Author: alextjokro

Peninjauan Log Aktivitas, Perlukah?

Posted on by alextjokro

Pentingnya Peninjauan Log Aktivitas dalam Keamanan Informasi

Pada era digitalisasi atau industri 4.0, hampir seluruh aktivitas perusahaan telah diotomatisasi menggunakan aplikasi dan sistem IT. Hal ini membawa dampak positif berupa efisiensi dan ketepatan dalam proses bisnis. Namun, di sisi lain, peningkatan digitalisasi juga meningkatkan risiko kejahatan siber. Menurut data Polri, terdapat 3.429 kasus tindak pidana siber yang tercatat dari Januari hingga Agustus 2019.

Kejahatan siber tidak hanya berasal dari pihak eksternal, tetapi juga dapat terjadi akibat kelalaian atau tindakan dari pegawai internal perusahaan. Untuk mengurangi risiko ini, Kementerian Komunikasi dan Informatika RI mewajibkan penyelenggara sistem elektronik untuk mengimplementasikan ISO/IEC 27001, sebagaimana diatur dalam PERMEN KOMINFO Nomor 4 Tahun 2016 tentang Sistem Manajemen Keamanan Informasi.

Pemantauan Log Aktivitas dalam ISO/IEC 27001

Salah satu langkah utama dalam pencegahan kejahatan siber menurut ISO/IEC 27001 adalah melakukan pemantauan pada log aktivitas sistem, sebagaimana tercantum dalam Annex 12.4. Log aktivitas mencatat seluruh kegiatan dalam sistem, seperti akses pengguna, perubahan sistem, dan deteksi insiden. Dengan melakukan pemantauan log secara berkala, perusahaan dapat menganalisis tren aktivitas dan mengidentifikasi potensi ancaman sebelum terjadi insiden besar.

Pemantauan log dapat dilakukan secara berkala sesuai kebutuhan organisasi, misalnya setiap satu bulan sekali atau tiga bulan sekali, tergantung pada tingkat risiko yang dihadapi. Contohnya, perusahaan dapat mendeteksi percobaan akses yang gagal atau mendapati aktivitas mencurigakan pada firewall yang dilakukan oleh pengguna yang tidak dikenal.

Langkah-Langkah Organisasi dalam Pemantauan Log Aktivitas

Agar pemantauan log aktivitas dapat berjalan optimal, organisasi perlu menerapkan langkah-langkah berikut:

1. Menetapkan jadwal dan prosedur pemantauan log aktivitas.

2. Melindungi log dari perubahan yang tidak sah, dengan memastikan keamanan catatan aktivitas yang mencakup:

  • User ID dan akses ke sistem.
  • Waktu login dan logout pengguna.
  • Keberhasilan dan kegagalan percobaan akses.
  • Perubahan konfigurasi sistem.
  • Penggunaan utilitas sistem operasi.
  • Aktivitas sistem proteksi (firewall, antivirus, dll.).

3. Menunjuk pegawai atau fungsi tertentu yang bertanggung jawab dalam pemantauan log aktivitas.

4. Melakukan investigasi terhadap aktivitas yang mencurigakan.

5. Mengonfigurasi alat peringatan keamanan informasi untuk mendeteksi perubahan akun atau kegagalan login.

6. Menyimpan dokumentasi log setidaknya selama 1 tahun, dengan akses mudah terhadap log dalam periode 3 bulan, sesuai dengan Persyaratan PCI DSS.

7. Melakukan pemantauan berkala terhadap proses pengumpulan log guna memastikan bahwa sistem ini berfungsi dengan optimal.

Kesimpulan

Melakukan pemantauan log aktivitas adalah langkah strategis dalam menjaga keamanan informasi perusahaan. Dengan mengimplementasikan kebijakan pemantauan log yang efektif, organisasi dapat memastikan kerahasiaan (confidentiality), keakuratan (integrity), dan ketersediaan (availability) informasi dan sistem IT.

