9  

BAB 2

LANDASAN TEORI

2.1 Teori-Teori Umum

2.1.1 Pengertian Informasi

Menurut Whitten, Bentley, dan Dittman (2004, p27), informasi

merupakan data yang diproses atau diorganisasikan ke dalam suatu bentuk

yang memiliki arti untuk seseorang. Informasi dibentuk dari berbagai

kombinasi data yang diharapkan dapat memberikan makna bagi

penerimanya.

Menurut McLeod (2008, p15), informasi adalah data yang telah

diproses atau data yang memiliki arti.

Menurut O’Brien (2005, p703), informasi adalah data yang ditempatkan

dalam konteks yang berarti dan berguna bagi pemakai akhir.

Jadi, informasi adalah data yang telah diolah, menjadi bentuk yang

mempunyai arti dan dapat bermanfaat bagi pengambilan keputusan saat ini

dan masa yang akan datang.

2.1.2 Pengertian Teknologi Informasi

Menurut Williams, dan Sawyer (2005, p3), teknologi informasi

merupakan sebuah bentuk umum yang menggambarkan setiap teknologi

yang membantu menghasilkan, memanipulasi, menyimpan,

mengkomunikasikan, dan/atau menyampaikan informasi.

10  

Menurut Turban, Rainer dan Potter (2009, p6), “Information technology

relates to any computer-based to that people use to work with information

and to support the information and information processing needs of an

organization”. Yang diartikan sebagai berikut : teknologi informasi

berkaitan dengan segala sesuatu yang berbasis komputer yang digunakan

orang-orang untuk melakukan pekerjaannya yang berhubungan dengan

informasi untuk mendukung dan mengolah informasi tersebut sesuai dengan

kebutuhan perusahaan.

Dari kedua pengertian di atas dapat disimpulkan bahwa teknologi

informasi merupakan alat-alat atau perangkat komputer yang digunakan oleh

sebuah organisasi melalui proses menerima, mengelolah, serta menyimpan

informasi perusahaan yang mendukung kinerja sistem informasi.

2.1.3 Infrastruktur Teknologi Informasi

Menurut Potter (2007, p6), “Information technology infrastructure is

the physical facilities, IT components, IT services, and IT personel that

support the entire organization”.

Yang diartikan : infrastuktur teknologi informasi pada sebuah organisasi

terdiri dari perangkat fisik berupa IT components, IT services, dan IT

management yang mendukung keseluruhan organisasi. IT components terdiri

dari hardware, software, dan teknologi komunikasi yang digunakan oleh

personel teknologi informasi menghasilkan IT services. IT services meliputi

manajemen data.

11  

2.1.3.1 Hardware

Menurut O’Brein (2005, P702), hardware adalah :

1. Mesin dan media.

2. Perlengkapan fisik, kebalikan dari program komputer atau metode

penggunaan.

3. Peralatan mekanis, magnetis, elektrik, elektronik, atau optikal.

Menurut Turban, Rainer dan Potter (2005, p37), “Hardware is a

set of devices such as a processor, monitor, keyboard, and printer.

Together these devices accept data and information, process them,

and display them”. Yang diartikan : hardware adalah satu set

perangkat seperti prosesor, monitor, keyboard, dan printer. Dimana

secara bersama-sama perangkat ini akan dapat menerima data dan

informasi, memproses, dan memproduksi informasi yang telah

diolah.

Dari pernyataan di atas dapat disimpulkan bahwa hardware

adalah seperangkat peralatan fisik komputer yang membentuk suatu

sistem dengan segala perlengkapannya.

Hardware terdiri dari 5 kategori, yaitu:

1. Input device, adalah peralatan yang digunakan untuk menginput

informasi dan perintah yang terdiri dari keyboard, mouse,

touchscreen, game controller, dan barcode reader.

2. Output device, adalah peralatan yang digunakan untuk melihat,

mendengar, atau sebaliknya mengenali hasil dari permintaan

proses informasi yang terdiri dari printer, monitor dan speaker.

12  

3. Storage device, adalah peralatan yang digunakan untuk

menyimpan informasi yang digunakan di lain waktu, terdiri atas

primary storage dan secondary storage, seperti hard disk, flash

disk, memory card, dan DVD.

4. CPU dan RAM. CPU adalah hardware yang mengartikan dan

menjalankan sistem serta instruksi-instruksi aplikasi software

dan mengatur pengoperasian dari keseluruhan hardware. RAM

adalah sebuah kawasan sementara untuk informasi yang bekerja

seperti halnya sistem dan aplikasi software yang dibutuhkan oleh

CPU sekarang ini.

5. Telecomunication device, adalah peralatan yang digunakan untuk

mengirim dan menerima informasi dari orang atau komputer lain

dalam satu jaringan.

2.1.3.2 Software

Menurut O’Brien (2005, p713), software adalah program dan

prosedur komputer yang berkaitan dengan operasi sistem informasi.

Menurut Turban, Rainer dan Potter (2005, p37), Software is a

set of programs that enable the hardware to process data. Yang

diartikan seperti berikut : software adalah seperangkat program yang

memungkinkan perangkat keras untuk memproses data.

Dapat disimpulkan bahwa software merupakan instruksi-

instruksi, program, dan prosedur komputer yang saling berkaitan

untuk menyelesaikan tugas tertentu.

13  

Ada 2 tipe utama software, yaitu:

1. Application software, memungkinkan untuk menyelesaikan

masalah-masalah spesifik atau menampilkan tugas-tugas

spesifik.

1. System software, menangani tugas-tugas spesifik untuk

mengelola teknologi dan mengatur interaksi dari keseluruhan

peralatan teknologi. Di dalam system software terdapat operating

system software dan utility software. Operating system software

adalah software system yang mengendalikan application

software dan mengelola bagaimana peralatan hardware bekerja

secara bersama. Sedangkan utility software adalah software yang

menyediakan tambahan fungsionalitas untuk mengoperasikan

system software seperti anti-virus, screensavers, disk

optimization.

1.1.3.3 Jaringan Komputer

Menurut O’Brien (2006, p276), ada berbagai jenis jaringan yang

berfungsi sebagai infrastruktur telekomunikasi untuk internet serta

intranet dan ekstranet perusahaan berbasis internet. Akan tetapi, dari

sudut pandang pemakai akhir, hanya ada beberapa tipe dasar, seperti

jaringan area luas dan jaringan area lokal, serta jaringan rekan-ke-

rekan, klien/server, dan komputasi jaringan.

14  

1.1.3.3.1 Jenis-Jenis Jaringan Komputer

Berdasarkan rentang geografis yang dapat di cakup

oleh suatu jaringan, jaringan komputer terbagi menjadi tiga

jenis, yaitu :

a. LAN (Local Area Network)

LAN digunakan untuk menghubungkan komputer

yang berada di dalam suatu area yang kecil, misalnya

di dalam suatu gedung perkantoran atau kampus. Jarak

antar komputer yang di hubungkan bisa mencapai 5-10

km. Suatu LAN biasanya bekerja pada kecepatan

mulai 10-100 Mbps. LAN menjadi popular karena

memungkinkan banyak pengguna untuk memakai

sumber daya yang dapat digunakan itu misalnya

mainframe, file server, printer dan sebagainya.

b. MAN ( Metropolitan Area Network)

MAN merupakan suatu jaringan yang cakupannya

meliputi suatu kota. MAN menghubungkan LAN-

LAN yang lokasinya berjauuhan. Jangkauan MAN

mencapai 10 km sampai beberapa ratus km. Suatu

MAN biasanya bekerja pada kecepatan 1,5-150 Mbps.

c. WAN ( Wide Area Network)

WAN dirancang untuk menghubungkan komputer-

komputer yang terletak pada suatu cakupan geografis

yang luas, seperti hubungan dari suatu kota ke kota

15  

lain di dalam suatu negara. Cakupan WAN bisa

meliputi 100-1000 km, dan kecepatan antar kota bisa

bervariasi antara 1,5 Mbps sampai 2,4 Gbps. Dalam

biaya peralatan untuk transmisi sangat tinggi, biasanya

jaringan WAN dimiliki dan di operasikan sebagai

suatu jaringan public.

