BAB 2 LANDASAN TEORI 2.1 Teori-Teori Umum...
Transcript of BAB 2 LANDASAN TEORI 2.1 Teori-Teori Umum...
9
BAB 2
LANDASAN TEORI
2.1 Teori-Teori Umum
2.1.1 Pengertian Informasi
Menurut Whitten, Bentley, dan Dittman (2004, p27), informasi
merupakan data yang diproses atau diorganisasikan ke dalam suatu bentuk
yang memiliki arti untuk seseorang. Informasi dibentuk dari berbagai
kombinasi data yang diharapkan dapat memberikan makna bagi
penerimanya.
Menurut McLeod (2008, p15), informasi adalah data yang telah
diproses atau data yang memiliki arti.
Menurut O’Brien (2005, p703), informasi adalah data yang ditempatkan
dalam konteks yang berarti dan berguna bagi pemakai akhir.
Jadi, informasi adalah data yang telah diolah, menjadi bentuk yang
mempunyai arti dan dapat bermanfaat bagi pengambilan keputusan saat ini
dan masa yang akan datang.
2.1.2 Pengertian Teknologi Informasi
Menurut Williams, dan Sawyer (2005, p3), teknologi informasi
merupakan sebuah bentuk umum yang menggambarkan setiap teknologi
yang membantu menghasilkan, memanipulasi, menyimpan,
mengkomunikasikan, dan/atau menyampaikan informasi.
10
Menurut Turban, Rainer dan Potter (2009, p6), “Information technology
relates to any computer-based to that people use to work with information
and to support the information and information processing needs of an
organization”. Yang diartikan sebagai berikut : teknologi informasi
berkaitan dengan segala sesuatu yang berbasis komputer yang digunakan
orang-orang untuk melakukan pekerjaannya yang berhubungan dengan
informasi untuk mendukung dan mengolah informasi tersebut sesuai dengan
kebutuhan perusahaan.
Dari kedua pengertian di atas dapat disimpulkan bahwa teknologi
informasi merupakan alat-alat atau perangkat komputer yang digunakan oleh
sebuah organisasi melalui proses menerima, mengelolah, serta menyimpan
informasi perusahaan yang mendukung kinerja sistem informasi.
2.1.3 Infrastruktur Teknologi Informasi
Menurut Potter (2007, p6), “Information technology infrastructure is
the physical facilities, IT components, IT services, and IT personel that
support the entire organization”.
Yang diartikan : infrastuktur teknologi informasi pada sebuah organisasi
terdiri dari perangkat fisik berupa IT components, IT services, dan IT
management yang mendukung keseluruhan organisasi. IT components terdiri
dari hardware, software, dan teknologi komunikasi yang digunakan oleh
personel teknologi informasi menghasilkan IT services. IT services meliputi
manajemen data.
11
2.1.3.1 Hardware
Menurut O’Brein (2005, P702), hardware adalah :
1. Mesin dan media.
2. Perlengkapan fisik, kebalikan dari program komputer atau metode
penggunaan.
3. Peralatan mekanis, magnetis, elektrik, elektronik, atau optikal.
Menurut Turban, Rainer dan Potter (2005, p37), “Hardware is a
set of devices such as a processor, monitor, keyboard, and printer.
Together these devices accept data and information, process them,
and display them”. Yang diartikan : hardware adalah satu set
perangkat seperti prosesor, monitor, keyboard, dan printer. Dimana
secara bersama-sama perangkat ini akan dapat menerima data dan
informasi, memproses, dan memproduksi informasi yang telah
diolah.
Dari pernyataan di atas dapat disimpulkan bahwa hardware
adalah seperangkat peralatan fisik komputer yang membentuk suatu
sistem dengan segala perlengkapannya.
Hardware terdiri dari 5 kategori, yaitu:
1. Input device, adalah peralatan yang digunakan untuk menginput
informasi dan perintah yang terdiri dari keyboard, mouse,
touchscreen, game controller, dan barcode reader.
2. Output device, adalah peralatan yang digunakan untuk melihat,
mendengar, atau sebaliknya mengenali hasil dari permintaan
proses informasi yang terdiri dari printer, monitor dan speaker.
12
3. Storage device, adalah peralatan yang digunakan untuk
menyimpan informasi yang digunakan di lain waktu, terdiri atas
primary storage dan secondary storage, seperti hard disk, flash
disk, memory card, dan DVD.
4. CPU dan RAM. CPU adalah hardware yang mengartikan dan
menjalankan sistem serta instruksi-instruksi aplikasi software
dan mengatur pengoperasian dari keseluruhan hardware. RAM
adalah sebuah kawasan sementara untuk informasi yang bekerja
seperti halnya sistem dan aplikasi software yang dibutuhkan oleh
CPU sekarang ini.
5. Telecomunication device, adalah peralatan yang digunakan untuk
mengirim dan menerima informasi dari orang atau komputer lain
dalam satu jaringan.
2.1.3.2 Software
Menurut O’Brien (2005, p713), software adalah program dan
prosedur komputer yang berkaitan dengan operasi sistem informasi.
Menurut Turban, Rainer dan Potter (2005, p37), Software is a
set of programs that enable the hardware to process data. Yang
diartikan seperti berikut : software adalah seperangkat program yang
memungkinkan perangkat keras untuk memproses data.
Dapat disimpulkan bahwa software merupakan instruksi-
instruksi, program, dan prosedur komputer yang saling berkaitan
untuk menyelesaikan tugas tertentu.
13
Ada 2 tipe utama software, yaitu:
1. Application software, memungkinkan untuk menyelesaikan
masalah-masalah spesifik atau menampilkan tugas-tugas
spesifik.
1. System software, menangani tugas-tugas spesifik untuk
mengelola teknologi dan mengatur interaksi dari keseluruhan
peralatan teknologi. Di dalam system software terdapat operating
system software dan utility software. Operating system software
adalah software system yang mengendalikan application
software dan mengelola bagaimana peralatan hardware bekerja
secara bersama. Sedangkan utility software adalah software yang
menyediakan tambahan fungsionalitas untuk mengoperasikan
system software seperti anti-virus, screensavers, disk
optimization.
1.1.3.3 Jaringan Komputer
Menurut O’Brien (2006, p276), ada berbagai jenis jaringan yang
berfungsi sebagai infrastruktur telekomunikasi untuk internet serta
intranet dan ekstranet perusahaan berbasis internet. Akan tetapi, dari
sudut pandang pemakai akhir, hanya ada beberapa tipe dasar, seperti
jaringan area luas dan jaringan area lokal, serta jaringan rekan-ke-
rekan, klien/server, dan komputasi jaringan.
14
1.1.3.3.1 Jenis-Jenis Jaringan Komputer
Berdasarkan rentang geografis yang dapat di cakup
oleh suatu jaringan, jaringan komputer terbagi menjadi tiga
jenis, yaitu :
a. LAN (Local Area Network)
LAN digunakan untuk menghubungkan komputer
yang berada di dalam suatu area yang kecil, misalnya
di dalam suatu gedung perkantoran atau kampus. Jarak
antar komputer yang di hubungkan bisa mencapai 5-10
km. Suatu LAN biasanya bekerja pada kecepatan
mulai 10-100 Mbps. LAN menjadi popular karena
memungkinkan banyak pengguna untuk memakai
sumber daya yang dapat digunakan itu misalnya
mainframe, file server, printer dan sebagainya.
b. MAN ( Metropolitan Area Network)
MAN merupakan suatu jaringan yang cakupannya
meliputi suatu kota. MAN menghubungkan LAN-
LAN yang lokasinya berjauuhan. Jangkauan MAN
mencapai 10 km sampai beberapa ratus km. Suatu
MAN biasanya bekerja pada kecepatan 1,5-150 Mbps.
c. WAN ( Wide Area Network)
WAN dirancang untuk menghubungkan komputer-
komputer yang terletak pada suatu cakupan geografis
yang luas, seperti hubungan dari suatu kota ke kota
15
lain di dalam suatu negara. Cakupan WAN bisa
meliputi 100-1000 km, dan kecepatan antar kota bisa
bervariasi antara 1,5 Mbps sampai 2,4 Gbps. Dalam
biaya peralatan untuk transmisi sangat tinggi, biasanya
jaringan WAN dimiliki dan di operasikan sebagai
suatu jaringan public.
