BAB 2 LANDASAN TEORI
2.1
Teori Umum 2.1.1
Pengertian Sistem Menurut O’Brien (2008,p24), didefinisikan sistem sebagai sekumpulan komponen yang saling berhubungan dengan batasan yang jelas, bekerja bersama untuk mencapai tujuan bersama dengan menerima input serta menghasilkan output dalam proses transformasi teratur. Sistem mempunyai tiga fungsi dasar, yaitu : a. Input, merupakan bagian yang merakit berbagai elemen yang dimasukkan ke dalam sistem untuk diproses. b. Proses, merupakan bagian yang melakukan transformasi yang mengubah input menjadi output. c. Output, merupakan bagian yang meliputi perpindahan elemen yang telah diproduksi oleh proses transformasi ke tujuan akhirnya.
2.1.2
Pengertian Teknologi Menurut Miarso (2007, p62), teknologi adalah proses yang meningkatkan
nilai
tambah,
proses
tersebut
menggunakan
atau
menghasilkan suatu produk , produk yang dihasilkan tidak terpisah dari produk lain yang telah ada, dan karena itu menjadi bagian integral dari suatu sistem.
10
11 Menurut Ellul dalam Miarso (2007,
p131), Teknologi adalah
keseluruhan metode yang secara rasional mengarah dan memiliki ciri efisiensi dalam setiap bidang kegiatan manusia.
2.1.3
Pengertian Informasi Menurut Kelly Rainer (2011, p10), informasi adalah data yang telah diolah menjadi sebuah bentuk yang berarti bagi penerimanya dan bermanfaat dalam pengambilan keputusan saat ini atau saat mendatang. Definisi tersebut merupakan definisi informasi dalam pemakaian system informasi.
2.1.4
Pengertian Sistem Informasi Menurut Kelly Rainer (2011, p10), sistem informasi merupakan kombinasi teratur apa pun dari orang-orang, hardware, software, jaringan komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan menyebarkan informasi dalam sebuah organisasi.
2.1.5
. Pengertian Teknologi Informasi Menurut O’brien (2007, p6) teknologi informasi adalah hardware, software,
telekomunikasi,
manajemen
database,
dan
teknologi
pemrosesan informasi lainnya yang digunakan dalam sistem informasi berbasis komputer.
12 2.1.6
Infrastruktur Teknologi Informasi 2.1.6.1 Hardware Menurut O’Brien (2007, p6), Hardware mencakup semua peralatan fisik yang digunakan dalam pemrosesan informasi. Hardware berkaitan dengan peralatan keras dengan media komunikasi, yang menghubungkan
berbagai jaringan, dan memproses paket-paket data
sehingga transmisi data menjadi lebih efektif.
2.1.6.2 Software Menurut O’Brien (2007, p104),
software meliputi semua
rangkaian perintah pemrosesan informasi. Konsep umun software ini meliputi tidak hanya rangkaian perintah informasi yang disebut program dengan hardware komputer pengendalian dan langsung, tapi juga rangkaian perintah pemrosesan informasi yang disebut prosedur yang dibutuhkan orang-orang.
2.1.7
Jaringan Menurut Kelly Rainer dan Casey (2011, p507), sebuah jaringan computer terdiri atas media komunikasi peralatan-peralatan dan software yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu LAN (Local Area Networks) dan WAN (Wide Area Networks). MAN (Metropolitan Area
Network)
berada
diantara
dua
ukuran
tersebut.
LAN
menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki.
13 Sehingga setiap pengguna alat dalam jaringan memiliki potensi untuk berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional yang terdiri atas kumpulan telepon atau jaringan internasional seperti penyedia layanan komunikasi global, mungkin milik komersial, swasta, atau publik.
