Analisis Manajemen Risiko Sistem Informasi Manajemen Ritel pada PT Pos Indonesia (Persero) dengan Cobit 4.1.

(1)

vi

Universitas Kristen Maranatha

ABSTRAK

(2)

ABSTRACT

Rapid technological developments impact it brings great risk. Analysis is needed to determine whether perusaaan ready to address these risks. Analysis of the Retail Management Information Systems at PT Pos Indonesia (Persero) using the COBIT 4.1 framework aims to determine the extent to which the company responds to the needs of risk management. Analysis performed using the COBIT 4.1 PO9 Assess and Manage IT Risk, Manage Change AI6, DS4 Ensure Continuous System, DS5 Ensure Systems Security, and DS12 Manage the Physical Environment as a reference for analysis. Data obtained from interviews with the Manager of Risk Management, Operational Support Staff Helpdesk and Retail, and Retail SIM Application Developer and related documents.It is expected that the creation of this report can help companies to improve the system performance.

(3)

viii

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... ii

PERNYATAAN ORISINALITAS LAPORAN PENELITIAN ... iii

PRAKATA ... iv

Konsep Sistem , Informasi, dan Sistem Informasi ... 6

Manajemen Risiko ... 6

Konsep Audit, Auditor, dan Auditee ... 7

Audit Sistem Informasi ... 8

COBIT Framework ... 8

Maturity Model ... 9

Beberapa Proses COBIT yang Digunakan ... 10

PO9 Assess and Manage IT Risks ... 10

AI6 Manage Changes ... 15

DS4 Ensure Continuous Service ... 19

DS5 Ensure Systems Security ... 26

DS12 Manage the Physical Environment ... 32

BAB III ANALISIS DAN EVALUASI ... 37

Profil PT. Pos Indonesia (Persero)... 37

Visi dan Misi Serta Motto PT. Pos Indonesia (Persero) ... 39

Visi PT Pos Indonesia (Persero) ... 39

Misi PT Pos Indonesia (Persero) ... 39

Motto PT Pos Indonesia (Persero) ... 40

Nilai-nilai Budaya PT Pos Indonesia (Persero) ... 40

Struktur Organisasi ... 41

Dewan Komisaris PT Pos Indonesia ... 41

Direksi PT Pos Indonesia (Persero) ... 42

Sistem Informasi Manajemen Ritel (SIM Ritel) ... 42

Hasil Analisis ... 43

PO9 Assess and Manage IT Risk ... 43

AI6 Manage Changes ... 51

DS4 Ensure Continuous Service ... 56

DS5 Ensure Systems Security ... 70

DS12 Manage the Physical Environment ... 86

(4)

Simpulan Analisis Maturity Level ... 96

Saran yang Dapat Dilakukan Oleh Perusahaan ... 102

BAB IV SIMPULAN dan SARAN ... 106

Simpulan ... 106

Saran ... 107

(5)

x

DAFTAR GAMBAR

(6)

DAFTAR TABEL

Tabel I Resume Maturity Level Control ...49

Tabel II Resume Maturity Level Control ...55

Tabel III Resume Maturity Level Control ...67

Tabel IV Resume Maturity Level Control ...83

Tabel V Resume Maturity Level Control ...92

Tabel VI Rekapitulasi Maturity Level ...95

Tabel VII Simpulan Analisis Maturity Level ...96

(7)

xii

DAFTAR LAMPIRAN

(8)

DAFTAR ISTILAH

Administrator : Pegawai perusahaan yang ditunjuk untuk

mengelola dan memelihara data SIM Ritel.

Benda Mitra : Barang milik pemerintah maupun swasta yang

dititipkan untuk dijual secara konsinyasi oleh kantor pos. real time on-line maupun hanya on line.

FBK : Formulir benda konsinyasi. Merupakan

kelompok produk titipan pihak ketiga dengan menggunakan kantor pos sebagai gerai atau outlet penjualannya.

Informasi : Data yang telah diolah sebagai bahan masukan

untuk pengambilan keputusan. pada kantor pos bawahannya.

Manajemen : Proses yang terdiri dari kegiatan

merencanakan, mengorganisasikan,

memimpin, menggerakkan dan mengendalikan sumberdaya organisasi untuk mencapai tujuan organisasi.

Perusahaan : PT Pos Indonesia (Persero).