Beberapa contoh dari jaringan komputer adalah :
a. Internet
Menurut Sawyer, Williams (2007, p11), “Internet is a worldwide
computer network that connects hundrers of thousands of smaller
network. These network link educational, commercial, nonprofit,
and military entities, as well as individuals.” Jadi internet adalah
sebuah jaringan komputer seluruh dunia yang menghubungkan
ratusan ribu jaringan yang lebih kecil. Jaringan ini menyajikan
pendidikan, komersial, tidak mencari keuntungan, dan entittas
militer, sebaik individu.
b. Intranet
Menurut Sawyer, Williams (2007, p319), “ Intranets for internal
use only is an organization’s internal private network that uses the
infrastructure and standards of the internet and the web” Jadi
hanya untuk penggunaan internal yang merupakan jaringan
internal pribadi menggunakan infrastruktur dan standar dari
internet dan web.
c. Ekstranet
16
Menurut Sawyer, Williams ( 2007, p 320) “Extranet for certain
considers are private intranets that connect not only internal
personnel but also selected suppliers and other strategic parties.”
Jadi ekstranet adalah untuk orang luar tertentu dari intranet pribadi
yang menghubungkan tidak hanya personil internal tetapi juga
supplier tertentu dan kelompok strategis lainnya.
1.1.4 Pengertian Data
Menurut McLeod (2001, p12), data terdiri dari fakta-fakta dan angka-
angka yang relative tidak berarti bagi pemakai. Sedangkan menurut O’brien
(2006, p38), data adalah observasi mentah, yang biasanya mengenai
fenomena fisik atau transaksi bisnis.
Dari kedua teori di atas, dapat disimpulkan bahwa definisi data adalah
observasi mentah yang terdiri atas fakta-fakta dan angka-angka mengenai
transaksi bisnis yang tidak berarti bagi pemakai jika belum dikelola.
1.1.5 Unified Modeling Language (UML)
Menurut Jones dan Rama (2008, p111), unified modeling language
(UML) merupakan suatu bahasa pemodelan untuk menyebutkan,
memvisualisasikan, membuat dan mendokumentasikan sistem informasi.
UML dikembangkan sebagai suatu alat untuk analisis berorientasi objek dan
desain tetapi dapat juga digunakan untuk memahami dan
mendokumentasikan berbagai sistem informasi.
17
Salah satu jenis UML adalah UML activity diagram yang merupakan
suatu diagram untuk menunjukkan urutan aktivitas dalam suatu proses. UML
activity diagram terdiri dari :
1. Overview Activity Diagram (OAD), yaitu suatu diagram aktivitas UML
yang menyajikan gambaran tingkat tinggi dari proses bisnis dengan
mendokumentasikan kejadian-kejadian penting, urutan kejadian dan
aliran informasi antar kejadian.
2. Detailed Activity Diagram (DAD), yaitu suatu diagram aktivitas UML
yang menyediakan penyajian terperinci dari aktivitas yang berhubungan
dengan satu atau dua kejadian yang disajikan dalam overview activity
diagram.
Simbol-simbol yang digunakan dalam UML activity diagram, yaitu :
Simbol Keterangan
Awal dari suatu proses
Akhir dari suatu proses
Event
Garis lanjut dari satu event ke event lain
Alur informasi di antara event
Dokumen
18
Swimlane / garis pisah antar agent
File di komputer
Jika terdapat suatu kondisi
Tabel 2.1 Simbol-simbol yang Digunakan Dalam UML
1.1.6 Pengertian Firewall
Menurut O’Brien (2007, p458), firewall adalah sebuah sistem atau
perangkat yang mengizinkan pergerakan lalu lintas jaringan yang dianggap
aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman.
Firewall merupakan metode penting yang digunakan untuk mengendalikan
dan mengamankan internet serta berbagai macam jaringan. Firewall dapat
disebut juga sebagai “gatekeeper” atau penjaga pintu gerbang, yang
melindungi internet dan jaringan komputer lainnya dari intrusi atau
penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses
terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak
luar.
1.1.7 Pengertian Virus
Menurut O’brien (2007, p446), salah satu contoh kejahatan komputer
yang paling bersifat merusak adalah virus komputer. Virus adalah istilah
yang paling popular. Secara teknis, virus adalah kode program yang tidak
19
dapat bekerja tanpa disertai atau dimasukkan ke dalam program yang
lainnya.
Worm sendiri merupakan program yang berbeda yang dapat berjalan
sendiri tanpa bantuan. Menurut Turban, Rainer dan Potter (2005, p385),
“Worm is a program that replicates itself and penetrates a valid computer
system”. Worm dapat mereplikasi dirinya sendiri, tanpa melalui suatu media
transmisi seperti e-mail, pesan instan, internet relay chat, koneksi jaringan,
dan lain-lain.
Menurut Turban, Rainer dan Potter (2005, p385), “Virus is secret
instruction inserted into programs (or data) that are innocently run during
ordinary tasks. The secret instruction may destroy or alter data, as well as
spread within or between computer systems”. Yang diartikan : virus adalah
instruksi rahasia yang dimasukkan ke dalam sebuah program (atau data)
yang dijalankan seperti biasanya. Instruksi rahasia ini dapat merusak atau
mengubah data, serta menyebar di dalam atau diantara sistem komputer.
Dapat disimpulkan bahwa virus adalah program yang bersifat merusak
dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri,
penyebarannya karena dilakukan oleh orang lain, seperti copy file, biasanya
melalui attachment email, game, program bajakan, dan lain-lain.
1.1.8 Pengertian Vulnerability
Menurut Thomas R. Peltier (2005, p218), “A vulnerability is defined as
a flaw in security procedures, software, internal system controls, or
implementation of system that may affect the integrity, confidentiality,
20
accountability, or availability of data or services. Vulnerabilities include
flaws that may be deliberately exploited and those that may cause failure
due to inadvertent human actions or natural disasters.” Yang diartikan:
vulnerability didefinis ikan sebagai sebuah kecacatan dalam prosedur
keamanan, perangkat lunak, sistem pengendalian internal, atau penerapan
sistem yang mempengaruhi integrity, confidentiality, accountability, atau
availability data atau layanan. Vulnerability termasuk kekurangan yang
mungkin sengaja dimanfaatkan dan dapat menyebabkan kegagalan karena
tingkah manusia secara tidak sengaja ataupun karena bencana alam.
Menurut SANS institute (2007, p3), “Vulnerability is a flaw or
weakness in system security procedures, design, implementation, or internal
controls that could be exercised (accidentally triggered or intentionally
exploited) and result in a security breach or a violation of the system’s
security policy”. Yang artinya : vulnerability adalah sebuah kecacatan atau
kelemahan dalam prosedur keamanan, perancangan, penerapan, atau internal
kontrol sistem yang dapat dieksekusi (secara sengaja dipicu atau
dimanfaatkan) dan mengakibatkan pelanggatan terhadap keamanan atau
kebijakan keamanan sistem.
Jadi dapat disimpulkan bahwa vulnerability adalah kelemahan atau
kerentanan dalam prosedur keamanan, perancangan, dan penerapan sebuah
sistem ataupun pada pengendalian internal yang bisa mempengaruhi
confidentiality, integrity, dan availability dari data atau informasi.
21
1.1.9 Pengertian Threat
Menurut Thomas R. Peltier (2005, p161), “Threat is potential events
that have a negative impact on the business objectives or mission statement
of the enterprise”. Yang diartikan : threat adalah sebuah kejadian yang
berpotensi memiliki dampak negatif terhadap tujuan bisnis atau pernyataan
misi perusahaan.
Menurut Maiwald (2003, p145), “Threat is an action or event that might
violate the security of an information systems environment and three
components of threat are targets, agents, and events”. Artinya ialah : threat
adalah sebuah tindakan atau peristiwa yang mungkin melanggar lingkungan
sistem keamanan informasi dan tiga komponen threat, yaitu targets, agents,
dan events.
Jadi, menurut pengertian di atas dapat disimpulkan bahwa threat adalah
sebuah potensi serangan atau ancaman terhadap kemanan yang ada ketika
terdapat suatu keadaan yang memungkinkan, aksi, atau kejadian yang dapat
menembus keamanan dan dapat menyebabkan kerusakan. Sebuah threat
adalah kemungkinan bahaya yang timbul karena adanya kelemahan pada
sistem. Threat dapat bersumber dari internal maupun eksternal perusahaan
dan akan selalu ada dalam setiap sistem atau aset.
2.1.10 Pengertian Risiko
Menurut Thomas R. Peltier (2001, p72), “Risk is a potential event that
will have a negative impact on the business objectives or mission of the
enterprise”. Yang artinya : risiko adalah sebuah kejadian yang berpotensial
22
memiliki dampak negatif terhadap tujuan bisnis perusahaan atau misi dari
sebuah perusahaan.
Menurut Turban, Rainer dan Potter (2005, p381), “Risk is a likelihood
that a threat will materialize”. Yang diartikan : risiko adalah sebuah
kemiungkinan bahwa ancaman (threat) akan muncul atau terjadi.
Dari definisi tersebut dapat disimpulkan bahwa risiko selalu
dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan dan
tidak diduga/tidak diinginkan.
2.1.11 Macam-macam Risiko
Menurut Gondodiyoto (2009, p110), dari berbagai sudut pandang, risiko
dapat dibedakan dalam beberapa jenis, yaitu:
1. Risiko bisnis, adalah risiko yang dapat disebabkan oleh faktor-faktor
intern maupun ekstern yang berakibat kemungkinan tidak tercapainya
tujuan organisasi.
2. Risiko bawaan, adalah potensi kesalahan atau penyalahgunaan yang
melekat pada suatu kegiatan, jika tidak ada pengendalian intern.
3. Risiko pengendalian, adalah masih adanya risiko meskipun sudah ada
pengendalian.
4. Risiko deteksi, adalah risiko yang terjadi karena prosedur audit yang
dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup
materialistis atau adanya kemungkinan fraud.
5. Risiko audit, adalah risiko bahwa hasil pemeriksaan auditor sebelumnya
ternyata belum dapat mencerminkan keadaan yang sesungguhnya.
23
Menurut Djojosoedarso (2005, p3), risiko dapat dibedakan dengan
berbagai macam cara, antara lain :
1. Menurut sifatnya, risiko dapat dibedakan ke dalam :
a. Risiko yang tidak disengaja (risiko murni), adalah risiko yang
apabila terjadi, tentu menimbulkan kerugian dan terjadinya tanpa
disengaja.
b. Risiko yang disengaja (risiko spekulatif), adalah risiko yang sengaja
ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian
memberikan keuntungan kepadanya.
c. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat
dilimpahkan kepada seseorang dan yang menderita tidak hanya satu
atau beberapa orang saja, tetapi banyak orang.
d. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang
mandiri dan umumnya mudah diketahui penyebabnya.
e. Risiko dinamis, adalah risiko yang timbul karena perkembangan
dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan
teknologi, seperti risiko penerbangan luar angkasa. Dan
kebalikannya disebut risiko statis, seperti risiko hari tua, risiko
kematian, dan sebagainya.
2. Dapat-tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko
dapat dibedakan ke dalam :
a. Risiko yang dapat dialihkan kepada pihak lain, dengan
mempertanggungkan suatu objek yang akan terkena risiko kepada
perusahaan asuransi, dengan membayar sejumlah premi asuransi,
24
sehingga semua kerugian menjadi tanggungan pihak perusahaan
asuransi.
b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat
diasuransikan); umumnya meliputi semua jenis risiko spekulatif.
3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam :
a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu
sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri,
kecelakaan kerja, kesalahan manajemen, dan sebagainya.
b. Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, seperti
risiko pencurian, penipuan, persaingan, fluktasi harga, perubahan
kebijakan pemerintah, dan sebagainya.
Menurut Gondodiyoto (2006, p303), ancaman utama terhadap keamanan
dapat bersifat karena alam, manus ia, yang bersifat kelalaian atau
kesenjangan, antara lain:
1) Ancaman kebakaran
Beberapa pelaksanaan keamanan untuk ancaman kebakaran, yaitu:
a. Memiliki alat pemadam kebakaran otomatis dan tabung pemadam
kebakaran.
b. Memiliki pintu/tangga darurat.
c. Melakukan pengecekan rutin dan pengujian terhadap sistem
perlindungan kebakaran untuk dapat memastikan segala sesuatunya
telah dirawat dengan baik.
2) Ancaman banjir
Beberapa pelaksanaan keamanan untuk ancaman banjir, yaitu:
25
a. Usahakan bahan untuk atap, dinding dan lantai yang tahan air.
b. Semua material aset sistem informasi diletakkan di tempat yang
tinggi.
c. Perubahan tegangan sumber energi.
d. Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan
sumber energi listrik, misalnya dengan menggunakan stabilizer atau
power supply (UPS).
3) Kerusakan struktural
Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural
misalnya dengan memilih lokasi perusahaan yang jarang terjadi gempa,
angin ribut, banjir, dan sebagainya.
4) Penyusup
Pelaksanaan keamanan untuk mengantisipasi penyusup adalah
penempatan penjaga dan penggunaan alarm ataupun kamera pengawas.
5) Virus
Pelaksanaan keamanan untuk mengantisipasi virus, antara lain:
a. Preventive, seperti menginstal anti-virus dan melakukan update
anti-virus secara rutin.
b. Detective, misalnya melakukan scan file sebelum digunakan.
c. Corective, misalnya memastikan backup data bebas virus,
pemakaian anti-virus terhadap file yang terinfeksi.
6) Hacking
Beberapa pelaksanaan keamanan untuk mengantisipasi hacking, yaitu:
26
a. Penggunaan logical control, seperti penggunaan password yang
sulit ditebak.
b. Petugas keamanan secara teratur memonitor sistem yang digunakan.
