HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Transkripsi

1 BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam mengumpulkan data-data yang dibutuhkan, dapat dilakukan dengan metode wawancara dengan pihak staf IT dan EDP Engineer. Dalam pembahasan di bab 4 ini dapat digunakan metode NIST untuk melakukan pengukuran risiko. Kemudian menetapkan untuk menggunakan pendekatan NIST dalam melakukan pengukuran risiko teknologi informasi, dimana NIST terdiri dari 9 langkah, yaitu : 1. Karakterisasi Sistem 2. Identifikasi Ancaman 3. Identifikasi Kerentanan 4. Analisis Kontrol 5. Penentuan Kemungkinan 6. Analisis Dampak 7. Penentuan Risiko 8. Rekomendasi Pengendalian 9. Hasil Dokumentasi 4.2 Karakterisasi Sistem Dalam menilai risiko untuk sistem TI, langkah pertama adalah untuk menentukan ruang lingkup usaha. Pada tahap ini, batas-batas dari sistem TI diidentifikasi, bersama dengan sumber daya dan informasi yang merupakan sistem. Karakteristik sistem TI

2 menetapkan ruang lingkup penilaian risiko usaha, izin operasional (atau akreditasi) batas-batas, dan menyediakan informasi (misalnya, perangkat keras, perangkat lunak, konektivitas sistem, dan divisi yang bertanggung jawab atau dukungan penting untuk menentukan risiko. Berikut ini adalah beberapa sistem TI yang dipakai oleh perusahaan PT Saga Mahie yaitu : 2. Mail Server : Microsoft Windows XP Professional Version 2002 Service Pack 2, Antivirus AVG 8.0 atau AVG File Server : Microsoft Windows XP Professional Version 2002 Service Pack 2, Antivirus AVG 8.0 atau AVG Database Server : PC Biasa : Microsoft Windows XP Professional Version 2002 Service Pack SQL, Antivirus AVG 8.0 atau Client :, Microsoft Windows XP Professional Version 2002 Service Pack 2, Microsoft Office 2003, Antivirus AVG, Visual Basic, MYOB. 6. Bagian Sales : Aplikasi Visual Basic, Outlook Express, Microsoft Excel, Microsoft Word, Antivirus AVG, Skype. 7. Bagian Purchasing : Aplikasi Visual Basic, Outlook Express, Microsoft Excel, Microsoft Word, Antivirus AVG, Skype. 8. Bagian Finance Accounting : Microsoft Excel, MYOB, Antivirus AVG, Skype 9. Bagian Operasional : Aplikasi Visual Basic, Microsoft Excel, Antivirus AVG

3 10. Bagian Marketing : Adobe Photoshop, CORAL, Microsoft Word, Antivirus AVG, Skype 11. Bagian HRD : Microsoft Office, Antivirus AVG Sistem Informasi Terkait Untuk mengidentifikasi risiko sistem TI diperlukan pemahaman sistem pengolahan lingkungan. Dalam melakukan penilaian risiko, langkah pertama yang harus dilakukan adalah mengumpulkan semua infomasi yang berhubungan dengan sistem informasi, yang diklasifikasikan sebagai berikut: a. Perangkat Keras 1. Database : SQL 2. Processor : Intel(R) Core 2 Duo CPU 3.00 Ghz 3. Memory : 2.99 GB of RAM 4. Hard disk : 120 GB SATA Seagate 7200 RPM. 5. Keyboard : Logitech PS/2. 6. Mouse : Logitech optic USB b. Perangkat Lunak 1. Operating system : Microsoft Windows XP Professional Version 2002 Service Pack 2 2. Ms.Office : Microsoft Office 2003 ( Word, Excel, Access, Outlook, Power point). 3. Antivirus : AVG 9.O

4 4. WinRAR : WinRAR Lain- lain : Visual Basic 6.0, Seagate Crystal Reports 8.5 c. Sistem Antarmuka (misalnya, konektivitas internal) Gambar 4.1 Konektivitas internal d. Orang yang mendukung dan menggunakan sistem TI 1. Assitant Manajer IT 2. Staf IT 3. Staf Hardware 4. Operation Manajer 5. Sales Manajer

