Tahap pertama yang dilakukan pada metode FMEA adalah review proses
dan produk. Tahap ini bertujuan untuk mengetahui apa saja proses bisnis
yang berjalan pada perusahaan, proses bisnis pada sistem, daftar aset
komponen teknologi informasi, dan prosedur terkait keamanan teknologi
informasi yang dimiliki. Tahap ini dilakukan dengan cara observasi dan
wawancara untuk mengetahui dan mendapatkan data-data sebagai berikut
(Dewantara, 2016).
a. Proses Bisnis yang berjalan
b. Kekuatan dan Kelemahan Organisasi
c. Kekuatan dan Kelemahan Sistem
d. Daftar Aset Teknologi Informasi
e. Daftar Aset Kritis
f. Kebutuhan Keamanan Aset Kritis
2. Identifikasi Potensial Failure Mode
Selanjutnya dilakukan identifikasi potensial risiko yang bertujuan untuk
mengetahui kegagalan yang mungkin terjadi pada teknologi informasi dan
sistem yang berjalan. Tahap ini dilakukan dengan mengidentifikasi apa saja
potensial ancaman atau risiko pada BKPSDM baik yang belum pernah
terjadi maupun yang sudah pernah terjadi dan bagaimana kerentanan yang
dimiliki oleh setiap aset. Kemudian mengidentifikasi semua kemungkinan
kegagalan yang dapat terjadi di BKPSDM berdasarkan pada data hasil
wawancara dan data hasil review proses dan produk.
3. Identifikasi Potensial Efek Failure Mode
Untuk menganalisis risiko menggunakan FMEA, langkah selanjutnya yang
harus dilakukan adalah mengidentifikasi potensial efek untuk setiap failure
mode yang sudah diidentifikasikan. Setelah itu diberikan nilai severety
untuk setiap potensial efek yang sudah diidentifikasi. Nilai severety
digunakan untuk mengetahui tingkat keparahan yang dapat ditimbulkan dari
efek mode kegagalan dan menghitung seberapa besar dampak yang
dihasilkan oleh risiko yang dapat mempengaruhi proses yang berjalan.
37
Berikut adalah skala untuk menentukan nilai severety yang dapat dilihat
pada tabel dibawah ini.
Tabel 2.1. Skala Severety
Peringkat Efek Kriteria Efek
1 Tidak Ada Tidak ada efek
Sistem dapat dioperasikan dengan
2 Sangat Kecil
gangguan minimal.
3 Kecil Sistem dapat dioperasikan dengan
beberapa penurunan kinerja.
Sistem dapat dioperasikan dengan
4 Sangat Rendah beberapa penurunan kinerja yang
signifikan.
5 Rendah Sistem tidak dapat dioperasikan.
Tidak ada kerugian.
6 Sedang Sistem tidak dapat dioperasikan.
Ada kerusakan kecil.
7 Tinggi Sistem tidak dapat dioperasikan
dengan kerugian atau kerusakan
peralatan.
Sistem tidak dapat dioperasikan
8 Sangat Tinggi dengan kegagalan yang merusak
tanpa mengorbankan keamanan.
Peringkat keparahan sangat tinggi.
9 Berbahaya dengan Mode kegagalan potensial
peringatan mempengaruhi operasi sistem
dengan peringatan.
38
Peringkat keparahan sangat tinggi.
10 Berbahaya tanpa Mode kegagalan potensial
peringatan mempengaruhi operasi sistem tanpa
peringatan.
Berdasarkan tabel di atas, responden dapat menjadikan acuan dalam
mengisi kuesioner sesuai dengan potensial failure mode dan kriteria yang
terjadi pada objek penelitian.
4. Identifikasi Potensial Penyebab Failure Mode
Proses selanjutnya adalah mennetukan potensial penyebab untuk setiap
potensial failure mode yang sudah diidentifikasi. Setelah itu diberikan nilai
occurrence untuk setiap potensial penyebab failure mode yang bertujuan
untuk mengetahui tingkat probabilitas terjadinya risiko. Berikut adalah
skala untuk menentukan nilai occurrence yang dapat dilihat pada tabel
dibawah ini.
Tabel 2.2. Skala Occurrence
Peringkat Probabilitas Kriteria
1 Kegagalan hampir/tidak pernah Satu kali dalam 6 – 50
terjadi tahun
2 Kegagalan terjadi relatif kecil Satu kali dalam 3 – 6
dan sangat jarang tahun
Satu kali dalam 1 – 3
3 Kegagalan terjadi relative kecil
tahun
4 Kegagalan jarang terjadi Satu kali dalam 1 tahun
5 Kegagalan terjadi sesekali Satu kali setiap 6 bulan
39
6 Kegagalan terjadi saat waktu Satu kali setiap 3 bulan
tertentu tertentu
7 Kegagalan sering terjadi Satu kali dalam 1 bulan
8 Kegagalan terjadi berulang kali Satu kali dalam 1 minggu
9 Kegagalan selalu terjadi Satu kali dalam 3 – 4 hari
10 Kegagalan hampir/tidak dapat Lebih dari satu kali setiap
dihindari hari
Berdasarkan tabel di atas, responden dapat menjadikan acuan dalam
mengisi kuesioner sesuai dengan potensial failure mode dan kriteria yang
terjadi pada objek penelitian.
5. Evaluasi Kontrol Potensial Failure Mode
Langkah selanjutnya adalah mengidentifikasi kontrol untuk setiap potensial
failure mode. Kemudian memberikan nilai detection untuk setiap kontrol
yang sudah diidentifikasi yang bertujuan untuk mengukur kemampuan
dalam mengendalikan dan mengontrol kegagalan yang mungkin terjadi. Hal
ini dilakukan untuk menentukan mengetahui tingkat deteksi dari penyebab
kegagalan yang terjadi pada sistem. Berikut adalah skala untuk menentukan
nilai detection yang dapat dilihat pada tabel dibawah ini.
Tabel 2.3. Skala Detection
Peringkat Deteksi Kriteria
Penyebab/mekanisme potensial dan
1 Hampir Pasti
failure mode dapat terdeteksi.
Peluang yang sangat tinggi untuk
2 Sangat Tinggi mendeteksi penyebab/mekanisme
potensial dan failure mode.
40
3 Tinggi Memiliki kemungkinan besar untuk
mendeteksi penyebab/mekanisme
potensial dan failure mode.
Peluang yang cukup tinggi untuk
4 Cukup Tinggi mendeteksi penyebab/mekanisme
potensial dan failure mode.
5 Sedang Peluang sedang untuk mendeteksi
penyebab/mekanisme potensial dan
failure mode.
6 Rendah Kemungkinan kecil untuk mendeteksi
penyebab/mekanisme potensial dan
failure mode.
Peluang yang sangat rendah untuk
7 Sangat Rendah mendeteksi penyebab/mekanisme
potensial dan failure mode.
8 Kecil Peluang jarak jauh untuk mendeteksi
penyebab/mekanisme potensial dan
failure mode.
Peluang sangat kecil untuk mendeteksi
9 Sangat Kecil penyebab/mekanisme potensial dan
failure mode.
10 Hampir Tidak Penyebab/mekanisme potensial dan
Mungkin failure mode tidak dapat dideteksi.
Berdasarkan tabel di atas, responden dapat menjadikan acuan dalam
mengisi kuesioner sesuai dengan potensial failure mode dan kriteria yang
terjadi pada objek penelitian.
6. Menghitung Risk Priority Number (RPN)
41
Dalam metode FMEA, failure mode baik yang diketahui atau potensial
terdaftar dan diprioritaskan dipersiapkan sebaik mungkin untuk mencegah
masalah yang mungkin muncul mencapai pelanggan. Dengan begitu,
metode FMEA menggunakan metodologi Risk Priority Number (RPN)
untuk menganalisis risiko yang terkait dengan setiap potensial failure mode
yang teridentifikasi. Metodologi ini menilai failure mode sehubungan
dengan keparahan (severety/S), probabilitas terjadinya (occurrence/O), dan
kemungkinan deteksi (detection/D). Untuk setiap mode kegagalan dibuat
dari S, O, dan D pada skala numeric 1 sampai 10 seperti yang dijelaskan
sebelumnya. Kemudian untuk mendapatkan nilai RPN, peringkat S, O, dan
D dikalikan secara bersamaan. Berikut cara untuk mendapatkan nilai RPN.
= × ×
Keterangan:
RPN = Risk Priority Number
S = Severety
O = Occurence
D = Detection
Dari hasil RPN untuk potensial failure mode kegagalan yang
memiliki nilai lebih tinggi dianggap penting dan harus diberikan prioritas
yang lebih tinggi.
7. Membuat Prioritas Risiko
Setelah melakukan perhitungan RPN yang dihasilkan dari perkalian
severety, occurrence, dan detection maka langkah selanjutnya adalah
membuat prioritas risiko berdasarkan level tertinggi dan nilai RPN tertinggi
yang diurutkan dari yang terbesar sampai yang terkecil. Hal ini bertujuan
untuk mengetahui isu yang paling kritis dan mendesak untuk segera
ditangani. Berikut kategori level untuk nilai RPN.
Tabel 2.4. Calculation Level
42
RPN Calculation Level
0 - 19 Very low
20 - 79 Low
80 - 119 Medium
120 - 199 High
≥ 200 Very High
8. Identifikasi Tindakan Perbaikan
Mengidentifikasi tindakan yang mengarah pada perbaikan ini dilakukan
dengan memberikan tindakan yang sesuai untuk setiap risiko yang
diprioritaskan. Tahap ini bertujuan untuk memberikan rekomendasi
perbaikan yang sesuai untuk menghindari dan meminimalisir dampak yang
ditimbulkan dari risiko yang terjadi.
2.6 ISO/IEC 27002:2013
Semakin berkembangnya zaman, penggunaan sistem informasi menjadi
semakin penting. Menurut survei pelanggaran keamanan informasi BERR 84%
organisasi sangat bergantung pada teknologi informasi (Altena, 2012).
Ketergantungan terhadap TI mendorong organisasi untuk menganggap serius
keamanan informasi dan mengamankan operasi mereka. Untuk membantu
organisasi meningkatkan keamanan informasi, The InternationalOrganization for
Standardization (ISO) dan The International Electrotechnical Commission (IEC)
menerbitkan seperangkat standar untuk keamanan informasi yang dapat membantu
organisasi untuk membuat sistem manajemen untuk mengamankan sistem
informasi. ISO/IEC menyebutnya sebagai Sistem Manajemen Keamanan Informasi
(SMKI) (International Standard Organization, 2011).
