9

BAB 2

LANDASAN TEORI

2.1 Teknologi Informasi

2.1.1 Pengertian Teknologi Informasi

Menurut Thompson dan Baril (2003, p3), teknologi informasi

adalah perangkat keras dan perangkat lunak yang dikemas sebagai suatu

alat untuk menangkap, menyimpan, memproses dan menghasilkan digital.

Menurut Turban, Rainer, dan Potter (2003, p3), teknologi

informasi adalah kumpulan dari komponen teknologi individu yang secara

khusus diatur dalam komputer berbasis sistem informasi.

Menurut Haag, Cummings, dan McCubbrey (2005, p14), teknologi

informasi adalah komputer apa saja yang berbasiskan perangkat yang

digunakan orang (people) untuk bekerja dengan informasi dan mendukung

informasi dan kebutuhan proses informasi dari sebuah organisasi.

Jadi, teknologi informasi atau yang biasa disingkat dengan TI

dapat disimpulkan sebagai alat yang mendukung aktifitas dari sebuah

sistem informasi.

10

2.1.2 Infrastruktur Teknologi Informasi

2.1.2.1 Hardware dan Software

Menurut Haag, Cummings, dan McCubbrey (2005, p15),

ada dua kategori dasar dalam teknologi yaitu hardware dan

software. Hardware terdiri dari peralatan fisik yang menyusun

sebuah komputer (sering dikenal sebagai sistem komputer).

Software adalah kumpulan instruksi–instruksi yang menjalankan

hardware untuk menyelesaikan tugas tertentu.

Hardware dibagi menjadi 6 kategori, yaitu (1) input

device, (2) output device, (3) storage device, (4) CPU dan RAM,

(5) telecommunications device, (6) connecting device.

Input device adalah peralatan yang digunakan untuk

memasukkan informasi dan perintah yang terdiri dari keyboard,

mouse, touch screen, game controller, dan bar code reader.

Output device adalah peralatan yang digunakan untuk melihat,

mendengar, atau sebaliknya mengenali hasil dari permintaan

proses informasi yang terdiri dari printer, monitor dan speaker.

Storage device adalah peralatan yang digunakan untuk

menyimpan informasi yang digunakan dilain waktu terdiri atas

hard disk, flash memory card, dan DVD. CPU adalah hardware

yang mengartikan dan menjalankan sistem dan instruksi–instruksi

aplikasi software dan mengatur pengoperasian dari keseluruhan

hardware. RAM adalah sebuah kawasan sementara untuk

11

informasi yang bekerja seperti halnya sistem, dan instruksi

aplikasi software yang dibutuhkan oleh CPU sekarang ini.

Telecommunications device adalah peralatan yang digunakan

untuk mengirim informasi dan menerima informasi dari orang

atau komputer lain dalam satu jaringan contohnya modem.

Connecting hardware termasuk hal–hal seperti terminal paralel

yang menghubungkan printer, kabel penghubung yang

menghubungkan printer ke terminal paralel dan peralatan

penghubung internal yang sebagian besar termasuk alat pengantar

untuk perjalanan informasi dari satu bagian hardware ke bagian

lainnya.

Ada 2 tipe utama dari software, yaitu application dan

system. Application software yang memungkinkan untuk

menyelesaikan masalah-masalah spesifik atau menampilkan

tugas-tugas spesifik. System software yaitu menangani tugas–

tugas spesifik untuk mengelola teknologi dan mengatur interaksi

dari keseluruhan peralatan teknologi. Di dalam system software

ditemukan operating system software dan utility software.

operating system software adalah software sistem yang

mengendalikan software aplikasi dan mengelola bagaimana

peralatan hardware bekerja bersama–sama. Utility software

adalah software yang menyediakan tambahan fungsionalitas

12

untuk mengoperasikan sistem software, seperti antivirus

software, screen savers, disk optimization software.

2.1.2.2 Jaringan

Menurut Turban, Rainer, Porter (2003, p178), sebuah

jaringan komputer, terdiri atas media komunikasi peralatan–

peralatan dan software yang dibutuhkan untuk menghubungkan

dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran

jaringan yang umum, yaitu: LAN (Local Area Networks) dan

WAN (Wide Area Networks). MAN (Metropolitan Area

Network) berada diantara dua ukuran tersebut. LAN

menghubungkan dua atau lebih alat komunikasi sampai 2000

kaki (biasanya dalam gedung yang sama). Jadi, setiap pengguna

alat dalam jaringan memiliki potensi untuk berkomunikasi

dengan alat lainnya. WAN termasuk jaringan regional yang

terdiri atas kumpulan telepon atau jaringan Internasional seperti

penyedia layanan komunikasi global, mungkin milik komersial,

swasta, atau publik.

2.1.2.3 Internet, Intranet, Ekstranet

Menurut Turban, Rainer, Porter (2003, G11), internet

adalah elektronik dan jaringan telekomunikasi yang besar yang

menghubungkan komputer bisnis, konsumen, instansi

pemerintah, sekolah, dan organisasi lainnya di seluruh dunia,

yang menggunakan pertukaran informasi secara lancar terbuka.

