Embed Size (px)
Citation preview
BAB 2
LANDASAN TEORI
2.1 Teori Umum
2.1.1 Pengertian Sistem
Menurut O’Brien (2008,p24), didefinisikan sistem sebagai
sekumpulan komponen yang saling berhubungan dengan batasan yang
jelas, bekerja bersama untuk mencapai tujuan bersama dengan menerima
input serta menghasilkan output dalam proses transformasi teratur.
Sistem mempunyai tiga fungsi dasar, yaitu :
a. Input, merupakan bagian yang merakit berbagai elemen yang
dimasukkan ke dalam sistem untuk diproses.
b. Proses, merupakan bagian yang melakukan transformasi yang
mengubah input menjadi output.
c. Output, merupakan bagian yang meliputi perpindahan elemen yang
telah diproduksi oleh proses transformasi ke tujuan akhirnya.
2.1.2 Pengertian Teknologi
Menurut Miarso (2007, p62), teknologi adalah proses yang
meningkatkan nilai tambah, proses tersebut menggunakan atau
menghasilkan suatu produk , produk yang dihasilkan tidak terpisah dari
produk lain yang telah ada, dan karena itu menjadi bagian integral dari
suatu sistem.
10
11
Menurut Ellul dalam Miarso (2007, p131), Teknologi adalah
keseluruhan metode yang secara rasional mengarah dan memiliki ciri
efisiensi dalam setiap bidang kegiatan manusia.
2.1.3 Pengertian Informasi
Menurut Kelly Rainer (2011, p10), informasi adalah data yang
telah diolah menjadi sebuah bentuk yang berarti bagi penerimanya dan
bermanfaat dalam pengambilan keputusan saat ini atau saat mendatang.
Definisi tersebut merupakan definisi informasi dalam pemakaian system
informasi.
2.1.4 Pengertian Sistem Informasi
Menurut Kelly Rainer (2011, p10), sistem informasi merupakan
kombinasi teratur apa pun dari orang-orang, hardware, software, jaringan
komunikasi, dan sumber daya data yang mengumpulkan, mengubah, dan
menyebarkan informasi dalam sebuah organisasi.
2.1.5 . Pengertian Teknologi Informasi
Menurut O’brien (2007, p6) teknologi informasi adalah hardware,
software, telekomunikasi, manajemen database, dan teknologi
pemrosesan informasi lainnya yang digunakan dalam sistem informasi
berbasis komputer.
12
2.1.6 Infrastruktur Teknologi Informasi
2.1.6.1 Hardware
Menurut O’Brien (2007, p6), Hardware mencakup semua
peralatan fisik yang digunakan dalam pemrosesan informasi. Hardware
berkaitan dengan peralatan keras dengan media komunikasi, yang
menghubungkan berbagai jaringan, dan memproses paket-paket data
sehingga transmisi data menjadi lebih efektif.
2.1.6.2 Software
Menurut O’Brien (2007, p104), software meliputi semua
rangkaian perintah pemrosesan informasi. Konsep umun software ini
meliputi tidak hanya rangkaian perintah informasi yang disebut program
dengan hardware komputer pengendalian dan langsung, tapi juga
rangkaian perintah pemrosesan informasi yang disebut prosedur yang
dibutuhkan orang-orang.
2.1.7 Jaringan
Menurut Kelly Rainer dan Casey (2011, p507), sebuah jaringan
computer terdiri atas media komunikasi peralatan-peralatan dan software
yang dibutuhkan untuk menghubungkan dua atau lebih sistem komputer
dan peralatan. Ada 2 ukuran jaringan yang umum, yaitu LAN (Local
Area Networks) dan WAN (Wide Area Networks). MAN (Metropolitan
Area Network) berada diantara dua ukuran tersebut. LAN
menghubungkan dua atau lebih alat komunikasi sampai 2000 kaki.
13
Sehingga setiap pengguna alat dalam jaringan memiliki potensi untuk
berkomunikasi dengan alat lainnya. WAN termasuk jaringan regional
yang terdiri atas kumpulan telepon atau jaringan internasional seperti
penyedia layanan komunikasi global, mungkin milik komersial, swasta,
atau publik.
2.1.8 Internet, Intranet, dan Ekstranet
Menurut McLeod dan Schell (2007, p117), internet adalah
jaringan komputer yang tumbuh cepat dan terdiri dari jutaan jaringan
perusahaan, pendidikan, serta pemerintah yang menghubungkan ratusan
juta komputer, serta pemakaian lebih dari dua ratus Negara.