ISO/IEC 27002:2013 merupakan standar internasional yang dirancang
untuk digunakan oleh organisasi sebagai referensi untuk memilih kontrol dalam
43
proses penerapan sistem manajemen keamanan informasi (SMKI) sebagai
dokumen panduan untuk organisasi yang menerapkan kontrol keamanan informasi
yang diterima secara umum. Selain itu standar ini juga dimaksudkan untuk
digunakan dalam mengembangkan industri dan pedoman manajemen keamanan
informasi organisasi dengan mempertimbangkan lingkungan risiko keamanan
informasi (International Standard Organization, 2011). ISO/IEC 27002:2013
banyak digunakan dalam mengatasi masalah yang berkaitan dengan keamanan
informasi. ISO 27002:2013 mampu memberikan panduan dalam merencanakan dan
implementasi program untuk melindungi aset informasi (Febrianto & Sensuse,
2017).
Standar ISO/IEC 27002:2013 mengatur beberapa penerapan SMKI sebagai
berikut.
1. Semua aktifitas yang berjalan harus sesuai dengan proses dan tujuan dari
pengamanan informasi yang didefinisikan dengan jelas dan
didokumentasikan dalam bentuk kebijakan dan prosedur.
2. Standar ISO/IEC 27002:2013 memberikan kontrol keamanan yang dapat
diimplementasikan oleh organisasi sesuai dengan kebutuhan dan tujuan
spesifik organisasi.
3. Semua proses penilaian keamanan yang digunakan dalam SMKI harus
diimplementasikan sebagai hasil dari analisis risiko yang bertujuan untuk
mengeliminasi atau meminimalisir risiko yang muncul dan mengurangi
level risiko hingga level yang dapat diterima oleh organisasi.
4. Suatu proses harus memastikan adanya verifikasi berkelanjutan terhadap
semua elemen sistem pengamanan melalui audit dan review.
5. Suatu proses harus memastikan perbaikan berkelanjutan terhadap semua
elemen informasi dan sistem manajemen pengamanan.
2.6.1. Klausul ISO/IEC 27002:2013
Standar ISO/IEC 27002:2013 memiliki 14 klausul kontrol keamanan yang
masing-masing mendefinisikan satu kontrol keamanan atau lebih. Pada 14 klausul
secara kolektif berisi 35 kategori keamanan utama dan 114 kontrol dimana setiap
44
kontrol memiliki control objectives. Berikut adalah 14 klausul yang ada pada
standar ISO/IEC 27002:2013 (International Standard Organization, 2011).
1. Klausul 5 (Information Security Policies)
Tujuan dari klausul 5 adalah untuk memberikan arahan dan dukungan
manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan
undang-undang dan peraturan yang relevan.
2. Klausul 6 (Organization of Information Security)
Tujuan dari klausul 6 adalah untuk menetapkan kerangka kerja manajemen
untuk memulai dan mengendalikan implementasi dan pengoperasian
keamanan informasi dalam organisasi.
3. Klausul 7 (Human Resources Security)
Tujuan dari klausul 7 adalah untuk memastikan bahwa karyawan dan
kontraktor dapat memahami tanggung jawab mereka dan sesuai dengan
peran yang mereka pertimbangkan.
4. Klausul 8 (Asset Management)
Tujuan dari klausul 8 adalah untuk mengidentifikasi aset organisasi dan
menentukan tanggung jawab perlindungan yang sesuai.
5. Klausul 9 (Access Control)
Tujuan dari klausul 9 adalah untuk membatasi akses ke informasi dan
fasilitas pemrosesan informasi.
6. Klausul 10 (Cryptography)
Tujuan dari klausul 10 adalah untuk memastikan penggunaan kriptografi
yang tepat dan efektif untuk melindungi kerahasiaan, keaslian dan/atau
integritas dari informasi.
7. Klausul 11 (Physical and Enviromental Security)
Tujuan dari klausul 11 adalah untuk mencegah akses fisik yang tidak sah,
kerusakan dan gangguan terhadap informasi organisasi dan fasilitas
pemrosesan informasi.
8. Klausul 12 (Operational Security)
Tujuan dari klausul 12 adalah untuk memastikan operasi yang benar dan
aman dari fasilitas pemrosesan informasi.
45
9. Klausul 13 (Communication Security)
Tujuan dari klausul 13 adalah untuk memastikan perlindungan informasi
dalam jaringan dan fasilitas pemrosesan informasi pendukungnya.
10. Klausul 14 (System Acquisition, Development and Maintanance)
Tujuan dari klausul 14 adalah untuk memastikan bahwa keamanan
informasi merupakan bagian integral dari sistem informasi di seluruh siklus
hidup. ini juga mencakup persyaratan untuk sistem informasi yang
menyediakan layanan melalui jaringan public.
11. Klausul 15 (Supplier Relationships)
Tujuan dari klausul 15 adalah untuk memastikan perlindungan aset
organisasi yang dapat diakses oleh pemasok.
12. Klausul 16 (Information Security Incident Management)
Tujuan dari klausul 16 adalah untuk memastikan pendekatan yang konsisten
dan efektif untuk pengelolaan insiden keamanan informasi, termasuk
komunikasi tentang peristiwa dan kelemahan keamanan.
13. Klausul 17 (Information Security Aspects of Business Continuity
Management)
Tujuan dari klausul 17 adalah memastikan kelangsungan keamanan
informasi harus tertanam dalam sistem manajemen kelangsungan bisnis
organisasi.
14. Klausul 18 (Compliance)
Tujuan dari klausul 18 adalah untuk menghindari pelanggaran kewajiban
hukum, undang-undang, peraturan atau kontrak yang terkait dengan
keamanan informasi dan persyaratan keamanan apa pun.
Setiap klausul yang ada pada Standar ISO/IEC 27002:2013 memiliki tujuan
yang berbeda-beda. Klausul tersebut akan digunakan sebagai panduan untuk
memberikan mitigasi risiko sesuai dengan kebutuhan dan tujuan organisasi.
ISO/IEC 27002:2013 tidak mengharuskan bentuk-bentuk kontrol yang
tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan
kontrol yang tepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian
46
risiko yang telah dilakukannya. Pengguna juga dapat memilih kontrol di luar daftar
kontrol yang dimuat standar ini sepanjang sasaran kontrolnya dipenuhi (Febrianto
& Sensuse, 2017).
2.7 RACI Chart
RACI chart merupakan singkatan yang berasal dari kata responsible,
accountable, consulted, dan informed dan umumnya disajikan dalam bentuk chart
matrix (Chung, An, & Davalos, 2007). RACI chart merupakan salah satu alat yang
dapat digunakan untuk pengambilan keputusan dan membantu pihak manajemen
dalam mengidentifikasikan peran dan tanggung jawab karyawannya. RACI
diterapkan di setiap aktivitas dalam IT control objective untuk mendukung
kesuksesan IT proses. Tujuan pemberian peran dan tanggung jawab adalah untuk
menjelaskan aktivitas, sekaligus sebagai sarana untuk menentukan peran dan fungsi
–fungsi lainnya terhadap suatu aktivitas tertentu.
RACI chart mendefinisikan apa dan kepada siapa suatu aktivitas harus
didelegaskan sebagai berikut:
1. Responsible (R), sebagai pihak yang bertanggung jawab menyelesaikan
suatu aktifitas atau pekerjaan tertentu secara langsung atau dengan kata lain
adalah pihak yang hands on menyelesaikan tugas tertentu.
2. Accountable (A), sebagai pihak yang mempunyai kewenangan untuk
memberikan keputusan atau menerima keputusan dan merupakan pihak
yang bertanggung jawab terhadap kegiatan yang dilakukan oleh
responsible.
3. Consulted (C), sebagai pihak yang dap at memberikan pendapat dan
pendapat tersebut dibutuhkan dalam aktivitas.
4. Informed (I), sebagai pihak yang menikmati dan selalu menjaga informasi.
Dengan adanya RACI chart, akan membantu perusahaan untuk mengurangi
tumpang tindih peran, kebingungan dalam melaksanakan tugas dalam suatu proyek
ataupun organisasi, sehingga pada akhirnya akan dapat meningkatkan efisiensi
47
proyek. Dengan kata lain, pengambilan keputusan menjadi lebih cepat,
akuntabilitas pekerjaan menjadi jelas dan beban pekerjaan dapat terdistribusi lebih
merata. Singkatnya lagi, RACI dapat membantu anggota tim untuk berkomunikasi
dan berkoordinasi dengan orang yang tepat dalam melaksanakan tugasnya.
2.8 Studi Literatur Sejenis
Studi literatur sejenis dilakukan untuk mempelajari penelitian terdahulu
yang memiliki tujuan terkait dengan manajemen risiko menggunakan metode
Failure mode and Effects Analysis (FMEA). Berikut adalah beberapa penelitian
terdahulu yang menerapkan metode FMEA untuk penilaian risiko dan mengetahui
prioritas risiko.
Tabel 2.5. Studi Literatur Sejenis
Judul Tujuan Hasil Penelitian
No Peneliti Tahun Penelitian
Penelitian
1. (Raden 2017 Manajemen Untuk Hasil analisis risiko
Budiarto Risiko mengidentifikasi menggunakan metode
, 2017) Keamanan potensi gangguan FMEA didapatkan nilai
Sistem dan permasalahan RPN dengan rentang
Informasi yang ada pada 30-40% yang berarti
Menggunaka sistem teknologi sistem pada organisasi
n Metode keamanan XYZ memiliki tingkat
FMEA dan informasi di kerentanan yang tinggi.
ISO 27001 organisasi XYZ Kemudian diberikan
pada kemudian rekomendasi
Organisasi memberikan berdasarkan ISO 27001
XYZ rekomendasi untuk mengurangi
kontrol yang perlu tingkat kerawanan yang
diterapkan untuk tinggi dan telah
keamanan menunjukkan hasil
positif dengan
48
informasi yang penurunan nilai RPN
lebih baik. sebesar 30%.
2. (Desy et 2014 Penilaian Untuk Hasil proses identifikasi
al.,
2014) Risiko meningkatkan risiko terhadap aset TI
Keamanan perlindungan diperoleh beberapa
Informasi terhadap aset risiko yang
Menggunaka teknologi dikategorikan
n Metode infomasi, dan berdasarkan hardware,
Failure mode mengantisipasi software, network, data,
and Effects kemungkinan people, dan e-banking.
