bab i pendahuluan i.1 latar belakang - · pdf fileresiko-resiko tersebut tidak ... elektronika...
TRANSCRIPT
BAB I
PENDAHULUAN
I.1 Latar Belakang
Peranan teknologi informasi dalam dunia bisnis mempunyai peranan penting untuk suatu
perusahaan dan para manajer bisnisnya. Dalam pengambilan keputusan strategis,
teknologi informasi akan mempengaruhi keberlanjutan operasional, yang akan membawa
perubahan pada organisasi tersebut. Perusahaan dan para manajernya tidak memiliki cara
yang sama dalam menghadapi resiko teknologi informasi. Perbedaan yang pertama,
resiko-resiko tersebut tidak secara terbuka dipertimbangkan. Kedua, hanya terdapat
sedikit tools atau instruments untuk menangani resiko yang tampak. Ketiga, terdapat
proses-proses dalam organisasi yang tidak bereaksi terhadap resiko. [3].
Pada umumnya, mempersiapkan perlindungan terhadap setiap kemungkinan ancaman,
merupakan kegiatan yang bersifat tidak ekonomis. Oleh karena itu, suatu program
keamanan IT, seharusnya menyediakan suatu proses untuk memperkirakan ancaman dan
memutuskan pilihan yang akan diambil, apakah memilih dan mengabaikan suatu
ancaman atau memberikan pengurangan terhadap proteksinya. Instalasi ukuran
pengendaliannya berdasarkan pada suatu keseimbangan antara cost of control dan
kebutuhan untuk mengurangi atau menghilangkan ancaman. Seperti analisis resiko, yang
pada dasarnya merupakan suatu pendekatan risk-management, untuk membantu
mengidentifikasikan ancaman dan memilih kriteria ukuran keamanan yang menghasilkan
cost-effective. [12]
Penggunaan suatu tabel centralized data, yang berisi reference data dan teknik
estimating, dengan sebagian key variables untuk melakukan determining risks dan
kerugiannya, dapat dipakai manajemen dalam perbaikan security. Metode untuk penilaian
tangible dan intangible assets, akan membantu dalam mengukur keamanan informasi,
dengan melakukan perhitungan dan pengukuran suatu resiko yang menggunakan analisis
resiko secara kuantitatif. [1].
Industri layanan jasa postal (postal service, didalamnya termasuk jasa kurir, express
delivery, finansial, dan logistik), merupakan salah satu bisnis yang tidak akan pernah
1
kehilangan pemain, bahkan terus tumbuh seiring dengan pertumbuhan ekonomi. Bisnis
jasa pengiriman yang dilakukan oleh para pemain di industri jasa pos memang sangat
prospektif karena cakupannya yang sangat luas, tidak terbatas pada komoditas tertentu
saja. Jasa kurir dan logistik diperlukan untuk mendukung kegiatan sektor industri dan
perdagangan, terutama untuk pengiriman dokumen serta barang. Kebutuhan terhadap jasa
kurir dan logistik berbanding lurus dengan pertumbuhan industri. Saat ini saja, potensi
pasar logistik di Indonesia mencapai 10% dari produk domestik bruto. [14].
Menurut Wakil Ketua Asosiasi Perusahaan Jasa Ekspres Indonesia (Asperindo) Jawa
Barat, di Bandung saja rata-rata terjadi pertambahan jumlah operator kurir 5%-10% [15].
Menurut catatan Universal Postal Union (UPU, Organisasi Pos Dunia), angka
pertumbuhan volume surat tahun 1995 sampai tahun 2000 di Asia Pasifik rata-rata
sebesar 1,4%, sedangkan pertumbuhan antara tahun 2000 sampai tahun 2005
diperkirakan sebesar 4,1% [16]. Dalam hal pasar komunikasi dalam arti surat secara fisik,
layanan komunikasi untuk lingkup domestik masih didominasi oleh operator pos milik
pemerintah. Tetapi sebaliknya untuk pasar internasional atau lintas negara, layanan
komunikasi dalam arti surat fisik saat ini didominasi (70%) oleh operator swasta [17].
