bidang hibah bersaing : sistem...
TRANSCRIPT
i
LAPORAN AKHIR
HIBAH BERSAING
PENYUSUNAN GRAND DESIGN SISTEM INFORMASI
UNIVERSITAS MERCU BUANA
TIM PENGUSUL:
Dr. HARWIKARYA, MT
MUJIONO, ST, MT
UNIVERSITAS MERCU BUANA
NOVEMBER 2015
Bidang Hibah Bersaing : Sistem Informasi
ii
iii
DAFTAR ISI
HALAMAN PENGESAHAN .............................. Error! Bookmark not defined.
DAFTAR ISI ......................................................................................................iii
DAFTAR TABEL ............................................................................................... v
DAFTAR GAMBAR..............................................................................................V
BAB 1 PENDAHULUAN ................................................................................... 1
1.1. Latar Belakang....................................................................................... 1
1.2. Tujuan Khusus ....................................................................................... 3
1.3. Urgensi Penelitian .................................................................................. 4
BAB 2 TINJAUAN PUSTAKA ........................................................................... 5
2.1. IT Governance ....................................................................................... 5
2.2. Corporate Governance ........................................................................... 6
2.3. Manajemen Proses Bisnis ...................................................................... 7
2.4. Manajemen Strategi ............................................................................... 9
2.5. SWOT Analisis .................................................................................... 12
2.6. Kerangka Kerja Ward & Peppard ......................................................... 14
2.7. Value Chain Analysis .......................................................................... 17
2.8. Critical Success Factor Analysis .......................................................... 18
BAB 3 TUJUAN DAN MANFAAT PENELITIAN .......................................... 20
BAB 4. METODA PENELITIAN........................................................................21
4.1. Tipe Penelitian ..................................................................................... 21
4.2. Objek Penelitian .................................................................................. 23
4.3. Jenis Data ............................................................................................ 23
4.4. Metode Pengumpulan Data .................................................................. 24
4.4.1. Desk study .................................................................................... 24
4.4.2. Participatory Rural Appraisal (PRA) ............................................. 25
4.4.3. Observasi ...................................................................................... 25
4.5. Teknik Analisis Data ........................................................................... 26
4.5.1. Analisis SWOT ............................................................................. 26
4.5.2. Analisis Proses Bisnis ................................................................... 26
iv
4.5.3. Analisis Sistem Informasi ............................................................. 28
4.5.4. Analisis Arsitektur Teknologi Informasi ....................................... 28
4.5.5. Analisis Organisasi dan Manajemen Teknologi Informasi ............. 29
4.6. Metodologi Penyusunan ....................................................................... 29
BAB 5 HASIL YANG DICAPAI......................................................................... 32
BAB 6 KESIMPULAN DAN SARAN................................................................40
DAFTAR PUSTAKA ........................................................................................ 41
v
ABSTRAK
Saat ini Sistem dan Teknologi Informasi telah menjadi bagian tak
terpisahkan pada Perguruan Tinggi baik negri maupun swasta. Tidak hanya
membantu proses otomasi dan manajemen informasi, tetapi memungkinkan
terjadinya aktivitas, fasilitas atau cara kerja baru yang tidak mungkin terjadi
sebelumnya seperti aspek keamanan informasi. Audit Sistem Informasi sangat
penting dilakukan agar segala macam kekurangan pada Sistem danTeknologi
Informasi pada satu Institusi Perguruan Tinggi dapat diperbaiki. Penelitian ini
merupakan pengkajian dan audit pada sistem informasi akademik yang merupakan
sistem utama pada perguruan tinggi. Pengkajian dan audit berdasarkan kerangka
kerja ITAF ISACA dikombinasikan dengan kerangka kerja ISO 27004 yang
mengukur parameter keamanan sistem informasi. Berdasarkan pada temuan audit
maka dibuat rekomendasi harus ada program yang membuat pengguna pada sistem
ini menjadi lebih perhatian dan berhati hati serta dapat memehami pentingnya
keamanan sistem informasi dan kemungkinan pengembangan sistem informasi
yang sedang berjalan atau pembuatan sistem informasi akademik yang baru.
Kata kunci : Index-Term Audit, ITAF, ISO 27004, Information Security
vi
ABSTRACT
Nowadays the information system and technology play a significant role in higher
education institutions. The system and the technology have to adapt with the
regulatory compliance, technology growth, and up to date user need while ensuring
the information security. IS audit is one of the action to assure these constraints are
met. The paper present the study result of IT assurance/audit of academic
information system as the main system and which is operated in a higher institution.
The audit is performed based on IT Assurance frameworks, ITAF-ISACA with
some modifications and combining with ISO 27004 clause as measurement
parameters in its information security assessment. Based on the analysis of the
major findings in the audit, it is proposed some recommendations such: to increase
user awareness program regarding to the importance of information security and
the possibility to develop the new academic information system.
Keywords :Index TermsIS Audit, ITAF, ISO 27004, Information Security
1
BAB I PENDAHULUAN
1.1. Latar Belakang
Dewasa ini, dengan tingkat kemajuan yang telah dicapainya, Teknologi
Informasi telah menjadi bagian tak terpisahkan dari kehidupan sehari-hari. TI tidak
hanya membantu proses otomasi dan manajemen informasi, tetapi memungkinkan
terjadinya aktivitas, fasilitas atau cara kerja baru yang tidak mungkin terjadi
sebelumnya. Dengan kata lain, TI telah menjadi penggerak dari suatu kegiatan dan
pelayanan suatu organisasi. Penyelenggaraan jasa telekomunikasi, Institusi
Pendidikan, electronic trading dan jasa perbankan adalah beberapa contoh kasus
dari peran teknologi informasi sebagai penggerak dari suatu aktivitas ekonomi.
Dalam menerapkan TI bagi sebuah institusi yang memberikan layanan, kita
harus memikirkan nilai tambah yang dapat diberikan dari penerapan tersebut agar
terhindar dari keadaan dimana penerapan TI tersebut berakhir dengan investasi
yang dipandang sia-sia dan hanya menghamburkan uang.
Namun demikian, kunci keberhasilan penerapan TI di lingkungan
Universitas Mercu Buana tetap terletak pada wawasan dan kemampuan para
pengelola (SDM) baik di tingkat pengambil kebijakan ataupun di tingkat
operasional tentang teknologi informasi dan manfaatnya untuk mendukung
kegiatan pengembangan Universitas Mercu Buana.
Keterlibatan dari berbagai pihak tidak hanya di jajaran teknis yaitu SDM
yang mengerti TI, tetapi juga pihak lain dan menentukan keberhasilan penerapan.
Karena tanpa keterlibatan banyak pihak tersebut, penerapan TI tidak mendapatkan
2
ruh yang menyemangati gerakan untuk memanfaatkan TI tersebut. Kegagalan
dalam menerapkan TI bagi sebuah institusi biasanya terjadi karena faktor-faktor
Inisiatif TI dilakukan secara bottom up, pihak manajemen kurang terlibat, strategi
TI tidak sejalan dengan usaha (business) dan pengembangan TI hanya Departemen
TI yang terlibat.
Akibat dari berbagai keterbatasan yang ada, TI yang digunakan saat ini di
Universitas Mercu Buana masih belum dikembangkan secara maksimal. Namun di
saat yang bersamaan perkembangan pemanfaatan teknologi oleh berbagai pihak
mulai memanfaatkan kecanggihan teknologi dalam membantu mereka menjalankan
aktivitasnya masing-masing. Kondisi ini menuntut dilakukannya pembenahan TI
Universitas Mercu Buana agar dapat menjawab berbagai tantangan dan kebutuhan
masyarakat luas.
Dapat pula dikemukakan di sini bahwa teknologi dan sistem informasi
semakin hari semakin memudahkan aktivitas organisasi maupun SDM di dalamnya.
Demikian juga semakin hari semakin banyak organisasi pemerintahan yang
bergantung kepada teknologi informasi untuk mendukung layanannya dan
mendapatkan keunggulan daya saing. Namun di balik kemudahan dan kenyamanan
yang dapat diperoleh dari teknologi dan sistem informasi, tersimpan masalah
semakin kompleksnya teknologi informasi tersebut. Teknologi semakin cepat
berkembang, dengan tantangan dan ancaman yang juga.