Analysis Di terjadinya risiko Hasil perhitungan nilai
Divisi TI Pt. pada keamanan RPN diperoleh risiko
Bank Xyz informasi di divisi high dengan nilai 120
Surabaya TI PT. Bank XYZ yaitu pada kategori
Surabaya. people dengan
identifikasi risiko
adanya suatu pekerjaan
terkait TI yang
terhambat dengan
penyebab resource yang
terbatas.
3. (Munaro 2021 Pengukuran Untuk mengukur Hasil pengukuran
h et al., Risiko dan terdapat 22 cause
2020) Keamanan mengidentifikasi failure yang akan
Aset TI risiko dengan menyebabkan terjadinya
Menggunaka menggunakan risiko pada keamanan
n Metode metode FMEA aset TI dengan 11 cause
FMEA dan dan standar failure yang memiliki
Standar ISO/IEC level tinggi dengan
ISO/IEC 27001:2013. rentan nilai 400 – 175
27001:2013 yaitu cause failure
nomor 6 server
49
overheat, 4 (korsleting
listrik), 22 (kabel digigit
oleh hewan), 5
(pemadaman listrik), 7
(kapasitas memori
server sudah tidak
memenui kebutuhan),
13 (kurangnya
dokumentasi (user
manual) untuk
karyawan baru), 14
(password tidak
diganti), 2 (kerusakan
fisik pada server), 11
(tidak ada penggunaan
hak akses), 15 (PC
terserang virus) dan 18
(kurangnya mekanisme
pemantauan terhadap
jaringan).
4. (N. U. 2018 Penilaian Untuk Hasil identifikasi
Handay menggunakan FMEA
ani et Risiko mengidentifikasi berbasis kerangka ISO
al., 27001 menunjukkan
2018) Sistem risiko, bahwa lima prioritas
risiko teratas pada SIFT
Informasi menganalisis UNDIP adalah
ketergantungan kepada
Fakultas manajemen karyawan dalam
kelangsungan
Teknik keamanan sistem operasional Sistem
Informasi dengan nilai
Universitas informasi, dan RPN = 80, fiber optic
Diponegoro menentukan
Menggunaka prioritas risiko
n Metode pada Sistem
Failure mode Informasi di
Effect And Fakultas Teknik
Analysis (SIFT)
50
Berbasis Universitas tersambar petir dengan
Framework Diponegoro. nilai RPN = 60,
ISO 27001 misconfiguration ISP
dengan nilai RPN = 60,
modifikasi data tanpa
ijin dengan nilai RPN =
40, dan kerusakan
computer server dengan
nilai RPN = 40.
5. (Budiart 2017 Penerapan Untuk Hasil analisis terdapat
o, 2017) Metode mengeksplorasi berbagai macam celah
FMEA untuk penggunaan keamanan dan
Keamanan FMEA pada penelitian ini
Sistem sistem informasi menunjukkan tingkat
Informasi serta kerawanan yang tinggi
mengidentifikasi dengan hasil RPN
potensi gangguan dalam rentang 40-60%
dan permasalahan dan berbagai tindakan
yang ada pada rekomendasi
sistem informasi berdasarkan data yang
website Polri. telah di olah dan telah
diuji telah dijabarkan
untuk mengurangi
tingkat kerawanan.
6. (Dewant 2016 Identifikasi, Untuk Hasil identifikasi risiko
ara, yang pada aset
2016) Penilaian, mengidentifikasi informasi jaringan di
ISNet diperoleh 20
Dan Mitigasi dan menganalisis Risiko. Untuk risiko
yang paling tinggi
Risiko risiko serta dengan nilai RPN 392
terdapat pada risiko
Keamanan mitigasi
Informasi keamanan
Berdasarkan informasi pada
Standar ISO jaringan ISNET
51
27001 : 2005 berdasarkan server down. Untuk
risiko paling rendah
dan ISO Standar ISO dengan RPN 12 terdapat
pada risiko kehilangan
27002 : 2013 27001 : 2005 dan switch. Dari 4 opsi
mitigasi yaitu Take ,
Menggunaka ISO 27002 : 2013 Treat, Transfer &
Terminate. Ditentukan
n Metode menggunakan opsi mitigasi yang
terkait dengan ancaman
FMEA metode FMEA. yang terdapat pada
risiko yang muncul
(Studi Kasus: dalam penelitian ini.
Opsi mitigasi yang
ISNET) digunakan yaitu Take &
Treat.
7. (Hanifa 2020 Analisis Untuk Berdasarkan penilaian
h& Risiko mengetahui yang dilakukan
Suroso, Sistem bagaimana didapatkan kegagalan
2020) Informasi tingkatan risiko dengan kategori tinggi 1
Pada RSIA yang terjadi pada aktivitas, dengan
Eria Bunda sistem informasi kategori
menggunaka dan memberikan moderate/sedang
n Metode solusi mitigasi dengan 6 aktivitas, dan
FMEA kepada RSIA Eria kategori low/rendah
Bunda. sebanyak 19 aktivitas.
Adapun kegagalan yang
perlu mendapatkan
perhatian yaitu
hardware rusak oleh
human error,
maintanance tidak
teratur dan virus,
52
network gagal oleh
kabel LAN yang rusak,
penyalahgunaan hak
akses karena password
yang jarang diganti, dan
pelanggaran terhadap
peraturan yang berlaku.
8. (Pribadi 2020 Manajemen Mengetahui dan Hasil penilaian risiko
&
Ernastut Risiko menilai seberapa didapatkan sebanyak 3
i, 2020)
Teknologi besar ancaman jenis potensial risiko
Informasi dan risiko pada yaitu alam/limgkungan,
Pada sebuah sistem risiko dari kesalahan
Penerapan E- informasi hingga manusia dan risiko dari
Recruitment dapat menjadi sistem dan infrastruktur
Berbasis ISO pertimbangan serta 28 atribut risiko,
31000:2018 stakeholder setelah dilakukan
dengan perusahaan dalam penilaian risiko maka
FMEA menerapkan didapatkan hasil bahwa
(Studi Kasus sistem tersebut. 7 atribut risiko
PT memerlukan perhatian
Pertamina) khusus dalam proses
penerapan sistem agar
dapat berjalan dengan
baik untuk kedepannya.
9. (Kurnia 2014 Analisis dan Untuk membantu Hasil pengukuran risiko
wan, Pengukuran PT. Bank Central yang dilakukan
2014) Tingkat Asia, tbk dalam didapatkan beberapa
Eksposur mengukur tingkat risiko yang
Resiko eksposur resiko menyebabkan kerugoan
Teknologi serta potensial dan
Informasi mengidentifikasi menghambat proses
dengan kebutuhan bisnis. Kegagalan
53
Metode pengendalian Potensial terbesar yaitu
hardware software yang
FMEA pada untuk rusak, database corrupt
dan software server
PT. Bank penanggulangan rusak atau error, potensi
penyebab kegagalan
Central Asia, resiko IT pada terbesar yaitu
pemadaman listrik.
Tbk PT. Bank Cetral Selain itu, pengukuran
ini sangat diperlukan
Asia, tbk. bagi PT. Bank Central
Asia, tbk untuk
meminimalisir resiko
yang sering terjadi di
perusahaan yang dapat
mengakibatkan
kerugian bagi
perusahaan.
10. (Leonar 2020 Information Untuk Hasil penilaian
d et al.,
2020) System mengetahui risiko menggunakan FMEA
Security Risk apa saja yang sangat membantu
Management berpotensi perguruan tinggi untuk
E-Learning mengganggu menganalisis tingkat
Using FMEA proses belajar keamanan sistem
in University mengajar dengan informasi dalam proses
menggunakan pembelajaran di
sistem E-Learning jaringan. Dengan
demikian pencegahan
risiko keamanan sistem
informasi dapat
dilakukan untuk
meminimalkan risiko
yang akan terjadi di
54
masa yang akan datang
dan hal ini sangat
membantu dalam
menjalankan proses
bisnis dan menjadi aset
untuk kedepannya.
11. (Gagas, 2021 Analisis, Untuk Hasil penelitian
Ilhamsy
ah, & Evaluasi, dan mengetahui diperoleh 19 risiko dan
Febryan
to, Mitigasi praktik keamanan 22 kejadian ancaman.
2021)
Risiko Aset yang digunakan, Kemudian berdasarkan
Teknologi mengidentifikasi, perhitungan nilai RPN
Informasi dan menganalisis didapatkan level very
Menggunaka aset kritis high memiliki 2 risiko
n Framework menggunakan dengan nilai RPN
OCTAVE framework sebesar 280, high
dan FMEA OCTAVE, memiliki 0 risiko,
(Studi Kasus: kemudian medium memiliki 3
Unit mengevaluasi dan risiko dengan nilai RPN
Pengelola menilai dampak sebesar 100-140, low
Teknis untuk mengukur memiliki 8 risiko
Teknologi nilai RPN risiko dengan nilai RPN
Informasi aset kritis sebesar 30-70 dan very
dan menggunakan low memiliki 9 risiko
Komunikasi FMEA. dengan nilai RPN
Universitas sebesar 1-18.
XYZ)
12. (Gunaw 2017 Mitigasi Untuk Dalam penilaian
an & Risiko Aset mengetahui apa terhadap aset kritis yang
Kusuma dan saja aset kritis di memiliki level Risk
wati, Komponen dalam organisasi, Priority Number yang
2017) Teknologi menganalisa dan tinggi seperti Very High
Informasi mengevaluasi dan High adalah jenis
55
Berdasarkan risiko, dan aset-aset yang harus
Kerangka mengetahui diberi perhatian khusus
Kerja langkah-langkah seperti risiko yang
OCTAVE rencana mitigasi memiliki ID : D04, H03
dan FMEA yang tepat (Very High) dan S01,
pada terhadap aset TI. D01, D05, H19, H05,
Universitas H09, H16, N01, H18,
Dian H36, S02, P01 (High).
Nuswantoro Dan setelah risiko yang
telah disebutkan diatas
baru Universitas Dian
Nuswantoro dapat
membagi perhatiannya
dengan risiko yang
berlevel Medium, Low,
dan Very Low.
