IT Security Policy : Mengikat Layanan TI
Turut bergembira tatkala janji untuk membentuk RPP turunan dari UU ITE (11/2008) sudah hampir tiba. Walau agak meleset dari amanat yang meminta waktu 3 (tiga) tahun untuk menyelesaikannya. Menteri Tifatul Sembiring (Republika 31/12) menyebutkan bahwa insyaAllah ketiga RPP tersebut akan rampung pada awal tahun 2012 nanti.
Ketiga RPP yang diamanatkan dalam UU ITE tersebut adalah (1) RPP Penyelenggaraan Informasi dan Transaksi Elektronik, atau lebih mudah diingat sebagai RPP PITE, dan (2) RPP Data Strategis, serta (3) RPP e-government. Tantangan menarik yang dihadapkan pengelola jaringan organisasi adalah melakukan persiapan-persiapan tersebut untuk menyambutnya sedini mungkin. Tulisan ini sedikit banyak memberikan literatur, khususnya persiapan menghadapi RPP e-government tersebut. Dan kami menuliskannya dalam kerangka COBIT. Posisi COBIT Dengan Framework Lainnya / isaca.org COBIT, atau lengkapnya menjadi “Control OBjectives for Information and related Technology' mendefinisikan 34 proses generik untuk mengoptimalkan dan memaksimalkan peran teknologi informasi. Digunakan untuk instansi pemerintah, penggiat bisnis atau bahkan di lingkungan institusi pendidikan. Masing-masing proses generik tersebut memetakan proses input dan output, proses aktifitas, proses objektif dan, yang tak kalah pentingnyta adalah model kematangannya (elementary maturity model). Tentu saja, apa yang dicita-citakan COBIT adalah untuk mendefinisi dan mendukung sekaligus memelihara tujuan organisasi. Namun demikian, COBIT bukanlah jurus sakti yang dapat melumpuhkan semua penyakit. Kerangka COBIT adalah jurus kedua. Sedangkan jurus pertama yang harus disediakan dan diterapkan instansi adalah IT Governance. Kemudian setelah COBIT terimplementasi dengan baik, jurus yang ketiga adalah melakukan IT Audit. COBIT akan banyak berperan setelah ketersediaan dan penerapan IT Governance pada suatu organisasi. Kehadiran COBIT akan memastikan layanan TI sejalan dengan arah tujuan organisasi. Sehingga akan membantu organisasi untuk memaksimal-kan potensi organisasi dan mengop-timalkan produk-produk outcome-nya. Dan yang tak kalah penting, semua penggunaan sumber daya TI dapat dipertanggungjawabkan penggunaannya, yaitu dengan cara mengurangi resiko-resiko TI dan pengelolaan semua sumber daya secara tepat. LANGKAH SEDERHANA Kadang, bagi seorang IT Auditor, akan memunculkan pertanyaan yang sangat sederhana. Dia akan bertanya kepada responden secara random dalam organisasi tersebut. Baik itu elemen pimpinan, middle management, maupun pegawai terendah sekalipun. Pertanyaan yang dimunculkan adalah , “Apakah saudara mengerti kemana arah tujuan Perencanaan TI di kantor ini?”. “Apakah saudara mengerti kemana arah tujuan Perencanaan TI di kantor ini?” COBIT menjelaskan bahwa apabila pegawai manapun, yang bekerja di bidang apapun, mampu menjelaskan pertanyaan sederhana tersebut dengan ringannya, maka dapat dipastikan bahwa Perencanaan dan sekaligus Pemanfaatan TI pada organisasi tersebut sejalan dengan semangat IT Governance. Tetapi apabila hanya sebagian kecil saja yang paham, maka sangat perlu diambil langkah-langkah perubahan mengarah kepada kebaikan. COBIT menyebutnya dengan nama Tata Kelola TI Yang Baik. IT Governance menyarankan semua performansi kegiatan kantor harus dapat diukur (performance measurement). Oleh karena itu sangat wajib hukumnya untuk menggunakan