2.1.8
Internet, Intranet, dan Ekstranet Menurut McLeod dan Schell (2007, p117), internet adalah jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan perusahaan, pendidikan, serta pemerintah yang menghubungkan ratusan juta komputer, serta pemakaian lebih dari dua ratus Negara. Menurut McLeod dan Schell (2007, p117), intranet adalah jaringan dalam organisasi yang menggunakan teknologi internet (seperti server, browser web, protokol jaringan, TCP/IP, database publikasi dokumen Hipermedia HTML, dan lain-lain) untuk menyediakan lingkungan yang mirip dengan internet di dalam perusahaan untuk memungkinkan saling berbagi informasi, komunikasi, kerjasama, dan dukungan bagi proses bisnis. Menurut McLeod dan Schell (2007, p117), ekstranet adalah hubungan jaringan yang menggunakan teknologi internet untuk saling menghubungkan intranet bisnis dengan intranet pelanggannya, supplier dan mitra bisnis lainnya.
14 2.1.9
Pengertian Firewall Menurut O’brien (2007, p458) firewall adalah sebuah sistem atau perangkat yang mengizinkan pergerakan lalu lintas jaringan yang dianggap aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Metode penting yang digunakan untuk mengendalikan dan mengamankan internet dan berbagai macam jaringan merupakan kegunaan dari firewall. Firewall dapat disebut sebagai “gatekeeper” atau penjaga pintu gerbang, yang melindungi internet, perusahaan dan jaringan computer lainnya dari penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak luar.
2.1.10 Pengertian Down Time Menurut Brian K. Williams (2009, p. 141) Downtime merupakan istilah yang merujuk kepada periode dimana sebuah sistem tidak dapat berfungsi, tidak dapat menyediakan, atau tidak dapat melakukan fungsi utamanya. Sistem tersebut tidak dapat digunakan karena adanya gangguan hardware, software, ataupun komunikasi.
2.1.11 Pengertian Virus Menurut O’brien (2007, p446), salah satu contoh kejahatan komputer yang paling bersifat merusak adalah virus komputer atau yang biasa disebut dengan worm. Virus adalah istilah yang paling popular, secara teknis, virus adalah kode program yang tidak dapat bekerja tanpa
15 disertai atau dimasukkan kedalam program yang lainnya. Worm sendiri merupakan program yang berbeda yang dapat berjalan tanpa bantuan. Dapat disimpulkan bahwa virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti copy file, biasanya melalui attachment email, game, program bajakan dan lain-lain.
2.1.12 Pengertian Server Menurut O’brien (2007, p190), server diartikan sebagai komputer yang mendukung aplikasi dan telekomunikasi dalam jaringan, serta pembagian peralatan peripheral, software dan database di antara berbagai terminal kerja dalam jaringan, dan yang kedua diartikan sebagai versi software untuk pemasangan server jaringan uang di desain untuk mengendalikan dan mendukung aplikasi pada mikro komputer klien dalam jaringan klien atau server.
2.1.13 Pengertian Switch Menurut Brian K. Williams (2009, p. 147) Switch adalah sebuah alat jaringan yang melakukan bridging (penjembatan) transparan (penghubung
segementasi
banyak
jaringan
dengan
forwarding
berdasarkan alamat MAC). Switch merupakan penghubung beberapa alat untuk membentuk suatu Local Area Network (LAN). Switch jaringan dapat digunakan sebagai penghubung komputer atau router pada satu
16 area yang terbatas, switch juga bekerja pada lapisan data link, cara kerja switch hampir sama seperti bridge, tetapi switch memiliki sejumlah port sehingga sering dinamakan multi-port bridge.
2.1.14 Pengertian Router Menurut Brian K. Williams (2009, p. 148) Router adalah sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Router berfungsi sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan lainnya.
2.1.15 Pengertian Prosedur Menurut O’brien (2007, p564), prosedur adalah satu set yang terdiri dari berbagai instruksi yang digunakan oleh orang-orang untuk menyelesaikan suatu tugas. Dan menurut Steve Flick dalam artikel Writing Policies and Procedures (2011), prosedur adalah proses yang didokumentasikan. Jadi dapat disimpulkan bahwa prosedur adalah serangkaian aksi yang spesifik, tindakan atau operasi yang harus dijalankan atau dieksekusi dengan cara yang sama agar selalu memperoleh hasil yang sama dari keadaan yang sama. Lebih tepatnya, kata ini bisa mengindikasikan kegiatan, tugas-tugas, langkah-langkah, proses-proses yang dijalankan.
