|
9
BAB 2
LANDASAN TEORI
2.1
Teknologi Informasi
2.1.1
Pengertian Teknologi Informasi
Menurut
Thompson dan Baril (2003, p3), teknologi
informasi
adalah
perangkat
keras
dan
perangkat lunak
yang
dikemas
sebagai suatu
alat untuk menangkap, menyimpan, memproses dan menghasilkan digital.
Menurut
Turban,
Rainer,
dan
Potter (2003, p3), teknologi
informasi adalah kumpulan dari komponen teknologi individu yang secara
khusus diatur dalam komputer berbasis sistem informasi.
Menurut Haag, Cummings, dan McCubbrey (2005, p14), teknologi
informasi adalah komputer apa saja yang berbasiskan perangkat yang
digunakan orang (people) untuk bekerja dengan informasi dan mendukung
informasi dan kebutuhan proses informasi dari sebuah organisasi.
Jadi, teknologi informasi atau yang biasa disingkat dengan TI
dapat disimpulkan sebagai alat yang mendukung aktifitas dari sebuah
sistem informasi.
|
|
10
2.1.2
Infrastruktur Teknologi Informasi
2.1.2.1
Hardware dan Software
Menurut Haag, Cummings, dan McCubbrey (2005, p15),
ada
dua
kategori
dasar
dalam teknologi
yaitu
hardware
dan
software. Hardware terdiri dari
peralatan fisik yang menyusun
sebuah
komputer
(sering
dikenal
sebagai
sistem komputer).
Software adalah kumpulan instruksi–instruksi yang menjalankan
hardware untuk menyelesaikan tugas tertentu.
Hardware
dibagi
menjadi
6
kategori,
yaitu (1) input
device, (2) output device, (3) storage device, (4) CPU dan RAM,
(5) telecommunications device, (6) connecting device.
Input device adalah peralatan yang digunakan untuk
memasukkan
informasi
dan
perintah
yang terdiri
dari keyboard,
mouse, touch screen, game controller, dan bar
code
reader.
Output device adalah peralatan yang digunakan untuk melihat,
mendengar, atau sebaliknya mengenali hasil dari permintaan
proses
informasi
yang terdiri
dari
printer,
monitor dan speaker.
Storage
device adalah peralatan yang digunakan untuk
menyimpan informasi yang digunakan dilain waktu terdiri atas
hard disk, flash memory card, dan DVD. CPU adalah hardware
yang mengartikan dan menjalankan sistem dan instruksi–instruksi
aplikasi software dan mengatur pengoperasian dari keseluruhan
hardware. RAM adalah sebuah kawasan sementara untuk
|
|
11
informasi
yang bekerja seperti
halnya
sistem,
dan
instruksi
aplikasi software yang dibutuhkan oleh CPU sekarang ini.
Telecommunications device
adalah peralatan yang digunakan
untuk
mengirim
informasi
dan
menerima
informasi
dari
orang
atau
komputer
lain
dalam satu
jaringan
contohnya
modem.
Connecting hardware
termasuk
hal–hal
seperti
terminal
paralel
yang
menghubungkan printer,
kabel
penghubung
yang
menghubungkan printer ke terminal paralel dan peralatan
penghubung internal yang sebagian besar termasuk alat pengantar
untuk perjalanan informasi dari satu bagian hardware ke bagian
lainnya.
Ada
2
tipe
utama
dari
software, yaitu
application
dan
system. Application software yang memungkinkan untuk
menyelesaikan masalah-masalah spesifik atau menampilkan
tugas-tugas spesifik.
System
software
yaitu
menangani
tugas–
tugas spesifik untuk mengelola teknologi dan mengatur interaksi
dari keseluruhan peralatan teknologi. Di dalam system software
ditemukan
operating
system software dan
utility
software.
operating
system
software
adalah
software
sistem yang
mengendalikan software aplikasi dan mengelola bagaimana
peralatan hardware bekerja bersama–sama. Utility software
adalah
software
yang
menyediakan
tambahan
fungsionalitas
|
|
12
untuk
mengoperasikan
sistem
software,
seperti
antivirus
software, screen savers, disk optimization software.
2.1.2.2
Jaringan
Menurut Turban, Rainer, Porter (2003, p178), sebuah
jaringan
komputer,
terdiri
atas media
komunikasi
peralatan–
peralatan dan software yang
dibutuhkan
untuk
menghubungkan
dua
atau
lebih
sistem komputer
dan
peralatan.
Ada
2
ukuran
jaringan
yang
umum,
yaitu:
LAN (Local
Area
Networks)
dan
WAN
(Wide Area Networks).
MAN
(Metropolitan
Area
Network) berada
diantara
dua
ukuran
tersebut.
LAN
menghubungkan dua atau lebih alat komunikasi sampai 2000
kaki (biasanya dalam gedung
yang
sama). Jadi, setiap pengguna
alat dalam jaringan memiliki potensi untuk berkomunikasi
dengan alat
lainnya. WAN termasuk
jaringan regional
yang
terdiri atas kumpulan
telepon
atau jaringan Internasional seperti
penyedia layanan komunikasi global, mungkin milik komersial,
swasta, atau publik.
