BAB I PENDAHULUAN
I.1
Latar Belakang
Peranan teknologi informasi dalam dunia bisnis mempunyai peranan penting untuk suatu perusahaan dan para manajer bisnisnya. Dalam pengambilan keputusan strategis, teknologi informasi akan mempengaruhi keberlanjutan operasional, yang akan membawa perubahan pada organisasi tersebut. Perusahaan dan para manajernya tidak memiliki cara yang sama dalam menghadapi resiko teknologi informasi. Perbedaan yang pertama, resiko-resiko tersebut tidak secara terbuka dipertimbangkan. Kedua, hanya terdapat sedikit tools atau instruments untuk menangani resiko yang tampak. Ketiga, terdapat proses-proses dalam organisasi yang tidak bereaksi terhadap resiko. [3]. Pada umumnya, mempersiapkan perlindungan terhadap setiap kemungkinan ancaman, merupakan kegiatan yang bersifat tidak ekonomis. Oleh karena itu, suatu program keamanan IT, seharusnya menyediakan suatu proses untuk memperkirakan ancaman dan memutuskan pilihan yang akan diambil, apakah memilih dan mengabaikan suatu ancaman atau memberikan pengurangan terhadap proteksinya. Instalasi ukuran pengendaliannya berdasarkan pada suatu keseimbangan antara cost of control dan kebutuhan untuk mengurangi atau menghilangkan ancaman. Seperti analisis resiko, yang pada dasarnya merupakan suatu pendekatan risk-management, untuk membantu mengidentifikasikan ancaman dan memilih kriteria ukuran keamanan yang menghasilkan cost-effective. [12] Penggunaan suatu tabel centralized data, yang berisi reference data dan teknik estimating, dengan sebagian key variables untuk melakukan determining risks dan kerugiannya, dapat dipakai manajemen dalam perbaikan security. Metode untuk penilaian tangible dan intangible assets, akan membantu dalam mengukur keamanan informasi, dengan melakukan perhitungan dan pengukuran suatu resiko yang menggunakan analisis resiko secara kuantitatif. [1]. Industri layanan jasa postal (postal service, didalamnya termasuk jasa kurir, express delivery, finansial, dan logistik), merupakan salah satu bisnis yang tidak akan pernah 1
kehilangan pemain, bahkan terus tumbuh seiring dengan pertumbuhan ekonomi. Bisnis jasa pengiriman yang dilakukan oleh para pemain di industri jasa pos memang sangat prospektif karena cakupannya yang sangat luas, tidak terbatas pada komoditas tertentu saja. Jasa kurir dan logistik diperlukan untuk mendukung kegiatan sektor industri dan perdagangan, terutama untuk pengiriman dokumen serta barang. Kebutuhan terhadap jasa kurir dan logistik berbanding lurus dengan pertumbuhan industri. Saat ini saja, potensi pasar logistik di Indonesia mencapai 10% dari produk domestik bruto. [14]. Menurut Wakil Ketua Asosiasi Perusahaan Jasa Ekspres Indonesia (Asperindo) Jawa Barat, di Bandung saja rata-rata terjadi pertambahan jumlah operator kurir 5%-10% [15]. Menurut catatan Universal Postal Union (UPU, Organisasi Pos Dunia), angka pertumbuhan volume surat tahun 1995 sampai tahun 2000 di Asia Pasifik rata-rata sebesar 1,4%, sedangkan pertumbuhan antara tahun 2000 sampai tahun 2005 diperkirakan sebesar 4,1% [16]. Dalam hal pasar komunikasi dalam arti surat secara fisik, layanan komunikasi untuk lingkup domestik masih didominasi oleh operator pos milik pemerintah. Tetapi sebaliknya untuk pasar internasional atau lintas negara, layanan komunikasi dalam arti surat fisik saat ini didominasi (70%) oleh operator swasta [17]. Oleh karena itu, kemampuan operator jasa pos milik pemerintah untuk mempertahankan pangsa pasarnya terhadap kondisi persaingan tersebut sangat penting. Perkembangan yang pesat dalam teknologi telekomunikasi dan informasi, komputasi dan elektronika juga telah mengubah peta pasar transaksi komunikasi. Industri pos sangat merasakan imbas dari kemajuan teknologi tersebut. Dampak tersebut dapat dibedakan dalam dua kategori. Kategori pertama yaitu dampak operasi yang terkait dengan pemanfaatan teknologi untuk mendukung operasi dalam rangka mencapai keunggulan bersaing dalam industri. Sedangkan kategori kedua adalah dampak substitusi dimana kemajuan teknologi memunculkan bisnis-bisnis substitusi yang pada akhirnya juga merupakan pesaing industri jasa pos. [18]. Kompleksitas ini muncul bukan semata-mata keragaman bisnisnya, namun juga karena beberapa jenis bisnis yang digeluti memiliki karakteristik yang berbeda. Dalam bidang layanan jasa komunikasi misalnya, PT Pos berhadapan dengan pesaing seperti Titipan Kilat, Pandu Siwi Sentosa dan kurir-kurir lokal lain maupun dengan perusahaan-
2
perusahaan kelas dunia seperti DHL, TNT, FedEx dan UPS, yang telah berhasil memanfaatkan teknologi pelacakan kiriman barang dengan memperhitungkan resiko dari aplikasi pelayanan tersebut. Strategic Business Unit POS Express, selanjutnya disebut SBUPE, merupakan anak perusahaan dari PT. Pos Indonesia, yang memberikan pelayanan dalam bentuk jasa kurir dan logistik. Dalam melakukan pelayanannya, SBUPE menggunakan Barcode untuk identifikasi pada sistem pelacakan dan sebagai media dalam menyimpan data yang berkaitan dengan paket yang dikirimkannya. Pemakaian Barcode untuk track and trace system pada SBUPE, dipergunakan dalam jasa kurir dan logistik. Sehingga fitur-fitur yang terdapat pada Barcode, diadopsi juga dalam pola kerja pada unit tersebut. Sampai saat ini, track and trace system pada SBUPE tidak memiliki instrument untuk melakukan manajemen resiko, yaitu proses yang dilakukan oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan pengeluaran biaya keuangan, dalam mencapai keuntungan dengan melindungi sistem IT dan data yang mendukung misi organisasinya. I.2
Perumusan Masalah
Berdasarkan latar belakang di atas, beberapa permasalahan dapat diidentifikasi, sebagai berikut. •
SBUPE dihadapkan dalam persaingan jasa kurir lokal maupun dengan perusahaan-perusahaan kelas dunia, yang telah berhasil memanfaatkan teknologi pelacakan kiriman barang dengan memperhitungkan resiko dari aplikasi pelayanan jasanya,
•
Hingga saat ini, track and trace system pada SBUPE tidak memiliki instrument untuk melakukan manajemen resiko teknologi informasi, yaitu proses yang dilakukan oleh para manajer IT untuk menyeimbangkan kegiatan operasional dan pengeluaran biaya keuangan, dalam mencapai keuntungan dengan melindungi sistem IT dan data yang mendukung misi organisasinya.
3
I.3
Tujuan
Dari uraian di atas, maka secara umum tujuan penelitian ini adalah merancang suatu instrument pengukuran risk assessment sebagai rekomendasi strategi manajemen resiko pada track and trace system SBUPE. Adapun tujuan khusus yang ditargetkan pada penelitian ini adalah: •
Melakukan pengukuran dan perhitungan risk assessment secara kualitatif serta kuantitatif, berdasarkan tangible dan intangible assets pada aplikasi track and trace system SBUPE untuk alur proses pengiriman paket pos, berupa template untuk menganalisis resiko,
•
Menghasilkan suatu sajian rekomendasi berupa template untuk manajemen SBUPE melakukan tinjauan analisis resiko,
•
Berdasarkan aktivitas risk assesement dan rancangan template penilaian resiko, maka didapatkan posisi atau kuadran untuk rekomendasi strategi manajemen resiko suatu risk mitigation yang mengarah pada incident handling.
I.4
Batasan Masalah
Pada laporan tesis ini, permasalahannya dibatasi menjadi beberapa hal, sebagai berikut. •
Pembahasan difokuskan pada analisis resiko dengan metode kualitatif dan kuantitatif.
•
Hasil dari tesis ini adalah tools/instrument untuk risk-management pada SBUPE.
•
Lokasi yang dijadikan studi kasus adalah track and trace system di SBUPE untuk jasa pengiriman paket.
•
Pada proses manajemen resiko teknologi informasi, untuk proses evaluation and assessment tidak dilakukan.
•
Dalam laporan ini, untuk tahap pengujian rancangannya disajikan dalam suatu saran langkah-langkah yang akan dilakukan untuk melakukan audit, berdasarkan suatu metodologi standar dari CobiT.
4
I.5
Metodologi Penelitian
Secara garis besar, langkah kegiatan yang dilakukan pada penelitian ini dapat dilihat pada Gambar I.1. Langkah penelitian tersebut dibuat sebagai kerangka alur berpikir dalam melakukan penelitian agar pelaksanaannya menjadi sistematis, jelas, dan terarah. 1. Perumusan Masalah dan Tujuan Penelitian Penerapan sistem pelacakan kiriman suatu item, merupakan proses yang terjadi pada salah satu usaha jasa kurir unit bisnis logistik, yang sangat berperan antara unit bisnis tersebut dan pelanggan dalam kaitannya pada Customer Relationship. Pemakaian Barcode pada SBUPE dipergunakan dalam jasa kurir untuk pengiriman suatu barang. Sehingga fitur-fitur yang terdapat pada Barcode juga dipakai dalam pola kerja unit tersebut. Dari situasi-situasi tersebut di atas, timbul suatu gagasan untuk melakukan penelitian dalam merancang suatu instrument pengukuran risk assessment sebagai rekomendasi strategi manajemen resiko pada track and trace system SBUPE. 2. Studi Pustaka dan Studi Lapangan Pada tahapan ini dilakukan penyesuaian antara konsep dan kasus-kasus yang terjadi di SBUPE. Dalam studi pustaka, didapatkan suatu konsep, teori, serta model yang mendukung masalah penelitian, sehingga dapat menghasilkan suatu kesimpulan untuk penerapan teoritisnya. Konsep NIST, COBIT, dan OCTAVE merupakan referensi yang dijadikan pembanding di dalam memahami proses manajemen resiko. Sedangkan pada studi lapangan dilakukan untuk mendapatkan situasi dan informasi terkini mengenai objek yang diteliti, sehingga dapat ditentukan variabel-variabel dalam tahapan proses penelitian selanjutnya. 3. Manajemen Resiko Teknologi Informasi Pada tahap ini, diterapkan metodologi risk assessment yang terdiri dari: analisis karakteristik dari sistem IT, melakukan identifikasi ancaman, melakukan identifikasi kelemahan, menganalisis pengendalian, penentuan kecenderungan/kemungkinan, analisis dampak yang kurang baik dapat dilakukan secara kualitatif maupun kuantitatif,
menentukan tingkatan resiko, melakukan rekomendasi pengendalian
mengurangi resiko, dan membuat dokumentasi hasil berupa laporan.