perangkat alat ukur. Lembaga Sandi Negara sudah mencanangkan penggunaan Balanced Score Card sebagai perangkat alat ukurnya. Performansi karyawan dalam bentuk pemenuhan Indikator Kinerja Utama (IKU) mutlak harus tersedia. Dan hal ini adalah bagian Tata Kelola TI Yang Baik. Nah, bagian lainnya adalah perlunya IT Investment Management, Kejelasan kebutuhan User dan Organisasi --dalam hubungannya antara penerapan TI dan kemampuan anggaran belanja organisasi. Dan last-but-not-least adalah upaya pelatihan dan pendidikan untuk semua karyawan di organisasi, baik itu karyawan yang ngurusi TI maupun karyawan Non-TI. Pelatihan dan pendidikan yang terstruktur dan terprogram adalah kekuatan asas sebuah organisasi. I.T. CONTROL FRAMEWORK Berawal dari kebutuhan bahwa TI harus mendiseminasi sebanyak-banyaknya informasi. Informasi harus mengalir dan terdistribusi dengan baik kepada organisasi. Kepada pimpinan dan staf Tata Usaha. Dan yang lebih penting lagi kepada semua karyawan sampai level yang terendah. Kemudian, kebutuhan TI harus berorientasi pada pemenuhan mutu informasi itu sendiri. COBIT menyediakan 7 (tujuh) kriteria informasi, yaitu : 1. Yang bersifat Global, yaitu; informasi harus efektif dan efisien; 2. Yang bersifat Spesifik adalah; available, integrity, confidentiality, reliability dan compliance. Sehingga ketika ke-7 kriteria itu diadaptasi, maka Manajemen Investasi Teknologi Informasi akan berubah bentuk, berawal dari TI sebagai cost center berubah bentuk menjadi TI sebagai profit center. LIMITASI DAN FUTURE WORK Kolaborasi Antara Unit Kerja / Dbouk 2007 IT Governance, COBIT Framework, IT Investment Management dan IT Audit merupakan sebatas harapan. Permasalahan yang akan muncul, misalnya akan terjadinya konflik kepentingan atas inisiasinya belum terpikirkan oleh penulis (Sproull and Kiesler 1991). lebih lanjutnya dapat melihat di blog ini
Ketiga RPP yang diamanatkan dalam UU ITE tersebut adalah (1) RPP Penyelenggaraan Informasi dan Transaksi Elektronik, atau lebih mudah diingat sebagai RPP PITE, dan (2) RPP Data Strategis, serta (3) RPP e-government. Tantangan menarik yang dihadapkan pengelola jaringan organisasi adalah melakukan persiapan-persiapan tersebut untuk menyambutnya sedini mungkin. Tulisan ini sedikit banyak memberikan literatur, khususnya persiapan menghadapi RPP e-government tersebut. Dan kami menuliskannya dalam kerangka COBIT. Posisi COBIT Dengan Framework Lainnya / isaca.org COBIT, atau lengkapnya menjadi “Control OBjectives for Information and related Technology' mendefinisikan 34 proses generik untuk mengoptimalkan dan memaksimalkan peran teknologi informasi. Digunakan untuk instansi pemerintah, penggiat bisnis atau bahkan di lingkungan institusi pendidikan. Masing-masing proses generik tersebut memetakan proses input dan output, proses aktifitas, proses objektif dan, yang tak kalah pentingnyta adalah model kematangannya (elementary maturity model). Tentu saja, apa yang dicita-citakan COBIT adalah untuk mendefinisi dan mendukung sekaligus memelihara tujuan organisasi. Namun demikian, COBIT bukanlah jurus sakti yang dapat melumpuhkan semua penyakit. Kerangka COBIT adalah jurus kedua. Sedangkan jurus pertama yang harus disediakan dan diterapkan instansi adalah IT Governance. Kemudian setelah COBIT terimplementasi dengan baik, jurus yang ketiga adalah melakukan IT Audit. COBIT akan banyak berperan setelah ketersediaan dan penerapan IT