3. framework tatakelola ti
TRANSCRIPT
FrameWork
Tata Kelola TI
Indri Sudanawati Rozas, S.Kom
Pendahuluan� Hasil survei yang dilakukan oleh IT Governance Institute
(ITGI) yang tertuang dalam IT Governance Global Status
Report yang diterbitkan tahun 2008 antara lain
menyebutkan bahwa 63% responden menyatakan
teknologi informasi sangat penting bagi organisasinya,
termasuk organisasi yang berada di Indonesia, karena
survei dilakukan juga terhadap para CIO dan CEO yang
ada di Indonesia.
Masalah Tata Kelola TI� Penggunaan teknologi informasi kadang tidak sesuai
dengan harapan, dimana investasi IT yang semakin besarternyata tidak diikuti dengan dukungan yang semakinbesar pula terhadap pencapaian tujuan dan strategiperusahaan/institusi. Inilah yang disebut dengan“Productivity Paradox”.
� Untuk memecahkan masalah tersebut diperlukan tatakelola terhadap penggunaan teknologi informasi yang biasa disebut dengan IT Governance. IT Governance dipercaya sebagai solusi untuk memastikan bahwa IT dapat mendukung pencapaian tujuan organisasi.
Framework Tata Kelola IT� Hasil survei ITGI tentang framework yang sering
dijadikan acuan oleh institusi untuk membangun tata
kelola IT-nya di antaranya adalah:
1. COBIT
2. IT Infrastructure Library
3. ISO 17799
4. ISO 27000
5. ISO/IEC 38500
6. Australian Standart 8015
serta yang bersifat lokal/nasional*
COBIT� Control Objective for Information and related
Technology, disingkat COBIT, adalah suatu panduanstandar praktik manajemen teknologi informasi.
� Standar COBIT dikeluarkan oleh IT Governance Institute yang merupakan bagian dari ISACA. COBIT 4.0 merupakan versi terbaru.
� COBIT memiliki 4 cakupan domain, yaitu :
� Perencanaan dan organisasi (plan and organise)
� Pengadaan dan implementasi (acquire and implement)
� Pengantaran dan dukungan (deliver and support)
� Pengawasan dan evaluasi (monitor and evaluate)
Planning & Organization (PO)
� Domain ini mencakup strategi dan taktik, dan mengenaipengidentifikasian cara agar TI dapat memberikan konstribusi terbaiknyabagi pencapaian tujuan bisnis. Lebih lanjut lagi, realisasi visi strategiperlu untuk direncanakan, dikomunikasikan dan dikelola untuk sudutpandang yang berbeda. Sehingga, suatu pengorganisasian yang memadaiseperti infrastruktur teknologi harus ditempatkan sebagaimana menstinya.
Acquisition & Implementation (AI)
� Domain ini menjelaskan bahwa untuk merealisasikan strategi TI, makasolusi TI perlu untuk diidentifikasikan, dikembangkan atau didapatkan, dan juga untuk diimplementasikan dan diintegrasikan kedalam proses-proses bisnis. Perubahan dalam dan pemeliharaan atas sistem-sistem yang sudah ada dicakup dalam domain ini untuk memastikan bahwa siklushidup dilanjutkan untuk sistem-sistem tersebut.
Delivery & Support (DS)
� Domain ini mengenai layanan aktualnya atas jasa yang dibutuhkan, yang mana cakupannnya dari operasional tradisional atas aspekkeamanan dari kelangsungan sampai pelatihan. Sehubungan untukmemberikan layanan atas jasa, maka proses-proses yang diperlukanuntuk mendukung hal tersebut harus ditetapkan. Domain inimencakup pemrosesan aktual atas dar dengan system aplikasi, yang seringkali diklasifikasikan menurut pengendalian aplikasi
Monitoring (M)
� Domain ini menjelaskan bahwa semua proses TI perlu secara tetapdinilai atas kualitas dan kepatuhannya terhadap kebutuhanpengendalian. Domain ini menekankan pengawasan manajemen atasindependen yang diberikan dengan melakukan audit intern danekstern atau diproleh dari sumber-sumber alternatif.
IT Infrastructure Library� ITIL atau Information Technology Infrastructure Library (Bahasa
Inggris, diterjemahkan Pustaka Infrastruktur Teknologi Informasi), adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur, pengembangan, serta operasi teknologi informasi (TI). ITIL diterbitkan dalam suatu rangkaian buku yang masing-masingmembahas suatu topik pengelolaan TI. Nama ITIL dan IT Infrastructure Library merupakan merek dagang terdaftar dari Office of Government Commerce (OGC) Britania Raya.
