IT Governance 41 b. Beragam Kebutuhan Pemangku Kepentingan Pemangku kepentingan yang berbeda di dalam sebuah organisasi mungkin memiliki kebutuhan dan prioritas yang bervariasi. Menyeimbangkan perspektif yang beragam ini saat merumuskan kebijakan yang memenuhi tujuan keseluruhan organisasi merupakan sebuah tantangan. c. Ancaman Keamanan Siber Sifat yang terus berkembang dari ancaman keamanan siber memerlukan adaptasi terus-menerus dari kebijakan IT. Tetap berada di depan risiko potensial dan mengatasi tantangan baru dalam lanskap keamanan digital merupakan tantangan yang berkelanjutan. d. Kepatuhan terhadap Regulasi Memenuhi persyaratan hukum dan regulasi merupakan tantangan, terutama di industri dengan standar kepatuhan yang ketat. Memastikan bahwa kebijakan IT sejalan dengan regulasi ini penting namun bisa menjadi kompleks. e. Resistensi dan Kesadaran Pengguna Implementasi kebijakan IT baru mungkin dihadapi resistensi dari pengguna yang mungkin merasa perubahan tersebut merepotkan. Memastikan kesadaran dan kerjasama pengguna merupakan tantangan dalam menegakkan kepatuhan kebijakan. f. Keterbatasan Sumber Daya Sumber daya yang terbatas, baik dalam hal anggaran maupun personel, dapat menghambat pengembangan, implementasi, dan pemantauan kebijakan IT yang komprehensif. Mengatasi tantangan-tantangan ini memerlukan pendekatan strategis dan adaptif dalam perumusan
42 IT Governance kebijakan IT, melibatkan kerjasama antar berbagai departemen dan pemantauan terus-menerus terhadap lanskap teknologi dan regulasi. 3. Ancaman Keamanan Ancaman keamanan dalam kebijakan IT mengacu pada potensi risiko dan gangguan yang dapat mengancam integritas, kerahasiaan, dan ketersediaan data serta sistem informasi dalam suatu organisasi. Berikut penjelasan terkait ancaman keamanan yang sering dihadapi dalam konteks kebijakan IT: a. Malware: Malware (malicious software) adalah program perangkat lunak yang dibuat dengan niat jahat untuk merusak, mengakses data tanpa izin, atau mengganggu kinerja sistem. Kerugian data, penurunan kinerja sistem, dan potensi kebocoran informasi sensitif. b. Serangan Phishing Serangan phishing melibatkan upaya memperoleh informasi rahasia seperti kata sandi atau data pribadi dengan menyamar sebagai entitas tepercaya melalui email atau situs web palsu. Pencurian identitas, akses ilegal ke akun, dan potensi kerugian finansial. c. Serangan Ransomware Ransomware adalah jenis malware yang mengenkripsi data pada sistem dan meminta tebusan untuk mendapatkan kunci dekripsi. Kehilangan akses ke data, kerugian finansial, dan gangguan operasional. d. Serangan DDoS (Distributed Denial of Service): Serangan DDoS melibatkan upaya untuk membanjiri layanan atau sumber daya dengan lalu lintas internet
IT Governance 43 yang sangat besar, membuatnya tidak dapat diakses oleh pengguna yang sah. e. Serangan Insider Threat: nsider threat melibatkan ancaman yang berasal dari dalam organisasi, baik disengaja maupun tidak disengaja, seperti tindakan pegawai yang membocorkan informasi rahasia. Pencurian data, pelanggaran kebijakan keamanan, dan risiko kehilangan kepercayaan. B. Kebijakan IT 1. Pembentukan TIM Kebijakan IT Pembentukan TIM Kebijakan IT merujuk pada proses merangkai sekelompok individu dalam sebuah organisasi dengan tujuan khusus untuk mengembangkan, menerapkan, dan mengawasi kebijakan Teknologi Informasi (IT). Tim ini bertanggung jawab untuk membuat pedoman, aturan, dan protokol yang mengatur penggunaan, manajemen, dan keamanan sumber daya IT. Pembentukan TIM Kebijakan IT umumnya melibatkan pemilihan individu dengan keahlian dalam berbagai aspek teknologi informasi, keamanan, kepatuhan, dan tata kelola organisasi. Tim bekerja sama untuk mendefinisikan dan menyusun kebijakan yang sejalan dengan tujuan organisasi, standar industri, dan persyaratan hukum. 2. Keamanan Data Keamanan Siber telah menjadi topik yang populer dalam dunia akademis dan literatur. Keamanan siber merupakan aplikasi dari sistem dan program untuk melindungi data pengguna yang disimpan dalam suatu
44 IT Governance database. Di era yang didominasi oleh kemajuan digital dan sistem yang saling terhubung, pentingnya langkahlangkah keamanan data yang kokoh tidak dapat diabaikan. Organisasi, baik besar maupun kecil, berjuang dengan tantangan melindungi informasi sensitif di tengah ancaman siber yang terus berkembang. Artikel ini membahas aspek-aspek kritis keamanan data, menjelajahi lanskap saat ini, tren yang muncul, dan strategi proaktif untuk memperkuat aset digital. Pelanggaran data telah menjadi kenyataan yang tidak diinginkan, dengan insiden-insiden berprofil tinggi membuat berita di seluruh dunia. Dampak dari pelanggaran data meluas melampaui kerugian keuangan, mencakup kerusakan reputasi, konsekuensi hukum, dan pengikisan kepercayaan pelanggan. Organisasi harus mengadopsi pendekatan holistik terhadap keamanan data untuk mengurangi risiko ini secara efektif. Komponen Kunci Keamanan Data: a. Enkripsi: Implementasi protokol enkripsi yang kokoh adalah pijakan keamanan data. Enkripsi memastikan bahwa bahkan jika akses tanpa izin terjadi, data tetap tidak terbaca tanpa kunci dekripsi yang tepat. b. Kontrol Akses: Membatasi akses ke data sensitif sangat penting. Kontrol akses berbasis peran dan otentikasi multifaktor menambahkan lapisan keamanan, mengurangi risiko akses tanpa izin. c. Audit dan Pemantauan Berkala: Pemantauan terusmenerus terhadap aktivitas jaringan dan audit keamanan yang rutin penting untuk mendeteksi anomali dan potensi pelanggaran keamanan dengan cepat.
IT Governance 45 3. Manajemen Akses Access Management, atau Manajemen Akses, merujuk pada proses mengelola dan mengendalikan hak akses pengguna terhadap sistem, aplikasi, dan sumber daya informasi dalam suatu organisasi. Tujuannya adalah untuk memastikan bahwa setiap individu atau entitas hanya memiliki hak akses yang sesuai dengan tanggung jawab dan tugas mereka, sehingga melibatkan pemberian, pemeliharaan, dan pencabutan hak akses sesuai kebutuhan. Adapun manfaat dari manajemen akses adalah untuk memastikan keamanan,kepatuhan, Efisiensi Operasional, Perlindungan data. Manajemen Akses menjadi unsur kunci dalam strategi keamanan informasi modern, membantu organisasi untuk tetap aman dan efisien dalam lingkungan teknologi yang terus berkembang. Komponen Utama dari Manajemen Akses: a. Identifikasi: Proses memberikan identitas unik kepada setiap pengguna atau entitas yang akan diakses oleh sistem. Identifikasi dapat dilakukan melalui penggunaan username, nomor identifikasi, atau elemen unik lainnya. b. Autentikasi: Langkah yang memverifikasi identitas pengguna. Ini melibatkan penggunaan kata sandi, token, atau metode autentikasi lainnya untuk memastikan bahwa individu yang mencoba mengakses sistem adalah orang yang sebenarnya. c. Manajemen Hak Akses: Pemeliharaan dan pengelolaan hak akses selama siklus hidup pengguna. Ini melibatkan penambahan hak akses
46 IT Governance baru, pembaruan hak akses yang ada, dan pencabutan hak akses saat diperlukan.. C. Infrastruktur TI 1. Pembaruan Perangkat Lunak dan Hardware Pembaruan perangkat lunak dan hardware adalah praktik yang penting dalam dunia teknologi informasi untuk memastikan keamanan, kinerja optimal, dan peningkatan fitur dari perangkat lunak dan perangkat keras yang digunakan dalam suatu sistem. Berikut adalah poin-poin penting terkait pembaruan perangkat lunak dan hardware: a. Keamanan: Pembaruan perangkat lunak dan perangkat keras sering kali mencakup perbaikan keamanan untuk menutup celah atau kerentanan yang dapat dieksploitasi oleh pihak yang tidak sah. Ketersediaan pembaruan keamanan secara teratur adalah kunci untuk melindungi sistem dari ancaman siber. b. Peningkatan Kinerja: Pembaruan perangkat lunak dapat membawa perbaikan kinerja, optimalisasi, dan efisiensi. Pengembang sering merilis versi perangkat lunak baru yang dioptimalkan untuk bekerja lebih baik pada berbagai perangkat keras atau sistem operasi terbaru. Terkait perangkat keras dapat megganti komponen hardware, seperti prosesor, kartu grafis, atau memori, dapat meningkatkan kinerja keseluruhan sistem. Ini terutama relevan untuk aplikasi atau tugas yang membutuhkan daya komputasi tinggi.