13

Intranet adalah jaringan pribadi yang menggunakan jaringan

internet dan perangkat lunak protokol TCP/IP, umumnya berupa,

internet swasta, atau segmen kelompok swasta dari jaringan

internet publik. Ekstranet adalah jaringan yang aman yang

menghubungkan mitra bisnis dan intranet lewat internet dengan

menyediakan akses ke wilayah masing-masing perusahaan

intranet; perpanjangan dari intranet.

2.1.3 Arsitektur Teknologi Informasi

Arsitektur teknologi informasi yang dibuat oleh perencanaan

strategi bisnis/TI merupakan suatu desain konseptual atau cetak biru

yang meliputi 4 komponen sebagai berikut (O’Brien dan George, 2006,

p480):

1. Platform Teknologi (Technology Platform)

Internet, intranet, ekstranet, dan jaringan lainnya, sistem

komputer, sistem software, dan aplikasi software perusahaan

terintegrasi yang menyediakan infrastruktur komunikasi dan

komputansi atau platform yang mendukung penggunaan strategi TI

bagi e-business, e-commerce, dan aplikasi bisnis/TI lainnya.

2. Sumber Daya Data (Data Resources)

Banyak jenis database operasional dan spesialisasi database

termasuk data warehouse dan database internet/intranet, yang

menyimpan dan menyediakan data serta informasi untuk proses

bisnis dan dukungan keputusan.

14

3. Arsitektur Aplikasi (Applications Architecture)

Aplikasi bisnis dari teknologi informasi dirancang sebagai

sebuah arsitektur terintegrasi atau portfolio sistem perusahaan yang

mendukung usaha bisnis strategi bisnis, serta proses lintas fungsi

bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus meliputi

dukungan untuk ERP (Enterprise Resources Planning) terintegrasi

dan aplikasi CRM (Customer Resources Management).

4. Organisasi Teknologi Informasi (IT Organization)

Struktur organisasi dari fungsi sistem informasi dalam sebuah

perusahaan dan distribuasi pakar sistem informasi dirancang untuk

memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI

tergantung pada filosofi manajerial dan strategi bisnis/TI yang

dibentuk selama proses perencanaan bisnis.

2.2 Risiko

2.2.1 Pengertian Risiko

Menurut Djojosoedarso (2003, p2), menguraikan pengertian risiko

dari beberapa ahli, yaitu:

Menurut Arthur Williams dan Richard, M.H, risiko adalah suatu variasi

dari hasil-hasil yang dapat terjadi selama periode tertentu-tertentu.

Menurut A.Abas Salim, risiko adalah ketidakpastian (uncertainty) yang

mungkin melahirkan peristiwa kerugian (loss). Menurut Soekarto, risiko

adalah ketidakpastian atas terjadinya suatu peristiwa. Menurut Herman

Darmawi, risiko merupakan penyebaran/penyimpangan hasil aktual dari

15

hasil yang diharapkan. Atau diartikan risiko adalah probabilitas sesuatu

hasil/outcome yang berbeda dengan yang diharapkan.

Definisi-definisi tersebut dapat disimpulkan bahwa risiko selalu

dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan

yang tidak diduga/tidak diinginkan.

2.2.2 Karakteristik dan Wujud Risiko

Menurut Djojosoedarso (2005, p3), karakteristik risiko merupakan

ketidakpastian atas terjadinya suatu peristiwa dan merupakan ketidak

pastian bila terjadi akan menimbulkan kerugian.

Menurut Djojosoedarso (2005, p3), wujud dari risiko itu dapat

bermacam-macam, antara lain:

a. Berupa kerugian atas harta milik/kekayaan atau penghasilan,

misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan

sebagainya.

b. Berupa penderitaan seseorang, misalnya sakit/cacat karena

kecelakaan.

c. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau

peristiwa yang merugikan orang lain.

d. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi

perubahan harga, perubahan selera konsumen dan sebagainya.

2.2.3 Macam–macam Risiko

Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan

berbagai macam cara, antara lain:

16

1. Menurut sifatnya risiko dapat dibedakan kedalam:

a. Risiko yang tidak disengaja (risiko murni) adalah risiko yang

apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa

disengaja; misalnya risiko terjadinya kebakaran, bencana alam,

pencurian, penggelapan, pengacauan, dan sebagainya.

b. Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja

ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian

memberikan keuntungan kepadanya, misalnya risiko utang-piutang,

perjudian, perdagangan berjangka (hedging), dan sebagainya.

c. Risiko fundamental adalah risiko yang penyebabnya tidak dapat

dilimpahkan kepada seseorang dan yang menderita tidak hanya satu

atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin

topan dan sebagainya.

d. Risiko khusus adalah risiko yang bersumber pada peristiwa yang

mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal

kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.

e. Risiko dinamis adalah risiko yang timbul karena perkembangan

dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan

teknologi, seperti risiko keuangan, risiko penerbangan luar

angkasa. Kebalikannya disebut risiko statis, seperti risiko hari tua,

risiko kematian dan sebagainya.

