Business Framework for the IT Governance

 COBIT 5 merupakan framework bisnis untuk tata kelola dan manajemen organisasi TI. Versi terbaru ini mencakup prinsip global yang telah diakui secara umum untuk meningkatkan kepercayaan dan nilai-nilai dari sistem informasi.

COBIT 5 merupakan lanjutan dari COBIT 4.1 dimana terdapat integrasi dengan framework, standar, dan sumber daya lainnya termasuk ISACA Val IT dan Risk IT, termasuk Information Technology Infrastructure Library (ITIL) serta standar lainnya yang terkait seperti International Organization for Standarization (ISO)

Manfaat

COBIT 5 dapat membantu semua jenis ukuran perusahaan:

1. Mengelola informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis
2. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif
3. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang reliable dan efisien
4. Mengelola resiko terkait TI pada tingkatan yang dapat diterima
5. Mengoptimalkan biaya dari layanan dan teknologi TI
6. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak dan kebijakan

Pendaftaran Peserta

Nama = Ayu Diah Febrina

Email = ayu@cloud-indonesia.com

Telp. +62 21 527 7412

Fax. +62 21 252 5760

Biaya = Rp. 2.500.000 / peserta
(include 2x coffee break, 1x lunch, certificate of attendance)

Pelaksanaan Pelatihan

Tanggal = 11-12 Juni 2012

Jam        = 9.00 WIB s/d 16.00 WIB

Tempat = Gedung Setiabudi 2 Lt. 1, “ Estubizi Business Center “

Jl. HR. Rasuna Said Kav. 62 Kuningan, Jakarta 12920

Training Outline

1)      Introduction

1. COBIT 5 compare with COBIT 4.1
2. Overview COBIT 5
3. COBIT 5 and GRC (Governance, Risk Management and Compliance)

2)      Five COBIT 5 Principles

1. Meeting stakeholders needs
2. Covering the enterprise end-to-end
3. Applying a single integrated framework
4. Enabling a Holistic Approach
5. Separating Governance from Management

3)      COBIT 5 – Enablers

1. Principles, Policies and Framework
2. Processes
3. Organization Structure
4. Culture, Ethics and Behaviour
5. Information Cycle
6. Services, Infrastructure and Application
7. People, Skills and Competencies

4)      COBIT 5 – Governance Domains (Evaluate, Direct and Monitor (EDM))

1. Ensure governance framework setting & maintenance
2. Ensure benefits delivery
3. Ensure risk optimization
4. Ensure resource optimization
5. Ensure stakeholders transparency

5)      COBIT 5 – Management Domains (Align, Plan and Organise (APO))

1. Manage the IT management framework
2. Manage strategy
3. Manage enterprise architecture
4. Manage innovation
5. Manage porfolio
6. Manage budget and costs
7. Manage human resources
8. Manage relationships
9. Manage service agreements
10. Manage suppliers
11. Manage quality
12. Manage risk
13. Manage security

6)      COBIT 5 – Management Domains (Build, Acquire and Implement (BAI))

1. Manage programmes and projects
2. Manage requirements definitions
3. Manage solutions identification and build
4. Manage availability and capacity
5. Manage organisational change enablement
6. Manage changes
7. Manage change acceptance and transitioning
8. Manage knowledge
9. Manage assets
10. Manage configurations

7)      COBIT 5 – Management Domains (Delivery, Service and Support (DSS))

1. Manage operations
2. Manage service requests and incidents
3. Manage problems
4. Manage continuity
5. Manage security services
6. Manage business process control

8)      COBIT 5 – Management Domains (Monitor, Evaluate and Assess (MEA))

1. Performance and conformance
2. The system of internal control
3. Compliance with external requirements

Tujuan

• Rencana TI yang telah disusun akan menjadi referensi bersama bagi seluruh unit kerja yang ingin mensinergikan inisiatif TI nya.
• Agar perencanaan TI selaras dengan perencanaan dan tujuan bisnis perusahaan.
• Keselarasan perencanaan TI dengan bisnis dilakukan sejak tahap awal proses dan mencakup internal satuan unit kerja maupun hubungan antar satuan unit kerja
• Mendefinisikan kontribusi TI yang diperlukan untuk mencapai tujuan strategis perusahaan, biaya terkait dan sasaran kinerja, dan melakukan penilaian rencana strategis bagaimana TI dapat menciptakan peluang bisnis.
• Menerjemahkan rencana strategis menjadi  operasional TI jangka pendek, proyek-proyek TI dan tujuan TI. Menilai tujuan kinerja TI taktis dalam hal hal ketersediaan, fungsionalitras, biaya kepemilikan total saat ini dan ROI.

