bab 3 gambaran umum perusahaan 3.1 sekilas …thesis.binus.ac.id/doc/bab3/2011-1-00415-ka 3.pdf ·...
TRANSCRIPT
70
BAB 3
GAMBARAN UMUM PERUSAHAAN
3.1 Sekilas Mengenai PT Mazda Motor Indonesia
PT Mazda Motor Indonesia merupakan distributor resmi dari Mazda Motor
Corporation. PT Mazda Motor Indonesia telah berdiri sejak tahun 2006 dan dikepalai
oleh Yoshiya Horigome selaku Presiden direktur PT Mazda Motor Indonesia. Sekarang
telah ada 20 dealer resmi yang telah tersebar di beberapa kota besar di Indonesia seperti
Jakarta, Jawa timur, Palembang, Pekanbaru, Banjarmasin, Balikpapan, Samarinda,
Makasar, Bali dan Medan. PT Mazda Motor Indonesia sedang terus mengembangkan
jaringan distribusi di Indonesia.
Mazda Motor Corporation yang terdapat di Jepang merupakan orang tua dari PT
Mazda Motor Indonesia telah berdiri sejak Januari 1920, Mazda pertama kali
meluncurkan mobil berpenumpang pada tahun 1960 dan memulai pengembangan rotary
engine. Mazda telah lebih dari 40 tahun mengekspor mobil ke penjuru dunia, berkantor
pusat di daerah barat Jepang yaitu Hiroshima, Mazda Motor Corporation menjadi salah
satu perusahaan otomotif terdepan di Jepang.
PT Mazda Motor Indonesia terletak di gedung Standard Chartered lantai 17,
Jalan Prof. Satrio, Jakarta Selatan. Di dalamnya, perseroan terbatas ini didukung oleh
tiga puluh lima sumber daya manusia yang berkompeten di bidangnya masing-masing.
Sehari-hari, mereka mengurusi kegiatan bisnis PT Mazda Motor Indonesia (MMI) yang
meliputi kegiatan pemesanan, penerimaan, dan penjualan barang. Kegiatan seperti
pameran pun untuk beberapa kali dilakukan agar dapat meningkatkan penjualan. Selain
71
itu PT MMI juga sibuk melakukan ekspansi dengan menambah jumlah dealernya di
Indonesia agar dapat menjangkau permintaan di berbagai daerah di Indonesia.
PT MMI sebagai perwakilan utama Mazda Corporation, membawahi dealer-
dealer yang terdapat di Indonesia. Hubungan antara PT MMI dengan dealer adalah PT
MMI sebagai penghubung antara dealer dengan Mazda Corporation. Segala bentuk
pemesananan unit dari dealer akan dikumpulkan untuk kemudian dipesan ke Mazda
Corporation di Jepang dan nantinya unit yang sudah jadi akan didistribusikan dari
Mazda Corporation ke dealer oleh PT MMI. Proses pemesanan dari dealer ke PT MMI
menggunakan email yang di dalamnya disertakan form dealer order, nantinya PT MMI
akan mengecek kemudian mengirimkan email yang berisi pesanan dari dealer – dealer
yang dilampirkan form dealer order tersebut ke Mazda Corporation di Jepang.
Kemudian Mazda Corporation Jepang akan mengirimkan unit ke Indonesia dan unit
tersebut akan disalurkan ke dealer oleh PT MMI. Dealer akan membayar sesuai dengan
jumlah pesanan ke PT MMI, kemudian PT MMI akan membayar ke Mazda Corporation
di Jepang. Dalam hal ini berarti PT MMI hanya sebagai distributor dan Mazda
Corporation adalah sebagai pihak yang melakukan produksi dan perakitan unit.
Di dalam melakukan pemesanan dari dealer ke PT MMI dan sebaliknya,
komunikasi dilakukan melalui email dan dokumen sales order karena PT MMI belum
mempunyai web server yang mendukung komunikasi dua arah tersebut Hal ini
disebabkan karena keterbatasan sumber daya manusia di bidang teknologi informasi,
yakni hanya terdapat satu orang personil di bidang ini, yang mempunyai jabatan manajer
teknologi informasi dan bertugas menangani semua hal yang berhubungan dengan
teknologi informasi PT MMI.
72
3.2 Visi dan Misi PT Mazda Motor Indonesia
Visi PT MMI yaitu menciptakan nilai baru dalam berkendaraan, menggairahkan, dan
menyenangkan pelanggan kami melalui produk otomotif dan layanan terbaik.
Sedangkan misi PT MMI adalah dengan semangat, kebanggaan dan kecepatan, kami
secara aktif berkomunikasi dengan pelanggan kami untuk memberikan produk otomotif
berwawasan dan jasa yang melebihi harapan mereka
PT. MAZDA MOTOR ORGANIZATIO N C HART
Gam bar 3.1 Strukt ur Organisasi PT Mazda Motor Indonesia (2010)
P re sid e nt Di recto r
S ec re ta ry
S a les G M Finance Directo r
B ra nd M anager
Sa les M anage r
Logistic Manager
Acco u ntin g & Tax
M anage rIT Manage r HR
Manage rCS O
Manager
S taff S taff S taff Sta ffSta ff S ta ff
74
3.4 Tugas dan Tanggung Jawab
1. President Director
Tugas dan tanggung jawab dari presiden direktur adalah :
• Menentukan tujuan dan strategi perusahaan.
• Memiliki kewenangan penuh pada setiap pengambilan keputusan.
• Mengevaluasi setiap laporan-laporan yang dihasilkan dari kegiatan
operasional.
• Bertanggung jawab secara menyeluruh atas perusahaan.
2. Finance Director
Tugas dan tanggung jawab dari Finance director adalah
• Mengatur akan kebijakan finansial perusahaan.
• Mengepalai divisi Accounting and Tax serta divisi Human resources.
• Mempertanggung jawabkan laporan keuangan kepada President Director
3. Sales General Manager
Tugas dan tanggung jawab dari Sales General Manager adalah
• Mengepalai divisi Pemasaran (Brand), divisi Penjualan (Sales), dan Divisi
Logistic.
• Mengawasi Brand manager, Sales Manager, dan Logistic Manager sesuai
dengan kebijakan dan tujuan yang terbentuk dalam perusahaan.
• Mengkoordinasikan divisi pemasaran, penjualan dan logistik.
4. Brand Manager
Tugas dan tanggung jawab dari Brand Manager adalah
• Bertanggung jawab terhadap perencanaan setiap acara yang akan dilakukan.
75
• Bertanggung jawab terhadap promosi unit baru.
• Membuat anggaran untuk promosi dan acara tahunan.
• Menganalisa dan melaporkan pencapaian target.
5. Sales Manager
Tugas dan tanggung jawab dari Sales manager adalah :
• Merencanakan dan mengawasi kegiatan penjualan.
• Menentukan strategi penjualan .
• Melaporkan laporan penjualan setiap bulannya.
6. Logistic Manager
Tugas dan tanggung jawab dari logistic manager adalah :
• Bertanggung jawab pada pengadaan unit yang di pesan.
• Bertanggung jawab terhadap unit yang masuk dan keluar ke gudang.