2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko

dapat dibedakan ke dalam:

17

a. Risiko yang dapat dialihkan kepada pihak lain, dengan

mempertanggungkan suatu objek yang akan terkena risiko kepada

perusahaan asuransi, dengan membayar sejumlah premi asuransi,

sehingga semua kerugian menjadi tanggungan (pindah) pihak

perusahaan asuransi.

b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat

diasuransikan); umumnya meliputi semua jenis spekulatif.

3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke

dalam:

a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu

sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri,

kecelakaan kerja, kesalahan manajemen dan sebagainya.

b. Risiko ekstern yaitu risiko yang berasal luar perusahaan, seperti

risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan

kebijakan pemerintah, dan sebagainya.

2.2.4 Penanggulangan Risiko

Menurut Djojosoedarso (2005, p4), upaya–upaya untuk

menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat

dihindari atau diminimumkan . Sesuai dengan sifat dan objek yang terkena

risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk

meminimumkan risiko kerugian, antara lain:

1. Melakukan pencegahan dan pengurangan terhadap kemungkinan

terjadinya peristiwa yang menimbulkan kerugian.

18

2. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian,

dan untuk mencegah terganggunya operasi perusahaan akibat kerugian

tersebut disediakan sejumlah dana untuk menanggulanginya.

3. Melakukan pengendalian terhadap risiko.

4. Mengalihkan/memindahkan risiko kepada pihak lain.

Tugas dari manajer risiko adalah berkaitan erat dengan upaya

memilih dan menentukan cara–cara/metode yang paling efisien dalam

penanggulangan risiko yang dihadapi perusahaan.

2.3 Risiko Teknologi Informasi

2.3.1 Kategori Risiko Teknologi Informasi

Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi

berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup

dalam 6 kategori, yaitu:

1. Keamanan

Risiko yang informasinya diubah atau digunakan oleh orang yang tidak

berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan

terorisme cyber.

2. Ketersediaan

Risiko yang datanya tidak dapat diakses setelah kegagalan sistem,

karena kesalahan manusia (human error), perubahan konfigurasi, dan

kurangnya pengurangan arsitektur.

19

3. Daya pulih

Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam

waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak

atau keras, ancaman eksternal, atau bencana alam.

4. Performa

Risiko dimana informasi tidak tersedia saat diperlukan, yang

diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan

topografi informasi teknologi yang beragam.

5. Daya skala

Risiko yang perkembangan bisnis, pengaturan bottleneck, dan bentuk

arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi

baru dan biaya bisnis secara efektif.

6. Ketaatan

Risiko yang manajemen atau penggunaan informasinya melanggar

keperluan dari pihak pengatur. Yang dipersalahkan dalam hal ini

mencakup aturan pemerintah, panduan pengaturan perusahaan dan

kebijakan internal.

2.3.2 Kelas–kelas Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p49), risiko–risiko teknologi

didefinisikan dalam 7 kelas, di mana pada setiap kasus, teknologi

informasi dapat juga melakukan kesalahan, tetapi konsekuensi–

konsekuensinya dapat berakibat negatif bagi bisnis.

20

Kelas–kelas risiko, yaitu :

1. Projects- failing to deliver

Risiko ini bersangkutan dengan gagalnya suatu proyek TI.

Beberapa contoh dari gagalnya penyampaian proyek adalah

menyelesaikan proyek yang ada telat/tidak pada waktu nya, sumber

daya dan biaya yang dikonsumsi dalam penyelesaian proyek besar

sehingga tidak efisien, mengganggu proses bisnis selama proses

implementasi, dan juga fungsi dari proyek tidak sesuai dengan

keinginan dari yang diharapkan user.

2. IT service continuity-when business operations go off the air

Risiko ini berhubungan dengan pelayanan TI yang ketinggalan

zaman dan tidak dapat diandalkan sehingga menganggu proses bisnis

yang sedang berjalan. Biasanya berhubungan dengan sistem

operasional dan produksi perusahaan serta kemampuan mereka untuk

menyediakan kebutuhan dari user.

3. Information assets–failing to protect and preserve

Risiko ini berhubungan khusus dengan kerusakan, kehilangan

dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa

sangat fatal bagi perusahaan, contohnya informasi yang penting bisa

dicuri oleh perusahaan kompetitor, detail dari kartu kredit dapat dilihat

oleh pihak yang tidak berwenang, sehingga dengan demikian akan

merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya

akan sangat merugikan perusahaan.

21

4. Service providers and vendors-breaks in the IT value chain

Risiko ini berhubungan dengan kemampuan dari provider dan

vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik

bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan.

Dampak lainnya berhubungan dengan dampak jangka panjang, seperti

kekurangan dalam penyediaan layanan TI bagi user perusahaan

tersebut.

