keamanan dan etika sistem informasi

7/29/2019 Keamanan Dan Etika Sistem Informasi

1/36

ETIKADAN KEAMANAN SISTEM

INFORMASIFebrianto Sabirin, S.Kom

Program Studi T.I.K

STKIP-PGRI


2/36

ETIKADALAM SISTEM INFORMASI

Etika : kepercayaan tentang hal yang

benar dan salah atau yang baik dan yang

tidak

Etika dalam SI dibahas pertama kali olehRichard Mason (1986), yang mencakup

PAPA:1. Privasi

2. Akurasi

3. Properti

4. Akses


3/36


PRIVASI menyangkut hak individu untukmempertahankan informasi pribadi dari

pengaksesan oleh orang lain yang memang

tidak diberi izin untuk melakukannyaKasus:

Junk mail

Manajer pemasaran mengamati e-mail

bawahannya

Penjualan data akademis


4/36


Privasi dibagi menjadi 2 buah yaitu :

Privasi Fisik : merupakan hak seseorang untuk

mencegah seseorang yang tak dikehendaki

terhadap waktu, ruang, dan properti (hak milik)

Privasi Informasi : merupakan hak individu untuk

menentukan kapan, bagaimana dan apa saja

informasi pribadi yang ingin dikomunikasikan

dengan pihak lain.

Penggunaan teknologi informasi

berkecenderungan membuat pelanggaran

terhadap privasi jauh lebih mudah terjadi.


5/36


AKURASI, berarti informasi harus bebasdari kesalahan-kesalahan dan tidak biasatau menyesatkan.

AKURASI terhadap informasi merupakan

faktor yang harus dipenuhi oleh sebuahsistem informasi

Ketidakakurasian informasi dapatmenimbulkan hal yang menggangu,

merugikan, dan bahkan membahayakan.Data dalam Sistem Informasi menjadi

bahan dalam pengambilan keputusan,maka tingkat keakuratannya harusdiperhatikan


6/36


PROPERTI bermakna kepemilikanseseorang atau kelompok atas suatu hak

eksklusif.

Perlindungan terhadap hak PROPERTIyang sedang digalakkan saat ini yaitu yang

dikenal dengan sebutan HAKI (hak atas

kekayaan intelektual).

HAKI biasa diatur melalui hak cipta

(copyright), paten, dan rahasia

perdagangan (trade secret).


7/36


Hak cipta adalah hak yang dijamin olehkekuatan hukum yang melarang

penduplikasian kekayaan intelektual tanpa

seizin pemegangnyaHak seperti ini mudah untuk didapatkan dan

diberikan kepada pemegangnya selama

masa hidup penciptanya plus 70 tahun.


8/36


Paten merupakan bentuk perlindunganterhadap kekayaan intelektual yang paling

sulit didapatkan karena hanya akan

diberikan pada penemuan-penemuaninovatif dan sangat berguna. Hukum paten

memberikan perlindungan selama 20 tahun.


9/36


Hukum rahasia perdaganganmelindungi kekayaan intelektual melaluilisensi atau kontrak.

Pada lisensi perangkat lunak, seseorangyang menandatangani kontrakmenyetujui untuk tidak menyalinperangkat lunak tersebut untuk

diserahkan pada orang lain atau dijual.


10/36


Berkaitan dengan dengan kekayaanintelektual, banyak masalah yang belumterpecahkan (Zwass, 1998);Antara lain:

Pada level bagaimana informasi dapatdianggap sebagai properti?

Apa yang harus membedakan antara satuproduk dengan produk lain?

Akankah pekerjaan yang dihasilkan oleh

komputer memiliki manusia penciptanya? Jikatidak, lalu hak properti apa yangdilindunginya?


11/36


Fokus dari masalah AKSES adalahpada penyediaan akses untuksemua kalangan

Teknologi informasi diharapkanmalah tidak menjadi halangan dalammelakukan pengaksesan terhadapinformasi bagi kelompok orangtertentu, tetapi justru untukmendukung pengaksesan untuksemua pihak.


12/36

KEAMANAN SISTEM INFORMASI

Keamanan merupakan faktor penting

yang perlu diperhatikan dalam

pengoperasian sistem informasi

Tujuannya adalah untuk mencegah

ancaman terhadap sistem serta untuk

mendeteksi dan membetulkan akibat

segala kerusakan sistem.