• Melaporkan laporan pemesanan unit baru.
7. Accounting and Tax Manager
Tugas dan tanggung jawab dari Accounting dan Tax Manager adalah :
• Membuat laporan keuangan perusahaan.
• Membuat laporan pajak perusahaan.
• Menjalankan seluruh kebijakan accounting dan tax.
8. HRD Manager
Tugas dan tanggung jawab HRD Manager adalah :
• Bertanggug jawab terhadap perekrutan karyawan.
• Bertanggung jawab terhadap informasi mengenai karyawan .
76
• Menghubungkan peraturan, informasi dan kebijakan yang ada antara
perusahaan dan karyawan.
9. CSO Manager
Tugas dan tanggung jawab CSO Manager adalah
• Bertanggung jawab terhadap layanan purna jual pada pelanggan (Dealer).
• Bertanggung jawab terhadap layanan spare part pada pelanggan.
10. IT Manager
Tugas dan tanggung jawab IT Manager adalah
• Bertanggung jawab atas keselurahan teknologi informasi dalam perusahaan.
• Bertanggung jawab dalam pengembangan TI perusahaan.
• Menjaga dan Memelihari aset TI perusahaan.
• Menjaga keamanan server serta database.
3.5 Proses Bisnis yang sedang berjalan pada PT Mazda Motor Indonesia
Permintaan pembelian persediaan dimulai ketika Mazda Motor Indonesia (MMI)
menerima form dealer order dari dealer-dealer mereka di Indonesia dan atau kuantitas di
gudang MMI mencapai safety stock. Safety stock adalah istilah yang digunakan oleh
logistik untuk menggambarkan tingkat stok ekstra yang dipertahankan untuk
mengurangi risiko stockouts (kekurangan bahan baku atau kemasan) karena
ketidakpastian pasokan dan permintan (Sumber:
http://en.wikipedia.org/wiki/Safety_stock - diakses tanggal 8 Oktober 2010). Form
dealer order yang sudah diotorisasi oleh pejabat berwenang dikirim dari dealer via email
lalu diterima oleh bagian penjualan MMI. Bagian penjualan MMI akan langsung
77
mengirimkan order pembelian unit via email yang di dalamnya dilampirkan file dari
dealer order tersebut. Jangka waktu yang diperlukan sejak Mazda Jepang menerima
order dari MMI hingga barang yang dipesan sampai ke Indonesia adalah tiga bulan. Di
mana selama tiga bulan Mazda Jepang melakukan kegiatan operasional seperti
perakitan, pengecatan, dan kegiatan produksi lainnya. Apabila ada spesifikasi yang tidak
bisa terpenuhi sesuai dengan order maka Mazda Jepang akan memberitahukan MMI
tentang hal tersebut. Tentunya hal ini akan mempengaruhi jumlah barang yang akan
diterima MMI. Setelah proses produksi selesai maka barang yang dipesan dikirimkan
dengan menggunakan kapal laut. Mazda Jepang akan menerima dokumen Waybill/Bill of
Lading (B/L) sebagai bukti bahwa barang sudah dikapalkan. Lalu Mazda Jepang akan
mengirimkan dokumen berupa Waybill/Bill of Lading (B/L), invoice, packing list ke
MMI via DHL sebagai penyedia jasa kurir.
Dalam melakukan pengiriman, kapal akan transit di Thailand baru setelahnya
kapal akan menuju Jakarta. Sesampainya di Jakarta, barang akan diterima oleh pihak
PELINDO (Pelabuhan Indonesia) untuk selanjutnya didistribusikan ke gudang-gudang
yang kosong untuk ditaruh sementara. Gudang ini dikelola oleh pihak swasta. Dalam hal
ini, pihak swasta tersebut adalah PT ECL. Setelah barang masuk ke gudang PT ECL,
dibuat berita acara pemeriksaan (BAP) sesuai dengan kondisi barang yang diterima.
Disamping itu, MMI juga telah menerima dokumen dari Mazda Jepang yang dikirim
tadi. Berdasarkan invoice, MMI melakukan perhitungan terhadap Cost and Freight
(CnF) dan Pajak Impor Barang (PIB). Untuk masalah kepabeanan, MMI telah
menunjuk PPJK atau Pengusaha Pada Jasa Kepabeanan yaitu PT. Puninar. PT Puninar
akan melakukan pengurusan Pajak Impor Barang (PIB). Lalu kurir dari Puninar akan
mengambil dokumen yang berisi CnF dan PIB tersebut. Kemudian Puninar akan
78
memasukkan data CnF dan PIB ke modul yang ada di dalam Electronic Data
Interchange (EDI). Cost adalah harga unit ditambah biaya-biaya yang diperlukan untuk
mengangkut unit dari Jepang sampai Thailand dan Freight adalah biaya angkut dari
Thailand sampai Jakarta. Data CnF dan PIB yang telah diolah, dikirimkan softcopy dan
hardcopynya ke bank devisa (City Bank). Di sisi lain, bagian logistik MMI akan
mengajukan dana ke bagian finance untuk menyetorkan PIB ke kas Negara lewat bank
devisa. Bagian finance melakukan pengecekan terhadap perhitungan PIB yang didapat
dari CnF. Setelah sesuai dan dianggap layak untuk dibayar, bagian finance MMI akan
mengeluarkan dokumen perintah pembayaran PIB, yang di dalamnya terdapat rincian
CnF, ke negara kepada bank devisa. Bank devisa akan mencocokkan perintah
pembayaran dari MMI dengan hardcopy dan softcopy dari Puninar. Jika telah sesuai
maka bank devisa akan menarik sejumlah uang sesuai yang tertera pada perintah MMI
dan hardcopy serta softcopy dari Puninar dari akun Mazda di bank devisa. Bank devisa
selanjutnya akan memberikan stempel pada hardcopy dari Puninar sebagai bukti bahwa
uang telah dibayarkan. Hardcopy tersebut akan diambil oleh kurir puninar untuk
diberikan kepada bea cukai. Softcopy dikirimkan juga oleh Puninar dengan
menggunakan EDI ke bea cukai. Bea cukai akan melakukan pemeriksaan terhadap
hardcopy yang sudah distempel bank devisa dengan softcopy dari puninar. Jika sesuai,
maka akan dilakukan cek fisik barang yang tiba di pelabuhan oleh petugas bea cukai di
lapangan dan diawasi oleh Puninar. Setelah itu dibuat laporan hasil cek fisik dan
diberikan kepada kepala bea cukai. Lalu kepala bea cukai menggunakan softcopy PIB
dan mencocokkannya dengan hasil laporan cek fisik. Setelah semuanya sesuai
dikeluarkanlah Surat Perintah Pengeluaran Barang (SPPB) untuk mengeluarkan barang
dari area pelabuhan. SPPB dibawa Puninar ke Gudang ECL lalu SPPB diterima petugas
79
pintu gudang ECL dan dilakukan pembayaran sewa gudang oleh Puninar. Barang yang
tertera di dalam SPPB sudah bisa dikeluarkan dan dibawa oleh Puninar ke gudang
Puninar. MMI menyewa gudang kepada Puninar. Setelah barang sampai di gudang
Puninar dibuat BAP mengenai kondisi barang terakhir. Barang dimasukkan ke gudang
oleh karyawan Puninar dan Puninar menghubungi pihak MMI bahwa barang sudah
masuk sejumlah yang tertera pada SPPB. Copy SPPB dan BAP dikirim ke MMI sebagai
bukti bahwa barang telah masuk ke gudang.
