Bayangkan sebuah kejadian berikut. Seorang karyawan di sebuah perusahaan ternama di Indonesia 'mengirimkan' file excel yang berisi rekap daftar gaji semua karyawan yang bekerja di kantor pusat perusahaan tersebut ke seluruh karyawan yang memiliki e-mail account korporasi. Kita semua bisa membayangkan betapa suasana kerja di perusahaan tersebut menjadi sangat terganggu dengan tersebar file konfidensial tersebut. Parahnya, dengan segala usaha pengamanan yang telah dilakukan baik oleh staf TI internal maupun kontraktor eksternal, kejadian tersebut terulang kembali tepat sebulan kemudian. Masih dikirim oleh karyawan yang sama, isi e-mail yang sama pula dan attachment yang tidak berubah.
Bisa kita bayangkan, bahkan dengan firewall sebanyak 3 lapis, dengan merek yang berbeda sekalipun tidak akan mampu mencegah kejadian seperti ini. Secanggih apapun mekanisme teknis security yang sebuah perusahaan terapkan, tidak akan ada artinya apa pun jika salah seorang karyawannya dengan senang hati memberikan akses berupa username dan password nya kepada orang lain yang memiliki niat jahat.
Kejadian di atas membuktikan bahwa resiko keamanan yang berasal dari perilaku staf dan karyawan memiliki nilai yang teramat signifikan. Perilaku mereka bisa berasal dari ketidaktahuan mereka mengenai kebijakan-kebijakan security serta nilai strategi dari informasi konfidensial milik perusahaannya. Namun bisa juga, mereka merupakan korban dari sebuah 'penipuan' hasil dari rekayasa sosial.
Sebuah artikel di Computerworld menulis:
"Recent findings from the Computing Technology Industry Association might convince you otherwise. In this year's CompTIA information security study, 59% of the organizations surveyed indicated that their latest security breaches were the result of human error alone. That's up from 47% last year."
They say, people - process - technology!
Pendekatan penerapan information security seharusnya mengintegrasikan ketiga aspek di atas, manusia, proses/prosedur serta teknologi. Seperti gambaran di atas, penerapan teknologi secanggih apapun tidak akan mampu mengatasi kesalahan maupun ketidaktahuan manusia yang terlibat di dalamnya. Begitu pula dengan proses/prosedur. Mutlak harus ada dukungan secara tertulis dari pihak manajemen organisasi dan perusahaan, kerangka kerja security yang terpadu di dalam organisasi, prosedur penerapan security serta sangsi-sangsi terkait.
Sebuah penelitian yang dilakukan oleh CIO Magazine pada 2003, memperlihatkan fakta yang cukup menarik untuk dikaji. Pada setiap $100 bujet IT perusahaan-perusahaan yang terlibat survey, terdapat $8,4 untuk pengeluaran IT security, dimana 42% nya adalah pengeluaran untuk teknologi. Tidak dijelaskan lebih lanjut bagaimana dengan sisa persentasenya, namun artikel tersebut menulis bahwa pengeluaran untuk teknologi adalah bagian terbesar. Meskipun demikian CompTIA menujukkan data bahwa kecenderungan gangguan security meningkat tajam untuk insiden-insiden yang terkait degnan kesalahan manusia. Fakta ini menunjukkan bahwa aspek manusia, proses/prosedur dan teknologi adalah 3 aspek yang tidak boleh dipandang sebagian saja. Ketiganya harus terintegrasi melalui penerapan teknologi, pelatihan sumber daya manusia, penyusunan kebijakan dan prosedur serta yang tidak kalah penting adalah mengenal aspek security dari sumber daya perusahaan berupa data dan informasi.
Thursday, April 27, 2006
Thursday, April 20, 2006
IT Strategic/Master/Detail Plan
Well, today I attended one of our client's IT Detail Plan Project Kick-off Meeting. Klien yang satu ini sebetulnya sedikit istimewa, melihat kelengkapan IT Plan mereka. Sebut saja, mereka punya yang namanya IT Strategic Plan, mereka juga punya IT Master Plan dan sekarang mereka sedang menyusun IT Detail Plan mereka. Kalau mau dibilang, kondisi ini ideal sekali. They are all there, whether they are sufficiently enough in providing guidance in IT development or not, well we will not discuss them in here.
