Analisis Manajemen Risiko Teknologi Informasi dengan ISO 31000:2018 pada PT Bayu Buana Tbk

Devy Putri Natalie, Augie David Manuputty^*

Fakultas Teknologi Informasi, Sistem Informasi, Universitas Kristen Satya Wacana, Salatiga, Indonesia Email: ¹682019097@student.uksw.edu, ^2,*augie.manuputty@uksw.edu

Email Penulis Korespondensi: augie.manuputty@uksw.edu Submitted 04-09-2022; Accepted 04-10-2022; Published 31-10-2022

Abstrak

Pada saat ini, hampir seluruh organisasi/perusahaan menggunakan TI untuk mendukung proses bisnisnya. Dengan hadirnya TI semakin memudahkan pekerjaan pada organisasi/perusahaan. Terlebih dengan adanya pandemi Covid-19 yang sangat berdampak bagi beberapa sektor usaha. Salah satunya pada sektor usaha travel services. Pada situasi yang terombang-ambing oleh pandemi, PT Bayu Buana Tbk yang merupakan salah satu perusahaan yang bergerak di bidang usaha travel services ini memilih untuk melakukan perubahan strategi bisnis dengan menggunakan pemanfaatan TI untuk bertahan ditengah pandemi. Keputusan ini sangat sesuai dan sejalan dengan misi dan visi yang dimiliki oleh perusahaan. Namun, kelebihan yang diberikan oleh TI tersebut, memiliki kekurangan berupa risiko yang dapat terjadi. Risiko tersebut tidak dapat dihindari. Namun, dapat diminimalisir dampaknya dengan manajemen risiko TI. Oleh karena itu, peneliti tertarik untuk melakukan manajemen risiko TI pada PT Bayu Buana Tbk. Untuk membantu peneliti dalam melakukan analisis (kualitatif), peneliti menggunakan framework ISO 31000:2018. Dari hasil penelitian, terdapat 21 kemungkinan risiko yang terbagi atas 3 level risiko, yaitu 8 risiko level tinggi, 10 risiko level sedang, dan 3 risiko level rendah. Ditemukan pula jawaban atas tepat/tidaknya strategi yang diterapkan perusahaan dan baik/buruknya penerapan TI pada kantor cabang yang menjadi tujuan lain dari penelitian. Sehingga peneliti dapat memberikan saran untuk membantu perusahaan mencapai visi dan misinya.

Kata Kunci: Manajemen Risiko; Teknologi Informasi; ISO 31000:2018; Biro Perjalanan dan Wisata; PT Bayu Buana Tbk Abstract

At this time, almost all organizations/companies use IT to support their business processes. The presence of IT makes work easier for organizations/companies. Especially with the Covid-19 pandemic which has had a huge impact on several business sectors. One of them is in the travel services business sector. In a situation swayed by the pandemic, PT Bayu Buana Tbk, which is one of the companies engaged in the travel services business, chose to change its business strategy by using IT to survive amidst the pandemic. This decision is very appropriate and in line with the mission and vision of the company. However, the advantages provided by IT, have disadvantages in the form of risks that can occur. This risk is unavoidable. However, the impact can be minimized with IT risk management. Therefore, researchers are interested in conducting IT risk management at PT Bayu Buana Tbk. To assist researchers in conducting (qualitative) analysis, researchers use the ISO 31000:2018 framework. From the results of the study, there are 21 possible risks which are divided into 3 risk levels, namely 8 high-level risks, 10 medium-level risks, and 3 low-level risks. It was also found answers to whether or not the strategy implemented by the company and the good/bad implementation of IT at branch offices were other objectives of the research.

So that researchers can provide suggestions to help the company achieve its vision and mission.

Keywords: Risk Management; Information Technology; ISO 31000:2018; Travel Services; PT Bayu Buana Tbk

1. PENDAHULUAN

Perkembangan teknologi informasi saat ini bukanlah suatu hal yang dapat dihindari. Hampir semua aspek dalam kehidupan manusia saat ini tidak lepas dari kehadiran teknologi informasi. Dengan adanya penggunaan teknologi informasi dalam segala aspek kehidupan terutama dalam perusahaan atau organisasi, pekerjaan semakin mudah dilaksanakan. Terlebih dengan adanya pandemi Covid-19 yang sangat berdampak bagi beberapa sektor usaha. Salah satunya pada sektor biro perjalanan dan wisata. Pada situasi yang tidak pasti dan selalu berubah, PT Bayu Buana Tbk salah satu perusahaan yang bergerak dibidang usaha travel services yang menyediakan berbagai program perjalanan dan wisata berskala besar meliputi penyediaan tiket pesawat dan kereta, pemesanan hotel, pembuatan paspor dan visa, pemberangkatan umrah dan haji, paket perjalanan domestik maupun internasional, dan berbagai program lainnya serta perusahaan yang memiliki lebih dari 400 karyawan yang tersebar di berbagai cabang yang ada di Indonesia dengan pusat di Jl. Ir. Juanda 3 No.2A, Jakarta Pusat, yang merupakan badan usaha agen perjalanan pertama yang terdaftar pada bulan Oktober 1989 sebagai Perusahaan Publik pada Bursa Efek di Surabaya dan Jakarta ini dituntut untuk membuat keputusan dengan tepat dan cepat. Sesuai dengan misi perusahaan, yaitu berkomitmen untuk memberikan layanan terbaik bagi pelanggan dengan tenaga ahli di bidangnya, melayani dengan tulus dan menggunakan teknologi terkini [1], PT Bayu Buana Tbk memilih untuk melakukan perubahan strategi bisnis dengan menggunakan pemanfaatan teknologi informasi untuk terus mempertahankan eksistensi dan menghadapi ancaman pada masa pandemi, yang sejalan dengan visi yang dimiliki perusahaan, yaitu menjadi pilihan utama penyedia jasa perjalanan wisata [1]. Namun, kemudahan yang diberikan oleh teknologi informasi yang menjadikan suatu kelebihan tersebut, memiliki risiko yang dapat terjadi. Faktanya tidak ada satupun perusahaan atau organisasi yang tidak memiliki risiko dalam penggunaan teknologi informasi. Namun, risiko tersebut dapat diminimalisir dampaknya dengan manajemen risiko teknologi informasi.

Untuk dapat melakukan manajemen risiko teknologi informasi guna meminimalisir risiko adalah dengan menggunakan framework. Dalam penelitian pada jurnal ini, menggunakan framework ISO 31000:2018 yang memiliki kelebihan mulai dari keluasan dalam penerapannya, ruang lingkup implementasi yang lebih umum, dan telah diadopsi oleh banyak negara salah satunya Indonesia. Analisis risiko dengan menggunakan ISO 31000 juga sudah pernah

dilakukan pada jurnal-jurnal yang menjadi referensi peneliti dalam melakukan penelitian jurnal ini, yaitu penelitian [2]

yang bertujuan untuk membantu PT Visionet Data Internasional dalam menganalisis risiko yang akan muncul dengan pencegahan risiko pada aset-aset yang dimiliki aplikasi VCare sebagai aplikasi BITS (Branch IT Service). Pada penelitian ini ditemukan sebanyak 20 kemungkinan risiko, dengan 4 risiko level tinggi, 8 risiko level menengah, dan 8 risiko level rendah, penelitian [3] yang bertujuan untuk melakukan analisis manajemen risiko pada fitur tabungan aplikasi PDS pada PT Pegadaian Cabang Waingapu, yang dimana ditemukan sebanyak 23 kemungkinan risiko, dengan 1 risiko level tinggi, 6 risiko level menengah, dan 16 risiko level rendah, penelitian [4] yang bertujuan untuk meminimalisir dan mencegah tingkat terjadinya kemungkinan risiko pada program sistem terintegrasi yang dimiliki oleh PT KDL serta dapat memberikan solusi dan manfaat bagi perusahaan. Pada penelitian ini ditemukan 22 kemungkinan risiko, dengan 2 risiko level tinggi, 17 risiko level menengah, dan 3 risiko level rendah, penelitian [5] yang bertujuan untuk menganalisis manajemen risiko pada website poin keaktifan mahasiswa yang dimiliki oleh organisasi kemahasiswaan KKM LKF FTI UKSW. Penelitian ini menemukan 16 kemungkinan risiko, dengan 3 risiko level tinggi, 9 risiko level menengah, dan 4 risiko level rendah, penelitian [6] yang bertujuan untuk melakukan manajemen risiko pada CV Garuda Jaya Garment sehingga dapat mengetahui level risiko tertinggi dan dapat memberikan solusi penanganan pada risiko. Penelitian ini menemukan 27 kemungkinan risiko yang akhirnya dikurangi 8 risiko karena hasil validasi dengan narasumber. Sehingga, dapat disimpulkan terdapat 19 kemungkinan risiko yang terdiri atas, 4 risiko level tinggi, 8 risiko level menengah, dan 7 risiko level rendah, dan penelitian [7] yang bertujuan untuk mengurangi kemungkinan risiko yang sedang dialami dan yang akan terjadi serta memberikan rekomendasi bagi setiap risiko tersebut. Kemungkinan risiko yang teridentifikasi pada penelitian ini berjumlah 26 risiko, dengan 3 risiko level tinggi, 13 risiko level menengah, dan 10 risiko level rendah.

