chapter 6 implikasi etis dari teknologi informasi
TRANSCRIPT
Etika, Keamanan, dan Pengendalian
MateriMoral, Etika, dan HukumKeamananIT GovernanceAudit teknologi informasi
Moral, Etika, dan HukumMoral : Tradisi kepercayaan
mengenai perilaku benar atau salah.
Etika : Satu set kepercayaan, standar pemikiran suatu individu, kelompok, dan masyarakat.
Hukum : peraturan perilaku yang dipaksakan oleh otoritas berdaulat, seperti pemerintah pada rakyat atau warga negaranya.
Etika dalam Sistem InformasiEtika dalam sistem informasi
meliputi 4 hal, yaitu :◦Privasi◦Akurasi◦Properti◦Akses
PrivasiHal yang menyangkut hak
individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang tidak diberi ijin untuk melakukannya.
PrivasiPrivasi fisik : hak seseorang
untuk mencegah seseorang yang tidak dikehendaki terhadap waktu, ruang, dan properti (hak milik).
Privasi informasi : hak individu untuk menentukan kapan, bagaimana, dan apa saja informasi pribadi yang ingin dikomunikasikan dengan pihak lain.
AkurasiKetepatan informasi dalam mewakili objek
yang diwakilinya dan bebas dari kesalahan
Properti
Entity fisik maupun virtual yang dimiliki oleh individu atau kelompok.
Perlindungan terhadap hak properti dikenal dengan HAKI (Hak Atas Kekayaan Intelektual)
Kekayaan intelektual diatur melalui 3 mekanisme :◦Copyright◦Paten◦Trade secret
Hak cipta (Copyright)Hak yang dijamin oleh kekuatan
hukum yang melarang penduplikasian kekayaan intelektual tanpa seijin pemegangnya.
Hak seperti ini mudah didapatkan dan diberikan kepada pemegangnya selama masa hidup penciptanya plus 70 tahun.
PatenSekumpulan hak eksklusif yang
diberikan oleh negara kepada seorang penemu atau hasil temuannya untuk waktu yang terbatas.
Perlindungan terhadap kekayaan intelektual yang paling sulit didapatkan karena hanya akan diberikan kepada penemuan-penemuan inovatif dan sangat berguna.
Hukum paten memberikan perlindungan selama 20 tahun
Rahasia perdagangan(trade secret)Formula, praktek, proses, desain,
instrumen, atau kumpulan informasi dimana tidak semuanya boleh diketahui untuk kepentingan keuntungan bisnis atas konsumen dan kompetitor.
Rahasia perdagangan(trade secret)Hukum rahasia perdagangan
melindungi kekayaan intelektual melalui lisensi atau kontrak.
Pada lisensi perangkat lunak, seseorang yang menandatangani kontrak menyetujui untuk tidak menyalin perangkat lunak tersebut untuk diserahkan pada orang lain atau dijual.
AksesFokus dari masalah akses adalah
pada penyediaan akses untuk semua kalangan.
Teknologi informasi diharapkan tidak menjadi halangan dalam melakukan pengaksesan terhadap informasi bagi kelompok orang tertentu.
KeamananPerlindungan terhadap informasi
dan sistem informasi dari akses, penggunaan, pengungkapan, kerusakan, gangguan, atau modifikasi yang tidak sah.
Ancaman terhadap sistem informasi dibagi menjadi 2 yaitu :◦Ancaman aktif◦Ancaman pasif
KeamananAncaman aktif meliputi
kecurangan, penipuan dan kejahatan terhadap komputer.
Ancaman pasif meliputi kegagalan sistem, kesalahan manusia, dan bencana alam.
Teknik hacking - Denial of service
Teknik ini dilakukan dengan cara membuat permintaan yang sangat banyak terhadap suatu situs sehingga sistem menjadi macet, dan kemudian dengan mencari kelemahan sistem, pelaku melakukan serangan terhadap sistem.
Teknik hacking - SnifferTeknik ini dilakukan dengan
membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi internet, menangkap password atau isinya.
Teknik hacking - Spoofing
Pemalsuan alamat email atau web dengan tujuan menjebak pemakai agar memasukkan informasi yang penting seperti password atau nomor kartu kredit.
Teknik hacking - Logic bomb dan time bomb
Program yang beraksi karena dipicu oleh suatu kejadian atau setelah selang waktu tertentu.