So, secara singkat apa saja deskripsi dari dokumen-dokumen tersebut.
IT Strategic Plan - ITSP, seperti namanya berisi mengenai strategi pengembangan IT pada level strategis. Pada bagaimana sebuah perusahaan akan mendayagunakan IT sebagai pendukung perusahaan mencapai visi dan misi organisasi mereka. Ada 3 hal utama yang biasanya menjadi bagian dari dokumen ini, yaitu: IS/IT management strategy, business IS strategies dan IT strategy. IS/IT management strategy secara khusus berkutat dalam pembahasan elemen-elemen strategi apa saja yang menjadi hal umum yang dapat diaplikasikan dalam sebuah organisasi, serta memastikan konsistensinya. Business IS strategies, secara umum menjelaskan pada bagaimana setiap unit fungsional organsisasi akan menggunakan IT sebagai salah satu pendukung utama pencapaian target bisnis mereka. Dan IT Strategy menjelaskan kebijakan-kebijakan serta strategi umum pengelolaan dan manajemen sumber daya teknologi. Satu hal yang menjadi ciri khas dari ITSP ini adalah jangka waktu penerapannya antara 8-10 tahun ke depan. Dan dokumen ini adalah dokumen bisnis, bukan dokumen IT.
IT Master Plan - ITMP, dokumen ini memiliki jangka waktu penerapan antara 3-5 tahun. Dan dokumen ini secara umum adalah dokumen IT, meskipun masih mengandung banyak aspek-aspek bisnis. Isi dari dokumen ini secara umum adalah sebagai berikut:
1. Konteks bisnis IT - secara umum pemandangan aspek bisnis dari IT sebuah organisasi
2. Proses-proses bisnis - menjelaskan dan membandingkan best practice dalam industri terkait dengan proses-proses bisnis yang telah ada.
3. Application architecture - menjelaskan secara detail penggunaan aplikasi dalam setiap proses bisnis.
4. Technical & Infrastructure Architecture - menjelaskan secara detail strategi penggunaan arsitektur IT sebagai infrastruktur pendukung operasi bisnis.
5. High Level Spending Plan - apa yang dilakukan organisasi lain sejenis terhadap budget pengembangan IT mereka dan apa yang bisa dilakukan oleh organisasi terkait.
6. IT Organization - strategi pengembangan organisasi IT
Beberapa tema lain pendukung lain yang biasanya disertakan mencakup, IT Audit, IT Governance, IT Security dan IT Process.
IT Detail Plan - ITDP, tidak seperti 2 dokumen sebelumnya, dokumen ini fokus pada action plans, rencana pengembangan IT dalam 1-2 tahun mendatang. Dokumen ini mutlak masih dalam framework pengembangan yang telah diarahkan secara detail dalam ITMP maupun ITSP. ITDP pada umumnya berisi banyak business case dalam bentuk overview serta penjelasan mendetail mengenai strategi pengembangan yang terkait dengan business case tersebut.
Kembali ke klien yang pada awal tulisan saya terangkan, mereka bermaksud menyusun action plan hingga maksimum 3 tahun ke depan rencana pengembangan IT mereka. Dan karena cakupan serta unis bisnis mereka yang nasional, ITDP ini menjadi vital. Juga karena adanya bantuan dana dalam salah satu lembaga pemerintah Amerika.
Mau tau lebih lanjut mengenai metodologi penyusunan ketiga dokumen tersebut? Well ada beberapa buku akademis yang selama ini menjadi panduan, yaitu:
1. Anita Casidy - A Practical Guide to Information Systems Strategic Planning
2. John Ward & Joe Peppard - Strategic Planning for Infomation Systems.
Di kedua buku tersebut tidak ada pemisahan secara explisit dari ITSP - ITMP - ITDP, tetapi metodologi yang digunakan dalam kedua buku tersebut sangat solid dalam membantu kita memahami bagaimana dokumen-dokumen tersebut disusun. Pemisahan itu terjadi karena sangat ideal jika dipandang dari aspek implementasi.