2.1.2.3
Internet, Intranet, Ekstranet
Menurut Turban, Rainer, Porter (2003, G11), internet
adalah
elektronik
dan
jaringan telekomunikasi
yang besar
yang
menghubungkan komputer bisnis, konsumen, instansi
pemerintah, sekolah, dan organisasi lainnya di seluruh dunia,
yang
menggunakan pertukaran
informasi
secara
lancar
terbuka.
|
|
13
Intranet adalah jaringan pribadi yang menggunakan jaringan
internet dan perangkat lunak protokol
TCP/IP, umumnya berupa,
internet swasta, atau segmen
kelompok swasta dari jaringan
internet
publik. Ekstranet
adalah
jaringan
yang
aman
yang
menghubungkan mitra bisnis dan intranet
lewat
internet
dengan
menyediakan akses ke wilayah masing-masing perusahaan
intranet; perpanjangan dari intranet.
2.1.3
Arsitektur Teknologi Informasi
Arsitektur teknologi informasi yang dibuat oleh perencanaan
strategi bisnis/TI merupakan suatu desain konseptual atau cetak biru
yang meliputi 4 komponen sebagai berikut (O’Brien dan George, 2006,
p480):
1. Platform Teknologi (Technology Platform)
Internet,
intranet,
ekstranet, dan jaringan lainnya, sistem
komputer,
sistem software,
dan
aplikasi
software
perusahaan
terintegrasi
yang
menyediakan infrastruktur
komunikasi
dan
komputansi atau platform yang mendukung penggunaan strategi TI
bagi e-business, e-commerce, dan aplikasi bisnis/TI lainnya.
2. Sumber Daya Data (Data Resources)
Banyak
jenis database
operasional
dan
spesialisasi
database
termasuk data warehouse dan database internet/intranet, yang
menyimpan dan menyediakan data serta informasi untuk proses
bisnis dan dukungan keputusan.
|
|
14
3. Arsitektur Aplikasi (Applications Architecture)
Aplikasi bisnis dari teknologi informasi dirancang sebagai
sebuah arsitektur
terintegrasi
atau portfolio
sistem perusahaan
yang
mendukung usaha bisnis strategi bisnis, serta proses lintas fungsi
bisnis. Sebagai contoh, sebuah arsitektur aplikasi harus meliputi
dukungan
untuk
ERP
(Enterprise Resources Planning) terintegrasi
dan aplikasi CRM (Customer Resources Management).
4. Organisasi Teknologi Informasi (IT Organization)
Struktur organisasi dari fungsi sistem informasi dalam sebuah
perusahaan
dan distribuasi
pakar
sistem informasi
dirancang
untuk
memenuhi strategi yang berubah dari bisnis. Bentuk organisasi TI
tergantung pada filosofi manajerial dan strategi bisnis/TI yang
dibentuk selama proses perencanaan bisnis.
2.2
Risiko
2.2.1
Pengertian Risiko
Menurut Djojosoedarso (2003, p2), menguraikan pengertian risiko
dari beberapa ahli, yaitu:
Menurut
Arthur
Williams
dan
Richard,
M.H,
risiko
adalah
suatu
variasi
dari hasil-hasil yang dapat terjadi selama periode tertentu-tertentu.
Menurut
A.Abas
Salim,
risiko
adalah
ketidakpastian (uncertainty) yang
mungkin
melahirkan
peristiwa
kerugian
(loss).
Menurut Soekarto, risiko
adalah
ketidakpastian
atas
terjadinya
suatu peristiwa. Menurut
Herman
Darmawi,
risiko
merupakan
penyebaran/penyimpangan
hasil
aktual
dari
|
|
15
hasil
yang diharapkan.
Atau diartikan
risiko
adalah
probabilitas sesuatu
hasil/outcome yang berbeda dengan yang diharapkan.
Definisi-definisi
tersebut
dapat disimpulkan
bahwa
risiko
selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan
yang tidak diduga/tidak diinginkan.
2.2.2
Karakteristik dan Wujud Risiko
Menurut Djojosoedarso (2005, p3), karakteristik risiko merupakan
ketidakpastian atas terjadinya suatu peristiwa dan merupakan ketidak
pastian bila terjadi akan menimbulkan kerugian.
Menurut Djojosoedarso (2005, p3),
wujud dari risiko itu dapat
bermacam-macam, antara lain:
a.
Berupa kerugian atas harta milik/kekayaan atau penghasilan,
misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan
sebagainya.
b.
Berupa penderitaan seseorang, misalnya sakit/cacat karena
kecelakaan.
c.
Berupa tanggung
jawab
hukum,
misalnya risiko
dari
perbuatan
atau
peristiwa yang merugikan orang lain.
d.
Berupa
kerugian
karena
perubahan
keadaan
pasar,
misalnya
terjadi
perubahan harga, perubahan selera konsumen dan sebagainya.
2.2.3
Macam–macam Risiko
Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan
berbagai macam cara, antara lain:
|
|
16
1. Menurut sifatnya risiko dapat dibedakan kedalam:
a.
Risiko yang tidak disengaja (risiko murni) adalah risiko yang
apabila
terjadi
tentu
menimbulkan kerugian
dan
terjadinya
tanpa
disengaja; misalnya risiko terjadinya kebakaran, bencana alam,
pencurian, penggelapan, pengacauan, dan sebagainya.
b.
Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya, misalnya risiko utang-piutang,
perjudian, perdagangan berjangka (hedging), dan sebagainya.
c.
Risiko fundamental adalah risiko yang penyebabnya tidak dapat
dilimpahkan kepada seseorang dan yang menderita tidak hanya satu
atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin
topan dan sebagainya.
d.
