Flipbook Skripsi_Lusi Rahmi_11170930000036

SKRIPSI
ANALISIS MANAJEMEN RISIKO KEAMANAN SISTEM INFORMASI
MANAJEMEN KEPEGAWAIAN (SIMPEG) MENGGUNAKAN METODE
FAILURE MODE AND EFFECTS ANALYSIS (FMEA) DAN MITIGASI

MENGGUNAKAN STANDAR ISO/IEC 27002:2013
(STUDI KASUS: BKPSDM KABUPATEN DHARMASRAYA)

Skripsi Ini Diajukan Sebagai Syarat Melaksanakan Kewajiban Studi Strata Satu
(S1) Program Studi Sistem Informasi

Disusun Oleh:
Lusi Rahmi

11170930000036

PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA

2022 M/1443 H
i

LEMBAR PENGESAHAN

ANALISIS MANAJEMEN RISIKO KEAMANAN SISTEM INFORMASI
MANAJEMEN KEPEGAWAIAN (SIMPEG) MENGGUNAKAN METODE

FAILURE MODE AND EFFECTS ANALYSIS (FMEA) DAN MITIGASI
MENGGUNAKAN STANDAR ISO/IEC 27002:2013

Skripsi

Diajukan Sebagai Syarat Untuk Memperoleh Gelar Sarjana Strata Satu
Program Studi Sistem Informasi Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh:
Lusi Rahmi
NIM. 11170930000036

Menyetujui,

Pembimbing I Pembimbing II

Fitroh, M.Kom M Nur Gunawan, MBA
NIP.197909232009122006 NIDN.2006127901

Mengetahui,
Ketua Prodi Sistem Informasi

ii

LEMBAR PENGESAHAN UJIAN

Skripsi yang berjudul “ANALISIS MANAJEMEN RISIKO KEAMANAN SISTEM INFORMASI
MANAJEMEN KEPEGAWAIAN (SIMPEG) MENGGUNAKAN METODE FAILURE MODE
AND EFFECTS ANALYSIS (FMEA) DAN MITIGASI MENGGUNAKAN STANDAR ISO/IEC
27002:2013” disusun oleh Lusi Rahmi, NIM 11170930000036 telah diajukan dan dinyatakan
LULUS dalam sidang Munaqosyah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syaruf
Hidayatullah (UIN) Jakarta pada hari Selasa, 08 Februari 2022. Skripsi ini telah diterima sebagai
syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Program Studi Sistem Informasi.

Menyetujui,

Penguji I Penguji II

Nur Aeni Hidayah, S.E., M.M.S.I. Suci Ratnawati, MTI
NIP.197508182005012008 NIP.

Pembimbing I Pembimbing II

Fitroh, M.Kom M Nur Gunawan, MBA
NIP.197909232009122006 NIDN.2006127901

Mengetahui, Ketua Program Studi
Sistem Informasi
Dekan Fakultas Sains dan Teknologi
Uin Syarif Hidayatullah Jakarta

iii

PERNYATAAN
iv

ABSTRAK

Lusi Rahmi – 11170930000036, Analisis Manajemen Risiko Keamanan Sistem
Informasi Manajemen Kepegawaian (SIMPEG) Menggunakan Metode Failure
mode and Effects Analysis (FMEA) dan Mitigasi Menggunakan Standar ISO/IEC
27002:2013 (Studi Kasus: BKPSDM Kabupaten Dharmasraya). Di bawah
Bimbingan Fitroh dan M. Nur Gunawan.

Badan Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM)
Kabupaten Dharmasraya merupakan Organisasi Perangkat Daerah (OPD) di bidang
kepegawaian, pendidikan, dan pelatihan yang memanfaatkan teknologi informasi
untuk membantu proses bisnis dalam organisasi. Sistem Informasi Manajemen
Kepegawaian (SIMPEG) merupakan sistem yang dikelola oleh BKPSDM dalam
memberikan layanan kepegawaian. Data pegawai yang dikelola dalam SIMPEG
yaitu sebanyak 3396 data. Keberadaan sistem dan pemanfaatan teknologi informasi
dapat membantu proses bisnis yang berjalan namun dapat memberikan dampak atau
risiko apabila tidak dilakukan mitigasi yang benar. Diketahui permasalahan yang
pernah terjadi di BKPSDM yaitu kerusakan database, server dan perangkat
komputer akibat cuaca buruk, koneksi jaringan terputus akibat pemadaman listrik,
kehilangan data akibat tidak memiliki backup data dan human error. Hal tersebut
mengakibatkan SIMPEG tidak dapat diakses untuk beberapa waktu sehingga
menghambat proses bisnis yang berjalan dan menimbulkan kerugian finansial bagi
BKPSDM. Penelitian ini bertujuan untuk mengidentifikasi risiko dan melakukan
penilaian risiko menggunakan metode failure mode and effects analysis (FMEA)
dan memberikan rekomendasi mitigasi berdasarkan pada standar ISO/IEC
27002:2013. Hasil analisis didapatkan 50 mode kegagalan yang dikategorikan
menjadi 5 kategori aset dan didapatkan 6 mode kegagalan yang memiliki level
tinggi. Kemudian memberikan rekomendasi mitigasi berdasarkan pada Standar
ISO/IEC 27002:2013 yang telah disesuaikan dengan kebutuhan BKPSDM. Dengan
demikian hasil penelitian ini diharapkan dapat membantu dan dijadikan sebagai
bahan pertimbangan BKPSDM dalam melakukan perbaikan dan kontrol keamanan
untuk menghindari ancaman yang muncul terhadap aset informasi.

Kata Kunci: Manajemen Risiko Sistem Informasi, Metode FMEA, SIMPEG,
Mitigasi Risiko

V Bab + xiv Halaman + 198 Halaman + 15 Gambar + 26 Tabel + Daftar
Pustaka + Lampiran

v

KATA PENGANTAR

Assalamualaikum Wr. Wb.

Puji serta syukur penulis ucapkan atas kehadirat Allah SWT berkat nikmat
sehat, iman, berkah, serta hidayah-Nya yang selalu tercurah sehingga penulis dapat
menyelesaikan penelitian dan laporan skripsi yang berjudul “Analisis Manajemen
Risiko Keamanan Sistem Informasi Manajemen Kepegawaian (SIMPEG)
Menggunakan Metode Failure mode and Effects Analysis (FMEA) dan
Mitigasi Menggunakan Standar ISO/IEC 27002:2013 (Studi Kasus: BKPSDM
Kabupaten Dharmasraya”.

Penyusunan laporan skripsi ini merupakan salah satu syarat untuk bisa
memperoleh gelar Sarjana Komputer pada Program Studi Sistem Informasi,
Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah
Jakarta. Dalam laporan skripsi ini akhirnya dapat diselesaikan sesuai dengan
harapan penulis. Selama penyusunan laporan ini tentunya penulis menghadapi
banyak kesulitan dan tantangan. Semua kesulitan dapat penulis lalui tak lepas dari
usaha dan kesabaran hati dari berbagai pihak yang membantu penulis.

Dalam penyusunan laporan skripsi ini, penulis banyak mendapatkan
bantuan, saran, dorongan, dan bimbingan dari berbagai pihak yang merupakan salah
satu bentuk pengalaman yang tidak dapat diukur dengan materi. Oleh karena itu,
dengan segala hormat dan kerendahan hati, penulis ingin mengucapkan terima kasih
banyak kepada:

1. Bapak Ir. Nashrul Hakiem, M.T, Ph.D selaku Dekan Fkultas Sains dan
Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Bapak A’ang Subiyakto, M.Kom. selaku Ketua Program Studi Sistem
Informasi, Fakultas Sains dan Teknologi, Universitas Islam Negeri
Syarif Hidayatullah Jakarta.

3. Ibu Fitroh, M. Kom selaku Dosen Pembimbing I yang selalu dengan
ketulusan hati untuk meluangkan waktu dalam memberikan ilmu dan

vi

pengetahuan dalam membimbing penulis serta dukungan baik secara
teknis dan moral sehigga laporan ini dapat terselesaikan.
4. Bapak Muhamad Nur Gunawan, MBA selaku Dosen Pembimbing II
yang selalu meluangkan waktu dalam membimbing penulis dengan
memberikan ilmu dan pengetahuan dalam membimbing penulis.
5. Orang tua dan keluarga besar penulis yang selalu memberikan doa,
semangat, dan dukungan kepada penulis agar selalu diberikan
kelancaran dalam melaksanakan dan menyelesaikan kewajiban
perkuliahan.
6. Teman-teman seperjuangan kuliah, Melysa, Anggi, Nisa dan yang
lainnya yang selalu memberikan dukungan baik secara ilmu, moral
maupun material.
7. Pak Roni, Kak Rani, dan Bang Randi yang membantu penulis dalam
mengumpulkan data yang dibutuhkan untuk proses penyelesaian
penelitian yang dilakukan di Badan Kepegawaian dan Pengembangan
Sumber Daya Manusia (BKPSDM) Kabupaten Dharmasraya.
8. Teman-teman jurusan sistem informasi UIN Jakarta Angkatan 2017,
terutama para sahabat di kelas B 2017 yang selalu memberikan ide,
masukan, dukungan dan semangat untuk menyelesaikan laporan skripsi
ini.
9. Kak Acim dan kak Opik selaku senior yang telah bersedia memberikan
informasi, ilmu tambahan, serta berbagi pengalaman dalam
menyelesaikan tugas-tugas perkuliahan termasuk laporan skripsi ini.
10. Semua pihak yang tidak dapat disebutkan satu per satu yang telah
membantu peneliti hingga laporan ini terselesaikan.

Dalam penyusunan laporan skripsi ini, peneliti menyadari bahwa masih
terdapat banyak kekurangan yang disebabkan keterbatasan ilmu pengetahuan,
wawasan, dan pengalaman yang peneliti miliki. Untuk itu, penulis memohon maaf
atas segala kekurangan tersebut dan tidak menutup diri terhadap segala bentuk saran
dan kritik yang bersifat konstruktif bagi penulis.

vii

Akhir kata, semoga Laporan Skrispsi ini dapat memberikan manfaat dan
menambah pengetahuan pembaca dan peneliti sendiri.
Wassalamualaikum Wr. Wb.