IT GRC Team
Robere & Associates (Indonesia)

Pentingnya Keamanan Password dalam Dunia Digital

Posted on by alextjokro

Mengapa Keamanan Password Sangat Penting?

Seiring dengan perkembangan teknologi dan komunikasi, penggunaan perangkat digital dalam kehidupan sehari-hari semakin meningkat. Menurut riset Mastercard, setiap orang rata-rata memiliki sepuluh akun digital yang digunakan pada berbagai perangkat dan aplikasi. Setiap harinya, seseorang memasukkan password sekitar delapan kali untuk mengakses akun mereka.

Password merupakan salah satu metode utama dalam menjaga keamanan dalam dunia teknologi informasi. Sayangnya, banyak pengguna masih menggunakan password yang mudah ditebak, seperti tanggal lahir (25%), nama peliharaan (18%), atau nama keluarga (13%). Lebih lanjut, 84% pengguna hanya mengganti password beberapa kali, sementara hanya 16% yang selalu mengingat password mereka. Kebiasaan ini meningkatkan risiko peretasan, yang berpotensi membahayakan data pribadi pengguna dan membuka celah bagi kejahatan daring.

Ancaman Peretasan dan Kebocoran Data

Serangan siber terhadap perusahaan besar sering kali menyebabkan kebocoran data pelanggan, termasuk nomor telepon, alamat email, dan informasi pribadi lainnya. Salah satu kasus peretasan yang terjadi di Indonesia adalah kebocoran data KreditPlus pada Agustus 2020. Laporan dari firma keamanan siber Cyble mengungkap bahwa sekitar 890.000 data nasabah KreditPlus diduga bocor dan dijual di forum peretasan Raidforums. Data yang bocor mencakup nama, email, kata sandi, alamat rumah, nomor telepon, data pekerjaan, hingga kartu keluarga (KK). Selain itu, keamanan password juga dapat terancam saat pengguna mengakses jaringan publik tanpa perlindungan tambahan.

Praktik Terbaik dalam Menjaga Keamanan Password

ISO/IEC 27001:2013 Annex 9.4.3 mengatur bagaimana tata kelola password yang aman harus diterapkan untuk melindungi data sensitif. Berikut beberapa langkah penting dalam mengelola keamanan password:

  • Jangan menyimpan password dalam format teks biasa yang tidak terenkripsi.
  • Hindari berbagi password melalui email, chat, atau media komunikasi elektronik lainnya.
  • Jangan menuliskan petunjuk password yang mudah ditebak, seperti nama keluarga atau tanggal lahir.
  • Hindari penggunaan fitur “Remember Password” pada browser atau aplikasi.
  • Segera ubah password default setelah pertama kali digunakan.
  • Gunakan kombinasi huruf besar, huruf kecil, angka, dan karakter khusus dalam password.
  • Pastikan password memiliki panjang minimal delapan karakter.
  • Hindari penggunaan password yang sama untuk akun kerja dan pribadi.
  • Gunakan autentikasi multi-faktor (MFA) seperti OTP atau SMS untuk keamanan tambahan.

Kesimpulan

Meskipun tidak ada sistem keamanan yang sempurna, mengelola password dengan baik dapat secara signifikan mengurangi risiko peretasan. Pengguna diharapkan lebih sadar akan pentingnya mengganti password secara berkala dan menerapkan Multi-Factor Authentication (MFA) untuk perlindungan tambahan.

Sudahkah Anda memastikan keamanan password akun digital Anda?

Syifa Aulia Sari
IT GRC Consultant
Robere & Associates (Indonesia)

Menjaga Keberlangsungan Bisnis dengan Business Continuity Plan (BCP)

Posted on by alextjokro

Dampak Pandemi terhadap Keberlangsungan Bisnis

Sejak pandemi COVID-19 melanda dunia pada tahun 2020, berbagai sektor industri mengalami tantangan besar dalam menjalankan operasionalnya. Dengan keterbatasan aktivitas di tempat kerja, banyak perusahaan menghadapi risiko gangguan bisnis yang signifikan. Beberapa bahkan harus menghentikan sebagian atau seluruh proses operasionalnya akibat keterbatasan sumber daya dan terganggunya rantai pasokan.

