Alat Tambahan untuk Hacker

Ada beberapa alat tambahan yang dapat digunakan oleh seorang ethical hacker, yaitu FernWi-Fi cracker (bisa untuk mendapatkan kunci WPA), inSSIDer (melihat jaringan lebih detail), Acrylic Analyzer (bisa untuk mengetahui informasi WPS), Ekehau (pemetaan panas yang terjadi akibat kuatnya sinyal), Wireshark (penyadapan jaringan lalu lintas jadi bisa dipantau), Vistumbler (pencarian akses poin), dan Commview (pemindaian jaringan wifi).

Screen capture firn:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Screen capture inSSIDer:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Screen capture Acrylic Analyzer:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Screen capture Ekehau:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Screen capture Wireshark:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Screen capture Vistumbler:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Screen capture Commview:

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/discovering-networks-with-inssider-2?autoSkip=true&autoplay=true&resume=false&u=95231473

Alat-alat tersebut dapat digunakan untuk pengujian IoT atau internet of things. Protokol yang digunakan untuk men-switch WeMo ke command adalah SOAP.

ref:

https://www.linkedin.com/learning/ethical-hacking-wireless-networks/

Rogue Access Point

Dengan menggunakan SSID, BSSID, dan channel yang sama sebuah koneksi bisa dipanen informasinya. Hal ini tentu bisa diketahui melalui kali linux.

Sumber: https://www.linkedin.com/learning/ethical-hacking-wireless-networks/set-up-the-wifi-pineapple?autoSkip=true&autoplay=true&resume=false&u=95231473

Untuk mengatasi hal tersebut dapat digunakan Wi-Fi pineapple. Selain itu dengan menggunakan Wi-Fi pineapple juga dapat digunakan untuk memanen kredensial. Wi-Fi pineapple merupakan bagian kecil dari faktor sistem linux, sebagain sebuah akses poin, dan juga sebagai perangkat keras berbasiskan sekumpulan alat uji jaringan. Cara setup dari Wi-Fi pineapple:

1. Beli perangkat kerasnya terlebih dahulu (kisaran harga $99)
2. Buka perangkat lunaknya dan klik tombol begin setup
3. Pada bagian general setup isi password dan timezone, klik tombol next
4. Pada bagian networking setup isi:
• Managemen SSID: Cybex5
• Open SSID: fruit-net
• Current country: (sesuai keadaan)
5. Pada bagian filter setup gunakan konfigurasi:
• Client filter configuration: Deny connection...
• SSID filter configuration: Deny associations...

Cara melakukan harvest credentials dengan Wi-Fi pineapple:

1. Login ke Wi-Fi pineapple
2. Klik tombol get news
3. Pilih menu recon dan klik tombol start (dengan 30 detik)
4. Pilih access point dan client kemudian klik tombol Add Client MAC to Filter
5. Pilih menu modules, pilih manage, dan klik tombol get available modules, kemudian instal HTTPeek
6. Pilih ke menu instaled, dan pilih HTTPeek yang telah terinstal, klik tombol enable > start
7. Tunggu beberapa saat hingga URLs, Cookies, dan Post Data muncul
8. Kredensial berhasil didapatkan

WPA capture handshake juga dapat dilakukan setelah proses di atas dilakukan.

ref:

https://www.linkedin.com/learning/ethical-hacking-wireless-networks/

Fase Melakukan Hack

Untuk membangun strategi keamanan yang baik, penting untuk diketahui tentang aset, risiko, ancaman, dan kerentanan. Aset dapat berupa tangible dan intangible items yang bisa menetapkan nilai. Sedangkan risiko adalah paparan dari sebuah kegiatan yang dilakukan seseorang atau entitas tertentu yang dapat melakukan perusakan, kehilangan finansial, hingga hilangnya jiwa. Rumus dari risiko adalah

Risk = Threats x Vulnerabilities

Yang dimaksud ancaman atau treats adalah sesuatu yang terjadi baik itu karena kesalahan atau bencana alam yang secara umum sulit dikendalikan, termasuk karyawan, teroris, dan alam. Ancaman dapat merusak dan menghancurkan aset. Sedangkan vulnerabilities adalah keamanan yang berjalan di sebuah sistem untuk menggagalkan akses tidak terotorisasi ke sebuah aset, termasuk kesalahan manusia dan perangkat lunak yang ada di dalamnya.

Ethical hacker atau penetration testing (pentest) menggunakan alat dan teknik yang sama dengan black hat hacker. Tujuannya tentu untuk mengetahui apa yang bisa dilakukan oleh black hat hacker. Penilaian pentest dapat dilakukan melalui email, network device, web interfaces, hosts, wireless, applications, dan databases yang biasanya membutuhkan waktu 2 hingga 3 minggu dalam melakukan assessment. Beberapa pertanyaan dalam melakukan assessment, yaitu:

1. Bagaimana kerentanan menjadi target dari internet atau intranet?
2. Apa yang bisa dieksploitasi dari kerentanan tersebut?
3. Apakah tanda tangan antimalware ter-update?
4. Apa tambalan yang telah dilakukan di sistem operasi sekarang?
5. Apakah kita memiliki layanan berjalan yang tidak dibutuhkan?

Federal Information Security Management Act atau FISMA telah melakukan perancangan untuk pembuatan dan implementasi kebijakan serta prosedur berbasiskan risiko. Selain itu FISMA juga menyediakan proteksi keamanan untuk data dan melakukan pen test secara periodik. White hat hacker sebagai security specialist bertanggung jawab dalam hal ini. Ada 3 jenis web dari sudut pandang keamanan, yaitu public web (ex. google), deep web (ex. government), dan dark web (ex. private communication). Visualisasi dari jaringan untuk mengakses web dapat dilihat di halaman: https://torflow.uncharted.software/. 

Ethical hacking berfokus pada mengevaluasi sebuah sistem apa yang bisa attacker lihat, menyediakan kemungkinan human factor, melakukan analisis secara keseluruhan, dan menindaklanjuti terjadinya ancaman. Seorang ethical hacking akan bertanya tentang apa yang bisa diselesaikan oleh sebuah informasi, apa yang bisa dilakukan untuk menanggulanginya, dan bisakah sistem memberikan peringatan saat terjadi percobaan pelanggaran.

Sumber: https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking/stepping-through-the-hacking-phases?autoplay=true&contextUrn=urn%3Ali%3AlearningCollection%3A6924237847126323200&resume=false&u=95231473

Gambar di atas merupakan fase melakukan hack. Pada fase reconnaissance atau recon akan memakan banyak waktu untuk mengumpulkan informasi sebanyak mungkin dari target serta mempersempit ruang lingkup dari target. Pertanyaan sebelum memulai fase pertama adalah siapa tergetnya, apa yang kita ingin dapatkan, dimana lokasi target, kapan terjadi serangan, dan bagaimana bisa diserang.

