BAB 2 LANDAS AN TEORI
2.1
Teori-Teori Umum 2.1.1 Pengertian Informasi M enurut Whitten, Bentley, dan Dittman (2004, p27), informasi merupakan data yang diproses atau diorganisasikan ke dalam suatu bentuk yang memiliki arti untuk seseorang. Informasi dibentuk dari berbagai kombinasi data yang diharapkan
dapat
memberikan
makna bagi
penerimanya. M enurut M cLeod (2008, p15), informasi adalah data yang telah diproses atau data yang memiliki arti. M enurut O’Brien (2005, p703), informasi adalah data yang ditempatkan dalam konteks yang berarti dan berguna bagi pemakai akhir. Jadi, informasi adalah data yang telah diolah, menjadi bentuk yang mempunyai arti dan dapat bermanfaat bagi pengambilan keputusan saat ini dan masa yang akan datang.
2.1.2 Pengertian Teknologi Informasi M enurut Williams, dan Sawyer (2005, p3), teknologi informasi merupakan sebuah bentuk umum yang menggambarkan setiap teknologi yang
membantu
menghasilkan,
memanipulasi,
mengkomunikasikan, dan/atau menyampaikan informasi.
9
menyimpan,
10
M enurut Turban, Rainer dan Potter (2009, p6), “Information technology relates to any computer-based to that people use to work with information and to support the information and information processing needs of an organization”. Yang diartikan sebagai berikut : teknologi informasi berkaitan dengan segala sesuatu yang berbasis komputer yang digunakan orang-orang untuk melakukan pekerjaannya yang berhubungan dengan informasi untuk mendukung dan mengolah informasi tersebut sesuai dengan kebutuhan perusahaan. Dari kedua pengertian di atas dapat disimpulkan bahwa teknologi informasi merupakan alat-alat atau perangkat komputer yang digunakan oleh sebuah organisasi melalui proses menerima, mengelolah, serta menyimpan informasi perusahaan yang mendukung kinerja sistem informasi.
2.1.3 Infrastruktur Teknologi Informasi M enurut Potter (2007, p6), “Information technology infrastructure is the physical facilities, IT components, IT services, and IT personel that support the entire organization”. Yang diartikan : infrastuktur teknologi informasi pada sebuah organisasi terdiri dari perangkat fisik berupa IT components, IT services, dan IT management yang mendukung keseluruhan organisasi. IT components terdiri dari hardware, software, dan teknologi komunikasi yang digunakan oleh personel teknologi informasi menghasilkan IT services. IT services meliputi manajemen data.
11
2.1.3.1 Hardware M enurut O’Brein (2005, P702), hardware adalah : 1. M esin dan media. 2. Perlengkapan fisik, kebalikan dari program komputer atau metode penggunaan. 3. Peralatan mekanis, magnetis, elektrik, elektronik, atau optikal. M enurut Turban, Rainer dan Potter (2005, p37), “Hardware is a set of devices such as a processor, monitor, keyboard, and printer. Together these devices accept data and information, process them, and display them”. Yang diartikan : hardware adalah satu set perangkat seperti prosesor, monitor, keyboard, dan printer. Dimana secara bersama-sama perangkat ini akan dapat menerima data dan informasi, memproses, dan memproduksi informasi yang telah diolah. Dari pernyataan di atas dapat disimpulkan bahwa hardware adalah seperangkat peralatan fisik komputer yang membentuk suatu sistem dengan segala perlengkapannya. Hardware terdiri dari 5 kategori, yaitu: 1.
Input device, adalah peralatan yang digunakan untuk menginput informasi dan perintah yang terdiri dari keyboard, mouse, touchscreen, game controller, dan barcode reader.
2.
Output device, adalah peralatan yang digunakan untuk melihat, mendengar, atau sebaliknya mengenali hasil dari permintaan proses informasi yang terdiri dari printer, monitor dan speaker.
12
3.
Storage device,
adalah peralatan yang digunakan untuk
menyimpan informasi yang digunakan di lain waktu, terdiri atas primary storage dan secondary storage, seperti hard disk, flash disk, memory card, dan DVD. 4. CPU dan RAM . CPU adalah hardware yang mengartikan dan menjalankan sistem serta instruksi-instruksi aplikasi software dan mengatur pengoperasian dari keseluruhan hardware. RAM adalah sebuah kawasan sementara untuk informasi yang bekerja seperti halnya sistem dan aplikasi software yang dibutuhkan oleh CPU sekarang ini. 5.
Telecomunication device, adalah peralatan yang digunakan untuk mengirim dan menerima informasi dari orang atau komputer lain dalam satu jaringan.
2.1.3.2 Software M enurut O’Brien (2005, p713), software adalah program dan prosedur komputer yang berkaitan dengan operasi sistem informasi. M enurut Turban, Rainer dan Potter (2005, p37), Software is a set of programs that enable the hardware to process data. Yang diartikan seperti berikut : software adalah seperangkat program yang memungkinkan perangkat keras untuk memproses data. Dapat disimpulkan bahwa software merupakan instruksiinstruksi, program, dan prosedur komputer yang saling berkaitan untuk menyelesaikan tugas tertentu.
13
Ada 2 tipe utama software, yaitu: 1. Application software, memungkinkan untuk menyelesaikan masalah-masalah
spesifik
atau
menampilkan
tugas-tugas
spesifik. 1.
System
software,
menangani
tugas-tugas
spesifik
untuk
mengelola teknologi dan mengatur interaksi dari keseluruhan peralatan teknologi. Di dalam system software terdapat operating system software dan utility software. Operating system softwar e adalah software system
yang mengendalikan application
software dan mengelola bagaimana peralatan hardware bekerja secara bersama. Sedangkan utility software adalah software yang menyediakan tambahan fungsionalitas untuk mengoperasikan system
software
seperti
anti-virus,
screensavers,
disk
optimization.
1.1.3.3 Jaringan Komputer M enurut O’Brien (2006, p276), ada berbagai jenis jaringan yang berfungsi sebagai infrastruktur telekomunikasi untuk internet serta intranet dan ekstranet perusahaan berbasis internet. Akan tetapi, dari sudut pandang pemakai akhir, hanya ada beberapa tipe dasar, seperti jaringan area luas dan jaringan area lokal, serta jaringan rekan-kerekan, klien/server, dan komputasi jaringan.
14
1.1.3.3.1 Jenis-Jenis Jaringan Komputer Berdasarkan rentang geografis yang dapat di cakup oleh suatu jaringan, jaringan komputer terbagi menjadi tiga jenis, yaitu : a.
LAN (Local Area Network) LAN digunakan untuk menghubungkan komputer yang berada di dalam suatu area yang kecil, misalnya di dalam suatu gedung perkantoran atau kampus. Jarak antar komputer yang di hubungkan bisa mencapai 5-10 km. Suatu LAN biasanya bekerja pada kecepatan mulai 10-100 M bps. LAN menjadi popular karena memungkinkan banyak pengguna untuk memakai sumber daya yang dapat digunakan itu misalnya mainframe, file server, printer dan sebagainya.
b.
