70

BAB 3

GAMBARAN UMUM PERUSAHAAN

3.1 Sekilas Mengenai PT Mazda Motor Indonesia

PT Mazda Motor Indonesia merupakan distributor resmi dari Mazda Motor

Corporation. PT Mazda Motor Indonesia telah berdiri sejak tahun 2006 dan dikepalai

oleh Yoshiya Horigome selaku Presiden direktur PT Mazda Motor Indonesia. Sekarang

telah ada 20 dealer resmi yang telah tersebar di beberapa kota besar di Indonesia seperti

Jakarta, Jawa timur, Palembang, Pekanbaru, Banjarmasin, Balikpapan, Samarinda,

Makasar, Bali dan Medan. PT Mazda Motor Indonesia sedang terus mengembangkan

jaringan distribusi di Indonesia.

Mazda Motor Corporation yang terdapat di Jepang merupakan orang tua dari PT

Mazda Motor Indonesia telah berdiri sejak Januari 1920, Mazda pertama kali

meluncurkan mobil berpenumpang pada tahun 1960 dan memulai pengembangan rotary

engine. Mazda telah lebih dari 40 tahun mengekspor mobil ke penjuru dunia, berkantor

pusat di daerah barat Jepang yaitu Hiroshima, Mazda Motor Corporation menjadi salah

satu perusahaan otomotif terdepan di Jepang.

PT Mazda Motor Indonesia terletak di gedung Standard Chartered lantai 17,

Jalan Prof. Satrio, Jakarta Selatan. Di dalamnya, perseroan terbatas ini didukung oleh

tiga puluh lima sumber daya manusia yang berkompeten di bidangnya masing-masing.

Sehari-hari, mereka mengurusi kegiatan bisnis PT Mazda Motor Indonesia (MMI) yang

meliputi kegiatan pemesanan, penerimaan, dan penjualan barang. Kegiatan seperti

pameran pun untuk beberapa kali dilakukan agar dapat meningkatkan penjualan. Selain

71

itu PT MMI juga sibuk melakukan ekspansi dengan menambah jumlah dealernya di

Indonesia agar dapat menjangkau permintaan di berbagai daerah di Indonesia.

PT MMI sebagai perwakilan utama Mazda Corporation, membawahi dealer-

dealer yang terdapat di Indonesia. Hubungan antara PT MMI dengan dealer adalah PT

MMI sebagai penghubung antara dealer dengan Mazda Corporation. Segala bentuk

pemesananan unit dari dealer akan dikumpulkan untuk kemudian dipesan ke Mazda

Corporation di Jepang dan nantinya unit yang sudah jadi akan didistribusikan dari

Mazda Corporation ke dealer oleh PT MMI. Proses pemesanan dari dealer ke PT MMI

menggunakan email yang di dalamnya disertakan form dealer order, nantinya PT MMI

akan mengecek kemudian mengirimkan email yang berisi pesanan dari dealer – dealer

yang dilampirkan form dealer order tersebut ke Mazda Corporation di Jepang.

Kemudian Mazda Corporation Jepang akan mengirimkan unit ke Indonesia dan unit

tersebut akan disalurkan ke dealer oleh PT MMI. Dealer akan membayar sesuai dengan

jumlah pesanan ke PT MMI, kemudian PT MMI akan membayar ke Mazda Corporation

di Jepang. Dalam hal ini berarti PT MMI hanya sebagai distributor dan Mazda

Corporation adalah sebagai pihak yang melakukan produksi dan perakitan unit.

Di dalam melakukan pemesanan dari dealer ke PT MMI dan sebaliknya,

komunikasi dilakukan melalui email dan dokumen sales order karena PT MMI belum

mempunyai web server yang mendukung komunikasi dua arah tersebut Hal ini

disebabkan karena keterbatasan sumber daya manusia di bidang teknologi informasi,

yakni hanya terdapat satu orang personil di bidang ini, yang mempunyai jabatan manajer

teknologi informasi dan bertugas menangani semua hal yang berhubungan dengan

teknologi informasi PT MMI.

72

3.2 Visi dan Misi PT Mazda Motor Indonesia

Visi PT MMI yaitu menciptakan nilai baru dalam berkendaraan, menggairahkan, dan

menyenangkan pelanggan kami melalui produk otomotif dan layanan terbaik.

Sedangkan misi PT MMI adalah dengan semangat, kebanggaan dan kecepatan, kami

secara aktif berkomunikasi dengan pelanggan kami untuk memberikan produk otomotif

berwawasan dan jasa yang melebihi harapan mereka

PT. MAZDA MOTOR ORGANIZATIO N C HART

Gam bar 3.1 Strukt ur Organisasi PT Mazda Motor Indonesia (2010)

P re sid e nt Di recto r

S ec re ta ry

S a les G M Finance Directo r

B ra nd M anager

Sa les M anage r

Logistic Manager

Acco u ntin g & Tax

M anage rIT Manage r HR

Manage rCS O

Manager

S taff S taff S taff Sta ffSta ff S ta ff

74

3.4 Tugas dan Tanggung Jawab

1. President Director

Tugas dan tanggung jawab dari presiden direktur adalah :

• Menentukan tujuan dan strategi perusahaan.

• Memiliki kewenangan penuh pada setiap pengambilan keputusan.

• Mengevaluasi setiap laporan-laporan yang dihasilkan dari kegiatan

operasional.

• Bertanggung jawab secara menyeluruh atas perusahaan.

2. Finance Director

Tugas dan tanggung jawab dari Finance director adalah

• Mengatur akan kebijakan finansial perusahaan.

• Mengepalai divisi Accounting and Tax serta divisi Human resources.

• Mempertanggung jawabkan laporan keuangan kepada President Director

3. Sales General Manager

Tugas dan tanggung jawab dari Sales General Manager adalah

• Mengepalai divisi Pemasaran (Brand), divisi Penjualan (Sales), dan Divisi

Logistic.

• Mengawasi Brand manager, Sales Manager, dan Logistic Manager sesuai

dengan kebijakan dan tujuan yang terbentuk dalam perusahaan.

• Mengkoordinasikan divisi pemasaran, penjualan dan logistik.

4. Brand Manager

Tugas dan tanggung jawab dari Brand Manager adalah

• Bertanggung jawab terhadap perencanaan setiap acara yang akan dilakukan.

75

• Bertanggung jawab terhadap promosi unit baru.

• Membuat anggaran untuk promosi dan acara tahunan.

• Menganalisa dan melaporkan pencapaian target.

5. Sales Manager

Tugas dan tanggung jawab dari Sales manager adalah :

• Merencanakan dan mengawasi kegiatan penjualan.

• Menentukan strategi penjualan .

• Melaporkan laporan penjualan setiap bulannya.

6. Logistic Manager

Tugas dan tanggung jawab dari logistic manager adalah :

• Bertanggung jawab pada pengadaan unit yang di pesan.

• Bertanggung jawab terhadap unit yang masuk dan keluar ke gudang.

• Melaporkan laporan pemesanan unit baru.

7. Accounting and Tax Manager

Tugas dan tanggung jawab dari Accounting dan Tax Manager adalah :

• Membuat laporan keuangan perusahaan.

