Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
PENGEMBANGAN MANAJEMEN RESIKO TEKNOLOGI INFORMASI PADA SISTEM PENERIMAAN PESERTA DIDIK BARU (PPDB ONLINE) KEMDIKBUD MENGGUNAKAN FRAMEWORK NIST SP800-30 Imam Masyhuri1, *, dan Febriliyan Samopa 2) Program Studi Magister Manajemen Teknologi Bidang Keahlian Manajemen Teknologi Informasi Institut Teknologi Sepuluh Nopember e-mail:
[email protected]*) 1,2)
ABSTRAK Sistem Penerimaan Peserta Didik Baru (PPDB Online) dirancang untuk memberikan kemudahan bagi calon siswa yang mendaftarkan diri serta memberikan jaminan proses yang adil, transparansi, dan akuntabel bagi masyarakat luas. Banyaknya penyelenggaraan PPDB Online saat ini cukup menggembirakan bagi kemajuan teknologi informasi, khususnya di dunia pendidikan. Namun masih banyak penyelenggaraan PPDB Online di beberapa daerah yang terjadi kekacauan dalam pelaksanaannya. Salah satu penyebabnya adalah tidak adanya manajemen resiko yang memetakan resiko dan perencanaan mitigasi resiko. Penelitian ini bertujuan mengembangkan dokumen manajemen resiko teknologi informasi PPDB Online menggunakan framework NIST SP800-30. Pemilihan kerangka kerja ini atas dasar penelitian sebelumnya yang menyarankan NIST SP800-30 sebagai kerangka kerja TI untuk negara berkembang. Penelitian diawali dengan proses penilaian resiko: mengidentifikasi karakteristik sistem, faktor ancaman dan kerentanan, menentukan dampak, kecenderungan, dan tingkatan resiko pada sistem PPDB Online. Penentuan resiko disusun berdasarkan: tahap persiapan, tahap pendataan, tahap pelaksanaan, dan tahap pengumuman akhir. Mitigasi resiko terdiri dari penentuan prioritas, evaluasi pengendalian yang direkomendasi, analisa biaya manfaat, menyusun penanggung jawab kegiatan, dan mengembangkan rencana implementasi pengamanan. Hasil penelitian menunjukkan bahwa Semarang memiliki penilaian resiko tertinggi yaitu Tahap persiapan : 10.00 (High Risk) dan Tahap Pengumuman : 15.00 (Extreme Risk). Penilaian resiko dan mitigasinya diwujudkan dalam dokumen manajemen resiko. Kata kunci: PPDB Online, Manajemen Resiko, NIST SP800-30
PENDAHULUAN Era digital dan internet telah membawa perubahan yang sangat berarti dalam hal efisiensi dan efektifitas pendidikan. Salah satunya adalah Penerimaan Siswa Baru Online (PSB Online) atau sekarang disebut Penerimaan Peserta Didik Baru Online (PPDB Online). Sistem PPDB Online ini dirancang sedemikian rupa dengan tujuan memberikan kemudahan bagi calon siswa yang mendaftarkan diri serta memberikan jaminan proses yang adil, transparansi, dan akuntabel bagi masyarakat luas. Banyaknya penyelenggaraan PPDB Online ini cukup menggembirakan bagi kemajuan teknologi informasi, khususnya di dunia pendidikan. Namun sayangnya banyak pula penyelenggaraan PPDB Online ini masih jauh dari tujuan memberikan kemudahan dan kepuasan pada masyarakat. Beberapa daerah masih terjadi kekacauan-kekacauan dalam pelaksanaan PPDB Online tersebut, bahkan ada beberapa
ISBN : 978-602-97491-7-5 C-6-1
Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