MAN ( Metropolitan Area Network) MAN merupakan suatu jaringan yang cakupannya meliputi suatu kota. M AN menghubungkan LANLAN yang lokasinya berjauuhan. Jangkauan M AN mencapai 10 km sampai beberapa ratus km. Suatu MAN biasanya bekerja pada kecepatan 1,5-150 M bps.
c.
WAN ( Wide Area Network) WAN dirancang untuk menghubungkan komputerkomputer yang terletak pada suatu cakupan geografis yang luas, seperti hubungan dari suatu kota ke kota
15
lain di dalam suatu negara.
Cakupan WAN bisa
meliputi 100-1000 km, dan kecepatan antar kota bisa bervariasi antara 1,5 M bps sampai 2,4 Gbps. Dalam biaya peralatan untuk transmisi sangat tinggi, biasanya jaringan WAN dimiliki dan di operasikan sebagai suatu jaringan public. Beberapa contoh dari jaringan komputer adalah : a.
Internet M enurut Sawyer, Williams (2007, p11), “Internet is a worldwide computer network that connects hundrers of thousands of smaller network. These network link educational, commercial, nonprofit, and military entities, as well as individuals.” Jadi internet adalah sebuah jaringan komputer seluruh dunia yang menghubungkan ratusan ribu jaringan yang lebih kecil. Jaringan ini menyajikan pendidikan, komersial, tidak mencari keuntungan, dan entittas militer, sebaik individu.
b.
Intranet M enurut Sawyer, Williams (2007, p319), “ Intranets for internal use only is an organization’s internal private network that uses the infrastructure and standards of the internet and the web” Jadi hanya untuk penggunaan internal yang merupakan jaringan internal pribadi menggunakan infrastruktur dan standar dari internet dan web.
c.
Ekstranet
16
M enurut Sawyer, Williams ( 2007, p 320) “Extranet for certain considers are private intranets that connect not only internal personnel but also selected suppliers and other strategic parties.” Jadi ekstranet adalah untuk orang luar tertentu dari intranet pribadi yang menghubungkan tidak hanya personil internal tetapi juga supplier tertentu dan kelompok strategis lainnya.
1.1.4 Pengertian Data M enurut M cLeod (2001, p12), data terdiri dari fakta-fakta dan angkaangka yang relative tidak berarti bagi pemakai. Sedangkan menurut O’brien (2006, p38), data adalah observasi mentah, yang biasanya mengenai fenomena fisik atau transaksi bisnis. Dari kedua teori di atas, dapat disimpulkan bahwa definisi data adalah observasi mentah yang terdiri atas fakta-fakta dan angka-angka mengenai transaksi bisnis yang tidak berarti bagi pemakai jika belum dikelola.
1.1.5 Unified Modeling Language (UML) M enurut Jones dan Rama (2008, p111), unified modeling language (UM L)
merupakan
suatu
bahasa
pemodelan
untuk
menyebutkan,
memvisualisasikan, membuat dan mendokumentasikan sistem informasi. UM L dikembangkan sebagai suatu alat untuk analisis berorientasi objek dan desain
tetapi
dapat
juga
digunakan
mendokumentasikan berbagai sistem informasi.
untuk
memahami
dan
17
Salah satu jenis UM L adalah UM L activity diagram yang merupakan suatu diagram untuk menunjukkan urutan aktivitas dalam suatu proses. UM L activity diagram terdiri dari : 1. Overview Activity Diagram (OAD), yaitu suatu diagram aktivitas UM L yang menyajikan gambaran tingkat tinggi dari proses bisnis dengan mendokumentasikan kejadian-kejadian penting, urutan kejadian dan aliran informasi antar kejadian. 2. Detailed Activity Diagram (DAD), yaitu suatu diagram aktivitas UM L yang menyediakan penyajian terperinci dari aktivitas yang berhubungan dengan satu atau dua kejadian yang disajikan dalam overview activity diagram. Simbol-simbol yang digunakan dalam UM L activity diagram, yaitu : Simbol
Keterangan Awal dari suatu proses Akhir dari suatu proses Event
Garis lanjut dari satu event ke event lain
Alur informasi di antara event Dokumen
18
Swimlane / garis pisah antar agent
File di komputer
Jika terdapat suatu kondisi Tabel 2.1 Simbol-simbol yang Digunakan Dalam UML
1.1.6 Pengertian Firewall M enurut O’Brien (2007, p458), firewall adalah sebuah sistem atau perangkat yang mengizinkan pergerakan lalu lintas jaringan yang dianggap aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman. Firewall merupakan metode penting yang digunakan untuk mengendalikan dan mengamankan internet serta berbagai macam jaringan. Firewall dapat disebut juga sebagai “gatekeeper” atau penjaga pintu gerbang, yang melindungi internet dan jaringan komputer lainnya dari intrusi atau penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak luar.
1.1.7 Pengertian Virus M enurut O’brien (2007, p446), salah satu contoh kejahatan komputer yang paling bersifat merusak adalah virus komputer. Virus adalah istilah yang paling popular. Secara teknis, virus adalah kode program yang tidak
19
dapat bekerja tanpa disertai atau dimasukkan ke dalam program yang lainnya. Worm sendiri merupakan program yang berbeda yang dapat berjalan sendiri tanpa bantuan. M enurut Turban, Rainer dan Potter (2005, p385), “Worm is a program that replicates itself and penetrates a valid computer system”. Worm dapat mereplikasi dirinya sendiri, tanpa melalui suatu media transmisi seperti e-mail, pesan instan, internet relay chat, koneksi jaringan, dan lain-lain. M enurut Turban, Rainer dan Potter (2005, p385), “Virus is secret instruction inserted into programs (or data) that are innocently run during ordinary tasks. The secret instruction may destroy or alter data, as well as spread within or between computer systems”. Yang diartikan : virus adalah instruksi rahasia yang dimasukkan ke dalam sebuah program (atau data) yang dijalankan seperti biasanya. Instruksi rahasia ini dapat merusak atau mengubah data, serta menyebar di dalam atau diantara sistem komputer. Dapat disimpulkan bahwa virus adalah program yang bersifat merusak dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri, penyebarannya karena dilakukan oleh orang lain, seperti copy file, biasanya melalui attachment email, game, program bajakan, dan lain-lain.
1.1.8 Pengertian Vulnerability M enurut Thomas R. Peltier (2005, p218), “A vulnerability is defined as a flaw in security procedures, software, internal system controls, or implementation of system that may affect the integrity, confidentiality,
20
accountability, or availability of data or services. Vulnerabilities include flaws that may be deliberately exploited and those that may cause failure due to inadvertent human actions or natural disasters.” Yang diartikan: vulnerability didefinis ikan sebagai sebuah kecacatan dalam prosedur keamanan, perangkat lunak, sistem pengendalian internal, atau penerapan sistem yang mempengaruhi integrity, confidentiality, accountability, atau availability data atau layanan. Vulnerability termasuk kekurangan yang mungkin sengaja dimanfaatkan dan dapat menyebabkan kegagalan karena tingkah manusia secara tidak sengaja ataupun karena bencana alam. M enurut SANS institute (2007, p3), “Vulnerability is a flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of the system’s security policy”. Yang artinya : vulnerability adalah sebuah kecacatan atau kelemahan dalam prosedur keamanan, perancangan, penerapan, atau internal kontrol sistem yang dapat dieksekusi (secara sengaja dipicu atau dimanfaatkan) dan mengakibatkan pelanggatan terhadap keamanan atau kebijakan keamanan sistem. Jadi dapat disimpulkan bahwa vulnerability adalah kelemahan atau kerentanan dalam prosedur keamanan, perancangan, dan penerapan sebuah sistem ataupun pada pengendalian internal yang bisa mempengaruhi confidentiality, integrity, dan availability dari data atau informasi.