Untuk memastikan bisnis tetap berjalan dengan lancar di tengah krisis, perusahaan perlu menyusun Business Continuity Plan (BCP) sebagai langkah antisipatif dalam menghadapi ketidakpastian. Dengan perencanaan yang matang, perusahaan dapat memastikan keberlangsungan bisnis tanpa mengorbankan keselamatan tenaga kerja.

Apa Itu Business Continuity Plan (BCP)?

Menurut ISO 22301, Business Continuity Plan (BCP) adalah informasi terdokumentasi yang memandu organisasi dalam merespons gangguan, serta memastikan kelangsungan operasional hingga pemulihan kembali. Tujuan utama dari penyusunan BCP selama pandemi adalah memastikan bisnis tetap berjalan tanpa membahayakan kesehatan dan keselamatan karyawan.

Berikut beberapa langkah utama dalam penyusunan BCP yang efektif:

1. Membentuk Tim Manajemen Krisis

Langkah pertama adalah membentuk Tim Manajemen Krisis yang bertanggung jawab atas pengelolaan bisnis di tengah pandemi. Tim ini dipimpin oleh direktur atau eksekutif utama dengan anggota dari berbagai departemen, seperti operasional, keuangan, dan SDM.

Tugas utama Tim Manajemen Krisis:

  • Mengidentifikasi aspek bisnis yang paling krusial.

  • Menyusun kebijakan darurat yang sesuai.

  • Berkoordinasi dengan pemangku kepentingan untuk mitigasi risiko.

2. Mengidentifikasi Aspek Kritis Bisnis

Perusahaan harus menentukan proses, aset, dan sumber daya yang paling penting dalam menjaga operasional bisnis. Beberapa aspek krusial meliputi:

  • Fungsi utama yang tidak dapat dihentikan, seperti customer service dan operasional perbankan.

  • Infrastruktur penting seperti server, data center, dan sistem keuangan.

  • Kebutuhan alat pelindung diri (APD) untuk karyawan guna memastikan keselamatan mereka di tempat kerja.

3. Menyusun Kebijakan Darurat

Dalam situasi pandemi, beberapa kebijakan darurat yang dapat diterapkan antara lain:

  • Work from Home (WFH) untuk mengurangi risiko paparan.

  • Sistem kerja bergilir (shift working) untuk membatasi jumlah pekerja di kantor.

  • Pembatasan perjalanan dinas sesuai dengan regulasi pemerintah setempat.

4. Menetapkan Jalur Komunikasi Efektif

Komunikasi menjadi faktor utama dalam keberlangsungan bisnis selama krisis. Seluruh pemangku kepentingan, baik internal maupun eksternal, harus mendapatkan informasi terbaru terkait perubahan kebijakan atau operasional perusahaan.

Beberapa strategi komunikasi yang efektif:

  • Penggunaan platform digital untuk koordinasi jarak jauh.

  • Transparansi dalam menyampaikan kebijakan kepada karyawan dan mitra bisnis.

  • Kolaborasi dengan tenaga medis atau pihak berwenang untuk mitigasi risiko kesehatan.

5. Melakukan Simulasi dan Evaluasi BCP

Perusahaan harus melakukan uji coba implementasi BCP guna memastikan keefektifan strategi yang disusun. Simulasi ini membantu dalam:

  • Mengidentifikasi kelemahan dalam rencana yang telah dibuat.

  • Menyempurnakan strategi mitigasi risiko berdasarkan skenario yang terjadi.

  • Mengoptimalkan respons perusahaan terhadap gangguan yang mungkin terjadi.

6. Menyusun Strategi Pemulihan Bisnis

Setelah krisis berakhir, perusahaan harus memiliki strategi pemulihan agar dapat kembali beroperasi secara normal. Beberapa langkah yang dapat dilakukan antara lain:

  • Menjaga hubungan baik dengan pelanggan dan pemasok.