13/36


Sistem keamanan informasi memiliki tiga tujuan yang

mendasar :

1. Availability (Ketersediaan)

2. Confidentaiality (Kerahasiaan)3. Intergrity (Kesatuan)

Dalam hal ini meminimalkan resiko harus diimbangi

denga biaya yang dikeluarkan untuk tujuan

pengamanan ini. Oleh karena itu, biaya pengamananterhadap keamanan informasi harus wajar.


14/36


Ancaman terhadap sistem informasidapat dibagi menjadi dua macam:ancaman aktif dan ancaman pasif

Ancaman aktif mencakup kecurangan(Hacking, Cracking, Spionase) dankejahatan (Pencurian, Pengrusakan).

Ancaman pasif mencakup kegagalan

sistem, kesalahan manusia, dan bencanaalam.


15/36


Macam Ancaman Contoh

Bencana alam dan politik Gempa bumi, banjir, kebakaran, perang

Kesalahan manusia Kesalahan pemasukan data, Kesalahanpenghapusan data.

Kegagalan perangkat

lunak dan perangkat keras

Gangguan listrik, Kegagalan peralatan

Kegagalan fungsi perangkat lunak

Kecurangan dan kejahatan

komputer

Penyelewengan aktivitas,Penyalahgunaan kartu

kredit,Sabotase,Pengaksesan oleh orang yang

tidak berhak

Program yang jahat Virus, cacing, bom waktu, dll


16/36


Bencana alam merupakan faktor yang takterduga yang bisa mengancam sisteminformasi.

Banjir, badai, gempa bumi, kebakaran, dan

kejadian tidak terduga lainnya dapatmenghancurkan sumber daya pendukungsistem informasi dalam waktu yang singkat.

Untuk mengatasi kejadian yang tidak terduga

maka diperlukan Rencana Darurat (EmergencyPlan) dan Rencana Untuk Mengembalikan Data(Disaster Recovery Plan).


17/36


Kesalahan pengoperasian sistem oleh manusia

juga dapat mengancam keutuhan sistem dan

data.

Pemasukan data yang salah dapatmengacaukan sistem. Begitu juga

penghapusan data dapat mengacaukan sistem.

Untuk mengatasi permasalahan ini dapat

dilakukan dengan Pembuatan prosedur dalammenginputkan, menghapus data ataupun

pembuatan Backup data.


18/36


Kegagalan Perangkat Lunak dan Perangkat

Keras dapat mengakibatkan hilangnya data

bahkan kerusakan pada perangkat keras

maupun perangkat lunak.

Untuk mengatasinya dapat dibuatkan

pengamanan perangkat keras dengan bantuan

UPS ataupun dapat dengan Stabilizer

Tegangan Listrik.


19/36


Metode yang umum digunakan oleh orangdalam melakukan penetrasi terhadap sistemberbasis komputer ada 6 macam (Bodnardan Hopwood, 1993), yaitu

1. Pemanipulasian masukan2. Penggantian program

3. Penggantian berkas secara langsung

4. Pencurian data

5. Sabotase6. Penyalahgunaan dan pencurian sumber daya

komputasi.


20/36


Berbagai teknik yang digunakan untukmelakukan hacking: Denial of Service

Teknik ini dilaksanakan dengan cara membuat permintaanyang sangat banyak terhadap suatu situs sehingga sistem menjadi

macet dan kemudian dengan mencari kelemahan pada sistemsi pelaku melakukan serangan terhadap sistem. Sniffer

Teknik ini diimplementasikan dengan membuat program yangdapat melacak paket data seseorang ketika paket tersebutmelintasi Internet, menangkap password atau menangkap

isinya.

SpoofingMelakukan pemalsuan alamat e-mailatau Web dengan tujuanuntuk menjebak pemakai agar memasukkan informasi yangpenting seperti passwordatau nomor kartu kredit


21/36


Penggunaan Kode yang Jahat:

1. Virus : merupakan penggalan kode yang dapat

menggandakan dirinya sendiri dengan cara menyalin

kode dan menempelkan ke berkas program yang

dapat dieksekusi.2. Cacing (worm) : merupakan program yang dapat

menggandakan dririnya sendiri dan menulari

komputer-komputer dalam jaringan.