5. Applications-flaky systems

Risiko ini berhubungan dengan kegagalan aplikasi TI yang

diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu

perusahaan biasanya terdapat kombinasi antara software paket dan

software buatan yang diintegrasikan menjadi satu.

6. Infrastructure–shaky foundations

Risiko ini berhubungan dengan kegagalan dalam infrastruktur

TI. Infrastruktur adalah suatu nama yang umum bagi komputer maupun

jaringan yang sedang dipakai dan berjalan di perusahaan tersebut. Di

dalam infrastruktur juga termasuk software, seperti Operation System

dan Database Managemen System.

Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu

komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang

putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan

sistem yang ada. Apabila terdapat sitem yang sudah tidak cocok

dengan model yang baru, maka sistem tersebut perlu diganti. Apabila

22

risiko ini dapat ditangani secara rutin, maka itu merupakan suatu

perencanaan jangka panjang yang baik.

7. Strategic and emergent-disabled by IT

Risiko ini berhubungan dengan kemampuan TI untuk

memberitahukan strategi bisnis yang dilakukan. Dampak–dampak yang

tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara

luas. Risiko merupakan kemampuan dari perusahaan untuk terus

bergerak maju kearah visi strategi. Untuk tetap kompetitif diperlukan

kemajuan TI untuk dipahami dan dicocokan dengan potensi

kesempatan eksploitasi bagi bisnis.

2.4 Manajemen Teknologi Informasi

2.4.1 Pengelolaan Teknologi Informasi

Gambar 2.1 Komponen Utama Pengelolaan TI Sumber: O’Brien dan George (2006, p478)

Information Technology Management

Managing Business and IT Strategy

Managing Application Development and Technology

Managing the IT organization and Infrastructure

23

Teknologi informasi merupakan sumber daya bisnis penting yang

harus dikelola dengan benar. O’Brien dan George (2006, p478),

mengemukakan sebuah pendekatan yang terkenal untuk mengelola

teknologi informasi dalam perusahaan besar. Pendekatan tersebut terbagi

atas 3 komponen utama, yaitu pengembangan dan implementasi (1)

strategi bisnis/TI, (2) aplikasi dan teknologi bisnis, serta (3) organisasi dan

infrastruktur TI.

Mengelola pengembangan dan implementasi bersama berbagai

strategi bisnis/TI (Managing the joint development and implementation of

business/IT strategies). Pemikiran dari tingkat top level management

dikembangkan oleh manajer TI dan para profesional TI untuk

menggunakan TI agar dapat mendukung prioritas strategi bisnis dalam

perusahaan. Proses perencanaan bisnis/TI sesuai dengan tujuan strategi

bisnis TI. Proses tersebut juga meliputi evaluasi proses bisnis/TI yang

diajukan.

Mengelola pengembangan dan implementasi aplikasi dan teknologi

bisnis/TI baru (Managing the development and implementation of new

business/IT applications and technologies). Pengelolaan pada bagian ini

merupakan tanggung jawab dari top level management . Area manajemen

TI ini melibatkan pengelolaan proses pengembangan dan implementasi

sistem informasi, serta tanggung jawab penelitian ke dalam penggunaan

bisnis yang strategis atas TI yang baru.

24

Mengelola organisasi TI dan infrastruktur TI (Managing the IT

organization and IT infrastructure) . Manajer TI bertanggung jawab dalam

mengelola tugas bagi para pakar TI yang biasanya diatur dalam berbagai

tim proyek dan subunit oragnisasi lainnya. Selain itu, manajer TI juga

bertanggung jawab dalam mengelola infrastruktur TI yang meliputi

hardware, software, database, jaringan telekomunikasi, dan sumber daya

TI lainnnya yang harus diperoleh, dioperasikan, dimonitor dan dipelihara.

2.4.2 Kerangka untuk Pengelolaan Teknologi Informasi

Menurut Lucas (2000, p118), langkah pertama dalam manajemen

teknologi informasi adalah mengembangkan sebuah visi pada organisasi

dan teknologi informasi. Selanjutnya manajer senior melihat bagaimana

teknologi dapat memberikan kontribusinya terhadap struktur organisasi

menggunakan macam–macam desain TI dibahas dalam bab terakhir.

Struktur organisasi mempengaruhi dan dipengaruhi oleh strategi

perusahaan. Strategi, struktur, dan integrasi TI di dalam perusahaan

membantu untuk membuat rencana teknologi. Rencana ini mencakup

struktur TI untuk sub unit dalam organisasi bersama dengan hardware/

software/arsitektur jaringan untuk perusahaan. Rencana menjelaskan

aplikasi baru dan sumber daya apa yang diperlukan untuk mengoperasikan

teknologi yang sudah ada. TI juga menjelaskan sumber dari layanan,

misalnya, dari dalam perusahaan atau dari sumber luar.