Beberapa contoh dari jaringan komputer adalah :

a. Internet

Menurut Sawyer, Williams (2007, p11), “Internet is a worldwide

computer network that connects hundrers of thousands of smaller

network. These network link educational, commercial, nonprofit,

and military entities, as well as individuals.” Jadi internet adalah

sebuah jaringan komputer seluruh dunia yang menghubungkan

ratusan ribu jaringan yang lebih kecil. Jaringan ini menyajikan

pendidikan, komersial, tidak mencari keuntungan, dan entittas

militer, sebaik individu.

b. Intranet

Menurut Sawyer, Williams (2007, p319), “ Intranets for internal

use only is an organization’s internal private network that uses the

infrastructure and standards of the internet and the web” Jadi

hanya untuk penggunaan internal yang merupakan jaringan

internal pribadi menggunakan infrastruktur dan standar dari

internet dan web.

c. Ekstranet

16  

Menurut Sawyer, Williams ( 2007, p 320) “Extranet for certain

considers are private intranets that connect not only internal

personnel but also selected suppliers and other strategic parties.”

Jadi ekstranet adalah untuk orang luar tertentu dari intranet pribadi

yang menghubungkan tidak hanya personil internal tetapi juga

supplier tertentu dan kelompok strategis lainnya.

1.1.4 Pengertian Data

Menurut McLeod (2001, p12), data terdiri dari fakta-fakta dan angka-

angka yang relative tidak berarti bagi pemakai. Sedangkan menurut O’brien

(2006, p38), data adalah observasi mentah, yang biasanya mengenai

fenomena fisik atau transaksi bisnis.

Dari kedua teori di atas, dapat disimpulkan bahwa definisi data adalah

observasi mentah yang terdiri atas fakta-fakta dan angka-angka mengenai

transaksi bisnis yang tidak berarti bagi pemakai jika belum dikelola.

1.1.5 Unified Modeling Language (UML)

Menurut Jones dan Rama (2008, p111), unified modeling language

(UML) merupakan suatu bahasa pemodelan untuk menyebutkan,

memvisualisasikan, membuat dan mendokumentasikan sistem informasi.

UML dikembangkan sebagai suatu alat untuk analisis berorientasi objek dan

desain tetapi dapat juga digunakan untuk memahami dan

mendokumentasikan berbagai sistem informasi.

17  

Salah satu jenis UML adalah UML activity diagram yang merupakan

suatu diagram untuk menunjukkan urutan aktivitas dalam suatu proses. UML

activity diagram terdiri dari :

1. Overview Activity Diagram (OAD), yaitu suatu diagram aktivitas UML

yang menyajikan gambaran tingkat tinggi dari proses bisnis dengan

mendokumentasikan kejadian-kejadian penting, urutan kejadian dan

aliran informasi antar kejadian.

2. Detailed Activity Diagram (DAD), yaitu suatu diagram aktivitas UML

yang menyediakan penyajian terperinci dari aktivitas yang berhubungan

dengan satu atau dua kejadian yang disajikan dalam overview activity

diagram.

Simbol-simbol yang digunakan dalam UML activity diagram, yaitu :

Simbol Keterangan

Awal dari suatu proses

Akhir dari suatu proses

Event

Garis lanjut dari satu event ke event lain

Alur informasi di antara event

Dokumen

18  

Swimlane / garis pisah antar agent

 

File di komputer

Jika terdapat suatu kondisi

Tabel 2.1 Simbol-simbol yang Digunakan Dalam UML

1.1.6 Pengertian Firewall

Menurut O’Brien (2007, p458), firewall adalah sebuah sistem atau

perangkat yang mengizinkan pergerakan lalu lintas jaringan yang dianggap

aman untuk dilalui dan mencegah lalu lintas jaringan yang tidak aman.

Firewall merupakan metode penting yang digunakan untuk mengendalikan

dan mengamankan internet serta berbagai macam jaringan. Firewall dapat

disebut juga sebagai “gatekeeper” atau penjaga pintu gerbang, yang

melindungi internet dan jaringan komputer lainnya dari intrusi atau

penyusup. Firewall pada umumnya juga digunakan untuk mengontrol akses

terhadap siapapun yang memiliki akses terhadap jaringan pribadi dari pihak

luar.

1.1.7 Pengertian Virus

Menurut O’brien (2007, p446), salah satu contoh kejahatan komputer

yang paling bersifat merusak adalah virus komputer. Virus adalah istilah

yang paling popular. Secara teknis, virus adalah kode program yang tidak

19  

dapat bekerja tanpa disertai atau dimasukkan ke dalam program yang

lainnya.

Worm sendiri merupakan program yang berbeda yang dapat berjalan

sendiri tanpa bantuan. Menurut Turban, Rainer dan Potter (2005, p385),

“Worm is a program that replicates itself and penetrates a valid computer

system”. Worm dapat mereplikasi dirinya sendiri, tanpa melalui suatu media

transmisi seperti e-mail, pesan instan, internet relay chat, koneksi jaringan,

dan lain-lain.

Menurut Turban, Rainer dan Potter (2005, p385), “Virus is secret

instruction inserted into programs (or data) that are innocently run during

ordinary tasks. The secret instruction may destroy or alter data, as well as

spread within or between computer systems”. Yang diartikan : virus adalah

instruksi rahasia yang dimasukkan ke dalam sebuah program (atau data)

yang dijalankan seperti biasanya. Instruksi rahasia ini dapat merusak atau

mengubah data, serta menyebar di dalam atau diantara sistem komputer.

Dapat disimpulkan bahwa virus adalah program yang bersifat merusak

dan akan aktif dengan bantuan orang dan tidak dapat mereplikasi sendiri,

penyebarannya karena dilakukan oleh orang lain, seperti copy file, biasanya

melalui attachment email, game, program bajakan, dan lain-lain.

1.1.8 Pengertian Vulnerability

Menurut Thomas R. Peltier (2005, p218), “A vulnerability is defined as

a flaw in security procedures, software, internal system controls, or

implementation of system that may affect the integrity, confidentiality,

20  

accountability, or availability of data or services. Vulnerabilities include

flaws that may be deliberately exploited and those that may cause failure

due to inadvertent human actions or natural disasters.” Yang diartikan:

vulnerability didefinis ikan sebagai sebuah kecacatan dalam prosedur

keamanan, perangkat lunak, sistem pengendalian internal, atau penerapan

sistem yang mempengaruhi integrity, confidentiality, accountability, atau

availability data atau layanan. Vulnerability termasuk kekurangan yang

mungkin sengaja dimanfaatkan dan dapat menyebabkan kegagalan karena

tingkah manusia secara tidak sengaja ataupun karena bencana alam.

Menurut SANS institute (2007, p3), “Vulnerability is a flaw or

weakness in system security procedures, design, implementation, or internal

controls that could be exercised (accidentally triggered or intentionally

exploited) and result in a security breach or a violation of the system’s

security policy”. Yang artinya : vulnerability adalah sebuah kecacatan atau

kelemahan dalam prosedur keamanan, perancangan, penerapan, atau internal

kontrol sistem yang dapat dieksekusi (secara sengaja dipicu atau

dimanfaatkan) dan mengakibatkan pelanggatan terhadap keamanan atau

kebijakan keamanan sistem.