Produk Ritel : Related product dan non related product (dalam

bentuk produk pelengkap bagi yang related dan produk substitusi bagi yang non related) yang

memperkuat core business dan atau

meningkatkan utilisasi core process

perusahaan.

Server : Komputer untuk menampung data SIM Ritel,

yang berada di Data Center Jakarta.

Sistem : Kumpulan bagian / komponen (sub sistem)

(9)

xiv

SIM RITEL : Sistem aplikasi internal yang dibangun di atas

jaringan client-server, dengan pengelola

database terpusat berada di Data Center

Jakarta.

UPT : Kantor pos yang melaksanakan aktivitas

pendistribusian, penjualan, penyimpanan

barang dan pembuatan laporan.

User : Pegawai yang ditunjuk untuk menggunakan

sistem aplikasi Ritel.

Website : Wadah atau tempat meletakkan naskah yang

(10)

BAB I PENDAHULUAN

Latar Belakang Masalah

Penggunaan teknologi informasi sudah tidak dapat dipisahkan dari

kehidupan sehari - hari. Banyak sekali organisasi dan perusahaan yang

menggunakan teknologi informasi sebagai sarana pendukung kinerjanya.

Proses secara manual yang pada awalnya dirasa cukup sudah tidak tepat

lagi untuk digunakan pada saat ini. Dibutuhkan teknologi informasi untuk

mengefisienkan proses manual tersebut. Teknologi informasi dapat

membantu sebuah organisasi untuk terhubung satu sama lain dan

mengintegrasikan semua kinerjanya sehingga tidak akan terjadi kesalahan

data karena telah terkontrol secara terpusat. Salah satu organisasi yang

memanfaatkan kemajuan teknologi tersebut adalah PT Pos Indonesia

(Persero).

PT Pos Indonesia (Persero) adalah perusahaan milik negara yang

bertugas untuk mengatur pendistribusian surat – surat yang ada di

Indonesia. Seiring dengan majunya perkembangan informasi, komunikasi,

dan teknologi, PT Pos Indonesia (Persero) pun tak mau ketinggalan untuk

memperbarui proses – proses manual yang ada didalamnya. Pengembangan

bisnis ritel di PT Pos Indonesia (Persero) merupakan salah satu upaya yang

dilakukan dalam kerangka transformasi bisnis, dimana potensi dan

opportunity dalam assessment di masa mendatang menjadi salah satu aspek

bisnis yang mempunyai prospek besar di masa mendatang. PT Pos

Aplikasi Ritel merupakan aplikasi yang bertujuan menyajikan suatu

(11)

2

Universitas Kristen Maranatha dan pemantauan data fisik, persediaan, kemudahan kalkulasi data,

penyimpanan stock benda pos, dan benda filateli.

Rumusan Masalah

Berdasarkan latar belakang yang telah diuraikan pada bagian 1.1,

maka rumusan masalah adalah :

1. Apakah PT Pos Indonesia (Persero) memiliki kerangka

manajemen risiko keamanan sistem informasi pada aplikasi Ritel?

2. Bagaimana manajemen keamanan aplikasi Ritel yang digunakan

PT Pos Indonesia (Persero) agar dapat melindungi sistem?

3. Bagaimana PT Pos Indonesia (Persero) melakukan pengelolaan

perubahan terhadap aplikasi Ritel?

4. Apakah PT Pos Indonesia (Persero) memiliki kerangka kerja untuk

menjaga kelangsungan layanan Ritel?

Tujuan Pembahasan

Berdasarkan rumusan masalah pada bagian 1.2, maka tujuan dari

laporan ini adalah sebagai berikut :

1. Menganalisis apakah PT Pos Indonesia (Persero) memiliki

kerangka risiko keamanan sistem informasi pada aplikasi Ritel.

2. Menganalisis dan mendeskripsikan manajemen keamanan yang

dimiliki PT Pos Indonesia (Persero) pada aplikasi Ritel baik

terhadap keamanan sistem maupun lingkungan sekitar sistem.

3. Menganalisis dan mendeskripsikan pengelolaan perubahan

terhadap aplikasi Ritel yang dilakukan oleh PT Pos Indonesia

(Persero).