Teknik hacking - Virus Program komputer yang dapat
menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.
Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup.
Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer tetapi dapat mengakibatkan kerusakan dengan cara memuat program yang memaksa over process ke perangkat tertentu.
Efek negatif virus komputer adalah memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan.
Hampir 95% virus komputer berbasis sistem operasi Windows. Sisanya menyerang Linux/GNU, Mac, FreeBSD, OS/2IBM, dan Sun Operating System.
Virus yang ganas akan merusak perangkat keras.
Jenis-jenis VirusWorm - Menduplikatkan dirinya sendiri
pada harddisk. Ini membuat sumber daya komputer (Harddisk) menjadi penuh akan worm itu.
Trojan - Mengambil data pada komputer yang telah terinfeksi dan mengirimkannya pada pembuat trojan itu sendiri.
Backdoor - Hampir sama dengan trojan. Namun, Backdoor bisanya menyerupai file yang baik-baik saja. Misalnya game.
Spyware - Spyware merupakan turunan dari adware, yang memantau kebiasaan pengguna dalam melakukan penjelajahan Internet untuk mendatangkan "segudang iklan" kepada pengguna. Tetapi, karena adware kurang begitu berbahaya (tidak melakukan pencurian data), spyware melakukannya dan mengirimkan hasil yang ia kumpulkan kepada pembuatnya (adware umumnya hanya mengirimkan data kepada perusahaan marketing).
Rogue - merupakan program yang meniru program antivirus dan menampilkan aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu tentang adanya virus. Tujuannya adalah agar pengguna membeli dan mengaktivasi program antivirus palsu itu dan mendatangkan uang bagi pembuat virus rogue tersebut. Juga rogue dapat membuka celah keamanan dalam komputer guna mendatangkan virus lain.
Rootkit - Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja.
Polymorphic virus - Virus yang gemar beubah-ubah agar tidak dapat terdeteksi.
Metamorphic virus - Virus yang mengubah pengkodeannya sendiri agar lebih sulit dideteksi.
Virus ponsel - Virus yang berjalan di telepon seluler, dan dapat menimbulkan berbagai macam efek, mulai dari merusak telepon seluler, mencuri data-data di dalam telepon seluler, sampai membuat panggilan-panggilan diam-diam dan menghabiskan pulsa pengguna telepon seluler.
Cara mengatasiSerangan virus dapat dicegah atau
ditanggulangi dengan menggunakan Software antivirus.
Jenis perangkat lunak ini dapat juga mendeteksi dan menghapus virus komputer.
Virus komputer ini dapat dihapus dengan basis data (database/ Signature-based detection), heuristik, atau peringkat dari program itu sendiri (Quantum).
Pendeteksian dengan menggunakan basis data virus signature (virus signature database):
Cara kerja antivirus ini merupakan pendekatan yang banyak digunakan oleh antivirus tradisional, yang mencari tanda-tanda dari keberadaan dari virus dengan menggunakan sebagian kecil dari kode virus yang telah dianalisis oleh vendor antivirus, dan telah dikatalogisasi sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa kategori lainnya.
Pendeteksian dengan melihat cara bagaimana virus bekerja: Cara kerja antivirus seperti ini merupakan pendekatan yang baru yang dipinjam dari teknologi yang diterapkan dalamIntrusion Detection System (IDS).
Cara ini sering disebut juga sebagai Behavior-blocking detection. Cara ini menggunakan policy (kebijakan) yang harus diterapkan untuk mendeteksi keberadaan sebuah virus.
Jika ada kelakuan perangkat lunak yang "tidak wajar" menurut policy yang diterapkan, seperti halnya perangkat lunak yang mencoba untuk mengakses address book untuk mengirimkan e-mail secara massal terhadap daftar e-mail yang berada di dalam address book tersebut (cara ini sering digunakan oleh virus untuk menularkan virus melalui e-mail), maka antivirus akan menghentikan proses yang dilakukan oleh perangkat lunak tersebut.
IT Governance
Tata kelola organisasi yang berfokus pada teknologi informasi dan kinerjanya, beserta manajemen risikonya.
Sistem dengan penggunaan ICT yang diarahkan dan dikendalikan yang digunakan pada saat ini dan masa yang akan datang, yang melibatkan evaluasi dan pengarahan rencana pengguanaan ICT untuk mendukung dan memantau organisasi untuk mencapai apa yang sudah direncanakan.
