Barrie Moh. Ikhwan

Melepas akses terhadap informasi dan sistem bisnis sebebas-bebasnya kepada karyawan ataupun mitra bisnis adalah keputusan berbahaya.  Menutup dengan rigid pun bukan keputusan bijak.  Nah, Indosat mencontohkan bagaimana pengelolaannya justru memberi manfaat bisnis.

Di zaman sekarang, informasi memang dipandang sebagai bahan penting dalam bisnis.  Tak heran, akses terhadap informasi perusahaan ataupun Internet kini seperti menjadi menu wajib di tiap perusahaan atau instansi.  Masalahnya, sudahkah perusahaan Anda memperhatikan manajemen informasi dan aturan main terkait dengan keamanan informasi vital bagi perusahaan Anda? Maklumlah, di tengah derasnya keinginan berbagi informasi mungkin saja sebenarnya ada informasi yang tak relevan bagi mereka, atau bahkan masuk dalam kategori rahasia perusahaan.  Yang lebih parah, bisa saja ada mantan karyawan yang masih punya akses ke pusat data perusahaan karena perusahaan lalai mematikan user ID dan password karyawan itu. Bila hal seperti itu terjadi, jangan heran suatu ketika terjadi fraud (penyalahgunaan) di perusahaan Anda. Namun tentu, tidak berarti perusahaan Anda mesti menutup akses ke  pusat informasi atau Internet.  Bisa-bisa nanti karyawan Anda malah kuper dan ketinggalan informasi. Nah, akan lebih bijak bila Anda bisa mengatur dan mengontrol hak akses karyawan sesuai dengan otorisasinya. Yang banyak dilakukan adalah dengan membuat prosedur kontrol, yang sebagian masih secara manual. Nah, untuk kebutuhan ini, di Amerika Serikat kini mulai berkembang sistem pengelolaan identitas atau Identity Management (IdM), yang mengelola identitas seseorang dalam mengakses sistem atau data perusahaan.

Di AS, penerapan IdM didorong oleh pemberlakuan undang-undang bernama Sarbanes-Oxley Act (SOX) sejak 30 Juli 2002 – setelah pecahnya kasus Enron. SOX mensyaratkan agar setiap perusahaan yang listed di New York Stock Exchange (NYSE) mengotentikasi dan memantau seluruh karyawan yang memiliki akses terhadap data sensitif perusahaan.

Toh, menerapkan IdM ini tidak semudah membalikkan telapak tangan. Mungkin karena barang baru, biayanya mahal. Selain itu, proses implementasinya pun cukup rumit. Terlebih bagi perusahaan yang mengoperasikan berbagai sistem dengan platform berbeda-beda. Di sisi lain, IdM juga memiliki beragam komponen – mulai dari single sign on, self-service, authentication, access control dan automated provisioning – yang cukup memusingkan untuk dipilih mana yang harus diprioritaskan lebih dulu. Selain itu, kendala akan muncul dari resistensi karyawan yang merasa terganggu privasinya. Kesulitan lainnya dalam menggerakkan seluruh departemen di perusahaan guna mengelola identitas.

Tak mengherankan, di negerinya Barack Obama pun penerapan metode modern seperti IdM belum begitu masif. Apalagi di negara-negara berkembang.

Toh, ada kabar menggembirakan bagi kalangan perusahaan yang menerapkan sistem IdM, yakni soal manfaatnya.  Menurut Gartner, biaya untuk sistem identitas dan manajemen akses berkisar US$ 5-25 per pengguna, tergantung pada fitur yang terpasang. Jadi, memang tidak murah. Namun, perusahaan dengan 10 ribu karyawan yang mengotomatiskan proses pengawasan akses (automatic provisioning) untuk 12 jenis aplikasi bisa menghemat sekitar US$ 3,5 juta dalam waktu tiga tahun, dan menikmati return on investment sekitar 295%. Sebagian besar penghematan ini diperoleh dari pemangkasan waktu yang dihabiskan untuk pengelolaan pengguna sampai 14.000 jam/tahun, dan memangkas help desk hour sampai 6.600 jam/tahun.

Nah, di Indonesia, perusahaan pelopor penerapan IdM adalah Indosat Tbk. Sekarang, Indosat telah meninggalkan pendekatan manual untuk mengelola akses karyawan ke aplikasi bisnis dan teknis telekomunikasinya. “Indosat merupakan satu-satunya perusahaan di Indonesia yang sudah menerapkan IdM,”  ujar Barrie Moh. Ikhwan, Kepala Grup Infrastruktur TI Indosat, mengklaim. “Terus terang, implementasi IdM ini dipicu oleh karena Indosat merupakan perusahaan yang sudah listed di NYSE yang mesti mematuhi SOX.  Kalau tidak ada kewajiban SOX, IdM belum tentu diimplementasikan sekarang, karena biayanya sangat mahal, mencapai puluhan miliar rupiah,”  tuturnya terus terang.