Menurut McLeod dan Schell (2007, p117), intranet adalah
jaringan dalam organisasi yang menggunakan teknologi internet (seperti
server, browser web, protokol jaringan, TCP/IP, database publikasi
dokumen Hipermedia HTML, dan lain-lain) untuk menyediakan
lingkungan yang mirip dengan internet di dalam perusahaan untuk
memungkinkan saling berbagi informasi, komunikasi, kerjasama, dan
dukungan bagi proses bisnis.
Menurut McLeod dan Schell (2007, p117), ekstranet adalah
hubungan jaringan yang menggunakan teknologi internet untuk saling
menghubungkan intranet bisnis dengan intranet pelanggannya, supplier
dan mitra bisnis lainnya.
14
2.1.9 Pengertian Firewall
Menurut O’brien (2007, p458) firewall adalah sebuah sistem atau
perangkat yang mengizinkan pergerakan lalu lintas jaringan yang
dianggap aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak
aman. Metode penting yang digunakan untuk mengendalikan dan
mengamankan internet dan berbagai macam jaringan merupakan
kegunaan dari firewall. Firewall dapat disebut sebagai “gatekeeper” atau
penjaga pintu gerbang, yang melindungi internet, perusahaan dan
jaringan computer lainnya dari penyusup. Firewall pada umumnya juga
digunakan untuk mengontrol akses terhadap siapapun yang memiliki
akses terhadap jaringan pribadi dari pihak luar.
2.1.10 Pengertian Down Time
Menurut Brian K. Williams (2009, p. 141) Downtime merupakan
istilah yang merujuk kepada periode dimana sebuah sistem tidak dapat
berfungsi, tidak dapat menyediakan, atau tidak dapat melakukan fungsi
utamanya. Sistem tersebut tidak dapat digunakan karena adanya
gangguan hardware, software, ataupun komunikasi.
2.1.11 Pengertian Virus
Menurut O’brien (2007, p446), salah satu contoh kejahatan
komputer yang paling bersifat merusak adalah virus komputer atau yang
biasa disebut dengan worm. Virus adalah istilah yang paling popular,
secara teknis, virus adalah kode program yang tidak dapat bekerja tanpa
15
disertai atau dimasukkan kedalam program yang lainnya. Worm sendiri
merupakan program yang berbeda yang dapat berjalan tanpa bantuan.
Dapat disimpulkan bahwa virus adalah program yang bersifat
merusak dan akan aktif dengan bantuan orang dan tidak dapat
mereplikasi sendiri, penyebarannya karena dilakukan oleh orang, seperti
copy file, biasanya melalui attachment email, game, program bajakan dan
lain-lain.
2.1.12 Pengertian Server
Menurut O’brien (2007, p190), server diartikan sebagai komputer
yang mendukung aplikasi dan telekomunikasi dalam jaringan, serta
pembagian peralatan peripheral, software dan database di antara
berbagai terminal kerja dalam jaringan, dan yang kedua diartikan sebagai
versi software untuk pemasangan server jaringan uang di desain untuk
mengendalikan dan mendukung aplikasi pada mikro komputer klien
dalam jaringan klien atau server.
2.1.13 Pengertian Switch
Menurut Brian K. Williams (2009, p. 147) Switch adalah sebuah
alat jaringan yang melakukan bridging (penjembatan) transparan
(penghubung segementasi banyak jaringan dengan forwarding
berdasarkan alamat MAC). Switch merupakan penghubung beberapa alat
untuk membentuk suatu Local Area Network (LAN). Switch jaringan
dapat digunakan sebagai penghubung komputer atau router pada satu
16
area yang terbatas, switch juga bekerja pada lapisan data link, cara kerja
switch hampir sama seperti bridge, tetapi switch memiliki sejumlah port
sehingga sering dinamakan multi-port bridge.
2.1.14 Pengertian Router
Menurut Brian K. Williams (2009, p. 148) Router adalah sebuah
alat jaringan komputer yang mengirimkan paket data melalui sebuah
jaringan atau internet menuju tujuannya, melalui sebuah proses yang
dikenal sebagai routing. Router berfungsi sebagai penghubung antar dua
atau lebih jaringan untuk meneruskan data dari satu jaringan ke jaringan
lainnya.