Fase kedua adalah scanning, yaitu melakukan pelacakan jaringan, seperti mengidentifikasi kelemahan jaringan tersebut yang bisa dieksploitasi dan informasi tambahan terkait target. Kemudian mempelajari peta dari jaringan dan memodelkan device. Selanjutnya dilakukan pemeriksaan layanan pendengar untuk mempelajari sistem operasi dan melihat data terkirim. Tipe scanning ada beberapa macam, yaitu ping scan (untuk mengetahui IP address), TCP scan (memeriksa TCP port yang terbuka), dan OS proofprinting (mengidentifikasi sistem operasi).

Fase ketiga adalah gaining access, yaitu melakukan eksploitasi cross-site scripting (XSS) dan melakukan penggagalan update dari software. Selanjutnya fase maintaining access. Di fase ini bisa dilakaukan eskalasi dan pengiriman file melalui backdoor. Dan fase terakhir adalah covering tracks, yaitu melakukan pencarian file log. Untuk menghindari terbacanya tracks maka disarankan untuk menghapus bukti di sistem operasi (ex. windows), langkahnya adalah:

1. Bisa menggunaka Metasploit dan gunakan command meterpreter > clearev
2. Perintah di atas akan menghapus application, systems, dan security logs
3. Atau cara lain buka Event Viewer boleh melalui pencarian
4. Kemudian ke Windows Logs > Security > lalu lakukan clear log

Sampai di sini sudah dilakukan pembangunan keamanan dengan pendekatan terstruktur. Untuk dapat menggunakan layanan keamanan secara gratis dapat menggunakan Open Web Application Security Project atau OWASP. 

ref:

https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking

Kontrol Keamanan Informasi

Istilah hacker pertama kali dipopulerkan oleh MIT pada tahun 1960. Awalnya istilah hacker tersebut tidak ada hubungannya dengan kebencian atau malice. Istilah tersebut digunakan untuk orang yang mempu menyelesaikan masalah keamanan. Namun, seiring berjalannya waktu istilah hacker menjadi berkonotasi negatif. Kebanyakan orang akan beranggapan penghancur dari dalam, pencuri, dan penerbit perangkat lunak jahat.

Sumber: https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking/defining-ethical-hacking?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlearningCollection%3A6924237847126323200&resume=false&u=95231473

Secara kultur saat ini hacker terbagi menjadi 3, yaitu black hat, gray hat, dan white hat. Black hat hackers bermakna sebagai orang yang buruk atau juga semakna dengan cracker. Dia menyebabkan kerusakan dengan melibatkan aktivitas kriminal. Banyak dari mereka dimotori oleh organisasi kriminal atau berbagai negara. Mereka bekerja melalui sudut gelap dari dunia internet. Sedangkan white hat hacker merupakan lawan dari black hat hacker. Dia bermakna hacker dengan etika. Mereka biasanya didukung oleh pemerintahan dan industri.

Ethical hacker bekerja dengan memburu kerentanan (hunt vulnerabilities) kemudian melaporkan temuannya (report findings) dan memitigasi kerentanan tersebut (mitigation vulnerabilities). Berbeda dengan balck dan white hat hacker, gray hat bekerja secara 2 arah, yaitu kadang menjadi orang yang buruk dan kadang menjadi orang yang baik. Grey hat mencoba masuk ke dalam sistem tanpa permisi dan biasanya beraktivitas tanpa menerbitkan perangkat lunak jahat/perusak. Beberapa saat grey hat hacker memberikan peringatan kepada sebuah organisasi akan kerentanan yang ada di organisasi tersebut.

Black hat hacker memiliki gudang senjata (arsenal) dari peralatan perangkat lunak, malware, dan teknik rekayasa sosial untuk melanggar sebuah sistem. Berbeda dengan white hat hacker atau ethical hacker yang bekerja untuk menyetel secara bagus postur keamanan kemudian mengedukasi karyawan dan mengimplementasikan praktik keamanan. Tanggung jawab mereka adalah kelemahan keamanan (security weaknesses), vulnerabilities (kerentanan), dan remediation option (opsi remediasi atau perbaikan). Kandidat ethical hacker yang bekerja di dalam rumah harus memiliki pengetahuan dari keahlian yang disyaratkan, memiliki kesabaran dan ketepatan, menghargai kode dengan perilaku yang baik, dan merupakan seorang profesional member.

Sistem yang terlanggar tidak selalu membutuhkan teknik yang maju, lebih sering mengambil manfaat dari kegagalan biasa, bisa dirusak dari dalam dan dari luar, dan bertahan dengan menggunakan pendekatan berlapis di banyak lokasi. Ada 3 elemen basis untuk organisasi yang tangguh, yaitu technical controls, administrative policies & procedure, dan people. Kendali teknikal yang baik harus dapat melakukan deteksi dan proteksi, hubungan tersentralisasi, dan disetel untuk memberikan deteksi dini.

Dinding api atau firewall akan merusak perangkat lunak jahat/perusak yang menyerang. Firewall dapat berupa perangkat keras dan perangkat lunak yang berbasiskan sebuah himpunan aturan, kendali akses dan penyaringan secara aktif serta harus bisa diterapkan di setiap jaringan. Unified threat management menyediakan generasi selanjutnya dari firewall yang dapat melakukan pencegahan sistem, antivirus, dan data loss. Selain itu juga melakukan penyaringan konten, mengamankan, dan mereduksi kompleksitas. Teknik dan perangkat lainnya adalah:

1. Spam filters, packet shapers, and honeypots
2. Network isolation using VLANS
3. Network address translation (NAT)
4. Encryption - ensure confidentiality and integrity

Semua itu harus dapat diterapkan di jaringan fisik atau di jaringan cloud.

Elemen administrative harus dapat memenuhi kebijakan keamanan yang kuat, pemulihan bencana, perencanaan kontingensi, dan manajemen insiden. Untuk memenuhi itu tentu diperlukan sumber daya manusia yang terbaik saat didatangkan, memberikan penghargaan, dan tidak memberikan toleransi pada kebiasaan yang tidak sesuai. Pemeriksaan latar belakang berupa rekaman mengemudi, skor kredit, dan poligraf menjadi syarat awal dalam perekrutan tenaga administrasi. Sedangkan elemen people harus memenuhi pembiasaan sadar akan keamanan, edukasi keamanan-pelatihan-kesadaran, berfokus pada kebijakan perusahaan, penggunaan yang diterima-keamanan fisik-password, dan memahami peran mereka di dalam melindungi data.

