PENGEMBANGAN MANAJEMEN RESIKO TEKNOLOGI

INFORMASI PADA SISTEM PENERIMAAN PESERTA DIDIK

BARU (PPDB ONLINE) KEMDIKBUD MENGGUNAKAN

FRAMEWORK NIST SP800-30

Imam Masyhuri1, *, dan Febriliyan Samopa 2) 1,2)_{Program Studi Magister Manajemen Teknologi}

Bidang Keahlian Manajemen Teknologi Informasi Institut Teknologi Sepuluh Nopember

e-mail: imam.ms@gmail.com*)

ABSTRAK

Sistem Penerimaan Peserta Didik Baru (PPDB Online) dirancang untuk memberikan kemudahan bagi calon siswa yang mendaftarkan diri serta memberikan jaminan proses yang adil, transparansi, dan akuntabel bagi masyarakat luas. Banyaknya penyelenggaraan PPDB

Online saat ini cukup menggembirakan bagi kemajuan teknologi informasi, khususnya di

dunia pendidikan. Namun masih banyak penyelenggaraan PPDB Online di beberapa daerah yang terjadi kekacauan dalam pelaksanaannya. Salah satu penyebabnya adalah tidak adanya manajemen resiko yang memetakan resiko dan perencanaan mitigasi resiko. Penelitian ini bertujuan mengembangkan dokumen manajemen resiko teknologi informasi PPDB Online menggunakan framework NIST SP800-30. Pemilihan kerangka kerja ini atas dasar penelitian sebelumnya yang menyarankan NIST SP800-30 sebagai kerangka kerja TI untuk negara berkembang. Penelitian diawali dengan proses penilaian resiko: mengidentifikasi karakteristik sistem, faktor ancaman dan kerentanan, menentukan dampak, kecenderungan, dan tingkatan resiko pada sistem PPDB Online. Penentuan resiko disusun berdasarkan: tahap persiapan, tahap pendataan, tahap pelaksanaan, dan tahap pengumuman akhir. Mitigasi resiko terdiri dari penentuan prioritas, evaluasi pengendalian yang direkomendasi, analisa biaya manfaat, menyusun penanggung jawab kegiatan, dan mengembangkan rencana implementasi pengamanan. Hasil penelitian menunjukkan bahwa Semarang memiliki penilaian resiko tertinggi yaitu Tahap persiapan : 10.00 (High Risk) dan Tahap Pengumuman : 15.00 (Extreme Risk). Penilaian resiko dan mitigasinya diwujudkan dalam dokumen manajemen resiko. Kata kunci: PPDB Online, Manajemen Resiko, NIST SP800-30

PENDAHULUAN

Era digital dan internet telah membawa perubahan yang sangat berarti dalam hal efisiensi dan efektifitas pendidikan. Salah satunya adalah Penerimaan Siswa Baru Online (PSB Online) atau sekarang disebut Penerimaan Peserta Didik Baru Online (PPDB Online). Sistem PPDB Online ini dirancang sedemikian rupa dengan tujuan memberikan kemudahan bagi calon siswa yang mendaftarkan diri serta memberikan jaminan proses yang adil, transparansi, dan akuntabel bagi masyarakat luas. Banyaknya penyelenggaraan PPDB Online ini cukup menggembirakan bagi kemajuan teknologi informasi, khususnya di dunia pendidikan. Namun sayangnya banyak pula penyelenggaraan PPDB Online ini masih jauh dari tujuan memberikan kemudahan dan kepuasan pada masyarakat. Beberapa daerah masih terjadi kekacauan-kekacauan dalam pelaksanaan PPDB Online tersebut, bahkan ada beberapa

daerah yang mengalami kegagalan dalam pelaksanaan proyek PPDB Online tersebut, hingga akhirnya diputuskan untuk kembali menggunakan cara manual.

Banyak orang yang belum menyadari resiko kegagalan proyek TI dan mulai melakukan manajemen risiko pada TI untuk mengatasi kegagalan tersebut. Padahal manajemen risiko TI memerlukan perencanaan yang strategis agar penerapannya dapat selaras dengan tujuan bisnisnya. Penelitian Indrajit ( 2006), menjelaskan bahwa keberhasilan implementasi TI terutama di dunia pendidikan ditentukan oleh tingkat kepedulian (awareness) para pemegang kepentingan (stakeholder) terhadap sistem TI itu sendiri. Tingkat kepedulian tersebut di antaranya adalah menerapkan manajemen resiko TI.