Jakarta, Februari 2022
Lusi Rahmi

11170930000036

viii

DAFTAR ISI

LEMBAR PENGESAHAN................................................................................ii
LEMBAR PENGESAHAN UJIAN ..................................................................iii
PERNYATAAN ................................................................................................ iv
ABSTRAK.......................................................................................................... v
KATA PENGANTAR....................................................................................... vi
DAFTAR ISI ..................................................................................................... ix
DAFTAR GAMBAR.......................................................................................xiii
DAFTAR TABEL ........................................................................................... xiv
BAB I.................................................................................................................. 1
PENDAHULUAN .............................................................................................. 1

1.1 Latar Belakang .................................................................................... 1
1.2 Identifikasi Masalah .......................................................................... 11
1.3 Rumusan Masalah ............................................................................. 12
1.4 Batasan Masalah................................................................................ 12
1.5 Tujuan Penelitian............................................................................... 13
1.6 Manfaat Penelitian............................................................................. 13
1.7 Metodologi Penelitian ........................................................................ 14

1.7.1 Metodologi Pengumpulan Data.................................................. 15
1.7.2 Metode Failure mode and Effects Analysis (FMEA) .................. 15
1.8 Sistematika Penulisan ........................................................................ 16
BAB II .............................................................................................................. 18
LANDASAN TEORI........................................................................................ 18
2.1 Konsep Dasar Teknologi Informasi .................................................. 18
2.1.1 Pengertian Teknologi.................................................................. 18
2.1.2 Pengertian Sistem ....................................................................... 18
2.1.3 Pengertian Informasi .................................................................. 19
2.1.4 Pengertian Teknologi Informasi................................................. 20
2.1.5 Pengertian Sistem Informasi ...................................................... 21
2.2 Keamanan Informasi ......................................................................... 22
2.2.1 Definisi Keamanan Informasi .................................................... 22

ix

2.2.2 Tujuan Keamanan Informasi..................................................... 23
2.2.3 Aspek Keamanan Informasi....................................................... 23
2.2.4 Kesalahan dalam Pengelolaan Keamanan Informasi................ 24
2.3 Risiko.................................................................................................. 25
2.3.1 Definisi Risiko ............................................................................. 25
2.3.2 Konsep Risiko ............................................................................. 25
2.3.3 Klasifikasi Risiko ........................................................................ 26
2.3.4 Jenis-Jenis Risiko........................................................................ 28
2.3.5 Pelaksanaan Keamanan Risiko .................................................. 28
2.4 Manajemen Risiko ............................................................................. 30
2.4.1 Definisi Manajemen Risiko ........................................................ 30
2.4.2 Tahapan Manajemen Risiko ...................................................... 31
2.4.3 Penanganan Risiko ..................................................................... 32
2.5 Metode Failure mode and Effects Analysis (FMEA) ......................... 33
2.5.1 Sejarah Metode Failure mode and Effects Analysis (FMEA) .... 33
2.5.2 Definisi Failure mode and Effects Analysis (FMEA).................. 33
2.5.3 Tujuan Failure mode and Effects Analysis (FMEA) .................. 34
2.5.4 Manfaat Failure mode and Effects Analysis (FMEA) ................ 35
2.5.5 Tahap-Tahap Failure mode and Effects Analysis (FMEA)........ 36
2.6 ISO/IEC 27002:2013 .......................................................................... 43
2.6.1. Klausul ISO/IEC 27002:2013 ..................................................... 44
2.7 RACI Chart ........................................................................................ 47
2.8 Studi Literatur Sejenis....................................................................... 48
BAB III............................................................................................................. 60
METODOLOGI PENELITIAN...................................................................... 60
3.1 Pendekatan Penelitian ....................................................................... 60
3.2 Lokasi Penelitian................................................................................ 61
3.3 Tahap Perencanaan ........................................................................... 62
3.3.1 Perumusan Masalah ................................................................... 62
3.3.2 Menentukan Tujuan Penelitian.................................................. 62
3.3.3 Menentukan Data yang Dibutuhkan.......................................... 63
3.4 Metode Pengumpulan Data ............................................................... 63

x

3.4.1 Studi Literatur ............................................................................ 63
3.4.2 Observasi..................................................................................... 64
3.4.3 Wawancara ................................................................................. 64
3.4.4 Kuesioner .................................................................................... 65
3.5 Instrumen Penelitian ......................................................................... 65
3.6 Pengumpulan dan Pemrosesan Data................................................. 67
3.7 Metode Analisis Data ......................................................................... 67
3.7.1 Review Proses dan Produk.......................................................... 67
3.7.2 Identifikasi Failure Mode ........................................................... 68
3.7.3 Identifikasi Potensi Efek, Penyebab, dan Kontrol Failure Mode

68
3.7.4 Identifikasi Tingkat Keparahan................................................. 68
3.7.5 Identifikasi Penyebab Mode Kegagalan .................................... 69
3.7.6 Evaluasi Kontrol Kegagalan ...................................................... 69
3.7.7 Menghitung Risk Priority Number (RPN) .................................. 69
3.8 Mitigasi Risiko ................................................................................... 70
3.9 Pembahasan dan Interpretasi Hasil Penelitian................................. 70
3.10 Tahapan Penelitian ............................................................................ 70
BAB 4 ............................................................................................................... 72
HASIL DAN PEMBAHASAN......................................................................... 72
4.1 Sekilas Perusahaan ............................................................................ 72
4.1.1 Profil BKPSDM .......................................................................... 72
4.1.2 Visi dan Misi BKPSDM.............................................................. 72
4.1.3 Struktur Organisasi BKPSDM .................................................. 74
4.1.4 Peran dan Tanggung Jawab....................................................... 75
4.1.5 Sistem Informasi Kepegawaian (SIMPEG) ............................... 77
4.2 Pemetaan RACI Chart ....................................................................... 82
4.3 Metode FMEA ................................................................................... 84
4.3.1 Review Proses dan Produk.......................................................... 84
4.3.2 Identifikasi Potensial Failure mode ............................................ 99
4.3.3 Identifikasi Potensial Efek, Penyebab, dan Kontrol Failure
Mode 106
4.3.4 Menghitung Risk Priority Number (RPN) ................................ 114

xi

4.3.5 Membuat Prioritas Risiko ........................................................ 122
4.3.6 Identifikasi Tindakan Perbaikan ............................................. 123
4.4 Mitigasi Risiko ................................................................................. 124
4.5 Validasi............................................................................................. 141
4.6 Detail dan Informasi Control Objectives.......................................... 141
BAB 5 ............................................................................................................. 147
PENUTUP ...................................................................................................... 147
5.1 Kesimpulan ...................................................................................... 147
5.2 Saran ................................................................................................ 147
DAFTAR PUSTAKA..................................................................................... 149
LAMPIRAN A ............................................................................................... 155
LAMPIRAN B................................................................................................ 159
LAMPIRAN C ............................................................................................... 166
LAMPIRAN D ............................................................................................... 167
LAMPIRAN E................................................................................................ 183

xii

DAFTAR GAMBAR
Gambar 2.1. Siklus Informasi ......................................................................... 19
Gambar 2.2. CIA Triad ................................................................................... 23
Gambar 2.3. Tahap-tahap Metode FMEA...................................................... 36
Gambar 3.1. Tahapan Penelitian .................................................................... 71
Gambar 4.1. Struktur Organisasi BKPSDM .................................................. 74
Gambar 4.2. Sistem Informasi Kepegawaian ................................................. 78
Gambar 4.3. Activity Diagram Pencarian PNS .............................................. 85
Gambar 4.4. Activity Diagram Edit Biodata PNS .......................................... 86
Gambar 4.5. Activity Diagram Cetak Biodata PNS ....................................... 86
Gambar 4.6. Activity Diagram Cetak Biodata PNS ....................................... 87
Gambar 4.7. Activity Diagram Update Biodata PNS ..................................... 87
Gambar 4.8. Activity Diagram Pensiun .......................................................... 88
Gambar 4.9. Activity Diagram Grafik PNS .................................................... 88
Gambar 4.10. Activity Diagram Struktur Organisasi PNS ............................ 89
Gambar 4.11. Activity Diagram Normatif PNS .............................................. 89

xiii

DAFTAR TABEL

Tabel 1.1. Permasalahan pada aset TI BKPSDM............................................. 7
Tabel 2.1. Skala Severety ................................................................................. 38
Tabel 2.2. Skala Occurrence............................................................................ 39
Tabel 2.3. Skala Detection ............................................................................... 40
Tabel 2.4. Calculation Level ............................................................................ 42
Tabel 2.5. Studi Literatur Sejenis.................................................................... 48
Tabel 4.1. RACI Chart..................................................................................... 83
Tabel 4.2. Kekuatan dan Kelemahan Organisasi ........................................... 90
Tabel 4.3. Kekuatan dan Kelemahan Sistem .................................................. 92
Tabel 4.4. Aset Komponen Teknologi Informasi ............................................ 93
Tabel 4.5. Daftar Aset Kritis ........................................................................... 95
Tabel 4.6. Kebutuhan Keamanan Aset Kritis................................................. 97
Tabel 4.6. Ancaman Aset Kritis..................................................................... 100
Tabel 4.7. Kerentanan Aset ........................................................................... 102
Tabel 4.8. Potensial Risiko............................................................................. 103
Tabel 4.9. Risk Register ................................................................................. 107
Tabel 4.10. Nilai Severety, Occurance, dan Detection .................................. 115
Tabel 4.11. Prioritas Risiko ........................................................................... 122
Tabel 4.12. Tindakan Perbaikan ................................................................... 123
Tabel 4.13. Tabel Mitigasi Risiko .................................................................. 126
Tabel 4.14. Control Objectives NT02 ............................................................ 142
Tabel 4.15. Control Objectives HW13 .......................................................... 142
Tabel 4.16. Control Objectives HW17 .......................................................... 143
Tabel 4.17. Control Objectives NT03 ............................................................ 143
Tabel 4.18. Control Objectives NT01 ............................................................ 144
Tabel 4.19. Control Objectives HW08 .......................................................... 145

xiv

BAB I

PENDAHULUAN

1.1 Latar Belakang

Perkembangan teknologi informasi (TI) yang sangat pesat memberikan
banyak kemudahan dalam berbagai aspek kegiatan. Teknologi informasi banyak
digunakan oleh perusahaan atau lembaga untuk meningkatkan kemampuan dalam
menyalurkan, mengelola, dan mendistribusikan informasi sehingga kebutuhan
informasi dapat dicapai (Yulia & Ratnawati, 2020). Informasi merupakan salah satu
aset penting yang harus dilindungi oleh perusahaan karena informasi merupakan
kebutuhan utama dalam pelaksanaan semua kegiatan yang membantu
perkembangan perusahaan. Pengolahan data yang baik akan menghasilkan
informasi yang berguna, oleh karena itu harus sebanding dengan proses pengelolaan
data (P. K. Handayani, 2016). Seiring dengan laju perkembangan zaman, informasi
menjadi kunci utama dalam proses bisnis sehingga pertukaran informasi sudah
menjadi keharusan terutama bagi perusahaan atau lembaga yang menggunakan
Komputer Based Information System (CBIS) atau dikenal dengan Sistem Informasi
berbasis Komputer (Kholid dkk, 2018).

Dengan semakin besarnya peranan TI, kebutuhan akan informasi yang
akurat dan tepat sangat diperlukan, maka investasi dibidang TI juga semakin
meningkat. Selain memberikan keuntungan, penggunaan TI juga dapat
menimbulkan risiko yang beragam seperti kehilangan data yang disebabkan oleh
adanya virus, kerusakan yang diakibatkan oleh bencana alam dan kesalahan yang
terjadi karena faktor kesengajaan atau kecurangan. Banyaknya aktivitas proses
bisnis yang dilakukan, membuat TI sangat rentan terhadap keamanan informasi
(Desy, Hidayanto, & Astuti, 2014). Oleh karena itu, dalam menghadapi
pertumbuhan suatu perusahaan atau lembaga dibutuhkan kebijakan yang tepat
untuk dapat melindungi aset informasi dan memperhatikan keamanan informasi
yang dimiliki. Hal tersebut dilakukan agar investasi TI yang telah digunakan tidak
menimbulkan ancaman yang dapat merugikan perusahaan.