2.1.12 Upaya Penanggulanggan Risiko
Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara
yang dapat dilakukan untuk mengurangi risiko kerugian, antara lain:
a. Melakukan pencegahan dan pengurangan terhadap kemungkinan
terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun
gedung dengan bahan-bahan yang tidak mudah terbakar, memagari
mesin-mesin untuk menghindari kecelakaan kerja, dan sebagainya.
b. Melakukan retensi, yaitu mentolerir atau membiarkan terjaadinya
kerugian untuk sementara, dan untuk mencegah terganggunya operasi
perusahaan akibat kerugian tersebut, disediakan sejumlah dana untuk
menanggulanginya.
c. Melakukan pengendalian terhadap risiko, contohnya melakukan hedging
(perdagangan berjangka) untuk menanggulanggi risiko kelangkaan dan
fluktasi harga bahan baku/pembantu yang diperlukan.
d. Mengalihkan atau memindahkan risiko kepada pihak lain, yaitu dengan
cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan
asuransi terhadap risiko tertentu, dengan membayar sejumlah premi
asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan
mengganti kerugian apabila betul terjadi kerugian yang sesuai dengan
perjanjian.
27
2.1.13 Risiko Teknologi Informasi
2.1.13.1 Kategori Risiko Teknologi Informasi
Menurut Hughes (2006), dalam penggunaan teknologi
informasi berisiko terhadap kehilangan informasi dan
pemulihannya yang tercakup dalam 6 kategori, yaitu:
1. Keamanan
Risiko dimana informasi diubah atau digunakan oleh orang
yang tidak berwenang. Misalnya saja kejahatan komputer,
kebocoran internal dan terorisme cyber.
2. Ketersediaan
Risiko dimana data tidak dapat diakses, misalnya setelah
kegagalan sistem, karena kesalahan manusia (human error),
perubahan konfigurasi, dan kurangnya penggunaan arsitektur.
3. Daya pulih
Risiko dimana informasi yang diperlukan tidak dapat
dipulihkan dalam waktu yang cukup setelah terjadinya
kegagalan dalam software atau hardware, ancaman eksternal,
dan bencana alam.
4. Performa
Risiko dimana informasi tidak tersedia saat diperlukan, yang
diakibatkan oleh arsitektur terdistribusi, permintaan yang
tinggi dan topografi informasi teknologi yang beragam.
5. Daya Skala
28
Risiko dimana perkembangan bisnis, pengaturan kemacetan
dan bentuk arsitektur membuat tidak mungkin menangani
banyak aplikasi baru dan biaya bisnis secara efektif.
6. Ketaatan
Risiko dimana manajemen atau penggunaan informasi
melanggar keperluan dari pihak pengatur. Hal ini mencakup
aturan pemerintah, panduan pengaturan perusahaan dan
kebijakan internal.
2.1.13.2 Kelas-kelas Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p49), risiko-risiko
teknologi didefinisikan dalam 7 kelas. Dimana pada setiap kasus,
teknologi informasi dapat juga melakukan kesalahan, tetapi
konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis.
Kelas-kelas risiko yaitu:
1. Projects-failing to deliver.
Risiko ini bersangkutan dengan gagalnya suatu proyek TI.
Beberapa contoh dari gagalnya penyampaian proyek adalah
telat menyelesaikan proyek atau tidak pada waktunya, sumber
daya dan biaya yang dikonsumsi dalam penyelesaian proyek
besar sehingga tidak efisien, menganggu proses bisnis selama
proses implementasi, dan juga fungsi dari proyek tidak sesuai
dengan keinginan yang diharapkan oleh user.
2. IT service continuity-when business operations go off the air.
29
Risiko ini berhubungan dengan pelayanan TI yang
ketinggalan zaman dan tidak dapat diandalkan sehingga
mengganggu proses bisnis yang sedang berjalan. Biasanya
berhubungan dengan sistem operasional dan produksi
perusahaan serta kemampuan mereka untuk menyediakan
kebutuhan user.
3. Information assets-failing to protected and preserve.
Risiko ini berhubungan khusus dengan kerusakan, kehilangan,
dan eksploitasi asset informasi yang ada dalam sistem.
Dampaknya bisa sangat fatal bagi perusahaan, misalnya saja
informasi yang penting bisa dicuri oleh perusahaan
kompetitor, detail kartu kredit bisa dilihat oleh pihak yang
tidak berwenang, sehingga dengan demikian akan merusak
hubungan antara pelanggan dengan perusahaan dan tentunya
akan sangat merugikan perusahaan.
1. Service providers and vendors-breaks in the IT value chain.
Risiko yang berhubungan dengan kemampuan dari provider
dan vendor. Bila mereka gagal dalam menyediakan pelayanan
yang baik, maka akan berdampak significant bagi sistem TI
perusahaan. Dampak lainnya berhubungan dengandampak
jangka panjang seperti kekurangan dalam penyediaan layanan
TI bagi user perusahaan tersebut.
2. Applications-flaky systems.
30
Risiko yang berhubungan dengan kegagalan aplikasi TI yang
diterapkan. Aplikasi biasanya berinteraksi dengan user dalam
suatu perusahaan, biasanya terdapat kombinasi antara
software paket dan software buatan yang diintegrasikan
menjadi satu.
3. Infrastructure-shaky foundations
Risiko ini berhubungan dengan kegagalan dalam infrastruktur
IT. Kegagalan ini bisa bersifat permanen. Ketika suatu
komponen terbakar, dicuri, rusak, maupun koneksi jaringan
terputus, maka dampak dari kegagalan tersebut tergantung
dari ketahanan sistem yang ada. Jika risiko ini dapat ditangani
secara rutin maka itu merupakan perencanaan jangka panjang
yang baik.
7. Strategic and energent-disabled by IT.
Risiko ini berhubungan dengan kemampuan TI untuk
memberitahukan status bisnis yang dilakukan. Dampak-
dampak yang tidak langsung tetapi sangat signifikan dalam
pelaksanan bisnis secara luas. Risiko merupakan kemampuan
perusahaan untuk terus bergerak maju ke arah visi strategi,
untuk tetap kompetitif diperlukan kemajuan IT untuk
memahami dan dicocokkan dengan potensi kesempatan
eksploitasi bisnis.
31
2.1.14 Pengertian Manajemen Risiko
Menurut Siahaan (2007, p22), manajemen risiko adalah suatu proses
dengan metode-metode tertentu supaya suatu organisasi mempertimbangkan
risiko yang dihadapi setiap kegiatan organisasi dalam mencapai tujuan
organisasi, atau risiko portofolio kegiatan organisasi.
Menurut Djojosoedarso (2005, p2), manajemen risiko merupakan
berbagai cara penanggulan risiko.
Menurut Trieschman, Hoyt, Sommer (2005, p11), “Risk management is
the process used to systematically manage risk exposures”. Yang artinya
adalah : manajemen risiko adalah proses yang digunakan untuk mengolah
pemaparan risiko secara sistematik.
Fokus manajemen risiko adalah mengenal secara pasti risiko dan
mengambil tindakan tepat terhadap risiko. Tujuannya adalah secara terus
menerus menambah nilai maksimum dalam semua kegiatan operasional.
Dengan manajemen risiko diungkap pemahaman tentang adanya potensi
risiko upside dan downside dengan segala faktor-faktor yang dapat
meningkatkan probabilitas keberhasilan, dan mengurangi probabilitas
kegagalan atau ketidakpastian dalam pencapaian tujuan organisasi secara
keseluruhan.
Oleh karena itu, dapat dikatakan bahwa setiap orang harus selalu
berusaha untuk mencegah terjadinya risiko, artinya bahwa adanya upaya
untuk meminimumkan risiko yang terjadi. Dan pencegahan risiko tersebut
dapat dilakukan dengan berbagai cara.