2.1.15 Pengertian Prosedur
Menurut O’brien (2007, p564), prosedur adalah satu set yang
terdiri dari berbagai instruksi yang digunakan oleh orang-orang untuk
menyelesaikan suatu tugas. Dan menurut Steve Flick dalam artikel
Writing Policies and Procedures (2011), prosedur adalah proses yang
didokumentasikan. Jadi dapat disimpulkan bahwa prosedur adalah
serangkaian aksi yang spesifik, tindakan atau operasi yang harus
dijalankan atau dieksekusi dengan cara yang sama agar selalu
memperoleh hasil yang sama dari keadaan yang sama. Lebih tepatnya,
kata ini bisa mengindikasikan kegiatan, tugas-tugas, langkah-langkah,
proses-proses yang dijalankan.
17
2.1.16 Teori Flowchart
Menurut Jogiyanto (2007, p672), Bagan alir (flowchart) adalah
bagan (chart) yang menunjukkan alir (flow) di dalam program atau
prosedur sistem secara logika.
Menurut Jogiyanto (2007, p678), Bagan alir program (program
flowchart) merupakan bagan alir yang mirip dengan bagan alir sistem,
yaitu untuk menggambarkan prosedur di dalam sistem.
Jadi, dapat disimpulkan bahwa Flowchart adalah penggambaran
secara grafik dari langkah-langkah dan urut-urutan prosedur dari suatu
program. DiagramAlir (Flowchart) digunakan untuk membantu analis
dan programmer untuk memecahkan masalah kedalam segmen-segmen
yang lebih kecil dan membantu dalam menganalisis alternatif-alternatif
lain dalam pengoperasian.
2.1.17 Teori Rich Picture
Menurut penelitian dari Stenlund dalam Using Grounded Theory
Methodology and Rich Picture Diagrams in Analyzing Value Creation in
Houses of Culture Projects in Sweden, vol. 3, special issue no. 1 2010 (p.
18), “That’s rich picture diagrams are tools suitable for analyzing
complex building process”, yang artinya rich picture adalah alat yang
sesuai untuk menganalisa berbagai pembentukan proses bisnis yang
kompleks.
18
2.1.18 Teori Event Table
Menurut Jones dan Rama (2006,p4), event adalah kejadian
yang terjadi pada suatu waktu tertentu yang terdiri dari satu atau lebih
objek. Dan event table dihasilkan dari aktivitas-aktivitas dari class.
Bagian horizontal berisi class yang terpilih, bagian vertical berisi event-
event.
Jadi dapat disimpulkan bahwa event table adalah suatu proses
mengidentifikasi aktivitas-aktivitas yang terjadi dalam sutau
rangkaian sistem yang berjalan dalam perusahaan.
2.1.19 Teori Overview Activity Diagram
Menurut Jones dan Rama (2006, p61), overview activity diagram
adalah “The overview activity diagram, presents a high-level view of the
business process by documenting the key events, the sequence of these
events, and the information flows among these events”, yang berarti
diagram yang menggambarkan tampilan level tinggi dari proses bisnis
dengan mendokumentasikan event-event yang penting urutannya, dan
informasi yang menyertai event tersebut.
Menurut Jones dan Rama (2006, p65) dalam menyiapkan
overview activity diagram terdapat langkah-langkah sebagai berikut :
a. Membaca narasi dan mengidentifikasi event-event yang penting.
b. Mencatat narasi secara jelas untuk mengidentifikasi event-event yang
terlibat di dalamnya.
19
c. Menggambarkan agent (aktor) yang terlibat dalam proses bisnis yang
terjadi.
d. Membuat diagram event-event dan menunjukkan urutan event yang
terjadi.
e. Menggambarkan dokumen yang dibuat dan digunakan dalam proses
bisnis, serta menggambarkan aliran informasi dari dokumen tersebut.
f. Menggambarkan table files yang dibuat dan digunakan dalam proses
bisnis, serta menggambarkan aliran informasi dari files tersebut.
Jadi, berdasarkan pengertian para ahli yang mempunyai kesamaan
arti, bahwa overview activity diagram adalah sekumpulan aliran aktivitas
yang digambarkan dalam suatu diagram yang dimulai dari proses bisnis
yang penting menuju ke proses bisnis yang biasa secara berurutan.
2.1.20 Teori Sequence Diagram
Menurut Jones dan Rama (2006, p67), Sequence diagam adalah
suatu diagram yang menggambarkan antar objek dan mengindikasikan
komunikasi diantara objek-objek diagram ini juga menunjukkan
serangkaian pesan yang dipertukarkan oleh objek-objek yang melakukan
suatu tugas atau aksi tertentu.