� Walaupun dikembangkan sejak dasawarsa 1980-an, penggunaanITIL baru meluas pada pertengahan 1990-an dengan spesifikasi versikeduanya (ITIL v2) yang paling dikenal dengan dua set bukunyayang berhubungan dengan ITSM (IT Service Management), yaituService Delivery (Antar Layanan) dan Service Support (DukunganLayanan).
� Pada 30 Juni 2007, OGC menerbitkan versi ketiga ITIL (ITIL v3)
yang intinya terdiri dari lima bagian dan lebih menekankan pada
pengelolaan siklus hidup layanan yang disediakan oleh teknologi
informasi. Kelima bagian tersebut adalah:
1. Service Strategy
2. Service Design
3. Service Transition
4. Service Operation
5. Continual Service Improvement
� ITIL memberikan deskripsi detil tentang beberapa praktik TI penting
dengan daftar cek, tugas, serta prosedur yang menyeluruh yang dapat
disesuaikan dengan segala jenis organisasi TI.
� Kelima bagian tersebut dikemas dalam buku “core guidance publications”. Setiap buku dalam kelompok utama ini berisi:
1. Practice fundamentals – menjelaskan latar belakang tahapan lifecycle sertakontribusinya terhadap pengelolaan layanan TI secara keseluruhan.
2. Practice principles – menjelaskan konsep-konsep kebijakan serta tata kelola tahananlifecycle yang menjadi acuan setiap proses terkait dalam tahapan ini.
3. Lifecycle processes and activities – menjelaskan berbagai proses maupun aktivitasyang menjadi kegiatan utama tahapan lifecycle. Misalnya proses financial management dan demand management dalam tahapan Service Strategy.
4. Supporting organization structures and roles – proses-proses ITIL tidak akan dapatberjalan dengan baik tanpa defini roles dan responsibilities. Bagian ini menjelaskansemua aspek yang terkait dengan kesiapan model dan struktur organisasi.
5. Technology considerations – menjelaskan solusi-solusi otomatisasi atau software ITIL yang dapat digunakan pada tahapan lifecycle, serta persyaratannya.
6. Practice Implementation – berisi acuan/panduan bagi organisasi TI yang inginmengimplementasikan atau yang ingin meningkatkan proses-proses ITIL.
7. Complementary guideline – berisi acuan model-model best practice lain selain ITIL yang dapat digunakan sebagai referensi bagian tahapan lifecycle.
8. Examples and templates – berisi template maupun contoh-contoh pengaplikasianproses.
� Di samping buku-buku dalam core guidance publications, ada juga
complementary guidance. Dimana buku-buku dalam kategori
nantinya dimaksudkan untuk memberikan model, acuan dan panduan
bagi penerapan ITIL pada sektor-sektor tertentu seperti jenis industri
tertentu, tipe organisasi serta arsitektur teknologi. Dengan demikian,
ITIL akan dapat lebih diterima serta diadaptasi sesuai dengan
lingkungan serta behaviour dari setiap organisasi TI.
� Siklus Layanan ITIL. Kelima bagian ITIL yang seperti tersebut di
atas biasanya disebut juga sebagai bagian dari sebuah siklus. Dikenal
pula dengan sebutan Sikuls Layanan ITIL.
ISO� Organisasi Internasional untuk Standardisasi (bahasa Inggris:
International Organization for Standardization disingkat ISO atau Iso) adalah badan penetap standar internasional yang terdiri dari wakil-wakildari badan standardisasi nasional setiap negara. Pada awalnya, singkatandari nama lembaga tersebut adalah IOS, bukan ISO. Tetapi sekarang lebihsering memakai singkatan ISO, karena dalam bahasa Yunani isos berartisama (equal). Penggunaan ini dapat dilihat pada kata isometrik atauisonomi.
� Didirikan pada 23 Februari 1947, ISO menetapkan standar-standarindustrial dan komersial dunia. ISO, yang merupakan lembaga nirlabainternasional, pada awalnya dibentuk untuk membuat dan memperkenalkanstandardisasi internasional untuk apa saja. Standar yang sudah kita kenalantara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATMBank, ukuran dan ketebalan kertas dan lainnya. Dalam menetapkan suatustandar tersebut mereka mengundang wakil anggotanya dari 130 negarauntuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan KelompokKerja (WG).
