BAB I PENDAHULUAN
1.1 Latar Belakang Undang Undang No 43 Tahun 2007 tentang perpustakaan menyebutkan bahwa perpustakaan adalah institusi pengelola koleksi karya tulis, karya cetak, dan/atau karya rekam secara profesional dengan sistem yang baku guna memenuhi kebutuhan pendidikan, penelitian, pelestarian, informasi, dan rekreasi para pemustaka. Perpustakaan berkewajiban memberikan layanan maksimal kepada pemustaka dengan kemampuan adaptif sesuai dengan perubahan yang sedang terjadi untuk memenuhi kebutuhan informasi masyarakat. Definisi perpustakaan memiliki korelasi perubahan paradigma dengan kondisi masyarakat saat ini yang lebih menggantungkan pada aspek keabsahan dan kemutakhiran nilai informasi sebagai tulang punggung kehidupan. Masyarakat terbiasa dengan nilai informasi yang merupakan komoditi publik yang dipengaruhi oleh sinergi antara perangkat teknologi informasi, teknologi web dan sumber-sumber informasi global yang tersedia di internet. Pemenuhan kebutuhan informasi dimanapun dan kapanpun tanpa batas ruang dan waktu menjadi tolok ukur mengingat jaman sekarang disebut dengan ‘the age of network intelligence’, yang dibackup oleh jaringan informasi modern sehingga segala urusan dapat dilakukan tanpa harus berada ditempat kegiatan dilaksanakan (Supriyanto, 2008:147). Informasi menjadi lebih berharga dan berdaya guna karena adanya kolaborasi antara sumber informasi dan pengguna
1
2
tanpa adanya gangguan yang menghambat proses penyebaran informasi. Kolaborasi informasi dengan perangkat teknologi web memungkinkan kecepatan dan keakuratan informasi menjadi tujuan utama, maka tidak mengherankan apabila muncul istilah di masyarakat siapa yang menguasai informasi maka dipastikan ia memiliki keunggulan posisi dalam persaingan global (Setiarso, 1997:24). Perpustakaan mempunyai wewenang untuk mengolah informasi dalam bentuk apapun. Perpustakaan seharusnya menjadi institusi pertama memberikan layanan hasil pengolahan “produk informasi” yang sebenarnya merupakan peluang bagi perpustakaan untuk menjadi pusat sumber informasi utama dalam tatanan kehidupan masyarakat. Bagi perpustakaan perguruan tinggi dengan karakteristik pemustaka yang lebih menggantungkan pada informasi terkini, saat ini sedang terjadi euforia yang dilatarbelakangi oleh maraknya pengembangan konsep perpustakaan berbasis digital. Istilah perpustakaan digital, digitalisasi, layanan digital berbasis online, seperti layanan virtual dan layanan online. Berbagai aspek pembahasan bergulir dengan cepat dan salah satu yang berkembang menjadi bahan diskusi adalah tersedianya sistem informasi perpustakaan yang digunakan untuk menseleksi, menyimpan, mengolah, dan melayankan informasi kepada pemustaka dengan menggunakan teknologi web. Sudut pandang yang digagas adalah dari kebutuhan informasi pemustaka perpustakaan perguruan tinggi sebagai pengguna potensial yang dilayani oleh sistem informasi yang handal, mereka adalah civitas akademika dan peneliti di perguruan tinggi. Sifat teknologi web yang mudah
3
diakses dan digunakan menjadi alasan utama perpustakaan perguruan tinggi memilihnya untuk pelayanan informasi perpustakaan. Namum demikian ketika transformasi layanan perpustakaan yang bersifat “book-centric” berubah kearah “user-centric” dengan penerapan teknologi web, perpustakaan tanpa sadar meninggalkan kegiatan pengelolaan aset informasi beserta sistem informasi sebagai sarana utama dalam memberikan layanan kepada pemustaka. Teknologi web memberikan kemudahan untuk mengakses informasi cepat dan murah yang disediakan oleh website maupun pustaka digital. Selain manfaat berupa kecepatan dan kemudahan akses, teknologi web rentan terhadap sabotase serta tindak kejahatan (Suduc, 2010). Beberapa contoh kejadian bagi layanan perpustakaan seperti sistem informasi yang mengalami kerusakan yang mengakibatkan sistem informasi tidak bisa diakses, jaringan internet yang tidak berfungsi, masuknya virus, hacking dan sebagainya