Barang yang akan dikeluarkan untuk kegiatan pameran, permintaan barang
keluar dilakukan oleh bagian marketing. Apabila bagian logistik setuju, maka Release
Letter akan dibuat untuk tanda keluar barang. Release Letter diotorisasi oleh bagian
sales dengan seijin Dewan Direksi. Release Letter dikirim ke gudang dan setelah
Release Letter dicek, barang dikeluarkan dari gudang oleh pihak Puninar. Setelah
pameran selesai, barang akan dikembalikan ke gudang, lalu pihak Puninar akan
menghubungi bagian logistik MMI untuk pemberitahuan bahwa unit telah dikembalikan
dan masuk ke gudang.
Untuk pembayaran dari MMI ke Mazda Jepang, term of paymentnya adalah tiga
bulan dari tanggal kapal berangkat dan jumlah yang dibayar sesuai dengan invoice yang
MMI terima. Lima hari sebelum jatuh tempo, MMI sudah harus mempersiapkan
pembayaran dengan membuat Approval Sheet dan surat perintah ke Bank untuk
pemotongan / pembayaran ke Jepang sebesar nilai yng tertera pada invoice. Pembayaran
dilakukan oleh Finance Dept.
Barang yang telah dipesan oleh dealer bisa diambil setelah pihak dealer
melakukan pembayaran. Sales departemen MMI akan membuat Conditional Sales
Invoice (CSI). CSI dikirim ke dealer, lalu pihak dealer akan melakukan pembayaran
80
melalui transfer berdasarkan jumlah yang tertera di CSI. Setelah transfer, bukti
pembayaran di-fax ke MMI. Pihak MMI akan mengecek apakah jumlah yang
dibayarkan sesuai dengan jumlah yang tertera pada CSI. Jika sesuai MMI akan
mengeluarkan Packing List kepada Puninar dan dealer sebagai bukti untuk pengeluaran
barang yang telah di pesan. Saat hari pengambilan, dealer akan membawa Packing List
yang telah diotorisasi Presiden Direktur dan menyerahkannya kepada Puninar. Pihak
Puninar akan mencocokan Packing List yang dibawa dealer dengan yang dipegang
Puninar. Jika sesuai maka unit dapat dikeluarkan dari gudang dan dibawa ke dealer.
Pihak Puninar akan membuat Vehicle Pick Up Daily Report yang berisi tentang jumlah
barang keluar dari gudang. Dokumen tersebut dikirimkan via email pada keesokkan
harinya ke MMI sebagai laporan barang keluar. Lalu berdasarkan dokumen tersebut
bagian Sales akan mengurangi jumlah persediaan di komputer.
81
3.6 Rich Picture Proses Bisnis
Gambar 3.2 Rich picture proses bisnis PT Mazda Motor Indonesia 3.7 Kebijakan Keamanan PT Mazda Motor Indonesia
Kebijakan keamanan yang diterapkan pada PT Mazda Motor Indonesia yaitu,
1. Untuk mengakses komputer pada PT Mazda tidak semua orang bisa melakukannya.
Hanya mereka yang terotorisasi saja yang bisa melakukannya. Mereka diberikan user
ID dan password yang hanya diketahui oleh masing-masing dari mereka saja. User
ID dan password ini digunakan untuk mengakses Windows dan SAP. Jadi ada 2
Pihak perwakilan
Puninar
1. Permohonan pembelian uni t + form pembelian
2. Permohonan pengiriman uni t-unit beserta form pembelian
3. Bill of leading, i nvoice, packing list
4. Mendata unit-uni t
yang tel ah
dipesan
5. notice arrival +
copy of B/L
6. Update status
uni t-unit yang di pesan telah
diterima
7.Pembayaran pajak dan pembebasan unit
8. copy invoi ce untuk
pengecekan barang
9.Pengecekan unit berdasarkan
invoice
10.SP2 TILA (surat jalan)
11. shipping unit ke warehouse
12.Surat penerimaan
barang
13.Permohonan Packing list
14.Packing list
15.Pengambilan uni t +
packing l ist
16. Surat jalan
18. Uni t keluar dari warehouse
17.Perintah pengeluaran unit
19. Pemberi tahuan pengeluaran unit +
surat-surat
20. Mendata si sa unit
ECL gudang
PELINDOGudang Puninar
+
PT MMI
PT Mazda Motor Jepang
Dealer
PELINDO
Shipping Company
21. Pembayaran unit-unit yang dipesan
22. Pembayaran unit-unit yang dipesan
82
pasang user ID dan password dengan peruntukan yang berbeda, yang pertama untuk
melakukan login pada windows dan yang kedua untuk melakukan login pada SAP.
2. Password untuk login windows diubah setiap tiga bulan sekali sedangkan untuk
password login SAP diubah setiap dua bulan sekali. Format password untuk login
windows terdiri dari enam huruf, satu angka, dan satu simbol.
3. Terdapat alarm yang menggunakan sensor gerak. Alarm ini diaktifkan setelah jam
pulang kantor. Bila sensor mendeteksi terdapat gerak dalam ruangan maka alarm
akan berbunyi dan mengirimkan sinyal kepada vendor penyedia alarm tersebut.
4. Ada backup terhadap data di komputer user dan di backup server. Backup data
dibagi menjadi tiga yaitu daily backup (backup yang dilakukan harian), weekly
backup (backup yang dilakukan mingguan), dan monthly backup (backup yang
dilakukan bulanan).
5. Informasi yang ada dan dapat diakses oleh pengguna terotorisasi adalah menjadi
tanggung jawab pengguna tersebut dan tidak boleh disebarkan kepada pihak
manapun.
6. Ada training terhadap user mengenai SAP.
7. Harddisk yang ada di komputer / notebook PT MMI juga diproteksi dengan
menggunakan enkripsi. Enkripsi dilakukan saat pengadaan TI selesai dilakukan (saat
komputer / notebook tersebut resmi menjadi milik PT MMI). Jika harddisk yang ada
di komputer / notebook ingin dipindahkan ke media lain di luar milik PT MMI maka
data tersebut tidak akan bisa terbaca dan harus didekripsi dulu dengan menggunakan
software yang hanya dipegang oleh bagian TI PT MMI sehingga risiko pencurian
data dapat dicegah.
83
8. PT MMI menggunakan firewall yang berfungsi untuk mencegah “serangan” dari luar
masuk ke sistem PT MMI.
9. Sistem operasi (Operating System) yang digunakan adalah Windows XP dan
antivirus yang dipakai yaitu McAfee. Kedua-duanya terupdate secara baik.
10. UPS (Uninterruptible power supply) terpasang pada database server, file server, dan
backup server, dan beberapa komputer user terutama yang membutuhkan dukungan
energi listrik saat mati listrik (misalnya bagian yang melakukan input data). Dengan
adanya UPS maka kegiatan operasional dapat dilanjutkan untuk sementara dan
komputer maupun server bisa dimatikan secara aman.