Lingkup

Rencana Strategis TI

• Menetapkan visi, misi dan strategi TI dalam hubungannya dengan kebutuhan perusahaan
• Menetapkan kebutuhan stakeholder sesuai dengan Rencana Jangka Panjang Perusahaan

Penetapan Proses

• Penterjemahan strategi bisnis, ekspektasi bisnis, kemampuan TI saat ini dan saat mendatang menjadi Rencana Strategis TI
• Pengidentifikasian, pendokumentasian dan penanganan saat terjadi perubahan organisasi, evolusi teknologi dan ketentuan perundangan dalam proses perencanaan
• Pendefinisian peran dan tanggung jawab dari para stakeholder dalam proses pembuatan perencenaan TI
• Pengesahan dan pengkomunikasian Perencanaan TI agar dipahami oleh para stakeholder yang akant menterjemahkan menjadi anggaran, rencana taktis, strategi pengadaan dan struktur organisasi

Penentuan arah dan tujuan TI

• Penterjemahan tujuan TI yang didasarkan atas tujuan bisnis menjadi outcome yang direpresentasikan menjadu metrik (what) dan target yang dapat dikaitkan dengan manfaat bisnis dan disetujui oleh stakeholder terkait
• Penetapan arah dan tujuan TI yang didorong oleh kebutuhan bisnis

Rancangan Induk TI

Arsitektur Informasi,  yaitu model informasi pada Perusahaan yang mendefinisikan lingkup kebutuhan informasi yang dipetakan kedalam proses bisnis

• Tujuannya adalah tersedianya referensi model informasi perusahaan yang akan menjadi rujukan seluruh desain software aplikasi di tahap selanjutnya dalam rangka mengurangi tingkat redudansi informasi
• Arsitektur Informasi mencakup informasi arsitektur (database, database table, pertukaran data) dan informasi tidak terstruktur (gambar, video, file dokumen, dan lainnya)
• Arsitektur Informasi mencakup penetapan klasifikasi ke dalam kelas-kelas data, pemetaan kepemilikan data, dan pendefinsian data dictionary dan syntax rules
• Arsitektur Informasi juga menetapkan klasifikasi tingkat keamanan data untuk setiap klasifikasi kelas data melalui penetapan kriteria yang tepat sesuai dengan kebutuhan perusahaan

Arsitektur Aplikasi, yaitu model aplikasi pada Perusahaan yang mendefinisikan lingkup aplikasi beserta persyaratan dan spesifikasi desain yang dibutuhkan untuk mengakomodasi seluruh tingkat proses bisnis seperti: operasional, transaksional, pelaporan, analisa, monitoring dan perencanaan

• Tujuannya adalah terealisasinya dukungan atas proses bisnis dimana setiap aplikasi selalu akan berkorelasi terhadap sebuah proses bisnis yang didukungnya
• Arsitektur Aplikasi memberikan peta tentang aplikasi apa saja yang dibutuhkan sesuai dengan karakteristik perusahaan dan manajemen

Arsitektur aplikasi dikelompokkan seperti berikut :

1. Pelayanan publik, merupakan aplikasi yang dikhususkan untuk memberikan pelayanan kepada warga dan komunitas bisnis, baik layanan informasi, komunikasi maupun transaksi
2. Manajemen Internal, merupakan aplikasi yang dikhususkan untuk mengelola proses bisnis seperti keuangan, kepegawaian, pengelolaan aset, pengelolaan program kerja, monitoring kinerja dan sejenisnya
3. Pendukung Manajemen, merupakan aplikasi yang sifatnya mendukung operasional manajemen sehingga proses-proses bisnis standar manajemen dan pelayanan kepada publik dapat optimal, mencakup diantaranya fungsional informasi, komunikasi dan kolaborasi
4. Data Warehouse dan Business Intelligence, merupakan aplikasi yang digunakan untuk mengelola laporan dan fasilitas analisa data multidimensional

Arsitektur Infrastruktur Teknologi, yaitu topologi, konfigurasi, dan spesifikasi infrastruktur teknologi, dapat berupa perangkat keras, perangkat lunak sistem, database dan perangkat komunikasi & jaringan yang harus tersedia untuk menghasilkan Sistem Informasi yang dibutuhkan.

• Infrastruktur teknologi mencakup jaringan komunikasi, perangkat pemrosesan informasi (server, workstation dan peripheral pendukungnya), software system (sistem operasi, database RDBMS (Relational Database Management System) untuk mengatur data disimpan secara teratur dan operasi data sesuai permintaan) dan media penyimpanan data
• Perencanaan arsitektur infrastruktur teknologi mengutamakan mekanisme Shared-Services, fokus untuk meningkatkan efisiensi belanja TI. Mekanisme Shared-Services arsitektur teknis di implementasikan atas aspek-aspek sumberdaya berikut:

1. Infrastruktur komunikasi: jaringan komputer/komunikasi, koneksi internet
2. Infrastruktur penyimpanan data (Data Center) dan DRC (Disaster Recovery Center)

