Tesis
untuk memenuhi sebagian persyaratan
mencapai derajat Sarjana S-2
Minat Studi Magister Teknologi Informasi
Jurusan Teknik Elektro dan Teknologi Informasi
Fakultas Teknik
diajukan oleh
YASRUL
10/309100/PTK/7044
kepada
iv
Ucapan terima kasih yang khusus, dengan penuh rasa hormat, kepada kedua
orang tua, Bapak H. Munsip Arpah dan Ibu Sulastri serta keluarga di rumah atas
segenap do'a dan dukungannya. Penghargaan yang tak ternilai bagi istri tercinta,
Endang Tristiyanti, S.Pd beserta para kurcacinya : Maliha, Izzuddin, Ayash,
Danish. Terima kasih atas pengertianya, kesabaranya, do'a dan air mata yang
menyertainya, semoga Allah SWT senantiasa memberikan kebaikan bagi keluarga
kita.
Sebagai hasil karya manusia biasa, tentu tesis ini tidak luput dari
kekurangan, karenanya segala kritik dan saran akan sangat berguna untuk
penelitian berikutnya. Semoga tesis ini dapat memberikan manfaat kepada semua
pihak yang berkepentingan, terutama instansi Biro Umum SETDA Provinsi NTB
bagi pengembangan kualitas manajemen risiko teknologi informasi di organisasi.
Yasrul
v
DAFTAR ISI
HALAMAN JUDUL..................................................................................................i
HALAMAN PENGESAHAN...................................................................................ii
HALAMAN PERNYATAAN..................................................................................iii
KATA PENGANTAR..............................................................................................iv
DAFTAR ISI.............................................................................................................vi
DAFTAR TABEL..................................................................................................viii
DAFTAR GAMBAR................................................................................................ix
DAFTAR LAMPIRAN..............................................................................................x
DAFTAR SINGKATAN..........................................................................................xi
ABSTRAK..............................................................................................................xiii
BAB I PENDAHULUAN..........................................................................................1
1.1 Latar Belakang................................................................................................1
1.1.1 Perumusan Masalah..................................................................................3
1.1.2 Keaslian Penelitian....................................................................................4
1.1.3 Manfaat Penelitian....................................................................................6
1.2 Tujuan Penelitian.............................................................................................7
BAB II TINJAUAN PUSTAKA DAN LANDASAN TEORI..................................8
2.2 Landasan Teori..............................................................................................11
2.2.1 Evaluasi...................................................................................................11
2.2.2 Risiko Teknologi Informasi....................................................................14
2.2.3 Manajemen Risiko Teknologi Informasi................................................17
2.2.4 Framework "Risk IT"..............................................................................20
2.2.5 Model Kematangan.................................................................................26
2.2.6 Bagan RACI............................................................................................28
2.2.7 Kuesioner................................................................................................31
2.3 Pertanyaan Penelitian....................................................................................32
BAB III METODOLOGI PENELITIAN................................................................33
3.1 Bahan Penelitian............................................................................................33
3.2 Alat Penelitian...............................................................................................33
3.3 Jalan Penelitian..............................................................................................34
3.3.1 Pemilihan Domain dan Model Kematangan Framework "Risk IT".......35
3.3.2 Identifikasi Responden...........................................................................36
3.3.3 Rancangan Survey Kuesioner dan Wawancara.......................................38
3.3.4 Pengolahan Data.....................................................................................40
3.3.5 Analisis Data...........................................................................................43
vi
3.3.6 Pengembangan Manajemen Risiko TI....................................................43
3.4 Kesulitan-Kesulitan.......................................................................................43
BAB IV HASIL PENELITIAN DAN PEMBAHASAN.........................................45
4.1 Hasil Penelitian..............................................................................................45
4.1.1 Gambaran umum Biro Umum SETDA Provinsi NTB...........................45
4.1.2 Implementasi Teknologi Informasi.........................................................47
4.1.3 Risiko Teknologi Informasi....................................................................52
4.1.4 Karakteristik Responden.........................................................................56
4.1.5 Perhitungan Tingkat Kematangan Saat Ini (as-is)..................................60
4.1.6 Penentuan Tingkat Kematangan yang Diharapkan (to-be).....................66
4.1.7 Kesenjangan Tingkat Kematangan.........................................................67
4.2 Pembahasan...................................................................................................72
4.2.1 Analisis Kematangan Saat Ini (as-is)......................................................72
4.2.2 Analisis Kematangan yang Diharapkan (to-be)......................................77
4.3 Pengembangan Manajemen Risiko TI..........................................................80
4.3.1 Keterkaitan Antar Atribut Kematangan..................................................81
4.3.2 Langkah-Langkah Strategis....................................................................82
4.3.3 Mendefinisikan Tindakan Perbaikan......................................................87
4.3.4 Penahapan dan Target Waktu.................................................................92
4.3.5 Rekomendasi...........................................................................................94
BAB V KESIMPULAN DAN SARAN...................................................................96
5.1 Kesimpulan....................................................................................................96
5.2 Saran..............................................................................................................99
DAFTAR PUSTAKA............................................................................................102
LAMPIRAN...........................................................................................................105
vii
DAFTAR TABEL
viii
DAFTAR GAMBAR
ix
DAFTAR LAMPIRAN
x
DAFTAR SINGKATAN
xi
ABSTRACT
Information technology has long been used in business processes at the Biro
Umum Sekretariat Daerah Provinsi NTB and are expected to provide added value
to the achievement of agency goals. In addition to its benefits, the application of
information technology also contains risks that may affect the business process
itself, causing losses that bad for the agency. Therefore, agencies must understand
and anticipate any potential risks that may occur. Application of good information
technology risk management aim to reduce the negative impacts of risk that may
arise. To find out the extent to which agencies manage the risks associated with
information technology it needs to be evaluated.