5
Setelah melakukan risk assesement, langkah berikutnya adalah menerapkan metodologi risk mitigation yang terdiri dari: prioritas tindakan untuk suatu resiko, rekomendasi pengendalian dalam proses penilaian resiko, analisis pengendalian costeffective, pemilihan pengendalian cost-effective, menempatkan individu yang bertanggung jawab untuk menerapkan pengendalian, mengembangkan rencana implementasi untuk safeguard, dan pengendalian implementasi yang dipilih. Langkah berikutnya merupakan proses yang dilakukan untuk melakukan evaluasi mengenai pendekatan dalam menerapkan manajemen resiko, kemudian dilakukan kembali penilaian resiko unuk memastikan keberadaan resiko. Pada langkah evaluation and assessment belum dapat dilakukan, dikarenakan harus mencoba menerapkan rancangan manajemen resiko pada sistem yang dianalisis terlebih dahulu. Walaupun demikian, pada tesisi ini secara umum disajikan rancangan rekomendasi strategi manajemen resiko, dengan saran pengujian rancangan menggunakan suatu metodologi audit dari CobiT. 4. Perancangan Instrumental Berdasarkan kerangka berpikir yang ditulis, hasil akhirnya berupa rancangan suatu instrument pengukuran risk assessment sebagai rekomendasi strategi manajemen resiko pada track and trace system SBUPE. 5. Pengujian rancangan Instrumental Pada laporan ini, untuk tahap pengujiannya disajikan saran langkah-langkah yang akan dilakukan untuk melakukan audit berdasarkan suatu metodologi standar dari CobitT (Control Objectives for Information and related Technology).
6
Melakukan kombinasi antara studi literatur dan studi lapangan
KONSEP
MANAJEMEN RESIKO TEKNOLOGI INFORMASI
Risk Mitigation
Studi Lapangan
Evaluation And Assessment
Studi Literatur
Perancangan Instrumental Suatu Skenario untuk Risk Mitigation di SBUPE
Saran Pengujian Rancangan
OUTPUT
Risk Assessment
Perumusan Masalah Dan Tujuan Penelitian
• NIST SP 800-30 • COBIT P09 • OCTAVE
SBUPE
Gambar I.1 Kerangka Berpikir
I.6
Sistematika Penulisan
BAB I
PENDAHULUAN Pembahasannya meliputi latar belakang, perumusan masalah, tujuan, batasan masalah, metodologi penelitian, dan sistematika penulisan
BAB II
TINJAUAN PUSTAKA Konsep yang dipelajari meliputi manajemen resiko yang terdiri dari Risk Assesment,
mitigation,
dan
evaluation.
Untuk
analisis
resiko
dan
perhitungannya meliputi prosedur analisis secara kuantitatif (sebelumnya dilakukan juga analisis kualitatif) dan beberapa formula perhitungan, seperti EF, SLE, ARO, dan ALE. BAB III
ANALISIS STUDI KASUS SBUPE Pada bab ini diuraikan mengenai profile SBUPE, identifikasi asset yang ada pada organisasi dengan pembahasan IT Service dan komponennya. Pada bisnis proses untuk unit ini, dimodelkan dengan menggunakan Context Diagram dan Data Flow Diagram.
7
BAB IV
ANALISIS MANAJEMEN RESIKO TEKNOLOGI INFORMASI Analisis yang dilakukan mencakup pengelompokkan asset yang terkait secara operasional pada proses track and trace system. Metode yang digunakan untuk analisis resiko, menggunakan kualitatif dan kuantitatif dengan prosedur seperti yang dijelaskan pada studi pustaka.
BAB V
STRATEGI MITIGASI RESIKO Menghasilkan suatu sajian rekomendasi berupa template untuk manajemen SBUPE melakukan tinjauan analisis resiko. Berdasarkan aktivitas risk assesement dan rancangan template penilaian resiko, maka didapatkan posisi atau letak pada rancangan matrik untuk rekomendasi strategi manajemen resiko suatu risk mitigation yang mengarah pada incident handling. Untuk pengujian rancangannya berupa saran yang akan dilakukan dalam audit berdasarkan suatu metodologi standar.
BAB VI
KESIMPULAN Pada bab ini berisikan kesimpulan dari rancangan instrument yang dibuat serta saran untuk pengembangan dan implementasi yang dilakukan pada SBUPE.
8