menyebabkan sistem
informasi perpustakaan tidak dapat memproses informasi yang dibutuhkan dalam proses pengambilan keputusan. Sistem informasi perpustakaan tidak bisa memproses, menyimpan dan mendistribusikan informasi kepada pemustaka dan perpustakaan. Bagi perpustakaan sendiri sistem informasi merupakan kesatuan elemen-elemen yang saling berinteraksi secara sistematis dan teratur untuk menciptakan dan
membentuk
aliran
informasi
yang akan
mendukung
pengambilan keputusan dan melakukan kontrol terhadap jalannya layanan informasi. Berbagai macam hambatan yang mengganggu sistem informasi umumnya disebut sebagai risiko. Risiko dapat terdiri dari berbagai macam
4
kejadian dan kondisi yang berhubungan dengan sistem informasi perpustakaan yang berdampak negatif bagi perpustakaan. Apabila risiko tidak dikelola dengan bijak, maka akan menimbulkan dampak yang menghambat perpustakaan dalam mencapai tujuan organisasi. Perpustakaan belum melaksanakan kegiatan penilaian risiko pada sistem informasi yang digunakan, sistem informasi dan teknologi web hanya sebatas sebagai sarana layanan informasi tanpa melaksanakan tindakan pencegahan ancaman risiko yang setiap saat mengancam berjalannya sistem informasi. Di satu sisi sistem informasi perpustakaan telah menjadi bagian yang sulit dipisahkan dalam setiap kegiatan layanan dan proses bisnis yang dilakukan oleh perpustakaan, tetapi apabila terjadi gangguan pada sistem informasi perpustakaan maka layanan informasi menjadi terganggu yang mengakibatkan keberlangsungan sistem kerumahtanggaan perpustakaan menjadi terhenti. Seperti halnya dengan Perpustakaan UGM telah mengaplikasikan sistem informasi yang dilatarbelakangi oleh pengetahuan, perkembangan ilmu dan teknologi. Berdasarkan Surat Keputusan Rektor UGM No. 259/P/SK/HT/2004 tentang Organisasi dan Rincian Tugas Kantor Pimpinan Universitas, Lembaga, Direktorat, Biro dan Unit Kerja di lingkungan Universitas Gadjah Mada, Bab XI Tentang Kedudukan dan Rincian Tugas Perpustakaan Pasal 46 menyebutkan bahwa perpustakaan terdiri atas bidang database jaringan dan bidang pelayanan perpustakaan. Bidang database dan jaringan memiliki tanggung jawab mengelola sistem informasi dan objek-objek informasi digital yang dilayankan kepada civitas akademika. Peningkatan pengelolaan informasi melalui jaringan dan perancangan sistem informasi terpadu di lingkungan UGM menjadi kegiatan rutin yang
5
bertumpu pada penerapan teknologi informasi. Implikasi dari penerapan teknologi informasi tersebut menempatkan UGM sebagai perguruan tinggi negeri di Indonesia
beserta
perpustakaannya
menempati posisi pertama
penilaian
webometric untuk pemeringkatan world rangking of word university (Muntashir, 2012:47). Perpustakaan UGM mengalami tantangan bagaimana menghadapi risiko tentang aset informasi yang harus dilayankan yang memiliki ketergantungan pada sistem informasi perpustakaan yang handal. Berdasarkan observasi pendahuluan yang peneliti laksanakan sebelumnya, Perpustakaan UGM mengklasifikasikan kejadian dan sumber risiko yang berkaitan dengan sistem informasi beserta asetaset teknologi informasi merupakan tanggung jawab lembaga universitas yang memiliki kewenangan dalam hal pengelolaan teknologi informasi yakni PSDI (Pusat Sistem dan Sumberdaya Informasi) bukan menjadi tanggung jawab perpustakaan. Perpustakaan UGM belum melaksanakan kegiatan penilaian risiko tetapi hanya melaksanakan kegiatan berdasarkan kejadian “eksidental” yang saat itu terjadi terkait dengan layanan informasi perpustakaan. Meskipun secara struktur organisasi di Perpustakaan UGM terdapat bidang khusus yang menangani permasalahan yang berkaitan dengan teknologi informasi yakni bidang database dan jaringan, tetapi karena kewenangan yang luas maka kegiatan manajemen risiko belum dilaksanakan sesuai dengan prosedur standar baku dan hanya berjalan apa adanya. Kegiatan penilaian risiko di Perpustakaan UGM hanya bertumpu pada pengalaman dan pengetahuan pustakawan yang sebatas pada pengenalan teknologi informasi, belum dilaksanakan secara khusus. Semakin