  • Mengidentifikasi pemasok alternatif jika terjadi gangguan pada rantai pasokan.

  • Melindungi dan memulihkan aset perusahaan, termasuk data dan dokumen penting.

Kesimpulan

Menghadapi krisis seperti pandemi memerlukan strategi bisnis yang matang. Dengan Business Continuity Plan (BCP) yang baik, perusahaan dapat memastikan kelangsungan operasional, melindungi tenaga kerja, dan mengurangi dampak finansial yang merugikan.

Sudahkah perusahaan Anda menyusun Business Continuity Plan yang efektif?

Muhammad Arief Nurhidayat
Business Development Manager
Robere & Associates (Indonesia)

Sistem Manajemen Keamanan Informasi (SMKI): Perlindungan Data dan Keamanan Bisnis

Posted on by alextjokro

Pentingnya Sistem Manajemen Keamanan Informasi (SMKI) dalam Bisnis Digital

Bisnis dan teknologi merupakan dua hal yang dapat dikatakan hampir tidak terpisahkan di zaman transformasi digital seperti saat ini. Perkembangan teknologi yang begitu cepat seakan menjadi daya tarik untuk para pelaku bisnis dalam mengembangkan setiap lini usaha yang dimilikinya. Tanpa adanya Teknologi Informasi, organisasi tidak dapat berjalan dengan efektif dan efisien, karena informasi yang dihasilkan dari suatu sistem informasi menjadi faktor yang sangat penting dalam membuat kebijakan dan keputusan yang tepat. Bahasan tentang teknologi informasi tidak dapat dipisahkan dengan internet, dimana internet berperan sebagai perantara atau alat untuk mendapatkan informasi dengan mudah. Internet sangat berperan sebagai penghapus batasan ruang dan waktu, sehingga memungkinkan tersebarnya informasi tanpa jeda, jarak dan waktu sudah bukan menjadi kendala utama pada era ini.  

Ancaman Siber dan Tantangan Keamanan Informasi

Internet pertamakali diperkenalkan oleh World Wide Web pada 30 tahun lalu, pengguna internet diseluruh dunia memiliki angka yang sangat mengagumkan. Survei lembaga We Are Social (2018) menyatakan bahwa 55 persen dari penduduk dunia merupakan pengguna internet aktif. Jika populasi dunia sebesar 7.655 milyar, maka lebih dari 4.176 milyar jiwa merupakan pengguna internet. Hal tersebut menjadi tanda bahwa internet memiliki peran yang sangat besar dalam kehidupan.

Di Indonesia, berdasarkan hasil survey Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) pada akhir 2017, sebanyak 54.68 persen dari penduduk Indonesia merupakan pengguna internet aktif. Jika total populasi penduduk Indonesia 262 juta jiwa, maka setidaknya 143.26 juta jiwa merupakan pengguna internet aktif. Jumlah tersebut terus mengalami peningkatan dari tahun-tahun sebelumnya, yang mana pada tahun 2015 pengguna internet mencapai 110.2 juta orang, 2016 mencapai 132.7 juta orang seperti yang terlihat pada Gambar 1.1.

Gambar 1.1: Penetrasi pengguna internet Indonesia 2017 (Data APJII: 2017)

 

Data tersebut menunjukkan adanya ketergantungan masyarakat, badan usaha, dan seluruh pemangku kebutuhan untuk mengakses data dan informasi dimanapun dan kapanpun menjadi sangat tinggi. Hal tersebut tentunya untuk mendapatkan informasi dalam menunjang peningkatan efektivitas dan efisiensi perusahaan serta membantu dalam mencapai tujuan perusahaan. Disisi lain, seiring berkembangnya teknologi dan informasi ancaman terhadap pengelolaan informasi juga semakin meningkat. Angka pertumbuhan Internet Users di atas sangat disayangkan sekali karena tidak diimbangi dengan kesadaran akan keamanan internet. Sehingga sangat rawan terjadi ancaman malware melalui kelemahan yang ada.

