MAKALAH ETIKA DAN KEAMANAN SISTEM INFORMASI
BAB I
PENDAHULUAN
I.I LATAR
BELAKANG
Dari pengalaman berbagai organisasi dalam pemanfaatan sistem informasi, salah satu hal yang dibutuhkan adalah bagaimana setiap organisasi dapat memastikan bahwa sistem informasi yang ada memiliki etika dalam sistem pengamanan dan pengendalian yang memadai. Penggunaan sistem informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada perangkat keras, gangguan dalam komunikasi, bencana alam, dan kesalahan yang dilakukan oleh petugas merupakan beberapa contoh betapa rentannya sistem informasi menghadapi berbagai risiko dan potensi risiko yang kemungkinan timbul dari penggunaan sistem informasi yang ada.
Kemajuan dalam telekomunikasi dan perangkat lunak dan keras komputer secara signifikan juga memberikan kontribusi atas meningkatnya kerentanan dan gangguan terhadap sistem informasi. Melalui jaringan telekomunikasi, informasi disebarkan atau dihubungkan ke berbagai lokasi. Kemungkinan adanya akses yang tidak sah, gangguan atau kecurangan dapat saja terjadi baik di satu atau beberapa lokasi yang terhubung. Semakin kompleksnya perangkat keras juga menciptakan kemungkinan terjadinya peluang untuk penetrasi dan manipulasi penggunaan sistem informasi.
Pertumbuhan dan penggunaan yang pesat internet dalam berbagai aktivitas juga mengundang timbulnya berbagai gangguan terhadap sistem informasi. Dua hal yang menjadi perhatian di sini adalah masalah hackers dan virus. Hacker adalah seseorang yang melakukan akses yang tidak sah ke jaringan komputer untuk tujuan mencari keuntungan, kriminal, atau hanya untuk sekedar kesenangannya. Sedangkan virus adalah program yang mengganggu dan merusak file yang ada dalam komputer, serta sulit untuk dideteksi. Virus ini dapat cepat sekali menyebar, menghancurkan file, dan mengganggu pemrosesan dan memory sistem informasi. Umumnya, untuk mencegah penyebaran virus yang menyerang, digunakan program khusus anti virus yang didesain untuk mengecek sistem komputer dan file yang ada dari kemungkinan terinfeksi oleh virus komputer. Seringkali, anti virus ini mampu untuk mengeliminasi virus dari area yang terinfeksi. Namun, program antivirus ini hanya dapat untuk mengeliminasi atas virus-virus komputer yang sudah ada. Oleh karenanya, para pengguna komputer disarankan untuk secara berkala memperbarui program anti virus mereka. Oleh karena itu penyusun berkeninginan melakukan penyusunan malalah yang berjudul : “ Etika dan Keamanan Sistem Informasi”.
I.II TUJUAN
Penyusunan
makalah ini bertujuan untuk memberikan informasi mengenai bagaimana cara bisa
memberkan penjelaan mengenai Etika dan Keamanan Sistem Informasi.Semoga Makalah
ini dapat bermanfaat untuk semua pihak khususnya untuk para Mahasiswa.
I.III RUANG
LINGKUP PENULISAN
Adapun ruang
lingkup dalam penyusunan makalah ini adalah mengenai pengertian tentang Etika
dalam Sistem Informasi dan Keamanan dalam Sistem informai serta memaparkan
mengenai Pengendalian Sistem informasi itu sendiri.
I.IV
SISTEMATIKA PENULISAN
Dalam
penulisan ini untuk memudahkan bagi pembaca, maka penyusun membagi penulisan
menjadi tiga bab, yaitu :
BAB I
PENDAHULUAN
Pada bab ini
dijelaskan mengenai hal-hal yang melatarbelakangi penyusunan proposal ini, yang
terdiri dari latar belakang, tujuan kegiatan, ruang lingkup kegiatan dan
sistematika penulisan.
BAB II
PEMBAHASAN MATERI
Bab ini
dijelaskan mengenai Etika dalam Sitem Informasi, Keamanan dalam Sistem
Informasi dan Pengendalian dalam Sistem Informasi.