Oleh karena itu, kemampuan operator jasa pos milik pemerintah untuk mempertahankan
pangsa pasarnya terhadap kondisi persaingan tersebut sangat penting.
Perkembangan yang pesat dalam teknologi telekomunikasi dan informasi, komputasi dan
elektronika juga telah mengubah peta pasar transaksi komunikasi. Industri pos sangat
merasakan imbas dari kemajuan teknologi tersebut. Dampak tersebut dapat dibedakan
dalam dua kategori. Kategori pertama yaitu dampak operasi yang terkait dengan
pemanfaatan teknologi untuk mendukung operasi dalam rangka mencapai keunggulan
bersaing dalam industri. Sedangkan kategori kedua adalah dampak substitusi dimana
kemajuan teknologi memunculkan bisnis-bisnis substitusi yang pada akhirnya juga
merupakan pesaing industri jasa pos. [18].
Kompleksitas ini muncul bukan semata-mata keragaman bisnisnya, namun juga karena
beberapa jenis bisnis yang digeluti memiliki karakteristik yang berbeda. Dalam bidang
layanan jasa komunikasi misalnya, PT Pos berhadapan dengan pesaing seperti Titipan
Kilat, Pandu Siwi Sentosa dan kurir-kurir lokal lain maupun dengan perusahaan-
2
perusahaan kelas dunia seperti DHL, TNT, FedEx dan UPS, yang telah berhasil
memanfaatkan teknologi pelacakan kiriman barang dengan memperhitungkan resiko dari
aplikasi pelayanan tersebut.
Strategic Business Unit POS Express, selanjutnya disebut SBUPE, merupakan anak
perusahaan dari PT. Pos Indonesia, yang memberikan pelayanan dalam bentuk jasa kurir
dan logistik. Dalam melakukan pelayanannya, SBUPE menggunakan Barcode untuk
identifikasi pada sistem pelacakan dan sebagai media dalam menyimpan data yang
berkaitan dengan paket yang dikirimkannya.
Pemakaian Barcode untuk track and trace system pada SBUPE, dipergunakan dalam jasa
kurir dan logistik. Sehingga fitur-fitur yang terdapat pada Barcode, diadopsi juga dalam
pola kerja pada unit tersebut. Sampai saat ini, track and trace system pada SBUPE tidak
memiliki instrument untuk melakukan manajemen resiko, yaitu proses yang dilakukan
oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan pengeluaran biaya
keuangan, dalam mencapai keuntungan dengan melindungi sistem IT dan data yang
mendukung misi organisasinya.
I.2 Perumusan Masalah
Berdasarkan latar belakang di atas, beberapa permasalahan dapat diidentifikasi, sebagai
berikut.
• SBUPE dihadapkan dalam persaingan jasa kurir lokal maupun dengan
perusahaan-perusahaan kelas dunia, yang telah berhasil memanfaatkan teknologi
pelacakan kiriman barang dengan memperhitungkan resiko dari aplikasi
pelayanan jasanya,
• Hingga saat ini, track and trace system pada SBUPE tidak memiliki instrument
untuk melakukan manajemen resiko teknologi informasi, yaitu proses yang
dilakukan oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan
pengeluaran biaya keuangan, dalam mencapai keuntungan dengan melindungi
sistem IT dan data yang mendukung misi organisasinya.
3
I.3 Tujuan
Dari uraian di atas, maka secara umum tujuan penelitian ini adalah merancang suatu
instrument pengukuran risk assessment sebagai rekomendasi strategi manajemen resiko
pada track and trace system SBUPE. Adapun tujuan khusus yang ditargetkan pada
penelitian ini adalah:
• Melakukan pengukuran dan perhitungan risk assessment secara kualitatif serta
kuantitatif, berdasarkan tangible dan intangible assets pada aplikasi track and trace
system SBUPE untuk alur proses pengiriman paket pos, berupa template untuk
menganalisis resiko,
• Menghasilkan suatu sajian rekomendasi berupa template untuk manajemen SBUPE
melakukan tinjauan analisis resiko,
• Berdasarkan aktivitas risk assesement dan rancangan template penilaian resiko, maka
didapatkan posisi atau kuadran untuk rekomendasi strategi manajemen resiko suatu
risk mitigation yang mengarah pada incident handling.