5 6. Finance & Accounting Manajer 7. EDP Enginner Teknik Pengumpulan Informasi Dalam teknik pengumpulan informasi terbagi menjadi 2, yaitu : a. Observasi Dengan melakukan pengamatan dan peninjauan secara langsung terhadap objek yang akan diteliti penulis disini berkaitan dengan kondisi TI yang dipakai perusahaan yang mencakup Hardware, Software, Jaringan dan Aplikasi yang diterapkan dalam perusahaan. b. Wawancara Wawancara dengan staf TI dan sistem pendukung manajemen IT yang dapat mengaktifkan penilaian risiko untuk mengumpulkan informasi yang berguna tentang sistem IT. Proses memperoleh data dengan cara tanya jawab secara langsung melalui pihak yang berkepentingan dalam perusahaan sehingga didapatkan data yang berkualitas. 4.3 Identifikasi Ancaman Ancaman adalah suatu potensi yang dapat merugikan perusahaan. Dalam menentukan kemungkinan ancaman, kita harus mempertimbangkan, sumber ancaman, potensi kerentanan, dan kontrol yang sudah ada. Ancaman yang terjadi di dalam perusahaan yaitu :

6 1. Kehilangan data. Untuk masalah kehilangan data sering terjadi karena kesalahan penginputan data oleh karyawan dan juga bisa karena adanya virus di dalam data tersebut. 2. Adanya virus yang ada di dalam data tersebut. Untuk masalah sistem, di perusahaan sering terserang virus yang terjadi 2 kali dalam setahun. Gangguan sistem akibat virus tersebut dapat diatasi dengan baik. Cara mengatasinya dengan mengupdate anti virus. 3. Kesalahan dalam input data. Frekuensi terjadinya ancaman di perusahaan paling sering terjadi pada akses jaringan, yaitu ancaman kesalahan dalam penginputan data yang dilakukan oleh staf internal perusahaan secara tidak sengaja, hal tersebut sudah terulang sebanyak 5 kali dalam setahun. 4. Ancaman kebakaran Pada akses fisik, risiko berasal dari internal dan eksternal perusahaan yang dilakukan dengan unsur ketidaksengajaan seperti kebakaran yang diakibatkan karena hubungan arus pendek listrik yang merusak jaringan dan server perusahaan. Risiko fisik sering mengakibatkan kerugian finansial pada perusahaan. 5. Kerusakan hardware dan software. Frekuensi dalam kerusakan hardware dan software diakibatkan karena pemakaiannya sudah dalam jangka waktu yang lama.

7 4.3.1 Identifikasi Sumber Ancaman Tujuan dari langkah ini adalah untuk mengidentifikasi potensi dari seluruh ancaman yang berlaku ke sistem TI yang sedang dievaluasi. Sumber ancaman yang sering terjadi adalah : a. Alam : ancaman yang dapat menimbulkan kerugian finansial yang sangat besar untuk perusahaan Tabel 4.1 menunjukkan gambaran sumber ancaman yang disebabkan oleh alam yaitu sebagai berikut Tabel 4.1 Identifikasi ancaman berupa alam Sumber Ancaman Sumber Penyebab Banjir Kebakaran a. Saluran air yang kurang baik di sekitar lingkungan perusahaan b. Banyaknya sampah di sekitar aliran air yang jarang dibersihkan c. Perusahaan terletak di daerah dataran rendah a. Karena adanya arus pendek aliran listrik b. Merokok di dalam perusahaan yang sebenarnya tidak di izinkan b. Manusia : ancaman yang dilakukan secara sengaja atau tidak disengaja oleh pengguna. Tabel 4.2 menununjukkan gambaran sumber ancaman yang di sebabkan oleh manusia yaitu sebagai berikut :

8 Tabel 4.2 Identifikasi ancaman yang disebabkan oleh manusia Sumber ancaman Tujuan Ancaman Tindakan Hacker, Cracker a. Tantangan b. Pemberontakan a. Pengambilan data secara illegal b. Memanipulasi semua data yang ada di dalam perusahaan, c. mengakses system secara tidak sah Orang dalam a. Pembalasan b. Pengrusakan a. Pemerasan b. Mengakses informasi kepemilikan perusahaan secara illegal c. Penyalahgunaan komputer d. Penipuan dan pencurian e. Merusak data f. Memasukkan kode berbahaya ke dalam system perusahaan (virus) 4.4 Identifikasi Kerentanan Analisis ancaman terhadap suatu sistem TI harus mencakup analisis kerentanan yang terkait dengan sistem TI yang dievaluasi. Tujuan langkah ini adalah untuk mengembangkan daftar kerentanan sistem (Kekurangan atau kelemahan) yang dapat dimanfaatkan oleh ancaman-sumber potensial. Metode yang disarankan untuk mengidentifikasi kerentanan penggunaan sistem yaitu kerentanan sumber, kinerja pengujian keamanan sistem, dan Daftar Persyaratan Pengembangan Keamanan. Berikut ini beberapa identifikasi kerentanan yang terjadi di dalam PT Saga Machie yang dilakukan oleh karyawan yaitu :

