MANAJEMEN RISIKO TEKNOLOGI INFORMASI STUDI KASUS PADA BADAN PUSAT STATISTIK PRODUK LAYANAN : PELAYANAN STATISTIK TERPADU (PST)
Disusun untuk Ujian Akhir Semester (UAS) Mata Kuliah Nilai dan Risiko Teknologi Informasi (IF 5142) Dosen: Dr. Ir. Ing. Suhardi, MT., MM., ERMCP.
Oleh : Novianto Budi Kurniawan NIM. 23512176
MAGISTER INFORMATIKA SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA (STEI) INSTITUT TEKNOLOGI BANDUNG 2013
ABSTRAKSI Pelayanan Statistik Terpadu (PST) merupakan program layanan statistik yang menjadi prioritas utama BPS dan menjadi domain dari program percepatan (Quick Wins) untuk meningkatkan kualitas pelayanan publik serta kualitas pendiseminasian data dan informasi statistik. Dalam rangka mewujudkan kualitas pelayanan statistik yang prima, BPS mengimplementasikan Teknologi Informasi (TI) melalui sistem Pelayanan Statistik Terpadu untuk meningkatkan kepuasan pengguna data terhadap data dan layanan statistik BPS. Implementasi sumber daya TI selain dapat dipandang sebagai aset organisasi yang perlu dijaga dan dilindungi juga mengandung risiko bisnis bagi organisasi tersebut. Kehadiran TI selain dapat membantu organisasi dalam upaya mencapai tujuan organisasi juga menghadirkan risiko yang perlu dikelola dengan baik. Oleh karenanya diperlukan suatu manajemen risiko TI bagi organisasi. Paper ini akan membahas mengenai peranan dan nilai TI pada organisasi BPS serta proses manajemen risiko TI yang mungkin timbul karena penggunaan sumber daya TI tersebut. Keyword : Pelayanan Statistik Terpadu, Sumber Daya TI, Nilai TI, Manajemen Risiko TI, Badan Pusat Statistik, ISO 31000.
!
1
I. PENDAHULUAN 1.1. Profil Instansi Badan Pusat Statistik (BPS) merupakan Lembaga Pemerintah Non Kementrian (LPNK) yang bertanggung jawab didalam penyediaan data statistik dasar dan sektoral seperti diatur didalam Undang-Undang Nomor 16 tahun 1997 tentang Statistik. BPS mempunyai tugas dan peranan sebagai penyedia data dan informasi statistik yang berkualitas: lengkap, akurat, mutakhir, berkelanjutan, dan relevan bagi pengguna data. Data dan informasi statistik yang berkualitas merupakan rujukan bagi upaya perumusan kebijakan dalam menyusun perencanaan, melakukan pemantauan dan mengevaluasi program-program agar sasaran-sasaran yang telah ditetapkan dapat dicapai dengan tepat, sehingga tujuan pembangunan, diantaranya untuk meningkatkan kesejahteraan rakyat, dapat dicapai dengan efektif [1]. Proses penyediaan data dan informasi statistik yang dihasilkan BPS menjadi bagian yang tidak terpisahkan dari masyarakat yang disebarluaskan melalui berbagai media dengan berbagai cara agar pemanfaatannya bisa menjangkau secara luas, baik di dalam maupun di luar negeri. Badan Pusat Statistik memiliki peran yang sangat vital dalam menyediakan kebutuhan data dan informasi statistik bagi pemerintah dan masyarakat. Data dan informasi statistik yang dihasilkan BPS digunakan sebagai bahan rujukan untuk menyusun
perencanaan,
melakukan
evaluasi,
membuat
keputusan,
dan
memformulasikan kebijakan [2] [3]. Tuntutan pemerintah dan masyarakat terhadap ketersediaan data serta informasi statistik yang beragam dan berkualitas semakin hari semakin meningkat. Pengguna data menginginkan data bisa tersedia lebih cepat (faster), lebih murah (cheaper), lebih mudah diperoleh (easier), dan lebih berkualitas (better) [3]. Keinginan pemerintah dan masyarakat terhadap data berkualitas, mengisyaratkan bahwa BPS harus mampu menyajikan data dan informasi statistik yang dapat dipercaya, relevan, dan tepat waktu melalui proses kerja yang sistematis dan berkelanjutan. Oleh sebab itu sejak tahun 2011, BPS melakukan Reformasi Birokrasi untuk melakukan pembaharuan dan perubahan
!
2
yang mendasar terhadap sistem penyelenggaraan kegiatan perstatistikan nasional sehingga dapat memberikan pelayanan yang prima kepada pengguna data [1] [3]. 1.2. Visi dan Misi BPS Visi BPS 2010-2014 dibangun dengan memperhatikan berbagai kekuatan dan kelemahan internal serta peluang dan tantangan yang dihadapi melalui landasan pemikiran yang proaktif [1]. Visi BPS selaku Pelopor Data Statistik Terpercaya Untuk Semua menuntut BPS untuk dapat bekerja secara professional, integritas dan amanah demi mewujudkan perstatistikan nasional yang handal dan terpercaya. Dengan visi tersebut, eksistensi BPS sebagai penyedia data dan informasi statistik menjadi semakin penting, sehingga dapat dipercaya oleh semua pihak. Berdasarkan visi BPS tersebut, maka misi BPS dalam rangka pembangunan Sistem Statistik Nasional (SSN) mencakup: 1.
Memperkuat landasan konstitusional dan operasional lembaga statistik untuk penyelenggaraan statistik yang efektif dan efisien;
2.
Menciptakan insan statistik yang kompeten dan profesional, didukung pemanfaatan teknologi informasi mutakhir untuk kemajuan perstatistikan Indonesia;
3.
Meningkatkan penerapan standar klasifikasi, konsep dan definisi, pengukuran, dan kode etik statistik yang bersifat universal dalam setiap penyelenggaraan statistik;
4.
Meningkatkan kualitas pelayanan informasi statistik bagi semua pihak;
5.
Meningkatkan koordinasi, integrasi, dan sinkronisasi kegiatan statistik yang diselenggarakan pemerintah dan swasta, dalam kerangka SSN yang efektif dan efisien.
1.3. Tujuan dan Sasaran Strategis BPS Undang-undang Nomor 16 Tahun 1997 tentang Statistik mengamanatkan BPS untuk menyediakan data dan informasi statistik pada skala nasional maupun regional, serta melakukan koordinasi, integrasi, sinkronisasi, dan standardisasi dalam penyelenggaraan statistik. Penetapan tujuan dan sasaran strategis
!
