Etika, Keamanan, dan Pengendalian

MateriMoral, Etika, dan HukumKeamananIT GovernanceAudit teknologi informasi

Moral, Etika, dan HukumMoral : Tradisi kepercayaan

mengenai perilaku benar atau salah.

Etika : Satu set kepercayaan, standar pemikiran suatu individu, kelompok, dan masyarakat.

Hukum : peraturan perilaku yang dipaksakan oleh otoritas berdaulat, seperti pemerintah pada rakyat atau warga negaranya.

Etika dalam Sistem InformasiEtika dalam sistem informasi

meliputi 4 hal, yaitu :◦Privasi◦Akurasi◦Properti◦Akses

PrivasiHal yang menyangkut hak

individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang tidak diberi ijin untuk melakukannya.

PrivasiPrivasi fisik : hak seseorang

untuk mencegah seseorang yang tidak dikehendaki terhadap waktu, ruang, dan properti (hak milik).

Privasi informasi : hak individu untuk menentukan kapan, bagaimana, dan apa saja informasi pribadi yang ingin dikomunikasikan dengan pihak lain.

AkurasiKetepatan informasi dalam mewakili objek

yang diwakilinya dan bebas dari kesalahan

Properti

Entity fisik maupun virtual yang dimiliki oleh individu atau kelompok.

Perlindungan terhadap hak properti dikenal dengan HAKI (Hak Atas Kekayaan Intelektual)

Kekayaan intelektual diatur melalui 3 mekanisme :◦Copyright◦Paten◦Trade secret

Hak cipta (Copyright)Hak yang dijamin oleh kekuatan

hukum yang melarang penduplikasian kekayaan intelektual tanpa seijin pemegangnya.

Hak seperti ini mudah didapatkan dan diberikan kepada pemegangnya selama masa hidup penciptanya plus 70 tahun.

PatenSekumpulan hak eksklusif yang

diberikan oleh negara kepada seorang penemu atau hasil temuannya untuk waktu yang terbatas.

Perlindungan terhadap kekayaan intelektual yang paling sulit didapatkan karena hanya akan diberikan kepada penemuan-penemuan inovatif dan sangat berguna.

Hukum paten memberikan perlindungan selama 20 tahun

Rahasia perdagangan(trade secret)Formula, praktek, proses, desain,

instrumen, atau kumpulan informasi dimana tidak semuanya boleh diketahui untuk kepentingan keuntungan bisnis atas konsumen dan kompetitor.

Rahasia perdagangan(trade secret)Hukum rahasia perdagangan

melindungi kekayaan intelektual melalui lisensi atau kontrak.

Pada lisensi perangkat lunak, seseorang yang menandatangani kontrak menyetujui untuk tidak menyalin perangkat lunak tersebut untuk diserahkan pada orang lain atau dijual.

AksesFokus dari masalah akses adalah

pada penyediaan akses untuk semua kalangan.

Teknologi informasi diharapkan tidak menjadi halangan dalam melakukan pengaksesan terhadap informasi bagi kelompok orang tertentu.

KeamananPerlindungan terhadap informasi

dan sistem informasi dari akses, penggunaan, pengungkapan, kerusakan, gangguan, atau modifikasi yang tidak sah.

Ancaman terhadap sistem informasi dibagi menjadi 2 yaitu :◦Ancaman aktif◦Ancaman pasif

KeamananAncaman aktif meliputi

kecurangan, penipuan dan kejahatan terhadap komputer.

Ancaman pasif meliputi kegagalan sistem, kesalahan manusia, dan bencana alam.

Teknik hacking - Denial of service

Teknik ini dilakukan dengan cara membuat permintaan yang sangat banyak terhadap suatu situs sehingga sistem menjadi macet, dan kemudian dengan mencari kelemahan sistem, pelaku melakukan serangan terhadap sistem.

Teknik hacking - SnifferTeknik ini dilakukan dengan

membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi internet, menangkap password atau isinya.