Jadi dapat disimpulkan bahwa vulnerability adalah kelemahan atau

kerentanan dalam prosedur keamanan, perancangan, dan penerapan sebuah

sistem ataupun pada pengendalian internal yang bisa mempengaruhi

confidentiality, integrity, dan availability dari data atau informasi.

21  

1.1.9 Pengertian Threat

Menurut Thomas R. Peltier (2005, p161), “Threat is potential events

that have a negative impact on the business objectives or mission statement

of the enterprise”. Yang diartikan : threat adalah sebuah kejadian yang

berpotensi memiliki dampak negatif terhadap tujuan bisnis atau pernyataan

misi perusahaan.

Menurut Maiwald (2003, p145), “Threat is an action or event that might

violate the security of an information systems environment and three

components of threat are targets, agents, and events”. Artinya ialah : threat

adalah sebuah tindakan atau peristiwa yang mungkin melanggar lingkungan

sistem keamanan informasi dan tiga komponen threat, yaitu targets, agents,

dan events.

Jadi, menurut pengertian di atas dapat disimpulkan bahwa threat adalah

sebuah potensi serangan atau ancaman terhadap kemanan yang ada ketika

terdapat suatu keadaan yang memungkinkan, aksi, atau kejadian yang dapat

menembus keamanan dan dapat menyebabkan kerusakan. Sebuah threat

adalah kemungkinan bahaya yang timbul karena adanya kelemahan pada

sistem. Threat dapat bersumber dari internal maupun eksternal perusahaan

dan akan selalu ada dalam setiap sistem atau aset.

2.1.10 Pengertian Risiko

Menurut Thomas R. Peltier (2001, p72), “Risk is a potential event that

will have a negative impact on the business objectives or mission of the

enterprise”. Yang artinya : risiko adalah sebuah kejadian yang berpotensial

22  

memiliki dampak negatif terhadap tujuan bisnis perusahaan atau misi dari

sebuah perusahaan.

Menurut Turban, Rainer dan Potter (2005, p381), “Risk is a likelihood

that a threat will materialize”. Yang diartikan : risiko adalah sebuah

kemiungkinan bahwa ancaman (threat) akan muncul atau terjadi.

Dari definisi tersebut dapat disimpulkan bahwa risiko selalu

dihubungkan dengan kemungkinan terjadinya sesuatu yang merugikan dan

tidak diduga/tidak diinginkan.

2.1.11 Macam-macam Risiko

Menurut Gondodiyoto (2009, p110), dari berbagai sudut pandang, risiko

dapat dibedakan dalam beberapa jenis, yaitu:

1. Risiko bisnis, adalah risiko yang dapat disebabkan oleh faktor-faktor

intern maupun ekstern yang berakibat kemungkinan tidak tercapainya

tujuan organisasi.

2. Risiko bawaan, adalah potensi kesalahan atau penyalahgunaan yang

melekat pada suatu kegiatan, jika tidak ada pengendalian intern.

3. Risiko pengendalian, adalah masih adanya risiko meskipun sudah ada

pengendalian.

4. Risiko deteksi, adalah risiko yang terjadi karena prosedur audit yang

dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup

materialistis atau adanya kemungkinan fraud.

5. Risiko audit, adalah risiko bahwa hasil pemeriksaan auditor sebelumnya

ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

23  

Menurut Djojosoedarso (2005, p3), risiko dapat dibedakan dengan

berbagai macam cara, antara lain :

1. Menurut sifatnya, risiko dapat dibedakan ke dalam :

a. Risiko yang tidak disengaja (risiko murni), adalah risiko yang

apabila terjadi, tentu menimbulkan kerugian dan terjadinya tanpa

disengaja.

b. Risiko yang disengaja (risiko spekulatif), adalah risiko yang sengaja

ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian

memberikan keuntungan kepadanya.

c. Risiko fundamental, adalah risiko yang penyebabnya tidak dapat

dilimpahkan kepada seseorang dan yang menderita tidak hanya satu

atau beberapa orang saja, tetapi banyak orang.

d. Risiko khusus, adalah risiko yang bersumber pada peristiwa yang

mandiri dan umumnya mudah diketahui penyebabnya.

e. Risiko dinamis, adalah risiko yang timbul karena perkembangan

dan kemajuan (dinamika) masyarakat di bidang ekonomi, ilmu dan

teknologi, seperti risiko penerbangan luar angkasa. Dan

kebalikannya disebut risiko statis, seperti risiko hari tua, risiko

kematian, dan sebagainya.

2. Dapat-tidaknya risiko tersebut dialihkan kepada pihak lain, maka risiko

dapat dibedakan ke dalam :

a. Risiko yang dapat dialihkan kepada pihak lain, dengan

mempertanggungkan suatu objek yang akan terkena risiko kepada

perusahaan asuransi, dengan membayar sejumlah premi asuransi,

24  

sehingga semua kerugian menjadi tanggungan pihak perusahaan

asuransi.

b. Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat

diasuransikan); umumnya meliputi semua jenis risiko spekulatif.

3. Menurut sumber/penyebab timbulnya, risiko dapat dibedakan ke dalam :

a. Risiko intern yaitu risiko yang berasal dari dalam perusahaan itu

sendiri, seperti kerusakan aktiva karena ulah karyawan sendiri,

kecelakaan kerja, kesalahan manajemen, dan sebagainya.

b. Risiko ekstern yaitu risiko yang berasal dari luar perusahaan, seperti

risiko pencurian, penipuan, persaingan, fluktasi harga, perubahan

kebijakan pemerintah, dan sebagainya.

Menurut Gondodiyoto (2006, p303), ancaman utama terhadap keamanan

dapat bersifat karena alam, manus ia, yang bersifat kelalaian atau

kesenjangan, antara lain:

1) Ancaman kebakaran

Beberapa pelaksanaan keamanan untuk ancaman kebakaran, yaitu:

a. Memiliki alat pemadam kebakaran otomatis dan tabung pemadam

kebakaran.

b. Memiliki pintu/tangga darurat.

c. Melakukan pengecekan rutin dan pengujian terhadap sistem

perlindungan kebakaran untuk dapat memastikan segala sesuatunya

telah dirawat dengan baik.

2) Ancaman banjir

Beberapa pelaksanaan keamanan untuk ancaman banjir, yaitu:

25  

a. Usahakan bahan untuk atap, dinding dan lantai yang tahan air.

b. Semua material aset sistem informasi diletakkan di tempat yang

tinggi.

c. Perubahan tegangan sumber energi.

d. Pelaksanaan pengamanan untuk mengantisipasi perubahan tegangan

sumber energi listrik, misalnya dengan menggunakan stabilizer atau

power supply (UPS).

3) Kerusakan struktural

Pelaksanaan pengamanan untuk mengantisipasi kerusakan struktural

misalnya dengan memilih lokasi perusahaan yang jarang terjadi gempa,

angin ribut, banjir, dan sebagainya.

4) Penyusup

Pelaksanaan keamanan untuk mengantisipasi penyusup adalah

penempatan penjaga dan penggunaan alarm ataupun kamera pengawas.

5) Virus

Pelaksanaan keamanan untuk mengantisipasi virus, antara lain:

a. Preventive, seperti menginstal anti-virus dan melakukan update

anti-virus secara rutin.

b. Detective, misalnya melakukan scan file sebelum digunakan.

c. Corective, misalnya memastikan backup data bebas virus,

pemakaian anti-virus terhadap file yang terinfeksi.