9 1. Menyalahgunakan fasilitas internet ybukan untuk keperluan pekerjaan melainkan untuk keperluan pribadi yang tidak menyangkut dengan pekerjaan yang ada di dalam perusahaan. 2. Menghilangkan data-data penting yang dibutuhkan oleh perusahaan. 3. Merusak fasilitas yang ada di perusahaan. 4. Karyawan yang memliki emosi tidak stabil yang dapat merugikan perusahaan. 5. Mengambil atau menggunakan barang-barang milik perusahaan tanpa seizin perusahaan. 6. Melakukan pekerjaan yang tidak diminta. Berikut ini adalah tabel 4.3 yang menyajikan hasil dari kerentanan yang ada di dalam perusahaan PT Saga Machie yaitu : Tabel 4.3 Identifikasi kerentanan Sumber Kerentanan Sumber Ancaman Aksi Ancaman Sistem ID karyawan yang telah diberhentikan belum di hapus dari sistem Perusahaan lain yang mempunyai sistem ID tamu yang dapat diaktifkan secara bebas Sistem keamanan firewall perusahaan yang masih lemah dan kurang efektif Menyusup masuk ke dalam sistem secara ilegal Dapat menggunakan sistem secara tidak sah (Misalnya : hacker) Virus seperti : ( trojan, worm, brontok) Mengakses data pribadi milik perusahaan. Memanipulasi data-data yang ada di dalam perusahaan Merusak data-data sensitif perusahaan

10 4.4.1 Pengujian Sistem Keamanan Pengujian sistem dapat digunakan untuk mengidentifikasi kerentanan system secara efisien, tergantung pada kritisnya dari sistem TI dan sumber daya yang tersedia. (misalnya : dialokasikan dana, teknologi yang tersedia, orang-orang dengan keahlian untuk melakukan tes.) 4.5 Analisis Pengendalian Tujuan dari langkah ini adalah untuk menganalisis kontrol yang telah dilaksanakan, atau direncanakan untuk pelaksanaan, oleh organisasi untuk meminimalkan atau menghilangkan kemungkinan adanya ancaman dan kerentanan sistem. Berikut ini adalah larangan-larangan yang berlaku di dalam PT Saga Machie : 1. Dilarang merokok di dalam perusahaan. 2. Tidak boleh menggunakan internet bukan untuk kepentingan pekerjaan. 3. Tidak boleh mengambil data-data perusahaan. 4. Tidak boleh datang terlambat ke perusahaan. 5. Dilarang merusak asset-asset perusahaan. 6. Dilarang berkelahi sesama karyawan di dalam perusahaan. 4.6 Penentuan Kemungkinan Untuk mendapatkan suatu penilaian secara keseluruhan yang menunjukkan kemungkinan probabilitas bahwa potensi kerentanan dapat dilaksanakan di dalam membangun lingkungan ancaman terkait, berikut ini faktor-faktor yang mengatur harus dipertimbangkan:

11 a. Ancaman sumber motivasi dan kemampuan b. Sifat kerentanan c. Keberadaan dan efektivitas kontrol saat ini Kemungkinan bahwa potensi kerentanan dapat di identifikasikan oleh sumber ancaman yang dapat di kategorikan ke dalam level tinggi, sedang, atau rendah. Tabel 4.4 di bawah ini menggambarkan definisi dari masing-masing tingkat kemungkinan ancaman yaitu sebagai berikut: Tabel 4.4 Definisi Kemungkinan Tingkat Kemungkinan Definisi Kemungkinan Tinggi Sumber ancaman yang mempunyai motivasi tinggi yang dapat merugikan perusahaan,hal ini terjadi karena pengendalian untuk mencegah kerentanan yang dilakukan tidak efektif. Sedang Sumber ancaman yang mempunyai motivasi tinggi yang dapat merugikan perusahaan, tetapi perusahaan masih bisa melakukan kontrol yang mungkin dapat menghambat keberhasilan dari kerentanan. Rendah Sumber ancaman yang mempunyai motivasi rendah, kontrol digunakan untuk mencegah atau secara signifikan untuk mengurangi suatu kerentanan yang akan terjadi di dalam perusahaan. 4.7 Analisis Dampak