17
2.1.16 Teori Flowchart Menurut Jogiyanto (2007, p672), Bagan alir (flowchart) adalah bagan (chart) yang menunjukkan alir (flow) di dalam program atau prosedur sistem secara logika. Menurut Jogiyanto (2007, p678), Bagan alir program (program flowchart) merupakan bagan alir yang mirip dengan bagan alir sistem, yaitu untuk menggambarkan prosedur di dalam sistem. Jadi, dapat disimpulkan bahwa Flowchart adalah penggambaran secara grafik dari langkah-langkah dan urut-urutan prosedur dari suatu program. DiagramAlir (Flowchart) digunakan untuk membantu analis dan programmer untuk memecahkan masalah kedalam segmen-segmen yang lebih kecil dan membantu dalam menganalisis alternatif-alternatif lain dalam pengoperasian.
2.1.17 Teori Rich Picture Menurut penelitian dari Stenlund dalam Using Grounded Theory Methodology and Rich Picture Diagrams in Analyzing Value Creation in Houses of Culture Projects in Sweden, vol. 3, special issue no. 1 2010 (p. 18), “That’s rich picture diagrams are tools suitable for analyzing complex building process”, yang artinya rich picture adalah alat yang sesuai untuk menganalisa berbagai pembentukan proses bisnis yang kompleks.
18
2.1.18 Teori Event Table Menurut Jones dan Rama (2006,p4), event adalah
kejadian
yang terjadi pada suatu waktu tertentu yang terdiri dari satu atau lebih objek. Dan event table dihasilkan dari aktivitas-aktivitas dari class. Bagian horizontal berisi class yang terpilih, bagian vertical berisi eventevent. Jadi dapat disimpulkan bahwa event table adalah suatu proses mengidentifikasi
aktivitas-aktivitas
yang
terjadi
dalam
sutau
rangkaian sistem yang berjalan dalam perusahaan.
2.1.19 Teori Overview Activity Diagram Menurut Jones dan Rama (2006, p61), overview activity diagram adalah “The overview activity diagram, presents a high-level view of the business process by documenting the key events, the sequence of these events, and the information flows among these events”, yang berarti diagram yang menggambarkan tampilan level tinggi dari proses bisnis dengan mendokumentasikan event-event yang penting urutannya, dan informasi yang menyertai event tersebut. Menurut Jones dan Rama (2006, p65) dalam menyiapkan overview activity diagram terdapat langkah-langkah sebagai berikut : a. Membaca narasi dan mengidentifikasi event-event yang penting. b. Mencatat narasi secara jelas untuk mengidentifikasi event-event yang terlibat di dalamnya.
19 c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang terjadi. d. Membuat diagram event-event dan menunjukkan urutan event yang terjadi. e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari dokumen tersebut. f. Menggambarkan table files yang dibuat dan digunakan dalam proses bisnis, serta menggambarkan aliran informasi dari files tersebut. Jadi, berdasarkan pengertian para ahli yang mempunyai kesamaan arti, bahwa overview activity diagram adalah sekumpulan aliran aktivitas yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis yang penting menuju ke proses bisnis yang biasa secara berurutan.
2.1.20 Teori Sequence Diagram Menurut Jones dan Rama (2006, p67), Sequence diagam adalah suatu diagram yang menggambarkan antar objek dan mengindikasikan komunikasi diantara objek-objek diagram ini juga menunjukkan serangkaian pesan yang dipertukarkan oleh objek-objek yang melakukan suatu tugas atau aksi tertentu. Komponen - Sequence Diagram a. Actor Menggambarkan seseorang atau sesuatu (seperti perangkat, sistem lain) yang berinteraksi dengan sistem.