Perencanaan Manajemen dan Organisasi

• Yaitu struktur organisasi dan metoda pengelolaan yang mampu menyediakan layanan dan produk Teknologi Informasi yang efektif untuk internal organisasi dan operasional Teknologi Informasi di  lingkup Perusahaan
• Perencanaan organisasi mencakup identifikasi struktur organisasi pengelola yang akan melakukan operasional harian
• Perencanaan manajemen mencakup pendefinisian prosedur teknis dengan prioritas pada:

1. Realisasi Sistem
2. Operasi Sistem
3. Pemeliharaan Sistem

Perencanaan Pendekatan dan Implementasi Roadmap

• Pendekatan dan Implementasi Roadmap yaitu menciptakan suatu kerangka kerja Sistem Informasi terpadu yang akan menjadi dasar pengembangan dan penerapan sistem informasi fungsional perusahaan yang mencakup tugas-tugas seluruh unit kerja di Perusahaan.
• Setiap perencanaan sistem menggunakan skenario Project Management untuk setiap proyek inisiatif TI yang direncanakan untuk memastikan dapat diselesaikan tepat waktu, tepat sasaran, dan tepat anggaran
•  Setiap inisiatif yang direncanakan selalu menyertakan proyeksi waktu, kapan manfaat (benefit) yang diharapkan dapat terealisasi.
• Setiap perencanaan sistem mempunyai implementasi Roadmap yang didasarkan pada analisa kesenjangan arsitektur (informasi, aplikasi dan infrastruktur teknologi) serta kesenjangan manajemen dan organisasi

Pengkajian dan Pemutakhiran

• Perusahaan memiliki Rencana Induk TI lima tahunan yang akan menjadi dasar dalam pelaksanaan inisiatif TI tahunan, dengan memperhatikan keselarasan dengan Rencana Jangka Panjang Perusahaan
• Komite Pengarah TI Perusahaan dapat melakukan review tahunan terhadap kekinian dan kesesuiaan Rencana Induk TI.
• Komite Pengarah TI memberikan persetujuan akhir atas rencana induk TI lima tahunan yang kemudian akan disahkan secara legal dan formal oleh eksekutif Perusahaan
•  Komite Pengarah TI melakukan review dan memberikan masukan atas perencanaan TI

  Indikator Keberhasilan

Keselarasan strategis

• Tingkat kontribusi tujuan TI dalam mendukung tujuan perusahaan secara umum
• Tingkat kepuasan stakeholder atas rencana TI yang sudah disusun
• Tingkat kesesuian proyek-proyek TI yang sudah/sedang berjalan dibandingkan dengan rencana

Efisiensi arsitektur

• Penurunan tingkat redudansi sistem akibat kurang optimalnya implementasi mekanisme shared-services arsitektur

Tempat Pelaksanaan          : Jakarta

Jam                                         : 09.00 s/d 16.00 WIB

Investasi                                : Rp. 4.500.000,- /peserta

  (termasuk Materi Pelatihan, Sertifikat, Lunch–Coffee Break, Souvenir)     

Tanggal Pelaksanaan         : 7 May – 9 May 2012

Pendaftaran                          :

            Email                          : ayudiah.febrina@yahoo.com

                                                  Ayudiah.febrina@wrj-technology.com

            Telp                            : 021 – 527 7412

            Contact person         : Ayu Diah Febrina

 Silabus Pelatihan

Proses perencanaan strategis untuk Teknologi Informasi (TI) merupakan kumpulan langkah-langkah yang dirancang untuk mencapai tahap akhir dari pengembangan dan eksekusi rencana strategi bisnis. Strategic Planning juga merupakan suatu framework, kumpulan prosedur baik formal maupun informal dan juga termasuk isinya.

Diluar dari semua elemen dasar ini, bahwa Strategic Planning merupakan antisipasi masa datang, ramalan (forecast), yang dikelola atau diatur dengan cara yang terbaik untuk memastikan bahwa perencanaan tersebut terintegrasi sesuai harapan bisnis.

 Manfaat

Sebagai seorang profesional bisnis, apakah dari IT atau tidak, fokus utama adalah membuat nilai (“Value”) terhadap shareholder. Teknologi Informasi dalam pengertian ini adalah untuk mencapai tujuan tersebut. Tujuan utama pelatihan ini adalah untuk memberikan pandangan tentang strategi Sistem Informasi, membahas bagaimana strategi tersebut bisa membantu bisnis, mengenal fokus bisnis untuk melakukan kordinasi dan kerjasama antara IT dan Bisnis melalui jawaban daripada pertanyaan berikut :

1. Apakah sasaran strategi teknologi Informasi?
2. Kenapa kerjasama antara TI dan bisnis diperlukan untuk mendukung tujuan utama bisnis?
3. Langkah apa saja untuk membangun strategi Teknologi Informasi?
4. Bagaimana mengawasi hasil dari investasi TI?
5. Bagaimana meningkatkan alur informasi internal dan proses dalam divisi TI?
6. Bagaimana merancang alokasi SDM TI secara efektif dan efisien?

