Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 1 TANTANGAN KEAMANAN DAN ETIKA 1. Tantangan keamanan dan etika teknologi informasi 1.1 Tanggungjawab Etika dari profesional Bisnis Etika adalah cabang filosofi yang berhubungan dengan berbagai hal yang dianggap benar dan salah. Selama bertahun-tahun, para ahli filosofi telah mengajukan banyak petunjuk etika. Banyak perusahaan dan organisasi profesi yang mengembangkan kode etiknya sendiri. Kode etik adalah kumpulan prinsip yang dimaksudkan sebagai petunjuk untuk para anggota perusahaan atau organisasi. Banyaknya aplikasi TI dan peningkatan penggunaan teknologi informasi telah menimbulkan berbagai isu etika. Sistem menejemen dan informasi mempunyai tanggungjawab untuk penguasaan dari pembangunan dan operasi seluruh aktifitas organisasi. Isu-isu etika dapat dikategorikan dalam 4 jenis, yaitu : 1. Isu Privasi, yaitu pengumpulan, penyimpanan dan penyebaran informasi mengenai berbagai individu. 2. Isu Akurasi, yaitu autentikasi, kebenaran dan akurasi informasi yang telah dikumpulkan serta diproses. 3. Isu properti, yaitu kepemilikan dan nilai informasi (hak cipta intelektual) 4. Isu Aksesibilitas, yaitu hak untuk mengakses informasi dan pembayaran biaya untuk mengaksesnya 1.2 Kejahatan Komputer Kejahatan terhadap komputer dan penjahat komputer merupakan tantangan utama terhadap perkembangan sistem informasi. Kejahatan terhadap komputer dapat menimbulkan ancaman karena merupakan tindakan yang tidak bertanggung jawab terhadap sekelompok kecil pengguna komputer. Kejahatan komputer dapat digolongkan dari yang Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 2 sangat berbahaya sampai mengesalkan(annoying). Banyak cara yang dilakukan oleh penjahat komputer untuk memenuhi keinginannya. Untuk mengantisipasi kondisi tersebut perlu ditingkatkan sistem pengamanan. 1.3 Privacy Issue Privacy issue adalah pengumpulan, penyimpanan dan penyebaran informasi mengenai berbagai sekarang sangatlah pesat individu. dengan Perkembangan banyaknya internet bermunculannya websites dan services. Sebagian besar dari website dan service yang berkembang ini meminta pengguna untuk “memberikan” data pribadi. Namun, perusahaan raksasa IT dunia, Google, yang diberitakan beberapa media telah melanggar banyak privacy orang dari teknologiteknologi yang mereka kembangkan. 1.4 Current Sttate of CyberLaw Cyberlaw adalah aspek hukum yang istilahnya berasal dari CyberspaceLaw, yang ruang lingkupnya meliputi setiap aspek yang berhubungan dengan orang perorangan atau subjek hukum yang menggunakan dan memanfaatkan teknologi internet yang dimulai pada saat”online” dan memasuki dunia cyber atau maya. Internet sudah merupakan bagian dari kehidupan yang menghubungkan setiap bagian dari kehidupan kita. Internet merupakan bagian dari mekanisme telekomunikasi yang bersifat global yang fungsinya menjadi jembatan bebas hambatan informasi. Perkembangan dunia maya tersebut ternyata membuat dan menciptakan berbagai kemudahan dalam hal menjalankan transaksi, dunia pendidikan, perdagangan, perbankan serta menciptakan jutaan kesempatan untuk menggali keuntungan ekonomis. Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 3 1.5 Tantangan-tantangan lain Tantangan Teknologi Informasi Ada beberapa macam teknologi tinggi algoritma yang tersedia dan saling bersaing saat ini, salah satu diantaranya bernama “Sistem Rambutan” yang diilhami oleh karakteristik buah rambutan. Pada mulanya algoritma Rambutan dibuat khusus untuk kepentingan militer dalam rangka mengamankan sekaligus melindungi jalur sistem komunikasi antar kawan. Tantangan Globalisasi dalam Sistem Lingkungan Ekonomi Global Pertumbuhan yang cepat dalam perdagangan internasional dan timbulnya ekonomi global. Dengan perbedaan bahasa, budaya dan politik diantara negara tersebut. Untuk membangun SI yang multinasional dan terintegrasi, maka bisnis harus membangun standar global hardware, software dan komunikasi. 1.6 Isu Kesehatan Ada dampak komputer bagi kesehatan individu pemakainya. Keluhan kesehatan yang pernah ada, kebanyakan keluhan datang dari para pemakai laptop. Laptop atau notebook sebagai sarana mobilecomputing memang dirancang seefesien mungkin untuk dapat dengan mudah dibawa kemanapun. Namun efesiensi yang didapat dari penggunaan laptop ini rupanya harus dibayar mahal dengan mengorbankan faktor ergonomic yang sangat berperan dalam menjamin kenyamanan dan kesehatan sang pemakai. TI telah membawa kebaikan besar dalam pemberian perawatan kesehatan, dari diagnosis yang lebih baik dan cepat., memperlancar penelitian dan pengambangan obat baru, sehingga pengawasan yang lebih akurat untuk para pasien yang krisi. Salah satu teknologi yang telah memberikan konstriibusi khusus adalah kecerdasan buatan. Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 4 Dari ribuan aplikasi lainnya yang berkaitan dengan perawatan kesehatan, merupakan hal yang menarik untuk membahas mengenai sistem administrasi yang berkisar dari pendeteksian penipuan asuransi, penjadwalan perawatan, dan manajemen keuangan serta pemasaran. Dapat dilihat dalam IT’s about business, bahwa TI dapat dengan secara dramatis mempengaruhi perawatan kesehatan dalam berbagai cara. Internet adalah tambang emas informasi medis. Contohnya sebuah situs mengenai kanker menampilkan berbagai macam dokumen, kajian, gambaran pengalaman seseorang, saran diet, serta link ke berbagai sumber daya global bagi orang-orang yang menderita kanker atau yang tertarik dalam onkologi. Situs tersebut menawarkan informasi mengenai penelitian terbaru dan pengelolaan sakit akibat kanker. Situs itu jg membantu pihak keluarga mengatasi beban emosi dan keuangan. 1.7 Solusi Sosial Teknologi informasi adalah perangakat yang berharga karena dapat memberikan berbagai manfaat baik langsung maupun tidak langsung. Teknologi informasi Komunikasi dan perubahan sosial masyarakat, perubahan itu meliputi perubahan sikap masyarakat dalam interaksi sosial sehari-hari. Motivasi dan kepemimpinan dalam teknologi Informasi. Motivasi adalah perpaduan antara keinginan dan energi untuk mencapai tujuan tertentu. Mempengaruhi motivasi seseorang berati membuat orang tersebut melakuakn apa yang kita inginkan. Karena fungsi utama dari kepemimpinan adalah untuk memimpin, maka kemampuan untuk mempengaruhi orang adalah hal yang penting. Kepemimpinan adalah suatu proses perilak atau hubungan yang menyebabkan suatu kelompok dapat bertindak secara bersama-sama atau secara bekerja Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 5 sama dengan aturan atau sesuai dengan tujuan bersama. Interaksi dan Psikologi sosial dalam makna Teknologi informasi. 2.1 PROPERTI SISTEM YANG MEMBERIKAN KEAMANAN Jika sistem informasi ingin selalu menjaga keamanan isinya, maka ia harus memiliki 3 properti yaitu : 1. Integritas yaitu sistem yang mempunyai integritas jika ia berjalan seperti apa yang diharapkan. Perancang sistem berusaha untuk mengembangkan sistem yang mempunyai integrasi fungsional. Integritas fungsional yaitu kemampuan untuk melanjutkan operasi walaupun bila salah satu atau lebih dar komponen yang tidak berjalan. Contoh : Jaringan pemrosesan distribusi. 2. Audibilitas yaitu sistem yang mempunyai audibilitas yang mudah bag seseorang untuk memeriksa, memvertifikasi, atau mendemonstrasikan penampilannya. Contoh : Subsistem CBIS bersifat audible bila dokumentasi mengidentifikasi orang-orang yang mengembangkan dan program tersebut menyertakan pengecekan kesalahan yang diperlukan. 3. Berdaya control yaitu pengarahan atau penghambatan terhadap system tersebut berdaya control. Teknik untuk mendapatkan daya kontrol system ini adalah dengan membagi system menjadi subsistem yang menangani transaksi secara terpisah. Penebusan keamanan pada salah satu subsistem tidak akan mempengaruhi keseluruhan system. Contoh : salah satu subsitem dalam bank di gunakan untuk membuka account, dan subsistem penarikan account. Subsistem pertama untuk mengontrol, yang kedua mencegah manipulasi dana yang tidak diinginkan, misalnya seseorang yang membuka account dengan nama dan pemilik account dan secara illegal mentransfer dana tersebut ke dalam dari account yang lainnya. Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 6 TUGAS KONTROL CBIS Kontrol CBIS mencakup semua fase siklus hidup. Selama siklus hidup, control dapat dibagi menjadi control-control yang berhubungan dengan pengembangan, disain, dan oprasi, yaitu : Kontrol pengembangan sistem yang memastikan bahwa perencanaan, analis, disain dan implementasi berjalan sesuai dengan rencana. Selagi CBIS dikembangkan, manajemen memastikan bahwa disain tersebut dapat meminimalkan adanya peluang kesalahan, mendeteksi kesalahan ketika desain dibuat dan mengoreksi kesalahan retry. Kontrol disain : Sistem yang dapat dicapai dengan software maupun dengan hardware. Kontrol operasi : Sistem CBIS yang telah diimplementasikan oleh personal operasi untuk mencegah persekongkolan dan didelegasikan kepada manager operasi computer. 2.2 KEAMANAN SISTEM Keamanan Sistem Memacu pada perlindungan terhadap semua Sumber daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak berwenang. Tujuan keamanan yang dimaksudkan untuk mencapai 3 tujuan utama, yaitu : 1. Kerahasiaan Perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak berhak. 2. Ketersediaan Tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwewenang untuk menggunakannya. 3. Integritas Semua subsistem CBIS harus menyediakan gambar akurat dari sistem fisik yang diwakilinya. Pengendalian akses dilalui suatu proses, yaitu : Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 7 a. Indentifikasi User b. Pembuktian keaslian user c. Otorisasi User 2.3 KEAMANAN INFORMASI Kejahatan komputer dapat digolongkan dari yang sangat berbahaya sampai mengesalkan (annoying). Banyak cara yang dilakukan oleh penjahat komputer untuk memenuhi keinginannya. Untuk mengantisipasi kondisi tersebut perlu ditingkatkan sistem pengamanan. Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan Keamanan, secara umum diartikan sebagai “Quality or state of being secure-to be free from danger”. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan dapat dicapai dengan beberapa strategi yang bisa dilakukan dengan cara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Dalam teknologi komputer keamanan dapat diklasifikasikan menjadi Lima, yaitu : Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi dan bencana alam. Beberapa bekas penjahat komputer (cracker) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah diketemukan coretanpassword atau manual yang dibuang tanpa dihancurkan. Personal Security yang overlap dengan “physical security” dalam melindungi orang-orang dalam organisasi. Seringkali keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah tehnik yang dikenal sebagai “sosial engineering” yang sering digunakan oleh kriminal untuk berpura- Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 8 pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain. Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. Communication Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. Yang termasuk dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses. Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisas, jaringan dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Masing-masing komponen diatas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan tersebut digunakan untuk melindungi informasi termasuk sistem dan perangkat yang digunakan, menyimpan dan mengirimkannya. Selain itu, keamanan juga melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha. 2.4 KONTROL SISTEM DAN AUDIT Bagian kedua dalam BS 7799 menyajikan implementasi detil menggunakan siklus Plan-Do-Check-Art, seperti disebutkan berikut ini, yaitu : Plan Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 9 Mengidentifikasikan scope sistem manajemen keamanan informasi Mendefinisikan kebijakan sistem manajemen keamanan informasi Mendefinisikan pendekatan yang digunakan untuk risk assessment Mengidentifikasi resiko Memperkirakan resiko Mengidentifikasi dan mengevaluasi pilihan perlindungan terhadap resiko Memilih tujuan kendali dan kendalinya Mempersiapkan sebuah statement of Aplicabilit Do Membuat sebuah formulasi rencana pengelolaan resiko Melakukan implementasi kendali Melakukan pengelolaan kegiatan Melakukan pengelolaan sumber daya Check Melakukan prosedur pemantauan Melakukan evaluasi berkala terhadap sistem manajemen keamanan informasi Melakukan pencatatan aktifitas dan kejadian yang mempengaruhi sistem manajemen keamanan informasi