3
digunakan sebagai panduan bagi BPS untuk mencapai visi dan misi BPS serta meningkatkan kinerja dalam melaksanakan kegiatan statistik, dimana tujuan strategis ini akan bersinergi dalam penyediaan data dan informasi statistik yang berkualitas [1]. Tujuan dan sasaran strategis BPS adalah sebagai berikut : Tujuan 1 :
Meningkatkan Ketersediaan Data dan Informasi Statistik yang Berkualitas
Tujuan 2 :
Meningkatkan Pelayanan Prima dalam Rangka Mewujudkan SSN yang Andal, Efektif, dan Efisien
Tujuan 3 :
Penguatan Teknologi Informasi dan Komunikasi Serta Sarana Kerja
Tujuan 4 :
Peningkatan Kapasitas SDM dan Penataan Kelembagaan
1.4. Peningkatan Kualitas Data Peningkatan kualitas data menjadi salah satu tujuan strategis yang akan dicapai BPS dalam mendukung strategi dan arah kebijakan nasional [1]. Sejalan dengan strategi dan arah kebijakan BPS, selama lima tahun ke depan BPS perlu mengupayakan reformasi dan perubahan terhadap pembangunan kegiatan statistik secara menyeluruh [1] [2] [3]. Proses peningkatan kualitas data ini, pada gilirannya akan dicerminkan oleh berkurangnya timelines penyajian data, meningkatkan
kualitas
penyajian,
meningkatkan
pelayanan
publik
dan
memberikan kemudahan kepada pengguna data untuk mengakses data dan informasi statistik. Untuk mencapai target peningkatan kualitas data statistik dan peningkatan pelayanan publik tersebut, maka BPS menetapkan produk/layanan statistik BPS yang berorientasi kepada peningkatan kualitas pelayanan publik. 1.5. Produk/Layanan BPS BPS memiliki beberapa produk dan layanan statistik yang digunakan untuk menunjang peningkatan kualitas pelayanan publik (pengguna data). Untuk membangun kepercayaan dan kepuasan pengguna data, sejak tahun 2011 BPS melakukan suatu program percepatan (Quick Wins) terhadap produk BPS yang dapat menyentuh kebutuhan para pengguna data tersebut [2] [3] [4]. Program
!
4
percepatan ini dirancang untuk meningkatkan nilai, manfaat serta kepentingan produk dan layanan statistik BPS dimata pengguna data sehingga berdampak langsung pada peningkatan public value BPS. Program Quick Wins [3] ini dipilih dengan memperhatikan produk statistik yang memiliki daya ungkit (leverage) tinggi, inovatif, dan merupakan terobosan yang terkait dengan produk utama (core business) BPS. Untuk menjawab tantangan tersebut, BPS menetapkan tiga program Quick Wins yaitu: (1) Penyempurnaan Pelayanan Statistik, melalui penyempurnaan tampilan dan fasilitas website BPS, diantaranya dengan membuat Tabel Dinamis (2) Pelayanan Statistik Terpadu (PST), dengan cara memberikan pelayanan kepada pengguna data melalui pelayanan satu pintu. (3) Advanced Release Calendar (ARC), yaitu menyediakan informasi jadwal terbit publikasi statistik (bulanan, triwulanan, semesteran, dan tahunan) yang dipublikasikan melalui website supaya pengguna data mendapat kepastian waktu publish data, informasi dan publikasi statistik. Tabel 1.1. Daftar Produk/Layanan Statistik BPS No (1) 1
Produk/Layanan Statistik
(2) Tersedianya 1. Layanan Statistik Terpadu Tercapainya kepuasan pengguna data terhadap data dan layanan statistik
(3) Pelayanan Statistik Terpadu (PST)
3
Tersedianya layanan akses data dan informasi statistik secara online 24 jam
Tabel Dinamis (Website)
4
Tersedianya 3. informasi Ketepatan Waktu Publikasi
2
!
Indikator Kinerja (Public Value)
2.
Advanced Release Calendar (ARC)
5
Deskripsi (4) PST merupakan pengembangan layanan statistik secara terpadu (satu pintu), meliputi : sistem aplikasi buku tamu, sistem aplikasi digital library, sistem aplikasi perpustakaan tercetak, dan sistem aplikasi perpustakaan online, layanan data mikro, konsultasi dan rekomendasi statistik. Tabel dinamis merupakan pengembangan dari content website BPS yang memberikan fasilitas kepada pengguna data untuk mengakses tabel data statistik secara dinamins sesuai dengan keinginan pengguna data sendiri ARC menyediakan informasi jadwal terbit publikasi statistik (bulanan, triwulanan, semesteran, dan tahunan) yang dipublikasikan melalui website supaya pengguna data mendapat kepastian waktu untuk mendapatkan data, informasi dan publikasi statistik
Tabel 1.1. memperlihatkan daftar produk/layanan statistik BPS yang termasuk dalam program Quick Wins yang dapat menunjang pencapaian indikator kinerja (public value) BPS. Pembahasan selanjutnya akan difokuskan hanya pada 1 (satu) produk/layanan statistik BPS saja, yaitu Pelayanan Statistik terpadu. Rincian capability dan IT resources yang digunakan pada produk/layanan PST tersebut dapat dilihat pada Tabel 1.2. Tabel 1.2. IT Resources-Capability-Public Value dari PST No (1) 1
2
Indikator Kinerja (Public Value) (2) Tersedianya Layanan Statistik Terpadu Tercapainya kepuasan pengguna data terhadap data dan layanan statistik
Produk/Layanan Statistik
IT Resources
Capabilities
(3)
(4)
(5)
Pelayanan Statistik Terpadu (PST)
Integrated Statistical Services System ! Aplikasi PST ! Hardware ! Software ! Data/Informasi ! SDM
Communication
Operational
Keterangan Public Value (6) Kemudahan pengguna untuk mengakses publikasi statistik, baik tercetak maupun digital Kepuasan pengguna dari sisi pelayanan statistik satu atap secara terintegrasi
1.5. Identifikasi Indikator Kinerja (Public Value) Dalam rangka peningkatan kualitas Pelayanan Statistik Terpadu, BPS menetapkan indikator kinerja PST berdasarkan Rencana Strategis BPS Tahun 2010 – 2014 yang disempurnakan melalui Rencana Kinerja Tahunan BPS Tahun Anggaran 2013 [4]. Tabel 1.3 dan Tabel 1.4. memperlihatkan daftar indikator kinerja utama (public value) BPS menurut sasaran strategis dan ukuran penilaian indikator kinerja untuk layanan PST tersebut : Tabel 1.3. Daftar Indikator Kinerja (Public Value) PST Indikator Kinerja (Public Value)
Sasaran Strategis (1) Meningkatkan pelayanan prima dalam rangka mewujudkan SSN yang andal, efektif, dan efisien
!
1.
2.
(2) Tersedianya Layanan Statistik Terpadu
Tercapainya kepuasan pengguna data terhadap data dan layanan statistik
6
Deskripsi (Penjelasan) (3) Pengembangan layanan statistik secara terpadu (satu pintu), meliputi : sistem aplikasi buku tamu, sistem aplikasi digital library, sistem aplikasi perpustakaan tercetak, layanan data mikro, konsultasi/rekomendasi statistik. Meningkatkan kepuasan pengguna data terhadap produk dan layanan statistik.
