Membagikan atau merahasiakan informasi

Manajemen-ti.com — Information is Power. Begitu kata salah seorang teman mengenai sebuah kementerian strategis di negeri ini. Pada kementrian itu, lanjutnya, informasi yang diimiliki oleh masing-masing bagian atau direktorat benar-benar dipergunakan sebagai power yang entah apa tujuan dan maksud dibaliknya. Akibatnya sulit sekali bagi setiap bagian untuk mendapatkan informasi yang mereka butuhkan tapi dikelola oleh bagian lainnya. Banyak keputusan sulit diambil atau kurang berbasis pada data yang komprehensif karena kondisi ini.

Seringkali dampak keputusan yang salah tersebut menimbulkan kerugian negara yang cukup signifikan. Entah apa alasannya masing-masing cenderung untuk memproteksi informasi yang mereka punya. Entah kenapa bahkan pimpinan tertinggi disana (ya, pak Menteri) pun juga tidak dapat mengatasi masalah ini. Malah seringkali mereka menggunakan jasa kepada pihak ketiga seperti vendor/konsultan untuk berkeliling komplek kementerian itu untuk meminta data-data yang mereka butuhkan. Banyak cerita kegagalan proyek di organisasi tersebut karena kesulitan mendapatkan data yang dibutuhkan.

Beberapa waktu yang lalu saya dimintai bantuan untuk melakukan IT assurance pada sebuah proyek strategis di kementerian tersebut. Diantara banyak temuan yang saya identifikasi, sebagian besar diantaranya jika dirunut penyebabnya adalah karena sulitnya berbagi informasi antar bagian di kementrian itu. Masak iya sih, permasalahan seperti ini tidak bisa diselesaikan oleh menteri yang sewaktu masih jadi pimpinan sebuah perusahaan raksasa dikenal sebagai seorang yang tegas. Adakah sesuatu kekuatan di balik itu yang membuatnya tidak dapat memaksa para dirjen yang ada dibawahnya agar dapat saling berbagi informasi yang mereka butuhkan, dan juga sangat dia sendiri butuhkan juga. Tapi memang –betapapun—tidak semua informasi itu perlu dan boleh di-share. Adakalanya sebagian informasi memang harus dirahasiakan.

(Baca juga: KPK dan Keamanan Informasi)

Dalam sebuah organisasi, kebutuhan untuk merahasiakan informasi mesti diseimbangkan dengan membagikannya agar dapat bermanfaat optimal bagi pihak-pihak yang membutuhkannya. Kalau semuanya dirahasiakan, lantas apa gunanya informasi tersebut? dan kalau semuanya di-share, maka akan ada pihak-pihak yang seharusnya tidak berhak/boleh untuk mendapatkan informasi yang justru dapat memberikan dampak negatif bagi organisasi.

Melakukan sharing atas sebuah informasi akan membuat tugas untuk menjaga kerahasiaannya menjadi semakin sulit. Begitu juga sebaliknya tindakan untuk menjaga kerahasiaan informasi juga akan membuat sharing menjadi lebih sulit. Baik berbagi ataupun merahasiakan informasi itu juga bertingkat-tingkat. Dari mulai berbagi ke semua orang, berbagi ke pihak-pihak tertentu internal maupun eksternal, berbagi untuk internal saja, berbagi untuk beberapa pihak/tingkatan tertentu dalam organisasi, sampai dengan hanya berbagi pada orang-orang tertentu saja.

Lantas apa yang mempengaruhi keputusan untuk berbagi atau mengendalikan akses pada informasi yang dimiliki oleh organisasi?

Ada sebuah penelitian menarik yang dilakukan oleh Carl A Foerster yang meneliti faktor-faktor apa yang mempengaruhi pengambilan keputusan terkait perlakuan pada informasi organisasi. Penelitian tersebut menghasilkan kesimpulan faktor-faktor pengambilan keputusan yang paling mempengaruhi berturut-turut adalah sebagai berikut:

  1. Hukum – artinya informasi diproteksi karena ada peraturan yang mengamanatkan bahwa kerahasiaannya harus dilindungi.
  2. Kebutuhan Industri – artinya informasi diproteksi karena terdapat standard industri yang mensyaratkan perlindungan terhadap informasi. Misalnya untuk kebutuhan akreditasi atau tuntutan kepatuhan terhadap standard tertentu.
  3. Menekan kerugian – artinya informasi diproteksi untuk meminimalisir jumlah orang yang mendapatkan informasi tersebut untuk mencegah timbulnya kerugian. Karena semakin banyak orang yang mendapatkan informasi tersebut maka kemungkinan terjadinya penyalahgunaan terhadapnya akan semakin besar, baik disengaja maupun tidak disengaja.
  4. Terbukanya kerawanan – artinya informasi diproteksi karena akan dapat membuka kerawanan yang dapat dieksploitasi oleh pihak tertentu untuk mendapatkan obyek atau informasi berharga lainnya.
  5. Ekspektasi Publik – artinya informasi diproteksi karena publik mengharapkannya untuk dijaga kerahasiaannya. Misalnya orang tidak ingin data rekam medis atau riwayat pribadinya diketahui orang banyak.
  6. Nilai finansial – artinya informasi diproteksi karena ia dapat dengan mudah dieksploitasi untuk nilai finansial tertentu. Informasi tersebut jika diketahui akan dapat “dijual” atau memberikan keuntungan finansial tertentu.
  7. Reputasi– artinya informasi diproteksi karena ia dapat memberikan dampak negatif bagi reputasi organisasi jika ia jatuh pada kompetitor atau publik. Misalnya informasi tentang kelemahan produk, kesulitan finansial (dapat menurunkan kepercayaan publik/kreditur), dll.
  8. Rekomendasi Industri – artinya informasi diproteksi karena praktik standard industri menyarankan agar informasi tersebut diproteksi.

(Baca juga: Rekomendasi Strategi Manajemen Risiko dan Keamanan Informasi Anda)

Ternyata hasil penelitian tersebut menyebutkan bahwa faktor yang paling banyak dijadikan sebab untuk melindungi kerahasiaan informasi adalah karena kebutuhan hukum dan kebutuhan industri yang berbentuk semacam sertifikasi atau akreditasi tertentu.

Kembali ke kasus di sebuah kementerian yang saya sebutkan saya sebutkan di awal tulisan ini, faktor-faktor mana yang menyebabkan sulitnya terjadi sharing data antar direktorat yang ada disana. Hmmm…mungkin ada diantara beberapa faktor diatas yang relevan dalam kasus ini, seperti antara lain: (1) Faktor nilai finansial, karena bisa saja informasi-informasi tertentu yang dikelola cukup bernilai bagi beberapa kalangan eksternal tertentu untuk mendapatkan keuntungan finansial; (2) Faktor reputasi, karena bisa saja informasi yang dikelola disana jika dibuka akan membuat reputasi kementrian itu menjadi turun. Misalnya karena jadi ketahuan ada kesalahan dalam pengambilan kebijakan, atau malah ada angka-angka tertentu yang janggal

Di luar faktor-faktor tersebut, saya punya hipotesis faktor lain yang tidak termasuk dalam faktor-faktor yang diungkapkan dalam penelitian diatas. Faktor lain tersebut adalah:

Pertama adalah faktor kepercayaan (trust) antar direktorat. Saya menduga belum terbangunnya kepercayaan antar direktorat di kementerian tersebut. Sebuah direktorat tidak membagi informasinya ke direktorat lain karena belum percaya bahwa direktorat lain tersebut dapat menjaga keamanan informasi tersebut dengan baik. Sebuah direktorat tidak membagi informasinya ke direktorat lain karena belum percaya kompetensi yang dimiliki oleh direktorat lain dalam mengolah informasi tersebut. Dan mungkin beberapa sebab lain yang intinya, pihak sumber data belum percaya pada pihak yang meminta data tersebut.

Kemudian yang kedua adalah faktor politis. Karena konon katanya setiap dirjen itu adalah titipan dari parpol-parpol tertentu. Bisa saja ada informasi-informasi “siluman” tertentu atau untuk kepentingan tertentu yang menyebabkan masing-masing berat untuk men-share data-data mereka. I’m surely hoping that this is not the case. Mudah-mudahan bukan karena itu teman saya tadi bilang bahwa di lembaga ini information is power. [manajemen-ti]

Tentang Penulis:

Umar Alhabsyi, MT, CISA, CRISC.

Merupakan konsultan senior IT Management, pendiri sekaligus direktur iValueIT Consulting (PT IVIT Konsulindo). Berpengalaman ekstensif dalam berbagai proyek konsultansi di bidang IT Planning, IT Governance, IT Audit, IT Performance Management, IT Service Management, SDM TI, dll untuk berbagai sektor organisasi dan perusahaan. Umar juga aktif dalam memberikan training dan seminar di bidang IT Management.

Umar dapat diakses melalui:
email: umar.alhabsyi@gmail.com;
twitter: @umaralhabsyi.