Teknik hacking - Spoofing

Pemalsuan alamat email atau web dengan tujuan menjebak pemakai agar memasukkan informasi yang penting seperti password atau nomor kartu kredit.

Teknik hacking - Logic bomb dan time bomb

Program yang beraksi karena dipicu oleh suatu kejadian atau setelah selang waktu tertentu.

Teknik hacking - Virus Program komputer yang dapat

menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.

Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup.

Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.

Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer tetapi dapat mengakibatkan kerusakan dengan cara memuat program yang memaksa over process ke perangkat tertentu.

Efek negatif virus komputer adalah memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan.

Hampir 95% virus komputer berbasis sistem operasi Windows. Sisanya menyerang Linux/GNU,  Mac, FreeBSD, OS/2IBM, dan Sun Operating System.

Virus yang ganas akan merusak perangkat keras.

Jenis-jenis VirusWorm - Menduplikatkan dirinya sendiri

pada harddisk. Ini membuat sumber daya komputer (Harddisk) menjadi penuh akan worm itu.

Trojan - Mengambil data pada komputer yang telah terinfeksi dan mengirimkannya pada pembuat trojan itu sendiri.

Backdoor - Hampir sama dengan trojan. Namun, Backdoor bisanya menyerupai file yang baik-baik saja. Misalnya game.

Spyware - Spyware merupakan turunan dari adware, yang memantau kebiasaan pengguna dalam melakukan penjelajahan Internet untuk mendatangkan "segudang iklan" kepada pengguna. Tetapi, karena adware kurang begitu berbahaya (tidak melakukan pencurian data),  spyware melakukannya dan mengirimkan hasil yang ia kumpulkan kepada pembuatnya (adware umumnya hanya mengirimkan data kepada perusahaan marketing).

Rogue - merupakan program yang meniru program antivirus dan menampilkan aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu tentang adanya virus. Tujuannya adalah agar pengguna membeli dan mengaktivasi program antivirus palsu itu dan mendatangkan uang bagi pembuat virus rogue tersebut. Juga rogue dapat membuka celah keamanan dalam komputer guna mendatangkan virus lain.

Rootkit - Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja.

Polymorphic virus - Virus yang gemar beubah-ubah agar tidak dapat terdeteksi.

Metamorphic virus - Virus yang mengubah pengkodeannya sendiri agar lebih sulit dideteksi.

Virus ponsel - Virus yang berjalan di telepon seluler, dan dapat menimbulkan berbagai macam efek, mulai dari merusak telepon seluler, mencuri data-data di dalam telepon seluler, sampai membuat panggilan-panggilan diam-diam dan menghabiskan pulsa pengguna telepon seluler.

Cara mengatasiSerangan virus dapat dicegah atau

ditanggulangi dengan menggunakan Software antivirus.

Jenis perangkat lunak ini dapat juga mendeteksi dan menghapus virus komputer.

Virus komputer ini dapat dihapus dengan basis data (database/ Signature-based detection), heuristik, atau peringkat dari program itu sendiri (Quantum).

Pendeteksian dengan menggunakan basis data virus signature (virus signature database):

Cara kerja antivirus ini merupakan pendekatan yang banyak digunakan oleh antivirus tradisional, yang mencari tanda-tanda dari keberadaan dari virus dengan menggunakan sebagian kecil dari kode virus yang telah dianalisis oleh vendor antivirus, dan telah dikatalogisasi sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa kategori lainnya.

Pendeteksian dengan melihat cara bagaimana virus bekerja: Cara kerja antivirus seperti ini merupakan pendekatan yang baru yang dipinjam dari teknologi yang diterapkan dalamIntrusion Detection System (IDS).

Cara ini sering disebut juga sebagai Behavior-blocking detection. Cara ini menggunakan policy (kebijakan) yang harus diterapkan untuk mendeteksi keberadaan sebuah virus.