• Membuat laporan pajak perusahaan.

• Menjalankan seluruh kebijakan accounting dan tax.

8. HRD Manager

Tugas dan tanggung jawab HRD Manager adalah :

• Bertanggug jawab terhadap perekrutan karyawan.

• Bertanggung jawab terhadap informasi mengenai karyawan .

76

• Menghubungkan peraturan, informasi dan kebijakan yang ada antara

perusahaan dan karyawan.

9. CSO Manager

Tugas dan tanggung jawab CSO Manager adalah

• Bertanggung jawab terhadap layanan purna jual pada pelanggan (Dealer).

• Bertanggung jawab terhadap layanan spare part pada pelanggan.

10. IT Manager

Tugas dan tanggung jawab IT Manager adalah

• Bertanggung jawab atas keselurahan teknologi informasi dalam perusahaan.

• Bertanggung jawab dalam pengembangan TI perusahaan.

• Menjaga dan Memelihari aset TI perusahaan.

• Menjaga keamanan server serta database.

3.5 Proses Bisnis yang sedang berjalan pada PT Mazda Motor Indonesia

Permintaan pembelian persediaan dimulai ketika Mazda Motor Indonesia (MMI)

menerima form dealer order dari dealer-dealer mereka di Indonesia dan atau kuantitas di

gudang MMI mencapai safety stock. Safety stock adalah istilah yang digunakan oleh

logistik untuk menggambarkan tingkat stok ekstra yang dipertahankan untuk

mengurangi risiko stockouts (kekurangan bahan baku atau kemasan) karena

ketidakpastian pasokan dan permintan (Sumber:

http://en.wikipedia.org/wiki/Safety_stock - diakses tanggal 8 Oktober 2010). Form

dealer order yang sudah diotorisasi oleh pejabat berwenang dikirim dari dealer via email

lalu diterima oleh bagian penjualan MMI. Bagian penjualan MMI akan langsung

77

mengirimkan order pembelian unit via email yang di dalamnya dilampirkan file dari

dealer order tersebut. Jangka waktu yang diperlukan sejak Mazda Jepang menerima

order dari MMI hingga barang yang dipesan sampai ke Indonesia adalah tiga bulan. Di

mana selama tiga bulan Mazda Jepang melakukan kegiatan operasional seperti

perakitan, pengecatan, dan kegiatan produksi lainnya. Apabila ada spesifikasi yang tidak

bisa terpenuhi sesuai dengan order maka Mazda Jepang akan memberitahukan MMI

tentang hal tersebut. Tentunya hal ini akan mempengaruhi jumlah barang yang akan

diterima MMI. Setelah proses produksi selesai maka barang yang dipesan dikirimkan

dengan menggunakan kapal laut. Mazda Jepang akan menerima dokumen Waybill/Bill of

Lading (B/L) sebagai bukti bahwa barang sudah dikapalkan. Lalu Mazda Jepang akan

mengirimkan dokumen berupa Waybill/Bill of Lading (B/L), invoice, packing list ke

MMI via DHL sebagai penyedia jasa kurir.

Dalam melakukan pengiriman, kapal akan transit di Thailand baru setelahnya

kapal akan menuju Jakarta. Sesampainya di Jakarta, barang akan diterima oleh pihak

PELINDO (Pelabuhan Indonesia) untuk selanjutnya didistribusikan ke gudang-gudang

yang kosong untuk ditaruh sementara. Gudang ini dikelola oleh pihak swasta. Dalam hal

ini, pihak swasta tersebut adalah PT ECL. Setelah barang masuk ke gudang PT ECL,

dibuat berita acara pemeriksaan (BAP) sesuai dengan kondisi barang yang diterima.

Disamping itu, MMI juga telah menerima dokumen dari Mazda Jepang yang dikirim

tadi. Berdasarkan invoice, MMI melakukan perhitungan terhadap Cost and Freight

(CnF) dan Pajak Impor Barang (PIB). Untuk masalah kepabeanan, MMI telah

menunjuk PPJK atau Pengusaha Pada Jasa Kepabeanan yaitu PT. Puninar. PT Puninar

akan melakukan pengurusan Pajak Impor Barang (PIB). Lalu kurir dari Puninar akan

mengambil dokumen yang berisi CnF dan PIB tersebut. Kemudian Puninar akan

78

memasukkan data CnF dan PIB ke modul yang ada di dalam Electronic Data

Interchange (EDI). Cost adalah harga unit ditambah biaya-biaya yang diperlukan untuk

mengangkut unit dari Jepang sampai Thailand dan Freight adalah biaya angkut dari

Thailand sampai Jakarta. Data CnF dan PIB yang telah diolah, dikirimkan softcopy dan

hardcopynya ke bank devisa (City Bank). Di sisi lain, bagian logistik MMI akan

mengajukan dana ke bagian finance untuk menyetorkan PIB ke kas Negara lewat bank

devisa. Bagian finance melakukan pengecekan terhadap perhitungan PIB yang didapat

dari CnF. Setelah sesuai dan dianggap layak untuk dibayar, bagian finance MMI akan

mengeluarkan dokumen perintah pembayaran PIB, yang di dalamnya terdapat rincian

CnF, ke negara kepada bank devisa. Bank devisa akan mencocokkan perintah

pembayaran dari MMI dengan hardcopy dan softcopy dari Puninar. Jika telah sesuai

maka bank devisa akan menarik sejumlah uang sesuai yang tertera pada perintah MMI

dan hardcopy serta softcopy dari Puninar dari akun Mazda di bank devisa. Bank devisa

selanjutnya akan memberikan stempel pada hardcopy dari Puninar sebagai bukti bahwa

uang telah dibayarkan. Hardcopy tersebut akan diambil oleh kurir puninar untuk

diberikan kepada bea cukai. Softcopy dikirimkan juga oleh Puninar dengan

menggunakan EDI ke bea cukai. Bea cukai akan melakukan pemeriksaan terhadap

hardcopy yang sudah distempel bank devisa dengan softcopy dari puninar. Jika sesuai,

maka akan dilakukan cek fisik barang yang tiba di pelabuhan oleh petugas bea cukai di

lapangan dan diawasi oleh Puninar. Setelah itu dibuat laporan hasil cek fisik dan

diberikan kepada kepala bea cukai. Lalu kepala bea cukai menggunakan softcopy PIB

dan mencocokkannya dengan hasil laporan cek fisik. Setelah semuanya sesuai

dikeluarkanlah Surat Perintah Pengeluaran Barang (SPPB) untuk mengeluarkan barang

dari area pelabuhan. SPPB dibawa Puninar ke Gudang ECL lalu SPPB diterima petugas

79

pintu gudang ECL dan dilakukan pembayaran sewa gudang oleh Puninar. Barang yang

tertera di dalam SPPB sudah bisa dikeluarkan dan dibawa oleh Puninar ke gudang

Puninar. MMI menyewa gudang kepada Puninar. Setelah barang sampai di gudang

Puninar dibuat BAP mengenai kondisi barang terakhir. Barang dimasukkan ke gudang

oleh karyawan Puninar dan Puninar menghubungi pihak MMI bahwa barang sudah

masuk sejumlah yang tertera pada SPPB. Copy SPPB dan BAP dikirim ke MMI sebagai

bukti bahwa barang telah masuk ke gudang.