13. (Anjani, 2014 Identifikasi, Untuk melakukan Hasil identifikasi risiko
Subriadi pada aplikasi healthy
,& Penilaian, identifikasi risiko plus diperoleh 13 risiko
Hediyan dengan 25 kejadian risk
ti, 2014) dan Mitigasi yang dapat terjadi dimana risiko paling
banyak terdapat pada
Risiko di Rumah Sakit aset people dengan
risiko penyalahgunaan
Keamanan Umum Haji hak akses dengan total
kejadian 5 kali.
Informasi Surabaya terkait Kemudian proses
penilaian risiko
pada Sistem dengan aset TI didapatkan level very
high dengan nilai RPN
Electronic yang digunakan 392 yaitu pada risiko
penyalahgunaan hak
Medical dalam sistem akses dan untuk level
Record Electronic
(Studi Kasus: Medical Record
Aplikasi (EMR) dan
Healthy Plus memberikan
Modul masukan atau
Rekam rekomendasi
Medis di kepada pihak
rumah sakit
56
RSU Haji bagaimana paling rendah dengan
Surabaya) langkah mitigasi nilai RPN 18 pada
risiko yang tepat risiko backup data
sesuai dengan failure. Dari hasil
hasil identifikasi tersebut diberikan
risiko yang akan penanganan atau
muncul terkait tindakan untuk
sistem EMR di mengontrol risiko yang
Rumah Sakit mengacu pada ISO
Umum Haji 27002 yang berfokus
Surabaya. pada standarisasi Sistem
Manajemen Keamanan
Informasi (SMKI).
14. (P. N. 2017 Analisis, Untuk Hasil identifikasi risiko
Putri &
Hadi, Evaluasi dan mengetahui apa diketahui 54 risiko
2017)
Mitigasi saja aset TI yang dimana hasil
Risiko Aset ada di perhitungan nilai RPN
Teknologi perusahaan, terdapat 7 risiko dengan
Informasi menganalisis dan level very high, 11
Menggunaka mengevaluasi risiko dengan level
n Framework dalam high, 12 risiko dengan
OCTAVE memperkecil level moderate, 21
dan FMEA risiko yang terjadi risiko dengan level low,
Pada Bank pada setiap aset dan 3 risiko dengan
Jateng TI serta level very low. Risiko
Cabang mengetahui hasil dengan level very high
Jepara penilaian atas dan high memberi
mitigasi risiko pengaruh yang begitu
aset teknologi besar/banyak pada suatu
informasi. perusahaan maka risiko
tersebut harus diperkecil
ataupun dilakukan
57
pencegahan sebelum
terjadi.
15. (Purwita 2016 Analisis dan Untuk membuat Hasil identifikasi risiko
sari &
Sari, Mitigasi daftar risiko yang diperoleh 50 risiko
2016)
Risiko Aset dapat dimana 10 risiko level
TI menghambat very high, 8 risiko level
Menggunaka proses bisnis dan high, 18 risiko level
n Framework merugikan baik moderate, 13 risiko
OCTAVE dari segi waktu level low, dan 1 risiko
dan FMEA maupun biaya level very low. Dengan
(Studi Kasus: dengan metode FMEA
POLTEKKE menggunakan Poltekkes Semarang
S Semarang) metode OCTAVE dapat mengambil
dan FMEA dan tindakan prioritas
dengan kepada risiko dengan
menggunakan level tinggi yang dapat
kontrol ISO memberikan dampak
27002:2013 yang besar sehingga
sebagai sebuah risiko dapat
panduan diminimalisir atau
penanggulangan bahkan dicegah sebelum
untuk mengurangi terjadi. Kemudian
atau bahkan tindakan kontrol
menghilangkan diberikan mengacu pada
risiko. ISO 27002:2013 yang
memiliki fokus
standarisasi Sistem
Manajemen Keamanan
Informasi (SMKI) agar
risiko dapat
diminimalisir atau
bahkan dihilangkan.
58
16. (A. H. 2017 Strategi Untuk Hasil penelitian
Putri & Mitigasi mengetahui apa didapatkan beberapa
Kusuma Risiko Aset saja aset TI yang penyebab terjadinya
wati, Kritis ada di risiko yang dapat
2017) Teknologi perusahaan, mengganggu dan
Informasi menganalisa menghambat proses
Menggunaka risiko yang terjadi bisnis, namun yang
n Metode pada setiap aset paling sering terjadi
Octave dan TI dan adalah kontrol dan
FMEA mengetahui maintanance terhadap
mitigasi apa saja aset kritis belum
yang perlu dilakukan secara teratur
dilakukan apabila sesuai dengan jadwal
risiko tersebut yang dibuat karena
terjadi pada aset keterbatasan SDM,
TI. gangguan pada aliran
listrik karena tegangan
listrik yang tidak stabil,
dan adanya serangan
hacker yang
mengacaukan jaringan.
Selain itu penelitian ini
tetap memberikan
tindakan mitigasi untuk
setiap risiko yang sudah
diidentifikasikan untuk
perbaikan Sistem
Manajemen Keamanan
Informasi pada
perusahaan.
59
BAB III
METODOLOGI PENELITIAN
3.1 Pendekatan Penelitian
Metode penelitian yang digunakan dalam penelitian ini adalah metode
kualitatif. Metode kualitatif merupakan salah satu cara yang sistematis dalam
melihat suatu kejadian, mengumpulkan data, mencari informasi, menganalisis
informasi dan melaporkan hasil yang ditemukan. Metode kualitatif digunakan
untuk menjawab pertanyaan tentang pengalaman, makna dan perspektif, paling
sering dari sudut pandang peserta. Teknik penelitian kualitatif termasuk diskusi
kelompok kecil untuk menyelidiki keyakinan, sikap dan konsep perilaku dan lain
sebagainya untuk mencari pandangan tentang topik yang menjadi tujuan penelitian
(Hammarberg, Kirkman, & De Lacey, 2016). Penelitian kualitatif melibatkan
penggunaan data kualitatif, seperti wawancara, dokumen, dan observasi partisipan
untuk memahami dan menjelaskan mengenai fenomena sosial. Sebagai fokus
penelitian sistem informasi bergeser dari teknologi ke isu-isu manajerial dan
organisasi, oleh karena itu penelitian kualitatif sangat berguna (Glaser & Strauss,
2017). Dengan menggunakan metode penelitian kualitatif, peneliti bisa
mendapatkan gambaran terhadap fenomena yang akan diteliti.
Penelitian kualitatif memiliki sifat deskriptif karena data yang terkumpul
berupa kata-kata atau gambar, sehingga tidak menekankan pada angka. Jenis
penelitian kualitatif yang digunakan adalah studi kasus yaitu dengan menekankan
pada aspek pemahaman terhadap suatu permasalahan dengan menggunakan studi
kasus. Bentuk penelitian studi kasus sangat tepat digunakan untuk meneliti sebuah
peristiwa, kegiatan, atau program pada sebuah kelompok tertentu dengan
mengumpulkan berbagai macam informasi yang kemudian diolah untuk
mendapatkan solusi yang dapat membantu meringankan atau menghilangkan
masalah yang mungkin muncul pada organisasi.
60
Penelitian ini menggunakan beberapa tools yang mendukung peneliti dalam
menyelesaikan penelitian ini, seperti Microsoft Word 2010 untuk penulisan laporan
akhir penelitian, Microsoft Excel 2010 untuk pengolahan data hasil kuesioner,
Mendeley Desktop versi 1.19.8 untuk mengutip sumber-sumber referensi
penelitian, Draw.io untuk membuat tabel dan gambar yang dibutuhkan dalam
penelitian, dan Publish or Perish versi 7 untuk mencari referensi yang dapat
membantu dalam proses penelitian, dan Zotero versi 5.0.96.3 untuk mengubah file
referensi ke dalam bentuk file excel. Pada penelitian ini, terdapat beberapa tahapan
yang dilakukan mulai dari tahap perencanaan, metode pengumpulan data,
instrument-instrumen penelitian, dan tahap analisis data yang akan dibahas berikut
ini.
3.2 Lokasi Penelitian
Penelelitian ini dilaksanakan pada Badan Kepegawaian dan Pengembangan
Sumber Daya Manusia (BKPSDM) yang terletak di Jalan Lintas Sumatera Km. 4
Sungai Dareh, Kecamatan Pulau Punjung, Kabupaten Dharmasraya, Provinsi
Sumatera Barat. Alasan pemilihan lokasi tersebut adalah sebagai berikut.
1. Adanya keterbukaan dari pihak BKPSDM Kabupaten Dharmasraya
terhadap penelitian yang akan dilaksanakan.
2. Berdasarkan wawancara yang dilakukan oleh peneliti ditemukan bahwa
a. BKPSDM Kabupaten Dharmasraya belum menerapkan
manajemen risiko sesuai dengan Peraturan Bupati Dharmasraya
Nomor 53 Tahun 2017 tentang pedoman penelitian risiko pada
perangkat daerah di lingkungan pemerintahan Kabupaten
Dharmasraya Pasal 3 bahwa kepala perangkat daerah wajib
melakukan penilaian risiko.
b. BKPSDM Kabupaten Dharmasraya belum memiliki kebijakan
atau prosedur terkait keamanan teknologi informasi yang
dimiliki.
61
c. BKPSDM Kabupaten Dharmasraya memiliki sistem dan server
sendiri yang diletakkan di kantor Kementrian Komunikasi dan
Informasi (KOMINFO) Kabupaten Dharmasraya.
3.3 Tahap Perencanaan
Pada tahap perencanaan, peneliti melakukan identifikasi awal pada Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia Kabupaten Dharmasraya
dengan tujuan untuk memperoleh pemahaman tentang organisasi. Pada tahap ini
dilakukan wawancara kepada penanggung jawab TI divisi Sub Bidang Informasi
dan Fasilitasi Profesi ASN untuk mengumpulkan data dan informasi untuk
mengetahui risiko atau ancaman yang pernah dialami oleh BKPSDM yang nantinya
akan digunakan untuk melakukan penilaian risiko. Selanjutnya berdasarkan
informasi yang didapatkan, peneliti dapat menentukan rumusan masalah yang akan
dibahas dalam penelitian ini. Berikut tahap perencanaan yang digunaan dalam
penelitian ini.
3.3.1 Perumusan Masalah
Perumusan masalah merupakan tahap awal dalam perencanaan suatu
penelitian. Pada tahap ini, peneliti menentukan masalah apa saja yang akan dibahas
dalam penelitian dengan cara mengamati kegiatan dan proses bisnis yang berjalan
di Badan Kepegawaian dan Pengembangan Sumber Daya Manusia Kabupaten
Dharmasraya.