Dijelaskan Barrie, sistem IdM yang diimplementasi di Indosat menggunakan teknologi dari Oracle. Solusi yang dikembangkan mencakup: Identity Manager, Access Manager, Enterprise Manager, Enterprise Single Sign On dan Internet Directory. Awalnya, proyek pengembangan IdM ini ditargetkan bisa kelar dalam waktu 8 bulan, tetapi bisa dirampungkan dalam 6 bulan, sehingga pada April 2008 sudah go live.

Dengan penerapan solusi IdM – yang juga diintegrasikan dengan sistem back office dari  SAP – Indosat dapat mengotomasi proses pengelolaan dan pengendalian akses ke 55 aplikasi bisnis dan telekomunikasi. Termasuk, aplikasi billing system, enterprise resource planning (ERP), aplikasi HR (sumber daya manusia), customer relationship management (CRM) dan manajemen produk telekomunikasi.

Menurut Barrie, saat ini solusi IdM baru melayani seluruh karyawan Indosat yang jumlahnya lebih dari 6 ribu.  Sementara itu, akses untuk vendor dan mitra bisnis (Griya yang jumlahnya 163, dan yang online 10), siap diimplementasi dalam waktu dekat. “Dengan adanya IdM ini intervensi dari staf TI pun relatif minimal, karena proses permohonan dapat dilakukan sendiri oleh karyawan secara online,” kata Barrie.

Sebelumnya, lanjut Barrie, Indosat mengelola para user sistemnya secara manual. Proses aktivasi user access memerlukan waktu tiga minggu sampai satu bulan karena panjangnya birokrasi. Misalnya, ada karyawan yang mau mengakses aplikasi customer service (CS) dari kantor regional atau cabang.  Biasanya mereka akan mengirim surat dari kantor cabang ke kantor regional, lalu ke departemen CS di kantor pusat. Selanjutnya, staf bagian CS meneruskan permintaan hak akses ini ke kepala grup (group head) hingga direksi. “Cara lama tidak ada kontrolnya. Kami tidak tahu apakah karyawan ini masih bisa akses aplikasi tertentu, dan apakah masih jadi karyawan Indosat atau tidak, karena tidak ada link dari aplikasi ke sistem HRD,” Barrie menjelaskan.

Melalui IdM ini Indosat melakukan sinkronisasi antara aplikasi bisnis dengan database karyawan di departemen pengembangan SDM. Setelah disinkronisasi, bisa ketahuan siapa yang bersangkutan: berasal dari regional mana dan apa jabatannya. Kalau oke, dia tentu berhak mengakses aplikasi yang relevan.  Dengan aplikasi IdM pula, bisa diketahui siapa saja karyawan yang mengakses aplikasi tertentu dan mengetahui aktivitasnya pada aplikasi itu. Misalnya, apakah dia  melakukan adjustment atau perubahan pada paket pelanggan.

Perlu diketahui, IdM  merupakan aplikasi berbasis Web, sehingga karyawan bisa melakukan permintaan ke suatu aplikasi secara online. Misalnya, seorang karyawan merupakan agen CS yang baru masuk (direkrut), maka semua datanya sudah ada di bagian SDM. Selanjutnya, ia mendapat akun e-mail, lalu dari e-mail itu ia bisa tahu password untuk akses IdM. Ia mengakses IdM lewat portal. Contohnya, ia meminta aplikasi CS untuk Mentari, Matrix, dan sebagainya. Nanti akan ada yang menyetujui (approve), yakni atasannya. Setelah disetujui atasan, baru ia masuk ke kategori business owner: apakah jabatannya sudah sesuai dan bisa mengakses aplikasi tersebut.

Oleh karena itu, tidak setiap karyawan bisa mengakses suatu aplikasi, tetapi ada tingkatannya. Misalnya, seorang karyawan tetap level supervisor berbeda hak aksesnya dengan karyawan selevel tetapi nonpermanen (outsourced labor). Seorang karyawan tetap, misalnya mempunyai hak bisa mengakses 20 aplikasi; sedangkan karyawan kontrak hanya mempunyai hak mengakses 12-15 aplikasi. Sementara itu, untuk karyawan tetap di level manajer ke atas memiliki akses penuh terhadap semua aplikasi yang ada di IdM. “Jadi, dengan IdM ini kami justru bisa mengatur kewenangan seseorang di perusahaan,” Barrie menegaskan.