Komponen - Sequence Diagram
a. Actor
Menggambarkan seseorang atau sesuatu (seperti perangkat, sistem
lain) yang berinteraksi dengan sistem.
20
b. Boundary
Mengambarkan interaksi antara satu atau lebih actor dengan sistem,
memodelkan bagian darisistem yang bergantung pada pihak lain
disekitarnya dan merupakan pembatas sistem dengan dunia luar.
c. Control
Menggambarkan “perilaku mengatur”, mengkoordinasikan perilaku
sistem dan dinamika dari suatu sistem, menangani tugas utama dan
mengontrol alur kerja suatu sistem.
d. Entity
Menggambarkan informasi yang harus disimpan oleh sistem (struktur
data dari sebuah sistem)
e. Object Message
Menggambarkan pesan/hubungan antar obyek yang menunjukkan
urutan kejadian yang terjadi
f. Message to Self
Mengambarkan pesan/hubungan obyek itu sendiri, yang menunjukkan
urutan kejadian yang terjadi
g. Return Message
Menggambarkan pesan/hubungan antar obyek, yang menunjukan
urutan kejadian yang terjadi.
h. Lifeline
Eksekusi obyek selama sequence (message dikirim atau diterima dan
aktifasinya).
21
2.2 Teori Khusus
2.2.1 Pengertian Risiko
Menurut A.V. Rameshkumar (2010), risiko didefinisikan sebagai
kemungkinan kerusakan atau kerugian. Risiko juga berarti bahwa pengambil
suatu keputusan telah mengetahui kemungkinan konsekuensi dari keputusan
yang diambil.
2.2.1.1 Macam-macam Risiko
Menurut Djojosoedarso (2005, p3), risiko dapat dibedakan
dengan berbagai macam cara antara lain :
a. Menurut sifat risiko dapat dibedakan ke dalam :
1) Risiko yang tidak disengaja (risiko murni) adalah risiko yang
apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa
disengaja. Misalnya risiko terjadi nya kebakaran, bencana alam,
pencurian, penggelapan, pengacauan, dan sebagainya.
2) Risiko yang disengaja (risiko spekulatif) adalah risiko yang
disengaja ditimbulkan oleh yang bersangkutan, agar terjadinya
ketidakpastian memberikan keuntungan kepadanya, misalnya
risiko utang-piutang, perjudian, perdagangan berjangka (hedging),
dan sebagainya.
3) Risiko fundamental adalah risiko yang menyebabkan tidak dapat
dilimpahkan kepada seseorang dan yang menderita tidak hanya
satu atau beberapa orang saja, tetapi banyak orang, seperti banjir,
angin topan, dan sebagainya.
22
4) Risiko khusus adalah risiko yang bersumber pada peristiwa yang
mandiri dan umumnya mudah diketahui penyebabnya, seperti
kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.
5) Risiko dinamis adalah risiko yang timbul karena perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu
dan teknologi, seperti risiko keusangan dan risiko penerbangan
ruang angkasa. Kebalikannya adalah risiko statis, contohnya
seperti risiko hari tua dan juga risiko kematian.
b. Dapat tidaknya risiko tersebut dialihkan kepada piihak
lain, maka risiko dibedakan ke dalam :
1) Risiko yang dapat dialihkan kepada pihak lain, dengan
mempertanggungkan suatu objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar sejumlah premi asuransi,
sehingga semua kerugian menjadi tanggungan (pindah) pihak
perusahaan asuransi.
2) Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan). Umumnya meliputi semua jenis risiko spekulatif.
c. Menurut Sumber/penyebab timbulnya, risiko dapat
dibedakan ke dalam :
1) Risiko inten yaitu risiko yang berasal dari dalam perusahaan itu
sendiri, seperti kerusakan aktiva karena ulah karyawan,
kecelakaan kerja, kesalahan manajemen, dan sebagainya.
23
2) Risiko ekstern yaitu risiko yang berasal dari luar perusahaan,
sepertu risiko pencurian, penipuan, persaingan, fluktuasi harga,
perubahan kebijakan pemerintah, dan sebagainya.
2.2.1.2 Karakteristik dan Wujud Risiko
Menurut Djojosoedarso (2005, p3), karakteristik risiko
merupakan ketidakpastian atas terjadinya suatu peristiwa dan merupakan
ketidakpastian bila terjadi akan menimbulkan kerugian.
