Perancangan tata kelola teknologi informasi menggunakan kerangka kerja cobit 4.1 (proses Ds5-memastikan keamanan sistem) di PT.Bio Farma (persero)
PERANCANGAN TATA KELOLA TEKNOLOGI INFORMASI MENGGUNAKAN KERANGKA KERJA COBIT 4.1 (PROSES DS5 - MEMASTIKAN KEAMANAN SISTEM) DI PT BIO FARMA (PERSERO) SKRIPSI
Diajukan sebagai salah satu syarat kelulusan pada Program Studi Sistem Informasi Jenjang S1 (Strata 1) Fakultas Teknik dan Ilmu Komputer
Endra Mawardi 10509909 PROGRAM STUDI SISTEM INFORMASI FAKULTAS TEKNIK DAN ILMU KOMPUTER UNIVERSITAS KOMPUTER INDONESIA 2013
KATA PENGANTAR
Puji syukur penulis panjatkan kehadirat Allah SWT, karena atas segala rahmat dan hidayat-Nya penulis dapat menyelesaikan Skripsi ini guna memenuhi salah satu syarat kelulusan pada Program Studi Sistem Informasi Jenjang S1, Fakultas Teknik dan Ilmu Komputer, Universitas Komputer Indonesia. Penulis menyadari bahwa selesainya Skripsi ini adalah berkat bantuan dari beberapa pihak. Oleh karena itu, penulis mengucapkan terima kasih kepada :
1. Tuhan Yang Maha Kuasa, karena dengan rahmat dan karunia-Nya penulis dapat menyelesaikan skripsi ini tepat waktu.
2. Bapak Dr. Ir. Eddy Soeryanto Soegoto, selaku Rektor Universitas Komputer Indonesia.
3. Bapak Prof. Dr. H. Denny Kurniadie, Ir., M.Sc., selaku Dekan Fakultas Teknik dan Ilmu Komputer.
4. Bapak Syahrul Mauluddin, S.Kom., M.Kom., selaku Ketua Program Studi Sistem Informasi dan Dosen Wali.
5. Ibu Diana Effendi, ST., MT., selaku Dosen Pembimbing yang telah meluangkan waktunya untuk memberikan bimbingan, pengarahan dan saran, sehingga Skripsi ini dapat terselesaikan dengan baik.
6. Direksi PT Bio Farma (Persero), khususnya Kadiv TI, Ahli Madya IT Policy
& Governance beserta stafnya, bagian PMVB beserta stafnya, atas segala bantuan, perhatian dalam penyusunan Skripsi ini.
7. Orang tua, kakak, adik serta seluruh keluarga, istri dan anakku tercinta, ibu mertua, kakak dan adik ipar serta seluruh keluarga, yang selalu memberikan dukungan, perhatian dan doanya.
8. Seluruh dosen dan staf Program Studi Sistem Informasi, atas semua ilmu dan bantuannya selama proses perkuliahan sampai dengan selesainya Skripsi ini.
9. Teman-teman SI-16K 2009 yang telah memberikan bantuan, semangat, saran dan masukkan kepada penulis, semoga sukses selalu.
10. Seluruh sivitas akademika Program Studi Sistem Informasi Universitas Komputer Indonesia yang tidak dapat penulis sebutkan satu persatu.
Penulis menyadari bahwa Skripsi ini tidaklah luput dari kesalahan dan kekurangan, oleh karena itu penulis mengharapkan kritik dan saran untuk kebaikan penulis dan Skripsi ini. Semoga Skripsi ini dapat bermanfaat bagi kita semua.
Bandung, 2013 Penulis
DAFTAR ISI
7 BAB II LANDASAN TEORI II.1 Tata Kelola …………………………………………………….
11
10
9
8
II.2.2 Pentingnya Tata Kelola TI …………………………….
II.2 Tata Kelola TI …………………………………………………
II.2.1 Pengertian Tata Kelola TI ……………………………..Halaman ABSTRAK …………………………………………………………………….
ABSTRACT …………………………………………………………………… KATA PENGANTAR ………………………………………………………...
6
5
4
3
1
BAB I PENDAHULUAN I.1 Latar Belakang Penelitian ……………………………………...
I.2 Identifikasi dan Rumusan Masalah …………………………….
I.3 Maksud dan Tujuan Penelitian …………………………………
I.4 Kegunaan Penelitian I.4.1 Kegunaan Praktis ……………………………………….. I.4.2 Kegunaan Akademis …………………………………….I.5 Batasan Masalah ………………………………………………..
I.6 Lokasi dan Waktu Penelitian …………………………………...
DAFTAR ISI …………………………………………………………………. DAFTAR GAMBAR …………………………………………………………. DAFTAR TABEL ……………………………………………………………. DAFTAR LAMPIRAN ………………………………………………………. i ii iii v ix x xii
6
II.2.3 Ruang Lingkup Tata Kelola TI ………………………..