11. Untuk akses ke ruangan, semua user bisa masuk ke dalam ruang komputer. Semua
divisi bekerja dalam sebuah ruangan luas dan disekat satu sama lain. Sedangkan
untuk server, ditempatkan di ruang terpisah. Ruang untuk masuk ke dalam tempat di
mana server ditempatkan terkunci dan rak untuk menaruh server pun terkunci.
Ruangan server bersih dari debu, jauh dari interfere, dan terdapat alat pemadam api
ringan di dalamnya. Ruangan server hanya bisa diakses oleh bagian TI dan presiden
direktur PT MMI. Dalam ruangan server menggunakan AC (Air Conditioner) dan
diatur agar suhu dalam ruangan delapan belas derajat celcius selain itu saat
memasuki ruangan server diwajibkan untuk membuka alas kaki namun kaos kaki
masih diperbolehkan.
12. Bagian TI menggunakan active directory yaitu layanan yang dalam hal ini digunakan
untuk melakukan pembatasan terhadap informasi-informasi yang bisa diakses untuk
masing-masing divisi. Jadi suatu divisi hanya dapat melihat, merubah, menghapus
data-data yang terkait dengan pekerjaan divisi tersebut dan tidak dapat melihat data
dari divisi lain.
84
13. Setiap pengguna yang terotorisasi boleh menginstall program yang berhubungan
dengan pekerjaan namun sebelumnya harus izin terlebih dahulu kepada bagian TI
MMI. Ada pembatasan di komputer MMI untuk menginstall program. Privilege
pengguna dibatasi oleh bagian TI. Untuk instalasi di komputer client dibutuhkan
access right “Admin” dan hal ini juga membutuhkan password administrator.
3.8 Topologi Jaringan pada PT Mazda Motor Indonesia
Gambar 3.3 Topologi Jaringan PT Mazda Motor Indonesia Jaringan merupakan interkoneksi antara dua atau lebih komputer dengan media
transmisi kabel atau nirkabel. Jaringan yang digunakan pada PT Mazda Motor Indonesia
adalah LAN (Local Area network). LAN digunakan untuk menghubungkan transaksi
antar client dan client ke database. Topologi yang digunakan pada PT MMI adalah BUS,
yang merupakan sebuah arsitektur jaringan yang terdiri dari sekumpulan klien yang
DB-Server File Server
Backup Server
Network
SWITCHEX2200-24
FirewallSSL VPNSA 2500
FirewallSSG 320M-SH
ISP
ROUTER
85
terhubung dalam suatu jaringan komunikasi yang saling berbagi. Komputer-komputer
client terhubung ke sebuah switch. Switch merupakan alat yang menghubungkan
beberapa device untuk membentuk suatu LAN. PT Mazda Motor Indonesia
menggunakan Cisco Switch. Pada PT MMI juga terdapat router yang menghubungkan
PT MMI dengan ISP. Router adalah suatu alat yang berfungsi sebagai penghubung
antara 2 jaringan atau lebih untuk meneruskan data dari satu jaringan ke jaringan
lainnya, router mengirimkan paket data melalui sebuah jaringan atau internet menuju
tujuannya. PT Mazda Motor Indonesia menggunakan Cisco Router 2811, with HW1C-
2FE.
3.9 Informasi Perusahaan
Aset-aset teknologi informasi
Berikut ini merupakan aset-aset teknologi informasi yang terdapat pada PT Mazda
Motor Indonesia.
1. Sistem
a. Laptop
Laptop merupakan suatu PC (Personal Computer) yang didesain untuk penggunaan
mobile (yang bersifat dapat dibawa atau dipindahkan dengan mudah). Laptop yang
digunakan pada PT Mazda Motor Indonesia adalah Lenovo ThinkPad X200 dengan
processor Intel Core 2 Duo P8700 (2.53Ghz), RAM 2GB, platform menggunakan
windows XP, terdapat 35 client di PT Mazda Motor Indonesia yang menggunakan
jenis laptop ini.
b. Database Server
86
Database server adalah tempat penyimpanan seluruh data dan transaksi yang ada di
perusahaan. Database yang digunakan pada PT Mazda Motor Indonesia yaitu
menggunakan SQL 2005. Spesifikasi PC yang digunakan pada database server di
PT Mazda Motor Indonesia adalah IBM X3650, Processor Xeon E5550, RAM 4GB,
dan Harddisk SAS Sata 146GB x 2.
c. File Server dan Backup Server
File Server merupakan tempat pertukaran dan penyimpanan data sementara
sedangkan backup server merupakan tempat penyimpanan cadangan data untuk
berjaga-jaga bila terjadi kehilangan data-data penting. PT Mazda Motor Indonesia
menggunakan Windows 2003 sebagai server untuk file server dan backup server.
Spesifikasi PC yang digunakan pada file server dan backup server di PT Mazda
Motor Indonesia adalah IBM X3650, Processor Xeon E5550, RAM 4GB, Harddisk
SAS Sata 146GB x 2.
d. SAP
SAP merupakan suatu perangkat lunak yang mengintegrasikan berbagai fungsi yang
ada di dalam perusahaan. PT MMI menggunakan SAP untuk membantu
perusahaannya dalam melakukan bisnis yang kian hari kian kompleks dan
membutuhkan keamanan, transparansi, serta integrasi. Modul SAP yang digunakan
pada PT MMI adalah Material Management, Sales and Distribution, Financial and
Controling, Human Capital Management, Product Planning.
2. Informasi
Data-data yang dibutuhkan PT Mazda Motor Indonesia dalam menjalankan proses
bisnisnya adalah sebagai berikut.
87
a. Data Penjualan
b. Data Pembelian
c. Data Keuangan
d. Data Dealer
e. Data Persediaan
f. Data Unit
g. Data Perkembangan kompetitor
3. Aplikasi dan layanan
a. Email
E-mail merupakan sarana kirim mengirim surat melalui jaringan komputer (misalnya
internet). Berkaitan dengan email, PT MMI menggunakan domain sendiri untuk
seluruh karyawannya.
b. Antivirus
PT Mazda Motor Indonesia menggunakan antivirus McAfee sebagai aplikasi
pertahanan terhadap serangan virus.
c. Internet
Internet adalah jaringan global komputer dunia yang luas dan besar di mana setiap
komputer saling terhubung satu sama lainnya di seluruh dunia. ISP pada PT Mazda
Motor Indonesia adalah CBN dengan koneksi 1 Mbps dan kuota unlimited.
d. Ms. Office
e. SQL 2005
f. Adobe Reader
g. Internet explorer dan Firefox
h. Winzip dan WinRar
88
4. Sumber daya manusia
Pada PT Mazda Motor Indonesia hanya ada satu orang yang berada di departemen
teknologi informasi, yang merangkap sebagai manager teknologi informasi, IT
support, pengelola database, dan programmer.