1

Keamanan informasi merupakan salah satu cara untuk mempertahankan
informasi dari gangguang atau kerusakan (Malyuk & Miloslavskaya, 2014).
Keamanan informasi mengacu pada proses dan metodologi yang dibentuk dan
diterapkan dengan tujuan melindungi informasi atau data cetak dari gangguang
yang dapat menimbulkan kerugian bagi organisasi. Keamanan informasi tidak bisa
disandarkan hanya pada teknologi informasi, namun perlu adanya pengetahuan dan
pemahaman mengenai permasalahan yang mungkin muncul apabila terjadi
serangan. Pengelolaan keamanan informasi merupakan tanggung jawab perusahaan
untuk mengindari risiko yang merugikan. Oleh karena itu, perusahaan harus
menghindari kesalahan dalam pengelolaan keamanan informasi seperti tidak
membuat struktur tata kelola keamanan informasi yang tepat yang merupakan aspek
penting bagi perusahaan (Von Solms & Von Solms, 2004). Berdasarkan pada survei
yang dilakukan terhadap 1271 manajer sistem informasi di Amerika Serikat dalam
majalah Information Week, hanya terdapat 22% yang memberikan pendapat bahwa
masalah keamanan sistem informasi merupakan masalah yang sangat vital dan
sebagian besar cenderung lebih mengutamakan mengurangi biaya dan
meningkatkan persaingan meskipun sebenarnya biaya perbaikan sistem setelah
adanya ancaman jauh lebih banyak. Meskipun masalah keamanan sering kali dilihat
sebagai sesuatu yang tidak dapat diukur secara langsung dengan mata uang
(intangible), namun masalah celah keamanan terhadap sistem informasi sebetulnya
dapat diukur secara real (tangible) seperti kerugian yang ditimbulkan dari sebuah
sistem apabila sistem tidak dapat dioperasikan selama beberapa jam (Budiarto,
2017).

Risiko merupakan sesuatu yang mengarah pada ketidakpastian atas kejadian
suatu peristiwa selama waktu tertentu di mana peristiwa tersebut dapat
menimbulkan kerugian baik yang tidak berpengaruh atau kerugian yang dapat
membawa pengaruh terhadap proses yang berjalan pada perusahaan (Soputan,
Sompie, & Mandagi, 2014). Kerugian yang ditimbulkan akibat adanya risiko adalah
bentuk ketidakpastian yang seharusnya dipahami dan dikelola dengan baik agar
tidak mengganggu tujuan perusahaan. Pengelolaan risiko merupakan bagian dari
strategi dan tata kelola yang dapat menjadi nilai tambah, oleh karena itu perusahaan

2

juga harus menerapkan manajemen risiko untuk mengatasi kerugian atau kerusakan
yang mungkin muncul. Risiko adalah tantangan yang harus dihadapi di masa yang
akan datang karena wujud risiko belum diketahui secara pasti. Namun usaha untuk
mengurangi atau meminimalkan dampak yang ditimbulkan dari risiko tetap dapat
dilakukan dengan cara pengendalian risiko terhadap ketidakpastian. Oleh karena itu
diperlukan adanya penerapan manajemen risiko dalam menjalankan suatu proses
bisnis baik utama atau pendukung (Gunawan & Kusumawati, 2017).

Penerapan manajemen risiko yang berhubungan dengan manajemen
keamanan TI merupakan salah satu cara untuk melindungi keamanan informasi.
Manajemen risiko merupakan suatu proses mengidentifikasi risiko, menilai risiko,
dan mengambil langkah-langkah untuk mengurangi risiko ke tingkat yang dapat
diterima (Stoneburner, Goguen, & Feringa, 2002). Manajemen risiko juga dikenal
sebagai suatu kemampuan yang dimiliki oleh seorang manajer untuk menata
kemungkinan variabilitas pendapatan dengan menekan sekecil mungkin tingkat
kerugian yang diakibatkan oleh keputusan yang akan diambil (N. U. Handayani,
Wibowo, Sari, Satria, & Gifari, 2018). Manajemen risiko tidak terbatas pada TI,
tetapi juga mencakup proses bisnis yang dapat membantu manajemen dalam
memenuhi tugas untuk melindungi aset perusahaan.

Manajemen risiko merupakan suatu proses untuk mengantisipasi terhadap
risiko yang mungkin muncul agar tidak menimbulkan kerugian untuk perusahaan
(Pratiwi & Kurniawan, 2018). Menurut (Budiarto, 2017) manajemen risiko adalah
pendekatan secara ilmiah yang bertujuan untuk mengatasi segala bentuk risiko
dengan mengantisipasi kerugian-kerugian yang terjadi dan mengimplementasikan
prosedur yang mampu untuk meminimalkan terjadinya kerugian. Manajemen risiko
merupakan serangkaian metodologi dan prosedur yang digunakan untuk mengelola
ancama/risiko dengan cara mengidentifikasi risiko, menilai risiko, dan mengambil
langkah-langkah untuk mengurangi risiko ke tingkat yang dapat diterima.
Manajemen risiko yang baik adalah yang memiliki fokus pada identifikasi dan cara
mengatasi risiko yang berfungsi untuk meningkatkan kemungkinan sukses, dan
mengurangi kemungkinan kegagalan. Menurut (Marginingsih, 2017) manajemen

3

risiko merupakan bagian penting dari strategi yang harus dilakukan agar perusahaan
mampu melindungi aset dan mampu mencapai keberhasilan tujuan baik jangka
pendek maupun jangka panjang serta bisa mempersiapkan perusahaan untuk
menghadapi kondisi tertentu yang dapat menyebabkan kerugian.

Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
(BKPSDM) Kabupaten Dharmasraya adalah salah satu OPD yang sudah lama
terbentuk yang sebelumnya bernama Badan Kepegawaian Daerah (BKD) sesuai
dengan Peraturan Pemerintah Nomor 18 Tahun 2016 tentang Perangkat Daerah
terhitung tanggal 01 Januari 2017. BKPSDM merupakan unsur pelaksana fungsi
penunjang urusan pemerintahan yang menjadi kewenangan daerah di bidang
kepegawaian, pendidikan, dan pelatihan sesuai dengan Peraturan Bupati Nomor 65
Tahun 2016 tentang Kedudukan, Susunan Organisasi, Tugas, Fungsi, Uraian Tugas,
Jabatan serta Tata Kerja BKPSDM Kabupaten Dharmasraya (Home BKPSDM,
2016). Salah satu tugas BKPSDM Kabupaten Dharmasraya adalah manajemen
pegawai. Manajemen Kepegawaian merupakan proses yang penting dalam
mewujudkan kinerja pemerintah dalam memberikan pelayanan kepada publik.
Salah satu fungsi dari manajemen kepegawaian yang dapat dirasakan manfaatnya
dalam pemerintahan daerah yaitu manajemen data pegawai yang meliputi
perencanaan, pengadaan, mutasi, dan pensiun. Manajemen kepegawaian
membutuhkan dukungan data yang akurat, sehingga diperlukan sistem informasi
manajemen data pegawai dengan dukungan teknologi informasi.

Sistem Informasi Manajemen Kepegawaian (SIMPEG) merupakan sistem
informasi yang digunakan oleh BKPSDM Kabupaten Dharmasraya yang dikelola
oleh Sub Bidang Informasi dan Fasilitasi Profesi ASN. Berdasarkan pada Peraturan
Bupati Nomor 65 Tahun 2016 tentang Kedudukan, Susunan Organisasi, Tugas,
Fungsi, Uraian Tugas, Jabatan serta Tata Kerja BKPSDM Kabupaten Dharmasraya,
Sub Bidang Informasi dan Fasilitasi Profesi ASN bertugas untuk melaksanakan
tugas sesuai dengan pasal 11 yaitu melaksanakan pengembangan sistem informasi,
mengelola sistem informasi kepegawaian (SIMPEG), mengelola data pegawai, dan
mengevaluasi sistem informasi kepegawaian (SIMPEG) (Home BKPSDM, 2016).

4

SIMPEG digunakan untuk mengelola dan mendata semua pegawai yang ada
di Kabupaten Dharmasraya mulai dari pegawai pertama kali diterima hingga
pegawai tersebut pensiun. Pegawai Negeri Sipil (PNS) adalah unsur sumber daya
manusia terpenting yang mempunyai peran dalam meningkatkan roda
pemerintahan dan pembangunan Negara (Zairen & Hartanto, 2013). Terdapat
sebanyak 3396 data pegawai Kabupaten Dharmasraya yang dikelola oleh BKPSDM
dan tersimpan didalam SIMPEG. SIMPEG memperoleh input berupa data pribadi
pegawai yang selanjutnya data terebut diolah sehingga menjadi suatu informasi
yang dapat digunakan oleh BKPSDM Kabupaten Dharmasraya dalam pengambilan
keputusan dan mencapai tujuan yang ada. Manajemen data kepegawaian pada
BKPSDM Kabupaten Dharmasraya berisi informasi lengkap tentang pegawai serta
riwayat hidup pegawai yang disimpan pada SIMPEG. SIMPEG bertujuan untuk
membantu memperoleh informasi mengenai data dan kondisi karyawan yang tepat
dan akurat sehingga memudahkan dalam pembuatan laporan yang dibutuhkan oleh
BKPSDM Kabupaten Dharmasraya.

Adanya sistem informasi yang terintegrasi dapat membantu BKPSDM
untuk mewujudkan aksesibilitas data dengan akurat dalam durasi relatif singkat.
Bahkan untuk efek berkelanjutan juga dapat membantu meningkatkan produktivitas
karyawan. Beberapa fungsi SIMPEG pada BKPSDM yaitu manajemen mutasi
pegawai, memetakan kenaikan pangkat, memetakan kenaikan gaji, rekap dan
update data pegawai, membuat statistik pegawai, sarana untuk penempatan suatu
jabatan atau posisi dan perekrutan pegawai baru, pemantauan pembagian cuti,
merencanakan penyebaran pegawai, dan pensiun pegawai. Berdasarkan fungsi
SIMPEG tersebut, dapat disimpulkan bahwa data pribadi pegawai merupakan aset
kritis dalam manajemen kepegawaian. Seiring dengan perkembangan teknologi,
data pribadi menjadi sesuatu yang substansial untuk sejumlah kepentingan.
Ancaman terjadinya kerusakan dan kebocoran data seperti alamat email dan nomor
telepon yang disebabkan oleh ketidaksengajaan SDM, virus dan malware,
pembobolan data, kerusakan database, kerusakan hardware, pemadaman listrik,
bencana alam dan lain sebagainya, dapat terjadi apabila SIMPEG tidak memiliki
keamanan dan manajemen risiko yang mampu menjaga informasi dari

5

kemungkinan risiko dan jika tidak segera ditindak lanjuti dapat berpotensi atau
dimanfaatkan oleh pihak yang tidak bertanggungjawab dan dapat membahayakan
bagi pihak pemilik data tersebut. Oleh karena itu, penerapan sistem informasi
manajemen ini tidak terlepas dari ancaman dan risiko yang dapat mengganggu
keberlangsungan proses bisnis pada BKPSDM.

Dalam penerapan SIMPEG tentu saja mempunyai beberapa permasalahan
dan hambatan yang dapat mengganggu proses bisnis pada BKPSDM seperti
kehilangan data, penyalahgunaan hak akses, kerusakan akibat bencana alam,
jaringan terputus akibat pemadaman listrik dan lain sebagainya. Hal ini tentunya
dapat menyebabkan rusaknya aset penting yang dimiliki dan menjadi masalah bagi
BKPSDM. Adanya kemungkinan munculnya permasalahan tersebut menjadi dasar
pentingnya melakukan analisis risiko terkait penerapan teknologi informasi di
perusahaan atau organisasi. Dengan mengetahui risiko potensial yang terjadi dapat
membantu BKPSDM untuk membuat dan menentukan langkah-langkah yang tepat
untuk menangani setiap risiko yang muncul sehingga BKPSDM mampu
menghindari dan meminimalisir dampak yang merugikan.