Tabel 1.4. Ukuran Penilaian Indikator Kinerja PST No (1) 1
2
Indikator Kinerja (2) Tersedianya Layanan Statistik Terpadu
Ukuran Penilaian
1. 2.
Tercapainya kepuasan pengguna data terhadap data dan layanan statistik
3. 4. 5.
(3) Jumlah pengunjung yang datang ke Pelayanan Statistik Terpadu Jumlah Pengunjung berulang yang menggunakan data BPS Persentase konsumen yang merasa puas dengan layanan data BPS Persentase konsumen yang merasa puas terhadap akurasi data Persentase konsumen yang merasa puas terhadap cakupan data
Cara Mengukur (4) Σ realisasi pengunjung PST x100% Σ target pengunjung Σ realisasi pengunjung berulang x100% Σ target pengunjung berulang Σ konsumen puas dengan layanan x100% Total konsumen Σ konsumen puas dengan akurasi Total konsumen
x100%
Σ konsumen puas dengan cakupan Total konsumen
x100%
1.6. Target Kinerja BPS Target kinerja PST berdasarkan indikator kinerja (public value) diperoleh berdasarkan sumber pada Lampiran 1 Rencana Kinerja Sasaran BPS Tahun 2013 yang tertuang didalam Rencana Kinerja Tahunan BPS Tahun Anggaran 2013 [4]. Tabel 1.5. Target Kinerja PST BPS Tahun 2013 No (1) 1
2
Indikator Kinerja (Public Value) (2) Tersedianya Layanan Statistik Terpadu
Ukuran Penilaian 1. 2.
Tercapainya 3. kepuasan pengguna data terhadap data dan layanan statistik 4. 5.
!
(3) Jumlah pengunjung yang datang ke Pelayanan Statistik Terpadu Jumlah Pengunjung berulang yang menggunakan data BPS Persentase konsumen yang merasa puas dengan layanan data BPS Persentase konsumen yang merasa puas terhadap akurasi data Persentase konsumen yang merasa puas terhadap cakupan data
7
Satuan
Target
(4) Orang
(5) 10.000
Orang
1.000
Persen
90
Persen
70
Persen
70
II. ANALISIS NILAI TI BAGI ORGANISASI 2.1. Model Nilai TI
IT# Resources#
Organization# Capabilities#
Organization# Core# Competences#
Tujuan#TI#
Competitive# Advantages# Organization# Value#and# Performance#
Target#
Tujuan#Bisnis#
Gambar 2.1. Model Nilai TI bagi Organisasi Gambar 2.1 memperlihatkan model nilai TI bagi organisasi yang mempermudah pemahaman mengenai nilai TI bagi organisasi mengenai sumber daya TI (IT resources), kapabilitas organisasi (organization capabilities), kompetensi inti organisasi (organization core competences), keunggulan kompetitif nilai dan kinerja organisasi (competitive advantages organization value and performances) dan target. 2.2. Sumber Daya TI (IT Resources) Sumber daya Teknologi Informasi (TI) jika dilihat secara lebih spesifik tidak berdampak secara langsung kepada tujuan organisasi. TI berperan sebagai enabler pada organisasi untuk menunjang aktifitas operasional yang nantinya berdampak kepada tujuan dan strategi perusahaan. Nilai TI mendukung nilai bisnis melalui penciptaan kapabilitas organisasi sehingga organisasi mampu mencapai keunggulan kompetitifnya dan memenuhi target yang ditetapkan. Saat ini pandangan nilai TI terhadap nilai bisnis organisasi tidak lagi bersifat parsial. TI tidak lagi dipandang sebagai sebuah tool yang terpisah (separated) dari perangkat organisasi, tetapi sudah dianggap sebagai salah satu sumber daya (resources) yang memiliki peran yang sama penting dengan sumber daya lain seperti finansial, aset, dan SDM. Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut [6]:
!
8
1. Aplikasi (Application), merupakan suatu sarana atau tool yang digunakan untuk mengolah dan menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. 2. Informasi (Information), adalah data-data yang telah diolah untuk kepentingan manajemen dalam membantu mengambil keputusan dalam menjalankan roda bisnisnya. Data-data terdiri obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. 3. Infrastruktur (Infrastructure), mencakup hardware, software, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan fasilitasfasilitas lainnya. 4. Sumber Daya Manusia/SDM (People), merupakan sumber daya yang paling penting bagi organisasi dalam pengelolaan dan operasionalisasi bisnis organisasi. Kesadaran dan produktivitasnya dibutuhkan untuk merencanakan, mengorganisasikan,
melaksanakan,
memperoleh,
menyampaikan,
mendukung, dan memantau layanan TI organisasi. Tabel 2.1. Identifikasi sumber daya TI untuk layanan PST BPS No
!
IT Resources
(1) 1
(2) Application
2
Information
3
Infrastructure
4
People
Keterangan
(3) Aplikasi PST, meliputi : • Sistem Administrasi dan Pengelolaan Publikasi • Sistem Administrasi dan Pengelolaan Layanan Data • Online Publication Access Catalogue (OPAC) • Digital Library • Sistem Informasi Publikasi Statistik • Data dan Informasi Pengguna • Data dan Informasi Publikasi Statistik PC, web server, database server, client sistem operasi, web services technologies dan network devices SDM : Administrator, Operator, Maintenance, Front Office
9
(4) Aplikasi layanan statistik secara terpadu, meliputi : sistem aplikasi pengelolaan publikasi, sistem aplikasi digital library, sistem aplikasi perpustakaan tercetak, dan online, layanan data mikro, konsultasi dan rekomendasi statistik. Meliputi data/informasi mengenai publikasi statistik yang direkam dan data/informasi pengguna (customer) Infrastruktur hardware dan software penyedia layanan PST SDM pada Divisi TI yang bertanggung jawab terhadap keseluruhan layanan PST
2.3. Kapabilitas Organisasi (Organization Capabilities) Kapabilitas organisasi mengacu pada kemampuan keseluruhan dari suatu organisasi yang jika dimanfaatkan secara optimal dan tepat akan menjadi suatu keunggulan kompetitif bagi organisasi dalam mencapai tujuan dan sasarannya. Berdasarkan Tabel 1.2. terlihat bahwa ada 2 (dua) capability yang dihasilkan melalui produk/layanan PST, yaitu Communication dan Operational. Gambar 2.2. memperlihatkan analisis diagram interaksi PST dengan capability tersebut.
Gambar 2.2. Diagram Analisis Capability dari PST Berdasarkan Gambar 2.2. tersebut terlihat bahwa 2 (dua) capability yang terdefinisi pada BPS melalui produk/layanan PST adalah Communication dan Operational.