Semoga membantu.
So, secara singkat apa saja deskripsi dari dokumen-dokumen tersebut.
IT Strategic Plan - ITSP, seperti namanya berisi mengenai strategi pengembangan IT pada level strategis. Pada bagaimana sebuah perusahaan akan mendayagunakan IT sebagai pendukung perusahaan mencapai visi dan misi organisasi mereka. Ada 3 hal utama yang biasanya menjadi bagian dari dokumen ini, yaitu: IS/IT management strategy, business IS strategies dan IT strategy. IS/IT management strategy secara khusus berkutat dalam pembahasan elemen-elemen strategi apa saja yang menjadi hal umum yang dapat diaplikasikan dalam sebuah organisasi, serta memastikan konsistensinya. Business IS strategies, secara umum menjelaskan pada bagaimana setiap unit fungsional organsisasi akan menggunakan IT sebagai salah satu pendukung utama pencapaian target bisnis mereka. Dan IT Strategy menjelaskan kebijakan-kebijakan serta strategi umum pengelolaan dan manajemen sumber daya teknologi. Satu hal yang menjadi ciri khas dari ITSP ini adalah jangka waktu penerapannya antara 8-10 tahun ke depan. Dan dokumen ini adalah dokumen bisnis, bukan dokumen IT.
IT Master Plan - ITMP, dokumen ini memiliki jangka waktu penerapan antara 3-5 tahun. Dan dokumen ini secara umum adalah dokumen IT, meskipun masih mengandung banyak aspek-aspek bisnis. Isi dari dokumen ini secara umum adalah sebagai berikut:
1. Konteks bisnis IT - secara umum pemandangan aspek bisnis dari IT sebuah organisasi
2. Proses-proses bisnis - menjelaskan dan membandingkan best practice dalam industri terkait dengan proses-proses bisnis yang telah ada.
3. Application architecture - menjelaskan secara detail penggunaan aplikasi dalam setiap proses bisnis.
4. Technical & Infrastructure Architecture - menjelaskan secara detail strategi penggunaan arsitektur IT sebagai infrastruktur pendukung operasi bisnis.
5. High Level Spending Plan - apa yang dilakukan organisasi lain sejenis terhadap budget pengembangan IT mereka dan apa yang bisa dilakukan oleh organisasi terkait.
6. IT Organization - strategi pengembangan organisasi IT
Beberapa tema lain pendukung lain yang biasanya disertakan mencakup, IT Audit, IT Governance, IT Security dan IT Process.
IT Detail Plan - ITDP, tidak seperti 2 dokumen sebelumnya, dokumen ini fokus pada action plans, rencana pengembangan IT dalam 1-2 tahun mendatang. Dokumen ini mutlak masih dalam framework pengembangan yang telah diarahkan secara detail dalam ITMP maupun ITSP. ITDP pada umumnya berisi banyak business case dalam bentuk overview serta penjelasan mendetail mengenai strategi pengembangan yang terkait dengan business case tersebut.
Kembali ke klien yang pada awal tulisan saya terangkan, mereka bermaksud menyusun action plan hingga maksimum 3 tahun ke depan rencana pengembangan IT mereka. Dan karena cakupan serta unis bisnis mereka yang nasional, ITDP ini menjadi vital. Juga karena adanya bantuan dana dalam salah satu lembaga pemerintah Amerika.
Mau tau lebih lanjut mengenai metodologi penyusunan ketiga dokumen tersebut? Well ada beberapa buku akademis yang selama ini menjadi panduan, yaitu:
1. Anita Casidy - A Practical Guide to Information Systems Strategic Planning
2. John Ward & Joe Peppard - Strategic Planning for Infomation Systems.
Di kedua buku tersebut tidak ada pemisahan secara explisit dari ITSP - ITMP - ITDP, tetapi metodologi yang digunakan dalam kedua buku tersebut sangat solid dalam membantu kita memahami bagaimana dokumen-dokumen tersebut disusun. Pemisahan itu terjadi karena sangat ideal jika dipandang dari aspek implementasi.