Barang yang akan dikeluarkan untuk kegiatan pameran, permintaan barang

keluar dilakukan oleh bagian marketing. Apabila bagian logistik setuju, maka Release

Letter akan dibuat untuk tanda keluar barang. Release Letter diotorisasi oleh bagian

sales dengan seijin Dewan Direksi. Release Letter dikirim ke gudang dan setelah

Release Letter dicek, barang dikeluarkan dari gudang oleh pihak Puninar. Setelah

pameran selesai, barang akan dikembalikan ke gudang, lalu pihak Puninar akan

menghubungi bagian logistik MMI untuk pemberitahuan bahwa unit telah dikembalikan

dan masuk ke gudang.

Untuk pembayaran dari MMI ke Mazda Jepang, term of paymentnya adalah tiga

bulan dari tanggal kapal berangkat dan jumlah yang dibayar sesuai dengan invoice yang

MMI terima. Lima hari sebelum jatuh tempo, MMI sudah harus mempersiapkan

pembayaran dengan membuat Approval Sheet dan surat perintah ke Bank untuk

pemotongan / pembayaran ke Jepang sebesar nilai yng tertera pada invoice. Pembayaran

dilakukan oleh Finance Dept.

Barang yang telah dipesan oleh dealer bisa diambil setelah pihak dealer

melakukan pembayaran. Sales departemen MMI akan membuat Conditional Sales

Invoice (CSI). CSI dikirim ke dealer, lalu pihak dealer akan melakukan pembayaran

80

melalui transfer berdasarkan jumlah yang tertera di CSI. Setelah transfer, bukti

pembayaran di-fax ke MMI. Pihak MMI akan mengecek apakah jumlah yang

dibayarkan sesuai dengan jumlah yang tertera pada CSI. Jika sesuai MMI akan

mengeluarkan Packing List kepada Puninar dan dealer sebagai bukti untuk pengeluaran

barang yang telah di pesan. Saat hari pengambilan, dealer akan membawa Packing List

yang telah diotorisasi Presiden Direktur dan menyerahkannya kepada Puninar. Pihak

Puninar akan mencocokan Packing List yang dibawa dealer dengan yang dipegang

Puninar. Jika sesuai maka unit dapat dikeluarkan dari gudang dan dibawa ke dealer.

Pihak Puninar akan membuat Vehicle Pick Up Daily Report yang berisi tentang jumlah

barang keluar dari gudang. Dokumen tersebut dikirimkan via email pada keesokkan

harinya ke MMI sebagai laporan barang keluar. Lalu berdasarkan dokumen tersebut

bagian Sales akan mengurangi jumlah persediaan di komputer.

81

3.6 Rich Picture Proses Bisnis

Gambar 3.2 Rich picture proses bisnis PT Mazda Motor Indonesia 3.7 Kebijakan Keamanan PT Mazda Motor Indonesia

Kebijakan keamanan yang diterapkan pada PT Mazda Motor Indonesia yaitu,

1. Untuk mengakses komputer pada PT Mazda tidak semua orang bisa melakukannya.

Hanya mereka yang terotorisasi saja yang bisa melakukannya. Mereka diberikan user

ID dan password yang hanya diketahui oleh masing-masing dari mereka saja. User

ID dan password ini digunakan untuk mengakses Windows dan SAP. Jadi ada 2

Pihak perwakilan

Puninar

1. Permohonan pembelian uni t + form pembelian

2. Permohonan pengiriman uni t-unit beserta form pembelian

3. Bill of leading, i nvoice, packing list

4. Mendata unit-uni t

yang tel ah

dipesan

5. notice arrival +

copy of B/L

6. Update status

uni t-unit yang di pesan telah

diterima

7.Pembayaran pajak dan pembebasan unit

8. copy invoi ce untuk

pengecekan barang

9.Pengecekan unit berdasarkan

invoice

10.SP2 TILA (surat jalan)

11. shipping unit ke warehouse

12.Surat penerimaan

barang

13.Permohonan Packing list

14.Packing list

15.Pengambilan uni t +

packing l ist

16. Surat jalan

18. Uni t keluar dari warehouse

17.Perintah pengeluaran unit

19. Pemberi tahuan pengeluaran unit +

surat-surat

20. Mendata si sa unit

ECL gudang

PELINDOGudang Puninar

+

PT MMI

PT Mazda Motor Jepang

Dealer

PELINDO

Shipping Company

21. Pembayaran unit-unit yang dipesan

22. Pembayaran unit-unit yang dipesan

82

pasang user ID dan password dengan peruntukan yang berbeda, yang pertama untuk

melakukan login pada windows dan yang kedua untuk melakukan login pada SAP.

2. Password untuk login windows diubah setiap tiga bulan sekali sedangkan untuk

password login SAP diubah setiap dua bulan sekali. Format password untuk login

windows terdiri dari enam huruf, satu angka, dan satu simbol.

3. Terdapat alarm yang menggunakan sensor gerak. Alarm ini diaktifkan setelah jam

pulang kantor. Bila sensor mendeteksi terdapat gerak dalam ruangan maka alarm

akan berbunyi dan mengirimkan sinyal kepada vendor penyedia alarm tersebut.

4. Ada backup terhadap data di komputer user dan di backup server. Backup data

dibagi menjadi tiga yaitu daily backup (backup yang dilakukan harian), weekly

backup (backup yang dilakukan mingguan), dan monthly backup (backup yang

dilakukan bulanan).

5. Informasi yang ada dan dapat diakses oleh pengguna terotorisasi adalah menjadi

tanggung jawab pengguna tersebut dan tidak boleh disebarkan kepada pihak

manapun.

6. Ada training terhadap user mengenai SAP.

7. Harddisk yang ada di komputer / notebook PT MMI juga diproteksi dengan

menggunakan enkripsi. Enkripsi dilakukan saat pengadaan TI selesai dilakukan (saat

komputer / notebook tersebut resmi menjadi milik PT MMI). Jika harddisk yang ada

di komputer / notebook ingin dipindahkan ke media lain di luar milik PT MMI maka

data tersebut tidak akan bisa terbaca dan harus didekripsi dulu dengan menggunakan

software yang hanya dipegang oleh bagian TI PT MMI sehingga risiko pencurian

data dapat dicegah.

83

8. PT MMI menggunakan firewall yang berfungsi untuk mencegah “serangan” dari luar

masuk ke sistem PT MMI.

9. Sistem operasi (Operating System) yang digunakan adalah Windows XP dan

antivirus yang dipakai yaitu McAfee. Kedua-duanya terupdate secara baik.

10. UPS (Uninterruptible power supply) terpasang pada database server, file server, dan

backup server, dan beberapa komputer user terutama yang membutuhkan dukungan

energi listrik saat mati listrik (misalnya bagian yang melakukan input data). Dengan

adanya UPS maka kegiatan operasional dapat dilanjutkan untuk sementara dan

komputer maupun server bisa dimatikan secara aman.