Selain keenam jurnal tersebut, terdapat jurnal penelitian lain seperti penelitian [8], [9], [10], [11], [12], [13], [14], [15], [16], [17], [18], [19], [20], [21], [22] yang dijadikan sebagai referensi yang dapat meyakinkan peneliti dan membuktikan bahwa ISO 31000 merupakan framework yang tepat untuk melakukan analisis manajemen risiko teknologi informasi.

Berdasarkan latar belakang masalah dan penelitian terdahulu, peneliti tertarik untuk menganalisis manajemen risiko teknologi informasi pada PT Bayu Buana Tbk untuk mengetahui apakah perubahan strategi bisnis dengan penerapan teknologi informasi tersebut membawa dampak positif yang mendukung visi dan misi perusahaan atau membawa dampak negatif akibat risiko dari penerapan teknologi informasi, untuk mengetahui deskripsi dan tingkat risiko yang terjadi dalam penerapan teknologi informasi, dan untuk mengetahui baik atau buruknya penerapan teknologi informasi pada salah satu kantor cabang PT Bayu Buana Tbk sesuai dengan skope analisis yang telah ditentukan.

Sehingga, nantinya peneliti dapat memberikan saran terhadap risiko yang ada dan mungkin terjadi dan dapat melakukan pengawasan dan review atas saran yang diberikan. Yang akhirnya dapat membantu perusahaan untuk mencapai visi dan misi yang dimilikinya.

2. METODOLOGI PENELITIAN

2.1 Landasan Teori

Berdasarkan referensi penelitian terdahulu, dapat disimpulkan bahwa semua perusahaan atau organisasi yang menerapkan teknologi informasi dalam proses bisnisnya pasti memiliki risiko. Risiko tidak dapat dihilangkan sepenuhnya, namun dapat diminimalisir dan ditangani. Caranya adalah dengan melakukan manajemen risiko. Manajemen risiko dalam perusahaan atau organisasi dapat dilakukan dengan cara melakukan audit dengan menggunakan framework. Pada penelitian ini akan digunakan ISO 31000:2018, sebagai framework-nya.

ISO 31000:2018 yang diterbitkan pada 13 November 2009 ini memiliki 3 komponen yaitu, prinsip, kerangka kerja, dan proses manajemen risiko yang dapat digunakan sebagai arsitektur manajemen risiko untuk menciptakan penerapan manajemen risiko yang efektif [23]. Ketiga komponen pada ISO 31000:2018 tersebut saling terhubung dan berkaitan.

Ketiga komponen tersebut terdiri atas 8 prinsip komponen utama yang memberikan petunjuk tentang karakteristik manajemen risiko yang efisien dan efektif, 5 kerangka kerja berdasarkan kepemimpinan dan komitmen yang digunakan sebagai fondasi dalam pengelolaan manajemen risiko, dan hasil timbal balik serta bentuk pelaksanaan dari komponen kedua dan ketiga, yaitu 8 proses manajemen risiko yang mencakup penerapan yang sistematis dari kebijakan, prosedur dan berbagai pendekatan.

2.2 Tahapan Penelitian

Adapun metode penelitian yang digunakan dalam penelitian ini adalah metode penelitian studi kasus yang digagas oleh Zainal A. Hasibuan, PhD (2007) [24]. Penggunaan metode ini bertujuan agar peneliti dapat lebih fokus untuk mencari dan mengumpulkan data yang dibutuhkan untuk mencapai tujuan yang telah dijabarkan sebelumnya. Sedangkan dalam pengumpulan data, penelitian ini menggunakan metode kualitatif yang bertujuan untuk memahami kejadian yang akan dan sedang dialami oleh subjek penelitian. Metode ini memudahkan peneliti untuk mengumpulkan data primer dan data sekunder. Data primer yang bersumber dari hasil wawancara sehingga sudah tervalidasi oleh narasumber dan berdasarkan hasil observasi. Sedangkan data sekunder yang diperoleh dari dokumen dan catatan perusahaan. Data primer dan sekunder ini digunakan untuk menjawab masalah dari penelitian. Dalam pengumpulan data primer pada tahapan wawancara dilakukan selama 1 minggu dengan 4 narasumber perusahaan, yaitu dengan branch manager, supervisor, karyawan front- office dan back-office.

Gambar 1. Tahapan Penelitian

Setelah melakukan wawancara dan semua data terkumpul, adapun tahapan penelitian dengan framework ISO 31000:2018 (Gambar 1) yang digunakan peneliti, yaitu:

a. Pemahaman ISO 31000:2018

Tahap pertama yang dilakukan oleh peneliti sebelum menentukan masalah yang akan diteliti adalah melakukan pemahaman literatur tentang ISO 31000:2018 yang didapatkan dari buku-buku yang membahas terkait dengan ISO 31000:2018 dan jurnal-jurnal referensi yang pernah menggunakan ISO 31000:2018 sebagai framework dalam menganalisis manajemen risiko teknologi informasi.

b. Identifikasi Masalah Penelitian

Setelah peneliti memahami framework yang akan digunakan dan yakin untuk menggunakan framework tersebut sebagai metode untuk menganalisis data. Peneliti melakukan pencarian dan identifikasi studi kasus yang akan diteliti.

Pada tahap ini, peneliti mengumpulkan informasi terkait perusahaan yang beredar pada internet dan mengidentifikasi kesenjangan dengan kondisi saat ini sehingga ditemukan masalah penelitian.

c. Tahapan framework ISO 31000:2018

1. Melakukan komunikasi dan konsultasi risiko dengan dosen dan pihak perusahaan. Tahapan komunikasi dan konsultasi risiko ini selalu dilakukan selama proses manajemen risiko berlangsung. Tujuannya agar perusahaan memiliki pandangan yang sama dengan peneliti terkait dengan proses manajemen risiko yang akan dilakukan.

Selain itu, komunikasi dan konsultasi risiko ini juga dapat membantu peneliti dalam mengumpulkan data penelitian.

2. Menentukan skope yang ingin dianalisis yaitu analisis manajemen risiko teknologi informasi pada PT Bayu Buana Tbk Cabang Cilegon, konteks atau tujuan dari pemilihan kantor cabang sebagai skope dan kriteria risiko dengan menetapkan kriteria likelihood yang merupakan penilaian terhadap frekuensi terjadinya sebuah risiko, kriteria impact yang merupakan penilaian secara kuantitatif terhadap akibat yang akan terjadi pada suatu risiko, dan konteks matriks evaluasi risiko yang merupakan penentu tingkatan risiko berdasarkan hasil likelihood dan impact.