11 II.2.4 Kerangka Kerja Tata Kelola TI ………………………..
13 II.2.5 Kerangka Kerja Tata Kelola Keamanan ………………
14 II.2.5.1 ITIL …………………………………………..
16 II.2.5.2 ISO …………………………………………...
17 II.2.5.3 NIST …………………………………………
24 II.3 COBIT …………………………………………………………
26 II.3.1 Produk COBIT 4.1 …………………………………….
27 II.3.2 Prinsip Dasar COBIT 4.1 ……………………………...
29 II.3.3 Kerangka Kerja COBIT 4.1 …………………………...
34 II.3.4 Proses TI Pendukung Tata Kelola TI ………………….
39 II.3.5 DS5 (Memastikan Keamanan Sistem) ………………...
40 II.3.6 Pedoman Manajemen dalam COBIT 4.1 ……………...
45
45 III.3.6.1 Model Kematangan …………………………
52 III.3.6.2 Pengukuran Kinerja ………………………...
55 II.4 AHP (Analytical Hierarchy Process) …………………………
56 II.4.1 Langkah AHP ………………………………………….
59 II.4.2 Penyelesaian AHP dengan Expert Choice …………….
60 II.5 Pengumpulan Data dan Skala Pengukuran …………………....
BAB III OBJEK DAN METODE PENELITIAN III.1 Objek Penelitian III.1.1 Sejarah Singkat Perusahaan …………………………...
70 III.1.2 Visi dan Misi Perusahaan ……………………………...
73 III.1.3 Kebijakan Perusahaan …………………………………
74
III.1.5 Struktur Organisasi Perusahaan ……………………….
IV.1.2 Karakteristik Responden ………………………………
97
V.1.3 Kebijakan yang dimiliki sehubungan dengan TI ……...
V.1.2 Infrastruktur Teknologi Informasi ……………………..
IV.1 Kondisi Teknologi Informasi V.1.1 Arsitektur Sistem Informasi …………………………...
93 BAB V PERANCANGAN TATA KELOLA TI
92
89
88
87
86
IV.2.1 Perhitungan Skala Prioritas …………………………… IV.2.2 Pemetaan Tingkat Kematangan ……………………….
IV.2 Hasil Pembahasan
IV.1.3.2 Hasil Kuesioner Tingkat Kematangan ……...
IV.1.3 Hasil Kuesioner IV.1.3.1 Hasil Kuesioner Skala Prioritas …………….
IV.1 Hasil Penelitian IV.1.1 Pengumpulan Data …………………………………….
III.1.6 Visi dan Misi Divisi TI ………………………………..
85 BAB IV HASIL PENELITIAN DAN PEMBAHASAN
85
84
84
82
78
77
76
III.2.4.2 Alat Bantu Analisis dan Perancangan ………
III.2.4 Metode Analisis III.2.4.1 Analisis Kualitatif …………………………..
III.2.3 Jenis dan Metode Pengumpulan Data …………………
III.2.1 Desain Penelitian ……………………………………… III.2.2 Metode Penarikan Sampel ……………………………..
III.2 Metode Penelitian
III.1.7 Deskripsi Tugas ………………………………………..
98 101 V.1.4 Layanan Pihak Ketiga ………………………………… 101
IV.2 Analisis Kondisi Teknologi Informasi
V.2.1 Analisis Kondisi TI Secara Umum …………………… 101
V.2.2 Analisis Kondisi DS5 (Memastikan Keamanan Sistem) 103
IV.3 Pengukuran Kinerja TI ……………………………………….. 107
IV.4 Tingkat Kematangan Proses Memastikan Kemanan Sistem …. 111
IV.5 Rekomendasi Proses Memastikan Kemanan Sistem
IV.5.1 Rekomendasi Jangka Pendek …………………………. 116
IV.5.2 Rekomendasi Jangka Panjang ………………………. 117
BAB VI KESIMPULAN DAN SARAN VI.1 Kesimpulan ………………………………………………….... 122 VI.2 Saran …………………………………………………………. 123
DAFTAR PUSTAKA ………………………………………………………… 125
DAFTAR PUSTAKA
1. BSN. 2009. SNI ISO/IEC 27001:2009. Jakarta.7. Marimin & Maghfiroh, Nurul. 2011. Aplikasi Teknik Pengambilan Keputusan dalam Manajemen Rantai Pasok. PT Penerbit IPB Press. Bogor.
Surabaya.
11. Sarno, Riyanarto. 2009. Audit Sistem dan Teknologi Informasi. ITS Press.
10. PT Bio Farma (Persero). 2008. IT Master Plan 2008-2012. PT Bio Farma (Persero). Bandung.
The COBIT Maturity Model in a Vendor Evaluation Case. ISACA
9. Pederiva, Andrea. 2003. Information Systems Control Journal, Volume 3 :
8. NIST. 2013. SP 800-53 Rev. 4 : Security and Privacy Controls for Federal Information Systems and Organizations. US Department of Commerce.
Edition : Using COBIT and Val IT. ITGI. Illinois.