6
besar aset informasi yang dilayankan kepada pemustaka melalui teknologi web, semakin besar sumber ancaman yang akan mengganggu kelancaran sistem informasi perpustakaan. Dalam memahami konsep manajemen risiko sistem informasi secara keseluruhan, diperlukan kerangka kerja sistem informasi dan teknologi informasi dalam keseluruhan kegiatan manajemen risiko yang akan diterapkan di perpustakaan. Beberapa penelitian menunjukan bahwa sistem informasi beserta asetnya rentan terhadap risiko kerusakan fisik dan kerusakan logik. Risiko kerusakan fisik berkaitan dengan perangkat keras seperti bencana alam (natural disaster), pencurian (theft), kebakaran (fires), lonjakan listrik (power surge) dan perusakan (vandalism). Risiko kerusakan logik mengacu pada akses yang tidak sah (unauthorized access), kerusakan secara sengaja maupun tidak disengaja pada sistem informasi dan aset informasi yang terkandung didalamnya. Untuk itu diperlukan identifikasi ancaman dan analisis risiko untuk meningkatkan keamanan dan mengurangi risiko kerusakan sistem informasi. Dengan manajemen risiko teknologi informasi diharapkan dapat mengurangi dampak kerusakan yang bisa berupa, dampak terhadap finansial, menurunnya reputasi yang disebabkan oleh sistem yang tidak aman, terhentinya operasi bisnis, kegagalan aset yang dapat dinilai (sistem dan data) dan penundaan proses pengambilan keputusan (Maulana dan Supangkat, 2006). Salah satu cara untuk melaksanakan kegiatan manajemen risiko teknologi informasi adalah dengan menggunakan metode atau framework penilaian risiko diantaranya Risk IT, ISO/IEC 27005, ISO/FDIS 31000, AS/NZS 4360, COBIT,
7
ARMS, OCTAVE, dan NIST SP 800-30 yang dapat diaplikasikan untuk menganalisis risiko sistem informasi perpustakaan. Framework tersebut dapat digunakan berdasarkan kebutuhan organisasi sesuai dengan karakteristik dan sifat dari organisasi untuk menilai risiko yang berbeda antara organisasi satu dengan yang lainnya. Bagi Perpustakaan UGM sendiri dengan struktur organisasi dan pemenuhan kebutuhan yang bertumpu pada sistem informasi terintegrasi, yang meliputi bidang pengadaan, pengolahan, layanan sirkulasi, penelusuran (OPAC), statististik dan administrasi perpustakaan yang masih mengalami perkembangan sehingga lebih cocok mengaplikasikan framework NIST SP 800-30 untuk menilai risiko dalam kegiatan manajemen risiko sistem informasi. Framework NIST SP 800-30 membahas manajemen risiko yang berhubungan dengan model proses analisis secara rinci dalam tingkat praktek manajemen sesuai dengan siklus hidup pengembangan sistem (System Developmen Life Cycle). Framework NIST SP 800-30 merupakan petunjuk yang mendeskripsikan metodologi manajemen risiko yang disesuaikan dengan fase siklus hidup pengembangan sistem dan bagaimana proses manajemen risiko terkait dengan proses otorisasi akreditasi (Stoneburner, 2002:4). Dengan memperhatikan komponen tersebut dapat memberikan gambaran bahwa sistem informasi perpustakaan merupakan sarana
utama dalam
memberikan layanan informasi kepada pemustaka dengan pengelolaan aset informasi perpustakaan sebagai bagian integral perpustakaan yang tidak dapat ditinggalkan. Pengelolaan aset informasi dengan memperhatikan kerangka kerja (framework) manajemen risiko sistem informasi harus dilaksanakan oleh
8
perpustakaan sebagai bagian dari prosedur kerja dalam lingkup organisasi perpustakaan. Untuk mengetahui proses penerapan manajemen risiko sistem informasi perpustakaan tersebut, diperlukan penelitian tentang sejauh mana penerapan manajemen risiko sistem informasi perpustakaan dalam menilai sumber ancaman dan kerentanan, menganalisis risiko, mengurangi risiko, serta mengevaluasi risiko terhadap aset informasi perpustakaan di Perpustakaan UGM Yogyakarta.
