MAKALAH
Keamanan Jaringan
IT GOVERNANCE & PENGGUNAAN COBIT FRAMEWORK
DALAM PEMERINTAHAN
Untuk Memenuhi Ujian Tengah Semester Mata Kuliah Keamanan jaringan
Dosen Pembimbing: Dr. Bambang Sugiantoro, M.T.
Disusun oleh:
Ari Fatkhurohman (Nomor Induk Mahasiswa : 14.52.0630) Sukasna (Nomor Induk Mahasiswa : 14.52.0631) Siwi Astuti (Nomor Induk Mahasiswa : 14.52.0640)
PROGRAM MAGISTER TEKNIK
SEKOLAH TINGGI MANAJEMEN DAN ILMU KOMPUTER AMIKOM YOGYAKARTA
DAFTAR ISI
Halaman Judul ... i
Daftar Isi ... ii
Kata Pengantar ... iii
BAB I PENDAHULUAN ... 1
A. Latar Belakang Masalah ... 1
B. Rumusan Masalah ... 4
BAB II LANDASAN TEORI ... 6
A. IT Governance ... 6
B. Cobit ... 9
BAB III PEMBAHASAN ... 14
A. IT Governance ... 14 B. Pentingnya IT Governance ... 17 BAB IV PENUTUP A. Simpulan... 28 B. Saran ... 28 Daftar Pustaka ... 29
KATA PENGANTAR
Puji syukur kami sampaikan ke hadiran Tuhan Yang Maha Pemurah, karena berkat kemurahanNya makalah ini dapat kami selesaikan sesuai yang diharapkan. Dalam makalah ini kami membahas “IT GOVERNANCE & PENGGUNAAN
COBIT FRAMEWORK DALAM PEMERINTAHAN”
Makalah ini dibuat dalam rangka memperdalam pemahaman akan perlindungan dan penyelamatan lingkungan dan pengetahuan tentang fitoremediasi yang sangat diperlukan dalam suatu harapan mendapatkan lingkungan yang sehat dan sekaligus melakukan apa yang menjadi tugas mahasiswa yang mengikuti mata kuliah “Keamanan Jaringan”
Dalam proses pembuatan makalah ini, tentunya kami mendapatkan bimbingan, arahan, dan pengetahuan, untuk itu rasa terima kasih yang dalam-dalamnya kami sampaikan kepada:
1) Bapak Dr. Bambang Sugiantoro, M.T, selaku dosen mata kuliah
“Keamanan jaringan”
2) Rekan-rekan mahasiwa yang telah banyak memberikan masukan untuk
makalah ini.
Demikian makalah ini kami buat semoga bermanfaat,
Yogyakarta, 07 November 2015 Penyusun
BAB I PENDAHULUAN A. Latar Belakang
Semenjak peralatan dan fasilitas dibidang teknologi informasi menjadi suatu kebutuhan hidup manusia maka penyelenggaraan pemerintahan kini juga menuntut menggunakan layanan yang menggunakan teknologi informasi dan komunikasi. Saat ini sudah mulai dapat dirasakan oleh masyarakat akan kemudahan dan kenyamanan dari layanan birokrasi yang semakin cepat dan lancar, walaupun di beberapa instansi masih terjadi kendala, namun secara lambat tapi pasti akan menggunakan layanan berbasis teknologi Informasi ( TI ) dengan berbagai pembenahan.
IT Governance merupakan usaha mensinergikan peran IT dan governance
dalam mencapai sasaran dan tujuan pemerintahan atau organisasi. IT fokus kepada teknologi sementara governance fokus kepada tata kelola. IT Governance merupakan tanggung jawab dari Dewan Direktur dan Manajemen Eksekutif. Dalam IT Governance terdapat suatu stuktur yang berhubungan dengan proses Teknologi Informasi, sumberdaya Teknologi Informasi dan informasi untuk strategi dan tujuan pemerintahan. IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan pemerintahan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses pemerintahan. IT Governance memungkinkan pemerintahan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing. Bahkan IT Governance dalam pemerintahan dapat mempertahankan atau memperluas strategi dan tujuan organisasi.
IT Governance intinya adalah proses pemanfaatan teknologi informasi
sebagai alat untuk membantu menjalankan sistem pemerintahan secara lebih efisien. Karena itu, ada dua hal utama dalam pengertian IT governance di atas ;
yang pertama adalah penggunaan teknologi informasi (salah satunya adalah internet) sebagai alat bantu, dan yang kedua adalah tujuan pemanfaatannya, sehingga pemerintahan dapat berjalan lebih efisien. Kendati demikian, IT
governance bukan berarti mengganti cara pemerintah dalam berhubungan dengan
masyarakat. Dalam konsep IT governance, masyarakat masih bisa berhubungan dengan pos-pos pelayanan, berbicara melalui telepon untuk mendapatkan pelayanan pemerintah, atau mengirim surat. Jadi, IT governance sesuai dengan fungsinya, adalah penggunaan teknologi informasi yang dapat meningkatkan hubungan antara pemerintah dan pihak-pihak lain. Simpulannya IT governance adalah upaya untuk mengembangkan penyelenggaraan kepemerintahan yang berbasis elektronik dalam rangka meningkatkan kualitas layanan publik secara efektif dan efisien.