20 b. Boundary Mengambarkan interaksi antara satu atau lebih actor dengan sistem, memodelkan bagian darisistem yang bergantung pada pihak lain disekitarnya dan merupakan pembatas sistem dengan dunia luar. c. Control Menggambarkan “perilaku mengatur”, mengkoordinasikan perilaku sistem dan dinamika dari suatu sistem, menangani tugas utama dan mengontrol alur kerja suatu sistem. d. Entity Menggambarkan informasi yang harus disimpan oleh sistem (struktur data dari sebuah sistem) e. Object Message Menggambarkan pesan/hubungan antar obyek yang menunjukkan urutan kejadian yang terjadi f. Message to Self Mengambarkan pesan/hubungan obyek itu sendiri, yang menunjukkan urutan kejadian yang terjadi g. Return Message Menggambarkan pesan/hubungan antar obyek, yang menunjukan urutan kejadian yang terjadi. h. Lifeline Eksekusi obyek selama sequence (message dikirim atau diterima dan aktifasinya).
21 2.2
Teori Khusus 2.2.1
Pengertian Risiko Menurut A.V. Rameshkumar (2010), risiko didefinisikan sebagai
kemungkinan kerusakan atau kerugian. Risiko juga berarti bahwa pengambil suatu keputusan telah mengetahui kemungkinan konsekuensi dari keputusan yang diambil.
2.2.1.1
Macam-macam Risiko Menurut Djojosoedarso (2005, p3), risiko dapat dibedakan
dengan berbagai macam cara antara lain : a. Menurut sifat risiko dapat dibedakan ke dalam : 1) Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja. Misalnya risiko terjadi nya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. 2) Risiko yang disengaja (risiko spekulatif) adalah risiko yang disengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya. 3) Risiko fundamental adalah risiko yang menyebabkan tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti banjir, angin topan, dan sebagainya.
22 4) Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. 5) Risiko dinamis adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi, seperti risiko keusangan dan risiko penerbangan ruang angkasa. Kebalikannya adalah risiko statis, contohnya seperti risiko hari tua dan juga risiko kematian. b. Dapat tidaknya risiko tersebut dialihkan kepada piihak lain, maka risiko dibedakan ke dalam : 1) Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan (pindah) pihak perusahaan asuransi. 2) Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan). Umumnya meliputi semua jenis risiko spekulatif. c. Menurut Sumber/penyebab timbulnya, risiko dapat dibedakan
ke
dalam : 1) Risiko inten yaitu risiko yang berasal dari dalam perusahaan itu sendiri,
seperti
kerusakan
aktiva karena
ulah
karyawan,
kecelakaan kerja, kesalahan manajemen, dan sebagainya.
23 2) Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, sepertu risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya.
2.2.1.2
Karakteristik dan Wujud Risiko Menurut
Djojosoedarso
(2005,
p3),
karakteristik
risiko
merupakan ketidakpastian atas terjadinya suatu peristiwa dan merupakan ketidakpastian bila terjadi akan menimbulkan kerugian. Menurut Djojosoedarso (2005, p3), wujud dari risiko itu dapat bermacam- macam, antara lain : a. Berupa kerugian atas harta milik/kekayaan atau penghasilan, misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan sebagainya. b. Berupa penderitaan seseorang, misalnya sakit/cacat karena kecelakaan.
c. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan atau peristiwa yang merugikan orang lain. d. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi perubahan harga, perubahan selera konsumen dan sebagainya.
2.2.1.3
Upaya Penanggulangan Risiko Menurut Djojosoedarso (2005, p4), upaya-upaya untuk
menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang
24 terkena risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk meminimumkan risiko kerugian, antara lain : a. Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian. b. Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, akibat
dan untuk mencegah terganggunya operasi perusahaan
kerugian
tersebut
disediakan
sejumlah
dana
untuk
menanggulanginya. c. Melakukan pengenadalian terhadap risiko.
d. Mengalihkan / memindahkan risiko kepada pihak lain. e. Tugas dari manager risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara-cara / metode yang paling efisien dalam penanggulangan risiko yang dihadapi perusahaan.
2.2.2
Risiko Teknologi Informasi 2.2.2.1
Kategori Risiko Teknologi Informasi Menurut Hughes (2006, p36), kategori
risiko teknologi
informasi antara kehilangan informasi potensial dan pemulihannya, antara lain : a. Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran internal dan terorisme cyber.