Berdasarkan hasil wawancara yang telah dilakukan dengan divisi IT Sub
Bidang Informasi dan Fasilitasi Profesi ASN dikantor BKPSDM Kabupaten
Dharmasraya, beliau menyatakan bahwa BKPSDM belum memiliki prosedur atau
kebijakan terkait dengan keamanan TI yang dimiliki sehingga BKPSDM belum
mampu untuk menghadapi dan menghidari kerugian akibat dari risiko. Salah satu
contoh risiko yang pernah terjadi yaitu pada tahun 2018, saat terjadi hujan dan badai
di Kabupaten Dharmasraya, menyebabkan rusaknya ruangan tempat server
disimpan, sehingga menyebabkan kerusakan database, server, dan perangkat
komputer yang mengakibatkan hilangnya data pegawai. Selain itu, risiko tersebut
juga berdampak pada SIMPEG yang tidak dapat dioperasikan untuk beberapa
waktu sehingga menghambat proses bisnis dan menimbulkan kerugian finansial
bagi BKPSDM. Selanjutnya, BKPSDM belum melakukan penilaian risiko yang
sesuai dengan Peraturan Bupati Dharmasraya Nomor 53 Tahun 2017 tentang
pedoman penelitian risiko pada perangkat daerah di lingkungan pemerintahan

6

Kabupaten Dharmasraya pada Pasal 3 bahwa kepala perangkat daerah wajib
melakukan penilaian risiko. Kemudian terdapat beberapa permasalahan yang
pernah terjadi pada aset TI BKPSDM seperti berikut.

Tabel 1.1. Permasalahan pada aset TI BKPSDM

No. Permasalahan Frekuensi Akibat Dampak
Kejadian

1. Jaringan Saat cuaca Sistem tidak dapat Terhambatnya proses

buruk seperti beroperasi dalam bisnis yang berjalan

petir dan angin waktu tertentu

kencang

Pemadaman

listrik

2. Sistem belum Sejak tahun Sistem tidak bisa Proses bisnis yang

pernah di- 2013 hingga menampilkan berjalan memakan

upgrade sekarang keseluruhan rekap waktu lebih lama

pegawai

3. Rusaknya Saat cuaca Hardware dan Terjadi kerugian

hardware dan buruk software tidak finansial

software dapat digunakan

4. Tidak ada Saat cuaca Hilangnya data Meng-update dan

backup buruk pegawai memeriksa kembali data

database pegawai satu-persatu

secara manual

5. Human error Saat input dan Data yang ada Harus memeriksa

update data tidak sesuai kembali dan melakukan

pegawai dengan data penyesuaian dengan

sebenarnya sistem pusat

Sumber: Hasil wawancara dengan Divisi IT BKPSDM

Berdasarkan permasalahan di atas, dampak yang dihasilkan dari gangguang
yang terjadi dapat mengganggu dan menghambat proses bisnis dan kinerja pegawai
BKPSDM Kabupaten Dharmasraya. Meskipun BKPSDM memiliki SIMPEG untuk

7

membantu proses bisnis yang berjalan, namun BKPSDM belum memiliki prosedur
atau kebijakan terkait keamanan sistem informasi yang dimiliki. Sehingga
BKPSDM belum mampu untuk menghindari dan meminimalisir kemungkinan
ancaman atau risiko yang mungkin terjadi pada SIMPEG yang dapat
mengakibatkan kerusakan dan kehilangan data. Hal tersebut dapat membuat data
yang ada tidak terjamin keasliannya dan data tidak dapat digunakan sebagai bahan
pengambilan keputusan oleh BKPSDM.

Oleh karena itu, untuk meminimalisir ancaman dan risiko yang mungkin
muncul pada aset teknologi informasi yang dimiliki oleh BKPSDM, diperlukan
adanya penerapan manajemen risiko untuk menjaga keamanan informasi dan
melindungi aset yang dimiliki dari risiko yang dapat menghambat pencapaian
tujuan dan berbagai hal yang berpotensi menimbulkan kerugian bagi perusahaan.

Untuk mengetahui dan mengidentifikasi risiko yang mungkin terjadi pada
keamanan teknologi informasi pada sebuah perusahaan, diperlukan adanya satu
langkah penilaian terhadap risiko yang mungkin muncul dan menghambat proses
bisnis yang berjalan sehingga menimbulkan kerugian bagi perusahaan. Untuk
melakukan analisis manajemen risiko untuk permasalahan yang ada pada aset TI
BKPSDM, maka metode yang digunakan adalah metode Failure mode and Effects
Analysis (FMEA) dan untuk mitigasi risiko yang bertujuan memberikan kontrol
pada setiap risiko, peneliti menggunakan standar ISO/IEC 27002:2013.

Metode FMEA merupakan salah satu teknik terstruktur, sistematis, dan
proaktif pertama yang digunakan dalam menganalisis kegagalan (Asan & Soyer,
2016). Metode FMEA dipilih untuk digunakan pada analisis manajemen risiko
karena FMEA sangat berguna untuk mengidentifikasi kegagalan dan dapat
digunakan untuk menangkap potensi kegagalan, risiko, dan dampak serta
memberikan prioritas berdasarkan dengan peringkat prioritas risiko (Budiarto,
2017). Metode FMEA bertujuan untuk membuat daftar semua kemungkinan mode
kegagalan (failure mode) dan mengevaluasi penyebab terjadinya kegagalan tersebut
dan bagaimana efek selanjutnya pada kinerja sistem. Mode kegagalan tidak dapat
dihindari untuk sebagian besar sistem, jadi FMEA berfungsi sebagai alat paling

8

efektif untuk memastikan bahwa potensi ancaman terhadap sistem telah
dipertimbangkan dan ditangani, dan risiko yang ditemukan dapat diminimalkan.
Pada penelitia yang dilakukan oleh (Desy et al., 2014) metode FMEA terbukti dapat
mengidentifikasi risiko yang dikategorikan berdasarkan hardware, software,
network, data, people, dan e-banking serta memberikan prioritas risiko yang
memiliki nilai RPN tinggi terhadap aset teknologi informasi yang ada di PT. Bank
XYZ Surabaya. Selain itu pada penelitian yang dilakukan oleh (Munaroh, Amrozi,
& Nurdian, 2020) metode FMEA berhasil mengukur 22 penyebab kegagalan yang
akan menyebabkan terjadinya risiko pada keamanan aset teknologi informasi di
Dinas Perindustrian dan Perdagangan Provinsi XYZ di Bidang Perdagangan Dalam
Negeri.

Standar ISO/IEC 27002:2013 merupakan standar internasional yang
dirancang untuk digunakan oleh organisasi sebagai referensi untuk memilih kontrol
dalam proses penerapan sistem manajemen keamanan informasi (SMKI) atau
sebagai dokumen panduan untuk organisasi yang menerapkan kontrol keamanan
informasi yang diterima secara umum. Selain itu standar ini juga dimaksudkan
untuk digunakan dalam mengembangkan industri dan pedoman manajemen
keamanan informasi organisasi dengan mempertimbangkan lingkungan risiko
keamanan informasi (International Standard Organization, 2011). Penelitian ini
menggunakan control objectives yang ada pada standar ISO/IEC 27002:2013 untuk
memberikan mitigasi yang sesuai untuk setiap kemungkinan risiko yang sudah
diidentifikasikan menggunakan metode FMEA.

Penelitian yang dilakukan oleh (Dewantara, 2016) yaitu melakukan
identifikasi, penilaian dan mitigasi risiko berdasarkan standar ISO 27002:2013
menggunakan metode FMEA untuk memberikan gambaran terkait risiko-risiko
yang berpotensi pada proses bisnis JSI-Net serta bagaimana saran tindakan untuk
menangani risiko. Penelitian ini menghasilkan 20 risiko terhadap aset ISNet dan
memberikan opsi mitigasi berdasarkan pada control objective ISO 27002:2013.
Hasil penelitian didapatkan dokumen manajemen risiko beserta
pengimplementasian manajemen risiko yang berisi daftar aset yang menjadi

9

prioritas dan mitigasi yang diberikan untuk kemudian dapat digunakan dan
diimplementasikan di kehidupan nyata sehingga dapat menguragi dan
meminimalkan kerugian yang dapat ditimbulkan akibat risiko yang mungkin terjadi
pada ISNet.

Penelitian yang dilakukan oleh (N. U. Handayani et al., 2018) yang
bertujuan untuk mengidentifikasi risiko, menganalisis manajemen keamanan sistem
informasi, dan menentukan prioritas risiko pada sistem informasi di Fakultas
Teknik (SIFT) Universitas Diponegoro menggunakan metode FMEA berbasis
framework ISO 27001. Penelitian ini berhasil menemukan lima prioritas risiko
teratas pada SIFT UNDIP yaitu ketergantungan kepada karyawan dalam
kelangsungan operasional sistem informasi dengan nilai RPN = 80, fiber optic
tersambar petir dengan nilai RPN = 60, misconfiguration ISP dengan nilai RPN =
60, modifikasi data tanpa ijin dengan nilai RPN = 40, dan kerusakan computer
server dengan nilai RPN = 40.

Penelitian lainnya yang dilakukan oleh (Budiarto, 2017) dengan judul
penerapan metode FMEA untuk keamanan sistem informasi (studi kasus: website
POLRI) bertujuan untuk mengeksplorasi penggunaan FMEA pada sistem informasi
serta mengidentifikasi potensi gangguan dan permasalahan yang ada pada sistem
informasi website Polri. Hasil analisis pada penelitian ini didapatkan berbagai
macam celah keamanan dan penelitian ini menunjukkan tingkat kerawanan yang
tinggi dengan hasil RPN dalam rentang 40-60% dan berbagai tindakan rekomendasi
berdasarkan data yang telah di olah dan telah diuji telah dijabarkan untuk
mengurangi tingkat kerawanan.

Alat manajemen kualitas seperti FMEA telah diterapkan di berbagai instansi
untuk meningkatkan kualitas. Dalam penelitian yang dilakukan oleh (Hanifah &
Suroso, 2020) dengan judul analisis risiko sistem informasi pada RSIA Eria Bunda
menggunakan metode FMEA dengan tujuan mengetahui bagaimana tingkatan
risiko yang terjadi pada sistem informasi dan memberikan solusi mitigasi kepada
RSIA Eria Bunda. Berdasarkan pada penilaian yang dilakukan didapatkan
kegagalan dengan kategori tinggi sebanyak 1 aktivitas, dengan kategori

10

moderate/sedang sebanyak 6 aktivitas, dan kategori low/rendah sebanyak 19
aktivitas. Adapun kegagalan yang perlu mendapatkan perhatian yaitu hardware
rusak oleh human error, maintanance tidak teratur dan virus, network gagal oleh
kabel LAN yang rusak, penyalahgunaan hak akses karena password yang jarang
diganti, dan pelanggaran terhadap peraturan yang berlaku.

Berdasarkan latar belakang yang telah disebutkan, untuk mengidentifikasi
risiko yang mungkin terjadi pada keamanan sistem informasi manajemen
kepegawaian (SIMPEG), maka penulis tertarik untuk melakukan penelitian dengan
judul “Analisis Manajemen Risiko Keamanan Sistem Informasi Manajemen
Kepegawaian (SIMPEG) Menggunakan Metode Failure mode and Effects
Analysis (FMEA) dan Mitigasi Menggunakan Standar ISO/IEC 27002:2013
(Studi Kasus: BKPSDM Kabupaten Dharmasraya)”.

1.2 Identifikasi Masalah

Berdasarkan latar belakang yang telah disampaikan maka identifikasi
masalah untuk penelitian ini adalah sebagai berikut:

1. Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
(BKPSDM) Kabupaten Dharmasraya belum melakukan penilaian risiko
yang sesuai dengan Peraturan Bupati Dharmasraya Nomor 53 Tahun 2017
tentang pedoman penelitian risiko pada perangkat daerah di lingkungan
pemerintahan Kabupaten Dharmasraya pada Pasal 3 bahwa kepala
perangkat daerah wajib melakukan penilaian risiko.