5. Skill
Keahlian yang dimiliki oleh manager teknologi informasi yaitu mempunyai skill
secara menyeluruh terkait teknologi informasi, melakukan install program, hardware
atau software support (Trouble-shooting), networking, dan pengelolaan database.
6. Hardware lainnya yang mendukung
a. UPS (Uninterruptable Power supply) merupakan suatu alat listrik yang
menyediakan listrik darurat ketika terjadi mati listrik, UPS berguna untuk tetap
menjaga ketersediaan listrik sementara disaat listrik tiba-tiba mati demi
menghindari hilangnya data-data yang belum tersimpan dan untuk menjaga agar
komponen-komponen hardware tidak cepat rusak karena daya listrik hilang
secara mendadak. PT MMI menggunakan UPS untuk semua server dan beberapa
komputer user.
b. Scanner merupakan alat untuk memindai suatu objek (data tulisan, gambar) ke
dalam bentuk digital. PT Mazda Motor Indonesia menggunakan KONICA
BizHub 250 untuk scanner, alat ini juga dapat melakukan fotokopi dan dapat
berguna juga sebagai printer.
c. Printer merupakan alat yang menampilkan data dalam bentuk cetakan, baik
berupa teks maupun gambar/grafik, di atas kertas. Printer yang di gunakan pada
PT Mazda Motor Indonesia adalah HP Laserjet 5100 dan Canon LBP 350.
89
d. Fax adalah suatu alat komunikasi yang digunakan untuk mengirim atau
menerima data dan terhubung dengan saluran telepon.
3.10 Penerapan Metode FRAP yang Dimodifikasi pada penelitian di PT MMI
Dalam melakukan analisis terhadap risiko di PT MMI, penulis menggunakan
metode FRAP yang telah dimodifikasi. FRAP yang dimodifikasi adalah metode FRAP
yang dari keempat tahapan tersebut ada satu atau beberapa sub tahapan yang
dimodifikasi karena keterbatasan personnel ataupun waktu serta keadaan lingkungan
perusahaan yang tidak memungkinkan. Agar lebih jelasnya, berikut ini adalah tahapan
FRAP yang telah dimodifikasi yang dilakukan penulis di PT MMI.
1. Rapat dalam tahap pre-FRAP kurang lebih dilakukan selama sejam dan melibatkan
manajer logistik, manajer TI, dan penulis yang terdiri dari tiga orang sebagai
fasilitator.
Di dalam tahapan ini terdapat 5 komponen utama yaitu :
a. Scope Statement
Penelitian yang dilakukan penulis merupakan penelitian yang digunakan untuk
mendukung pembuatan skripsi maka scope statementnya menyesuaikan dengan
ruang lingkup pada skripsi penulis yaitu hanya membahas mengenai hardware,
software, dan jaringan yang digunakan pada PT Mazda Motor Indonesia.
b. Visual Model
Dibutuhkan suatu model visual dalam bentuk diagram yang menggambarkan proses
yang akan direview. Penulis akan membuat model visual ini lalu dikomunikasikan
kepada PT MMI.
c. Menentukan Team FRAP
90
Anggota team terdiri dari lima orang dan mewakili bidangnya masing-masing.
Pihak Mazda yang terlibat adalah manajer logistik dan manajer TI. Sedangkan dari
pihak penulis yang terlibat sebanyak tiga orang. Satu orang berperan sebagai kepala
proyek dan fasilitator. Satu orang sebagai juru tulis dan fasilitator. Satu orang lagi
berperan sebagai fasilitator saja.
d. Konsultasi jadwal dengan pihak Mazda
Project leader berkonsultasi dengan pihak Mazda untuk membuat jadwal bertemu
untuk melakukan brainstorming dan wawancara.
e. Agreement on definitions
Persetujuan mengenai definisi-definisi yang dipakai selama analisis, mencakup
definisi integritas, kerahasiaan, dan ketersediaan. Penting juga menetapkan
persetujuan mengenai :
-Risiko
-Control
-Impact
-Vulnerability
- Distribusi
- Logistik
2. Sesi FRAP dilakukan selama kurang lebih dua jam dan melibatkan tim FRAP yaitu
manajer TI, manajer logistik, dan tiga orang fasilitator.
Di dalam FRAP yang dimodifikasi, pada tahap ini pertemuan hanya dilakukan
dengan dua manajer bisnis karena kesibukan, waktu, dan lingkungan perusahaan
yang tidak memungkinkan untuk mengumpulkan kesemua manajer bisnis yang
91
mewakili bidangnya masing – masing. Pertemuan dengan manajer bisnis lainnya
dilakukan secara terjadwal dan bergantian. Di PT MMI hanya terdapat satu orang
yang berada di divisi TI dan ia mempunyai tugas rangkap sebagai manajer sekaligus
staff TI.
Fase 1 – Logistik – Selama fase ini, tim FRAP akan memperkenalkan diri,
memberikan nama, jabatan, departemen, dan nomor telepon (semuanya ini akan
dicatat oleh juru tulis). Peran tim FRAP akan diidentifikasi dan dibahas. Ada lima
peran:
a. Pemilik Risiko
b. Kepala Proyek.
c. Fasilitator
d. Juru tulis
e. Anggota tim, dalam hal ini semua yang terlibat menjadi anggota FRAP
Selama fase awal ini, tim FRAP akan diberikan gambaran proses di mana
mereka akan terlibat. Mereka juga akan dihadapkan pada pernyataan ruang lingkup,
dan kemudian kepala proyek akan memberikan gambaran lima menit dari proses
yang sedang ditinjau (model visual). Akhirnya, definisi akan ditinjau dan masing-
masing anggota diberikan sebuah salinan dari definisi.
Fase 2 - Setelah pendahuluan selesai, tim FRAP akan memulai proses
brainstorming yang meninjau setiap element (integrity, availability, confidentiality)
dan mengidentifikasi risiko-risiko, ancaman-ancaman, concern, dan isu-isu untuk
masing-masing element.
92
Proses brainstorming dimulai ketika fasilitator menunjukkan definisi-definisi
dan 120 risiko. Kemudian tim diberikan waktu sepuluh menit untuk menulis risiko-
risiko yang menjadi perhatian mereka. Fasilitator kemudian akan mengumpulkan
satu risiko dari masing-masing anggota. Anggota akan menemukan lebih dari satu
risiko, namun prosesnya adalah untuk mendapatkan satu risiko dan berlanjut kepada
orang berikutnya. Dengan cara ini, setiap orang dapat berpartisipasi. Proses
berlanjut hingga semua orang mendapat giliran sampai risiko dinyatakan habis atau
tidak ada lagi oleh tim. Risiko-risiko yang telah ditemukan oleh tim kemudian
dirapihkan dan disalin serta dibuat perubahan di mana dirasa layak.
Saat proses analisis mulai dilakukan, penulis berkonsentrasi untuk
memprioritaskan risiko. Hal ini dilakukan dengan menentukan vulnerability dan
dampak jika risiko terjadi. Penulis menggunakan sample priority mattrix sebagai
acuan untuk menentukan prioritas risiko. Berikut ini adalah sample priority matrix.