11. Untuk akses ke ruangan, semua user bisa masuk ke dalam ruang komputer. Semua

divisi bekerja dalam sebuah ruangan luas dan disekat satu sama lain. Sedangkan

untuk server, ditempatkan di ruang terpisah. Ruang untuk masuk ke dalam tempat di

mana server ditempatkan terkunci dan rak untuk menaruh server pun terkunci.

Ruangan server bersih dari debu, jauh dari interfere, dan terdapat alat pemadam api

ringan di dalamnya. Ruangan server hanya bisa diakses oleh bagian TI dan presiden

direktur PT MMI. Dalam ruangan server menggunakan AC (Air Conditioner) dan

diatur agar suhu dalam ruangan delapan belas derajat celcius selain itu saat

memasuki ruangan server diwajibkan untuk membuka alas kaki namun kaos kaki

masih diperbolehkan.

12. Bagian TI menggunakan active directory yaitu layanan yang dalam hal ini digunakan

untuk melakukan pembatasan terhadap informasi-informasi yang bisa diakses untuk

masing-masing divisi. Jadi suatu divisi hanya dapat melihat, merubah, menghapus

data-data yang terkait dengan pekerjaan divisi tersebut dan tidak dapat melihat data

dari divisi lain.

84

13. Setiap pengguna yang terotorisasi boleh menginstall program yang berhubungan

dengan pekerjaan namun sebelumnya harus izin terlebih dahulu kepada bagian TI

MMI. Ada pembatasan di komputer MMI untuk menginstall program. Privilege

pengguna dibatasi oleh bagian TI. Untuk instalasi di komputer client dibutuhkan

access right “Admin” dan hal ini juga membutuhkan password administrator.

3.8 Topologi Jaringan pada PT Mazda Motor Indonesia

Gambar 3.3 Topologi Jaringan PT Mazda Motor Indonesia Jaringan merupakan interkoneksi antara dua atau lebih komputer dengan media

transmisi kabel atau nirkabel. Jaringan yang digunakan pada PT Mazda Motor Indonesia

adalah LAN (Local Area network). LAN digunakan untuk menghubungkan transaksi

antar client dan client ke database. Topologi yang digunakan pada PT MMI adalah BUS,

yang merupakan sebuah arsitektur jaringan yang terdiri dari sekumpulan klien yang

DB-Server File Server

Backup Server

Network

SWITCHEX2200-24

FirewallSSL VPNSA 2500

FirewallSSG 320M-SH

ISP

ROUTER

85

terhubung dalam suatu jaringan komunikasi yang saling berbagi. Komputer-komputer

client terhubung ke sebuah switch. Switch merupakan alat yang menghubungkan

beberapa device untuk membentuk suatu LAN. PT Mazda Motor Indonesia

menggunakan Cisco Switch. Pada PT MMI juga terdapat router yang menghubungkan

PT MMI dengan ISP. Router adalah suatu alat yang berfungsi sebagai penghubung

antara 2 jaringan atau lebih untuk meneruskan data dari satu jaringan ke jaringan

lainnya, router mengirimkan paket data melalui sebuah jaringan atau internet menuju

tujuannya. PT Mazda Motor Indonesia menggunakan Cisco Router 2811, with HW1C-

2FE.

3.9 Informasi Perusahaan

Aset-aset teknologi informasi

Berikut ini merupakan aset-aset teknologi informasi yang terdapat pada PT Mazda

Motor Indonesia.

1. Sistem

a. Laptop

Laptop merupakan suatu PC (Personal Computer) yang didesain untuk penggunaan

mobile (yang bersifat dapat dibawa atau dipindahkan dengan mudah). Laptop yang

digunakan pada PT Mazda Motor Indonesia adalah Lenovo ThinkPad X200 dengan

processor Intel Core 2 Duo P8700 (2.53Ghz), RAM 2GB, platform menggunakan

windows XP, terdapat 35 client di PT Mazda Motor Indonesia yang menggunakan

jenis laptop ini.

b. Database Server

86

Database server adalah tempat penyimpanan seluruh data dan transaksi yang ada di

perusahaan. Database yang digunakan pada PT Mazda Motor Indonesia yaitu

menggunakan SQL 2005. Spesifikasi PC yang digunakan pada database server di

PT Mazda Motor Indonesia adalah IBM X3650, Processor Xeon E5550, RAM 4GB,

dan Harddisk SAS Sata 146GB x 2.

c. File Server dan Backup Server

File Server merupakan tempat pertukaran dan penyimpanan data sementara

sedangkan backup server merupakan tempat penyimpanan cadangan data untuk

berjaga-jaga bila terjadi kehilangan data-data penting. PT Mazda Motor Indonesia

menggunakan Windows 2003 sebagai server untuk file server dan backup server.

Spesifikasi PC yang digunakan pada file server dan backup server di PT Mazda

Motor Indonesia adalah IBM X3650, Processor Xeon E5550, RAM 4GB, Harddisk

SAS Sata 146GB x 2.

d. SAP

SAP merupakan suatu perangkat lunak yang mengintegrasikan berbagai fungsi yang

ada di dalam perusahaan. PT MMI menggunakan SAP untuk membantu

perusahaannya dalam melakukan bisnis yang kian hari kian kompleks dan

membutuhkan keamanan, transparansi, serta integrasi. Modul SAP yang digunakan

pada PT MMI adalah Material Management, Sales and Distribution, Financial and

Controling, Human Capital Management, Product Planning.

2. Informasi

Data-data yang dibutuhkan PT Mazda Motor Indonesia dalam menjalankan proses

bisnisnya adalah sebagai berikut.

87

a. Data Penjualan

b. Data Pembelian

c. Data Keuangan

d. Data Dealer

e. Data Persediaan

f. Data Unit

g. Data Perkembangan kompetitor

3. Aplikasi dan layanan

a. Email

E-mail merupakan sarana kirim mengirim surat melalui jaringan komputer (misalnya

internet). Berkaitan dengan email, PT MMI menggunakan domain sendiri untuk

seluruh karyawannya.

b. Antivirus

PT Mazda Motor Indonesia menggunakan antivirus McAfee sebagai aplikasi

pertahanan terhadap serangan virus.

c. Internet

Internet adalah jaringan global komputer dunia yang luas dan besar di mana setiap

komputer saling terhubung satu sama lainnya di seluruh dunia. ISP pada PT Mazda

Motor Indonesia adalah CBN dengan koneksi 1 Mbps dan kuota unlimited.

d. Ms. Office

e. SQL 2005

f. Adobe Reader

g. Internet explorer dan Firefox

h. Winzip dan WinRar

88

4. Sumber daya manusia

Pada PT Mazda Motor Indonesia hanya ada satu orang yang berada di departemen

teknologi informasi, yang merangkap sebagai manager teknologi informasi, IT

support, pengelola database, dan programmer.

5. Skill

Keahlian yang dimiliki oleh manager teknologi informasi yaitu mempunyai skill

secara menyeluruh terkait teknologi informasi, melakukan install program, hardware

atau software support (Trouble-shooting), networking, dan pengelolaan database.