6) Hacking

Beberapa pelaksanaan keamanan untuk mengantisipasi hacking, yaitu:

26  

a. Penggunaan logical control, seperti penggunaan password yang

sulit ditebak.

b. Petugas keamanan secara teratur memonitor sistem yang digunakan.

2.1.12 Upaya Penanggulanggan Risiko

Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara

yang dapat dilakukan untuk mengurangi risiko kerugian, antara lain:

a. Melakukan pencegahan dan pengurangan terhadap kemungkinan

terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun

gedung dengan bahan-bahan yang tidak mudah terbakar, memagari

mesin-mesin untuk menghindari kecelakaan kerja, dan sebagainya.

b. Melakukan retensi, yaitu mentolerir atau membiarkan terjaadinya

kerugian untuk sementara, dan untuk mencegah terganggunya operasi

perusahaan akibat kerugian tersebut, disediakan sejumlah dana untuk

menanggulanginya.

c. Melakukan pengendalian terhadap risiko, contohnya melakukan hedging

(perdagangan berjangka) untuk menanggulanggi risiko kelangkaan dan

fluktasi harga bahan baku/pembantu yang diperlukan.

d. Mengalihkan atau memindahkan risiko kepada pihak lain, yaitu dengan

cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan

asuransi terhadap risiko tertentu, dengan membayar sejumlah premi

asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan

mengganti kerugian apabila betul terjadi kerugian yang sesuai dengan

perjanjian.

27  

2.1.13 Risiko Teknologi Informasi

2.1.13.1 Kategori Risiko Teknologi Informasi

Menurut Hughes (2006), dalam penggunaan teknologi

informasi berisiko terhadap kehilangan informasi dan

pemulihannya yang tercakup dalam 6 kategori, yaitu:

1. Keamanan

Risiko dimana informasi diubah atau digunakan oleh orang

yang tidak berwenang. Misalnya saja kejahatan komputer,

kebocoran internal dan terorisme cyber.

2. Ketersediaan

Risiko dimana data tidak dapat diakses, misalnya setelah

kegagalan sistem, karena kesalahan manusia (human error),

perubahan konfigurasi, dan kurangnya penggunaan arsitektur.

3. Daya pulih

Risiko dimana informasi yang diperlukan tidak dapat

dipulihkan dalam waktu yang cukup setelah terjadinya

kegagalan dalam software atau hardware, ancaman eksternal,

dan bencana alam.

4. Performa

Risiko dimana informasi tidak tersedia saat diperlukan, yang

diakibatkan oleh arsitektur terdistribusi, permintaan yang

tinggi dan topografi informasi teknologi yang beragam.

5. Daya Skala

28  

Risiko dimana perkembangan bisnis, pengaturan kemacetan

dan bentuk arsitektur membuat tidak mungkin menangani

banyak aplikasi baru dan biaya bisnis secara efektif.

6. Ketaatan

Risiko dimana manajemen atau penggunaan informasi

melanggar keperluan dari pihak pengatur. Hal ini mencakup

aturan pemerintah, panduan pengaturan perusahaan dan

kebijakan internal.

2.1.13.2 Kelas-kelas Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p49), risiko-risiko

teknologi didefinisikan dalam 7 kelas. Dimana pada setiap kasus,

teknologi informasi dapat juga melakukan kesalahan, tetapi

konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis.

Kelas-kelas risiko yaitu:

1. Projects-failing to deliver.

Risiko ini bersangkutan dengan gagalnya suatu proyek TI.

Beberapa contoh dari gagalnya penyampaian proyek adalah

telat menyelesaikan proyek atau tidak pada waktunya, sumber

daya dan biaya yang dikonsumsi dalam penyelesaian proyek

besar sehingga tidak efisien, menganggu proses bisnis selama

proses implementasi, dan juga fungsi dari proyek tidak sesuai

dengan keinginan yang diharapkan oleh user.

2. IT service continuity-when business operations go off the air.

29  

Risiko ini berhubungan dengan pelayanan TI yang

ketinggalan zaman dan tidak dapat diandalkan sehingga

mengganggu proses bisnis yang sedang berjalan. Biasanya

berhubungan dengan sistem operasional dan produksi

perusahaan serta kemampuan mereka untuk menyediakan

kebutuhan user.

3. Information assets-failing to protected and preserve.

Risiko ini berhubungan khusus dengan kerusakan, kehilangan,

dan eksploitasi asset informasi yang ada dalam sistem.

Dampaknya bisa sangat fatal bagi perusahaan, misalnya saja

informasi yang penting bisa dicuri oleh perusahaan

kompetitor, detail kartu kredit bisa dilihat oleh pihak yang

tidak berwenang, sehingga dengan demikian akan merusak

hubungan antara pelanggan dengan perusahaan dan tentunya

akan sangat merugikan perusahaan.

1. Service providers and vendors-breaks in the IT value chain.

Risiko yang berhubungan dengan kemampuan dari provider

dan vendor. Bila mereka gagal dalam menyediakan pelayanan

yang baik, maka akan berdampak significant bagi sistem TI

perusahaan. Dampak lainnya berhubungan dengandampak

jangka panjang seperti kekurangan dalam penyediaan layanan

TI bagi user perusahaan tersebut.

2. Applications-flaky systems.

30  

Risiko yang berhubungan dengan kegagalan aplikasi TI yang

diterapkan. Aplikasi biasanya berinteraksi dengan user dalam

suatu perusahaan, biasanya terdapat kombinasi antara

software paket dan software buatan yang diintegrasikan

menjadi satu.

3. Infrastructure-shaky foundations

Risiko ini berhubungan dengan kegagalan dalam infrastruktur

IT. Kegagalan ini bisa bersifat permanen. Ketika suatu

komponen terbakar, dicuri, rusak, maupun koneksi jaringan

terputus, maka dampak dari kegagalan tersebut tergantung

dari ketahanan sistem yang ada. Jika risiko ini dapat ditangani

secara rutin maka itu merupakan perencanaan jangka panjang

yang baik.

7. Strategic and energent-disabled by IT.

Risiko ini berhubungan dengan kemampuan TI untuk

memberitahukan status bisnis yang dilakukan. Dampak-

dampak yang tidak langsung tetapi sangat signifikan dalam

pelaksanan bisnis secara luas. Risiko merupakan kemampuan

perusahaan untuk terus bergerak maju ke arah visi strategi,

untuk tetap kompetitif diperlukan kemajuan IT untuk

memahami dan dicocokkan dengan potensi kesempatan

eksploitasi bisnis.

31  

2.1.14 Pengertian Manajemen Risiko

Menurut Siahaan (2007, p22), manajemen risiko adalah suatu proses

dengan metode-metode tertentu supaya suatu organisasi mempertimbangkan

risiko yang dihadapi setiap kegiatan organisasi dalam mencapai tujuan

organisasi, atau risiko portofolio kegiatan organisasi.

Menurut Djojosoedarso (2005, p2), manajemen risiko merupakan

berbagai cara penanggulan risiko.

Menurut Trieschman, Hoyt, Sommer (2005, p11), “Risk management is

the process used to systematically manage risk exposures”. Yang artinya

adalah : manajemen risiko adalah proses yang digunakan untuk mengolah

pemaparan risiko secara sistematik.

Fokus manajemen risiko adalah mengenal secara pasti risiko dan

mengambil tindakan tepat terhadap risiko. Tujuannya adalah secara terus

menerus menambah nilai maksimum dalam semua kegiatan operasional.

Dengan manajemen risiko diungkap pemahaman tentang adanya potensi

risiko upside dan downside dengan segala faktor-faktor yang dapat

meningkatkan probabilitas keberhasilan, dan mengurangi probabilitas

kegagalan atau ketidakpastian dalam pencapaian tujuan organisasi secara

keseluruhan.