21
1.1.9 Pengertian Threat M enurut Thomas R. Peltier (2005, p161), “Threat is potential events that have a negative impact on the business objectives or mission statement of the enterprise”. Yang diartikan : threat adalah sebuah kejadian yang berpotensi memiliki dampak negatif terhadap tujuan bisnis atau pernyataan misi perusahaan. M enurut M aiwald (2003, p145), “Threat is an action or event that might violate the security of an information systems environment and three components of threat are targets, agents, and events”. Artinya ialah : threat adalah sebuah tindakan atau peristiwa yang mungkin melanggar lingkungan sistem keamanan informasi dan tiga komponen threat, yaitu targets, agents, dan events. Jadi, menurut pengertian di atas dapat disimpulkan bahwa threat adalah sebuah potensi serangan atau ancaman terhadap kemanan yang ada ketika terdapat suatu keadaan yang memungkinkan, aksi, atau kejadian yang dapat menembus keamanan dan dapat menyebabkan kerusakan. Sebuah threat adalah kemungkinan bahaya yang timbul karena adanya kelemahan pada sistem. Threat dapat bersumber dari internal maupun eksternal perusahaan dan akan selalu ada dalam setiap sistem atau aset.
2.1.10 Pengertian Risiko M enurut Thomas R. Peltier (2001, p72), “Risk is a potential event that will have a negative impact on the business objectives or mission of the enterprise”. Yang artinya : risiko adalah sebuah kejadian yang berpotensial
22
memiliki dampak negatif terhadap tujuan bisnis perusahaan atau misi dari sebuah perusahaan. M enurut Turban, Rainer dan Potter (2005, p381), “Risk is a likelihood that a threat will materialize”. Yang diartikan : risiko adalah sebuah kemiungkinan bahwa ancaman (threat) akan muncul atau terjadi. Dari definisi tersebut
dapat disimpulkan
bahwa risiko
selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan dan tidak diduga/tidak diinginkan.
2.1.11 Macam-macam Risiko M enurut Gondodiyoto (2009, p110), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis, yaitu: 1.
Risiko bisnis, adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi.
2.
Risiko bawaan, adalah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan, jika tidak ada pengendalian intern.
3.
Risiko pengendalian, adalah masih adanya risiko meskipun sudah ada pengendalian.
4.
Risiko deteksi, adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup materialistis atau adanya kemungkinan fraud.
5.
Risiko audit, adalah risiko bahwa hasil pemeriksaan auditor sebelumnya ternyata belum dapat mencerminkan keadaan yang sesungguhnya.
23
M enurut Djojosoedarso (2005, p3), risiko dapat dibedakan dengan berbagai macam cara, antara lain : 1.
M enurut sifatnya, risiko dapat dibedakan ke dalam : a.
Risiko yang tidak disengaja (risiko murni), adalah risiko yang apabila terjadi, tentu menimbulkan kerugian dan terjadinya tanpa disengaja.
b.
Risiko yang disengaja (risiko spekulatif), adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya.
c.
Risiko fundamental, adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang.
d.
Risiko khusus, adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya.
e.
Risiko dinamis, adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan teknologi,
seperti
risiko
penerbangan
luar
angkasa.
Dan
kebalikannya disebut risiko statis, seperti risiko hari tua, risiko kematian, dan sebagainya. 2.
Dapat-tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko dapat dibedakan ke dalam : a.
Risiko
yang dapat
dialihkan
kepada pihak
lain,
dengan
mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi,
24
sehingga semua kerugian menjadi tanggungan pihak perusahaan asuransi. b.
Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis risiko spekulatif.
3.
M enurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam : a.
Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen, dan sebagainya.
b.
Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, seperti risiko pencurian, penipuan, persaingan, fluktasi harga, perubahan kebijakan pemerintah, dan sebagainya.
M enurut Gondodiyoto (2006, p303), ancaman utama terhadap keamanan dapat bersifat karena alam, manus ia, yang bersifat kelalaian atau kesenjangan, antara lain: 1) Ancaman kebakaran Beberapa pelaksanaan keamanan untuk ancaman kebakaran, yaitu: a.
M emiliki alat pemadam kebakaran otomatis dan tabung pemadam kebakaran.
b.
M emiliki pintu/tangga darurat.
c.
M elakukan pengecekan rutin dan pengujian terhadap sistem perlindungan kebakaran untuk dapat memastikan segala sesuatunya telah dirawat dengan baik.
2)
Ancaman banjir Beberapa pelaksanaan keamanan untuk ancaman banjir, yaitu:
25
a.
Usahakan bahan untuk atap, dinding dan lantai yang tahan air.
b.
Semua material aset sistem informasi diletakkan di tempat yang tinggi.
c.
Perubahan tegangan sumber energi.
d.
Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan sumber energi listrik, misalnya dengan menggunakan stabilizer atau power supply (UPS).
3) Kerusakan struktural Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural misalnya dengan memilih lokasi perusahaan yang jarang terjadi gempa, angin ribut, banjir, dan sebagainya. 4) Penyusup Pelaksanaan
keamanan
untuk
mengantisipasi
penyusup
adalah
penempatan penjaga dan penggunaan alarm ataupun kamera pengawas. 5) Virus Pelaksanaan keamanan untuk mengantisipasi virus, antara lain: a.
Preventive, seperti menginstal anti-virus dan melakukan update anti-virus secara rutin.
b.
Detective, misalnya melakukan scan file sebelum digunakan.
c.
Corective, misalnya memastikan backup data bebas virus, pemakaian anti-virus terhadap file yang terinfeksi.
6) Hacking Beberapa pelaksanaan keamanan untuk mengantisipasi hacking, yaitu:
26
a.
Penggunaan logical control, seperti penggunaan password yang sulit ditebak.
b.
Petugas keamanan secara teratur memonitor sistem yang digunakan.
2.1.12 Upaya Penanggulanggan Risiko Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan untuk mengurangi risiko kerugian, antara lain: a.
M elakukan pencegahan dan pengurangan terhadap
kemungkinan
terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang tidak mudah terbakar, memagari mesin-mesin untuk menghindari kecelakaan kerja, dan sebagainya. b.
M elakukan retensi, yaitu mentolerir atau membiarkan terjaadinya kerugian untuk sementara, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut, disediakan sejumlah dana untuk menanggulanginya.
c.
M elakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulanggi risiko kelangkaan dan fluktasi harga bahan baku/pembantu yang diperlukan.
d.
M engalihkan atau memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian apabila betul terjadi kerugian yang sesuai dengan perjanjian.
27
2.1.13 Risiko Teknologi Informasi 2.1.13.1 Kategori Risiko Teknologi Informasi M enurut Hughes (2006), dalam penggunaan teknologi informasi
berisiko
terhadap
kehilangan
informasi
dan
pemulihannya yang tercakup dalam 6 kategori, yaitu: 1.
Keamanan Risiko dimana informasi diubah atau digunakan oleh orang yang tidak berwenang. M isalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber.
2.
Ketersediaan Risiko dimana data tidak dapat diakses, misalnya setelah kegagalan sistem, karena kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya penggunaan arsitektur.
3.
Daya pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup setelah terjadinya kegagalan dalam software atau hardware, ancaman eksternal, dan bencana alam.
4.
Performa Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam.
5.
Daya Skala
28
Risiko dimana perkembangan bisnis, pengaturan kemacetan dan bentuk arsitektur membuat tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif. 6.
Ketaatan Risiko dimana manajemen atau penggunaan informasi melanggar keperluan dari pihak pengatur. Hal ini mencakup aturan pemerintah, panduan pengaturan perusahaan dan kebijakan internal.
2.1.13.2 Kelas-kelas Risiko Teknologi Informasi M enurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi didefinisikan dalam 7 kelas. Dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu: 1.
Projects-failing to deliver. Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa contoh dari gagalnya penyampaian proyek adalah telat menyelesaikan proyek atau tidak pada waktunya, sumber daya dan biaya yang dikonsumsi dalam penyelesaian proyek besar sehingga tidak efisien, menganggu proses bisnis selama proses implementasi, dan juga fungsi dari proyek tidak sesuai dengan keinginan yang diharapkan oleh user.
2.
IT service continuity-when business operations go off the air.
29
Risiko
ini
berhubungan
dengan
pelayanan
TI
yang
ketinggalan zaman dan tidak dapat diandalkan sehingga mengganggu proses bisnis yang sedang berjalan. Biasanya berhubungan dengan sistem operasional dan produksi perusahaan serta kemampuan mereka untuk menyediakan kebutuhan user. 3.
Information assets-failing to protected and preserve. Risiko ini berhubungan khusus dengan kerusakan, kehilangan, dan eksploitasi asset informasi yang ada dalam sistem. Dampaknya bisa sangat fatal bagi perusahaan, misalnya saja informasi yang
penting bisa dicuri oleh
perusahaan
kompetitor, detail kartu kredit bisa dilihat oleh pihak yang tidak berwenang, sehingga dengan demikian akan merusak hubungan antara pelanggan dengan perusahaan dan tentunya akan sangat merugikan perusahaan. 1.
Service providers and vendors-breaks in the IT value chain. Risiko yang berhubungan dengan kemampuan dari provider dan vendor. Bila mereka gagal dalam menyediakan pelayanan yang baik, maka akan berdampak significant bagi sistem TI perusahaan. Dampak lainnya berhubungan dengandampak jangka panjang seperti kekurangan dalam penyediaan layanan TI bagi user perusahaan tersebut.
2.
Applications-flaky systems.
30
Risiko yang berhubungan dengan kegagalan aplikasi TI yang diterapkan. Aplikasi biasanya berinteraksi dengan user dalam suatu perusahaan,
biasanya terdapat kombinasi antara
software paket dan software buatan yang diintegrasikan menjadi satu. 3.
Infrastructure-shaky foundations Risiko ini berhubungan dengan kegagalan dalam infrastruktur IT. Kegagalan ini bisa bersifat permanen. Ketika suatu komponen terbakar, dicuri, rusak, maupun koneksi jaringan terputus, maka dampak dari kegagalan tersebut tergantung dari ketahanan sistem yang ada. Jika risiko ini dapat ditangani secara rutin maka itu merupakan perencanaan jangka panjang yang baik.
7.
Strategic and energent-disabled by IT. Risiko ini berhubungan dengan kemampuan TI untuk memberitahukan status bisnis yang dilakukan. Dampakdampak yang tidak langsung tetapi sangat signifikan dalam pelaksanan bisnis secara luas. Risiko merupakan kemampuan perusahaan untuk terus bergerak maju ke arah visi strategi, untuk tetap kompetitif diperlukan kemajuan IT untuk memahami dan dicocokkan dengan potensi kesempatan eksploitasi bisnis.
31
2.1.14 Pengertian Manajemen Risiko M enurut Siahaan (2007, p22), manajemen risiko adalah suatu proses dengan metode-metode tertentu supaya suatu organisasi mempertimbangkan risiko yang dihadapi setiap kegiatan organisasi dalam mencapai tujuan organisasi, atau risiko portofolio kegiatan organisasi. M enurut Djojosoedarso (2005, p2), manajemen risiko merupakan berbagai cara penanggulan risiko. M enurut Trieschman, Hoyt, Sommer (2005, p11), “Risk management is the process used to systematically manage risk exposures”. Yang artinya adalah : manajemen risiko adalah proses yang digunakan untuk mengolah pemaparan risiko secara sistematik. Fokus manajemen risiko adalah mengenal secara pasti risiko dan mengambil tindakan tepat terhadap risiko. Tujuannya adalah secara terus menerus menambah nilai maksimum dalam semua kegiatan operasional. Dengan manajemen risiko diungkap pemahaman tentang adanya potensi risiko upside dan downside dengan segala faktor-faktor yang dapat meningkatkan probabilitas keberhasilan, dan mengurangi probabilitas kegagalan atau ketidakpastian dalam pencapaian tujuan organisasi secara keseluruhan. Oleh karena itu, dapat dikatakan bahwa setiap orang harus selalu berusaha untuk mencegah terjadinya risiko, artinya bahwa adanya upaya untuk meminimumkan risiko yang terjadi. Dan pencegahan risiko tersebut dapat dilakukan dengan berbagai cara.
32
2.1.15 Fungsi-fungsi Pokok Manajemen Risiko M enurut Djojosoedarso (2005, p14), fungsi pokok manajemen risiko terdiri dari: 1. M enemukan kerugian potensial Artinya, berupaya untuk menemukan dan mengidentifikasi seluruh risiko murni yang dihadapi perusahaan, yang meliputi : a.
Kerusakan fisik dari harta kekayaan perusahaan.
b.
Kehilangan pendapatan atau kerugian lainnya akibat terganggunya operasi perusahaan.
c.
Kerugian akibat adanya tuntutan hukum dari pihak lain.
d.
Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan kriminal lainnya, dan ketidakjujuran karyawan.
e.
Kerugian-kerugian yang timbul akibat karyawan kunci (key men) meninggal dunia, sakit atau cacat.
2. M engevaluasi kerugian potensial M elakukan evaluasi dan penilaian terhadap semua kerugian potensial yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini meliputi perkiraan mengenai : a.