Menurut Djojosoedarso (2005, p3), wujud dari risiko itu dapat
bermacam- macam, antara lain :
a. Berupa kerugian atas harta milik/kekayaan atau penghasilan,
misalnya diakibatkan oleh kebakaran, pencurian, pengangguran dan
sebagainya.
b. Berupa penderitaan seseorang, misalnya sakit/cacat karena
kecelakaan.
c. Berupa tanggung jawab hukum, misalnya risiko dari perbuatan
atau peristiwa yang merugikan orang lain.
d. Berupa kerugian karena perubahan keadaan pasar, misalnya terjadi
perubahan harga, perubahan selera konsumen dan sebagainya.
2.2.1.3 Upaya Penanggulangan Risiko
Menurut Djojosoedarso (2005, p4), upaya-upaya untuk
menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat
dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang
24
terkena risiko, ada beberapa cara yang dapat dilakukan perusahaan untuk
meminimumkan risiko kerugian, antara lain :
a. Melakukan pencegahan dan pengurangan terhadap kemungkinan
terjadinya peristiwa yang menimbulkan kerugian.
b. Melakukan retensi, artinya mentolerir membiarkan terjadinya
kerugian, dan untuk mencegah terganggunya operasi perusahaan
akibat kerugian tersebut disediakan sejumlah dana untuk
menanggulanginya.
c. Melakukan pengenadalian terhadap risiko.
d. Mengalihkan / memindahkan risiko kepada pihak lain.
e. Tugas dari manager risiko adalah berkaitan erat dengan upaya
memilih dan menentukan cara-cara / metode yang paling efisien
dalam penanggulangan risiko yang dihadapi perusahaan.
2.2.2 Risiko Teknologi Informasi
2.2.2.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006, p36), kategori risiko teknologi
informasi antara kehilangan informasi potensial dan pemulihannya,
antara lain :
a. Keamanan
Risiko yang informasinya diubah atau digunakan oleh orang yang
tidak berotoritas. Ini merupakan kejahatan komputer, kebocoran
internal dan terorisme cyber.
25
b. Ketersedian
Risiko yang datanya tidak dapat diakses, seperti setelah kegagalan
sistem, karena kesalahan manusia, perubahan konfigurasi, kurangnya
pengurangan arsitektur atau akibat lainnya.
c. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat dipulihkan
dalam waktu yang cukup setelah sebuah kejadian keamanan atau
ketersediaan seperti kegagalan perangkat lunak atau keras, ancaman
eksternal, atau bencana alam.
d. Performa
Risiko dimana informasi tidak tersedia saat diperlukan yang
diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan
topografi informasi teknologi yang beragam.
e. Daya skala
Risiko perkembangan bisnis, peraturan bottleneck, dan bentuk
arsitekturnya membuat tidak mungkin menangani banyak aplikasi
baru dan biaya bisnis yang efektif.
f. Ketaatan
Risiko yang manajemen atau pengginaan informasinya melanggar
keperluan regulator. Yang dipersalahkan dalam hal ini mencakup
regulasi pemerintah, panduan pengaturann korporat dan kebijakan
internal.
26
2.2.2.2 Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko-risiko teknologi
didefinisikian dalam 7 kelas, dimana pada setiap kasus, teknologi
informasi dapat juga melakukan kesalahan, tetapi konsekuensi-
konsekuensinya dapat berakibat negative bagi bisnis. Kelas – kelas risiko:
a. Projects – failing to deliver
Risiko ini bersangkutan dengan gagalnya suatu proyek TI. Beberapa
contoh dari gagalnya penyampaian proyek adalah: menyelesaikan
proyek yang ada telat/tidak tepat waktunya, sumber daya dan biaya
yang di konsumsi dalam penyelesaian proyek besar sehingga tidak
efisien, mengganggu proses bisnis selama proses implementasi, dan
juga fungsi dari proyek tidak sesuai dengan keinginan yang
diharapkan user.
b. IT service continuity – When Business operations go off the air
Risiko ini berhunbungan dengan pelayanan TI yang ketinggalan
jaman dan tidak dapat diandalkan sehingga menggangu proses bisnis
yang sedang berjalan. Biasanya berhubungan dengan sistem
operasional dan produk perusahaan serta kemampuan mereka untuk
menyediakan kebutuhan dari user.