6. Hardware lainnya yang mendukung

a. UPS (Uninterruptable Power supply) merupakan suatu alat listrik yang

menyediakan listrik darurat ketika terjadi mati listrik, UPS berguna untuk tetap

menjaga ketersediaan listrik sementara disaat listrik tiba-tiba mati demi

menghindari hilangnya data-data yang belum tersimpan dan untuk menjaga agar

komponen-komponen hardware tidak cepat rusak karena daya listrik hilang

secara mendadak. PT MMI menggunakan UPS untuk semua server dan beberapa

komputer user.

b. Scanner merupakan alat untuk memindai suatu objek (data tulisan, gambar) ke

dalam bentuk digital. PT Mazda Motor Indonesia menggunakan KONICA

BizHub 250 untuk scanner, alat ini juga dapat melakukan fotokopi dan dapat

berguna juga sebagai printer.

c. Printer merupakan alat yang menampilkan data dalam bentuk cetakan, baik

berupa teks maupun gambar/grafik, di atas kertas. Printer yang di gunakan pada

PT Mazda Motor Indonesia adalah HP Laserjet 5100 dan Canon LBP 350.

89

d. Fax adalah suatu alat komunikasi yang digunakan untuk mengirim atau

menerima data dan terhubung dengan saluran telepon.

3.10 Penerapan Metode FRAP yang Dimodifikasi pada penelitian di PT MMI

Dalam melakukan analisis terhadap risiko di PT MMI, penulis menggunakan

metode FRAP yang telah dimodifikasi. FRAP yang dimodifikasi adalah metode FRAP

yang dari keempat tahapan tersebut ada satu atau beberapa sub tahapan yang

dimodifikasi karena keterbatasan personnel ataupun waktu serta keadaan lingkungan

perusahaan yang tidak memungkinkan. Agar lebih jelasnya, berikut ini adalah tahapan

FRAP yang telah dimodifikasi yang dilakukan penulis di PT MMI.

1. Rapat dalam tahap pre-FRAP kurang lebih dilakukan selama sejam dan melibatkan

manajer logistik, manajer TI, dan penulis yang terdiri dari tiga orang sebagai

fasilitator.

Di dalam tahapan ini terdapat 5 komponen utama yaitu :

a. Scope Statement

Penelitian yang dilakukan penulis merupakan penelitian yang digunakan untuk

mendukung pembuatan skripsi maka scope statementnya menyesuaikan dengan

ruang lingkup pada skripsi penulis yaitu hanya membahas mengenai hardware,

software, dan jaringan yang digunakan pada PT Mazda Motor Indonesia.

b. Visual Model

Dibutuhkan suatu model visual dalam bentuk diagram yang menggambarkan proses

yang akan direview. Penulis akan membuat model visual ini lalu dikomunikasikan

kepada PT MMI.

c. Menentukan Team FRAP

90

Anggota team terdiri dari lima orang dan mewakili bidangnya masing-masing.

Pihak Mazda yang terlibat adalah manajer logistik dan manajer TI. Sedangkan dari

pihak penulis yang terlibat sebanyak tiga orang. Satu orang berperan sebagai kepala

proyek dan fasilitator. Satu orang sebagai juru tulis dan fasilitator. Satu orang lagi

berperan sebagai fasilitator saja.

d. Konsultasi jadwal dengan pihak Mazda

Project leader berkonsultasi dengan pihak Mazda untuk membuat jadwal bertemu

untuk melakukan brainstorming dan wawancara.

e. Agreement on definitions

Persetujuan mengenai definisi-definisi yang dipakai selama analisis, mencakup

definisi integritas, kerahasiaan, dan ketersediaan. Penting juga menetapkan

persetujuan mengenai :

-Risiko

-Control

-Impact

-Vulnerability

- Distribusi

- Logistik

2. Sesi FRAP dilakukan selama kurang lebih dua jam dan melibatkan tim FRAP yaitu

manajer TI, manajer logistik, dan tiga orang fasilitator.

Di dalam FRAP yang dimodifikasi, pada tahap ini pertemuan hanya dilakukan

dengan dua manajer bisnis karena kesibukan, waktu, dan lingkungan perusahaan

yang tidak memungkinkan untuk mengumpulkan kesemua manajer bisnis yang

91

mewakili bidangnya masing – masing. Pertemuan dengan manajer bisnis lainnya

dilakukan secara terjadwal dan bergantian. Di PT MMI hanya terdapat satu orang

yang berada di divisi TI dan ia mempunyai tugas rangkap sebagai manajer sekaligus

staff TI.

Fase 1 – Logistik – Selama fase ini, tim FRAP akan memperkenalkan diri,

memberikan nama, jabatan, departemen, dan nomor telepon (semuanya ini akan

dicatat oleh juru tulis). Peran tim FRAP akan diidentifikasi dan dibahas. Ada lima

peran:

a. Pemilik Risiko

b. Kepala Proyek.

c. Fasilitator

d. Juru tulis

e. Anggota tim, dalam hal ini semua yang terlibat menjadi anggota FRAP

Selama fase awal ini, tim FRAP akan diberikan gambaran proses di mana

mereka akan terlibat. Mereka juga akan dihadapkan pada pernyataan ruang lingkup,

dan kemudian kepala proyek akan memberikan gambaran lima menit dari proses

yang sedang ditinjau (model visual). Akhirnya, definisi akan ditinjau dan masing-

masing anggota diberikan sebuah salinan dari definisi.

Fase 2 - Setelah pendahuluan selesai, tim FRAP akan memulai proses

brainstorming yang meninjau setiap element (integrity, availability, confidentiality)

dan mengidentifikasi risiko-risiko, ancaman-ancaman, concern, dan isu-isu untuk

masing-masing element.

92

Proses brainstorming dimulai ketika fasilitator menunjukkan definisi-definisi

dan 120 risiko. Kemudian tim diberikan waktu sepuluh menit untuk menulis risiko-

risiko yang menjadi perhatian mereka. Fasilitator kemudian akan mengumpulkan

satu risiko dari masing-masing anggota. Anggota akan menemukan lebih dari satu

risiko, namun prosesnya adalah untuk mendapatkan satu risiko dan berlanjut kepada

orang berikutnya. Dengan cara ini, setiap orang dapat berpartisipasi. Proses

berlanjut hingga semua orang mendapat giliran sampai risiko dinyatakan habis atau

tidak ada lagi oleh tim. Risiko-risiko yang telah ditemukan oleh tim kemudian

dirapihkan dan disalin serta dibuat perubahan di mana dirasa layak.

Saat proses analisis mulai dilakukan, penulis berkonsentrasi untuk

memprioritaskan risiko. Hal ini dilakukan dengan menentukan vulnerability dan

dampak jika risiko terjadi. Penulis menggunakan sample priority mattrix sebagai

acuan untuk menentukan prioritas risiko. Berikut ini adalah sample priority matrix.