12 Langkah penting berikutnya dalam mengukur tingkat risiko adalah menentukan dampak buruk dari akibat ancaman kerentanan tersebut. Sebelum memulai analisis dampak maka diperlukan informasi sebagai berikut : 1. Sistem misi (proses yang dilakukan oleh sistem IT). 2. Sistem dan kekritisan data (misalnya, sistem nilai atau kepentingan organisasi). 3. Sistem dan sensitivitas data. Analisis dampak ini dapat dikategorikan ke dalam level tinggi, sedang, dan rendah. Tabel 4.5 di bawah ini menggambarkan definisi besarnya dampak dari setiap tingkat yang dapat terjadi yaitu sebagai berikut: Tabel 4.5 Definisi Besarnya Dampak Besarnya Dampak Definisi Dampak Tinggi a. Dapat mengakibatkan kerugian yang sangat mahal dari sumber daya. b. Secara signifikan mungkin melanggar, merugikan, atau menghambat misi organisasi. Sedang a. Dapat menyebabkan hilangnya sumber daya. b. Melanggar, merugikan, atau menghambat misi organisasi. Rendah Dapat mempengaruhi misi organisasi. Berikut ini adalah analisis dampak-dampak yang akan terjadi di dalam perusahaan PT Saga Machie apabila tidak ada kontrol yang dilakukan untuk solusi pencegahannya : Tabel 4.6 Dibawah ini adalah tabel yang menggambarkan dampak dari ancaman yang akan terjadi di dalam perusahaan PT Saga Machie yaitu sebagai berikut :

13 Tabel 4.6 Dampak dari ancaman yang terjadi Ancaman Dampak Akibat Virus dan hacker Tinggi a. Merusak data-data penting yang ada di dalam perusahaan b. Mencuri informasi penting di dalam perusahaan c. Merusak sistem keamanan perusahaan d. Memanipulasi data-data di dalam perusahaan e. Menyebarkan informasi penting perusahaan ke perusahaan pesaing lain Ancaman orang luar (pesaing perusahaan) Tinggi a. Menghancurkan perusahaan b. Melakukan pemerasan terhadap karyawan di dalam perusahaan c. Melakukan pembajakan d. Mencuri uang dan asset-asset perusahaan Orang dalam Rendah Hanya merusak sebagian kecil asset perusahaan 4.8 Penentuan Risiko Tujuan dari langkah ini adalah untuk menilai tingkat risiko terhadap sistem TI. Penentuan risiko untuk ancaman tersebut dapat dinyatakan sebagai berikut : a. Kemungkinan ancaman dikurangi untuk melaksanakan suatu dampak kerentanan yang ada di dalam perusahaan. Maksudnya adalah dampak kerentanan yang mungkin terjadi dapat mengurangi suatu risiko kerentanan yang ada di dalam perusahaan. Dan melakukan sistem perbaikan agar risiko tersebut dapat berkurang. b. Besarnya dampak harus menjadi sumber ancaman untuk melatih suatu kerentanan.

14 Adanya dampak yang menyerang suatu sistem yang ada di dalam suatu perusahaan dan harus dapat dicegah segera mungkin agar risiko tersebut tidak menjadi besar. Dan juga dapat melakukan pencegaha agar dapat mengurangi risiko yang ada di perusahaan. c. Kecukupan kontrol keamanan harus direncanakan untuk mengurangi risiko yang terjadi. Melakukan perencanaan sistem kontrol untuk mengurangi risiko yang mungkin akan terjadi. Dan juga perusahaan harus mempunyai sistem kontrol keamanan yang baik. Tabel 4.7 di bawah ini menggambarkan definisi tingkat risiko dari setiap tingkat yang dapat terjadi yaitu sebagai berikut: Tingkat Risiko Tinggi Tabel 4.7 Definisi tingkat risiko Definisi risiko Mengakibatkan kerugian yang besar secara finansial dan kontrol yang dilakukan tidak dapat mengurangi risiko tersebut. Sedang Merugikan sebagian besar asset perusahaan. Rendah Mengakibatkan sebagian kecil kerugian dan kontrol yang dilakukan dapat mengurangi risiko yang terjadi