25 b. Ketersedian Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya pengurangan arsitektur atau akibat lainnya. c. Daya pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah sebuah kejadian keamanan atau ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman eksternal, atau bencana alam. d. Performa Risiko dimana informasi tidak tersedia saat diperlukan yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam. e. Daya skala Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk arsitekturnya membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis yang efektif. f. Ketaatan Risiko yang manajemen atau pengginaan informasinya melanggar keperluan regulator. Yang dipersalahkan dalam hal ini mencakup regulasi pemerintah, panduan pengaturann korporat dan kebijakan internal.
26 2.2.2.2
Kelas-kelas Risiko Teknologi Informasi Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi
didefinisikian dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensikonsekuensinya dapat berakibat negative bagi bisnis. Kelas – kelas risiko: a. Projects – failing to deliver Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah: menyelesaikan proyek yang ada telat/tidak tepat waktunya, sumber daya dan biaya yang di konsumsi dalam penyelesaian proyek besar sehingga tidak efisien, mengganggu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan yang diharapkan user. b. IT service continuity – When Business operations go off the air Risiko ini berhunbungan dengan pelayanan TI yang ketinggalan jaman dan tidak dapat diandalkan sehingga menggangu proses bisnis yang sedang berjalan. Biasanya berhubungan dengan sistem operasional dan produk perusahaan serta kemampuan mereka untuk menyediakan kebutuhan dari user. c. Information assets – failing too protect and preserve Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan eksploitasi asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, contohnya informasi yang penting bisa dicuri oleh perusahaan, contohnya informasi yang penting bisa di curi
27 oleh perusahaan competitor, detail dari kartu kredit dapat dilihat oleh pihak yang tidak berwenang. Sehingga dengan demikian akan merukak hubungan antara pelanggan dengan perusahaan. Ini tentunya akan sangat merugikan perusahaan. d. Service providers and vendors – breaks in the IT value chain Risiko ini berhubungan dengan kemampuan provider dan vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita, maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak lainnya berhubungan dengan dampak jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut. e. Applications – flaky systems Risiko ini berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berindikasi dengan user dan dalam suatu perusahaan biasanya terdapat kombinasi antara software paket dan software buatan yang diintigrasikan menjadi satu. f. Infrastructure – shaky foundations Risiko ini behubungan dengan kegagalan dalam infrastuktur TI. Infrastruktur adalah suatu nama umum bagi komputer namun jaringan yang sedang dipakai dan berjalan diperusahaan tersebut. Di dalam infrastruktur juga termasuk software, seperti sistem operasi dan sistem database management. Kegagalan infrastruktur TI bisa bersifat permanen, ketika suatu komponen terbakar, dicuri, rusak maupun koneksi jaringannya sedang putus, maka dampak dari kegagalan
28 tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat sistem yang tidak kompatibel dengan model yang baru, maka sistem tersebut perlu diganti. Apabila risiko ini dapat ditangani secara rutin, maka ini merupakan suatu perencanaan jangka panjang yang baik. g. Strategic and emergent – disabled by IT Risiko
ini
berhubungan
dengan
kemampuan
TI
untuk
memberitahukan strategi bisnis yang dilakukan. Dampak-dampak yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis secara luas. Risiko merupakan kemampuan dari perusahaan untuk terus bergerak ke arah visi strategi. Untuk tetap kompetitif diperlukan kemajuan TI untuk dipahami dan dicocokan dengan potensi kesempatan eksploitasi bagi bisnis.
2.2.3
Pengukuran Risiko Teknologi Informasi Berdasarkan penelitian yang kami lakukan, maka ditemukan metode pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAP.
2.2.3.1 Pengertian FRAP (Facilitated Risk Analysis Process) Menurut Thomas R. Peltier (2001, p69), FRAP (Facilitated Risk Analysis Process) merupakan suatu pendekatan dalam melakukan analisis risiko kualitatif. Dengan menggunakan FRAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan. Dengan demikian analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan dan juga diperlukan. FRAP
29 bukan suatu metodologi, tetapi suatu pendekatan terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol pengamanan.