Implementasi TI di Universitas Mercu Buana belum terkelola dengan baik
dan terjadi tumpang tindih serta ketidaksesuaian standar Data maupun Informasi
yang dihasilkan, sehingga banyak aplikasi-aplikasi yang seharusnya menghasilkan
3
informasi tetapi tidak sesuai dengan kebutuhan, serta prioritas investasi Teknologi
Informasi yang tidak terarah. Kondisi ini menuntut dilakukannya pembenahan TI
di Universitas Mercu Buana sehingga implementasi TI benar-benar dapat
membantu kinerja dan menghasilkan output sesuai dengan kebutuhan informasi.
Penilaian dan rekomendasi Teknologi Informasi telah dilakukan pada penelitian
sebelumnya
Dua hal yang diuraikan dalam dua paragraf di atas cukup sebagai alasan
mengenai perlunya suatu strategi dan perencanaan teknologi dan sistem informasi
dalam suatu organisasi. Tuntutan bahwa teknologi dan sistem informasi harus
sejalan dan mendukung obyektif organisasi seperti yang disaratkan dalam
Information Technology Governance (ITG), merupakan pemicu perlunya strategi
dan perencanaan teknologi / sistem informasi.
1.2. Perumusan Masalah.
Bagaimana Tata kelola Teknologi Informasi yang sudah terbentuk dapat
dilaksanakan sesuai dengan kaidah yang berlaku ?
1.3. Tujuan Khusus
Berdasarkan identifikasi dan perumusan masalah diatas, maka tujuan
penelitian ini adalah untuk menyusun Grand Design Sistem Informasi Universitas
Mercu Buana sebagai pedoman dalam pengembangan Teknologi Informasi di
lingkungan Universitas Mercu Buana.
4
1.4. Urgensi Penelitian
Hal yang diharapkan dalam penyusunan pedoman dalam pengembangan TI
yang terintegrasi di lingkungan Universitas Mercu Buana agar program
pengembangan di Universitas Mercu Buana khususnya di bidang TI dapat segera
terlaksana dan terarah sesuai dengan tujuan Universitas Mercu Buana. Alasan
utama penyusunan sebuah Grand Design Sistem Informasi adalah sebagai berikut.
1. Menjamin agar pengembangan IT perusahaan sejalan atau selaras dengan
strategi bisnis.
2. Mencegah terjadinya pemborosan karena sistem yang redundan dan tambal
sulam.
3. Mengurangi resiko ketidakcocokan antara IT yang tersedia dan kebutuhan
pengguna.
4. Mengantisipasi dampak negatif dari perubahan teknologi yang sedemikian
cepat.
5. Memastikan manfaat yang diperoleh dari IT melebihi total biaya yang harus
dikeluarkan.
6. Membantu memuluskan jalannya proses pengembangan IT di perusahaan.
7. Menjadi bahasa bersama seluruh pemangku kepentingan dalam
mengembangkan IT.
5
BAB II TINJAUAN PUSTAKA
2.1. IT Governance
Sebuah konsep yang berkembang dari sektor swasta yang muncul salah
satunya adalah IT Governance, namun dengan berkembangnya penggunaan TI oleh
sektor public dan organisasi-organisasi pemerintahan, maka IT Governance juga
harus diterapkan di sektor pemerintahan ini yang banyak menuntut perbaikan
pelayanan bagi masyarakat ini. Peranan IT governance tidaklah diragukan lagi
dalam pencapaian tujuan suatu organisasi yang mengadopsi TI. Seperti fungsi-
fungsi manajemen lainnya pada organisasi publik, maka IT Governance yang pada
intinya adalah bagaimana mengatur penggunaan TI agar menghasilkan output yang
maksimal dalam organisasi, membantu proses pengambilan keputusan dan
membantu proses pemecahan masalah juga harus dilakukan.
Prinsip-prinsip IT Governance harus dilakukan secara terintegrasi,
sebagaimana fungsi-fungsi manajemen dilaksanakan secara sistemik dilaksanakan
pada sebuah organisasi publik. Weill dan Ross (2004:2) mendefenisikan IT
Governance sebagai keputusan-keputusan yang diambil, yang memastikan adanya
alokasi penggunaan TI dalam strategi-strategi organisasi yang bersangkutan. IT
Governance merefleksikan adanya penerapan prinsip-prinsip organisasi dengan
memfokuskan pada kegiatan manajemen dan penggunaan TI untuk pencapaian
organisasi.
Dengan demikian, IT governance pada intinya mencakup pembuatan
keputusan, akuntabilitas pelaksanaan kegiatan penggunaan TI, siapa yang
mengambil keputusan, dan mengatur proses pembuatan dan pengimplementasian
6
keputusankeputusan yang berkaitan dengan TI. Contoh bidang cakupan IT
governance sektor publik adalah keputusan pemerintah yang menentukan siapa
yang memiliki wewenang dan tanggungjawab dalam pembuatan keputusan tentang
berapa jumlah investasi yang dapat dilakukan pada sektor publik dengan
memanfaatkan TI.
2.2. Corporate Governance
Corporate Governance atau disebut juga Tata Kelola Korporasi adalah
seperangkat tanggung jawab dan praktek praktek yang digunakan oleh
manajemen suatu korporasi untuk membuat arahan yang bersifat strategis sehingga
dengan demikian memastikan tujuan tujuan korporasi dapat tercapai, risiko dapat
dikelola dengan benar, dan sumber daya korporasi dapat diberdayakan.
Dalam kaitan dengan pembahasan pelaksanaan kegiatan ini, Corporate
Governance perlu dikemukakan karena merupakan payung dari IT Goverance. IT
Goverance akan mengarahkan strategi IT dalam organisasi Universitas Mercu
Buana dan Perancangan sistem/teknologi informasi Universitas Mercu Buana
merupakan salah satu implementasi program dari strategi TI organisasi.
Good Corporate Governance adalah tata-kelola perusahaan yang baik yang
dapat memastikan bahwa perusahaan atau jalannya perusahaan diawasi atau
dikelola sedemikian rupa sehingga hal-hal yang tidak dikehendaki seperti
perusahaan bangkrut dapat dihindari.
Konsep Good Corporate Governance mulai dikenal kira-kira sekitar tahun
1992-1993 dan berkembang pesat terutama setelah terjadinya kebangkrutan pada
7
perusahaan-perusahaan besar di Amerika Serikat dan Eropa, dimana kebangkrutan
tersebut diyakini dan baru disadari disebabkan karena tidak adanya pengawasan
yang baik pada perusahaan-perusahaan tersebut. Setelah adanya kebangkrutan
tersebut, baru disadari pula bahwa pada dasarnya para eksekutif perusahaan jika
tidak diawasi maka kecenderungannya mereka akan mendahulukan kepentingan
pribadinya daripada kepentingan perusahaan, padahal tujuan dari dibentuknya suatu
perusahaan adalah dalam rangka untuk mensejahterakan pemegang saham.
Sebelumnya ada kecenderungan bahwa pemilik perusahaan sangat percaya
kepada para eksekutif perusahaan sehingga dianggap tidak perlu dibentuk suatu
pengawasan yang ketat dan ini sesuai dengan suatu teori yang disebut stewardship
theory yang mengatakan bahwa pada dasarnya manusia adalah insan yang dapat
dipercaya sehingga tidak perlu dibentuk suatu pengawasan yang kuat. Tetapi
setelah berjatuhannya perusahaan-perusahaan besar di Amerika Serikat dan Eropa,
maka mulailah dengan pesat dikembangkan lagi konsep Good Corporate
Governance yang pada intinya berdasarkan pada suatu teori yang disebut Agency
theory yang mengatakan bahwa pada dasarnya manusia adalah insan yang tidak
dapat dipercaya sehingga perlu dibuat suatu pengawasan yang sangat ketat. Dengan
adanya pengawasan yang ketat maka diharapkan tidak akan ada lagi conflict of
interest di jajaran eksekutif perusahaan, sehingga tujuan dibentuknya perusahaan
untuk kesejahteraan pemegang saham akan terwujud.
2.3. Manajemen Proses Bisnis
Perubahan dalam kehidupan kita sangat cepat setiap saat. Sistem kerja yang
dapat digunakan kemarin mungkin tidak dapat dimanfaatkan untuk kondisi saat
8
sekarang atau besok. Seorang menajer mengatahui bahwa organisasi yang sukses
adalah organisasi yang dapat menyesuaikan diri terhadap perubahan yang terjadi.