Risiko khusus adalah
risiko yang bersumber pada peristiwa yang
mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal
kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.
e.
Risiko
dinamis
adalah
risiko
yang
timbul
karena
perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan
teknologi,
seperti risiko keuangan, risiko penerbangan luar
angkasa. Kebalikannya disebut risiko statis, seperti risiko hari tua,
risiko kematian dan sebagainya.
2. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko
dapat dibedakan ke dalam:
|
|
17
a. Risiko yang dapat dialihkan kepada pihak lain, dengan
mempertanggungkan suatu objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar sejumlah premi asuransi,
sehingga semua kerugian menjadi tanggungan (pindah) pihak
perusahaan asuransi.
b.
Risiko yang tidak dapat dialihkan
kepada pihak lain (tidak dapat
diasuransikan); umumnya meliputi semua jenis spekulatif.
3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke
dalam:
a. Risiko
intern
yaitu
risiko
yang
berasal
dari dalam perusahaan
itu
sendiri,
seperti
kerusakan
aktiva karena ulah karyawan sendiri,
kecelakaan kerja, kesalahan manajemen dan sebagainya.
b. Risiko ekstern
yaitu
risiko
yang berasal
luar
perusahaan, seperti
risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan
kebijakan pemerintah, dan sebagainya.
2.2.4
Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya–upaya untuk
menanggulangi
risiko
harus
selalu
dilakukan,
sehingga kerugian
dapat
dihindari atau diminimumkan . Sesuai dengan sifat dan objek yang terkena
risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk
meminimumkan risiko kerugian, antara lain:
1.
Melakukan pencegahan dan pengurangan terhadap kemungkinan
terjadinya peristiwa yang menimbulkan kerugian.
|
|
18
2.
Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian,
dan untuk mencegah terganggunya operasi perusahaan akibat kerugian
tersebut disediakan sejumlah dana untuk menanggulanginya.
3. Melakukan pengendalian terhadap risiko.
4. Mengalihkan/memindahkan risiko kepada pihak lain.
Tugas
dari
manajer
risiko
adalah berkaitan
erat
dengan
upaya
memilih dan menentukan cara–cara/metode yang paling efisien dalam
penanggulangan risiko yang dihadapi perusahaan.
2.3
Risiko Teknologi Informasi
2.3.1
Kategori Risiko Teknologi Informasi
Menurut
Hughes
(2006,
p36),
dalam penggunaan
teknologi
informasi
berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup
dalam 6 kategori, yaitu:
1. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang tidak
berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan
terorisme cyber.
2. Ketersediaan
Risiko yang datanya tidak dapat diakses setelah kegagalan sistem,
karena kesalahan manusia (human error), perubahan konfigurasi, dan
kurangnya pengurangan arsitektur.
|
|
19
3. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam
waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak
atau keras, ancaman eksternal, atau bencana alam.
4. Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang
diakibatkan oleh arsitektur terdistribusi,
permintaan
yang
tinggi
dan
topografi informasi teknologi yang beragam.
5. Daya skala
Risiko
yang
perkembangan
bisnis,
pengaturan bottleneck, dan bentuk
arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi
baru dan biaya bisnis secara efektif.
6. Ketaatan
Risiko yang manajemen atau penggunaan informasinya melanggar
keperluan
dari
pihak
pengatur.
Yang
dipersalahkan
dalam hal
ini
mencakup aturan pemerintah, panduan pengaturan perusahaan dan
kebijakan internal.
2.3.2
Kelas–kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko–risiko teknologi
didefinisikan
dalam 7
kelas,
di
mana
pada
setiap
kasus,
teknologi
informasi
dapat
juga
melakukan kesalahan,
tetapi
konsekuensi–
konsekuensinya dapat berakibat negatif bagi bisnis.
|
|
20
Kelas–kelas risiko, yaitu :
1. Projects- failing to deliver
Risiko ini bersangkutan dengan gagalnya
suatu
proyek
TI.
Beberapa
contoh
dari
gagalnya penyampaian
proyek
adalah
menyelesaikan proyek yang ada telat/tidak pada waktu nya, sumber
daya
dan
biaya
yang
dikonsumsi
dalam penyelesaian
proyek
besar
sehingga tidak efisien,
mengganggu proses bisnis selama proses
implementasi,
dan
juga
fungsi
dari proyek tidak sesuai dengan
keinginan dari yang diharapkan user.
2. IT service continuity-when business operations go off the air
Risiko ini berhubungan dengan pelayanan TI yang ketinggalan
zaman dan tidak dapat diandalkan sehingga menganggu proses bisnis
yang sedang berjalan. Biasanya
berhubungan dengan sistem
operasional dan produksi perusahaan serta kemampuan mereka untuk
menyediakan kebutuhan dari user.
3. Information assets–failing to protect and preserve
Risiko
ini
berhubungan
khusus
dengan kerusakan,
kehilangan
dan eksploitasi aset informasi yang ada dalam sistem. Dampaknya bisa
sangat fatal bagi perusahaan, contohnya
informasi yang penting bisa
dicuri oleh perusahaan kompetitor, detail dari kartu kredit dapat dilihat
oleh pihak yang tidak berwenang,
sehingga dengan demikian akan
merusak hubungan antara pelanggan dengan perusahaan. Ini tentunya
akan sangat merugikan perusahaan.
|
|
21
4. Service providers and vendors-breaks in the IT value chain
Risiko
ini
berhubungan dengan kemampuan dari provider dan
vendor.