I.4 Batasan Masalah
Pada laporan tesis ini, permasalahannya dibatasi menjadi beberapa hal, sebagai berikut.
• Pembahasan difokuskan pada analisis resiko dengan metode kualitatif dan kuantitatif.
• Hasil dari tesis ini adalah tools/instrument untuk risk-management pada SBUPE.
• Lokasi yang dijadikan studi kasus adalah track and trace system di SBUPE untuk jasa
pengiriman paket.
• Pada proses manajemen resiko teknologi informasi, untuk proses evaluation and
assessment tidak dilakukan.
• Dalam laporan ini, untuk tahap pengujian rancangannya disajikan dalam suatu saran
langkah-langkah yang akan dilakukan untuk melakukan audit, berdasarkan suatu
metodologi standar dari CobiT.
4
I.5 Metodologi Penelitian
Secara garis besar, langkah kegiatan yang dilakukan pada penelitian ini dapat dilihat pada
Gambar I.1. Langkah penelitian tersebut dibuat sebagai kerangka alur berpikir dalam
melakukan penelitian agar pelaksanaannya menjadi sistematis, jelas, dan terarah.
1. Perumusan Masalah dan Tujuan Penelitian
Penerapan sistem pelacakan kiriman suatu item, merupakan proses yang terjadi pada
salah satu usaha jasa kurir unit bisnis logistik, yang sangat berperan antara unit bisnis
tersebut dan pelanggan dalam kaitannya pada Customer Relationship. Pemakaian
Barcode pada SBUPE dipergunakan dalam jasa kurir untuk pengiriman suatu barang.
Sehingga fitur-fitur yang terdapat pada Barcode juga dipakai dalam pola kerja unit
tersebut.
Dari situasi-situasi tersebut di atas, timbul suatu gagasan untuk melakukan penelitian
dalam merancang suatu instrument pengukuran risk assessment sebagai rekomendasi
strategi manajemen resiko pada track and trace system SBUPE.
2. Studi Pustaka dan Studi Lapangan
Pada tahapan ini dilakukan penyesuaian antara konsep dan kasus-kasus yang terjadi di
SBUPE. Dalam studi pustaka, didapatkan suatu konsep, teori, serta model yang
mendukung masalah penelitian, sehingga dapat menghasilkan suatu kesimpulan untuk
penerapan teoritisnya. Konsep NIST, COBIT, dan OCTAVE merupakan referensi
yang dijadikan pembanding di dalam memahami proses manajemen resiko.
Sedangkan pada studi lapangan dilakukan untuk mendapatkan situasi dan informasi
terkini mengenai objek yang diteliti, sehingga dapat ditentukan variabel-variabel
dalam tahapan proses penelitian selanjutnya.
3. Manajemen Resiko Teknologi Informasi
Pada tahap ini, diterapkan metodologi risk assessment yang terdiri dari: analisis
karakteristik dari sistem IT, melakukan identifikasi ancaman, melakukan identifikasi
kelemahan, menganalisis pengendalian, penentuan kecenderungan/kemungkinan,
analisis dampak yang kurang baik dapat dilakukan secara kualitatif maupun
kuantitatif, menentukan tingkatan resiko, melakukan rekomendasi pengendalian
mengurangi resiko, dan membuat dokumentasi hasil berupa laporan.
5
Setelah melakukan risk assesement, langkah berikutnya adalah menerapkan
metodologi risk mitigation yang terdiri dari: prioritas tindakan untuk suatu resiko,
rekomendasi pengendalian dalam proses penilaian resiko, analisis pengendalian cost-
effective, pemilihan pengendalian cost-effective, menempatkan individu yang
bertanggung jawab untuk menerapkan pengendalian, mengembangkan rencana
implementasi untuk safeguard, dan pengendalian implementasi yang dipilih.