Proses bisnis menggambarkan bagaimana para manajer menganalisa, mendesain
ulang, dan meningkatkan proses bisnis yang mereka kelola, sehingga manajer dapat
tahu bagaimana perusahaan dapat mencapai efisiensi dengan mengintegrasikan dan
meningkatkan proses bisnis mereka dan menyelaraskan proses bisnis mereka
dengan strategi dan tujuan perusahaan
Gambar 2.1. Manajemen Proses Bisnis
Manajemen proses bisnis didasarkan pada pengamatan bahwa setiap produk
perusahaan yang disediakan ke pasar merupakan hasil dari sejumlah kegiatan yang
dilakukan. Proses bisnis merupakan instrumen kunci untuk mengorganisir kegiatan
ini dan untuk meningkatkan pemahaman tentang hubungan timbal balik proses
tersebut.
Sebuah proses bisnis terdiri dari serangkaian kegiatan yang dilakukan dalam
koordinasi di lingkungan organisasi dan teknis. Kegiatan-kegiatan ini bersama-
9
sama mewujudkan tujuan bisnis. Setiap proses bisnis yang telah ditetapkan oleh
sebuah organisasi dapat berinteraksi dengan proses bisnis yang dilakukan oleh
organisasi lain.
Manajemen proses bisnis merupakan konsep, metode, dan teknik untuk
mendukung desain, administrasi, konfigurasi, pemberlakuan, dan analisis proses
bisnis. Dasar manajemen bisnis proses adalah representasi eksplisit dari proses
bisnis dengan kegiatan serta hambatan dalam melaksanakannya.
2.4. Manajemen Strategi
Strategi didefinisikan oleh David (2009:18) sebagai cara untuk mencapai
sasaran jangka panjang. Strategi bisnis dapat termasuk strategi teknologi informasi,
perluasan geografis, difersifikasi, akuisisi, pengembangan produk, penetrasi pasar,
pengurangan, divestasi, likuidasi dan usaha patungan.
Gagasan dasar yang melatarbelakangi manajemen strategi adalah adanya
kesan, bahwa manajemen stategi mampu mengurangi ketidakpastian dan
kompleksitas bisnis. Bahkan didalam manajemen strategi ini, konsep dan teknik
analisisnya sering digunakan sebagai alat bantu utama dalam pengambilan
keputusan manajerial, yang berarti pengambilan keputusan manajerial ini berkaitan
dengan tujuan perusahaan yang ingin dicapai.
Untuk lebih memahami tentang manajemen strategi, maka berikut ini akan
diuraikan mengenai definisi manajemen strategi yang berbeda-beda ditinjau dari
segi perusahaan. Definisi yang diberikan oleh penulis buku manajemen strategi
10
perusahaan yang satu dengan definisi penulis lainya belum terdapat kesatuan yang
dapat diterima oleh berbagai pihak. Berikut ini adalah berbagai definisi manajemen
strategi dari berbagai penulis.
Dess and Miller (2000:9) menyatakan bahwa Strategic management is a
process that combines three major interrelated activities : Strategic analyze,
strategic formulation and strategic implementation.
Pearce and Robinson (2007:3) menyatakan bahwa Strategic management
is a set of decisions actions that result in the frmulation and implementation of plans
design to achieve companys objectives.
David (2009:5) mengatakan bahwa Manajemen strategi adalah seni dan
pengetahuan untuk merumuskan, mengimplementasikan, dan mengevaluasi
keputusan lintas fungsional yang membuat organisasi mampu mencapai
obyektifnya.
David (2009:5) menegaskan bahwa dalam pernyataan strategi seperti yang
tersirat dalam definisi tersebut, fokus manajemen strategis terletak pada
memadukan manajemen, permasalahan, keuangan/akunting, produksi/operasi,
penelitian dan pengembangan, serta sistem informasi komputer untuk mencapai
keberhasilan organisasi.
A. Tahapan Dalam Manajemen Strategis
Menurut David (2009:6) proses manajemen strategis terdiri dari tiga
tahapan, yaitu perumusan strategi, implementasi strategi dan evaluasi strategi.
Perumusan strategi termasuk mengembangkan misi bisnis, mengenali peluang dan
11
ancaman eksternal perusahaan, menetapkan kekuatan dan kelemahan internal,
menetapkan obyektif jangka panjang, menghasilkan strategi alternatif, dan memilih
strategi tertentu untuk dilaksanakan.
Implementasi strategi menuntut perusahaan untuk menetapkan obyektif
tahunan, memperlengkapi dengan kebijakan, memotivasi karyawan, dan
mengalokasikan sumber daya sehingga strategi yang dirumuskan dapat
dilaksanaan. Implementasi strategi termasuk didalamnya pengembangan budaya
dalam mendukung strategi, menciptakan struktur organisasi yang efektif,
mengubah arah pemasaran menyiapkan anggaran, mengembangkan dan
memanfaatkan sistem informasi, dan menghubungkan kompensasi karyawan
dengan prestasi organisasi.
Evaluasi strategi merupakan tahap terakhir dalam manajemen strategi, pada
tahap ini para manajer tingkat atas diminta untuk menilai apakah strategi tersebut
sudah dilaksanakan dengan baik dan bagaimana dampaknya bagi perusahaan.
Selama perusahaan melaksanakan strategi, perusahaan harus mengamati hasilnya
dan memantau perkembngan baru di lingkungan. Perusahaan harus beradaptasi
terhadap perubahan lingkungan dan perlu menilai ulang, menyesuaikan
pelaksanaan program dan strategi, bahkan jika perlu sasaran yang hendak
dicapainya.
Menurut David (2009:7) evaluasi strategi termasuk tiga aktivitas dasar,
yaitu (1) meneliti dasar-dasar dari suatu strategi, (2) membadingkan hasil yang
diharapkan dengan kenyataan, dan (3) mengambil tindakan korektif untuk
memastikan bahwa prestasi sesuai dengan rencana.
12
B. Proses Perumusan Strategi
Menurut David (2009:8) proses manajemen strategis meliputi empat elemen
dasar :
1. Pengamatan lingkungan; proses manajemen mengamati lingkungan
eksternal untuk melihat kesempatan dan ancaman serta mengamati
lingkungan internal untuk melihat kekuatan dan kelemahan.
2. Perumusan strategi; pengembangan rencana jangka panjang untuk
manajemen efektif dari kesempatan dan ancaman lingkungan, dilihat dari
kekuatan dan kelemahan perusahaan.
3. Implementasi strategi; proses di mana manajemen mewujudkan strategi dan
kebijakannya dalam tindakan melalui pengembangan program, anggaran,
dan prosedur.
4. Evaluasi dan pengendalian; proses yang melaluinya aktivitas-aktivitas
perusahaan dan hasil kinerja di monitor dan kinerja sesungguhnya
dibandingkan dengan kerja yang diinginkan
2.5. SWOT Analisis
Analisis SWOT adalah identifikasi berbagai faktor secara sistematis untuk
merumuskan strategi perusahaan. Analisis ini didasarkan pada logika yang dapat
memaksimalkan kekuatan ( strength ) dan peluang ( opportunities ), namun secara
bersamaan dapat meminimalkan kelemahan ( weakness ) dan ancaman ( threats ).
13
Gambar 2.2. Analisis SWOT (Rangkuti, 2001:19 )
Proses pengambilan keputusan strategis selalu berkaitan dengan
pengembangan misi, tujuan, strategi, dan kebijakan perusahaan. Dengan demikian
menurut Rangkuti (2001:19) perencana strategis harus menganalisis faktor-faktor
strategis perusahaan (kekuatan, kelemahan, peluang dan ancaman) dalam kondisi
yang ada saat ini.
Kuadran I :
Ini merupakan situasi yang sangat menguntungkan. Perusahaan tersebut
memiliki peluang dan kekuatan sehingga dapat memanfaatkan peluang yang ada.
Strategi yang harus diterapkan dalam kondisi ini adalah mendukung pertumbuhan
yang agresif.
BERBAGAI
PELUANG
KUADRAN I
Mendukung strategi agresif
KUADRAN III
Mendukung
strategi turn
around
BERBAGAI
ANCAMAN
KUADRAN II
Mendukung
strategi
diversifikasi
KUADRAN IV
Mendukung strategi defensif
KEKUATAN
INTERNAL KELEMAHA
N INTERNAL
14
Kuadran II :
Meskipun menghadapi berbagai ancaman, perusahaan ini masih memiliki
kekuatan dari segi internal. Strategi yang harus diterapkan adalah menggunakan
kekuatan untuk memanfaatkan peluang jangka panjang dengan cara strategi
diversifikasi
Kuadran III :
Perusahaan menghadapi peluang pasar yang sangat besar, tetapi dilain
pihak, ia menghadapi beberapa kendala/kelemahan internal. Fokus strategi
perusahaan ini adalah meminimalkan masalah-masalah internal perusahaan
sehingga dapat merebut peluang pasar yang lebih baik.