c. Information assets – failing too protect and preserve
Risiko ini berhubungan khusus dengan kerusakan, kehilangan dan
eksploitasi asset informasi yang ada dalam sistem. Dampaknya bisa
sangat fatal bagi perusahaan, contohnya informasi yang penting bisa
dicuri oleh perusahaan, contohnya informasi yang penting bisa di curi
27
oleh perusahaan competitor, detail dari kartu kredit dapat dilihat oleh
pihak yang tidak berwenang. Sehingga dengan demikian akan
merukak hubungan antara pelanggan dengan perusahaan. Ini tentunya
akan sangat merugikan perusahaan.
d. Service providers and vendors – breaks in the IT value chain
Risiko ini berhubungan dengan kemampuan provider dan vendor.
Bila mereka gagal dalam menyediakan pelayanan yang baik bagi kita,
maka akan berdampak signifikan bagi sistem TI perusahaan. Dampak
lainnya berhubungan dengan dampak jangka panjang seperti
kekurangan dalam penyediaan layanan TI bagi user perusahaan
tersebut.
e. Applications – flaky systems
Risiko ini berhubungan dengan kegagalan aplikasi TI yang
diterapkan. Aplikasi biasanya berindikasi dengan user dan dalam
suatu perusahaan biasanya terdapat kombinasi antara software paket
dan software buatan yang diintigrasikan menjadi satu.
f. Infrastructure – shaky foundations
Risiko ini behubungan dengan kegagalan dalam infrastuktur TI.
Infrastruktur adalah suatu nama umum bagi komputer namun jaringan
yang sedang dipakai dan berjalan diperusahaan tersebut. Di dalam
infrastruktur juga termasuk software, seperti sistem operasi dan
sistem database management. Kegagalan infrastruktur TI bisa bersifat
permanen, ketika suatu komponen terbakar, dicuri, rusak maupun
koneksi jaringannya sedang putus, maka dampak dari kegagalan
28
tersebut tergantung dari ketahanan sistem yang ada. Apabila terdapat
sistem yang tidak kompatibel dengan model yang baru, maka sistem
tersebut perlu diganti. Apabila risiko ini dapat ditangani secara rutin,
maka ini merupakan suatu perencanaan jangka panjang yang baik.
g. Strategic and emergent – disabled by IT
Risiko ini berhubungan dengan kemampuan TI untuk
memberitahukan strategi bisnis yang dilakukan. Dampak-dampak
yang tidak langsung tetapi sangat signifikan dalam pelaksanaan bisnis
secara luas. Risiko merupakan kemampuan dari perusahaan untuk
terus bergerak ke arah visi strategi. Untuk tetap kompetitif diperlukan
kemajuan TI untuk dipahami dan dicocokan dengan potensi
kesempatan eksploitasi bagi bisnis.
2.2.3 Pengukuran Risiko Teknologi Informasi
Berdasarkan penelitian yang kami lakukan, maka ditemukan metode
pengukuran risiko teknologi informasi, yaitu dengan pendekatan FRAP.
2.2.3.1 Pengertian FRAP (Facilitated Risk Analysis Process)
Menurut Thomas R. Peltier (2001, p69), FRAP (Facilitated
Risk Analysis Process) merupakan suatu pendekatan dalam melakukan
analisis risiko kualitatif. Dengan menggunakan FRAP diharapkan proses
analisis risiko dapat dilakukan dalam hitungan hari, bukan mingguan atau
bulanan. Dengan demikian analisis risiko bukan merupakan kendala,
tetapi proses yang sangat mungkin dilakukan dan juga diperlukan. FRAP
29
bukan suatu metodologi, tetapi suatu pendekatan terhadap proses
penentuan risiko dan dampaknya, proses penentuan prioritas, dan proses
penentuan kontrol pengamanan.
2.2.3.2 Komponen Utama dalam FRAP
Menurut Thomas R. Peltier (2001, p72), pendekatan FRAP
(Facilitated Risk Analysis Process) adalah bentuk pendekatan analisis
risiko kualitatif yang paling banyak digunakan saat ini. FRAP terdiri dari
3 komponen utama, diantaranya :
1. Pre-FRAP Meeting
Pre-FRAP meeting ini merupakan kunci sukses dalam suatu proyek.
Pada tahap ini pertemuan biasanya berlangsung sekitar satu jam dan
biasanya dilakukan di kantor klien.