1.2 Perumusan Masalah Perumusan masalah yang akan diteliti adalah sejauh mana pelaksanaan manajemen risiko sistem informasi perpustakaan dilaksanakan di Perpustakaan UGM ?
1.3 Keaslian Penelitian Penelitian-penelitian yang berkaitan dengan konsep manajemen risiko teknologi informasi sudah pernah dilaksanakan oleh peneliti-peneliti sebelumnya, tetapi dengan cakupan dan spesifikasi yang berbeda-beda. Penelitian tersebut antara lain: 1. Maulana dan Supangkat (2006) melaksanakan penelitian tentang pemodelan framework manajemen risiko teknologi informasi untuk perusahaan di negara berkembang. Penelitian tersebut mencoba membuat pemodelan framework untuk manajemen risiko yang lebih sederhana yang disesuaikan dengan kondisi perusahaan di negara
9
berkembang dengan mengacu pada best practice framework yang telah ada seperti COBIT, OCTAVE dan NIST SP 800-30. 2. Soon-Jae Lee dan Hye-Kyung Chung (2007) mengemukakan bahwa manajemen risiko informasi merupakan bagian dari organisasi dalam menilai, mengelola, memberi solusi dan memberikan panduan tentang sumber risiko sebagai panduan bagi manajer informasi yang bergerak pada layanan informasi dalam mengaplikasikan kerangka kerja manajemen risiko informasi. Penelitian tersebut menggunakan skala probabilitas kemungkinan risiko untuk menilai sumber risiko yang menghambat layanan informasi digital. Peneliti mengemukakan risiko teknis menempati skala 4 kemungkinan risiko pada obyek penelitian pengelolaan record datacenter yang berarti memiliki risiko tinggi dan berdampak tinggi terhadap sistem informasi digital. 3. Cervone (2007) meneliti manajemen risiko sebagai penyediaan proses yang sistematis untuk perencanaan, mengidentifikasi, menganalisis, memantau, menanggapi, dan mengendalikan risiko dalam suatu kegiatan manajemen proyek pembangunan perpustakaan digital. Manajemen
risiko
merupakan
bagian
dari
organisasi
intern
perpustakaan yang akan melaksanakan kegiatan proyek tersebut. Dalam pandangan penulis bahwa proyek perpustakaan digital harus berdasarkan model standar manajemen proyek yang dikembangkan oleh Project Management Institut (PMI) untuk model pengembangan dan analisa kegiatan proyek perpustakaan digital. Manajemen risiko
10
merupakan bagian integral dalam pengembangan proyek perpustakaan digital. 4. Firmansyah (2010) manajemen
risiko
meneliti tentang terhadap
implementasi
penggunaan
teknologi
framework informasi
perbankan. Penelitian ini bertujuan untuk mengidentifikasi risiko, menilai risiko, menganalisis dan mengevaluasi risiko penggunaan teknologi informasi di dunia perbankan dengan menggunakan framework NIST SP 800-30. 5. Supradono (2011) melaksanakan penelitian khusus tentang pengujian kerangka kerja OCTAVE untuk manajemen risiko keamanan sistem elearning. Kerangka kerja OCTAVE sebagai solusi manajemen risiko keamanan informasi yang diawali dengan mencari profil ancaman dari intern dan ekstern organisasi terhadap aset-aset kritis sistem informasi. Hasil penelitian terungkap bahwa kerangka kerja OCTAVE mampu mendeskripsikan secara komprehensif karena melibatkan partisipasi seluruh level manajemen dalam mengevaluasi kelemahan teknologi dan organisasi secara mandiri. 6. Jakaria (2013) mengkaji analisa risiko sistem keamanan manajemen risiko sistem informasi akademik pada perguruan tinggi menggunakan metoda OCTAVE ALLEGRO. Penelitian ini bertujuan untuk melakukan analisis risiko pada sistem informasi akademik perguruan tinggi. Hasil akhir penelitian berupa rekomendasi mengenai langkah-
11
langkah yang harus diambil untuk perlindungan sistem informasi beserta aset-asetnya. Penelitian yang akan dilaksanakan adalah mendeskripsikan pelaksanaan manajemen risiko sistem informasi perpustakaan di Perpustakaan UGM dengan cara mengidentifikasi risiko, penilaian risiko, pengontrolan risiko, mitigasi risiko dan evaluasi manajemen resiko secara keseluruhan yang disebabkan oleh adanya ketidakpastian dalam penggunaan sistem informasi dalam memberikan layanan informasi kepada pemustaka, serta untuk mengetahui mengapa kegiatan manajemen risiko dilaksanakan oleh Perpustakaan UGM sebagai bagian dari prosedur kerja perpustakaan untuk proses pengambilan keputusan.