2.2.3.2 Komponen Utama dalam FRAP Menurut Thomas R. Peltier (2001, p72), pendekatan FRAP (Facilitated Risk Analysis Process) adalah bentuk pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAP terdiri dari 3 komponen utama, diantaranya : 1. Pre-FRAP Meeting Pre-FRAP meeting ini merupakan kunci sukses dalam suatu proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan biasanya dilakukan di kantor klien. Ada 5 komponen utama yang muncul dari sesi ini : a.
Scope Statement Pemimpin proyek dan manajer bisnis membuat pernyataan mengenai peluang-peluang yang ada untuk kemudian ditinjau.
b. Visual Model Pembuatan diagram proses (gambaran) mengenai pernyataan ruang lingkup untuk ditinjau kembali. c. Team Members Membangun tim FRAP yang terdiri atas 7 – 15 orang anggota yang berhubungan dengan sistem yang terkait.
30 d. Meeting Mechanics Manager bisnis bertanggung jawab dalam menyediakan ruangan meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan yang dibutuhkan. e.
Agreement of Definition Dalam sesi pre-FRAP dibutuhkan persetujuan terhadap definisi FRAP. Persetujuan tersebut haruslah berdasarkan pada adanya risk, control, impact, dan vulnerability. Selama sesi pre-FRAP sangatlah penting untuk mendiskusikan ancaman utama dalam proses bisnis.
2. FRAP Session Pada tahap ini pertemuan biasanya berlangsung selama empat jam. Komponen-komponen yang muncul dari tahap ini diantaranya adalah: a. Identified Risks Mengidenifikasi risiko yang mungkin terjadi pada sistem
bisnis
perusahaan. b. Priotized Risks Menentukan
risiko utama dari semua risiko yang mungkin
terjadi (yang memilki ancaman terbesar). c. Suggested Controls Memberikan solusi pengendalian untuk meminimalisir risiko dan juga ancaman yang mungkin terjadi.
31 Definisi-definisi dalam tahap ini yang harus dipahami diantaranya adalah : a. High Vulnerability : tingkat kelemahan yang sangat besar yang ada di dalam sistem atau operasional perusahaan dan berpotensi berdampak pada proses bisnis secara signifikan sehingga kontrol harus ditingkatkan. b. Medium Vulnerability : ada beberapa kelemahan dan berpotensi berdampak pada proses bisnis secara signifikan, kontrol dapat dilakukan dan harus ditingkatkan. c. Low Vulnerability : sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan. d. Severe Impact (High) : cenderung menempatkan perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan. e. Significant Impact (Medium) : akan menyebabkan kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan. f. Minor Impact (Low) : operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle.
Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada sistem perusahaan.
32
Gambar 2.1 Matriks Prioritas
Keterangan: A – tindakan korektif harus diterapkan B – tindakan perbaikan yang diusulkan C – membutuhkan pemantauan D – tidak ada tindakan yang diperlukan
Setelah tahapan pertama dari FRAP session ini telah selesai, maka tim akan berlanjut melaksanakan tahapan kedua dari FRAP Session, yaitu : a) Mengidentifikasi kontrol yang ada b) Menentukan kontrol terhadap risiko high-level (dalam hal ini risiko yang memiliki prioritas A dan B), yang belum memiliki kontrol sebelumnya. c) Memilih kelompok atau orang yang bertanggung jawab untuk mengimplementasikan rekomendasi kontrol yang diusulkan sebelumnya.
33 3. Post FRAP Meeting Pada tahap ini pertemuan biasanya berlangsung sekitar 10 hari dan memiliki tiga elemen, yaitu : a. Creation on the Cross-References Sheet Membuat cross-reference sheet berdasarkan table risiko dan table kontrol untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi. b. Creation on the Action Plan Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus
membuat
action
plan
(rencana
aksi),
yaitu
dengan
menggabungkan risiko dari risk list dengan kontrol yang disarankan dari control list, dengan tujuan mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat membantu perusahaan dalam melaksanakan penetapan kontrol yang diusulkan.
