar 2.2 Kerangka Pengelolaan Teknologi Informasi
Sumber: Lucas (2000, p119)
1. Visi dari Organisasi dan Teknologi
Sebagai sebuah organisasi, visi sangat penting, terutama
mengingat kemampuan teknologi untuk mengubah struktur dari
perusahaan, sifat usaha, dan dasar untuk kompetisi. Tanggung jawab
dasar dari manajemen untuk mengembangkan sebuah visi untuk bisnis
dan untuk peran teknologi informasi dalam mencapai visi organisasi.
Visi harus dapat menjelaskan misi organisasi dan mengidentifikasi
produk dan layanan yang telah diproduksi. Perlu mengidentifikasi
pasar di mana perusahaan akan bersaing dan menyiapkan strategi untuk
bersaing. Rencana untuk merger, kemitraan, aliansi, dan akuisisi adalah
semua bagian dari visi. Teknologi informasi mempunyai peranan
Visi organisasi dan TI
TI dan struktur perusahaan
Strategi Rencana Strategis Perusahaan
TI yg terintegrasi dan pengambilan
keputusan
Aliansi dan kemitraan
Inisiatif TI Infrastruktur TI
Operasi TI berkelanjutan
26
penting dalam membentuk struktur organisasi dan mendukung kegiatan
rantai nilai.
2. Teknologi untuk Struktur Organisasi
Perubahan struktur saling berhubungan dengan strategi, di
mana kedua aspek organisasi ini harus dipertimbangkan bersama. Di
samping menggunakan strategi yang umum untuk menghasilkan biaya
rendah, produsen, manajemen yang ingin mengembangkan teknologi
akan memberikan daya saing yang kuat. Bagian yang paling sulit untuk
mendapatkan keuntungan seperti ini berasal dari sebuah ide. Dengan
meninjau apa yang pesaing lakukan, dan mencari Analogi dari industri
lain, dapat dikembangkan ide-ide baru untuk strategi yang
menguntungkan. Kemungkinan strategi tersebut akan mencakup
pengembangan sistem antarorganisasi dan aliansi dengan perusahaan
lain. Untuk perusahaan manufaktur, strategi TI mungkin melibatkan
teknologi didalam produknya, seperti chip komputer ditemukan di
mobil untuk mengontrol mesin dan knalpot. Sebuah perusahaan jasa
mungkin menggunakan teknologi untuk menambahkan nilai layanan
yang sudah ada, sehingga memudahkan perusahaan dalam menjalankan
bisnis dan menurunkan biaya.
3. Integrasi Teknologi dan Membuat Keputusan
Tanggung jawab penting dari manajemen adalah
mengintegrasikan teknologi dengan semua keputusan bisnis. Integrasi
berarti manajer menyadari bagaimana teknologi baru dapat
27
menciptakan peluang. Teknologi benar-benar dapat mengubah cara
perusahaan menjalankan bisnisnya. Bersamaan dengan itu, pengelola
harus menyadari dampak dari keputusan pada teknologi perusahaan.
Sebuah keputusan untuk memasuki bidang usaha baru harus memiliki
efek langsung yang ada pada pengolahan sistem informasi.
4. Rencana Perusahaan untuk Strategi
Sebuah rencana strategis perusahaan berasal dari visi
perusahaan untuk kegiatan di masa depan. Rencana ini termasuk dalam
visi, di mana merupakan jalan untuk menuju visi tersebut. Daripada
rencana teknologi informasi itu terpisah, TI seharusnya merupakan
bagian integral dari rencana strategis perusahaan. Mengingat isi dari
rencana strategi perusahaan, ada kemungkinan untuk manajer fungsi TI
untuk mengembangkan rencana yang lebih detail untuk mendukung
kerjasama. Banyak organisasi yang menyetujui rencana itu diperlukan,
namun mereka tidak mengembangkannya. Alasan yang sering
diberikan yaitu bahwa rencana SI yang antara tiga sampai lima tahun
tidak sesuai dengan rencana dalam organisasi. Namun keduanya
mungkin dan banyak disukai untuk mengembangkan teknologi
informasi.