Jika ada kelakuan perangkat lunak yang "tidak wajar" menurut policy yang diterapkan, seperti halnya perangkat lunak yang mencoba untuk mengakses address book untuk mengirimkan e-mail secara massal terhadap daftar e-mail yang berada di dalam address book tersebut (cara ini sering digunakan oleh virus untuk menularkan virus melalui e-mail), maka antivirus akan menghentikan proses yang dilakukan oleh perangkat lunak tersebut.

IT Governance

Tata kelola organisasi yang berfokus pada teknologi informasi dan kinerjanya, beserta manajemen risikonya.

Sistem dengan penggunaan ICT yang diarahkan dan dikendalikan yang digunakan pada saat ini dan masa yang akan datang, yang melibatkan evaluasi dan pengarahan rencana pengguanaan ICT untuk mendukung dan memantau organisasi untuk mencapai apa yang sudah direncanakan.

Standar IT Governance

CoBIT (Control Objective IT) adalah standar internasional dalam mengarahkan dan mengendalikan teknologi informasi dalam suatu perusahaan.

AUDIT TEKNOLOGI INFORMASI

AuditAdalah proses yang sistematis,

independen, dan terdokumentasi untuk mendapatkan bukti audit dan mengevaluasi secara objektif untuk menentukan sejauh mana kirteria audit terpenuhi.

Keuntungan AuditMenilai keefektifan aktivitas

aktifitas dokumentasi dalam organisasi

Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan

Mengukur tingkat efektifitas dari sistem

Keuntungan AuditMengidentifikasi kelemahan di

sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang

Menyediakan informasi untuk proses peningkatan

Meningkatkan saling memahami antar departemen dan antar individu

Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen

IT Audit Area

PerencanaanOrganisasi dan manajemenKebijakan dan prosedurKeamananRegulasi dan standar

Jenis AuditSystem Audit

Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional

Jenis AuditCompliance Audit

Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain

Product / Service AuditUntuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan

Siapa yang Diaudit

ManagementIT ManagerIT Specialist (network, database,

system analyst, programmer, dll.)User

Yang Melakukan Audit

Tergantung Tujuan AuditInternal Audit (first party audit)

◦Dilakukan oleh atau atas nama perusahaan sendiri

◦Biasanya untuk management review atau tujuan internal perusahaan

Yang Melakukan Audit

Lembaga independen di luar perusahaan◦Second party audit Dilakukan oleh pihak yang memiliki kepentingan terhadap perusahaan

◦Third party audit Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).

Tugas Auditor IT

Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan

Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan

Tahap-tahap Audit

PersiapanReview DokumenPersiapan kegiatan on-site auditMelakukan kegiatan on-site auditPersiapan, persetujuan dan distribusi laporan

auditTindak lanjut audit

Hasil kegiatan Audit

Hasil akhir adalah berupa laporan yang berisi:Ruang Lingkup auditMetodologiTemuan-temuan

Hasil kegiatan Audit

Ketidaksesuaian (sifat ketidaksesuaian, bukti-bukti pendukung, syarat yang tidak dipenuhi, lokasi, tingkat ketidaksesuaian)

Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)

Keterampilan yang dibutuhkanAudit skill : sampling,

komunikasi, melakukan interview, mengajukan pertanyaan, mencatat

Generic knowledge : pengetahuan mengenai prinsip-prinsip audit, prosedur dan teknik, sistem manajemen dan dokumen-dokumen referensi, organisasi, peraturan-peraturan yang berlaku

Keterampilan yang dibutuhkanSpecific knowledge : background

IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan

Peraturan dan Standar Yang Biasa Dipakai

ISO / IEC 17799 and BS7799Control Objectives for Information

and related Technology (CobiT) ISO TR 13335IT Baseline Protection Manual

Peraturan dan Standar Yang Biasa Dipakai

ITSEC / Common CriteriaFederal Information Processing Standard 140-

1/2 (FIPS 140-1/2)The “Sicheres Internet” Task Force [Task Force

Sicheres Internet]The quality seal and product audit scheme

operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)

ISO 9000Undang-Undang No. 11 Tahun 2008 tentang

Informasi dan Transaksi Elektronik