Upaya untuk menghadapi tantangan era globalisasi tersebut pemerintah Republik Indonesia telah berinisiatif membuat kebijakan untuk memanfaatkan teknologi informasi dan komunikasi (Information and Communication
Technology/ICT) untuk membangun electronic government for a good governance yang terintegrasi mulai dari tingkat pemerintahan daerah hingga ke
pusat. Tujuannya adalah agar infrastruktur ICT yang akan dibangun dapat dimanfaatkan secara bersama untuk berkoordinasi oleh seluruh instansi, baik pusat maupun daerah.
Untuk menjembatani permasalahan – permasalahan yang terjadi dalam pelaksanaan IT Governance dibutuhkan sekumpulan dokumen praktis dan terbaik yang dapat membantu auditor, pengguna (user), manajemen, sekaligus untuk menjembatani gap antara resiko penyelenggaraan pemerintahan , kebutuhan kontrol dan masalah-masalah teknis IT. Panduan yang merupakan standar dokumen tersebut biasa disebut dengan Objective for Information & Related Technology (COBIT).
B. Rumusan Masalah
Berdasarkan latar belakang masalah yang telah di uraikan sebelumnya, maka dapat dirumuskan masalah yang ada yaitu sebagai berikut :
1. Apa yang dimaksud dengan IT Governance itu? 2. Seberapa pentingkah IT Governance?
3. Apakah tujuan IT Governance? 4. Apakah COBIT Framework itu?
5. Bagaimanakah analisa keamanan IT Governance? 6. Bagaimana peranan COBIT Framework bagi keamanan?
BAB II
LANDASAN TEORI
A. IT Governance
Beberapa tahun terakhir ini, berbagai penelitian telah dilakukan dan beberapa definisi mengenai IT Governance pun telah dikeluarkan. Menurut Peter Weill & Jeanne W Ross dari Sloan School of Management, MIT (Peter Weill & Jeanne W Ross – MIT, 2004), IT Governance adalah :
“Specifying the decision rights and accountability framework to encourage desirable behaviour in using of IT”.
Selanjutnya, menurut IT Governance Institute (IT Governance Institute, 2001) mendefinisikan IT Governance sebagai berikut :
“IT governance is the responsibility of the Board of Directors and Executive Management. It is an integral part of enterprise governance and consists of the leadership and organizational structures and processes that ensure that the organization’s IT sustains and extends the organization’s strategy and objectives”
Sedangkan menurut standar yang dikeluarkan oleh Australian Standard on Corporate Governance for ICT (Australian Standard on Corporate Governance for ICT, 2005), yang dimaksud dengan IT Governance adalah :
“The system by which the current and future use of Information and Communication Technology (ICT) is directed and controlled. It involves evaluating and directing the plans for the use of ICT to support the organisation and monitoring this use to achieve plans. It includes the strategy and policies for using ICT within an organisation.”
Definisi-definisi tersebut memiliki beberapa perbedaan, dengan masing-masing memiliki titik berat pada aspek yang berbeda. Namun secara umum, seluruh definisi tersebut memiliki kesamaan yaitu perlunya keselarasan strategis antara TI dengan bisnis (strategic alignment) dan bahwa tanggung jawab IT Governance ini ada di pundak komisaris, direksi dan manajemen puncak
Dalam IT Governance terdapat suatu stuktur yang berhubungan dengan proses Teknologi Informasi, sumberdaya Teknologi Informasi dan informasi
untuk strategi dan tujuan perusahaan. IT Governance merupakan bagian terintegrasi bagi kesuksesan pengaturan perusahaan dengan jaminan efisiensi dan efektivitas perbaikan pengukuran dalam kaitan dengan proses perusahaan. IT Governance memungkinkan perusahaan untuk memperoleh keunggulan penuh terhadap informasi, keuntungan yang maksimal, modal, peluang dan keunggulan kompetitif dalam bersaing. Bahkan IT Governance dalam perusahaan dapat mempertahankan atau memperluas strategi dan tujuan organisasi.
Tujuan IT Governance diantaranya adalah:
a) Memberikan solusi teknologi informasi yang berkualitas yang mencangkup masalah efisiensi waktu dan biaya.
b) Menyelaraskan antara strategi bisnis yang ada dengan teknologi informasi yang digunakan perusahaan
c) Meminimalkan resiko yang ada terkait dengan teknologi informasi secara tepat.
d) Memanfaatkan sumberdaya IT dengan tepat guna.
Namun sebenarnya IT Governance lebih memusatkan perhatian pada dua hal yaitu:
a) Teknologi informasi yang membawa nilai pada bisnis.
b) Teknologi informasi yang menghasilakn resiko, maksudnya adalah agar resiko dapat di perkirakan dan dapat menekan tingkat resiko yang ada nanti.
Secara keseluruhan akan mengarah kepada lima fokus area IT Governance, diantaranya adalah dampaknya terdiri dari penyampaian nilai (value dilivery) beserta mitigasi resiko (risk mitigation) dan penyelarasan strategis (strategic alignment) beserta manajemen kinerja.