Silaus Pelatihan

1. Konsep Perencanaan
2. Sistem Perumusan Strategi berdasarkan BSC
3. Membangun Strategi TI
4. Model Perencanaan Strategi
5. Manajemen Strategi TI
6. Mengelola Aplikasi Portfolio
7. Organisasi dan Sumber Daya TI
8. Mengelola Investasi TI
9. Mengelola Layanan TI
10. Evaluasi dan Kebijakan TI

Dengan Cloud Computing (baca: Komputasi Awan) memiliki potensi untuk memberikan berbagai layanan inovatif dalam pengelolaan infrastruktur, platform pengembangan, aplikasi perangkat lunak dan proses bisnis yang kompleks dengan biaya yang lebih efisien dan efektif dibandingkan sebelumnya.

The National Institute of Standards and Technology (NIST) mendefinisikan komputer awan adalah sebuah model yang memberikan kenyamanan, akses jaringan on-demand ke sumber daya komputer yang dikonfigurasi untuk bisa berbagi (seperti; jaringan, server, tempat penyimpanan data, aplikasi dan layanan) yang dapat dengan cepat ditetapkan dan dirilis dengan pengaruh yang minimal dari manajemen atau interaksi dari penyedia layanan (provider).

Layanan yang diberikan oleh Komputasi Awan terdiri dari 3 jenis layanan sebagai berikut;

• Software as a Service (SaaS); layanan yang menyediakan akses untuk menjalankan aplikasi yang disediakan oleh provider melalui client interface, seperti browser (misalnya; Gmail). Pelanggan tidak mengelola infrastruktur, jaringan, backup data, ataupun server.

Contoh layanan: Tagihan, keuangan, Human Resources, Content Management, Backup & Recovery, CRM, Document Management

• Platform as a Service (PaaS); Layanan yang diberikan oleh provider untuk mengembangkan aplikasi dalam infrstrukturnya dan menggunakan bahasa pemograman dan tool yang didukung oleh platform (misalnya Java atau Phyton tersedia dalam Google App Engine)

Contoh layanan; Business Intelligence, Development and Testing, Database

• Infrastructure as a Servivce (IaaS); Layanan yang menyediakan fasilitas untuk menyewa tempat penyimpanan data, server, bandwidth sehingga pelanggan dapat menginstall dan menjalankan perangkat lunak apa saja (sistem operasi dan/atau aplikasi)

Contoh layanan; Tempat penyimpanan data (storage), service management

Beberapa konfigurasi yang ada pada Cloud Computing seperti berikut ini:

1. Public Cloud; konfigurasi ini menyediakan infratrsuktur yang dapat dibagai dengan model “pay-as-you-go”. Pelanggan dapat memilih infrastruktur yang dia mau, dan memilih elemen keamanan (security) dan uptime (SLA).  Contoh: Amazon Web Service EC2 (Elastic Compute Cloud)
2. Private Cloud; adalah perusahaan yang hanya mau menggunakan layanan yang ada dalam perusahaannya (hosted-in-house) dan tidak berbagi infrastruktur, perusahaan masih investasi hadrware dan software, manfaatnya tidak terlalu banyak
3. Hybrid Cloud; kombinasi dari Cloud yang berbeda (misalnya Public dan Private), yang memungkinkan pertukaran informasi dan memberikan layanan diantara cloud yang mempunyai aplikasi yang sama dan provider menggunakan standar atau metodologi tanpa mempertimbangkan kepemilikan atau lokasi
4. Community Cloud; konfigurasi ini memungkinkan untuk berbagi infrastruktur pada perusahaan, mendukung komunitas yang mempunyai kepedulian yang sama (misalnya; misi, kebutuhan keamanan, kebijakan dan pertimbangan kepatuhan). Contoh: menyediakan layanan cloud untuk semua instansi pemerintahan.

sumber : NIST, ISACA, berbagai sumber

• Semua pembelian sistem dan perangkat keras baru untuk sistem yang ada harus sesuai dengan kebijakan keamanan dan kebijakan perusahaan lainnya, demikian juga halnya dengan standar teknikal.

• Permintaan untuk pembelian harus berdasarkan dokumen spesifikasi persyaratan

B. Pengelolaan Standar Kendali Akses

• Standar kendali akses untuk sistem informasi harus ditetapkan oleh manajemen dan harus mencakup keseimbangan antara batasan-batasan  untuk mencegah akses yang tidak sah dengan  penyediaan akses tanpa batas untuk memenuhi kebutuhan perusahaan

C. Pengelolaan Akses pengguna

• Akses untuk semua sistem harus mendapatkan izin dari pemilik sistem tersebut, termasuk hak akses tertentu harus dicatat dalam Daftar Kendali Akses.