IT Governance 47 c. Peningkatan Fungsionalitas: Pembaruan dapat menyertakan penambahan fitur baru atau perbaikan pada fungsionalitas yang sudah ada. Ini memastikan bahwa pengguna dapat mendapatkan manfaat dari inovasi terbaru yang ditawarkan oleh pengembang. d. Dukungan untuk Teknologi Baru: Pembaruan hardware memungkinkan integrasi teknologi terbaru. Ini dapat melibatkan penggunaan koneksi baru, protokol komunikasi, atau standar terkini yang memungkinkan perangkat keras berinteraksi dengan teknologi baru yang muncul. e. Ketahanan dan Reliabilitas: Pembaruan hardware dapat membawa perangkat keras yang lebih andal dan tahan lama. Komponen yang lebih baru mungkin memiliki tingkat kegagalan yang lebih rendah dan mampu menangani beban kerja yang lebih berat f. Konfigurasi Keamanan Konfigurasi keamanan merujuk pada serangkaian langkah dan aturan yang diatur pada suatu sistem atau perangkat lunak untuk melindungi informasi dan sumber daya dari ancaman keamanan. Berikut adalah beberapa poin penting terkait konfigurasi keamanan: 1) Identifikasi Risiko Identifikasi potensi risiko keamanan yang dapat mempengaruhi sistem atau perangkat lunak. Analisis risiko untuk menilai dampak dan kemungkinan terjadinya risiko tertentu. 2) Keamanan Jaringan Konfigurasi firewall untuk mengontrol lalu lintas jaringan dan mencegah akses yang tidak sah.
48 IT Governance Pengaturan keamanan pada router dan switch untuk melindungi jaringan. 3) Sistem Operasi Update dan patch sistem operasi secara teratur untuk menutup kerentanan keamanan yang diketahui. Konfigurasi kontrol akses pengguna dengan prinsip kebutuhan dan seperlunya (least privilege). 4) Aplikasi dan Perangkat Lunak Pembaruan perangkat lunak dan aplikasi untuk memperbaiki kelemahan keamanan yang telah diketahui. Penonaktifan fitur atau layanan yang tidak diperlukan untuk mengurangi permukaan serangan. 5) Enkripsi Mengkonfigurasi enkripsi data untuk melindungi informasi yang dikirim melalui jaringan atau disimpan dalam sistem. Penggunaan protokol enkripsi seperti HTTPS untuk lalu lintas web yang aman g. Kontrol Akses Penetapan hak akses berdasarkan prinsip kebutuhan dan seperlunya.Implementasi otentikasi multifaktor untuk meningkatkan lapisan keamanan.
IT Governance 49 MANAJEMEN RISIKO TI ab ini mempelajari tentang konsep dasar risiko teknologi informasi (TI), pemahaman tentang manajemen risiko TI, dan kerangka kerja yang dapat digunakan dalam pengelolaan risiko TI. Pada bab ini, diharapkan dapat memberikan pengetahuan secara menyeluruh tentang manajemen risiko TI yang merupakan bagian dari tata kelola TI. A. Konsep Dasar Risiko TI Berdasarkan ISO 27000:2018, risiko merupakan dampak dari ketidakpastian terhadap tujuan. Dampak sendiri merupakan suatu penyimpangan yang dapat bersifat negatif B
50 IT Governance dan positif. Sementara itu, ketidakpastian merupakan keadaan, dimana kurangnya informasi atau pengetahuan yang berkaitan dengan suatu peristiwa, konsekuensi, dan kemungkinan terjadinya peristiwa tersebut (ISO/IEC 27000, 2018). Dalam konteks teknologi informasi, risiko TI dapat dinyatakan sebagai dampak ketidakpastian pada tujuan aset teknologi informasi, seperti keberlangsungan fungsi aset TI dan keamanan informasi. Risiko TI dikaitkan dengan potensi ancaman yang mengeksploitasi kerentanan aset organisasi, terutama pada teknologi informasi, dengan demikian menyebabkan kerugian pada organisasi. 2. Aset Organisasi Aset organisasi adalah sesuatu yang berharga dan penting untuk dikelola dengan baik. Pengelolaan aset dapat mempengaruhi keberhasilan organisasi. Aset organisasi dapat terdiri dari: 1) aset fisik (misalnya, perangkat keras, fasilitas komunikasi, gedung), 2) informasi/data (misalnya dokumen, database), 3) perangkat lunak, 4) kemampuan untuk menyediakan produk atau layanan, 5) orang, dan aset tidak berwujud (misalnya, niat baik, citra). Aset organisasi tidak terlepas dari kerentanan terhadap berbagai ancaman, oleh karena itu diperlukan upaya perlindungan aset. Perlindungan aset dapat dilakukan melalui penilaian risiko pada aset dengan menilai kerentanan, ancaman, dan dampak, sehingga mendapatkan langkah untuk melindungi aset tersebut dari gangguan atau permasalahan, yang dapat mengganggu berjalannya proses bisnis organisasi (IS/ISO/IEC 13335, 2004).
IT Governance 51 3. Ancaman Aset organisasi rentan terhadap berbagai ancaman. Ancaman tersebut dapat menyebabkan kerugian terhadap organisasi (IS/ISO/IEC 13335, 2004). Misalnya, ada ancaman berupa serangan terhadap informasi pada sebuah sistem, yang mengakibatkan informasi dimodifikasi oleh orang yang tidak berwenang, informasi hilang, tidak tersedia, sehingga proses bisnis organisasi akan terganggu atau terhenti. Ancaman dapat berasal dari lingkungan atau manusia, dan dapat disengaja atau tidak disengaja. Contoh berbagai ancaman pada aset dapat dilihat pada Tabel 5.1. Tabel 1. Ancaman pada Aset Manusia Lingkungan Modifikasi informasi Gempa bumi Peretasan sistem Banjir Pencurian Kebakaran Kesalahan dan kelalaian Petir Penghapusan berkas Proses yang salah Kecelakaan fisik Ancaman dapat berasal dari dalam atau luar organisasi. Ancaman dari dalam misalnya, tindakan penyalahgunaan data oleh karyawan, adanya human eror, sedangkan, ancaman dari luar dapat berupa peretasan sistem, pencurian data. Adapun ancaman lain, yang berasal dari lingkungan, seperti kerusakan bangunan karena banjir dan kebakaran. Ancaman dapat menghentikan proses bisnis sementara atau permanen,
52 IT Governance seperti musnahnya suatu aset teknologi informasi. Ancaman dapat berdampak pada lebih dari satu aset organsasi, sehingga perlu dilakukan identifikasi dan penilaian. Ancaman dapat dikategorikan menjadi tinggi, sedang, dan rendah, bergantung pada hasil penilaian ancaman. 4. Kerentanan Ancaman dapat mengeksploitasi kerentanan untuk menimbulkan kerugian pada tujuan bisnis. Kerentanan dapat diartikan sebagai kelemahan suatu aset, atau sekelompok aset yang apabila ancaman terjadi, maka aset tersebut dapat terganggu atau rusak (IS/ISO/IEC 13335, 2004). Kerentanan yang terkait dengan aset mencakup kelemahan dalam tata letak fisik, organisasi, prosedur, personel, manajemen, administrasi, perangkat keras, perangkat lunak, atau informasi. Contoh kerentanan adalah kurangnya kontrol akses, yang memungkinkan terjadinya ancaman gangguan dan hilangnya aset. Semua kerentanan pada aset harus dipantau untuk mengidentifikasi kerentanan yang terkena ancaman baru atau ancaman yang muncul kembali. 5. Dampak Dampak adalah akibat dari insiden keamanan informasi, yang disebabkan oleh suatu ancaman, yang mempengaruhi aset dan berdampak pada bisnis sebuah organisasi. Contoh dari dampak adalah musnahnya aset tertentu dan rusaknya sistem teknologi informasi dan komunikasi, dan terganggunya kerahasiaan (confidentality), integritas (integrity), ketersediaan (availability) aset. Selain itu, organisasi juga dapat