Gambar 3.4 Sample Priority Matrix
Sample Priority Matrix
Business Impact
High Medium Low
Vul
nera
bilit
y
High A B1 C1
Medium B3 B2 C2
Low C4 C3 D
Berikut ini adalah langkah penulis dalam menentukan prioritas dari risiko–risiko yang
ditemukan :
93
1. Penulis mengacu pada 120 risiko FRAP kemudian team menentukan risiko–
risiko yang cocok dan relevan pada kondisi perusahaan. Tipe risiko sudah
ditentukan oleh FRAP risk list.
2. Penulis melakukan analisa pada setiap risiko satu persatu. Lalu dari tiap–tiap
risiko, penulis menentukan prioritas dari risiko berdasarkan impact dan
vulnerability. Vulnerability ditentukan nilainya dengan cara melihat titik lemah
yang ada di perusahaan, lalu dari pengertian yang sudah dipahami penulis
mengenai masing–masing tingkatan vulnerability, penulis akan menentukan
tingkatan vulnerability yang sesuai. Kemudian impact ditentukan dengan cara
melihat seberapa besar dampak yang diterima perusahaan jika risiko terjadi.
Penulis akan menentukan tingkatan impact dari analisa impact sebelumnya.
Penentuan nilai vulnerability dan impact dilakukan tanpa melibatkan existing
control.
3. Dari risiko yang sudah ditentukan tipe dan prioritasnya, penulis akan menentukan
control yang mengacu kepada control list. Dari duapuluh enam control yang ada,
dipilih beberapa yang sesuai dengan risiko. Semua risiko yang ditemukan selama
FRAP Session dimasukkan ke dalam tabel FRAP Session Deliverable. Untuk
risiko dengan prioritas ”A” dan ”B” diberikan suggested control, sedangkan
untuk yang ”C” dan ”D” tidak.
3. Post-FRAP
Tahap Post-Frap dimulai dengan membuat cross reference sheet. Risiko yang
dimasukkan ke dalam Cross reference Sheet adalah risiko yang mempunyai prioritas
“A” dan “B”. Kemudian penulis akan membandingkan risiko yang ada dengan existing
94
control di perusahaan. Langkah selanjutnya adalah berkonsultasi dengan pemilik risiko
mengenai open risk. Langkah keempat adalah mengidentifikasi control terhadap open
risk yang disetujui oleh pihak perusahaan. Di mana control yang diidentifikasi berasal
dari suggested control yang belum ada di existing control. Langkah terakhir adalah
membuat final report letter yang berisi action plan yang sebaiknya dilakukan oleh
perusahaan.
3.11 Informasi Tambahan Mengenai PT Mazda Motor Indonesia
PT MMI terletak di gedung Standard Chartered lantai 17. Untuk akses ke lift
gedung ini tiap orang harus memiliki ID card yang digunakan untuk membuka pintu
yang hanya bisa dibuka dengan ID card tersebut. Untuk masuk ke kantor PT MMI akses
juga dibatasi. Orang yang bukan merupakan karyawan MMI hanya bisa masuk sampai
ruang resepsionis. Namun pada jam pulang kantor pegawai outsource (cleaning service)
bisa masuk ke ruangan untuk melaksanakan kewajibannya. Ruangan komputer
dipisahkan oleh sekat antara karyawan yang satu dengan yang lain namun tiap karyawan
tetap bisa dengan bebas masuk ke tempat karyawan lainnya.
Staff TI yang ada di PT MMI hanya ada satu orang yaitu Bapak Sapto dan beliau
merangkap sebagai manajer TI. Beliau mempunyai hak akses yang sangat tinggi. Di PT
MMI, user diperbolehkan mencolok flashdisk ke laptop dan dilarang menginstall
program di laptop. Manajer TI telah membatasi hak pengguna hanya sebagai user dan
bukan admin. Jika pengguna ingin melakukan instalasi program yang berhubungan
dengan pekerjaan di laptop maka harus meminta izin dulu kepada manajer TI. Dari hasil
wawancara yang dilakukan penulis dengan pihak perusahaan diketahui pula bahwa tidak
terdapat CCTV baik di ruang tempat penyimpanan server maupun di ruang komputer.
95
Dalam menggunakan internet, karyawan diperbolehkan untuk membuka situs apapun
(tidak ada pembatasan) dan boleh mendownload file dari internet namun jika file yang
ingin di-download memiliki ukuran besar maka harus meminta izin terlebih dahulu
kepada bagian TI karena dapat mengganggu traffic pada sistem di PT MMI.
Terkait Disaster Recovery Plan (DRP), hingga saat skripsi ini disusun DRP
masih belum ada di PT MMI dan hanya sebatas wacana saja. Mengenai data, data-data
yang ada di laptop adalah data pekerjaan karyawan yang bersangkutan. Data bulanan
(bulan-bulan sebelumnya) masih disimpan di database server sedangkan untuk data
tahunan (tahun-tahun sebelumnya) disimpan di backup server. Evaluasi terhadap
berlangsungnya peraturan dan kebijakan keamanan dilakukan dengan cara audit yang
dilakukan oleh pihak outsource dan inspeksi oleh pihak Mazda Jepang (Headquarter).
Nantinya dokumentasi-dokumentasi mengenai hasil evaluasi tersebut dipegang dan
disimpan oleh presiden direktur PT MMI.
Beberapa kebijakan yang ada di PT MMI yaitu userID dan password baik untuk
windows maupun SAP tidak boleh di-share ke sesama karyawan, ada otorisasi oleh
pejabat berwenang sebelum data dipublikasikan, dan ditentukan mengenai apa yang
menjadi hak dan kewajiban jika menjadi karyawan PT MMI. Di sisi lain, belum ada
kebijakan mengenai pengawasan akses yang dilakukan oleh PT MMI terhadap
pengembang ke informasi sensitif. Ada sanksi dari aturan-aturan yang dilanggar namun
dalam prakteknya di MMI sanksi tidak dijatuhkan dan hanya diberikan teguran kepada
karyawan yang bersangkutan bila melakukan pelanggaran.
Mengenai website MMI (www.mazda.co.id) diakui memang kurang dilakukan
pengawasan terhadap website oleh pihak perusahaan. Terkait serangan pemrotes dan
database crash sejauh ini belum pernah terjadi. Data-data SAP yang ada pada laptop
96
terproteksi menggunakan password sehingga untuk membukanya dibutuhkan password
sedangkan data selain SAP tidak terproteksi password. Terkadang saat ada seorang
karyawan yang berhalangan hadir dan karyawan lain yang berada di divisi yang sama
membutuhkan data dari karyawan yang berhalangan hadir tersebut, ada pemberian ID
dan password dari karyawan yang berhalangan hadir kepada karyawan yang
membutuhkan data itu. Untuk akses internet sendiri terkadang koneksi sering tidak stabil
dan down (berada pada low speed). Selain itu, ada maintenance terhadap kabel-kabel
terutama yang berhubungan dengan router.