Melalui
communication
capability
ini
BPS
menyediakan
transparansi informasi dan fasilitas pengaksesan publikasi (produk) statistik, sehingga menghasilkan public value berupa kemudahan akses bagi pengguna data untuk mendapatkan informasi, publikasi statistik serta layanan statistik lainnya secara terintegrasi, meliputi pustaka tercetak (publikasi cetak), pustaka digital (publikasi digital), dan layanan statistik lainnya, seperti data mikro, data makro, konsultasi serta rekomendasi kegiatan statistik. Melalui capability dan public value ini, BPS akan mencapai target kinerjanya untuk indikator kinerja tersedianya layanan statistik terpadu. Melalui operational capabilty, BPS menyediakan automasi proses pelayanan statistik kepada pengguna data sehingga menghasilkan public value berupa
!
10
kepuasan pengguna dari sisi pelayanan statistik satu atap secara terintegrasi (pustaka tercetak, pustaka digital, layanan data mikro, data makro, konsultasi statistik dan rekomendasi kegiatan statistik). 2.4. Kompetensi Inti Organisasi (Organization Core Competences) Kompetensi inti organisasi merupakan Sebuah bidang keahlian khas dari sebuah organisasi yang sangat penting untuk keberhasilan jangka panjang. Kompetensi ini dibangun dari waktu ke waktu dan tidak dapat ditiru dengan mudah. Kompetensi inti organisasi ini dapat membedakan suatu organisasi/perusahaan dari para pesaingnya dan memberikan keunggulan kompetitif [7]. Kompetensi inti organisasi BPS sehubungan dengan layanan PST tersebut adalah menjadi instansi pemerintah (public sector) yang terdepan dalam memberikan pelayanan statistik secara prima kepada masyarakat, yakni pelayanan yang tangkas (agile), efektif, efisien dan handal. 2.5. Keunggulan Kompetitif (Competitive Advantage) Keunggulan kompetitif (competitive advantage) menunjukkan karakteristik dari sebuah organisasi yang memungkinkan untuk menciptakan lebih banyak keuntungan karena lebih baik dalam memenuhi kebutuhan pelanggan daripada para pesaingnya. Hal ini terjadi karena organisasi dapat mewujudkan layanan prima untuk setiap produk atau jasanya, atau karena dapat menjalankan proses bisnisnya dengan lebih efektif dan efisien yang berorientasi terhadap kepuasan pelanggan [8]. Keunggulan kompetitif organisasi BPS sehubungan dengan layanan PST disini mengacu pada kinerja dan nilai organisasi di mata pengguna layanan sebagaimana didefiniskan pada indikator kinerja PST BPS (Tabel 1.4), yaitu meningkatkan kepuasan pengguna data terhadap pelayanan statistik BPS. 2.6. Target Dalam konteks pembahasan ini, target yang ingin dicapai oleh BPS sehubungan dengan layanan PST tersebut dituangkan dalam target kinerja PST berdasarkan indikator kinerja (public value), meliputi target pengunjung layanan PST dan target kepuasan pengguna data terhadap layanan statistik PST (Tabel 1.5).
!
11
Berdasarkan uraian komponen-komponen model nilai TI diatas dalam kaitannya dengan layanan PST BPS, maka model nilai TI bagi organisasi BPS (Gambar 2.1) dapat diimplementasikan secara lengkap sebagaimana tertera pada Gambar 2.3. IT#Resources#
1. Aplikasi PST, meliputi : • Sistem Administrasi dan Pengelolaan Publikasi • Sistem Administrasi dan Pengelolaan Layanan Data • Online Publication Access Catalogue (OPAC) • Digital Library • Sistem Informasi Publikasi Statistik 2. Informasi : Data dan Informasi Publikasi Statistik dan Pengguna Data 3. Infrastruktur penyedia layanan PST, seperti : PC, web server, database server, client, sistem operasi, web services technologies dan network 4. People : SDM divisi TI
Organization# Capabilities#
Communication : Kemudahan pengguna untuk mengakses data/informasi dan publikasi statistik Operasional : Kepuasan pengguna dari sisi pelayanan statistik secara terpadu
Organization#Core# Competences#
Menjadi instansi pemerintah (public sector) yang terdepan dalam memberikan pelayanan statistik secara prima kepada masyarakat, yakni pelayanan yang tangkas (agile), efektif, efisien dan handal
Competitive# Advantages# Organization# Value#and# Performance#
Target#
1. Meningkatnya jumlah pengunjung layanan PST yang dapat dikur dengan : • Meningkatnya jumlah pengunjung yang datang ke PST • Meningkatnya jumlah pengunjung berulang yang menggunakan layanan PST 2. Meningkatnya kepuasan pengguna data terhadap data dan layanan statistik, dapat diukur dengan : • Meningkatnya konsumen yang merasa puas dengan layanan data statistik • Meningkatnya konsumen yang merasa puas dengan akurasi data statistik • Meningkatnya konsumen yang merasa puas dengan cakupan data statistik 1. 2. 3. 4. 5.
Jumlah pengunjung yang datang ke PST mencapai 10.000 orang Jumlah pengunjung berulang PST mencapai 1.000 orang Persentase konsumen yang merasa puas dengan layanan data statistik mencapai 90 % Persentase konsumen yang merasa puas dengan akurasi data statistik mencapai 70 % Persentase konsumen yang merasa puas dengan cakupan data statistik mencapai 70 %
Gambar 2.3. Model Nilai TI pada Pelayanan Statistik Terpadu BPS
!
12
III. MANAJEMEN RISIKO TI Manajemen risiko Teknologi Informasi (TI) adalah kemampuan organisasi dalam mengurangi risiko-risiko TI yang mungkin akan menghambat pencapaian tujuan organisasi terkait dengan pemanfaatan TI itu sendiri. Manajemen risiko merupakan suatu proses pengukuran atau penilaian risiko serta pengembangan strategi pengelolaannya [9]. Salah satu manajemen risiko yang dapat digunakan adalah dengan menggunakan ISO 31000. Secara umum proses manajemen risiko yang terdapat pada ISO 31000 dapat dijelaskan melalui gambar 3.1.
Gambar 3.1. Proses Manajemen Risiko (ISO 31000, 2009) Proses manajemen risiko terdiri atas rangkaian aplikasi logis dan metode sistematis yang saling berkaitan , yaitu : a. Komunikasi dan Konsultasi (Communication and Consultation). b. Menentukan Konteks (Establishing the context). c. Penilaian Risiko (Risk Assestment), meliputi : Identifikasi Risiko (Risk identification), Analisis Risiko (Risk analysis) dan Evaluasi Risiko (Risk evaluation).
!