Bagaimana dengan tingkat sekuritinya? “IdM ini juga mengatur sekuriti dari sisi level informasi dan hak akses,” ujar Barrie. Ia menjelaskan, soal keamanan untuk IdM dibagi beberapa bagian. Pertama, physical security, yang mencakup network, server, Internet, e-mail, hingga firewall. Nah, bagi pihak ketiga yang mengakses dari luar, dari aplikasi sudah ada fitur yang mengatur privilese atau hak akses tertentu. Misalnya, dari luar hanya bisa baca (read only), atau hanya bisa update status pelanggan di peer tertentu. “Jadi kami bisa mengatur per aplikasi, misalnya supervisor bisa memberikan adjustment, sedangkan yang di bawahnya hanya bisa baca dan memberi tahu. Di call centre dia hanya bisa akses status pelanggan, seperti jumlah tagihan, sisa pulsa, catatan menelepon ke mana saja, dan sebagainya,” papar Barrie.

Kedua, non-physical security, yaitu dengan adanya perimeter security. Di sini ditempatkan intrusion prevention system, yakni perangkat keamanan  untuk memonitor jaringan atau aktivitas sistem demi mencegah penyalahgunaan. Perangkat pengamannya bisa  e-mail gateway, Internet gateway, firewall. Di level server ada lagi host intrusion prevention system. Menurut Barrie, itu semua membentuk suatu perimeter security, sehingga orang dari luar Indosat tidak bisa sembarangan mengakses. “Sekarang pengontrolan operasional keamanan TI Indosat telah berjalan lebih efisien. Aplikasi dapat dipasang lebih cepat dan perlindungan dapat diaplikasikan terhadap perusahaan, sekaligus menghilangkan akses hak istimewa yang tidak seharusnya berlaku,” tutur Barrie.

Diklaim Barrie, penerapan sistem IdM memiliki dampak positif bagi produktivitas karyawan, yang ujung-ujungnya meningkatkan kualitas layanan bagi pelanggan. Termasuk efisiensi waktu dan biaya. Sebab, dengan IdM user tidak perlu mengirim surat lagi, karena semuanya dapat dilayani di portal. Jadi mereka bisa langsung mengisikan mulai dari nama, Nomor Induk Kepegawaian (NIK), lokasi kerja, butuh request apa saja, dan sebagainya. Dari situ, akan ada approval secara online oleh staf yang menjadi business owner ataupun fasilitator, lalu dieksekusi secara otomatis. Kini, waktu yang dibutuhkan untuk proses pengaktifan user access hanya tiga-empat hari.

Selain itu, menurut Barrie, penerapan sistem IdM diharapkan dapat menekan risiko keamanan akibat adanya akses terhadap informasi di luar kewenangan karyawan, sehingga tindak fraud terhadap perusahaan juga dapat dicegah. Sebab, sistem IdM mengatur agar akses terhadap aplikasi ini sesuai dengan kewenangan karyawan, mulai dari ketika karyawan itu direkrut, dimutasikan, dipromosikan sampai diberhentikan atau resign. Seluruh proses yang dilakukan dengan sistem ini pun terekam dan dapat terlacak dengan baik, sehingga memudahkan proses auditnya.

Menurut Barrie, kemampuan tata kelola (governance) TI yang kuat seperti itu menjadi modal utama Indosat untuk mematuhi aturan SOX, yang merupakan syarat penting bagi perusahaan yang listed di NYSE. “Sistem IdM membantu kami memenuhi aturan SOX, khususnya section 404,” ujar Barrie.

Dijelaskan Barrie, aturan SOX 404 mensyaratkan agar setiap perusahaan publik membangun kontrol dan prosedur internal untuk kepentingan laporan keuangan tahunan. Seluruh kontrol dan prosedur itu harus terdokumentasi, teruji dan terkelola untuk menjamin keefektifannya. Nah, solusi tersebut, menurut Barrie, mampu mendokumentasikan seluruh proses yang terjadi dalam sistem ini sehingga memudahkan pengauditan. Auditor TI cukup mengakses sistem IdM untuk membuat laporannya.

Selain mematuhi aturan SOX, solusi IdM juga membantu Indosat meningkatkan efisiensi operasionalnya 60%-70%. Tak hanya itu. Dengan adanya IdM, juga membantu Indosat membangun fondasi keamanan TI yang kuat sehingga membuka peluang bisnis baru bagi Indosat. Sebagai contoh, IdM akan menjadi platform untuk mengamankan DompetKu, layanan yang memungkinkan pelanggan Indosat melakukan pembayaran dan transaksi finansial melalui perangkat genggamnya.