Semoga membantu.
Monday, April 17, 2006
Case for Change
Kali ini saya ingin sedikit menulis mengenai, mengapa sebuah departemen TI harus berubah. Berubah tentunya untuk menjadi lebih baik, dan karena biasanya departemen TI itu merupakan bagian dari sebuah organisasi yang lebih besar dengan aktivitas utama adalah TI itu sendiri atau non-TI. Maka departemen TI tersebut harus berubah menjadi lebih baik dalam hal memberikan dukungan teknologi terhadap bisnis/aktivitas organisasi atau berubah menjadi mitra bagi organisasi dalam menjalankan bisnis/aktivitas mereka.
Di sini terlihat bahwa peran departemen TI terbentang dari sekedar hanya memberikan dukungan teknis untuk hardware dan software komputasi di sebuah organisasi, hingga menjadi 'business enabler' penting bagi organisasi tempatnya berada. Ambil contoh sebuah usaha rumah makan, di organisasi tersebut jelas bahwa, komputer biasanya digunakan untuk mencatat penjualan, kerusakan pada komputer tersebut tidak memiliki pengaruh signifikan terhadap berjalannya proses bisnis rumah makan. Namun apa yang terjadi jika sistem core-banking sebuah bank nasional terganggu operasional selama 4 jam?
So, back to the topic! Why change? Berikut adalah beberapa hal yang saat ini dialami oleh banyak organisasi TI.
Pertama adalah Change itu sendiri. Permintaan pasar yang berubah, tentunya akan punya pengaruh bisnis yang signikan bagi organisasi, peningkatan permintaan, munculnya diferensiasi, penambahan portofolio bisnis dan lain-lainnya tentunya akan menambah volume operasi bisnis yang diperlukan untuk mendukung operasi. TI sebagai mitra bisnis serta pendukung operasi bisnis organisasi pun mau tak mau harus meningkatkan volume operasinya. Penambahan sumber daya mutlak harus dilakukan, diimplementasikan dan yang terpenting adalah terencana dengan baik, sehingga kualitas layanan TI terhadap bisnis tetap terjaga pada tingkat yang telah disetujui baik antara bisnis dan TI.
Kedua adalah Compliance. Kesesuaian operasi bisnis maupun TI terhadap peraturan-peraturan pemerintah, bursa saham, best-practice dan sebagainya, menuntut departemen TI untuk terus menerus menyesuaikan diri pada sebuah standar operasi yang telah ditentukan.
Ketiga adalah Complexity. Apa hubungan antara perubahan dengan kompleksitas dalam hal ini? Kita semua tahu, bahwa di luar sana ada 1001 vendor teknologi yang menawarkan berbagai macam solusi, baik hardware dan software, belum lagi standar teknologi yang berbeda-beda. Banyak departemen TI yang kemudian secara tidak sadar membeli dan menggunakan teknologi yang tidak kompatible satu dengan yang lainnya hanya demi sebuah alasan yaitu operasional. Contoh yang paling jelas dalam hal ini adalah aplikasi, dimana pemilik aplikasi biasanya berbeda departemen, dan perbedaan itu menimbulkan masalah dengan tidak terintegrasinya aplikasi.
Terakhir adalah Cost. Duit, duit dan duit. Apakah budget TI anda setiap tahun meningkat seiring dengan peningkatan pendapatan bisnis organisasi? Belum tentu. Manajer TI harus pandai dan cerdik dalam memanfaatkan teknologi sesuai dengan budget yang telah ditentukan oleh organisasi, serta memaksimalkan benefitnya.
Keempat hal di atas merupakan sekelumit beban yang menyebabkan banyak departemen TI dituntut untuk terus berubah.
Di sini terlihat bahwa peran departemen TI terbentang dari sekedar hanya memberikan dukungan teknis untuk hardware dan software komputasi di sebuah organisasi, hingga menjadi 'business enabler' penting bagi organisasi tempatnya berada. Ambil contoh sebuah usaha rumah makan, di organisasi tersebut jelas bahwa, komputer biasanya digunakan untuk mencatat penjualan, kerusakan pada komputer tersebut tidak memiliki pengaruh signifikan terhadap berjalannya proses bisnis rumah makan. Namun apa yang terjadi jika sistem core-banking sebuah bank nasional terganggu operasional selama 4 jam?