IT Governance 53 mengalami kerugian secara finansial, dan hilangnya pangsa pasar atau citra perusahaan. Dalam menilai dampak, perlu menilai upaya pencegahan atau pengendalian yang telah dilakukan oleh organisasi. Selain itu, perlu memperhitungkan tingkat kemungkinan terjadinya insiden untuk menentukan tingkat bahaya dari sebuah dampak. Penilaian dampak merupakan elemen penting dalam penilaian risiko dan pemilihan upaya perlindungan untuk risiko tersebut (IS/ISO/IEC 13335, 2004), (ISO/IEC 27001, 2005). 6. Risiko TI Risiko adalah potensi ancaman tertentu yang akan mengeksploitasi kerentanan suatu aset atau sekelompok aset. Menurut Risk IT Framework, risiko TI berkaitan dengan penggunaan, kepemilikan, pengoperasian, keterlibatan, pengaruh, dan penerapan TI dalam suatu perusahaan, yang berpotensi berdampak pada bisnis (ISACA, 2020). Risiko TI dapat terjadi dengan frekuensi dan besaran yang tidak pasti, dan hal ini menimbulkan tantangan dalam mencapai tujuan dan sasaran strategis. Risiko TI tidak terbatas hanya pada keamanan informasi. Risiko TI dapat mencakup: a. Risiko nilai/keuntungan penggunaan TI (IT benefit/value enablement risk) – contoh: tidak mendapatkan manfaat dari TI baik secara efisiensi maupun efektifitas, arsitektur TI yang tidak fleksibel. b. Risiko pelaksanaan program dan proyek (IT programme and project delivery risk) – contoh: keterlambatan suatu proyek, proyek tidak relevan, proyek tidak berkualitas, biaya proyek yang berlebih (over budget)
54 IT Governance c. Risiko operasional dan pengiriman layanan teknologi informasi (IT operations and service delivery risk) – contoh: masalah keamanan, masalah kepatuhan, gangguan pada layanan TI. Risiko TI akan selalu muncul, baik terdeteksi oleh suatu perusahaan atau tidak dan tidak pernah sepenuhnya hilang. Dengan demikian, penting untuk mengidentifikasi dan mengelola potensi masalah risiko TI. B. Manajemen Risiko TI Manajemen risiko adalah aktivitas terkoordinasi untuk mengarahkan dan mengendalikan organisasi sehubungan dengan risiko (ISO/IEC 27001, 2005), (Institute of Risk Management, 2018). Sedangkan, menurut NIST, manajemen risiko adalah proses mengidentifikasi risiko, menilai risiko, dan mengambil langkah-langkah untuk mengurangi risiko ke tingkat yang dapat diterima (Stoneburner, Goguen and Feringa, 2015). Penerapan praktik manajemen risiko TI yang efektif akan memberikan manfaat bisnis yang nyata, misalnya, lebih sedikit kegagalan operasional, peningkatan kualitas informasi, dan meningkatnya kepercayaan pemangku kepentingan. Manajemen risiko yang efektif menjadi bagian penting dari tata kelola organisasi di semua tingkatan dan harus menjadi bagian integral dari seluruh aktivitas organisasi untuk mendukung pengambilan keputusan dalam mencapai tujuan. Selain itu, manajemen risiko harus bersifat dinamis terhadap perubahan risiko yang terjadi harus terus ditingkatkan (continual improvement) melalui pembelajaran dan pengalaman (ISACA, 2020), (ISO 31000, 2018). Ada
IT Governance 55 beberapa kerangka kerja alternatif yang dapat digunakan dalam proses manajemen risiko TI, antara lain: IT Risk Framework, COSO ERM, NIST, ISO 31000, ISO 27001, COBIT. Berdasarkan beberapa kerangka kerja tersebut, secara garis besar dapat disimpulkan bahwa proses manajemen risiko TI dapat mencakup: 1) menentukan konteks, 2) identifikasi risiko, 3) analisis / penilaian risiko, 4) perlakuan/ tindakan terhadap risiko, 5) reporting dan komunikasi. Sebenarnya, belum ada kerangka kerja yang komprehensif untuk pengelolaan manajemen risiko TI, sehingga dalam praktiknya, perlu menggabungkan dua atau lebih kerangka kerja yang tentunya sesuai dengan konteks organisasi. Pada bab ini akan lebih fokus menjelaskan kerangka kerja Risk IT Framework. 1. Risk IT Framework Risk IT framework merupakan suatu kerangka kerja yang digunakan untuk mengelola seluruh risiko yang berkaitan dengan teknologi informasi dan komunikasi. Kerangka kerja memiliki prinsip melayani pemangku kepentingan dengan meningkatkan nilai bisnis melalui tata kelola perusahaan yang efektif. Risk IT Framework memungkinkan praktisi untuk mengidentifikasi dan mengatasi risiko TI secara luas, di seluruh departemen organisasi, mengintegrasikan pengelolaan risiko TI, keamanan informasi, dan risiko siber ke dalam keseluruhan proses manajemen risiko, memfasilitasi pengambilan keputusan yang komprehensif, holistik, dan sadar risiko di tingkat organisasi, memandu respon ketika risiko TI melebihi toleransi (ISACA, 2020). Dalam penerapannya, perusahaan perlu menyesuaikan komponen-komponen yang disediakan dalam
56 IT Governance kerangka kerja IT Risk agar sesuai dengan konteks organisasi mereka. Model proses manajemen risiko pada risk TI framework dikelompokkan menjadi 4 domain, yaitu: Risk Governance, Risk Management, Risk Assessment, Risk Response (ISACA, 2020). 2. Risk Governance Ada beberapa komponen penting dari domain tata kelola risiko, antara lain: risk appetite and risk tolerance, risk capacity, stakeholder manajemen risiko TI, dan budaya risiko. Risk appetite (selera risiko) adalah jumlah risiko yang siap diterima oleh perusahaan dalam mencapai tujuannya. Selera risiko berbeda-beda di setiap perusahaan, tidak ada norma atau standar mutlak mengenai risiko yang dapat diterima dan tidak dapat diterima. Namun, selera risiko dapat didefinisikan, dipahami, dan dikomunikasikan dengan baik, serta disesuaikan dengan budaya perusahaan. Contoh dari selera risiko adalah ‚perusahaan tidak akan menerima risiko ketidakpatuhan,‛ atau ‚organisasi tidak akan menerima risiko penipuan‛. Risk tolerance (toleransi risiko) mencerminkan kisaran penyimpangan yang dapat diterima dari tingkat yang ditetapkan oleh selera risiko dan tujuan bisnis, misalnya, standar mengharuskan proyek diselesaikan sesuai perkiraan anggaran, namun terjadi pembengkakan 10 % anggaran dan masih dapat ditoleransi. Risk capacity (kapasitas risiko) dapat didefinisikan sebagai besaran obyektif atau jumlah kerugian yang dapat ditoleransi oleh suatu perusahaan tanpa membahayakan kelangsungan bisnisnya. Situasi bisnis relatif berkelanjutan, apabila risiko yang terjadi melebihi