3. Melakukan asesmen risiko dengan cara sebagai berikut:

a) Sebelum melakukan identifikasi risiko, peneliti melakukan identifikasi aset yang dimiliki dan terlibat dalam penerapan teknologi sebagai strategi perubahan bisnis PT Bayu Buana Tbk. Identifikasi aset ini berguna agar peneliti dapat lebih cermat dalam menentukan risiko yang mungkin terjadi, sehingga nantinya dapat melindungi aset agar perubahan strategi bisnis perusahaan dengan penerapan teknologi ini berdampak positif dan dapat mencapai visi dan misi yang dimiliki perusahaan. Aset yang diidentifikasi berupa aset data, aset software, dan aset hardware. Setelah melakukan identifikasi aset, peneliti melakukan identifikasi risiko yang mungkin akan atau pernah terjadi berdasarkan 3 faktor risiko, yaitu alam dan lingkungan, manusia, serta sistem dan infrastruktur. Lalu, mengidentifikasi dampak serta penyebab/alasan dari risiko yang mungkin akan atau pernah terjadi.

b) Menganalisis risiko dengan menggunakan kriteria likelihood dan impact yang sudah ditetapkan pada tahap penetapan skope, konteks, dan kriteria sesuai dengan hasil wawancara dan melakukan perhitungan risk value dengan perkalian likelihood dan impact.

c) Melakukan evaluasi risiko dengan melakukan pemetaan berdasarkan matriks evaluasi risiko.

4. Dari hasil pemetaan berdasarkan matriks evaluasi risiko tersebut, ditemukan tingkatan level risiko. Maka tahap selanjutnya adalah memberikan saran perlakuan atau penanganan risiko tersebut dari yang memiliki level tertinggi dan risk value tertinggi pada setiap levelnya.

5. Tahap terakhir peneliti melakukan pencatatan dan pelaporan hasil manajemen risiko (kesimpulan dan saran dari hasil penelitian) dan melakukan pemantauan/review terhadap saran yang diberikan dengan dosen dan pihak

perusahaan. Tahap ini dilakukan dengan mengkomunikasikan dan memberikan hasil penelitian kepada dosen dan pihak perusahaan.

3. HASIL DAN PEMBAHASAN

3.1 Komunikasi dan Konsultasi Risiko

Selain membantu peneliti untuk memahami perusahaan (mengetahui profil perusahaan, visi, misi dan tujuan, proses bisnis dan struktur organisasi), mengetahui risiko yang pernah terjadi dan mengumpulkan data penelitian (preferensi risiko, kebijakan/cara mengelola risiko, dan lain sebagainya), komunikasi dan konsultasi risiko memiliki tujuan untuk membantu perusahaan dalam memahami risiko serta memiliki pandangan yang sama dengan peneliti terkait dengan proses manajemen risiko yang akan dilakukan. Selain dilakukan dengan dosen, komunikasi dan konsultasi risiko ini pun dilakukan oleh pihak perusahaan, yaitu dengan branch manager, supervisor, karyawan front-office, dan karyawan back- office PT Bayu Buana Tbk selama proses manajemen risiko berlangsung.

3.2 Skope, Konteks, dan Kriteria

Manajemen risiko antara satu perusahaan dengan perusahaan lain memiliki ciri khas yang berbeda-beda sesuai dengan kebutuhan penggunanya dalam melakukan asesmen risiko. Oleh karena itu, peneliti melakukan penetapan skope, konteks, dan kriteria penilaian tingkat risiko untuk mendapatkan proses manajemen risiko yang khas sesuai dengan studi kasus penelitian.

Adapun skope pada pelaksanaan analisis manajemen risiko yang ditentukan oleh peneliti yaitu untuk menganalisis manajemen risiko teknologi informasi pada PT Bayu Buana Tbk Cabang Cilegon. Peneliti memilih skope untuk meneliti kantor cabang karena memiliki konteks atau tujuan untuk mengetahui apakah kantor cabang sudah melaksanakan teknologi informasi dengan baik sehingga mendukung visi dan misi perusahaan. Setelah menetapkan skope dan konteks, peneliti menentukan kriteria risiko dengan menetapkan kriteria likelihood (Tabel 1) yang terdiri atas 5 kriteria (certain, likely, possible, unlikely, dan rare) dengan nilai dan keterangan periode waktu pada masing-masing kriteria yang berfungsi sebagai skala pengukuran frekuensi waktu terjadinya sebuah risiko. Selain itu, peneliti juga menentukan kriteria impact (Tabel 2) yang dibedakan menjadi 5 nilai kategori dampak yang akan terjadi pada suatu risiko (catastrophic, major, moderate, minor, dan insignificant).

Tabel 1. Kriteria Likelihood

Kriteria Keterangan Nilai Frekuensi Kejadian Certain Risiko pasti terjadi 5 < 7 bulan

Likely Risiko sering terjadi 4 7 – 12 bulan Possible Risiko kadang terjadi 3 1 – 3 tahun

Unlike Risiko jarang terjadi 2 3 – 5 tahun Rare Risiko hampir tidak pernah terjadi 1 > 5 tahun

Tabel 2. Kriteria Impact Kriteria Nilai Keterangan

Major 5 Risiko membuat aktivitas perusahaan terhenti.

High 4 Risiko menghambat hampir seluruh aktivitas perusahaan.

Moderate 3 Risiko menghambat proses bisnis sehingga sebagian aktivitas terganggu.

Minor 2 Risiko membuat aktivitas perusahaan sedikit terhambat, namun aktivitas utama tidak terganggu.

Insignificant 1 Risiko tidak mengganggu aktivitas perusahaan.

Berdasarkan kriteria likelihood dan kriteria impact yang telah ditentukan, peneliti menetapkan konteks matriks evaluasi risiko (Tabel 3) yang berisi 5 kriteria frekuensi kejadian/likelihood, 5 nilai kategori dampak/impact, 3 level risiko (high risk, medium risk, dan low risk), dan nominal risk value (hasil perkalian likelihood dan impact). Matriks evaluasi risiko ini digunakan pada tahap penilaian risiko dengan melakukan pemetaan likelihood dan impact pada suatu risiko.

Sehingga, peneliti dapat menemukan dan mengurutkan risiko berdasarkan 3 level risiko yang tiap levelnya diurutkan berdasarkan hasil risk value.

Tabel 3. Matriks Evaluasi Risiko

Likelihood Certain 5 (5) Medium Risk (10) Medium Risk (15) High Risk (20) High Risk (25) High Risk Likely 4 (4) Medium Risk (8) Medium Risk (12) Medium Risk (16) High Risk (20) High Risk Possible 3 (3) Low Risk (6) Medium Risk (9) Medium Risk (12) Medium Risk (15) High Risk Unlikely 2 (2) Low Risk (4) Low Risk (6) Medium Risk (8) Medium Risk (10) Medium Risk

Rare 1 (1) Low Risk (2) Low Risk (3) Low Risk (4) Medium Risk (5) Medium Risk Matriks Evaluasi

Risiko

1 2 3 4 5

Insignificant Minor Moderate Major Catastrophic

Impact

3.3 Asesmen Risiko

Setelah menentukan skope analisis, konteks atau tujuan analisis, dan kriteria risiko yang akan digunakan. Tahap selanjutnya, peneliti melakukan asesmen/penilaian terhadap risiko. Dalam melakukan asesmen risiko, peneliti melakukan 4 tahapan, yaitu mengidentifikasi aset yang akan dilindungi dari risiko yang mungkin terjadi, mengidentifikasi risiko yang mungkin dapat terjadi, menganalisis risiko menggunakan kriteria risiko yang telah ditentukan pada tahap sebelumnya, dan mengevaluasi risiko berdasarkan pemetaan matriks evaluasi risiko. Berikut ini adalah penjelasan terkait dengan 4 tahapan tersebut:

3.3.1 Identifikasi Aset

Sebelum peneliti melakukan penilaian terhadap risiko, peneliti terlebih dahulu harus mengetahui aset-aset yang terlibat dalam perubahan strategi bisnis yaitu penerapan teknologi informasi dan sejalan dengan proses bisnis yang dimiliki perusahaan. Yang dimana aset-aset tersebut berpotensi terpapar dampak negatif dari risiko yang mungkin terjadi. Oleh karena itu, peneliti melakukan identifikasi aset agar nantinya dapat melindungi aset dari kemungkinan risiko yang terjadi.

Adapun identifikasi aset tersebut dikelompokkan ke dalam 3 bentuk, yaitu aset data, aset software, dan aset hardware. Pengelompokan 3 bentuk aset ini bertujuan agar nantinya peneliti dapat lebih cermat dalam melakukan identifikasi risiko yang mungkin terjadi. Tabel 4 merupakan daftar aset yang dimiliki dan terlibat dalam penerapan teknologi informasi sebagai bentuk perubahan strategi bisnis pada PT Bayu Buana Tbk Cabang Cilegon.