Implementasi Teknologi Informasi (TI) di suatu perusahaan atau organisasi sebagai basis dalam rangka penciptaan layanan yang berkualitas dan optimalisasi proses bisnis sangatlah beresiko. Penelitian Maulana & Supangkat (2006) menjelaskan tentang timbulnya resiko manakala penerapan TI tidak mampu membantu perusahaan mencapai tujuan bisnisnya. Resiko berupa proses bisnis yang tidak optimal, kerugian finansial, hilangnya reputasi perusahaan/ institusi, bahkan bisa menyebabkan hancurnya bisnis perusahaan tersebut.

Menurut penelitian Massingham (2010) serta Puspasari & Nusa (2011), sebuah organisasi dalam melakukan manajemen resiko akan lebih efektif jika menggunakan pendekatan berbasis sebuah kerangka kerja (framework) dibandingkan melakukan pendekatan manual (tanpa kerangka kerja). Penelitian Afifa (2011) menyebutkan bahwa ada beberapa metode atau kerangka kerja (framework) yang bisa dijadikan best practice dalam penerapan manajemen resiko TI. Di antaranya adalah : COBIT (Control Objectives for Information and

Related Technology), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), NIST Special Publication 800-30 atau framework manajemen resiko lainnya.

Sistem PPDB Online yang diselenggarakan oleh Kemdikbud cukup kompleks karena melibatkan banyak kabupaten/kota, sehingga terjadi banyak aturan terkait sistem PPDB di masing-masing kota yang tidak seragam. Selama ini perencanaan manajemen resiko pada sistem PPDB Online, khususnya di lingkungan Kemdikbud ini belum tertata dengan rapi. Untuk itu perlu dilakukan pengembangan manajemen resiko TI pada sistem PPDB Online. Penelitian ini membahas pengembangan manajemen resiko TI menggunakan salah satu

framework yaitu Rekomendasi NIST SP800-30 : Risk Management Guide for Information Technology Systems. Kerangka kerja (framework) NIST SP800-30 ini dijadikan rujukan

dalam penyusunan dokumen manajemen resiko karena sesuai dengan Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, yang dikeluarkan oleh Kementerian Komunikasi dan Informatika RI (Kemenkominfo, 2011).

Penelitian ini bertujuan untuk mengidentifikasi resiko-resiko yang ada pada sistem PPDB Online Kemdikbud, kemudian melakukan pengembangan dokumen manajemen resiko yang berisi proses penilaian resiko, serta perencanaan mitigasi resiko sesuai standar kerangka kerja NIST SP800-30.

METODE

Penelitian ini dilakukan pada salah satu penyelenggara sistem PPDB Online, yaitu Pustekkom Kemdikbud. Penelitian mengambil data-data PPDB Online tahun 2012, dimana Pustekkom melayani 9 Kabupaten dan Kota yaitu: Kabupaten Bangli, Kota Banda Aceh, Kota Pekanbaru, Kota Tebing Tinggi, Kota Tangerang Selatan, Kota Batam, Kota Pontianak, Kota Pekalongan dan Kota Semarang. Tahapan penelitian dapat digambarkan sebagai berikut :

Gambar 1. Tahapan Penelitian

Selain melakukan pengumpulan data melalui kajian pustaka dan dokumen review, penelitian ini juga mengumpulkan data-data menggunakan teknik wawancara dengan narasumber yang dapat membantu mendapatkan data yang relevan dengan penelitian. Pustekkom selaku pelaksana PPDB Online, pada tahun 2012 bekerja sama dengan perusahaan PT. Cendana Teknika Utama selaku konsultan yang terlibat dalam perancangan, pembuatan dan pendamping pelaksana PPDB Online 2012. Sehingga penelitian ini akan mengambil narasumber dari Staff Pustekkom, maupun Staf yang ditunjuk mewakili PT. Cendana Teknika Utama.

