Sabtu, 17 Juni 2017

Review

MANAJEMEN RESIKO TEKNOLOGI INFORMASI I UNTUK KEBERLANGSUNGAN LAYANAN PUBLIK MENGGUNAKAN FRAMEWORK INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY (ITIL VERSI 3)

Irfan Maliki
Jurusan Teknik Informatika, Fakultas Teknik dan Ilmu Komputer, Universitas Komputer Indonesia
Jl. Dipatiukur no 112-116 Bandung 40132
Telp. (022) 2533825
E-mail: irfanmaliki007@gmail.com


1.        Pendahuluan
Kemajuan teknologi informasi dan komunikasi (TIK) serta meluasnya perkembangan infrastruktur informasi global telah mengubah pola dan cara beraktivitas pada organisasi, institusi, industri, maupun pemerintahan. Fakta semakin meningkatnya ketergantungan organisasi kepada TI untuk mencapai tujuan strategi dan kebutuhan organisasi menjadi pendorong utama pentingnya TIK. Ketergantungan tersebut menyebabkan tumbuhnya kebutuhan akan layanan TI berkualitas tinggi yang mengikuti kebutuhan organisasi dan user yang sesuai dengan perkembangannya. Layanan TI berkualitas tinggi berarti meningkatkan efisiensi dan efektivitas penggunaan TI untuk memenuhi kebutuhan organisasi. Begitupula pemanfaatan TIK di pemerintahan.
Kegiatan pelayanan publik tidak dapat terhindar dari adanya gangguan/kerusakan yang disebabkan oleh alam maupun manusia misalnya terjadinya gempa bumi, bom, kebakaran, banjir, power failure, kesalahan teknis, kelalaian manusia, demo buruh, huru-hara dan sebagainya. Kerusakan yang terjadi tidak hanya berdampak pada kemampuan teknologi yang digunakan, tetapi juga berdampak pada kegiatan operasional pelayanan publik. Bila tidak ditangani secara khusus, selain akan menghadapi risiko operasional, juga akan mempengaruhi risiko reputasi dan berdampak pada menurunnya tingkat kepercayaan publik. Oleh sebab itu perlu dilakukan pengelolaan terhadap risiko risiko sehingga dapat mereduksi resiko yang mungkin muncul.
Information Technology Infrastructure Library (ITIL) sebagai suatu kerangka kerja manajemen layanan TI dapat digunakan sebagai panduan dalam menyusun langkah-langkah operasional tersebut. Dengan kerangka kerja ITIL diharapkan resiko resiko yang mungkin terjadi dapat diminimalisasi serta dapat dilakukan mitigasi resiko dalam upaya menjaga keberlangsungan layanan TI.




2.        Manajemen resiko TI
Manajemen resiko TI merupakan proses identifikasi resiko, penilaian resiko, dan pengambilan langkah-langkah untuk menurunkan resiko sampai level yang dapat diterima (Stoneburner, 2002).
Sedangkan menurut IT governance, IT Audit dan IT Security (dalam Spremic, 2008), manajemen resiko TI adalah proses untuk memahami dan memberikan respon terhadap faktor-faktor yang dapat menyebakan kegagalan dalam autentikasi, non-repudiation, kerahasiaan, integritas atau ketersediaan dari sistem informasi.

2.1    Perencanaan Manajemen Resiko TI
Menurut Spremic (2008) untuk keberhasilan dalam menjaga segala sesuatu yang dapat menyebabkan permasalahan, setiap organisasi harus membangun metode dan teknik untuk mengendalikan insiden-insiden yang terjadi pada TI dan untuk mengidentifikasi resiko yang mungkin terjadi. Terdapat tahapan-tahapan penting dalam perencanaan manajemen resiko TI :
1.      Identifikasi dan klasifikasi resiko TI,
2.      Penilaian resiko TI (Business Impact Analysis) dan menentukan prioritas,
3.      Strategi penanggulangan resiko TI – identifikasi pengendalian TI,
4.      Implementasi dan dokumentasi dari penanggulangan resiko (pengendalian TI),
5.      Pendekatan portofolio resiko TI dan keselarasan dengan strategi bisnis,
6.      Pengawasan berkala terhadap tingkat resiko TI dan audit.