4. Menganalisis apakah PT Pos Indonesia (Persero) memiliki

(12)

Ruang Lingkup Kajian

Adapun ruang lingkup dalam laporan ini adalah sebagai berikut :

1. Proses analisis akan berfokus pada aplikasi SIM Ritel.

2. Analisis sistem akan mengacu pada framework COBIT 4.1

Domain yang akan digunakan untuk menganalisis adalah :

a. PO9 Assess and Manage IT Risks

Control Objective :

i. PO9.1 IT Risk Management Framework

ii. PO9.2 Establishment of Risk Context

iii. PO9.3 Event Identification

iv. PO9.4 Risk Assessment

v. PO9.5 Risk Response

vi. PO9.6 Maintenance and Monitoring of a Risk Action

Plan

b. DS5 Ensure Systems Security

i. DS5.1 Management of IT Security

ii. DS5.2 IT Security Plan

iii. DS5.3 Identify Management

iv. DS5.4 User Account Management

v. DS5.5 Security Testing, Surveillance and Monitoring

vi. DS5.6 Security Incident Definition

vii. DS5.7 Protection of Security Technology

viii. DS5.8 Cryptographic Key Management

ix. DS5.9 Malicious Software Prevention, Detection, and

Corection

x. DS5.10 Network Security

(13)

4

c. DS4 Ensure Continuous System

i. DS4.1 IT Continuity Framework

ii. DS4.2 IT Continuity Plan

iii. DS4.3 Critical IT Resource

iv. DS4.4 Maintenance of the IT Continuity Plan

v. DS4.5 Testing of the IT Continuity Plan

vi. DS4.6 IT Continuity Plan Training

vii. DS4.7 Distribution of the IT Continuity Plan

viii. DS4.8 IT Service Recovery and Resumption

ix. DS4.9 Offsite Backup Storage

x. DS4.10 Post – resumption Review

d. DS12 Manage the Physical Environment

i. DS12.1 Site Selection and Layout

ii. DS12.2 Physical Security Measures

iii. DS12.3 Physical Access

iv. DS12.4 Protection Against Environmental Factors

v. DS12.5 Physical Facilities Management

e. AI6 Manage Changes

i. AI6.1 Changes Standards and Procedures

ii. AI6.2 Impact Assessment, Prioritisation, and

Authorisation

iii. AI6.3 Emergency Changes

iv. AI6.4 Change Status Tracking and Reporting

(14)

Sumber Data

Sumber data yang didapatkan yaitu melalui wawancara kepada

Manager TI dan stafnya di PT Pos Indonesia (Persero). Sumber data lain

yang akan digunakan melalui browsing internet, buku, dan survey ke

perusahaan.

Sistematika Penyajian

Sistematika penulisan laporan tugas akhir ini terdiri dari empat bab

yang di dalamnya mencangkup hal-hal sebagai berikut :

BAB I PENDAHULUAN

Membahas mengenai latar belakang masalah, rumusan

masalah, tujuan pembahasan, ruang lingkup kajian, dan

sistematika penyajian.

BAB II KAJIAN TEORI

Membahas mengenai teori-teori yang berhubungan dengan

materi penulisan yang diambil dari beberapa referansi baik

buku, jurnal maupun internet.

BAB III ANALISIS dan HASIL PENELITIAN

Membahas mengenai analisis pada sistem informasi yang

akan dilakukan pada perusahaan.

BAB IV SIMPULAN dan SARAN

Membahas mengenai kesimpulan dan saran dari penulis

(15)

106

BAB IV SIMPULAN dan SARAN

Kesimpulan merupakan langkah terakhir yang dilakukan dalam analisis.

Kesimpulan yang dirumuskan dibuat berdasarkan atas pengolahan dan

analisis data. Setelah membuat kesimpulan selanjutnya memberikan saran

berdasarkan hasil analisis data

Simpulan

Berikut ini simpulan yang didapat setelah melakukan analisis :

1. PT Pos Indonesia (Persero) sudah menyadari akan pentingnya

memiliki kerangka manajemen risiko. Pembentukan dokumen

penanganan risiko yang diberi nama dokumen Disaster Recovery

Plan (DRP) menjadi bukti dari kesungguhan manajemen tingkat

atas untuk memiliki prosedur penanganan dan pencatatan risiko.

Setelah dilakukan analisis menggunakan proses PO9 Assess and

Manage IT Risk, maka maturity level yang diberikan untuk PT Pos

Indonesia (Persero) adalah level dua (2) Repeatable but Intuitive.