Ada 5 komponen utama yang muncul dari sesi ini :
a. Scope Statement
Pemimpin proyek dan manajer bisnis membuat pernyataan
mengenai peluang-peluang yang ada untuk kemudian ditinjau.
b. Visual Model
Pembuatan diagram proses (gambaran) mengenai pernyataan
ruang lingkup untuk ditinjau kembali.
c. Team Members
Membangun tim FRAP yang terdiri atas 7 – 15 orang anggota
yang berhubungan dengan sistem yang terkait.
30
d. Meeting Mechanics
Manager bisnis bertanggung jawab dalam menyediakan ruangan
meeting, menyusun jadwal, dan juga menyiapkan bahan-bahan
yang dibutuhkan.
e. Agreement of Definition
Dalam sesi pre-FRAP dibutuhkan persetujuan terhadap definisi
FRAP. Persetujuan tersebut haruslah berdasarkan pada adanya
risk, control, impact, dan vulnerability. Selama sesi pre-FRAP
sangatlah penting untuk mendiskusikan ancaman utama dalam
proses bisnis.
2. FRAP Session
Pada tahap ini pertemuan biasanya berlangsung selama empat jam.
Komponen-komponen yang muncul dari tahap ini diantaranya adalah:
a. Identified Risks
Mengidenifikasi risiko yang mungkin terjadi pada sistem bisnis
perusahaan.
b. Priotized Risks
Menentukan risiko utama dari semua risiko yang mungkin
terjadi (yang memilki ancaman terbesar).
c. Suggested Controls
Memberikan solusi pengendalian untuk meminimalisir risiko dan
juga ancaman yang mungkin terjadi.
31
Definisi-definisi dalam tahap ini yang harus dipahami diantaranya
adalah :
a. High Vulnerability : tingkat kelemahan yang sangat besar yang
ada di dalam sistem atau operasional perusahaan dan berpotensi
berdampak pada proses bisnis secara signifikan sehingga
kontrol harus ditingkatkan.
b. Medium Vulnerability : ada beberapa kelemahan dan berpotensi
berdampak pada proses bisnis secara signifikan, kontrol dapat
dilakukan dan harus ditingkatkan.
c. Low Vulnerability : sistem sudah dibangun dengan baik dan
dioperasikan dengan benar. Tidak ada kontrol tambahan yang
dibutuhkan untuk mengurangi kerentanan.
d. Severe Impact (High) : cenderung menempatkan perusahaan di
luar dari bisnis atau sangat merusak prospek usaha dan
pembangunan.
e. Significant Impact (Medium) : akan menyebabkan kerusakan
yang signifikan dan biaya, namun perusahaan akan bertahan.
f. Minor Impact (Low) : operasional yang diharapkan mampu
dikelola sebagai bagian dari business life cycle.
Berikut merupakan Matriks Prioritas dalam menganalisa aksi dan
kontrol yang harus diimplementasikan berdasarkan tipe tinggi atau
rendahnya dampak bisnis dan tingkat kerentanan yang dapat terjadi pada
sistem perusahaan.
32
Gambar 2.1 Matriks Prioritas
Keterangan:
A – tindakan korektif harus diterapkan
B – tindakan perbaikan yang diusulkan
C – membutuhkan pemantauan
D – tidak ada tindakan yang diperlukan
Setelah tahapan pertama dari FRAP session ini telah selesai, maka
tim akan berlanjut melaksanakan tahapan kedua dari FRAP Session,
yaitu :
a) Mengidentifikasi kontrol yang ada
b) Menentukan kontrol terhadap risiko high-level (dalam hal ini
risiko yang memiliki prioritas A dan B), yang belum memiliki
kontrol sebelumnya.
c) Memilih kelompok atau orang yang bertanggung jawab untuk
mengimplementasikan rekomendasi kontrol yang diusulkan
sebelumnya.
33
3. Post FRAP Meeting
Pada tahap ini pertemuan biasanya berlangsung sekitar 10 hari dan
memiliki tiga elemen, yaitu :
a. Creation on the Cross-References Sheet
Membuat cross-reference sheet berdasarkan table risiko dan table
kontrol untuk mengidentifikasi pengendalian yang cocok dengan
risiko yang teridentifikasi.
b. Creation on the Action Plan
Untuk mendapatkan laporan lengkap, project leader dan fasilitator
harus membuat action plan (rencana aksi), yaitu dengan
menggabungkan risiko dari risk list dengan kontrol yang disarankan
dari control list, dengan tujuan mengetahui tindakan apa yang
dilaksanakan dan oleh siapa dilaksanakan, serta status dari rencana
aksi tersebut agar dapat membantu perusahaan dalam melaksanakan
penetapan kontrol yang diusulkan.