Langkah berikutnya merupakan proses yang dilakukan untuk melakukan evaluasi
mengenai pendekatan dalam menerapkan manajemen resiko, kemudian dilakukan
kembali penilaian resiko unuk memastikan keberadaan resiko. Pada langkah
evaluation and assessment belum dapat dilakukan, dikarenakan harus mencoba
menerapkan rancangan manajemen resiko pada sistem yang dianalisis terlebih dahulu.
Walaupun demikian, pada tesisi ini secara umum disajikan rancangan rekomendasi
strategi manajemen resiko, dengan saran pengujian rancangan menggunakan suatu
metodologi audit dari CobiT.
4. Perancangan Instrumental
Berdasarkan kerangka berpikir yang ditulis, hasil akhirnya berupa rancangan suatu
instrument pengukuran risk assessment sebagai rekomendasi strategi manajemen
resiko pada track and trace system SBUPE.
5. Pengujian rancangan Instrumental
Pada laporan ini, untuk tahap pengujiannya disajikan saran langkah-langkah yang
akan dilakukan untuk melakukan audit berdasarkan suatu metodologi standar dari
CobitT (Control Objectives for Information and related Technology).
6
MANAJEMEN RESIKO TEKNOLOGI INFORMASI
Ris
k A
sses
smen
t
Ris
kM
itiga
tion
Eva
luat
ion
A
nd A
sses
smen
t
Peru
mus
an M
asal
ah
Dan
Tuj
uan
Pene
litia
n
Studi Literatur
Studi Lapangan
SBUPE
KONSEP • NIST SP 800-30 • COBIT P09 • OCTAVE
Melakukan kombinasi antara studi literatur dan
studi lapangan
Perancangan Instrumental
Suatu Skenario
untuk Risk
Mitigation di SBUPE
Sara
n Pe
nguj
ian
R
anca
ngan
OUTPUT
Gambar I.1 Kerangka Berpikir
I.6 Sistematika Penulisan
BAB I PENDAHULUAN
Pembahasannya meliputi latar belakang, perumusan masalah, tujuan, batasan
masalah, metodologi penelitian, dan sistematika penulisan
BAB II TINJAUAN PUSTAKA
Konsep yang dipelajari meliputi manajemen resiko yang terdiri dari Risk
Assesment, mitigation, dan evaluation. Untuk analisis resiko dan
perhitungannya meliputi prosedur analisis secara kuantitatif (sebelumnya
dilakukan juga analisis kualitatif) dan beberapa formula perhitungan, seperti
EF, SLE, ARO, dan ALE.
BAB III ANALISIS STUDI KASUS SBUPE
Pada bab ini diuraikan mengenai profile SBUPE, identifikasi asset yang ada
pada organisasi dengan pembahasan IT Service dan komponennya. Pada bisnis
proses untuk unit ini, dimodelkan dengan menggunakan Context Diagram dan
Data Flow Diagram.
7
BAB IV ANALISIS MANAJEMEN RESIKO TEKNOLOGI INFORMASI
Analisis yang dilakukan mencakup pengelompokkan asset yang terkait secara
operasional pada proses track and trace system. Metode yang digunakan untuk
analisis resiko, menggunakan kualitatif dan kuantitatif dengan prosedur seperti
yang dijelaskan pada studi pustaka.
BAB V STRATEGI MITIGASI RESIKO
Menghasilkan suatu sajian rekomendasi berupa template untuk manajemen
SBUPE melakukan tinjauan analisis resiko.
Berdasarkan aktivitas risk assesement dan rancangan template penilaian
resiko, maka didapatkan posisi atau letak pada rancangan matrik untuk
rekomendasi strategi manajemen resiko suatu risk mitigation yang mengarah
pada incident handling. Untuk pengujian rancangannya berupa saran yang
akan dilakukan dalam audit berdasarkan suatu metodologi standar.
BAB VI KESIMPULAN
Pada bab ini berisikan kesimpulan dari rancangan instrument yang dibuat
serta saran untuk pengembangan dan implementasi yang dilakukan pada
SBUPE.
8