Proses pengadaan TI:
Saat user memerlukan perangkat TI maka user akan melakukan permintaan ke
bagian TI. Bagian TI akan mencari vendor yang dapat memenuhi permintaan sesuai
spesifikasi, harga termurah, dan layanan purna-jual (agreement) yang terbaik dan
menguntungkan. Spesifikasi biasanya dikirimkan dengan email/fax kepada vendor-
vendor yang ditunjuk. Biasanya minimal ada tiga vendor yang ditunjuk sebagai
pembanding. Setelah ada jawaban dari pihak vendor maka akan diketahui mana vendor
yang memberikan harga, spesifikasi yang sesuai dengan permintaan, dan layanan purna-
jual terbaik. Lalu pihak TI akan membuat proposal pengadaan TI dan memberikan
proposal tersebut serta melampirkan daftar harga kepada atasan, dalam hal ini finance
manager dan presiden direktur. Jika disetujui maka proposal tersebut akan
ditandatangani oleh presiden direktur, finance manager, dan bagian TI. Kemudian
bagian TI akan membuat purchase order (PO) satu rangkap dan mengirimkannya
kepada vendor terpilih melalui email atau fax. Setelah PO diterima vendor maka vendor
akan melakukan konfirmasi terhadap PO tersebut dan memberitahu perihal kapan
97
pengiriman barang akan dilakukan. Pada hari yang ditentukan barang sampai ke PT
MMI dengan disertakan delivery order (DO) dan invoice. Barang dicek kesesuaiannya
antara PO dengan DO serta invoice. Dicek juga kesesuaian fisik dengan junlah yang
tertera pada invoice. Copy invoice dan DO akan dipegang oleh bagian TI. Dua minggu
setelahnya atau saat jatuh tempo, copy invoice dan DO akan diserahkan kepada bagian
finance untuk dibayarkan. Bagian finance juga akan melakukan cek terhadap DO dan
invoice serta PO. Bila sesuai dan perkalian antara barang dan harga satuan cocok,
finance akan melakukan pembayaran kepada vendor via transfer. Lalu vendor akan
mengeluarkan dan mengirimkan bukti lunas kepada PT MMI sebagai tanda bahwa
barang yang dipesan sudah dibayar lunas.
3.11.1 Informasi tambahan dari kuesioner
1. Security Policy
a. Policy
Berdasarkan pertanyaan yang penulis ajukan kepada pihak MMI, hasilnya adalah
di PT MMI menempatkan policy mengenai keamanan informasi secara jelas.
Policy tersebut sudah mencantumkan apa yang diperbolehkan dan apa yang tidak
diperbolehkan untuk dilakukan terkait keamanan system informasi. Ruang
lingkup pada policy tersebut pun sudah mencakup semua bagian dari informasi.
Policy juga mendefinisikan secara jelas apa yang dimaksud dengan informasi.
Tentunya, policy yang sudah ada menjelaskan tentang tanggung jawab dari setiap
karyawan dan konsekuensi dari tidak dipatuhinya policy. Selama ini policy yang
diterapkan sudah mendukung tujuan dan misi bisnis perusahaan.
b. Procedure
98
Untuk mendukung dipatuhinya kebijakan keamanan informasi, PT MMI sudah
membuat prosedur. Prosedur yang ada dievaluasi setiap setahun sekali sesuai
dengan kebutuhan perusahaan. Agar dipatuhinya prosedur maka dibuatlah
standard. Prosedur dan standard dievaluasi untuk mengetahui tingkat dampaknya
terhadap proses bisnis.
c. Document Handling
Di PT MMI, penanganan dokumen secara keseluruhan sudah diterapkan. Hal ini
dibuktikan dengan sudah terdapat kebijakan mengenai pengklasifikasian
informasi, kebijakan pengklasifikasian informasi sudah mencakup semua
informasi perusahaan, dan kebijakan tersebut sudah dilaksanakan. Kebijakan
mengenai klasifikasi informasi di PT MMI terdapat beda perlakuan sesuai
dengan jabatannya. Perbedaan wewenang ini lebih terfokus kepada jenis
informasi yang boleh diakses. Semakin tinggi jabatan, semakin besar pula
wewenang untuk mengakses jenis informasi sesuai klasifikasi informasi yang
ada. Dengan adanya pengklasifikasian informasi, karyawan dapat
mengidentifikasikan tingkat informasi sesuai dengan bisnis unit.
d. Security Handbook
Security handbook adalah buku pegangan karyawan mengenai peraturan
mengenai keamanan informasi. Di dalam buku pegangan ini tertulis tentang apa
yang boleh dilakukan dan yang tidak dan juga tanggung jawab serta konsekuensi
dan sanksi yang ditanggung karyawan jika kebijakan tidak dipatuhi. PT Mazda
Motor Indonesia tidak memiliki security handbook yang dipegang oleh
karyawannya, ini menjadi salah satu kelemahan pada PT MMI.
99
2. Organizational Suitability
a. Organizational Suitability
Kebijakan mengenai keamanan informasi harus sesuai dengan keadaan di
perusahaan. Maksudnya adalah kebijakan keamanan tersebut mendapat
dukungan dari semua pihak di dalam perusahaan tersebut atau tidak.
Berdasarkan hasil kuesioner, ternyata dukungan dari manajemen dan karyawan
mengenai praktek keamanan informasi sudah tinggi. Senior manajer mendukung
program keamanan informasi, salah satunya adalah adanya anggaran terhadap
program keamanan informasi. Selain itu terdapat laporan tahunan mengenai
kepatuhan terhadap kebijakan keamanan informasi. Prosedur keamanan
informasi pun sudah diikuti oleh karyawan, sebagai hasilnya adalah karyawan
dapat menjalankan tugasnya dengan efektif dan efisien.
b. Personnel Issues
PT MMI mempunyai jumlah karyawan yang cukup untuk mendukung kegiatan
bisnisnya. Terkait dengan keamanan informasi, setiap orang mempunyai
kesadaran akan tanggung jawab mereka dalam menjaga kerahasiaan sumber
informasi. Dalam menjalankan tugas, mereka menggunakan software khusus
yaitu SAP. Untuk dapat menggunakan SAP dengan baik, mereka sudah di-
training dengan baik. Informasi yang dihasilkan dari software tersebut harus
dijaga karena bersifat sensitif oleh karena itu perlu adanya program keamanan
informasi. Program keamanan informasi sudah diterapkan dan PT MMI
mempunyai manajer TI yang mempunyai keahlian yang cukup dalam
mengimplementasikan program ini. Salah satu contoh peraturan dalam program
keamanan informasi adalah adanya perjanjian dengan developer sistem dan
100
developer sistem diatur dalam kebijakan yang sama dengan karyawan. Tetapi
monitor akses developer ke informasi yang sensitif tidak dilakukan.
c. Oversight and auditing
Berdasarkan hasil kuesioner, di PT MMI kebijakan dan prosedur keamanan
secara rutin dites, yaitu setahun sekali. Pengecualian mengenai penerapan
kebijakan dan prosedur secara jelas didokumentasikan. PT MMI melakukan
audit tiap tahun sesuai dengan regular audit basis dan log audit atau mekanisme
pelaporan lain didokumentasikan dengan baik. Dari audit akan ditemukan
error/failure yang terjadi dan error/failure dapat dilacak sehingga dapat
ditemukan solusinya. Jika saat audit ditemukan pelanggaran yang dilakukan oleh
karyawan, belum ada sanksi tegas terkait pelanggaran tersebut.
d. Application Development and Management
PT MMI belum mengimplementasikan metode pengembangan aplikasi.