Pengelolan insiden juga perlu menjadi perhatian. Incident berbeda dengan disaster. Insiden terjadi karena ada aktivitas yang menganggu hari ke harinya dan secara umum merupakan sesuatu yang tidak direncanakan. Sedangkan disaster memiliki skala yang lebih besar, berhubungan dengan banyak pihak, dan pemulihan mingguan hingga bulanan. Ada beberapa panduan yang dapat diikuti seperti:

1. The Open Group Architecture Framework (TOGAF)
2. Information Technology Infrastructure Library (ITIL)
3. Control Objectives for Information and Related Technology (COBIT)

Ada 5 panduan dalam pengelolaan insiden, yaitu identifikasi insiden (prioritas, lokasi, kategori), respon ke insiden (apakah pernah terjadi sebelumnya, apakah semua aplikasi terdampak, apakah baru upgrade software), mempertimbangkan sebab-sebab yang mungkin (prioritaskan yang membutuhkan modifikasi, masalah mungkin membutuhkan eskalasi), mengembangkan solusi (ada masalah yang dapat segera diselesaikan dan ada juga yang perlu waktu lebih), dan menyelesaikan serta mendokumentasikan (tutup insiden, ijinkan adanya feedback). Perlu dibangun sebuah tim respon insiden yang kuat dengan karakter tetap tenang, menetapkan peran secara jelas, dan berkomunikasi dengan pelanggan.

Perlu diingat bahwa pengelolaan insinden bersifat reaktif. Langkah untuk menjadikannya lebih proaktif adalah dengan cara meminimasi insiden. Praktek trabaik yang dapat dilakukan adalah memelihara kebijakan keamanan, penambalan celah keamanan-update antivirus, pemeliharaan ACL (access control list), melaksanakan penilaian security, dan secara periodik menganalisa tangkapan data.

ref:

https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking

Cyber Kill Chain

Cyber kill chain terdiri atas 7 langkah, yaitu reconnaissance, weaponization, delivery, exploitation, installation, command & control (C2), dan action on objectives.

Sumber: https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking/understanding-the-cyber-kill-chain-10055149?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlearningCollection%3A6924237847126323200&resume=false&u=95231473

1. Reconnaissance
• Data apa yang dimiliki?
• Di mana data itu berlokasi?
• Siapa yang dapat mengakses data?
• Bisakah pergi ke mana saja?
• Apa yang bisa dikumpulkan?
2. Weaponization
• Buat cara untuk masuk ke jaringan
3. Delivery
• Gunakan metode contohnya phishing email
4. Exploitation
• Periksa validasi input yang terlewatkan
• Kurangnya logging yang memadai
• Tidak menutup koneksi database
• Menggunakan metode absolut atau depresiasi
5. Installation
• Malicious menginstall malware
6. Command & Control (C2)
• Instruksi terhadap isu-isu dari malware
7. Action on objectives
• Pencurian data atau perubahan data
• Mengenkrispi data atau menahan data tahanan

Ada 2 jenis website yang terlihat memiliki kerentanan adanya perangkat lunak jahat untuk melakukan pengintaian, yaitu cross-site scripting (XSS) dan SQL (structured query language) injection. Mereka para kriminal siber akan mengirim muatan perangkat lunak perusak melalui teknik social engineering. Ancaman yang bersifat lanjut atau advanced persistent threat adalah aktor pembuat perangkat lunak jahat/perusak akan memperoleh akses tanpa otoritas ke sebuah jaringan dan tetap tidak terdeteksi untuk periode yang panjang (bulanan bahkan tahunan).

Metode mitigasi yang dapat dilakukan adalah mempertahankan, mendeteksi, dan membatasi. Implementasinya seperti secara terus menerus melakukan patch (tambalan) pada web dan komponen, mengikuti prinsip rendah hak istimewa, menganalisa aliran traffic yang terlihat tidak normal, melakukan scanning kerentanan secara reguler, dan menyebarkan perwajahan internet web server di dalam DMZ. Dengan demikian ethical hacking akan menjadi bagian dari sebuah perencanaan komprehensif keamanan.

ref:

https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking

Keamanan Informasi

Investigasi dan mitigasi ancaman merupakan sesuatu yang perlu dipersiapkan dalam membangun keamanan informasi. Tipe biasa dari serangan siber dapat berupa malware, phishing, zero-day exploits, man in the middle, DoS (denial of service) and DDoS (distribute denial of service), cross-site scripting, SQL injection, dan HTTP flood. Terjadinya kejahatan siber atau cybercrime akan membuat biaya yang lebih tinggi dibandingkan mempersiapkan keamanaan informasi. Hal ini membuat security menjadi prioritas tertinggi.

Sumber: https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking/information-security-overview-10053603?autoplay=true&contextUrn=urn%3Ali%3AlearningCollection%3A6924237847126323200&resume=false&u=95231473

Pelayanan keamanan sendiri secara umum terdiri atas CIA atau confidentiality, integrity, dan availability. Sebagai tambahan keamanan menambahkan layanan authentication. Secara umum serangan terbagi menjadi 2, yaitu serangan pasif atau pengintaian (sniffing traffic, port scanning) dan serangan aktif (release malware, lunch DDoS). Untuk menghadapi serangan seperti itu sebenarnya sudah ada standar, regulasi, dan panduan dari PCI DSS, HIPAA, SOX, dan GDPR. Ada pula COBIT framework yang merupakan kerangka kerja sistem keamanan. Oleh karena itu diperlukan ethical hacking untuk merencanakan keamanan, menyediakan meotde untuk menguji sistem, dan mengidentifikasi kerentanan.

Dewasa ini malware telah berkembang lebih agresif (trojan horses, rookits, spyware) dan rumit. Penghapusan malware lebih banyak dilakukan melaui basis jaringan, sehingga ada sekitar 85% pengguna HTTPS dan 15% pengguna HTTP. Untuk menghindari terjadinya deteksi biasanya digunakan enkripsi. Sebagai langkah difensif dari perusahaan maka dibuat strategi perbaikan perusahaan, mengikuti praktek terbaik, dan tentunya ethical hacking.

Vektor serangan akan mengacu pada email, web pages, pop-ups, mobile, dan user. Untuk meminimalisasi vektor serangan tersebut harus menjaga antivirus tetap update dan mengedukasi user untuk menggunakan peringatan. Di web pages dan pop-ups mereka memanfaatkan penggunaan bahasa pemrograman yang ada seperti JavaScript, ActiveX, dan Macros. Hanya dengan 1 klik maka dapat terinstal spyware, adware, hijackers, dialers, trojans, dan malware lainnya. Praktik terbaik adalah untuk tetap jauh dari website berisiko. Selanjutnya instant message, IRC, dan P2P akan membuat mesin memiliki kerentanan.

Cyberattacks biasanya terjadi dalam bentuk online scam, malware and phishing attacks, credit card fraud, compromised social-networking profiles, dan sexual predators & child exploitation. Rekomendasi yang perlu dilakukan adalah melindungi data secara offline dan online yaitu dengan cara sering mengganti password, jangan berteman dengan orang asing, jangan mengklik link mencurigakan, gunakan peringatan pada Wi-Fi publik. Keamanan informasi atau security information berdiri secara menyeluruh karena strategi yang berdasarkan analisis risiko. Tujuannya adalah create, implement, monitor, assess, dan maintain yang dilakukan secara terus-menerus.