15 Tabel 4.8 Berikut ini adalah tabel yang menggambarkan besarnya level risiko ancaman yang disebabkan oleh alam yaitu sebagai berikut : Tabel 4.8 Besarnya Level Risiko Yang Disebabkan Oleh Alam Ancaman Level Risiko Akibat 1. Gempa Bumi 2. Kebakaran 3. Banjir 4. Angin badai Tinggi a. Semua asset perusahaan hancur b. Mengancam nyawa para karyawan c. Perusahaan mengalami kerugian yang sangat besar dalam segi finansial dan perusahaan mengalami kebangkrutan d. Bencana berdampak buruk bagi dunia usaha, berupa terganggunya aktivitas bisnis, mulai yang 'ringan' seperti gangguan listrik dan telekomunikasi, sampai lumpuhnya kegiatan karena rusaknya bangunan kantor atau fasilitas produksi. e. Hilangnya atau rusaknya aset-aset yang sangat vital dalam menunjang pengambilan keputusan strategis dan daya saing perusahaan seperti bangunan, persediaan, data keuangan, dan sebagainya. Termasuk juga karyawan dengan talenta-talenta terbaik, yang merupakan aset terpenting sebuah perusahaan. Hal ini tentu sangat merugikan perusahaan. Bahkan tidak jarang perusahaan terpaksa berhenti beroperasi. Tabel 4.9 Berikut ini adalah tabel yang menggambarkan besarnya level risiko ancaman yang disebabkan oleh manusia yaitu sebagai berikut :

16 Tabel 4.9 Besarnya Level Risiko Yang Disebabkan Oleh Manusia Ancaman Risiko Akibat Hacker, Cracker Sedang a. Hilangnya data-data perusahaan b. Rusaknya data-data dalam perusahaan c. Merubah data di dalam perusahaan Orang luar (pesaing perusahaan) Sedang a. Mengancam nyawa para karyawan b. Menghancurkan asset yang berupa bangungan perusahaan Pemogokan kerja karyawan Rendah a. Berhentinya operasional kerja karyawan 4.9 Rekomendasi Pengendalian Tujuan dari direkomendasikan kontrol adalah untuk mengurangi tingkat risiko pada sistem IT dan data perusahaan pada tingkat yang memadai. Faktor berikut ini yang harus dipertimbangkan untuk mengurangi risiko sebagai berikut : 1. Efektivitas pilihan direkomendasikan (misalnya, kompatibilitas sistem) 2. Undang-undang dan peraturan 3. Kebijakan Organisasi 4. Dampak Operasional 5. Keamanan dan kehandalan Tabel 4.10 Berikut ini adalah tabel rekomendasi kontrol yang harus di lakukan oleh perusahaan PT Saga Machie untuk mengurangi risiko dan mengamankan data-data yang ada di dalam perusahaan dari ancaman yang dapat terjadi yaitu sebagai berikut :

17 Tabel 4.10 Rekomendasi Pengendalian Keamanan Sumber ancaman Motivasi Tindakan Ancaman Rekomendasi kontrol yang disarankan Hacker, Cracker Orang Luar (pesaing perusahaan) a. Tantangan b. Pemberontakan a. Pemerasan b. Pengrusakan c. Pembalasan a. Pengambilan data secara illegal b. Memanipulasi semua system yang ada di perusahaan, c. Mengakses sistem secara tidak sah Melakukan teror dengan menggunakan telepon a. Memasang antivirus supaya hacker dan cracker tidak bisa memasuki sistem,mengambil datadata penting dan memanipulasi data di dalam perusahaan b. Mengganti password sebulan sekali c. Memasang firewall di setiap sistem perusahaan untuk mencegah hacker memasuki sistem, firewall agar memberikan peringatan apabila sistem dimasuki oleh hacker/cracker a. Memperketat akses keamanan di dalam maupun di luar perusahaan b. Memasang cctv di setiap sudut perusahaan untuk memantau setiap orang yang memasuki perusahaan c. Harus mempunyai database untuk semua karyawan yang ada di perusahaan, hal ini dilakukan untuk mencegah orang-orang yang tidak berkepentingan atau orang-orang yang tidak kenal dapat memasuki perusahaan secara bebas Orang dalam Kesalahan tak disengaja dan kelalaian (misalnya, kesalahan dalam mengentri data, kesalahan dalam mengentri data, a. Pemerasa b. Browsing informasi perusahaan secara ilegal a. Memberikan pelatihan untuk setiap karyawan agar selalu bersikap baik dan taat kepada