3. Bom waktu : merupakan program yang beraksi

karena dipicu oleh sesuatu kejadian atau setelahselang waktu berlalu.

4. Kuda Trojan : merupakan program yang dirancang

agar dapat digunakan untuk menyusup ke dalam

sistem.


22/36

KEMANAN SISTEM INFORMASI

Penyalahgunaan dan pencurian sumber

daya komputasi merupakan bentuk

pemanfaatan secara ilegal terhadap

sumber daya komputasi oleh pegawaidalam rangka menjalankan bisnisnya

sendiri.


23/36

PENGENDALIAN SISTEM INFORMASI

Untuk menjaga keamanan sistem informasi

diperlukan pengendalian terhadap sistem

informasi

Kontrol mencakup:1. Kontrol administratif

2. Kontrol pengembangan dan pemeliharaan sistem

3. Kontrol operasi

4. Proteksi terhadap pusat data secara fisik

5. Kontrol perangkat keras

6. Kontrol terhadap akses komputer

7. Kontrol terhadap akses informasi

8. Kontrol terhadap perlindungan terakhir

9. Kontrol aplikasi


24/36

KONTROL ADMINISTRATIF

Mempublikasikan kebijakan kontrol yang membuatsemua pengendalian sistem informasi dapatdilaksanakan dengan jelas dan benar oleh semua pihakdalam organisasi

Prosedur yang bersifat formal dan standarpengoperasian disosialisasikan dan dilaksanakandengan tegas. Termasuk dalam hal ini adalah prosespengembangan sistem, prosedur untuk backup,pemulihan data, dan manajemen pengarsipan data

Perekrutan pegawai secara berhati-hati, yang diikutidengan orientasi, pembinaan, dan pelatihan yangdiperlukan


25/36

KONTROL ADMINISTRATOR

Supervisi terhadap para pegawai. Termasuk pulacara melakukan kontrol kalau pegawai melakukanpenyimpangan terhadap yang diharapkan

Pemisahan tugas-tugas dalam pekerjaan, dengantujuan agar tak seorangpun yang dapat menguasaisuatu proses yang lengkap. Sebagai contoh,seorang pemrogram harus diusahakan tidakmempunyai akses terhadap data produksi

(operasional) agar tidak memberikan kesempatanuntuk melakukan kecurangan


26/36

KONTROLTERHADAP PENGEMBANGANDAN

PEMELIHARAAN SISTEM

Melibatkan Auditor sistem, dari masa

pengembangan hingga pemeliharaan

sistem, untuk memastikan bahwa sistem

benar-benar terkendali, termasuk dalamhal otorisasi pemakai sistem

Aplikasi dilengkapi dengan audit trail

sehingga kronologi transaksi mudahuntuk ditelusuri


27/36

KONTROL OPERASI

Tujuan agar sistem beroperasi sesuai dengan

yang diharapkan

Termasuk dalam hal ini:1. Pembatasan akses terhadap pusat data.Akses terhadap

ruangan yang menjadi pusat data dibatasi sesuai denganwewenang yang telah ditentukan.

2. Kontrol terhadap personel pengoperasi. Dokumen yangberisikan prosedur-prosedur harus disediakan dan berisi

pedoman-pedoman untuk melakukan suatu pekerjaan.

3. Kontrol terhadap peralatan. Kontrol terhadap peralatanperlu dilakukan secara berkala dengan tujuan agar kegagalanperalatan dapat diminimalkan.


28/36

KONTROL OPERASI

Termasuk dalam hal ini:

1. Kontrol terhadap penyimpan arsip. Kontrolini untuk memastikan bahwa setiap data

backupyang digunakan untuk pengarsipan

telah diberi label dengan benar dan disimpan

dengan tata cara yang sesuai.

2. Pengendalian terhadap virus. Untukmengurangi terjangkitanya virus, administrator

sistem harus melakukan Kontrol Preventif,Detektif, dan korektif.


29/36

KONTROL OPERASI

Kontrol Penjelasan

Preventif Menghindari pemakaian perangkat lunak dari sumber

yang belum bisa dipercaya.