32
2.1.15 Fungsi-fungsi Pokok Manajemen Risiko
Menurut Djojosoedarso (2005, p14), fungsi pokok manajemen risiko
terdiri dari:
1. Menemukan kerugian potensial
Artinya, berupaya untuk menemukan dan mengidentifikasi seluruh
risiko murni yang dihadapi perusahaan, yang meliputi :
a. Kerusakan fisik dari harta kekayaan perusahaan.
b. Kehilangan pendapatan atau kerugian lainnya akibat terganggunya
operasi perusahaan.
c. Kerugian akibat adanya tuntutan hukum dari pihak lain.
d. Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan
kriminal lainnya, dan ketidakjujuran karyawan.
e. Kerugian-kerugian yang timbul akibat karyawan kunci (key men)
meninggal dunia, sakit atau cacat.
2. Mengevaluasi kerugian potensial
Melakukan evaluasi dan penilaian terhadap semua kerugian potensial
yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini meliputi
perkiraan mengenai :
a. Besarnya kemungkinan frekuensi terjadinya kerugian, artinya
memperkirakan jumlah kemungkinan terjadinya kerugian selama
suatu periode tertentu atau beberapa kali terjadinya kerugian selama
suatu periode tertentu.
b. Besarnya bahaya pada tiap-tiap kerugian, artinya menilai besarnya
kerugian yang diderita, yang biasanya dikaitkan dengan besarnya
33
pengaruh kerugian tersebut, terutama terhadap kondisi finasial
perusahaan.
3. Memilih cara yang tepat atau menentukan suatu kombinasi dari
teknik-teknik yang tepat guna menanggulangi kerugian.
Pada pokoknya, ada empat cara yang dapat dipakai untuk
menanggulangi risiko, yaitu mengurangi kesempatan terjadinya risiko,
meretensi, mengasuransikan, dan menghindari. Tugas dari manajer risiko
adalah memilih satu cara yang paling tepat untuk menanggulangi risiko yang
ada.
2.1.16 Tahapan Manajemen Risiko Teknologi Informasi
Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen
risiko terdiri dari beberapa tahap yang ditempatkan dengan cara yang
berbeda untuk jenis risiko yang berbeda. Tahap-tahap tersebut terdiri dari:
1. Pengenalan/penemuan – menaruh risiko teknologi informasi pada radar
manajemen.
2. Penilaian/analisis – mengerti risiko teknologi informasi dalam konteks
keseluruhan risiko teknologi informasi dan menilai kemungkinan
munculnya serta pengaruhnya pada bisnis.
3. Perawatan – menentukan pilihan terbaik dari beberapa langkah tindakan
yang memungkinkan untuk mengatasi risiko, merencanakan dan
menyelesaikan tidakan yang diperlukan.
34
4. Pengamatan dan peninjauan – menindaklanjuti untuk memastikan apa
yang direncanakan itu dikerjakan dan mengerti perubahan yang ada
pada risiko teknologi informasi.
2.1.17 FRAP (Facilitated Risk Analysis Process)
2.1.17.1 Pengertian FRAP
Menurut Peltier (2001, p69), “FRAP (Facilitated Risk Analysis
Process) was develop as an efficient and disciplined process for
ensuring that information security-related risks to business
operations are considered and documented”. Yang artinya : FRAP
dikembangkan sebagai sebuah proses yang efisien dan terdisiplin
untuk memastikan bahwa informasi yang berhubungan dengan
keamanan risiko operasi bisnis telah dipertimbangkan dan
didokumentasikan.
FRAP adalah suatu pendekatan terstruktur (metodologi)
terhadap proses penentuan risiko dan dampaknya, proses penentuan
prioritas, dan proses penentuan kontrol pengamanan.
Selama sesi FRAP, tim mengidentifikasi ancaman potensial,
kerentanan dan dampak negatif pada integritas data, kerahasiaan
dan ketersediaan. Dengan menggunakan FRAP diharapkan proses
analisis risiko dapat dilakukan dalam hitungan hari, bukan
mingguan atau bulanan sehingga analisis risiko bukan merupakan
kendala, tetapi proses yang sangat mungkin dilakukan (feasible) dan
perlu (enabler).
35
2.1.17.2 Kebutuhan FRAP
Sebelum pembangunan FRAP, analisis risiko sering dianggap
sebagai tugas utama yang dibutuhkan perusahaan untuk
mempekerjakan konsultan luar dan dapat memakan waktu yang
panjang. Dimana proses analisis risiko menggunakan waktu
berminggu-minggu untuk menyelesaikan dan mempresentasikan
anggaran item yang besar. Dengan mempekerjakan konsultan luar,
keahlian para staff dalam perusahaan sering diabaikan dan hasil
yang didapat tidak dapat diterima oleh manajer unit bisnis.
Hasil dari proses yang lama adalah manajer bisnis yang tidak
mengerti kontrol yang diajukan, serta tidak mengerti kontrol yang
disarankan dan sering merusak proses pelaksanaan.
Yang diperlukan adalah proses analisis risiko yang
dikendalikan oleh manajer bisnis, membutuhkan waktu dalam
hitungan hari, bukan mingguan atau bulanan, biaya yang efektif
serta menggunakan in-house expert. FRAP dapat dilakukan oleh
seseorang dengan pengetahuan proses bisnis yang terbatas atau
sistem tertentu, tetapi dengan keterampilan fasilitas yang baik.
FRAP adalah metodologi formal yang dikembangkan melalui
pemahaman bagaimana sebelumnya dikembangkan oleh proses
analisis risiko kualitatif dimodifikasi untuk memenuhi kebutuhan
saat ini. Didorong oleh sisi bisnis dari perusahaan dan memastikan
bahwa kontrol memungkinkan proses bisnis untuk memenuhi
tujuan. Tidak pernah ada diskusi tentang kontrol seperti keamanan
36
atau persyaratan audit. FRAP berfokus pada kebutuhan bisnis dan
kurangnya waktu yang dapat dihabiskan untuk tugas-tugas.
Dengan melibatkan unit bisnis, FRAP digunakan untuk
mengidentifikasi risiko dan ancaman. Sesekali pemilik sumber daya
terlibat dalam mengidentifikasi ancaman. Mereka umumnya
mengatur dan mencari bantuan dalam menerapkan kontrol biaya
yang efektif untuk membantu mengatasi eksposure. FRAP
memungkinkan unit-unit usaha untuk mengendalikan sumber daya
mereka. Hal ini memungkinkan mereka untuk menentukan apa yang
diperlukan untuk menjaga dan siapa yang akan bertanggung jawab
untuk melaksanakan pengamanan.
Hasil komprehensif FRAP adalah dokumen yang
mengidentifikasi ancaman, memprioritaskan ancaman-ancaman dan
mengidentifikasi kontrol yang akan membantu mengurangi
ancaman-ancaman. Yang palling penting, dengan melibatkan
manajer bisnis, FRAP menyediakan klien atau pemilik yang
percaya pada action plan.
2.1.17.3 Komponen Utama dalam FRAP
Menurut Thomas R. Peltier (2005, p159-160), pendekatan
FRAP (Facilitated Risk Analysis Process) adalah bentuk
pendekatan analisis risiko kualitatif yang paling banyak digunakan
saat ini. FRAP terdiri dari 3 komponen utama, diantaranya:
1. Pre FRAP Meeting
37
Pre FRAP meeting merupakan kunci sukses dalam suatu
proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar
1 – 1,5 jam dan biasanya dilakukan di kantor klien.