So, back to the topic! Why change? Berikut adalah beberapa hal yang saat ini dialami oleh banyak organisasi TI.
Pertama adalah Change itu sendiri. Permintaan pasar yang berubah, tentunya akan punya pengaruh bisnis yang signikan bagi organisasi, peningkatan permintaan, munculnya diferensiasi, penambahan portofolio bisnis dan lain-lainnya tentunya akan menambah volume operasi bisnis yang diperlukan untuk mendukung operasi. TI sebagai mitra bisnis serta pendukung operasi bisnis organisasi pun mau tak mau harus meningkatkan volume operasinya. Penambahan sumber daya mutlak harus dilakukan, diimplementasikan dan yang terpenting adalah terencana dengan baik, sehingga kualitas layanan TI terhadap bisnis tetap terjaga pada tingkat yang telah disetujui baik antara bisnis dan TI.
Kedua adalah Compliance. Kesesuaian operasi bisnis maupun TI terhadap peraturan-peraturan pemerintah, bursa saham, best-practice dan sebagainya, menuntut departemen TI untuk terus menerus menyesuaikan diri pada sebuah standar operasi yang telah ditentukan.
Ketiga adalah Complexity. Apa hubungan antara perubahan dengan kompleksitas dalam hal ini? Kita semua tahu, bahwa di luar sana ada 1001 vendor teknologi yang menawarkan berbagai macam solusi, baik hardware dan software, belum lagi standar teknologi yang berbeda-beda. Banyak departemen TI yang kemudian secara tidak sadar membeli dan menggunakan teknologi yang tidak kompatible satu dengan yang lainnya hanya demi sebuah alasan yaitu operasional. Contoh yang paling jelas dalam hal ini adalah aplikasi, dimana pemilik aplikasi biasanya berbeda departemen, dan perbedaan itu menimbulkan masalah dengan tidak terintegrasinya aplikasi.
Terakhir adalah Cost. Duit, duit dan duit. Apakah budget TI anda setiap tahun meningkat seiring dengan peningkatan pendapatan bisnis organisasi? Belum tentu. Manajer TI harus pandai dan cerdik dalam memanfaatkan teknologi sesuai dengan budget yang telah ditentukan oleh organisasi, serta memaksimalkan benefitnya.
Keempat hal di atas merupakan sekelumit beban yang menyebabkan banyak departemen TI dituntut untuk terus berubah.
3C Dalam IT Change Management
IT change management (ITCM) merupakan salah satu proses operasional dalam IT infrastructure library (ITIL). Tujuan utama proses ini adalah memastikan stabilitas sistem informasi dalam memberikan layanan kepada bisnis pada tingkat kualitas tertentu, jika sebuah perubahan, baik konfigurasi, aplikasi dan sebagainya diimplementasikan ke dalam sistem. Di sini, perubahan selalu dipandang sebagai 'gangguan' terhadap stabilitas sistem, karena perubahan memiliki potensi negatif, yaitu merusak kinerja sistem yang pada gilirannya akan mengganggu berjalannya proses operasional bisnis.
ITCM mencakup kegiatan-kegiatan pengusulan perubahan (Request for Change - RfC), akibat adanya gangguan atau kerusakan dalam sistem, perubahan kebutuhan bisnis yang mempengaruhi operasi dukungan sistem informasi, 'update' perangkat dan infrastruktur teknologi dan beberapa sebab lainnya. RfC biasanya disusun secara mendalam dengan mengikutsertakan hasil analisa resiko yang mungkin timbul akibat implementasi perubahan, serta dukungan berupa approval dari pihak-pihak yang berkepentingan. Pihak-pihak ini biasanya dilembagakan dalam sebuah forum dengan nama Change Advisory Board - CAB. RfC untuk selanjutnya diterjemahkan ke dalam rencana aksi, baik rencana perubahan konfigurasi kecil, hingga sebuah proyek dengan durasi yang panjang.