13
d. Perlakuan terhadap Risiko (Risk treatment) e. Monitoring and Review 3.1. Komunikasi dan Konsultasi (Communication and Consultation) Kesuksesan penilaian risiko tergantung pada efektifitas komunikasi dan konsultasi dengan para stakeholder. Sumber data, informasi, aktifitas proses dan sumber daya TI yang digunakan untuk layanan PST sebagai bahan analisis dan manajemen risiko TI pada paper ini adalah bersumber dari literatur study yang berasal dari Buku, Laporan Resmi dan Publikasi BPS sedangkan komunikasi dan konsultasi
dengan
BPS
dilakukan
untuk
mengkonfirmasi
materi
yang
berhubungan dengan layanan PST. 3.2. Menentukan Konteks (Establishing the context) Posisi TI pada Pelayanan Statistik Terpadu adalah sebagai enabler operasional (transaksi) layanan tersebut. Hal ini sesuai dengan nilai TI yang telah dibahas pada bagian sebelumnya yaitu TI digunakan untuk menciptakan nilai agar meningkatkan pertumbuhan bisnis dan kepuasan pengguna data (masyarakat) terhadap pelayanan data statistik melalui keunggulan pelayanan prima yakni pelayanan yang tangkas (agile), efektif, efisien, handal dan dipercaya. Dari pernyataan nilai TI tersebut terdapat elemen utama yang harus diperhatikan yaitu meningkatkan jumlah pengguna dan kepuasan pengguna data terhadap data dan layanan statistik BPS (PST).
IT# Resources#
Organization# Capabilities#
Organization# Core# Competences#
IT#Risk#Management#
Competitive# Advantages# Organization# Value#and# Performance#
Enterprise#Risk#Management#
Gambar 3.2. Konteks Manajemen Risiko TI
!
Target#
14
Gambar 3.2. menunjukkan konteks manajemen risiko TI yang mencakup semua capabilities dan core competence dari sumber daya TI (IT resources) yang dihasilkan oleh Pelayanan Statistik Terpadu BPS. Konteks manajemen risiko TI yang mencakup IT resources, organization capabilities dan organization core competences tersebut dapat dilihat pada Tabel 3.1 berikut ini. Tabel 3.1. IT Resources, Organization Capabilities and Core Competences No (1) 1
IT Resources (2) Application
2
Information
3
Infrastructure
4
People
(3) • Aplikasi PST • Sistem Informasi Publikasi Statistik • Data dan Informasi Pengguna • Data dan Informasi Publikasi Statistik PC, web server, database server, client sistem operasi, web services technologies dan network devices SDM : Administrator, Operator, Maintenance, FO
Organization Capabilities
Organization Core Competences
(4)
(5)
Communication : Kemudahan pengguna untuk mengakses data/informasi dan publikasi statistik Operasional : Kepuasan pengguna dari sisi pelayanan statistik secara terpadu
Menjadi instansi pemerintah (public sector) yang terdepan dalam memberikan pelayanan statistik secara prima kepada masyarakat, yakni pelayanan yang tangkas (agile), efektif, efisien dan handal
3.3. Penilaian Risiko (Risk Assestment) Penilaian risiko yang dilakukan meliputi identifikasi risiko (risk identification), analisis risiko (risk analysis) dan evaluasi risiko (risk evaluation) [10]. 3.3.1. Identifikasi Risiko (Risk Identification) Identifikasi risiko dilakukan terhadap seluruh sumber daya TI yang mendukung proses layanan PST BPS. Identifikasi yang dilakukan menghasilkan beberapa risiko yang dimungkinkan terjadi pada setiap sumber daya TI yang dimiliki oleh PST BPS (Tabel 3.2). Tabel 3.2. Identifikasi Risiko Sumber Daya TI No (1) 1
!
IT Resources (2) Application
Identifikasi Risiko
(3) • Aplikasi PST • Sistem Informasi Publikasi Statistik
15
• • • •
(4) Peretasan Aplikasi Aplikasi crash (down) Aplikasi diserang virus Lemahnya maintenance aplikasi
2
Information
3
Infrastructure
4
People
• Data dan Informasi Pengguna • Data dan Informasi Publikasi Statistik PC, web server, database server, client sistem operasi, web services technologies dan network devices SDM : Administrator, Operator, Maintenance, FO
• • •
Hilangnya data terkini Database rusak/error Penyalahgunaan/pencurian data
• • • • • • • •
Kerusakan hardware Server diserang virus Koneksi jaringan putus/rusak Kegagalan sistem operasi Bencana Alam Penyalahgunaan kedudukan Melemahnya loyalitas SDM Pembeberan data dan informasi rahasia
3.3.2. Analisis Risiko (Risk Analysis) Analisis risiko dilakukan dengan cara memberikan nilai dari setiap risiko yang muncul. Dari tiap-tiap risiko yang muncul akan dilakukan penilaian (bobot) dari sisi frekuensi kejadian dan dampak yang diakibatkan. Pada layanan PST ini, kriteria pengukuran nilai/bobot untuk frekwensi kejadian dan dampak yang diakibatkan dapat dilihat pada Tabel 3.3. Tabel 3.3. Nilai/bobot frekwensi kejadian dan dampak risiko Frekuensi kejadian Nilai
Keterangan
(1)
(2)
Dampak yang diakibatkan Nilai Keterangan (3)
(4)
1
Sangat jarang terjadi
1
Sangat kecil
2
Jarang terjadi
2
Kecil
3
Biasa terjadi
3
Biasa
4
Sering terjadi
4
Besar
5
Sangat sering terjadi
5
Sangat besar
Langkah selanjutnya adalah melakukan penilaian atau pembobotan setiap risiko dari masing-masing sumber daya TI yang telah diindentifikasi tersebut (Tabel 3.2) berdasarkan pengelompokkan frekwensi kejadian (likelihood) dan dampak yang diakibatkan
untuk
setiap
risiko
yang
telah
diidentifikasi.
Hasil
penilaian/pembobotan frekwensi kejadian dan dampak yang diakibatkan untuk setiap risiko tersebut secara detail dapat dilihat pada Tabel 3.4.
!
16
Tabel 3.4. Penilaian identifikasi risiko menurut frekwensi dan dampak No
IT Resources
(1) 1
(2) Application
2
Information
3
Infrastructure
4
People
Identifikasi Risiko
Frekwensi
Dampak
(4) 1. Peretasan Aplikasi 2. Aplikasi crash (down) 3. Aplikasi diserang virus 4. Lemahnya maintenance aplikasi 5. Hilangnya data terkini 6. Database rusak/error 7. Penyalahgunaan/pencurian data 8. Kerusakan hardware 9. Server diserang virus 10. Koneksi jaringan putus/rusak 11. Kegagalan sistem operasi 12. Bencana Alam 13. Penyalahgunaan kedudukan 14. Melemahnya loyalitas SDM 15. Pembeberan data dan informasi rahasia
(4) 2 2 3 4 2 2 1 2 3 2 2 1 2 2 2
(4) 4 5 3 3 5 5 4 4 4 4 4 5 4 3 4
3.3.3. Evaluasi Risiko (Risk Evaluation) Evaluasi risiko dilakukan dengan menerapkan proses mapping pada grafik (x,y) yang menggambarkan hubungan antara frekwensi kejadian risiko dengan dampak yang diakibatkan oleh setiap risiko. Grafik hasil evaluasi risiko tersebut dikategorikan menjadi 3 area yaitu Low, Medium dan High berdasarkan matriks hasil kombinasi antara likelihood (frekwensi kejadian) dengan dampak yang
frekuensi
ditimbulkan sebagai berikut: 5
Medium
Medium
High
High
High
4
Low
Medium
High
High
High
3
Low
Low
Medium
High
High
2
Low
Low
Medium
Medium
High
1
Low
Low
Low
Medium
Medium
1
2
3
4
5
dampak
Gambar 3.3. Matriks Evaluasi Risiko
!