BAB III
PENUTUP
Pada bab
penutup ini terdiri dari kesimpulan serta saran akhir dari Makalah yang
disusun. Saran bertujuan sebagai bahan masukan yang berarti bagi seluruh orang
terutama pelajar untuk memberikan gambaran tentang Etika dan Keamanan Sistem
Informasi.
BAB II
PEMBAHASAN
II. I ETIKA
SISTEM INFORMASI
Etika
(Yunani Kuno: "ethikos", berarti "timbul dari kebiasaan")
adalah cabang utama filsafat yang mempelajari nilai atau kualitas yang menjadi
studi mengenai standar dan penilaian moral. Etika mencakup analisis dan
penerapan konsep seperti benar, salah, baik, buruk, dan tanggung jawab.
Etika
dimulai bila manusia merefleksikan unsur-unsur etis dalam pendapat-pendapat
spontan kita.] Kebutuhan akan refleksi itu akan kita rasakan, antara lain karena
pendapat etis kita tidak jarang berbeda dengan pendapat orang lain.[1] Untuk
itulah diperlukan etika, yaitu untuk mencari tahu apa yang seharusnya dilakukan
oleh manusia.
Secara
metodologis, tidak setiap hal menilai perbuatan dapat dikatakan sebagai
etika.Etika memerlukan sikap kritis, metodis, dan sistematis dalam melakukan
refleksi.Karena itulah etika merupakan suatu ilmu. Sebagai suatu ilmu, objek
dari etika adalah tingkah laku manusia.Akan tetapi berbeda dengan ilmu-ilmu
lain yang meneliti juga tingkah laku manusia, etika memiliki sudut pandang
normatif. Maksudnya etika melihat dari sudut baik dan buruk terhadap perbuatan
manusia.
Etika dalam
Sistem Informasi dibahas pertama kali oleh Richard Mason (1986), yang mencakup
PAPA yaitu :
1. Privasi
Privasi
(Bahasa Inggris: privacy) adalah kemampuan satu atau sekelompok individu untuk
mempertahankan kehidupan dan urusan personalnya dari publik, atau untuk
mengontrol arus informasi mengenai diri mereka
Menurut UU
Teknologi Informasi ayat 19
Privasi adalah
hak individu untuk mengendalikan penggunaan informasi tentang identitas pribadi
baik oleh dirinya sendiri atau oleh pihak lainnya.
Hukuman dan
pidana tentang privasi
Pasal 29 :
Pelanggaran Hak Privasi
Barangsiapa
dengan sengaja dan melawan hukum memanfaatkan Teknologi Informasi untuk
mengganggu hak privasi individu dengan cara menyebarkan data pribadi tanpa
seijin yang bersangkutan, dipidana penjara paling singkat 3 (tiga) tahun dan
paling lama 7 (tujuh) tahun.
Contoh isu
mengenai privasi sehubungan diterapkannya system informasi adalah pada kasus
seorang manajer pemasaran yang ingin mengamati e-mail yang dimiliki para
bawahannya karena diperkirakan mereka lebih banyak berhubungan dengan e-mail
pribadi daripada e-mail para pelanggan. Sekalipun sang manajer dengan
kekuasaannya dapat melakukan hal seperti itu, tetapi ia telah melanggarprivasi
bawahannya.
Privasi
dibedakan menjadi privasi fisik dan privasi informasi (Alter, 2002). Privasi
fidik adalah hak seseorang untk mencegah sseseorang yangtidak dikehendaki
terhadap waktu, ruang, dan properti (hak milik), sedangkan privasi informasi
adalah hak individu untuk menentukan kapan, bagaimana, dan apa saja informasi
yang ingin dikomunikasikan dengan pihak lain.
2. Akurasi
Akurasi
terhadap informasi merupakan factor yang harus dpenuhi oleh sebuah sistem
informasi. Ketidak akurasian informasi dapat menimbulkan hal yang mengganggu,
merugikan, dan bahkan membahayakan.
Sebuah
kasusakibat kesalahan penghapusan nomor keamanan social dialami oleh Edna Rismeller
(Alter, 2002, hal.292). Akibatnya, kartu asuransinya tidak bias digunakan
bahkan pemerintah menarik kembali cek pension sebesar $672 dari rekening
banknya. Kisah lain dialami oleh para penyewa apartemen di Amerika yang karena
sesuatu hal pernah bertengkar dengan pemiliki apartemen. Dampaknya, terdapat
tanda tidak baik dalam basis data dan halini membuat mereka sulit untuk
mendapatkan apartemen lain.
Mengingat
data dalam sistem informasi menjadi bahan dalam pengambilan keputusan,
keakurasiannya benar-benar harus diperhatikan.
3. Properti
Perlindungan
terhadap hak PROPERTI yang sedang digalakkan saat ini yaitu yang dikenal dengan
sebutan HAKI (hak atas kekayaan intelektual).
HAKI biasa
diatur melalui hak cipta (copyright), paten, dan rahasia perdagangan (trade
secret).
a. Hak cipta
adalah hak yang dijamin oleh kekuatan hukum yang melarang penduplikasian
kekayaan intelektual tanpa seizin pemegangnya.Hak seperti ini mudah untuk
didapatkan dan diberikan kepada pemegangnya selama masa hidup penciptanya plus
70 tahun.
b. Paten
merupakan bentuk perlindungan terhadap kekayaan intelektual yang paling sulit
didapatkan karena hanya akan diberikan pada penemuan-penemuan inovatif dan
sangat berguna. Hukum paten memberikan perlindungan selama 20 tahun.
Isu yang
juga marak sampai saat ini adalah banyaknya penyali perangkat lunak secara
ilegal dengan sebutan pembajakan perangkat lunak (software privacy). Beberapa
solusi untuk mengatasi hal ini telah banyak ditawarkan, namun belum memiliki
penyelesaian, seperti sebaiknya software – terutana yang bias dijual massak –
dijual dengan harga yang relative murah. Solusi yang mengkin bias figunakan
untukperusahaan-perusahaan yang memiliki dana yangterbatas untukmemberli
perangkat lunak yang tergolong sebagai open source.
4. Akses
Fokus dari
masalah akses adalah pada penyediaanakses untuk semua kalangan. Teknologi
informasi diharapkan tidak menjadi halangan dalam melakukan pengaksesan
terhadap informasi bagi kelompok orang tertentu, tetapi justru untuk mendukung
pengaksesan untuk semuapihak. Sebagai contoh, untuk mendukunf pengaksesan
informasi Web bagi orang buta, TheProducivity Works (www.prodworks.com)
menyediakan Web Broser khusus diberi nama pw WebSpeak. Browser ini memiliki
prosesor percakapan dan dapat (Zwass, 1998).
II.II.
Sistem Keamanan Informasi.
II.II.A.Keamanan
Sistem Informasi
Keamanan
merupakan faktor penting yang perlu diperhatikan dalam pengoperasian sistem
informasi. Tujuannya adalah untuk mencegah ancaman terhadap sistem serta untuk
mendeteksi dan membetulkan akibat segala kerusakan sistem.
Ancaman
terhadap sistem informasi dapat dibagi menjadi dua macam: ancaman aktif dan
ancaman pasif
· Ancaman
aktif mencakup kecurangan dan kejahatan terhadap komputer
· Ancaman
pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam
Jika kita
berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk
adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain.
Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara
kepada kemungkinan adanya resiko yang muncul atas sistem tersebut sehingga
pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah
utama yaitu :
1. Threats
(Ancaman)
Ancaman
adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul
dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
a. Ancaman
Alam
Yang
termasuk dalam kategori ancaman alam terdiri atas :
· Ancaman
air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai,
pencairan salju
· Ancaman
Tanah, seperti : Longsor, Gempa bumi, gunung meletus
· Ancaman
Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
b. Ancaman
Manusia
Yang dapat
dikategorikan sebagai ancaman manusia, diantaranya adalah :
· Malicious
code
· Virus,
Logic bombs, Trojan horse, Worm, active contents, Countermeasures
· Social
engineering
· Hacking,
cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
· Kriminal
· Pencurian,
penipuan, penyuapan, pengkopian tanpa ijin, perusakan
· Teroris
· Peledakan,
Surat kaleng, perang informasi, perusakan
Ancaman
Lingkungan
Yang dapat
dikategorikan sebagai ancaman lingkungan seperti :
· Penurunan
tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam
jangka waktu yang cukup lama
· Polusi
· Efek bahan
kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
· Kebocoran
seperti A/C, atap bocor saat hujan
Besar
kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum
teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks
ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di
minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas
serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan
seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami
mall function.