2. Guldentops, Erik. 2003. IG Maturity Measurement Tool. ITGI. Illinois.
6. Jogiyanto HM & Abdillah, Willy. 2011. Sistem Tatakelola Teknologi Informasi. ANDI. Yogyakarta.
Edition : Control
Practices, Control Objectives, Value Drivers, Risk Drivers. ITGI. Illinois.
nd5. IT Governance Institute. 2007. IT Governance Implementation Guide, 2
nd
4. IT Governance Institute. 2007. Cobit Control Practices, 2
3. IT Governance Institute. 2007. COBIT 4.1 : Framework, Control Objectives, Management Guidelines, Maturity Models. ITGI. Illinois.
12. Sarno, Riyanarto & Iffano, Irsyat. 2009. Sistem Manajemen Keamanan Informasi berbasis ISO 27001. ITS Press. Surabaya.
14. Surendro, Kridanto. 2009. Implementasi Tata Kelola Teknologi Informasi.
Informatika. Bandung.
15. Umar, Husein. 2003. Metode Riset Bisnis. PT Gramedia Pustaka Umum.
Jakarta.
16. Widhiarso, Wahyu. 2010. Pengembangan Skala Psikologi :Lima Kategori Respons ataukah Empat Kategori Respons? Fakultas Psikologi UGM.
Jogjakarta.
BAB I PENDAHULUAN Dalam bab ini akan dijelaskan latar belakang yang mendasari perancangan Tata Kelola TI dengan mengacu pada kerangka kerja COBIT 4.1. Disamping itu akan
dibahas juga identifikasi dan rumusan masalah, maksud dan tujuan penelitian, kegunaan penelitian, batasan masalah, lokasi dan waktu penelitian.
I.1 Latar Belakang Penelitian
Saat ini pengelolaan Teknologi Informasi (TI) yang berbasis risiko menjadi bagian penting dari Tata Kelola Perusahaan (Corporate Governance). Keberadaan
IT Governance (Tata Kelola TI) menjadi bagian yang tak terpisahkan dalam
mendukung kesuksesan Tata Kelola Perusahaan tersebut dengan menjamin perbaikan yang terukur secara efektif dan efisien dari proses bisnis yang terkait dengan TI. Tata Kelola TI didefinisikan sebagai struktur hubungan dan proses untuk mengarahkan dan mengontrol perusahaan agar tujuan bisnis dapat tercapai melalui penambahan nilai sekaligus melalui penyeimbangan risiko terkait dengan pengelolaan proses TI. Tidak hanya pengelolaan proses, namun juga memastikan bahwa proses tersebut telah dipenuhi oleh sumber daya TI yang memberikan dukungan secara optimal terhadap pemenuhan tujuan bisnis. Perkembangan kemajuan TI pada saat ini telah berdampak pada seluruh aspek, pemanfaatan TI dalam dunia industri sudah sangat penting karena persaingan yang ada menuntut
PT Bio Farma (Persero) merupakan salah satu perusahaan yang bergerak di bidang produksi vaksin dan sera pun perlu memanfaatkan TI agar dapat meningkatkan daya saing global dan turut serta dalam menyemarakkan perkembangan produk kesehatan dan biologi di dunia internasional. Namun pemanfaatan TI dan perubahan-perubahan yang terjadi di aspek proses dan sumber daya manusia menimbulkan banyak dampak positif dan negatif. Aspek negatif seperti risiko keamanan informasi menuntut perusahaan untuk mengubah pula aspek-aspek fundamental perusahaan tersebut seperti kebijakan dan prosedur kerja, dengan tujuan akhir agar perusahaan tersebut dapat menggunakan dan mengelola TI dengan tetap berpedoman pada peningkatan kinerja perusahaan.
Namun pelaksanaan Tata Kelola TI di PT Bio Farma masih belum optimal, hal ini terlihat dari belum terdapatnya kebijakan mengenai TI seperti manajemen pengguna, manajemen keamanan, strategi penanggulangan bencana (disaster
recovery), pemisahan jaringan dan tanggung jawab pihak ketiga, penanganan Risk
IT, integrasi pengelolaan data dan belum adanya personil Security Engineer atau
Information Security Administrator yang khusus menangani keamanan sistem .Untuk itu diperlukan suatu kerangka Tata Kelola TI terkait pengelolaan keamanan sistem sehingga semua risiko yang teridentifikasi dapat dicegah sekaligus mengoptimalkan kinerja TI agar lebih mempunyai nilai tambah bagi proses bisnis yang dijalankan, di samping itu diperlukannya juga suatu mekaniseme kontrol TI
Salah satu panduan Tata Kelola TI yang digunakan secara luas adalah Kerangka Kerja COBIT (Control Objective for Information and Related Technology) yang dipublikasikan oleh ISACA (Information System Audit and Control Association).
COBIT 4.1 dirancang terdiri dari 34 Proses TI (high level control objectives) yang terdiri dari 4 Domain yaitu: Plan and Organise, Acquire and Implement, Deliver
and Support dan Monitor and Evaluate.
Panduan Tata Kelola TI menggunakan kerangka kerja COBIT 4.1 tentang keamanan sistem terdapat pada Proses DS5 yang bertujuan untuk memastikan tingkat keamanan sistem TI, dengan adanya perancangan Tata Kelola TI dan rekomendasi nantinya diharapkan dapat dilakukan langkah-langkah perbaikan untuk meningkatkan keamanan sistem TI di PT Bio Farma.
I.2 Identifikasi dan Rumusan Masalah
Berdasarkan latar belakang di atas dapat diidentifikasikan permasalahan sebagai berikut :
1. Belum adanya kebijakan TI seperti manajemen pengguna, manajemen keamanan, pemisahan tanggung jawab pihak ketiga, pemisahan jaringan, penanganan Risk IT dan integrasi pengelolaan data di PT Bio Farma.
2. Belum adanya personil sebagai Security Engineer atau Information Security Administrator yang khusus bertugas melakukan pengaturan keamanan sistem.
3. Belum adanya kerangka Tata Kelola TI khususnya keamanan sistem di PT
Berdasarkan identifikasi permasalahan tersebut maka dirumuskan permasalahan sebagai berikut :
1. Bagaimana menentukan ruang lingkup perancangan Tata Kelola TI di PT Bio Farma?
2. Bagaimana kondisi Tata Kelola TI yang terkait dengan Proses DS5 (Memastikan Keamanan Sistem) saat ini di PT Bio Farma?
3. Bagaimana menentukan pengukuran kinerja TI yang mencakup Tujuan TI, Tujuan Proses dan Tujuan Aktivitas dengan Outcome Measures dan Indikator Kinerja yang terkait dengan Proses DS5 (Memastikan Keamanan Sistem)?
4. Bagaimana tingkat kematangan Proses DS5 (Memastikan Keamanan Sistem) saat ini dan yang diharapkan di PT Bio Farma?
5. Bagaimana menyusun rekomendasi Tata Kelola TI yang terkait dengan Proses DS5 (Memastikan Keamanan Sistem) sehingga dapat dicapai kondisi yang diharapkan sesuai kebutuhan bisnis?
I.3 Maksud dan Tujuan Penelitian
Maksud dilaksanakannya penelitian adalah memperoleh dan menganalisis data yang diperoleh untuk menentukan tingkat kematangan Proses DS5 (Memastikan Keamanan Sistem) saat ini dan yang diharapkan sebagai dasar penyusunan rekomendasi. Sedangkan tujuan penelitian berguna untuk menekankan pada hasil yang diharapkan dari penelitian terkait dengan identifikasi dan rumusan masalah.
Adapun tujuan penelitian ini adalah sebagai berikut : 1. Menentukan ruang lingkup perancangan Tata Kelola TI di PT Bio Farma.
2. Menjelaskan kondisi Tata Kelola TI yang terkait dengan Proses DS5 (Memastikan Keamanan Sistem) saat ini.
3. Menentukan pengukuran kinerja TI yang mencakup Tujuan TI, Tujuan Proses dan Tujuan Aktivitas dengan Outcome Measures dan Indikator Kinerja yang terkait dengan Proses DS5 (Memastikan Keamanan Sistem).
4. Menentukan tingkat kematangan Proses DS5 (Memastikan Keamanan Sistem) saat ini dan yang diharapkan di PT Bio Farma.
5. Menyusun rekomendasi Tata Kelola TI yang terkait dengan Proses DS5 (Memastikan Keamanan Sistem) berdasarkan tingkat kematangan saat ini.
I.4 Kegunaan Penelitian
Hasil penelitian ini diharapkan memiliki kegunaan akademis dan kegunaan praktis, kegunaan penelitian tersebut antara lain :
I.4.1 Kegunaan Praktis
Hasil perancangan Tata Kelola TI dan rekomendasi diharapkan dapat digunakan untuk melakukan peningkatan Tata Kelola TI di perusahaan dengan mengacu pada kerangka kerja COBIT, khususnya pada proses TI yang dipandang penting dan berhubungan dengan pelaksanaan Tata Kelola TI yang saat ini berlaku.
Peningkatan Tata Kelola TI yang terjadi diharapkan akan dapat meningkatkan kualitas operasional di perusahaan dan memberikan kontribusi positif bagi
I.4.2 Kegunaan Akademis
Penelitian ini diharapkan dapat menambah khasanah pustaka akademik bagi universitas dengan mendokumentasikannya agar dapat dijadikan pembanding dan juga literatur bagi mahasiswa lain dalam melakukan penelitian serta dapat memperdalam dan memperluas pengetahuan serta wawasan berpikir mengenai perancangan Tata Kelola TI mulai dari penentuan Domain dan Proses TI sampai penyusunan rekomendasi dalam suatu perusahaan, sehingga penulis dapat membandingkan antara teori yang diperoleh dengan praktik yang sesungguhnya di lapangan.
I.5 Batasan Masalah
Dalam melakukan penelitian ini, permasalahan akan dibatasi pada :
1. Objek penelitian adalah pelaksanaan Tata Kelola TI di PT Bio Farma khususnya Proses DS5 (Memastikan Keamanan Sistem).
2. Perancangan Tata Kelola TI dan rekomendasi yang akan dibuat ditinjau dengan menggunakan kerangka kerja COBIT 4.1, dengan membatasinya pada proses TI yang dipilih berdasarkan tingkat kepentingan dengan menghitung skala prioritas Domain dan Proses TI terlebih dahulu dengan metode pengukuran skala prioritas AHP (Analytical Hierarchy Process) menggunakan Aplikasi Expert Choice 11, didapatkan prioritas tertinggi yaitu Proses DS5 (Memastikan Keamanan Sistem).
3. Pemetaan model tingkat kematangan terhadap perusahaan hanya sebatas pada posisi perusahaan saat ini dan tidak melakukan perbandingan terhadap pemetaan model tingkat kematangan standar internasional.
4. Dalam penelitian ini tidak membahas mengenai implementasi dari rekomendasi yang dibuat, tapi sebatas langkah-langkah apa yang seharusnya dilakukan oleh PT Bio Farma dalam melaksanakan Tata Kelola TI khususnya Proses DS5 (Memastikan Keamanan Sistem) untuk mencapai sasaran yang telah ditetapkan oleh perusahaan.
I.6 Lokasi dan Waktu Penelitian
Penelitian dilaksanakan di PT Bio Farma (Persero) yang beralamatkan di Jalan Pasteur 28 Bandung. Penelitian ini dimulai pada bulan Maret sampai Juni 2013, untuk lebih jelasnya dapat dilihat pada Tabel I.1.
Tabel I.1 Jadwal Penelitian
Bulan Maret April Mei Juni No Kegiatan Minggu 1 2 3 4 1 2 3 4 1 2 3 4 5 1 2 3 4 Studi kepustakaan dan
1 dokumentasi Penentuan topik
2 penelitian Penentuan skala 3 prioritas domain dan proses TI
4 Pembuatan kuesioner
5 Pengumpulan data Analisis data dan 6 penentuan tingkat kematangan
Penentuan pengukuran
7 kinerja TI Perumusan
BAB II LANDASAN TEORI Teknologi Informasi (TI) yang sejak lama dianggap sebagai pendorong dan
pendukung strategi perusahaan, saat ini dianggap sebagai bagian terintegrasi dari strategi bisnis. Para pimpinan perusahaan sepakat bahwa keselarasan antara tujuan bisnis dan TI merupakan faktor sukses kritis (Critical Success Factor) di perusahaan. Keberadaan Tata Kelola TI membantu pemenuhan faktor tersebut dengan secara efisien dan efektif mengembangkan pengaplikasian teknologi dan pemenuhan kebutuhan akan informasi yang dapat diandalkan dan terjamin.
Karena keberadaan TI yang kritis, pengelolaan TI seharusnya mendapatkan perhatian yang saling berkesinambungan antara pemangku kepentingan (stakeholder) dengan operasional yang terlibat langsung dalam eksekusi Proses TI di lapangan. Sarno (2009 : 1)
II.1 Tata Kelola
Peningkatan efektivitas dan efisiensi organisasi, baik organisasi bisnis maupun organisasi pemerintah, dapat dilakukan melalui upaya penataan organisasi yang baik. Upaya tersebut dilakukan tidak hanya melalui proses pengaturan (manage) tetapi lebih luas pada penatakelolaan seluruh proses bisnis (governance). Untuk dapat berhasil, TI tidak cukup hanya diatur (manage) oleh departemen TI saja, tetapi harus ditata kelola (govern) di tingkat korporasi.
Tata kelola yang diterapkan di level organisasi disebut Tata Kelola Korporat (Corporate Governance). Tata Kelola Korporat merujuk pada proses dan struktur untuk merencanakan arah pengelolaan organisasi untuk mencapai tujuan secara efektif. Penataan organisasi dengan menerapkan model dan prinsip tata kelola organisasi yang baik disebut Good Corporate Governance (organisasi bisnis) dan
Good Government Governance (organisasi pemerintah). Jogiyanto (2011 : 13)
Menurut Weill & Ross (2004) Ada perbedaan mendasar antara mengatur (manage) dengan menatakelola (govern). Makna mengatur lebih sempit dibanding menatakelola, karena mengatur merupakan bagian dari menatakelola. Mengatur TI oleh departemen TI merupakan bagian dari menatakelola TI oleh korporasi. Mengatur TI hanya menunjuk pada serangkaian mekanisme di departemen TI untuk menghasilkan suatu keputusan spesifik TI, sedangkan menatakelola TI lebih luas lagi. Jogiyanto (2011 : 9) Bank Dunia mendefinisikan Tata Kelola (governance) sebagai pelaksanaan otoritas politis dan penggunaan sumber-sumber daya institusional untuk mengelola permasalahan-permasalahan dan urusan-urusan masyarakat. Sedangkan definisi lainnya adalah penggunaan institusi-institusi, struktur- struktur otoritas dan bahkan kolaborasi untuk mengalokasi sumber-sumber data dan mengkoordinasi atau mengendalikan aktivitas di masyarakat atau suatu ekonomi. Jogiyanto (2011 : 12)
II.2 Tata Kelola TI
Tata Kelola TI memiliki definisi inklusif yang mencakup Sistem Informasi (SI), teknologi dan komunikasi, bisnis dan hukum serta isu-isu lain yang melibatkan hampir seluruh pemangku kepentingan (stakeholder], baik direktur, manajemen eksekutif, pemilik proses, suplier, pengguna TI bahkan pengaudit SI/TI.
