CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »

20.6.17

Semester III - MTI UI

Semester II berlalu, gak terasa udah 1 tahun, 1 tahun yang lalu kita OMB, kita berjuang di SIMAK-UI, wkwkk... waktu itu gw liburan ke.. eh kemana ya? Liburan apa engga? Duh lupa, yang jelas klo pun liburan pasti gak tenang, karena dah terbayang KA yang musti kita tulis di semester III, dan mikir dapet pembimbing yang mana? Ah entahlah, yg penting nikmatin aja liburannya, tapi kemana? Lupa?!

Pengalaman super baru pas liburan dari semester 2 ke semester 3 adalah.. ngisi IRS..!! alias milih mata kuliah yang kita pengen, wow..!! ya ampun, ini pengalaman pertama bagi gw, dari D3, trus S1 semuanya sistem paket, udah ditentuin dari sononya, tinggal jalanin apa yang udah ditempel di jadwal pengumuman. Deg-degan rasanya, wkwkk... jadi karena banyak mata kuliah yang bisa kita pilih, dan kita musti milih 3 aja, selain itu 1 matkul wajib. Kita musti pinter-pinter milih mata kuliah, harinya, jamnya, dan dosennya juga, semua itu jadi bahan pertimbangan, dan musti cepet-cepetan juga, karena maksimal 25 atau 30 orang gitu, klo udah lebih gak bisa lagi, dan klo yang daftar di matkul itu kurang dari 15, matkulnya bakal dibatalin, nah loh, hehee... jd mikirnya ini kira-kira ada peminatnya gak ya, ini orangnya masih cukup gak ya, gitu... lucu lah.


Sembari kuliah juga gak tenang mikirin soal proposal KA, alhamdulillahnya dapet MPPI A maka berhak mengajukan proposal KA Bab 1-3, tapi kapan? Denger-denger sih sekitar 2 minggu setelah perkuliahan dimulai, rasanya lama betul nunggu pengumuman di SCELE. Yah meanwhile kita bikin proposal KA, tapi apa? Hhmm.... klo judulnya X, kayaknya bakal dapet dosbing killer itu, klo judulnya kita-kira soal analisis kepuasaan dsb, pasti dapet dosbingnya ini itu, hahaa... yah pokoknya semua sudah bisa dibayangin lah.

1. E-Business

Dari namanya sih keren ya, E-Business, tapi klo diterjemahin namanya jadi Perdagangan Elektronik, hehee... gak banget sih, kayak dagang di Glodok atau Two Mango. So overall, kita belajar tentang penggunaan TI untuk berbisnis. Mulai dari hulu yaitu memikirkan tentang supply, lalu proses, lalu ke hilir yaitu selling, yang semuanya menggunakan TI. Intinya sih, tentang online shop ya, hahaa... yah pokoknya tentang penggunaan TI untuk menggerakkan bisnis, baik yang online ataupun offline. Menarik banget kuliahnya, dosennya juga eksentrik dan update banget, kekinian lah si bapak YGS itu. Dia tau banget apa yang sedang trending saat ini, online shop apa, barang apa yang lagi laku, artis siapa yang lagi viral macam awkarin dan younglex, wow..!! kuliah dengan bapak itu selalu eye opening terhadap isu-isu terkini pemanfaatan media sosial.


Belajarnya text book banget, judul bukunya digital business, daffey, pas ujian juga open book, santai lah, gak ada tugas apapun, cuma tugas pas terakhir aja sih ada semacam bikin PPT, cuma presentasi aja. Intinya kuliah ini tentang.. penggunaan TIK untuk berbisnis, well itu terdengar klise dan sangat general ya. Intinya tentang start up dan bagaimana start up bisa survive dengan memanfaatkan TIK, baik infrastrukturnya, proses, dan strategi marketingnya.

Kuliah ini mengajarkan bagaimana kemajuan TIK di berbagai bidang merubah cara kita bertukar informasi, dan perubahan itu juga berdampak terhadap cara kita berbisnis. fenomena media sosial dan inbound marketing, dimana orang yang malah mencari sendiri barang/jasa yang dia inginkan, menjadikan kemampuan pengelolaan TIK dan marketing sangat utama dalam membuat bisnis kita survive.


Nah, jadi apa itu e-commerce dan digital business? Untuk jelasnya liat gambar aja kali ya. Digital business itu bagaimana perusahaan menggunakan TIK dan media untuk meningkatkan competitiveness melalui optimasi proses internal mulai dari supplier sampai selling unit. Sementara e-commerce adalah segala pertukaran informasi secara elektronik antara organisasi dengan pihak luar, baik ke arah supplier, dan ke arah selling, itu sih simpelnya. Jadi e-commerce adalah bagian dari digital business. Jadi ada online shop yang dia full digital business, misal dell. Ada juga yang hanya e-commerce, ya hanya jual saja, sementara suppliernya belum di-TIK-kan juga ada.




Kemudian tentang marketplace, alias pasar, ada banyak jenis-jenis marketplace. Matkul ini agak ngawang-ngawang ya, alias ya barangnya gak keliatan, tapi yang cuma bisa dibayangin yaitu sejenis website, heheee.... intinya apapunlah website itu ya bisa dikategoriin di marketplace ini, apakah search engine, affiliate, sejenis tokopedia, bukalapak, aggregator, website penghimpun misal trivago, semua-semuanya itu ada kategorisasinya, dan kategori itu menentukan apakah bisnis kita ke depan akan survive atau enggak.


Trus ada bentuk revenue, ya kita musti tentuin juga cara kita dapet duit gimana, apakah dengan iklan, per klik, per lihat, per proses de el el banyak banget. Kemudian tentang digital business infrastructure, misal kita harus memikirkan mau di platform apa, apakah PC atau mobile, andorid, atau IOS. Media sosial yang seperti apa, apakah cukup twitter, FB, instagram? Gaming platform, email platform, compliance terhadap peraturan terkait dll. Selain itu bagaimana domain dan URLnya yang catchy dan dapat bertahan untuk waktu yang lama. 

Ada juga tentang lingkungannya, e-Environment, gak jauh-jauh dari SLEPT ya, Social, Law, Environment, Politic, and Technology. Ya intinya kalau bikin iklan di negara yang gak mahir berbahasa inggris ya musti bahasa lokal. Kalau di negara itu iklan kondom masih tabu yang musti dilokalisasi atau kustomisasi. Yak kayak-kayak gitu lah... (slogan YGS).