Pengembangan aplikasi masih dilakukan sesuai dengan kebutuhan saja.
Pengembangan aplikasi bekerjasama dengan developer/ pembuat aplikasi
tersebut, sehingga jika ada pengembangan aplikasi maka developer-lah yang
membuat, bukan PT MMI. Saat aplikasi baru akan diimplementasikan, aplikasi
tersebut akan dites dengan menggunakan server tersendiri.
3. Physical security
a. Physical and facilities
Berdasarkan pertanyaan-pertanyaan yang penulis ajukan, diketahui bahwa PT
MMI telah memiliki pengendalian untuk akses ke kantor. Akses tersebut meliputi
akses pertama kali memasuki gedung perkantoran di gedung standard chartered
101
sampe memasuki ruangan kantor milik PT MMI hingga akses ke ruang
komputer, tetapi PT MMI belum menerapkan pengendalian lebih diluar jam
operasional hanya ada alarm saja saat jam operasional telah usai, tetapi PT MMI
memiliki catatan bila ada akses yang terjadi di luar jam operasional. PT MMI
juga telah memproteksi sistem dan hardware dari ancaman pencurian, dan PT
MMI juga telah memiliki prosedur dalam penghapusan data-data rahasia.
b. After Hour Review
PT MMI telah menerapkan pengendalian untuk informasi-informasi yang sensitif
setelah jam operasional, lalu server pada PT MMI juga telah terproteksi setelah
jam operasional. Informasi dan alat-alat untuk akses (kunci dan kartu) sudah
terproteksi. Setiap orang-orang yang beraktivitas di luar jam operasional seluruh
tercatat pada catatan yang dimiliki PT MMI.
c. Incident Handling
PT MMI telah memiliki tim yang akan merespon kecelakaan IRT (Incident
Respone Team) yang telah dilatih untuk merespone kecelakaan-kecelakaan yang
bisa terjadi kapan saja serta untuk pengumpulan bukti-bukti dan penanganannya.
Karena selama PT MMI berdiri belum pernah terjadi kecelakaan apapun maka
belum ada laporan dan kebijakan yang ditinjau lebih lanjut yang dilaporkan
kepada pihak manajemen.
d. Contigency Planning
PT MMI sedang mengembangkan Business Impact Analysis (BIA) untuk
keseluruhan sistem, hardware dan platform. PT MMI belum mengembangkan
Disaster Recovery Plan (DRP).
102
4. Business Impact Analysis dan Disaster Recovery Plan
a. Business Impact Analysis
PT MMI belum mengimplementasikan BIA sehingga belum diketahui apakah
dengan mengimplementasikan BIA dapat menyelesaikan masalah atau tidak.
b. DRP
PT MMI belum mengimplementasikan DRP, tetapi PT MMI telah menyimpan
nomer-nomer telepon penting yang bisa dihubungi dengan cepat pada keadaan
darurat.
5. Technical safeguard
a. Mengenai infrastruktur jaringan
Network environment pada PT MMI dipartisi dan desktop platform-nya aman.
Password dan account terkait SAP terkadang di-share oleh karyawan yang
bersangkutan terutama saat mereka tidak masuk kerja dan karyawan lain yang
satu divisi membutuhkan data dari karyawan yang tidak masuk tersebut. User
account yang tidak aman sudah tidak aktif lagi. User account yang sifatnya
sementara dibatasi dan dinonaktifkan secara tepat waktu. Pengguna dari semua
sumber daya jaringan yang disediakan perusahaan diharuskan untuk mengganti
password awal yang default. Administrator sistem dan jaringan memiliki
pengalaman yang cukup untuk mengimplementasikan standar keamanan.
Mengenai review dan rekonsiliasi terhadap log laporan, hal tersebut masih dalam
pengembangan. ”Permissions” diset secara aman, misalnya dengan membatasi
akses pengguna hanya sebagai user, bukan sebagai admin. Administrator
menggunakan tool yang layak dalam melakukan tugasnya. Diagram jaringan
103
yang sekarang dipakai tersedia di PT MMI. Access Control Lists pun di-maintain
tepat waktu. Remote access procedure di PT MMI masih dalam pengembangan.
Server kritis dilindungi dengan pengendalian akses yang memadai. Infrastruktur
jaringan diaudit secara teratur. Ada penilaian terhadap titik lemah jaringan yang
dilakukan. Perubahan/pengembangan dibuat secara tepat waktu sejalan dengan
penilaian titik lemah jaringan.
b. Mengenai firewall
Protocol diizinkan untuk melalui firewall. Firewall sudah ditest untuk menilai
jika penetrasi dari luar mungkin dilakukan. Ada produk lain untuk menambah
level keamanan firewall. Firewall tidak di-maintain dan dimonitor 7x24 jam.
Ada pendokumentasian terkait hal-hal yang berhubungan dengan firewall. DMZ
(Demilitarized Zone) atau Perimeter Network (sebuah segmen dari jaringan
antara router yang menghubungkan internet dan firewall) sudah
diimplementasikan.
6. Keamanan Telekomunikasi
a. Mengenai Policy
Ada kebijakan yang dipublikasikan sehubungan dengan penggunaan sumber
daya telekomunikasi perusahaan. Semua karyawan telah mengetahui kebijakan
telekomunikasi. Karyawan yang terotorisasi untuk akses internet telah
mengetahui informasi yang menjadi hak milik perusahaan dan apa saja yang
dapat mereka diskusikan pada forum terbuka. Organisasi memiliki kebijakan
yang telah dipublikasikan sehubungan dengan penuntutan karyawan dan pihak
luar bila ditemukan kesalahan karena melakukan tindak pidana serius yang
terencana terhadap perusahaan.
104
b. Mengenai Standards
Jejak audit di-review dan langkah korektif dilakukan secara teratur. Data yang
menjadi hak milik perusahaan, yang tersimpan pada computer portable, aman
dari akses yang tidak terotorisasi. Pengguna dari semua sumber daya jaringan
yang disediakan perusahaan diharuskan untuk mengganti password awal yang
default.
c. Mengenai Praktek
Karyawan terkait keamanan, aplikasi, dan jaringan bekerja secara aktif untuk
menjamin gangguan terhadap control seminimal mungkin. Karyawan yang
independent dari staff operasi dan administrasi keamanan mereview log dan jejak
audit. Log penggunaan telepon tidak direview untuk menemukan potensi
penyalahgunaan penggunaan telepon. Pesan dan transaksi yang datang lewat
saluran telepon tidak diberi serial number, tidak dicatat waktunya, dan tidak
dicatat untuk audit investigasi dan tujuan backup. Pengguna komputer portabel
tidak disajikan mekanisme untuk memungkinkan backup terhadap informasi
sensitif atau aplikasi kritis ke sebuah server atau media penyimpanan yang
portabel. Karyawan diberitahu mengenai tanggung jawab mereka untuk
melindungi properti (fisikal dan logical) perusahaan ketika bekerja di luar
lingkungan kerja.