17
5! 1.!Peretasan!Aplikasi! 2.!Aplikasi!crash!(down)!
4!
3.!Aplikasi!diserang!virus!
Frekwensi#
4.!Lemahnya!maintenance!aplikasi! 5.!Hilangnya!data!terkini!
3!
6.!Database!rusak/error! 7.!Penyalahgunaan/pencurian!data! 8.!Kerusakan!hardware!
2!
9.!Server!diserang!virus! 10.!Koneksi!jaringan!putus/rusak! 11.!Kegagalan!sistem!operasi!
1!
12.!Bencana!Alam! 13.!Penyalahgunaan!kedudukan! 14.!Melemahnya!loyalitas!SDM!
0! 0!
1!
2!
3!
4!
5!
15.!Pembeberan!data!dan!informasi!rahasia!
Dampak#
Gambar 3.4. Sebaran Risiko TI berdasarkan Frekwensi dan Dampak
frekuensi
5 4
R4
3
R3
R9
2
R14
R1,R7,R8, R10,R11, R13,R15
1
R2,R5,R6 R12
1
2
3
4
5
dampak Keterangan R: Risiko TI
Gambar 3.5. Matriks Evaluasi Risiko TI berdasarkan Frekwensi dan Dampak Gambar 3.4. memperlihatkan sebaran risiko sumber daya TI yang telah diidentifikasi sebelumnya berdasarkan mapping antara nilai frekwensi kejadian risiko dengan nilai dampak yang diakibatkan oleh risiko tersebut. Sesuai dengan pengelompokkan kategori evaluasi risiko, maka jenis risiko yang diakibatkan dari kombinasi mapping nilai frekwensi dan dampak risiko dapat dilihat pada Gambar 3.5. dan Tabel 3.5.
!
18
Tabel 3.5. Evaluasi Risiko berdasarkan mapping Risiko dengan Frekwensi-Dampak Frekwensi
Dampak
(4) 2
(4) 4
Evaluasi Risiko (4) Medium
2. Aplikasi crash (down)
2
5
High
3. Aplikasi diserang virus
3
3
Medium
4. Lemahnya maintenance aplikasi
4
3
High
5. Hilangnya data terkini
2
5
High
6. Database rusak/error
2
5
High
7. Penyalahgunaan/pencurian data
2
4
Medium
8. Kerusakan hardware
2
4
Medium
9. Server diserang virus
3
4
High
10. Koneksi jaringan putus/rusak
2
4
Medium
11. Kegagalan sistem operasi
2
4
Medium
12. Bencana Alam
1
5
Medium
13. Penyalahgunaan kedudukan
2
4
Medium
14. Melemahnya loyalitas SDM
2
3
Medium
15. Pembeberan data dan informasi rahasia
2
4
Medium
Identifikasi Risiko (4) 1. Peretasan Aplikasi
3.4. Perlakuan terhadap Risiko (Risk treatment) Tahapan selanjutnya adalah menentukan strategi perlakuan risiko. Terdapat empat jenis strategi perlakuan risiko, yaitu : 1. Risk avoidance (menghindari risiko), 2. Risk
reduction
(mengurangi/mitigasi
risiko
berupa
pengurangan
likelihood, pengurangan dampak dan pengurangan likelihood dan dampak sekaligus), 3. Risk sharing (berbagi risiko), 4. Risk acceptance (menerima risiko). Strategi perlakuan risiko yang paling tepat dalam mengatasi permasalahan yang sesuai dengan pembahasan ini adalah dengan risk reduction, Adapun program penanganan risiko yang dapat dilakukan dapat dilihat pada Tabel 3.6.
!
19
Tabel 3.6. Program Penanganan Risiko No
IT Resources
(1) 1
(2) Application
Identifikasi Risiko (4) 1. Peretasan Aplikasi
2. Aplikasi crash (down)
3. Aplikasi diserang virus 4. Lemahnya maintenance aplikasi
2
Information
5. Hilangnya data terkini
6. Database rusak/error
7. Penyalahgunaan/pencurian data 3
Infrastructure
8. Kerusakan hardware 9. Server diserang virus 10. Koneksi jaringan putus/rusak
11. Kegagalan sistem operasi 12. Bencana Alam
!
20
Program Penanganan Risiko (4) Perbaikan sistem aplikasi melalui update patch dan penerapan sistem firewall disertai dengan peningkatan sistem keamanan (security) Perbaikan sistem aplikasi melalui update patch dan pencegahan instalasi aplikasi lain yang bisa menyebabkan aplikasi utama crash Review kinerja antivirus untuk komputer client, baik update antivirus maupun scan antivirus secara periodik Sementara aplikasi sedang dalam proses maintenance jangan sampai mengganggu sistem pelayanan terhadap pengguna data Lakukan maintenance pada non-busy hour atau gunakan mekanisme aplikasi cadangan Data harus senantiasa memiliki backup melalui mekanisme syncronizing secara otomatis. Sehingga kehilangan data pada satu periode waktu tidak akan menjadi alasan bagi sitem untuk berhenti bekerja Database harus senantiasa memiliki backup melalui mekanisme mirroring dan lokasi backup database diterapkan pada beberapa lokasi device. Kerusakan database tidak akan menjadi alasan bagi sitem untuk berhenti bekerja Review manajemen puncak dalam hal mekanisme security data Review kinerja tim pemeriksaan fisik, perbaiki bila memungkinkan jika tidak segera lakukan penggantian Review kinerja antivirus, lakukan pembersihan (scan) secara periodik Review kinerja jaringan dengan pihak penyedia jaringan. Lakukan monitoring sistem dan kinerja jaringan secara periodik, baik instalasi jaringan maupun bandwith Review kinerja tim pengelola sistem operasi dan software, lakukan perbaikan sesegera mungkin Usahakan memiliki lokasi penyimpanan backup yang memiliki risiko terkena bencana alam yang lebih kecil dibandingkan lokasi penyimpanan data utama.
4
People
13. Penyalahgunaan kedudukan
14. Melemahnya loyalitas SDM
15. Pembeberan data dan informasi rahasia
Terapkan mekanisme Disaster Recovery Planning (DRP) untuk mengantisipasi kerusakan infrastruktur TI dikarenakan bencana alam Sosialisasikan penerapan sanksi berat kepada setiap pegawai yang menyalahgunakan wewenang dan kedudukan. Berikan sanksi pada pegawai yang bersangkutan. Review manajemen puncak terhadap fit and proper test jabatan. Review manajemen puncak terhadap tata kelola SDM Pengkajian kesesuaian hak dan kewajiban pegawai Sosialisasikan penerapan sanksi berat kepada setiap pegawai yang melakukan pembeberan data dan informasi rahasia Berikan sanksi pada pegawai yang bersangkutan. Review manajemen puncak terhadap penilaian dan penempatan pegawai.
Tabel 3.7. Evaluasi Hasil Mitigasi Risiko (Residual) Frekwensi
Dampak
(4) 2
(4) 2
Evaluasi Risiko (4) Low
2. Aplikasi crash (down)
2
4
Medium
3. Aplikasi diserang virus
2
2
Low
4. Lemahnya maintenance aplikasi
2
2
Low
5. Hilangnya data terkini
3
3
Medium
6. Database rusak/error
3
3
Medium
7. Penyalahgunaan/pencurian data
2
2
Low
8. Kerusakan hardware
1
3
Low
9. Server diserang virus
2
4
Medium
10. Koneksi jaringan putus/rusak
1
4
Medium
11. Kegagalan sistem operasi
1
3
Low
12. Bencana Alam
1
4
Medium
13. Penyalahgunaan kedudukan
1
3
Low
14. Melemahnya loyalitas SDM
1
3
Low
15. Pembeberan data dan informasi rahasia
1
3
Low
Identifikasi Risiko (4) 1. Peretasan Aplikasi
!
21
Tabel 3.7 menunjukkan evaluasi risiko setelah dilakukan proses mitigasi risiko melalui program penanganan risiko (risk reduction) yang berdampak terhadap penurunan nilai likelihood dan dampak risiko. Perbandingan mengenai evaluasi risiko sebelum (inheren) dan sesudah dilakukan mitigasi risiko (residual) dapat dilihat pada Gambar 3.6 berikut ini
frekuensi
5 4
R4
3
R3
R9
2
R14
R1,R8,R10, R11,R13,R15
R2,R5,R6
R7
R12
4
5
1 1
2
3 dampak (Inheren)
5
frekuensi
4 3
R5,R6 R1,R3,R4, R7,
2 1 1
R2,R9 R8,R11,R13, R14,R15
R10,R12
3
4
2
5
dampak (Residual) Keterangan R : Risiko
Gambar 3.6. Matriks Evaluasi Risiko Kondisi Sebelum dan Sesudah Mitigasi Risiko Berdasarkan Gambar 3.6 terlihat perubahan area risiko setelah dilakukan program penanganan risiko (mitigasi risiko), dimana keberhasilan pelaksanaan program penanganan risiko tersebut diharapkan menjadi tanggung jawab seluruh pegawai BPS pada umumnya dan unit organisasi penyedia layanan PST BPS pada khususnya. Pelaksanaan program penanganan risiko tersebut harus sesuai dengan Standard Operating Procedure Manajemen Risiko yang sudah ditetapkan.
!
22
3.5. Monitoring dan Review Monitoring merupakan kegiatan pemantauan rutin terhadap kinerja aktual proses manajemen risiko dibandingkan dengan rencana atau harapan yang telah ditetapkan. Review adalah peninjauan atau pengkajian berkala atas kondisi saat ini dan dengan fokus tertentu. Monitoring dan review merupakan bagian dari proses manajemen risiko yang memastikan bahwa seluruh tahapan proses dan fungsi manajemen risiko memang berjalan dengan baik. Monitoring dan review sebaiknya dilaksanakan secara simultan (bersamaan) ketika setiap langkah dari proses penilaian risiko dilakukan. Proses monitoring ini selayaknya melibatkan berbagai pihak termasuk stakeholder. Terdapat tiga macam bentuk monitoring dan review yang harus dilakukan terus menerus oleh instansi sebagai bagian yang tidak terpisahkan dari tanggung jawab pekerjaan pada level jabatan masing-masing, yaitu: 1. Pemeriksaan berkala dan pemantauan berkelanjutan. Dilaksanakan harian dan menjadi bagian dari pekerjaan. 2. Pemeriksaan oleh atasan. Dilaksanakan secara berkala dan didorong oleh profil risiko serta lingkup tanggungjawab pejabat bersangkutan. 3. Audit pihak ketiga. Verifikasi oleh internal dan eksternal auditor bertujuan untuk melihat kepatuhan terhadap Standar dan Peraturan yang berlaku.
!
23
IV. KESIMPULAN Pelayanan Statistik Terpadu (PST) merupakan produk/layanan statistik BPS yang merupakan salah satu program percepatan BPS (Quick Wins) dalam rangka meningkatkan kualitas pelayanan publik dan mencapai target indikator kinerja kunci (public value). Melalui PST ini BPS menyediakan berbagai layanan statistik secara terintegrasi kepada pengguna data (pengunjung). Indikator kinerja (public value) yang menjadi prioritas kinerja PST ini adalah terciptanya layanan statistik terpadu dan tercapainya kepuasan pengguna data terhadap data dan layanan statistik. Selain itu melalui PST ini, pengguna data dapat mengakses layanan data dan informasi statistik dengan lebih cepat (faster), lebih murah (cheaper), lebih mudah (easier), dan lebih berkualitas (better). Penerapan manajemen risiko ISO 31000 pada Pelayanan Statistik Terpadu (PST) BPS dapat memberikan jaminan identifikasi dan penanganan yang lebih baik terhadap risiko TI yang mungkin terjadi selama implementasi dan pelaksanaan PST ini. Hasil analisis dan pembahasan manajemen risiko TI diatas menunjukkan bahwa risiko TI yang timbul memberikan efek dan area risiko yang bervariatif terhadap pelaksanaan program layanan PST tersebut. Oleh karena itu strategi penanganan risiko TI yang baik harus dilakukan untuk meminimalisir frekwensi dan dampak risiko yang akan terjadi, mengingat penanganan yang baik terhadap risiko TI akan berdampak langsung pada peningkatan performa/kualitas layanan yang didukungnya.
!