25

Gambar 2.2 Kerangka Pengelolaan Teknologi Informasi

Sumber: Lucas (2000, p119)

1. Visi dari Organisasi dan Teknologi

Sebagai sebuah organisasi, visi sangat penting, terutama

mengingat kemampuan teknologi untuk mengubah struktur dari

perusahaan, sifat usaha, dan dasar untuk kompetisi. Tanggung jawab

dasar dari manajemen untuk mengembangkan sebuah visi untuk bisnis

dan untuk peran teknologi informasi dalam mencapai visi organisasi.

Visi harus dapat menjelaskan misi organisasi dan mengidentifikasi

produk dan layanan yang telah diproduksi. Perlu mengidentifikasi

pasar di mana perusahaan akan bersaing dan menyiapkan strategi untuk

bersaing. Rencana untuk merger, kemitraan, aliansi, dan akuisisi adalah

semua bagian dari visi. Teknologi informasi mempunyai peranan

Visi organisasi dan TI

TI dan struktur perusahaan

Strategi Rencana Strategis Perusahaan

TI yg terintegrasi dan pengambilan

keputusan

Aliansi dan kemitraan

Inisiatif TI Infrastruktur TI

Operasi TI berkelanjutan

26

penting dalam membentuk struktur organisasi dan mendukung kegiatan

rantai nilai.

2. Teknologi untuk Struktur Organisasi

Perubahan struktur saling berhubungan dengan strategi, di

mana kedua aspek organisasi ini harus dipertimbangkan bersama. Di

samping menggunakan strategi yang umum untuk menghasilkan biaya

rendah, produsen, manajemen yang ingin mengembangkan teknologi

akan memberikan daya saing yang kuat. Bagian yang paling sulit untuk

mendapatkan keuntungan seperti ini berasal dari sebuah ide. Dengan

meninjau apa yang pesaing lakukan, dan mencari Analogi dari industri

lain, dapat dikembangkan ide-ide baru untuk strategi yang

menguntungkan. Kemungkinan strategi tersebut akan mencakup

pengembangan sistem antarorganisasi dan aliansi dengan perusahaan

lain. Untuk perusahaan manufaktur, strategi TI mungkin melibatkan

teknologi didalam produknya, seperti chip komputer ditemukan di

mobil untuk mengontrol mesin dan knalpot. Sebuah perusahaan jasa

mungkin menggunakan teknologi untuk menambahkan nilai layanan

yang sudah ada, sehingga memudahkan perusahaan dalam menjalankan

bisnis dan menurunkan biaya.

3. Integrasi Teknologi dan Membuat Keputusan

Tanggung jawab penting dari manajemen adalah

mengintegrasikan teknologi dengan semua keputusan bisnis. Integrasi

berarti manajer menyadari bagaimana teknologi baru dapat

27

menciptakan peluang. Teknologi benar-benar dapat mengubah cara

perusahaan menjalankan bisnisnya. Bersamaan dengan itu, pengelola

harus menyadari dampak dari keputusan pada teknologi perusahaan.

Sebuah keputusan untuk memasuki bidang usaha baru harus memiliki

efek langsung yang ada pada pengolahan sistem informasi.

4. Rencana Perusahaan untuk Strategi

Sebuah rencana strategis perusahaan berasal dari visi

perusahaan untuk kegiatan di masa depan. Rencana ini termasuk dalam

visi, di mana merupakan jalan untuk menuju visi tersebut. Daripada

rencana teknologi informasi itu terpisah, TI seharusnya merupakan

bagian integral dari rencana strategis perusahaan. Mengingat isi dari

rencana strategi perusahaan, ada kemungkinan untuk manajer fungsi TI

untuk mengembangkan rencana yang lebih detail untuk mendukung

kerjasama. Banyak organisasi yang menyetujui rencana itu diperlukan,

namun mereka tidak mengembangkannya. Alasan yang sering

diberikan yaitu bahwa rencana SI yang antara tiga sampai lima tahun

tidak sesuai dengan rencana dalam organisasi. Namun keduanya

mungkin dan banyak disukai untuk mengembangkan teknologi

informasi.

5. Aliansi dan Kemitraan

Perusahaan sekarang ini, memiliki banyak bentuk kemitraan

dan aliansi jika industri teknologi informasi adalah salah satu

contohnya. Kenyataannya, perusahaan kadang membentuk aliansi

28

dalam satu area dengan perusahaan yang bersaing dengan mereka,

beserta beberapa aspek bisnis lainnya.

6. Inisiatif Teknologi Informasi Baru

Beberapa organisasi pernah berhenti mengembangkan inisiatif

teknologi informasi baru. Karena kemajuan teknologi, tampaknya baru

merangsang gagasan tentang bagaimana menggunakan TI untuk

meningkatkan beberapa aspek organisasi. Rencana strategis perusahaan

harus mengidentifikasikan luas wilayah dimana teknologi dapat

berkontribusi terhadap perusahaan. Rencana TI menambahkan rincian

lebih lanjut dan mengidentifikasikan aplikasi khusus dari teknologi

untuk dikembangkan. Sekarang ini jarang ada orang yang menyarankan

aplikasi yang tidak layak. Sebaliknya, sebuah sistem yang layak

biasanya dapat digunakan untuk meningkatkan organisasi.