Ada 6 komponen utama yang muncul dari sesi ini, yaitu:
a. Pre-Screening Result
Prescreening merupakan sebuah metode yang akan
mengidentifikasi apakah sebuah risk assesment atau
business impact analysis, atau keduanya dibutuhkan dalam
melakukan manajemen risiko. Dalam tahapan Pre-FRAP
Session, application owner, project leader, dan fasilitator
akan mengajukan pertanyaan-pertanyaan untuk
menentukan apa saja kebutuhan-kebutuhan yang harus
dipenuhi untuk aset tertentu (sesuai dengan objek
pembahasan). Pertanyaan-pertanyaan tersebut biasanya
membahas tentang tingkat sensitivitas data atau informasi
(disclosure), atau tentang tingkat kritis sebuah sistem atau
proses bisnis (critically). Dimana dalam menentukan dasar
dalam pengajuan pertanyaan-pertanyaan, application
owner akan memilih kategori yang hampir sesuai dengan
kualitas aset perusahaan serta kondisi perusahaan saat ini.
Kategori pertama merupakan kategori yang
berhubungan dengan tingkat disclosure, sedangkan
kategori kedua dilihat dari tingkat critically. Setelah level
pada setiap kategori ditentukan, maka application owner
38
akan menyesuaikan pilihannya dengan matriks dari
kategori prescreening dan menentukan persimpangan dari
kedua level tersebut. Dengan demikian dapat dilihat aksi-
aksi apa yang menjadi rekomendasi selama kegiatan FRAP
dilakukan, dimana aksi-aksi tersebut harus melalui
persetujuan dan perintah dari application owner terlebih
dahulu.
b. Scope Statement
Project leader dan fasilitator membuat pernyataan
mengenai peluang-peluang yang ada untuk kemudian
ditinjau. Hasilnya kemudian akan dikembangkan dalam
bentuk sebuah narasi atau pernyataan tentang apa yang
seharusnya di-review dalam proses FRAP ini.
c. Visual Mode
Pembuatan diagram proses (gambaran) yang
merupakan satu halaman yang berisi tentang tampilan
proses yang akan dijalankan, guna meninjau setiap proses
atau tahapan yang berjalan. Visual model digunakan
selama sesi FRAP untuk memperkenalkan pada tim
mengenai di mana proses dimulai dan berakhir.
d. Team Members
Selama Pre-FRAP Meeting, project leader dan
fasilitator perlu megidentifikasi siapa yang harus menjadi
bagian dari FRAP Session. Jumlah peserta yang ideal
39
adalah antara 7 sampai 15 orang. Wakil-wakil dari bidang
berikut akan dimasukkan ke dalam proses FRAP :
1. Functional owner
2. System user
3. System administrator
4. System analysis
5. System programming
6. Database administration
7. Information security
8. Telecommunications
9. Network administration
10. Service provider
11. Auditing (jika diperlukan)
12. Legal (jika diperlukan)
13. Human resources (jika diperlukan)
14. Labor relations (jika diperlukan)
Tidak ada aturan khusus mengenai siapa yang harus hadir,
tetapi agar proses FRAP ini berhasil, application owner
dan system user harus menjadi bagian dari FRAP.
e. Meeting Mechanics
Dalam proses ini project leader memilih seseorang
dari stafnya untuk bertanggung jawab terhadap
ketersediaan ruang meeting, menentukan jadwal meeting
40
serta menyiapkan kebutuhan yang diperlukan untuk
jalannya meeting.
f. Agreement of Definition
Dalam sesi pre-FRAP ini dibutuhkan persetujuan
terhadap definisi FRAP. Terdapat lima definisi utama yang
perlu dipahami oleh para staf sebelum melakukan FRAP,
yaitu :
• Threat
Kejadian yang berpotensial memiliki dampak negatif
terhadap tujuan bisnis atau pernyataan misi dari
perusahaan.
• Control
Suatu ukuran yang diambil untuk mencegah,
mendeteksi, mengurangi, atau pulih dari risiko untuk
melindungi proses bisnis atau misi perusahaan.
• Integrity
Informasi seperti yang dimaksudkan/diinginkan, tanpa
pengungkapan informasi yang tidak sah atau yang
tidak diinginkan.
• Confidentiality
Informasi yang belum mengalami pengungkapan
informasi yang tidak sah atau yang tidak diinginkan.
• Availability
41
Aplikasi, sistem, atau sumber daya informasi bisa
diakses saat diperlukan.
• Probability
Kemungkinan dimana sebuah peristiwa akan terjadi
atau kemungkinan dimana nilai kerugian tertentu
dicapai dari kejadian suatu peristiwa.
- High : Sangat mungkin terjadinya ancaman dalam
tahun selanjutnya.
- Medium : Mungkin terjadinya ancaman dalam
tahun selanjutnya.
- Low : Sangat tidak mungkin terjadinya ancaman
dalam tahun selanjutnya.
• Impact
Ukuran dari tangible dan intangible effect (akibat)
oleh kegiatan satu hal atau entitas atau pengaruh atas
yang lain.
- High : Berdampak terhadap seluruh misi atau
bisnis perusahaan.
- Medium : Kerugian dibatasi pada satu unit bisnis
atau tujuan.
- Low : Bisnis seperti biasanya.
2. FRAP Session
42
Tahapan FRAP session dibagi menjadi 2 tahapan. Dimana
tahap pertama biasa berlangsung sekitar 4 (empat) jam yang
akan melakukan pembahasan tentang :
- Mengidentifikasi ancaman (threat)
- Menetapkan tingkatan/level risiko (prioritas risiko)
- Mendokumentasikan kontrol
Dimana dalam menentukan tingkat prioritas suatu risiko,
perlu ditentukan matriks dari risiko tersebut, dilihat dari tingkat
kerentanannya (vulnerability) dan pengaruhnya terhadap bisnis
(business impact). Dalam matriks ini, terdapat beberapa
definisi-definisi yang harus dipahami di antaranya adalah:
• High Vulnerability : tingkat kelemahan yang sangat besar
yang ada di dalam sistem atau operasional perusahaan dan
berpotensi berdampak pada proses bisnis secara signifikan
sehingga control harus ditingkatkan.
• Medium Vulnerability : ada beberapa kelemahan dan
berpotensi berdampak pada proses bisnis secara signifikan,
kontrol dapat dilakukan dan harus ditingkatkan.
• Low Vulnerability : sistem sudah dibangun dengan baik
dan dioperasikan dengan benar. Tidak ada kontrol
tambahan yang dibutuhkan untuk mengurangi kerentanan.
43
• Severe Impact (High) : cenderung menempatkan
perusahaan di luar dari bisnis atau sangat merusak prospek
usaha dan pembangunan.
• Significant Impact (Medium) : akan menyebabkan
kerusakan yang signifikan dan biaya, namun perusahaan
akan bertahan.
• Minor Impact (Low) : operasional yang diharapkan mampu
dikelola sebagai bagian dari business life cycle.
Berikut merupakan Matriks Prioritas dalam menganalisa
aksi dan kontrol yang harus diimplementasikan berdasarkan
tipe tinggi atau rendahnya dampak bisnis dan tingkat
kerentanan yang dapat terjadi pada sistem perusahaan.