Keempat kotak diatas tersebut dikendalikan oleh nilai stakeholder. Penjelasan fokus area ITG:
a) Penyelarasan Strategis (Strategic Alignment)
Memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.
b) Penyampaian Nilai (Value Delivery)
c) Mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.
d) Pengelolaan Sumber Daya (Resource Management)
e) Berkaitan dengan pengoptimalan investasi yang dilakukan dan pengelolaan secara tepat dari sumber daya TI yang kritis mencakup : aplikasi, informasi, infrastruktur dan Sumber Daya Manusia (SDM). Isu kunci area ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur
f) Pengelolaan Resiko (Risk Management)
g) Membutuhkan kepekaan akan resiko oleh manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko, pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan resiko ke dalam organisasi itu sendiri.
h) Pengukuran Kinerja (Performance Measurement)
i) Penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti Balanced Scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.
Enterprise architecture merupakan kegiatan pengorganisasian data yang dipergunakan dan dihasilkan oleh organisasi yang mencakup tujuan proses bisnis dari organisasi tersebut. Sedangkan Arsitektur informasi organisasi (EA) adalah sebuah cetak biru (blueprint) yang menjelaskan bagaimana elemen IT dan manajemen informasi bekerjasama sebagai satu kesatuan. Kerangka kerja seperti ini akan menggambarkan infrastruktur yang dibutuhkan oleh organisasi untuk mencapai tujuan dan visinya membentuk IT Governance yang baik dan efektif.
Berkaitan dengan implementasi IT Governance di institusi pendidikan Indonesia, paling tidak diperlukan approach atau pendekatan prinsip-prinsip IT Governance yang tepat yang sesuai dengan karakteristik institusi pendidikan kita secara umum. Menurut Weill dan Ross (2004:114), prinsip-prinsip penerapan IT Governance yang baik adalah sebagai berikut:
1. Simpel; artinya mekanisme pengimplementasian IT governance mesti mendefinisikan dahulutanggungjawab dan tujuan yang jelas dari tiap-tiap organisasi tersebut.
2. Transparan; artinya adanya mekanisme yang efektif dan proses yang jelas bagisiapapun yang berkaitan dengan keputusan yang dibuat tentang IT.
3. Kecocokan; artinya mekanisme IT Governancenya harus
mengikutsertakanindividu-individu yang capable dibidangnya.
Weill & Ross (MIT, 2005) mengemukakan bahwa ada 5 hal yang penting yang harus diperhatikan dalam IT Governance yaitu :
1. IT Principles yang menyangkut keputusan tingkat tinggi mengenai peran strategis IT untuk mendukung bisnis.
2. IT Architecture yang meliputi serangkaian pilihan teknik IT yang terpadu untuk membantu organisasi memenuhi kebutuhan bisnisnya.
3. IT Infrastructure meliputi penyediaan jasa IT yang terpusat dan terkoordinasi yang merupakan fondasi atas kapabilitas IT yang dimiliki suatu perusahaan 4. Business Application
5. IT Failure
Institusi pendidikan yang memperhatikan IT Governance tentu akan memilih perangkat IT yang berkualitas sehingga menghasilkan sistem informasi
manajemen yang handal dan mendukung pendidikan. Jim Collins dalam buku best sellernya Good to Great mengatakan teknologi memang dapat mempercepat transformasi tetapi teknologi tidak dapat menyebabkan tranformasi itu sendiri. Artinya, IT Governance juga berkaitan dengan pengembangan SDM yang berkualitas.
Dari beberapa uraian IT Governance dan kaitannya dengan dunia/institusi pendidikan di atas, dapat diambil beberapa point penting mengenai peranan IT Governance:
1. Conformance objective( penyesuaian) – berfokus pada education governance 2. Sebagai pendukung dunia pendidikan untuk mencapai tujuannya
3. IT berfungsi sebagai pengiriman dan pelaporan data, dalam hal ini IT harus dapatmemastikan:
a) Integritas informasi
b) Ketepatan waktu untuk mempercepat pengambilan keputusan c) Menyediakan laporan
d) Mengotomatisasi penangkapan data.
4. Memberikan layanan yang diperlukan kepada masyarakat akademis secara memuaskan,handal dan terjangkau.
5. Meningkatkan mutu pelayanan sesuai dengan misi pendidikan
6. Dalam kaitannya dengan keamanan informasi, IT Governance berperan dalam hal:
a) Confidentiality b) Integrity
c) Availability of information
d) Kontinuitas dari service dan proteksi-terhadap asset informasi 7. Memberikan informasi yang akurat ke dalam dan luar institusi.
Sehingga setiap institusi pendidikan yang menggunakan IT mutlak harus memahami dan menggunakan IT Governance untuk mengelola teknologi informasi di dalam institusi pendidikan, demi memberikan layanan dan informasi akademik yang akurat, cepat, handal, dan mudah dijangkau sehinngga tujuan utama pendidikan tercapai secara efektif dan efisien. IT
governance yang efektif berarti penggunaan IT pada insititusi pendidikan tersebut mampu meningkatkan dan mensinergiskan antara penggunaan IT dengan visi, misi, tujuan dan nilai institusi pendidikan yang bersangkutan.
B. COBIT (Control Objective for Information Related Tecnology) 1. Pengertian COBIT
(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance
tool).
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.
COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.
Alat-alat tersebut yaitu :
1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI
3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan
4. Komponen COBIT terdiri dari Executive Summary, Framework, Control
Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines
COBIT memiliki misi melakukan riset, mengembangkan,
mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally
accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya
digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information
Technology Governance). Kerangka Kerja COBIT
(Calder, p147) Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain.
Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI.
Domains
Processes
Activities/ Task
Gambar 2.5 Tiga tingkat usaha pengaturan TI
Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT
resources), dan (3) proses TI (IT processes).
Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai berikut :
Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan M.
Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :
(a) PO, domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
(b) AI, untuk merealisasikan strategi TI, solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis.
(c) DS, domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan, domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
(d) M, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif.
Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain.
Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.
a) Pertama adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi terkait.
b) Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara tidak langsung kriteria informasi terkait.
Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya.
Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI.
BAB III PEMBAHASAN
A. IT Governance
Pengertian IT governance dapat kita simpulkan bahwa IT governance memastikan penggunaan TI dapat diukur dan dihitung (accountable). Artinya suatu keberhasilan TI harus dapat diukur dan dihitung keberhasilannya. Governance mendefinisikan tanggung jawab dan aturan dalam penerbitan kebijakan dan membuat keputusan ketika beberapa partai terlibat dalam suatu relasi bisnis. Governance berfokus pada strategi, peningkatan performa, segi-segi ekonomi dan resolusi konflik.
Dalam sebuah IT governance terdapat beberapa pemangku kepentingan. Dibawah ini dapat kita lihat pemangku kepentingan dan peranan-peranannya:
a) Board and Executive
Menentukan arah pada TI, memantau hasil dan memastikan ketepatan implementasi
b) Business management
Menguraikan kebutuhan-kebutuhan bisnis untuk TI dan memastikan nilai-nilai tersebut dikirimkan dan resiko terkelola.IT management
c) Memberikan dan meningkatkan pelayanan TI seperti yang dibutuhkan pada bisnis.
IT audit
d) Menyediakan kepastian yang independen untuk mendemonstrasikan bahwa TI menyediakan apa yang diperlukan.
Risk and compliance
e) Mengukur kepatuhan pada aturan-aturan dan focus pada resiko yang mungkin muncul.
Kelima pemangku IT governance diatas haruslah saling bekerja sama dan berkontribusi dalam mengontrol dan mengendalikan implementasi dari TI. IT governance memiliki 2 tujuan yang berkaitan yakni:
1. Conformance objective ( penyesuaian) – berfokus pada “corporate governance”
2. IT berfungsi sebagai pengiriman dan pelaporan data, dalam hal ini IT harus dapat memastikan:
a) Integritas informasi
b) Ketepatan waktu untuk mempercepat pengambilan keputusan c) Menyediakan laporan untuk keperluan pimpinan
d) Mengotomatisasi penangkapan data.
Performance objective - berfokus pada “bisnis governance” a) IT value delivery
b) Strategic Alignment of IT c) IT resource management d) IT risk management
e) IT performance management
(Moeller, p167) Tujuan dari IT governance secara umum adalah memastikan pengimplementasian IT dalam perusahaan berjalan sesuai dengan rencana strategis IT yang ditetapkan di awal dan memantau penggunaannya.
IT Governance memiliki focus pada:
a) Strategic Alignment(kesesuaian strategi) – memiliki focus dala memastikan hubungan antara bisnis dan rencana TI; menentukan, merawat dan memvalidasikan IT value proposition; dan pada aligning IT operation. b) Value delivery(penyampaian nilai) – adalah mengenai menjalankan value
proposition disemua bagian.
c) Resource management –berhubungan dengan optimalisasi dari pengetahuan dan infrastuktur yang ada.
d) Risk management – membutuhkan pengetahuan mengenai resiko oleh pimpinan.
e) Performance measurement – melacak dan memantau implementasi terhadap strategi, penyelesaian projek, penggunaan sumber daya, dan performa proyek
B. Pentingnya IT Governance
Saat ini peranan teknologi informasi telah mengalami pergeseran. Pergeseran tersebut terjadi, setidaknya dalam tiga aspek yaitu (1) aspek keberadaan IT, (2) aspek peranan IT, dan (3) aspek pendorong utama transpormasi bisnis. Pada aspek keberadaan IT, telah terjadi pergeseran cukup signifikan. Pergeseran IT sebagai pengolah data pada sebuah departemen PDE (pengolahan data elektronik) menjadi penyedia informasi bagi pihak manajemen (departemen IT). Aspek berikutnya, peranan IT. Peranan IT yang bersifat efisiensi/teknis/operasional berubah peran menjadi strategik. Peran strategik ditandai dengan peranan IT tidak semata “dimainkan” oleh departemen IT saja, tetapi telah berubah menjadi tanggungjawab sebuah organisasi/korporat/institusi.
Keberadaan IT seharusnya dapat memberikan dampak dalam
organisasi/korporat/institusi. Keberadaan IT seharusnya juga memberikan “dorongan kuat” kepada pencapaian tujuan besar organisasi/korporat/institusi. Hal ini merupakan aspek yang terakhir dari pergeseran peranan IT.
Jika dilihat dari pergeseran diatas, peranan IT juga mengalami kecenderungan kegagalan dalam penerapannya. Beberapa motif kecenderungan kegagalan sebuah peranan IT antara lain (1) peranan IT hanya ditangani oleh bagian teknisi IT saja tanpa melibatkan pihak manajemen, (2) visi bagian IT yang “kurang selaras” dengan visi organisasi/korporat/institusi, (3) pengambilan keputusan oleh pihak manajemen yang bersifat ad-hoc (tidak terencana dengan baik) seperti technology mainded; fokus hanya pada hal-hal kecil, dan diluar kendali pihak manajemen.