Perbedaan tipe penyerangan dapat mengakibatkan perbedaan hasil. Hal ini seperti penerapan physical security untuk mencegah terjadinya kemalingan, kerusakan, dan kehancuran beberapa objek. Kemungkinan yang terjadi dapat berupa memberikan akses yang tidak terotorisasi ke sebuah fasilitas, memotong kaber fiber-optic, mengambil peralatan, dan menghilangkan ram atau komponen. Praktek terbaik untuk penyerangan fisik adalah pengamanan akses ke gedung atau ruangan, disable external access (seperti USB), audit pelayanan-pengguna-administrator, dan pengamanan backup.

Perangkat lunak perusak atau malware dapat berupa virus dan worm. Virus dapat melakukan replikasi diri dan menyebar ke perangkat lain. Virus dapat melakukan penurunan kualitas layar dan melakukan disable antivirus atau merusak file. Sedangkan worm dapat menyebar tanpa bantuan. Worm dapat melakukan replikasi sepanjang sistem sehingga melakukan konsumsi memory dan processing. Sejauh ini sudah dikenal 6 jenis serangan, yaitu physical (seperti pemotongan kabel fiber-optic), brute force (seperti memasukkan password secara random), social engineering (berita hoax), malware (buat perangkat lunak seperti virus dan worm), reconnaissance (seperti melakukan pengintaian), dan denial of services (permintaan layanan ke server dengan user palsu).

Ethical hacking adalam metodologi terstruktur. The European Union Agency for Cybersecurity (ENISA) telah mengeluarkan peta pola pikir untuk aset infrastruktur internet. Pelanggaran data biasanya terjadi pada nama, social security number, credit cards atau identifikasi lain. Serangan siber terhadap data tersebut akan terus berlanjut dan semakin banyak. Hal ini diperparah karena tidak setiap orang dapat melaporkan terjadinya pelanggaran data. Terkadang mereka malu untuk melaporkan dan kadang mereka memang benar-benar tidak tahu terjadi pelanggaran.

Serangan siber begitu rumit dilakukan, mereka menggunakan teknik yang maju untuk menghindari deteksi, enkripsi, nol hari kerentanan, dan melalui pintu belakang (backdoors). Motivasi dasar mereka adalah untuk mendapatkan akses. Vektor penyerangan bisa berasal dari sisi kiri yang mengalami kerentanan. Tidak ada jalan lain selain berdamai dengan risiko. Caranya mengurangi risiko dengan membuat pengukuran keamanan, menggunakan layanan asuransi, dan menerima adanya risiko kehilangan. Beberapa standar dan regulasi yang bisa menurunkan paparan data:

1. PCI DSS (Payment Card Industry Data Security Standard)
• Ini bukan regulasi dari pemerintah dan merupakan regulasi yang dibuat oleh industri pembayaran
2. Health Insurance Portability and Account Act (HIPAA)
• Merupakan aturan privasi. Dia melaporkan terjadinya aktivitas pelanggaran dan memberikan pinalti terhadap pelanggar. (in US medical facilities)
3. Sarbanes-Oxley (SOX) Act
• Sekumpulan persyaratan untuk perusahaan publik
4. General Data Protection Regulation (GDPR)
• Merupakan hukum komprehensif data privasi

Di antara skandal terkenal terkait serangan siber adalah enron scandal dan worldcom scandal. Kejadian tersebut tentu menjadi pembelajaran di masa yang akan datang. Selain standar dan regulasi, telah dibentuk pula kerangka kerja atau framework dari COBIT 5 dengan prinsip:

1. Membutuhkan pertemuan dengan penanam modal (stakeholders)
2. Melapisi perusahaan end to end
3. Mengaplikasikan sebuah kerangka kerja terintegrasi
4. Mengaktifkan pendekatan secara holistik atau luas
5. Menjadikan pemerintah bagian dari pengelola

Secara langsung cara kerja dari COBIT 5 adalah plan - design - build - use - monitor - update/dissolve. Dalam membuat perencanaan keamanan diperlukan pendekatan multi disiplin, menentukan kendali keamanan yang dipersyaratkan, dan bentuk tanggung jawab. Kunci dari perencanaan keamanan adalah chief information officer (memperhatikan terkait aktivitas perangkat lunak), information system owner, information owner (menetapkan kesesuaian level proteksi), dan senior agency information security officer (menyediakan prosedur dan teknikal dari staff). Topik dari kebijakan yang diatur oleh mereka adalah remote access, internet use, copyrighted work, password, dan backup.

Sumber: https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking/exploring-the-security-plan?autoSkip=true&autoplay=true&contextUrn=urn%3Ali%3AlearningCollection%3A6924237847126323200&resume=false&u=95231473

Gambar di atas adalah keluarga pengendali. Di bagian management yang bertugas mengendalikan adalah risk management dan program management, di bagian operational yang bertugas mengendalikan adalah contingency planning dan incident response. Sedangkan di bagian technical yang bertugas mengendalikan adalah access control dan configuration management. Dengan demikian lifecycle dalam security policies adalah plan-policy-control family. Perlu dicatat bahwa untuk mengeluarkan sebuah kebijakan sebaiknya minimal 3 tahun sebelum diterapkan.

Perlu diingat bahwa panduan atau guidelines merupakan sebuah rekomendasi saja sedangkan laws atau hukum merupakan sebuah kondisi yang dipersyaratkan oleh pemerintah. Komponen dari security policy adalah purpose, roles & responsibilities, enforcement mechanism, dan review process. Cara membuat security policy melalui sans.org:

1. Kunjungi halaman sans.org
2. Download di resources > white papers dan cari Acceptable Use Policy
3. Buka the Acceptable Use Policy
4. Gulirkan untuk melihat elemen-elemen dari kebijakan
5. Eksplorasi kebijakan lain:
• kebijakan lain apa yang bisa membantu?
• kebijakan apa yang bersih?
• kebijakan apa yang remote access
• pengetahuan akan template yang tersedia

Selain itu perlu diketahui bahwa ada klasifikasi data dari pemerintah yaitu secret (jika data terbuka maka akan terjadi kerusakan yang serius), top secret (jika data terbuka maka akan terjadi kerusakan yang sangat parah), unclassified (tidak terklasifikasi), dan public (sama seperti unclassified setiap orang bisa mengeluarkannya).

Keamanan data memiliki variasi kasusnya, namun pada intinya keamanan data itu terkait identitas yang dapat disalahgunakan. Ada 3 masalah yang bersifat umum dalam jaringan komputer, yaitu DNS cache poisoning (diarahkan ke IP address website palsu, solusi: DNSSEC), denial of service (request palsu dari satu sumber), distributed denial of service (request palsu dari banyak sumber), dan man in the middle (penyadapan). Untuk mencegah serangan siber yang bersifat umum sebaiknya jangan gunakan Wi-Fi publik yang tidak terproteksi, jangan pernah melakukan transaksi penting menggunakan Wi-Fi pubik, mengganti password Wi-Fi secara berkala, dan aktifkan multi-factor authentication.

ref:

https://www.linkedin.com/learning/ethical-hacking-introduction-to-ethical-hacking

Desain API Merujuk Gartner

Sektor perbankan hari ini akan mengembangkan diri menjadi open bank, dari sebelumnya traditional bank yang hanya mengetahui transaksi antara pengguna dan bank menjadi orang lain juga dapat mengetahui transaksi. Di antara penyebab tersebut adalah adanya blockchain yang membangun mata uang digital berbasis jaringkan kriptografi. Kunci dari open bank ada pada API atau application programming interface yang menjadi gerbang penghubung antara bank dan pengguna.