Bila
mereka
gagal
dalam menyediakan
pelayanan
yang
baik
bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan.
Dampak lainnya berhubungan dengan dampak jangka panjang, seperti
kekurangan
dalam
penyediaan
layanan
TI
bagi
user
perusahaan
tersebut.
5. Applications-flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang
diterapkan. Aplikasi biasanya berinteraksi dengan user dan dalam suatu
perusahaan biasanya terdapat kombinasi antara software
paket
dan
software buatan yang diintegrasikan menjadi satu.
6. Infrastructure–shaky foundations
Risiko
ini
berhubungan dengan
kegagalan
dalam infrastruktur
TI. Infrastruktur adalah suatu nama yang umum bagi komputer maupun
jaringan yang sedang dipakai dan berjalan di perusahaan tersebut. Di
dalam
infrastruktur juga termasuk software, seperti
Operation System
dan Database Managemen System.
Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu
komponen terbakar, dicuri,
rusak maupun koneksi jaringannya sedang
putus, maka dampak dari kegagalan tersebut tergantung dari ketahanan
sistem yang ada. Apabila terdapat sitem yang sudah tidak cocok
dengan model
yang baru,
maka sistem tersebut perlu diganti. Apabila
|
 22
risiko ini dapat ditangani secara rutin,
maka itu merupakan suatu
perencanaan jangka panjang yang baik.
7. Strategic and emergent-disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk
memberitahukan strategi bisnis yang dilakukan. Dampak–dampak yang
tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara
luas. Risiko merupakan kemampuan dari perusahaan untuk terus
bergerak
maju
kearah
visi
strategi.
Untuk
tetap kompetitif
diperlukan
kemajuan
TI
untuk
dipahami
dan dicocokan dengan potensi
kesempatan eksploitasi bagi bisnis.
2.4
Manajemen Teknologi Informasi
2.4.1
Pengelolaan Teknologi Informasi
Information
Technology
Management
Managing
Business and IT
Strategy
Managing Application
Development and
Technology
Managing the IT
organization and
Infrastructure
Gambar 2.1 Komponen Utama Pengelolaan TI
Sumber: O’Brien dan George (2006, p478)
|
|
23
Teknologi
informasi
merupakan sumber daya bisnis penting yang
harus dikelola dengan benar.
O’Brien dan George (2006, p478),
mengemukakan sebuah pendekatan yang terkenal untuk mengelola
teknologi
informasi dalam perusahaan besar. Pendekatan tersebut
terbagi
atas 3 komponen
utama,
yaitu pengembangan dan implementasi (1)
strategi bisnis/TI, (2) aplikasi dan teknologi bisnis, serta (3) organisasi dan
infrastruktur TI.
Mengelola pengembangan dan implementasi bersama berbagai
strategi bisnis/TI (Managing the joint development and implementation of
business/IT strategies).
Pemikiran
dari
tingkat
top
level
management
dikembangkan oleh manajer TI dan para profesional TI untuk
menggunakan TI agar dapat mendukung prioritas strategi bisnis dalam
perusahaan. Proses
perencanaan
bisnis/TI
sesuai
dengan
tujuan
strategi
bisnis TI. Proses tersebut juga meliputi evaluasi proses bisnis/TI yang
diajukan.
Mengelola pengembangan dan implementasi aplikasi dan teknologi
bisnis/TI baru (Managing the development and
implementation of new
business/IT applications and technologies).
Pengelolaan
pada
bagian
ini
merupakan tanggung
jawab dari top level management . Area manajemen
TI ini melibatkan pengelolaan proses pengembangan dan implementasi
sistem informasi,
serta
tanggung
jawab
penelitian
ke
dalam penggunaan
bisnis yang strategis atas TI yang baru.
|
|
24
Mengelola organisasi TI
dan
infrastruktur
TI (Managing the IT
organization and IT infrastructure) . Manajer TI bertanggung jawab dalam
mengelola tugas bagi para pakar
TI yang biasanya diatur dalam berbagai
tim proyek
dan
subunit
oragnisasi
lainnya.
Selain
itu,
manajer
TI
juga
bertanggung
jawab
dalam mengelola
infrastruktur
TI
yang
meliputi
hardware,
software,
database,
jaringan telekomunikasi, dan sumber
daya
TI lainnnya yang harus diperoleh, dioperasikan, dimonitor dan dipelihara.
2.4.2
Kerangka untuk Pengelolaan Teknologi Informasi
Menurut
Lucas
(2000,
p118),
langkah
pertama
dalam manajemen
teknologi informasi adalah mengembangkan sebuah visi pada organisasi
dan teknologi informasi.
Selanjutnya manajer senior melihat bagaimana
teknologi dapat memberikan kontribusinya terhadap struktur organisasi
menggunakan
macam–macam desain
TI
dibahas
dalam
bab
terakhir.
Struktur organisasi mempengaruhi dan dipengaruhi oleh strategi
perusahaan.
Strategi,
struktur, dan integrasi TI
di
dalam
perusahaan
membantu
untuk membuat rencana teknologi. Rencana ini mencakup
struktur
TI
untuk
sub
unit
dalam organisasi
bersama
dengan
hardware/
software/arsitektur jaringan untuk perusahaan.