3.3.2 Menentukan Tujuan Penelitian
Setelah melakukan identifikasi dan perumusan masalah pada penelitian ini,
kemudian ditentukan tujuan yang akan dicapai. Tujuan dari penelitian ini adalah
mengidentifikasi risiko dan ancaman keamanan teknologi informasi yang ada di
Badan Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM)
Kabupaten Dharmasraya dan memberikan rekomendasi mitigasi risiko berdasarkan
pada standar ISO/IEC 27002:2013.
62
3.3.3 Menentukan Data yang Dibutuhkan
Data merupakan salah satu unsur penting yang diperlukan dalam proses
penelitian ini. Untuk memperkuat penelitian, data yang dibutuhkan adalah data
terkait profil BKPSDM seperti visi dan misi, struktur organisasi, peran dan
tanggung jawab dan lain sebagainya, kemudian data aset teknologi informasi yang
dimiliki oleh organisasi sehingga peneliti dapat mengidentifikasi kekuatan dan
kelemahan yang dimiliki, selanjutnya data mengenai proses bisnis yang berjalan di
organisasi serta data-data sekunder lainnya.
3.4 Metode Pengumpulan Data
Untuk menyelesaikan penelitian ini, diperlukan data-data serta informasi
yang relatif lengkap yang digunakan sebagai bahan pendukung kebenaran materi
uraian dan pembahasan penelitian. Dalam mengumpulkan data-data yang
dibutuhkan untuk melakukan analisis manajemen risiko pada teknologi informasi
yang dimiliki BKPSDM, peneliti menggunakan metode yang sesuai dengan tujuan
penelitian. Berikut beberapa metode pengumpulan data yang digunakan dalam
penelitian ini.
3.4.1 Studi Literatur
Studi literatur dilakukan untuk mendapatkan referensi mengenai konsep dan
teori-teori yang berhubungan dengan penelitian, seperti teori tentang manajemen
risiko, teknologi informasi, sistem informasi kepegawaian, metode failure mode
and effects analysis (FMEA) dan standar ISO/IEC 27002:2013. Referensi yang
digunakan dalam penelitian ini adalah jurnal sejenis, buku, dan handbook yang
terkait. Selain itu, peneliti juga membaca sumber media cetak seperti artikel online
(blog dan berita) tentang objek penelitian. Penulisan studi literatur harus mengacu
pada rumusan masalah yang telah dibuat sehingga teori yang digunakan relevan
dengan masalah yang ada pada objek penelitian.
63
3.4.2 Observasi
Observasi adalah suatu kegiatan yang dilakukan dengan melihat langsung
ke lapangan. Tahap observasi dilakukan di kantor Badan Kepegawaian dan
Pengembangan Sumber Daya Manusia Kabupaten Dharmasraya. Tujuan observasi
adalah untuk mengumpulkan informasi yang dibutuhkan dan mengidentifikasi
permasalahan yang ada pada perusahaan yang berguna untuk mendukung dan
memperkuat proses penelitian. Observasi pada BKPSDM dilakukan mulai pada
April sampai September 2021 dengan mengunjungi kantor BKPSDM yang
beralamatkan di Jalan Lintas Sumatera Km. 4 Sungai Dareh, Kecamatan Pulau
Punjung, Kabupaten Dharmasraya, Provinsi Sumatera Barat. Jenis observasi yang
dilakukan oleh peneliti adalah observasi nonpartisipan dimana peneliti tidak terlibat
dan hanya mengamati objek yang sedang diteliti dan peneliti bersifat independen.
3.4.3 Wawancara
Wawancara merupakan suatu proses tanya jawab yang dilakukan oleh
peneliti dengan divisi TI Sub Bidang Informasi dan Fasilitasi Profesi ASN di Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia Kabupaten Dharmasraya.
Tahap wawancara dilakukan untuk mengetahui dan menganalisis masalah serta
risiko yang pernah terjadi pada aplikasi SIMPEG. Wawancara dilakukan dua kali
pada tanggal 9 April dan 19 Agustus 2021. Wawancara pertama dilakukan dengan
cara wawancara terbuka dengan bidang teknologi informasi di BKPSDM mengenai
profil singkat organisasi dan permasalahan dalam pengelolaan teknologi informasi.
Dalam wawancara tersebut diketahui sering terjadi insiden terkait dengan
pengelolaan teknologi informasi terutama server dan jaringan, kemudian diketahui
bagaimana peran SIMPEG yang membantu proses bisnis yang berjalan.
Berdasarkan hasil wawancara pertama peneliti dapat menentukan rumusan masalah
dan tujuan yang akan dicapai dalam penelitian. Wawancara kedua dilakukan
dengan cara wawancara mendalam dengan memberikan pertanyaan yang telah
disediakan oleh peneliti dengan divisi TI Sub Bidang Informasi dan Fasilitasi
Profesi ASN di BKPSDM dan kepala bidang Dinas Komunikasi dan Informasi
(KOMINFO) yang dapat dilihat pada Lampiran B, pertanyaan tersebut membahas
64
mengenai pengelolaan teknologi informasi, prosedur keamanan, dan aset yang
dimiliki oleh organisasi.
3.4.4 Kuesioner
Kuesioner merupakan salah satu teknik untuk mengumpulkan informasi
dalam suatu penelitian. Data hasil kuesioner diharapkan dapat membantu peneliti
untuk mengetahui risiko atau ancaman yang mungkin terjadi pada teknologi
informasi di BKPSDM. Tujuan memilih kuesioner sebagai alat untuk
mengumpulkan data adalah karena dapat memudahkan peneliti untuk mengolah
hasil pengukurannya. Selain itu, dengan adanya kuesioner, peneliti dapat
mengumpulkan data dalam waktu yang singkat dan tanpa mengeluarkan banyak
biaya. Selain itu pengambilan data dengan kuesioner dilakukan untuk mengevaluasi
aset berbasis ancaman, mengetahui tingkat risiko, mengidentifikasi aset yang
dimiliki perusahaan, memberikan prioritas risiko yang memiliki pengaruh terhadap
kinerja sistem.
3.5 Instrumen Penelitian
Instrumen penelitian merupakan alat-alat yang digunakan untuk
mengumpulkan data yang dibutuhkan untuk proses penelitian. Dalam penelitian
kualitatif, instrumen utama yang bertugas untuk mengumpulkan data adalah
manusia yaitu peneliti sendiri atau orang lain yang membantu peneliti. Instrumen
selain manusia, seperti pedoman wawancara, pedoman observasi, kuesioner dan
sebagainya digunakan sebagai instrumen pendukung tugas peneliti sebagai
instrumen kunci. Oleh karena itu, kehadiran peneliti dalam penelitian kualitiatif
adalah mutlak, karena peneliti harus berinteraksi dengan lingkungan tempat
penelitian baik dengan manusia atau bukan manusia. Dalam penelitian ini, peneliti
melakukan observasi secara langsung ke BKPSDM Kabupaten Dharmasraya untuk
melihat dan memahami kondisi lingkungan tempat penelitian dilakukan, kemudian
peneliti melakukan wawancara kepada pihak yang bertanggung jawab pada
teknologi informasi dan SIMPEG dan mengamati proses bisnis yang berjalan.
Selain itu, peneliti menggunakan instrumen bantuan untuk mengumpulkan data.
65
Pada penelitian ini, peneliti menggunakan tiga instrumen pendukung sebagai
berikut.
1. Panduan atau pedoman wawancara
Panduan atau pedoman wawancara berisi daftar informasi yang diperlukan.
Dalam penelitian ini, pedoman wawancara yang digunakan disesuaikan
dengan tujuan penelitian dan dibagi menjadi beberapa kelompok sebagai
berikut.
a. Identifikasi perusahaan
b. Aset teknologi informasi
c. Identifikasi kebutuhan keamanan aset teknologi informasi
d. Identifikasi ancaman aset teknologi informasi
e. Identifikasi keamanan yang sudah diterapkan
f. Identifikasi kelemahan organisasi
g. Identifikasi kelemahan infrastruktur
h. Identifikasi strategi dan perencanaan keamanan
i. Pengukuran risiko
j. Identifikasi strategi proteksi
k. Identifikasi rencana mitigasi risiko
2. Alat rekaman
Peneliti menggunakan aplikasi Voice Memos yang ada di telepon seluler
untuk merekam hasil wawancara yang dilakukan. Alat rekaman dapat
memudahkan peneliti apabila peneliti mengalami kesulitan untuk mencatat
hasil wawancara.
3. Kuesioner
Kuesioner yang digunakan dalam penelitian ini telah disesuaikan dengan
metode penelitian yaitu metode Failure mode and Effects Analysist (FMEA)
sehingga data yang dihasilkan dapat membantu peneliti untuk mencapai
tujuan.
66
3.6 Pengumpulan dan Pemrosesan Data
Proses pengumpulan data dilakukan dengan observasi secara langsung ke
kantor Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
(BKPSDM). Sebelum melakukan wawancara peneliti membuat izin penelitian di
kantor Dinas Penanaman Modal dan Pelayanan Terpadu Satu Pintu dengan mengisi
formulir permohonan rekomendasi penelitian. Setelah surat izin diterbitkan,
peneliti melakukan wawancara yang berisi pertanyaan yang dapat mendukung
penelitian ke kantor BKPSDM. Berdasarkan data hasil observasi dan wawancara
yang telah dilakukan, peneliti melakukan identifikasi risiko yang mungkin muncul
dan penyebab terjadinya risiko yang nantinya akan digunakan sebagai bahan
pembuatan kuesioner.
3.7 Metode Analisis Data
Metode analisis data yang digunakan dalam penelitian ini adalah metode
Failure mode and Effects Analysist (FMEA). Berikut adalah urutan analisis data
menggunakan metode FMEA yang harus dilakukan.