18 Sumber ancaman Motivasi Tindakan Ancaman Rekomendasi kontrol yang disarankan kesalahan pemrograman) c. Menyalahgunakan komputer d. Penipuan dan pencurian e. Data rusak f. Kode berbahaya (misalnya : virus) g. Penjualan informasi pribadi peraturan-peraturan yang ada di dalam perusahaan b. Karyawan diberikan training untuk selalu bertanggung jawab atas tugas dan wewenang yang diberikan perusahaan 4.10 Hasil Dokumentasi Setelah penilaian risiko telah selesai (sumber ancaman dan identifikasi kerentanan, penilaian risiko, dan disarankan menyediakan kontrol), hasil harus didokumentasikan dalam sebuah laporan atau briefing. Tabel 4.11 Berikut ini adalah tabel hasil dokumentasi untuk penilaian risiko yang sudah ada, yaitu Sumber Ancaman Tabel 4.11 Hasil Dokumentasi Penilaian Risiko Ancaman Kontrol Yang Disarankan Alam a. Gempa Bumi b. Kebakaran c. Banjir d. Angin badai a. Sebelum melakukan pembangunan gedung harus dilakukan perencanaan terlebih dahulu untuk membuat model bangunan yang kokoh dan tahan gempa, sehingga apabila terjadi bencana gempa bumi bangunan tidak hancur/ runtuh b. Diperlukan adanya water fire protector dan alat pemadam api yang cukup memadai di dalam sebuah perusahaan. Hal ini dilakukan untuk mencegah kebakaran yang terjadi di dalam perusahaan, sehingga dengan secepatnya api bisa dimatikan/ dipadamkan

19 Sumber Ancaman Ancaman Kontrol Yang Disarankan Manusia a. Hacker b. Cracker c. Orang dalam a. Memasang antivirus supaya hacker dan cracker tidak bisa memasuki sistem,mengambil datadata penting dan memanipulasi data di dalam perusahaan. b. Mengganti password sebulan sekali c. Memasang firewall di setiap sistem perusahaan untuk mencegah hacker memasuki sistem, firewall agar memberikan peringatan apabila sistem dimasuki oleh hacker/cracker d. Memperketat akses keamanan di dalam maupun di luar perusahaan e. Memasang cctv di setiap sudut perusahaan untuk memantau setiap orang yang memasuki perusahaan f. Harus mempunyai database untuk semua karyawan yang ada di perusahaan, hal ini dilakukan untuk mencegah orang-orang yang tidak berkepentingan atau orang-orang yang tidak kenal dapat memasuki perusahaan secara bebas g. Memberikan pelatihan untuk setiap karyawan agar selalu bersikap baik dan taat kepada peraturan-peraturan yang ada di dalam perusahaan h. Karyawan diberikan training untuk selalu bertanggung jawab atas

20 tugas dan wewenang yang diberikan perusahaan 4.11 Usulan Program Untuk Perusahaan Pada Divisi IT Membuat program baru User menghubungi Staf IT untuk meminta program baru, kemudian Staf IT membuat SPPB (Surat Pengajuan Program Baru) yang diajukan untuk Assistant Manager IT. Kemudian Assistant Manager IT membuat FRSB (Form Request Software Baru) untuk diserahkan kepada General Manager, lalu General Manager memberikan otorisasi form request software baru tersebut. Setelah itu General Manager mengirimkan form tersebut kepada Staf IT dan Staf IT langsung membuat program baru yang dibutuhkan oleh user. Setelah program baru tersebut telah selesai maka Staf IT akan memberikan training kepada user untuk memakai program baru tersebut. Kemudian user dapat langsung memakai program baru itu Permintaan perbaikan hardware User menghubungi Staf IT untuk memberitahukan bahwa ada kerusakan hardware. Kemudian Staf IT akan datang dan memeriksa hardware tersebut serta menilai apakah hardware tersebut perlu diganti atau tidak. Dalam hal ini hardware tersebut perlu diganti, maka Staf IT membuat SPPH (Surat Permintaan Perbaikan Hardware). Kemudian Assistant Manager IT membuat FRPH (Form Request Perbaikan Hardware), lalu Assistant Manager IT menyerahkan form tersebut kepada General Manager. Setelah itu General Manager memberikan otorisasi untuk perbaikan hardware. Lalu General