Rencana
menjelaskan
aplikasi baru dan sumber daya apa yang diperlukan untuk mengoperasikan
teknologi yang sudah ada. TI juga menjelaskan sumber dari layanan,
misalnya, dari dalam perusahaan atau dari sumber luar.
|
 25
Visi organisasi
dan TI
TI dan struktur
perusahaan
Strategi
Rencana Strategis Perusahaan
TI yg terintegrasi
dan pengambilan
keputusan
Aliansi dan
kemitraan
Inisiatif TI
Infrastruktur
TI
Operasi TI
berkelanjutan
Gambar 2.2 Kerangka Pengelolaan Teknologi Informasi
Sumber: Lucas (2000, p119)
1. Visi dari Organisasi dan Teknologi
Sebagai sebuah organisasi, visi sangat penting, terutama
mengingat
kemampuan
teknologi untuk
mengubah
struktur
dari
perusahaan, sifat usaha, dan dasar untuk kompetisi. Tanggung jawab
dasar dari manajemen untuk mengembangkan sebuah visi untuk bisnis
dan
untuk peran
teknologi
informasi dalam mencapai
visi
organisasi.
Visi harus dapat
menjelaskan misi
organisasi
dan
mengidentifikasi
produk dan layanan yang telah diproduksi. Perlu mengidentifikasi
pasar di mana perusahaan akan bersaing dan menyiapkan strategi untuk
bersaing. Rencana untuk merger, kemitraan, aliansi, dan akuisisi adalah
semua bagian dari
visi. Teknologi informasi
mempunyai peranan
|
|
26
penting dalam membentuk struktur organisasi dan mendukung kegiatan
rantai nilai.
2. Teknologi untuk Struktur Organisasi
Perubahan struktur saling berhubungan dengan strategi, di
mana kedua aspek organisasi ini harus dipertimbangkan bersama. Di
samping
menggunakan strategi
yang umum untuk
menghasilkan biaya
rendah, produsen, manajemen yang ingin mengembangkan teknologi
akan memberikan daya saing yang kuat. Bagian yang paling sulit untuk
mendapatkan keuntungan seperti ini
berasal dari sebuah ide. Dengan
meninjau apa yang pesaing lakukan, dan mencari Analogi dari industri
lain, dapat dikembangkan ide-ide baru untuk strategi yang
menguntungkan.
Kemungkinan strategi
tersebut akan mencakup
pengembangan
sistem antarorganisasi
dan
aliansi
dengan
perusahaan
lain. Untuk perusahaan manufaktur, strategi TI mungkin melibatkan
teknologi didalam produknya, seperti chip komputer ditemukan di
mobil untuk mengontrol mesin dan knalpot. Sebuah perusahaan jasa
mungkin menggunakan teknologi untuk
menambahkan nilai layanan
yang sudah ada, sehingga memudahkan perusahaan dalam menjalankan
bisnis dan menurunkan biaya.
3. Integrasi Teknologi dan Membuat Keputusan
Tanggung jawab penting dari manajemen adalah
mengintegrasikan teknologi dengan semua
keputusan bisnis.
Integrasi
berarti
manajer
menyadari bagaimana teknologi baru dapat
|
|
27
menciptakan peluang. Teknologi
benar-benar dapat mengubah cara
perusahaan
menjalankan
bisnisnya. Bersamaan
dengan itu, pengelola
harus
menyadari
dampak
dari
keputusan pada teknologi perusahaan.
Sebuah keputusan untuk memasuki bidang usaha baru harus memiliki
efek langsung yang ada pada pengolahan sistem informasi.
4. Rencana Perusahaan untuk Strategi
Sebuah rencana strategis perusahaan berasal dari visi
perusahaan untuk kegiatan di masa depan. Rencana ini termasuk dalam
visi, di mana merupakan jalan untuk menuju visi tersebut. Daripada
rencana teknologi
informasi
itu
terpisah, TI seharusnya merupakan
bagian integral dari rencana strategis perusahaan. Mengingat isi dari
rencana strategi perusahaan, ada kemungkinan untuk manajer fungsi TI
untuk
mengembangkan
rencana
yang
lebih detail untuk mendukung
kerjasama. Banyak organisasi yang menyetujui rencana itu diperlukan,
namun mereka tidak mengembangkannya. Alasan yang sering
diberikan yaitu bahwa rencana SI yang antara tiga sampai lima tahun
tidak sesuai dengan rencana dalam organisasi. Namun keduanya
mungkin dan banyak disukai untuk mengembangkan teknologi
informasi.
5. Aliansi dan Kemitraan
Perusahaan
sekarang
ini,
memiliki
banyak
bentuk
kemitraan
dan aliansi jika industri teknologi informasi adalah salah satu
contohnya. Kenyataannya,
perusahaan kadang
membentuk
aliansi
|
|
28
dalam satu area dengan perusahaan yang bersaing dengan mereka,
beserta beberapa aspek bisnis lainnya.
6. Inisiatif Teknologi Informasi Baru
Beberapa organisasi pernah berhenti mengembangkan inisiatif
teknologi informasi baru. Karena kemajuan teknologi, tampaknya baru
merangsang gagasan tentang bagaimana
menggunakan
TI
untuk
meningkatkan beberapa aspek organisasi. Rencana strategis perusahaan
harus mengidentifikasikan luas wilayah dimana
teknologi dapat
berkontribusi terhadap perusahaan. Rencana TI menambahkan rincian
lebih
lanjut
dan
mengidentifikasikan aplikasi khusus dari teknologi
untuk dikembangkan. Sekarang ini jarang ada orang yang menyarankan
aplikasi
yang
tidak
layak.