Sumber: webinar-cloud-computing-indonesia

Di atas merupakan desain keamanan untuk API yang diajukan oleh Gartner. User baik itu dari mobile, web, maupun layanan lain pertama-tama akan melewati anti DDOS atau distribute denial of service yang akan melihat apakah permintaan betul dari user. Kemudian akan melewati filter kedua, yaitu ADC dan CDN (content delivery network) untuk mempercepat sampainya konten-konten dari layanan. Selanjutnya akan melewati bot mitigation yang berfungsi sebagai robot pencegahan terjadinya ancaman serta WAF atau web application firewall sebagai benteng pertahanan ancaman. Baru masuk ke API untuk diidentifikasi provider-nya. Akhirnya akan melewati gateway dan kemudian microservices dapat diakses.

Sumber: webinar-cloud-computing-indonesia

Perusahaan seperti F5 tidak menyediakan aplikasi tetapi menyediakan layanan untuk melakukan pengamanan aplikasi, begitu pula perusahaan seperti Red Hat yang bukan merupakan perusahaan security melainkan perusahaan yang akan mencoba enable security dari applikasi. Departemen yang berhubungan dengan keamanan ini ada 3, yaitu developer, security, dan engineering and operations atau biasa disingkat dengan DevSecOps. Bagian developer akan berpikir bagaimana cara mengkombinasi antara developer, security, dan operations, sedangkan bagian security akan menghentikan proses saat terjadi kesalahan keamanan. Bagian operations seringkali berpikir tidak perlu membuat ulang apabila telah dibuat aplikasi.

Sumber: webinar-cloud-computing-indonesia

Di atas adalah arsitektur keamanan dari digital banking secara sederhana. Keamanan merupakan sebuah proses dan bukan sebuah produk. Kalau di dunia secara umum ada dua framework untuk security, yaitu NIST dan PCI. Biasanya sektor perbankan akan menggunakan framework PCI. Untuk dapat bertahan dengan adanya ancaman perlu dibangun arsitektur yang memiliki speed (kemampuan cepat), stability (kemampuan tenang), dan scale (kemampuan berkembang).

Dulu security bersifat perangkat lunak sehingga waktu yang dibutuhkan untuk eksekusi agak lama. Sekarang perusahaan seperti intel dan AMD telah menanam chip security sehingga bisa lebih cepat dalam eksekusi. Selain chip security, telah ditanam juga chip AI atau artificial intelligent. API akan menjadi kunci finansial yang efisien, sedangkan adanya security chip hingga AI akan membangun finansial yang aman.

ref:

cloud-computing-indonesia

Faktor Risiko Musculoskeletal Disorders

Gangguan pada otot skeletal yang disebabkan otot menerima beban statis secara berulang dan terus menerus dalam waktu yang lama kemudian terjadi keluhan pada sendi, ligamen, dan tendon merupakan risiko dari musculoskeletal. Menurut NIOSH (1997) yang dimaksud Musculoskeletal Disorder adalah sekelompok kondisi patalogis yang mempengaruhi fungsi normal dari jaringan halus sistem musculoskeletal yang mencakup system saraf, tendon, otot dan struktur penunjang seperti discus intervertebral.

Secara umum keluhan otot dapat dikelompokkan menjadi 2, yaitu reversible (sementara) dan persistent (menetap). Sedangkan menurut tingkatnya dibedakan menjadi akut (kurang dari 3 bulan) dan kronis (lebih dari 3 bulan). Jenis-jenis keluhan yang terjadi adalah:

1. Sakit leher
2. Nyeri punggung
3. Carpal Tunnel Syndrome
4. De Quervains Tenosynovitis
5. Thoracic Outlet Syndrome
6. Tennis Elbow
7. Low Back Pain

Terjadinya musculoskeletal disorders melalui tahap tertentu, pada awalnya timbul rasa nyeri dan lelah dalam bekerja, namun setelah beristirahat pulih kembali dan tidak mengganggu kapasitas kerja. Selanjutnya rasa nyeri tetap ada setelah istirahat bahkan mengganggu waktu istirahat. Kemudian nyeri tetap ada meskipun telah melakukan istirahat yang cukup, dan akhirnya mengganggu kapasitas dalam bekerja. Hal ini tentu akan merugikan perusahaan. Oleh sebab itu penting untuk diketahui sumber masalahnya dan diselesaikan agar tidak berulang.

Sedikitnya ada dua faktor yang menyebabkan terjadinya musculoskeletal, yaitu faktor pekerjaan (postur tubuh, frekuensi, work load) dan faktor individu (umur, jenis kelamin, masa kerja). Untuk mengatasi masalah tersebut dibuat sebuah metode oleh Dr. Lynn Mc Atamney dan Dr. Nigel Corlett yang merupakan ahli ergonomi dari universitas Nottingham. Metode tersebut bernama RULA atau rapid upper limb assessment. RULA menginvestigasi dan menilai posisi kerja yang dilakukan oleh tubuh bagian atas. Tahap implementasi metode RULA adalah:

1. Tahap pengembangan metode untuk pencatatan postur bekerja
• Postur Bagian Lengan Atas
• Postur Bagian Lengan Bawah
• Postur Pergelangan Tangan
• Postur Leher
• Postur Batang Tubuh (Trunk)
• Postur Kaki
2. Perkembangan sistem untuk pengelompokkan skor postur bagian tubuh
• Nilai Postur untuk Bagian Tubuh dalam Kelompok A
• Nilai Postur untuk Bagian Tubuh dalam Kelompok B
• Nilai Penggunaan Otot dan Beban atau Tenaga
3. Pengembangan grand score dan daftar tindakan

Sumber: https://repositori.usu.ac.id/bitstream/handle/123456789/2222/131000051.pdf?sequence=1&isAllowed=y

Dengan implementasi dari RULA kemudian dapat dilakukan pencegahan terjadinya musculoskeletal disorders melalui rekayasa teknik (eliminasi, substitusi, partisi, ventilasi) dan rekayasa manajemen (pendidikan-pelatihan, pengaturan waktu kerja-istirahat, pengawasan intensif).

ref:

http://repository.unej.ac.id/

Line Balancing

Proses yang idle atau menunggu akibat adanya ketidakseimbangan merupakan masalah yang diselesaikan oleh line balancing atau penyeimbangan lintasan. Line balancing bertujuan untuk membentuk dan menyeimbangkan beban kerja yang dialokasikan pada tiap-tiap stasiun kerja. Untuk melakukan penyeimbangan lintasan diperlukan 3 data utama, yaitu precedence diagram (jaringan kerja yang terurut), waktu baku setiap operasi, dan waktu siklus (kecepatan suatu lintasan).

Sedikitnya ada 3 jenis metode line balancing, yaitu secara matematis (solusi optimal), secara probabilistik (solusi feasible), dan secara heuristik (pendekatan tertentu). Metode line balancing secara heuristik yang sering digunakan adalah helgesson birnie (peringkat bobot posisi), region approach (OPC yang ditransformasikan menjadi precedence diagram), dan largest candidate rules (diurutkan dari proses produksi terbesar).

Sumber: http://library.binus.ac.id/eColls/eThesisdoc/Bab2/2013-2-01166-TI%20Bab2001.pdf

Dengan adanya perbaikan lini produksi maka sangat dimungkinkan terjadinya perubahan layout atau tata letak dari pabrik. Selain layout yang mungkin berubah, dimungkinkan juga kualitas bisa berubah jika tidak diimbangi dengan antisipasi sebelumnya untuk menghadapai kondisi kerja baru.

• Helgesson - Birnie
1. Susun precedence diagram
2. Tentukan bobot posisi tiap elemen kerja
• Bobot (RPW) = Waktu Operasi Tersebut + Waktu Proses Operasi Berikutnya
3. Urutkan mulai dari posisi peringkat tertinggi  menurut bobot
4. Pilih elemen operasi dengan bobot tertinggi, alokasikan ke stasiun kerja. Jika masih layak (waktu stasiun < Takt Time), alokasikan operasi dengan bobot tertinggi berikutnya, namun alokasi ini tidak boleh membuat waktu stasiun > Takt Time
5. Bila alokasi suatu elemen operasi membuat waktu stasiun > Takt Time, maka sisa waktu ini (Takt Time-waktu stasiun) dipenuhi dengan alokasi elemen operasi dengan bobot paling besar dan penambahannya tidak membuat waktu stasiun > Takt Time
6. Jika elemen operasi yang jika dialokasikan untuk membuat ST> Takt Time sudah tidak ada, maka kembali ke langkah ke-4

• Region Approach
1. Tentukan precedence diagram sesuai dengan keadaan yang sebenarnya. Pembagian operasi ke dalam precedence diagram dalam beberapa region atau daerah dari kiri ke kanan, dengan syarat dalam satu daerah tidak boleh ada operasi yang saling bergantungan. Kumpulkan semua pekerjaan ke wilayah precedence yang terakhir. Hal ini akan menjamin bahwa pekerjaan dengan sedikit ketergantungan akan paling sedikit dipertimbangkan untuk pekerjaan yang paling akhir dalam penjadwalannya
2. Pembagian operasi ke dalam precedence diagram dalam beberapa region atau daerah dari kiri ke kanan, dengan syarat dalam satu daerah tidak boleh ada operasi yang saling bergantungan. Kumpulkan semua pekerjaan ke wilayah precedence yang terakhir. Hal ini akan menjamin bahwa pekerjaan dengan sedikit ketergantungan akan paling sedikit dipertimbangkan untuk pekerjaan yang paling akhir dalam penjadwalannya 
3. Pengurutan waktu pekerjaan dari yang paling maksimum ke yang paling minimum ke dalam setiap wilayah precedence. Ini akan menjamin pekerjaan terbesar akan diprioritaskan terlebih dahulu, memberikan kesempatan untuk memperoleh kombinasi yang paling baik dengan pekerjaan-pekerjaan yang lebih kecil
4. Pengelompokkan pekerjaan-pekerjaan dengan urutan sebagai berikut :
1. Mula-mula wilayah paling kiri
2. Dalam sebuah wilayah, mula-mula dikerjakan pekerjaan yang mempunyai waktu yang terbesar
5. Pengelompokkan operasi ke dalam stasiun kerja berdasarkan syarat yang tidak melebihi waktu maksimum yang telah ditetapkan. Pada akhir setiap stasiun kerja, harus diputuskan apakah penggunaan waktunya dapat diterima atau tidak. Jika tidak, periksa semua pekerjaan yang memiliki hubungan precedence. Tentukkanlah apakah penggunaan akan meningkat bila dilakukan pertukaran pekerjaan yang berada dalam wilayah yang sama atau sebelumnya dengan pekerjaan yang sedang dipertimbangkan. Bila ya, lakukan pertukaran
6. Teruskan hingga semua elemen operasi ditempatkan pada semua stasiun kerja
• Largest Candidate Rules
1. Tentukan precedence diagram sesuai dengan keadaan yang sebenarnya
2. Urutkan semua elemen operasi dari yang paling besar waktunya hingga yang paling kecil
3. Elemen kerja pada stasiun kerja pertama diambil dari urutan yang paling atas. Elemen kerja dapat diganti atau dipindahkan ke stasiun berikutnya, apabila jumlah elemen kerja telah melebihi batas waktu siklusnya
4. Lanjutkan proses langkah kedua, hingga semua elemen kerja telah berada dalam stasiun kerja dan memenuhi Takt Time

Di dalam penerapan line balancing akan dikenal beberapa istilah. Namun, setiap praktisi kadang menyebutnya berbeda. Secara umum istilah itu berupa:

• Work element, merupakan bagian dari sebuah lini perakitan
• Workstation, merupakan stasiun minimun yang akan dibuat (mengikuti rumus tertentu)
• Cycle time, merupakan waktu rata-rata untuk menghasilkan satu unit pada satu stasiun kerja
• Takt time, merupakan waktu maksimum yang diijinkan untuk memproduksi sebuah produk
• Station time, merupakan jumlah waktu dari elemen-elemen kerja yang ditunjukkan pada stasiun kerja yang sama. Waktu stasiun tidak boleh melebihi waktu siklus
• Idle time, merupakan selisih waktu antara waktu stasiun dan waktu per stasiun kerja
• Precedence constrains, merupakan aturan suatu pekerjaan bisa dikerjakan apabila telah dikerjakan pekerjaan lainnya
• Precedence diagram, merupakan suatu aturan kerja yang dituangkan dalam bentuk gambar
• Line efficiency, merupakan perbandingan total waktu per stasiun kerja terhadap keterkaitan waktu siklus dengan jumlah stasiun kerja

Ada banyak metode heuristik untuk membuat sebuah keseimbangan lini. Biasanya praktisi menggunakan beberapa metode secara sekaligus untuk kemudian diprediksi dan dievaluasi menjadi sebuah keseimbangan lini yang terbaik atau mendekati optimal.

ref:

http://library.binus.ac.id

repository.unugha.ac.id

Proses Produksi Sepatu

Industri alas kaki akan selalu eksis selama manusia masih bepergian secara langsung. Walaupun adanya wabah covid-19, interaksi manusia tetap tidak terbendung. Pada sisi lain memang terjadi keterbatasan mobilitas. Namun, dengan keluarnya vaksin membuat keterbatasan secara perlahan berubah menjadi kesempatan baru. Di bawah ini adalah gambaran bagian-bagian sepatu:

Sumber: https://www.sneakers.co.id/yuk-kenali-bagian-bagian-sepatu-sneakers/

Untuk membentuk sepatu menjadi sempurna diperlukan proses yang kompleks, mulai dari perancangan, pemilihan bahan, proses produksi, pengemasan, hingga pengiriman. Di industri sepatu ada 3 jenis proses di lantai produksi, yaitu cutting, sewing, dan assembling.

1. Cutting
• Proses pemotongan material menggunakan cutting dies atau mesin automation atau mesin laser baik kulit maupun non kulit menjadi komponen sepatu.
• Mesin cutting
• Swim arm : digunakan untuk memotong leather
• Cutting beam : digunakan untuk memotong non leather
• Tooling
• Cutting board
• Gunting
• Lilin
• Color coding
• Pola
• Jenis material
• Leather (kulit sapi, kanguru)
• Full grain : sesuai permukaan kulit alamiah
• Nu buck : full grain yang permukaannya mendapatkan treatment
• Suede : bagian dalam kulit atau di bawah material full grain
• PU Coated : suede yang mendapatkan proses coating PU
• Non leather
• Synthetic
• Textile
• Foam
• Sistem pengendalian kualitas
• Cutting board layak pakai : permukaan masih licin, bekas cutting dies tidak terlalu dalam
• Cutting board harus diganti maksimal 14 hari
• Cutting board sesuai dengan jenis material yang dipakai
2. Sewing
• Proses menggabungkan komponen sepatu menjadi upper
• Tooling
• Mesin jahit dengan bobin/ untuk jahitan kunci. Benang dari jarum dan bobbin terkunci di tengah material:
• Mesin post bed (1 NPT & 2 NPT)
• Mesin flat bed (1 NPT & 2 NPT)
• Mesin zig zag
• Mesin jahit tanpa bobin/ jahitan rantai. Benang dari jahitannya membentuk lilitan/rantai pada material
• Mesin gathering
• Mesin obras
• Mesin stroble
3. Assembling
• Proses menggabungkan bagian upper dan bottom/outsole menjadi sepatu
• Flow process
• Cleaning : membersihkan material dan membuka pori-pori material
• Primering : pengolesan chemical dasar yang dapat meresap dengan baik
• Cementing : pengolesan chemical perekat setelah primaring
• Attaching : proses penempelan outsole ke lasted upper
• Pressing : proses tekanan untuk menyatukan outsole ke lasted upper
• Chiller : proses pendinginan agar lem merekat dengan baik (20 derajat cecius)

Dari proses cutting, sewing, dan assembling tentu akan terdapat proses yang bersifat kritikal. Proses tersebut biasanya akan diberikan tanda tertentu, misalnya warna merah dengan tanda. Sedikitnya ada 14 proses kritikal dalam proses produksi sepatu, yaitu

• Cutting leather : memotong material kulit
• Jahit toe cap : jahitan di depan pada sepatu
• Jahit eyestay : jahitan di dekat lubang tali
• Jahit collar lining : jahit mengikuti garis
• Jahit gathering : jahit kerut pada area toe upper
• Jahit stroble : jahitan untuk menyatukan insole dan upper
• Insert last : memasukkan last ke upper
• Toe lasting : pembentukan bagian depan (toe) upper agar sesuai dengan bentuk laste
• Heel lasting : pembentukan bagian belakang (heel) upper agar sesuai dengan bentuk laste
• Marking lasted upper : membuat marking sesuai outsole di upper
• Hand buffing : penghilangan kulit ari pada material kulit atau pengasaran material sintetik
• Primering, cementing upper & outsole : pengolesan chemical
• Attaching : menyatukan outsole ke lasted upper
• Jahit arriance : jahitan pada area outsole untuk memperkuat bonding antara outsole dan upper

Alur proses cutting-sewing-assembling akan membentuk sepatu, namun untuk membentuk sepatu yang sempurna diperlukan perhatian khusus ke proses-proses kritikal. Beberapa proses kritikal selain memiliki potensi tinggi untuk menghasilkan sepatu yang keluar batas kualitas, juga dapat membahayakan operator, seperti proses kritikal yang berkaitan dengan chemical, yaitu primering dan cementing. Aroma yang sangat menyengat secara terus-menerus dapat membahayakan kehidupan operator tersebut. Hal penting yang perlu diperhatikan untuk meminimalisir aroma tersebut adalah dengan sirkulasi yang baik dan bahan penyerap aroma menyengat seperti kopi dan arang bubuk.

ref:

textile-manufacture

Hidden Markov Model

Pemodelan probabilitas suatu sistem dengan mencari paramter-parameter markov yang tidak diketahui untuk memperoleh analisis sistem merupakan tujuan dari metode hidden markov model. HMM mampu menangani perubahan statistik dari gambar dengan memodelkan elemen-elemen menggunakan probabilitas. Penerapannya secara langsung pada pemrosesan gambar. Untuk dapat menjalankan HMM maka perlu dicari 3 parameter, yaitu parameter a (probabilitas transisi state), parameter b (probabilitas observasi), dan parameter π (probabilitas kemunculan suatu state di awal).

Selain dalam image processing, HMM juga diterapkan dalam pemrosesan suara. Di dalam pemrosesan suara dibagikan menjadi beberapa tahap, yaitu:

1. Data preparasi : pembentukan parameter vector (observasi)
2. Training : inisialisasi dan estimasi parameter vector
3. Testing : pengenalan

Hidden markov model merupakan kasus spesial dari bayesian inference. Oleh karena itu diperlukan pemahaman dasar mengenai kasus bayesian untuk melakukan penerapannya secara tepat. Pada logika matematika (first order logic), ketika kita memiliki premis, bila hujan maka ayu terpeleset. Pada level first order logic, apabila hujan terjadi maka terpeleset juga pasti akan terjadi. Tetapi tidak sebaliknya, apabila terpeleset, belum tentu hujan terjadi. Pada probabilistic reasoning kepastian dan ketidakpastian dikuantifikasi.

Ide utama HMM adalah menyelesaikan persoalan sequence tagging. Diberikan input x berupa sekuens (sekuens sinyal, sekuens kata, sekuens gambar, dsb). Akan dimodelkan sekuens output terbaik y untuk input tersebut. Pada bidang pemrosesan bahasa alami (natural language processing) ada hal menarik untuk mengetahui kelas kata dari kalimat. Misalnya sebuah kalimat budi menendang bola. Setelah proses POS tagging, akan didapatkan budi/noun menendang/verb bola/noun.