Oleh karena itu, dapat dikatakan bahwa setiap orang harus selalu

berusaha untuk mencegah terjadinya risiko, artinya bahwa adanya upaya

untuk meminimumkan risiko yang terjadi. Dan pencegahan risiko tersebut

dapat dilakukan dengan berbagai cara.

32  

2.1.15 Fungsi-fungsi Pokok Manajemen Risiko

Menurut Djojosoedarso (2005, p14), fungsi pokok manajemen risiko

terdiri dari:

1. Menemukan kerugian potensial

Artinya, berupaya untuk menemukan dan mengidentifikasi seluruh

risiko murni yang dihadapi perusahaan, yang meliputi :

a. Kerusakan fisik dari harta kekayaan perusahaan.

b. Kehilangan pendapatan atau kerugian lainnya akibat terganggunya

operasi perusahaan.

c. Kerugian akibat adanya tuntutan hukum dari pihak lain.

d. Kerugian-kerugian yang timbul karena penipuan, tindakan-tindakan

kriminal lainnya, dan ketidakjujuran karyawan.

e. Kerugian-kerugian yang timbul akibat karyawan kunci (key men)

meninggal dunia, sakit atau cacat.

2. Mengevaluasi kerugian potensial

Melakukan evaluasi dan penilaian terhadap semua kerugian potensial

yang dihadapi oleh perusahaan. Evaluasi dan penilaian ini meliputi

perkiraan mengenai :

a. Besarnya kemungkinan frekuensi terjadinya kerugian, artinya

memperkirakan jumlah kemungkinan terjadinya kerugian selama

suatu periode tertentu atau beberapa kali terjadinya kerugian selama

suatu periode tertentu.

b. Besarnya bahaya pada tiap-tiap kerugian, artinya menilai besarnya

kerugian yang diderita, yang biasanya dikaitkan dengan besarnya

33  

pengaruh kerugian tersebut, terutama terhadap kondisi finasial

perusahaan.

3. Memilih cara yang tepat atau menentukan suatu kombinasi dari

teknik-teknik yang tepat guna menanggulangi kerugian.

Pada pokoknya, ada empat cara yang dapat dipakai untuk

menanggulangi risiko, yaitu mengurangi kesempatan terjadinya risiko,

meretensi, mengasuransikan, dan menghindari. Tugas dari manajer risiko

adalah memilih satu cara yang paling tepat untuk menanggulangi risiko yang

ada.

2.1.16 Tahapan Manajemen Risiko Teknologi Informasi

Menurut Jordan dan Silcock (2005, p62), jalan kehidupan manajemen

risiko terdiri dari beberapa tahap yang ditempatkan dengan cara yang

berbeda untuk jenis risiko yang berbeda. Tahap-tahap tersebut terdiri dari:

1. Pengenalan/penemuan – menaruh risiko teknologi informasi pada radar

manajemen.

2. Penilaian/analisis – mengerti risiko teknologi informasi dalam konteks

keseluruhan risiko teknologi informasi dan menilai kemungkinan

munculnya serta pengaruhnya pada bisnis.

3. Perawatan – menentukan pilihan terbaik dari beberapa langkah tindakan

yang memungkinkan untuk mengatasi risiko, merencanakan dan

menyelesaikan tidakan yang diperlukan.

34  

4. Pengamatan dan peninjauan – menindaklanjuti untuk memastikan apa

yang direncanakan itu dikerjakan dan mengerti perubahan yang ada

pada risiko teknologi informasi.

2.1.17 FRAP (Facilitated Risk Analysis Process)

2.1.17.1 Pengertian FRAP

Menurut Peltier (2001, p69), “FRAP (Facilitated Risk Analysis

Process) was develop as an efficient and disciplined process for

ensuring that information security-related risks to business

operations are considered and documented”. Yang artinya : FRAP

dikembangkan sebagai sebuah proses yang efisien dan terdisiplin

untuk memastikan bahwa informasi yang berhubungan dengan

keamanan risiko operasi bisnis telah dipertimbangkan dan

didokumentasikan.

FRAP adalah suatu pendekatan terstruktur (metodologi)

terhadap proses penentuan risiko dan dampaknya, proses penentuan

prioritas, dan proses penentuan kontrol pengamanan.

Selama sesi FRAP, tim mengidentifikasi ancaman potensial,

kerentanan dan dampak negatif pada integritas data, kerahasiaan

dan ketersediaan. Dengan menggunakan FRAP diharapkan proses

analisis risiko dapat dilakukan dalam hitungan hari, bukan

mingguan atau bulanan sehingga analisis risiko bukan merupakan

kendala, tetapi proses yang sangat mungkin dilakukan (feasible) dan

perlu (enabler).

35  

2.1.17.2 Kebutuhan FRAP

Sebelum pembangunan FRAP, analisis risiko sering dianggap

sebagai tugas utama yang dibutuhkan perusahaan untuk

mempekerjakan konsultan luar dan dapat memakan waktu yang

panjang. Dimana proses analisis risiko menggunakan waktu

berminggu-minggu untuk menyelesaikan dan mempresentasikan

anggaran item yang besar. Dengan mempekerjakan konsultan luar,

keahlian para staff dalam perusahaan sering diabaikan dan hasil

yang didapat tidak dapat diterima oleh manajer unit bisnis.

Hasil dari proses yang lama adalah manajer bisnis yang tidak

mengerti kontrol yang diajukan, serta tidak mengerti kontrol yang

disarankan dan sering merusak proses pelaksanaan.

Yang diperlukan adalah proses analisis risiko yang

dikendalikan oleh manajer bisnis, membutuhkan waktu dalam

hitungan hari, bukan mingguan atau bulanan, biaya yang efektif

serta menggunakan in-house expert. FRAP dapat dilakukan oleh

seseorang dengan pengetahuan proses bisnis yang terbatas atau

sistem tertentu, tetapi dengan keterampilan fasilitas yang baik.

FRAP adalah metodologi formal yang dikembangkan melalui

pemahaman bagaimana sebelumnya dikembangkan oleh proses

analisis risiko kualitatif dimodifikasi untuk memenuhi kebutuhan

saat ini. Didorong oleh sisi bisnis dari perusahaan dan memastikan

bahwa kontrol memungkinkan proses bisnis untuk memenuhi

tujuan. Tidak pernah ada diskusi tentang kontrol seperti keamanan

36  

atau persyaratan audit. FRAP berfokus pada kebutuhan bisnis dan

kurangnya waktu yang dapat dihabiskan untuk tugas-tugas.

Dengan melibatkan unit bisnis, FRAP digunakan untuk

mengidentifikasi risiko dan ancaman. Sesekali pemilik sumber daya

terlibat dalam mengidentifikasi ancaman. Mereka umumnya

mengatur dan mencari bantuan dalam menerapkan kontrol biaya

yang efektif untuk membantu mengatasi eksposure. FRAP

memungkinkan unit-unit usaha untuk mengendalikan sumber daya

mereka. Hal ini memungkinkan mereka untuk menentukan apa yang

diperlukan untuk menjaga dan siapa yang akan bertanggung jawab

untuk melaksanakan pengamanan.

Hasil komprehensif FRAP adalah dokumen yang

mengidentifikasi ancaman, memprioritaskan ancaman-ancaman dan

mengidentifikasi kontrol yang akan membantu mengurangi

ancaman-ancaman. Yang palling penting, dengan melibatkan

manajer bisnis, FRAP menyediakan klien atau pemilik yang

percaya pada action plan.