Sebaliknya,
sebuah
sistem yang
layak
biasanya
dapat
digunakan
untuk
meningkatkan organisasi.
Pembangunan
sistem merupakan
wilayah
yang
memerlukan
banyak
perhatian
besar
dari
manajemen. Manajer
harus
menunjukkan bahwa
mereka berada di belakang pengembangan sistem yang baru dan
melihat bahwa terdapat masukan yang cukup dari pengguna dalam
proses desain. Sering pertemuan untuk peninjauan oleh perusahaan
sangat penting dilakukan selama proses desain. Top Management
harus berpatisipasi dalam pertemuan
ini dan
menyatakan dengan
jelas
bahwa mereka mendukung perubahan yang diharapkan dari sistem.
|
|
29
7. Infrastruktur Teknologi Informasi
Kombinasi dari macam–macam teknologi umum dari
perusahaan merupakan dasar dari infrastruktur informasi. Beberapa
ahli
menetapkan
infrastruktur
terbatas
untuk
fasilitas
umum yang
tersedia pada perusahaan, seperti jaringan. Infrastruktur sangat penting
karena memfasilitasi pengembangan inisiatif TI yang baru.
8. Pengelolaan TI yang Berkelanjutan
Visi dan strategi bersifat jangka panjang, perusahaan masih
sering menghadapi tugas untuk menangani TI dari
hari ke hari. Tugas
ini meliputi 2 bagian, yaitu mengembangkan aplikasi baru dan
menjalankan aplikasi yang sudah ada.
2.4.3
Kegagalan dalam Pengelolaan Teknologi Informasi
Kegagalan
dalam pengelolaan
TI
terletak
dalam
penggunaan
TI
mereka.
Kegagalan
dalam
pengelolaan
TI
terletak
pada
penggunaan
TI
yang
tidak
efektif
dan
efisien (O’Brien
dan
George,
2006,
p486),
contohnya:
1.
TI tidak digunakan secara efektif oleh perusahaan
yang
menggunakan
TI terutama untuk mengkomputerisasikan proses bisnis tradisional dan
bukannya
untuk
mengembangkan
proses e-business
yang
inovatif
dengan
melibatkan
pelanggan,
pemasok
dan
mitra
bisnis
lainnya, e-
commerce, serta dukungan keputusan.
|
|
30
2. TI
tidak digunakan secara
efisien oleh
sistem
informasi
yang
memberikan respon waktu yang lama dan sering mengalami downtime,
atau para profesional sistem informasi dan konsultan yang
mengelola
proyek pengembangan aplikasi dengan tidak tepat.
2.5
Manajemen Risiko Teknologi Informasi
2.5.1
Pengertian Manajemen Risiko
Menurut Djojosoedarso (2005, p4), manajemen risiko adalah
pelaksanaan fungsi-fungsi manajemen dalam penanggulangan risiko,
terutama risiko yang dihadapi oleh organisasi/perusahaan, keluarga dan
masyarakat.
Jadi
mencakup
kegiatan merencanakan, mengorganisir,
menyusun,
memimpin/mengkoordinir dan mengawasi (termasuk
mengevaluasi) program penanggulangan risiko.
Program manajemen risiko dengan demikian mencakup tugas–
tugas, seperti:
1. Mengidentifikasi risiko–risiko yang di hadapi.
2. Mengukur atau menetukan besarnya risiko tersebut.
3. Mencari jalan untuk menghadapi atau menanggulangi risiko.
4. Menyusun strategi untuk memperkecil ataupun mengendalikan risiko.
5. Mengkoordinir pelaksanaan penanggulangan risiko serta mengevaluasi
program penanggulangan risiko yang telah di buat.
|
|
31
2.5.2
Implementasi Kemampuan Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p60), kemampuan manajemen
risiko teknologi informasi yang efektif adalah kemampuan manajemen
yang memenuhi kebutuhan bisnis, di mana
elemen
desain
penting
yang
harus dipertimbangkan adalah:
1. Strategi dan Kebijakan
Strategi-strategi dan kebijakan-kebijakan manajemen risiko
teknologi
informasi
diperlukan untuk
menentukan
tujuan
dari
manajemen risiko teknologi informasi secara keseluruhan, membangun
prioritas dan pentingnya manajemen risiko teknologi informasi,
memastikan cakupan area yang potensial dari risiko teknologi
informasi
dan
menyediakan
landasan peraturan
dan
prinsip-prinsip
untuk mengelola risiko. Kebijakan manajemen risiko teknologi
informasi
harus
didokumentasikan
secara
formal
dan
didukung
oleh
tim tata
kelola
teknologi
informasi
dan
dikomunikasikan
secara
aktif
kepada seluruh organisasi.
2. Peran dan Tanggung Jawab
Peran yang perlu ditentukan terlebih dahulu dan sesudah itu
orang yang tepat yang harus dipilih dan ditempatkan untuk melakukan
peran tersebut. Beberapa hal yang perlu dipertimbangkan adalah:
a.
Pemisahan tugas: untuk memastikan bahwa setiap peran kelas
risiko
independen
menjalankan pemantauan dan
melakukan
tinjauan ulang.
|
|
32
b.
Menyeimbangkan
kebutuhan
masukkan untuk
spesialis:
kontribusi
pengertian
proses, sistem dan risiko spesifik , manajerial
pembuatan keputusan–mempertimbangkan semua faktor dan
menentukan tindakan.
c.