Dapat dikatakan IT merupakan sebuah asset. Oleh karenanya IT harus dikelola dengan baik oleh organisasi/korporat/institusi. Untuk melakukan pengelolaan IT maka diperlukan panduan “best practice” yang melingkupi (1) kerangka kerja top level manajemen, (2) kebergantungan dan keterhubungan antar unit dengan top level manajemen, (3) pengelolaan manajemen sumberdaya, (4) pengelolaan manajemen resiko, (5) pengaturan keselarasan strategis, dan (5) pelaporan kinerja.
Dalam penerapan IT governance, diperlukan proses evaluasi dengan matrik. Tujuan proses evaluasi ini untuk (1) melihat kualitas layanan IT, (2) melihat resiko IT, (3) melihat kinerja penyampaian nilai IT, dan (4) melihat aspek biaya IT. Hal ini dilakukan untuk meminimalisasi faktor-faktor penghambat IT governance seperti (1) keengganan keterlibatan manajemen senior dalam menggunakan IT, (2) keselarasan strategik yang tidak berjalan dengan baik “kurang koordinasi”, (3) kepercayaan pemilik pekerjaan “proyek”, (4) lemahnya manajemen resiko, dan (5) sumberdaya yang tersedia kurang efektif.
b) Tujuan IT Governance
Tata kelola TI merupakan tanggungjawab pihak manajemen didalam suatu organisasi, sehingga bagaimana TI bisa menjadi lebih efisien dan efektif dalam mendukung proses bisnis yang dijalankan tersebut. Sehingga tujuan tata kelola TI adalah mengontrol penggunaannya dalam memastikan bahwa kinerja TI memenuhi dan sesuai dengan tujuan, sebagai berikut :
a) Menyelaraskan teknologi informasi dengan strategi perusahaan serta realisasi dari keuntungan-keuntungan yang telah dijanjikan dari penerapan TI.
b) Penggunaan teknologi informasi memungkinkan perusahaan mengambil peluang-peluang yang ada, serta memaksimalkan pemanfaatan TI dalam memaksimalkan keuntungan dari penerapan TI tersebut.
d) Manajemen resiko-resiko yang ada terkait teknologi informasi secara tepat.
c) COBIT Framework
(ISACA) COBIT Framework berdasarkan pada pernyataan bahwa IT harus mengirimkan informasi yang dibutuhkan perusahaan untuk mencapai suatu tujuan dan sasaran.
Gambar 3.1: Arah pengiriman nilai TI
Dari gambar diatas dapat kita lihat bahwa informasi digunakan untuk mencapai sasaran bisnis. Untuk menciptakan sebuah informasi yang baik dan berintegritas tinggi diperlukan penangkapan data dari proses kemudian data tersebut dilah menjadi informasi. Informasi digunakan untuk membantu proses bisnis, pengambilan keputusan, dan lain sebagainya. Bisnis proses dilakukan secara simultan sesuai untuk mencapai sasaran bisnis.
Sebuah TI yang baik adalah TI yang dapat menyediakan informasi ketika dibutuhkan, dan informasi itu benar-benar berguna untuk peningkatan efektivitas proses bisnis. Apabila TI tidak bisa mencapai tujuan dan sasarannya maka yang terjadi adalah kegagalan proyek TI. COBIT Framework membantu meluruskan TI dan bisnis dengan cara memfokuskan kebutuhan informasi pada bisnis dan
mengelola sumber daya IT. COBIT menyediakan framework dan tata cara untuk mengimplementasikan IT Governance.
Prinsip dasar dari COBIT Framework adalah untuk menghubungkan ekspektasi manajemen TI dengan tanggung jawab manajemen TI. Tujuan utamanya adalah untuk memfasilitasi IT governance untuk mengirimkan nilai TI untuk menanggulangi resiko TI.
Gambar 3.2: Hubungan antara Informasi dan Proses Bisnis
(Alvin, p189) Informasi adalah hasil pemrosesan data dari IT resources dan IT proses. Dalam sebuah tata kelola TI yang baik informasi yang dihasilkan harus berintegritas dan dapat mendukung proses bisnis. Pada skema diatas adalah skema hubungan informasi dan proses bisnis.
COBIT menjelaskan siklus hidup IT dengan 4 domain: a) Perencanaan dan pengorganisasian
b) Pengumpulan dan implemen c) Pengiriman dan dukungan d) Pemantauan dan evaluasi
Pada domain perencanaan dan pengorganisasian strategi dan taktik diformulasikan, mengidentifikasi bagaimana TI dapat membeikan kontribusi yang
besar dalam mencapai sasaran bisnis, merencanakan , mengkomunikasian dan mengatur realisasi dari visi strategi, dan mengimplementasikan infrastruktur organisasi dan teknologi.
Hal-hal yang dilakukan dalam perencanaan dan pengorganisasian: a) Menentukan strategi perencanaan TI.
b) Mendefinisikan struktur informasi. c) Menentukan arah teknologi.
d) Menentukan proses TI, organisasi dan relasi. e) Mengkomunikasikan sasaran dan arah manajemen. f) Mengatur sumber daya manusia TI
g) Mengatur kualitas
h) Menilai dan mengatur resiko i) Mengatur proyek.