Melakukan pengkajian terhadap tingkatan resiko yang dapat dihadapi atau resiko yang dapat diterima Act Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 10 Melakukan implementasi peningkatan yang telah diidentifikasi Mengambil tindakan pencegahan dan koreksi Menjamin peningkatan pencapaian tujuan Mengkomunikasikan hasil kepada rekan yang berkepentingan Audit Sistem Manajemen keamanan Informasi Pengendalian keamanan dibuat untuk memastikan bahwa sistem informasi bekerja dengan benar. Pengendalian dapat dipasang dalam sistem aslinya, atau dapat ditambahkan setelah sistem beroperasi. Memasang pengendalian adalah hal yang perlu, tetapi tidak cukup. Diluar itu, merupakan hal yang penting untuk menjawab berbagai pertanyaan seperti berikut : Apakah pengendalian di pasang seperti tujuannya? Apakah pengendalian tersebut efektif? Jika demikian tindakan apa yang dibutuhkan untuk mencegah terjadinya kembali? Pertanyaan inilah yang harus dijawab oleh pengamat yang indenpenden dan tidak bias. Pengamat seperti itu melakukan tugas audit sistem informasi. DAlam lingkungan sistem informasi audit adalah pemeriksaan sistem informasi, masukan, keluaran/hasil, dan pemrosesan. Jenis-jenis Auditor dan Audit Terdapat 2 jenis auditor dan audit yaitu internal dan eksternal. Audit sistem informasi biasanya adalah bagian dari audit internal akuntansi dan sering kali dilakukan oleh auditor internal perusahaan. Auditor Eksternal mengkaji berbagai temuan audit internal dan masukan, pemrosesan, serta keluaran sistem informasi. Audit eksternal sistem informasi seringkali merupakan bagian dari keseluruhan audit eksternal yang dilakukan oleh KAP. Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 11 Audit sistem informasi adalah topik yang luas, jadi di sini hanya akan disajikan dasar-dasarnya. Audit mencari semua potensi bahaya dan pengendalian dalam sistem informasi. Audit memfokuskan perhatian pada topik seperti pengembangan pada sistem baru, operasi, pemeliharaan, integritas data, aplikasi peranti lunak, keamanan dan privacy, perencanaan dan pemulihan.Tersedia petunjuk untuk membantu auditor dalam melakukan pekerjaanya, seperti yang berasal dari Institude of internal Auditors. Bagaimana Audit dilakukan? Prosedure audit SI dapat diklasifikasikan ke dalam tiga kategori, yaitu audit di sekitar komputer, audit melalui komputer, dan audit dengan koputer. Audit di sekitar komputer berarti memverifikasi pemrosesan dengan memeriksa keluaran yang dikenal melalui penggunaan masukan tertentu. Pendekatan iini paling bagus digunakan dalam sistem yang memiliki keluaran terbatas. Dalam audit melalui kompute, masukan,keluaran dan pemrosesan diperiksa. Para auditor mengkaji logika program, menguji data dan mengendalikan pemrosesan serta pemrosesan ulang. Audit dalam komputer berarti melakukan gabungan dari data klien, peranti lunak auditor, dan peranti keras klien serta auditor. Audit ini memungkinkan auditor melakukan berbagai pekerjaan seperti menyimulasikan logika program penggajian dengan menggunakan data sesungguhnya. Audit sistem informasi adalah area khusus yang makin berkembang, seperti dalam audit berbasis web. Selain itu, keamanan data adalah perhatian utama akuntan. Akuntan juga dilibatkan dalam pencegahan penipuan dan program pendeteksian. Rencana pemulihan dari bencana biasanya dilakukan dengan bantuan akuntan. Industri keuangan dan perbankan sangat tergantung terhadap komputer dan jaringannya. Keamanan adalah salah persyaratan untuk Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 12 pengembangan berbagai teknologi baru seperti perbankan elektronik dan kartu pintar. Selain itu pembayarannya juga juga penting untuk ecommerce, dan keamanan serta auditnya adalah hal yang palig penting. Dampak dari TI pada individu, seperti yang dijelaskan dalam bab ini, sangat penting bagi para ahli SDM, motivasi, supervisi, pengembangan karier, perekrutan dan lebih banyak lagi, semuanya diperngaruhi oleh TI. Tanpa pemahaman atas berbagai isu ini, merupakan hal yang sulit untuk mengelola sumber daya manusia. Selain itu, personel SDM harus tertarik untuk mencari cara mengidentifikasikan potensi kejahatn komputer dalam proses perekrutan.