Pembangunan sistem merupakan wilayah yang memerlukan banyak

perhatian besar dari manajemen. Manajer harus menunjukkan bahwa

mereka berada di belakang pengembangan sistem yang baru dan

melihat bahwa terdapat masukan yang cukup dari pengguna dalam

proses desain. Sering pertemuan untuk peninjauan oleh perusahaan

sangat penting dilakukan selama proses desain. Top Management

harus berpatisipasi dalam pertemuan ini dan menyatakan dengan jelas

bahwa mereka mendukung perubahan yang diharapkan dari sistem.

29

7. Infrastruktur Teknologi Informasi

Kombinasi dari macam–macam teknologi umum dari

perusahaan merupakan dasar dari infrastruktur informasi. Beberapa

ahli menetapkan infrastruktur terbatas untuk fasilitas umum yang

tersedia pada perusahaan, seperti jaringan. Infrastruktur sangat penting

karena memfasilitasi pengembangan inisiatif TI yang baru.

8. Pengelolaan TI yang Berkelanjutan

Visi dan strategi bersifat jangka panjang, perusahaan masih

sering menghadapi tugas untuk menangani TI dari hari ke hari. Tugas

ini meliputi 2 bagian, yaitu mengembangkan aplikasi baru dan

menjalankan aplikasi yang sudah ada.

2.4.3 Kegagalan dalam Pengelolaan Teknologi Informasi

Kegagalan dalam pengelolaan TI terletak dalam penggunaan TI

mereka. Kegagalan dalam pengelolaan TI terletak pada penggunaan TI

yang tidak efektif dan efisien (O’Brien dan George, 2006, p486),

contohnya:

1. TI tidak digunakan secara efektif oleh perusahaan yang menggunakan

TI terutama untuk mengkomputerisasikan proses bisnis tradisional dan

bukannya untuk mengembangkan proses e-business yang inovatif

dengan melibatkan pelanggan, pemasok dan mitra bisnis lainnya, e-

commerce, serta dukungan keputusan.

30

2. TI tidak digunakan secara efisien oleh sistem informasi yang

memberikan respon waktu yang lama dan sering mengalami downtime,

atau para profesional sistem informasi dan konsultan yang mengelola

proyek pengembangan aplikasi dengan tidak tepat.

2.5 Manajemen Risiko Teknologi Informasi

2.5.1 Pengertian Manajemen Risiko

Menurut Djojosoedarso (2005, p4), manajemen risiko adalah

pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko,

terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan

masyarakat. Jadi mencakup kegiatan merencanakan, mengorganisir,

menyusun, memimpin/mengkoordinir dan mengawasi (termasuk

mengevaluasi) program penanggulangan risiko.

Program manajemen risiko dengan demikian mencakup tugas–

tugas, seperti:

1. Mengidentifikasi risiko–risiko yang di hadapi.

2. Mengukur atau menetukan besarnya risiko tersebut.

3. Mencari jalan untuk menghadapi atau menanggulangi risiko.

4. Menyusun strategi untuk memperkecil ataupun mengendalikan risiko.

5. Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi

program penanggulangan risiko yang telah di buat.

31

2.5.2 Implementasi Kemampuan Manajemen Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen

risiko teknologi informasi yang efektif adalah kemampuan manajemen

yang memenuhi kebutuhan bisnis, di mana elemen desain penting yang

harus dipertimbangkan adalah:

1. Strategi dan Kebijakan

Strategi-strategi dan kebijakan-kebijakan manajemen risiko

teknologi informasi diperlukan untuk menentukan tujuan dari

manajemen risiko teknologi informasi secara keseluruhan, membangun

prioritas dan pentingnya manajemen risiko teknologi informasi,

memastikan cakupan area yang potensial dari risiko teknologi

informasi dan menyediakan landasan peraturan dan prinsip-prinsip

untuk mengelola risiko. Kebijakan manajemen risiko teknologi

informasi harus didokumentasikan secara formal dan didukung oleh

tim tata kelola teknologi informasi dan dikomunikasikan secara aktif

kepada seluruh organisasi.

2. Peran dan Tanggung Jawab

Peran yang perlu ditentukan terlebih dahulu dan sesudah itu

orang yang tepat yang harus dipilih dan ditempatkan untuk melakukan

peran tersebut. Beberapa hal yang perlu dipertimbangkan adalah:

a. Pemisahan tugas: untuk memastikan bahwa setiap peran kelas

risiko independen menjalankan pemantauan dan melakukan

tinjauan ulang.

32

b. Menyeimbangkan kebutuhan masukkan untuk spesialis: kontribusi

pengertian proses, sistem dan risiko spesifik , manajerial

pembuatan keputusan–mempertimbangkan semua faktor dan

menentukan tindakan.

c. Mencocokkan peran manajemen risiko teknologi informasi ke

dalam struktur di mana dia seharusnya ditempatkan. Misalnya,

aktivitas perawatan manajemen risiko teknologi informasi harus

sejalan dengan manajer proyek untuk risiko proyek.

d. Membuat peran manajemen risiko teknologi informasi yang baru

ketika dibutuhkan, misalnya, lintas fungsional bisnis dengan

koordinasi peran secara berkelanjutan.

e. Mengalokasikan tanggung jawab bersama jika diperlukan dan

memastikan semua tempat telah diambil.