HASIL DAN PEMBAHASAN Proses Bisnis PPDB Online

Meskipun secara fitur PPDB Online Pustekkom mampu mengakomodir macam-macam aturan seleksi, namun secara alur proses bisnis PPDB Online yang disediakan Pustekkom hanya satu jenis alur, yaitu : pendaftaran dilakukan oleh petugas sekolah, bukan dilakukan mandiri oleh calon siswa. Sehingga alur bisnis PPDB Online dapat digambarkan pada gambar 2 sebagai berikut:

Gambar 2 – Tahapan PPDB Online Pustekkom

Karakteristik Sistem

Sistem PPDB Online Pustekkom terdiri dari 3 perangkat server, yaitu : Server

Pendaftaran (Web + DB), Server Aplikasi Sortir, dan Web Server Pengumuman. Topologi jaringan pada gambar 3 menggambarkan bahwa :

a. Petugas dinas dan petugas pendaftaran sekolah melakukan input data pada Server Pendaftaran

b. Server Aplikasi Sortir akan melakukan perankingan sesuai dengan ketentuan juknis dan akan membuat halaman statis yang berisi data-data pendaftaran dan hasil seleksi c. Server aplikasi akan melakukan proses unggah (upload) halaman statis tersebut ke

server pengumuman Pendahuluan:  Latar Belakang  Rumusan Masalah Pengumpulan Data:  Kajian Pustaka  Kajian Lapangan : - Observasi, - Wawancara Analisa Data:  Penilaian Resiko  Mitigasi Resiko Penyusunan Dokumen Manajemen Resiko TI

d. Masyarakat umum (public) akan melihat proses PPDB Online (pendaftaran, hasil seleksi dan statistic) dengan mengakses server pengumuman tanpa perlu akses langsung ke database.

Gambar 3 – Topologi Jaringan PPDB Online 2012

Identifikasi Resiko

Identifikasi resiko dilakukan dengan cara wawancara group / brainstorming menggunakan metode penilaian resiko berdasarkan tujuan masing-masing tahapan (objective

based risk identification) dan berdasarkan resiko-resiko yang pernah terjadi (common risk checking). Hasil wawancara group, identifikasi resiko dikelompokkan menjadi 2 : Resiko

berdasarkan tahapan proses dan Resiko berdasarkan faktor ancaman.

Tabel 1 – Identifikasi resiko berdasarkan tahapan proses PPDB Online

Tahapan Kejadian Resiko No Ref

Persiapan

Sosialisasi tidak terlaksana dengan baik R1-01

Juknis tidak memuat aturan yang lengkap dan jelas R1-02

Juknis tidak dapat dituangkan dalam aturan bisnis R1-03

Pelatihan tidak dapat terlaksana dengan baik R1-04

Kesalahan konfigurasi sistem PPDB Online R1-05

Modifikasi PPDB Online tidak terlaksana dengan baik R1-06

Pendataan

Data NUN dan NUAS tidak tersedia / terlambat R2-01

Data NUN dan NUAS tidak lengkap / terdapat kesalahan R2-02

Terjadi kesalahan import data NUN / NUAS R2-03

Terjadi kesalahan input NUN/NUAS oleh petugas dinas pendataan R2-04

Terjadi kekacauan akibat pelayanan proses pendataan dinas R2-05

Calon siswa luar kota tidak memenuhi persyaratan pendataan R2-06

Pelaksanaan

Data Calon siswa tidak ditemukan di basis data / terjadi kesalahan data R3-01

Terjadi kesalahan pemilihan sekolah oleh calon siswa R3-02

Terjadi kesalahan input pemilihan sekolah oleh petugas pendaftaran R3-03

Data Calon siswa dihapus / terhapus oleh petugas pendaftaran R3-04

Terjadi perubahan pilihan sekolah karena kesengajaan (kecurangan) R3-05

Terjadi kekacauan pada saat pelaksanaan tes khusus / input hasil tes R3-06

Pengumuman

Pagu sekolah tidak terpenuhi (masih ada sisa pagu) R4-01

Kasus siswa yang tidak diterima akibat kesalahan data R4-02

Tabel 2 – Identifikasi resiko berdasarkan faktor ancaman (threats)

Faktor Ancaman Kejadian Resiko No Ref

Alam dan Lingkungan Gangguan terhadap server secara fisik : kebakaran,

gangguan listrik (PLN)