Besarnya kemungkinan frekuensi terjadinya kerugian, artinya memperkirakan jumlah kemungkinan terjadinya kerugian selama suatu periode tertentu atau beberapa kali terjadinya kerugian selama suatu periode tertentu.
b.
Besarnya bahaya pada tiap-tiap kerugian, artinya menilai besarnya kerugian yang diderita, yang biasanya dikaitkan dengan besarnya
33
pengaruh kerugian tersebut, terutama terhadap kondisi finasial perusahaan. 3.
M emilih cara yang tepat atau menentukan suatu kombinasi dari teknik-teknik yang tepat guna menanggulangi kerugian.
Pada pokoknya,
ada empat
cara yang
dapat
dipakai untuk
menanggulangi risiko, yaitu mengurangi kesempatan terjadinya risiko, meretensi, mengasuransikan, dan menghindari. Tugas dari manajer risiko adalah memilih satu cara yang paling tepat untuk menanggulangi risiko yang ada.
2.1.16 Tahapan Manajemen Risiko Teknologi Informasi M enurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen risiko terdiri dari beberapa tahap yang ditempatkan dengan cara yang berbeda untuk jenis risiko yang berbeda. Tahap-tahap tersebut terdiri dari: 1. Pengenalan/penemuan – menaruh risiko teknologi informasi pada radar manajemen. 2. Penilaian/analisis – mengerti risiko teknologi informasi dalam konteks keseluruhan risiko teknologi informasi dan menilai kemungkinan munculnya serta pengaruhnya pada bisnis. 3. Perawatan – menentukan pilihan terbaik dari beberapa langkah tindakan yang memungkinkan untuk mengatasi risiko, merencanakan dan menyelesaikan tidakan yang diperlukan.
34
4. Pengamatan dan peninjauan – menindaklanjuti untuk memastikan apa yang direncanakan itu dikerjakan dan mengerti perubahan yang ada pada risiko teknologi informasi.
2.1.17 FRAP (Facilitated Risk Analysis Process) 2.1.17.1 Pengertian FRAP M enurut Peltier (2001, p69), “FRAP (Facilitated Risk Analysis Process) was develop as an efficient and disciplined process for ensuring that information security-related risks to business operations are considered and documented”. Yang artinya : FRAP dikembangkan sebagai sebuah proses yang efisien dan terdisiplin untuk memastikan bahwa informasi yang berhubungan dengan keamanan risiko
operasi bisnis telah
dipertimbangkan dan
didokumentasikan. FRAP adalah suatu pendekatan terstruktur (metodologi) terhadap proses penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses penentuan kontrol pengamanan. Selama sesi FRAP, tim mengidentifikasi ancaman potensial, kerentanan dan dampak negatif pada integritas data, kerahasiaan dan ketersediaan. Dengan menggunakan FRAP diharapkan proses analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau bulanan sehingga analisis risiko bukan merupakan kendala, tetapi proses yang sangat mungkin dilakukan (feasible) dan perlu (enabler).
35
2.1.17.2 Kebutuhan FRAP Sebelum pembangunan FRAP, analisis risiko sering dianggap sebagai
tugas
utama
yang
dibutuhkan
perusahaan
untuk
mempekerjakan konsultan luar dan dapat memakan waktu yang panjang. Dimana proses analisis risiko menggunakan waktu berminggu-minggu untuk menyelesaikan dan mempresentasikan anggaran item yang besar. Dengan mempekerjakan konsultan luar, keahlian para staff dalam perusahaan sering diabaikan dan hasil yang didapat tidak dapat diterima oleh manajer unit bisnis. Hasil dari proses yang lama adalah manajer bisnis yang tidak mengerti kontrol yang diajukan, serta tidak mengerti kontrol yang disarankan dan sering merusak proses pelaksanaan. Yang
diperlukan
adalah
proses
analisis
risiko
yang
dikendalikan oleh manajer bisnis, membutuhkan waktu dalam hitungan hari, bukan mingguan atau bulanan, biaya yang efektif serta menggunakan in-house expert. FRAP dapat dilakukan oleh seseorang dengan pengetahuan proses bisnis yang terbatas atau sistem tertentu, tetapi dengan keterampilan fasilitas yang baik. FRAP adalah metodologi formal yang dikembangkan melalui pemahaman bagaimana sebelumnya dikembangkan oleh proses analisis risiko kualitatif dimodifikasi untuk memenuhi kebutuhan saat ini. Didorong oleh sisi bisnis dari perusahaan dan memastikan bahwa kontrol memungkinkan proses bisnis untuk memenuhi tujuan. Tidak pernah ada diskusi tentang kontrol seperti keamanan
36
atau persyaratan audit. FRAP berfokus pada kebutuhan bisnis dan kurangnya waktu yang dapat dihabiskan untuk tugas-tugas. Dengan melibatkan unit bisnis, FRAP digunakan untuk mengidentifikasi risiko dan ancaman. Sesekali pemilik sumber daya terlibat dalam mengidentifikasi ancaman. M ereka umumnya mengatur dan mencari bantuan dalam menerapkan kontrol biaya yang efektif untuk membantu mengatasi eksposure. FRAP memungkinkan unit-unit usaha untuk mengendalikan sumber daya mereka. Hal ini memungkinkan mereka untuk menentukan apa yang diperlukan untuk menjaga dan siapa yang akan bertanggung jawab untuk melaksanakan pengamanan. Hasil
komprehensif
FRAP
adalah
dokumen
yang
mengidentifikasi ancaman, memprioritaskan ancaman-ancaman dan mengidentifikasi kontrol yang akan
membantu
mengurangi
ancaman-ancaman. Yang palling penting, dengan melibatkan manajer bisnis, FRAP menyediakan klien atau pemilik yang percaya pada action plan.
2.1.17.3 Komponen Utama dalam FRAP M enurut Thomas R. Peltier (2005, p159-160), pendekatan FRAP
(Facilitated
Risk
Analysis
Process) adalah
bentuk
pendekatan analisis risiko kualitatif yang paling banyak digunakan saat ini. FRAP terdiri dari 3 komponen utama, diantaranya: 1.
Pre FRAP Meeting
37
Pre FRAP meeting merupakan kunci sukses dalam suatu proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar 1 – 1,5 jam dan biasanya dilakukan di kantor klien. Ada 6 komponen utama yang muncul dari sesi ini, yaitu: a.
Pre-Screening Result Prescreening merupakan sebuah metode yang akan mengidentifikasi apakah sebuah risk assesment atau business impact analysis, atau keduanya dibutuhkan dalam melakukan manajemen risiko. Dalam tahapan Pre-FRAP Session, application owner, project leader, dan fasilitator akan
mengajukan
pertanyaan-pertanyaan
untuk
menentukan apa saja kebutuhan-kebutuhan yang harus dipenuhi untuk aset tertentu (sesuai dengan objek pembahasan). Pertanyaan-pertanyaan tersebut biasanya membahas tentang tingkat sensitivitas data atau informasi (disclosure), atau tentang tingkat kritis sebuah sistem atau proses bisnis (critically). Dimana dalam menentukan dasar dalam
pengajuan
pertanyaan-pertanyaan,
application
owner akan memilih kategori yang hampir sesuai dengan kualitas aset perusahaan serta kondisi perusahaan saat ini. Kategori berhubungan
pertama dengan
merupakan tingkat
kategori
disclosure,
yang
sedangkan
kategori kedua dilihat dari tingkat critically. Setelah level pada setiap kategori ditentukan, maka application owner
38
akan menyesuaikan pilihannya dengan
matriks dari
kategori prescreening dan menentukan persimpangan dari kedua level tersebut. Dengan demikian dapat dilihat aksiaksi apa yang menjadi rekomendasi selama kegiatan FRAP dilakukan,
dimana aksi-aksi tersebut
harus
melalui
persetujuan dan perintah dari application owner terlebih dahulu. b.
Scope Statement Project leader dan fasilitator membuat pernyataan mengenai peluang-peluang yang ada untuk kemudian ditinjau. Hasilnya kemudian akan dikembangkan dalam bentuk sebuah narasi atau pernyataan tentang apa yang seharusnya di-review dalam proses FRAP ini.
c.
Visual Mode Pembuatan
diagram
proses
(gambaran)
yang
merupakan satu halaman yang berisi tentang tampilan proses yang akan dijalankan, guna meninjau setiap proses atau tahapan yang berjalan. Visual model digunakan selama sesi FRAP untuk memperkenalkan pada tim mengenai di mana proses dimulai dan berakhir. d.
Team Members Selama Pre-FRAP Meeting, project leader dan fasilitator perlu megidentifikasi siapa yang harus menjadi bagian dari FRAP Session. Jumlah peserta yang ideal
39
adalah antara 7 sampai 15 orang. Wakil-wakil dari bidang berikut akan dimasukkan ke dalam proses FRAP : 1.
Functional owner
2.
System user
3.
System administrator
4.
System analysis
5.
System programming
6.
Database administration
7.
Information security
8.
Telecommunications
9.
Network administration
10. Service provider 11. Auditing (jika diperlukan) 12. Legal (jika diperlukan) 13. Human resources (jika diperlukan) 14. Labor relations (jika diperlukan) Tidak ada aturan khusus mengenai siapa yang harus hadir, tetapi agar proses FRAP ini berhasil, application owner dan system user harus menjadi bagian dari FRAP. e.
Meeting Mechanics Dalam proses ini project leader memilih seseorang dari
stafnya
untuk
bertanggung
jawab
terhadap
ketersediaan ruang meeting, menentukan jadwal meeting
40
serta menyiapkan kebutuhan yang diperlukan untuk jalannya meeting. f. Agreement of Definition Dalam sesi pre-FRAP ini dibutuhkan persetujuan terhadap definisi FRAP. Terdapat lima definisi utama yang perlu dipahami oleh para staf sebelum melakukan FRAP, yaitu : •
Threat Kejadian yang berpotensial memiliki dampak negatif terhadap tujuan bisnis atau pernyataan misi dari perusahaan.
•
Control Suatu
ukuran
yang
diambil
untuk
mencegah,
mendeteksi, mengurangi, atau pulih dari risiko untuk melindungi proses bisnis atau misi perusahaan. •
Integrity Informasi seperti yang dimaksudkan/diinginkan, tanpa pengungkapan informasi yang tidak sah atau yang tidak diinginkan.
•
Confidentiality Informasi yang belum mengalami pengungkapan informasi yang tidak sah atau yang tidak diinginkan.
•
Availability
41
Aplikasi, sistem, atau sumber daya informasi bisa diakses saat diperlukan. •
Probability Kemungkinan dimana sebuah peristiwa akan terjadi atau kemungkinan dimana nilai kerugian tertentu dicapai dari kejadian suatu peristiwa. -
High : Sangat mungkin terjadinya ancaman dalam tahun selanjutnya.
-
Medium : M ungkin terjadinya ancaman dalam tahun selanjutnya.
-
Low : Sangat tidak mungkin terjadinya ancaman dalam tahun selanjutnya.
•
Impact Ukuran dari tangible dan intangible effect (akibat) oleh kegiatan satu hal atau entitas atau pengaruh atas yang lain. -
High : Berdampak terhadap seluruh misi atau bisnis perusahaan.
-
Medium : Kerugian dibatasi pada satu unit bisnis atau tujuan.
2.
Low : Bisnis seperti biasanya.
FRAP Session
42
Tahapan FRAP session dibagi menjadi 2 tahapan. Dimana tahap pertama biasa berlangsung sekitar 4 (empat) jam yang akan melakukan pembahasan tentang : -
M engidentifikasi ancaman (threat)
-
M enetapkan tingkatan/level risiko (prioritas risiko)
-
M endokumentasikan kontrol Dimana dalam menentukan tingkat prioritas suatu risiko,
perlu ditentukan matriks dari risiko tersebut, dilihat dari tingkat kerentanannya (vulnerability) dan pengaruhnya terhadap bisnis (business impact). Dalam matriks ini, terdapat beberapa definisi-definisi yang harus dipahami di antaranya adalah: •
High Vulnerability : tingkat kelemahan yang sangat besar yang ada di dalam sistem atau operasional perusahaan dan berpotensi berdampak pada proses bisnis secara signifikan sehingga control harus ditingkatkan.
•
Medium Vulnerability : ada beberapa kelemahan dan berpotensi berdampak pada proses bisnis secara signifikan, kontrol dapat dilakukan dan harus ditingkatkan.
•
Low Vulnerability : sistem sudah dibangun dengan baik dan dioperasikan dengan benar. Tidak ada kontrol tambahan yang dibutuhkan untuk mengurangi kerentanan.
43
•
Severe
Impact
(High)
:
cenderung
menempatkan
perusahaan di luar dari bisnis atau sangat merusak prospek usaha dan pembangunan. •
Significant Impact
(Medium) :
akan
menyebabkan
kerusakan yang signifikan dan biaya, namun perusahaan akan bertahan. •
Minor Impact (Low) : operasional yang diharapkan mampu dikelola sebagai bagian dari business life cycle. Berikut merupakan M atriks Prioritas dalam menganalisa
aksi dan kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada sistem perusahaan.
Vulnerability
Busniness Impact High
Medium
Low
High
A
B
C
Medium
B
B
C
Low
C
C
D
Gambar 2.1 Priority Risk Matrix
44
Keterangan Tabel 2.1 : A – tindakan korektif harus diterapkan B – tindakan perbaikan yang diusulkan C – membutuhkan pemantauan D – tidak ada tindakan yang diperlukan
Setelah tahapan pertama dari FRAP session ini telah selesai, maka tim akan berlanjut melaksanakan tahapan kedua dari FRAP session, yaitu : -
M engidentifikasi kontrol yang ada
-
M enentukan kontrol terhadap risiko high-level (dalam hal ini risiko yang memiliki prioritas A dan B), yang belum memiliki kontrol sebelumnya
-
M emilih kelompok atau orang yang bertanggung jawab untuk mengimplementasikan rekomendasi kontrol yang diusulkan sebelumnya
3.
Post FRAP Meeting Pada tahap ini pertemuan biasanya berlangsung sekitar 10 hari dan memiliki tiga elemen, yaitu: a.
Creation on the Cross-References Sheet M embuat cross-reference sheet berdasarkan tabel risiko dan tabel kontrol untuk mengidentifikasi pengendalian yang cocok dengan risiko yang teridentifikasi.
b.
Creation on the Action Plan
45
Untuk mendapatkan laporan lengkap, project leader dan fasilitator harus membuat action plan (rencana aksi), yaitu dengan menggabungkan risiko dari risk list dengan kontrol yang disarankan
dari
control
list,
dengan
tujuan
mengetahui tindakan apa yang dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana aksi tersebut agar dapat
membantu
perusahaan
dalam
melaksanakan
penerapan kontrol yang diusulkan. c.
Final Report M embuat laporan akhir yang berisi hasil dari FRAP yang telah dilakukan.
2.1.17.4 Tahapan FRAP 1.
The Pre FRAP Meeting a.
M enjelaskan mengenai proses FRAP dan komponen sistem yang akan dianalisis.
b.
M enentukan ruang lingkup
c.
M enggambarkan ruang lingkup dalam bentuk diagram.
d.
M enentukan tim-tim yang akan ikut serta dalam proses FRAP.
e.
M enentukan waktu, ruang dan berbagai kebutuhan lainnya yang dibutuhkan selama meeting berlangsung.
f. 2.
Persetujuan terhadap definisi.
The FRAP Session
46
a.
Logistic : perkenalan anggota FRAP.
b.
Overview pernyataan ruang lingkup (visual model) dan persetujuan definisi.
c.
Proses
Brainstorming
dilakukan
dengan
memberi
kesempatan kepada tiap anggota tim untuk menulis risiko yang mungkin dari sistem yang didiskusikan pada selembar kertas kecil. Setelah 3 sampai 5 menit, fasilitator akan mengumpulkan kertas tersebut dan proses tersebut diulang sampai tidak ada risiko yang dapat teridentifikasi lagi. d.
Kemudian fasilitator akan menyortir dan mengumpulkan risiko yang serupa serta menempelkannya pada papan. Sementara anggota tim lainnya diberi kesempatan untuk break selama 10 sampai 15 menit.
e.
Proses dilanjutkan dengan menentukan prioritas dari risiko yang telah diidentifikasikan berdasarkan kriteria dan juga definisi yang telah disepakatai pada sesi Pre-FRAP Meeting.
f.
Langkah berikutnya yaitu penentuan kontrol, dimulai dari aset yang mempunyai risiko tinggi. Cara yang dilakukan dapat seperti pada cara penentuan risiko (sample priority matrix) atau dengan cara memberikan daftar kontrol pengamanan yang biasa digunakan dalam sistem yang sejenis
dan
meminta
tim
untuk
memilih
kontrol
47
pengamanan yang cocok serta menentukan orang yang berhak atau wajib melakukan kontrol tersebut. 3.
Post FRAP Meeting a.
M embuat cross-references sheet yang berisikan masingmasing kontrol dan risiko-risiko apa saja yang dapat berkurang sebagai akibat dari pelaksanaan kontrol tersebut.
b.
Project leader dan fasilitator akan melihat kontrol mana saja yang sudah diterapkan pada risiko yang ada.
c.
Project leader dan fasilitator akan bertemu dengan manajer bisnis untuk meninjau ulang dan mengidentifikasi kontrol apa saja yang dapat digunakan untuk mengatasi risikorisiko yang masih terbuka.
d.
M embuat action plan untuk risiko-risiko yang masih terbuka dan risiko-risiko yang akan diimplementasikan kontrolnya. Project leader, fasilitator dan manajer bisnis menentukan kontrol apa saja ynag paling efektif dan menentukan
pihak
mana
saja
yang
akan
mengimplementasikan kontrol tersebut beserta dengan tanggal pelaksanaannya. e.
Setelah risiko tersebut telah dikontrol atau ternyata bisnis manajer telah mengidentifikasikan bahwa risiko tersebut dapat diterima maka final report akan dibuat.
48
2.2
Teori-Teori Khusus 2.2.1
Pengertian Absensi Absensi adalah sistem pencatatan yang dilakukan oleh orang tertentu yang bertujuan untuk mengetahui daftar hadir mereka dalam suatu tempat. Pada prinsipnya jenis-jenis absensi bisa digolongkan menjadi 2 bagian, yaitu: a.
Jenis M anual Absensi jenis manual adalah absensi yang sepenuhnya dikerjakan langsung oleh manusia. Absensi manual bisa terdiri dari : 1.
Absensi Harian Yaitu absensi yang dikerjakan setiap hari.
2.
Absensi Bulanan Yaitu absensi yang dikerjakan setiap bulan.
3.
Absensi Tahunan Yaitu absensi yang dilakukan setiap setahun sekali.
b.
Jenis Non M anual (menggunakan alat) Pada era globalisasi seperti sekarang ini dalam membuat absensi kita dapat menggunakan alat bantu elektronik. Jadi absensi non manual adalah absensi yang menggunakan alat bantu elektronik. Adapun penginputan/pengisian data untuk absensi jenis ini dapat berupa : 1.
Id card
2.
Nomor induk per-seorangan
3.
Sidik jari / fingerprint
49
(sumber
:
http://denid3akatel.blogspot.com/2008/04/absensi-
akurat.html)
2.2.1.1
Tujuan Absensi Tujuan absensi adalah untuk meningkatkan kedisiplinan karyawan.
Daftar absensi sangat penting bagi atasan untuk
mengetahuui keadaan bawahannya. Adapun tujuan dari absensi tersebut adalah : a.
Untuk melihat kehadiran karyawan
b.
Untuk meningkatkan kedisiplinan karyawan
c.
Untuk meningkatkan semangat kerja karyawan
d.
Untuk mengetahui keadaan bawahan di hari kerja
e.
Untuk mengetahui apakah bawahan mempunyai semangat kerja dengan melihat kehadiran karyawan di hari kerja
f.
Sebagai bahan laporan kepada bagian kepada atasan tentang karyawan yang disiplin Dengan diterapkannya absensi ini, dengan sendirinya telah
membantu meningkatkan mutu dari instansi itu. Kebanyakan orang menilai adanya penggunaan absensi berarti adanya disiplin pada tempat yang bersangkutan. Selanjutnya orang menilai sistem kerja ditempat tersebut berkualitas baik. Dengan demikian absensi ini juga ikut membantu penilaian yang baik bagi setiap organisasi yang menerapkannya.