Standar IT Governance
CoBIT (Control Objective IT) adalah standar internasional dalam mengarahkan dan mengendalikan teknologi informasi dalam suatu perusahaan.
AUDIT TEKNOLOGI INFORMASI
AuditAdalah proses yang sistematis,
independen, dan terdokumentasi untuk mendapatkan bukti audit dan mengevaluasi secara objektif untuk menentukan sejauh mana kirteria audit terpenuhi.
Keuntungan AuditMenilai keefektifan aktivitas
aktifitas dokumentasi dalam organisasi
Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan
Mengukur tingkat efektifitas dari sistem
Keuntungan AuditMengidentifikasi kelemahan di
sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang
Menyediakan informasi untuk proses peningkatan
Meningkatkan saling memahami antar departemen dan antar individu
Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke Manajemen
IT Audit Area
PerencanaanOrganisasi dan manajemenKebijakan dan prosedurKeamananRegulasi dan standar
Jenis AuditSystem Audit
Audit terhadap sistem terdokumentasi untuk memastikan sudah memenuhi standar nasional atau internasional
Jenis AuditCompliance Audit
Untuk menguji efektifitas implementasi dari kebijakan, prosedur, kontrol dan unsur hukum yang lain
Product / Service AuditUntuk menguji suatu produk atau layanan telah sesuai seperti spesifikasi yang telah ditentukan dan cocok digunakan
Siapa yang Diaudit
ManagementIT ManagerIT Specialist (network, database,
system analyst, programmer, dll.)User
Yang Melakukan Audit
Tergantung Tujuan AuditInternal Audit (first party audit)
◦Dilakukan oleh atau atas nama perusahaan sendiri
◦Biasanya untuk management review atau tujuan internal perusahaan
Yang Melakukan Audit
Lembaga independen di luar perusahaan◦Second party audit Dilakukan oleh pihak yang memiliki kepentingan terhadap perusahaan
◦Third party audit Dilakukan oleh pihak independen dari luar perusahaan. Misalnya untuk sertifikasi (ISO 9001, BS7799 dll).
Tugas Auditor IT
Memastikan sisi-sisi penerapan IT memiliki kontrol yang diperlukan
Memastikan kontrol tersebut diterapkan dengan baik sesuai yang diharapkan
Tahap-tahap Audit
PersiapanReview DokumenPersiapan kegiatan on-site auditMelakukan kegiatan on-site auditPersiapan, persetujuan dan distribusi laporan
auditTindak lanjut audit
Hasil kegiatan Audit
Hasil akhir adalah berupa laporan yang berisi:Ruang Lingkup auditMetodologiTemuan-temuan
Hasil kegiatan Audit
Ketidaksesuaian (sifat ketidaksesuaian, bukti-bukti pendukung, syarat yang tidak dipenuhi, lokasi, tingkat ketidaksesuaian)
Kesimpulan (tingkat kesesuaian dengan kriteria audit, efektifitas implementasi, pemeliharaan dan pengembangan sistem manajemen, rekomendasi)
Keterampilan yang dibutuhkanAudit skill : sampling,
komunikasi, melakukan interview, mengajukan pertanyaan, mencatat
Generic knowledge : pengetahuan mengenai prinsip-prinsip audit, prosedur dan teknik, sistem manajemen dan dokumen-dokumen referensi, organisasi, peraturan-peraturan yang berlaku
Keterampilan yang dibutuhkanSpecific knowledge : background
IT/IS, bisnis, specialist technical skill, pengalaman audit sistem manajemen, perundangan
Peraturan dan Standar Yang Biasa Dipakai
ISO / IEC 17799 and BS7799Control Objectives for Information
and related Technology (CobiT) ISO TR 13335IT Baseline Protection Manual
Peraturan dan Standar Yang Biasa Dipakai
ITSEC / Common CriteriaFederal Information Processing Standard 140-
1/2 (FIPS 140-1/2)The “Sicheres Internet” Task Force [Task Force
Sicheres Internet]The quality seal and product audit scheme
operated by the Schleswig-Holstein Independent State Centre for Data Privacy Protection (ULD)
ISO 9000Undang-Undang No. 11 Tahun 2008 tentang
Informasi dan Transaksi Elektronik