MANAJEMEN-TI.COM — Selama beberapa tahun belakangan, big data telah menjadi satu dari teknologi strategis yang menjadi banyak perhatian dari berbagai organisasi. Walaupun sebenarnya konsep untuk mengelola kumpulan data dalam jumlah besar dan analisisnya untuk kepentingan bisnis bukanlah hal baru. Misalnya, konsep Data Warehouse telah ada cukup lama, bersama dengan teknologi dan teknik terkait seperti relational database management system (RDBMS), business intelligence (BI), online analytical processing (OLAP), dan data mining. Auditor TI yang sudah berpengalaman kemungkinan besar sudah familiar dengan tipe-tipe sistem seperti ini, berikut bagaimana teknik untuk mengauditnya. Jadi, apa yang membuat big data menjadi unik, dan apa faktor-faktor risiko utama yang perlu diperhatikan oleh Auditor TI ketika mengaudit sistem semacam ini?
Big data umumnya dideskripsikan dengan menggunakan model “3 V”. Mungkin sebagian profesional sudah cukup familiar dengan model ini, yang merupakan singkatan dari Volume, Velocity dan Variety. Apa arti dari masing-masing “V diatas?
- Volume – merujuk pada besarnya ukuran dari big data. Umumnya, big data merujuk pada kumpulan data yang jauh lebih besar dibanding dengan repositori data tradisional, mungkin diatas kapasitas penyimpanan dan pemrosesan yang mampu dilakukan software database tradisional. Betapapun, “big data” bersifat subyektif. Tidak ada batasan yang jelas seberapa besar volume tersebut sehingga dapat masuk kategori “big data”.
- Velocity – merujuk pada kecepatan data yang dibuat dan/atau diubah. Data-data dalam big data terus bertambah dan berubah, bahkan seringkali secara real time. Tentu ini kontras dengan pendekatan tradisional ekstraks, transformasi, dan loading (ETL) yang biasa dilakukan secara batch. Bayangkan –misalnya—menurut majalah Forbes, pengguna Facebook yang berjumlah 1,2 Milyar itu mengupdate status-statusnya dengan rata-rata 293 ribu kali per menit. Sudah terbayang bagaimana kecepatan data bertambah dan berubah disini?
- Variety – merujuk pada beragamnya sumber dan tipe data yang bisa terdapat pada sebuah big data. Data dapat bersumber dari sistem internal, dari para pelanggan, dari pihak ketiga, dan lain-lain. Data terstruktur biasanya direpresentasikan dengan sebuah data model yang jelas (misal: kolom dan baris), sementara data tak terstruktur mungkin berbentuk teks, gambar, atau munngkin juga file audio dan video.
(Baca juga: 4 Fase Big Data)
Perlu diketahui juga bahwa kadang big data juga diasosiasikan dengan beberapa “V” tambahan lain selain “3 V” di atas. Misalnya ada yang menambahkan veracity, value, variability dan visualization. Walaupun tambahan-tambahan tersebut bermanfaat, tapi menggunakan konsep 3 V” sebenarnya sudah cukup memadai untuk memahami konsep big data.
Risiko Bisnis Utama
Seiring dengan peningkatan adopsi solusi big data untuk mendorong penciptaan berbagai value bagi bisnis, adalah penting bagi seorang Auditor TI untuk memahami risiko-risiko yang berkaitan dengannya dan mempertimbangkan pendekatan-pendekatan yang diperlukan untuk memperoleh kepastian bahwa risiko-risiko tersebut telah dikelola dengan baik. berikut ini adalah beberapa risiko yang relevan:
(Baca juga: Pentingnya Program Audit)
- Keselarasan strategis TI dan sumber daya – adalah penting untuk memahami strategi bisnis organisasi serta bagaimana big data diimplementasikan untuk mendukung starategi tersebut. Mungkin sebagian organisasi bisa tidak memiliki sumber-sumber daya yang dibutuhkan, khususnya terkait SDM yang dibutuhkan untuk memanfaatkan peluang-peluang bisnis yang dapat dimanfaatkan dari adanya big data. Memang, terdapat kekurangan SDM berkompetensi data analis, seperti diprediksi IBM bahwa pada 2020 akan terdapat 2,7 juta lowongan pekerjaan baru untuk data analytic setiap tahunnya. Kesenjangan SDM ini berisiko mengancam kemampuan organisasi untuk mendapatkan manfaat optimal dari adanya big data untuk mendukung strategi bisnisnya. Selain itu, organisasi kadang memandang inisiatif big data sebagai proyek teknologi tanpa pertimbangan yang cukup terkait obyektif bisnis dan manfaat yang diharapkan darinya. Framework COBIT 5, khususnya proses-proses pada domain “Align, Plan and Organise” (APO), menekankan pentingnya manajemen SDM yang efektif dan penyelarasan inisiatif-inisiatif TI dengan obyektif bisnis sebelum pembangunan, pengadaan dan implementasi solusi teknologi tersebut. Sehingga, seorang auditor TI mesti meng-assess strategi teknologi dan proses-proses manajemen sumber daya untuk memastikan inisiatif-inisiatif big data yang dilakukan telah selaras dengan strategi bisnis organisasi, serta memastikan kapasitas sumber daya yang dimiliki telah tersedia secara memadai.
- Pengembangan dan implementasi – solusi big data tidak berbeda dengan sistem-sistem informasi tradisional lainnya dalam hal risiko implementasi dan manajemen proyek yang terkait dengan pengembangan dan implementasi solusi teknologi yang kompleks. Proyek-proyek big data juga akan mengalami tantangan terkait dengan lingkup, kualitas, biaya dan waktu yang dibutuhkan. Auditor TI mesti mengkaji apakah solusi big data diadakan dan dikembangkan secara terkendali dan dengan menerapkan proses-proses manajemen proyek serta pengembangan sistem yang tepat. Inisiatif-inisiatif big data yang cukup signifikan akan membutuhkan perencanaan proyek yang formal dan pengawasan reguler dari fungsi PMO organisasi. Selain itu, inisiatif-inisiatif big data seringkali menggunakan metodologi pengembangan yang iterative Agile seperti misalnya Scrum. Umumnya Auditor TI lebih familiar dengan metodologi pengembangan sistem waterfall yang menuntut dokumentasi formal spesifikasi kebutuhan dan spesifikasi detail lainnya secara tertulis. Sementara metodologi pengembangan Agile bersifat iteratif dan menekankan berjalannya software ketimbang kelengkapan dokumentasi. Tantangan bagi Auditor TI adalah bagaimana memastikan bahwa solusi big data yang dihasilkan telah melalui mekanisme pengujian yang cukup. Perhatian khusus mesti diberikan pada pemastian kualitas dari data-datanya. Inlah yang seringkali diacu sebagai “V” keempat, yaitu veracity (kebenaran) dari data. Untuk mencapai obyektif ini, auditor TI mesti meng-assess strategi pemastian kualitas big data organisasi atau sejauh mana program tata kelola data (data governance) diterapkan di organisasi.
- Teknologi open source dan cloud – organisasi dapat memilih untuk menerapkan solusi big data menggunakan platform teknologi open source, seperti misalnya Apache Hadoop, atau menggunakan lingkungan komputasi cloud pihak ketiga, seperti misalnya Amazon Web Services (AWS). Teknologi-teknologi ini mengandung pertimbangan-pertimbangan risiko yang khas dan perlu diperhatikan oleh Auditor TI. Misalnya, software open source sangat mudah dikonfigurasi sehingga mungkin akan lebih rentan dalam keamanannya. Tercatat pada Februari 2017 terdapat lebih dari 5000 cluster Hadoop dengan setting keamanan yang lemah di Internet. Hadoop merupakan software yang memiliki skalabilitas tinggi dan dirancang untuk dapat bekerja pada hardware server yang relatif murah. Seiring dengan peningkatan jumlah titik, maka risiko kelemahan pengaturan keamanan tersebut akan semakin tinggi pula. Pertimbangan risiko lain yang sebaiknya dipertimbangkan ketika mengimplementasikan solusi teknologi berbasis open source adalah tipe lisensi yang terkait engan teknologi open source spesifik tertentu yang dignukana organisasi untuk solusi big datanya. Terdapat banyak tipe berbeda dari lisensi open source, dari mulai yang permisif sampai dengan yang sangat restriktif. Hal ini akan berpengaruh pada risiko pelanggaran hak cipta atau terpaparnya kode rahasia yang dimiliki perusahaan. Auditor TI perlu meng-assess kontrol-kontrol untuk pengelolaan dan mitigasi kerentanan-kerentanan ini dan memantau kepatuhan terkait lisensi-lisensi software open source terkait. Selain itu, banyak vendor yang juga menawarkan solusi big data di cloud. Organisasi yang memilih untuk menerapkan solusi big data pada lingkungan cloud perlu menyadari adanya risiko-risiko padanya. Termasuk diantaranya kinerja vendor pihak ketiga, kemampuan finansial vendor, kepatuhan kontraktual dan keamanan. Auditor TI mesti mengkonfirmasi penyedia teknologi cloud big data tersebut memiliki kontrol keamanan yang memadai dan bahwa manajemen organisai menerapkan mekanisme pemantauan vendor yang baik pula.
(Baca juga: 4 Risiko Maut Bermain di Cloud)
- Privasi dan keamanan data – perhatian utama terkait big data adalah memastikan bahwa telah diterapkan perlindungan yang cukup untuk melindungi data dan memenuhi kebutuhan privasi, khususnya untuk informasi pelanggan. Data dapat dibobol atau dicuri akibat sejumlah faktor, teramasuk di dalamnya kontrol keamanan yang tidak memadai, ulah para insider, para pengancam eksternal serta lemahnya konfigurasi keamanan sistem. Jika data sensitif yang dikumpulkan dan disimpan dalam sebuah solusi big data, maka biasanya terdapat tuntutan kepatuhan tertentu yang harus dipenuhi mengenai bagaimana data-data yang dikelola dilindungi, dibagi, dipelihara dan dimusnahkan. Oleh karena itu Auditor TI perlu mengevaluasi sejauh mana tingkat kepatuhan solusi big data yang diimplementasikan terhadap tuntutan kepatuhan yang terkait.
Kesimpulan
Solusi-solusi big data telah diimplementasikan secara luas di berbagai industri dan akan terus mengalami pertumbuhan yang luar biasa pada masa-masa yang akan datang. Auditor TI perlu terus untuk mengupdate skill dan kompetensinya untuk beradaptasi dengan pergeseran paradigma yang terjadi. Pergeseran dari data warehouse tradisional, yang menggunakan data yang sangat terstruktur diatas sistem manajemen database yang sudah matang, kepada kumpulan data yang sangat besar dan tidak terstruktur yang disimpan pada hardware yang biasa-biasa menggunakan sofware-software open source. Bahwa seiring dengan potensi manfaat bisnis yang luar biasa dari big data, juga terdapat risiko signifikan yang perlu dikelola secara tepat. Auditor TI yang memahami karakteristik big data inilah yang diharapkan akan memberikan pemastian yang memadai atas penerapan teknologi yang sedang tumbuh pesat ini.[mti/isaca]
Tulisan diatas diadaptasi dari “Auditing Big Data in the Enterprise”. Joshua McDermott, CISA, CEH, CISSP, PMP. ISACA Journal Volume 2, 2018.