3.7.1 Review Proses dan Produk
Tahap ini mendeskripsikan tentang apa saja proses yang dilakukan terkait
dengan teknologi informasi di BKPSDM Kabupaten Dharmasraya. Tahap ini
bertujuan untuk mengetahui apa saja proses bisnis yang berjalan pada perusahaan,
proses bisnis pada sistem, daftar aset komponen teknologi informasi, dan prosedur
terkait keamanan teknologi informasi yang dimiliki. Tahap ini dilakukan dengan
cara observasi dan wawancara untuk mengetahui dan mendapatkan data-data
sebagai berikut (Dewantara, 2016).
a. Proses Bisnis yang berjalan
b. Kekuatan dan Kelemahan Organisasi
c. Kekuatan dan Kelemahan Sistem
d. Daftar Aset Teknologi Informasi
e. Daftar Aset Kritis
67
Kebutuhan Keamanan Aset Kritis
3.7.2 Identifikasi Failure Mode
Tahap selanjutnya adalah mengidentifikasi potensial mode kegagalan yang
ada di BKPSDM. Pada tahap ini peneliti menentukan bertujuan untuk mengetahui
kegagalan yang mungkin terjadi pada teknologi informasi dan sistem yang berjalan.
Tahap ini dilakukan dengan mengidentifikasi apa saja potensial ancaman atau risiko
pada BKPSDM baik yang belum pernah terjadi maupun yang sudah pernah terjadi
dan bagaimana kerentanan yang dimiliki oleh setiap aset. Daftar potensial failure
mode dibuat berdasarkan hasil observasi yang dilakukan dengan melihat kondisi
sistem, server, dan lingkungan tempat proses bisnis dilaksanakan. Hal ini dilakukan
untuk menemukan kemungkinan risiko atau ancaman yang mungkin terjadi
berdasdarkan kondisi saat ini, sehingga BKPSDM dapat mengurangi atau
menghilangkan dampak yang ditimbulkan dari risiko tersebut.
3.7.3 Identifikasi Potensi Efek, Penyebab, dan Kontrol Failure Mode
Setelah mengidentifikasi mode kegagalan yang mungkin terjadi pada
BKPSDM, langkah selanjutnya adalah membuat daftar efek atau dampak dari
potensial risiko, penyebab dari potensial risiko, dan langkah yang dilakukan
organisasi untuk mengatasi atau mengurangi kemungkinan risiko. Data tersebut
akan digunakan untuk membuat kuesioner yang akan digunakan untuk penilaian
risiko yang mungkin terjadi pada BKPSDM. Dengan adanya data tersebut, akan
memudahkan peneliti untuk menganalisis bagaimana perusahaan mampu
memberikan penanganan terhadap kemungkinan risiko dan bagaimana kontrol yang
dilakukan agar risiko yang muncul dapat diminimalkan dan tidak memberikan
kerugian yang besar terhadap perusahaan.
3.7.4 Identifikasi Tingkat Keparahan
Tahap ini bertujuan untuk menentukan nilai severety yang digunakan untuk
mengetahui tingkat keparahan yang ditimbulkan dari efek mode kegagalan. Untuk
mengetahui tingkat keparahan dilakukan dengan memberikan nilai severety dari 1
sampai 10 terhadap dampak yang ditimbulkan dari mode kegagalan. Jika nilai
68
severety semakin besar maka efek yang ditimbulkan dari mode kegagalan semakin
parah.
3.7.5 Identifikasi Penyebab Mode Kegagalan
Pada tahap ini dilakukan proses untuk menentukan nilai occurrence yang
bertujuan untuk mengidentifikasi penyebab mode kegagalan yang menyebabkan
efek atau dampak bagi organisasi. Nilai occurrence ditentukan dengan mencari
peringkat probabilitas terjadinya risiko dengan memberikan nilai 1 sampai 10,
dimana semakin besar tingkat occurrence maka semakin sering mode kegagalan
tersebut muncul.
3.7.6 Evaluasi Kontrol Kegagalan
Langkah selanjutnya adalah melakukan evaluasi terhadap kontrol yang
dilakukan untuk menghadapi kemungkinan risiko yang muncul yaitu dengan
menentukan nilai detection terhadap kontrol mode kegagalan yang mungkin terjadi.
Langkah ini bertujuan untuk menhetahui apa saja proses yang dilakukan oleh
BKPSDM untuk mengontrol dan mendeteksi kegagalan yang mungkin terjadi. Nilai
detection ditentukan dengan mencari peringkat probabilitas risiko dapat dideteksi
dengan memberikan nilai dari 1 sampai 10 dimana semakin besar nilai detection
maka semakin sulit untuk mendeteksi penyebab mode kegagalan.
3.7.7 Menghitung Risk Priority Number (RPN)
Dengan menggunakan FMEA, mode kegagalan dipersiapkan sebaik
mungkin agar tidak mencapai pelanggan. Oleh karena itu, FMEA menggunakan
metodologi Risk Priority Number (RPN) untuk menganalisis risiko yang terkait
dengan setiap mode kegagalan yang teridentifikasi. RPN merupakan indikator
untuk mengukur risiko atau ancaman dari mode kegagalan, dimana hasil dari RPN
digunakan untuk menentukan tingkat skala prioritas perbaikan yang harus
dilakukan oleh perusahaan. Perhitungan nilai RPN dilakukan dengan mengalikan
secara bersamaan nilai severety, occurrence, dan detection. Dari hasil RPN untuk
setiap mode kegagalan yang memiliki nilai lebih tinggi dianggap penting dan harus
diberikan prioritas yang lebih tinggi.
69
3.8 Mitigasi Risiko
Mitigasi risiko merupakan proses pengambilan langkah-langkah untuk
mengurangi kerugian yang dapat ditimbulkan dari dampak terjadinya risiko
(Gunawan & Kusumawati, 2017). Proses mitigasi risiko dalam penelitian ini
dilakukan dengan cara memberikan opsi mitigasi (take, treat, transfer, terminate)
yang tepat dan memberikan kontrol yang sesuai berdasarkan pada control
objectives yang ada pada standar ISO/IEC 27002:2013 untuk setiap mode
kegagalan yang sudah diidentifikasi menggunakan metode FMEA. Hasil mitigasi
risiko selanjutnya akan diberikan kepada BKPSDM yang dapat digunakan sebagai
bahan pertimbangan untuk mengurangi dan meminimalkan risiko yang munkin
muncul.
3.9 Pembahasan dan Interpretasi Hasil Penelitian
Setelah menghitung nilai RPN dari hasil kuesioner yang telah diisi oleh
responden, peneliti menentukan tingkat risiko dengan cara mengurutkan nilai RPN
dari yang paling besar sampai dengan nilai terkecil. Hal ini dilakukan untuk
mengetahui risiko yang paling kritis dan mendesak untuk segera ditangani agar
tidak mengganggu proses bisnis yang berjalan di BKPSDM Kabupaten
Dharmasraya. Selanjutnya berdasarkan hasil RPN tersebut, peneliti akan
mendiskusikan dan menginterpretasikan temuan penelitian dengan memberikan
prioritas risiko yang harus segera ditangani untuk memperkecil atau bahkan
menghilangkan dampak yang akan dirasakan oleh BKPSDM. Selanjutnya,
memberikan mitigasi risiko berdasarkan pada control objective yang ada pada
standar ISO/IEC 27002:2013untuk setiap risiko yang diprioritaskan.
3.10 Tahapan Penelitian
Untuk memudahkan dalam menjelaskan tahapan penelitian, maka dibuat
alur penelitian dalam bentuk diagram agar lebih mudah dibaca dan dipahami.
Adapun tahapan penelitian dapat dilihat pada gambar berikut.
70
Gambar 3.1. Tahapan Penelitian
71
BAB 4
HASIL DAN PEMBAHASAN
4.1 Sekilas Perusahaan
4.1.1 Profil BKPSDM
Badan kepegawaian dan Pengembangan Sumber Daya Manusia atau
BKPSDM merupakan Perangkat Provinsi Daerah (OPD) yang sebelumnya dikenal
dengan Badan Kepegawaian Daerah (BKD) sesuai dengan Peraturan Pemerintah
Nomor 18 Tahun 2016 tentang Perangkat Daerah. BKPSDM bertugas untuk
membantu bupati Kabupaten Dharmasraya dalam melaksanakan fungsi penunjang
urusan pemerintahan yang menjadi kewenangan daerah di bidang kepegawaian,
pendidikan dan pelatihan.
Badan kepegawaian dan Pengembangan Sumber Daya Manusia dalam
melaksanakan tugas sebagaimana yang terdapat dalam Peraturan Bupati
Dharmasraya Nomor 65 Tahun 2016 pasal 2 menyelenggarakan fungsi sebagai
berikut.
a. Penyusunan kebijakan teknis bidang kepegawaian, pendidikan dan
pelatihan;
b. Pelaksanaan tugas dukungan teknis bidang kepegawaian, pendidikan dan
pelatihan;
c. Pemantauan, evaluasi, dan pelaporan pelaksanaan tugas dukungan teknis
bidang kepegawaian, pendidikan dan pelatihan.
d. Pembinaan teknis penyelenggaraan fungsi-fungsi penunjang urusan
pemerintahan daerah bidang kepegawaian, pendidikan dan pelatihan
e. Pelaksanaan fungsi lain yang diberikan oleh bupati sesuai dengan tugas
4.1.2 Visi dan Misi BKPSDM
Dengan mempertimbangkan arah pembangunan jangka panjang daerah,
kondisi, permasalahan dan tantangan pembangunan yang dihadapi serta isu-isu
72
strategis maka Rencana Pembangunan Jangka Menengah Daerah Kabupaten
Dharmasraya 2021- 2026 menetapkan visi dan misi sebagai berikut.
A. Visi BKPSDM
Visi merupakan cita-cita yang ingin dicapai dalam jangka menengah lima
tahun sebagai berikut.
“Terwujudnya Kabupaten Dharmasraya Maju yang Mandiri dan
Berbudaya”
Definisi kalimat Visi:
- Maju
Kabupaten Dharmasraya yang lebih baik sebagai pusat
pengembangan ekonomi dan pelayanan sosial yang berdaya saing
pada wilayah bagian tenggara Provinsi Sumatera Barat
- Mandiri
Kondisi daerah yang memiliki daya tahan sosial, ekonomi dan
keuangan daerah, serta pelayanaan publik yang memadai dengan
pengelolaan sumber daya daerah secara optimal
- Berbudaya
Masyarakat yang melestarikan nilai dan tradisi multikultural dalam
berkarya dan berinovasi untukmeningkatkan kesejahteraan
berdasarkan Iman dan Taqwa.