Tabel 4. Aset PT Bayu Buana Tbk (Cabang Cilegon)

Jenis Aset Bentuk Aset

Aset Data Data transaksi pelanggan (pemesanan pesawat/tour, hotel, paspor/visa, dan layanan lainnya), yang terdiri atas:

fotokopi KTP, nomor telepon, tanggal keberangkatan/penginapan, tiket pesawat, voucher pemesanan hotel, dokumen untuk pembuatan paspor dan visa, dan data transaksi pelanggan lainnya.

Data pembayaran konsumen, yang terdiri atas: invoice, bukti pembayaran konsumen, dan tanda terima deposite tour.

Data refund jika pelanggan membatalkan penerbangan, yang terdiri atas: fotokopi KTP, tiket pesawat, dan sebagainya.

Aset Software SSL-VPN Portal adalah aplikasi dengan fitur yang berfungsi untuk melakukan kegiatan proses bisnis sehari- hari (mulai dari melakukan absensi harian hingga membuat dan memeriksa transaksi). SSL-VPN Portal ini terdiri dari 2 versi, yaitu versi untuk bekerja dari kantor (WFO) atau bekerja dari rumah (WFH). Adapun fitur-fitur tersebut, yaitu Travel Management System/SAP, BB.Local, BB Data, E-Mail/Zimbra, Upload Ticket, Absensi, BB Logbook 24, Altea – AP Ticket, Daily Operation Report, Marketplace, Admin Marketplace, dan Refund.

Aplikasi yang berfungsi untuk mencari, memesan dan membayar data booking-an yang sudah dibuat sebelumnya, yaitu OPSIGO (tiket pesawat domestik dan kereta) dan SABRE (tiket pesawat internasional dan pesawat high cost).

Aplikasi untuk pemesanan hotel, yaitu AITANK (hanya dapat diakses oleh karyawan) dan Marketplace Shopee dan Tokopedia (dapat diakses oleh pembeli/konsumen).

Aplikasi pelaporan perjalanan/tour, website imigrasi dan kedutaan (untuk pembuatan paspor dan visa), dan aplikasi pendukung lainnya (browser, ms.office/wps, mail outlook, dan sebagainya)

Aset Hardware Laptop (4 buah) yang digunakan untuk front-office yang dapat dibawa keluar kantor (dibawa pulang oleh karyawan). Dengan spesifikasi, yaitu Windows 10 Pro 64-bit, Processor Intel Core i5-6300, 8.00 GB RAM.

Komputer (5 buah) yang digunakan untuk 1 komputer server, 2 back-office, 1 general manager, dan 1 karyawan magang. Dengan spesifikasi, yaitu Windows 10 Pro-64-bit, Processor Intel Core i3-7100, 8192 MB RAM.

Server untuk lalu lintas data perusahaan dan penghubung internet dan telepon serta WiFi perusahaan yang tersimpan pada ruangan server di lantai 2.

Perangkat pendukung lainnya, yaitu Telepon (8 buah), Printer Samsung ML-3310ND untuk mencetak invoice (1 buah), Printer EPSON LQ-2180 untuk mencetak dokumen selain invoice (1 buah), Mesin Fax Panasonic (1 buah), dan CCTV pada ruang server (1 buah).

3.3.2 Identifikasi dan Analisis Risiko

Setelah melakukan identifikasi aset perusahaan, peneliti melakukan identifikasi risiko yang mungkin akan/pernah terjadi yang mengancam aset perusahaan. Berdasarkan hasil wawancara dengan narasumber untuk mengetahui kejadian-kejadian yang pernah terjadi dan mengancam aset perusahaan, hasil observasi dan berdasarkan dokumen/catatan perusahaan, peneliti menentukan identifikasi risiko berdasarkan 3 faktor risiko, yaitu alam dan lingkungan, manusia, serta sistem dan infrastruktur. Selain menentukan risiko berdasarkan 3 faktor, peneliti juga mengidentifikasi risiko tersebut berdasarkan penyebab/alasan pemilihan risiko dan dampak jika risiko tersebut terjadi. Hal tersebut dilakukan sebagai alasan mengapa risiko tersebut dipilih dalam identifikasi risiko yang mungkin akan/pernah terjadi. Hasil penentuan risiko yang mungkin akan/pernah terjadi berdasarkan 3 faktor beserta identifikasi penyebab/alasan dan dampak risiko tersebut tercantum dalam hasil identifikasi risiko pada Tabel 5.

Selain mencantumkan hasil identifikasi risiko, pada Tabel 5 peneliti pun mencantumkan hasil tahapan analisis risiko yang dilakukan setelah tahapan identifikasi risiko. Analisis risiko ini dilakukan dengan menggunakan kriteria likelihood dan impact yang telah ditetapkan pada tahap penentuan kriteria risiko. Hasil penentuan nilai likelihood dan impact pada masing-masing risiko tersebut dikalikan hingga ditemukan risk value.

Tabel 5. Identifikasi dan Analisis Risiko PT Bayu Buana Tbk (Cabang Cilegon)

Faktor Risiko

Kode Risiko

Risiko yang Mungkin Terjadi

Penyebab Risiko Dampak dari Risiko L I RV

Alam dan Lingkung an

RA001 Gempa Bumi

Perusahaan berada di Cilegon (Banten) yang berada di ujung barat pulau Jawa dan di tepi Selat Sunda yang dekat dengan Gunung Berapi Anak Krakatau dan zona rawan gempa lainnya.

Jika skala gempa bumi (magnitudo) tergolong besar, maka dampak yang akan terjadi adalah kerusakan infrastruktur/gedung dan aset perusahaan yang dapat membuat aktivitas perusahaan terhenti.

Namun, jika skala gempa bumi (magnitudo) tergolong kecil, maka dampak yang akan terjadi adalah menghambat hampir seluruh aktivitas perusahaan sesaat.

3 5 15

RA002 Tsunami Perusahaan berada di Cilegon (Banten) yang berada di ujung barat pulau Jawa dan di tepi Selat Sunda.

Yang dimana lokasi ini dekat dengan Gunung Anak Krakatau dan Zona Graben Selat Sunda yang jika terjadi erupsi gunung dan longsor dasar laut pada zona tersebut, dapat memicu terjadinya tsunami.

Kerusakan infrastruktur/gedung dan aset perusahaan yang dapat membuat aktivitas perusahaan terhenti.

1 5 5

RA003 Bencana Industri

Perusahaan berada di Cilegon (Banten) yang merupakan kawasan industri kimia.

Kerusakan infrastruktur/gedung dan aset perusahaan yang dapat membuat aktivitas perusahaan terhenti.

1 5 5

RA004 Kebakaran Gedung perusahaan berada di sebelah toko roti/kue dan pada lantai 3 gedung perusahaan terdapat dapur milik toko kue/roti tersebut.

Kerusakan infrastruktur/gedung dan aset perusahaan yang dapat membuat aktivitas perusahaan terhenti.

2 5 10

RA005 Debu/Kotora n

Perusahaan berada di tengah kota Cilegon yang padat dengan daerah industrial, perkantoran serta gedung berada di tepi jalan, sehingga tingginya polusi udara yang berdampak pada produksi debu/kotoran dari kendaraan yang berlalu lalang dan limbah industri (udara). Serta cuaca yang tergolong panas dan gersang karena dekat dengan pantai yang semakin mendukung tingginya produksi debu/kotoran.

Kerusakan aset perusahaan terutama aset perangkat keras (overheat perangkat/server) yang dapat berdampak pada aset data yang dapat menghambat hampir seluruh aktivitas perusahaan.

5 4 20

RA006 Tikus/Binata ng Lainnya

Gedung perusahaan berada di sebelah toko roti/kue dan pada lantai 3 gedung perusahaan terdapat dapur milik toko kue/roti tersebut.

Sehingga tikus/binatang lainnya yang berasal dari gedung/dapur tersebut dapat masuk ke dalam gedung perusahaan melalui jendela/celah lainnya.

Kerusakan aset perusahaan berupa aset hardware terutama

kabel/jaringan pada ruangan server pada lantai 2. Yang dimana kabel dan hardware yang ada pada ruangan server tidak teratur letaknya karena banyak perangkat yang diletakkan di lantai tanpa alas/meja dan banyak perangkat dan aset yang sudah tidak terpakai yang menumpuk. Sehingga jika aset tersebut dirusak oleh tikus/binatang lainnya dapat menghambat hampir seluruh aktivitas perusahaan.