Kuadran IV :
Ini merupakan situasi yang sangat tidak menguntungkan, perusahaan
tersebut menghadapi berbagai ancaman dan kelemahan internal.
2.6. Kerangka Kerja Ward & Peppard
Kerangka kerja penyusunan Perencanaan Strategis SI/TI Ward & Peppard
terdiri dari dua langkah utama : analisa (masukan) dan formulasi (keluaran), seperti
diilustrasikan dalam gambar di bawah.
15
Gambar 2.3. Model Perencanaan Strategi SI/TI (Ward & Peppard)
1. Tahapan Analisa
Pada Ward & Peppard, tahapan identifikasi dan analisa dilakukan atas
komponen komponen lingkungan ektsternal dan internal baik bisnis maupun SI /
TI.
Identifikasi & analisa lingkungan bisnis internal dapat mencakup aspek
aspek strategi bisnis yang ada (atau strategi layanan untuk institusi nir laba), sasaran
dan tujuan organisasi, kualitas dan kuantitas sumber daya yang dimiliki, proses
bisnis/layanan internal, nilai nilai dan budaya yang dianut organisasi, peraturan
perundangan dan atau kebijakan yang harus dipatuhi, dll.
Identifikasi dan analisa lingkungan bisnis eksternal dapat meliputi : daya
saing, kedaaan pasar, kondisi kompetitor, kondisi pasar (atau tuntutan publik untuk
16
layanan organisasi nir laba), iklim usaha, aspek ekonomi sosial kemasyaraktan,
aspek politik, dll.
Identifikasi dan analisa SI / TI internal meliputi kondisi SI/TI saat ini,
kontribusi yang dapat diberikan kepada organisasi, sumber daya pendukung,
infrastruktur teknologi, aplikasi dan data yang tersedia, termasuk portofolio aplikasi
saat ini.
Identifikasi dan analisas SI / TI eksternal antara lain mengenai
perkembangan teknologi informasi, peluang dan tantangan pemanfaatannya,
kondisi SI / TI pihak eksternal (pemasok, kompetitor, pasar (publik/pelaku usaha
untuk organisasi pemerintahan).
2. Tahapan Formulasi Perencanaan Strategi
Proses strategi SI / TI adalah formulasi perencanaan strategi. Hasil
formulasi ini adalah masing masing :
a) Strategi Bisnis Sistem Informasi mencakup kebutuhan dukungan SI / TI untuk
tiap unit fungsi / divisi dalam organisasi dalam mencapai sasaran, arsitektur dan
keterkaitan antar aplikasi dan bagaimana portofolio aplikasi yang direncanakan
b) Strategi Teknologi Informasi mencakup strategi dan kebijakan pengelolaan
infrastruktur teknologi informasi serta sumber daya manusia pendukungnya.
c) Strategi Pengelolaan SI / TI, mencakup pengelolaan elemen elemen SI/TI oleh
organisasi untuk memastikan kesesuaian proses dan hasil yang dicapai sesuai
dengan kebijakan dan parameter yang telah ditetapkan.
3. Hubungan Antara Bisnis/Layanan dengan SI/TI
17
Pada dasarnya keberadaan sistem dan teknologi informasi dalam suatu
organiasi (perusahaan swasta, organisasi pemerintahan, organisasi nirlaba, atau
institusi pendidikan) adalah digunakan untuk mendukung tujuan bisnis atau layanan
organisasi tersebut. Dengan demikian SI / TI dalam suatu organiasi harus selaras
dengan tujuan organisasi. Menurut Ward & Peppard hubungan antara bisnis (untuk
institusi berbasis keuntangan) atau layanan (untuk institusi nir laba) digambarkan
seperti diagram di bawah.
Gambar 2.4. Hubungan Layanan / Bisnis dengan SI-TI
2.7. Value Chain Analysis
Konsep dari value chain diperlkanalkan oleh Michael Porter (1984).
Menurut Porter setiap organisasi merupakan sekumpulan kegiatan yang melakukan
aktivitas perencanaan, produksi, penyediaan, dan dukungan dari produk tersebut.
Produk di sini bisa berupa barang atau jasa. Semua aktivitas dan kegiatan tersebut
direpresentasikan menggunakan suatu rantai nilai (value chain). Porter melanjutkan
18
penjelasan bahwa SI/TI merupakan salah satu pendukung utama dalam rantai nilai
ini. Menurutnya Sistem dan Informasi Teknologi merupakan komponen utama
dalam rantai nilai, karena setiap aktivitas selalu menggunakan dan menghasilkasn
informasi. Saat ini perkembagang teknologi dan sistem informasi yang sangat cepat
memberikan kontribusi yang siknifikasn dalam kompetisi dan mendapatkan
keuntungan kempetitif karena peran utama dari informasi dalam rantai nilai
tersebut.
Ilustrasi Model Value Chain digambarkan seperti diagram di bawah.
Gambar 2.5. Value Chain (Michael Porter:1984)
2.8. Critical Success Factor Analysis
Dalam kontek Penyusunan Perencanaan Sistem dan Teknologi Informasi
Critical Success Factors (CSF) digunakan untuk menginterpretasikans secara lebih
jelas mengenai obyektif, cara/taktik, dan operasionalisasi aktivitas aktivitas di
19
mana informasi informasi kunci diperlukan dalam suatu organisasi. CSF
mengelola kelemahan dan kekekuatan yang ada pada organisasi untuk menentukan
faktor faktor kunci keberhasilan pada setiap tingkatan kegiatan/keptusan/area.
Gambar berikut memberikan penjelasan umum mengenai metode analisa CSF
Gambar 2.6. Model analisa CSF
20
BAB III TUJUAN DAN MANFAAT PENELITIAN
Tujuan dan manfaat dari penelitian ini ialah :
III.1.Tujuan.
Tercapainya sinkronisasi strategi manajemen dan strategi pengembangan Sistem
dan Teknologi Informasi di Kampus Universitas Mecu Buana Jakarta.
III.2. Manfaat.
1. Tujuan Bisnis dan hasil bisnis pada Kampus Universitas Mercu Buana dapat
meningkat dengan bantuan Sistem dan Teknologi Informasi.
2. Memudahkan bagi seluruh sivitas akademika maupun pemangku
kepentingan pada masing masing kegiatannya karna adanya pemanfaatan
Sistem dan Teknologi Informasi.
21
BAB IV METODE PENELITIAN
4.1.Tipe Penelitian
Pada penelitian ini digunakan metode kualitatif dengan proses analisis data
deskriptif karena berakar pada latar belakang alamiah bersifat subjektif sebagai
kebutuhan mengandalkan manusia sebagai alat penelitian serta mengadakan
analisis data secara induktif, dari khusus ke umum, metode ini dimaksudkan agar
peneliti memperoleh pemahaman secara holistik mengenai fenomena yang di teliti
sebagai bagian dari satu kesatuan yang utuh agar dapat menjelaskan fenomena
sedalam-dalamnya (Mulyana,2007:5).
Pendekatan kualitatif menekankan pada makna dan pemahaman dari dalam
(verstehen), penalaran, definisi suatu situasi tertentu (dalam konteks tertentu).
Pendekatan kualitatif, memfokuskan pada proses dibandingkan dengan hasil akhir.
Oleh karena itu, urutan kegiatan dapat berubah tergantung pada kondisi dan
banyaknya informasi yang ditemukan, dan biasanya berkaitan dengan hal-hal yang
bersifat praktis.
Pada pendekatan kualitatif, data bersifat deskriptif dan bukan angka,
maksudnya data dapat berupa informasi yang dikategorikan seperti: dokumen,
wawancara, diskusi maupun hasil observasi lapangan. Pendekatan kualitatif
sifatnya fleksibel, dalam arti kesesuaiannya tergantung dari tujuan setiap penelitian.
Pendekatan kualitatif digunakan bila peneliti ingin memahami sudut pandang
partisipan secara lebih mendalam, dinamis dan menggali berbagai macam faktor
sekaligus.
22
Pendekatan kualitif tepat digunakan dalam situasi yang informal, dimana
hal ini dimungkinkan oleh topik yang peka bagi responden, latar belakang
demografis, dan hal lain yang menyebabkan pendekatan kuantitatif sulit dilakukan.
Beberapa asumsi dasar yang dipergunakan dalam pendekatan kualitatif yaitu:
1. Tidak mementingkan angka, atau kuantifikasi fenomena. Diasosiasikan dengan
kumpulan dan analisa data yang berupa kata-kata atau observasi langsung
terhadap tingkah laku. Jadi fokusnya adalah lebih pada interpretasi daripada
kuantifikasi.
2. Tidak memaksakan klasifikasi awal yang kaku pada sekumpulan data.
3. Responden adalah partisipan yang bukan hanya sekedar obyek dari kecurigaan
ilmiah. Responden mengambil sikap yang lebih proaktif dalam proses
penelitian.
4. Sangat menerima subyektifitas, sehingga yang bernilai adalah perspektif
partisipan dan interpretasinya terhadap situasi.
5. Memungkinkan fleksibilitas dalam proses penelitian. Respon terhadap
konseptualisasi individu tentang dirinya berhubungan dengan kemungkinan
untuk merumuskan hipotesa baru dan mengubah hipotesa lama sejalan dengan
kemajuan penelitian. Intervensi peneliti dapat berubah-ubah sejalan dengan
perubahan sifat konteks situasi.
6. Proses penelitian dilihat sebagai proses sosial yang sangat dipengaruhi oleh
pilihan-pilihan yang diambil peneliti seiring dengan perkembangan penelitian.
Penelitian kualitatif lebih tertarik pada arti (meaning), yaitu bagaimana
pengalaman partisipan dan cara mereka mengekspresikannya.
23
Peneliti kualitatif terlibat secara aktif dalam pengumpulan data, yaitu secara
fisik menemui partisipan, lingkungannya, serta institusi tempatnya berada,
dalam suatu situasi yang alamiah.
Penelitian kualitatif adalah penelitian deskriptif, dimana peneliti lebih
tertarik dengan proses, arti dan pemahaman tentang pengalaman serta penghayatan
subyektif partisipan.
4.2. Objek Penelitian
Objek penelitian yang dikaji peneliti adalah seluruh unit kerja yang ada di
lingkungan Universitas Mercu Buana
4.3. Jenis Data
Penelitian ini berupaya menggunakan berbagai sumber data (sebanyak
mungkin data) yang bisa digunakan untuk meneliti, mengamati, menguraikan dan
menjelaskan secara komprehensif berbagai aspek individu, kelompok, suatu
program, organisasi atau peristiwa secara sistematis. Jadi poin pentingnya adalah
kelengkapan data dan komprehensivitas. Demi kelengkapan data metode
pengumpulan data yang digunakan dalam penelitian ini, peneliti mengambil
berbagai sumber data dengan menggunakan berbagai macam teknik pengumpulan
data, Jenis data yang dikumpulkan :
1. Data Primer
Data yang diperoleh langsung dari penelitian melalui cara observasi
terhadap objek penelitian dalam hal ini peneliti melakukan wawancara
mendalam serta pengamatan lapangan melihat fakta serta realitas yang ada.
24
2. Data Sekunder
Data yang diperoleh melalui sumber-sumber lain yang telah dikumpulkan
berkaitan dengan penelitian ini berupa dokumentasi-dokumentasi
pelaporan, formulir-formulir, keluhan-keluhan dan Buku Rencana Induk
Pengembangan Universitas Mercu Buana.
4.4. Metode Pengumpulan Data
4.4.1. Desk study
Teknik ini digunakan untuk mengumpulkan data ataupun informasi yang
berkaitan dengan tema kegiatan ini dalam rangka memperkaya kerangka
konsepsional, dasar kebijakan, desain metodologi serta referensi pada saat
penyusunan laporan kegiatan. Penggalian data dan informasi ini berupa dokumen
kebijakan, data statistik, laporan hasil penelitian, dan referensi/informasi
pendukung lainnya. Adapun proses desk study sebagai berikut:
a) Membuat daftar berbagai dokumen hasil penelitian, referensi dan dokumen
kebijakan yang berhubungan dengan topik kegiatan ini.
b) Melakukan penelusuran referensi tentang Sistem Informasi Institusi Pendidikan
melaui study kepustakaan dan melalui media internet.
c) Melakukan copy referensi, informasi maupun dokumen, baik yang berbentuk
hard copy maupun soft copy.
d) Melakukan kompilasi dan penelaahan terhadap referensi/informasi/dokumen
hasil desk study.
25
4.4.2. Participatory Rural Appraisal (PRA)
Metode pendekatan ini mengacu pada teknik-teknik sebagai berikut:
A. Wawancara
Teknik ini dimaksudkan untuk melakukan wawancara ke responden kunci yang
telah dipilih dengan sengaja dengan pertanyaan yang terbuka untuk mendapatkan
informasi yang representatif di lapangan yang berkaitan dengan topik kegiatan.
B. Focus Group Discussion (FGD)
Teknik ini dilakukan dengan maksud untuk mendapatkan perspektif dari
narasumber dan stakeholder yang berkaitan dengan topik kegiatan. Hal tersebut
sebagai informasi pembanding atas perspektif personal yang didapatkan melalui
teknik wawancara.
C. Diskusi Internal
Teknik ini bertujuan untuk mendapatkan arahan dan masukan yang terkait dengan
substansi pekerjaan ini.
4.4.3. Observasi
Observasi untuk pencarian dan konfirmasi data, informasi dan kebijakan
yang berkaitan dengan tema kegiatan ini. Hal tersebut dilaksanakan berdasarkan
informasi-informasi yang diperoleh melalui hasil penggalian sumber sekunder dan
wawancara, diskusi kelompok terfokus maupun diskusi internal.
26
4.5. Teknik Analisis Data
4.5.1. Analisis SWOT
Analisa SWOT adalah sebuah bentuk analisa situasi dan kondisi yang
bersifat deskriptif (memberi gambaran). Analisa ini menempatkan situasi dan
kondisi sebagai sebagai faktor masukan, yang kemudian dikelompokkan menurut
kontribusinya masing-masing. Analisa SWOT merupakan alat analisa yang
ditujukan untuk menggambarkan situasi yang sedang dihadapi atau yang mungkin
akan dihadapi oleh organisasi. Analisa ini terbagi atas empat komponen dasar yaitu:
S = Strength, adalah situasi atau kondisi yang merupakan kekuatan dari
organisasi atau program pada saat ini.
W = Weakness, adalah situasi atau kondisi yang merupakan kelemahan dari
organisasi atau program pada saat ini.
O = Opportunity, adalah situasi atau kondisi yang merupakan peluang di
luar organisasi dan memberikan peluang berkembang bagi organisasi di
masa depan.
T = Threat, adalah situasi yang merupakan ancaman bagi organisasi yang
datang dari luar organisasi dan dapat mengancam eksistensi organisasi di
masa depan.
4.5.2. Analisis Proses Bisnis
Analisa Proses Bisnis mempelajari dan memahami bagaimana aktifitas dan
fungsi dari suatu proses bisnis dapat berjalan sesuai dengan pencapaian tujuan
organisasi. Tujuan dari analisis proses bisnis diantaranya adalah memahami
27
hubungan proses bisnis yang sedang berjalan dengan pencapaian visi dan misi
organisasi. Selain itu juga analisis proses bisnis bertujuan mempelajari kumpulan
proses dan aktifitas dari proses bisnis yang digunakan organisasi dan mempelajari
seberapa jauh proses bisnis ini mencapai tujuan dari organisasi.
Analisa proses bisnis menggunakan tenik pemodelan proses bisnis yaitu
validasi, simulasi dan verifikasi. Pemodelan proses bisnis merupakan cara untuk
memahami, mendesign dan menganalisa suatu proses. Dengan proses pemodelan,
perusahaan dapat melakukan integrasi, menganalisa dan mengingkatkan
performance dari pengelolaan bisnis prosesnya. Juga dapat mengidentifikasi critical
path dan bottleneck yang mungkin terjadi serta menetapkan Key Perfomance
Indicator dari tujuan organisasi.
Tahapan Dalam Analisis Dan Perancangan Proses Bisnis adalah sebagai
berikut:
Tahap Validasi : Tahap ini merupakan tahap validasi terhadap desain awal dari
proses bisnis dibangun. Satu instrumen yang bermanfaat untuk memvalidasi proses
bisnis adalah workshop. Workshop akan memastikan apakah semua proses bisnis
yang valid telah terwakili oleh model proses bisnis.
Tahap Simulasi : Teknik simulasi dapat digunakan untuk mendukung validasi,
karena urutan pelaksanaan yang tidak diinginkan mungkin dapat disimulasikan
untuk menampilkan kekurangan pada model proses. Simulasi proses bisnis
memungkinkan stakeholder untuk melewati proses pada suatu urutan cara yang
bertahap dan untuk memeriksa apakah proses sesungguhnya telah sesuai dengan
yang diharapkan.