Menghindari pengambilan berkas yang mengandung

makro dari sembarang tempat.

Pemasangan Antivirus, dan pengecekan makro ataupunprogram sebelum digunakan.

Menyadarkan pada setiap pemakai untuk waspada

terhadap virus.

Detektif Secara rutin menjalankan program antivirus untuk

mendeteksi infeksi virus.

Melakukan property dari masing-masing berkas.

Korektif Memastikan backup pada waktu yang terjadwalkan

Rencana Pemulihan dari infeksi virus.

Menggunakan antivirus untuk menghilangkan virus.


30/36

PERLINDUNGAN FISIKTERHADAP PUSAT

DATA

Faktor lingkungan yang menyangkut

suhu, kebersihan, kelembaban udara,

bahaya banjir, dan keamanan fisik

ruangan perlu diperhatikan dengan benarUntuk mengantisipasi kegagalan sumber

daya listrik, biasa digunakan UPS dan

mungkin juga penyediaan generator


31/36

KONTROL PERANGKAT KERAS

Untuk mengantisipasi kegagalan sistemkomputer, terkadang organisasimenerapkan sistem komputer yang

berbasis fault-tolerant(toleran terhadapkegagalan)

Toleransi terhadap kegagalan padapenyimpan eksternal antara lain

dilakukan melalui disk mirroringatau diskshadowing, yang menggunakan teknikdengan menulis seluruh data ke dua disksecara paralel


32/36

KONTROL AKSESTERHADAP SISTEM

KOMPUTER

Setiap pemakai sistem diberi otorisasi

yang berbeda-beda

Setiap pemakai dilengkapi dengan nama

pemakai dan passwordPenggunaan teknologi yang lebih

canggih menggunakan sifat-sifat biologis

manusia yang bersifat unik, seperti sidikjari dan retina mata, sebagai kunci untuk

mengakses sistem


33/36

KONTROLTERHADAP AKSES INFORMASI

Ada kemungkinan bahwa seseorang yang tak berhakterhadap informasi berhasil membaca informasitersebut melalui jaringan (dengan menggunakan tekniksniffer). Untuk mengantisipasi keadaan tersebut maka

data atau informasi yang dikirimkan harus dikodekandalam bentuk yang hanya bisa dibaca oleh pihak yangberhak.

Studi tentang cara mengubah suatu informasi kedalam bentuk yang tidak dapat dibaca oleh orang lain

dengan istilah kriptografi. Dalam kriptografi teks asli disebut plain textyang akan

di kodekan menjadi chiper text. Proses ini dinamakanenkripsi. Sedangkan kebalikannya disebut deskripsi.


34/36

KONTROL TERHADAP BENCANA

Rencana darurat (emergency plan) menentukan

tindakan-tindakan yang harus dilakukan oleh para

pegawai manakala bencana terjadi

Rencana cadangan (backup plan) menentukan

bagaimana pemrosesan informasi akan dilaksanakanselama masa darurat.

Rencana pemulihan (recovery plan) menentukan

bagaimana pemrosesan akan dikembalikan ke keadaan

seperti aslinya secara lengkap, termasuk mencakup

tanggung jawab masing-masing personil

Rencana pengujian (test plan) menentukan bagaimana

komponen-komponen dalam rencana pemulihan akan

diuji atau disimulasikan


35/36

KONTROLTERHADAP PERLINDUNGAN

TERAKHIR

Rencana pemulihan dari bencana (Disaster

Recovery Plan).

Asuransi


36/36

KONTROL APLIKASI

Masukan : digunakan untuk menjamin keakurasiandata, kelengkapan masukan dan validasi terhadapmasukan.

Keluaran : dilakukan secara manual untuk

memastikan bahwa hasil pemrosesan memangsesuai dengan yang diharapkan.

Pemrosesan : dilakukan dengan mencantumkantotal kontrol. Misalnya total semua transaksi.

Basis data : dilakukan dengan backup danrecovery, otorisasi akses, serta memilikikemampuan rollbackdan commit.

Telekomunikasi : dilakukan dengan melakukanenkripsi data, dan checksum.

keamanan dan etika sistem informasi

Documents