Pada domain kedua yakni pengumpulan dan implement, sasaran yang ingin dicapai adalah mengindentifikasi, mengembangkan atau mengumpulkan, mengimplementasi dan mengintegrasikan solusi TI. Perubahan dalam dan mengelola sistem yang ada. Hal-hal yang dilakukan dalam domain ini adalah: a) Mengidentifikasi solusi otomatisasi
b) Mengumpulkan dan merawat aplikasi software c) Memperbolehkan operasi dan penggunaan d) Mendapatkan sumber daya IT
e) Mengatur perubahan
f) Menginstalasi dan mengakui solusi dan perubahan
Pada domain ketiga ini, yakni pengiriman dan dukungan. Sasaran yang inigin dicapai adalah pengiriman dari kebutuhan pelayanan, manajemen keamanan, kontinuitas, data dan fasilitas operasional, dan dukungan pelayanan untuk pengguna. Hal-hal yang dilakukan dalam domain ini adalah:
b) Mengatur pelayanan pihak ketiga c) Mengatur performa dan kapasitas d) Memastikan kontinuitas pelayanan e) Memastikan keamanan sistem. f) Mengidentifikasi dan alokasi biaya
g) Mengajari penggunaan sistem kepada user h) Mengatur service desk dan incidents i) Mengatur konfigurasi
j) Mengatur masalah k) Mengatur data
l) Mengatur lingkungan fisik m) Mengatur operasi
(Calder, p177) Sasaran pada domain pemantauan dan evaluasi adalah manajemen performa, memantau pengendalian internal, mengontrol kepatuhan, dan penguasaan. Hal-hal yang dilakukan dalam domain ini adalah:
a) Memantau dan mengevaluasi performa TI
b) Memantau dan mengevaluasi pengendalian internal c) Memastikan kepatuhan dari tuntutan
d) Menyediakan IT Governance
(Calder, p 180) COBIT memiliki criteria informasi yang baik, yakni: a) Efektif dan Efisiensi
Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.
b) Rahasia
Proteksi terhadap informasi yang sensitive dari akses yang tidak bertanggung jawab.
c) Integritas
d) Ketersediaan
Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.
e) Kepatuhan f) Nyata
g) Berhubungan dengan penyediaan informasi yang sesuah untuk manajemen COBIT adalah sebuah framework yang sangat baik dan sederhana untuk menerapkan IT Governance pada sebuah implementasi TI. Banyak perusahaan telah menggunakan COBIT seperti Prudential, Harley Davidson, dll.
d) Peranan COBIT Framework bagi keamanan
Dalam COBIT 5 for Information Security terdiri dari proses kelola keamanan, kelola kontinuitas dan kelola layanan keamanan yang memberikan panduan dasar tentang cara mendefinisikan, mengoperasikan dan memantau sistem untuk manajemen keamanan umum. Namun, asumsi yang dibuat dalam publikasi adalah bahwa keamanan informasi meluas di seluruh seluruh perusahaan, dengan aspek keamanan informasi dalam setiap kegiatan dan proses yang dilakukan. Oleh karena itu, COBIT 5 untuk Keamanan Informasi menyediakan generasi berikutnya yang dikeluarkan ISACA pada tata perusahaan dan manajemen keamanan informasi.
Pendorong utama untuk pengembangan COBIT 5 untuk Keamanan Informasi meliputi:
Kebutuhan untuk menggambarkan keamanan informasi dalam konteks perusahaan termasuk:
1. Pada aspek end-to-end bisnis dan fungsional TI yang bertanggungjawab terhadap keamanan informasi
2. Semua aspek yang mengarah pada tata kelola yang efektif dan manajemen keamanan informasi, seperti struktur organisasi, kebijakan dan budaya organisasi
Sebuah kebutuhan yang terus meningkat bagi perusahaan untuk:
1. Menjaga risiko informasi pada tingkat yang dapat diterima dan untuk melindungi informasi terhadap perilaku yang tidak sah, modifikasi yang tidak sah atau tidak disengaja, dan intrusi yang terjadi.
2. Memastikan bahwa pelayanan dan sistem yang terus menerus tersedia bagi para pemangku kepentingan internal dan eksternal, yang mengarah ke kepuasan pengguna dengan keterlibatan TI dan layanan.
3. Mematuhi peningkatan jumlah hukum dan peraturan serta persyaratan kontrak dan kebijakan internal pada informasi dan sistem keamanan dan perlindungan, dan memberikan transparansi pada tingkat kepatuhan.
4. Mencapai semua hal di atas termasuk yang mengandung biaya layanan TI dan perlindungan teknologi
Kebutuhan untuk menyambung kemana, dan apakah relevan, sejajar dengan kerangka utama lainnya dan standar di pasaran. Hal ini (Non-exhaustive) merupakan pemetaan dalam membantu pemangku kepentingan memahami bagaimana berbagai kerangka, praktek-praktek yang baik dan standar diposisikan relatif terhadap satu sama lain dan bagaimana dapat digunakan bersama-sama dan saling melengkapi di bawah payung COBIT 5 untuk Keamanan Informasi.
