13
2.2.4 Fase Keempat Implementasi Solusi.
Pada fase ini untuk menilai unjuk kerja dalam memenuhi sasaran awal. Mempertimbangkan kebutuhan untuk mengarahkan kembali aktivitas
berikutnya.
2.2.5 Fase Kelima Operasional Solusi.
Pada fase ini untuk menyediakan arahan, menetapkan sasaran, dan mengalokasikan peran dan tanggung jawab pendekatan yang terus
menerus pada tata kelola teknologi informasi.
2.3 Kerangka Kerja Tata Kelola Teknologi Informasi.
Isu utama dalam pengelolaan TI masa kini adalah bagaimana menyelaraskan strategi bisnis dengan TI. Isu tersebut merupakan bagian dari fokus pembahasan
Tata Kelola TI sehingga dapat digunakan untuk membantu penyelarasan strategi bisnis dan tujuan TI. Berbagai kerangka kerja tata kelola TI tersedia dan sudah
dibakukan serta diakui di seluruh dunia, contoh : Information Technology Infrastructure Library ITIL Davies, 2003, ISO 177799 ISO, 2005 dan
Control Objective for Information and related Technology COBIT ISACA, COBIT 4.1, 2007 Sarno, 2009.
14
2.4 COBIT.
Control Objective for Information and related Technology COBIT menyediakan standar dalam kerangka kerja domain yang terdiri dari sekumpulan
Proses TI yang merepresentasikan aktivitas yang dapat dikendalikan dan terstruktur. Kerangka kerja COBIT memfokuskan banyak kontrol dan sedikit
eksekusi. Kerangka kerja COBIT menyediakan model proses yang umumnya ditemukan dalam aktivitas TI dalam empat domain proses yang saling terkait,
yaitu : Plan and Organize PO, Acquire and Implement AI, Deliver and Support DS serta Monitor and Evaluate ME. Domain PO terdiri dari sepuluh
10 proses TI, Adapun domain AI terdiri dari tujuh 7 proses TI, diikuti dengan domain DS sebanyak tiga belas 13 proses TI dan ME sebanyak empat 4 proses
TI. Masing-masing proses TI dilengkapi dengan objektif kontrol sehingga kerangka kerja COBIT menyediakan keterkaitan yang jelas antara kebutuhan tata
kelola TI, proses TI dan objektif kontrol TI.COBIT mendukung tata kelola TI dengan penyediaan kerangka kerja yang memastikan bahwa : TI selaras dengan
kebutuhan bisnis, TI mendukung bisnis lebih baik dan mampu memaksimumkan manfaat, penggunaan sumber daya TI yang bertanggung jawab serta resiko TI
dikelola dengan tepat. Berikut dibawah ini akan dijelaskan proses TI dalam domain PO, AI, DS dan ME berdasarkan COBIT Sarno, 2009.
15
Tabel 2.1 Proses TI dalam Domain PO Berdasaarkan COBIT Domain Plan and Organize PO
PO1 Mendefinisikan rencana strategis TI
PO2 Mendefinisikan Arsitektur Informasi
PO3 Menentukan Arahan Teknologi
PO4 Mendefinisikan Proses TI, Organisasi dan Keterhubungannya
PO5 Mengelola Investasi TI
PO6 Mengkomunikasikan Tujuan dan Arahan Manajemen
PO7 Mengelola Sumber Daya TI
PO8 Mengelola Kualitas
PO9 Menaksir dan Mengelola Resiko TI
PO10 Mengelola Proyek
Domain Acquire and Impelement AI AI1
Mengidentifikasikan Solusi Otomatis AI2
Memperoleh dan Memelihara Perangkat Lunak Aplikasi AI3
Memperoleh dan Memelihara Infrastruktur Teknologi AI4
Memungkinkan Operasional dan Penggunaan AI5
Memenuhi Sumber Daya TI AI6
Mengelola Perubahan AI7
Instalasi dan Akreditasi Solusi Beserta Perubahannya Domain Deliver and Support DS
DS1 Mendefinisikan dan Mengelola Tingkat Layanan
DS2 Mengelola Layanan Pihak Ketiga
DS3 Mengelola Kinerja dan Kapasitas
DS4 Memastikan Layanan yang Berkelanjutan
DS5 Memastikan Kemanan Sistem
DS6 Mengidentifikasi dan Mengalokasikan Biaya
DS7 Mendidik dan Melatih Pengguna
DS8 Mengelola servicedesk dan insiden
DS9 Mengelola Konfigurasi
DS10 Mengelola Permasalahan
DS11 Mengelola Data
DS12 Mengelola Lingkungan Fisik
DS13 Mengelola Operasi
Domain Monitor and Evaluate ME ME1
Mengawasi dan Mengevaluasi Kinerja TI ME2
Mengawasi dan Mengevaluasi Kontrol Internal ME3
Memastikan Pemenuhan Terhadap Kebutuhan Eksternal ME4
Menyediakan Tata Kelola Teknologi Informasi Sarno, 2009
2.5
Kerangka Kerja Cobit.