5. Aliansi dan Kemitraan
Perusahaan sekarang ini, memiliki banyak bentuk kemitraan
dan aliansi jika industri teknologi informasi adalah salah satu
contohnya. Kenyataannya, perusahaan kadang membentuk aliansi
28
dalam satu area dengan perusahaan yang bersaing dengan mereka,
beserta beberapa aspek bisnis lainnya.
6. Inisiatif Teknologi Informasi Baru
Beberapa organisasi pernah berhenti mengembangkan inisiatif
teknologi informasi baru. Karena kemajuan teknologi, tampaknya baru
merangsang gagasan tentang bagaimana menggunakan TI untuk
meningkatkan beberapa aspek organisasi. Rencana strategis perusahaan
harus mengidentifikasikan luas wilayah dimana teknologi dapat
berkontribusi terhadap perusahaan. Rencana TI menambahkan rincian
lebih lanjut dan mengidentifikasikan aplikasi khusus dari teknologi
untuk dikembangkan. Sekarang ini jarang ada orang yang menyarankan
aplikasi yang tidak layak. Sebaliknya, sebuah sistem yang layak
biasanya dapat digunakan untuk meningkatkan organisasi.
Pembangunan sistem merupakan wilayah yang memerlukan banyak
perhatian besar dari manajemen. Manajer harus menunjukkan bahwa
mereka berada di belakang pengembangan sistem yang baru dan
melihat bahwa terdapat masukan yang cukup dari pengguna dalam
proses desain. Sering pertemuan untuk peninjauan oleh perusahaan
sangat penting dilakukan selama proses desain. Top Management
harus berpatisipasi dalam pertemuan ini dan menyatakan dengan jelas
bahwa mereka mendukung perubahan yang diharapkan dari sistem.
29
7. Infrastruktur Teknologi Informasi
Kombinasi dari macam–macam teknologi umum dari
perusahaan merupakan dasar dari infrastruktur informasi. Beberapa
ahli menetapkan infrastruktur terbatas untuk fasilitas umum yang
tersedia pada perusahaan, seperti jaringan. Infrastruktur sangat penting
karena memfasilitasi pengembangan inisiatif TI yang baru.
8. Pengelolaan TI yang Berkelanjutan
Visi dan strategi bersifat jangka panjang, perusahaan masih
sering menghadapi tugas untuk menangani TI dari hari ke hari. Tugas
ini meliputi 2 bagian, yaitu mengembangkan aplikasi baru dan
menjalankan aplikasi yang sudah ada.
2.4.3 Kegagalan dalam Pengelolaan Teknologi Informasi
Kegagalan dalam pengelolaan TI terletak dalam penggunaan TI
mereka. Kegagalan dalam pengelolaan TI terletak pada penggunaan TI
yang tidak efektif dan efisien (O’Brien dan George, 2006, p486),
contohnya:
1. TI tidak digunakan secara efektif oleh perusahaan yang menggunakan
TI terutama untuk mengkomputerisasikan proses bisnis tradisional dan
bukannya untuk mengembangkan proses e-business yang inovatif
dengan melibatkan pelanggan, pemasok dan mitra bisnis lainnya, e-
commerce, serta dukungan keputusan.
30
2. TI tidak digunakan secara efisien oleh sistem informasi yang
memberikan respon waktu yang lama dan sering mengalami downtime,
atau para profesional sistem informasi dan konsultan yang mengelola
proyek pengembangan aplikasi dengan tidak tepat.
2.5 Manajemen Risiko Teknologi Informasi
2.5.1 Pengertian Manajemen Risiko
Menurut Djojosoedarso (2005, p4), manajemen risiko adalah
pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko,
terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan
masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir,
menyusun, memimpin/mengkoordinir dan mengawasi (termasuk
mengevaluasi) program penanggulangan risiko.