� Meski ISO adalah organisasi nonpemerintah, kemampuannya untuk
menetapkan standar yang sering menjadi hukum melalui persetujuan
atau standar nasional membuatnya lebih berpengaruh daripada
kebanyakan organisasi non-pemerintah lainnya, dan dalam
prakteknya ISO menjadi konsorsium dengan hubungan yang kuat
dengan pihak-pihak pemerintah. Peserta ISO termasuk satu badan
standar nasional dari setiap negara dan perusahaan-perusahaan besar.
� ISO bekerja sama dengan Komisi Elektroteknik Internasional (IEC)
yang bertanggung jawab terhadap standardisasi peralatan elektronik.
� Penerapan ISO di suatu perusahaan berguna untuk:
� Meningkatkan citra perusahaan
� Meningkatkan kinerja lingkungan perusahaan
� Meningkatkan efisiensi kegiatan
� Memperbaiki manajemen organisasi dengan menerapkan perencanaan, pelaksanaan, pengukuran dan tindakan perbaikan (plan, do, check, act)
� Meningkatkan penataan terhadap ketentuan peraturan perundang-undangan dalam hal pengelolaan lingkungan
� Mengurangi risiko usaha
� Meningkatkan daya saing
� Meningkatkan komunikasi internal dan hubungan baik dengan berbagaipihak yang berkepentingan
� Mendapat kepercayaan dari konsumen/mitra kerja/pemodal
ISO 17799� Secara internal keuntungan-keuntungan menerapkan suatu ISO
17799 Sistem Manajemen Keamanan Informasi (ISMS) dapat digunakan sebagai:
� Suatu pengukuran untuk keamanan perusahaan
� Satu set kendali
� Suatu metoda untuk menentukan target dan mengusulkan peningkatan
� Basis untuk standard keamanan informasi intern perusahaan
� Organisasi menerapkan ISO 17799 mempunyai suatu alat untukmengukur, mengatur dan mengendalikan informasi yang pentingkepada operasi system mereka. Pada gilirannya ini dapat mendorongkearah kepercayaan pelanggan, yang lebih efisien dan sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .
Apa Isi dari ISO-17799 ?� Isi ISO 17799, meliputi :
� 10 control clauses (10 pasal pengamatan)
� 36 control objectives (36 objek/sasaran pengamanan)
� 127 controls securiy (127 pengawasan keamanan)
Apa itu ISO 17799?� ISO 17799 merupakan suatu struktur dan rekomendasi pedoman
yang diakui secara internasional untuk keamanan informasi.
� Suatu proses keamanan informasi yang menyeluruh yang dapat
diusahakan atau di implementasikan bagi perusahaan agar
memperoleh manfaat keamanan yang diinginkan.
� Proses evaluasi, implementasi, pemeliharaan dan pengaturan
keamanan informasi yang singkat.
� Upaya penggunaan oleh konsorsium perusahaan untuk memenuhi
kebutuhan industri.
� ISO 17799 merupakan proses yang seimbang antara fisik,
keamanan secara teknikal dan prosedur, serta keamanan pribadi.
Keluarga ISO 27000� ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai
istilah dasar dalam serial ISO 27000.
� ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan informasi perusahaan
� ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan.
� ISO 27003: panduan implementasi sistem manajemen keamanan informasi perusahaan.
� ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilanimplementasi sistem manajemen keamanan informasi.
� ISO 27005: dokumen panduan pelaksanaan manajemen risiko.
� ISO 27006: dokumen panduan untuk sertifikasi sistem manajemen keamanan informasi perusahaan.
� ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi perusahaan.
� ISO 27799: panduan ISO 27001 untuk industri kesehatan.
ISO 27001: 2005 digunakan sebagai icon sertifikasi ISO 27000
ISO/IEC 38500� The ISO/IEC 38500:2008 Corporate governance of information
technology standard, provides a framework for effective governance
of IT to assist those at the highest level of organizations to
understand and fulfill their legal, regulatory, and ethical obligations
in respect of their organizations’ use of IT.
