Tinjauan ringkas maturity model dari COBIT

TINJAUAN RINGKAS MATURITY MODEL DARI COBIT

by: agungty

source: http://12oktober.wordpress.com/category/sistem-informasi/

Domain COBIT

Setiap aktivitas dan tugas yang dilaksanakan untuk mencapai hasil yang terukur, dalam kerangka kerja COBIT, dikelompokkan atau diklasifikasikan dalam beberapa process group COBIT. Terdapat 4 (empat) domain COBIT yaitu Plan and Organize, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Setiap domain tersebut diperjelas dan dijabarkan dalam 34 (tiga puluh empat) obyektif yang diharapkan menjadi acuan COBIT.

1. Plan and Organize (PO)
   1. PO1 Define a Strategic IT Plan
   2. PO2 Define the Information Architecture
   3. PO3 Determine Technological Direction
   4. PO4 Define the IT Processes, Organisation and Relationships
   5. PO5 Manage the IT Investment
   6. PO6 Communicate Management Aims and Direction
   7. PO7 Manage IT Human Resources
   8. PO8 Manage Quality
   9. PO9 Assess and Manage IT Risks
   10. PO10 Manage Projects

Domain ini berkonsentrasi pada proses perencanaan dan penyesuaian strategi TI dengan strategi perusahaan. Berikut adalah high level control objective dari domain ini :

2. Acquire and Implement
   1. AI1 Identify Automated Solutions
   2. AI2 Acquire and Maintain Application Software
   3. AI3 Acquire and Maintain Technology Infrastructure
   4. AI4 Enable Operation and Use
   5. AI5 Procure IT Resources
   6. AI6 Manage Changes
   7. AI7 Install and Accredit Solutions and Changes

Domain ini berkonsentrasi pada proses pengadaan dan implementasi TI yang digunakan. Berikut adalah High level control objective-nya meliputi :

3. Deliver and Support
   1. DS1 Define and Manage Service Levels.
   2. DS2 Manage Third-party Services.
   3. DS3 Manage Performance and Capacity.
   4. DS4 Ensure Continuous Service.
   5. DS5 Ensure Systems Security.
   6. DS6 Identify and Allocate Costs.
   7. DS7 Educate and Train Users.
   8. DS8 Manage Service Desk and Incidents.
   9. DS9 Manage the Configuration.
   10. DS10 Manage Problems.
   11. DS11 Manage Data.
   12. DS12 Manage the Physical Environment.
   13. DS13 Manage Operations.

Domain ini berkonsentrasi pada teknis-teknis yang mendukung terhadap proses pelayanan TI.

4. Monitor and Evaluate.
   1. ME1 Monitor and Evaluate IT Performance
   2. ME2 Monitor and Evaluate Internal Control
   3. ME3 Ensure Compliance With External Requirements
   4. ME4 Provide IT Governance

Domain ini berkonsetnasi pada monitoring dan evaluasi penerapan TI.

COBIT Maturity Model

Model Maturity untuk COBIT adalah serangkaian level maturity sebagai profile proses-proses TI yang mampu dimengerti
oleh Enterprise tentang kondisi sekarang dan kondisi masa depan yang ingin dicapai. Model maturity COBIT bukan modelthreshold , level maturity COBIT tidak akan bisa meningkat bila syarat dan kondisi dilevel bawahnya dipenuhi terlebih dahulu. Model maturity COBIT tidak digunakan untuk meneliti dengan persis suatu level telah tercapai, namun lebih ditujukan sebagai acuan kondisi yang relevan terhadap beberapa level maturity .

Maturity model untuk setiap proses COBIT, digunakan untuk mengidentifikasi :

1. Unjuk kerja aktual Enterprise – Where Enterprise Today ?
2. Status terkini industri – The Comparison ?
3. Target peningkatan Enterprise – Where Enteprise wants to be?
4. Jalur pertumbuhan yang dibutuhkan – dari kondisi “as-is” ke kondisi “to-be”.

Untuk memudahkan penggunaan hasil penilaian maturity model bagi manajemen, maka sebagai berikut adalah grafiknya.

Gambar 1. Tingkat penilaian Maturity Model.

Penjelasan Gambar 1 :

Non Existent	:	Enterprise tidak memiliki proses terhadap isu apapun alias tidak ada isu yang dibahas.
Initial/adhoc	:	Terdapat bukti bahwa Enterprise telah mengenali bahwa terdapat isu TI yang ada dan harus ditangani. Namun bagaimanapun juga tidak ada proses standard untuk menangani isu TI itu. Namun sebaliknya ada proses yang menjadi pendekatan ad-hoc yang diaplikasikan pada kasus individual atau kasus demi kasus secara terpisah-pisah. Pendekatan manajemen yang menyeluruh masih belum terorganisasi dengan baik.
Repeatable but Intuitive	:	Proses prosedur yang ada telah dikembangkan sedemikian rupa sehingga juga diikuti oleh orang lain yang melakukan pekerjaan yang sama. Namun belum ada pelatihan formal atau prosedur standar komunikasi yang dipakai dan juga pertanggung-jawaban masih bersifat individual. Pada level ini, terdapat ketergantungan terhadap keahlian individual sehingga terjadinya kesalahan masih besar kemungkinan terjadi.
Defined Process	:	Prosedur kerja telah distandarisasi dan didokumentasikan serta dikomunikasikan melalui proses-proses pelatihan. Telah dimandatkan pula, bahwa prosedur ini wajib dipatuhi, namun bagaimanapun juga ada deviasi prosedur dalam pelaksanaannya yang belum diakomodasi. Prosedur itu sendiri masih belum memuaskan
Managed and Measurable	:	Manajemen memonitor dan mengukur kepatuhan (compliance) dengan prosedur dan mengambil suatu tindakan bila nampak suatu proses tidak berjalan secara efektif. Proses-proses di dalam Enterprise selalu dalam ditingkatkan dan menyediakan hasil yang baik. Otomatisasi dan tools digunakan secara terbatas atau terpecah-pecah.
Optimised	:	Proses yang telah berada pada level praktek yang amat baik, berdasarkan pada hasil continous improvement dan pemodelan maturity dari Enterprise yang lain. TI digunakan sebagai cara integrasi yang mengotomatisasi workflow, menyediakan tools untuk peningkatan kualitas dan keefektifan, sehingga membuat Enterprise cepat beradaptasi.