24
V. DAFTAR PUSTAKA
[1] BPS, Rencana Strategis Badan Pusat Statistik 2010 - 2014, Review Kedua ed. Jakarta, Indonesia, 2010. [2] BPS, Buku 1 Usulan Reformasi Birokrasi Badan Pusat Statistik. Jakarta : BPS, 2011 [3] BPS, Buku 2 Reformasi Birokrasi Badan Pusat Statistik. Jakarta: BPS, 2011. [4] BPS. STATCAP-CERDAS. [Online]. http://www.statcapcerdas.bps.go.id/index.php/id/statis [5] BPS, Rencana Kinerja Tahunan Badan Pusat Statistik Tahun Anggaran 2013. Jakarta, 2013. [6] ICASA, IT Governance Implementation Guide: Using COBIT® and Val ITTM”, 2nd ed., 2007. [7] Kompetensi Inti Organisasi. [Online]. http://kamusbisnis.com/arti/kompetensi-inti/ [8] Keunggulan Kompetitif Organisasi. [Online]. http://kamusbisnis.com/arti/keunggulan-kompetitif/ [9] AS/NZS ISO 31000, Risk Management – Principles and Guidelines, 1st ed. New Zealand: International Standard, 2009. [10] IEC/FDIS ISO 31010, Risk management — Risk assessment techniques.: International Standard, 2009. [11] BPS, Analisis Survei Kebutuhan Data Badan Pusat Statistik Tahun 2012. Jakarta, Indonesia: BPS, 2012. [12] Albert L. Swett, William G. Miller, Dennis P. Ondik L. Mark Ernest, "The IT Value Model: Winning the business “battle” with the right IT “nails” ," IBM, New York, USA, 2004. [13] Pang, M.S. Information technology and value creation in the public sector organizations. The University of Michigan, 2009. [14] Tati Ernawati, Suhardi, Doddi R. Nugroho, IT Risk Management Framework Based on ISO 31000:2009, International Conference on System Engineering and Technology, Bandung, 2012. [15] Badan Pusat Statistik. [Online]. http://ww.bps.go.id ! ! ! ! ! !
!
25
Lampiran A Gambar A1. Alur Pelayanan Statistik Terpadu (PST) BPS
Pelayanan Statistik Terpadu merupakan pelayanan (terintegrasi), yang meliputi pelayanan sebagai berikut : 1. Perpustakaan Tercetak 2. Perpustakaan Digital 3. Penjualan Data Mikro 4. Konsultasi Statistik 5. Penjualan Softcopy/Hardcopy
statistik
Gambar A2. Aliran Data dan Publikasi pada PST Aliran'Data'dan'Publikasi
Data' Survey
Membuat' Publikasi (Hardcopy/Softcopy)
Revalidasi' dan'Agregasi
Pengolahan' Data Mengirimkan'Data' (Mentah)'ke'SIS
Direktorat'SIS
Subject'Matter
Phase
Pengelolaan'Data
Data' Repository
Direktorat' Diseminasi
Akses'Data'Mentah'(untuk'penjualan)
!
PST
26
Softcopy/Hardcopy' Publikasi'dikirim
satu
pintu
Lampiran B Gambar B1. Value Chain Badan Pusat Statistik
Gambar B2. Posisi PST dalam Value Chain BPS
PST
!
27
Lampiran C Gambar C1. Diagram Aliran (Interaksi) Proses Primer dengan PST
Gambar C2. Diagram Aliran (Interaksi) Proses Skunder dengan PST
!
28
Lampiran D Tabel D. Risk Register Pelayanan Statistik Terpadu BPS IT Resources Detail
No
Area
(1) 1
(2) Application
2
!
Information
(3) • Aplikasi PST • Sistem Informasi Publikasi Statistik
• Data/Informasi Publikasi Statistik • Data/Informasi Pengguna
Identifikasi Risiko (4) 1. Peretasan Aplikasi
Likeli hood (5) 2
Inheren Dampak (6) 4
Nilai Risiko (7) Medium
2. Aplikasi crash (down)
2
5
High
3. Aplikasi diserang virus
3
3
Medium
4. Lemahnya maintenance aplikasi
4
3
High
5. Hilangnya data terkini
2
5
High
29
Program Penanganan Risiko (Kontrol) (8) Perbaikan sistem aplikasi melalui update patch dan penerapan sistem firewall disertai dengan peningkatan sistem keamanan (security) Perbaikan sistem aplikasi melalui update patch dan pencegahan instalasi aplikasi lain yang bisa menyebabkan aplikasi utama crash Review kinerja antivirus untuk komputer client, baik update antivirus maupun scan antivirus periodik Sementara aplikasi sedang dalam proses maintenance jangan sampai mengganggu sistem pelayanan data Lakukan maintenance pada non-busy hour atau gunakan mekanisme aplikasi cadangan Data harus senantiasa memiliki backup melalui mekanisme syncronizing secara otomatis. Sehingga kehilangan data pada satu periode waktu tidak akan menjadi alasan bagi sitem untuk berhenti bekerja
Residual Dampak (10) 2
Nilai Risiko (11) Low
Nilai Risiko Harapan (12) Low
2
4
Medium
Low
2
2
Low
Low
2
2
Low
Low
3
3
Medium
Low
Likeli hood (9) 2
3
!
Infratructure
• Hardware (PC, Server, Client) • Software (OS) • Network devices
6. Database rusak/error
2
5
High
7. Penyalahgunaan/ pencurian data
2
4
Medium
8. Kerusakan hardware
2
4
Medium
9. Server diserang virus
3
4
High
10. Koneksi jaringan putus/rusak
2
4
Medium
11. Kegagalan sistem operasi
2
4
Medium
12. Bencana Alam
1
5
Medium
30
Database harus senantiasa memiliki backup melalui mekanisme mirroring dan lokasi backup database diterapkan pada beberapa lokasi device. Kerusakan database tidak akan menjadi alasan bagi sitem untuk berhenti bekerja Review manajemen puncak dalam hal mekanisme security data Review kinerja tim pemeriksaan fisik, perbaiki bila memungkinkan jika tidak segera lakukan penggantian Review kinerja antivirus, lakukan pembersihan (scan) secara periodik Review kinerja jaringan dengan pihak penyedia jaringan. Lakukan monitoring sistem dan kinerja jaringan secara periodik, baik instalasi jaringan maupun bandwith Review kinerja tim pengelola sistem operasi dan software, lakukan perbaikan sesegera mungkin Usahakan memiliki lokasi penyimpanan backup yang memiliki risiko terkena bencana alam yang lebih kecil dibandingkan lokasi penyimpanan data utama. Terapkan mekanisme Disaster
3
3
Medium
Low
2
2
Low
Low
1
3
Low
Low
2
4
Medium
Low
1
4
Medium
Low
1
3
Low
Low
1
4
Medium
Low
4
!
People
SDM Divisi TI (Administrator, Operator, FO)
13. Penyalahgunaan kedudukan
2
4
Medium
14. Melemahnya loyalitas SDM
2
3
Medium
15. Pembeberan data dan informasi rahasia
2
4
Medium
31
Recovery Planning (DRP) untuk mengantisipasi kerusakan infrastruktur TI dikarenakan bencana alam Sosialisasikan penerapan sanksi berat kepada setiap pegawai yang menyalahgunakan wewenang dan kedudukan. Berikan sanksi pada pegawai yang bersangkutan. Review manajemen puncak terhadap fit and proper test jabatan. Review manajemen puncak terhadap tata kelola SDM Pengkajian kesesuaian hak dan kewajiban pegawai Sosialisasikan penerapan sanksi berat kepada setiap pegawai yang melakukan pembeberan data dan informasi rahasia Berikan sanksi pada pegawai yang bersangkutan. Review manajemen puncak terhadap penilaian dan penempatan pegawai.
1
3
Low
Low
1
3
Low
Low
1
3
Low
Low