3 4 12

Manusia RM001 Kurangnya SDM dalam Segi Kuantitas, Kualitas, Kepatuhan, serta Komunikasi dan

Penerapan TI sebagai solusi di kondisi pandemi ini, menyebabkan perusahaan membutuhkan SDM yang memiliki kualitas, pemahaman, dan berkompeten dalam mengoperasikan TI serta patuh pada setiap SOP perusahaan.

Terlebih akibat adanya pengurangan karyawan semasa

Kerusakan aset perusahaan terutama aset data dan menghambat proses bisnis sehingga sebagian aktivitas terganggu. Selain itu juga dapat berpengaruh pada jumlah pendapatan/transaksi pemesanan pada kantor cabang. Karena, jika SDM tidak cekatan dalam melayani pelanggan (transaksi online/offline),

4 3 12

Koordinasi SDM antar Divisi

pandemi Covid-19, yang menyebabkan jumlah SDM tergolong sedikit (total 7 orang dari seluruh divisi). Sehingga

menimbulkan penggandaan pekerjaan pada SDM yang menyebabkan SDM terfokus pada perangkat dan pekerjaannya masing-masing. Hal ini juga berpengaruh pada kurangnya komunikasi SDM antar divisi dan berpengaruh pada koordinasi kelangsungan proses bisnis.

Contohnya: Tidak adanya konfirmasi pada divisi lain terkait transaksi pelanggan. Sehingga divisi lain tidak/terlambat

menyelesaikan transaksi pelanggan pada sistem perusahaan.

transaksi pelanggan dapat diambil oleh kantor cabang lain.

RM002 Human Error

Kemudahan dan kecanggihan yang diberikan oleh teknologi informasi, tidak membuat SDM luput dari kesalahan. Bahkan dengan pemanfaatan teknologi informasi menyebabkan SDM akan lebih rentan melakukan kesalahan.

Contohnya: Terjadinya redudansi data karena banyaknya aplikasi untuk pelanggan dapat memesan layanan, kesalahan dalam memasukkan data transaksi pada sistem, dan lain sebagainya.

Kerusakan aset perusahaan terutama aset data dan hardware yang dapat menghambat proses bisnis sehingga sebagian aktivitas terganggu.

3 3 9

RM003 Mantan Karyawan Masih Memiliki Akses Informasi Perusahaan

Adanya penerapan bekerja dari rumah (WFH) pada awal mula pandemi yang mengharuskan karyawan memasang aplikasi perusahaan pada perangkat pribadinya dan terjadi pengurangan karyawan pada masa kritis pandemi dapat menyebabkan mantan karyawan yang sebelumnya memiliki aplikasi perusahaan pada perangkatnya masih dapat mengakses informasi pada aplikasi perusahaan tersebut.

Kerusakan aset terutama aset data, karena dapat berdampak pada kebocoran data dan informasi internal terbaru perusahaan, sehingga dapat terjadi

penyalahgunaan data dan informasi.

Jika aset tersebut bocor dan rusak maka akan berdampak pada terhambatnya proses bisnis sehingga sebagian aktivitas terganggu.

1 3 3

RM004 Penyalahgun aan Hardware

Adanya kebijakan hardware (laptop) yang dapat dibawa keluar kantor (dibawa pulang karyawan), dapat menyebabkan hardware digunakan untuk mengakses hal diluar pekerjaan/kepentingan perusahaan oleh SDM dan digunakan oleh pihak selain SDM perusahaan. Selain itu, hardware yang berada pada kantor pun dapat digunakan untuk mengakses hal diluar pekerjaan/kepentingan perusahaan.

Kerusakan aset perusahaan terutama hardware dan dapat menyebabkan kerusakan dan penyebaran data (informasi diakses oleh pihak yang tidak berwenang), sehingga dapat menyebabkan penyalahgunaan informasi dan kebocoran data.

Risiko ini juga dapat menghambat proses bisnis sehingga sebagian aktivitas dapat terganggu.

2 3 6

RM005 Permasalaha n dengan Pihak Ketiga Penyedia Infrastruktur dan Aset Perusahaan

Dengan memanfaatkan teknologi informasi pada proses bisnisnya, perusahaan perlu menjalin kerja sama dengan penyedia infrastruktur dan juga aset perusahaan

(contohnya: menyewa hardware berupa laptop pada pihak penyedia jasa penyewaan hardware). Selama menjalin kerja sama tersebut, terdapat kemungkinan risiko

Kerusakan aset perusahaan dan dapat merusak hubungan kerja sama dengan pihak ketiga yang dapat menghambat hampir seluruh aktivitas perusahaan.

1 4 4

permasalahan antara perusahaan dengan pihak ketiga tersebut.

Sistem dan Infrastru ktur

RS001 Pemadaman Listrik

Karena penggunaan TI harus menggunakan listrik dalam menjalankannya. Listrik pun perlu melakukan pemeriksaan dan perawatan penyalur daya dan alat distribusi listrik secara berkala.

Selain itu, terdapat juga penyebab lain yang memaksa harus dilakukan pemadaman listrik. Sehingga, kemungkinan pemadaman listrik yang dilakukan oleh perusahaan listrik pun besar terjadi.

Kerusakan aset perusahaan terutama aset data karena mungkin terjadinya kegagalan dalam memasukkan data terbaru sehingga harus memasukkan data kembali saat listrik menyala dan perangkat hidup, serta aset hardware dan server karena jika sering terjadi pemadaman listrik secara mendadak dapat menyebabkan perangkat rentan rusak. Selain itu, dengan adanya risiko ini menyebabkan terhambatnya hampir seluruh aktivitas perusahaan.

5 4 20

RS002 Koneksi Internet Bermasalah

Penggunaan TI dalam proses bisnis masih harus terhubung dengan koneksi jaringan internet yang dimiliki oleh perusahaan penyedia layanan/jaringan internet. Sehingga, kemungkinan koneksi jaringan internet bermasalah/lambat dari penyedia layanan dapat terjadi.

Kerusakan aset perusahaan terutama data dan perangkat lunak, karena tanpa adanya jaringan internet perangkat lunak (yang perlu terhubung dengan internet) tidak dapat diakses dan karyawan tidak dapat memasukkan, melihat dan mengoperasikan data pada sistem perusahaan. Yang akhirnya menyebabkan terhambatnya hampir seluruh aktivitas perusahaan.

5 4 20

RS003 Overcapacit y Data

Terlalu banyaknya file yang harus disimpan di dalam perangkat atau cloud tidak sebanding dengan jumlah kapasitas penyimpanan data.

Serta tidak adanya

alternatif/perangkat lain yang dapat digunakan untuk menyimpan data.

Kerusakan aset perusahaan terutama data, karena tidak dapat meng- inputkan data/transaksi terbaru dan juga berdampak pada kinerja perangkat dan sistem dalam menyimpan dan mengakses data.

Sehingga berdampak pada terhambatnya proses bisnis sehingga sebagian aktivitas terganggu.

1 3 3

RS004 Server Bermasalah

Hampir seluruh aktivitas perusahaan dari segala kantor cabang menggunakan

aplikasi/portal dengan server yang sama, maka jumlah lalu lintas server terlalu banyak. Oleh karena itu, server dapat bermasalah/down karena banyaknya user yang menggunakan aplikasi/portal tersebut.

Kerusakan aset perusahaan terutama aset data dan software yang terhubung dengan server. Jika risiko ini terjadi, maka software yang terhubung dengan server tidak dapat dijalankan sehingga data tidak dapat dimasukkan pada sistem.

Yang akhirnya berdampak pada hampir seluruh aktivitas perusahaan yang terhambat.

4 4 16

RS005 Aplikasi/Ase t Software (Website/Po rtal) Perusahaan Bermasalah (Crash/Lam bat/Tidak Dapat Diakses)

Dalam melakukan proses bisnisnya, perusahaan bergantung pada penggunaan website/portal yang dirancang oleh perusahaan dengan bantuan pihak ketiga. Sehingga hal ini memungkinkan terjadinya permasalahan pada website/portal perusahaan.