Toh, tidak berarti penerapan IdM ini berjalan mulus. Menurut Barrie, kendala utama bersifat nonteknis, yakni mesti menyatukan dan meyakinkan semua unit bisnis dan seluruh SDM, bahwa proyek pengembangan IdM ini sangat penting bagi Indosat. Terutama demi menjaga dan meminimalkan kebocoran informasi dan terjadinya fraud. “Awalnya tidak semua merespons. Maklum, ini kan menyangkut otoritas para atasan. Tetapi, setelah dilakukan sosialisasi dan pelatihan secara intensif, sekarang mereka mendukung,” ungkap Barrie.

Menurut Barrie, tujuan akhir pengembangan IdM agar perusahaan bisa mengontrol aplikasi bisnis data dan informasi Indosat. Hingga saat ini memang belum semua aplikasi enterprise tercakup IdM. Namun, semua aplikasi kritikal yang terkait dengan pendapatan perusahaan sudah tercakup. “Ke depan, rencananya pengembangan single sign on, di mana karyawan sebagai user cukup sekali login untuk bisa akses ke seluruh aplikasi,” kata Barrie.

Manfaat IdM diakui Gamareza R. Gandjar.  Menurut Kepala Grup CS Nasional  Indosat ini, adanya IdM memudahkan pihaknya memonitor mitra kerja (outsourcing partner) yang menyediakan semua staf CS (CS representative) dan agen call centre yang bertugas 24 jam nonstop. “Saat ini, IdM telah digunakan oleh 1.800 petugas call centre dan 800 petugas CSR di Galeri dan Griya di seluruh Indonesia,” ujar Gamareza.

Sistem IdM, lanjut Gamareza, juga sangat membantu dalam hal staffing dan monitoring, yaitu mencatat registrasi dari petugas CS yang dapat akses ke sistem frontliner CS. Pencatatan akses dan semua aktivitas yang dilakukan secara harian berdasarkan tugas dan tanggung jawabnya, seperti peran supervisor, team leader dan staf biasa. Selain itu, secara otomatis sistem akan memberi masa berlaku sesuai dengan perjanjian kerja antara perusahaan mitra outsourcing dengan operator telekomunikasi ini. “Tetapi sistem IdM ini lebih kaku, karena mengacu pada proses bisnis yang sudah disetujui. Untuk itu membutuhkan perencanaan yang matang atas kebijakan dan SOP yang lebih baku, serta periode kontrak dengan mitra kerja yang lebih panjang,” ujar Gamareza mengkritisi.

Tanggapan senada dikemukakan Edy Yuniato, Kadiv Manajemen Outsourcing Indosat. Menurutnya, dengan adanya IdM sudah pasti lebih efisien dari sisi biaya dan waktu. Juga, proses request and terminate untuk akun bisa lebih cepat, akun termonitor, dan sesuai dengan periode kerjanya, serta mengurangi fraud dan akun tak bertuan. “Tapi belum semua aplikasi dan fasilitas dikontrol oleh IdM. Selain itu, ia juga mempersoalkan belum dimungkinkannya proses approval via Internet atau handphone. “Menurut saya, perlu ada kemudahan akses approval IdM, misalnya via Internet, HP atau e-mail,” Edy menyarankan.

Elemen-elemen Identity Management

• Access Control: Kemampuan mengelola akses di berbagai aplikasi dan platform.
• Authentication: Proses di mana seseorang membuktikan jati dirinya sesuai dengan apa yang dia klaim. Otentikasinya bisa menggunakan smart card, biometrik atau digital signature.
• Automatic Provisioning: Pemberian akses aplikasi dan sistem tertentu kepada karyawan, termasuk pembuatan user ID dan password. Bisa pula pengawasan akses terhadap perangkat fisik, seperti ponsel, komputer dan key card.
• Directory: Tempat penyimpanan user ID dan password. Memberi satu tempat agar perusahaan dapat melihat akses sistem di seluruh perusahaan.
• Federated Identity Management: Pemberian akses sistem ke pihak di luar firewall perusahaan, misalnya pemasok dan rekanan outsourcing.
• Single Sign On and Self-Service: Kemampuan melakukan sign on cukup sekali, kemudian mengakses seluruh jaringan perusahaan tanpa perlu mengotentikasi ulang. Juga, me-reset password tanpa bantuan unit help desk TI.