Gambar 3.4 Sample Priority Matrix

Sample Priority Matrix

Business Impact

High Medium Low

Vul

nera

bilit

y

High A B1 C1

Medium B3 B2 C2

Low C4 C3 D

Berikut ini adalah langkah penulis dalam menentukan prioritas dari risiko–risiko yang

ditemukan :

93

1. Penulis mengacu pada 120 risiko FRAP kemudian team menentukan risiko–

risiko yang cocok dan relevan pada kondisi perusahaan. Tipe risiko sudah

ditentukan oleh FRAP risk list.

2. Penulis melakukan analisa pada setiap risiko satu persatu. Lalu dari tiap–tiap

risiko, penulis menentukan prioritas dari risiko berdasarkan impact dan

vulnerability. Vulnerability ditentukan nilainya dengan cara melihat titik lemah

yang ada di perusahaan, lalu dari pengertian yang sudah dipahami penulis

mengenai masing–masing tingkatan vulnerability, penulis akan menentukan

tingkatan vulnerability yang sesuai. Kemudian impact ditentukan dengan cara

melihat seberapa besar dampak yang diterima perusahaan jika risiko terjadi.

Penulis akan menentukan tingkatan impact dari analisa impact sebelumnya.

Penentuan nilai vulnerability dan impact dilakukan tanpa melibatkan existing

control.

3. Dari risiko yang sudah ditentukan tipe dan prioritasnya, penulis akan menentukan

control yang mengacu kepada control list. Dari duapuluh enam control yang ada,

dipilih beberapa yang sesuai dengan risiko. Semua risiko yang ditemukan selama

FRAP Session dimasukkan ke dalam tabel FRAP Session Deliverable. Untuk

risiko dengan prioritas ”A” dan ”B” diberikan suggested control, sedangkan

untuk yang ”C” dan ”D” tidak.

3. Post-FRAP

Tahap Post-Frap dimulai dengan membuat cross reference sheet. Risiko yang

dimasukkan ke dalam Cross reference Sheet adalah risiko yang mempunyai prioritas

“A” dan “B”. Kemudian penulis akan membandingkan risiko yang ada dengan existing

94

control di perusahaan. Langkah selanjutnya adalah berkonsultasi dengan pemilik risiko

mengenai open risk. Langkah keempat adalah mengidentifikasi control terhadap open

risk yang disetujui oleh pihak perusahaan. Di mana control yang diidentifikasi berasal

dari suggested control yang belum ada di existing control. Langkah terakhir adalah

membuat final report letter yang berisi action plan yang sebaiknya dilakukan oleh

perusahaan.

3.11 Informasi Tambahan Mengenai PT Mazda Motor Indonesia

PT MMI terletak di gedung Standard Chartered lantai 17. Untuk akses ke lift

gedung ini tiap orang harus memiliki ID card yang digunakan untuk membuka pintu

yang hanya bisa dibuka dengan ID card tersebut. Untuk masuk ke kantor PT MMI akses

juga dibatasi. Orang yang bukan merupakan karyawan MMI hanya bisa masuk sampai

ruang resepsionis. Namun pada jam pulang kantor pegawai outsource (cleaning service)

bisa masuk ke ruangan untuk melaksanakan kewajibannya. Ruangan komputer

dipisahkan oleh sekat antara karyawan yang satu dengan yang lain namun tiap karyawan

tetap bisa dengan bebas masuk ke tempat karyawan lainnya.

Staff TI yang ada di PT MMI hanya ada satu orang yaitu Bapak Sapto dan beliau

merangkap sebagai manajer TI. Beliau mempunyai hak akses yang sangat tinggi. Di PT

MMI, user diperbolehkan mencolok flashdisk ke laptop dan dilarang menginstall

program di laptop. Manajer TI telah membatasi hak pengguna hanya sebagai user dan

bukan admin. Jika pengguna ingin melakukan instalasi program yang berhubungan

dengan pekerjaan di laptop maka harus meminta izin dulu kepada manajer TI. Dari hasil

wawancara yang dilakukan penulis dengan pihak perusahaan diketahui pula bahwa tidak

terdapat CCTV baik di ruang tempat penyimpanan server maupun di ruang komputer.

95

Dalam menggunakan internet, karyawan diperbolehkan untuk membuka situs apapun

(tidak ada pembatasan) dan boleh mendownload file dari internet namun jika file yang

ingin di-download memiliki ukuran besar maka harus meminta izin terlebih dahulu

kepada bagian TI karena dapat mengganggu traffic pada sistem di PT MMI.

Terkait Disaster Recovery Plan (DRP), hingga saat skripsi ini disusun DRP

masih belum ada di PT MMI dan hanya sebatas wacana saja. Mengenai data, data-data

yang ada di laptop adalah data pekerjaan karyawan yang bersangkutan. Data bulanan

(bulan-bulan sebelumnya) masih disimpan di database server sedangkan untuk data

tahunan (tahun-tahun sebelumnya) disimpan di backup server. Evaluasi terhadap

berlangsungnya peraturan dan kebijakan keamanan dilakukan dengan cara audit yang

dilakukan oleh pihak outsource dan inspeksi oleh pihak Mazda Jepang (Headquarter).

Nantinya dokumentasi-dokumentasi mengenai hasil evaluasi tersebut dipegang dan

disimpan oleh presiden direktur PT MMI.

Beberapa kebijakan yang ada di PT MMI yaitu userID dan password baik untuk

windows maupun SAP tidak boleh di-share ke sesama karyawan, ada otorisasi oleh

pejabat berwenang sebelum data dipublikasikan, dan ditentukan mengenai apa yang

menjadi hak dan kewajiban jika menjadi karyawan PT MMI. Di sisi lain, belum ada

kebijakan mengenai pengawasan akses yang dilakukan oleh PT MMI terhadap

pengembang ke informasi sensitif. Ada sanksi dari aturan-aturan yang dilanggar namun

dalam prakteknya di MMI sanksi tidak dijatuhkan dan hanya diberikan teguran kepada

karyawan yang bersangkutan bila melakukan pelanggaran.

Mengenai website MMI (www.mazda.co.id) diakui memang kurang dilakukan

pengawasan terhadap website oleh pihak perusahaan. Terkait serangan pemrotes dan

database crash sejauh ini belum pernah terjadi. Data-data SAP yang ada pada laptop

96

terproteksi menggunakan password sehingga untuk membukanya dibutuhkan password

sedangkan data selain SAP tidak terproteksi password. Terkadang saat ada seorang

karyawan yang berhalangan hadir dan karyawan lain yang berada di divisi yang sama

membutuhkan data dari karyawan yang berhalangan hadir tersebut, ada pemberian ID

dan password dari karyawan yang berhalangan hadir kepada karyawan yang

membutuhkan data itu. Untuk akses internet sendiri terkadang koneksi sering tidak stabil

dan down (berada pada low speed). Selain itu, ada maintenance terhadap kabel-kabel

terutama yang berhubungan dengan router.