Pembentukan dan penyusunan tata kelola tersebut merupakan tanggung jawab dari jajaran direksi dan manajemen eksekutif.
II.2.1 Pengertian Tata Kelola TI
nd
Definisi dari Board Briefing on IT Governance 2 Edition, ITGI, (2004) Tata Kelola TI memiliki definisi inklusif yang mencakup Sistem Informasi (SI), teknologi dan komunikasi, bisnis dan hukum serta isu-isu lain yang melibatkan hampir seluruh pemangku kepentingan (stakeholder), baik direktur, manajemen eksekutif, pemilik proses, supplier, pengguna TI bahkan pengaudit SI/TI. Pembentukan dan penyusunan tata kelola tersebut merupakan tanggung jawab dari jajaran direksi dan manajemen eksekutif. Panduan tersebut merupakan bagian terintegrasi dari Tata Kelola Perusahaan yang terdiri dari kepemimpinan dan struktur organisasi serta proses yang memastikan bahwa pengelolaan TI akan menopang dan memperluas strategi dan tujuan perusahaan. Sarno (2009 : 12) Menurut The Ministry of International Trade & Industry (1999) Tata Kelola TI adalah kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi TI dan mengarahkan kepada kepentingan pencapaian daya saing korporasi. Sedangkan menurut Van Grembergen (2002) Tata Kelola TI adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen TI untuk mengendalikan formulasi dan implementasi strategi TI dalam rangka mendukung bisnisnya. Surendro (2009 : 3) Menurut Peterson (2001) Tata Kelola TI merupakan sistem di mana portofolio TI organisasi diarahkan dan dikontrol. Tata kelola TI menggambarkan (a) distribusi hak-hak pengambilan keputusan seputar TI dan tanggung jawab diantara para stakeholder yang berbeda di dalam organisasi, dan (b) aturan dan juga prosedur untuk membuat dan memonitor keputusan yang terkait dengan strategi TI. Surendro (2009 : 31) Tata Kelola TI adalah tanggung jawab dewan direksi dan manajemen eksekutif organisasi. Tata Kelola TI merupakan bagian terintegrasi dari pengelolaan perusahaan yang mencakup kepemimpinan, struktur serta proses organisasi yang memastikan bahwa TI perusahaan dipergunakan untuk mempertahankan dan memperluas strategi dan tujuan organisasi. Surendro (2009 : 127) Menurut Weill & Ross (2004) Tata Kelola TI adalah serangkaian sistem dan mekanisme yang menentukan pihak-pihak, baik di Departemen TI maupun di luar Departamen TI, yang membuat dan berkontribusi dalam pembuatan keputusan TI. Jogiyanto (2011 : 9) Menurut Sohal & Fitzpatrick (2002) Manajemen TI berfokus pada keefektifan operasi internal produk dan jasa, termasuk administrasi operasi TI yang ada saat ini. Perbedaan utama lainnya adalah manajemen TI umumnya fokus pada proses internal dan diselesaikan pada jenjang unit atau departemen, sedangkan Tata Kelola TI memiliki aspek yang lebih luas, yaitu pada jenjang korporat dan
II.2.2 Pentingnya Tata Kelola TI
Dengan keberadaan TI sekarang yang sangat terkait dan menjalar di berbagai bidang di perusahaan, pengelolaan harus memberikan perhatian yang lebih terhadap TI, menelaah sebesar apa ketergantungan perusahaan terhadap TI dan sepenting apa TI bagi pelaksanaan strategi bisnis, maka TI sangat penting dalam mendukung dan mencapai tujuan perusahaan dan sangat strategis terhadap bisnis (perkembangan dan inovasi).
Alasan pentingnya Tata Kelola TI seperti yang diungkapkan Jogiyanto (2011 : 7) :
1. Adanya perubahan peran TI, dari peran efisiensi ke peran strategik yang harus ditangani di level korporat.
2. Banyak proyek TI strategik yang penting namun gagal dalam pelaksanaannya karena hanya ditangani oleh teknisi TI.
3. Keputusan TI di dewan direksi sering bersifat adhoc atau tidak terencana dengan baik.
4. TI merupakan pendorong utama proses transformasi bisnis yang memberi imbas penting bagi organisasi dalam pencapaian misi, visi dan tujuan strategik.
5. Kesuksesan pelaksanaan TI harus dapat terukur melalui metrik Tata Kelola TI.
II.2.3 Ruang Lingkup Tata Kelola TI
Pada dasarnya, Tata Kelola TI berkaitan dengan dua permasalahan utama, bahwa TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan bisnis dan bahwa risiko yang terkait dengan TI akan ditangani dengan
Adapun fokus utama dari area Tata Kelola TI dapat dibagi menjadi 5 area seperti pada Gambar II.1. ITGI, COBIT 4.1 (2007) Gambar II.1 Fokus Area Tata Kelola TI
Penjelasan singkat mengenai area utama dalam Tata Kelola TI pada Gambar II.1 akan dipaparkan sebagaimana berikut:
1. Strategic Alignment (penyelarasan strategis)
Memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.