Sounds easy? Yeah, you wish!!
Gambaran di atas bisa berlangsung dengan mudah jika perubahan yang diajukan tidak kritikal serta tidak mencakup perubahan konfigurasi yang besar. Katakanlah, sebuah sistem core banking, dimana sistem operasi tempat sistem tersebut berjalan harus mengalami update. Maka akan banyak sekali pertimbangan serta tindakan pencegahan yang harus dipersiapkan terlebih dahulu, termasuk di dalamnya menganalisa obyek update yang akan diimplementasikan dalam sebuah testing environment.
Banyak dokumen saat ini bisa dijadikan panduan mengenai bagaimana idealnya menerapkan ITCM di sebuah organisasi IT, ITIL sendiri sudah menyiapkan beberapa operational best practices, lebih jauh lagi ada beberapa vendor teknologi seperti Microsoft yang menyediakan serta menjelaskan proses implementasi ITCM dengan secara mendetail. Namun, ada beberapa hal non-teknis dari ITCM ini yang perlu dicermati, yaitu kesadaran kita bahwa ITCM merupakan subset dari ilmu Change Management yang ruang lingkupnya lebih luas.
Culture, Controls dan Credibility, merupakan aspek-aspek penting yang perlu diperhatikan oleh ITCM sekalipun, untuk menjamin pengimplementasian change management secara menyeluruh di sebuah lingkungan organisasi.
Culture - lain organisasi, lain pula budaya perubahannya serta penanganan perubahan. Aspek-aspek berikut patut untuk dicermati. Pertama; top/senior manajemen harus mampu membuat standar perilaku yang patuh bagi keseluruhan organisasi, dengan ditopang oleh proses komunikasi yang efektif. Kedua; kebijakan serta prosedur harus selalu dipatuhi dan diikuti, disertai dengan mekanisme enforcement yang sepadan. Ketiga; setiap organisasi harus terbiasa dengan proses analisa resiko, dimana setiap perubahan harus dianalisa dan dicermati akibatnya, baik positif maupun negatif, terhadap keseluruhan proses operasi organisasi. Keempat; kelancaran dalam komunikasi serta kolaborasi yang intim pada semua anggota, dan bagian dari organisasi, sehingga datangnya perubahan dapat terlebih dahulu diprediksi dan disikapi dengan pantas. Kelima; fokus pada process, people dan technology, dimana perubahan merupakan gabungan yang rumit dari interaksi ketiga aspek di atas.
Controls - controls terkait erat dengan proses preventive, detective dan corrective. Perubahan membawa efek bukan hanya positif bagi organisasi, namun perubahan terhadap sistem informasi bisa berdampat buruk bagi keseluruhan proses bisnis, jika perubahan tersebut tidak melalui proses evaluasi, perencanaan, pengembangan dan implementasi yang sesuai. Ketiga proses di atas memainkan peran yang penting bagi organisasi yang telah terlebih dahulu mengidentifikasi resiko atau impact negatif apa saja yang mungkin timbul.
Credibility - ini berkaitan dengan kualitas dari sebuah organisasi dalam mengimplementasikan serta menghadapi berbagai perubahan. Organisasi yang memiliki kredibilitas tinggi, akan selalu berusaha melindungi bisnisnya dari ancaman resiko yang negatif dan merusak, begitu pula dengan keberadaan kebijakan serta prosedur ITCM yang memadai.
Secara singkat, ketiga hal di atas (3C) merupakan hal-hal non-teknis yang harus selalu dicermati oleh para IT Manager dalam mengimplementasikan ITCM serta kegiatan lainnya yang mendukung seperti IT Risk Management, Configuration Management dan Release Management.
ITCM mencakup kegiatan-kegiatan pengusulan perubahan (Request for Change - RfC), akibat adanya gangguan atau kerusakan dalam sistem, perubahan kebutuhan bisnis yang mempengaruhi operasi dukungan sistem informasi, 'update' perangkat dan infrastruktur teknologi dan beberapa sebab lainnya. RfC biasanya disusun secara mendalam dengan mengikutsertakan hasil analisa resiko yang mungkin timbul akibat implementasi perubahan, serta dukungan berupa approval dari pihak-pihak yang berkepentingan. Pihak-pihak ini biasanya dilembagakan dalam sebuah forum dengan nama Change Advisory Board - CAB. RfC untuk selanjutnya diterjemahkan ke dalam rencana aksi, baik rencana perubahan konfigurasi kecil, hingga sebuah proyek dengan durasi yang panjang.