Proses pengadaan TI:

Saat user memerlukan perangkat TI maka user akan melakukan permintaan ke

bagian TI. Bagian TI akan mencari vendor yang dapat memenuhi permintaan sesuai

spesifikasi, harga termurah, dan layanan purna-jual (agreement) yang terbaik dan

menguntungkan. Spesifikasi biasanya dikirimkan dengan email/fax kepada vendor-

vendor yang ditunjuk. Biasanya minimal ada tiga vendor yang ditunjuk sebagai

pembanding. Setelah ada jawaban dari pihak vendor maka akan diketahui mana vendor

yang memberikan harga, spesifikasi yang sesuai dengan permintaan, dan layanan purna-

jual terbaik. Lalu pihak TI akan membuat proposal pengadaan TI dan memberikan

proposal tersebut serta melampirkan daftar harga kepada atasan, dalam hal ini finance

manager dan presiden direktur. Jika disetujui maka proposal tersebut akan

ditandatangani oleh presiden direktur, finance manager, dan bagian TI. Kemudian

bagian TI akan membuat purchase order (PO) satu rangkap dan mengirimkannya

kepada vendor terpilih melalui email atau fax. Setelah PO diterima vendor maka vendor

akan melakukan konfirmasi terhadap PO tersebut dan memberitahu perihal kapan

97

pengiriman barang akan dilakukan. Pada hari yang ditentukan barang sampai ke PT

MMI dengan disertakan delivery order (DO) dan invoice. Barang dicek kesesuaiannya

antara PO dengan DO serta invoice. Dicek juga kesesuaian fisik dengan junlah yang

tertera pada invoice. Copy invoice dan DO akan dipegang oleh bagian TI. Dua minggu

setelahnya atau saat jatuh tempo, copy invoice dan DO akan diserahkan kepada bagian

finance untuk dibayarkan. Bagian finance juga akan melakukan cek terhadap DO dan

invoice serta PO. Bila sesuai dan perkalian antara barang dan harga satuan cocok,

finance akan melakukan pembayaran kepada vendor via transfer. Lalu vendor akan

mengeluarkan dan mengirimkan bukti lunas kepada PT MMI sebagai tanda bahwa

barang yang dipesan sudah dibayar lunas.

3.11.1 Informasi tambahan dari kuesioner

1. Security Policy

a. Policy

Berdasarkan pertanyaan yang penulis ajukan kepada pihak MMI, hasilnya adalah

di PT MMI menempatkan policy mengenai keamanan informasi secara jelas.

Policy tersebut sudah mencantumkan apa yang diperbolehkan dan apa yang tidak

diperbolehkan untuk dilakukan terkait keamanan system informasi. Ruang

lingkup pada policy tersebut pun sudah mencakup semua bagian dari informasi.

Policy juga mendefinisikan secara jelas apa yang dimaksud dengan informasi.

Tentunya, policy yang sudah ada menjelaskan tentang tanggung jawab dari setiap

karyawan dan konsekuensi dari tidak dipatuhinya policy. Selama ini policy yang

diterapkan sudah mendukung tujuan dan misi bisnis perusahaan.

b. Procedure

98

Untuk mendukung dipatuhinya kebijakan keamanan informasi, PT MMI sudah

membuat prosedur. Prosedur yang ada dievaluasi setiap setahun sekali sesuai

dengan kebutuhan perusahaan. Agar dipatuhinya prosedur maka dibuatlah

standard. Prosedur dan standard dievaluasi untuk mengetahui tingkat dampaknya

terhadap proses bisnis.

c. Document Handling

Di PT MMI, penanganan dokumen secara keseluruhan sudah diterapkan. Hal ini

dibuktikan dengan sudah terdapat kebijakan mengenai pengklasifikasian

informasi, kebijakan pengklasifikasian informasi sudah mencakup semua

informasi perusahaan, dan kebijakan tersebut sudah dilaksanakan. Kebijakan

mengenai klasifikasi informasi di PT MMI terdapat beda perlakuan sesuai

dengan jabatannya. Perbedaan wewenang ini lebih terfokus kepada jenis

informasi yang boleh diakses. Semakin tinggi jabatan, semakin besar pula

wewenang untuk mengakses jenis informasi sesuai klasifikasi informasi yang

ada. Dengan adanya pengklasifikasian informasi, karyawan dapat

mengidentifikasikan tingkat informasi sesuai dengan bisnis unit.

d. Security Handbook

Security handbook adalah buku pegangan karyawan mengenai peraturan

mengenai keamanan informasi. Di dalam buku pegangan ini tertulis tentang apa

yang boleh dilakukan dan yang tidak dan juga tanggung jawab serta konsekuensi

dan sanksi yang ditanggung karyawan jika kebijakan tidak dipatuhi. PT Mazda

Motor Indonesia tidak memiliki security handbook yang dipegang oleh

karyawannya, ini menjadi salah satu kelemahan pada PT MMI.

99

2. Organizational Suitability

a. Organizational Suitability

Kebijakan mengenai keamanan informasi harus sesuai dengan keadaan di

perusahaan. Maksudnya adalah kebijakan keamanan tersebut mendapat

dukungan dari semua pihak di dalam perusahaan tersebut atau tidak.

Berdasarkan hasil kuesioner, ternyata dukungan dari manajemen dan karyawan

mengenai praktek keamanan informasi sudah tinggi. Senior manajer mendukung

program keamanan informasi, salah satunya adalah adanya anggaran terhadap

program keamanan informasi. Selain itu terdapat laporan tahunan mengenai

kepatuhan terhadap kebijakan keamanan informasi. Prosedur keamanan

informasi pun sudah diikuti oleh karyawan, sebagai hasilnya adalah karyawan

dapat menjalankan tugasnya dengan efektif dan efisien.

b. Personnel Issues

PT MMI mempunyai jumlah karyawan yang cukup untuk mendukung kegiatan

bisnisnya. Terkait dengan keamanan informasi, setiap orang mempunyai

kesadaran akan tanggung jawab mereka dalam menjaga kerahasiaan sumber

informasi. Dalam menjalankan tugas, mereka menggunakan software khusus

yaitu SAP. Untuk dapat menggunakan SAP dengan baik, mereka sudah di-

training dengan baik. Informasi yang dihasilkan dari software tersebut harus

dijaga karena bersifat sensitif oleh karena itu perlu adanya program keamanan

informasi. Program keamanan informasi sudah diterapkan dan PT MMI

mempunyai manajer TI yang mempunyai keahlian yang cukup dalam

mengimplementasikan program ini. Salah satu contoh peraturan dalam program

keamanan informasi adalah adanya perjanjian dengan developer sistem dan

100

developer sistem diatur dalam kebijakan yang sama dengan karyawan. Tetapi

monitor akses developer ke informasi yang sensitif tidak dilakukan.

c. Oversight and auditing

Berdasarkan hasil kuesioner, di PT MMI kebijakan dan prosedur keamanan

secara rutin dites, yaitu setahun sekali. Pengecualian mengenai penerapan

kebijakan dan prosedur secara jelas didokumentasikan. PT MMI melakukan

audit tiap tahun sesuai dengan regular audit basis dan log audit atau mekanisme

pelaporan lain didokumentasikan dengan baik. Dari audit akan ditemukan

error/failure yang terjadi dan error/failure dapat dilacak sehingga dapat

ditemukan solusinya. Jika saat audit ditemukan pelanggaran yang dilakukan oleh

karyawan, belum ada sanksi tegas terkait pelanggaran tersebut.

d. Application Development and Management

PT MMI belum mengimplementasikan metode pengembangan aplikasi.