B. Misi BKPSDM
Rumusan misi disusun untuk memberikan kerangka bagi tujuan,
sasaran, strategi dan arah kebijakan guna menentukan jalan yang akan
ditempuh untuk mencapai visi. Misi Kabupaten Dharmasraya 2021-2026
adalah sebagai berikut:
1. Meningkatkan pemerataan pembangunan infrastruktur
2. Meningkatkan kualitas sumber daya manusia
3. Meningkatkan potensi ekonomi daerah yang berdaya saing
73
4. Meningkatkan kualitas birokrasi pemerintahan yang efektif dan
efisien
5. Meningkatkan kualitas lingkungan hidup untuk pembangunan
berkelanjutan
6. Meningkatkan nilai-nilai agama, adat dan budaya yang
mencerminkan kepribadian daerah
4.1.3 Struktur Organisasi BKPSDM
Berikut adalah struktur organisasi Badan Kepegawaian dan Pengembangan
Sumber Daya Manusia (BKPSDM) Kabupaten Dharmasraya berdasarkan
Peraturan Bupati Dharmasraya Nomor 65 Tahun 2016 tentang kedudukan, susunan
organisasi, tugas, fungsi, uraian tugas jabatan serta tata kerja BKPSDM Kabupaten
Dharmasraya.
Gambar 4.1. Struktur Organisasi BKPSDM
74
Susunan organisasi Badan terdiri dari:
1. Kepala Badan Kepegawaian dan Pengembangan Sumber Daya Manusia
2. Sekretariat membawahi 2 (dua) Sub Bagian yang terdiri dari:
a. Sub Bagian Umum dan Kepegawaian; dan
b. Sub Bagian Keuangan, Program dan Pelaporan.
3. Bidang Perencanaan dan Pembinaan Aparatur membawahi 3 (tiga) Sub
Bidang yang terdiri dari:
a. Sub Bidang Pengembangan Pengadaan dan Pemberhentian
Aparatur;
b. Sub Bidang Disiplin, Kesejahteraan dan Perlindungan Aparatur;
dan
c. Sub Bidang Informasi dan Fasilitasi Profesi ASN.
4. Bidang Mutasi dan Pengembangan Aparatur membawahi 3 (tiga) Sub
Bidang yang terdiri dari:
a. Sub Bidang Mutasi dan Kepangkatan;
b. Sub Bidang Penilaian Kinerja dan Pengembangan Karir; dan
c. Sub Bidang Diklat dan Pengembangan Kompetensi.
d. UPT.
e. Kelompok Jabatan Fungsional.
4.1.4 Peran dan Tanggung Jawab
Peraturan bupati Dharmasraya Nomor 65 Tahun 2016 tentang kedudukan,
susunan organisasi, tugas, fungsi, uraian tugas, jabatan serta tata kerja Badan
Kepegawaian dan Pengembangan Sumber Daya Manusia terdiri dari lima bab dan
24 pasal. Berikut adalah peran dan tanggung jawab Sub Bidang Informasi dan
Fasilitasi Profesi ASN pada Pasal 11.
1. Sub Bidang Informasi dan Fasilitasi Profesi ASN dipimpin oleh seorang
Kepala Sub Bidang yang berada di bawah dan 17 bertanggung jawab kepada
Kepala Bidang Perencanaan dan Pembinaan Aparatur.
75
2. Kepala Sub Bidang Informasi dan Fasilitasi Profesi ASN sebagaimana
dimaksud pada ayat (1) mempunyai tugas melaksanakan perencanaan
program dan kegiatan yang terkait dengan informasi dan fasilitasi profesi
ASN.
3. Untuk melaksanakan tugas sebagaimana dimaksud pada ayat (2), Sub
Bidang Informasi dan Fasilitasi Profesi ASN menyelenggarakan fungsi:
a. Pelaksanaan kebijakan teknis sub bidang informasi dan fasilitasi
profesi ASN;
b. Pelaksanaan program dan kegiatan sub bidang informasi dan
fasilitasi profesi ASN;
c. Penyampaian laporan program dan kegiatan dalam lingkup sub
bidang informasi dan fasilitasi profesi ASN; dan
d. Pelaksanaan tugas kedinasan lainnya yang diberikan oleh atasan
sesuai dengan tugas dan fungsinya.
4. Uraian tugas Kepala Sub Bidang Informasi dan Fasilitasi Profesi ASN
sebagaimana dimaksud pada ayat (2) sebagai berikut:
a. Melaksanakan pengembangan sistem informasi kepegawaian;
b. Mengelola sistem informasi kepegawaian;
c. Mengelola data kepegawaian;
d. Mengevaluasi sistem informasi kepegawaian;
e. Melaksanakan fasilitasi sistem informasi kepegawaian;
f. Merencanakan dan melaksanakan fasilitasi kelembagaan profesi
ASN (KORPRI dan lembaga profesi ASN lainnya);
g. Mengelola administrasi umum, kepegawaian dan kegiatan
keorganisasian untuk mendukung tugas dan fungsi lembaga profesi
ASN;
h. Mengkoordinasikan tata hubungan kerja di setiap jenjang
kepengurusan;
i. Melakukan pengelolaan data base kepegawaian;
j. Melaksanakan fasilitasi profesi ASN; 18
76
k. Melaksanakan penghimpunan dan pengolahan data serta informasi
yang berhubungan dengan data dan formasi pegawai;
l. Melaksanakan penghimpunan dan pemeliharaan dokumen Pegawai
Negeri Sipil Daerah;
m. Mengumpulkan data dan bahan tentang jumlah formasi jabatan
struktural, non struktural, fungsional berdasarkan Analisis Jabatan
dan formasi yang terisi dan tidak terisi;
n. Melaksanakan penyusunan, pengusulan dan penetapan formasi
pegawai;
o. Menghimpun, mengolah dan melaksanakan pemutakhiran data
pegawai;
p. Melaporkan hasil pelaksanaan tugas, memberikan saran dan
pertimbangan kepada pimpinan sesuai tugas dan fungsi; dan
q. Melaksanakan tugas kedinasan lainnya yang diberikan oleh atasan
sesuai dengan tugas dan fungsinya.
4.1.5 Sistem Informasi Kepegawaian (SIMPEG)
Salah satu tugas BKPSDM Kabupaten Dharmasraya adalah pengelolaan
sumber daya manusia yang meliputi pengelolaan data pegawai, absensi,
pengelolaan tunjangan kinerja, kenaikan pangkat, mutasi dan lain sebagainya.
Untuk memudahkan proses tersebut, BKPSDM menggunakan Sistem Informasi
Manajemen Kepegawaian (SIMPEG) yang dapat membantu mengelola semua hal
terkait kepegawaian. Penggunaan SIMPEG juga merupakan upaya dalam
memenuhi intruksi untuk menerapkan sistem manajemen kepegawaian di dalam
instansi pemerintahan agar terciptanya tata kelola pemerintahan yang baik dan
efisien.
SIMPEG merupakan sebuah sistem yang dikelola oleh BKPSDM dalam
memberikan layanan kepegawaian yang berfungsi untuk mengelola data,
manajemen dan administrasi kepegawaian. Terdapat 3369 data pegawai Kabupaten
Dharmasraya yang tersimpan di SIMPEG BKPSDM. Seluruh rangkaian bangunan
program SIMPEG berbasis website menggunakan metode server side (berjalan
77
disisi server), di mana mewajibkan semua pengguna untuk terhubung ke server
ketika akan mengakses SIMPEG. Oleh karena itu, SIMPEG sangat bergantung pada
keadaan jaringan komputer dan server tempat SIMPEG diletakkan, meskipun tidak
terpengaruh dengan sistem operasi yang digunakan oleh server tersebut.
Selanjutnya pada sisi pengguna, SIMPEG bergantung pada adanya browser
yang digunakan untuk mengakses SIMPEG yang dapat berjalan pada sistem operasi
yang digunakan oleh pengguna. Berikut adalah tampilan dari Sistem Informasi
Kepegawaian Kabupaten Dharmasraya.
Gambar 4.2. Sistem Informasi Kepegawaian
Program yang ada dalam SIMPEG dikelompokkan dalam modul-modul
yang merupakan sub-sub program dari SIMPEG sebagai berikut.
1. Home
2. Cari PNS
Menu Cari PNS merupakan menu yang digunakan untuk mencari PNS
berdasarkan NIP, nama, dan Unit Kerja PNS. Setelah mencari PNS, kita bisa
melakukan edit identitas PNS, pangkat/golongan PNS, mutasi PNS, dan
pensiun.
3. Grafik PNS
78
Menu Grafik PNS menampilkan rekap data PNS dalam bentuk grafik yang
dapat dibedakan berdasarkan Unit Kerja dan rekap berdasarkan beberapa
pilihan seperti golongan, agama, jenis kelamin, usia dan lain sebagainya.
4. Struktur Organisasi
Menu Struktur Organisasi menampilkan struktur organisasi PNS
berdasarkan Unit Kerja.
5. Peta Jabatan
Menu Peta Jabatan menampilkan peta jabatan PNS berdasarkan pilihan Unit
Kerja
6. Normatif
Pada Menu Normatif, terdapat beberapa pilihan yang memudahkan untuk
mengelompokkan data yaitu golongan, eselon, jabatan, diklat, jenis kelamin,
agama, pendidikan, unit kerja, sub unit kerja, dan urut. Kemudian sistem
akan menampilkan hasil sesuai yang dibutuhkan. Setelah itu, kita bisa
melakukan cetak, cetak Normatif Struktural dan Cetak Bezetting.
7. Gaji Berkala
Pada Menu Gaji Berkala akan menampilkan normatif kenaikan gaji berkala
yang dapat dibedakan berdasarkan bulan, tahun, dan sub unit kerja.
Kemudian data yang ditampilkan bisa dicetak.
8. Ulang Tahun PNS
Menu Ulang Tahun PNS akan menampilkan normatif PNS yang berulang
tahun yang dapat dicari dengan pilihan kapan ulang tahun PNS dan unit kerja
PNS
9. Pensiun
Pada Menu PNS menampilkan normatif PNS yang akan pensiun yang dapat
dipilih berdasarkan unit kerja, waktu pensiun, jabatan, eselon, dan jenis
kelamin. Kemudian pada data yang dihasilkan dapat dicetak.
Masing-masing modul yang terdapat dalam SIMPEG dapat dikembangkan
sendiri-sendiri tanpa mempengaruhi modul lain, sehingga memudahkan dalam
pengerjaan secara tim.