2. Penerapan manajemen keamanan untuk melindungi keamanan

SIM Ritel milik PT Pos Indonesia (Persero) telah dilakukan.

Perlindungan keamanan yang dilakukan mencakup keamanan

tehadap sistem dan lingkungan fisik yang terkait dengan sistem.

Tanggung jawab untuk menjaga keamanan TI sudah diberikan

pada orang yang tepat yaitu divisi security dan data center.

Sedangkan standar yang digunakan untuk melindungi keamanan

sistem dan lingkungan fisik mengacu pada ISO 2007. Setelah

dilakukan analisis menggunakan proses DS5 Ensure Security

System maka, maturity level yang diberikan untuk PT Pos

Indonesia (Persero) adalah level dua (2) Repeatable but Intuitive

sedangkan untuk proses DS12 Manage the Physical Environment,

maka maturity level yang diberikan untuk PT Pos Indonesia

(16)

107

3. Perubahan yang terjadi pada sistem disesuaikan dengan

kebutuhan bisnis. Perubahan yang dilakukan berasal dari

permintaan divisi Ritel. Perubahan akan diinformasikan kepada

manajer pengembangan dan teknologi lalu akan dilanjutkan pada

bagian pengembang aplikasi Ritel. Setelah dilakukan analisis

menggunakan proses AI6 Manage Changes, maka maturity level

yang diberikan untuk PT Pos Indonesia (Persero) adalah level

satu (1) Initial / Ad Hoc.

4. PT Pos Indonesia (Persero) sedang mengembangkan sebuah

kerangka penanggulangan bencana TI. Kerangka kerja ini disebut

dengan Disaster Recovery Plan (DRP). Kerangka kerja ini dibuat

untuk mendukung kelangsungan bisnis manajemen saat

menghadapi bencana. Dokumen DRP disusun untuk mengurangi

dampak besar pada bisnis utama, fungsi, dan proses. Setelah

dilakukan analisis menggunakan proses DS4 Ensure Continuous

Service, maka maturity level yang diberikan untuk PT Pos

Indonesia (Persero) adalah level satu (1) Initial / Ad Hoc.

Saran

Berikut saran yang dapat diberikan untuk penelitian selanjutnya :

1. Melakukan penelitian dengan menggunakan proses lain yang

belum dimanfaatkan.

2. Melakukan penelitian dengan menggunakan proses yang sama

untuk melihat apakah nilai maturity level sudah meningkat atau

belum.

3. Membuat standar dan prosedur untuk mengelola perubahan

sistem.

4. Membuat standar dan prosedur berkaitan dengan manajemen

risiko TI.

5. Membuat standar dan prosedur untuk menjaga keamanan sistem

(17)

108

DAFTAR PUSTAKA

Darmawi, H. (2010). Manajemen Risiko. Jakarta: Bumi Aksara.

Hariyanto, A., & Dini, G. M. (2013). Penilaian Performance Measurement

Dan Resource Management Dengan Menggunakan Metode COBIT 4.1

Terhadap Aplikasi Persediaan Material Proyek Pada CV. Inti Pembangunan.

Retrieved Juni 15, 2013, dari Eprints STMIK GI MDP & MDP BUSINESS

SCHOOL: eprints.mdp.ac.id/

Hartono, J. (1999). Analisis & Disain Sistem Informasi : Pendekatan

Terstruktur Teori dan Praktik Aplikasi Bisnis (Edisi II). Yogyakarta: ANDI.

IBISA. (2011). Keamanan Sistem Informasi (Edisi 1). Yogyakarta: ANDI.

ISO, 1. (2011). Auditing Definitions Translated Into Plain English. Retrieved

Februari 10, 2013, dari ISO Standards:

http://www.praxiom.com/iso-19011-definitions.htm

IT Governance Institute, (. (2007). COBIT 4.1. USA.

McLeod, R. (2001). Management Information System (8th Edition). United

States: Prentice Hall.

Mulyadi. (1990). Pemeriksaan Akuntan (Edisi ketiga). Yogyakarta: Sekolah

Tinggi Ilmu Ekonomi YKPN.

O'Brien, J. (2007). Enterprise Information System (13th edition). United

(18)

109

Weber, R. (1999). Information System Control and Audit. New Jersey: