IT DI SISTEM IATF 16949

Kondisi saat ini perkembangan metoda kerja sangat pesat berkembang, sangat erat kaitannya dengan sistem IT, bahkan sistem IT sangat diandalkan, karena diandalkan maka keamanan Cyber sistem IT mempunyai risiko yang juga tinggi. Harapan yang diinginkan oleh sistem IATF 16949 adalah tidak ada gangguan mampu supplai di semua sistem, termasuk di sistem IT. Dalam konteks manufaktur, proteksi cyber pada peralatan dan sistem supporting sangat krusial karena cyber attack bisa menghentikan jalur produksi, merusak program di mesin, atau ada pencurian data penting. Di pasal IATF 16949:2016 memang TIDAK dinyatakan terkait dengan cyber attack bahkan sistem IT, tetapi dalam perkembangan standard IATF 16949, melalui website https://www.iatfglobaloversight.org/, IATF 16949  sudah mengeluarkan perubahan-perubahan pasal, termasuk Sistem IT yang harus diterapkan oleh semua industri otomotif yang sudah atau yang akan disertifikasi sistem IATF 16949, dimana disebutkan bahwa perlindungan cyber attack di suatu perusahaan HARUS sudah diimplementasikan mulai dari: identifikasi infrastruktur terkait IT, monitoring dan tindakan contingencynya.

Kami coba meresume point-point yang HARUS dijalankan di sistem IT, silahkan dipersiapkan agar pabrik kita sesuai standard IATF 16949:

• IMPLEMENT CYBER PROTECTION. Proteksi Cyber harus dilakukan pada peralatan dan sistem supporting, untuk hal ini pastikan ada identifikasi yang menyeluruh terkait peralatan dan sistem supporting terkait IT. Banyak klien kami mengembangkan sistem IT/aplikasi secara mandiri, misalkan di sistem PULL produk mulai dari produksi sampai dengan gudang dan pengiriman, pembuatan aplikasi saat pengukuran langsung di line produksi, sistem backup data mesin (PLC, SCADA dll), saya melihat hal ini sangat mempercepat proses kerja, tetapi sistem proteksinya masih perlu ditingkatkan.
• TEST SISTEM IT, melakukan efektifitas test the contingency plans secara periodic pada cybersecurity, seperti:
  • testing termasuk simulation kalau terjadi cyber-attackregular monitor  ke spesifik ancaman /threatsmengidentifikasi ketergantungan dan prioritas kerentanan sistem IT.
  • Pengujian sesuai dengan risiko gangguan pelanggan yang terkait;

Pastikan bukti-bukti catatan di atas tersedia, baik kegiatan yang dikelola internal atau subcont IT

• SUBCONT IT. Bila ada subcont terhadap pekerjaan IT, pastikan kontrak menyatakan jelas scope pekerjaan, min dalam hal monitoring dan saat contingency terhadap semua infrastruktur terkait IT yang berpotensi mengganggu mampu supplai
• RISK ASSESSMENT. Buatkan risk Assessment terkait IT (7.1.3.1). Analisa risikonya terhadap ancama cyber-attack di sistem  information technology (lihat 6.1.2.1. Potensi Cyber Attack menimbulkan risiko karena informasi berharga yang tersimpan dalam sistem teknologi informasi, jadi harus mempertimbangkan potensi Cyber attack dalam analisis risiko.
• SOSIALISASI CYBER ATTACK, Pengetahuan karyawan merupakan hal yang penting juga untuk mencegah masalah cyber attack. Sehingga perlu pihak IT berkoordinasi dengan HRD untuk membuat bentuk sosialisasi yang efektif (7.2)
• CONTINGENCY PLAN. Contingency. Perusahaan harus memastikan persiapan contingency plans untuk memastikan continuity supply tidak terkendala di aspek IT, seperti: cyber-attacks pada information technology systems (6.1.2.3)
• AUDIT SISTEM IT. Perlu memastikan sistem IT audit pelaksanaan, untuk memberikan masukan sehingga sistem IT lebih baik lagi (8.2)
• CUSTOMER SPECIFIC REQUIREMENTS, Customer specific requirement di hampir semua customer menyebutkan sistem IT, jadi identifikasi apa saja keinginan mereka terkait sistem IT. Beberapa OEM mengeluarkan ketentuan perlindungan sistem IT terhadap kerahasiaan produk saat new model, metoda akses ke desain, produksi, pengiriman dll yang menggunakan sistem IT, harus juga mendapatkan bentuk monitoring dan perlindungan saat terjadi masalah

Intinya adalah perusahaan kita harus menerapkan perlindungan siber pada peralatan dan sistem pendukung manufaktur dan area kantor yang menggunakan komputer, sehingga tidak terjadai gagal supplai akibat aspek IT, di SI IATF 16949 bulan November 2025 dinyatakan bahwa perusahaan perlu memastikan mereka siap jika terjadi cyber attack.

Salam

www.improvementqhse.com

LAMPIRAN PENJELASAN OLEH SISTEM IT IMPROVEMETQHSE

Bentuk Proteksi Cyber di Manufaktur

• Proteksi Jaringan & Infrastruktur
  • Firewall industri untuk memfilter lalu lintas.
  • Segmentasi jaringan antara IT (informasi) dan OT (operational technology) agar mesin produksi tidak langsung terekspos.
  • Intrusion Detection/Prevention System (IDS/IPS) untuk mendeteksi serangan.
• Proteksi Sistem Kontrol Industri (ICS) & IoT
  • Update firmware dan patching rutin pada PLC, SCADA, dan sensor IoT.
  • Enkripsi komunikasi antar perangkat.
  • Isolasi sistem kontrol dari internet publik.
• Proteksi Data & Aplikasi
  • Backup data produksi dan desain secara berkala.
  • Enkripsi data sensitif (misalnya resep produksi, data pelanggan).
  • Role-based access control (RBAC) agar akses sesuai jabatan.
• Monitoring & Audit
  • Security Information and Event Management (SIEM) untuk analisis insiden.
  • Log aktivitas mesin dan sistem supporting.
  • Audit keamanan berkala untuk menemukan celah.
• Proteksi Perangkat & Fisik
  • Antivirus/anti-malware pada komputer supporting.
  • Pembatasan akses fisik ke server, panel kontrol, dan perangkat kritis.
  • CCTV dan kontrol akses biometrik di ruang server/mesin.
• Proteksi SDM (Human Layer)
  • Pelatihan karyawan tentang phishing dan social engineering.
  • Simulasi serangan untuk meningkatkan kewaspadaan.
  • Kebijakan keamanan yang jelas dan wajib dipatuhi.

Risiko Jika Tidak Dilakukan

• Downtime produksi → kerugian besar karena manufaktur sangat sensitif terhadap berhentinya mesin.
• Kebocoran data desain/produksi → bisa dimanfaatkan pesaing atau pihak jahat.
• Kerusakan reputasi → kehilangan kepercayaan pelanggan dan mitra bisnis.

Kategori	Bentuk Proteksi	Tujuan Utama
Jaringan & Infrastruktur	Firewall industri, IDS/IPS, segmentasi jaringan IT–OT, VPN aman	Mencegah akses tidak sah & serangan eksternal
Sistem Kontrol Industri (ICS/SCADA/IoT)	Patch firmware, enkripsi komunikasi antar perangkat, isolasi dari internet publik	Menjaga keandalan mesin & sensor produksi
Data & Aplikasi	Backup berkala, enkripsi data sensitif, RBAC (role-based access control)	Melindungi data produksi & desain dari kebocoran
Monitoring & Audit	SIEM, log aktivitas mesin, audit keamanan rutin	Deteksi dini insiden & evaluasi keamanan
Perangkat & Fisik	Antivirus/anti-malware, kontrol akses fisik, CCTV, biometrik	Melindungi perangkat supporting & server dari sabotase
SDM (Human Layer)	Pelatihan anti-phishing, simulasi serangan, kebijakan keamanan wajib	Mengurangi risiko human error & social engineering

Kami coba meresume point-point yang HARUS dijalankan di sistem IT, silahkan dipersiapkan agar pabrik kita sesuai standard IATF 16949:

• IMPLEMENT CYBER PROTECTION. Proteksi Cyber harus dilakukan pada peralatan dan sistem supporting, untuk hal ini pastikan ada identifikasi yang menyeluruh terkait peralatan dan sistem supporting terkait IT. Banyak klien kami mengembangkan sistem IT/aplikasi secara mandiri, misalkan di sistem PULL produk mulai dari produksi sampai dengan gudang dan pengiriman, pembuatan aplikasi saat pengukuran langsung di line produksi, sistem backup data mesin (PLC, SCADA dll), saya melihat hal ini sangat mempercepat proses kerja, tetapi sistem proteksinya masih perlu ditingkatkan.
• TEST SISTEM IT, melakukan efektifitas test the contingency plans secara periodic pada cybersecurity, seperti:
  • testing termasuk simulation kalau terjadi cyber-attack
  • regular monitor  ke spesifik ancaman /threats
  • mengidentifikasi ketergantungan dan prioritas kerentanan sistem IT.
  • Pengujian sesuai dengan risiko gangguan pelanggan yang terkait;

Pastikan bukti-bukti catatan di atas tersedia, baik kegiatan yang dikelola internal atau subcont IT

• SUBCONT IT. Bila ada subcont terhadap pekerjaan IT, pastikan kontrak menyatakan jelas scope pekerjaan, min dalam hal monitoring dan saat contingency terhadap semua infrastruktur terkait IT yang berpotensi mengganggu mampu supplai
• RISK ASSESSMENT. Buatkan risk Assessment terkait IT (7.1.3.1). Analisa risikonya terhadap ancama cyber-attack di sistem  information technology (lihat 6.1.2.1. Potensi Cyber Attack menimbulkan risiko karena informasi berharga yang tersimpan dalam sistem teknologi informasi, jadi harus mempertimbangkan potensi Cyber attack dalam analisis risiko.
• SOSIALISASI CYBER ATTACK, Pengetahuan karyawan merupakan hal yang penting juga untuk mencegah masalah cyber attack. Sehingga perlu pihak IT berkoordinasi dengan HRD untuk membuat bentuk sosialisasi yang efektif (7.2)
• CONTINGENCY PLAN. Contingency. Perusahaan harus memastikan persiapan contingency plans untuk memastikan continuity supply tidak terkendala di aspek IT, seperti: cyber-attacks pada information technology systems (6.1.2.3)
• AUDIT SISTEM IT. Perlu memastikan sistem IT audit pelaksanaan, untuk memberikan masukan sehingga sistem IT lebih baik lagi (8.2)

Intinya adalah perusahaan kita harus menerapkan perlindungan siber pada peralatan dan sistem pendukung manufaktur dan area kantor yang menggunakan komputer, sehingga tidak terjadai gagal supplai akibat aspek IT, di SI IATF 16949 bulan November 2025 dinyatakan bahwa perusahaan perlu memastikan mereka siap jika terjadi cyber attack.

Salam

www.improvementqhse.com

LAMPIRAN PENJELASAN OLEH SISTEM IT IMPROVEMETQHSE

Bentuk Proteksi Cyber di Manufaktur

• Proteksi Jaringan & Infrastruktur
  • Firewall industri untuk memfilter lalu lintas.
  • Segmentasi jaringan antara IT (informasi) dan OT (operational technology) agar mesin produksi tidak langsung terekspos.
  • Intrusion Detection/Prevention System (IDS/IPS) untuk mendeteksi serangan.
• Proteksi Sistem Kontrol Industri (ICS) & IoT
  • Update firmware dan patching rutin pada PLC, SCADA, dan sensor IoT.
  • Enkripsi komunikasi antar perangkat.
  • Isolasi sistem kontrol dari internet publik.
• Proteksi Data & Aplikasi
  • Backup data produksi dan desain secara berkala.
  • Enkripsi data sensitif (misalnya resep produksi, data pelanggan).
  • Role-based access control (RBAC) agar akses sesuai jabatan.
• Monitoring & Audit
  • Security Information and Event Management (SIEM) untuk analisis insiden.
  • Log aktivitas mesin dan sistem supporting.
  • Audit keamanan berkala untuk menemukan celah.
• Proteksi Perangkat & Fisik
  • Antivirus/anti-malware pada komputer supporting.
  • Pembatasan akses fisik ke server, panel kontrol, dan perangkat kritis.
  • CCTV dan kontrol akses biometrik di ruang server/mesin.
• Proteksi SDM (Human Layer)
  • Pelatihan karyawan tentang phishing dan social engineering.
  • Simulasi serangan untuk meningkatkan kewaspadaan.
  • Kebijakan keamanan yang jelas dan wajib dipatuhi.

Risiko Jika Tidak Dilakukan

• Downtime produksi → kerugian besar karena manufaktur sangat sensitif terhadap berhentinya mesin.
• Kebocoran data desain/produksi → bisa dimanfaatkan pesaing atau pihak jahat.
• Kerusakan reputasi → kehilangan kepercayaan pelanggan dan mitra bisnis.

Kategori	Bentuk Proteksi	Tujuan Utama
Jaringan & Infrastruktur	Firewall industri, IDS/IPS, segmentasi jaringan IT–OT, VPN aman	Mencegah akses tidak sah & serangan eksternal
Sistem Kontrol Industri (ICS/SCADA/IoT)	Patch firmware, enkripsi komunikasi antar perangkat, isolasi dari internet publik	Menjaga keandalan mesin & sensor produksi
Data & Aplikasi	Backup berkala, enkripsi data sensitif, RBAC (role-based access control)	Melindungi data produksi & desain dari kebocoran
Monitoring & Audit	SIEM, log aktivitas mesin, audit keamanan rutin	Deteksi dini insiden & evaluasi keamanan
Perangkat & Fisik	Antivirus/anti-malware, kontrol akses fisik, CCTV, biometrik	Melindungi perangkat supporting & server dari sabotase
SDM (Human Layer)	Pelatihan anti-phishing, simulasi serangan, kebijakan keamanan wajib	Mengurangi risiko human error & social engineering