21 Manager menyerahkan form tersebut kepada Assisten Manajer IT dan Assistant Manager IT memberikan form tersebut kepada bagian keuangan untuk mengeluarkan dana dalam membeli hardware baru tersebut. Kemudian bagian keuangan memesan kepada supplier untuk pembelian hardware. Setelah itu barang dikirim keperusahaan dengan form order 2 rangkap, 1 rangkap dipegang oleh bagian keuangan dan 1 rangkap diserahkan kepada supplier. Lalu bagian keuangan memberikan form tersebut kepada Staf IT, kemudian Staf IT melakukan pengecekan barang tersebut. Dan Staf IT melakukan perbaikan hardware Permintaan untuk mengatasi software yang error Hal ini dimulai pada saat user menghubungi Staf IT untuk memberitahukan bahwa ada error pada software yang digunakan. Kemudian user membuat SPS (Surat Perbaikan Software) yang diajukan untuk Staf IT. Setelah itu Staf IT membuat FPPS (Form Permintaan Perbaikan Software) yang error untuk diserahkan kepada Assisten Manajer IT, dan Assistant Manager IT memberikan otorisasi untuk form tersebut. Maka Assistant Manager IT membuat laporan permintaan install software error. Setelah selesai Staf IT akan melakukan konfirmasi kepada user bahwa software telah selesai diperbaiki Permintaan untuk membeli hardware Hal ini dimulai pada saat user melakukan konfirmasi mengenai pembelian hardware (bisa karena rusak atau ingin di upgrade). User membuat SPPH (Surat Permohonan Pembelian Hardware) untuk diserahkan kepada Staf IT, kemudian Staf IT membuat FPPH (Form Permintaan Pembelian Hardware) untuk diserahkan kepada Assistant Manager IT. Setelah itu Assistant Manager IT menyerahkan form tersebut

22 kepada General Manager untuk memberikan otorisasi atas pembelian hardware tersebut. Setelah itu form tersebut diserahkan kembali kepada Staf IT. Selanjutnya Staf IT melakukan penawaran harga dan survei ke beberapa toko komputer. Setelah mendapat hasil survei tersebut maka Staf IT mendiskusikan kembali dengan Assistant Manager IT untuk melakukan pembelian hardware tersebut. Dari pihak supplier mengirimkan SPH (Surat Penawaran Harga) ke perusahaan. Jika Assistant Manager IT sepakat dengan harga penawaran dari supplier maka Staf IT langsung melakukan pemesanan hardware tersebut. Kemudian bagian keuangan mengeluarkan dana untuk pembelian hardware Permintaan pemasangan hardware Dimulai pada saat bagian purchasing menerima hardware tersebut. Kemudian bagian purchasing akan mencocokkan hardware tersebut dengan SPH (Surat Penawaran Harga). SPH akan diarsip oleh bagian accounting. Kemudian bagian purchasing akan menyerahkan barang dan SPH kepada Staf IT. Setelah itu Staf IT akan melakukan pemasangan hardware.

23 4.12 Usulan Gambaran Kegiatan Divisi IT Overview Activity Diagram Membuat Program Baru 4.2 Gambaran Activity Diagram Membuat Program Baru

24 Overview Activity Diagram permintaan perbaikan hardware 4.3 Gamabaran Activity Diagram permintaan perbaikan hardware

25 Overview Activity Diagram permintaan untuk mengatasi software yang error 4.4 Gambaran Activity Diagram permintaan untuk mengatasi software yang error

26 Overview Activity Diagram permintaan untuk membeli hardware 4.5 Gambaran Activity Diagram permintaan untuk membeli hardware

27 Overview Activity Diagram pemasangan hardware 4.6 Gambaran Activity Diagram pemasangan hardware