2. Saat terjadi pemadaman listrik dan cuaca buruk seperti petir dan angin
kencang, mengakibatkan SIMPEG tidak dapat beroperasi.

3. SIMPEG belum pernah di-upgrade sejak tahun 2013 hingga sekarang,
akibatnya sistem tidak bisa menampilkan keseluruhan data pegawai.

4. Rusaknya hardware dan software yang disebabkan oleh cuaca buruk yang
mengakibatkan kerugian finansial bagi perusahaan.

5. Tidak ada backup data yang mengakibatkan hilangnya data pegawai.

11

6. Masih adanya human error sehingga data yang ditampilkan tidak sesuai
dengan data yang sebenarnya.

1.3 Rumusan Masalah
Berdasarkan identifikasi masalah tersebut, didapatkan rumusan masalah

sebagai berikut.
1. Bagaimana melakukan analisis manajemen risiko keamanan Sistem
Informasi Manajemen Kepegawaian (SIMPEG) menggunakan Metode
Failure mode and Effect Analysis (FMEA) di Badan Kepegawaian dan
Pengembangan Sumber Daya Manusia (BKPSDM) Kabupaten
Dharmasraya?
2. Bagaimana melakukan mitigasi risiko berdasarkan pada Standar ISO/IEC
27002:2013 di Badan Kepegawaian dan Pengembangan Sumber Daya
Manusia (BKPSDM) Kabupaten Dharmasraya?

1.4 Batasan Masalah
Berdasarkan masalah yang telah dirumuskan sebelumnya, maka ruang

lingkup masalah dibatasi pada:

1. Penilaian Risiko dilakukan pada Sistem Informasi Manajemen
Kepegawaian (SIMPEG) di Badan Kepegawaian dan Pengembangan
Sumber Daya Manusia (BKPSDM) Kabupaten Dharmasraya.

2. Penelitian dilakukan pada Sub Bidang Informasi dan Fasilitasi Profesi ASN
di Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
(BKPSDM) Kabupaten Dharmasraya.

3. Data diperoleh dari hasil observasi langsung di lingkungan Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM)
Kabupaten Dharmasraya dan wawancara dengan pihak terkait serta
penyebaran kuesioner.

12

4. Proses penilaian risiko menggunakan Metode Failure mode and Effect
Analysis (FMEA) bertujuan untuk mengidentifikasi risiko yang ada di
Sistem Informasi Manajemen Kepegawaian (SIMPEG).

5. Langkah mitigasi risiko dilakukan berdasarkan pada control objectives yang
ada pada standar ISO/IEC 27002:2013.

6. Penelitian ini tidak memberikan rekomendasi prosedur atau kebijakan
terkait dengan keamanan Sistem Informasi Manajemen Kepegawaian
(SIMPEG) yang ada di Badan Kepegawaian dan Pengembangan Sumber
Daya Manusia (BKPSDM) Kabupaten Dharmasraya.

1.5 Tujuan Penelitian
Dengan adanya rumusan masalah yang telah ditentukan, maka penelitian ini

bertujuan sebagai berikut.

1. Mengidentifikasi risiko dan ancaman yang mungkin terjadi pada keamanan
Sistem Informasi Manajemen Kepegawaian (SIMPEG) di Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM)
Kabupaten Dharmasraya.

2. Memberikan rekomendasi mitigasi risiko bagi Pemerintahan Kabupaten
Dharmasraya berdasarkan pada control objectives yang ada pada standar
ISO/IEC 27002:2013 dalam mengurangi dampak yang ditimbulkan dari
risiko keamanan teknologi informasi pada Sistem Informasi Manajemen
Kepegawaian (SIMPEG) di Badan Kepegawaian dan Pengembangan
Sumber Daya Manusia (BKPSDM) Kabupaten Dharmasraya.

1.6 Manfaat Penelitian
Manfaat yang penulis harapkan dari hasil penelitian ini adalah sebagai

berikut.
1. Manfaat bagi penulis:

13

a. Penelitian ini merupakan sebuah eksplorasi teori-teori yang selama
ini penulis pelajari pada program studi Sistem Informasi di
Universitas Islam Negeri Syarif Hidayatullah Jakarta.

b. Menambah wawasan, ilmu pengetahuan, dan pengalaman terhadap
Sistem Informasi Manajemen Kepegawaian (SIMPEG) di Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia
(BKPSDM) Kabupaten Dharmasraya.

c. Dapat memecahkan masalah secara langsung pada instansi dengan
teori yang sudah diberikan pada saat perkuliahan.

2. Manfaat bagi Badan Kepegawaian dan Pengembangan Sumber Daya
Manusia (BKPSDM) Kabupaten Dharmasraya:
a. Menjadi bahan masukan untuk meminimalisir risiko dan penyebab
risiko yang ada dan yang akan dialami pada Sistem Informasi
Kegepawaian (SIMPEG).
b. Menjadi bahan pertimbangan bagi BKPSDM dalam pengambilan
keputusan mengenai manajemen risiko.
c. Memberikan pengetahuan tentang identifikasi risiko sistem
informasi menggunakan metode Failure mode And Effects Analysis
(FMEA) dan mitigasi risiko berdasarkan pada standari ISO/IEC
27002:2013.

3. Manfaat bagi Universitas:
a. Mengetahui kemampuan mahasiswa dalam menguasai materi
pelajaran yang diperoleh saat perkuliahan.
b. Dapat digunakan sebagai bahan referensi bagi penelitian selanjutnya
serta bahan evaluasi dalam mengembangkan keilmuan yang
berhubungan dengan penelitian serupa.

1.7 Metodologi Penelitian

Metodologi yang digunakan dalam analisis manajemen resiko keamanan
sistem informasi kepegawaian ini adalah sebagai berikut.

14

1.7.1 Metodologi Pengumpulan Data

1. Metode Wawancara
Metode ini dilaksanakan untuk mengumpulkan data dan informasi guna
mengetahui masalah apa saja yang dihadapi oleh pengguna dengan cara
melakukan wawancara Sistem Informasi Manajemen (SIMPEG).

2. Metode Observasi
Metode ini dilaksanakan untuk mengumpulkan data dan informasi dengan
cara maninjau dan mengamati secara langsung bagaimana sistem yang
sedang berjalan dan dan menganalisis ancaman dan risiko yang mungkin
terjadi pada Sistem Informasi Manajemen (SIMPEG).

3. Metode Studi Pustaka
Metode ini dilakukan dengan cara mempelajari teori-teori literatur dan
buku-buku serta situs-situs penyedia layanan yang berhubungan dengan
objek tugas akhir sebagai dasar dalam pengujian ini.

4. Metode Studi Literatur Sejenis
Studi literatur yang dipergunakan di dalam penelitian ini adalah studi
literatur hasil dari karya ilmiah sejenis.

5. Metode Kuesioner
Kuesioner diberikan kepada responden yang telah ditetukan dan memiliki
kriteria yang telah ditetapkan. Setelah mendapatkan data dari pengisian
kuesioner akan diolah berdasarkan aturan dan metode Failure mode and
Effects Analysis (FMEA).

1.7.2 Metode Failure mode and Effects Analysis (FMEA)

Metode analisis data yang digunakan dalam penelitian ini adalah metode
Failure mode and Effects Analysis (FMEA). Identifikasi menggunakan FMEA
dilakukan dengan cara memberikan nilai atau skor kegagalan berdasarkan atas
tingkat kejadian (occurence), tingkat keparahan (severity), dan tingkat deteksi
(detection).

15

1.8 Sistematika Penulisan
Dalam penyusunan laporan penelitian, pembahasan terbagi dalam lima bab

yang akan diuraikan secara singkat sebagai berikut.

BAB I PENDAHULUAN
Bab ini menjelaskan tentang latar belakang, identifikasi masalah, rumusan
masalah, batasan masalah, tujuan penelitian, manfaat penelitian, metodologi
penelitian, dan sistematika penulisan yang digunakan dalam penelitian.

BAB II LANDASAN TEORI
Bab ini membahas mengenai dasar teori-teori yang mendukung penelitian
mengenai analisis manajemen resiko keamanan sistem informasi
manajemen kepegawaian (SIMPEG) di Badan Kepegawaian dan
Pengembangan Sumber Daya Manusia (BKPSDM) Kabupaten
Dharmasraya.

BAB III METODOLOGI PENELITIAN
Bab ini menjelaskan tentang metodologi yang digunakan dalam penelitian
ini, yaitu metode pengumpulan data dan metode untuk analisis manajemen
resiko keamanan sistem informasi yaitu Metode Failure mode and Effect
Analysis (FMEA)

BAB IV HASIL DAN PEMBAHASAN
Bab ini menggambarkan profil singkat objek penelitian dan membahas hasil
analisis manajemen resiko sistem informasi manajemen kepegawaian
(SIMPEG) di Badan Kepegawaian dan Pengembangan Sumber Daya
Manusia (BKPSDM) Kabupaten Dharmasraya.

BAB V PENUTUP
Bab ini berisi kesimpulan dari hasil pemecahan masalah terkait manajemen
resiko pada sistem dan juga berisi beberapa saran berupa rekomendasi untuk

16

Pemerintahan Kabupaten Dharmasraya dalam mengurangi risiko keamanan
teknologi informasi pada sistem informasi manajemen kepegawaian
(SIMPEG).
DAFTAR PUSTAKA

17

BAB II

LANDASAN TEORI

2.1 Konsep Dasar Teknologi Informasi

2.1.1 Pengertian Teknologi

Kata teknologi pertama kali ditemukan dalam buku yang ditulis oleh Philips
pada tahun 1706 yang berjudul “Technology: A Description of The Arts, Especially
The Mechanical”(Lubis, Yani Nasution, & Safii, 2019). Kata teknologi berasal dari
Bahasa Yunani, yaitu “tecnologia” maksudnya adalah pembahasan sistematik
mengenai seluruh seni dan kerajinan. Secara etimologis, akar kata teknologi adalah
“techne” yang memiliki arti serangkaian prinsip atau metode rasional yang
berkaitan dengan pembuatan suatu obyek, atau kecakapan tertentu, atau
pengetahuan tentang prinsip-prinsip atau metode dan seni. Berdasarkan makna kata
tersebut, dalam Bahasa Yunani kuno teknologi dapat didefinisikan sebagai suatu
seni memproduksi alat-alat produksi dan menggunakannya. Definisi tersebut
selanjutnya berkembang menjadi penggunaan ilmu pengetahuan sesuai dengan
kebutuhan manusian (Ngafifi, 2014).

Teknologi merupakan sebuah sarana untuk memenuhi kebutuhan bagi
keberlangsungan hidup manusia. Penggunaan teknologi sangat membantu terutama
dalam perkembangan manusia yang akhirnya menimbulkan nilai-nilai baru dalam
kehidupan (Lubis et al., 2019).

