Lima level penilaian CMM

Seringkali saya (atau lebih tepatnya kami di INDOCISC) dihadapkan dengan masalah penilaian, seperti misalnya penilaian tingkat keamanan sebuah sistem. Bagaimana pemberian nilai tersebut? Pertanyaan yang paling gampang adalah apakah kita memberi nilai 0 sampai 10 (atau 100) seperti yang biasa digunakan guru di sekolah? Atau kita beri nilai A, B, C, D, E? Atau Low, Medium, High? Atau bahkan fail / pass saja? Atau bagaimana?

Penilaian dengan menggunakan angka (0 sampai 10 atau 100) memiliki keuntungan bahwa dia bisa memiliki granularity yang tinggi. Kita bisa memberikan angka 75,80 misalnya. Akan tetapi penilaian seperti ini sangat kental subyektivitasnya. Apa dasar anda memberikan 0,80 misalnya? Kalau penilaian yang berbasis soal ujian akan mudah menjawab pertanyaan ini, tapi kalau kita mencoba memberikan nilai keamanan sebuah sistem ternyata lebih sukar. Saya bayangkan ini mirip dengan memberikan nilai dari kesehatan seseorang.

Pemberian nilai A, B, C, D, E juga mengalami masalah kalau kita tidak dapat mendefinisikan acuan untuk A, B, C, D, dan E itu sendiri. Penilaian dengan Low, Medium, High atau pass/fail memiliki granularity yang sangat kasar. Seringkali perusahaan tidak ingin dinilai seperti itu.

Hasil pencarian saya menunjukkan bahwa sekarang sedang digemari penilaian dengan menggunakan lima level. Penilaian cara ini sebetulnya meminjam dari Capability Maturity Model (CMM) yang digunakan untuk menilai kematangan sebuah software house. Ada lima level dalam CMM, yaitu:

1. initial (bahwa proses pengembangan software masih kacau - chaos, bergantung kepada seseorang)
2. repeatable (proses pengembangan sudah ada dan sudah digunakan secara berulang namun belum didefinisikan)
3. defined (proses pengembangan sudah terdefinisi, terdokumentasi)
4. managed (lebih jauh lagi proses pengembangan sudah dipantau, diukur dengan beberapa indikator)
5. optimized (bahkan proses pengembangan sudah dicoba untuk diperbaiki terus)

Nah, metoda peniliaian di atas yang kami gunakan dalam meniliai tingkat keamanan dari sebuah sitem. Tentu saja deskripsinya tidak persis seperti di atas, namun filosofinya hampir sama.

Metoda penilaian seperti CMM ini juga digunakan dalam COBIT (yang banyak digunakan oleh IT Auditor), level kerentanan sistem yang dihasilkan oleh tools Nessus, dan sejumlah metodologi lainnya. Nampaknya angka 5 ini memiliki nuansa khusus. Mungkin itu sebabnya kita memiliki Pancasila? (Lho, apa hubungannya ya?)