IT Governance 57 selera risiko, namun lebih rendah dari kapasitas risiko. Sementara itu, apabila risiko yang terjadi melebihi kapasitas risiko dan lebih rendah dari selera risiko, maka dapat diartikan bahwa situasi bisnis tidak berkelanjutan. Penugasan tanggung jawab dan akuntabilitas manajemen risiko I&T sangat bervariasi, tergantung pada industri dan jenis perusahaan. Misalnya, di sebuah intansi yang berfokus pada penyampaian layanan TI, untuk manajemen risiko keamanan informasi, yang bertanggung jawab adalah chief information security officer (CISO), sedangkan akuntabilitas berada pada chief information officer (CIO) atau kepala petugas digital. Budaya sadar risiko mendorong diskusi terbuka mengenai risiko, dan tingkat risiko yang dapat diterima dipahami dan dipertahankan. Budaya sadar risiko dimulai dari tingkat atas, dengan anggota dewan dan eksekutif bisnis yang menentukan arah, mengomunikasikan pengambilan keputusan yang sadar risiko, dan menghargai perilaku manajemen risiko yang efektif. Kesadaran akan risiko juga menyiratkan bahwa semua tingkatan dalam suatu perusahaan memahami bagaimana dan mengapa perusahaan merespons kejadian buruk terkait TI. 3. Risk Management Pada domain risk management, menjelaskan bahwa dalam melakukan proses manajemen risiko TI, organisasi perlu mendefinisikan konteks organisasi mereka. Pendefinisian konteks disesuaikan dengan misi, tujuan, dan strategi organisasi. Konteks organisasi meliputi penentuan ruang lingkup penilaian risiko dan penetapan kriteria yang menjadi dasar penilaian atau
58 IT Governance evaluasi risiko yang teridentifikasi. Selain itu, dalam proses manajemen risiko, organisasi perlu mengikuti alur kerja yang sistematis untuk mendukung proses manajemen risiko yang efektif dan efisien. Alur kerja sistematis manajemen risiko TI dapat meliputi: a. Penetapan konteks b. Identifikasi dan penilaian risiko c. Analisis risiko dan evaluasi dampak bisnis d. Respon risiko e. Pelaporan risiko dan komunikasi. 4. Risk Assessment Komponen penting dalam proses penilaian risiko, meliputi risk identification (identifikasi risiko), risk analysis (analisis risiko), business impact evaluation (evaluasi dampak bisnis), I&T-related risk scenarios (skenario risiko TI). Risk identification merupakan proses untuk menemukan, menggali dan mendeskripsikan risiko berdasarkan sumberdaya, peristiwa yang berpotensi menghambat, mencegah, menurunkan, meningkatkan dan mempercepat pencapain tujuan. Hasil dari tahap identifikasi risiko ini adalah berupa daftar risiko yang komprehensif. Tahap identifikasi risiko merupakan tahapan yang sangat penting dilakukan, karena merupakan tahapan awal dalam proses penilaian risiko. Identifikasi risiko dapat dilakukan melalui wawancara, survei, brainstorming atau lokakarya. Risk analysis merupakan proses yang digunakan untuk memperkirakan frekuensi dan besarnya risiko, mengidentifikasi dan evaluasi risiko, analisis potensi dampak terhadap perusahaan, dan kemungkinan
IT Governance 59 (probabilitas) terjadinya risiko. Proses analisis risiko juga mencakup pemberian peringkat atau prioritisasi risiko yang teridentifikasi sesuai dengan ambang batas risiko yang ditentukan, mengelompokkan jenis risiko untuk mitigasi, dan mendokumentasikan pengendalian yang ada untuk melakukan mitigasi. Manajemen risiko yang efektif memerlukan pemahaman bersama antara TI dan bisnis mengenai risiko mana yang perlu dikelola. Semua pemangku kepentingan harus mampu memahami dan mengevaluasi kegagalan, kesalahan, atau peristiwa terkait TI dapat berdampak pada bisnis tujuan perusahaan dan mengakibatkan kerugian finansial, hilangnya data atau informasi. Dalam proses manajemen risiko, perlu mengembangkan skenario risiko TI. Skenario dapat digunakan selama proses analisis risiko. Terdapat 2 mekanisme skenario, yaitu 1) pendekatan top-down, yang dimulai dengan mengidentifikasi strategi, misi, dan tujuan organisasi, yang selanjutnya melakukan identifikasi dan mengembangkan skenario yang berdampak pada tujuan organisasi; 2) pendekatan bottom-up, yang dimulai dengan identifikasi aset, sistem, atau aplikasi yang dianggap penting bagi perusahaan, selanjutnya melakukan penilaian ancaman dan kerentanan. Skenario risiko yang telah dikembangkan perlu dilakukan dengan baik, sehingga menghasilkan daftar item risiko yang relevan dan diprioritaskan berdasarkan dampak bisnis organisasi. 5. Risk Awareness, Reporting and Communication Organisasi harus memiliki kesadaran terhadap adanya ketidakpastian atau risiko. Risiko terkait TI akan
60 IT Governance selalu ada, tidak dapat dihindari maupun dihilangkan, sehingga organisasi perlu mengidentifikasi, memahami risiko, dan mengelola risiko melalui penerapan sumber daya yang sesuai. Pelaporan dan komunikasi merupakan hal yang penting dalam pengambilan keputusan untuk menangani risiko yang terjadi. Adanya pelaporan dan komunikasi akan menciptakan transparansi kepada seluruh pemangku kepentingan mengenai potensi tingkat eksposur risiko dan proses manajemen risiko. Pelaporan manajemen risiko dapat meliputi: data kejadian atau kerugian, analisis akar penyebab peristiwa kerugian dan opsi mitigasi. 6. Risk Response Respon risiko yang tepat akan membantu organisasi dalam mengelola risiko secara efisien dengan fokus pada risiko yang paling potensial berdampak pada tujuan. Terdapat 4 (empat) pilihan respon risiko, antara lain: a. Risk avoidance (penghindaran risiko) b. Risk mitigation (mitigasi risiko) c. Risk sharing or transfer (pembagian atau transfer risiko) d. Risk acceptance (penerimaan risiko) Risk avoidance merupakan respon yang dilakukan oleh organisasi dengan cara keluar dari aktivitas atau kondisi yang menimbulkan risiko. Penghindaran risiko dilakukan karena mungkin pihak manajemen menganggap bahwa risiko tersebut tidak dapat diterima, tidak dapat dibagi atau dialihkan. Contoh penghindaran risiko TI yang dilakukan adalah merelokasi pusat data jauh dari
IT Governance 61 wilayah yang berpotensi terkena bahaya alam atau menolak terlibat dalam proyek yang sangat besar. Risk mitigation merupakan respon mengurangi frekuensi dan dampak dari suatu risiko yang merugikan. Organisasi yang melakukan mitigasi risiko, berarti telah menanamkan kesadaran risiko dan telah memperkuat praktik manajemen risiko, serta memiliki bentuk pengendalian untuk mengurangi frekuensi dan dampak risiko. Risk sharing or transfer merupakan respon risiko dengan cara membagi atau megalihkan sebagian risiko kepada penyedia pihak ketiga. Tujuan dari pengalihan risiko ini adalah memanfaatkan keterampilan pihak lain dalam mengelola risiko, sehingga dapat mengurangi kerugian organisasi. Risk acceptance merupakan tindakan mengambil risiko yang terjadi dan bersedia menerima kerugian dari dampak risiko tersebut. Misalnya, risiko bencana alam, seperti banjir dan kebakaran. Risk IT Framework didasarkan pada serangkaian prinsip panduan untuk pengelolaan risiko TI yang efektif, dan melengkapi kerangka kerja COBIT. COBIT sendiri merupakan sebuah kerangka kerja komprehensif untuk tata kelola dan pengelolaan solusi dan layanan TI yang digerakkan oleh bisnis. Pada COBIT, terdapat domain yang dapat digunakan mengelola risiko TI, yaitu EDM03 ensured risk optimization dan APO12 managed risk. Kedua domain tersebut perlu dilengkapi dengan risk IT framework.
62 IT Governance PENGUKURAN DAN PELAPORAN KINERJA IT engukuran dan pelaporan kinerja IT merupakan bagian penting dari tata kelola IT. Pengukuran kinerja TI merujuk pada proses mengidentifikasi, mengumpulkan, menganalisis, dan melaporkan data terkait kinerja sistem, infrastruktur, dan layanan TI. Pelaporan kinerja TI melibatkan penyampaian informasi hasil pengukuran kepada pemangku kepentingan terkait. Keduanya merupakan elemen kunci dalam menerapkan praktik tata kelola yang efektif. Pengukuran kinerja TI adalah tindakan pengukuran yang dilakukan terhadap berbagai aktivitas dalam rantai nilai yang ada pada perusahaan. Pengukuran kinerja TI bertujuan untuk mengevaluasi seberapa baik TI mendukung pencapaian tujuan bisnis, mengidentifikasi area perbaikan, dan memberikan umpan P
IT Governance 63 balik kepada pemangku kepentingan. Pelaporan kinerja TI adalah bentuk akuntabilitas dari pelaksanaan tugas dan fungsi yang dipercayakan kepada setiap instansi pemerintah atas penggunaan anggaran. Pelaporan kinerja TI bertujuan untuk memberikan informasi yang transparan, akurat, dan tepat waktu tentang kinerja TI kepada pihak internal dan eksternal. Manfaat pengukuran dan pelaporan kinerja TI meliputi pemantauan kesehatan TI, identifikasi potensi perbaikan, mendukung pengambilan keputusan strategis, dan meningkatkan akuntabilitas dan transparansi. A. Proses Pengukuran & Pelaporan Kinerja TI 1. Identifikasi Kebutuhan Pengukuran Kinerja TI Langkah pertama melibatkan identifikasi tujuan strategis organisasi dan menentukan metrik yang relevan untuk mengukur kontribusi TI terhadap tujuan tersebut. Pada tahap ini diidentifikasi tujuan bisnis perusahaan dan pastikan bahwa setiap inisiatif TI terkait langsung dengan tujuan bisnis organisasi. Selain itu juga dilakukan identifikasi proses TI yang ada dan yang diperlukan untuk mencapai tujuan bisnis organisasi 2. Pemilihan Indikator Kinerja Pemilihan indikator kinerja melibatkan pemahaman mendalam tentang apa yang penting bagi organisasi dan bagaimana TI dapat memberikan nilai tambah dalam konteks itu. Dalam pemilihan indikator kinerja, fokus pada bagaimana TI mendukung pencapaian tujuan bisnis yang telah ditetapkan pada langkah sebelumnya. Gunakan kerangka kerja yang sesuai, seperti Balanced
64 IT Governance Scorecard, COBIT, atau ITIL, untuk membantu dalam identifikasi tujuan bisnis, proses TI, dan KPI. Kerangka kerja tersebut juga dapat membantu dalam pemilihan indikator kinerja TI. Stakeholder juga sebaiknya dilibatkan agar dapat memberikan masukan tentang indikator yang paling penting untuk mencapai tujuan bisnis. 3. Pengumpulan dan Analisis Data Kinerja TI Proses ini mencakup pengumpulan data dari berbagai sumber, analisis data tersebut, dan penentuan apakah kinerja TI sesuai dengan target yang telah ditetapkan. Pada tahap ini dilakukan pengukuran kinerja berdasarkan indikator yang telah ditetapkan. Data yang dikumpulkan dapat berupa data terpadu seperti data triwulanan ke berbagai lembaga untuk mengumpulkan informasi yang berkaitan dengan inisiatif di seluruh departemen yang mendukung penggunaan TI yang efisien dan efektif(Gottschalk, 2011). 4. Pelaporan dan Visualisasi Hasil Laporan kinerja TI harus disajikan dengan cara yang jelas dan mudah dimengerti oleh pemangku kepentingan. Buat laporan kinerja TI yang mencakup hasil pengukuran kinerja dan rekomendasi perbaikan. Visualisasi data, seperti grafik dan grafik, dapat digunakan untuk meningkatkan pemahaman. Pantau kinerja TI secara teratur untuk memastikan bahwa perbaikan yang dilakukan efektif dan efisien.
IT Governance 65 Gambar 1. Contoh Laporan Kinerja TI (Agency Analytics Tools, 2017) B. Framework Pengukuran Kinerja TI Framework pengukuran kinerja TI adalah kumpulan prinsip, konsep, dan praktik terbaik yang digunakan untuk membantu perusahaan dalam mengembangkan dan mengelola model pengukuran kinerja TI. Framework pengukuran kinerja TI dapat bersifat generik (misalnya, KPI, Balanced Scorecard, ITIL, COBIT) atau spesifik (misalnya, IT Performance Measurement Framework, IT Performance Management Maturity Model)(Grembergen, 2011). 1. Key Performance Indicators (KPI) KPI adalah indikator kritis yang digunakan untuk mengukur kinerja suatu aspek tertentu dalam konteks TI. KPI membantu menentukan pencapaian strategis, keuangan, dan operasional perusahaan. KPI harus
66 IT Governance SMART (Spesifik, Measurable, Achievable, Relevant, dan Time-bound) dan disesuaikan dengan kebutuhan dan sasaran masing-masing organisasi(Podgórski, 2015). Contoh KPI yaitu waktu respons sistem, tingkat ketersediaan layanan, dan tingkat kepuasan pengguna. 2. Balanced Scorecard (BSC) BSC adalah metode pengukuran hasil kerja yang digunakan untuk mengukur dan mengelola kinerja suatu organisasi dengan pendekatan yang seimbang. BSC dirancang untuk memberikan pandangan yang komprehensif tentang kinerja organisasi, melampaui fokus tradisional hanya pada aspek keuangan. Cara kerja BSC melibatkan mengidentifikasi pertanyaan kunci yang perlu dijawabkan untuk mencapai tujuan bisnis, mengembangkan indikator-indikator yang relevan untuk setiap pertanyaan tersebut, dan menggabungkan indikator-indikator tersebut dalam satu kartu. Gambar 2. Contoh Balanced Scorecard
IT Governance 67 Dalam BSC, kinerja organisasi diukur melalui empat perspektif utama yang saling terkait, yaitu(Rahayu et al., 2023): a. Perspektif Keuangan: Mengukur kinerja TI dengan mengevaluasi biaya TI yang dibutuhkan, Return On Investment (ROI) TI, dan efisiensi penggunaan sumber daya TI. b. Perspektif Pelanggan: Mengukur kinerja TI dengan mengevaluasi kepuasan dan loyalitas pelanggan, serta waktu tanggap pelanggan. c. Perspektif Proses Bisnis Internal: Mengukur kinerja TI dengan mengevaluasi efektivitas proses bisnis internal, seperti kemampuan staf TI, kinerja sistem, dan pengiriman layanan. d. Perspektif Pembelajaran dan Pertumbuhan: Mengukur kinerja TI dengan mengevaluasi investasi pendidikan dan pengembangan staf, serta kinerja penjualan dan pemasaran. 3. Information Technology Infrastructure Library (ITIL) ITIL adalah kumpulan praktik terbaik untuk mengelola layanan TI dan meningkatkan kualitas layanan TI. ITIL memiliki lima tahapan utama, yaitu(Maleh et al., 2022): a. Service Strategy: Tahapan ini membantu organisasi dalam merencanakan strategi TI yang sesuai dengan kebutuhan bisnis. Di tahapan ini, organisasi menentukan jenis layanan yang akan ditawarkan dan bagaimana layanan tersebut akan memberikan nilai tambah. Beberapa aktivitas utama dalam tahapan ini meliputi:
68 IT Governance 1) Penentuan kebijakan layanan. 2) Penyusunan strategi layanan dan portofolio. 3) Pengelolaan risiko dan keuangan layanan. b. Service Design: Tahapan ini berfokus pada perencanaan dan desain layanan TI yang akan ditawarkan. Di tahapan ini, organisasi merencanakan produk, desain, dan proses TI untuk memenuhi kebutuhan pelanggan dan tujuan bisnis. Beberapa aktivitas utama dalam tahapan ini meliputi: 1) Penentuan kebijakan layanan. 2) Penyusunan strategi layanan dan portofolio. 3) Pengelolaan risiko dan keuangan layanan. c. Service Transition: Tahapan ini berkaitan dengan pengelolaan transisi layanan baru atau yang telah diubah ke dalam lingkungan produksi. Di tahapan ini, organisasi memastikan bahwa perubahan layanan TI diimplementasikan dengan sukses dan tanpa mengganggu operasi yang sedang berjalan. Beberapa aktivitas utama dalam tahapan ini meliputi: 1) Penentuan kebijakan layanan. 2) Penyusunan strategi layanan dan portofolio. 3) Pengelolaan risiko dan keuangan layanan. d. Service Operation: Tahapan ini 68ocus pada pengelolaan dan pengiriman layanan TI secara efisien. Di tahapan ini, organisasi memastikan bahwa layanan TI dioperasikan dengan baik dan memenuhi kebutuhan pengguna. Beberapa aktivitas utama dalam tahapan ini meliputi:
IT Governance 69 1) Penentuan kebijakan layanan. 2) Penyusunan strategi layanan dan portofolio. 3) Pengelolaan risiko dan keuangan layanan. e. Continual Service Improvement: Tahapan ini merupakan tahapan yang melingkupi seluruh siklus hidup layanan TI. Di tahapan ini, organisasi terusmenerus melakukan evaluasi dan perbaikan terhadap layanan TI yang ada. Tujuannya adalah untuk memastikan bahwa layanan TI terus meningkat sesuai dengan kebutuhan bisnis dan pengguna. Beberapa aktivitas utama dalam tahapan ini meliputi: 1) Penentuan kebijakan layanan. 2) Penyusunan strategi layanan dan portofolio. 3) Pengelolaan risiko dan keuangan layanan. 4. Control Objectives for Information and Related Technologies (COBIT) COBIT adalah framework tata kelola TI yang mendefinisikan cara dan metode untuk suatu organisasi. COBIT membantu memastikan kualitas, kontrol, dan keandalan sistem informasi dalam suatu organisasi, yang merupakan aspek terpenting dari setiap bisnis modern(Putri et al., 2020; Putri, Pratama and Setiawan, 2021). COBIT memiliki enam prinsip utama, yaitu(ISACA, 2018): a. Meeting Stakeholder Needs (Memenuhi Kebutuhan Pemangku Kepentingan). Prinsip ini menekankan pentingnya organisasi untuk memahami, mengidentifikasi, dan memenuhi kebutuhan pemangku kepentingan dalam konteks pengelolaan
