Isu-isu Etika Etika adalah cabang ilmu filosofi yang berhubungan dengan berbagai hal yang dianggap benar atau salah. Kode etik adalah kumpulan prinsip sebagai petunjuk untuk semua anggota organisasi Isu Privasi Informasi apa yang dapat diungkapkan seseorang kepada pihak lain? Pemeriksaan seperti apa yang dapat digunakan perusahaan bagi para karyawannya? Hal apa saja yang harus dirahasiakan oleh seseorang dan tidak diungkapkan ke pihak lain? Informasi tentang seseorang yang harus disimpan di basis data, dan seberapa aman informasi tersebut di sana? Isu Akurasi Siapa yang bertanggung jawab terhadap autentika, kesesuaian dan akurasi informasi yang dikumpulkan? Bagaimana cara memastikan informasi akan diproses secara tepat dan disajikan dengan akurat ke para pengguna? Bagaimana cara memastikan berbagai kesalahan dalam basis data, transmisi data dan pemrosesan data bersifat disengaja atau tidak disengaja? Siapa yang bertanggung jawab atas berbagai kesalahan dalam informasi, dan kompensasi apa yang harus diberikan pada pihak yang dirugikan? Ferianto Raharjo - FT - UAJY 1
3. Isu properti, berupa kepemilikan dan nilai informasi (hak atas kekayaan intelektual). Isu Properti Siapa yang memiliki informasi tersebut? Berapakah harga yang tepat dan wajar untuk pertukarannya? Bagaimana seharusnya menangani pembajakan peranti lunak? Dapatkah seseorang menggunakan basis data dalam keadaan terpaksa? Dapatkah komputer perusahaan digunakan untuk tujuan pribadi? Bagaimanakah kompensasi diberikan kepada para pakar yang mengkontribusikan kepakarannya untuk membuat sistem pakar? Bagaimana seharusnya akses ke berbagai saluran informasi dialokasinya? 3. Isu properti, berupa kepemilikan dan nilai informasi (hak atas kekayaan intelektual). 4. Isu aksesibilitas, hak untuk mengakses informasi dan pembayaran biaya untuk mengaksesnya. Isu Aksesibilitas Siapa yang diijinkan untuk mengakses informasi? Seberapa besar biaya yang dibebankan untuk mengijinkan akses ke informasi? Bagaimana aksesibilitas ke komputer disediakan bagi karyawan dengan keterbatasan fisik? Siapakah yang disediakan peralatan yang dibutuhkan untuk mengakses informasi? Informasi apa yang menjadi hak atau keistimewaan untuk didapat seseorang atau perusahaan, dan dalam kondisi apa serta bagaimana pengamanannya? Melindungi Privasi Privasi adalah hak untuk tidak diganggu dan hak bebas dari gangguan pribadi yang tidak wajar. Privasi informasi adalah hak untuk menentukan kapan dan sejauh mana informasi mengenai diri sendiri dapat dikomunikasikan ke pihak lain. Salah satu cara untuk melindungi privasi adalah dengan mengembangkan kode etik atau kebijakan privasi. Pemeriksaan elektronik adalah penelusuran aktivitas orang, secara online atau offline, dengan bantuan komputer. Informasi personal di berbagai basis data seperti bank dan lembaga keuangan; perusahaan TV kabel, telepon dan utilitas; perusahaan apartemen; pegadaian; persewaan; rumah sakit, sekolah dan universitas; supermarket, retail dan kurir; lembaga pemerintahan; perpustakaan; perusahaan asuransi dan lainnya. Kode etik dan kebijakan privasi adalah petunjuk perusahaan yang berkaitan dengan perlindungan privasi para pelanggan, klien dan karyawan. Ferianto Raharjo - FT - UAJY 2
Personal Information in Databases 1. Banks 2. Utility companies 3. Government agencies 4. Credit reporting agencies Pengumpulan Data: Data individu dikumpulkan hanya jika tujuannya untuk memenuhi tujuan bisnis yang sah. Data harus memadai, relevan dan tidak berlebihan dalam kaitannya dengan tujuan bisnis. Setiap individu harus memberikan ijin sebelum data yang berkaitan dengan mereka dikumpulkan. Akurasi Data: Data sensitif yang dikumpulkan mengenai berbagai individu harus diverifikasi sebelum dimasukkan dalam basis data. Data harus akurat dan selalu diperbarui. File harus tersedia sehingga dapat dipastikan bahwa data tersebut benar. Jika terdapat ketidaksepakatan