2.1.17.3 Komponen Utama dalam FRAP

Menurut Thomas R. Peltier (2005, p159-160), pendekatan

FRAP (Facilitated Risk Analysis Process) adalah bentuk

pendekatan analisis risiko kualitatif yang paling banyak digunakan

saat ini. FRAP terdiri dari 3 komponen utama, diantaranya:

1. Pre FRAP Meeting

37  

Pre FRAP meeting merupakan kunci sukses dalam suatu

proyek. Pada tahap ini pertemuan biasanya berlangsung sekitar

1 – 1,5 jam dan biasanya dilakukan di kantor klien.

Ada 6 komponen utama yang muncul dari sesi ini, yaitu:

a. Pre-Screening Result

Prescreening merupakan sebuah metode yang akan

mengidentifikasi apakah sebuah risk assesment atau

business impact analysis, atau keduanya dibutuhkan dalam

melakukan manajemen risiko. Dalam tahapan Pre-FRAP

Session, application owner, project leader, dan fasilitator

akan mengajukan pertanyaan-pertanyaan untuk

menentukan apa saja kebutuhan-kebutuhan yang harus

dipenuhi untuk aset tertentu (sesuai dengan objek

pembahasan). Pertanyaan-pertanyaan tersebut biasanya

membahas tentang tingkat sensitivitas data atau informasi

(disclosure), atau tentang tingkat kritis sebuah sistem atau

proses bisnis (critically). Dimana dalam menentukan dasar

dalam pengajuan pertanyaan-pertanyaan, application

owner akan memilih kategori yang hampir sesuai dengan

kualitas aset perusahaan serta kondisi perusahaan saat ini.

Kategori pertama merupakan kategori yang

berhubungan dengan tingkat disclosure, sedangkan

kategori kedua dilihat dari tingkat critically. Setelah level

pada setiap kategori ditentukan, maka application owner

38  

akan menyesuaikan pilihannya dengan matriks dari

kategori prescreening dan menentukan persimpangan dari

kedua level tersebut. Dengan demikian dapat dilihat aksi-

aksi apa yang menjadi rekomendasi selama kegiatan FRAP

dilakukan, dimana aksi-aksi tersebut harus melalui

persetujuan dan perintah dari application owner terlebih

dahulu.

b. Scope Statement

Project leader dan fasilitator membuat pernyataan

mengenai peluang-peluang yang ada untuk kemudian

ditinjau. Hasilnya kemudian akan dikembangkan dalam

bentuk sebuah narasi atau pernyataan tentang apa yang

seharusnya di-review dalam proses FRAP ini.

c. Visual Mode

Pembuatan diagram proses (gambaran) yang

merupakan satu halaman yang berisi tentang tampilan

proses yang akan dijalankan, guna meninjau setiap proses

atau tahapan yang berjalan. Visual model digunakan

selama sesi FRAP untuk memperkenalkan pada tim

mengenai di mana proses dimulai dan berakhir.

d. Team Members

Selama Pre-FRAP Meeting, project leader dan

fasilitator perlu megidentifikasi siapa yang harus menjadi

bagian dari FRAP Session. Jumlah peserta yang ideal

39  

adalah antara 7 sampai 15 orang. Wakil-wakil dari bidang

berikut akan dimasukkan ke dalam proses FRAP :

1. Functional owner

2. System user

3. System administrator

4. System analysis

5. System programming

6. Database administration

7. Information security

8. Telecommunications

9. Network administration

10. Service provider

11. Auditing (jika diperlukan)

12. Legal (jika diperlukan)

13. Human resources (jika diperlukan)

14. Labor relations (jika diperlukan)

Tidak ada aturan khusus mengenai siapa yang harus hadir,

tetapi agar proses FRAP ini berhasil, application owner

dan system user harus menjadi bagian dari FRAP.

e. Meeting Mechanics

Dalam proses ini project leader memilih seseorang

dari stafnya untuk bertanggung jawab terhadap

ketersediaan ruang meeting, menentukan jadwal meeting

40  

serta menyiapkan kebutuhan yang diperlukan untuk

jalannya meeting.

f. Agreement of Definition

Dalam sesi pre-FRAP ini dibutuhkan persetujuan

terhadap definisi FRAP. Terdapat lima definisi utama yang

perlu dipahami oleh para staf sebelum melakukan FRAP,

yaitu :

• Threat

Kejadian yang berpotensial memiliki dampak negatif

terhadap tujuan bisnis atau pernyataan misi dari

perusahaan.

• Control

Suatu ukuran yang diambil untuk mencegah,

mendeteksi, mengurangi, atau pulih dari risiko untuk

melindungi proses bisnis atau misi perusahaan.

• Integrity

Informasi seperti yang dimaksudkan/diinginkan, tanpa

pengungkapan informasi yang tidak sah atau yang

tidak diinginkan.

• Confidentiality

Informasi yang belum mengalami pengungkapan

informasi yang tidak sah atau yang tidak diinginkan.

• Availability

41  

Aplikasi, sistem, atau sumber daya informasi bisa

diakses saat diperlukan.

• Probability

Kemungkinan dimana sebuah peristiwa akan terjadi

atau kemungkinan dimana nilai kerugian tertentu

dicapai dari kejadian suatu peristiwa.

- High : Sangat mungkin terjadinya ancaman dalam

tahun selanjutnya.

- Medium : Mungkin terjadinya ancaman dalam

tahun selanjutnya.

- Low : Sangat tidak mungkin terjadinya ancaman

dalam tahun selanjutnya.

• Impact

Ukuran dari tangible dan intangible effect (akibat)

oleh kegiatan satu hal atau entitas atau pengaruh atas

yang lain.

- High : Berdampak terhadap seluruh misi atau

bisnis perusahaan.

- Medium : Kerugian dibatasi pada satu unit bisnis

atau tujuan.

- Low : Bisnis seperti biasanya.

2. FRAP Session

42  

Tahapan FRAP session dibagi menjadi 2 tahapan. Dimana

tahap pertama biasa berlangsung sekitar 4 (empat) jam yang

akan melakukan pembahasan tentang :

- Mengidentifikasi ancaman (threat)

- Menetapkan tingkatan/level risiko (prioritas risiko)

- Mendokumentasikan kontrol

Dimana dalam menentukan tingkat prioritas suatu risiko,

perlu ditentukan matriks dari risiko tersebut, dilihat dari tingkat

kerentanannya (vulnerability) dan pengaruhnya terhadap bisnis

(business impact). Dalam matriks ini, terdapat beberapa

definisi-definisi yang harus dipahami di antaranya adalah:

• High Vulnerability : tingkat kelemahan yang sangat besar

yang ada di dalam sistem atau operasional perusahaan dan

berpotensi berdampak pada proses bisnis secara signifikan

sehingga control harus ditingkatkan.

• Medium Vulnerability : ada beberapa kelemahan dan

berpotensi berdampak pada proses bisnis secara signifikan,

kontrol dapat dilakukan dan harus ditingkatkan.

• Low Vulnerability : sistem sudah dibangun dengan baik

dan dioperasikan dengan benar. Tidak ada kontrol

tambahan yang dibutuhkan untuk mengurangi kerentanan.

43  

• Severe Impact (High) : cenderung menempatkan

perusahaan di luar dari bisnis atau sangat merusak prospek

usaha dan pembangunan.

• Significant Impact (Medium) : akan menyebabkan

kerusakan yang signifikan dan biaya, namun perusahaan

akan bertahan.

• Minor Impact (Low) : operasional yang diharapkan mampu

dikelola sebagai bagian dari business life cycle.

Berikut merupakan Matriks Prioritas dalam menganalisa

aksi dan kontrol yang harus diimplementasikan berdasarkan

tipe tinggi atau rendahnya dampak bisnis dan tingkat

kerentanan yang dapat terjadi pada sistem perusahaan.