Program manajemen risiko dengan demikian mencakup tugas–
tugas, seperti:
1. Mengidentifikasi risiko–risiko yang di hadapi.
2. Mengukur atau menetukan besarnya risiko tersebut.
3. Mencari jalan untuk menghadapi atau menanggulangi risiko.
4. Menyusun strategi untuk memperkecil ataupun mengendalikan risiko.
5. Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi
program penanggulangan risiko yang telah di buat.
31
2.5.2 Implementasi Kemampuan Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen
risiko teknologi informasi yang efektif adalah kemampuan manajemen
yang memenuhi kebutuhan bisnis, di mana elemen desain penting yang
harus dipertimbangkan adalah:
1. Strategi dan Kebijakan
Strategi-strategi dan kebijakan-kebijakan manajemen risiko
teknologi informasi diperlukan untuk menentukan tujuan dari
manajemen risiko teknologi informasi secara keseluruhan, membangun
prioritas dan pentingnya manajemen risiko teknologi informasi,
memastikan cakupan area yang potensial dari risiko teknologi
informasi dan menyediakan landasan peraturan dan prinsip-prinsip
untuk mengelola risiko. Kebijakan manajemen risiko teknologi
informasi harus didokumentasikan secara formal dan didukung oleh
tim tata kelola teknologi informasi dan dikomunikasikan secara aktif
kepada seluruh organisasi.
2. Peran dan Tanggung Jawab
Peran yang perlu ditentukan terlebih dahulu dan sesudah itu
orang yang tepat yang harus dipilih dan ditempatkan untuk melakukan
peran tersebut. Beberapa hal yang perlu dipertimbangkan adalah:
a. Pemisahan tugas: untuk memastikan bahwa setiap peran kelas
risiko independen menjalankan pemantauan dan melakukan
tinjauan ulang.
32
b. Menyeimbangkan kebutuhan masukkan untuk spesialis: kontribusi
pengertian proses, sistem dan risiko spesifik , manajerial
pembuatan keputusan–mempertimbangkan semua faktor dan
menentukan tindakan.
c. Mencocokkan peran manajemen risiko teknologi informasi ke
dalam struktur di mana dia seharusnya ditempatkan. Misalnya,
aktivitas perawatan manajemen risiko teknologi informasi harus
sejalan dengan manajer proyek untuk risiko proyek.
d. Membuat peran manajemen risiko teknologi informasi yang baru
ketika dibutuhkan, misalnya, lintas fungsional bisnis dengan
koordinasi peran secara berkelanjutan.
e. Mengalokasikan tanggung jawab bersama jika diperlukan dan
memastikan semua tempat telah diambil.
3. Proses dan Pendekatan
Siklus hidup manajemen risiko memiliki beberapa langkah,
yang dikembangkan dengan beberapa langkah yang berbeda untuk
berbagai jenis risiko:
a. Identifikasi/Penemuan: Mendapatkan risiko teknologi informasi
berdasarkan radar dari manajemen.
b. Penilaian/Analisis: Memahami risiko dalam konteks keseluruhan
portfolio risiko teknologi informasi dan menilai kemungkinan
terjadinya dan dampak potensial terhadap bisnis.
33
c. Perawatan: Menentukan pilihan terbaik dari banyaknya program
untuk menangani risiko, perencanaan dan menyelesaikan tindakan
yang diperlukan.
d. Pemantauan dan Tinjauan: Menindaklanjuti untuk memastikan
rencana apa yang telah dilakukan dan memahami adanya
perubahan lebih lanjut dalam risiko dari portfolio.
4. Orang dan Performa
Manajemen risiko teknologi informasi juga tentang orang dan
performa mereka. Kemampuan dan pengetahuan dari orang-orang
dalam manajemen risiko teknologi harus dikembangkan dan dipelihara.
Pengembangan dan pemeliharaan ini memerlukan beberapa kombinasi
pendidikan dan pelatihan penanggulangan risiko teknologi informasi
sesuai dengan peran dan tanggung jawab yang ada.