Kerusakan aset perusahaan terutama aset data dan software/aplikasi.

Aplikasi tidak dapat diakses menyebabkan data tidak dapat di- inputkan pada sistem. Sehingga hal ini dapat menghambat hampir seluruh aktivitas perusahaan.

4 4 16

RS006 Website Portal Perusahaan Tidak Dapat Diakses oleh Provider Tertentu

Adanya penggunaan website/portal perusahaan secara terus-menerus dengan terkoneksi pada internet, membuat penyedia layanan internet tertentu menganggap aktivitas pada website/portal tersebut sebagai spam. Oleh karena itu, website/portal perusahaan tidak dapat diakses oleh provider tertentu.

Kerusakan aset perusahaan terutama aset data dan software/aplikasi.

Aplikasi tidak dapat diakses menyebabkan data tidak dapat di- inputkan pada sistem. Sehingga hal ini dapat menghambat hampir seluruh aktivitas perusahaan.

4 4 16

RS007 Aset (Data, Hardware dan Software) Hilang/Dicu ri dan Rusak (Terdampak Cyber Crime, Terorisme, Penyalahgun aan Hak Akses, dan Pembajakan Lainnya serta Terinfeksi Virus, Malware, dan sebagainya)

Adanya kebijakan hardware (laptop) yang dapat dibawa keluar kantor (dibawa pulang karyawan), dapat menimbulkan risiko aset terutama perangkat dan data tersebut hilang/dicuri dan rusak (terdampak cyber crime karena perangkat digunakan bukan oleh karyawan, sehingga tidak adanya batasan penggunaan perangkat dalam jaringan internet yang berdampak pada rentannya perangkat terinfeksi virus/malware, terorisme/pembajakan serta penyalahgunaan hak akses dan akhirnya aset menjadi rusak. Selain itu, aset lain yang berada di kantor juga rentan hilang/dicuri dan rusak.

Kerusakan aset perusahaan terutama data dan hardware, serta dapat berdampak pada kebocoran data dan informasi internal perusahaan yang dapat menyebabkan penyalahgunaan informasi.

Sehingga risiko ini dapat menghambat hampir seluruh aktivitas perusahaan.

1 4 4

RS008 Tidak Adanya Jadwal Audit dan Maintenance Sistem dan Infrastruktur

Pemanfaatan teknologi informasi untuk mendukung proses bisnis dan perubahan strategi perusahaan harus didukung dengan pengadaan audit dan maintenance sistem dan infrastruktur secara berkala.

Terlebih perusahaan memiliki banyak cabang yang tersebar di seluruh Indonesia. Jika audit dan maintenance sistem dan

infrastruktur tidak dilakukan maka penerapan teknologi informasi pada kantor cabang tidak terawasi, mengalami kerusakan sistem dan infrastruktur yang fatal, sehingga dapat menyebabkan gagalnya strategi perusahaan yang menyebabkan kerugian. Terlebih karena pandemi Covid-19 yang menyebabkan audit sempat terhenti beberapa saat. Dan juga terdapat temuan pada ruang server kantor cabang, banyak aset yang sudah tidak digunakan menumpuk dan kabel server yang tergeletak di lantai tanpa alas/meja.

Kerusakan infrastruktur dan seluruh aset perusahaan. Dampak terberat dari risiko ini adalah dapat menghambat hampir seluruh aktivitas perusahaan.

4 4 16

RS009 Tidak Adanya Dokumentas i

(Sistem/Apli kasi/Progra m serta Audit Manajemen Risiko Perusahaan)

Dengan penggunaan teknologi informasi pada proses bisnis, perusahaan perlu memiliki dokumentasi terkait

sistem/aplikasi/program (fungsi, cara penggunaan, dan lain sebagainya), audit dan manajemen risiko perusahaan. Sehingga nantinya dapat mempermudah dalam pengecekan kembali dan pemahaman fitur-fitur aplikasi (UI/UX dan fungsi), serta lebih terorganisir dan terencana.

Kerusakan aset perusahaan berupa tidak adanya dokumentasi terkait aset perusahaan yang dapat berdampak pada sulitnya pengecekan kembali riwayat kerusakan, perbaikan, dan fungsi aset. Sehingga hal ini menghambat proses bisnis karena harus memeriksa terlebih dahulu tidak langsung dilihat pada riwayatnya dan kesulitan dalam hal

pengembangan, sehingga sebagian aktivitas terganggu.

2 3 6

RS010 Inovasi Teknologi Tidak Terupdate

Perubahan strategi perusahaan untuk memanfaatkan TI

memerlukan perusahaan untuk terus berinovasi pada teknologi. Hal ini berguna agar perusahaan tidak tertinggal oleh zaman yang cepat modern dengan mempermudah pekerjaan dengan modal sedikit.

Kerusakan aset perusahaan terutama aset perangkat keras yang

mengalami penurunan performa.

Sehingga membuat aktivitas perusahaan sedikit terhambat, namun aktivitas utama tidak terganggu.

1 2 2

*) Note :

L: Likelihood ; I: Impact ; RV: Risk Value.

3.3.3 Evaluasi Risiko

Setelah melakukan identifikasi dan analisis risiko yang menghasilkan nilai likelihood, impact dan risk value, peneliti melakukan evaluasi risiko untuk mengetahui level risiko dan menentukan risiko yang perlu ditangani secepatnya. Evaluasi risiko ini dilakukan dengan pemetaanlikelihood dan impact dari masing-masing risiko berdasarkan matriks evaluasi risiko yang telah ditentukan sebelumnya. Hasil pemetaan evaluasi risiko tersebut dapat dilihat pada Tabel 6.

Tabel 6. Matriks Evaluasi Risiko PT Bayu Buana Tbk (Cabang Cilegon)

Likelihood

Certain 5 (5) (10) (15) (2) RA005, RS001 &

RS002

(25)

Likely 4 (4) (8) (12) RM001 (16) RS004, RS005, RS006 & RS008

(2)

Possible 3 (3) (6) (9) RM002 (12) RA006 (15) RA001

Unlikely 2 (2) (4) (6)RM004&RS009 (8) (10) RA004

Rare 1 (1) (2)RS010 (3)RM003&RS003 (4) RM005 & RS007 (5)RA002&RA003 Matriks

Evaluasi Risiko

1 2 3 4 5

Insignificant Minor Moderate Major Catastrophic

Impact

3.4 Perlakuan Risiko

Berdasarkan hasil pemetaan evaluasi risiko dengan matriks pada tahap sebelumnya, ditemukan tingkatan level pada tiap risiko. Selain itu, berdasarkan hasil perhitungan perkalian likelihood dan impact yang telah dilakukan pada tahapan analisis risiko, ditemukan risk value yang berfungsi untuk mengurutkan risiko tertinggi hingga terendah pada level-nya masing-masing. Dari hasil tersebut, peneliti menentukan rekomendasi/saran perlakuan risiko (Tabel 7) berpedoman pada penyebab dan dampak risiko. Sehingga diharapkan dapat membantu perusahaan dalam mencapai visi dan misi-nya walaupun melakukan perubahan strategi bisnis.

Tabel 7. Perlakuan/Saran Penanganan Risiko Kode

Risiko

Kategori Level

Risiko Perlakuan Risiko

RA005 High Risk (20)

Menjaga kebersihan kantor dan rutin membersihkan debu yang menempel pada perangkat dan server (terutama pada bagian kipas) secara berkala (untuk PC seminggu sekali dan laptop sebulan sekali), dan meletakkan server dan perangkat pada ruangan sejuk/dingin yang memiliki sirkulasi udara yang baik (ruangan dengan pendingin udara/air conditioner sangat disarankan)

RS001 High Risk (20)

Menggunakan UPS (Uninterruptible Power Supply) dan Generator Set sesuai dengan kebutuhan perusahaan. Penggunaan UPS dan Genset secara bersamaan ini memiliki fungsi agar perangkat tidak ikut mati karena adanya UPS dan saat UPS hidup maka Genset harus segera dihidupkan. Karena waktu yang diberikan UPS hanya sebentar untuk mematikan perangkat secara benar dan diperlukan waktu yang cukup lama untuk menghidupkan Genset. Oleh karena itu, penggunaan UPS bersamaan dengan Genset sangat disarankan.