Sumber: https://wiragotama.github.io/resources/ebook/parts/JWGP-intro-to-ml-chap8-secured.pdf

Markov merupakan sebuah rantai yang biasanya digunakan untuk menggambarkan proses stokastik. Yang dimaksud proses stokastik adalah hasil dari proses yang didasarkan hubungan pasti. Hubungan pasti tersebut yang kemudian dihitung dan coba digambarkan dalam rantai markov sehingga bisa dihasilkan cara pengambilan keputusan yang baik dan benar.

ref:

repository.its.ac.id

repository.usd.ac.id

wiragotama.github.io

Balanced Scorecard

Perusahaan akan mempertimbangkan sumber daya dari kinerjanya. Pada dasarnya perusahaan akan memilih sumber daya yang dapat memberikan kinerja berdampak pada profit. Untuk melakukan evaluasi dari kinerja diperlukan sebuah metode bernama balanced scorecard. Balanced scorecard disusun oleh Robert Kaplan dan David Norton. Menurut mereka balanced scorecard merupakan suatu kerangka kerja untuk mengintegrasikan berbagai ukuran yang diturunkan dari strategi perusahaan atau organisasi.

Metode balanced scorecard merupakan pengembangan dari metode kinerja perusahaan yang hanya berupa aspek finansial. Artinya metode ini akan mempertimbangkan aspek finansial dan non-finansial. Sedikitnya ada 4 perspektif yang digunakan yaitu perspektif keuangan (finansial), perspektif pelanggan, perspektif proses bisnis internal, dan perspektif pembelajaran & pertumbuhan. Konsep balanced scorecard memiliki sistem yang saling keterkaitan. Hal tersebut dimungkinkan karena ada 3 faktor, yaitu:

1. Hubungan Sebab Akibat (Cause Effect Relation)
2. Faktor Pendorong Kinerja (Performance Driver)
3. Keterkaitan dengan masalah finansial (Linkage to Financials)

Sumber: https://repository.its.ac.id/74827/1/2512100102-Undergraduate_Thesis.pdf

Dari perspektif finansial ada 3 tahap perkembangan industri, yaitu growth (perusahaan menghasilkan produk dan/atau jasa), sustain (perusahaan melakukan investasi dan reinvestasi), dan harvest (memaksimalkan pengembalian kas akibat investasi). Pada perspektif ini, keuangan sebuah organisasi dapat dilihat dari dua pendekatan, yaitu keuangan jangka pendek dan jangka panjang.

Di perspektif customer lebih ke mengidentifikasi kondisi dari pelanggan dan segmen pasar yang telah dipilih oleh perusahaan. Ada 5 aspek didalam mengidentifikasi kondisi pelanggan dan segmen pasar, yaitu pengukuran pangsa pasar, customer retention (pertumbuhan bisnis berdasarkan pertumbuhan bisnis), customer acquisition (penambahan pelanggan baru), customer satisfaction (kepuasan pelanggan), dan customer profitability (menggunakan teknik activity based-costing (ABC)).

Perspektif internal business process menekankan pada rantai nilai, sedangkan pada perspektif learning & growth memantau kesejahteraan dan meningkatkan pengetahuan dari karyawan dengan 3 kategori pengukuran utama, yaitu kompetensi karyawan, daya dukung teknologi, dan budaya-motivasi-penghargaan.

ref:

repository.its.ac.id

Shoes Developer

Fungsi developer di perusahaan alas kaki, khususnya sepatu adalah melakukan perencanaan, koordinasi, follow up, dan evaluasi dalam pengembangan produk atau projek secara andal mulai dari tahapan development sampai tahapan commercialization. Hal itu dilakukan untuk memastikan produk dapat diimplementasikan sesuai dengan spesifikasi pelanggan dan time line, serta memastikan semua permintaan sample dapat terkirim tepat waktu dengan kualitas terbaik.

Seorang developer perlu memiliki karakter seperti project owner (berkemampuan untuk tanggung jawab terhadap segala sesuatu yang berhubungan dengan project tersebut), engineering mindset (berkemampuan untuk mendevelop sepatu dengan kualitas dan produktivitas tinggi), communication window (sebagai sumber komunikasi baik internal maupun eksternal), time keeper (pengaturan waktu yang baik), creative / problem solving (mampu memberikan ide-ide), dan cost awareness (sadar terhadap biaya yang timbul).

Selain keenam karakter di atas untuk menjadi developer yang baik diperlukan 5 skill atau keahlian, yaitu communication, coordinator, detail, personel approach, dan anticipation-preparation. Dengan kombinasi 6 karakter dan 5 keahlian diharapkan seorang developer dapat mengemban tanggung jawab:

1. OSD (On time Sample Delivery)
• Mengirim sampel hasil desain secara tepat waktu
2. BoM (Bill of Material)
• Membuat informasi jenis material-material yang digunakan, kebutuhan material per pasang (yield), satuan dan warna material
3. Swatch Book
• Membuat buku petunjuk yang berisi mengenai spesifikasi material yang akan digunakan
4. CWA (Corolway Activation)
• Kondisi saat model sepatu sudah di publish dan model sepatu tersebut dapat di order oleh customer
5. SNM (Swatch New Material)
• Petunjuk yang menjelaskan mengenai kode material baru atau yang telah expired agar dikenali oleh logistik
6. MCS (Manufacturing Confirmation Sample)
• Tahap akhir dari pembuatan sampel development, sehingga sepatu contoh dapat dipergunakan sebagai standard dan sepatu tersebut telah memiliki tanda persetujuan dari development dan brand (ex. Adidas)
7. S4 (Swatch Subcon Standard System)
• Dokumen standar spesifikasi yang menjadi acuan dalam produksi sepatu

Tanggung jawab di atas harus dapat diselesaikan mengikuti kalender developer. Secara umum kalender pengembang ada 3 tahapan, yaitu inline (18-12 bulan sebelum produksi), SMU atau special make up (3-6 bulan dari proses development sampai produksi), dan transfer project (3,5 bulan sebelum produksi).

Sumber: anonim

Tahap awal dari pengembangan sepatu dengan brand tertentu adalah melaui head quarter dari brand tersebut yang dikompilasi dalam sebuah technical package. Dari technical package kemudian masuk kedalam stage CR0 yang merupakan review konsep sepatu yang akan dibuat. Di tahap ini masih banyak perubahan secara design, material maupun warna, feedback perubahan harus diimplementasikan pada tahapan selanjutnya yaitu di tahap CR1. Pada tahap CR1 dibuat sampel sebanyak 7-10 pairs/article. Meskipun demikian masih banyak terjadi perubahaan melalui feedback kemudian diimplementasikan pada stage selanjutnya (CR2). Di stage CR2 telah terjadi modifikasi dan tetap dibuat 7-10 pairs/article (maksud dari article adalah desain).

Setelah stage CR0, CR1, dan CR2 dilewati maka masuk ke stage presell yaitu tahap me-release sample ke distributor region area dari brand. Tahap terakhir adalah SMS atau salesman sample yang merupakan tahap masih dapat berubah namun hanya dalam warna yang diinginkan market. Di tahap terakhir ini juga ditentukan FPL atau final price list. Nah, untuk melewati stage-stage tersebut secara baik, benar, dan lancar diperlukan relasi kerja dengan bagian logistik, pattern engineering, upper tooling, bottom engineering, accessories engineer, quality assurance, black box, dan costing.

ref:

textile-manufacture