2.2.3.3 Tahapan FRAP Tahapan di dalam FRAP, yaitu : 1. The Pre FRAP Meeting a. Menjelaskan mengenai proses FRAP dan komponen sistem yang akan dianalisis. b. Menentukan ruang lingkup c. Menggambarkan ruang lingkup dalam bentuk diagram
34 d. Menentukan tim-tim yang akan ikut serta dalam proses FRAP e. Menentukan waktu, ruang dan berbagai kebutuhan lainnya yang dibutuhkan selama meeting berlangsung. f. Persetujuan terhadap definisi. 2. The FRAP Session a. Logistic : perkenalan anggota FRAP b. Overview pernyataan ruang lingkup (visual model) dan persetujuan definisi. c. Proses
Brainstorming
dilakukan
dengan
memberi
kesempatan kepada tiap anggota tim untuk menulis risiko yang mungkin dari sistem yang didiskusikan pada selembar kertas kecil. Setelah 5 menit, fasilitator akan mengumpulkan kertas tersebut dan proses tersebut diulang sampai tidak ada risiko yang dapat teridentifikasi lagi. d. Kemudian fasilitator akan menyortir dan mengumpulkan risiko yang serupa serta menempelkannya pada papan. Sementara anggota tim lainnya diberi kesempatan untuk break selama 10-15menit. e. Proses dilanjutkan dengan menentukan prioritas dari risiko yang telah diidentifikasikan berdasarkan criteria dan juga definisi yang telah disepakati pada sesi Pre-FRAP Meeting. f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari aset yang mempunyai risiko tinggi. Cara yang dilakukan
35 dapat seperti pada cara penentuan risiko (sample priority matrix) atau dengan cara memberikan daftar kontrol pengamanan yang biasa digunakan dalam sistem yang sejenis dan meinta tim untuk memilih kontrol pengamanan yang cocok serta menentukan orang yang berhak atau wajib melakukan kontrol tersebut. 3. The Post FRAP Meeting a. Membuat cross-references sheet yang berisikan masingmasing kontrol dan risiko-risiko apa saja yang dapat berkurang sebagai akibat dari pelaksanaan kontrol tersebut. b. Project leader dan fasilitator akan melihat kontrol mana saja yang sudah diterapkan pada risiko yang ada. c. Project leader dan fasilitator akan bertemu dengan manajer bisnis untuk meninjau ulang dan mengidentifikasi kontrol apa saja yang dapat digunakan untuk mengatasi risiko-risiko yang masih terbuka. d. Membuat action plan untuk risiko-risiko yang masih terbuka dan risiko-risiko yang akan diimplementasikan kontrolnya. Project leader, fasilitator dan manajer bisnis menentukan kontrol apa saja yang paling efektif dan menentukan pihak mana saja yang akan mengimplementasikan kontrol tersebut beserta dengan tanggal pelaksanaannya.
36 e. Setelah risiko tersebut telah dikontrol atau ternyata manajer bisnis telah mengidentifikasikan bahwa risiko tersebut dapat diterima maka final report akan dibuat.
2.2.3.4 Populasi dan Sampel 2.2.3.4.1 Populasi Menurut Suharsini Arikunto (2010, p.173) Populasi adalah keseluruhan subjek penelitian. Apabila seseorang ingin meneliti semua elemen yang ada dalam wilayah penelitian, makan penelitiannya
merupakan
penelitian
populasi.
Studi
atau
penelitiannya juga disebut studi populasi atau studi sensus. 2.2.3.4.2 Sampel Menurut Suharsini Arikunto (2010, p.174) Sampel adalah sebagian atau wakil populasi yang diteliti. Dinamakan penelitian
sample
apabila
kita
bermaksud
untuk
menggeneralisasikan hasil penelitian sampel. Dengan rumus Jacob Cohen :
N=L+u+1 f2
37 Dengan keterangan : N = Ukuran Sampel f2 = Efek Size U = Banyaknya ubahan yang terkait dalam penelitian L = Fungsi power dari U, diperoleh dari tabel, t.s. 1%