Tahun 2017 dimana dikenal dengan era Internet of Thing (IoT), ancaman keamanan sistem informasi sempat digegerkan dengan serangan Malware Ransomeware yang dikenal dengan Wannacry. Dalam rentang waktu Januari sampai dengan Desember 2018, insiden keamanan informasi yang paling sering terjadi yaitu Web Defacement, disusul dengan Malware, Spam, IP Brute Force, Phishing dan lain-lain (BSSN- ISSN 2655-8467 Volume 1 Tahun 2018). Berdasarkan Security Report Badan Siber dan Sandi Negara (BSSN) pada tahun 2018 terdapat serangan Cyber di Indonesia sebanyak 513.863 yang sebagian besar berupa aktivitas Malware dengan jumlah 12.895.554 insiden.

Kenyataan tersebut perlu dilihat guna melihat urgensi untuk meningkatkan keamanan informasi. Proses pekerjaan dengan jaringan internet tentunya sangat rentan terkena serangan malware oleh pihak yang tidak diinginkan, untuk menjaga informasi perusahaan, maka risiko tersebut perlu dikendalikan dan diminimalisir. 

Kontrol terhadap malware dan perlindungan terhadap malware perlu dilakukan oleh perusahaan. Untuk mencegah insiden malware dalam sebuah perusahaan. dapat di lakukan dengan tidak membuka spam email dari sumber/pengirim yang tidak jelas. Email yang dicurigai dapat merusak komputer karena mengandung virus, malware atau sejenisnya akan masuk ke folder tersebut. Apabila dalam email yang dibuka terdapat lampiran file (attachments) sebaiknya tidak perlu diunduh atau jika tidak dikenal pengirimnya sebaiknya lakukan pemblokiran terhadap email tersebut.

Implementasi ISO/IEC 27001:2013 untuk Keamanan Informasi

Sesuai dengan ketentuan pada ISO/IEC 27001:2013 bahwa perusahaan harus menjaga keamanan informasi dari berbagai macam ancaman yang mungkin terjadi salah satunya dapat dilakukan dengan memasang antivirus pada perangkat komputer, hal ini selaras dengan implementasi annex 12.2.1 mengenai perlindungan terhadap malware. Apabila suatu perusahaan memakai sistem jaringan nirkabel, maka pastikan perusahaan memiliki teknisi yang mampu mengamankan jaringan sesuai dengan persyaratan annex 13.1.1 mengenai kemaanan jaringan. Perusahaan juga harus memastikan selalu mengunci router dan juga mengenkripsi seluruh informasi sesuai dengan annex 10.1.1 mengenai kontrol enkripsi. Bila perlu, selalu beri pasword dalam seluruh jaringan data komputer dan hidden seluruh system sesuai dengan annex 9.4.3 mengenai penggunaan password. 

Secara keseluruhan perusahaan harus menjaga keamanan informasi dari berbagai macam ancaman yang mungkin terjadi. Untuk menjaga keamanan inforrmasi dapat dilakukan dengan memasang antivirus pada perangkat komputer, kemudian mengamankan jaringan. Apabila suatu perusahaan memakai sistem jaringan nirkabel, maka pastikan perusahaan memiliki teknisi yang mampu mengamankan jaringan. perusahaan juga harus memastikan selalu mengunci router dan juga mengenkripsi seluruh informasi. Bila perlu, selalu beri pasword dalam seluruh jaringan data komputer dan hidden seluruh sistem. Dengan menyembunyikan data, maka setidaknya hal tersebut dapat mencegah kejahatan dalam perusahaan yang mungkin terjadi. 

Bentuk – bentuk pengendalian yang dapat dilakukan untuk meminimalisasi risiko dan ancaman dari luar maupun dari dalam salah satunya dengan penerapan Sistem Manajemen Keamanan Informasi (SMKI) mengacu pada ISO/IEC 27001:2013. SMKI menurut ISO/IEC 27001:2013 dimaknai sebagai bagian dari sistem manajemen keseluruhan, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara keamanan informasi serta memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. 