1.4 Tujuan Penelitian Penelitian ini bertujuan untuk mendeskripsikan pelaksanan manajemen risiko
sistem
informasi
perpustakaan
di
Perpustakaan
UGM
dalam
mengidentifikasi, menganalisis, mengelola evaluasi risiko dan untuk mengetahui faktor-faktor apa yang mempengaruhi pelaksanaan manajemen risiko sistem informasi perpustakaan.
1.5 Manfaat Penelitian 1.
Pengembangan ilmu pengetahuan yang berkaitan dengan konsep pengelolaan aset informasi perpustakaan melalui penerapan manajemen risiko sistem informasi perpustakaan.
12
2.
Menjadi referensi bagi perpustakaan untuk mengetahui kerangka kerja manajemen risiko sebagai bagian integral dalam budaya organisasi perpustakaan.
3.
Sebagai bahan evaluasi bagi Perpustakaan UGM untuk lebih bijaksana dalam penerapan teknologi informasi agar lebih optimal dengan memperhatikan berbagai sumber ancaman dan konsekuensi yang ditimbulkan dalam pengelolaan layanan informasi.
1.6 Sistematika Penulisan BAB I PENDAHULUAN Bab ini merupakan gambaran umum tentang penelitian yang akan dilaksanakan. Bagian-bagian yang merupakan penjabaran dalam bab ini adalah latar belakang penelitian, perumusan masalah, keaslian penelitian, tujuan penelitian, manfaat penelitian, serta sistematika penulisan. BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI Berisi tinjauan pustaka dan landasan teori. Dalam tinjauan pustaka memberikan gambaran tentang penelitian yang sejenis yang pernah dilakukan oleh penulis lain, serta sebagai referensi dalam membuat penelitian. Landasan teori sebagai dasar dalam melakukan penelitian dalam bidang pusdokinfo dan teori-teori tentang kerangka kerja manajemen risiko teknologi informasi.
13
BAB III METODE PENELITIAN Bab ini menjelaskan metode yang dilaksanakan dalam penelitian yang dimulai dari variabel penelitian, obyek penelitian, populasi, metode dan teknik pengumpulan data serta metode analisis yang digunakan. BAB IV HASIL DAN PEMBAHASAN Bab ini menjelaskan hasil dari analisis data lapangan yang telah dilaksanakan dengan menggunakan metode penelitian yang telah diuraikan pada bab-bab sebelumnya. Pembahasan dimulai dari penerapan kerangka kerja manajemen risiko sistem informasi perpustakaan, deskripsi kerangka kerja dan penerapannya di perpustakaan sebagai bagian integral dalam kegiatan organisasi Perpustakaan UGM dan faktorfaktor apa yang mempengaruhi pelaksanaan manajemen risiko sistem informasi perpustakaan. BAB V PENUTUP Penutup memberikan penjelasan mengenai kesimpulan yang diperoleh peneliti selama melaksanakan penelitian dan menganalisis data. Kesimpulan merupakan hasil dari jawaban perumusan masalah yang dikaji dalam penelitian. Saran diberikan kepada penelitian yang telah dilaksanakan tetapi tidak bisa menjawab perumusan masalah yang dikemukakan. Saran diberikan sebagai hasil rekomendasi terhadap penelitian yang akan dilaksanakan mendatang yang merupakan hasil evaluasi bagi Perpustakaan UGM dalam menerapkan kerangka kerja manajemen risiko sistem informasi perpustakaan.