RS002 High Risk (20) Melapor kepada pihak penyedia layanan internet dan jika masih bermasalah setelah beberapa kali pelaporan, maka dapat mengganti ISP yang lebih baik.

RS004 High Risk (16) Melapor kepada kantor pusat, sehingga dapat diberikan penyelesaian dan pusat melakukan pemeriksaan dan maintenance secara terjadwal.

RS005 High Risk (16) Melapor kepada kantor pusat, sehingga dapat diberikan penyelesaian dan pusat melakukan pemeriksaan dan maintenance secara terjadwal.

RS006 High Risk (16) Melapor kepada provider agar dapat membuka akses dan melapor kepada pusat, agar dapat melakukan perbaikan dan koordinasi dengan provider. Sehingga website tidak dianggap sebagai spam.

RS008 High Risk (16)

Melakukan penjadwalan audit dan maintenance sistem dan infrastruktur rutin setiap bulan, per kuartal, dua kali setahun atau setahun sekali. Agar sistem dan infrastruktur kantor cabang dapat diawasi sehingga meminimalisir terjadinya risiko baru dan mencegah terjadinya kerusakan yang fatal.

RA001 High Risk (15)

Memahami status peringatan dini dari BMKG, selalu mengamankan aset perusahaan (data pada cloud, hardware pada tempat yang aman, dan software dalam server terpusat dan tersedia cadangan), dan memberikan pemahaman kepada SDM terkait evakuasi mandiri.

RA006 Medium Risk (12)

Menjaga kebersihan area kantor terutama area ruang server, menata perangkat yang tidak digunakan serta meletakkan perangkat/kabel server pada alas/meja, dan menutup jendela/celah tempat tikus dapat masuk.

RM001 Medium Risk (12)

Mengadakan pelatihan untuk SDM, membentuk SOP perusahaan, menanamkan visi dan misi perusahaan serta kesadaran pentingnya komunikasi dan koordinasi pada SDM, melakukan perekrutan karyawan baru sesuai standar dan kebutuhan perusahaan, membagi tugas secara adil, dan mengadakan gathering dan rapat harian.

RA004 Medium Risk (10) Selalu mengamankan/backup aset perusahaan, memasang deteksi api pada gedung menyediakan alat pemadam kebakaran, dan memberikan pemahaman cara mengatasi dan evakuasi kebakaran pada SDM.

RM002 Medium Risk (9) Memberikan pelatihan untuk menanamkan ketelitian dan memberikan teguran lisan atau tulisan jika terlalu sering melakukan kesalahan.

RM004 Medium Risk (6) Memberikan SOP perusahaan terkait penggunaan hardware di dalam dan luar kantor. Agar tidak dapat digunakan selain karyawan dan tidak mengakses selain keperluan kantor.

RS009 Medium Risk (6) Selalu membuat dokumentasi sistem/aplikasi/program serta audit manajemen risiko perusahaan.

RA002 Medium Risk (5) Memberikan pemahaman terkait evakuasi mandiri, memantau status peringatan dini dari BMKG, dan selalu mengamankan/backup aset perusahaan.

RA003 Medium Risk (5) Memberikan pemahaman terkait evakuasi mandiri, memahami status peringatan dini dari pemerintah setempat, dan selalu mengamankan/backup aset perusahaan.

RM005 Medium Risk (4) Menjaga hubungan baik dengan pihak ketiga. Jika kinerja pihak ketiga tidak baik, lakukan pemutusan hubungan kerja dengan baik.

RS007 Medium Risk (4)

Menetapkan SOP terkait hardware yang dapat dibawa keluar kantor, meningkatkan keamanan perusahaan dengan memasang CCTV pada ruangan yang perlu pengawasan (contoh: ruang server dan di depan pintu masuk), selalu melakukan backup data pada cloud/eksternal (harddisk), meningkatkan keamanan sistem dan perusahaan, memberikan batasan hak akses, memberikan pemahaman kepada karyawan untuk berhati-hati dalam mengunduh dokumen dan mengakses link, menggunakan antivirus, firewall, dan internet security, dan melakukan maintenance secara berkala serta segera melaporkan kepada kantor pusat terkait kerusakan perangkat agar segera diperbaiki.

RM003 Low Risk (3) Menutup hak akses mantan karyawan, salah satunya dengan mengganti password secara berkala.

RS003 Low Risk (3) Menyediakan dan menambah kapasitas penyimpanan internal, eksternal (harddisk), maupun cloud agar daya tampung lebih banyak dan optimal. Serta melakukan pengecekan penyimpanan secara berkala.

RS010 Low Risk (2)

Melapor kepada kantor pusat jika terdapat penurunan performa pada teknologi (hardware dan software), sehingga nantinya pusat akan mengupdate teknologi. Serta kantor pusat pun harus terus update terhadap perkembangan teknologi saat ini agar dapat berinovasi sesuai dengan kebutuhan perusahaan.

4. KESIMPULAN

Berdasarkan hasil analisis manajemen risiko teknologi informasi pada PT Bayu Buana Tbk (Cabang Cilegon) yang dilakukan oleh peneliti dengan menggunakan framework ISO 31000:2018 dan berdasarkan hasil wawancara dengan narasumber terkait kejadian yang pernah terjadi, hasil observasi lapangan serta dokumen/catatan perusahaan, ditemukan 21 kemungkinan risiko yang dapat terjadi dan mengancam 3 jenis aset perusahaan (aset data, software, dan hardware) yang terlibat dalam perubahan strategi bisnis yaitu penerapan TI dalam proses bisnis di tengah pandemi Covid-19. Dari 21 kemungkinan yang diidentifikasi berdasarkan 3 faktor risiko (faktor alam dan lingkungan, manusia, serta sistem dan infrastruktur) tersebut, ditemukan 8 risiko yang berada pada kategori level tinggi, yaitu debu/kotoran (RA005), pemadaman listrik (RS001), koneksi internet bermasalah (RS002), server bermasalah (RS004), aplikasi/aset software (website/portal) perusahaan bermasalah (crash/lambat/tidak dapat diakses) (RS005), website portal perusahaan tidak dapat diakses oleh provider tertentu (RS006), tidak adanya jadwal audit dan maintenance sistem dan infrastruktur (RS008), dan gempa bumi (RA001), 10 risiko yang berada pada kategori level sedang, yaitu tikus/binatang lainnya (RA006), kurangnya SDM dalam segi kuantitas, kualitas, kepatuhan, serta komunikasi dan koordinasi SDM antar divisi (RM001), kebakaran (RA004), human error (RM002), penyalahgunaan hardware (RM004), tidak adanya dokumentasi (sistem/aplikasi/program serta audit manajemen risiko perusahaan) (RS009), tsunami (RA002), bencana industri (RA003), permasalahan dengan pihak ketiga penyedia infrastruktur dan aset perusahaan (RM005), dan aset (data, hardware, software) hilang/dicuri dan rusak (terdampak cyber crime, terorisme, penyalahgunaan hak akses, dan pembajakan lainnya serta terinfeksi virus, malware, dan sebagainya (RS007), dan 3 risiko yang berada pada kategori level rendah, yaitu mantan karyawan masih memiliki akses informasi perusahaan (RM003), overcapacity data (RS003), dan inovasi teknologi tidak terupdate (RS010). Sehingga berdasarkan hasil analisis tersebut, dapat disimpulkan bahwa adanya perubahan strategi bisnis dengan penerapan TI di tengah kondisi pandemi Covid-19 membawa dampak positif yang mendukung visi dan misi perusahaan. Selain itu, hasil analisis juga dapat membuktikan bahwa pada kantor cabang Cilegon sudah menerapkan TI dengan baik. Namun, PT Bayu Buana Tbk harus tetap meminimalisir dampak risiko terutama pada risiko level tinggi dan sedang, yang terfokus pada audit dan maintenance sistem (data, jaringan internet, software dan server), infrastruktur (gedung dan hardware), dan karyawan pada kantor cabang (diutamakan) dan kantor pusat. Serta tetap menjaga level risiko yang sudah berada pada level rendah. Untuk dapat meminimalisir dampak risiko tersebut, perusahaan dapat menimbang kembali dan menjalankan rekomendasi saran yang telah diusulkan oleh peneliti.