Kebutuhan untuk menghubungkan bersama semua penelitian ISACA, kerangka kerja dan bimbingan, dengan fokus utama pada Business Model for Information
Security (BMI) dan COBIT, tetapi juga mempertimbangkan Val IT, Risiko TI, IT Assurance Framework (ITAF), yang publikasi berjudul Board Briefing on IT Governance dan sumber daya Taking Governance Forward(TGF).
Selain driver utama untuk pengembangan COBIT 5 untuk Keamanan Informasi adalah fakta bahwa keamanan informasi sangat penting dalam hari-hari pada operasi perusahaan. Pelanggaran dalam keamanan informasi dapat menyebabkan substansial yang berdampak pada perusahaan melalui, misalnya, kerugian keuangan atau operasional. Selain itu, perusahaan juga dapat terkena dampak eksternal seperti risiko reputasi atau hukum, yang dapat membahayakan
hubungan pelanggan atau karyawan atau bahkan membahayakan kelangsungan hidup perusahaan.
Pendekatan kebutuhan yang lebih baik dan lebih sistematis untuk keamanan informasi digambarkan dalam contoh berikut:
1. Sebuah infrastruktur nasional kritis yang tergantung pada sistem
informasi, dan intrusi yang dapat menghasilkan dampak yang signifikan terhadap perekonomian atau keselamatan manusia.
2. Informasi keuangan non-publik dapat digunakan untuk keuntungan secara
ekonomi.
3. Pengungkapan informasi rahasia dapat menghasilkan kerugian untuk
perusahaan, menyebabkan kerusakan pada reputasi atau hubungan bisnis yang menjadi bahaya.
4. Intrusion dalam jaringan komersial, misalnya, untuk mendapatkan kartu
kredit atau data pembayaran yang terkait, dapat menyebabkan kerusakan reputasi dan keuangan yang cukup besar karena denda, serta pengawasan meningkat dari badan pengawas.
5. Spionase industri dapat mencuri rahasia dagang untuk ditiru dan
meningkatkan persaingan perusahaan manufaktur.
6. Kebocoran intelijen nasional atau militer dapat mengakibatkan kerusakan
pada hubungan politik.
7. Kebocoran data pribadi dapat mengakibatkan kerugian keuangan dan
upaya yang tidak perlu untuk membangun kembali reputasi keuangan individu.
8. Biaya yang tidak direncanakan secara signifikan (baik keuangan dan
operasional) terkait dengan menyelidiki dan remediating pelanggaran keamanan dapat mempengaruhi setiap perusahaan yang telah menderita pelanggaran.
Manfaat dalam menggunakan COBIT 5 untuk Keamanan Informasi membawa sejumlah informasi yang berhubungan dengan keamanan kemampuan untuk perusahaan, yang dapat menghasilkan sejumlah manfaat perusahaan seperti:
1. Mengurangi kompleksitas dan peningkatan efektivitas biaya karena
integrasi ditingkatkan dan lebih mudah dari standar keamanan informasi, praktik yang baik dan / atau sektor pedoman khusus
2. Peningkatan kepuasan pengguna dengan pengaturan keamanan informasi
dan hasilnya
3. Peningkatan integrasi keamanan informasi dalam perusahaan
4. Keputusan informasi yang berisiko dan risk awareness
5. Peningkatan pencegahan, deteksi dan pemulihan insiden keamanan
informasi
6. Mengurangi (dampak) insiden keamanan informasi
7. Peningkatan dukungan untuk inovasi dan daya saing
8. Peningkatan pengelolaan biaya yang berkaitan dengan fungsi keamanan
informasi
9. Pemahaman yang lebih baik dari keamanan informasi
e) Analisa IT Governance
IT Governance m enyedia kan suatu struktur yang b erhub u ngan dengan proses TI, sumber daya TI dan informasi untuk perencanaan strat
egi da n tujua n or ga nisasi gu na m endu ku ng kebutu ha n bis nis. Cara
mengintegrasika n IT Governance dan mengoptimalisasikan organisasi
yaitu melalui adanya Plan and Organise, Acquire and Implement, Deliver
and Support dan Monitor and Evaluate.
Gambar 2.2 Prinsip dasar COBIT Manajemen sebuah organisasi akan berfungsi secara efektif apabila para pengambil keputusan selalu
ditunja ng denga n kebera daan infor ma si ya ng berkualitas. COBIT mendeskripsikan karakteristik informasi yang berkualitas menjadi tujuh aspek utama, yaitu masing masing
1. Effectiveness, dimana informasi yang dihasilkan haruslah relevan dan dapat
memenuhi kebutuhan dari setiap proses bisnis terkait dan tersedia secara tepat waktu, akurat, konsisten dan dapat dengan mudah diakses.
2. Efficiency, dimana informasi dapat diperoleh dan disediakan melalui cara yang
ekonomis, terutama terkait dengan konsumsi sumber daya yang dialokasikan.
3. Confindentiality,dimana informasi rahasia dan yang bersifat sensitif harus
dapat dilindungi atau dijamin keamanannya, terutama dari pihakpihak yang tidak berhak mengetahuinya.
4. A vaibility, dimana informasi haruslah tersedia bilamana dibutuhkan
dengan kinerja waktu dan kapabilitas yang diharapkan.
5. Compliance,dimana informasi yang dimiliki harus dapat di
pertanggungjawabkan kebenarannya dan mengacu pada hukum maupun regulasi yang berlaku, termasuk di dalamnya mengikuti standar nasional atau internasional yang ada.