Kesimpulan: Mengapa SMKI Penting untuk Keberlanjutan Bisnis?

Dengan menerapkan ISO/IEC 27001:2013, perusahaan dapat melindungi dan memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. ISO/IEC 27001:2013 memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Jika suatu perusahaan sudah menerapkan Sistem Manajemen Keamanan Informasi (SMKI), perusahaan akan mampu mengendalikan aset informasi dari adanya ancaman dan serangan, secara tidak langsung juga memberikan jaminan terhadap kelangsungan bisnis perusahaan.

Syifa Aulia Sari
IT GRC Consultant
Robere & Associates (Indonesia)

Hubungan RACI Matrix dengan Sistem Manajemen Risiko

Posted on by alextjokro

Implementasi Manajemen Risiko erat kaitannya dengan proses komunikasi dan konsultasi. Dimana, proses tersebut merupakan salah satu faktor yang mendukung kelancaran proses manajemen risiko dari tahap ke tahap. Serta tidak dapat dipungkiri proses komunikasi dan konsultasi dengan beberapa Stakeholder dapat mempengaruhi beberapa keputusan yang ditetapkan, baik dalam penerapan kerangka kerja atau proses manajemen risiko, sehingga apabila proses komunikasi dan konsultasi tidak dapat berjalan lancar maka dapat memunculkan risiko baru.

Membahas terkait kesalahan komunikasi dalam implementasi manajemen risiko, kita dapat mengacu kepada salah satu kasus besar yang terjadi pada tahun 2001 yaitu Kasus Kebangkrutan Enron, dimana perusahaan tersebut tidak dapat memberikan informasi yang sesuai dengan realitanya, sehingga tim manajemen risiko Enron tidak dapat mengidentifikasi risiko apa yang akan dihadapi. Penyampaian data yang akurat dan aktual dari suatu perusahaan sangat berguna untuk mengidentifikasi risiko apa yang akan dihadapi, tanpa adanya informasi tersebut sebuah perusahaan hanya dapat memprediksi risiko dari hystorical data yang belum tentu akurat hasilnya.

Berkaitan dengan penjabaran diatas, pada artikel kali ini akan membahas salah satu metode yang dapat digunakan untuk menyusun dan mengidentifikasi dengan jelas bagaimana alur yang baik dalam menjalankan proses komunikasi dan konsultasi yang baik dalam mengimplementasikan Sistem Manajemen Risiko yaitu RACI Matriks. Metode ini membantu perusahaan untuk mengidentifikasi pihak – pihak yang terkait dengan proses komunikasi dan konsultasi Sistem Manajemen Risiko yang pada umumnya terbagi menjadi 4, yaitu Responsibility (R), Accountable (A), Consulted (C), Informed (I). Sebagai panduan menyusun RACI Matriks, terdapat beberapa tahapan yang dapat dilakukan yaitu

  1. Identifikasi pihak yang berkepentingan dengan Sistem Manajemen Risiko
    Sebelum menyusun RACI Matriks, perlu ditentukan siapa saja pihak yang berkepentingan terkait dengan Sistem Manajemen Risiko. Contohnya seperti :

    • Dewan Komisaris
    • Direksi
    • Manager Departemen / Kepala Divisi
    • Staff Departemen/ Risk Owner
    • Stakeholder Eksternal (Customer, Pemegang Saham, Pemerintah, Risk Consultant,dll)
  2. Identifikasi tahapan yang akan dilaksanakan di Sistem Manajemen Risiko
    Setelah menentukan pihak yang berkepentingan, maka perlu diidentifikasi tahapan apa saja yang akan dilakukan saat mengimplementasikan Sistem Manajemen Risiko. Contohnya seperti :

    • Penetapan Lingkup, Konteks, dan Kriteria
    • Identifikasi Risiko
    • Analisa Risiko
    • Evakuasi Risiko
    • Pengendalian Risiko
    • Pemantauan dan Kaji Ulang Risiko
    • Pencatatan dan Pelaporan Risiko

    Sebagai saran untuk peningkatan, semakin detail keterangan pada setiap tahapan di Sistem Manajemen Risiko, maka akan semakin jelas peran dari pihak berkepentingan yang menjalankan tahapan tersebut.