5. Implementasi dan Pengembangan
Orang tidak hanya akan menerima cara baru dalam pengelolaan
risiko teknologi informasi tanpa pernah diberitahu mengapa
diperlukan. Sebuah cerita yang meyakinkan pentingnya hal tersebut
untuk organisasi dan apakah itu penting untuk organisasi.
34
2.6 Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan beberapa
metode pengukuran risiko teknologi informasi diantaranya, yaitu metode
OCTAVE-S dan metode NIST yang digunakan untuk perbandingan.
2.6.1 NIST (National Institute of Standard and Technology) Special
Publication 800-30
Menurut Maulana dan Supangkat (2006, p123), terdapat 9 langkah
dalam proses penilaian risiko, yaitu:
a. Mengetahui karakteristik dari sistem teknologi informasi: hardware,
software dan sistem antarmuka (koneksi internal atau eksternal), data
dan informasi, orang yang mendukung atau yang menggunakan
sistem, arsitektur keamanan sistem, topologi jaringan sistem.
b. Identifikasi ancaman yang mungkin menyerang kelemahan sistem
teknologi informasi. Sumber ancaman bisa berasal dari alam,
manusia dan lingkungan.
c. Identifikasi kekurangan atau kelemahan (vulnerability) pada
prosedur keamanan, desain, implementasi dan internal kontrol
terhadap sistem sehingga mengahasilkan pelanggaran terhadap
kebijakan keamanan sistem.
d. Menganalisa kontrol-kontrol yang sudah diimplementasikan atau
direncanakan untuk diimplementasikan oleh organisasi untuk
mengurangi atau menghilangkan kecenderungan (kemungkinan) dari
suatu ancaman menyerang sistem yang vulnerable.
35
e. Penentuan kecenderungan (likelihood) dari kejadian yang bertujuan
untuk memperoleh penilaian terhadap keseluruhan kecenderungan
yang mengindikasikan kemungkinan potensi vulnerability diserang
oleh lingkungan ancaman yang ada.
f. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya
ancaman menyerang vulnerability. Seperti loss of integrity, loss of
availability, dan loss of confidentiality. Pengukuran dampak dari
resiko teknologi informasi dapat dilakukan dengan kualitatif maupun
kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3
bagian, yaitu: high, medium dan low.
g. Penentuan level risiko. Penentuan level risiko dari sistem yang
merupakan pasangan ancaman/vulnerability merupakan suatu fungsi:
i.Kecenderungan suatu sumber ancaman menyerang sumber
vulnerability dari sistem teknologi informasi.
ii.Besarnya dampak yang akan terjadi jika sumber ancaman sukses
menyerang vulnerability sistem teknologi informasi.
iii.Terpenuhinya perencanaan kontrol keamanan yang ada untuk
memenuhi dan menghilangkan risiko.
h. Rekomendasi–rekomendasi untuk mengurangi level risiko sistem
teknologi informasi dan data sehingga mencapai level yang bisa
diterima.
i. Dokumentasi hasil dalam bentuk laporan.
36
2.6.2 OCTAVE-S
2.6.2.1 Pengertian OCTAVE-S
Menurut Alberts et al. (2005, p3), OCTAVE-S adalah
sebuah variasi dari pendekatan OCTAVE yang dikembangkan
untuk menemukan kebutuhan-kebutuhan kecil, organisasi–
organisasi yang tidak memiliki hierarki. Hal ini memerlukan
sebuah analisis tim untuk menguji resiko keamanan di sebuah
aset organisasi dalam hubungannya dengan objective bisnis.
Dengan mengimplementasi hasil-hasil dari OCTAVE-S, sebuah
organisasi berusaha melindungi semua informasi dengan lebih
baik dan meningkatkan keseluruhan bidang keamanan.
2.6.2.2 Tahap, Proses, dan Aktivitas OCTAVE-S
Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar
pada 3 tahap yang dideskripsikan dalam kriteria OCTAVE,
meskipun nomor dan urutan kegiatan berbeda dari metode
OCTAVE yang digunakan. Bagian ini memberikan tinjauan
singkat atas tahapan, proses, dan kegiatan OCTAVE-S.