Tujuan utama COBIT adalah memberikan kebijakan yang jelas dan praktik yang baik dalam tata kelola teknologi informasi dengan membantu manajemen
senior memahami dan mengelola risiko terkait tata kelola TI dengan cara
16 memberikan kerangka kerja tata kelola teknologi informasi dan panduan kendali
rinci atau detailed control objective DCO. Adapun karakteristik utama kerangka kerja COBIT adalah fokus pada
bisnis, orientasi pada proses, berbasis kontrol dan dikendalikan Surendro, 2009
Gambar 2.2 Kerangka Kerja Cobit Versi 4.0
Surendro, 2009
2.5.1 Fokus Pada Bisnis.
Orientasi pada bisnis menunjukkan bahwa COBIT dirancang untuk dapat digunakan oleh banyak pihak. Kebutuhan bisnis tercermin dengan
adanya kebutuhan informasi. Informasi itu sendiri perlu memenuhi kriteria
17 kontrol tertentu, guna mencapai tujuan bisnis. Kriteria kontrol untuk
informasi sebagaimana dikemukakan COBIT adalah : Surendro, 2009 1. Efektivitas, terkait dengan informasi yang relevan dan berhubungan
pada proses bisnis serta disampaikan juga secara tepat waktu, benar, konsisten, dan mudah.
2. Efesiensi, terkait dengan ketentuan informasi melalui penggunaan sumber daya secara optimal.
3. Kerahasiaan, terkait dengan pengamanan terhadap informasi yang sensitif dari pihak yang tidak berhak.
4. Integritas, terkait dengan keakuratan dan kelengkapan informasi serta validitas sesuai dengan nilai dan harapan bisnis.
5. Ketersediaan, terkait dengan ketersediaan informasi pada saat kapanpun diperlukan oleh proses bisnis.
6. Kepatuhan, terkait dengan kepatuhannya pada hukum, regulasi, maupun perjanjian kontrak.
7. Keandalan, terkait dengan penyediaan informasi yang tepat bagi manajemen untuk mendukung operasional suatu entitas dan
menjalankan tanggung jawab tata kelolanya.
2.5.2 Orientasi Pada Proses.
Aktivitas teknologi informasi dalam COBIT didefinisikan ke dalam model proses yang generik dan dikelompokkan dalam 4 empat domain ,
yaitu : Surendro, 2009
18 a. Perencanaan dan pengorganisasian PO
Domain ini mencakup strategi dan taktik, identifikasi. Realisasi visi strategis direncanakan, dikomunikasikan dan dikelola untuk
perspektif berbeda. b. Pengadaan dan Impelementasi AI
Solusi teknologi
informasi perlu
diimplementasikan dan
diintegrasikan kedalam
proses bisnis,
perubahan dalam
pemeliharaan sistem dicakup dalam domain ini untuk memastikan solusi berlangsung untuk memenuhi objektif bisnis.
c. Penyampaian Layanan dan Dukungan DS Domain ini mencakup penyediaan layanan, manajemen keamanan
dan kelangsungan, dukungan layanan pada pengguna, manajemen data dan fasilitas operasional.
d. Monitor dan Evaluasi ME.
Proses teknologi perlu dinilai dari waktu ke waktu dengan kebutuhan kontrol. Domain ini berkenaan dengan manajemen
kinerja, pemantauan kontrol internal, pemenuhan terkait dengan
regulasi dan pelaksanaan tata kelola.
2.5.3 Berbasis Kontrol.
Kontrol atau kendali dalam COBIT didefinisikan sebagai kebijakan, prosedur, praktik dan struktur organisasi yang dirancang untuk memberikan
jaminan yang dapat diterima bahwa tujuan bisnis akan dicapai dan kejadian
19 yang tidak diharapkan dapat dicegah atau diketahui dan diperbaiki.
