BAB 1 PENDAHULUAN
1.1
Latar Belakang Penggunaan teknologi informasi di dalam perusahaan merupakan suatu elemen
penting untuk menunjang efektifitas dan efisiensi proses bisnis perusahaan. Teknologi informasi ini diharapkan oleh perusahaan dapat meningkatkan mutu pelayanan sehingga tercapainya tujuan bisnis perusahaan. Pemanfaatan teknologi informasi harus diiringi dengan pengelolaan yang tepat dan relevan sehingga dapat meminimalisir risiko-risiko yang mungkin timbul di dalam proses bisnis. Menurut Purtell (2007), usaha untuk meminimalisir risiko-risiko yang mungkin terjadi ataupun untuk mengatasi risiko-risko yang telah terjadi di dalam proses bisnis dapat dilakukan dengan manajemen risiko. Manajemen risiko memiliki peranan yang sangat penting untuk pengambilan keputusan terhadap risiko-risiko yang terjadi, membantu pengaturan risiko teknologi informasi, membantu perkembangan proses bisnis dan memberikan keuntungan, efisiensi terhadap pengendalian risiko, melakukan penghapusan nilai-nilai sisa, pengurangan terhadap beban, dan manajemen sumber daya yang efektif. Selain itu, menurut riset pada tahun 2004 yang telah dilakukan oleh Brown (2006), perusahaan yang memiliki spesialis IT dalam pengambilan keputusan untuk pengembangan arsitektur dan infrastruktur adalah perusahaan yang memiliki efektifitas paling baik di antara 256 perusahaan yang telah disurvei.
Menurut Pathak (2005), semua sistem keamanan memiliki kelemahan. Ketika teknologi dikaitkan dengan keamanan sistem, kelemahan sistem tersebut menjadi lebih rumit dan sulit untuk ditemukan dan dilindungi. Untuk membentuk sebuah sistem keamanan yang baik, perusahaan harus melakukan pengujian terhadap sejumlah ancaman untuk menemukan kerentanan-kerentanan yang baru. Pengelolaan informasi di dalam perusahaan tidak terlepas dari adanya kepercayaan antara pihak manajemen dengan karyawan. Menurut Veiga dan Eloff (2007) kepercayaan adalah elemen yang penting dalam membangun keamanan informasi di dalam lingkungan teknologi informasi. Jika manajemen percaya kepada karyawan, dan begitu pula sebaliknya maka akan memudahkan untuk mengimplementasikan prosedur yang baru dan mengarahkan karyawan untuk melewati perubahan prilaku terhadap keamanan informasi. Morse, sebuah perusahaan IT asal Inggris, telah melakukan survei pada 1.460 karyawan perusahaan tersebut. Ternyata, lebih dari setengahnya (57%) di antara mereka menggunakan waktu kerja selama 40 menit per minggu, atau kira-kira satu minggu dalam setahun hanya untuk mengakses situs jejaring sosial, seperti Facebook dan Twitter. Kegiatan mengakses situs jejaring sosial ini dapat merugikan sejumlah pengusaha. Terutama bagi perusahaan yang karyawannya berinteraksi di sana selama jam kerja dan menurunkan produktivitas. Bila dikalkulasikan, diperkirakan bahwa pebisnis di seluruh Inggris mengalami kerugian total sekitar 1,38 miliar poundsterling atau 21 triliun rupiah per tahun akibat waktu yang disalahgunakan oleh karyawannya.
Contoh kasus di atas memberikan suatu gambaran mengenai kerugian yang diakibatkan oleh lemahnya sistem pengendalian dalam mengelola penggunaan teknologi informasi. Teknologi informasi yang sebelumnya diharapkan oleh perusahaan untuk meningkatkan produktivitas karyawan justru membawa dampak yang merugikan karena kurangnya pemahaman mengenai dimensi risiko teknologi informasi. Kemudian pemahaman itu juga seharusnya diikuti dengan pengetahuan tentang cara terbaik dalam mengatasinya, tidak hanya dengan melakukan pengukuran terhadap risiko, tetapi dengan mendefinisikan penanggulangan apabila risiko-risiko tersebut terjadi dan tentu saja mengimplementasikan manajemen risiko. Penulis melakukan penelitian pada PT Intensive Medi Care karena perusahaan ini mengimplementasikan bidang TI di dalam proses bisnisnya. Penulis melakukan pengukuran tingkat risiko yang berhubungan dengan aset TI yang dimiliki IMCare dikarenakan perusahaan tersebut belum pernah melakukan pengukuran tingkat risiko terhadap aset TI, berdasarkan wawancara yang telah penulis lakukan dengan pihak perusahaan.