  3. Menyusun RACI Matriks
    RACI Matriks disusun berdasarkan peran dari pihak berkepentingan terhadap tahapan yang dilakukan dalam menjalankan Sistem Manajemen Risiko. Hal tersebut seperti yang telah disebutkan diatas yaitu terbagi menjadi :

    • Responsible (R), yaitu pihak yang bertugas melaksanakan tahapan tertentu dari serangkaian proses di Sistem Manajemen Risiko. Contohnya seperti Staff Departemen/Risk Owner.
    • Accountable (A), yaitu pihak yang bertanggung jawab terhadap hasil akhir dari suatu tahapan yang terkait dengan proses Sistem Manajemen Risiko serta pengambil keputusan terhadap suatu permasalahan yang terjadi. Contohnya seperti pimpinan di masing – masing Unit Kerja/ Departemen/Divisi (Manager Departemen/Kepala Divisi).
    • Consulted (C), yaitu pihak yang memiliki keahlian terkait Sistem Manajemen Risiko. Contohnya seperti Departemen Manajemen Risiko (ERM Departement), Risk Analyst, Risk Consultant.
    • Informed (I), yaitu pihak yang menerima informasi terkait hasil implementasi dari tahapan – tahapan Sistem Manajemen Risiko. Contohnya seperti Dewan Komisaris, Direksi Perusahaan, dan Stakeholder Eksternal.

    Salah satu contoh bentuk RACI Matriks dapat dilihat pada tabel di bawah berikut ini: Table 1.1: RACI Matriks

  4. Keterangan tambahan pada RACI MatriksApabila RACI Matriks telah disusun, maka dapat ditambahkan beberapa keterangan seperti :
    • Jenis informasi yang disampaikan sebagai bentuk output dari masing – masing tahapan di Sistem Manajemen Risiko. Contohnya seperti Laporan Identifikasi Risiko, Laporan Evaluasi Sistem Manajemen Risiko, dll
    • Metode penyampaian hasil tahapan di Sistem Manajemen Risiko. Contohnya seperti Monthly Meeting, Yearly Meeting, Management Review Meeting, Email, Surat,dll.
    • Frekuensi penyampaian hasil tahapan Sistem Manajemen Risiko. Contohnya seperti perBulan, perSemester, perTahun, setiap 3 bulan, dll.

Pada dasarnya RACI Matriks adalah salah satu metode yang bertujuan untuk lebih meningkatkan keefektifan Sistem Manajemen Risiko yang diimplementasikan oleh organisasi. Dimana, harapannya apabila sebuah organisasi atau perusahaan telah menyusun RACI Matriks yang baik maka :

  • Tidak terdapat tumpang tindih tugas dan tanggung jawab dalam mengimplementasikan Sistem Manajemen Risiko
  • Pengambilan keputusan dan penyelesaian masalah menjadi lebih singkat
  • Distribusi informasi internal dan eksternal menjadi lebih jelas
  • Transparansi terhadap informasi dalam menjalankan Sistem Manajemen 

Hilman Badhi Adikara
Non-IT GRC Consultant
Robere & Associates (Indonesia)

 

Pentingnya Survey Kepuasan Pelanggan untuk Meningkatkan Loyalitas dan Daya Saing Perusahaan

Posted on by alextjokro

Kepuasan pelanggan merupakan faktor krusial dalam keberlangsungan sebuah perusahaan. Sebagai pengguna produk atau jasa, pelanggan memiliki peran penting dalam menentukan arah perkembangan bisnis. Oleh karena itu, melakukan survey kepuasan pelanggan menjadi salah satu bentuk komitmen perusahaan dalam memastikan bahwa kebutuhan dan harapan pelanggan terpenuhi dengan baik.