70 IT Governance dan pemanfaatan teknologi informasi. Dalam mengukur kinerja IT, fokus pada evaluasi kepuasan pemangku kepentingan terhadap layanan dan solusi TI. Ini mencakup survei kepuasan pengguna, analisis umpan balik, dan pengukuran indikator keberhasilan yang relevan dengan kebutuhan pemangku kepentingan. b. Covering the Enterprise End to End (Melibatkan Seluruh Enterprise). Prinsip ini menyoroti perlunya melibatkan dan mencakup seluruh organisasi dalam pengelolaan dan pengendalian TI. Dalam konteks pengukuran kinerja IT, fokus pada penilaian konsistensi dan efektivitas penerapan kebijakan dan prosedur TI di seluruh lapisan organisasi. Evaluasi integrasi dan kerjasama antara berbagai unit bisnis untuk memastikan bahwa pengelolaan TI mencakup semua aspek organisasi. c. Applying a Single Integrated Framework (Menerapkan Kerangka Kerja Terpadu yang Tunggal). Prinsip ini mendorong organisasi untuk mengadopsi satu kerangka kerja terpadu untuk manajemen dan pengendalian TI. Dalam mengukur kinerja IT, pastikan bahwa organisasi menggunakan satu set metrik dan indikator kinerja yang terintegrasi dengan kerangka kerja COBIT. Hal ini memastikan keseragaman pengukuran dan memberikan visibilitas yang konsisten terhadap kinerja TI di seluruh organisasi. d. Enabling a Holistic Approach (Mendorong Pendekatan Holistik). Prinsip ini menegaskan perlunya melihat TI secara holistik dan memahami
IT Governance 71 hubungannya dengan seluruh organisasi. Dalam pengukuran kinerja IT, fokus pada pengukuran yang mencakup aspek-aspek holistik dari proses dan layanan TI. Evaluasi sejauh mana pengukuran kinerja mempertimbangkan dampak lintas-proses dan melibatkan seluruh ekosistem TI di perusahaan. e. Separating Governance from Management (Membedakan Antara Tata Kelola dan Manajemen). Prinsip ini menggarisbawahi perbedaan antara peran pengelolaan sehari-hari dan peran pengawasan atau pengaturan (governance). Dalam mengukur kinerja IT, fokus pada evaluasi efektivitas proses tata kelola dalam memberikan arah, pengawasan, dan kepastian bagi manajemen TI. Pastikan bahwa keputusan strategis dan operasional dipisahkan secara jelas dan dikelola dengan tepat. f. Tailoring to Enterprise Needs (Disesuaikan dengan Kebutuhan Perusahaan). Prinsip ini mendukung ide bahwa setiap organisasi unik dan perlu menyesuaikan kerangka kerja COBIT sesuai dengan kebutuhan dan karakteristiknya. Dalam mengukur kinerja IT, fokus pada adaptasi dan penyesuaian kerangka kerja COBIT sesuai dengan kebutuhan spesifik dan konteks perusahaan. Evaluasi kesesuaian metrik dan indikator kinerja dengan tujuan dan karakteristik organisasi, sehingga pengukuran kinerja dapat memberikan nilai tambah yang signifikan.
72 IT Governance C. Best Practices dalam Pengukuran dan Pelaporan Kinerja TI 1. Keterlibatan Pemangku Kepentingan Melibatkan pemangku kepentingan dalam proses pengukuran kinerja TI membantu memastikan bahwa indikator yang dipilih relevan dan bahwa hasilnya memenuhi kebutuhan organisasi(Weinzimer, 2023). 2. Periodisitas Pengukuran dan Pelaporan Menentukan jadwal rutin untuk pengukuran kinerja dan pelaporan membantu menciptakan proses yang terstruktur dan konsisten. Gunakan kerangka kerja yang sesuai, seperti Balanced Scorecard, COBIT, atau ITIL, untuk membantu dalam identifikasi tujuan bisnis, proses TI, dan KPI. Kerangka kerja tersebut juga dapat membantu dalam pengukuran kinerja, evaluasi dan perbaikan, serta pelaporan kinerja TI. Pastikan untuk menggunakan metrik yang akurat dan tepat waktu untuk mengevaluasi kinerja TI. Hal ini akan memastikan bahwa pengukuran kinerja dilakukan dengan cara yang efektif dan efisien(Indrajit, 2014). 3. Kesesuaian dengan Strategi Organisasi Pengukuran kinerja TI harus selaras dengan strategi keseluruhan organisasi untuk memastikan bahwa setiap kontribusi TI mendukung tujuan jangka panjang. Pastikan bahwa setiap inisiatif TI terkait langsung dengan tujuan bisnis organisasi. Dalam pengukuran kinerja, fokus pada bagaimana TI mendukung pencapaian tujuan bisnis.
IT Governance 73 4. Pembelajaran dan Peningkatan Berkelanjutan Proses pengukuran kinerja harus dinamis dan mendukung siklus pembelajaran organisasi. Melibatkan pemangku kepentingan dalam proses perbaikan terusmenerus meningkatkan efektivitas dan relevansi pengukuran. Evaluasi hasil pengukuran kinerja dan identifikasi area yang memerlukan perbaikan. Lakukan perbaikan sesuai dengan temuan evaluasi. Buat laporan kinerja TI yang mencakup hasil pengukuran kinerja dan rekomendasi perbaikan. Pastikan bahwa proses pengukuran kinerja TI transparan dan bahwa akun-tabilitas untuk hasil pengukuran tersebut jelas. Pantau kinerja TI secara teratur untuk memastikan bahwa perbaikan yang dilakukan efektif dan efisien(Calder and Watkins, 2020).
74 IT Governance KEPATUHAN DAN ETIKA ata Kelola Teknologi Informasi atau biasa disebut sebagai IT Governance merupakan cabang ilmu yang menentukan hak pengambilan keputusan dan kerangka akuntabilitas untuk mendorong perilaku yang diinginkan dalam penggunaan teknologi informasi (Weill, P., Ross, 2004). Secara sederhana, IT Governance berkaitan dengan pengambilan keputusan dan juga akuntabilitas. Sementara secara kompleks, IT Governance menjelaskan perilaku-perilaku berbeda yang diinginkan pada setiap perusahaan. IT Governance menggabungkan aspek manajemen dan juga teknologi untuk mengelola suatu bisnis. Agar IT Governance dapat terlaksana dengan baik, dibutuhkan kepatuhan dan etika dalam menjalankan penerapan framework dari IT Governance itu sendiri. Kepatuhan menggambarkan kemampuan organisasi mematuhi berbagai peraturan, standar, dan kebijakan yang berlaku. Sementara etika T
IT Governance 75 berperan dalam pemastian dari penggunaan teknologi informasi yang berintegritas, aman, dan bertanggung jawab. A. Kepatuhan Kepatuhan diambil dari kata dasar "patuh". Menurut KBBI (2024), patuh mempunyai makna suka menurut (perintah dan sebagainya); taat (pada perintah, aturan, dan sebagainya); berdisiplin. Kata patuh mengacu pada sifat atau tindakan seseorang atau sesuatu yang taat, setia, atau mematuhi aturan, peraturan, atau otoritas yang berlaku. Kepatuhan juga dapat didefinisikan sebagai tindakan mengikuti peraturan, hukum, dan undang-undang. Kepatuhan diimplementasikan pada persyaratan hukum dan undangundang yang diberlakukan oleh badan industri. Selain itu, kepatuhan juga diaplikasikan dalam kebijakan internal suatu perusahaan (AWS, 2024). Kepatuhan (compliance) dalam IT Governance menjelaskan bagaimana sebuah organisasi berusaha mematuhi berbagai peraturan, standar, dan kebijakan yang berlaku terkait dengan pengelolaan, penggunaan, dan pengamanan teknologi informasi. Hal ini bertujuan untuk memastikan bahwa organisasi beroperasi sesuai dengan ketentuan hukum dan peraturan yang relevan, serta meminimalkan risiko pelanggaran terhadap hukum. Kepatuhan terhadap peraturan dan ketentuan teknologi informasi merupakan salah satu hal yang terlibat dalam IT Governance (Rumere, Tanaamah and Sitokdana, 2020). Berikut adalah beberapa aspek yang terkait dengan kepatuhan dalam tata kelola teknologi informasi:
76 IT Governance 1. Hukum dan Peraturan Pemahaman yang cukup terhadap hukum dan peraturan sangat diperlukan dalam menerapkan kepatuhan. Organisasi harus memahami undang-undang yang berlaku di tingkat lokal, nasional, dan internasional terkait dengan penggunaan dan pengelolaan teknologi informasi. 2. Standar Industri Agar bisa menjalankan kepatuhan, diperlukan juga penerapan standar industri yang relevan. Beberapa contoh adalah ISO/IEC 27001 yang merupakan standar untuk keamanan informasi, GDPR (General Data Protection Regulation) untuk perlindungan data pribadi, ISO 9001 yang menjelaskan tentang penjaminan mutu, atau standar lain yang sesuai dengan sektor industri tertentu. 3. Kebijakan Internal Selain memerhatikan peraturan dan juga standar industri yang sesuai, organisasi perlu menerjemahkan ketentuan pendukungnya dalam lingkup internal secara jelas. Ada pun yang diatur adalah penggunaan dan perlindungan teknologi informasi. Kebijakan keamanan dan kebijakan privasi merupakan contoh beberapa kebijakan yang relevan. 4. Audit dan Pengawasan Benar dan sesuainya suatu kebijakan dan prosedur yang diterapkan dalam suatu organisasi dapat diukur dengan pelaksanaan audit internal dan pengawasan. Proses kepatuhan melibatkan kedua hal tersebut.