28
Tahap Verifikasi : Proses bisnis benar-benar di analisa dan ditingkatkan sedemikian
rupa sehingga model proses bisnis ini merupakan proses bisnis yang diinginkan.
Identifikasi Proses Bisnis dan Pemodelan: setelah melalui tahap verifikasi
maka proses bisnis diidentifikasi kira-kira mana yang sesuai dengan proses bisnis
baru yang dapat meningkatkan efisiensi dan mencapai tujuan perusahaan.
4.5.3. Analisis Sistem Informasi
Analis sistem adalah spesialis yang mempelajari masalah dan kebutuhan
sebuah organisasi untuk menentukan bagaimana orang, data, proses dan teknologi
informasi dapat mencapai kemajuan terbaik untuk bisnis.
Pemilik, pengguna, desainer dan pembangun sistem sering memiliki
prespektif yang berbeda pada sistem informasi yang dibangun. Beberapa ada yang
tertarik pada hal-hal yang umum, sedangkan yang lain fokus pada hal-hal yang lebih
rinci. Beberapa non teknis, sedangkan yang lain sangat teknis. Hal ini menunjukkan
jurang komunikasi yang selalu ada pada mereka yang membutuhkan teknologi
informasi. Analis Sistem menjembatani jurang tersebut.
Analisis harus memahami bisnis dan komputer. Mereka mempelajari
masalah dan kesempatan bisnis kemudian mentasformasikan persyaratan bisnis dan
informasi ke dalam spesifikasi SI yang akan diimplementasikan oleh berbagai
macam spesialis teknis termasuk programmer komputer.
4.5.4. Analisis Arsitektur Teknologi Informasi
Dalam analisis Arsitektur akan menemukan sekumpulan model-model
terhubung yang menggambarkan sifat dasar dari sebuah sistem. Keanekaragaman
29
dari banyak model menggambarkan bagian berbeda dan aspek atau pandangan yang
berbeda dari suatu sistem. Komponen merupakan blok pembangun : sistem dapat
dibangun dengan cara menyatukan sekumpulan komponen berdasarkan aturan
tertentu. Pandangan yang berbeda dari tiap komponen bukan berarti komponen-
komponen tersebut berlaku sebagai sebuah sistem yang berdiri sendiri. Biasanya ,
sudut pandang dari suatu sistem terbagi menjadi beberapa sudut pandang yaitu :
sudut pandang bisnis, sudut pandang fungsional dan sudut pandang teknis. Masing-
masing dari sudut pandang tersebut dapat dipecah lagi menjadi beberapa bagian.
Sebagai contoh , sudut pandang teknis dapat dipecah menjadi sudut pandang
software dan sudut pandang jaringan. Sedangkan arsitektur sistem informasi dapat
dipecah menjadi empat level yaitu ; Business architecture, Functional architecture,
Software architecture, Network architecture
4.5.5. Analisis Organisasi dan Manajemen Teknologi Informasi
Dalam analisis Organisasi dan Manajemen Teknologi Informasi akan
menemukan bagaimana kondisi organisasi manajemen teknologi saat ini
4.6. Metodologi Penyusunan
Dalam melakukan penyusunan dokumen Grand Design Sistem Informasi
ini menjelaskan secara berurutan kegiatan-kegiatan yang dilakukan dalam
penyusunan strategi dan perencanaan TI, dimulai dari kegiatan assessment
sistem/teknologi informasi saat ini, kemudian dilakukan perumusan IT Plan.
Setelah kedua kegiatan tersebut, dilakukan gap analysis untuk penyusunan roadmap
dan strategi implementasi. Secara sistematis tahapan pekerjaan dibagi menjadi
sebagai berikut:
30
1. Penyusunan dokumen Kajian Kondisi SI/TI Universitas Mercu Buana saat ini.
2. Penyusunan dokumen Grand Design Sistem Informasi Universitas Mercu
Buana
3. Penyusunan dokumen Road Map dan Rencana Implementasi SI/TI Universitas
Mercu Buana.
Dalam masing-masing tahapan di atas, dilakukan analisa terhadap beberapa
komponen, yaitu:
1. Analisa terhadap proses bisnis yang berjalan saat ini.
2. Analisa terhadap sistem informasi yang digunakan.
3. Analisa terhadap infrastruktur teknologi informasi yang saat ini dimiliki.
4. Analisa terhadap pola manajemen & organisasi TI.
Gambar 3.1. Metodologi IT Blueprint
Business Architecture Layer
Information Systems
Architecture Layer
Information Technology
Architecture Layer
IS/IT Management
& Organization
Business Architecture Layer
Information Systems
Architecture Layer
Information Technology
Architecture Layer
IS/IT Management
& Organization
Ga
p A
na
lys
is
Business Architecture Layer
Information Systems
Architecture Layer
Information Technology
Architecture Layer
IS/IT Management
& Organization
Vision & Mission
Organization & Business Strategy,
Policies, Objectives &
Project Portfolio
Financial (Budget & Investment) Plan
Change management
Priorities & Schedules
Assessment of Current
IS/IT Future IS/IT BlueprintRoadmap &
Implementation Plan
31
Deliverable dari hasil assessment yang telah dilaksanakan. Gambar dibawah
ini akan menjelasakan posisi dokumen ini terhadap tahapan tahapan yang
dilakukan dalam penyusunan Grand Design Sistem Informasi Universitas Mercu
Buana dengan menggunakan metodologi IT Blueprint yang telah dijelaskan
sebelumnya.
Gambar 3.2. Tahapan-tahapan Penyusunan IT Blueprint
Kegiatan assessment dimaksudkan untuk memotret kondisi SI/TI saat ini.
Selain itu, dokumen ini juga berisi ekspektasi, harapan, permasalahan, dan temuan
seputar perkembangan UMB dalam mendukung kegiatan organisasi.
Assessment of Current IS/IT
Future IS/ITBlueprint
Roadmap &Implementation
Plan
33
BAB V. HASIL YANG DICAPAI
Hasil audit yang didapat berdasarkan kakas dan teknik dari ITAF dapat ditinjau
dari sisi tujuan dan ruang lingkup.
Tujuan
1. Untuk menyediakan data hasil pemeriksaan aplikasi Sistem Informasi
Akademik secara independent, dilihat dari efektifitas dan efisiensi pada
manajemen Universitas dengan penilaian independen dari sisi efisiensi dan
efektivitas serta memenuhi peraturan pemerintah, yaitu kepatuhan
mengenai pelaporan proses akademik dan hasil-hasilnya, serta pemutahiran
data mahasiswa untuk kebutuhan internal Universitas oleh pengguna di
Direktorat atau Fakultas mengenai proses bisnis dan pelaporan.
2. Untuk menyediakan data pada manajemen Universitas terutama pada
aplikasi yang membutuhkan perhatian seperti: keamanan informasi dan
adaptasi pada teknologi baru.
Ruang Lingkup.
Peninjauan dan pemutahiran dipusatkan pada Sistem Infomasi Akademik dan
aplikasi lainnya yang berhubungan dengan Sistem Informasi tersebut. Ruang
lingkup peninjauan dan pemutahiran meliputi :
1. Identifikasi dan evaluasi desain prosedur operasi proses bisnis Universitas.
2. Penilaian kepatuhan dengan persyaratan peraturan.
3. Evaluasi informasi efektivitas sistem control aplikasi.
4. Identifikasi masalah yang membutuhkan perhatian manajemen
Berdasarkan penilaian risiko awal, ruang lingkup akan lebih dipusatkan pada
proses transaksi / usaha sebagai berikut:
1. Integrasi transaksi pembayaran.
2. Integrasi ujian akhir , tugas akhir dan kelulusan mahasiswa.
3. Transaksi hasil ujian akhir.
4. Kemungkinan mengakses sistem dari alat komunikasi bergerak.
5. Mekanisme login
Sistem yang sedang berjalan / beroperasi
Sistem Informasi Akademis adalah system yang utama pada Universitas yang
melayani perkuliahan mahasiswa dan juga karyawan dalam kegiatan akademis
mereka sehari-hari. Dalam kegiatan ini karyawan berperan sebagai pihak yang
menjalankan fungsi pendukung proses belajar, seperti: proses non akademis
sejak pendaftaran mahasiswa baru, proses pendaftaran, proses pembayaran
maupun keuangan, dan proses persiapan kelas atau fasilitas fisik lainnya dan
34
operasi perkuliahan. Dosen dan mahasiswa adalah pengguna utama dalam
proses belajar seperti: presentasi kelas, praktikum di laboratorium, ujian tengah
semester maupun akhir semester dan tugas lainnya. Dosen juga harus
melakukan pengisian kehadiran mahasiswa dan memasukkan semua nilai
mahasiswa. Mahasiswa dapat melihat nilai akhir melalui internet baik pada
laptop maupun pada alat komunikasi handphone. Semua pelaporan terkait
dengan nilai dan disiapkan oleh karyawan.