Maturity model adalah suatu metode untuk mengukur level pengembangan manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada tercapainya tujuan-tujuan COBIT yang . Sebagai contoh adalah ada beberapa proses dan sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko Enterprise dan kebutuhan kepatuhan yang diterapkan.

Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.

Keywords : COBIT, Tata Kelola TI, COBIT Maturity Model.

Riwayat Penulis

Agung Trika Yoosnanto, dilahirkan di kota Surakarta Jawa Tengah, tahun 1978. Pendidikan terakhir pada Magister Teknik Elektro ITB Bandung. Mendalami bidang :

• Pengadaan Barang dan Jasa.
• Manajemen Pengembangan Karir dan SDM.
• Manajemen Teknologi Informasi terutama pada Arsitektur TI dan Manajemen Sumber Daya TI serta Business Continuity Planning .

Leave a Comment » | Sistem Informasi | Permalink
Ditulis oleh agungty

---

Penerapan Praktis Software Security

April 26, 2008

Dari perencanaan berbasis SDLC dengan konsep keamanan perangkat lunak maka dapat diturunkan menjadi beberapa pekerjaan yang harus diperhatikan oleh institusi pemilik Aplikasi Sistem Informasi yaitu :

1. Pekerjaan Pengamanan Fisik
2. Pekerjaan Pengamanan terhadap personel proyek Aplikasi
3. Pekerjaan Pengamanan terhadap media, data, teknik dan komunikasi

selama proyek aplikasi. Bila diklasifikasikan berdasarkan elemen penyusun suatu sistem teknologi

informasi maka pekerjaan diatas akan menyangkut pada 3 (tiga) hal yaitu :

1. Network Security, Fokus pada media pembawa komunikasi data, misalnya LAN, WAN.
2. Computer Security. Fokus pada perangkat lunak sistem operasi dan perangkat keras komputer
3. Application Security, Fokus pada perangkat lunak Aplikasi, yaitu perangkat lunak yang digunakan untuk pekerjaan institusi.

Selama proses pekerjaan pengembangan aplikasi tersebut maka berikut ini

adalah hal-hal yang harus diperhatikan oleh tim imbangan proyek yang berasal dari Institusi pemilik Aplikasi yaitu :

1. Kerahasiaan – Privacy and Confidentiality

Data dan Informasi pelanggan harus dirahasiakan by default, kecuali untuk

personel yang berhak. Pada beberapa Aplikasi Sistem Informasi seperti

Aplikasi Sistem Informasi Rumah Sakit, Aplikasi Sistem Informasi STNK

maka data pelanggan menjadi sangat kritikal karena menyangkut nyawa

dan harta benda seseorang yang harus dilindungi.

1. Integrity

Data dan Informasi pelanggan tidak boleh dirubah tanpa prosedur yang ditentukan dalam peraturan dan perundangan yang berlaku bagi institusi tersebut.

Pada tahap arsitektur dan desain, aspek integrity sudah wajib dimasukkan hingga tahap implementasi. Pada tinjauan desain dan arsitektur hingga pekerjaan pengetesan di implementasi harus menunjukkan bukti bahwa aspek integrity sudah terjamin.

1. Authentication
   • Bagaimana mengenali pembayar pajak pada servis Online Tax Payment? Padahal tidak ada atau sangat sedikit kontak terhadap si pembayar pajak

· Menggunakan:

1. what you have (identity card)

2. what you know (password, PIN)

3. what you are (biometric identity)

1. Availability

Pada tahap desain sistem, harus dimasukkan tentang bagaimana availability sistem terjamin, dengan memasukkan berbagai kemungkinan yang terjadi yang dapat menghilangkan kemampuan availability Aplikasi Sistem Informasi. Pada tahap pengetesan, kemampuan availability tersebut harus diuji dan harus dapat dibuktikan bahwa pada kondisi apa saja aplikasi dapat tersedia, pada kondisi apa saja aplikasi tidak tersedia dan bagaimana bila aplikasi tersebut dalam keadaan running tiba-tiba terjadi kondisi yang seharusnya tidak terjadi.

1. Non-Repudiation

Aplikasi Sistem Informasi membutuhkan hal ini, apalagi bila aplikasi

tersebut sudah online internet. Keamanan dari sisi aspek ini harus

menjamin bahwa data jejak digital tersebut tidak dirubah dengan sengaja maupun tidak sengaja.

Pada beberapa sistem database, biasanya tersedia transaction log , fasilitas ini dapat dimanfaatkan untuk penjejakan user.

1. Access Control

Aplikasi Sistem Informasi harus mengatur aspek access control, agar dijamin bahwa proses bisnis dan data dijalankan oleh orang atau personel yang mempunyai wewenang.

Biasanya pada institusi, dikenal istilah Tupoksi singkatan dari tugas pokok dan fungsi, Tupoksi ini dapat digunakan untuk menyusun Access Control Aplikasi Sistem Informasi.