Mencocokkan peran
manajemen
risiko teknologi
informasi ke
dalam struktur
di
mana
dia
seharusnya
ditempatkan.
Misalnya,
aktivitas perawatan manajemen risiko teknologi informasi
harus
sejalan dengan manajer proyek untuk risiko proyek.
d.
Membuat peran manajemen risiko teknologi informasi yang baru
ketika dibutuhkan, misalnya, lintas fungsional bisnis dengan
koordinasi peran secara berkelanjutan.
e. Mengalokasikan
tanggung
jawab
bersama
jika
diperlukan
dan
memastikan semua tempat telah diambil.
3. Proses dan Pendekatan
Siklus hidup manajemen risiko memiliki beberapa langkah,
yang dikembangkan dengan beberapa langkah yang berbeda untuk
berbagai jenis risiko:
a.
Identifikasi/Penemuan:
Mendapatkan risiko teknologi informasi
berdasarkan radar dari manajemen.
b.
Penilaian/Analisis:
Memahami
risiko
dalam konteks
keseluruhan
portfolio risiko teknologi informasi dan menilai kemungkinan
terjadinya dan dampak potensial terhadap bisnis.
|
|
33
c.
Perawatan:
Menentukan pilihan
terbaik
dari
banyaknya
program
untuk menangani risiko, perencanaan
dan
menyelesaikan
tindakan
yang diperlukan.
d. Pemantauan
dan
Tinjauan:
Menindaklanjuti
untuk
memastikan
rencana
apa yang telah dilakukan dan memahami adanya
perubahan lebih lanjut dalam risiko dari portfolio.
4. Orang dan Performa
Manajemen risiko teknologi informasi juga tentang orang dan
performa
mereka. Kemampuan dan pengetahuan dari orang-orang
dalam manajemen risiko teknologi harus dikembangkan dan dipelihara.
Pengembangan dan pemeliharaan ini memerlukan beberapa kombinasi
pendidikan dan pelatihan penanggulangan risiko teknologi informasi
sesuai dengan peran dan tanggung jawab yang ada.
5. Implementasi dan Pengembangan
Orang tidak hanya akan menerima cara baru dalam pengelolaan
risiko teknologi informasi tanpa pernah diberitahu mengapa
diperlukan. Sebuah cerita yang meyakinkan pentingnya hal tersebut
untuk organisasi dan apakah itu penting untuk organisasi.
|
|
34
2.6
Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan beberapa
metode pengukuran risiko teknologi informasi diantaranya, yaitu metode
OCTAVE-S dan metode NIST yang digunakan untuk perbandingan.
2.6.1
NIST
(National
Institute
of
Standard
and
Technology)
Special
Publication 800-30
Menurut Maulana dan Supangkat (2006, p123), terdapat 9 langkah
dalam proses penilaian risiko, yaitu:
a.
Mengetahui karakteristik dari
sistem teknologi
informasi: hardware,
software dan sistem antarmuka (koneksi internal atau eksternal), data
dan informasi, orang yang
mendukung
atau
yang
menggunakan
sistem, arsitektur keamanan sistem, topologi jaringan sistem.
b. Identifikasi
ancaman
yang
mungkin
menyerang
kelemahan
sistem
teknologi
informasi.
Sumber
ancaman
bisa
berasal
dari
alam,
manusia dan lingkungan.
c. Identifikasi
kekurangan
atau
kelemahan
(vulnerability)
pada
prosedur keamanan, desain, implementasi dan internal kontrol
terhadap
sistem sehingga
mengahasilkan
pelanggaran
terhadap
kebijakan keamanan sistem.
d. Menganalisa
kontrol-kontrol
yang
sudah
diimplementasikan
atau
direncanakan
untuk diimplementasikan oleh organisasi
untuk
mengurangi atau menghilangkan kecenderungan (kemungkinan) dari
suatu ancaman menyerang sistem yang vulnerable.
|
|
35
e.
Penentuan
kecenderungan (likelihood) dari
kejadian
yang
bertujuan
untuk
memperoleh penilaian
terhadap
keseluruhan
kecenderungan
yang
mengindikasikan
kemungkinan
potensi
vulnerability diserang
oleh lingkungan ancaman yang ada.
f.
Analisa
dampak
yang
kurang
baik yang dihasilkan
dari
suksesnya
ancaman
menyerang vulnerability. Seperti
loss of
integrity,
loss of
availability, dan
loss
of
confidentiality.
Pengukuran
dampak
dari
resiko teknologi informasi dapat dilakukan dengan kualitatif maupun
kuantitatif. Dampak tersebut dapat diklasifikasikan menjadi 3
bagian, yaitu: high, medium dan low.
g. Penentuan
level
risiko.
Penentuan
level
risiko
dari
sistem
yang
merupakan pasangan ancaman/vulnerability merupakan suatu fungsi:
i.Kecenderungan
suatu
sumber
ancaman
menyerang
sumber
vulnerability dari sistem teknologi informasi.
ii.Besarnya
dampak
yang
akan terjadi
jika
sumber
ancaman
sukses
menyerang vulnerability sistem teknologi informasi.
iii.Terpenuhinya perencanaan
kontrol keamanan
yang ada
untuk
memenuhi dan menghilangkan risiko.
h. Rekomendasi–rekomendasi
untuk
mengurangi
level
risiko
sistem
teknologi informasi dan data sehingga mencapai level yang bisa
diterima.
i. Dokumentasi hasil dalam bentuk laporan.
|
|
36
2.6.2
OCTAVE-S
2.6.2.1 Pengertian OCTAVE-S
Menurut Alberts et al. (2005, p3),
OCTAVE-S adalah
sebuah variasi dari pendekatan OCTAVE yang dikembangkan
untuk
menemukan
kebutuhan-kebutuhan kecil,
organisasi–
organisasi
yang tidak memiliki hierarki.