� ISO/IEC 38500 is applicable to organizations from all sizes,
including public and private companies, government entities, and
not-for-profit organizations. This standard provides guiding
principles for directors of organizations on the effective, efficient,
and acceptable use of Information Technology (IT) within their
organizations. It is organized into three prime sections, specifically,
Scope, Framework and Guidance
� The framework comprises definitions, principles and a model. It sets out six principles for good corporate governance of IT:
� Responsibility;
� Strategy;
� Acquisition;
� Performance;
� Conformance;
� Human behaviour.
� It also provides guidance to those advising, informing, or assisting directors.
Australian Standart 8015� Standar ini menyediakan prinsip panduan bagi direktur
atau top level management organisasi untuk penggunaan
teknologi komunikasi dan informasi yang efektif, efisien,
dan dapat diterima dengan baik di dalam organisasi
(Australian Standard, 2005).
� Australian Standard 8015 (AS 8015) merupakan panduan
bagi terciptanya suatu sistem dimana penggunaan
Teknologi Informasi dan Komunikasi (TIK) pada saat ini
dan di masa depan dapat terarah dan terkendali.
Prinsip AS 80151. Menetapkan tanggung jawab terhadap TIK yang dapat dipahami secara
jelas – memastikan individu atau group dalam organisasi memahami danmenerima tanggung jawabnya dalam TIK.
2. Merencanakan TIK untuk sebaik mungkin mendukung organisasi –memastikan rencana TIK sesuai dengan kondisi sekarang dan kebutuhan yang sedang berjalan dan rencana TIK mendukung rencana organisasi
3. Mengadakan sarana TIK secara benar – memastikan akuisisi TIK dibuat dengan alasan yang disetujui pada level tertentu dan analiasa yang sesuai. Selain itu terdapat keseimbangan antara biaya, risiko, serta keuntungan jangka pendek maupun panjang.
4. Memastikan TIK berjalan baik, kapanpun diperlukan – memastikan TIK sesuai dengan tujuannya untuk mendukung organisasi, responsive terhadap kebutuhan bisnis dan menyediakan dukungan pada bisnis ketika dibutuhkan.
5. Memastikan TIK memenuhi aturan-aturan formal – memastikan TIK sesuai dengan peraturan-peraturan eksternal dan sejalan dengan standard dan kebijakan organisasi
6. Memastikan TIK memperhatikan faktor manusia – memastikan TIK memenuhi kebutuhan saat ini dan mencakup semua orang di dalam proses
� Gambar tsb menjelaskan bahwa dalam mengevaluasi penggunaan TIK, Direktur harus mempertimbangkan tuntutan terhadap bisnis, seperti perubahan teknologi, ekonomi, tren sosial, dan pengaruh politis. Direktur juga harus memperhatikan kebutuhan bisnis yaitu tujuan organisasi yang harus dicapai seperti meningkatakan daya saing. Direktur harus mengarahkan persiapan dan implementasi rencana dan kebijakan. Rencana tersebut harus menentukan arahan investasi pada proyek TIK atau perubahan pada operasi TIK. Kebijakan harus menentukan perilaku dalam penggunaan TIK.
� Direktur harus memastikan bahwa transisi dari proyek ke operasi memperhatikan dampak pada operasional dan infrastruktur TIK yangada. Untuk melengkapi siklus tersebut, Direktur harus memonitor performa TIK melalui sistem pengukuran performa yang sesuai dan memastikan bahwa performa tersebut sesuai dengan yang direncanakan. Direktur juga harus memastikan bahwa penggunaan TI sesuai dengan ketentuan hukum eksternal dan praktik kerja internal. Jika dibutuhkan, mereka harus mengarahkan pengumpulan proposal untuk persetujuan dalam pemenuhan kebutuhan yang diidentifikasi.
� Direktur bertanggung jawab dalam mengarahkan TIK
melalui tugas utamanya yaitu: evaluasi penggunaan TIK
(evaluate), mengarahkan penyusunan dan implementasi
rencana serta kebijakan (direct), melakukan fungsi
monitoring terhadap kebijakan dan kinerja dari target yang
direncanakan (monitor). Prinsip dan tugas utama tersebut
kemudian dipetakan dalam sebuah matriks IT Governance
Framework yang berisi tindakan-tindakan yang harus
dilakukan oleh Direktur untuk mengimplementasikan 6
prinsip dalam “good corporate governance of ICT”.
Sertifikasi ISMS� Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak
dari sistem keamanan perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan mendorong dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis demi kepentingan bisnis global secara keseluruhan.
� Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana dengan sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk menyimpan/pelihara secara detil tentang sistem keamanan rahasianya .