Busniness Impact
High Medium Low
Vul
nera
bilit
y
High A B C
Medium B B C
Low C C D
Gambar 2.1 Priority Risk Matrix
44
Keterangan Tabel 2.1 :
A – tindakan korektif harus diterapkan
B – tindakan perbaikan yang diusulkan
C – membutuhkan pemantauan
D – tidak ada tindakan yang diperlukan
Setelah tahapan pertama dari FRAP session ini telah
selesai, maka tim akan berlanjut melaksanakan tahapan kedua
dari FRAP session, yaitu :
- Mengidentifikasi kontrol yang ada
- Menentukan kontrol terhadap risiko high-level (dalam hal
ini risiko yang memiliki prioritas A dan B), yang belum
memiliki kontrol sebelumnya
- Memilih kelompok atau orang yang bertanggung jawab
untuk mengimplementasikan rekomendasi kontrol yang
diusulkan sebelumnya
3. Post FRAP Meeting
Pada tahap ini pertemuan biasanya berlangsung sekitar 10 hari
dan memiliki tiga elemen, yaitu:
a. Creation on the Cross-References Sheet
Membuat cross-reference sheet berdasarkan tabel risiko
dan tabel kontrol untuk mengidentifikasi pengendalian
yang cocok dengan risiko yang teridentifikasi.
b. Creation on the Action Plan
45
Untuk mendapatkan laporan lengkap, project leader dan
fasilitator harus membuat action plan (rencana aksi), yaitu
dengan menggabungkan risiko dari risk list dengan kontrol
yang disarankan dari control list, dengan tujuan
mengetahui tindakan apa yang dilaksanakan dan oleh siapa
dilaksanakan, serta status dari rencana aksi tersebut agar
dapat membantu perusahaan dalam melaksanakan
penerapan kontrol yang diusulkan.
c. Final Report
Membuat laporan akhir yang berisi hasil dari FRAP yang
telah dilakukan.
2.1.17.4 Tahapan FRAP
1. The Pre FRAP Meeting
a. Menjelaskan mengenai proses FRAP dan komponen sistem
yang akan dianalisis.
b. Menentukan ruang lingkup
c. Menggambarkan ruang lingkup dalam bentuk diagram.
d. Menentukan tim-tim yang akan ikut serta dalam proses
FRAP.
e. Menentukan waktu, ruang dan berbagai kebutuhan lainnya
yang dibutuhkan selama meeting berlangsung.
f. Persetujuan terhadap definisi.
2. The FRAP Session
46
a. Logistic : perkenalan anggota FRAP.
b. Overview pernyataan ruang lingkup (visual model) dan
persetujuan definisi.
c. Proses Brainstorming dilakukan dengan memberi
kesempatan kepada tiap anggota tim untuk menulis risiko
yang mungkin dari sistem yang didiskusikan pada
selembar kertas kecil. Setelah 3 sampai 5 menit, fasilitator
akan mengumpulkan kertas tersebut dan proses tersebut
diulang sampai tidak ada risiko yang dapat teridentifikasi
lagi.
d. Kemudian fasilitator akan menyortir dan mengumpulkan
risiko yang serupa serta menempelkannya pada papan.
Sementara anggota tim lainnya diberi kesempatan untuk
break selama 10 sampai 15 menit.
e. Proses dilanjutkan dengan menentukan prioritas dari risiko
yang telah diidentifikasikan berdasarkan kriteria dan juga
definisi yang telah disepakatai pada sesi Pre-FRAP
Meeting.
f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari
aset yang mempunyai risiko tinggi. Cara yang dilakukan
dapat seperti pada cara penentuan risiko (sample priority
matrix) atau dengan cara memberikan daftar kontrol
pengamanan yang biasa digunakan dalam sistem yang
sejenis dan meminta tim untuk memilih kontrol
47
pengamanan yang cocok serta menentukan orang yang
berhak atau wajib melakukan kontrol tersebut.
3. Post FRAP Meeting
a. Membuat cross-references sheet yang berisikan masing-
masing kontrol dan risiko-risiko apa saja yang dapat
berkurang sebagai akibat dari pelaksanaan kontrol tersebut.
b. Project leader dan fasilitator akan melihat kontrol mana
saja yang sudah diterapkan pada risiko yang ada.
c. Project leader dan fasilitator akan bertemu dengan manajer
bisnis untuk meninjau ulang dan mengidentifikasi kontrol
apa saja yang dapat digunakan untuk mengatasi risiko-
risiko yang masih terbuka.
d. Membuat action plan untuk risiko-risiko yang masih
terbuka dan risiko-risiko yang akan diimplementasikan
kontrolnya. Project leader, fasilitator dan manajer bisnis
menentukan kontrol apa saja ynag paling efektif dan
menentukan pihak mana saja yang akan
mengimplementasikan kontrol tersebut beserta dengan
tanggal pelaksanaannya.
e. Setelah risiko tersebut telah dikontrol atau ternyata bisnis
manajer telah mengidentifikasikan bahwa risiko tersebut
dapat diterima maka final report akan dibuat.
48 2.2 Teori-Teori Khusus
2.2.1 Pengertian Absensi
Absensi adalah sistem pencatatan yang dilakukan oleh orang tertentu
yang bertujuan untuk mengetahui daftar hadir mereka dalam suatu tempat.
Pada prinsipnya jenis-jenis absensi bisa digolongkan menjadi 2 bagian,
yaitu:
a. Jenis Manual
Absensi jenis manual adalah absensi yang sepenuhnya dikerjakan
langsung oleh manusia. Absensi manual bisa terdiri dari :
1. Absensi Harian
Yaitu absensi yang dikerjakan setiap hari.
2. Absensi Bulanan
Yaitu absensi yang dikerjakan setiap bulan.
3. Absensi Tahunan
Yaitu absensi yang dilakukan setiap setahun sekali.
b. Jenis Non Manual (menggunakan alat)
Pada era globalisasi seperti sekarang ini dalam membuat absensi kita
dapat menggunakan alat bantu elektronik. Jadi absensi non manual
adalah absensi yang menggunakan alat bantu elektronik. Adapun
penginputan/pengisian data untuk absensi jenis ini dapat berupa :
1. Id card
2. Nomor induk per-seorangan
3. Sidik jari / fingerprint
49
(sumber : http://denid3akatel.blogspot.com/2008/04/absensi-
akurat.html)
2.2.1.1 Tujuan Absensi
Tujuan absensi adalah untuk meningkatkan kedisiplinan
karyawan. Daftar absensi sangat penting bagi atasan untuk
mengetahuui keadaan bawahannya. Adapun tujuan dari absensi
tersebut adalah :
a. Untuk melihat kehadiran karyawan
b. Untuk meningkatkan kedisiplinan karyawan
c. Untuk meningkatkan semangat kerja karyawan
d. Untuk mengetahui keadaan bawahan di hari kerja
e. Untuk mengetahui apakah bawahan mempunyai semangat
kerja dengan melihat kehadiran karyawan di hari kerja
f. Sebagai bahan laporan kepada bagian kepada atasan tentang
karyawan yang disiplin
Dengan diterapkannya absensi ini, dengan sendirinya telah
membantu meningkatkan mutu dari instansi itu. Kebanyakan
orang menilai adanya penggunaan absensi berarti adanya disiplin
pada tempat yang bersangkutan. Selanjutnya orang menilai
sistem kerja ditempat tersebut berkualitas baik. Dengan demikian
absensi ini juga ikut membantu penilaian yang baik bagi setiap
organisasi yang menerapkannya.