Sistem lain yang memiliki hubungan langsung dengan Sistem Informasi
Akademis adalah portal Universitas. Aplikasi terbaru hanya dapat diakses oleh
karyawan dan dosen. Fungsi utama dari aplikasi ini adalah untuk memfasilitasi
koordinasi dan kolaborasi antara perkuliahan, dan kegiatan lain karyawan atau
keduanya. Berdasarkan penelusuran awal untuk mengendalikan informasi
ternyata portal Universitas tidak aman dan banyak dari pengguna tidak
memperhatikan tentang ini. Ilustrasi dari kedua sistem, SIA dan Portal
Universitas ditunjukkan pada gambar 1.
Gambar 4.1. Sistem SIA dan Portal.
Tingkat Kematangan Proses.
Hasil audit ini disajikan sebagai diagram radar seperti digambarkan pada Gambar
2. Rata-rata tingkat kematangan proses yang dinilai adalah 3, 08 sampai 4 yang
ditargetkan oleh manajemen.
Beberapa temuan utama pada audit adalah :
1. Kepatuhan peraturan.
Tidak tersedianya data yang valid untuk memenuhi kepatuhan regulasi terutama di
kebaharuan status dan data mahasiswa.
2. Kemampuan Sistem.
35
Kurangnya kemampuan sistem untuk mengakomodasi pengguna internal yang
sudah sangat mendesak seperti: untuk mendeteksi beban mengajar kuliah yang
sesuai dengan peraturan internal SDM, integrasi pembayaran siswa dengan utama
proses / transaksi lainnya, untuk memastikan data siswa tunggal Aturan entri mulai
dari masuk ke wisuda, dan beberapa persyaratan yang lebih mendesak.
3. Adaptasi Teknologi.
Kurangnya kemampuan teknologi untuk: mengakomodasi kebutuhan integrasi
pembayaran perbankan, mengakomodasi integrasi dengan teknologi perangkat
mobile seperti hand phone tablet atau sarana lain untuk mengakses informnasi
ketika mahasiswa berada di luar kampus. Tentu diharapkan mahasiswa akan merasa
lebih.
4. Kesadaran pengguna sangat lemah terhadap kontrol keamanan informasi yang
diakses. Sebagai disajikan dalam temuan awal Intranet Portal, kontrol keamanan
informasi cukup lemah sehingga Sistem Informasi Akademik dapat dibajak atau
hack. Sayangnya, banyak pengguna yang mengabaikan masalah keamanan
informasi ini. Banyak dari mereka menggunakan password yang sama untuk kedua
aplikasi yaitu SIA dan Internet Portal. Ada juga kejadian pihak yang tidak
berwenang dapat menggunakan password pengguna lain untuk masuk ke Portal
internet dan kemudian password yang sama dapat digunakan untuk mengakses SIA.
Ini adalah kesalahan yang sangat serius yang ditemukan dalam audit ini.
Gambar 4.1. Hasil penilaian kematangan SIA
36
Salah satu eksekusi pengujian untuk meninjau pengendalian proses pada COBIT
adalah komponen AC6 yaitu Transaksi Otentikasi dan Integritas gunanya untuk
menguji proses aksesibilitas aplikasi. Terjemahan proses dalam sistem dilakukan
melalui parameter passing mekanisme dan parameter yang tertanam dalam URL.
Sampel dari format url disajikan sebagai kode URL berikut:
https://sia-online.XYZ.ac.id/reguler/krs/krs_form.php
Huruf X, Y, dan Z adalah karakter numerik yang mewakili nilai tertentu seperti:
semester yang berjalan, jumlah kredit yang diambil, dll. Proses diuji dengan
langsung mengetikkan url yang dimodifikasi secara manual tanpa mengikuti
prosedur normal melalui aplikasi menu. Sebagai hasil dari pelaksanaan pengujian
ini, untuk beberapa kasus, aplikasi ini menyajikan bentuk input atau output laporan
yang sama seperti prosedur normal. Menurut pendapat kami, hal ini diklasifikasikan
sebagai kelemahan utama dari sistem ditinjau dari sudut pandang jaminan
keamanan informasi. Oleh karena itu, temuan ini berkontribusi nilai proses AC6
rendah.
Hasil Penilaian ISO 27004
Penilaian keamanan informasi berdasarkan ISO 27004 klausul dijelaskan dalam
bagian ini. Tabel 1 menunjukkan ringkasan hasil penilaian ISO 27004 A.11.3.1
klausul mengenai aturan sandi dan praktek.
Tabel 1 . Hasil Pengkajian Aturan Keamanan Password A.11.3.1.
No. ISO 27004
Clause
Scale VS
Results Value Remarks
0 1 2 3 4
1 The password
consists of 8
characters
minimum
Some passwords consist of 6 characters
only
2 The password
consists of
combination
of characters,
numeric and
unique
Some passwords consist of lower
character only
37
No. ISO 27004
Clause
Scale VS
Results Value Remarks
0 1 2 3 4
3 The password
is changed
periodically
No rule, neither practice in password
changing
Value of assessment result in Clause
A.11.3.1 2 of 12 maximum
Pada butir 1 disyaratkan bahwa password paling sedikit terdiri dari 8 karakter tapi
pada pelaksanaanya hanya terdiri dari 6 karakter. Ini berarti password pada sistem
kurang kuat karena kurang dari jumlah minimum yang 8 karakter. Seharusnya hal
seperti ini tidak boleh terjadi karena akibatnya bisa fatal walaupun selama ini masih
dirasa aman dan tidak terjadi hal yang tidak diiginkan pada sistem.
Pada butir 2 disyaratkan bahwa password terdiri dari kombinasi huruf dan angka,
tetapi pelaksanaanya hanya terdiri dari huruf kecil saja. Pengguna pada umunya
merasa nyaman ketika mengetikan huruf kecil saja tanpa harus menekan capslock
pada keyboard atau menekan shift. Hal ini sudah sangat menggejala pada pengguna
karena juga didorong oleh kebiasaan membuat alamat email yang umumnya
menggunakan huruf kecil saja. Pengguna tidak menyadari bahwa dengan
mengkombinasikan dengan huruf besar dan angka password akan semakn kuat.
Sudah saatnya disosialisasikan pada pengguna tentang pentingnya kekuatan
password ini pada keamanan sistem.
Pada butir 3 disyaratkan bahwa password harus diganti secara periodik, dapat setiap
bulan atau setiap dua bulan tergantung kesiapan pengguna. Pada pelaksanaanya
ternyata tidak ada aturan untuk mengubah password ini. Pengguna pada umumnya
sangat enggan mengganti password secara periodik, karena biasanya password
mengacu pada hal yang mudah diingat seperti nama anak, nama istri, nama binatang
peliharaan, tanggal lahir pribadi, istri dan anak. Ketika pengguna sudah memiliki
password maka pengguna sudah merasa aman dan nyaman, beberapa pengguna
merasa takut mengganti password dengan alasan takut lupa password yang baru,
38
karena ini pernah terjadi pada beberapa pengguna, ini sebenarnya hanya merupakan
kebiasaan saja, jadi tidak perlu risau mengganti password.
Hasil pemeriksaan dan peninjauan tiga butir ini hanya mendapatkan skore 2 dari
nilai maksimum 12, berarti sangat kecil nilainya
Penilaian lain dari standar ISO 27004 yaitu menguji kode kontrol yang berbahaya.
Penilaian tersebut dilakukan dengan mencoba untuk menyuntikkan kode berbahaya
ke dalam sistem aplikasi. Analisis hasil eksekusi diringkas pada tabel 2. Seperti
disajikan dalam tabel, jika tingkat keamanan informasi aplikasi berada pada standar
nol, berarti tidak ada kontrol terpasang.
Pada satu sistem hal ini sangat fatal karena tidak ada proteksi pada sistem informasi,
berarti sistem dapat dimasuki oleh para kripanalis dengan relatif mudah dan bisa
saja mengacaukan file yang ada, jika sistem dapat dimasuki oleh oknum ytang tidak
bertanggung jawab bisa saja file akan diacak acak, jika terjadi pada file nilai
mahasiswa bisa saja seorang siswa akan mendapatkan nilai akhir yang sangat baik
karena berhasil memasuki file nilai dan mengubahnya. Ini harus menjadi perhatian
dari semua pemangku kepentingan di kampus.