D. Keamanan Komputer yang tidak digunakan

• Semua peralaan komputer harus dijaga dengan tepat, khususnya ketika ditinggal dengan kondisi tidak digunakan

E. Pengelolaan Kendali Akses Jaringan

• Akses ke sumber daya dalam jaringan komputer harus dikendalikan dengan ketat untuk mencegah akses yang tidak sah. Akses ke semua komputer dan sistem informasi dan peralatannya akan dibatasi hanya untuk yang mempunyai hak saja.

F. Pengawasan Akses terhadap Sistem Operasi

• Akses ke program atau perintah-perintah sistem operasi adalah dibatasi untuk orang tertentu yang mendapat izin untuk menjalankan fungsi  administrasi / manajemen sistem

G. Pengelolaan Password

• Password tidak boleh diberikan pada orang lain yang tidak berhak dengan alasan apapun

H. Keamanan Akses fisik

• Akses secara fisik ke daerah dengan keamanan tinggi harus dikendalikan dengan identifikasi yang ketat dan teknik autentikasi.

a.      Untuk mengelola pekerjaan Teknologi Informasi (TI) dalam operasional sehari-hari dalam lingkungan perusahaan

b.      Memberikan solusi dan konsultansi teknologi untuk mencapai tujuan dan strategi bisnis perusahaan

2. DIMENSI / DIMENSION

a.      Bertanggung jawab langsung pada Direktur …..

b.      Bekerja sama dengan pimpinan bisnis unit lain dalam memberikan konsultansi, rekomendasi tentang rencana kerja yang akan datang dan pengembangan sumber daya teknologi seperti hardware, infrastruktur, telekomunikasi, dan lainnya.

c.       Jumlah staff = ………. Orang

d.      Dimensi area = ………..(sebutkan berapa jumlah kantor cabang yang di support)

3. TUGAS DAN TANGGUNG JAWAB / DUTIES AND RESPONSIBILITIES

a.      Mengelola Teknologi Informasi dan sistem komputer

i.      Bertanggung jawab pada kesiapan dan ketersediaan sistem komputer / aplikasi dalam lingkungan perusahaan

ii.      Membuat dan/atau implementasi semua sistem dan aplikasi

iii.      Merancang, mengelola dan mengawasi serta meng-evaluasi operasional dari sistem informasi (software dan aplikasi) dan pendukungnya (hardware, infrastruktur, telekomunikasi)

iv.      Membuat dan mengimplementasikan kebijakan dan prosedur TI (IT policy) termasuk kebijakan keamanan TI (IT security policy)

v.      Berkerja sama dengan TI vendor untuk merancang , membuat dan meng-implementasikan sistem atau aplikasi jika diperlukan

vi.      Membuat dan mengawasi anggaran TI (budget) dan expenditures

b.      Memberikan solusi Teknologi Informasi

i.      Bertanggung jawab pada penyediaan layanan infrastruktur termasuk aplikasi, jaringan komputer (LAN / WAN), keamanan Teknologi Informasi dan telekomunikasi

ii.      Memberikan rekomendasi tentang solusi sistem informasi dan pendukungnya

iii.      Memberikan orientasi kepada pegawai baru mengenai aplikasi atau sistem yang digunakan saat ini dan rencana atau strategi TI secara umum

iv.      Merancang dan membuat TI DRP (Disaster Recovery Plan)

v.      Memberikan arahan pada bawahan mengenai penggunaan dan solusi teknologi

c.       Pengawasan dan perawatan Teknologi Informasi

i.      Bekerja sama dengan senior manajemen untuk membuat, merancang pelayanan TI dalam dokumen Service Level Agreements

ii.      Memberikan laporan bulanan kepada Direktur Keuangan mengenai semua aspek dari departemen TI (Teknologi Informasi)

4. FAKTOR KEBERHASILAN / KEY SUCCESS FACTOR

Seorang IT manager dianggap berhasil dalam pelaksaan tugasnya, dengan memiliki keahlian dan pengetahuan sebagai berikut;

a.      Pengetahuan

i. Berpengalaman dalam perancangan dan pengembangan infrastruktur TI

ii. Memiliki pengetahuan dalam mengelola departemen TI (managing the IT Department)

iii.      Memiliki pengetahuan tentang Project Management Process

b.      Keahlian

i. Mempunyai keahlian kepemimpinan yang kuat (management dan supervisory skill)

ii.      Mengetahui secara umum instalasi dan administrasi hardware, software dan jaringan

iii.      Mempunyai kemampuan berkerja secara tim (team work)

iv.      Mempunyai kemampuan analisa dan penyelesaian masalah

v.      Mempunyai kemampuan dalam pembuatan keputusan (decision making)