Tahap satu adalah sebuah evaluasi dari aspek organisasi.
Selama dalam tahap ini, tim analisis menggambarkan kriteria
dampak evaluasi yang akan digunakan nantinya untuk
mengevaluasi risiko. Hal ini juga mengidentifikasi aset–aset
organisasi yang penting, dan mengevaluasi praktek keamanan
dalam organisasi saat ini. Di mana pada tahap ini terdiri atas 2
37
proses, yaitu identifikasi informasi organisasi dan membuat profil
ancaman serta memiliki enam aktivitas.
Tahap kedua yaitu tim analisis melakukan peninjauan
ulang level tinggi dari perhitungan infrastruktur organisasi, yang
berfokus pada keamanan yang dipertimbangkan pemelihara dari
infrastruktur. Tahap ini memiliki satu proses yaitu memeriksa
perhitungan infrastruktur dalam kaitannya dengan aset yang kritis
dimana terdapat dua aktivitas.
Selama tahap ketiga, tim analisis mengidentifikasi risiko
dari aset kritis organisasi dan memutuskan apa yang harus
dilakukan mengenainya. Berdasarkan analisis dari kumpulan
informasi, tim membuat strategi perlindungan untuk organisasi
dan rencana mitigasi risiko yang ditujukan pada aset kritis. Tahap
ini terdiri atas 2 proses, yaitu identifikasi dan analisis risiko serta
mengembangkan strategi perlindungan dan rencana mitigasi, di
mana proses ini memiliki delapan aktivitas.
Dari uraian tahap, proses dan aktivitas diatas, dapat dilihat
penjabaran tiga puluh langkah OCTAVE-S yang terdapat pada
lampiran L-1 sampai L-7.
2.6.2.3 Hasil OCTAVE-S
Menurut Alberts et al. (2005, p6), selama mengevaluasi
OCTAVE-S, tim analisis melihat keamanan dari beberapa
38
perspektif, memastikan bahwa rekomendasi yang dicapai sesuai
dengan keseimbangan berdasarkan kebutuhan organisasi.
Hasil utama dari OCTAVE–S, yaitu:
1. Strategi perlindungan organisasi yang luas: Perlindungan
strategi menguraikan secara singkat arah organisasi dengan
mematuhi praktek keamanan informasi.
2. Rencana mitigasi risiko: Rencana ini dimaksudkan untuk
mengurangi risiko aset kritis untuk meningkatkan praktek
keamanan yang di pilih.
3. Daftar tindakan: Termasuk tindakan jangka pendek yang
dibutuhkan untuk menunjukkan kelemahan yang spesifik.
Hasil OCTAVE-S yang berguna lainnya, yaitu:
1. Daftar informasi penting terkait dengan aset yang mendukung
tujuan bisnis dan sasaran organisasi.
2. Hasil survei menunjukkan sejauh mana organisasi mengikuti
praktek keamanan yang baik.
3. Profil risiko untuk setiap aset kritis menggambarkan jarak
antara risiko terhadap aset.
Setiap tahap OCTAVE-S memproduksi hasil yang
bermanfaat sehingga sebagian evaluasi akan menghasilkan
informasi yang berguna untuk meningkatkan sikap keamanan
organisasi.
39
Beberapa mahasiswa Idaho State University dan Florida
Atlantic University di Amerika Serikat telah melakukan
penelitian terhadap penggunaan beberapa metode pengukuran
risiko teknologi informasi diantaranya yaitu metode OCTAVE-S,
NIST (National Institute of Standards and Technology) dan
FRAAP (Facilitated Risk Analysis Assessment Process). Carnegie
Mellon Software Engineering Institute dalam memenuhi aktivitas
perusahaannya juga mengembangkan OCTAVE dan OCTAVE-S.
Selain itu, berdasarkan penelitian mahasiswa University of
Johannesburg di Afrika Selatan, OCTAVE-S juga dikembangkan
oleh SEI (Software Engineering Institute).