Manfaat Survey Kepuasan Pelanggan bagi Perusahaan

Survey kepuasan pelanggan memberikan banyak manfaat bagi perusahaan, di antaranya:

1. Menilai Kualitas Produk dan Jasa

Melalui survey ini, perusahaan dapat mengetahui sejauh mana produk atau jasa yang disediakan telah memenuhi harapan pelanggan. Dengan memahami tingkat kepuasan pelanggan, perusahaan dapat mengidentifikasi aspek yang perlu diperbaiki atau ditingkatkan.

2. Mengidentifikasi Kebutuhan Perbaikan

Survey kepuasan pelanggan juga berfungsi sebagai alat evaluasi untuk meningkatkan kualitas produk dan layanan. Dengan mendapatkan feedback dari pelanggan, perusahaan dapat melakukan perbaikan yang lebih tepat sasaran dan sesuai dengan kebutuhan pasar.

3. Menganalisis Perilaku Pelanggan

Data dari survey kepuasan pelanggan memungkinkan perusahaan untuk memahami pola perilaku pelanggan, termasuk preferensi, kebiasaan, dan faktor yang mempengaruhi keputusan pembelian. Informasi ini dapat digunakan untuk menyusun strategi pemasaran yang lebih efektif.

4. Meningkatkan Daya Saing Perusahaan

Survey kepuasan pelanggan juga membantu perusahaan dalam membandingkan produk dan layanan mereka dengan kompetitor. Dengan memahami keunggulan dan kelemahan pesaing, perusahaan dapat merancang strategi yang lebih kompetitif dan memperluas pangsa pasar.

Metode Pelaksanaan Survey Kepuasan Pelanggan

Ada berbagai metode yang dapat digunakan perusahaan untuk melakukan survey kepuasan pelanggan, antara lain:

1. Pengajuan Form Survey kepada Pelanggan

Metode ini adalah cara paling sederhana untuk mengumpulkan feedback pelanggan. Form survey dapat disebarkan dalam bentuk kuesioner tertulis atau melalui platform digital seperti email, media sosial, atau website perusahaan.

2. Customer Business Meeting

Mengadakan pertemuan langsung dengan pelanggan memungkinkan perusahaan untuk mendapatkan masukan secara langsung. Selain itu, forum ini juga menjadi kesempatan untuk berdiskusi dan menawarkan solusi terbaik bagi pelanggan.

3. Lost Customer Analysis

Lost Customer Analysis bertujuan untuk menghubungi pelanggan yang berhenti menggunakan produk atau jasa perusahaan guna mengetahui alasan mereka beralih ke kompetitor. Data ini sangat berharga dalam upaya perbaikan layanan dan peningkatan loyalitas pelanggan.

Pentingnya Survey Kepuasan Pelanggan dalam Sistem Manajemen Mutu

Survey kepuasan pelanggan juga merupakan salah satu persyaratan dalam implementasi sistem manajemen mutu, seperti ISO 9001. Dengan melakukan survey ini secara berkala, perusahaan dapat:

  • Menilai efektivitas layanan dan produk yang disediakan.
  • Mengidentifikasi dan menangani keluhan pelanggan secara proaktif.
  • Memastikan peningkatan kualitas secara berkelanjutan.
  • Membangun hubungan jangka panjang dengan pelanggan.

Kesimpulan

Melakukan survey kepuasan pelanggan bukan hanya sekadar formalitas, tetapi merupakan strategi bisnis yang dapat meningkatkan kualitas layanan, mempertahankan pelanggan, dan memenangkan persaingan di pasar. Dengan memahami kebutuhan pelanggan dan bertindak berdasarkan hasil survey, perusahaan dapat terus berkembang dan meningkatkan loyalitas pelanggan.

Jika Anda ingin mengetahui lebih lanjut tentang bagaimana meningkatkan kepuasan pelanggan dan menerapkan strategi bisnis berbasis data, pastikan untuk melakukan survey kepuasan pelanggan secara berkala dan menganalisis hasilnya dengan cermat.

Consult with us