Hal ini memerlukan
sebuah
analisis
tim
untuk
menguji
resiko
keamanan
di
sebuah
aset
organisasi
dalam hubungannya
dengan
objective
bisnis.
Dengan mengimplementasi
hasil-hasil dari OCTAVE-S, sebuah
organisasi berusaha melindungi semua informasi dengan lebih
baik dan meningkatkan keseluruhan bidang keamanan.
2.6.2.2
Tahap, Proses, dan Aktivitas OCTAVE-S
Menurut Alberts et al. (2005, p5), OCTAVE-S berdasar
pada
3
tahap
yang
dideskripsikan dalam kriteria
OCTAVE,
meskipun nomor dan urutan kegiatan berbeda dari metode
OCTAVE
yang
digunakan.
Bagian ini
memberikan
tinjauan
singkat atas tahapan, proses, dan kegiatan OCTAVE-S.
Tahap satu adalah sebuah evaluasi dari aspek organisasi.
Selama
dalam tahap
ini,
tim analisis
menggambarkan
kriteria
dampak evaluasi yang akan digunakan nantinya untuk
mengevaluasi
risiko. Hal
ini
juga
mengidentifikasi
aset–aset
organisasi yang penting, dan mengevaluasi praktek keamanan
dalam organisasi saat
ini. Di
mana pada tahap ini
terdiri atas 2
|
|
37
proses, yaitu identifikasi informasi organisasi dan membuat profil
ancaman serta memiliki enam aktivitas.
Tahap kedua yaitu tim analisis melakukan peninjauan
ulang
level tinggi dari perhitungan infrastruktur organisasi,
yang
berfokus pada keamanan yang dipertimbangkan pemelihara dari
infrastruktur. Tahap ini memiliki satu proses yaitu memeriksa
perhitungan infrastruktur dalam kaitannya dengan aset yang kritis
dimana terdapat dua aktivitas.
Selama
tahap
ketiga,
tim analisis
mengidentifikasi
risiko
dari aset kritis organisasi dan memutuskan apa yang harus
dilakukan mengenainya. Berdasarkan
analisis
dari
kumpulan
informasi,
tim
membuat
strategi
perlindungan
untuk
organisasi
dan rencana mitigasi risiko yang ditujukan pada aset kritis. Tahap
ini terdiri atas 2 proses, yaitu identifikasi dan analisis risiko serta
mengembangkan strategi
perlindungan dan rencana mitigasi, di
mana proses ini memiliki delapan aktivitas.
Dari uraian tahap, proses dan aktivitas diatas, dapat dilihat
penjabaran tiga puluh langkah OCTAVE-S yang terdapat pada
lampiran L-1 sampai L-7.
2.6.2.3
Hasil
OCTAVE-S
Menurut
Alberts
et
al.
(2005,
p6),
selama
mengevaluasi
OCTAVE-S, tim analisis melihat keamanan dari beberapa
|
|
38
perspektif,
memastikan bahwa rekomendasi yang dicapai sesuai
dengan keseimbangan berdasarkan kebutuhan organisasi.
Hasil utama dari OCTAVE–S, yaitu:
1. Strategi perlindungan organisasi
yang
luas:
Perlindungan
strategi menguraikan secara singkat arah organisasi dengan
mematuhi praktek keamanan informasi.
2. Rencana
mitigasi risiko: Rencana ini dimaksudkan
untuk
mengurangi risiko aset kritis untuk meningkatkan praktek
keamanan yang di pilih.
3. Daftar tindakan:
Termasuk tindakan
jangka pendek yang
dibutuhkan untuk menunjukkan kelemahan yang spesifik.
Hasil OCTAVE-S yang berguna lainnya, yaitu:
1. Daftar
informasi penting terkait dengan aset yang
mendukung
tujuan bisnis dan sasaran organisasi.
2. Hasil
survei
menunjukkan
sejauh mana
organisasi
mengikuti
praktek keamanan yang baik.
3. Profil risiko untuk setiap aset kritis menggambarkan jarak
antara risiko terhadap aset.
Setiap tahap OCTAVE-S memproduksi hasil yang
bermanfaat sehingga sebagian evaluasi
akan
menghasilkan
informasi yang berguna untuk meningkatkan sikap keamanan
organisasi.
|
|
39
Beberapa mahasiswa Idaho State
University
dan
Florida
Atlantic University di
Amerika Serikat telah melakukan
penelitian terhadap penggunaan beberapa metode pengukuran
risiko
teknologi informasi diantaranya
yaitu metode OCTAVE-S,
NIST
(National
Institute
of
Standards
and
Technology) dan
FRAAP (Facilitated Risk Analysis Assessment Process). Carnegie
Mellon Software Engineering Institute dalam memenuhi aktivitas
perusahaannya juga mengembangkan OCTAVE dan OCTAVE-S.
Selain
itu, berdasarkan
penelitian
mahasiswa
University
of
Johannesburg di
Afrika Selatan, OCTAVE-S juga dikembangkan
oleh SEI (Software Engineering Institute).
|