2.1.2 Pengertian Sistem

Menurut Yakup dalam penelitian yang dilakukan oleh (Nofyat, Ibrahim, &
Ambarita, 2018) sistem merupakan sekelompok elemen-elemen yang terintegrasi
dengan tujuan yang sama untuk mencapai tujuan. Sistem juga merupakan suatu
jaringan kerja dari sebuah prosedur-prosedur yang saling berhubungan dan
terkumpul bersama-sama untuk melakukan suatu kegiatan atau untuk mencapai

18

tujuan tertentu. Suatu sistem harus memiliki organisasi, hubungan timbal balik,
integrase, dan tujuan utama.
2.1.3 Pengertian Informasi

Informasi adalah kumpulan fakta dalam jumlah yang cukup untuk
menggambarkan suatu situasi, benda, tempat, orang, atau peristiwa. Informasi dapat
berupa tentang bagaimana melakukan sesuatu, apa yang sedang dilakukan,
bagaimana cara kerjanya, dan mengapa sesuatu terjadi. Informasi bisa tumbuh dari
fakta yang nyata, seperti data, menjadi sebuah cerita (Cortada, 2017). Informasi
merupakan sebuah data yang sudah diolah menjadi bentuk yang dapat memberikan
manfaat dan berarti bagi penerimanya. Data yang belum diolah atau disebut bahan
mentah harus melakukan pengolahan untuk menghasilkan informasi melalui suatu
model. Data mewakili pengukuran atau pengamatan objek dan acara. Untuk
mrnjadi berguna bagi pengambil keputusan, data harus diubah menjadi informasi.
Informasi disajikan dalam bentuk yang berguna dalam suatu kegiatan pengambilan
keputusan. Informasi memiliki nilai bagi pengambil keputusan karena mengurangi
ketidakpastian dan meningkatkan pengetahuan tentang bidang perhatian tertentu
(Aalst, Wil, & Stahl, 2018). Berikut adalah gambar yang menjelaskan tentang siklus
informasi.

Gambar 2.1. Siklus Informasi
Menurut Raymond Mcleod 1995 dalam (Lubis et al., 2019) kualitas
informasi tergantung pada enam hal yaitu:

19

1. Akurat, maksudnya adalah informasi yang digunakan harus bebas dari
kesalahan-kesalahan dan tidak memberikan dampak yang buruk
kepada penerima informasi tersebut. Informasi harus dapat dengan
jelas mencerminkan apa maksudnya. Informasi yang akurat memuat
komponen seperti completeness yang berarti informasi harus memiliki
kelengkapan yang baik, correctness yaitu informasi yang digunakan
dan akan dihasilkan harus memiliki kebenaran, dan security yaitu
informasi harus aman.

2. Tepat waktu, maksudnya informasi yang diterima harus tepat dan
tidak using sehingga nilai yang dihasilkan valid. Oleh karena itu,
dibutuhkan teknologi mutakhir untuk mendapatkan, mengolah, dan
mengirimkan informasi.

3. Relevan, maksudnya informasi harus memberikan manfaat bagi
penerimanya.

4. Ekonomis, maksudnya informasi yang dihasilkan mempunyai
manfaat yang lebih besar dibandingkan biaya yang dikeluarkan. Oleh
karena itu, informasi tidak dapat ditentukan dengan uang namun
ditaksir dengan nilai efektivitasnya.

5. Efisien, maksudnya adalah informasi harus memiliki biaya
operasional yang minimum dan mampu menghasilkan makna
mendalam.

6. Dapat dipercaya, maksudnya adalah informasi harus memiliki
transparansi yang baik

2.1.4 Pengertian Teknologi Informasi

Teknologi Informasi (TI) meliputi segala hal yang berkaitan dengan proses,
manipulasi, dan pengolahan informasi. TI mencakup perangkat keras, perangkat
lunak, atau teknologi komunikasi apapun yang mungkin diadopsi oleh organisasi
untuk mendukung atau mengendalikan proses bisnis. Teknologi informasi
memungkinkan keputusan manajemen, atau menyediakan sebuah keunggulan
kompetitif (Aalst et al., 2018).

20

Dalam buku yang ditulis oleh (Lubis et al., 2019), terdapat beberapa
pengertian teknologi informasi sebagai berikut.

1. Menurut kamus Oxford 1995, teknologi informasi merupakan peralatan
elektronika terutama komputer yang memiliki fungsi untuk menyimpan,
menganalisa, dan mendistribusikan informasi termasuk kata-kata, bilangan
dan gambar.

2. Menurut Haaq dan Keen 1996, teknologi informasi adalah seperangkat alat
yang dapat membantu pekerjaan dalam menyelesaikan tugas-tugas yang
berhubungan dengan pemrosesan informasi

3. Menurut Martin 1999, teknologi informasi tidak hanya terbatas pada tahap
memproses dan menyimpan informasi, melainkan untuk mengirimkan
informasi.

4. Menutut Lucas 2000, teknologi informasi merupakan segala bentuk
teknologi yang diterapkan untuk memproses dan mngirimkan informasi
dalam bentuk elektronik.

5. Menurut William dan Sawyer 2003, teknologi informasi adalah teknologi
yang menggabungkan komputasi dengan jalur komunikasi berkecepatan
tinggi yang membawa data, suara, dan video.

2.1.5 Pengertian Sistem Informasi

Sistem Informasi merupakan suatu sistem buatan manusia yang terdiri dari
seperangkat komponen berbasis komputer dan manual yang terintegrasi yang
didirikan untuk memfasilitasi fungsi operasional organisasi dan mendukung
pengambilan keputusan manajemen dalam menyediakan informasi yang dapat
digunakan manajer untuk merencanakan dan mengendalikan kegiatan perusahaan.
Fungsi sistem informasi sangat penting bagi keberhasilan organisasi karena sistem
informasi dapat menyediakan informasi yang berguna untuk manajemen dan
mendukung rencana strategis organisasi (Aalst et al., 2018). Fungsi palinh dasar
dari sistem informasi adalah mengubah data menjadi informasi yang berguna dalam
pengambilan keputusan.

21

Sistem informasi memiliki peran penting terutama dalam perkembangan
suatu perusahaan. Selain itu, tuntutan terhadap sistem informasi yang baik
merupakan akibat dari adanya perkembangan dari perusahaan, teknologi, kebijakan
pemerintah, perubahan prosedur, serta tuntutan akan kebutuhan informasi.

2.2 Keamanan Informasi

2.2.1 Definisi Keamanan Informasi
Teknologi informasi telah menjadi bagian yang tidak bisa terpisahkan dari

perkembangan zaman. Saat ini, TI tidak hanya digunakan untuk kebutuhan bisnis,
tetapi juga untuk kehidupan pribadi. Sebagian besar organisasi membutuhkan TI/SI
untuk bertahan dan berkembang. Dengan demikian, organisasi harus melindungi
aset informasi yang dimiliki salah satunya dengan mengelola keamanan informasi
(Van Niekerk & Von Solms, 2010).

Definisi keamanan informasi berdasarkan ISO/IEC 27000:2009 dalam
penelitian (Malyuk & Miloslavskaya, 2014) dilambangkan sebagai pelestarian
kerahasiaan, integrasi dan ketersediaan informasi serta properti lainnya seperti
keaslian, akuntabilitas, dan keandalan dapat dilibatkan. Keamanan informasi
merujuk pada proses dan metodologi yang dirancang dan diterapkan untuk
melindungi informasi atau data cetak, elektronik atau bentuk lainnya dari informasi
atau data rahasia, pribadi, dan sensitive dari akses, penggunaan, modifikasi, atau
gangguang yang tidak sah.

Selain itu, terdapat beberapa interpretasi kemanan informasi sebagai
berikut.

1. Praktik mempertahankan informasi dari akses, penggunaan, pengungkapan,
gangguang dari pihak yang tidak sah, dan lain sebagainya.

2. Proses menjaga keamanan informasi.
3. Desain untuk melindungi kerahasiaan, integritas dan ketersediaan data

sistem komputer dari pihak yang memiliki niat buruk.

22

2.2.2 Tujuan Keamanan Informasi
Keamanan informasi dapat dianggap sebagai persepsi tentang bagaimana

pentingnya keamanan informasi oleh pengguna atau anggota, tanggung jawab
mereka, tingkat keamanan informasi yang sesuai dengan organisasi, dan
bagaimanan tindakan yang mereka lakukan. Keamanan informasi bertujuan untuk
melindungi informasi dan sistem informasi dari akses, penggunaan, pengungkapan,
gangguan, modifikasi, atau penghancuran yang tidak sah (Andress & Winterfeld,
2014). Dengan kata lain, dengan adanya keamanan informasi, organisasi telah
menerapkan tata kelola yang baik sehingga kemungkinan untuk kerusakan atau
kehilangan informasi dapat dihindarkan.
2.2.3 Aspek Keamanan Informasi

Keamanan informasi merupakan salah satu cara untuk mengamankan aset
informasi dari berbagai macam risiko atau ancaman yang mungkin muncul.
Keamanan informasi dapat membantu perusahaan untuk menjamin
keberlangsungan bisnis dan meminimalisir kerugian yang ditimbulkan akibat
kegagalan yang tidak dapat dihindari. Penerapan keamanan informasi dalam
organisasi memiliki tiga aspek yang harus dipahami yang biasa disebut dengan
aspek CIA Triad sebagai berikut (Dewantara, 2016).

Gambar 2.2. CIA Triad
1. Confidentiality (Kerahasiaan)

Aspek confidentiality adalah aspek keamanan informasi yang menjamin
bahwa hanya orang yang memilliki wewenang yang dapat mengakses
infomasi tertentu. Aspek ini bertujuan untuk mencegah adanya akses dari
pihak yang tidak ingin menyalahgunakan informasi.

23

2. Integrity (Integritas)
Aspek Integrity adalah aspek keamanan informasi yang menjamin data dan
informasi tetap terjaga dan tidak dimanipulasi, diubah, disunting oleh pihak
yang tidak bertanggung jawab. Aspek ini bertujuan untuk memberikan
jaminan terhadap keakuratan dan kelengkapan informasi.

3. Availability (Ketersediaan)
Aspek Availability adalah aspek keamanan informasi yang menjamin sistem
yang digunakan dapat diakses tanpa ada gangguan atau ancaman yang dapat
menghambat proses bisnis yang berjalan. Aspek ini bertujuan untuk
memberikan perlindungan dan jaminan terhadap sistem dan data agar dapat
diakses oleh pengguna kapanpun saat data dan informasi dibutuhkan.

2.2.4 Kesalahan dalam Pengelolaan Keamanan Informasi

Pengelolaan keamanan informasi merupakan tanggung jawab perusahaan
untuk menghindari terjadinya kerusakan atau kebocoran informasi kepada pihak
yang tidak bertanggung jawab. Berikut dibahas beberapa kesalahan dalam
pengelolaan keamanan informasi (Von Solms & Von Solms, 2004).

1. Tidak menyadari bahwa keamanan informasi merupakan tanggung jawab
tata kelola perusahaan.

2. Keamanan informasi adalah masalah bisnis bukan masalah teknis.
3. Tidak menyadari fakta bahwa tata kelola keamanan informasi adalah

masalah yang kompleks, dan tidak memiliki kepastian solusi yang jitu.
4. Tidak menyadari bahwa rencana keamanan informasi harus didasarkan pada

risiko yang sudah teridentifikasi.
5. Tidak menyadari dan tidak memanfaatkan peran penting dari praktik terbaik

internasional untuk manajemen keamanan informasi.
6. Tidak menyadari bahwa kebijakan keamanan informasi perusahaan

merupakan salah satu aspek penting.
7. Secara tidak sadar tidak mengetahui bahwa penegakan dan pemantauan

kepatuhan akan kemanan informasi harus ditanam dalam sebuah
perusahaan.

24

8. Tidak membuat struktur tata kelola keamanan informasi yang tepat padahal
itu termasuk salah satu aspek penting bagi perusahaan.

9. Tidak memiliki kesadaran bahwa betapa pentingnya keamanan informasi
bagi perusahaan.

10. Tidak memberdayakan manajer keamanan informasi dengan infrastruktur,
alat dan mekanisme pendukung untuk melaksanakan tanggung jawab
mereka dengan benar.