IT Governance 77 5. Pelaporan dan Transparansi Hasil dari audit dan pengawasan terhadap kebijakan dan prosedur yang ada didokumentasikan dalam bentuk laporan. Selain itu, hasil tersebut dapat disampaikan kepada pihak yang berwenang seperti regulator, pemegang saham, atau pelanggan sebagai bentuk transparansi. 6. Sanksi dan Konsekuensi Untuk menjalankan kepatuhan, diperlukan sanksi dan konsekuensi yang jelas apabila terjadi pelanggaran aturan maupun kebijakan. Bentuk sanksi dapat berupa sanksi hukum, denda, atau dampak reputasi. 7. Pemantauan Perubahan Regulasi Seiring dengan perkembangan jaman, pasti terdapat pula perubahan terhadap regulasi dan peraturan terkait. Sehingga kegiatan pemantauan perubahan regulasi harus dilakukan untuk menjaga esensi kepatuhan itu sendiri. Kepatuhan dalam IT Governance merupakan suatu keharusan hukum. Selain itu kepatuhan adalah Langkah strategis yang dapat menjaga reputasi organisasi. Hal ini termasuk penjagaan yang baik dari data dan sistem informasi. B. Etika Menurut KBBI, etika adalah ilmu tentang apa yang baik dan apa yang buruk dan tentang hak dan kewajiban moral atau akhlak (KBBI, 2024). Etika memberikan penyesuaian atau persiapan kepada manusia tentang bagaimana menjalani hidup melalui cara bertindak setiap harinya. Hal ini berarti,
78 IT Governance etika mengarahkan manusia dalam bersikap serta berbuat dengan tepat di dalam hidupnya (Hasibuan, 2017). Etika dalam IT Governance mempunyai peran untuk memastikan penggunaan teknologi informasi yang berintegritas, aman, dan bertanggung jawab. Hal yang dicakup adalah serangkaian prinsip moral dan nilai-nilai tentang penggunaan, pengelolaan, dan pengembangan teknologi informasi. Selain itu, etika juga memberikan pertimbangan moral terhadap keputusan, kebijakan, dan tindakan yang terkait dengan teknologi informasi. Etika tata kelola adalah tentang penggabungan kondisi dan persyaratan moral dalam struktur manajemen, tata kelola, dan pengendalian suatu perusahaan (Wieland, 2001). Berikut adalah beberapa aspek kunci etika dalam IT Governance: 1. Privasi dan Keamanan Data Organisasi harus menjaga tidak hanya data dari organisasi itu sendiri, namun juga data pribadi dari pekerjanya. Etika digunakan perusahaan sebagai bahan pertimbangan dalam memberikan hak privasi individu. Data pribadi hanya dapat digunakan dengan persetujuan pemiliknya. 2. Transparansi Organisasi harus memberikan pemahaman yang jelas kepada pelanggan maupun karyawannya terkait data dari pegawainya diakses dan digunakan. 3. Keadilan dalam Akses dan Pemanfaatan Pengaturan terhadap akses dan pemanfaatan teknologi juga merupakan etika yang harus diterapkan oleh sebuah organisasi. Hal tersebut harus diatur secara adil.
IT Governance 79 4. Keamanan Siber Dalam konsep etika pada IT Governance, organisasi harus mempunyai mekanisme dalam melindungi sistem, data, dan juga informasi lainnya dari ancaman kejahatan siber. 5. Pertimbangan Sosial dan Lingkungan Selain menjamin keberlangsungan tata kelola yang baik di dalam organisasi, pihak luar seperti lingkungan dan Masyarakat juga perlu menjadi perhatian organisasi dalam mengembangkan maupun menerapkan teknologi yang digunakan dan/atau dihasilkan. 6. Pengambilan Keputusan Etis Etika menjadi salah satu dasar dalam mengambil keputusan. Dalam hal ini, keputusan yang dimaksud berkaitan dengan teknologi informasi, mencakup bagaimana mengembangkan, mengimplementasi, hingga menggunakan teknologi itu sendiri. Segala Keputusan yang dibuat harus memerhatikan dampak etis yang akan terjadi pada individu maupun masyarakat. 7. Kepatuhan dan Kode Etik Komunitas maupun organisasi/industri terkait juga mempunyai etika dalam menjalankan fungsinya. Oleh karena itu, organisasi dan profesional teknologi informasi sudah seharusnya mematuhi prinsip etika yang dimiliki oleh organisasi sejenis. 8. Pendidikan dan Kesadaran Etis Untuk menanamkan etika dalam konteks IT Governance, pendidikan etika merupakan salah satu cara yang dapat dilakukan. Pendidikan etika yang dimaksud diharapkan dapat membantu organisasi dalam membuat Keputusan yang baik dan bermoral.
80 IT Governance Dari poin di atas, dapat disimpulkan bahwa etika dalam IT Governance memiliki peran penting dalam menciptakan lingkungan yang bertanggung jawab, adil, dan berkelanjutan dalam penggunaan teknologi. Adanya etika dapat melindungi hak-hak individu, mencegah disalah gunakannya teknologi, dan memasarkan nilai-nilai baik dalam pengembangan dan penerapan teknologi informasi. C. Kepatuhan dan Etika dalam IT Governance Kepatuhan dan etika dalam IT Governance saling berkaitan. Namun, kedua hal tersebut mempunyai fokus yang agak berbeda. Berikut adalah hubungan antara kepatuhan dan etika dalam IT Governance: 1. Kepatuhan sebagai Landasan Etika Patuh pada peraturan dan standar yang berlaku adalah dasar untuk mempraktikkan etika dalam IT Governance. Langkah paling pertama untuk menjalani praktik etis adalah dengan menaati aturan dan norma yang berlaku. 2. Kepatuhan sebagai Kerangka Hukum Kerangka hukum merupakan sarana untuk memberlakukan kepatuhan yang dapat mengatur penggunaan dan pengelolaan teknologi informasi. Adapun hal yang dicakup dalam hukum dan peraturan tersebut adalah isu etika seperti privasi, keamanan, dan perlindungan data. 3. Etika sebagai Panduan untuk Keputusan Etika dapat memberikan bimbingan dalam pengambilan Keputusan melalui panduan moral dan prinsip etika. Pertimbangan etika dalam membantu
IT Governance 81 dalam menentukan kebenaran suatu tindakan walau etika tidak disahkan dalam bentuk hukum. 4. Kepatuhan sebagai Kewajiban Hukum Organisasi berkewajiban untuk patuh pada aturan yang ada. Ketidakpatuhan organisasi pada aturan dapat dikenakan sanksi hukum dan dampak negatif lainnya. Kepatuhan pada hukum menjadi penting dari segi legalitas. 5. Etika Mendorong Kepatuhan di atas Minimum Etika mendorong organisasi untuk melibatkan diri lebih dari kepatuhan minimum. Praktik dari etika mempertimbangkan dampak sosial dan moral dari penggunaan teknologi informasi. 6. Pemantauan dan Auditing Etis Pembuktian akan kepatuhan membutuhkan adanya pemantauan dan audit. Hal ini digunakan untuk memastikan bahwa organisasi mengikuti aturan. Pemantauan etis dapat melibatkan pertimbangan mendalam yang berhubungan dengan dampak sosial dan moral dari tindakan organisasi. 7. Hubungan dengan Pihak-Pihak Terkait Etika mempunyai pengaruh dalam hubungan organisasi dengan pelanggan, pemegang saham, masyarakat atau pihak terkait lainnya. Kepercayaan dan reputasi baik di mata pihak terkait dapat tercipta sebagai hasil dari kepatuhan dan etika Dapat disimpulkan bahwa meskipun kepatuhan dan etika memiliki perspektif serta fokus yang berbeda, keduanya saling melengkapi dan diperlukan untuk menciptakan IT Governance yang baik dan bertanggung jawab.