2.2    Kerangka Kerja Manajemen Resiko TI
Management of Risk (M_o_R) merupakan metodologi standar yang dapat digunakan untuk manajemen resiko TI serta menilai resiko di organisasi (OGC, 2007). Pada gambar 1 merupakan kerangka kerja M_o_R.
Gambar 1. Framework Management of Risk
Berikut ini merupakan penjelasan dari gambar di  atas:
·         Prinsip M_o_R – prinsip-prinsip tersebut merupakan esensi dalam pengembangan praktik manajemen resiko yang baik dan diturunkan dari prinsip-prinsip tatakelola perusahaan (corporate governance).
·         Pendekatan M_o_R – pendekatan organisasi untuk prinsip-prinsip tersebut dibutuhkan untuk mendefinisikan dan persetujuan dalam dokumen berikut:
a.       Kebijakan manajemen resiko
b.      Panduan proses
c.       Perencanaan
d.      Registrasi resiko
e.       Permasalahan log
·         Proses M_o_R – berikut ini menjelaskan empat tahapan aktivitas dalam manajemen resiko:
a.       Identifikasi – ancaman dan peluang dalam aktivitas yang dapat mempengaruhi kemampuan dalam mencapai tujuan
b.      Menilai – pemahaman net effect dari identifikasi ancaman dan peluang aktivitas yang dilakukan.
c.       Merencanakan – mempersiapkan tanggapan manajemen secara spesifik yang dapat mengurangi ancaman dan memaksimalkan peluang.
d.      Implementasi – penerapan rencana manajemen resiko, mengawasi efektivitas dan mengambil langkah yang diperlukan dalam menanggulangi ekspektasi yang tidak sesuai.
·         Embedding dan reviewing M_o_R – diperlukan review keberlanjutan dan peningkatan bahwa hal tersebut masih baik untuk digunakan Komunikasi – diperlukan aktivitas komunikasi yang tepat dalam menjamin bahwa setiap orang tetap up to date dengan perubahan dalam ancaman, peluang dan seluruh aspek manajemen resiko.
Resiko
Ancaman
Kerusakan internal sistem/jaringan TI PABX, ACD, dll.
Kebakaran, listrik padam, vandalisme, kebanjiran, tabrakan pesawat, cuaca buruk, angin topan, bencana alam, ancaman teroris, sabotase, kerusakan tidak sengaja, software kualitas rendah
Kerusakan eksternal sistem/jaringan IT, seperti server ecommerce, sistem kriptografi, dll.
Semua yang diatas, permintaan yang berlebihan untuk layanan-layanan, Denial of service attack (DOS), kesalahan teknis.
Kehilangan data
Kesalahan tekniks, kesalahan manusia, virus, serangan, trojan, malicious program
Kehilangan layanan jaringan
Kerusakan atau kegagalan akses ke penyedia layanan jaringan, kerugian dari sistem/jaringan penyedia layanan TI, kerugian dari penyedia layanan data, kegagalan dari penyedia layanan
Ketidaktersediaan staf teknik dan pendukung
Aksi pemogokan, pelanggaran perjanjian kerja, pengunduran diri, sakit/cedera, kesulitan transportasi
Kegagalan dari penyedia layanan, contohnya
Kegagalan komersil, pelanggaran perjanjian, staf penyedia layanan yang tidak tersedia, kegagalan memenuhi
outsourcing TI.
SLA
Tabel 1. Resiko dan Ancaman pada layanan TI
2.3    Information Technology Service Continuity Management  (ITSCM)
ITSCM merupakan salah satu proses area dari service design ITIL versi 3. Tujuan dari ITSCM adalah untuk mendukung seluruh proses manajemen keberlangsungan bisnis dengan memastikan bahwa kebutuhan teknis TI dan fasilitas layanan dapat kembali beroperasi dan sesuai dengan timescale bisnis. Sasaran dari ITSCM diantaranya adalah untuk :
a.       Memelihara rencana-rencana berkelanjutan layanan TI (IT service continuity plans) dan rencana-rencana pemulihan TI yang mendukung kelanjutan bisnis
b.      Melengkapi exercise business impact analysis (BIA) secara teratur untuk menjamin seluruh rencana-rencana berkelanjutan dikelola agar selaras dengan dampak perubahan dan kebutuhan bisnis
c.       Menyediakan panduan dan saran untuk seluruh area bisnis dan TI yang berkaitan dengan kelanjutan dan pemulihan
d.      Memastikan mekanisme yang tepat untuk kelanjutan dan pemulihan agar sesuai dengan tujuan kelanjutan bisnis
e.       Menilai dan dampak perubahan pada rencana rencana kelanjutan layanan TI dan rencana rencana pemulihan TI
f.       Memastikan bahwa ketersediaan layanan diimplementasikan sesuai dengan anggaran yang ditetapkan