Tabel 2 A.10.4.1 Pengendalian Kode berbahaya
A.10.4.1 Control of Malicious Code
No. ISO 27004
Clause
Scale VS Results Value
Remark
0 1 2 3 4
1
Information
security protection
against any
intrusion into the
information system
Not exist
2e
Detection control
against backdoor
such: anti virus and
anti spyware.
Not exist
Value of assessment result in Clause A.10.4.1 0
39
Tabel 3 pada halaman berikutnya menyajikan resume kontrol entri analisis hasil
penilaian fisik, klausul A.10.4.1. Tingkat standar ini adalah nilai rata-rata.
Meskipun tingkat ini hanya 2, tetapi lebih tinggi dari nilai hasil klausa lainnya.
Sebagai control yang lebih mudah digunakan ialah dengan jalan kontrol atau
kendali secara fisik atau perangkat keras.
Tabel 3. A.10.4.1 Physical entry control
A.9.1.2 Physical Entry Control
No. ISO 27004 Clause
Scale VS Results
Value Remark
0 1 2 3 4
1 The savety
phyiscal location
to assure and
protect system
and its
infrastructure
facilities
The physical location is special
separated area. This area is
restricted to limited visitors. Some
lack of the area are: power supply
sharing with other facilities, the
distance of room area and
employees area is too close
2 The physical
facilities to
protect hardware
infrastructure
Hardware infrastructure protection
have to upgrade, as the existing is
still in manual mode
Value of assessment result in Clause
A.10.4.1
4
Dari hasil pemeriksaan masih ada kekurangan pada butir 1 yaitu power supply
masih dijadikan satu dengan fasilitas lain, hal ini kurang baik karena jika ada
masalah di fasilitas lain maka sistem akan ikut terkena masalah, selain itu masih
ada masalah ukuran ruangan yang dirasa terlalu kecil sehingga ruang tempat server
dan pusat sistem berada sangat berdekatan dengan karyawan. Proteksi secara
perangkat keras juga belum baik karena masih manual. Seharusnya di era sekarang
ini setiap karyawan atau staff sistem informasi ini harus menggunakan kunci pintar
40
atau kartu pintar untuk memasuki ruangan sehingga tidak semua orang dapat
mengakses server dan pusat informasi ini.
Sebenarnya kaidah keamanan sistem, dalam hal ini Sistem Informasi Akademik
pada satu kampus ini merupakan bagian dari aset kampus yang dapat berupa Data,
Infromasi dan juga pengetahuan. Semua aset yang telah disebutkan tentu saja pada
era sekarang ini telah disimpan dalam penyimpanan format elektronik atau format
dijital, maka sangat perlu untuk dijaga keamanannya. Tiga aspek yang yang harus
diperhatikan menurut Richardus (2014:144), pertama aspek C atau Confidentiality,
aspek I atau Integrity dan aspek A atau Availability. Tentu saja untuk menjamin
tiga aspek ini dipentingkan pada satu kampus harus ada kebijakan dari semua
pemangku kepentingan, harus ada proses, standar dan prosedur untuk menjamin
bahwa aktivitas untuk menjaga keamanan informasi benanr dilakukan. Semua
pengguna sistem informasi di kampus harus memberikan perhatiannya, jangan
hanya memakai saja. Jika lalai dalam memperhatikan sistem terutama
keamanannya dapat berakibat buruk dan dapat memberikan dampak negatif pada
aktivitas kampus. Hal yang lazim dilakukan adalah pengujian berkala yang utama
tentu saja penetration test untuk memastikan bahwa sistem aman. Disamping itu
juga harus mempelajari kelemahan sistem dan segera diperbaiki. Lebih baik lagi
kerentanan sistem dapat diketahui secepat mungkin untuk selanjutnya ditingkatkan
terutama dari segi keamanan sistem tersebut.
Perlu juga dilakukan pelatihan dan pendidikan bagi seluruh pengguna di kampus
sehingga sistem yang sudah dibangun berhasil dilaksanakan dengan baik. Program
pelatihan yang baik dapat meningkatkan kemampuan semua pengguna di kampus
dan dapat memperbaiki kinerja aktivitas semua pengguna sesuai dengan tugas dan
tanggung jawabnya masing- masing.
41
BAB VI. KESIMPULAN DAN SARAN
KESIMPULAN
ISO 27004 ITAF audit berbasis sistem informasi akademik dan aplikasi telah
dilakukan dalam penelitian ini. Berdasarkan analisis dari bahan yang telah
dikumpulkan, hasil wawancara, temuan dan bukti dapat disimpulkan bahwa sistem
dan prosedur operasional memiliki terlalu banyak kekurangan dalam operasinya.
Kekurangan ini dapat menyebabkan banyak risiko seperti: data dan informasi yang
tidak akurat karena sistem ini tidak terintegrasi, inefisiensi operasional karena
banyak proses yang dilakukan secara manual, citra buruk, non-kepatuhan terhadap
peraturan, dan lemahnya integritas data karena kelemahan keamanan informasi.
SARAN DAN REKOMENDASI
Dengan mempertimbangkan temuan audit dan kelemahan sistem dan prosedur
operasional, penelitian ini memberikan rekomendasi sebagai berikut:
1. Untuk meningkatkan tingkat keamanan informasi pada kondisi minimum,
Universitas harus meningkatkan program kesadaran pengguna mengenai
pentingnya keamanan informasi.
2. Sistem ini dikembangkan pada tahun 2006 dan telah beroperasi sejak tahun 2007.
Oleh karena itu, adalah wajar bahwa sistem ini tidak lagi mampu memenuhi
kebutuhan saat ini terkait dengan: kepatuhan terhadap peraturan, hingga kebutuhan
pengguna saat ini, perkembangan teknologi informasi, dan juga persyaratan
minimum tingkat keamanan informasi. Berdasarkan pertimbangan ini, penelitian
ini mengusulkan untuk mengembangkan sistem baru yang akan mengatasi sebagian
besar dari kekurangan sistem tersebut. Sistem dapat dijalankan paralel untuk waktu
tertentu dan akhirnya migrasi ke sistem baru.
42
DAFTAR PUSTAKA
David, F.R.. Manajemen Strategis Konsep,Edisi 12. Salemba Empat. Jakarta. 2009.
David, G., Dess, and Alex Miller.. Strategic Management. Mc Graw Hill
International. Singapura, 2000
Forum for Corporate Governance in Indonesia, Peranan Dewan Komisaris dan
Komite Audit dalam Pelaksanaan Corporate Governance (Tata kelola
Perusahaan), Seri Tata Kelola Perusahaan (Corporate Governance), Jilid 2
Gunardi, Dedi Sulistyo S, Taryana Suryana Usulan Peta Strategi Teknologi
Informasi Menggunakan Pendekatan Analisis Critical Success Factor (Csf)
Dan It Balanced Scorecard Majalah Ilmiah Unikom Vol.10 No. 1 Hal 143-
153
John. A. Zachman, A Framework for Information Systems Architecture, IBM
Systems Journal, Vol. 26, no. 3, 1987
J. Schekkerman, Enterprise Architecture Tool Selection Guide Version 4.2,
Institute For Enterprise Architecture Developments, July 2007
J. Schekkerman, Trends in Enterprise Architecture 2005: How are Organizations
Progressing? Copyright Institute For Enterprise Architecture Development.
Mulyana. 2005. Kajian Wacana: Teori, Metode dan Aplikasi Prinsip-prinsip
Analisis Wacana. Yogyakarta: Tiara Wacana.
Roger Sessions, ObjectWatch, Inc., Comparison of the Top Four Enterprises
Architecture Methodologies, 2007
Rangkuti, F. 2001. Analisis SWOT : Teknik Membedah Kasus Bisnis. Cetakan ke-
8.Gramedia Pustaka Utama. Jakarta.
Richardus Eko Indrajit, Peranan Teknologi Informasi pada Perguruan Tinggi,
Paradigma, Konsep dan Strategi Implementasi, Graha Ilmu, Jogjakarta, 2014.
Smith, RFI & Teicher, J, Improving Governance and Services: Can E-government
Help?, Monash University, Melbourne, 2004.
Ward, John & Peppard, Joe. 2003. Strategic Planning for Information System. West
Sussex: John Wiley & Sons, Ltd.
Weill, P. & Ross, J.W., IT Governance, How Top Performers Manage IT Decision
Rights for Superior Results, Harvard Business School Press, Boston, 2004.
43