daerah yang mengalami kegagalan dalam pelaksanaan proyek PPDB Online tersebut, hingga akhirnya diputuskan untuk kembali menggunakan cara manual. Banyak orang yang belum menyadari resiko kegagalan proyek TI dan mulai melakukan manajemen risiko pada TI untuk mengatasi kegagalan tersebut. Padahal manajemen risiko TI memerlukan perencanaan yang strategis agar penerapannya dapat selaras dengan tujuan bisnisnya. Penelitian Indrajit ( 2006), menjelaskan bahwa keberhasilan implementasi TI terutama di dunia pendidikan ditentukan oleh tingkat kepedulian (awareness) para pemegang kepentingan (stakeholder) terhadap sistem TI itu sendiri. Tingkat kepedulian tersebut di antaranya adalah menerapkan manajemen resiko TI. Implementasi Teknologi Informasi (TI) di suatu perusahaan atau organisasi sebagai basis dalam rangka penciptaan layanan yang berkualitas dan optimalisasi proses bisnis sangatlah beresiko. Penelitian Maulana & Supangkat (2006) menjelaskan tentang timbulnya resiko manakala penerapan TI tidak mampu membantu perusahaan mencapai tujuan bisnisnya. Resiko berupa proses bisnis yang tidak optimal, kerugian finansial, hilangnya reputasi perusahaan/ institusi, bahkan bisa menyebabkan hancurnya bisnis perusahaan tersebut. Menurut penelitian Massingham (2010) serta Puspasari & Nusa (2011), sebuah organisasi dalam melakukan manajemen resiko akan lebih efektif jika menggunakan pendekatan berbasis sebuah kerangka kerja (framework) dibandingkan melakukan pendekatan manual (tanpa kerangka kerja). Penelitian Afifa (2011) menyebutkan bahwa ada beberapa metode atau kerangka kerja (framework) yang bisa dijadikan best practice dalam penerapan manajemen resiko TI. Di antaranya adalah : COBIT (Control Objectives for Information and Related Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), NIST Special Publication 800-30 atau framework manajemen resiko lainnya. Sistem PPDB Online yang diselenggarakan oleh Kemdikbud cukup kompleks karena melibatkan banyak kabupaten/kota, sehingga terjadi banyak aturan terkait sistem PPDB di masing-masing kota yang tidak seragam. Selama ini perencanaan manajemen resiko pada sistem PPDB Online, khususnya di lingkungan Kemdikbud ini belum tertata dengan rapi. Untuk itu perlu dilakukan pengembangan manajemen resiko TI pada sistem PPDB Online. Penelitian ini membahas pengembangan manajemen resiko TI menggunakan salah satu framework yaitu Rekomendasi NIST SP800-30 : Risk Management Guide for Information Technology Systems. Kerangka kerja (framework) NIST SP800-30 ini dijadikan rujukan dalam penyusunan dokumen manajemen resiko karena sesuai dengan Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, yang dikeluarkan oleh Kementerian Komunikasi dan Informatika RI (Kemenkominfo, 2011). Penelitian ini bertujuan untuk mengidentifikasi resiko-resiko yang ada pada sistem PPDB Online Kemdikbud, kemudian melakukan pengembangan dokumen manajemen resiko yang berisi proses penilaian resiko, serta perencanaan mitigasi resiko sesuai standar kerangka kerja NIST SP800-30. METODE Penelitian ini dilakukan pada salah satu penyelenggara sistem PPDB Online, yaitu Pustekkom Kemdikbud. Penelitian mengambil data-data PPDB Online tahun 2012, dimana Pustekkom melayani 9 Kabupaten dan Kota yaitu: Kabupaten Bangli, Kota Banda Aceh, Kota Pekanbaru, Kota Tebing Tinggi, Kota Tangerang Selatan, Kota Batam, Kota Pontianak, Kota Pekalongan dan Kota Semarang. Tahapan penelitian dapat digambarkan sebagai berikut :
ISBN : 978-602-97491-7-5 C-6-2
Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
Pendahuluan: Latar Belakang Rumusan Masalah
Pengumpulan Data: Kajian Pustaka Kajian Lapangan : - Observasi, - Wawancara
Analisa Data: Penilaian Resiko Mitigasi Resiko
Penyusunan Dokumen Manajemen Resiko TI
Gambar 1. Tahapan Penelitian
Selain melakukan pengumpulan data melalui kajian pustaka dan dokumen review, penelitian ini juga mengumpulkan data-data menggunakan teknik wawancara dengan narasumber yang dapat membantu mendapatkan data yang relevan dengan penelitian. Pustekkom selaku pelaksana PPDB Online, pada tahun 2012 bekerja sama dengan perusahaan PT. Cendana Teknika Utama selaku konsultan yang terlibat dalam perancangan, pembuatan dan pendamping pelaksana PPDB Online 2012. Sehingga penelitian ini akan mengambil narasumber dari Staff Pustekkom, maupun Staf yang ditunjuk mewakili PT. Cendana Teknika Utama. HASIL DAN PEMBAHASAN Proses Bisnis PPDB Online Meskipun secara fitur PPDB Online Pustekkom mampu mengakomodir macammacam aturan seleksi, namun secara alur proses bisnis PPDB Online yang disediakan Pustekkom hanya satu jenis alur, yaitu : pendaftaran dilakukan oleh petugas sekolah, bukan dilakukan mandiri oleh calon siswa. Sehingga alur bisnis PPDB Online dapat digambarkan pada gambar 2 sebagai berikut:
Gambar 2 – Tahapan PPDB Online Pustekkom
Karakteristik Sistem Sistem PPDB Online Pustekkom terdiri dari 3 perangkat server, yaitu : Server Pendaftaran (Web + DB), Server Aplikasi Sortir, dan Web Server Pengumuman. Topologi jaringan pada gambar 3 menggambarkan bahwa : a. Petugas dinas dan petugas pendaftaran sekolah melakukan input data pada Server Pendaftaran b. Server Aplikasi Sortir akan melakukan perankingan sesuai dengan ketentuan juknis dan akan membuat halaman statis yang berisi data-data pendaftaran dan hasil seleksi c. Server aplikasi akan melakukan proses unggah (upload) halaman statis tersebut ke server pengumuman
ISBN : 978-602-97491-7-5 C-6-3
Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
d. Masyarakat umum (public) akan melihat proses PPDB Online (pendaftaran, hasil seleksi dan statistic) dengan mengakses server pengumuman tanpa perlu akses langsung ke database.
Gambar 3 – Topologi Jaringan PPDB Online 2012
Identifikasi Resiko Identifikasi resiko dilakukan dengan cara wawancara group / brainstorming menggunakan metode penilaian resiko berdasarkan tujuan masing-masing tahapan (objective based risk identification) dan berdasarkan resiko-resiko yang pernah terjadi (common risk checking). Hasil wawancara group, identifikasi resiko dikelompokkan menjadi 2 : Resiko berdasarkan tahapan proses dan Resiko berdasarkan faktor ancaman. Tabel 1 – Identifikasi resiko berdasarkan tahapan proses PPDB Online Tahapan
Persiapan
Pendataan
Pelaksanaan
Pengumuman
Kejadian Resiko Sosialisasi tidak terlaksana dengan baik Juknis tidak memuat aturan yang lengkap dan jelas Juknis tidak dapat dituangkan dalam aturan bisnis Pelatihan tidak dapat terlaksana dengan baik Kesalahan konfigurasi sistem PPDB Online Modifikasi PPDB Online tidak terlaksana dengan baik Data NUN dan NUAS tidak tersedia / terlambat Data NUN dan NUAS tidak lengkap / terdapat kesalahan Terjadi kesalahan import data NUN / NUAS Terjadi kesalahan input NUN/NUAS oleh petugas dinas pendataan Terjadi kekacauan akibat pelayanan proses pendataan dinas Calon siswa luar kota tidak memenuhi persyaratan pendataan Data Calon siswa tidak ditemukan di basis data / terjadi kesalahan data Terjadi kesalahan pemilihan sekolah oleh calon siswa Terjadi kesalahan input pemilihan sekolah oleh petugas pendaftaran Data Calon siswa dihapus / terhapus oleh petugas pendaftaran Terjadi perubahan pilihan sekolah karena kesengajaan (kecurangan) Terjadi kekacauan pada saat pelaksanaan tes khusus / input hasil tes Pagu sekolah tidak terpenuhi (masih ada sisa pagu) Kasus siswa yang tidak diterima akibat kesalahan data Protes masyarakat akibat hasil yang tidak sesuai
ISBN : 978-602-97491-7-5 C-6-4
No Ref R1-01 R1-02 R1-03 R1-04 R1-05 R1-06 R2-01 R2-02 R2-03 R2-04 R2-05 R2-06 R3-01 R3-02 R3-03 R3-04 R3-05 R3-06 R4-01 R4-02 R4-03
Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
Tabel 2 – Identifikasi resiko berdasarkan faktor ancaman (threats) Faktor Ancaman Alam dan Lingkungan Hukum dan Manajemen
Teknis Manusia Sosial
Kejadian Resiko
No Ref
Gangguan terhadap server secara fisik : kebakaran, gangguan listrik (PLN) Kurangnya koordinasi antar anggota tim Ketidakjelasan kontrak dengan pihak ketiga Hubungan antar lembaga kurang terjalin dengan baik Server tidak merespon (hang) / mati Server tidak mampu menahan beban besar Terjadi akses lambat karena bottle-neck jaringan internet Terjadi percobaan serangan oleh hacker / cracker Protes masyarakat akibat ketidakpuasan PPDB Online
R5-01 R5-02 R5-03 R5-04 R5-05 R5-06 R5-07 R5-08 R5-09
Hasil Penilaian Resiko Analisa resiko dilakukan melalui perhitungan perkalian antara dampak (impact) dan kecenderungan (likelihood). Penentuan kecenderungan ini akan menentukan rating yang menunjukkan kemungkinan potensi kerentanan (vulnerability) dimanfaatkan oleh faktor ancaman (threat) yang terkait. Ada 4 hal yang harus diperhatikan dalam menentukan kecenderungan (likelihood), yaitu : a. Motivasi sumber ancaman b. Kemampuan sumber ancaman c. Sifat kerentanan (vulnerability) sistem d. Keberadaan dan efektifitas pengendalian/control Analisis dampak merupakan langkah untuk menentukan besaran dari resiko yang memberikan dampak negatif terhadap sistem secara keseluruhan. Penilaian atas dampak yang terjadi pada sistem berbeda-beda tergantung pada : - Tujuan sistem TI tersebut dikembangkan - Kondisi sistem dan data yang bersifat kritis (apakah dikategorikan penting atau tidak) - Sistem dan data yang bersifat sensitive Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Pembagian resiko pada tabel 3 dapat dikelompokkan sebagai berikut : 1.00 – 2.99 = Negligible : Hal Sepele dan dapat diabaikan 3.00 – 4.99 = Low Risk: Resiko Rendah 5.00 – 8.99 = Tolerable : Dapat ditoleransi dengan perlakuan 9.00 – 12.99 = High Risk : Membutuhkan perlakuan khusus 13.00 – 25.00 = Extreme Risk : Sangat membahayakan Tabel 3 – Analisa Resiko (Rata-rata) PPDB Online Risk
Bangli
R1 R2 R3 R4 R5
7.00 2.33 3.17 2.33 3.56
Banda Aceh 6.17 4.67 6.00 6.67 5.89
Pekan baru 5.17 5.33 7.50 8.00 5.44
Tebing tinggi 2.33 4.17 4.00 4.67 5.33
Risk Analysis (Average) TangSel Pontianak 3.33 3.50 3.50 5.67 5.78
ISBN : 978-602-97491-7-5 C-6-5
1.67 4.00 5.17 5.67 5.00
Batam
Pekalongan
Semarang
1.67 4.17 4.83 3.00 5.67
5.33 6.00 5.00 10.33 7.44
10.00 1.00 4.33 15.00 7.44
Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
Mitigasi Resiko Mitigasi resiko adalah proses kedua dalam manajemen resiko NIST SP800-30, yang melibatkan penentuan prioritas, evaluasi dan implementasi kontrol / pengendalian yang telah direkomendasikan dari proses penilaian resiko. Upaya menghilangkan resiko secara total adalah hal yang mustahil. Sehingga menurut Stoneburner (2002), mitigasi resiko adalah tanggung jawab dari senior manajemen atau manajer bisnis untuk menggunakan pendekatan berbasis biaya rendah (least-cost approach) dan menerapkan pengendalian yang paling memungkinkan untuk menurunkan resiko sampai pada tingkatan yang dapat diterima (acceptable level). Strategi mitigasi resiko sistem PPDB Online : a. Tahap Persiapan : Sosialisasi kegiatan dan aturan, Pelatihan dan Ujicoba, serta melakukan modifikasi aplikasi sesuai juknis b. Tahap Pendataan : Mempersiapkan data NUN/NUAS dan aplikasi bantu untuk mengimport nya ke database c. Tahap Pelaksanaan : Membuat SOP layanan dan mengoptimalkan fasilitas “Pesan Anda” di website sebagai sarana komunikasi dengan masyarakat d. Tahap Pengumuman : Membuat pusat pengaduan (crisis center) kasus-kasus PPDB KESIMPULAN DAN SARAN Sistem PPDB Online Kemdikbud ini merupakan sistem yang sangat kompleks karena melibatkan banyak kabupaten/kota, sehingga terjadi banyak aturan proses PPDB yang tidak seragam. Hal ini berpotensi menimbulkan resiko yang cukup besar pula. Oleh karena itu perlu adanya manajemen resiko, yang mengatur dan mengelola segala sesuatu terkait dengan kegiatan penilaian resiko, mitigasi resiko dan evaluasi pelaksanaannya. Hasil penelitian mengidentifikasi resiko berdasarkan 2 kelompok : a. Resiko berdasarkan tahapan kegiatan ‐ Tahap Persiapan : 6 kejadian resiko ‐ Tahap Pendataan : 5 kejadian resiko ‐ Tahap Pelaksanaan : 6 kejadian resiko ‐ Tahap Pengumuman : 3 kejadian resiko b. Resiko berdasarkan faktor ancaman ‐ Faktor alam dan lingkungan : 1 kejadian resiko ‐ Faktor hukum dan manajemen : 3 kejadian resiko ‐ Faktor teknis : 3 kejadian resiko ‐ Faktor manusia : 1 kejadian resiko ‐ Faktor sosial : 1 kejadian resiko Kegiatan penilaian resiko sistem PPDB Online menunjukkan bahwa Kota Semarang memiliki penilaian resiko tertinggi yaitu Tahap Persiapan : 10.00 Resiko Tinggi (High Risk) dan Tahap Pengumuman : 15.00 Resiko Sangat Ekstrim (Extreme Risk). Sedangkan Kota Batam memiliki penilaian resiko terendah, yaitu Tahap Persiapan : 1.67 Hampir tanpa resiko/sepele (Negligible) dan Tahap Pengumuman : 3.00 Resiko Rendah (Low Risk). Dokumen manajemen resiko teknologi informasi PPDB Online yang telah disusun menurut kerangka kerja NIST SP800-30, terdiri dari: a. Proses penilaian resiko (Risk Assessment) dengan 9 langkah penilaian resiko b. Proses mitigasi resiko (Risk Mitigation) dengan 6 langkah mitigasi resiko Saran yang dapat diberikan untuk penelitian selanjutnya adalah : dokumen manajemen resiko TI yang dihasilkan dapat dilakukan evaluasi untuk dikembangkan lebih lanjut, terutama dalam hal metode penilaian resiko yang digunakan. Selain itu pemilihan kerangka kerja lain, ISBN : 978-602-97491-7-5 C-6-6
Prosiding Seminar Nasional Manajemen Teknologi XVIII Program Studi MMT-ITS, Surabaya 27 Juli 2013
misal : OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) dapat digunakan peneliti selanjutnya untuk meneliti obyek yang sama, yaitu Sistem PPDB Online. DAFTAR PUSTAKA Afifa, L. N. (2011). Usulan Panduan Pelaksanaan Manajemen Risiko Tata Kelola TIK Nasional. Konferensi Teknologi Informasi dan Komunikasi untuk Indonesia (pp. 368– 372). Bandung. Indrajit, R. E. (2006). Mengukur Tingkat Kematangan Pemanfaatan Teknologi Informasi Untuk Institusi Pendidikan. Konferensi Nasional Teknologi Informasi & Komunikasi untuk Indonesia (pp. 116–120). Bandung, 2006. Kemenkominfo. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik. Massingham, P. (2010). Knowledge risk management: a framework. Journal of Knowledge Management, 14(3), 464–485. doi:10.1108/13673271011050166. Maulana, M. M., & Supangkat, S. H. (2006). Pemodelan Framework Manajemen Resiko Teknologi Informasi untuk Perusahaan di Negara Berkembang. Konferensi Nasional Teknologi Informasi & Komunikasi untuk Indonesia (pp. 121–126). Bandung, 2006. Puspasari, D., & Nusa, R. (2011). Measuring The Implementation of IT Risk Analysis in Commercial Bank Based on Best Practice ( a Case Study ). Recent Researches in Computational Intelligence and Information Security (pp. 174–178). Pustekkom. (2012). Dokumen Teknis Sistem PPDB Online 2012. Kementerian Pendidikan dan Kebudayaan. Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology.
ISBN : 978-602-97491-7-5 C-6-7