2.3 Risiko

2.3.1 Definisi Risiko

Risiko merupakan dampak negatif bersih dari penerapan kerentanan dengan
mempertimbangkan probabilitas dan dampat yang dihasilkan (Stoneburner et al.,
2002). Dalam penelitian yang dilakukan oleh (Soputan et al., 2014), risiko
merupakan sesuatu yang mengarah pada ketidakpastian atas kejadian sebuah
peristiwa selama waktu tertentu di mana peristiwa tersebut dapat menyebabkan
kerugian baik kerugian yang tidak memiliki pengaruh ataupun kerugian yang dapat
membawa pengaruh terhadap proses yang berjalan di suatu perusahaan atau
organisasi. Pada umumnya, risiko sebagai dampak negatif seperti kehilangan,
bahaya dan lain sebagainya. Kerugian yang timbul akibat risiko merupakan bentuk
ketidakpastian yang seharusnya dipahami dan dikelola secara efektif oleh
organisasi yang merupakan bagian dari strategi sehingga hal tersebut dapat menjadi
nilai tambah dan mendukung pencapaian misi suatu organisasi.

2.3.2 Konsep Risiko

Risiko merupakan suatu kondisi atau peristiwa yang tidak pasti yang apabila
terjadi dapat berdampak positif atau negatif. Risiko terjadi secara kumulatif dan
dapat memberikan pengaruh terhadap tujuan suatu organisasi. Konsep risiko dapat
menentukan tingkat risiko/level of risk (Leonard, Anggito, Sialagan, & Suroso,
2020). Berdasarkan pada variabel yang digunakan, probability, dan impact, maka
level of risk dapat diklasifikasikan sebagai berikut.

25

1. Low Probability Low Impact (Low Risk), maksudnya adalah risiko yang
memiliki tingkat pengaruh terkecil jika dibandingkan dengan risiko lain
yang ditemukan, dengan begitu risiko tersebut dapat diabaikan karena tidak
memberikan pengaruh terhadap suatu tujuan.

2. Low Probability High Impact (Moderate Risk), maksudnya adalah risiko
yang memiliki tingkat pengaruh menengah, di mana risiko tersebut tidak
bisa diabaikan, tetapi hanya perlu dimonitor.

3. High Probability Low Impact (Moderate Risk), maksudnya adalah adalah
risiko yang memiliki tingkat pengaruh menengah, di mana risiko tersebut
tidak bisa diabaikan, tetapi hanya perlu dimonitor.

4. High Probability High Impact (High Risk), maksudnya adalah risiko yang
memiliki tingkat pengaruh yang paling tinggi diantara risiko lainnya, di
mana risiko tersebut memiliki pengaruh yang sangat besar terhadap suatu
tujuan dan merupakan risiko yang berbahaya jika dibiarkan, oleh karena itu
harus segera di atasi sebelum menimbulkan kerusakan dan kerugian.

2.3.3 Klasifikasi Risiko

Risiko dapat klasifikasikan dengan beberapa cara yang berbeda. Berikut ini
adalah gambaran berbagai pendekatan untuk mengklasifikasikan risiko (Frame,
2003).

1. Pure (or Insurable) Risk
Pure risk atau risiko murni merupakan risiko mengenai kemungkinan
terjadinya kerusakan atau kerugian. Pendekatan ini berfokus secara
eksklusif terhadap terjadinya kejadian buruk. Risiko murni biasanya disebut
dengan risiko yang dapat diasuransikan karena pendekatan ini bertujuan
untuk melindungi dari konsekuensi kerusakan dan kerugian.

2. Business Risk
Dalam risiko bisnis, terdapat peluang untung dan rugi maksudnya ketika ada
kesempatan untuk mendapatkan sebuah keuntungan, harus diimbangi
dengan kemungkinan kerugian, hal tersebut menjadi energi bagi pelaku
bisnis. Ciri utama pelaku bisnis adalah pengambil risiko. Mereka menyadari

26

bahwa tidak ada sesuatu yang besar terjadi apabila bersikap hati-hati, yaitu
dengan menghindari risiko karena semakin besar risiko yang diambil maka
semakin besar prospek untung dan rugi.
3. Project Risk
Suatu proyek tidak lepas dari adanya risiko. Risiko yang terjadi pada proyek
berkaitan erat dengan estimasi, baik estimasi mengenai waktu maupun
biaya. Apabila tugas tidak diperkirakan secara akurat, atau perkiraan biaya
tidak sesuai target, atau kebutuhan mengenai sumber daya tidak
teridentifikasi dengan benar, maka proyek akan menghadapi masalah besar.
4. Operational Risk
Risiko operasional berhubungan dengan pelaksanaan seperti mengelola
kantor, mengoperasikan fasilitas komputer dan lain sebagainya. Risiko akan
muncul ketika operasional melakukan kelalaian yang dapat merusak
reputasi dan menyebabkan kerugian bisnis. Oleh karena itu, risiko
operasional dianggap sebagai risiko yang muncul akibat kegagalan manusia,
proses, bahkan teknologi. Risiko operasional sulit diantisipasi karena
ketidakpastiannya.
5. Technical Risk
Saat pertama menerapkan manajemen risiko, biasanya perusahaan berfokus
pada risiko mengenai anggaran, jadwal, atau target perusahaan. Hal tersebut
merupakan situasi yang sering terjadi apabila perusahaan menerapkan
teknologi tinggi, padahal tidak menutup kemungkinan bahwa terjadinya
gangguan teknis yang tidak terlihat. Oleh karena itu, risiko teknis
seharusnya juga dipertimbangkan terutama bagi perusahaab yang
menerapkan teknologi canggih.
6. Political Risk
Risiko politik mengacu pada situasi saat pengambilan keputusan. Dalam
suatu organisasi, risiko politik mengacu pada masalah yang dapat dipicu
oleh politik kantor, contohnya sebelum melakukan investasi pembuatan
kantor, pengusaha harus menyesuaikan antara investasi tersebut dengan
kebijakan yang ada di pemerintahan setempat.

27

2.3.4 Jenis-Jenis Risiko

Secara umum risiko dapat dihadapi oleh seseorang atau perusahaan di mana
terdapat kemungkinan yang dapat merugikan. Menurut (Suganda, 2015) terdapat
beberapa jenis risiko yang mungkin terjadi sebagai berikut.

1. Risiko Murni, maksudnya adalah risiko yang terjadi tanpa unsur
kesengajaan, dan apabila terjadi dapat menimbulkan kerugian. Contohnya
risiko yang ditimbulkan akibat terjadinya kebakaran, pencurian,
penggelapan, dan sebagainya.

2. Risiko Spekulatif, maksudnya adalah risiko yang dengan sengaja
ditimbulkan oleh yang bersangkutan dengan tujuan terjadinya
ketidakpastian (uncertain) guna menghasilkan keuntungan. Contohnya
risiko perjudian.

3. Risiko Khusus, maksudnya adalah risiko yang berasal dari suatu perisstiwa
atau kejadian dan biasanya diketahui penyebabnya. Contohnya risiko
pesawat jatuh.

4. Risiko Dinamis, maksudnya adalah risiko yang muncul akibat adanya
perkembangan dan kemajuan manusia dibidang ilmu pengetahuan dan
teknologi.

5. Risiko fundamental, maksudnya adalah risiko yang dapat merugikan
banyak orang dan penyebabnya tidak dapat dilimpahkan pada seseorang.
Contohnya banjir dan tsunami.

2.3.5 Pelaksanaan Keamanan Risiko

Ancaman atau risiko terhadap keamanan dapat disebabkan oleh alam,
manusia, atau yang bersifat kelalaian atau kesenjangan. Menurut (Andiani, 2014)
terdapat beberapa ancaman yang mungkin terjadi sebagai berikut.

a. Ancaman Kebakaran
Untuk ancaman kebakaran terdapat beberapa pelaksanaan keamanan seperti
memiliki alat pemadam kebakaran otomatis dan tabung pemadam
kebakaran, memiliki pintu atau tangga darurat, dan melakukan pemeriksaan

28

secara rutin dan pengujian terhadap sistem perlindungan kebakaran untuk
memastikan semua telah dirawat dengan baik.
b. Ancaman Banjir
Untuk ancaman banjir terdapat beberapa pelaksanaan keamanan seperti
memastikan bahan atap, dinding dan lantai yang mampu menahan air,
memastikan tempat aset informasi seperti tempat yang tinggi, perunahan
tegangan sumber energi, dan melakukan pengamanan untuk mengantisipasi
adanya perubahan tegangan sumber energi (menggunakan stabilizer).
c. Kerusakan Struktural
Untuk ancaman kerusakan structural terdapat beberapa pelaksanaan
keamanan seperti menentukan lokasi tempat aset disimpan yang jarang
terjadi bencana alam.
d. Penyusup
Untuk ancaman penyusup terdapat beberapa pelaksanaan keamanan seperti
melakukan pembatasan hak akses, memberikan finger print disetiap pintu,
dan memberikan kamera pengawas.
e. Virus
Untuk ancaman virus terdapat beberapa pelaksanaan keamanan seperti
preventif (melakukan update secara rutin dan memasang anti virus), detektif
(melakukan scanning file sebelum digunakan), dan korektif (memastikan
backup data terbebas dari virus).
f. Hacking
Untuk ancaman haking terdapat beberapa pelaksanaan keamanan seperti
menggunakan password dengan tingkat kesulitan tinggi dan melakukan
monitor secara rutin.
g. Kegagalan Jaringan
Untuk ancaman jaringan terdapat beberapa pelaksanaan keamanan seperti
menyediakan jaringan cadangan, dan melakukan pemeriksaan secara rutin
terhadap perangkat jaringan.

29

2.4 Manajemen Risiko

2.4.1 Definisi Manajemen Risiko

Manajemen risiko adalah suatu proses mengidentifikasi risiko, menilai
risiko, dan mengambil langkah-langkah untuk mengurangi risiko ke tingkat yang
dapat diterima (Stoneburner et al., 2002). Manajemen risiko juga dikenal dengan
suatu proses yang memungkinkan manajer bisnis untuk menyeimbangkan biaya
operasional dan ekonomi dari tindakan perlindungan dan mencapai keuntungan
dalam kapabilitas misi dengan melindungi proses bisnis yang mendukung tujuan
bisnis atau misi perusahaan (Yustanti & Bisma, 2018). Manajemen risiko tidak
terbatas hanya pada teknologi informasi, namun ini merupakan sebuah proses bisnis
yang dapat membantu manajemen dalam memenuhi tugas untuk melindungi aset
organisasi. Manajemen risiko pada suatu program bertujuan untuk mengurangi
risiko yang mungkin muncul dengan melakukan beberapa kegiatan atau berfungsi
ke tingkat yang dapat diterima dan memperoleh persetujuan manajemen senior.

Manajer suatu organisasi harus mampu memastikan bahwa organisasi
memiliki kemampuan yang dibutuhkan dalam mencapai tujuan. Oleh karena itu,
organisasi harus menentukan kemampuan keamanan teknologi informasi dalam
menyediakan dukungan dalam menghadapi ancaman dunia nyata. Sebagian besar
organisasi memiliki anggaran yang ketat untuk keamanan TI, oleh karena itu
pengeluaran keamanan TI harus ditinjau secara menyeluruh seperti keputusan
manajemen lainnya. Metodologi manajemen risiko yang baik apabila digunakan
secara efektif, dapat membantu manajemen dalam mengidentifikasi kontrol yang
tepat untuk menyediakan kemampuan keamanan tujuan organisasi (Stoneburner et
al., 2002).

Dalam manajemen risiko terdiri dari empat proses berbeda, yaitu analisis
risiko, penilaian risiko, mitigasi risiko, dan penilaian kerentanan kontrol evaluasi.
Manajemen risiko merupakan salah satu alat untuk pengamanan dan kontrol dalam
perusahaan.