2. Value Delivery (penyampaian nilai)
Mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.
3. Resource Management (pengelolaan sumber daya)
Berkaitan dengan pengoptimalan investasi yang dilakukan dan pengelolaan secara tepat dari sumber daya TI yang kritis mencakup: aplikasi, informasi, infrastruktur dan Sumber Daya Manusia (SDM). Isu kunci area ini
4. Risk Management (pengelolaan risiko)
Membutuhkan kepekaan akan risiko oleh manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan risiko, pemahaman kebutuhan akan kepatutan, transparansi akan risiko yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan risiko ke dalam organisasi itu sendiri.
5. Performance Measurement (pengukuran kinerja)
Penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti Balanced Scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.
II.2.4 Kerangka Kerja Tata Kelola TI
Berbagai kerangka kerja Tata Kelola TI tersedia dan sudah dibakukan serta diakui di seluruh dunia, sebagai contoh: Information Technology Infrastructure Library (ITIL) (Davies, 2003), ISO 17799 (ISO, 2005) dan Control Objectives for Information and related Technology (COBIT) (ISACA, COBIT4.1, 2007).
Kerangka kerja tersebut memiliki peran dan fungsi masing-masing dalam Tata Kelola TI. Peran dan fungsi utama dalam Tata Kelola TI mencakup dua hal utama, yaitu: pengaturan (govern) dan pengelolaan (manage). Pengaturan (govern) mencakup hal-hal apa yang mendasari tata kelola tersebut yang ditentukan melalui
Namun perusahaan perlu menentukan best practice (contoh yang baik) yang sesuai dengan kebutuhan bisnisnya dan dapat dijadikan sebagai panduan dalam pengelolaan TI. Penentuan contoh yang baik tersebut dilakukan dengan pemilihan terhadap kerangka kerja pengelolaan TI yang sudah dibakukan. Penentuan best
practice yang mengacu pada kerangka yang baku dan standar dapat memudahkan
dalam penyusunan standar pengelolaan proses yang baik sekaligus memberikan kepastian bagi perusahaan dalam menentukan Tata Kelola TI yang paling sesuai dengan bisnisnya namun tidak menyimpang dari praktik pengelolaan TI yang umum. Lebih jauh lagi, studi banding (benchmark) terhadap penerapan kerangka kerja Tata Kelola TI yang sukses di perusahaan lain perlu dilakukan untuk memberikan jaminan bahwa best practice yang disusun mampu memberikan kesuksesan terhadap bisnis di masa mendatang. Sarno (2009 : 14-16)
II.2.5 Kerangka Kerja Tata Kelola Keamanan
Keamanan Informasi adalah penjagaan informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis.
Keamanan bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan secara simultan atau dilakukan dalam kombinasi satu dengan yang lainnya.
Strategi-strategi dari keamanan informasi masing-masing memiliki fokus dan
Contoh dari keamanan informasi antara lain. Sarno dan Iffano (2009) :
1. Physical security adalah keamanan informasi yang memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman yang meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
2. Personal security adalah keamanan informasi yang berhubungan dengan keamanan personil. Biasanya saling berhubungan dengan ruang lingkup physical security.
3. Operational security adalah keamanan informasi yang membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi tanpa gangguan.
4. Communication security adalah keamanan informasi yang bertujuan mengamankan media komunikasi, teknologi komunikasi serta apa yang masih ada di dalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai tujuan organisasi.
5. Network security adalah keamanan informasi yang memfokuskan pada bagaimana pengamanan peralatan jaringannya, data organisasi, jaringan dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Karena pentingnya pengetahuan akan kerangka kerja tersebut, maka berikut akan dipaparkan mengenai beberapa contoh kerangka kerja Tata Kelola TI khususnya
II.2.5.1 ITIL
IT Infrastructure Library (ITIL) merupakan standar yang dikeluarkan pemerintah
United Kingdom (UK) sebagai kerangka kerja yang diacu oleh best practice
proses dan prosedur manajemen operasional. Lebih spesifik, ITIL terutama memfokuskan terhadap pendefinisian fungsi, operasional dan atribut organisasi yang diperlukan agar manajemen operasional dapat dioptimasi secara penuh ke dalam dua kategori utama pengelolaan Aktivitas TI dalam perusahaan yaitu:
Service Support Management dan Service Delivery Management.
Kedua kategori utama tersebut memiliki masing-masing sub kategori. Service
Support Management mencakup beberapa sub kategori, antara lain Service Desk,
Incident, Problem, Configuration serta Change and Release Management.