Selain itu, perusahaan juga dapat melakukan monitoring serta review pada manajemen risiko (terutama kantor cabang) secara berkala dan terjadwal. Hal ini dilakukan agar nantinya, PT Bayu Buana Tbk dapat mempertahankan eksistensi dan mencapai visi misi dengan perubahan strategi bisnis-nya (penerapan TI), meskipun terombang-ambing dalam kondisi pandemi Covid-19.

REFERENCES

[1] P. B. Buana Tbk, “Annual Report: Reformulating Strategies, Overcoming Challenges,” Jakarta, 2020. [Online]. Available:

www.bayubuanatravel.com

[2] F. M. Hutabarat and A. D. Manuputty, “Analisis Resiko Teknologi Informasi Aplikasi VCare PT Visionet Data Internasional Menggunakan ISO 31000,” J. Bina Komput., vol. 2, no. 1, pp. 52–65, 2020.

[3] K. Mey, L. Lole, and E. Maria, “Analisis Manajemen Risiko Pada Aplikasi Pegadaian Digital Service Menu Tabungan Emas Menggunakan ISO 31000:2018,” J. Sist. Komput. dan Inform. Hal 319−, vol. 3, no. 3, pp. 319–324, 2022, doi:

10.30865/json.v3i3.3891.

[4] A. Y. Apriono and A. F. Wijaya, “Analisis Risiko Teknologi Informasi pada Program Sistem Terintegrasi Menggunakan ISO 31000 di PT Krakatau Daya Listrik Cilegon,” JSII AISINDO, 2019.

[5] D. Prabowo and A. F. Wijaya, “Risk Management Analysis on KKM LKF FTI UKSW Website Using ISO 31000 Framework,”

J. Inf. Syst. Informatics, vol. 4, no. 1, pp. 65–76, 2022.

[6] L. Muniroh, Y. Rahayu, A. Sirojun, M. N. Rabbani, E. Yusril, and I. S. Rozas, “Analisis Level Risiko Pada Garuda Jaya Garment Menggunakan ISO 31000,” Manajerial J. Manaj. dan Sist. Inf., vol. 19, no. 1, pp. 13–23, 2020.

[7] W. Harefa and K. D. Hartomo, “Analisis Manajemen Risiko Dengan Menggunakan Framework ISO 31000: 2018 Pada Sistem Informasi Gudang,” JATISI (Jurnal Tek. Inform. dan Sist. Informasi), vol. 9, no. 1, pp. 407–420, 2022.

[8] Y. Erlika, M. I. Herdiansyah, and A. H. Mirza, “Analisis IT Risk Management di Universitas Bina Darma Menggunakan ISO31000,” J. Inform. Glob., vol. 11, no. 1, pp. 55–62, 2020.

[9] R. P. Pangestu and A. F. Wijaya, “Analisis Manajemen Risiko Aplikasi SINTESA Pada Perpustakaan XYZ,” J. Bina Komput., vol. 2, no. 2, pp. 1–14, 2020.

[10] S. A. Atmojo and A. D. Manuputty, “Analisis Manajemen Risiko Teknologi Informasi Menggunakan ISO 31000 Pada Aplikasi AHO Office,” JATISI (Jurnal Tek. Inform. dan Sist. Informasi), vol. 7, no. 3, pp. 546–558, 2020.

[11] E. Saputra, C. Rudianto, and P. F. Tanaem, “Analisis Resiko Sistem Informasi Penjualan Berbasis ISO 31000: Study Kasus PT XYZ,” J. Pengemb. Sist. Inf. dan Inform., vol. 3, no. 1, pp. 1–10, 2022.

[12] D. Junianti and C. Fibriani, “Analisis Resiko Aplikasi Sistem Informasi Pengelolaan Data Umat Menggunakan ISO 31000 (Studi Kasus: Gereja Katolik Santo Paulus Miki Salatiga),” J. Comput. Inf. Syst. Ampera, vol. 2, no. 2, pp. 107–128, 2021.

[13] A. N. Rilyani, Y. F. A. Wibowo, and D. D. J. Suwawi, “Analisis Risiko Teknologi Informasi Berbasis Risk Management Menggunakan ISO 31000 (Studi Kasus: i-Gracias Telkom University),” eProceedings Eng., vol. 2, no. 2, pp. 6201–6208, 2015.

[14] S. P. Zagoto and M. N. N. Sitokdana, “Analisis Risiko Teknologi Informasi Di Organisasi XYZ Cabang Salatiga Menggunakan ISO 31000,” Mnemon. J. Tek. Inform., vol. 4, no. 1, pp. 1–9, 2021.

[15] A. S. Budi, Y. Sugiarti, and M. Ak, “Analisis Risk Management Berbasis ISO 31000 Untuk Mengurangi Wanprestasi Kontrak Pada CV. Putra Pertama di Surabaya,” Calyptra J. Ilm. Mhs. Univ. Surabaya, vol. 3, no. 1, pp. 1–8, 2014.

[16] S. Agustinus, A. Nugroho, and A. D. Cahyono, “Analisis risiko teknologi informasi menggunakan ISO 31000 pada program HRMS,” J. RESTI (Rekayasa Sist. dan Teknol. Informasi), vol. 1, no. 3, pp. 250–258, 2017.

[17] I. Setiawan, A. R. Sekarini, R. Waluyo, and F. N. Afiana, “Manajemen Risiko Sistem Informasi Menggunakan ISO 31000 dan Standar Pengendalian ISO/EIC 27001 di Tripio Purwokerto,” MATRIK J. Manajemen, Tek. Inform. dan Rekayasa Komput., vol. 20, no. 2, pp. 389–396, 2021, doi: 10.30812/matrik.v20i2.1093.

[18] L. E. Hutagalung, “Analisa Manajemen Risiko Sistem Informasi Manajemen Rumah Sakit (SIMRS) Pada Rumah Sakit XYZ Menggunakan ISO 31000,” TeIKa J. Teknol. Inf. dan Komun., vol. 12, no. 1, pp. 23–33, 2022.

[19] F. A. Alfian, M. H. Sulaiman, P. Z. Barliena, A. Dewima, H. F. Muhtadin, and I. S. Rozas, “Manajemen risiko pada laboratorium integrasi universitas islam negeri sunan ampel surabaya menggunakan iso 31000,” J. Manaj., vol. 12, no. 1, pp. 56–67, 2020.

[20] N. M. Putri, S. Widaningrum, and M. Rendra, “Usulan Treatment Risiko Menggunakan Risk Assessment Berdasarkan Iso 31000:

2018 Pada Proses Produksi Brownies Original Di CV XYZ Untuk Memenuhi Persyaratan Iso 9001: 2015 Klausul 6.1,”

eProceedings Eng., vol. 6, no. 2, pp. 7628–7636, 2019.

[21] V. P. P. Wijaya, “Manajemen Risiko Teknologi Informasi Pada BTSI UKSW Menggunakan ISO 31000: 2018,” JATISI (Jurnal Tek. Inform. dan Sist. Informasi), vol. 9, no. 2, pp. 1295–1307, 2022.

[22] D. L. Ramadhan, R. Febriansyah, and R. S. Dewi, “Analisis Manajemen Risiko Menggunakan ISO 31000 pada Smart Canteen SMA XYZ,” JURIKOM (Jurnal Ris. Komputer), vol. 7, no. 1, pp. 91–96, 2020.

[23] L. J. Susilo and V. R. Kaho, Manajemen Risiko Berbasis ISO 31000:2018: Panduan untuk Risk Leaders dan Risk Practitioners.

Jakarta: PT Gramedia Widiasarana Indonesia, 2018. [Online]. Available:

https://books.google.co.id/books?hl=id&lr=&id=4mZwDwAAQBAJ&oi=fnd&pg=PP1&dq=leo+j+susilo&ots=ffoLOLO3G_

&sig=ZQ88xvBstWu1Qtm_9T-qjMoBXXE&redir_esc=y#v=onepage&q&f=false

[24] A. Zainal, Metodologi Penelitian pada Bidang Ilmu Komputer dan Teknologi Informasi; Konsep, Teknik, dan Aplikasi. Depok:

Fakultas Ilmu Komputer Universitas Indonesia, 2007. [Online]. Available: http://eprints.peradaban.ac.id/200/