3.        Implementasi
3.1    Tahap Inisialisasi
Pada tahap ini dilakukan aktivitas-aktivitas sebagai berikut:
a.       Penentuan kebijakan – hal ini harus dibangun dan dikomunikasikan sehingga semua orang yang ada di organisasi dapat terlibat. Dalam kebijakan ini ditentukan sasaran serta fokus dari manajemen. Peran dari pimpinan sangat menentukan keberhasilan dari kegiatan yang dilaksanakan.
b.      Lingkup – pada tahap ini ditentukan lingkup serta tanggungjawab dari setiap staf yang ada diorganisasi. Kewenangan dan tanggungjawab dari setiap staf disesuaikan dengan kemampuan dan kapabilitas yang dimilikinya, agar mendukung terhadap setiap kegiatan yang akan dilaksanakan.
c.       Alokasi Sumberdaya – keberlangsungan dari bisnis membutuhkan sumberdaya diantaranya uang dan sumberdaya manusia. Hal ini sangat penting untuk mendukung kelangsungan dari proses. Penentuan alokasi sumberdaya dengan tepat dapat mengefisiensikan kinerja yang dilakukan.
d.      Struktur pengendali dan Organisasi Proyek – kegiatan yang dilakukan perlu diorganisir dan dikendalikan dengan baik, karena kegiatan yang bersifat kompleks sehingga perlu dilakukan langkah-langkah sistematis dan terkendali.
e.       Perencanaan dan Proyek yang berkualitas – perencanaan yang baik dapat menjamin keberhasilan pencapaian kualitas kegiatan. Setiap kegiatan yang akan dilaksanakan perlu direncanakan dengan matang agar hasil yang diperoleh dapat dimaksimalkan serta meminimalisasi resiko-resiko yang terjadi.