3. Proses dan Pendekatan

Siklus hidup manajemen risiko memiliki beberapa langkah,

yang dikembangkan dengan beberapa langkah yang berbeda untuk

berbagai jenis risiko:

a. Identifikasi/Penemuan: Mendapatkan risiko teknologi informasi

berdasarkan radar dari manajemen.

b. Penilaian/Analisis: Memahami risiko dalam konteks keseluruhan

portfolio risiko teknologi informasi dan menilai kemungkinan

terjadinya dan dampak potensial terhadap bisnis.

33

c. Perawatan: Menentukan pilihan terbaik dari banyaknya program

untuk menangani risiko, perencanaan dan menyelesaikan tindakan

yang diperlukan.

d. Pemantauan dan Tinjauan: Menindaklanjuti untuk memastikan

rencana apa yang telah dilakukan dan memahami adanya

perubahan lebih lanjut dalam risiko dari portfolio.

4. Orang dan Performa

Manajemen risiko teknologi informasi juga tentang orang dan

performa mereka. Kemampuan dan pengetahuan dari orang-orang

dalam manajemen risiko teknologi harus dikembangkan dan dipelihara.

Pengembangan dan pemeliharaan ini memerlukan beberapa kombinasi

pendidikan dan pelatihan penanggulangan risiko teknologi informasi

sesuai dengan peran dan tanggung jawab yang ada.

5. Implementasi dan Pengembangan

Orang tidak hanya akan menerima cara baru dalam pengelolaan

risiko teknologi informasi tanpa pernah diberitahu mengapa

diperlukan. Sebuah cerita yang meyakinkan pentingnya hal tersebut

untuk organisasi dan apakah itu penting untuk organisasi.

34

2.6 Pengukuran Risiko Teknologi Informasi

Berdasarkan penelitian yang kami lakukan, maka ditemukan beberapa

metode pengukuran risiko teknologi informasi diantaranya, yaitu metode

OCTAVE-S dan metode NIST yang digunakan untuk perbandingan.

2.6.1 NIST (National Institute of Standard and Technology) Special

Publication 800-30

Menurut Maulana dan Supangkat (2006, p123), terdapat 9 langkah

dalam proses penilaian risiko, yaitu:

a. Mengetahui karakteristik dari sistem teknologi informasi: hardware,

software dan sistem antarmuka (koneksi internal atau eksternal), data

dan informasi, orang yang mendukung atau yang menggunakan

sistem, arsitektur keamanan sistem, topologi jaringan sistem.

b. Identifikasi ancaman yang mungkin menyerang kelemahan sistem

teknologi informasi. Sumber ancaman bisa berasal dari alam,

manusia dan lingkungan.

c. Identifikasi kekurangan atau kelemahan (vulnerability) pada

prosedur keamanan, desain, implementasi dan internal kontrol

terhadap sistem sehingga mengahasilkan pelanggaran terhadap

kebijakan keamanan sistem.

d. Menganalisa kontrol-kontrol yang sudah diimplementasikan atau

direncanakan untuk diimplementasikan oleh organisasi untuk

mengurangi atau menghilangkan kecenderungan (kemungkinan) dari

suatu ancaman menyerang sistem yang vulnerable.

35

e. Penentuan kecenderungan (likelihood) dari kejadian yang bertujuan

untuk memperoleh penilaian terhadap keseluruhan kecenderungan

yang mengindikasikan kemungkinan potensi vulnerability diserang

oleh lingkungan ancaman yang ada.

f. Analisa dampak yang kurang baik yang dihasilkan dari suksesnya

ancaman menyerang vulnerability. Seperti loss of integrity, loss of

availability, dan loss of confidentiality. Pengukuran dampak dari

resiko teknologi informasi dapat dilakukan dengan kualitatif maupun

kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3

bagian, yaitu: high, medium dan low.

g. Penentuan level risiko. Penentuan level risiko dari sistem yang

merupakan pasangan ancaman/vulnerability merupakan suatu fungsi:

i.Kecenderungan suatu sumber ancaman menyerang sumber

vulnerability dari sistem teknologi informasi.

ii.Besarnya dampak yang akan terjadi jika sumber ancaman sukses

menyerang vulnerability sistem teknologi informasi.

iii.Terpenuhinya perencanaan kontrol keamanan yang ada untuk

memenuhi dan menghilangkan risiko.

h. Rekomendasi–rekomendasi untuk mengurangi level risiko sistem

teknologi informasi dan data sehingga mencapai level yang bisa

diterima.

i. Dokumentasi hasil dalam bentuk laporan.