50
(sumber : http://juswita2008.blogspot.com/2008/11/landasan-
teori.html)
2.2.1.2 Hal-Hal Pokok Penyebab dari Absensi
Salah satu penyebab dari absen adalah kurangnya disiplin
karyawan, yang mana pengertian disiplin adalah : “Disiplin dapat
diartikan sebagai suatu sikap, tingkah laku, dan perbuatan yang
sesuai dengan peraturan dari perusahaan baik yang tertulis
maupun yang tidak tertulis” Alex S. Nitisemito ( 1986 : 149).
Dari pengertian disiplin diatas maka penulis menarik suatu
kesimpulan bahwa setiap karyawan yang berada di perusahaan
harus menaati semua peraturan yang ada dalam perusahaan
dimana ia bekerja. Apabila peraturan-peraturan yang ada sudah
dapat ditaati oleh para karyawan, maka dapat dikatakan bahwa
ada kedisiplinan dalam perusahaan tersebut.
Hal-hal yang dapat mempengaruhi tingkat absensi menurut
Slamet Wiyadi (1984 : 229), antara lain :
1. Alpa
Masalah kompensasi, kurangnya kedisiplinan, dan
ketidaksenangan atau bosan dengan lingkungan kerja dapat
menyebabkan alpa.
2. Cuti
Cuti merupakan hak dari karyawan yang
diberikan/diiterapkan perusahaan. Jika karyawan
51
mempunyai kesadaran yang tinggi akan tingkat absensi,
maka karyawan biasanya enggan untuk menggunakan hak
cutinya.
3. Izin
Karyawan yang sering minta izin tidak hadir perusahaan
perlu memperhatikan izin tersebut, karena biasanya izin
tersebut disalahgunakan karyawan untuk mencari pekerjaan
tambahan diluar perusahaan guna tambahan penghasilan.
Izin dapat diberikan perusahaan kepada karyawannya,
apabila karyawan tersebut menghadapi masalah ataupun
peristiwa yang amat mendesak.
4. Sakit
Sakit dapat terjadi di luar kemauan karyawan. Namun tidak
semua alasan sakit dapat diterima, sebab ada kemungkinan
karyawan hanya berpura-pura.
2.2.2 Pengertian Lembur
Lembur adalah suatu kondisi dimana seseorang bekerja di luar jam
kerja normal yang ditetapkan oleh suatu instansi.
Definisi lain dari pengertian lembur ialah :
- Pekerjaan yang dilakukan oleh karyawan atau pekerja di lebih dari hari
kerja dasar (biasanya 8 jam sehari, 5 hari seminggu) seperti yang di
definisikan oleh perusahaan.
- Waktu lebih dari batas yang ditetapkan.
52
(sumber :
http://ilerning.com/index.php?option=com_content&view=article&id=110
8:lembur-edit-mar&catid=47:akuntansi-dasar&Itemid=65)
Sehingga dapat disimpulkan bahwa lembur merupakan suatu keadaan
dimana seseorang harus melakukan sebuah pekerjaan di luar jam ataupun
hari kerja, yang ditetapkan oleh sebuah perusahaan atau organisasi.
2.2.3 Biometrik
Menurut Maiwald, (2003, p13), “Biometrics systems are yet another
authentication mechanism (something you are) and they too can reduce the
risk of someone guessing a password”. Yang diartikan sebagai : sistem
biometrik adalah mekanisme otentikasi (sesuatu tentang Anda) yang
lain/berbeda dan dapat mengurangi risiko seseorang menebak sebuah kata
sandi.
Ada banyak jenis scanner biometrik yang dapat digunakan untuk
verifikasi, antara lain:
• Fingerprints
• Retina/iris
• Palm prints
• Hand geometry
• Facial geometry
• Suara
53
Setiap metode biasanya memerlukan beberapa jenis perangkat
untuk mengidentifikasi karakteristik manusia. Dalam banyak kasus,
perangkat ini harus cukup canggih untuk mendeteksi upaya spoofing.
2.2.3.1 Biometrik Sidik Jari (Fingerprint)
Sidik jari (fingerprint) merupakan suatu parameter yang
dikenal dengan nama biometrik yang dimiliki manusia sebagai
tanda pengenal diri yang bisa digunakan sebagai alat kunci
(password).
(sumber : http://budi.insan.co.id/)
2.2.3.2 Sifat-Sifat Sidik Jari
Sistem keamanan menggunakan sidik jari telah terbukti cukup
akurat, aman, mudah, dan nyaman untuk dipakai sebagai
identifikasi. Hal ini dapat dilihat pada sifat yang dimiliki oleh
sidik jari, antara lain:
1. Perennial nature, yaitu guratan-guratan pada sidik jari yang
melekat pada kulit manusia seumur hidup.
2. Immutability, yaitu sidik jari seseorang tidak pernah berubah,
kecuali mendapat kecelakaan yang serius.
3. Individuality, pola sidik jari adalah unik dan berbeda untuk
setiap orang.
54
Dari ketiga sifat ini, sidik jari dapat digunakan sebagai sistem
identifikasi yang dapat digunakan dalam aplikasi teknologi
informasi.
2.2.3.3 Scan S idik Jari
Pengenalan sidik jari, barangkali termasuk yang paling cost
effective akan tetapi tetap mempertahankan tingkat keamanan
yang tinggi dan kemudahan untuk penggunaannya.
Scan sidik jari ke komputer berarti kita men-scan sidik jari
kita melalui suatu alat yaitu finger scan agar dapat dibaca oleh
program komputer dengan cara menempelkan jari kita ke sensor
alat tersebut.
Sistem ini meliputi sebuah perangkat keras scanner dan
perangkat lunak. Merekam karakteristik sidik jari yang spesifik,
menyimpan data tiap-tiap user ke dalam sebuah database, ketika
user mencoba lagi menguatkan akses maka perangkat lunak akan
membandingkan data yang tersimpan pada database dengan
pembacaan sidik jari dari scanner. Sistem sidik jari sangat akurat
tetapi dapat dipengaruhi oleh perubahan-perubahan di dalam sidik
jari (terbakar, bekas luka dan sebagainya), kotoran dan faktor-
faktor lain yang menimbulkan gangguan pada gambar.
Teknologi sidik jari (fingerprint scan) dipertimbangkan
sebagai salah satu produk biometrik untuk aplikasi dalam sistem
jaringan perusahaan. Sistem ini juga banyak dipakai untuk
55
mengontrol akses dan membedakan identitas di banyak
perkantoran, pabrik, sekolah dan gedung pemerintah dengan
sistem keamanan tinggi. Produk ini juga bisa digunakan sebagai
sistem hadir yang bisa mencegah penipuan seperti pada sistem
kartu.
2.2.3.4 Metodologi Sidik Jari ke Sistem Komputer
Feature sidik jari yang digunakan adalah guratan sidik jari
yang dapat diidentifikasi dengan cara menganalisa fine details dari
guratan-guratan sidik jari yang dinamakan dengan minutiae.
Beberapa feature guratan sidik jari dapat dilihat pada gambar
dibawah ini.
Gambar 2.2 Feature Guratan Sidik Jari Manusia
56
Francis Galton (1822-1916) mengatakan bahwa tidak ada dua
sidik jari yang sama, artinya setiap sidik jari yang dimiliki oleh
seseorang adalah unik. Berdasarkan klasifikasi, pola sidik jari
dapat dinyatakan secara umum ke dalam tiga bentuk yaitu :
Gambar 2.3 Pola Sidik Jari
(sumber : http://elib.unikom.ac.id/files/disk1/17/jbptunikompp-
gdl-s1-2004-enengiradw-829-BAB+2.pdf)