82 IT Governance MANAJEMEN PROYEK A. Definisi Manajemen (Stoner, 1995)Menurut Stoner manajemen adalah proses planning, organization, actuating dan controlling terhadap usaha-usaha para anggota organisasi untuk mencapai tujuan organisasi yang sudah ditetapkan dengan menggunakan sumberdaya organisasi dan yang lainnya. Sedangkan menurut Terry manajemen adalah suatu proses yang terdiri dari planning. organization, implementation dan controlling untuk mencapai tujuan yang telah ditetapkan dengan memanfaatkan ilmu pengetahuan dan seni.(Terry, 2021)
IT Governance 83 Dari dua definisi diatas maka dapat ditarik kesimpulan bahwa di dalam manajemen terdiri dari hal-hal : 1. Perencanaan 2. Pengorganisasian 3. Pelaksanaan 4. Pengawasan B. Proyek (Indrajit, 2016) Proyek merupakan suatu kegiatan atau usaha yang dibatasi oleh time (waktu) dan resource untuk mencapai suatu tujuan tertentu yang dibatasi oleh waktu dan sumber daya yang tersedia. C. Manajemen Proyek (Abrar Husen, 2009) Manajemen Proyek merupakan implementasi dari fungsi-fungsi manajemen yang sistematis pada suatu proyek dipergunakan secara efektif dan efisien. Ada 3 (tiga) hal penting pada setiap proyek yaitu : 1. Time, ukuran waktu yang dipergunakan untuk menyelesaikan proyek yang terdapat jadwal dari berbagai aktivitas. 2. Money, merupakan dana anggaran proyek yang berdasarkan biaya sumber daya manusia (SDM), material atau peralatan dan bahan-bahan dalam pelaksanaan proyek 3. Scope, merupakan sasaran akhir dan aktivitas-aktivitas di dalam proyek tersebut. (Futrell, 2002)Tiga puluh empat kompetensi yang perlu diketahui oleh setiap manajer proyek :
84 IT Governance Gambar 1. 34 kompetensi yang perlu diketahui oleh manajer proyek D. Model Manajemen Proyek Perangkat Lunak (MPPL) (Schwalbe, 2004)Manajemen proyek perangkat lunak merupakan pendekatan sistematik dan teratur untuk memantapkan keberhasilan pengelolaan aktivitas dengan menggunakan skala waktu tertentu untuk menghasilkan produk perangkat lunak Model IPO Gambar 2 Model IPO
IT Governance 85 Komponen Manajemen proyek perangkat lunak : Gambar 3. Komponen manajemen proyek perangkat lunak Keterangan : Manajemen Orang Manajemen orang meliputi : a. Penetapan tujuan dan sasaran b. Pengorganisasian c. Motivasi dan komunikasi d. Menetapkan nilai/ukuran e. Pengembangan SDM Manajemen Proses Manajemen proses meliputi pengeloaan/pengaturan pekerjaan, waktu, biaya, dan resiko. Manajemen proses mempengaruhi a. Kualitas produk
86 IT Governance b. Waktu c. Sumber daya yang dibutuhkan untuk menghasilkan produk Manajemen Produk Manajemen produk sangat berkaitan dengan aspek kualitas yang harus dipenuhi. Faktor yang harus dipertimbangkan adalah : a. Pemilihan proyek b. Spesifikasi produk c. Kebutuhan performasi operasi d. Reaksi/response pemakai Kendala Manajemen Kendala manajemen dapat digambarkan seperti di bawah ini : Gambar 4. Kendala manajemen
IT Governance 87 Hubungan Model – Pengukuran – Kendali Hubungan antara model, pengukuran dan kendali dapat dilihat pada gambar di bawah ini : Gambar 5. Hubungan antara model, pengukuran dan kendali Definisi Network Planning 1. Model yang dipakai dalam penyelenggaraan proyek 2. Produk dari model network planning berisi informasi kegiatan-kegiatan . 3. Informasi yang dihasilkan tentang sumber daya yang dibutuhkan oleh kegiatan-kegiatan beserta jadwalnya. Tahap-tahap aplikasi network planning pada penyelenggaraan proyek : 1. Pembuatan a. Inventarisasi activity b. Hubungan antar activity c. Diagram jaringan kerja d. Data activity e. Analisa waktu dan resources f. Batasan dan persyaratan g. Levelling
88 IT Governance 2. Pemakaian a. Laporan b. Evaluasi 3. Perbaikan Sejarah PERT vs CPM PERT : Programme Evaluation and Review Technique 1. Tahun diciptakan : 1957 2. Nama Proyek : POLARIS 3. Pemilik proyek : US-NAVY 4. Manfaat : Waktu a. Rencana semula : 5 tahun b. Rencana disempurnakan : 3 tahun 5. Komponen proyek : Peristiwa 6. Model visual : Network Diagram CPM : Critical Path Method 1. Tahun diciptakan : 1957 2. Nama Proyek : Pabrik Kimia 3. Pemilik Proyek : Du Pont 4. Manfaat : Biaya a. Rencana Semula : US$10.000.000 b. Rencana disempurnakan : US$9.000.000 5. Komponen Proyek : Kegiatan 6. Model Visual : Network Diagram Gantt Chart (Endang Setyawati, Ruby Santamoko, Agus Leo Handoko, 2021) Gantt chart merupakan gambaran tugas-tugas proyek
IT Governance 89 yang mengacu pada kalender dalam bentuk bagan batang horizontal yang sederhana. Pada setiap batang diberi nama sebagai tanda pada setiap tugas dari suatu proyek. Pada kolom kiri terdapat tugas-tugas dalam bentuk vertical. Sedangkan pada garis waktu kalender ditunjukkan pada pusat horizontal. Gambar 6. Gantt Chart Microsoft Project (Gus Cicala, 2013) Microsoft Corporation mengembangkan perangkat lunak untuk membantu manajemen proyek dalam pengolahan data yang dikenal dengan Microsoft Project. Microsoft Project dapat mengolah data-data atau informasi-informasi proyek berupa jadwal pekerjaan dan biaya berdasarkan kegiatan pelaksanaan proyek tersebut, selain itu juga dapat menyimpan informasi-informasi yang dibutuhkan.
90 IT Governance Dalam micosoft project ada 3 bagian penting : 1. Menu View Menu ini menampilkan tentang : a. Calender, yaitu menampilkan proyek dalam bentuk calender b. Gantt Chart, tabel pada rencana proyek yang berisi tentang daftar pekerjaan yang akan dilakukan dalam pelaksanaan proyek c. Network Diagram, Diagram jaringan kerja ini memperlihatkan proyek dalam bentuk diagram jaringan kerja. d. Task Usage, memperlihatkan material yang digunakan serta rencana proyek dalam bentuk jam kerja sumber daya manusia. e. Tracking Gantt, menunjukkan suatu diagram rencana proyek dengan kenyataan pelaksanaan proyek. f. Resource Graph, menunjukkan grafik alokasi dan kebutuhan overalokasi. g. Resource Sheet, merupakan tabel yang berisi pekerja dan material yang lebih dikenal dengan sumber daya proyek. h. Resource Usage, menunjukkan penggunaan sumber daya proyek i. More View, memperlihatkan banyak jenis informasi yang berkenaan dengan proyek. 2. Gantt Chart, menampilkan jenis daftar aktivitas. 3. Char Bar, menunjukkan diagram batang yang berdasarkan waktu setiap aktivitas.