2.
Vulnerability (Kelemahan)
Adalah cacat
atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain,
menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol
yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup
terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan,
maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti :
Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau
Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu
pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
a.
Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman
dan kelemahan
b.
Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses
yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
c.
Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak
seimbang untuk dikembalikan dalam keadaan normal
Tindakan
tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari
kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain,
akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu
sendiri.
Masalah
tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem
informasi yaitu :
-
Efektifitas
- Efisiensi
-
Kerahaasiaan
- Integritas
- Keberadaan
(availability)
- Kepatuhan
(compliance)
- Keandalan
(reliability)
Untuk
menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan
dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan
sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu
:
Akses
kontrol sistem yang digunakan
Telekomunikasi
dan jaringan yang dipakai
Manajemen
praktis yang di pakai
Pengembangan
sistem aplikasi yang digunakan
Cryptographs
yang diterapkan
Arsitektur
dari sistem informasi yang diterapkan
Pengoperasian
yang ada
Busineess
Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
Kebutuhan
Hukum, bentuk investigasi dan kode etik yang diterapkan
Tata letak
fisik dari sistem yang ada
Dari domain
tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan
ancaman dan kelemahan sistem yang dimiliki.
II.II.B
Teknik yang digunakan untuk melakukan serangan keamanana Sistem Informasi
Ada beberapa
teknik yang digunakan untuk melakukan serangan diantaranya adalah :
1. Denial of
Service
Teknik ini
dilaksanakan dengan cara membuat permintaan yang sangat banyak terhadap suatu
situs sehingga sistem menjadi macet dan kemudian dengan mencari kelemahan pada
sistem si pelaku melakukan serangan terhadap sistem.
2. Sniffer
Teknik ini
diimplementasikan dengan membuat program yang dapat melacak paket data seseorang
ketika paket tersebut melintasi Internet, menangkap password atau menangkap
isinya.
3. Spoofing
Melakukan
pemalsuan alamat e-mail atau Web dengan tujuan untuk menjebak pemakai agar
memasukkan informasi yang penting seperti password atau nomor kartu kredit
II.III Etika
Pengendalian Sistem Informasi
Untuk
meminimalkan kemungkinan terjadinya bencana (disaster), kesalahan (errors),
interupsi pelayanan, kejahatan terhadap pemanfatan komputer, dan pelanggaran
sistem pengamanan komputer, perlu dibangun kebijakan dan prosedur khusus ke
dalam desain dan implementasi sistem informasi. Perlu dibangun pengendalian
sistem informasi yang terdiri dari seluruh metode, kebijakan, dan prosedur
organisasi yang dapat memastikan keamanan aset organisasi, keakuratan dan dapat
diandalkannya catatan dan dokumen akuntansi, dan aktivitas operasionalmengikuti
standar yang ditetapkan manajemen. Pengendalian atas sistem informasi harus
menjadi bagian yang terintegrasi sejak sistem informasi ini dirancang.
Menurut
American Institute of Certified Public Accountant (AICPA), pengendalian sistem
informasi dapat dibagi menurut pengendalian umum (general control) dan
pengendalian aplikasi (application control). Di samping itu, terdapat pula
organisasi profesi lain yang khusus di bidang audit dan pengendalian teknologi
informasi, yaitu ISACA (Information Systems Audit and Control Association) yang
membagi bentuk pengendalian dari perspektif yang berbeda. ISACA membagi
pengendalian sistem informasi menjadi 2 jenis, yaitu: pengendalian luas
(pervasive control) dan pengendalian terinci (detailed control). Untuk
selanjutnya, pembahasan lebih dalam di modul ini menggunakan pembagian
pengendalian sistem informasi mengikuti apa yang dirumuskan oleh AICPA, yaitu
bahwa pengendalian sistem informasi terbagi atas pengendalian umum dan
pengendalian aplikasi. Pengendalian umum diterapkan pada keseluruhan aktivitas
dan aplikasi sistem informasi.
Pengendalian
umum ini dipasangkan atau melekat di dalam suatu sistem informasi dengan tujuan
untuk mengendalikan rancangan, pengamanan, dan penggunaan program-program
komputer, serta pengamanan atas file data di dalam infrastruktur teknologi
informasi. Dengan kata lain, pengendalian umum dipasangkan di keseluruhan
aplikasi yang terkomputerisasi dan terdiri dari: perangkat keras, perangkat
lunak, dan prosedur manual yang mampu untuk menciptakan lingkungan pengendalian
secara menyeluruh. Pengendalian aplikasi adalah pengendalian yang secara khusus
dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu, misalnya
pengendalian aplikasi yang dipasangkan di aplikasi sistem penggajian, piutang,
atau pemrosesan order untuk pengadaan barang dan jasa. Terdiri dari
pengendalian-pengendalian yang dipasangkan pada areal pengguna atas sistem
tertentu dan dari prosedur-prosedur yang telah diprogram.
Untuk
menjaga keamanan sistem informasi diperlukan pengendalian terhadap sistem
informasi dan kontrol yaitu :
1. Kontrol
administratif
-
Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem
informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam
organisasi
- Prosedur
yang bersifat formal dan standar pengoperasian disosialisasikan dan
dilaksanakan dengan tegas. Termasuk dalam hal ini adalah proses pengembangan
sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data
- Perekrutan
pegawai secara berhati-hati, yang diikuti dengan orientasi, pembinaan, dan
pelatihan yang diperlukan
- Supervisi
terhadap para pegawai. Termasuk pula cara melakukan kontrol kalau pegawai melakukan
penyimpangan terhadap yang diharapkan
- Pemisahan
tugas-tugas dalam pekerjaan, dengan tujuan agar tak seorangpun yang dapat
menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus
diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar
tidak memberikan kesempatan untuk melakukan kecurangan.
2. Kontrol
pengembangan dan pemeliharaan sistem
- Melibatkan
Auditor sistem, dari masa pengembangan hingga pemeliharaan sistem, untuk
memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi
pemakai sistem
- Aplikasi
dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk
ditelusuri
3. Kontrol
operasi
Tujuan agar
sistem beroperasi sesuai dengan yang diharapkan
Termasuk dalam
hal ini:
- Pembatasan
akses terhadap pusat data
- Kontrol
terhadap personel pengoperasi
- Kontrol
terhadap peralatan (terhadap kegagalan)
- Kontrol
terhadap penyimpan arsip
-
Pengendalian terhadap virus
4. Proteksi
terhadap pusat data secara fisik
- Faktor
lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir,
dan keamanan fisik ruangan perlu diperhatikan dengan benar
- Untuk
mengantisipasi kegagalan sumber daya listrik, biasa digunakan UPS dan mungkin
juga penyediaan generator
5. Kontrol
perangkat keras
- Untuk
mengantisipasi kegagalan sistem komputer, terkadang organisasi menerapkan
sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan)
- Toleransi
terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk
mirroring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh
data ke dua disk secara paralel
6. Kontrol
terhadap akses komputer
- Setiap
pemakai sistem diberi otorisasi yang berbeda-beda
- Setiap
pemakai dilengkapi dengan nama pemakai dan password
- Penggunaan
teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia yang
bersifat unik, seperti sidik jari dan retina mata, sebagai kunci untuk
mengakses sistem informasi.
7. Kontrol
terhadap bencana
- Rencana
darurat (emergency plan) menentukan tindakan-tindakan yang harus dilakukan oleh
para pegawai manakala bencana terjadi
- Rencana
cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan
dilaksanakan selama masa darurat.
- Rencana pemulihan
(recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan
seperti aslinya secara lengkap, termasuk mencakup tanggung jawab masing-masing
personil
- Rencana
pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana
pemulihan akan diuji atau disimulasikan
0 komentar:
Posting Komentar