30

2.4.2 Tahapan Manajemen Risiko

Dalam manajemen risiko terdiri dari tiga proses berbeda, yaitu penilaian
risiko, mitigasi risiko, dan evaluasi dan penilaian. Berikut adalah penjelasan tentang
proses pada manajemen risiko (Stoneburner et al., 2002).

1. Penilaian Risiko
Penilaian risiko merupakan proses pertama dalam metodologi manajemen
risiko. Biasanya organisasi menggunakan penilaian risiko untuk
menentukan sejauh mana potensi ancaman dan risiko yang terkait dengan
teknologi informasi. Hasil dari penilaian risiko dapat membantu organisasi
mengidentifikasi pengendalian yang tepat untuk mengurangi atau
menghilangkan risiko selama proses mitigasi risiko.

2. Mitigasi Risiko
Mitigasi risiko merupakan proses kedua dari manajemen risiko yang
melibatkan penentuan prioritas, evaluasi, dan penerapan pengendalian
pengurangan risiko yang sesuai yang direkomendasikan dari proses
penilaian risiko. Pada tahap ini, penghapusan semua risiko biasanya tidak
praktis atau hampir tidak mungkin, oleh karena itu hal ini menjadi tanggung
jawab manajemen senior dan manajer fungsional dan bisnis untuk
menggunakan pendekatan dengan biaya paling rendah dan menerapkan
kontrol yang paling tepat untuk mengurangi risiko ke tingkat yang dapat
diterima dengan biaya minimal.

3. Evaluasi dan Penilaian
Di sebagian besar organisasi, koneksi akan terus diperluas dan diperbarui,
komponennya akan diubah, dan aplikasi perangkat lunaknya akan diganti
atau diperbarui dengan versi yang lebih baru. Selain itu, perubahan personel
akan terjadi dan kebijakan keamanan kemungkinan akan berubah seiring
waktu. Perubahan ini berarti bahwa risiko baru akan muncul dan risiko yang
sebelumnya dimitigasi dapat kembali menjadi perhatian. Dengan demikian,
proses manajemen risiko sedang berlangsung dan berkembang. Proses ini
menekankan praktik yang baik dan kebutuhan akan evaluasi dan penilaian

31

risiko yang berkelanjutan serta faktor-faktor yang akan mengarah pada
keberhasilan program manajemen risiko.

2.4.3 Penanganan Risiko

Manajemen risiko merupakan salah satu cara yang dapat dilakukan untuk
menganalisis risiko yang mungkin muncul pada perusahaan. Setelah melakukan
penilaian risiko, langkah selanjutnya adalah mengambil langkah untuk melakukan
penanganan risiko. Terdapat empat pilihan dalam penanganan risiko yang mungkin
muncul sebagai berikut (Desy et al., 2014).

1. Terima (Take)
Apabila perusahaan tidak dapat menghindari risiko yang muncul (risiko
cukup besar) yang mengakibatkan perusahaan mengalami dampak yang
dapat mengganggu dan merusak secara alamiah, maka tindakan yang harus
diambil untuk risiko tersebut adalah take atau terima. Contoh risikonya
seperti bencana alam, gempa bumi, banjir, badai, dan lain sebagainya.

2. Kurangi (Treat)
Apabila perusahaan dapat mengambil tindakan untuk menurunkan risiko
yang muncul, maka tindakan yang harus diambil untuk risiko tersebut
adalah treat atau mengurangi risiko tersbut dengan cara melakukan kontrol
dan mitigasi terhadap risiko sehingga akibatnya dapat diminimalkan.

3. Hindari (Terminate)
Apabila risiko yang mungkin muncul dirasa terlalu besar bagi perusahaan
seperti dalam rangka membuat suatu produk maka tindakan yang harus
diambil adalah terminante atau hindari. Penanganan ini dilakukan apabila
risiko yang ditimbulkan dapat merugikan dan mengganggu proses bisnis
perusahaan.

4. Alihkan (Transfer)
Apabila risiko yang akan muncul dianggap akan lebih baik jika dialihkan
kepada pihak yang sesuai dengan bidang ahlinya maka tindakan yang harus
diambil adalah transfer atau alihkan, contohnya risiko mengenai asuransi.

32

2.5 Metode Failure mode and Effects Analysis (FMEA)

2.5.1 Sejarah Metode Failure mode and Effects Analysis (FMEA)

Pada tahun 1949, Failure mode and Effects Analysis (FMEA) pertama kali
digunakan di militer Amerika Serikat sebagai suatu teknik evaluasi keandalan untuk
menentukan pengaruh kegagalan sistem dan peralatan. Kemudian pada tahun 1963,
Badan Penerbangan dan Antariksa Nasional (NASA) menggunakan FMEA selama
misi Apollo untuk memastikan keandalan sistem ruang angkasa yang diinginkan
(Asan & Soyer, 2016). Selanjutnya pada tahun 1947, Angkatan Laut AS
mengembangkan MIL-SDT-1629, yang membahas penggunaan teknik yang tepat.
Pada akhir 1970-an, Ford Company memperkenalkan FMEA ke industry otomotif
dan kemudian industry otomotif secara kolektif mengembangkan berbagai standar
pada tahun 1990-an.

Selama bertahun-tahun, FMEA menjadi teknik yang digunakan secara
universal di banyak industri yang berbeda, seperti dirgantara, otomotif, pertahanan,
medis, kelautan, tenaga nuklir, semikonduktor dan telah terbukti berhasil di
industry manufaktur atau jasa apapun.

2.5.2 Definisi Failure mode and Effects Analysis (FMEA)

Failure mode and Effects Analysis atau dikenal dengan metode FMEA
adalah salah satu teknik terstruktur, sistematis, dan proaktif pertama yang
digunakan untuk melakukan analisis kegagalan (Asan & Soyer, 2016). FMEA
merupakan suatu alat proaktif yang dikembangkan untuk mengidentifikasi,
mengevaluasi, dan mencegah kegagalan produk dan/atau proses. Sebagai teknologi
analisis keandalan sistem, metode FMEA telah banyak digunakan di berbagai
industri untuk mengurangi risiko kegagalan produk, sistem, dan layanan (Liang &
Li, 2021). Menurut (Pribadi & Ernastuti, 2020) menyebytkan bahwa metode FMEA
merupakan sebuah metodologi yang digunakan untuk mengevaluasi kegagalan
yang terjadi dalam sebuah sistem, desain, proses, atau pelayanan. Selanjutnya
menurut (Pribadi & Ernastuti, 2020) metode FMEA merupakan suatu teknik analisa
bahaya secara kualitatif yang dapat digunakan untuk mengidentifikasi bagaimana

33

suatu peralatan, fasilitas, atau sistem informasi dapat gagal serta akibat yang dapat
ditimbulkan.

Pada penelitian yang dilakukan oleh (P. N. Putri & Hadi, 2017) metode
FMEA berhasil diterapkan untuk melakukan analisis evaluasi dan mitigasi aset
teknologi informasi pada Bank Jateng cabang Jepara. Berdasarkan penilaian yang
telah dilakukan didapatkan identifikasi risiko aset TI yaitu sebanyak 54 risiko yang
telah diberikan peringkat berdasarkan level pada metode FMEA. Hal tersebut
dilakukan untuk mengetahui risiko yang memberi pengaruh yang besar bagi
prusahaan sehingga perusahaan mampu memperkecil ataupun bisa dilakukan
pencegahan sebelum risiko terjadi.

Selanjutnya penelitian yang dilakukan oleh (Pribadi & Ernastuti, 2020)
menerapkan metode FMEA untuk mengetahui seberapa besar ancaman dan risiko
sebuah sistem terpadu dalam proses rekrutmen calon pegawai, sebagai
pertimbangan kepada pengambilan keputusan pada level manajemen perusahaan
dalam penerapan sistem informasi dan untuk menentukan sumber daya yang
dikeluarkan dalam proses rekrutmen calon pegawai berdasarkan penerapan sistem.
Penelitian ini berhasil mengidentifikasi dan mendapatkan 3 jenis variabel risiko
yakni risiko alam/lingkungan, kesalaha manusia, dan infrastruktur yang kemudian
dapat digunakan oleh PT. Pertamina sebagai bahan untuk menghindari atau
meminimalisir ancaman yang mungkin terjadi pada sistem informasi rekrutmen.

2.5.3 Tujuan Failure mode and Effects Analysis (FMEA)

Tujuan FMEA adalah untuk membuat daftar semua kemungkinan mode
kegagalan (failure mode) atau hal-hal yang bisa salah dalam organisasi dan
mengevaluasi penyebab setiap mode kegagalan dan efek selanjutnya pada kinerja
sistem yang sedang dipertimbangkan. Menurut definisi, mode kegagalan mengacu
pada penghentian kemampuan sistem untuk melakukan fungsi yang diperlukan atau
ketidakmampuan untuk melakukan dalam batas yang ditentukan sebelumnya (Asan
& Soyer, 2016) dan mencakup kegagalan, masalah, atau kesalahan yang diketahui
dana tau potensial yang dapat mempengaruhi kinerja pada sistem.

34

Mode kegagalan tidak dapat dihindari untuk sebagian besar sistem, oleh
karena itu FMEA berfungsi sebagai alat paling efektif untuk memastikan bahwa
potensi ancaman terhadap sistem telah dipertimbangkan dan ditangani, dan risiko
terkait yang ditemukan dapat diminimalkan.

2.5.4 Manfaat Failure mode and Effects Analysis (FMEA)

Saat ini, FMEA adalah salah satu teknik yang paling banyak digunakan dan
kuat, memiliki beberapa keuntungan bagi organisasi yang mencoba menemukan
cara untuk meningkatkan kualitas dan keselamatan. Beberapa keuntungan utama
FMEA ditunjukkan dalam (Asan & Soyer, 2016) meliputi:

1. Melibatkan orang-orang dari bidang keahlian yang berbeda dalam suatu
organisasi, karena masing-masing mereka memandang sistem dari berbagai
perspektif, tanggung jawab, dan perhatian. Dengan cara ini, memberikan
kesempatan untuk meningkatkan komunikasi dan kerjasama antara berbagai
fungsi organisasi, dan hubungan dengan faktor eksternal, seperti pemasok
dan pelanggan.

2. Menyediakan prosedur analisis sederhana yang mudah dipelajari dan
diterapkan, dan bahkan membuat evaluasi sistem yang kompleks menjadi
mudah dilakukan.

3. Bertindak sebagai alat visibilitas yang berguna bagi manajer dan berfungsi
sebagai instrumen yang sangat baik untuk belajar.

4. Merupakan metode yang sangat terstruktur, sistematis dan dapat diandalkan
yang membantu mengidentifikasi hubungan antara mode kegagalan, alasan
mode kegagalan, dan efek mode kegagalan.

5. Memungkinkan apresiasi yang realistis atas kesesuaian produk dan jasa
dengan pasar dan kebutuhan pelanggan, oleh karena itu, meningkatkan
keamanan dan keandalan produk/layanan, mengurangi biaya garansi dan
layanan, mempersingkat proses pengembangan, meningkatkan kepatuhan
terhadap tenggat waktu, dan pada akhirnya meningkatkan kepuasan
pelanggan.

35

2.5.5 Tahap-Tahap Failure mode and Effects Analysis (FMEA)
Tahap-tahap pada metode Failure mode and Effects Analysis (FMEA)

dibangun berdasarkan informasi yang dapat mendukung proses analisa. Tahapan
analisa pada FMEA dapat dilihat pada gambar sebagai berikut (Asan & Soyer,
2016).

Gambar 2.3. Tahap-tahap Metode FMEA
Berdasarkan pada gambar di atas, berikut dijelaskan secara singkat tahap-
tahap yang ada pada metode FMEA.
1. Review Proses dan Produk

36