Governance pada suatu organisasi. Kehadiran COBIT akan memastikan layanan TI sejalan dengan arah tujuan organisasi. Sehingga akan membantu organisasi untuk memaksimal-kan potensi organisasi dan mengop-timalkan produk-produk outcome-nya. Dan yang tak kalah penting, semua penggunaan sumber daya TI dapat dipertanggungjawabkan penggunaannya, yaitu dengan cara mengurangi resiko-resiko TI dan pengelolaan semua sumber daya secara tepat. LANGKAH SEDERHANA Kadang, bagi seorang IT Auditor, akan memunculkan pertanyaan yang sangat sederhana. Dia akan bertanya kepada responden secara random dalam organisasi tersebut. Baik itu elemen pimpinan, middle management, maupun pegawai terendah sekalipun. Pertanyaan yang dimunculkan adalah , “Apakah saudara mengerti kemana arah tujuan Perencanaan TI di kantor ini?”. “Apakah saudara mengerti kemana arah tujuan Perencanaan TI di kantor ini?” COBIT menjelaskan bahwa apabila pegawai manapun, yang bekerja di bidang apapun, mampu menjelaskan pertanyaan sederhana tersebut dengan ringannya, maka dapat dipastikan bahwa Perencanaan dan sekaligus Pemanfaatan TI pada organisasi tersebut sejalan dengan semangat IT Governance. Tetapi apabila hanya sebagian kecil saja yang paham, maka sangat perlu diambil langkah-langkah perubahan mengarah kepada kebaikan. COBIT menyebutnya dengan nama Tata Kelola TI Yang Baik. IT Governance menyarankan semua performansi kegiatan kantor harus dapat diukur (performance measurement). Oleh karena itu sangat wajib hukumnya untuk menggunakan perangkat alat ukur. Lembaga Sandi Negara sudah mencanangkan penggunaan Balanced Score Card sebagai perangkat alat ukurnya. Performansi karyawan dalam bentuk pemenuhan Indikator Kinerja Utama (IKU) mutlak harus tersedia. Dan hal ini adalah bagian Tata Kelola TI Yang Baik. Nah, bagian lainnya adalah perlunya IT Investment Management, Kejelasan kebutuhan User dan Organisasi --dalam hubungannya antara penerapan TI dan kemampuan anggaran belanja organisasi. Dan last-but-not-least adalah upaya pelatihan dan pendidikan untuk semua karyawan di organisasi, baik itu karyawan yang ngurusi TI maupun karyawan Non-TI. Pelatihan dan pendidikan yang terstruktur dan terprogram adalah kekuatan asas sebuah organisasi. I.T. CONTROL FRAMEWORK Berawal dari kebutuhan bahwa TI harus mendiseminasi sebanyak-banyaknya informasi. Informasi harus mengalir dan terdistribusi dengan baik kepada organisasi. Kepada pimpinan dan staf Tata Usaha. Dan yang lebih penting lagi kepada semua karyawan sampai level yang terendah. Kemudian, kebutuhan TI harus berorientasi pada pemenuhan mutu informasi itu sendiri. COBIT menyediakan 7 (tujuh) kriteria informasi, yaitu : 1. Yang bersifat Global, yaitu; informasi harus efektif dan efisien; 2. Yang bersifat Spesifik adalah; available, integrity, confidentiality, reliability dan compliance. Sehingga ketika ke-7 kriteria itu diadaptasi, maka Manajemen Investasi Teknologi Informasi akan berubah bentuk, berawal dari TI sebagai cost center berubah bentuk menjadi TI sebagai profit center. LIMITASI DAN FUTURE WORK Kolaborasi Antara Unit Kerja / Dbouk 2007 IT Governance, COBIT Framework, IT Investment Management dan IT Audit merupakan sebatas harapan. Permasalahan yang akan muncul, misalnya akan terjadinya konflik kepentingan atas inisiasinya belum terpikirkan oleh penulis (Sproull and Kiesler 1991). lebih lanjutnya dapat melihat di blog ini
Tidak ada komentar:
Posting Komentar