1.2
Ruang Lingkup Untuk memberikan suatu pembahasan yang lebih terarah, maka diperlukan
adanya suatu pembatasan ruang lingkup dari kebutuhan yang akan dibahas. Dalam penelitian ini, penulis membatasi ruang lingkup penelitian sebagai berikut: 1. Penelitian hanya dilakukan pada kantor pusat PT Intensive Medi Care; 2. Penelitian dilakukan pada sistem keamanan teknologi informasi yang berkaitan dengan software, hardware, dan jaringan pada PT Intensive Medi Care;
3. Pengukuran risiko teknologi informasi dilakukan dengan menggunakan metode OCTAVE-S.
1.3
Tujuan dan Manfaat Tujuan dalam penulisan ini adalah:
1. Identifikasi dan mengukur risiko-risiko dalam penerapan teknologi informasi yang sewaktu-waktu dapat terjadi pada PT Intensive Medi Care; 2. Memberikan informasi mengenai risiko-risiko yang berkaitan dengan keamanan sistem teknologi informasi pada PT Intensive Medi Care.
Manfaat dalam penulisan ini adalah: 1. Menghasilkan berbagai usulan atau saran yang dapat dipertimbangkan oleh perusahaan untuk mencegah atau menanggulangi risiko-risiko yang mungkin terjadi pada PT Intensive Medi Care; 2. Mempermudah manajemen dalam mengambil tindakan untuk menangani risiko-risiko yang ditemukan dari hasil penelitian.
1.4
Metodologi Penelitian Metode yang dipakai dalam penyusunan skripsi ini yaitu bersifat kualitatif.
Teknik yang dipakai untuk melengkapi metode penelitian ini adalah: 1. Teknik Pengumpulan Data Dalam penyusunan skripsi ini, data-data yang diperlukan diperoleh dari metode pengumpulan data, yaitu sebagai berikut:
a. Metode Studi Pustaka Dalam metode ini, penulis mengumpulkan data-data yaitu berupa buku-buku yang berhubungan dengan topik dimana merupakan panduan dalam penyusunan skripsi ini serta membantu dalam memecahkan masalah dalam skripsi ini. Perpustakaan tempat penulis melakukan riset yaitu berlokasi di perpustakaan Universitas Bina Nusantara. Selain itu, penulis juga menemukan data tambahan dari sumber informasi lainnya yaitu data-data dari internet. Dari riset yang dilakukan, penulis menemukan beberapa metode yang dapat digunakan dalam mengukur risiko, yaitu OCTAVE-S, COBIT, COSO, dan NIST. Beberapa metode tersebut akan diuraikan sebagai bentuk bahan perbandingan. b. Metode Studi Lapangan Dalam metode ini, cara-cara yang digunakan dalam pengumpulan data secara langsung adalah sebagai berikut: i. Wawancara Proses wawancara dilakukan dengan mengadakan tanya jawab secara langsung dengan pihak-pihak yang terlibat dan berhubungan dengan topik skripsi. ii. Pengamatan (Observasi) Metode ini dilakukan dengan melakukan pengamatan dan peninjauan secara langsung terhadap objek penelitian, untuk mendapatkan gambaran umum perusahaan serta kondisi TI yang diterapkan dalam perusahaan yang mencakup hardware, software, jaringan, dan aplikasi-aplikasi yang dipakai dalam perusahaan. 2. Teknik Analisis Dalam melakukan pengukuran manajemen risiko teknologi informasi pada PT Intensive Medi Care, penulis menggunakan metode OCTAVE-S dari beberapa metode
yang ditemukan, karena metode OCTAVE-S lebih menyajikan secara rinci langkahlangkah untuk mengukur tingkat risiko yang berkaitan dengan keamanan teknologi informasi yang ada di perusahaan.
1.5
Sistematika Penulisan Sistematika penulisan skripsi yang disajikan dalam penulisan skripsi ini terdiri
dari lima bab dan secara garis besar dapat diuraikan sebagai berikut: BAB 1 PENDAHULUAN Pada bab 1 akan dibahas mengenai latar belakang penulisan, ruang lingkup penelitian, tujuan dan manfaat penelitian, metodologi yang digunakan selama penelitian yang berlangsung, dan sistematika penulisan. BAB 2 LANDASAN TEORI Pada bab ini akan diuraikan teori-teori yang relevan yang mendasari pembuatan skripsi ini. Pada bagian ini akan dideskripsikan teori-teori yang berhubungan dengan teori teknologi informasi, sistem informasi, manajemen, risiko, risiko teknologi informasi, dan berbagai teori pendukung lainnya. BAB 3 GAMBARAN UMUM PERUSAHAAN Pada bab ini akan dibahas mengenai sejarah perusahaan, visi dan misi perusahaan, struktur organisasi dan uraian tugas, serta gambaran teknologi informasi yang ada di dalam perusahaan saat ini yang terdiri dari topologi jaringan dan aset-aset teknologi informasi.
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TEKNOLOGI INFORMASI Pada bab ini akan dibahas mengenai pengukuran dan analisis risiko dari penerapan teknologi informasi dalam perusahaan serta ditemukannya berbagai risiko yang ada di dalam perusahaan. BAB 5 SIMPULAN DAN SARAN Pada bab ini akan disimpulkan hasil dari pengukuran dan analisis risiko dari penerapan teknologi informasi yang ada di perusahaan, serta memberikan saran-saran yang berupa masukan bagi keamanan teknologi informasi di perusahaan.