vi.      Kemampuan berkomunikasi secara verbal maupun tulisan

c.       Personal

i. Kemampuan dalam melaksanakan tugas dalam tekanan kerja yang tinggi

ii. Jujur dan dapat dipercaya

iii. Felsibel terhadap kondisi dan lingkungan kerja

iv. Memiliki kepedulian dan sensitif terhadap kebutuhan bisnis

5. HUBUNGAN KERJA / WORKING RELATIONSHIP

a.      Internal

i.      Bekerja sama dengan pimpinan binis unit lain dalam perancangan, rekomendasi dan konsultasi terhadap solusi teknologi

ii.      Bekerja sama dengan senior manajemen dalam perancangan strategi TI untuk mendukung keberhasilan tujuan perusahaan

iii.      Bekerja sama dengan HR dalam pengembangan karir staff serta pemilihan staff TI baru

iv.      Bekerja sama dengan tim Legal dan HR dalam pembuatan kebijakan TI

v.      Bekerja sama dnegan procurement dalam pengadaan inventory TI

b.      Eksternal

i.      Bekerja sama dengan vendor dalam pembuatan aplikasi (jika diperlukan)

ii.      Bekerja sama dengan konsultan dalam pengembangan, solusi serta peningkatan kinerja departmen TI (Teknologi Informasi)

iii.      Bekerja sama dengan Internet provider dalam pengelolaan internet dan telekomunikasi

6. INFORMASI LAIN / ADDITIONAL INFORMATION

a.      Kompetensi teknikal / Technical Competencies – 30 %

b.      Kompetensi manajerial / Management Competencies – 70%

Dalam tahun 1988, the Disaster Recovery Institute International (DRII) dibuat dan kemudian mengeluarkan daftar dari praktek professional untuk perencanaan disaster recovery . Tujuannya untuk membantu organisasi dengan rencana mereka untuk memastikan  bahwa mereka bisa membangun kembali dan memulihkan fasilitas mereka dan peralatan akibat dari bencana.

Bencana atau gangguan yang menyebabkan sumber daya kritikal informasi menjadi tidak bisa dijalankan dalam periode tertentu sangat berpengaruh pada operasional organisasi. Ancaman yang paling besar terhadap kelangsungan organisasi apapun terpusat pada kelangsungan financial mereka. Salah satu yang perlu diperhatikan dari semua kondisi yang telah diukur adalah sebagai berikut;

• Organisasi tidak melanggar perjanjian kemitraan yang penting
• Investor tidak mengurangi stok nya dengan melakukan penjualan murah dan cepat
• Pelanggan tetap melanjutkan bisnis tanpa ragu-ragu atau membatalkan pesanannya
• Rekan bisnis tetap melanjutkan pekerjaannya dengan persyaratan sebelumnya sesuai dengan kontrak tanpa meminta persyaratan baru atau menunda pelayanan

Kegagalan dari kondisi tersebut bisa melemahkan struktur organisasi dan kemampuan manajemen untuk melanjutkan operasional. Kebanyakan semua aktifitas dalam Disaster Recovery (DR) fokus dalam pembangunan ulang untuk menyamakan reputasi bisnis sebelum bencana. Tetapi semua itu bisa menjadi sia-sia tanpa pelanggan anda dan aliran penghasilan yang dibuat karena pemebelian mereka.

Bencana dapat disebabkan oleh bencana alam, seperti gempa bumi, banjir, tornado, kebakaran yang dapat mengakibatkan kerusakan pada fasilitas secara umum. Bencana lain juga bisa disebabkan oleh gangguan yang terjadi pada pelayanan seperti sumber listrik, telekomunikasi, persedian gas, atau pelayanan lain yang tidak bisa diberikan pada perusahaan karena bencana alam atau sebab lainnya.

Tidak sama dengan Disaster Recovery (DR), fokus Business continuity (BC) adalah revenue. Selama organisasi mempunyai waktu dan uang, organisasi tersebut dapat melanjutkan fungsinya. Business continuity fokus pada memasukkan banyak uang di bank, walaupun jika bisnis tidak mengirim produk. Tujuan utama dari business continuity (BC) adalah untuk memastikan bahwa fungsi bisnis utama dapat dijalankan dengan cara minimal atau tanpa hambatan.

Secara umum, konsep Business Continuity (BC) adalah sama dengan gabungan dari disaster recovery planning ditambah dengan business continuity. Tergantung dengan kompleksitas perusahaan, bisa jadi satu atau lebih rencana untuk mencatat beberapa aspek dari business continuity dan disaster recovery.Walaupun dengan proses yang sama dari organisasi yang sama bisa saja dibedakan oleh lokasi geografi. Solusi yang disarankan bisa berbeda.

Business Continuity Planning (BCP) adalah sebuah proses yang dirancang untuk mengurangi resiko bisnis pada organisasi yang muncul dari gangguan yang tidak diharapkan. Hal ini termasuk sumber daya manusia atau material yang mendukung kritikal fungsi atau operasional dan kepastian dari kelangsungan pelayanan, paling tidak pada tingkat yang minimal.