79
SIMPEG memperoleh input berupa data pribadi pegawai yang selanjutnya
data terebut diolah sehingga menjadi suatu informasi yang dapat digunakan oleh
BKPSDM Kabupaten Dharmasraya dalam pengambilan keputusan dan mencapai
tujuan yang ada. Manajemen data kepegawaian pada BKPSDM Kabupaten
Dharmasraya berisi informasi lengkap tentang pegawai serta riwayat hidup pegawai
yang disimpan pada SIMPEG. SIMPEG bertujuan untuk membantu memperoleh
informasi mengenai data dan kondisi karyawan yang tepat dan akurat sehingga
memudahkan dalam pembuatan laporan yang dibutuhkan oleh BKPSDM
Kabupaten Dharmasraya.
Adanya sistem informasi yang terintegrasi dapat membantu BKPSDM
untuk mewujudkan aksesibilitas data dengan akurat dalam durasi relatif singkat.
Bahkan untuk efek berkelanjutan juga dapat membantu meningkatkan produktivitas
karyawan. Berikut adalah beberapa fungsi SIMPEG pada BKPSDM Kabupaten
Dharmasraya.
1. Manajemen mutasi pegawai seperti prosedur mutasi mulai dari proses
pengajuan hingga persetujuan.
2. Memetakan kenaiakan pangkat seluruh karyawan di Kabupaten
Dharmasraya secara berkala berdasarkan informasi dan peraturan
perundang-undangan yang berlaku.
3. Memetakan kenaiakan gaji seluruh karyawan di Kabupaten Dharmasraya
secara berkala berdasarkan informasi dan peraturan perundang-undangan
yang berlaku.
4. Membuat statistik pegawai yang memuat informasi mengenai visualisasi
dari rangkuman data kepegawaian yang meliputi statistik jumlah pegawai
keseluruhan, pegawai per wilayah, pegawai per tingkat pendidikan, pegawai
per-rentang usia, pegawai per aktif per pangkat, dan lain sebagainya.
5. Sebagai sarana untuk mendapatkan informasi dalam proses penempatan
suatu jabatan atau posisi dan proses perekruitan pegawai baru berdasakan
pada informasi pegawai yang sesuai dan memenuhi syarat yang berlaku.
6. Pemantauan pembagian cuti untuk setiap pegawai.
80
7. Merencanakan penyebaran pegawai sesuai dengan pendidikan dan
kompetensi masing-masing pegawai.
8. Pensiun
Berdasarkan fungsi SIMPEG diatas, dapat disimpulkan bahwa data pribadi
pegawai merupakan aset kritis dalam manajemen kepegawaian. Seiring dengan
perkembangan teknologi, data pribadi menjadi sesuatu yang substansial untuk
sejumlah kepentingan. Ancaman terjadinya kerusakan dan kebocoran data seperti
alamat email dan nomor telepon yang disebabkan oleh ketidaksengajaan SDM,
virus dan malware, pembobolan data, kerusakan database, kerusakan hardware,
pemadaman listrik, bencana alam dan lain sebagainya, dapat terjadi apabila
SIMPEG tidak memiliki keamanan dan manajemen risiko yang mampu menjaga
informasi dari kemungkinan risiko dan jika tidak segera ditindak lanjuti dapat
berpotensi atau dimanfaatkan oleh pihak yang tidak bertanggungjawab dan dapat
membahayakan bagi pihak pemilik data tersebut. Berikut adalah ancaman yang
dapat terjadi apabila terjadi kerusakan dan kebocoran terhadap data pribadi
pegawai.
1. Mengakses sistus berbahaya
Data pribadi yang bocor dapat disalahgunakan untuk mengakses situs
berbahaya seperti pinjaman online dan lainnya.
2. Rekayasa profil
Bocornya data pribadi seperti umur, lokasi, hobi, jenis kelamin, dan
pendidikan dapat digunakan untuk rekayasa sosial yang dimanfaatkan untuk
sosialisasi politik dan lainnya.
3. Pembobolan layanan keuangan
Kebocoran data pribadi seperti alamat, tanggal lahir dan nomor telepon
dapat digunakan untuk membobol akun media sosial, layanan pembayaran
dan lainnya.
4. Telemarketing
Data nomor telepon dapat diperjualbelikan untuk kepentingan
telemarketing yang mengakibatkan adanya telepon atau SMS penipuan.
81
5. Scam
Scam adalah tindakan penipuan yang memanfaatkan data pribadi untuk
kejahatan seperti meyakinkan seseorang bahwa mereka akan memenangkan
hadiah tertentu jika memberikan sejumlah uang atau kode yang sudah
disiapkan oleh penipu
6. Phising
Phising adalah teknik penipuan yang memanfaatkan data pribadi yang
kemudian mengarahkan mereka pada situs palsu
Jadi dapat disimpulkan bahwa data pegawai merupakan aset krusial yang
harus dijaga keamanannya agar keaslian data tetap terjamin. Meskipun BKPSDM
Kabupaten Dharmasraya memiliki SIMPEG untuk membantu proses bisnis yang
berjalan, namun BKPSDM belum memiliki prosedur atau kebijakan terkait
keamanan sistem informasi yang dimiliki. Sehingga BKPSDM belum mampu
untuk menghindari dan meminimalisir kemungkinan ancaman atau risiko yang
mungkin terjadi pada SIMPEG yang dapat mengakibatkan kerusakan dan
kehilangan data. Hal tersebut dapat membuat data yang ada tidak terjamin
keasliannya dan data tidak dapat digunakan sebagai bahan pengambilan keputusan
oleh BKPSDM. Oleh karena itu, penelitian ini diharapkan dapat membantu
BKPSDM mengidentifikasi kemungkinan risiko yang terjadi dan memberikan
rekomendasi penanganan yang sesuai untuk setiap risiko.
4.2 Pemetaan RACI Chart
Pemetaan RACI chart merupakan salah satu metode yang dapat membantu
peneliti dalam menentukan responden atau sumber informan yang tepat dalam
penelitian ini. RACI chart bertujuan untuk menunjukkan peran dan tanggung jawab
suatu struktur organisasi atau dalam kegiatan tertentu. RACI chart digunakan
sebagai pedoman dalam memilih dan membantu peneliti untuk mengidentifikasi
responden dalam penelitian. Responden yang dipilih merupakan responden yang
mewakili tabel RACI (Responsible, Accountable, Consulted, Informed).
82
Pemetaan RACI chart dilakukan dengan mendefinisikan peran responden
sebagai pemangku utama (key stakeholder) yang secara langsung terkait dalam
proses pengelolaan TI pada BKPSDM. Berikut adalah pemetaan diagram RACI
pada Badan Kepegawaian dan Pengembangan Sumber Daya Manusia.
Tabel 4.1. RACI Chart
Peran dan Tanggung Kepala Sub Bidang Operasional Pengelola
Jawab Informasi dan SIMPEG Server
Fasilitasi Profesi ASN R, A, C, I C, I
Mengelola dan A, C, I C, I R, A, C, I
mengoperasikan Sistem C, I
Informasi Manajemen R, A, C, I C, I
Kepegawaian A, C, I I I
Mengelola, memelihara R, A, C, I
dan bertanggung jawab R, A, C, I R, I R, I
atas infrastruktur
jaringan, server, dan
database yang dimiliki
oleh BKPSDM
Melakukan evaluasi
terhadap kegiatan
operasi TI
Memutuskan dan
menyetujui serta
bertanggung jawab atas
kerja seluruh pegawai
BKPSDM
Memberikan solusi
bisnis pada BKPSDM
83
Berdasarkan tabel di atas maka dapat ditetapkan jumlah responden yang
menjadi partisipan dalam penelitian yaitu sebanyak tiga responden yang terdiri dari
Kepala Sub Bidang, Bagian Operasional, dan Bagian Server.
4.3 Metode FMEA
Dalam melakukan analisis manajemen risiko meggunakan FMEA pada
dasarnya mempunyai 8 tahapan yaitu review proses dan produk, identifikasi
potensial failure mode, identifikasi potensial efek failure mode, identifikasi
potensial penyebab failure mode, evaluasi kontrol failure mode, menghitung Risk
Priority Number (RPN), membuat prioritas risiko, dan identifikasi tindakan
perbaikan (Asan & Soyer, 2016). Berikut hasil analisis untuk setiap tahapan pada
metode FMEA.
4.3.1 Review Proses dan Produk
Tahap pertama yang dilakukan adalah melakukan review proses dan produk
yang bertujuan untuk mengetahui apa saja proses bisnis yang berjalan pada
perusahaan, proses bisnis pada sistem, daftar aset komponen teknologi informasi,
dan prosedur terkait keamanan teknologi informasi yang dimiliki (Dewantara,
2016). Tahap ini dilakukan dengan cara observasi secara langsung ke kantor
BKPSDM Kabupaten Dharmasraya dan melakukan wawancara dengan divisi IT
Sub Bidang Informasi dan Fasilitasi Profesi ASN. Hasil wawancara dapat dilihat
pada Lampiran B. Berikut data hasil review proses dan produk yang dilakukan di
BKPSDM Kabupaten Dharmasraya.
4.3.1.1 Proses Bisnis Pada SIMPEG
Dalam Sistem Informasi Kepegawaian (SIMPEG) terdapat beberapa proses
yang dilakukan, seperti Pencarian PNS, Edit Biodata PNS, Cetak Biodata PNS,
Update Biodata PNS, Pensiun, Grafik PNS, dan Normatif PNS. Dalam proses
pengolahan data pegawai, bagian operasional menerima Surat Keterangan/SK dari
bagian terkait, hal tersebut merupakan syarat untuk melakukan perubahan data yang
ada pada SIMPEG sehingga tidak terjadi pemalsuan data oleh pihak yang tidak
84
bertanggung jawab dan juga sebagai panduan apabila ada perbedaan antara data
yang ada pada SIMPEG dengan data sebenarnya. Dalam SIMPEG terdapat
beberapa menu dengan fungsi yang berbeda, setiap proses pada menu diperoleh dari
hasil wawancara dan meninjau secara langsung alur proses yang berjalan.
Kemudian proses tersebut digambarkan dalam bentuk activity diagram sebagai
berikut.
a. Pencarian PNS
Gambar 4.3. Activity Diagram Pencarian PNS
85
b. Edit Biodata PNS
Gambar 4.4. Activity Diagram Edit Biodata PNS
c. Cetak Biodata PNS
Gambar 4.5. Activity Diagram Cetak Biodata PNS
86
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
Bundel Skripsi_Lusi Rahmi_11170930000036
Discover the best professional documents and content resources in AnyFlip Document Base.
Search