Efek samping yang dari matkul ini adalah kita musti belajar di LAB soal kata yang gw baru denger selama kuliah, yaitu ERP (Enterprise Resource Planning), somehow, gw gak gak tau itu apaan, dan selama kuliah dari semester 1 klo denger kata itu yang gw inget adalah Electronic Road Pricing, sehingga gw harus selalu googling setiap denger kata itu, hahaaa.... dan gw terkejut betapa gw enggak tau, tapi temen-temen gw tau, dan yang gak tau sudah dipastikan PNS, wkwkkk... Jadi ERP itu adalah aplikasi yang mengintegrasikan aplikasi-aplikasi atau proses-proses bisnis di dalam organisasi, jadi di dalem ERP udah ada modul tentang kepegawaian, keuangan, penjualan, marketing dll yang bisa copot pasang dan dikustomisasi. Intinya, perusahaan-perusahaan besar macem astra, honda, bank, pastilah punya ERP, dengan ERP ga usah bikin aplikasi-aplikasi lageeee... buseeett, kenapa PNS kagag tau yak?!!! Karena selain mahal, programmernya juga langka. Ya ERP punya bahasa pemrogrammannya sendiri. Nah di MTI, kita belajar nge-LAB aplikasi ERP yg namanya SAP. Intinya SAP adalah.. sangat tidak user friendly!! Tampilan jelek, tapi somehow ya terkenal banget itu aplikasi SAP, mahal pulak. Heheee....




Oke terakhir soal kuliah umum dan tugasnya. Gw seneng banget dan merasa eye opened. Kuliah umum soal start up, narasumbernya anak muda bergaya selengean yang kerja di perusahaan sejenis venture. Perusahaan itu mengumpulkan uang dari investor untuk diputar menginvest start up – start up yang mulai menjamur di dunia. Dia bilang uangnya gak terbatas, you can write the number, bebas..!! gilak gak tuh!!. Apapun ide lo, apapun target lo, dateng aja ke perusahaan dia, dia bakal analisis layak apa enggak, klo layak bakal dapet jutaan dollar buat ngembangin start up, tapi dia musti hadir di setiap rapat dan jadi pemegang saham. Gw kurang ngerti gimana caranya, penjelasaannya gak detail, lebih ke masalah kepemimpinan sih yah, dan ide.

Jadi katanya start up itu didesain utk cepat berkembang, klo idenya bukan cepat, ya bukan start up. Pembagian keuntungan juga gak jelas, lo bisa aja bikin ide start up yg murni bantu orang awalnya, nanti dengan kepemilikan user yg banyak ya itu start up bisa dijual, so gak selalu ngejar untung, dan venture juga gambling, katanya dari 10 start up, yg berhasil dan untung cuma 1, sisanya rugi!! Contoh start up yang masih rugi kan macam go-jek, grab, dll. Dan venture menerima risiko itu..!! gw curiga investor-investor start up sebenarnya make uang haram atau money laundring, karena si narasumber gak mau ngebuka investornya siapa aja, ya kan? Cuci uang emang gitu kan caranya, hahaaaa....

Tugasnya bikin analisis start up, membuat model bisnis, semacam proposal yang bakal kita presentasiin untuk perusahaan venture. Jadi kita memilih start up yang udah ada, kita tanya-tanya tentang apa aja sebenernya value perusahaan, apa core bisnisnya, partnernya siapa aja, segment pasar, pendapatannya dari mana aja, susunan organisasinya apa. Bener-bener mencerahkan ya. Banyak banget start up menjamur yg isinya anak muda, dan ide-idenya out of the box. Ada lah start up soal bawang dijual per 5 Kg untuk melawan tengkulak, ada juga start up tentang cari jodoh, tentang jual daging langsung ke konsumen, hahaa.... intinya start up itu ada untuk melawan model bisnis konvensional yang banyak rantai dan banyak tengkulak. Kemudian di start up itu strukturnya gak kayak PNS ya, mereka ada CEO, CIO, CTO, COO C apalah-apalah.




Begitulah anak muda, kerjaan gak jelas, pake kaosan mulu, sneakers, kayak gak mandi, but hey, mereka lebih kaya dan kartunya ada C apalah-apalah. Dunia emang aneh...

2. Manajemen Risiko 

Matkul manajemen risiko ini menarik juga, selain karena udah ngincer buat KA soal manajemen risiko sejak semester 2, juga karena gw gak bisa coding!! Hehee... jadi buat orang TI yang gak bisa coding, ya lo cuma bisa berharap di aspek keamanan alias satpam alias security. Nah, pertama yang paling jelas adalah, namanya itu RISIKO ya!! Bukan RESIKO!! Oke? Hehee... belajarnya asik, sesuai buku banget, judulnya managing risk in information systems, darril gibson. Dan buku itu jadi buku acuan gw prioritas nomer 1 selama pembuatan KA. Dosennya pun eksentrik banget, muda, banyak pengalaman, pernah kerja di IBM USA, wah banget, heran kok pulang ke indo ngemis-ngemis jadi konsultan, well gak ngemis sih, tetep aja dateng ke perusahaan ngarep dapet proyek. Mungkin karena gw PNS jd gak masuk akal sih, gw sukanya zona nyaman, hahaaa... tapi ya pengen buat jadi konsultan juga, duitnya banyak kali ya?




Anyway, jadi apa itu risiko? All about possibilities, atau likelihood, jadi risiko adalah “kemungkinan kerugian yang akan terjadi ketika ancaman mengeksploitasi kerawanan” duaarr..!!! itu dia..!! KEMUNGKINAN..!! matkul ini dibilang abstrak iya, dibilang nyata iya juga, karena penting banget. Segala hal itu ada risiko ya, aset, informasi, kegiatan, proyek TI, pengembangan aplikasi, pemeliharaan, operasional, itu ada risikonya, dan risiko itu adalah kemungkinan, dan kemungkinan itu gak bisa dikontrol!! Misal bencana alam, banjir, gempa, trus kena data center, trus aplikasi down, trus lo bengong aja gitu karena bencana alam gak bisa dikontrol? NO..!! If you fail to plan, you are planning to fail, and if you can’t control something, JUST MANAGE IT..!! jadi ya musti dikelola, alias manajemen.