3.2    Tahap Kebutuhan dan Strategi
3.2.1        Analisis Resiko
Pada tahap ini menilai level resiko dan membuat ranking resiko dengan mempertimbangkan faktor kecenderungan (likelihood) dan besarnya dampak resiko (impact). Pada proses penilaian ini memanfaatkan kerangka kerja Management of Risk (M_o_R). Pendekatan analisa resiko dapat secara kualitatif atau kuantitatif. Level kecenderungan dan dampak dapat dikategorikan sesuai variasi yang ada, misalnya menjadi tinggi, sedang dan rendah. Pada tabel 2 dapat dilihat hasil dari analisis resiko yang telah dilakukan.
3.2.2        Strategi Keberlangsungan Layanan TI
Setelah mengetahui resiko-resiko yang terjadi serta prioritas yang harus dilakukan dari hasil analisis resiko maka dapat dirancang strategi-strategi untuk keberlangsungan layanan TI. Pada tabel 3 dapat diperlihatkan strategi-strategi yang dapat dilakukan dalam rangka keberlangsungan layanan TI.
Sumber Resiko
Resiko
Kecenderungan
(likelihood)
Dampak
Tingkat resiko
Prioritas
Sumber resiko alami
Software,hardware,dan data dalam sistem TI dirusak atau tidak berfungsi karena bencana alam misal banjir, gempa, kebakaran,dan lain-lain
Rendah
Sangat tinggi
tinggi
7
Sumber resiko
manusia
Kesalahan operasional
Tinggi
Sedang
tinggi
4
Intended attack
Sedang
Tinggi
tinggi
6
Akses tidak terautorisasi
Sedang
Tinggi
tinggi
6
Infeksi virus komputer
Tinggi
Sangat tinggi
Sangat tinggi
2
Sumber resiko
lingkungan
Kegagalan jaringan
Rendah
Tinggi
Sedang
8
Kegagalan power
Sedang
Sangat tinggi
tinggi
5
polusi
Rendah
Sedang
rendah
9
Spesifik sistem
Analisa historis log; data dari penyedia sistem mengenai insiden yang terjadi untuk pengguna lain dari sistem yang sama
Tergantung pada pengguna
Resiko yang terkait
dengan proses bisnis
Kesalahan memilih penyedia sistem
Rendah
Sangat tinggi
tinggi
7
Dukungan yang tidak cukup dari penyedia sistem
Tinggi
Sedang
tinggi
4
Backup yang tidak cukup
Tinggi
Tinggi
tinggi
3
Analisis dan record log yang tidak lengkap
Tinggi
Tinggi
tinggi
3
Tidak terlatih
Sedang
Tinggi
tinggi
6
Komunikasi antara departemen TI dan departemen lain
Sangat tinggi
Tinggi
Sangat tinggi
1
Tabel 2. Analisis Resiko Layanan TI
3.2.3        Strategi Keberlangsungan Layanan TI
Setelah mengetahui resiko-resiko yang terjadi serta prioritas yang harus dilakukan dari hasil analisis resiko maka dapat dirancang strategi-strategi untuk keberlangsungan layanan TI. Pada tabel 3 dapat diperlihatkan strategi-strategi yang dapat dilakukan dalam rangka keberlangsungan layanan TI.
Sumber Resiko
Resiko
Strategi Keberlangsungan Layanan TI
Sumber resiko alami
Software,hardware,dan data dalam sistem TI dirusak atau tidak berfungsi karena bencana alam misal banjir, gempa, kebakaran,dan lain-lain
Membuat sistem backup
Back up data secara berkala
Sumber resiko
manusia
Kesalahan operasional
Pelatihan yang cukup, peningkatan tanggungjawab staf,
pemahaman penggunaan sistem
Intended attack
Pengecekan titik-titik yang bisa diserang, dan perbaiki.
Menggunakan enkripsi data pada database atau data transfer
Akses tidak terautorisasi
Gunakan metode pengecekan yang lebih aman, misal password
dinamis, pengecekan pengguna, menghapus pengguna yang tidak
berhak mengakses data
Infeksi virus komputer
Sediakan antivirus dan lakukan update database antivirus.
Lakukan restorasi dan backup data
Sumber resiko
lingkungan
Kegagalan jaringan
Gunakan sistem jaringan duplikat, konfigurasi secara automatis
Kegagalan power
Gunakan lebih dari satu power supply
polusi
Lakukan backup sistem. Pengendalian sistem secara remote
Spesifik sistem
Analisa historis log; data dari penyedia sistem mengenai insiden yang terjadi untuk pengguna lain dari sistem yang sama
Pelajari dari pengguna lain untuk sistem yang sama. Analisa
hasil pengujian sistem
Resiko yang terkait
dengan proses bisnis
Kesalahan memilih penyedia sistem
Gunakan penyedia proses yang tepat, cari penyedia yang
kompetitif
Dukungan yang tidak cukup dari penyedia sistem
Buat SLA untuk seluruh sistem yang penting dan jaga kualitas
layanan
Backup yang tidak cukup
Backup regulasi secara berkala
Analisis dan record log yang tidak lengkap
Buat regulasi log secara berkala dan laporkan
Tidak terlatih
Buat program pelatihan sistem untuk staf terkait
Komunikasi antara departemen TI dan departemen lain
Buat hubungan yang baik antar departemen.
Tabel 3 Strategi Keberlangsungan Layanan TI
4.      Penutup
Keberlangsungan layanan pada pelayanan publik merupakan salah satu hal yang perlu ditata kelola agar penyelenggaran pelayanan dapat terselenggara dengan baik sehingga masyarakat dan pengguna dapat terlayani sesuai dengan kebutuhannya. Manajemen resiko TI dan merencanakan strategi strategi dalam keberlangsungan layanan TI harus dilakukan secara sistematis dan latihan yang terus menerus untuk meningkatkan dan memperbaiki proses layanan TI. Keberhasilan dari proses ini tentunya harus didukung oleh semua pihak agar tujuan yang diharapkan dapat terlaksana dengan baik.

Referensi
Maliki, Irfan. "Manajemen Resiko Teknologi Informasi untuk Keberlangsungan Layanan Publik menggunakan Framework Information Technology Infrastucture Library (ITIL Versi 3)." Universitas Komputer Indonesia: Bandung (2010).
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)