Sounds easy? Yeah, you wish!!
Gambaran di atas bisa berlangsung dengan mudah jika perubahan yang diajukan tidak kritikal serta tidak mencakup perubahan konfigurasi yang besar. Katakanlah, sebuah sistem core banking, dimana sistem operasi tempat sistem tersebut berjalan harus mengalami update. Maka akan banyak sekali pertimbangan serta tindakan pencegahan yang harus dipersiapkan terlebih dahulu, termasuk di dalamnya menganalisa obyek update yang akan diimplementasikan dalam sebuah testing environment.
Banyak dokumen saat ini bisa dijadikan panduan mengenai bagaimana idealnya menerapkan ITCM di sebuah organisasi IT, ITIL sendiri sudah menyiapkan beberapa operational best practices, lebih jauh lagi ada beberapa vendor teknologi seperti Microsoft yang menyediakan serta menjelaskan proses implementasi ITCM dengan secara mendetail. Namun, ada beberapa hal non-teknis dari ITCM ini yang perlu dicermati, yaitu kesadaran kita bahwa ITCM merupakan subset dari ilmu Change Management yang ruang lingkupnya lebih luas.
Culture, Controls dan Credibility, merupakan aspek-aspek penting yang perlu diperhatikan oleh ITCM sekalipun, untuk menjamin pengimplementasian change management secara menyeluruh di sebuah lingkungan organisasi.
Culture - lain organisasi, lain pula budaya perubahannya serta penanganan perubahan. Aspek-aspek berikut patut untuk dicermati. Pertama; top/senior manajemen harus mampu membuat standar perilaku yang patuh bagi keseluruhan organisasi, dengan ditopang oleh proses komunikasi yang efektif. Kedua; kebijakan serta prosedur harus selalu dipatuhi dan diikuti, disertai dengan mekanisme enforcement yang sepadan. Ketiga; setiap organisasi harus terbiasa dengan proses analisa resiko, dimana setiap perubahan harus dianalisa dan dicermati akibatnya, baik positif maupun negatif, terhadap keseluruhan proses operasi organisasi. Keempat; kelancaran dalam komunikasi serta kolaborasi yang intim pada semua anggota, dan bagian dari organisasi, sehingga datangnya perubahan dapat terlebih dahulu diprediksi dan disikapi dengan pantas. Kelima; fokus pada process, people dan technology, dimana perubahan merupakan gabungan yang rumit dari interaksi ketiga aspek di atas.
Controls - controls terkait erat dengan proses preventive, detective dan corrective. Perubahan membawa efek bukan hanya positif bagi organisasi, namun perubahan terhadap sistem informasi bisa berdampat buruk bagi keseluruhan proses bisnis, jika perubahan tersebut tidak melalui proses evaluasi, perencanaan, pengembangan dan implementasi yang sesuai. Ketiga proses di atas memainkan peran yang penting bagi organisasi yang telah terlebih dahulu mengidentifikasi resiko atau impact negatif apa saja yang mungkin timbul.
Credibility - ini berkaitan dengan kualitas dari sebuah organisasi dalam mengimplementasikan serta menghadapi berbagai perubahan. Organisasi yang memiliki kredibilitas tinggi, akan selalu berusaha melindungi bisnisnya dari ancaman resiko yang negatif dan merusak, begitu pula dengan keberadaan kebijakan serta prosedur ITCM yang memadai.
Secara singkat, ketiga hal di atas (3C) merupakan hal-hal non-teknis yang harus selalu dicermati oleh para IT Manager dalam mengimplementasikan ITCM serta kegiatan lainnya yang mendukung seperti IT Risk Management, Configuration Management dan Release Management.
Subscribe to:
Comments (Atom)