Untuk menjelaskan lebih lanjut tentang manrisk (manajemen risiko) gampang, tinggal breakdown aja dari definisi Risiko di atas tadi. Misal ancaman itu adalah aktivitas/kegiatan yang bersifat mengganggu dan menyerang, kerawanan adalah kelemahan, seperti biasa paling kelemahan itu terkait PPT (People, Process, Technology). Risiko itu adalah kemungkinan ancaman mengeksploitasi kerawanan, nah kerugian adalah compromise of business function, entah kenapa bahasa enggrisnya compromise ya, gak cocok klo diterjemahin jadi kompromi, jadi kerugian adalah ketika fungsi bisnis/aset terganggu/down. Nah itu dia, lengkap kan! Ancaman sendiri bisa sengaja atau gak sengaja, misal bencana alam, gempa, banjir, kebakaran, yang intinya dari pihak luar atau alam. Nah kalau sengaja juga dari pihak luar sih, tapi sengaja, misal hacker, cracker, attacker, motifnya macem-macem, misal uang, dendam, atau emang cuma mau test ilmu aja untuk merusak.


Secara simple-nya sih, Ancaman  Kerawanan  Risiko  Kerugian  Mitigasi trus balik lagi deh, ya, Manajemen Risiko adalah sebuah Siklus yang tanpa henti yang harus dipikirkan dari waktu ke waktu. Setiap penambahan sistem/aset, maka harus di-update manajemen risikonya. Nah, ada banyaaak lembaga di dunia ini yang udah memikirkan tentang risiko, karena apa? Karena kejahatan cyber itu nyata!! Makanya banyak standar, prosedur, peraturan, dan, lembaga-lembaga yang mikirin tentang kejahatan cyber yg pada akhirnya ya tentang Manrisk. Misal aja ID-SIRTII, id-cert, NIST (National Institute of Standard and Technology), US-Cert, CVE list, dan lain-lain.

Manrisk ini juga terkait dengan complience, atau kepatuhan, karena memang aset yang harus dilindungi menguasai hajat hidup orang banyak, misal sektor perbankan, keuangan, kesehatan, pendidikan, dll. Maka orang amerika sana membuat banyaaak banget aturan-aturan. Gagal mematuhi, maka siap-siap lah di penjara. Misal Computer Security Act yang menghasilkan standar NIST itu, atau FISMA untuk melindungi komputer lembaga pemerintahan, hukum-hukum tentang privasi. 

Kemudian ada HIPAA untuk melindungi data pasien rumah sakit atau aspek kesehatan, Sarbanes-Oxley yang muncul setelah kasus Enron, agar setiap lembaga keuangan menyimpan dengan baik data keuangan dan harus bisa di-retrieve kapanpun, intinya menjaga integritas data agar tidak terjadi penipuan, CIPA untuk anak-anak sekolah, dan PCI-DSS, yaitu seperangkat aturan mengenai transaksi keuangan lewat kartu, apapun kartunya. Keren kan?

Oke tiba saatnya untuk developing risk management plan, so what is a plan? Jangan tertipu dengan kata ”plan”, walau diterjemahkan jadi “rencana” sebenarnya bukan berarti gak ada fisiknya, plan itu artinya DOKUMEN, ya dokumen, tertulis, dan ada kesepakatan. Apa isinya? Ya isinya sejumlah daftar risiko, ancaman, kerawanan, dampak, cara mitigasi, sampai kepada siapa yang bertanggung jawab. Banyak banget standar-standar untuk developing management plan, ada NIST SP sekian ya, lupa, hahaa... ada ISO 27005 khusus untuk manajemen risiko, masih satu keluarga dengan ISO 27001 tentang keamanan informasi. Ini dia gambarnya ya:



Yah beda-beda tipis lah ya, satunya dari amerika, satunya dari eropa, cuma beda-beda bahasa dan istilah aja. Yang satu mitigasi, yang satu treatment, yah begitulah. Jadi intinya kita membuat daftar ancaman, lalu hubungkan dengan kerawanan, lalu kemungkinan yg terjadi, dampaknya bagaimana, sampai kepada nilai risikonya, trus kita pilih mitigasinya apa. It’s all about math, ada hitung-hitungannya. Risiko adalah kemungkinan*dampak. Nilai risiko yang tinggi tentu jadi prioritas untuk ditangani, kalau nilai risiko rendah ya nanti-nanti aja, yekan. Itulah yang dinamakan tahap Risk Assessment, atau penilaian risiko.

Risk Assessment (RA) ada metode kuantittatif, ada kualitatif. Kalau kualitatif itu tadi, cuma perkalian dari kemungkinan dan dampak, itupun cuma kira-kira aja apakah kemungkinannya sering, jarang, sedang, apakah dampaknya rendah, sedang, atau tinggi. Kalau kuantitatif ada hitung-hitungannya, bisa berdasarkan data yang disimpan, misal data down, dan juga dampaknya dalam kerugian uang. Jadi gunanya RA adalah untuk memprioritaskan risiko, untuk apa? Untuk membuat mitigation plan, rencana mitigasi. Setelah risiko-risiko tadi didaftar, nanti kelihatan mana risiko yang paling besar, yang kemungkinan sering dan dampaknya besar, nah, baru kita tentukan mitigasinya seperti apa, apakah akan diterima atau dibiarin aja, ditransfer atau diasuransikan, atau dilakukan sesuatu dengan memakai control atau countermeasure. Lalu dilihat, berapa biaya untuk implementasi control, waktunya berapa lama, dan kalau risikonya kejadian, berapa lama waktu yang dibutuhkan untuk UP lagi dengan kontrol itu, masuk akal gak antara biaya control dengan manfaatnya, jangan-jangan kerugian cuma seiprit tapi biaya control jutaan dollar, ya mending gak usah beli kan, sesederhana itu sih.



Oh ya, kerugian itu bukan cuma uang, tapi bisa juga misal reputasi. Kalau ada website pemerintahan, bank, atau perusahaan bonafide dihack misal website dideface gambar tak senonoh, atau uangnya dibawa kabur hacker, maka hancurlah reputasinya, konsumen bakal gak mau masuk lagi, karena terkait kepercayaan.



Oke lanjuuut.... Membuat mitigation plan tentu sampai detail ke pemasangan control, biaya, berapa lama, dan siapa yang bertanggung jawab. Oke, gw rasa udah selesai deh ini kuliahnya, udah lengkap kan semua, ada ancaman, kerawanan, risiko, kemungkinan, nilai risiko, dan mitigasi, tapi kok kuliahnya belum berakhir juga, haaa.... ternyata diulang lagi, yak, kita belajar lagi cara menganalisis mulai dari ancaman sampe mitigasi.

Cara menganalisis ancaman kita bisa mulai dari 7 domain of TI, kita bisa ambil dari aspek CIA (confidentiality, integrity, availability). Confidentiality misal hak akses, Integrity misal hacker, Availability misal sistem down karena DDOS. CIA-nya itu kita tembak ke masing-masing 7 domain of IT, kita bisa FGD atau brainstorming, atau pakai data pelanggaran informasi/down. Lalu cara menganalisis kerawanan/vulnerabilities lagi-lagi dengan FGD, data historis, tapi bisa juga dengan VA, vulnerability assessment atau penetration testing yang semuanya mengarah ke PPT. People misal social engineering, lack of security awareness. Process misal gak ada prosedur keamanan, bikin password yang lemah. Technology misal gak ada patch, gak ada antivirus, port-port yang terbuka, gak ada firewall. Lalu dibikin match deh, ancaman menembak kerawanan untuk masing-masing CIA dan PPT.



Setelah semua itu selesai sampai ke nilai risiko, saatnya menentukan control. Ada 4 jenis control, mencegah (firewall, IPS, IDS), mendeteksi (AV, SIEM, ARCSIGHT), mengelabui, dan memulihkan (backup storage). Tapi tak kalah penting dari control yang bersifat teknis (firewall, AV) dan fisik (CCTV, satpam, dll), adalah control administratif, yaitu kebijakan atau dokumen tertulis, misal kebijakan, aturan, standar, SOP, asuransi, pemeriksaan latar belakang pegawai, pelatihan kesadaran dll.


Oke mustinya udah selesai lah ya soal manajemen risiko, tapi ternyata enggak, malah naik ke level atasnya lagi, namanya contingency plan, atau rencana kontinjensi, apa itu? Jadi gak cukup dengan kita hanya memikirkan risiko dan mitigasinya, kita juga harus mikir kalau benar-benar ada kejadian, bagaimana memulihkannya? Nah sebelum kita memikirkan bagaimana memulihkannya, kita musti mikir, banyak banget mikirnya, hahaa... udah gitu mikirnya jadi ke belakang-belakang ya, begitulah, dari yang kecil remeh-temeh jadi ke yang besar, semacam bottom-up. Jadi, sebelum kita mikir bagaimana memulihkannya, kita membuat BIA (business impact analysis) yaitu dokumen berisi.. kalau manajemen risiko berisi daftar ancaman dan kerawanan, maka BIA berisi daftar fungsi-fungsi bisnis.



Dan fungsi-fungsi bisnis ini kita analisis berapa sih boleh down-nya, kalau down berapa kerugiannya, nanti hasilnya adalah daftar fungsi-fungsi bisnis yang amat kritikal yang layak untuk masuk ke program pemulihan, karena gak semua fungsi bisnis harus dipulihkan, tergantung tadi MAO (Maximum Acceptable Outage), misal ada yang 3 hari harus up, ada yang gak boleh down sama sekali, ada yang 4 jam. Nah kesemua itu masuk ke rencana pemulihan dan dapat menentukan strategi recovery-nya, apakah Disaster Recovery Centernya aktif-aktif full atau bergantian, atau mirroring.


Terakhir, ini beneran terakhir, kita naik ke atas lagi, jadi setelah manajemen risiko, kita ke atas mikirin rencana kontinjensi, lalu kita ke atasnya lagi membuat business resilience, resilience artinya membal atau tahan, jadi setelah diserang, bisnis kita bisa mengkerut untuk beberapa waktu untuk kemudian ke posisi semula, ibarat bola karet kali yak. Nah nama dokumennya adalah BCM (Business Continuity Management). Si BCM ini mengatur cara organisasi kita bekerja selama dan setelah terjadi krisis maha dahsyat, keren ya orang bule, udah mikirin beginian, hahaa... jadi klo krisis terjadi, tentu pekerjaan kita gak normal kan, tadinya pake komputer jadi pake kertas, tadinya data center deket, jadi pake data center yang jauh, nah itu semua membutuhkan pengaturan, mengenai siapa yang jadi koordinator, bagaimana rantai komandonya, fungsi bisnis apa aja yang masuk ke BCM, scopenya apa aja.

Semuanya kesepakatan sih, sebagus apapun prosedur, apakah itu manrisk, mitigation plan, BIA, atau BCM klo gak sepakat dan gak pernah disosialisasiin ya percuma. Semua plan-plan itu juga harus diupdate setiap ada perubahan aset, perubahan fungsi bisnis, perubahan infrastruktur, perubahan secara reguler, dan perubahan setelah testing!!. Ya, semua plan-plan itu harus ditesting, diuji, pura-puranya diserang, pura-pura down untuk melihat DRC-nya jalan gak, untuk kemudian jadi pelajaran apa aja yang harus ditambah ke plan tersebut. Semua pegawai harus patuh akan plan-plan itu dalam kegiatan training, testing, dan excercise. Fyuuuh, selesai, banyak ya, karena gw emang suka kayaknya yang berbau-bau keamanan, risiko, prosedur, intinya yang ada kepatuhan dan disiplin, hahaa..!!!

3. MPPTI (Manajemen Perubahan dan Proyek TI)

Kayaknya ini mata kuliah paling penting selama semester III karena ini adalah mata kuliah wajib, yang lain kan pilihan, hehee... oke, matkul ini secara namanya gabungan dari dua topik, ada manajemen perubahan dan manajemen proyek TI. Kenapa disatuin? Entah, dosen gak jelasin, gw musti dengerin rekaman dari kelas sebelah yang dosennya si bapak fenomenal itu. Katanya.. lupa... bentar gw cek lagi rekamannya

.. .. .. ..

Manajemen perubahan dulu ya, jadi dulu itu semua perusahaan kan gak pake TI, nah tiba-tiba harus pake TI maka akan ada yang berubah, yang dulunya TI sebagai support, kini TI harus menjadi enabler suatu product dan process. Kenapa harus di-manage? Agar bisa bertahan dengan cara beradaptasi, yaitu dengan cara merespon perubahan itu sendiri, kesuksesan merespon perubahan akan membawa organisasi bertahan. Jelas kan? Hubungan dengan Proyek TI adalah aktivitas-aktivitas yang dilakukan untuk mengeksekusi strategi TI supaya bisa berubah dan merespon perubahan, agar dapat memenangkan persaingan.


Manajemen proyek TI adalah cara atau bagian dalam manajemen perubahan. Hal ini merupakan benar-bener baru bagi gw. Karena dalam dunia PNS, proyek TI itu ya pengadaan, lelang, penawaran, bikin spesifikasi teknis dll. Nah di matkul ini kita seakan-akan sebagai vendor yang bikin aplikasi, bikin alat, nawarin pemasangan alat dsb. Dan ternyata ribet, gak seperti yang kita bayangkan, banyak proses, standar, prosedur, dalam proyek TI. Dan lagi-lagi yg namanya standar dan prosedur tuh gak jauh-jauh dari yang namanya DOKUMEN, ya, kita belajar PMBOK (Project Management Body of Knowledge) semacam best practice langkah-langkah apa aja, form apa aja, dan apa-apa aja yang harus dipikirkan ketika pengadaan proyek TI. Disini Proyek TI biasanya adalah tentang pembangunan aplikasi ya, software engineering, tapi bisa juga pengadaan alat, pemasangan alat, kegiatan TIK, pokoknya segala hal yang bisa dinamakan PROYEK.

Selain PMBOK, ya kita belajar dari slide dosen aja, hasil copas dari buku fenomenal ITPM (IT Project Management) Marchewka. Ke depan, kita akan mengingat PM sebagai Project Manager atau Project Management, bukan Prime Minister, hahaa... Jadi kenapa PM itu penting? Karena belajar dari era software chaos era 90an sampai sekarang, bahwa rata-rata penyelesaian proyek TI selalu telat, karena masa depan itu gak pasti, banyak hal yang bisa membuat sebuah proyek gagal, dan karena sumber daya perusahaan itu terbatas, Uang, Waktu, Orang, Ruangan, dan Perangkat lainnya itu terbatas jadi harus direncanakan sebaik-baiknya. Dan juga karena pepatah yang kurang lebih begini “9 orang Ibu tetap tidak bisa melahirkan anak dalam waktu 1 bulan” artinya banyaknya orang untuk menyelesaikan proyek tidak serta merta berpengaruh untuk selesai dengan cepat.


Sehingga butuh disiplin ilmu baru bernama PM untuk merencanakan proyek TI, merencanakan berapa sumber daya yang dibutuhkan, membuat komitmen diantara stakholders, memperjelas job role, dll. Kan kalau kita membuat penawaran pembuatan aplikasi pasti kita nyatakan kita butuh waktu berapa lama, uang dan orangnya berapa banyak, see..? it’s all about managing resources, and we will manage it through series of document or commitment. Ya kuliah ini, it’s all about membuat proposal penawaran proyek TI, hahaa...

Dan lagi-lagi sebagai PNS gw gak tau soal keberadaan profesi atau kegiatan PM ini sebelum ikut kuliah MPPTI. Ternyata seorang IT PM itu pekerjaan yang serius lho, ada sertifikasinya dari PMI (Project Management Institue) yang harus di-maintain dengan angka kredit pekerjaan sebagai PM. Dan bidang PM ini juga banyak menjadi tesis, misal contoh “faktor-faktor yang mempengaruhi kesuksesan proyek TI pada perusahaan XYZ” benar-benar matkul yang eye opening.

Dalam IT PM ada 3 batasan (constrain) yaitu scope, schedule, dan budget yang digambarin dengan segitiga. Konon katanya kita cuma bisa mengontrol 1 sisi aja, misal kalau mau scope yang besar, maka jadwal dan biayanya mau gak mau jd ikutan melebar, atau kalau kita gak punya budget yang longgar, maka implikasinya scope dan jadwalnya jadi kecil. Memaksakan ketiga constrain ini diluar hukum alamnya, niscaya proyek akan gagal berantakan.




Dari gambar tahapan PLC (Project Life Cycle), dimulai dari fase inisialisasi dan konseptualisasi proyek, deliverables-nya Business case. trus ke fase berikutnya adalah Planning, deliverables-nya project charter and project plan, nah itu semua DOKUMEN sodara-sodara!! Haha... yak, di matkul ini kita cuma belajar sampe fase ke 2, tahap selanjutnya ya belajar sendiri, karena bakal lamaaa banget klo belajar semuanya, PM itu luas broh..!! dan profesi yang amat sangat menjanjikan bergelimang harta di perusahaan swasta.


Oke tahap pertama inisialisasi dan konseptualisasi, deliverable-nya business case, semacam proposal lah ya, mengenai kenapa harus ada proyek ini, apa MOV-nya (Measurable Organizational Value) yah semacam kecap-kecap mengenai tujuan utama proyek ini sehingga dianggap layak untuk diteruskan. Nah yang namanya measurable itu berarti musti terukur, maka di business case musti ditulis apa yang mau dicapai dan berapa, musti PAKAI ANGKA. Misal, dengan aplikasi yang mau dibangun ini, maka jumlah customer meningkat menjadi xxx, keuntungan akan break even point pada saat sekian, penjualan meningkat sebesar XYZ, atau banyaknya customer baru yang membuka aplikasi sebanyak XXX. Tapi semua musti logis dan terukur. Apakah akan membuat sesuatu lebih besar? Proses lebih cepat? Biaya produksi lebih murah? Atau apa? Tulis semua di business case, intinya ngecap!! Agar pimpinan manajemen bisa menilai apakah layak diteruskan, dan kalai diteruskan maka business case ini akan menjadi acuan tunggal TUJUAN proyek TI, kalau tujuan gak tercapai, maka proyek dinyatakan GAGAL.


Setelah business case disetujui, maka langkah selanjutnya adalah membuat Project Charter, semacam dokumen untuk meresmikan ini lho ada Proyek TI!! Yeay, resmi!!, semacam kick off meeting bahwa proyek akan berlangsung. Isinya ya tentang SIAPA mengerjakan APA dengan TOOLS apa, sumber daya yang diperlukan apa aja, waktunya berapa lama, dan BIAYA-nya berapa. Nah dari project charter ini lah disusun strategi untuk mengeksekusi sumber daya berdasarkan MOV yang telah dibuat di business case. Nah bayangkan, namanya aja sih project charter, tapi isinya beranak, misal nentuin scope, itu ada analisisnya lho, bikin scope statement, scope definition, WBS (Work Breakdown Structure), Scope verification dan control, itu baru SCOPE loh ya, belum biaya, tools, sumber daya manusia, dan yg gak kalah penting adalah BIAYA, semua ada analisisnya, ada templatenya, ada form-nya, sangaat lengkaaap..!! capek kuliahnya, hahaa...



Karena scope ini penting, proyek TI kita harus berdasarkan scope untuk memulai acuan jadwal dan biaya kan. Dan yang penting gw pelajari adalah = jangan cuma nulis scope yang bakal dikerjakan saja, tapi juga tentuin APA YANG GAK AKAN DIKERJAKAN juga. Itu berguna untuk mengontrol scope, kalau pun scope berubah, biasa PNS kan, ada form scope change request, musti dilihat masih sesuai dengan MOV gak, kalau enggak ya jangan disetujui, kalau disetujui, terima risikonya anggaran dan jadwal akan membengkak. Kemudian WBS, adalah proses membagi-bagi pekerjaan menjadi lebih kecil, pekerjaan-pekerjaan kecil inilah yang akan kita estimasi nanti biaya dan jadwalnya. Tekniknya banyak asalkan bukan guessmatting, alias nebak-nebak.



Ada metode delphi technique, semacam minta pendapat expert, lalu time-boxing, tiap pekerjaan ada alokasi waktunya sehingga bisa di-break down. Top-Down, dimana pimpinan menentukan biaya dan waktu, sementara bawahan menentukan WBS-nya. Bottom-Up dimana itung-itungan dimulai dari pekerjaan kecil, lalu diakumulasi, banyak deh ada COCOMO, Heuristic, Line of Code, dll. Scope sudah, WBS sudah, kini kita tentuin hal yang paling penting, yaitu SCHEDULE dan BUDGET. Intinya sih dari tadi gambar dan teknik kan ya, nah menentukan jadwal dan biaya juga pake gambar atau tabel.







Longest path adalah waktu paling lama, yaitu waktu tercepat agar project bisa selesai, jika kurang dari waktu terpanjang kemungkinan ada yg terlewat. tujuan cari critical path adalah: jika ada task yg mundur sehari dalam critical path, maka penyelesaian project juga mundur sehari. Kalau tasknya bukan di critical path, berarti boleh mundur sebanyak sampai jumlah hari critical path-nya tanpa memundurkan keseluruhan project.

Tapi namanya kenyataan gak sekaku itu, ada lagi metode lain yang ngasih buffer, jadi waktu penyelesaian proyeknya udah di-mark up dari awal supaya gak kelihatan telat di depan pimpinan, tapi tetap jadwal yang dikasih ke anak buah yang gak pake buffer, hehee.... pinter emang orang bule. Project schedule dan budget ini pastinya akan melewati beberapa iterasi untuk disetujui pimpinan manajemen sampai ada kesepakan akhir dan akan menjadi BASELINE PLAN.

Next kita belajar tentang Risiko Proyek TI, well gak ada perubahan signifikan sih dari yang kita dah belajar Manrisk, tetep tentang risk assessment, risk identification, risk monitoring and control, ujung-ujungnya kita membuat tabel daftar risiko. Nah kalau di Manrisk yang berat ke keamanan informasi dengan CIA-nya, kalau di risiko proyek TI kita membagi risiko dengan aspek kesuksesan proyek yaitu= Schedule, Budget, Scope, dan Quality.

Dari setiap aspek itu kita bedah apa aja ancaman dan kerawanannya, lalu dinilai secara kualitatif atau kuantitatif. Sebenernya kalau kita udah define scope, schedule, dan budget sebenernya udah lah ya udah selesai, hehee... tapi PMBOK ini emang annoying mengharuskan kita bikin banyak dokumen tetek bengek banget, jadi bakal ada tambahan dokumen yang namanya Project Communication Plan, yang mengatur cara Tim berkomunikasi, hahaaa... itu aja pake diatur lho, ada form dan templatenya, lalu ada Project Quality Plan, berhubungan dengan complience dengan standar yg dipake di perusahaan, misal CMMI. Lalu ada Project Managing Resistant, Procurement Plan, and Ethics and Leader. Itu semua jadi bumbu aja sih, ribet banget, ngantuk belajarnya, hahaa...


Terakhir Project Closing, musti diperhatiin bagaimana pergantian dari sistem yang lama ke yang baru, apakah langsung ganti, paralel, atau dibuat per fase. Terakhir closing pake rapat donk, ada evaluasi. Apa lesson learned yang bisa diambil dari Proyek TI tersebut. Oke DONE...!! selesai!! Hehee... 


Terakhir, pengajarannya memang buat mengantuk tapi tetap menarik bagi saya, dan saya tau ini adalah hal yang sangat penting untuk diterapkan di kantor. Karena kantor melakukan pengadaan proyek TI seadanya, sehingga implikasinya gak terdokumentasi, nilai apa yang di dapat, pengadaan yang lama mau dikemanain, gak jelas. Dan juga tertarik sih untuk ambil sertifikat PM, yah sebagai cadangan kalau mau keluar dari PNS, hahaa... tapi berat lah.

Dosennya eksentrik, namanya pak WCW, saking narsisnya dia punya website yang depannya WCW, bukan WWW, hahaaa... semua materi ajar dan tugas bisa didownload disitu, serta ada website satu lagi untuk kita bikin tugas business case dan project charter dan plan. Jadi intinya Proyek TI yang katanya banyak dokumen itu sebenernya bisa di-manage lewat website aplikasi PM, disitu kita bisa bikin segala hal mulai dari semua tahapan PM, gantt chart, WBS, Node, budget, kirim-kirim jadwal dan tugas antar tim, upload dokumen, notifikasi waktu, notifikasi pekerjaan sudah selesai apa belum, lengkap pokoknya

4. E-Government


Ini dia mata kuliah terakhir yg akan gw bahas sebelum tentang KA. Mata kuliah ini sangat PNS banget kan, electronic government, atau pemerintahan elektronis. Sebagai PNS yang bekerja di Satker pengelola TIK tentu penting memahami e-government. Agak kecewa sih ya, ternyata yang dipelajari terlalu mengawang-awang. Memang praktis sih, jadi bahan ajarnya mengambil langsung dari suatu badan UN (United Nations) yang menangani ICTD (Information and Communications Technology and Development) tumplek plek download dari websitenya langsung yaitu UN-APCICT, semuanyaaa.... sisanya ya tugas aja.

Intinya belajar tentang bagaimana pemerintah menggunakan TIK untuk mendukung percepatan MDGs (Millenium Development Goals) / SDGs (Sustainable Development Goals). Mengenai mengapa pakai MDGs dan SDGs gak terlalu dijelasin. Kebanyakan belajar tentang apa itu E-Government, apa layanan yang bisa elektroniskan, hubungan layanan pemerintah dengan bisnis yang lain, dan contoh-contoh E-Government dari berbagai negara.


Tadinya gw berharap belajarnya ya PNS banget lah, membumi di negara sendiri dan instansi masing-masing, belajar tentang Undang-Undang, Peraturan, Kementerian terkait yang berwenang untuk mengelola TIK dan sebagainya, seakan gw merasa penggunaan TIK tuh mustinya wajib dan terencana. Tapi ya apa daya, ternyata memang kenyataan di lapangan enggak seperti itu, penggunaan TIK masih berupa gimmick marketing pemerintah, kementerian, atau Pemda, gak dipake ya gak apa-apa, klo dipake yang bisa promosi dan koar-koar betapa hebatnya penggunaan TIK. Tapi ya sudah lah, kembali ke mata kuliah.


So definisi E-Gov ada di gambar di bawah ya, intinya adalah penggunaan TIK di pemeirntahan yang merubah/mentransformasi hubungan/pekerjaan dengan tujuan peningkatan-peningkatan layanan. Lalu mengapa dikaitkan dengan MDGs? Karena MDGs merupakan standar terukur pembangunan yang disepakati secara global. Target-target dalam MDGs yang kemudian dilanjutkan dengan SDGs selalu terukur, misal jumlah pengurangan angka kemiskinan dan kelaparan, jumlah anak yang bersekolah, jumlah penurunan kematian ibu dan bayi, dsb.




Jadi kita belajarnya tentang apa saja yang bisa dilakukan oleh penerapan TIK kaitannya dengan peningkatan perekonomian, kesehatan, pendidikan, kemitraan, begitu-begitu deh. Nah di sini kita pelajari bahwa proyek-proyek TIK untuk Pemerintah itu tidak mungkin dibiayai sendiri oleh pemerintah, karena sifat dari pemerintahan elektronis itu kan tidak mencari untung, malah mencari rugi. Di sinilah pentingnya konvergensi dan kemitraan dengan pihak swasta. Pemerintah dapat berperan melalui kebijakan dan insentif, untuk kemudian swasta dapat berinvestasi. Selain itu perlu dipikirkan tentang pemilihan Teknologi dan Isi konten.


Apakah teknologi mudah di gunakan dan kompatibel dengan infrastruktur yang ada? Apa saja komponen biaya teknologinya itu, bagaimana pengaturannya antar pemerintah-swasta. Lalu tentang isi konten, siapa yang mengelola? Untuk siapa? Apakah isunya relevan dengan masalah masyarakat dan mendukung MDGs/SDGs? Hayoo siapa yang mikirin? Gak ada, hahaa... belajar mata kuliah ini membuka mata gw bahwa pengelolaan TIK di negara kita ini masih ad hoc, gak terencana.

Kalau tadi belajarnya umum, sekarang kita belajarnya khusus. Jadi tujuan E-Gov adalah pemerintahan yang bisa online, tanpa kertas, berbasis pengetahuan (data mining/knowledge management), dan transparan, intinya 4 itu aja sih. Kemudian ya bagaimana contohnya dihubungan dengan relasi pemerintahan, misal G2C (community), dan G2B (business)? Layanan ke masyarakat itu ya misal tentang pembuatan KTP (klasik banget kan, hahaa...) kependudukan, pendidikan, penerimaan siswa baru, kesehatan, BPJS, perpajakan, izin-izin, perumahan online, pelaporan dengan QLUE atau LAPOR!, itu semua layanan E-Gov G2C. Kemudian yang G2B contohnya adalah yang mendukung iklim usaha untuk berbisnis, misal E-Procurement untuk pengadaan/tender, izin impor ekspor, izin produksi makanan, perpajakan, bea cukai, dll.

Kemudian kita belajar faktor-faktor kesuksesan penerapan E-Government dalam suatu negara, yaitu, proses bisnis yang jelas, struktur organisasi yang ada unit TI, dukungan kebijakan, dan kemitraan dengan sektor swasta. Dan selalu Korea Selatan yang menjadi contoh penerapan tersukses E-Government, katanya di Korsel itu semua udah online, 1 nomor penduduk bisa untuk kependudukan, kesehatan, pendidikan, semua-mua sudah didaftarkan otomatis secara online. Kalau sakit maka asuransi sudah terintegrasi dengan bank-nya, kalau ada anak yang harus sekolah tapi belum sekolah akan dinotifikasi harus sekolah dan langsung didaftarkan di sekolah terdekat.




Kemudian belajar tentang trend TIK yang bisa digunakan untuk penerapan E-Government, cuma pengenalan-pengenalan aja sih dan sedikit sejarahnya misal Clod Computing, penggunaan HP, permasalahan akses TIK dengan HP, satelit dan kesenjangan digital karena permasalahan akses TIK. Ada juga tentang konektivitas internet melalui kabel, wireless. Jaringan komputer, jaringan sensor IoT, RFID, penggunaan smart card di MRT hongkong.

Ya begitulah, kurang berguna sih, kita semua udah tau, dan slidenya agak ketinggalan, masa dijelasin tentang VoIP, Nokia E61, hahaa... sekarang jamannya instant messaging, udah bukan Voice lagi tapi udah Video Call, Video Conference secara instant via Hape.

Tata kelola internet menjadi penting dibahas karena merupakan akses TIK dan penerapan E-Government yang utama. Sekali lagi yang dibahas soal dunia, bagaimana Amerika Serikat terlalu memonopoli hak internet, DNS, dan IP. Oleh kareana itu dijelaskan bagaimana WSIS (Word Summit of Information Society) yang terdiri dari banyak negara berusaha menghadirkan tata kelola internet yang lebih adil. Dan sampai sekarang masih belum jelas, hahaa... bagaimana nanti jika IP versi 4 sudah habis, lalu penamaan root DNS, keamanan, intinya AS masih berkuasa dan negara lain tak berdaya, yah kita ikut ajalah, yang nemuin internet juga mereka kan.


Selanjutnya belajar tentang keamanan informasi, isinya gak jauh dari yang udah dipelajari di Manrisk ya, ya tentang CIA lah gitu-gitu. Ada macam-macam ancaman misal hacker, DDOS, social engineering, kemudian perangkat pencegahannya macam firewall, IDS, IPS, AV, yah begitulah, hahaa... bosen. Terus ke metode, dijelasin soal ISO 27001, nah kan sama lagi dengan mata kuliah Manrisk, hehee... ya mungkin berguna banget ya untuk mahasiswa yang gak ambil mata kuliah Manrsik, karena emang pilihan sih.



Tapi yang menarik adalah soal CSIRT (Computer Security Incident Response Team), karena kurang dipelajari di matkul Manrisk, malah di sini dijelasin panjang lebar soal sejarah dan kegunaan CSIRT dan bagaimana model-model struktur organisasi CSIRT. Jadi ada yang terdistribusi internal, terpusat internal, terdistribusi dan terpusat, dan terkoordinasi. Serta apa saja yang dibutuhkan untuk membangun CSIRT. Sebenarnya yang dipelajari di sini adalah saran dan rekomendasi untuk pemerintah/negara untuk membuat CSIRT nasional, tapi kenyataam gak seindah teori, hahaa... 



Terakhir tentang Pendanaan, yaitu pentingnya pemikiran bagaimana pendanaan proyek-proyek TI Nasional. Maka bisa menggunakan PPP (Public Private Partnership) semacam kontrak kerja antara pemerintah dan swasta. Keuntungannya lebih hemat, risiko dipindah menjadi milik swasta, keuntungan uang untuk swasta, sedangkan pemerintah mendapatkan keuntungan layanan bagi masyarakat. Udah lah ya, pelajaran selesai, hahaaa...



Tugasnya ini yang bikin pusing, tugasnya ada 2, yaitu tugas individu dari asdos dan tugas kelompok dari dosen. Nah asdosnya ini sangat mengagungkan sekali yang namanya paper, ya paper, dan dia akan sangat bangga sekali melihat namanya muncul di google scholar, katanya itu bukti tanda intelektualitas yang abadi yang bisa diberikan sebagai inspirasi untuk anak-cucu, WOW, gw gak kepikiran, hahaa... dia cerita bagaimana susahnya paper untuk di-accept oleh suatu konferensi internasional, sering ditolak, sering gagal, sering revisi, belum kalau gak ada duit, karena ternyata si pemakalah juga harus bayar agar papernya bisa diterima dan masuk jurnal database, dan itu bayarnya per lembar, pake dollar. Makanya paper itu halamannya pada sedikit, supaya hemat, hahaaa...

Sama asdos kita diajarin cara membuat paper, nah tugasnya kita membuat paper, metodenya SLR (systematic literature review). Semacam mengumpulkan berbagai definisi ya, misal kita mau ambil topik definisi e-government, trus kita cari tuh ratusan jurnal yang isinya ada definisi e-government, iya RATUSAN!! Hahaa.... nanti di-pivot lagi, dikompres, definisi yang sama ya disatuin, kita bikin tabel mengenai kriteria definisinya, ada berapa jurnal yang begini, ada berapa jurnal yang begitu, teruuus dikompres baru kita pilah-pilah, dan bikin kesimpulan. Yak, itu yg namanya systematic, capek kan.

Tugas yang dari dosen adalah membuat evaluasi pelaksanaan E-Government, topik apa aja terserah, tapi udah diarahin sih, jadi ada tentang Evaluasi Indeks PeGI (Indeks Pemeringkatan E-Government Indoensia), Evaluasi Indeks KAMI (Keamanan Informasi), Evaluasi faktor-faktor kesuksesan aplikasi, atau layanan E-Government, yang gitu-gitulah. Tentu yang gampang PeGI dan KAMI ya, karena udah ada standar checklistnya dari Kemenkominfo, bisa langsung keliatan nilainya, tugas kita hanya datengin tempat studi kasusnya, dan tanya setiap poin penilaian, dan itu buanyaaak banget. Penilaiannya pun berdasarkan bukti tertulis, gak ada buktinya ya nilainya setengah untuk setiap poin penilaian.

Yang bikin gw berkesan, gw berkesempatan studi kasus di BMKG (Badan Meteorologi, Klimatologi, dan Geofisika) di Kemayoran untuk menilai Indeks KAMI. Untungnya udah ISO 27001, tinggak cheklist aja udah dan udah, hahaaa... hasilnya kita bikin presentasi dan paper. Pas presentasi gw bagi-bagi beng-beng bagi yang nanya, sekalian ngabisin sisa pas nyebarin kuesioner tesis. Yak habis ini gw bahas tentang kegiatan maha penting dan pusing dalam hidup gw, yaitu ngerjain KA, alias Tesis S-2 dan Wisuda.



2 comments:

AGUS SETYAWAN said...

Mas, mau tanya sistem penilaian kehadiran di MTI s2 UI bgmana ya? Kalo sering datang telat apa masih ada kemungkinan lulus mata kuliahnya nya? Soalnya dr luar kota, rencana pgen masuk mti

Yudhistira Normandia said...

Kehadiran sangat ketat ya, minimal kehadiran adalah sekian persen dari total 14 pertemuan, yaitu 4. jadi maksimal boleh bolos, baik sakit atau dengan keterangan ya cuma 4. lebih dari itu dianggap gagal dan harus mengulang di semester berikutnya atau disarankan cuti kuliah.