36

2.6.2 OCTAVE-S

2.6.2.1 Pengertian OCTAVE-S

Menurut Alberts et al. (2005, p3), OCTAVE-S adalah

sebuah variasi dari pendekatan OCTAVE yang dikembangkan

untuk menemukan kebutuhan-kebutuhan kecil, organisasi–

organisasi yang tidak memiliki hierarki. Hal ini memerlukan

sebuah analisis tim untuk menguji resiko keamanan di sebuah

aset organisasi dalam hubungannya dengan objective bisnis.

Dengan mengimplementasi hasil-hasil dari OCTAVE-S, sebuah

organisasi berusaha melindungi semua informasi dengan lebih

baik dan meningkatkan keseluruhan bidang keamanan.

2.6.2.2 Tahap, Proses, dan Aktivitas OCTAVE-S

Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar

pada 3 tahap yang dideskripsikan dalam kriteria OCTAVE,

meskipun nomor dan urutan kegiatan berbeda dari metode

OCTAVE yang digunakan. Bagian ini memberikan tinjauan

singkat atas tahapan, proses, dan kegiatan OCTAVE-S.

Tahap satu adalah sebuah evaluasi dari aspek organisasi.

Selama dalam tahap ini, tim analisis menggambarkan kriteria

dampak evaluasi yang akan digunakan nantinya untuk

mengevaluasi risiko. Hal ini juga mengidentifikasi aset–aset

organisasi yang penting, dan mengevaluasi praktek keamanan

dalam organisasi saat ini. Di mana pada tahap ini terdiri atas 2

37

proses, yaitu identifikasi informasi organisasi dan membuat profil

ancaman serta memiliki enam aktivitas.

Tahap kedua yaitu tim analisis melakukan peninjauan

ulang level tinggi dari perhitungan infrastruktur organisasi, yang

berfokus pada keamanan yang dipertimbangkan pemelihara dari

infrastruktur. Tahap ini memiliki satu proses yaitu memeriksa

perhitungan infrastruktur dalam kaitannya dengan aset yang kritis

dimana terdapat dua aktivitas.

Selama tahap ketiga, tim analisis mengidentifikasi risiko

dari aset kritis organisasi dan memutuskan apa yang harus

dilakukan mengenainya. Berdasarkan analisis dari kumpulan

informasi, tim membuat strategi perlindungan untuk organisasi

dan rencana mitigasi risiko yang ditujukan pada aset kritis. Tahap

ini terdiri atas 2 proses, yaitu identifikasi dan analisis risiko serta

mengembangkan strategi perlindungan dan rencana mitigasi, di

mana proses ini memiliki delapan aktivitas.

Dari uraian tahap, proses dan aktivitas diatas, dapat dilihat

penjabaran tiga puluh langkah OCTAVE-S yang terdapat pada

lampiran L-1 sampai L-7.

2.6.2.3 Hasil OCTAVE-S

Menurut Alberts et al. (2005, p6), selama mengevaluasi

OCTAVE-S, tim analisis melihat keamanan dari beberapa

38

perspektif, memastikan bahwa rekomendasi yang dicapai sesuai

dengan keseimbangan berdasarkan kebutuhan organisasi.

Hasil utama dari OCTAVE–S, yaitu:

1. Strategi perlindungan organisasi yang luas: Perlindungan

strategi menguraikan secara singkat arah organisasi dengan

mematuhi praktek keamanan informasi.

2. Rencana mitigasi risiko: Rencana ini dimaksudkan untuk

mengurangi risiko aset kritis untuk meningkatkan praktek

keamanan yang di pilih.

3. Daftar tindakan: Termasuk tindakan jangka pendek yang

dibutuhkan untuk menunjukkan kelemahan yang spesifik.

Hasil OCTAVE-S yang berguna lainnya, yaitu:

1. Daftar informasi penting terkait dengan aset yang mendukung

tujuan bisnis dan sasaran organisasi.

2. Hasil survei menunjukkan sejauh mana organisasi mengikuti

praktek keamanan yang baik.

3. Profil risiko untuk setiap aset kritis menggambarkan jarak

antara risiko terhadap aset.

Setiap tahap OCTAVE-S memproduksi hasil yang

bermanfaat sehingga sebagian evaluasi akan menghasilkan

informasi yang berguna untuk meningkatkan sikap keamanan

organisasi.

39

Beberapa mahasiswa Idaho State University dan Florida

Atlantic University di Amerika Serikat telah melakukan

penelitian terhadap penggunaan beberapa metode pengukuran

risiko teknologi informasi diantaranya yaitu metode OCTAVE-S,

NIST (National Institute of Standards and Technology) dan

FRAAP (Facilitated Risk Analysis Assessment Process). Carnegie

Mellon Software Engineering Institute dalam memenuhi aktivitas

perusahaannya juga mengembangkan OCTAVE dan OCTAVE-S.

Selain itu, berdasarkan penelitian mahasiswa University of

Johannesburg di Afrika Selatan, OCTAVE-S juga dikembangkan

oleh SEI (Software Engineering Institute).