Sedangkan tujuan kontrol teknologi informasi merupakan pernyataan mengenai maksud atau hasil yang diharapkan dengan menerapkan prosedur
kontrol dalam aktivitas teknologi informasi tertentu. Tujuan kontrol dalam COBIT merupakan kebutuhan minimal untuk kontrol yang efektif dari
setiap proses teknologi informasi. Surendro, 2009
2.6
Model Kematangan Untuk Penyelarasan Strategis.
Untuk dapat mengukur tingkat kematangan terkait dengan penyelarasan strategis, organisasi dapat menggunakan model kematangan yang digambarkan
dibawah ini.
1 2
3 4
5 Tidak Ada
Awal Berulang
Didefinisikan Dikelola
Optimis
Keterangan Simbol : Status Organisasi Saat Ini
– Kondisi Saat Ini Praktek Terbaik dari Industri
Strategi Organisasi Untuk Perbaikan – Dimana Organisasi Ingin Berada
Panduan Standar Internasional Keterangan Rangking :
– Proses manajemen tidak ada sama sekali 1
– Proses bersifat ad hoc dan tidak terorganisir 2
– proses mengikuti pola teratur 3
– proses terdokumentasi dan dikomunikasikan 4
– proses dimonitor dan diukur 5
– praktek terbaik diikuti dan diotomatisasi
Gambar 2.3 Model Kematangan Berdasar Kerangka Kerja COBIT
Surendro, 2009
20 Model kematangan merupakan metode skoring yang memungkinkan
organisasi untuk memberi rangking bagi dirinya sendiri dari mulai tidak ada kematangan non-existing bernilai 0 sampai dengan kematangan yang optimis
bernilai 5. Alat bantu pengukuran ini menawarkan kemudahan untuk memahami bagaimana menentukan posisi saat ini as-is dan posisi ke depan to-be serta
memungkinkan organisasi untuk melakukan pembandingan pada dirinya sendiri berdasarkan praktik-praktik terbaik dan panduan standar yang ada. Model
kematangan penyelarasan lainnya diungkapkan oleh ITGI yang dikenal dengan nama COBIT Control Objective for Information and Related. Pada model
COBIT terdapat 34 proses pengendalian teknologi informasi Surendro, 2009.
2.7 ITIL
Information Technology Infrastructure Library ITIL adalah suatu rangkaian konsep dan teknik pengelolaan infrastruktur, pengembangan serta
operasi Teknologi informasi TI. ITIL diterbitkan dalam suatu rangkaian buku yang masing-masing membahas suatu topik pengelolaan TI. Nama
ITIL dan IT Infrastructure Library erupakan merk dagang terdaftar dari Office of Government Commerce OGC Britania Raya. ITIL memberikan
deskripsi detil tentang beberapa praktik TI penting dengan daftar cek, tugas, serta prosedur yang menyeluruh yang dapat disesuaikan dengan segala jenis
organisasi Versi ketiga dari ITIL diterbitkan pada tahun 2007 yang intinya terdiri dari
lima bagian dan lebih menekankan pada pengelolaan siklus hidup layanan
21 yang disediakan oleh teknolomgi informasi. Kelima bagian tersebut adalah :
Sarno, 2009 1. Service Strategy
2. Service Design 3. Service Transition
4. Service Operation 5. Continual Service Improvement
2.8 ISO 17799
International Standards Organizations ISO mengelompokkan standar keamanan informasi yang umum dikenali secara internasional ke dalam
struktur penomoran yang standar yakni : ISO 17799. Pada awalnya standar tersebut disusun oleh sekelompok perusahaan besar seperti Board of
Certification, British Telecom, Marks Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever yang bekerja sama untuk
membuat standar yang dinamakan British Standard 7799 BS 7799 sekitar tahun 1995.
BS 7799 terdiri dari dua bagian, yaitu: The Code of Practice Information Security Management Part1 dan The Specification for Information Security
Management SystemsISMS Part2. Kemudian sekitar tahun 2000, ISO dan International Electro-Technical Commision IEC mengadopsi BS 7799
Part1 dan menerbitkannya sebagai standar ISOIEC 17799:27000 dan BS 7799 Part2 sebagai standar ISOIEC 17799:27001 yang diakui secara
22 internasional sebagai standar sistem manajemen keamanan informasi
Sarno, 2009.
2.9 Analisa Perbandingan COBIT, ITIL, ISO 17799