mengenai akurasi data, versi dari orang terkait harus diperhatikan dan dimasukkan dalam pengungkapan file-nya. Kerahasiaan Data: Prosedur keamanan komputer harus diimplementasikan untuk memberikan jaminan yang wajar dari pengungkapan data secara tidak sah. Prosedur tersebut harus meliputi pengukuran keamanan fisik, teknis dan administratif. Pihak ketiga seharusnya tidak diberikan akses data tanpa sepengetahuan atau ijin orang terkait, kecuali diminta oleh hukum. Pengungkapan data, selain dari yang sangat rutin, harus diperhatikan dan dipelihara selama data disimpan. Data seharusnya jangan diungkapkan untuk berbagai alasan yang tidak sesuai dengan tujuan bisnis, yang merupakan tujuan awal dikumpulkannya data tersebut. Ancaman terhadap Sistem Informasi Sistem informasi terdiri atas banyak komponen yang ditempatkan di berbagai lokasi sehingga rentan terhadap berbagai bahaya atau ancaman. Ancaman terhadap sistem informasi makin meningkat sejalan dengan adanya komputasi jaringan terutama nirkabel. Decreasing Skills Needed to be a Hacker New & Easier Tools make it very easy to attack the Network Attacks are becoming increasingly sophisticated Sven Taubert/Age Fotostock America, Inc. Ferianto Raharjo - FT - UAJY 3
Organized Crime Taking Over Cybercrime Lack of Management Support Sigrid Olsson/Photo Alto/Age Fotostock Stockbroker xtra/agefotostock America, Inc. Ancaman tidak Disengaja Ancaman tidak disengaja dibagi ke dalam tiga kategori: 1. Kesalahan manusia, dapat berupa kesalahan desain peranti keras dan/atau sistem informasi, pemrograman, pengujian, pengumpulan data, input data, otorisasi dan instruksi. 2. Bahaya lingkungan, meliputi gempa bumi, badai, banjir, listrik mati atau hubungan pendek, kebakaran, ledakan, kebocoran radio aktif dan kerusakan sistem pendingin. 3. Kegagalan sistem komputer, sebagai akibat proses produksi yang kurang baik atau bahan baku yang rusak. Ancaman Disengaja Ancaman disengaja meliputi pencurian data; penggunaan data secara tidak tepat; pencurian perlengkapan dan/atau program; manipulasi dalam penanganan entri, pemrosesan, transfer atau pemrograman data; sabotase; kerusakan akibat virus; serta berbagai penyalahgunaan komputer dan penipuan internet. Melindungi Sumber Daya Informasi Sebelum mengeluaran dana untuk melakukan pengendalian, perusahaan harus melakukan manajemen risiko dengan tujuan mengidentifikasi, mengendalikan dan meminimalkan dampak ancaman. Ferianto Raharjo - FT - UAJY 4
Kesulitan dalam Melindungi Sumber Daya Informasi Terdapat ratusan potensi ancaman. Sumber daya komputasi mungkin berada di banyak lokasi. Banyak individu yang mengendalikan aset informasi. Jaringan komputer dapat berada di luar perusahaan dan sulit dilindungi. Perubahan teknologi yang cepat membuat beberapa pengendalian menjadi tidak berguna ketika teknologi tersebut digunakan. Banyak kejahatan komputer tidak terdeteksi dalam waktu yang lama, hingga sulit untuk belajar dari pengalaman. Orang cenderung melanggar prosedur keamanan karena prosedur tersebut tidak nyaman. Jumlah pengetahuan komputer yang dibutuhkan untuk melakukan kejahatan komputer biasanya minimal. Biaya untuk mencegah bahaya dapat sangat tinggi. Sulit untuk melakukan justifikasi biaya-manfaat bagi pengendalian sebelum serangan terjadi. Risk Management A process that identifies, controls, and minimizes the impact of threats, in an effort to reduce risk to manageable levels. Information Security Controls Pengendalian dibagi menjadi dua kategori umum Pengendalian umum, dibuat untuk melindungi sistem dengan aplikasi apapun, berupa pengendalian fisik, pengendalian akses, pengendalian keamanan data, pengendalian komunikasi (jaringan) dan pengendalian administrasi. Pengendalian aplikasi, dimaksudkan untuk melindungi aplikasi tertentu, meliputi pengendalian masukan, pengendalian pemrosesan dan pengendalian hasil. Ferianto Raharjo - FT - UAJY 5