2.2.3.3 Tahapan FRAP
Tahapan di dalam FRAP, yaitu :
1. The Pre FRAP Meeting
a. Menjelaskan mengenai proses FRAP dan komponen sistem
yang akan dianalisis.
b. Menentukan ruang lingkup
c. Menggambarkan ruang lingkup dalam bentuk diagram
34
d. Menentukan tim-tim yang akan ikut serta dalam proses
FRAP
e. Menentukan waktu, ruang dan berbagai kebutuhan lainnya
yang dibutuhkan selama meeting berlangsung.
f. Persetujuan terhadap definisi.
2. The FRAP Session
a. Logistic : perkenalan anggota FRAP
b. Overview pernyataan ruang lingkup (visual model) dan
persetujuan definisi.
c. Proses Brainstorming dilakukan dengan memberi
kesempatan kepada tiap anggota tim untuk menulis risiko
yang mungkin dari sistem yang didiskusikan pada selembar
kertas kecil. Setelah 5 menit, fasilitator akan mengumpulkan
kertas tersebut dan proses tersebut diulang sampai tidak ada
risiko yang dapat teridentifikasi lagi.
d. Kemudian fasilitator akan menyortir dan mengumpulkan
risiko yang serupa serta menempelkannya pada papan.
Sementara anggota tim lainnya diberi kesempatan untuk
break selama 10-15menit.
e. Proses dilanjutkan dengan menentukan prioritas dari risiko
yang telah diidentifikasikan berdasarkan criteria dan juga
definisi yang telah disepakati pada sesi Pre-FRAP Meeting.
f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari
aset yang mempunyai risiko tinggi. Cara yang dilakukan
35
dapat seperti pada cara penentuan risiko (sample priority
matrix) atau dengan cara memberikan daftar kontrol
pengamanan yang biasa digunakan dalam sistem yang
sejenis dan meinta tim untuk memilih kontrol pengamanan
yang cocok serta menentukan orang yang berhak atau wajib
melakukan kontrol tersebut.
3. The Post FRAP Meeting
a. Membuat cross-references sheet yang berisikan masing-
masing kontrol dan risiko-risiko apa saja yang dapat
berkurang sebagai akibat dari pelaksanaan kontrol tersebut.
b. Project leader dan fasilitator akan melihat kontrol mana saja
yang sudah diterapkan pada risiko yang ada.
c. Project leader dan fasilitator akan bertemu dengan manajer
bisnis untuk meninjau ulang dan mengidentifikasi kontrol
apa saja yang dapat digunakan untuk mengatasi risiko-risiko
yang masih terbuka.
d. Membuat action plan untuk risiko-risiko yang masih terbuka
dan risiko-risiko yang akan diimplementasikan kontrolnya.
Project leader, fasilitator dan manajer bisnis menentukan
kontrol apa saja yang paling efektif dan menentukan pihak
mana saja yang akan mengimplementasikan kontrol tersebut
beserta dengan tanggal pelaksanaannya.
36
e. Setelah risiko tersebut telah dikontrol atau ternyata manajer
bisnis telah mengidentifikasikan bahwa risiko tersebut dapat
diterima maka final report akan dibuat.
2.2.3.4 Populasi dan Sampel
2.2.3.4.1 Populasi
Menurut Suharsini Arikunto (2010, p.173) Populasi
adalah keseluruhan subjek penelitian. Apabila seseorang ingin
meneliti semua elemen yang ada dalam wilayah penelitian, makan
penelitiannya merupakan penelitian populasi. Studi atau
penelitiannya juga disebut studi populasi atau studi sensus.
2.2.3.4.2 Sampel
Menurut Suharsini Arikunto (2010, p.174) Sampel
adalah sebagian atau wakil populasi yang diteliti. Dinamakan
penelitian sample apabila kita bermaksud untuk
menggeneralisasikan hasil penelitian sampel. Dengan rumus
Jacob Cohen :
N = L + u + 1 f2
Dengan keterangan :
37
N = Ukuran Sampel
f2 = Efek Size
U = Banyaknya ubahan yang terkait dalam penelitian
L = Fungsi power dari U, diperoleh dari tabel, t.s. 1%