Sedangkan kategori yang lain, yaitu Service Delivery Management meliputi sub kategori berikut : Service Level, Financial, Capacity dan Service Continuity and
Availability. Setiap definisi sub kategori tersebut melingkupi kriteria di beberapa
area, termasuk dukungan terhadap organisasi, integrasi komponen lintas manajemen, pelaporan manajemen, kapabilitas produk, kualitas implementasi dan kualitas layanan pelanggan. Sarno (2009 : 20) Proses manajemen keamanan menurut ITIL meliputi proses antara lain :
1. Kontrol, meliputi aktivitas implementasi kebijakan, organisasi keamanan dan pelaporan.
2. Rencana, meliputi aktivitas keamanan tentang SLA (Service Level Agreement),
3. Implementasi, meliputi aktivitas klasifikasi dan pengelolaan aplikasi TI, personil keamanan, manajemen keamanan, akses kontrol dan pelaporan.
4. Evaluasi, meliputi aktivitas introspeksi sendiri, audit internal dan eksternal, evaluasi berdasarkan insiden keamanan dan pelaporan.
5. Pemeliharaan, meliputi aktivitas pemeliharaan dan revisi SLA dan OLA, serta pelaporan.
6. Model Proses Data yang lengkap, merupakan model proses data yang lengkap dari kelima proses di atas.
II.2.5.2 ISO
International Standards Organization (ISO) mengelompokkan standar keamanan
informasi yang umum dikenali secara internasional ke dalam struktur penomoran yang standar yakni: ISO 17799. Pada awalnya standar tersebut disusun oleh sekelompok perusahaan besar seperti Board of Certification, British Telecom,
Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan
Unilever yang bekerja sama untuk membuat suatu standar yang dinamakan British
Standard 7799 (BS 7799) sekitar awal tahun 1995.BS 7799 terdiri dari dua bagian, yaitu: The Code of Practice for Information
Security Management (Part 1) dan The Specification for Information Security
Management Systems/ISMS (Part 2). Kemudian sekitar tahun 2000, ISO dan
International Electro-Technical Commission (IEC) mengadopsi BS 7799 Part 1
dan menerbitkannya sebagai standar ISO/IEC 17799:27000 dan BS 7799 Part 2
Standar tersebut memiliki fungsi dan peran masing-masing dan berkembang ke seri lain sebagaimana berikut :
1. ISO/IEC 27000 : merupakan dokumen yang berisikan definisi-definisi dalam bidang keamanan informasi yang digunakan sebagai istilah dasar.
2. ISO/IEC 27001 : mencakup aspek-aspek pendukung realisasi dan implementasi sistem manajemen keamanan informasi perusahaan.
3. ISO/IEC 27002 : panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan berdasarkan ISO/IEC 27001.
ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi di perusahaan. Secara umum terdapat 11 aspek yang seharusnya ada dalam setiap perusahaan dalam mengimplementasikan konsep keamanan informasi tersebut. Sarno (2009 : 21-22) SMKI merupakan bagian dari sistem manajemen secara keseluruhan, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara keamanan informasi. Keamanan Informasi adalah penjagaan kerahasiaan, integritas dan kesediaan informasi; sebagai tambahan, sifat/keadaan informasi lainnya seperti keaslian,
Klausul sasaran pengendalian dan pengendalian menurut SNI ISO/IEC 27001:2009 tersebut antara lain. BSN (2009) :
1. Kebijakan keamanan Kebijakan keamanan informasi, untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum serta regulasi yang relevan.
2. Organisasi keamanan informasi
a. Organisasi internal, untuk mengelola keamanan informasi dalam organisasi.
b. Pihak eksternal, untuk memelihara keamanan informasi organisasi dan fasilitas pengolahan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal.
3. Pengelolaan aset
a. Tanggung jawab terhadap aset, untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi.
b. Klasifikasi informasi, untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat.
4. Keamanan sumberdaya manusia
a. Sebelum dipekerjakan, untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi risiko pencurian, kecurangan atau penyalahgunaan fasilitas. b. Selama bekerja, untuk memastikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama bekerja dan untuk mengurangi risiko kesalahan manusia.
c. Pengakhiran atau perubahan pekerjaan, untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan dengan cara yang sesuai.
5. Keamanan fisik dan lingkungan
a. Area yang aman, untuk mencegah akses fisik oleh pihak yang tidak berwenang, kerusakan dan interferensi terhadap lokasi dan informasi organisasi.
b. Keamanan peralatan, untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap kegiatan organisasi.
6. Manajemen komunikasi dan operasi
a. Prosedur operasional dan tanggung jawab, untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman.
c. Manajemen pelayanan jasa pihak ketiga, untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga.
d. Perencanaan dan keberterimaan sistem, untuk mengurangi risiko e. Perlindungan terhadap malicious and mobile code, untuk melindungi integritas perangkat lunak dan informasi.
f. Back-up, untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolahan informasi.
g. Manajemen keamanan jaringan, untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.
h. Penanganan media, untuk mencegah pengungkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis. i. Pertukaran informasi, untuk memelihara keamanan informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan dengan setiap entitas eksternal. j. Layanan electronic commerce, untuk memastikan keamanan layanan electronic commerce dan keamanan penggunaannya. k. Pemantauan, mendeteksi kegiatan pengolahan informasi yang tidak sah.
7. Pengendalian akses
a. Persyaratan bisnis untuk pengendalian akses, untuk mengendalikan akses kepada informasi.