Pengembangan aplikasi masih dilakukan sesuai dengan kebutuhan saja.

Pengembangan aplikasi bekerjasama dengan developer/ pembuat aplikasi

tersebut, sehingga jika ada pengembangan aplikasi maka developer-lah yang

membuat, bukan PT MMI. Saat aplikasi baru akan diimplementasikan, aplikasi

tersebut akan dites dengan menggunakan server tersendiri.

3. Physical security

a. Physical and facilities

Berdasarkan pertanyaan-pertanyaan yang penulis ajukan, diketahui bahwa PT

MMI telah memiliki pengendalian untuk akses ke kantor. Akses tersebut meliputi

akses pertama kali memasuki gedung perkantoran di gedung standard chartered

101

sampe memasuki ruangan kantor milik PT MMI hingga akses ke ruang

komputer, tetapi PT MMI belum menerapkan pengendalian lebih diluar jam

operasional hanya ada alarm saja saat jam operasional telah usai, tetapi PT MMI

memiliki catatan bila ada akses yang terjadi di luar jam operasional. PT MMI

juga telah memproteksi sistem dan hardware dari ancaman pencurian, dan PT

MMI juga telah memiliki prosedur dalam penghapusan data-data rahasia.

b. After Hour Review

PT MMI telah menerapkan pengendalian untuk informasi-informasi yang sensitif

setelah jam operasional, lalu server pada PT MMI juga telah terproteksi setelah

jam operasional. Informasi dan alat-alat untuk akses (kunci dan kartu) sudah

terproteksi. Setiap orang-orang yang beraktivitas di luar jam operasional seluruh

tercatat pada catatan yang dimiliki PT MMI.

c. Incident Handling

PT MMI telah memiliki tim yang akan merespon kecelakaan IRT (Incident

Respone Team) yang telah dilatih untuk merespone kecelakaan-kecelakaan yang

bisa terjadi kapan saja serta untuk pengumpulan bukti-bukti dan penanganannya.

Karena selama PT MMI berdiri belum pernah terjadi kecelakaan apapun maka

belum ada laporan dan kebijakan yang ditinjau lebih lanjut yang dilaporkan

kepada pihak manajemen.

d. Contigency Planning

PT MMI sedang mengembangkan Business Impact Analysis (BIA) untuk

keseluruhan sistem, hardware dan platform. PT MMI belum mengembangkan

Disaster Recovery Plan (DRP).

102

4. Business Impact Analysis dan Disaster Recovery Plan

a. Business Impact Analysis

PT MMI belum mengimplementasikan BIA sehingga belum diketahui apakah

dengan mengimplementasikan BIA dapat menyelesaikan masalah atau tidak.

b. DRP

PT MMI belum mengimplementasikan DRP, tetapi PT MMI telah menyimpan

nomer-nomer telepon penting yang bisa dihubungi dengan cepat pada keadaan

darurat.

5. Technical safeguard

a. Mengenai infrastruktur jaringan

Network environment pada PT MMI dipartisi dan desktop platform-nya aman.

Password dan account terkait SAP terkadang di-share oleh karyawan yang

bersangkutan terutama saat mereka tidak masuk kerja dan karyawan lain yang

satu divisi membutuhkan data dari karyawan yang tidak masuk tersebut. User

account yang tidak aman sudah tidak aktif lagi. User account yang sifatnya

sementara dibatasi dan dinonaktifkan secara tepat waktu. Pengguna dari semua

sumber daya jaringan yang disediakan perusahaan diharuskan untuk mengganti

password awal yang default. Administrator sistem dan jaringan memiliki

pengalaman yang cukup untuk mengimplementasikan standar keamanan.

Mengenai review dan rekonsiliasi terhadap log laporan, hal tersebut masih dalam

pengembangan. ”Permissions” diset secara aman, misalnya dengan membatasi

akses pengguna hanya sebagai user, bukan sebagai admin. Administrator

menggunakan tool yang layak dalam melakukan tugasnya. Diagram jaringan

103

yang sekarang dipakai tersedia di PT MMI. Access Control Lists pun di-maintain

tepat waktu. Remote access procedure di PT MMI masih dalam pengembangan.

Server kritis dilindungi dengan pengendalian akses yang memadai. Infrastruktur

jaringan diaudit secara teratur. Ada penilaian terhadap titik lemah jaringan yang

dilakukan. Perubahan/pengembangan dibuat secara tepat waktu sejalan dengan

penilaian titik lemah jaringan.

b. Mengenai firewall

Protocol diizinkan untuk melalui firewall. Firewall sudah ditest untuk menilai

jika penetrasi dari luar mungkin dilakukan. Ada produk lain untuk menambah

level keamanan firewall. Firewall tidak di-maintain dan dimonitor 7x24 jam.

Ada pendokumentasian terkait hal-hal yang berhubungan dengan firewall. DMZ

(Demilitarized Zone) atau Perimeter Network (sebuah segmen dari jaringan

antara router yang menghubungkan internet dan firewall) sudah

diimplementasikan.

6. Keamanan Telekomunikasi

a. Mengenai Policy

Ada kebijakan yang dipublikasikan sehubungan dengan penggunaan sumber

daya telekomunikasi perusahaan. Semua karyawan telah mengetahui kebijakan

telekomunikasi. Karyawan yang terotorisasi untuk akses internet telah

mengetahui informasi yang menjadi hak milik perusahaan dan apa saja yang

dapat mereka diskusikan pada forum terbuka. Organisasi memiliki kebijakan

yang telah dipublikasikan sehubungan dengan penuntutan karyawan dan pihak

luar bila ditemukan kesalahan karena melakukan tindak pidana serius yang

terencana terhadap perusahaan.

104

b. Mengenai Standards

Jejak audit di-review dan langkah korektif dilakukan secara teratur. Data yang

menjadi hak milik perusahaan, yang tersimpan pada computer portable, aman

dari akses yang tidak terotorisasi. Pengguna dari semua sumber daya jaringan

yang disediakan perusahaan diharuskan untuk mengganti password awal yang

default.

c. Mengenai Praktek

Karyawan terkait keamanan, aplikasi, dan jaringan bekerja secara aktif untuk

menjamin gangguan terhadap control seminimal mungkin. Karyawan yang

independent dari staff operasi dan administrasi keamanan mereview log dan jejak

audit. Log penggunaan telepon tidak direview untuk menemukan potensi

penyalahgunaan penggunaan telepon. Pesan dan transaksi yang datang lewat

saluran telepon tidak diberi serial number, tidak dicatat waktunya, dan tidak

dicatat untuk audit investigasi dan tujuan backup. Pengguna komputer portabel

tidak disajikan mekanisme untuk memungkinkan backup terhadap informasi

sensitif atau aplikasi kritis ke sebuah server atau media penyimpanan yang

portabel. Karyawan diberitahu mengenai tanggung jawab mereka untuk

melindungi properti (fisikal dan logical) perusahaan ketika bekerja di luar

lingkungan kerja.