Busniness Impact

High Medium Low

Vul

nera

bilit

y

High A B C

Medium B B C

Low C C D

Gambar 2.1 Priority Risk Matrix

44  

Keterangan Tabel 2.1 :

A – tindakan korektif harus diterapkan

B – tindakan perbaikan yang diusulkan

C – membutuhkan pemantauan

D – tidak ada tindakan yang diperlukan

Setelah tahapan pertama dari FRAP session ini telah

selesai, maka tim akan berlanjut melaksanakan tahapan kedua

dari FRAP session, yaitu :

- Mengidentifikasi kontrol yang ada

- Menentukan kontrol terhadap risiko high-level (dalam hal

ini risiko yang memiliki prioritas A dan B), yang belum

memiliki kontrol sebelumnya

- Memilih kelompok atau orang yang bertanggung jawab

untuk mengimplementasikan rekomendasi kontrol yang

diusulkan sebelumnya

3. Post FRAP Meeting

Pada tahap ini pertemuan biasanya berlangsung sekitar 10 hari

dan memiliki tiga elemen, yaitu:

a. Creation on the Cross-References Sheet

Membuat cross-reference sheet berdasarkan tabel risiko

dan tabel kontrol untuk mengidentifikasi pengendalian

yang cocok dengan risiko yang teridentifikasi.

b. Creation on the Action Plan

45  

Untuk mendapatkan laporan lengkap, project leader dan

fasilitator harus membuat action plan (rencana aksi), yaitu

dengan menggabungkan risiko dari risk list dengan kontrol

yang disarankan dari control list, dengan tujuan

mengetahui tindakan apa yang dilaksanakan dan oleh siapa

dilaksanakan, serta status dari rencana aksi tersebut agar

dapat membantu perusahaan dalam melaksanakan

penerapan kontrol yang diusulkan.

c. Final Report

Membuat laporan akhir yang berisi hasil dari FRAP yang

telah dilakukan.

2.1.17.4 Tahapan FRAP

1. The Pre FRAP Meeting

a. Menjelaskan mengenai proses FRAP dan komponen sistem

yang akan dianalisis.

b. Menentukan ruang lingkup

c. Menggambarkan ruang lingkup dalam bentuk diagram.

d. Menentukan tim-tim yang akan ikut serta dalam proses

FRAP.

e. Menentukan waktu, ruang dan berbagai kebutuhan lainnya

yang dibutuhkan selama meeting berlangsung.

f. Persetujuan terhadap definisi.

2. The FRAP Session

46  

a. Logistic : perkenalan anggota FRAP.

b. Overview pernyataan ruang lingkup (visual model) dan

persetujuan definisi.

c. Proses Brainstorming dilakukan dengan memberi

kesempatan kepada tiap anggota tim untuk menulis risiko

yang mungkin dari sistem yang didiskusikan pada

selembar kertas kecil. Setelah 3 sampai 5 menit, fasilitator

akan mengumpulkan kertas tersebut dan proses tersebut

diulang sampai tidak ada risiko yang dapat teridentifikasi

lagi.

d. Kemudian fasilitator akan menyortir dan mengumpulkan

risiko yang serupa serta menempelkannya pada papan.

Sementara anggota tim lainnya diberi kesempatan untuk

break selama 10 sampai 15 menit.

e. Proses dilanjutkan dengan menentukan prioritas dari risiko

yang telah diidentifikasikan berdasarkan kriteria dan juga

definisi yang telah disepakatai pada sesi Pre-FRAP

Meeting.

f. Langkah berikutnya yaitu penentuan kontrol, dimulai dari

aset yang mempunyai risiko tinggi. Cara yang dilakukan

dapat seperti pada cara penentuan risiko (sample priority

matrix) atau dengan cara memberikan daftar kontrol

pengamanan yang biasa digunakan dalam sistem yang

sejenis dan meminta tim untuk memilih kontrol

47  

pengamanan yang cocok serta menentukan orang yang

berhak atau wajib melakukan kontrol tersebut.

3. Post FRAP Meeting

a. Membuat cross-references sheet yang berisikan masing-

masing kontrol dan risiko-risiko apa saja yang dapat

berkurang sebagai akibat dari pelaksanaan kontrol tersebut.

b. Project leader dan fasilitator akan melihat kontrol mana

saja yang sudah diterapkan pada risiko yang ada.

c. Project leader dan fasilitator akan bertemu dengan manajer

bisnis untuk meninjau ulang dan mengidentifikasi kontrol

apa saja yang dapat digunakan untuk mengatasi risiko-

risiko yang masih terbuka.

d. Membuat action plan untuk risiko-risiko yang masih

terbuka dan risiko-risiko yang akan diimplementasikan

kontrolnya. Project leader, fasilitator dan manajer bisnis

menentukan kontrol apa saja ynag paling efektif dan

menentukan pihak mana saja yang akan

mengimplementasikan kontrol tersebut beserta dengan

tanggal pelaksanaannya.

e. Setelah risiko tersebut telah dikontrol atau ternyata bisnis

manajer telah mengidentifikasikan bahwa risiko tersebut

dapat diterima maka final report akan dibuat.

48  2.2 Teori-Teori Khusus

2.2.1 Pengertian Absensi

Absensi adalah sistem pencatatan yang dilakukan oleh orang tertentu

yang bertujuan untuk mengetahui daftar hadir mereka dalam suatu tempat.

Pada prinsipnya jenis-jenis absensi bisa digolongkan menjadi 2 bagian,

yaitu:

a. Jenis Manual

Absensi jenis manual adalah absensi yang sepenuhnya dikerjakan

langsung oleh manusia. Absensi manual bisa terdiri dari :

1. Absensi Harian

Yaitu absensi yang dikerjakan setiap hari.

2. Absensi Bulanan

Yaitu absensi yang dikerjakan setiap bulan.

3. Absensi Tahunan

Yaitu absensi yang dilakukan setiap setahun sekali.

b. Jenis Non Manual (menggunakan alat)

Pada era globalisasi seperti sekarang ini dalam membuat absensi kita

dapat menggunakan alat bantu elektronik. Jadi absensi non manual

adalah absensi yang menggunakan alat bantu elektronik. Adapun

penginputan/pengisian data untuk absensi jenis ini dapat berupa :

1. Id card

2. Nomor induk per-seorangan

3. Sidik jari / fingerprint

49  

(sumber : http://denid3akatel.blogspot.com/2008/04/absensi-

akurat.html)

2.2.1.1 Tujuan Absensi

Tujuan absensi adalah untuk meningkatkan kedisiplinan

karyawan. Daftar absensi sangat penting bagi atasan untuk

mengetahuui keadaan bawahannya. Adapun tujuan dari absensi

tersebut adalah :

a. Untuk melihat kehadiran karyawan

b. Untuk meningkatkan kedisiplinan karyawan

c. Untuk meningkatkan semangat kerja karyawan

d. Untuk mengetahui keadaan bawahan di hari kerja

e. Untuk mengetahui apakah bawahan mempunyai semangat

kerja dengan melihat kehadiran karyawan di hari kerja

f. Sebagai bahan laporan kepada bagian kepada atasan tentang

karyawan yang disiplin

Dengan diterapkannya absensi ini, dengan sendirinya telah

membantu meningkatkan mutu dari instansi itu. Kebanyakan

orang menilai adanya penggunaan absensi berarti adanya disiplin

pada tempat yang bersangkutan. Selanjutnya orang menilai

sistem kerja ditempat tersebut berkualitas baik. Dengan demikian

absensi ini juga ikut membantu penilaian yang baik bagi setiap

organisasi yang menerapkannya.