R5-01

Hukum dan Manajemen

Kurangnya koordinasi antar anggota tim R5-02

Ketidakjelasan kontrak dengan pihak ketiga R5-03

Hubungan antar lembaga kurang terjalin dengan baik R5-04

Teknis

Server tidak merespon (hang) / mati R5-05

Server tidak mampu menahan beban besar R5-06

Terjadi akses lambat karena bottle-neck jaringan internet R5-07

Manusia Terjadi percobaan serangan oleh hacker / cracker R5-08

Sosial Protes masyarakat akibat ketidakpuasan PPDB Online R5-09

Hasil Penilaian Resiko

Analisa resiko dilakukan melalui perhitungan perkalian antara dampak (impact) dan kecenderungan (likelihood). Penentuan kecenderungan ini akan menentukan rating yang menunjukkan kemungkinan potensi kerentanan (vulnerability) dimanfaatkan oleh faktor ancaman (threat) yang terkait. Ada 4 hal yang harus diperhatikan dalam menentukan kecenderungan (likelihood), yaitu :

a. Motivasi sumber ancaman b. Kemampuan sumber ancaman

c. Sifat kerentanan (vulnerability) sistem

d. Keberadaan dan efektifitas pengendalian/control

Analisis dampak merupakan langkah untuk menentukan besaran dari resiko yang memberikan dampak negatif terhadap sistem secara keseluruhan. Penilaian atas dampak yang terjadi pada sistem berbeda-beda tergantung pada :

- Tujuan sistem TI tersebut dikembangkan

- Kondisi sistem dan data yang bersifat kritis (apakah dikategorikan penting atau tidak) - Sistem dan data yang bersifat sensitive

Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Pembagian resiko pada tabel 3 dapat dikelompokkan sebagai berikut :

1.00 – 2.99 = Negligible : Hal Sepele dan dapat diabaikan 3.00 – 4.99 = Low Risk: Resiko Rendah

5.00 – 8.99 = Tolerable : Dapat ditoleransi dengan perlakuan 9.00 – 12.99 = High Risk : Membutuhkan perlakuan khusus 13.00 – 25.00 = Extreme Risk : Sangat membahayakan

Tabel 3 – Analisa Resiko (Rata-rata) PPDB Online

Risk

Risk Analysis (Average) Bangli Banda Aceh Pekan baru Tebing tinggi

TangSel Pontianak Batam Pekalongan Semarang R1 7.00 6.17 5.17 2.33 3.33 1.67 1.67 5.33 10.00 R2 2.33 4.67 5.33 4.17 3.50 4.00 4.17 6.00 1.00

R3 3.17 6.00 7.50 4.00 3.50 5.17 4.83 5.00 4.33

R4 2.33 6.67 8.00 4.67 5.67 5.67 3.00 10.33 15.00 R5 3.56 5.89 5.44 5.33 5.78 5.00 5.67 7.44 7.44

Mitigasi Resiko

Mitigasi resiko adalah proses kedua dalam manajemen resiko NIST SP800-30, yang melibatkan penentuan prioritas, evaluasi dan implementasi kontrol / pengendalian yang telah direkomendasikan dari proses penilaian resiko. Upaya menghilangkan resiko secara total adalah hal yang mustahil. Sehingga menurut Stoneburner (2002), mitigasi resiko adalah tanggung jawab dari senior manajemen atau manajer bisnis untuk menggunakan pendekatan berbasis biaya rendah (least-cost approach) dan menerapkan pengendalian yang paling memungkinkan untuk menurunkan resiko sampai pada tingkatan yang dapat diterima (acceptable level).

Strategi mitigasi resiko sistem PPDB Online :

a. Tahap Persiapan : Sosialisasi kegiatan dan aturan, Pelatihan dan Ujicoba, serta melakukan modifikasi aplikasi sesuai juknis

b. Tahap Pendataan : Mempersiapkan data NUN/NUAS dan aplikasi bantu untuk meng-import nya ke database

c. Tahap Pelaksanaan : Membuat SOP layanan dan mengoptimalkan fasilitas “Pesan Anda” di website sebagai sarana komunikasi dengan masyarakat

d. Tahap Pengumuman : Membuat pusat pengaduan (crisis center) kasus-kasus PPDB

KESIMPULAN DAN SARAN

Sistem PPDB Online Kemdikbud ini merupakan sistem yang sangat kompleks karena melibatkan banyak kabupaten/kota, sehingga terjadi banyak aturan proses PPDB yang tidak seragam. Hal ini berpotensi menimbulkan resiko yang cukup besar pula. Oleh karena itu perlu adanya manajemen resiko, yang mengatur dan mengelola segala sesuatu terkait dengan kegiatan penilaian resiko, mitigasi resiko dan evaluasi pelaksanaannya. Hasil penelitian mengidentifikasi resiko berdasarkan 2 kelompok :

a. Resiko berdasarkan tahapan kegiatan ‐ Tahap Persiapan : 6 kejadian resiko ‐ Tahap Pendataan : 5 kejadian resiko ‐ Tahap Pelaksanaan : 6 kejadian resiko ‐ Tahap Pengumuman : 3 kejadian resiko b. Resiko berdasarkan faktor ancaman

‐ Faktor alam dan lingkungan : 1 kejadian resiko ‐ Faktor hukum dan manajemen : 3 kejadian resiko ‐ Faktor teknis : 3 kejadian resiko

‐ Faktor manusia : 1 kejadian resiko ‐ Faktor sosial : 1 kejadian resiko

Kegiatan penilaian resiko sistem PPDB Online menunjukkan bahwa Kota Semarang memiliki penilaian resiko tertinggi yaitu Tahap Persiapan : 10.00 Resiko Tinggi (High Risk) dan Tahap Pengumuman : 15.00 Resiko Sangat Ekstrim (Extreme Risk). Sedangkan Kota Batam memiliki penilaian resiko terendah, yaitu Tahap Persiapan : 1.67 Hampir tanpa resiko/sepele (Negligible) dan Tahap Pengumuman : 3.00 Resiko Rendah (Low Risk).

Dokumen manajemen resiko teknologi informasi PPDB Online yang telah disusun menurut kerangka kerja NIST SP800-30, terdiri dari:

a. Proses penilaian resiko (Risk Assessment) dengan 9 langkah penilaian resiko b. Proses mitigasi resiko (Risk Mitigation) dengan 6 langkah mitigasi resiko

Saran yang dapat diberikan untuk penelitian selanjutnya adalah : dokumen manajemen resiko TI yang dihasilkan dapat dilakukan evaluasi untuk dikembangkan lebih lanjut, terutama dalam hal metode penilaian resiko yang digunakan. Selain itu pemilihan kerangka kerja lain,

misal : OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) dapat digunakan peneliti selanjutnya untuk meneliti obyek yang sama, yaitu Sistem PPDB Online.

DAFTAR PUSTAKA

Afifa, L. N. (2011). Usulan Panduan Pelaksanaan Manajemen Risiko Tata Kelola TIK Nasional. Konferensi Teknologi Informasi dan Komunikasi untuk Indonesia (pp. 368– 372). Bandung.

Indrajit, R. E. (2006). Mengukur Tingkat Kematangan Pemanfaatan Teknologi Informasi Untuk Institusi Pendidikan. Konferensi Nasional Teknologi Informasi & Komunikasi

untuk Indonesia (pp. 116–120). Bandung, 2006.

Kemenkominfo. (2011). Panduan Penerapan Tata Kelola Keamanan Informasi bagi

Penyelenggara Pelayanan Publik.

Massingham, P. (2010). Knowledge risk management: a framework. Journal of Knowledge

Management, 14(3), 464–485. doi:10.1108/13673271011050166.

Maulana, M. M., & Supangkat, S. H. (2006). Pemodelan Framework Manajemen Resiko Teknologi Informasi untuk Perusahaan di Negara Berkembang. Konferensi Nasional

Teknologi Informasi & Komunikasi untuk Indonesia (pp. 121–126). Bandung, 2006.

Puspasari, D., & Nusa, R. (2011). Measuring The Implementation of IT Risk Analysis in Commercial Bank Based on Best Practice ( a Case Study ). Recent Researches in

Computational Intelligence and Information Security (pp. 174–178).

Pustekkom. (2012). Dokumen Teknis Sistem PPDB Online 2012. Kementerian Pendidikan dan Kebudayaan.

Stoneburner, G., Goguen, A., & Feringa, A. (2002). Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology.