MANAJEMEN-TI.COM — Menggunakan Teknologi Informasi (TI) untuk bisnis saat ini bukan lagi sebuah pilihan. Ia telah berubah menjadi keharusan yang menentukan hidup matinya bisnis di masa kini dan akan datang. Dampak disruptif TI hampir menyentuh ke seluruh bidang usaha, tidak peduli usaha skala besar ataupun kecil. Teknologi ini membuat bahkan raksasa yang sudah lama berkuasa di suatu bidang bisnis menjadi tak dapat nyenyak tidur. Setiap saat dominasinya dapat dihancurkan bahkan oleh bayi bisnis yang baru seumur jagung. Lihat saja –misalnya—para raksasa taksi yang dipaksa takluk pada perusahaan aplikasi. Kini perusahaan aplikasi itu walaupun nyaris tidak punya aset tapi nilai pasarnya jauh lebih tinggi dibandingkan raksasa taxi konvensional. Melawannya tak bisa dilakukan dengan menyelenggarakan demo berjilid-jilid, melainkan dengan pemanfaatan teknologi pula. Dan masih banyak lagi contoh serupa mengenai bagaimana mengadopsi TI untuk bisnis adalah pilihan hidup dan mati.
Di sisi lain keharusan ini juga menimbulkan dilema lain. Hal ini karena investasi yang dibutuhkan untuk menyediakan TI yang handal bagi sebuah bisnis itu tidaklah kecil. Ia pada umumnya membutuhkan serangkaian investasi baik yang terkait dengan aset yang nyata (tangible) seperti infrastruktur komputer dan jaringan, ataupun abstrak (intangible) seperti software, penyiapan proses, SDM, dll. Hal ini menjadi barrier yang menyulitkan bagi pengusaha bermodal pas-pasan. Permasalahan lain yang juga inheren melekat pada pengadopsian TI bagi bisnis adalah karakteristik teknologi ini yang sangat cepat berkembang. Teknologi yang dianggap canggih hari ini, akan segera menjadi usang dan ketinggalan zaman tidak lama setelahnya. Apalagi ditambah dengan dinamika dan kompetisi bisnis yang semakin tajam, maka tuntutan untuk selalu meng-update teknologi yang digunakan menjadi semacam keharusan pula.
Dalam kondisi semacam inilah kemudian cloud computing dengan skema managed services dapat menjadi solusi. Dengan skema ini maka perusahaan tidak perlu melakukan investasi besar untuk pengadaan infrastruktur dan sistem yang mereka butuhkan. Perusahaan juga tidak perlu berinvestasi orang yang banyak dan seringkali membuat manajemen pusing sekian keliling. Skema ini mengubah capital expenditure menjadi operational expenditure. Perusahaan juga dapat merampingkan organisasinya dan fokus pada core business mereka.
(Baca juga: Keputusan Cloud Tidak Lagi di Tangan IT)
Itulah value utama dari cloud computing dengan skema managed services diatas. Tapi orang sering terlena dengan janji-janji value dari vendor penyedia layanan tersebut sehingga kurang perhatian terhadap detail risikonya. Akibatnya value tersebut terancam tergerus oleh risiko yang kurang diperhatikan pengendaliannya tersebut. Setiap pengguna layanan seyogyanya mengidentifikasi adanya risiko-risiko tersebut dan kemudian sedapat mungkin menekannya hingga tingkatan yang dapat diterima. Sehingga pengguna layanan cloud perlu melakukan asesmen risiko yang memadai sebelum memutuskan untuk menggunakan layanan tersebut, terutama jika layanan tersebut termasuk layanan yang kritikal bagi bisnis.
(Baca juga: 5 Manfaat Cloud Computing Bagi Bisnis)
Berdasarkan pengalaman saya dan berbagai survey yang telah dilakukan, terdapat beberapa risiko yang mutlak harus menjadi perhatian bagi calon pengguna layanan cloud.
#1. Risiko keamanan pada vendor penyedia layanan
Ketika sebuah layanan yang kritikal bagi bisnis perusahaan berikut pengelolaan data-data penting dan rahasianya dikelola oleh vendor maka sebenarnya perusahaan sedang menitipkan hidup matinya perusahaan di tangan vendor tersebut.
Ketika Anda memberikan kepercayaan pada vendor untuk mengelola layanan yang kritikal bagi bisnis Anda, maka sebenarnya Anda sedang mempertaruhkan reputasi perusahaan Anda pada vendor tersebut.
Biasanya perusahaan menengah dan kecil jarang yang sampai mendalami hingga pada personil dan teknologi yang berada di belakang layanan cloud yang mereka gunakan.
Seberapa tingkat keyakinan anda bahwa data-data penting Anda yang dititip-kelolakan pada vendor itu aman dari akses yang tidak semestinya? Saya beberapa kali menemukan dalam beberapa Audit yang saya lakukan bahwa staf-staf operasional vendor memiliki akses untuk manipulasi seluruh data yang dimiliki oleh perusahaan kliennya nyaris tanpa batas. Sewaktu saya sampaikan temuan ini dalam forum direksi, semua direksi terkejut luar biasa. Masak sih??!! Nah lho!!
(Baca juga: 69 Persen Data di Cloud Hilang)
#2. Risiko kinerja layanan
Kelengahan lain yang juga sering terjadi adalah kurang perhatiannya perusahaan pengguna layanan pada jaminan kinerja/tingkat layanan yang akan mereka peroleh dari vendor penyedia layanan. Seharusnya aspek-aspek penting dari layanan harus sudah terdefinisi dengan jelas dan tertuang dalam kontrak kerja sama berikut lampiran-lampirannya. Komponen penting yang vital peranannya dalam sebuah kerja sama berbasis layanan seperti ini adalah yang disebut dengan Service Level Agreement (SLA).
Dokumen SLA nya sih ada, tapi isinya tidak bunyi apa-apa. Kelihatannya cukup memukau, bahwa vendor menjamin tingkat SLA 99, xxx %. Tapi apa itu maksudnya seringkali tidak diperhatikan. Seringkali jug saya menemukan yang dijaminkan hanya ketersediaan sistemnya saja. Sehingga selama sistem dapat diakses, maka berarti kinerja vendor telah memenuhi syarat. Walaupun sistemnya banyak bermasalah, salah hitung, salah proses, lambat dan berbagai masalah lain yang dapat berdampak kerugian finansial, reputasi, dll.
Celakanya ketika manajemen baru mengetahui kelemahan tersebut setelah kontrak ditanda-tangani, maka posisi perusahaan menjadi sulit untuk mengubahnya tanpa ada konsekuensi-konsekuensi baik finansial, legal ataupun operasional.
#3. Risiko ketergantungan vendor
Ketika perusahaan menggunakan jasa vendor managed service, maka biasanya posisi vendor cukup kuat. Karena perusahaan sudah menyerahkan “jantung”nya pada vendor tersebut untuk dikelola. Seringkali juga perusahaan terlena dengan pelayanan tersebut sehingga terlupa untuk menyiapkan langkah-langkah mitigasi apabila pada suatu saat mereka ingin berhenti menggunakan layanan vendor tersebut untuk berpindah ke vendor lain atau memutuskan untuk tidak lagi menggunakan skema managed service.
Berhenti atau memindahkan “jantung” ke lain vendor itu perlu perencanaan yang matang, tidak bisa dilakukan hanya dalam waktu yang singkat menjelang berakhirnya masa kerja-sama.
Kombinasi dari berbagai faktor-faktor kelengahan tersebut menyebabkan tingkat ketergantungan perusahaan pada vendor penyedia layanan menjadi terus semakin tinggi.
#4. Risiko ketersediaan/kontinuitas
Tidak ada layanan yang dapat menjamin akan selalu tersedia 100 persen. Ketika perusahaan menitipkan layanan bisnis kritikalnya pada sebuah vendor maka risiko ketersediaan tersebut akan beralih pada vendor penyedia layanannya. Sehingga pertanyaannya adalah seberapa besar tingkat ketersediaan sistem yang dijanjikan oleh vendor tersebut. Disini seringkali kurang teliti.
Misalnya vendor penyedia layanan menjanjikan tingkat ketersediaan 99 persen. Berarti layanan boleh terhenti (down) dalam 1%. Dalam hal ini mesti diperhatikan semesta waktu pelayanannya seperti apa. Apakah waktu pelayanannya itu adalah seluruh waktu (24 jam dan 7 hari seminggu), atau hanya hari dan jam kerja saja. Kalaupun misalnya seluruh waktu, maka 1% downtime berarti layanan boleh mati dalam 3,65 hari atau 87,6 jam. Pertanyaan berikutnya jam berapa layanan tersebut mati? Apakah semua jam memiliki bobot yang sama atau berbeda? Kalau 87,6 jam itu terjadi pada jam kerja, maka itu bisa berarti 10 hari kerja.
Itu jika layanan hanya berkaitan dengan 1 vendor saja. Kalau ada vendor lain yang terkait, misalnya vendor jaringan komunikasi, yang mereka juga punya SLA yang tidak mungkin 100 persen. Maka kalau misalnya SLA ketersediaan mereka juga 1% downtime, maka berarti layanan akan boleh down lebih lama lagi dari 10 hari kerja. Dapatkah perusahaan Anda bekerja tanpa jantung selama lebih dari 10 hari kerja? Sudahkah risiko ini disadari dan diperhitungkan?
Jadi harus bagaimana?
Memanfaatkan teknologi cloud computing menjadi sulit dihindarkan dalam kondisi yang menuntut kecepatan berubah yang dibarengi dengan kesulitan bisnis untuk berinvenstasi dalam jumlah besar sekaligus. Sehingga dalam banyak kasus sulit untuk menghindari pemindahan tugas pengelolaan layanan bisnis ke cloud dengan skema seperti managed service ini. Karena pilihan pengelolaan sendiri sudah sulit terjangkau (affordable) lagi. Teknologi dan skema ini sangat membantu dan jadi solusi bagi banyak bisnis.
Namun untuk mencegah terjadinya hal-hal yang tidak diinginkan, maka yang harus dilakukan adalah: (1) melakukan asesmen risiko yang komprehensif; (2) memiliki kontrak dan SLA yang kuat; (3) berhati-hati dalam pemilihan vendor terkait reputasi, teknologi yang digunakan, SDM yang dimiliki, dll.; dan (4) menerapkan mekanisme pengendalian pihak ketiga yang kuat.
Poin yang disebut terakhir diatas sangat penting dan seringkali dilupakan dengan berbagai dalih (misal: kurang orang, kurang kompetensi, dll). Padahal kelemahan pengendalian pada pihak ketiga ini akan membuat semua langkah yang telah dilakukan sebelumnya terancam tidak berguna.
Jadi selamat bekerja di awan, namun tetap jaga kesadaran bahwa Anda tidak sedang menapak di bumi. Memang enak dan mudah bekerja di awan, fleksibel dan dinamis. Tapi hati-hati kalau jatuh maka sakitnya tuh disini!! Semoga bermanfaat. [mti]
Oleh: Umar Alhabsyi, ST, MT, CISA, CRISC.
Founder & Director iValueIT Consulting (PT IVIT Konsulindo)
Twitter: @umaralhabsyi