Langkah pertama dalam persiapan rencana business continuity baru adalah meng-identifikasi bisnis proses dari strategi yang penting, dimana proses utama tersebut adalah ber tanggung jawab pada perkembangan dari bisnis dan untuk memenuhi tujuan bisnis.

Business Continuity Planning (BCP) adalah tanggung jawab utama dari senior manajemen, sehingga mereka dipercaya dengan mengamankan asset dan kelangsungan organisasi. Business Continuity secara umum diikuti oleh bisnis dan unit pendukung untuk memberikan pelayanan minimum pada saat ada gangguan dan ketika pemulihan dilakukan. Rencana harus mencakupi semua fungsi dan asset yang diperlukan untuk melanjutkan kelangsungan organisasi.

Business continuity planning mempunyai beberapa pertimbangan sebagai berikut;

• Kritikal operasional yang sangat penting untuk kelangsungan organisasi
• Sumber daya manusia dan material yang mendukung nya

Selain perencanaan untuk kelangsungan operasional, BCP termasuk;

• Disaster Recovery Plan yang digunakan untuk memperbaiki  fasilitas yang tidak bisa dioperasikan, termasuk relokasi operasional ke lokasi yang baru
• Rencana perbaikan yang digunakan untuk mengembalikan operasional ke kondisi normal dimana akan dioperasikan di lokasi baru

Bencana (Disaster) adalah gangguan yang menyebabkan sumber daya informasi tidak bisa dioperasikan selama waktu tertentu dan mempunyai dampak yang tidak baik dalam operasional organisasi. Disaster Recovery (DR) adalah bagian dari business continuity, dan berhubungan dengan pengaruh langsung dari bencana. DR biasanya mempunyai beberapa tahapan perencanaan, walaupun kadang-kadang tahapan tersebut menjadi kabur dalam implementasinya karena situasi selama krisis hampir sangat berbeda dengan rencana.

Disaster recovery mencakupi penghentian dampak dari bencana secepat mungkin dan menjalankan alternatif lain segera. Seperti halnya mematikan server yang terkena gangguan, evaluasi sistem yang terkena dampak seperti banjir atau gempa bumi dan menetapkan cara yang terbaik dalam pelaksanaannya.

Berikut ini adalah siklus dari perencanaan, implementasi dan penilaian yang menjadi bagian daripada siklus perawatan BC/DR .

1. Meningkatkan manajemen IT
a. Implementasikan IT Steering Committee, untuk memberikan arahan pada IT direktur
b. Upgrade manajemen IT dengan mengangkat IT direktur yang baik
c. Bersihkan struktur organisasi IT; berikan batas yang jelas antara aplikasi manajemen dan operasional
d. Setiap staff IT harus mempunyai tugas dan tanggung jawab yang jelas

2. Project Management yang disiplin
a. Buat dokumentasi master untuk daftar projek-projek IT
b. Tentukan ROI untuk tiap projek
c. Projek yang tidak memberikan hasil revenue, pengurangan biaya atau menigkatkan pengawasan bisnis, bisa dibatalkan
d. Prioritaskan projek berdasarkan manfaat, kesulitan, dan kecukupan dari sistem yang ada

3.  Pengaturan Vendor

a. Tentukan vendor yang baik,  rekan bisnis yang baik akan membantu meningkatkan produktivity
b. Negosiasi dengan vendor untuk mendapatkan harga yang baik, dan awasi mereka selama dan sesudah pekerjaan untuk support
c. Tanya vendor, bagaimana dia mengukur kepuasan pelanggan

4. Fiscal Management / Budget

a. Tentukan bahwa perusahaan akan mendapatkan (contoh) Rp 100.000 untuk setiap pengeluaran Rp 10.000 dari pengeluaran IT
b. Jika ada perbedaan budget, secara proaktif jelaskan pada senior manajemen
c. Bangun hubungan yang baik dengan CFO

5. Tingkatkan hubungan kerja dengan bisnis

a. Hindari saling tunjuk antara IT dan bisnis, dengan cara staff IT duduk dengan bisnis yang di support sekali seminggu
b. IT direktur melakukan makan siang dengan bisnis unit manajer , manajer operasional atau anggota IT Steering Committe.
c. Tugaskan IT Business manager untuk mempelajari lebih dalam mengenai bisnis dan solusinya

Tujuan utama dari Tata Kelola keamanan informasi adalah untuk mengurangi dampak yang merugikan perusahaan sampai pada tingkatan yang bisa diterima oleh perusahaan.  Keamanan informasi mencakup semua jenis informasi, baik pisik dan elektronik; tidak peduli apakah ada karyawan atau teknologi yang terlibat atau hubungan dengan parner perdagangan, pelanggan dan pihak ketiga. Pada implementasi sehari-hari dalam perusahaan, keamanan informasi melindungi semua aset informasi terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak ataupun kerusakan informasi.

