Biasanya ketika menentukan dan merancang suatu produk, persyaratan fungsionallah yang mendapat banyak sorotan. Lagi pula, apa yang dapat dilakukan pelanggan atau pengguna dengan produk itulah yang sangat penting. Ini adalah, sampai batas tertentu, fungsionalitas yang orang benar-benar "beli" dan itu adalah fungsionalitas yang memungkinkan mereka untuk mencapai beberapa jenis tujuan, menyelesaikan tugas, atau memecahkan masalah. Anda mungkin membeli mesin cuci karena Anda ingin cara yang mudah untuk mencuci pakaian. Mesin cuci yang tidak menyediakan fungsionalitas itu tidak akan laku sama sekali!
Namun seringkali fungsionalitas menjadi komoditas, dan elemen non-fungsional bertindak sebagai pembeda. Saya bukan ahli, tetapi sebagai konsumen, menurut saya sebagian besar mesin cuci memenuhi fungsi yang hampir sama. Beberapa memiliki lebih banyak program daripada yang lain, tetapi saya akan jujur, di rumah kami, kami hanya menggunakan sekitar dua dari mereka. Dan ketika saya akan mencuci, saya memilih salah satu secara acak. Jadi keputusan mesin cuci mana yang akhirnya akan dibeli didasarkan pada kombinasi harga tetapi juga penampilan dan kualitas.Jika fungsinya secara umum sama, maka saya mungkin membeli yang terlihat paling baik dan cocok dengan peralatan lain di rumah. Atau, saya mungkin membeli yang memiliki garansi lebih lama (yang berarti pabrikan lebih yakin dengan kualitasnya).
Aspek-aspek ini (keandalan, tampilan & nuansa) adalah contoh dari dua aspek non-fungsional produk dan mereka sangat penting. Kadang-kadang dianggap bahwa aspek non-fungsional (dan oleh karena itu Persyaratan Non-Fungsional) hanya relevan untuk solusi atau produk otomatis atau teknis, tetapi pada kenyataannya, aspek tersebut relevan untuk hampir semua jenis solusi—bahkan jika solusi itu sepenuhnya manual. Mari kita ambil satu contoh spesifik: Keamanan.
Keamanan Proses Manual
Kategori NFR lain yang terkenal adalah keamanan. Jika kami memperluas kategori ini, kemungkinan besar kami akan menyimpulkan bahwa sebagian besar mengacu pada keamanan informasi. Antara lain, adalah penting bahwa kekayaan intelektual organisasi tidak 'bocor' dan bahwa perusahaan tidak secara tidak sengaja mengungkapkan informasi rahasia kepada sumber yang tidak sah.
Memang benar, ada fokus pada pengerasan sistem komputer untuk membuatnya sesulit mungkin untuk diretas. Namun, seberapa sering keamanan proses manual dipertimbangkan? Seberapa sering staf dilatih tentang 'rekayasa sosial, di mana penipu mencoba mendapatkan informasi sensitif dengan penipuan? Jawabannya mungkin “hampir tidak cukup”.
Ini mungkin terdengar agak abstrak, jadi mari kita periksa contoh hipotetisnya. Pikirkan kembali saat terakhir Anda menelepon penyedia layanan untuk mengajukan pertanyaan atau membuat perubahan. Anda mungkin harus "menghapus keamanan" dengan menjawab banyak pertanyaan berbeda. Jika Anda ingin melihat informasi tentang akun yang Anda pegang secara online, Anda mungkin memiliki serangkaian kata sandi untuk dimasukkan. Tapi, bagaimana jika Anda memasukkan surat melalui pos. Apakah proses yang sama akan berlaku, atau apakah permintaan akan 'ditindaklanjuti'? Di beberapa organisasi, permintaan yang datang melalui surat secara rutin ditindaklanjuti tanpa banyak pengawasan. Kadang-kadang alasan yang dikemukakan untuk ini adalah bahwa “sebuah surat berisi tanda tangan, jadi itu disahkan”. Untuk itu saya akan bertanya “apakah Anda membandingkannya dengan sampel tanda tangan klien? Jika tidak , bagaimana menyediakannya ?jenis otentikasi?”.
Ini bisa menjadi celah pertama di baju besi. Seorang insinyur sosial yang cerdas mungkin mengubah alamat yang terkait dengan catatan pelanggan, mungkin ke kotak surat sewaan anonim. Mereka kemudian dapat mengumpulkan pernyataan, yang dapat mereka gunakan sebagai bukti identitas. Mereka bahkan mungkin mengumpulkan informasi tentang jenis akun lain yang dimiliki orang tersebut. Lebih baik lagi, setelah beberapa minggu, mereka dapat mengubah alamat kembali sehingga target tidak pernah tahu bahwa mereka 'diretas'. Namun 'peretasan' ini terjadi tanpa gangguan TI apa pun—'peretas' hanya menulis dan bertanya!
Kesimpulan: NFR tidak hanya untuk IT!
Jadi, semoga, saya meyakinkan Anda bahwa keamanan tidak hanya berlaku untuk TI. Bagaimana dengan kategori NFR lainnya? Mereka biasanya sama relevannya, elemen seperti kinerja, cadangan, pemulihan bencana… tidak masalah jika solusi Anda sepenuhnya manual , Anda masih perlu memikirkan apa yang akan terjadi jika sesuatu yang tidak terduga terjadi. Panduan Badan Pengetahuan Analisis Bisnis IIBA ( BABOK® ) menyarankan 15 kategori umum NFR (lihat BABOK® bagian 10.30 ), dan ini adalah puncak gunung es, biasanya masuk akal untuk memperluasnya berdasarkan keadaan individu. Biasanya, banyak dari ini relevan terlepas dari jenis solusi. Kami mengabaikan NFR dengan risiko kami!
24 Februari 2022
Dilanser oleh Adrian Reed
Ditulis oleh Marlen Lg