6. R eli abilit y, dimana informasi yang dihasilkan haruslah berasal dari sumber yang dapat dipercaya sehingga tidak menyesatkan para pengambil keputusan yang menggunakan informasi tersebut.
Untuk memastikan hasil yang diperoleh dari proses TI sesuai kebutuhan bisnis, perlu diterapkan kendalikendali yang tepat terhadap proses TI tersebut. Hasil yang diperoleh perlu diukur dan dibandingkan kesesuaiannya dengan kebutuhan bisnis organisasi secara berkala.
Kes eluruha n infor masi tersebut diha silka n oleh sebua h TI ya ng dimil iki organisasi, dimana didalamnya terdapat sejumlah komponen sumber
daya penting, yaitu:
1. Aplikasi, ya ng merupakan sekumpulan progra m untuk mengolah dan menampilkan data maupun informasi yang dimiliki oleh organisasi.
2. Informasi, yang merupakan hasil pengolahan dari data yang merupakan bahan mentah dari setiap informasi yang dihasilkan, dimana di dalamnya terkandung fakta dari aktivitas transaksi dan interaksi seharihari masingmasing proses bisnis yang ada di organisasi.
3. Infrastruktur, yang terdiri dari seju mlah perangkat keras, infrastruktur teknologi informasi sebagai teknologi pendukung untuk menjalankan portfolio aplikasi yang ada. Selain itu yang termasuk dalam infrastruktur dapat berupa sarana fisik seperti ruangan dan gedung dimana keseluruhan perangkat sistem dan teknologi informasi ditempatkan.
4. Manusia, yang merupakan pemakai dan pengelola dari sistem informasi yang dimiliki.
BAB IV PENUTUP A. Simpulan
Tema utama diskusi tata kelola TI (IT Governance) adalah bahwa teknologi informasi tidak bisa lagi menjadi suatu kotak hitam. Secara tradisional, penanganan pengambilan keputusan kunci di bidang teknologi informasi diberikan kepada para profesional TI karena keterbatasan pengalaman teknis eksekutif lain di tingkatan direksi perusahaan serta karena kompleksitas sistem TI itu sendiri. Tata kelola TI membangun suatu sistem yang semua pemangku kepentingannya, termasuk direksi dan komisaris serta pengguna internal dan bagian terkait seperti keuangan, dapat memberikan masukan yang diperlukan untuk proses pengambilan keputusan. Hal ini mencegah satu pihak tertentu, biasanya TI, disalahkan untuk suatu keputusan yang salah. Hal ini juga mencegah munculnya keluhan dari pengguna di belakang hari mengenai sistem yang tak memberikan hasil atau kinerja sesuai yang diharapkan.Prinsip dasar dari COBIT Framework adalah untuk menghubungkan ekspektasi manajemen IT dengan tanggung jawab manajemen TI. Tujuan utamanya adalah untuk memfasilitasi IT governance untuk mengirimkan nilai TI untuk menanggulangi resiko TI.
B. Saran
Setiap perusahaan yang menggunakan Teknologi Informasi sebaik nya memahami dan menggunakan IT Governance untuk mengelola Teknologi Informasi di dalam perusahaan nya, hal ini untuk mencegah agar apabila terjadi suatu kesalahan di dalam perusahaan yang menyangkut tentang Teknologi Informasi, tidak mengarah pada satu bagian saja, missal nya para professional TI, padahal belum tentu kesalahan itu terdapat pada bagian TI. Selain penggunaan IT Governance, sebaik nya perusahaan juga menggunakan COBIT framework untuk mengimbangi IT Governance di dalam perusahaan, COBIT dapat membantu mengatur hal-hal yang berhubungan dengan keuangan dan audit.
Daftar Pustaka
Alvin A, Arens, James K.Loebbecke, Auditing, Edisi Indonesia, Jakarta, 2003. Calder, Alan and Watkins, Steve. (2008). ITGOVERNANCE - A Manager’s
Guide to Data Security and ISO27001/ISO 27002. Kogan Page. United
States.
Information System Audit and Control Association (ISACA). (2003), IS
Standards, Guidelines and Procedures for Auditing and Control Professionals. United States.
IT Governance Institute (2000), Executive Summary, COBIT 3rdEdition.
http://www.isaca.org, 26 Maret 2009.
IT Governance Institute (2000), Audit Guidelines, COBIT 3rdEdition,
http://www.isaca.org, 26 Maret 2009.
IT Governance Institute (2000), Management Guidelines, COBIT 3rdEdition,
http://www.isaca.org., 26 Maret 2009.
IT Governance Institute (2000), Implemetation Tool Set, COBIT 3rdEdition,
http://www.isaca.org., 26 Maret 2009.
MOELLER, ROBERT R. (2008). Effective Auditing with AS5, CobiT, and ITIL. John Wiley & Sons, Inc. Canada.
Weber, Ron (1999), Information Systems Control and Audit, The University of Queensland, Prentice Hall.
Weill, Peter and Ross, Jeanne W. (2000). IT Governance - How Top Performers Manage IT Decision Rights for Superior Results. Harvard Business School Press. United States.
Yayasan Pendidikan Internal Audit (YPIA). (2002), Institut Pendidikan dan Pelatihan Audit dan Manajemen. Audit Sistem Informasi II. Jakarta.