Keamanan informasi merupakan proses top-down, artinya inisiatif dan dukungan dimulai dari top management sampaipada tingkat pegawai yang paling rendah, juga memerlukan strategi keamanan yang berhubungan dengan proses dan strategi bisnis perusahaan.

Kerangka (framework) daripada Tata kelola keamanan informasi adalah sebagai berikut:

• Metodologi manajemen resiko keamanan informasi
• Strategi keamanan informasi yang mendukung tujuan bisnis dan IT
• Struktur organisasi keamanan yang efektif
• Kebijakan keamanan mencakupi semua aspek dari strategi, pengawasan dan peraturan

Untuk memastikan elemen-elemen dari keamanan sudah terpenuhi dalam strategi keamanan perusahaan, beberapa standard keamanan telah memberikan panduan, seperti, Control Objectives for Information and Related Technology (COBIT), ISO 17799, FIPS Publication 200 dan NIST 800-53 di US.

Dalam hal ini, harapan dari keamanan informasi adalah mencakup :

• Informasi bisa digunakan dan tersedia ketika diperlukan oleh perusahaan, serta sistem yang menyediakan terlindungi dari serangan atau ancaman (Availability)
• Informasi digunakan hanya untuk yang berhak dan perlu (Confidentiality)
• Informasi sudah dilindungi dari kemungkinan perubahan yang tidak berhak (Integrity)
• Transaksi bisnis dan juga pertukaran informasi antara lokasi atau dengan parner binis diluar dapat dipercaya (authenticity dan non-repudiation)

1. Akses ke data rahasia
2. Akses yang tidak sah ke komputer departemen
3. Pemakaian password
4. Serangan virus
5. Open ports

Audit juga dilakukan untuk memastikan;

1. Memastikan integrity, confidentiality dan availability dari informasi
2. Pengawasan terhadap semua ukuran keamanan berdasarkan IT Security policy
3. Menyelidiki gangguan keamanan yang tercatat dalam buku log

Contoh pertanyaan yang sering diajukan oleh IT Audit;

A. Umum

1. Apakah perusahaan / departemen mempunyai kebijakan keamanan IT, standar atau prosedur?
2. Apakah kebijakan, standar atau prosedur tersebut disimpan ditempat yang mudah diakses? dismpan dalam media apa?

B. Hardware

1. Apakah perusahaan / departemen mempunyai standar sistem perawatan dan prosedur?
2. Apakah sistem administrator sudah memastikan semua data-data penting sudah dihilangkan sebelum hardware dikirim keluar untuk perbaikan atau penggantian?

C. Software

1. Apakah mempunyai disks asli untuk install ulang jika software di hard disk bermasalah?
2. Apakah ada panduan atau prosedur untuk melanjutkan operasional jika pusat pelayanan software bermasalah?

D. Environmental

1. Apakah lingkungan kerja aman dan bebas dari kemungkinan bahaya? (seperti, atap bocor, kecukupan listrik, dll)
2. Apakah UPS bisa membantu server dan PC jika ada masalah listrik?

E. User login dan Password

1. Apakah ada kebijakan untuk memilih password ?
2. Apakah password diganti? berapa lama?

F. Physical Security

1. Apakah ada prosedur untuk mengunci ruang komputer?
2. Apakah ada sistem alarm?
3. Apakah PC bisa dikunci untuk menghindari akses orang lain ke dalam komputer?

G. Network dan Configuration Security

1. Apakah perusahaan mempunyai diagram network?
2. Apakah perusahaan bisa melanjutkan operasional ketika ada masalah dengan network?

H. Web Server

1. Apakah web server ditentukan hanya untuk port 80?
2. Apakah contoh file, script dan file development sudah dihapus?

I. FTP

1. Apakah semua FTP server sudah diatur hanya untuk pengguna yang berhak?
2. Apakah traffic di encrypted / aman?

J. Email

1. Apakah email server bisa untuk scan mail dan lampiran dari serangan virus?
2. Apakah akses web ke email aman?

K. Disaster Planning

1. Apakah ada contigency plan jika PC tidak bisa jalan?
2. Apakah contigency plan sudah dicoba secara berkala?

L. Backup dan Recovery

1. Apakah file / data backup disimpan ditempat yang aman?
2. Apakah file-file yang penting di backup secara berkala?

M. Change Management

1. Apakah perusahaan mempunyai version control untuk produk software atau aplikasi?
2. Apakah hanya orang yang sudah terlatih d\yang diizinkan untuk install software?

N. Training

1. Apakah pegawai baru membaca dan mengerti tentang keamanan IT?
2. Apakah ada workshop untuk pegawai tentang keamanan IT?

O. Firewall

1. Seberapa sering log dilihat?
2. Apakah perusahaan mempunyai teknikal staff untuk menjalankan network firewall?

P. Antivirus

1. Apakah PC menggunakan antivirus versi terbaru?
2. Seberapa sering anti virus diganti / update?