50
(sumber
: http://juswita2008.blogspot.com/2008/11/landasan-
teori.html)
2.2.1.2
Hal-Hal Pokok Penyebab dari Absensi Salah satu penyebab dari absen adalah kurangnya disiplin karyawan, yang mana pengertian disiplin adalah : “Disiplin dapat diartikan sebagai suatu sikap, tingkah laku, dan perbuatan yang sesuai dengan peraturan dari perusahaan baik yang tertulis maupun yang tidak tertulis” Alex S. Nitisemito ( 1986 : 149). Dari pengertian disiplin diatas maka penulis menarik suatu kesimpulan bahwa setiap karyawan yang berada di perusahaan harus menaati semua peraturan yang ada dalam perusahaan dimana ia bekerja. Apabila peraturan-peraturan yang ada sudah dapat ditaati oleh para karyawan, maka dapat dikatakan bahwa ada kedisiplinan dalam perusahaan tersebut. Hal-hal yang dapat mempengaruhi tingkat absensi menurut Slamet Wiyadi (1984 : 229), antara lain : 1.
Alpa M asalah
kompensasi,
kurangnya
kedisiplinan,
dan
ketidaksenangan atau bosan dengan lingkungan kerja dapat menyebabkan alpa. 2.
Cuti Cuti
merupakan
diberikan/diiterapkan
hak
dari
perusahaan.
karyawan Jika
yang
karyawan
51
mempunyai kesadaran yang tinggi akan tingkat absensi, maka karyawan biasanya enggan untuk menggunakan hak cutinya. 3.
Izin Karyawan yang sering minta izin tidak hadir perusahaan perlu memperhatikan izin tersebut, karena biasanya izin tersebut disalahgunakan karyawan untuk mencari pekerjaan tambahan diluar perusahaan guna tambahan penghasilan. Izin dapat diberikan perusahaan kepada karyawannya, apabila karyawan tersebut menghadapi masalah ataupun peristiwa yang amat mendesak.
4.
Sakit Sakit dapat terjadi di luar kemauan karyawan. Namun tidak semua alasan sakit dapat diterima, sebab ada kemungkinan karyawan hanya berpura-pura.
2.2.2
Pengertian Lembur Lembur adalah suatu kondisi dimana seseorang bekerja di luar jam kerja normal yang ditetapkan oleh suatu instansi. Definisi lain dari pengertian lembur ialah : -
Pekerjaan yang dilakukan oleh karyawan atau pekerja di lebih dari hari kerja dasar (biasanya 8 jam sehari, 5 hari seminggu) seperti yang di definisikan oleh perusahaan.
-
Waktu lebih dari batas yang ditetapkan.
52
(sumber : http://ilerning.com/index.php?option=com_content&view=article&id=110 8:lembur-edit-mar&catid=47:akuntansi-dasar&Itemid=65) Sehingga dapat disimpulkan bahwa lembur merupakan suatu keadaan dimana seseorang harus melakukan sebuah pekerjaan di luar jam ataupun hari kerja, yang ditetapkan oleh sebuah perusahaan atau organisasi.
2.2.3
Biometrik M enurut M aiwald, (2003, p13), “Biometrics systems are yet another authentication mechanism (something you are) and they too can reduce the risk of someone guessing a password”. Yang diartikan sebagai : sistem biometrik adalah mekanisme otentikasi (sesuatu tentang Anda) yang lain/berbeda dan dapat mengurangi risiko seseorang menebak sebuah kata sandi. Ada banyak jenis scanner biometrik yang dapat digunakan untuk verifikasi, antara lain: • Fingerprints • Retina/iris • Palm prints • Hand geometry • Facial geometry • Suara
53
Setiap metode biasanya memerlukan beberapa jenis perangkat untuk mengidentifikasi karakteristik manusia. Dalam banyak kasus, perangkat ini harus cukup canggih untuk mendeteksi upaya spoofing.
2.2.3.1 Biometrik Sidik Jari (Fingerprint) Sidik jari (fingerprint) merupakan suatu parameter yang dikenal dengan nama biometrik yang dimiliki manusia sebagai tanda pengenal diri yang bisa digunakan sebagai alat kunci (password). (sumber : http://budi.insan.co.id/)
2.2.3.2 Sifat-Sifat Sidik Jari Sistem keamanan menggunakan sidik jari telah terbukti cukup akurat, aman, mudah, dan nyaman untuk dipakai sebagai identifikasi. Hal ini dapat dilihat pada sifat yang dimiliki oleh sidik jari, antara lain: 1.
Perennial nature, yaitu guratan-guratan pada sidik jari yang melekat pada kulit manusia seumur hidup.
2.
Immutability, yaitu sidik jari seseorang tidak pernah berubah, kecuali mendapat kecelakaan yang serius.
3.
Individuality, pola sidik jari adalah unik dan berbeda untuk setiap orang.
54
Dari ketiga sifat ini, sidik jari dapat digunakan sebagai sistem identifikasi yang dapat digunakan dalam aplikasi teknologi informasi.
2.2.3.3 Scan S idik Jari Pengenalan sidik jari, barangkali termasuk yang paling cost effective akan tetapi tetap mempertahankan tingkat keamanan yang tinggi dan kemudahan untuk penggunaannya. Scan sidik jari ke komputer berarti kita men-scan sidik jari kita melalui suatu alat yaitu finger scan agar dapat dibaca oleh program komputer dengan cara menempelkan jari kita ke sensor alat tersebut. Sistem ini meliputi sebuah perangkat keras scanner dan perangkat lunak. M erekam karakteristik sidik jari yang spesifik, menyimpan data tiap-tiap user ke dalam sebuah database, ketika user mencoba lagi menguatkan akses maka perangkat lunak akan membandingkan data yang tersimpan pada database dengan pembacaan sidik jari dari scanner. Sistem sidik jari sangat akurat tetapi dapat dipengaruhi oleh perubahan-perubahan di dalam sidik jari (terbakar, bekas luka dan sebagainya), kotoran dan faktorfaktor lain yang menimbulkan gangguan pada gambar. Teknologi sidik jari (fingerprint scan) dipertimbangkan sebagai salah satu produk biometrik untuk aplikasi dalam sistem jaringan perusahaan. Sistem ini juga banyak dipakai untuk
55
mengontrol akses
dan
membedakan
identitas
di banyak
perkantoran, pabrik, sekolah dan gedung pemerintah dengan sistem keamanan tinggi. Produk ini juga bisa digunakan sebagai sistem hadir yang bisa mencegah penipuan seperti pada sistem kartu.
2.2.3.4 Metodologi Sidik Jari ke Sistem Komputer Feature sidik jari yang digunakan adalah guratan sidik jari yang dapat diidentifikasi dengan cara menganalisa fine details dari guratan-guratan sidik jari yang dinamakan dengan minutiae. Beberapa feature guratan sidik jari dapat dilihat pada gambar dibawah ini.
Gambar 2.2 Feature Guratan S idik Jari Manusia
56
Francis Galton (1822-1916) mengatakan bahwa tidak ada dua sidik jari yang sama, artinya setiap sidik jari yang dimiliki oleh seseorang adalah unik. Berdasarkan klasifikasi, pola sidik jari dapat dinyatakan secara umum ke dalam tiga bentuk yaitu :
Gambar 2.3 Pola Sidik Jari
(sumber
: http://elib.unikom.ac.id/files/disk1/17/jbptunikompp-
gdl-s1-2004-enengiradw-829-BAB+2.pdf)