50  

(sumber : http://juswita2008.blogspot.com/2008/11/landasan-

teori.html)

2.2.1.2 Hal-Hal Pokok Penyebab dari Absensi

Salah satu penyebab dari absen adalah kurangnya disiplin

karyawan, yang mana pengertian disiplin adalah : “Disiplin dapat

diartikan sebagai suatu sikap, tingkah laku, dan perbuatan yang

sesuai dengan peraturan dari perusahaan baik yang tertulis

maupun yang tidak tertulis” Alex S. Nitisemito ( 1986 : 149).

Dari pengertian disiplin diatas maka penulis menarik suatu

kesimpulan bahwa setiap karyawan yang berada di perusahaan

harus menaati semua peraturan yang ada dalam perusahaan

dimana ia bekerja. Apabila peraturan-peraturan yang ada sudah

dapat ditaati oleh para karyawan, maka dapat dikatakan bahwa

ada kedisiplinan dalam perusahaan tersebut.

Hal-hal yang dapat mempengaruhi tingkat absensi menurut

Slamet Wiyadi (1984 : 229), antara lain :

1. Alpa

Masalah kompensasi, kurangnya kedisiplinan, dan

ketidaksenangan atau bosan dengan lingkungan kerja dapat

menyebabkan alpa.

2. Cuti

Cuti merupakan hak dari karyawan yang

diberikan/diiterapkan perusahaan. Jika karyawan

51  

mempunyai kesadaran yang tinggi akan tingkat absensi,

maka karyawan biasanya enggan untuk menggunakan hak

cutinya.

3. Izin

Karyawan yang sering minta izin tidak hadir perusahaan

perlu memperhatikan izin tersebut, karena biasanya izin

tersebut disalahgunakan karyawan untuk mencari pekerjaan

tambahan diluar perusahaan guna tambahan penghasilan.

Izin dapat diberikan perusahaan kepada karyawannya,

apabila karyawan tersebut menghadapi masalah ataupun

peristiwa yang amat mendesak.

4. Sakit

Sakit dapat terjadi di luar kemauan karyawan. Namun tidak

semua alasan sakit dapat diterima, sebab ada kemungkinan

karyawan hanya berpura-pura.

2.2.2 Pengertian Lembur

Lembur adalah suatu kondisi dimana seseorang bekerja di luar jam

kerja normal yang ditetapkan oleh suatu instansi.

Definisi lain dari pengertian lembur ialah :

- Pekerjaan yang dilakukan oleh karyawan atau pekerja di lebih dari hari

kerja dasar (biasanya 8 jam sehari, 5 hari seminggu) seperti yang di

definisikan oleh perusahaan.

- Waktu lebih dari batas yang ditetapkan.

52  

(sumber :

http://ilerning.com/index.php?option=com_content&view=article&id=110

8:lembur-edit-mar&catid=47:akuntansi-dasar&Itemid=65)

Sehingga dapat disimpulkan bahwa lembur merupakan suatu keadaan

dimana seseorang harus melakukan sebuah pekerjaan di luar jam ataupun

hari kerja, yang ditetapkan oleh sebuah perusahaan atau organisasi.

2.2.3 Biometrik

Menurut Maiwald, (2003, p13), “Biometrics systems are yet another

authentication mechanism (something you are) and they too can reduce the

risk of someone guessing a password”. Yang diartikan sebagai : sistem

biometrik adalah mekanisme otentikasi (sesuatu tentang Anda) yang

lain/berbeda dan dapat mengurangi risiko seseorang menebak sebuah kata

sandi.

Ada banyak jenis scanner biometrik yang dapat digunakan untuk

verifikasi, antara lain:

• Fingerprints

• Retina/iris

• Palm prints

• Hand geometry

• Facial geometry

• Suara

53  

Setiap metode biasanya memerlukan beberapa jenis perangkat

untuk mengidentifikasi karakteristik manusia. Dalam banyak kasus,

perangkat ini harus cukup canggih untuk mendeteksi upaya spoofing.

2.2.3.1 Biometrik Sidik Jari (Fingerprint)

Sidik jari (fingerprint) merupakan suatu parameter yang

dikenal dengan nama biometrik yang dimiliki manusia sebagai

tanda pengenal diri yang bisa digunakan sebagai alat kunci

(password).

(sumber : http://budi.insan.co.id/)

2.2.3.2 Sifat-Sifat Sidik Jari

Sistem keamanan menggunakan sidik jari telah terbukti cukup

akurat, aman, mudah, dan nyaman untuk dipakai sebagai

identifikasi. Hal ini dapat dilihat pada sifat yang dimiliki oleh

sidik jari, antara lain:

1. Perennial nature, yaitu guratan-guratan pada sidik jari yang

melekat pada kulit manusia seumur hidup.

2. Immutability, yaitu sidik jari seseorang tidak pernah berubah,

kecuali mendapat kecelakaan yang serius.

3. Individuality, pola sidik jari adalah unik dan berbeda untuk

setiap orang.

54  

Dari ketiga sifat ini, sidik jari dapat digunakan sebagai sistem

identifikasi yang dapat digunakan dalam aplikasi teknologi

informasi.

2.2.3.3 Scan S idik Jari

Pengenalan sidik jari, barangkali termasuk yang paling cost

effective akan tetapi tetap mempertahankan tingkat keamanan

yang tinggi dan kemudahan untuk penggunaannya.

Scan sidik jari ke komputer berarti kita men-scan sidik jari

kita melalui suatu alat yaitu finger scan agar dapat dibaca oleh

program komputer dengan cara menempelkan jari kita ke sensor

alat tersebut.

Sistem ini meliputi sebuah perangkat keras scanner dan

perangkat lunak. Merekam karakteristik sidik jari yang spesifik,

menyimpan data tiap-tiap user ke dalam sebuah database, ketika

user mencoba lagi menguatkan akses maka perangkat lunak akan

membandingkan data yang tersimpan pada database dengan

pembacaan sidik jari dari scanner. Sistem sidik jari sangat akurat

tetapi dapat dipengaruhi oleh perubahan-perubahan di dalam sidik

jari (terbakar, bekas luka dan sebagainya), kotoran dan faktor-

faktor lain yang menimbulkan gangguan pada gambar.

Teknologi sidik jari (fingerprint scan) dipertimbangkan

sebagai salah satu produk biometrik untuk aplikasi dalam sistem

jaringan perusahaan. Sistem ini juga banyak dipakai untuk

55  

mengontrol akses dan membedakan identitas di banyak

perkantoran, pabrik, sekolah dan gedung pemerintah dengan

sistem keamanan tinggi. Produk ini juga bisa digunakan sebagai

sistem hadir yang bisa mencegah penipuan seperti pada sistem

kartu.

2.2.3.4 Metodologi Sidik Jari ke Sistem Komputer

Feature sidik jari yang digunakan adalah guratan sidik jari

yang dapat diidentifikasi dengan cara menganalisa fine details dari

guratan-guratan sidik jari yang dinamakan dengan minutiae.

Beberapa feature guratan sidik jari dapat dilihat pada gambar

dibawah ini.

Gambar 2.2 Feature Guratan Sidik Jari Manusia

56  

Francis Galton (1822-1916) mengatakan bahwa tidak ada dua

sidik jari yang sama, artinya setiap sidik jari yang dimiliki oleh

seseorang adalah unik. Berdasarkan klasifikasi, pola sidik jari

dapat dinyatakan secara umum ke dalam tiga bentuk yaitu :

Gambar 2.3 Pola Sidik Jari

(sumber : http://elib.unikom.ac.id/files/disk1/17/jbptunikompp-

gdl-s1-2004-enengiradw-829-BAB+2.pdf)