The research will use the "Risk IT" framework approach as an information
technology risk management standards issued by ISACA to evaluate the
implementation of risk management processes of information technology which
covers risk governance, risk evaluation, and risk response. The evaluation process
will be based on a maturity model that has been defined by the "Risk IT"
framework to measure the maturity level of information technology risk
management conditions at the Biro Umum Seketariat Daerah Provinsi NTB.
The maturity level results would indicate the quality degrees of
implementation of information technology risk management today and can be used
as an ingredient to make improvements in aspects that were considered less. The
study will provide recommendations for the development of IT risk management
processes in government agencies. The results of this research can also be used as a
reference in the development of guidelines for the application of information
technology risk Management that will provide guidance to all organizational units
in carrying out business processes related to information technology.
xii
ABSTRAK
Kata kunci : Manajemen risiko TI, risiko TI, Framework “Risk IT”
xiii
BAB I
PENDAHULUAN
Risiko tersebut dapat terdiri dari berbagai macam kejadian dan kondisi yang
risiko-risiko tersebut tidak dikelola dengan baik maka akan menimbulkan dampak
yang telah dilakukan oleh instansi di antaranya yang penting adalah berupa
dibutuhkan pada beberapa proses bisnis, dan didukung oleh jaringan komputer
risiko yang dapat merugikan dan mempengaruhi proses bisnis atau pekerjaan.
data, dan serangan hacker yang mengganggu jaringan komputer dan situs web
1
2
instansi. Kegagalan atau kesalahan dalam pengembangan proyek SI/ TI juga dapat
akan semakin besar ketika teknologi informasi tersebut digunakan oleh unit-unit
kerja yang melaksanakan proses-proses bisnis yang penting dan strategis seperti
informasi yang baik akan dapat mengurangi dampak yang merugikan dan
informasi.
terhadap proses manajemen risiko teknologi informasi. Informasi ini akan sangat
berharga bagi instansi sebagai bahan untuk melakukan program perbaikan dan
informasinya.
27005, ISO/FDIS 31000, ARMS, AS/NZS 4360. Selain framework "Risk IT",
model proses yang rinci berserta praktek manajemen dan model kematangannya
(ISACA, 2009).
informasi yang memberikan pandangan yang komprehensif dari risiko bisnis yang
System Audit and Control Association) pertama kali pada tahun 2009. "Risk IT"
Sekretariat Daerah Provinsi NTB perlu diketahui untuk menjadi dasar dalam
melakukan perbaikan dan peningkatan sehingga terhindar dari kerugian yang lebih
Sekretariat Daerah Provinsi NTB, sudah sejauh mana proses dan aktivitas
mitigasi risiko dapat dilakukan dengan baik oleh setiap unit/divisi. Selain
itu juga agar dapat menumbuhkan budaya sadar risiko (risk awareness)
diagram RACI.
3. Qin dan Shang (2008) secara khusus meneliti tentang manajemen risiko
publik, bahwa manajemen risiko teknologi yang dikelola dengan baik dapat
berkembang dengan mengacu pada best practice framework yang telah ada
Analysis Process) .
yang meliputi tata kelola risiko, evaluasi risiko, dan respon risiko yang terdapat
pada Biro Umum Sekretariat Daerah Provinsi NTB, khususnya pada Bagian
mengelola fungsi bisnis yang sangat kritis dan penting serta intensitas penggunaan
informasi pada Biro Umum Sekretariat Daerah Provinsi NTB khususnya pada
Bagian Keuangan, Bagian Sekretariat dan PDE, dan Bagian Perlengkapan yang
memiliki risiko teknologi informasi yang relatif cukup besar terkait dengan tugas
risiko TI saat ini dan yang akan dicapai serta tindakan-tindakan perbaikan yang
kurang
Provinsi NTB yang ada pada saat ini dengan mengacu pada model kematangan