Etika Keamanan Informasi
Apa itu Etika?
Kata Etika berasal dari Yunani Kuno : "ethikos",
yang berarti "timbul dari kebiasaan".
Etika adalah sebuah sesuatu dimana dan bagaimana
cabang utama filsafat yang mempelajari nilai atau kualitas yang menjadi studi
mengenai standar dan penilaian moral. Etika mencakup analisis dan penerapan
konsep seperti benar, salah, baik, buruk, dan tanggung jawab.
Etika pun memiliki landasan hukum dalam penggunaan
teknologi informasi yang tersirat di UU ITE tahun 2008, BAB II asas tujuan
pasal 3 , yang berbunyi
"pemanfaatan teknologi informasi dan transaksi
elektronik dilaksanakan berdasarkan asas kepastian hukum,manfaat,kehati-hatian,
itikad baik dan kebebasan memilih teknologi atau netral teknologi"
Apa itu Teknologi Sistem Informasi?
Teknologi Sistem Informasi (TSI)
atau Technology Information System adalah teknologi yang tidak
terbatas pada penggunaan sarana komputer, tetapi meliputi pemrosesan data,
aspek keuangan, pelayanan jasa sejak perencanaan, standar dan prosedur, serta
organisasi dan pengendalian sistem catatan (informasi).
Dalam bidang teknologi informasi,
tentunya etika menjadi sangat penting khususnya di era informasi seperti
sekarang ini. Para pelaku dunia IT harus mengetahui etika dalam penggunaan
Teknologi Sistem Informasi.
A. Etika
Dalam Sistem Informasi
Masalah
etika juga mendapat perhatian dalam pengembangan dan pemakaian system
informasi. Masalah ini diidentifikasi oleh Richard Mason pada tahun 1986 yang
mencakup privasi, akurasi, properti, dan akses, yang dikenal dengan akronim
PAPA.
1. Privasi
Privasi
menyangkut hak individu untuk mempertahankan informasipribadi dari pengaksesan
oleh orang lainyang tidak diberi izin unruk melakukannya.
Contoh isu
mengenai privasi sehubungan diterapkannya system informasi adalah pada kasus
seorang manajer pemasaran yang ingin mengamati e-mail yang dimiliki para
bawahannya karena diperkirakan mereka lebih banyak berhubungan dengan e-mail
pribadi daripada e-mail para pelanggan. Sekalipun sang manajer dengan
kekuasaannya dapat melakukan hal seperti itu, tetapi ia telah melanggarprivasi
bawahannya.
Privasi
dibedakan menjadi privasi fisik dan privasi informasi (Alter, 2002). Privasi
fidik adalah hak seseorang untk mencegah sseseorang yangtidak dikehendaki
terhadap waktu, ruang, dan properti (hak milik), sedangkan privasi informasi
adalah hak individu untuk menentukan kapan, bagaimana, dan apa saja informasi
yang ingin dikomunikasikan dengan pihak lain.
Penggunaan
teknologi informasi berkecenderungan membuat pelanggaran terhadap privasi jauh
lebih mudah terjadi. Sebagai contoh, para pemakai e-mail sering kali jengkel
dengan kiriman-kiriman e-mail yang tak dikehendaki dan berisi informasi yang
tidak berguna (junk e-mail).
Di America
Derikat, masalah privasi diatur oleh undang-undang privasi. Berkaitan dengan
hal ini, maka:
•
Rekaman-rekaman data tdak boleh digunakan untuk keperluan lain yang bukan
merupakan tujuan aslinya tanpa sepengetauhna individu bersangkutan.
• Setiap
individu memiliki hak untuk melihat datanya sendiri dan membetulkan
rekaman-rekaman yang menyangkut dirinya.
2. Akurasi
Akurasi
terhadap informasi merupakan factor yang harus dpenuhi oleh sebuah sistem
informasi. Ketidak akurasian informasi dapat menimbulkan hal yang mengganggu,
merugikan, dan bahkan membahayakan.
Sebuah
kasusakibat kesalahan penghapusan nomor keamanan social dialami oleh Edna
Rismeller (Alter, 2002, hal.292). Akibatnya, kartu asuransinya tidak bias
digunakan bahkan pemerintah menarik kembali cek pension sebesar $672 dari
rekening banknya. Kisah lain dialami oleh para penyewa apartemen di Amerika
yang karena sesuatu hal pernah bertengkar dengan pemiliki apartemen. Dampaknya,
terdapat tanda tidak baik dalam basis data dan halini membuat mereka sulit
untuk mendapatkan apartemen lain.
Mengingat
data dalam sistem informasi menjadi bahan dalam pengambilan keputusan,
keakurasiannya benar-benar harus diperhatikan.
3. Properti
Perlindungan
terhadap hak properti yangsedang figalakkan saat ini yaitu dikenaldengan
sebutan HAKI(hak atas kekayaan intelektual). Di Amerika Serikat, kekayaan intelektual
diatur melalui tiga mekanisme, yaitu hak cipta (copyright), paten, dan rahasia
perdagangan (trade secret).
• Hak cipta,
adalah hak yang dijamin oleh kekuatan hokum yang melarang penduplikasian
kekayaanintelektual tanpa seizing pemegangnya. Hak ini mudah untuk didapatkan
dan diberikab kepada pemegangnya selamamasa hidup penciptanya plus 70 tahun.
• Paten,
merupakan bentuk perlindungan terhadap kekayaan intelektual yang paling
sulitdidapatkan karena hanyadiberikan pada penemuan-penemuaninovatif dan sangat
berguna. Hukum paten memberikanperlindungan selama 20 tahun.
• Rahasia
perdagangan, hokum rahasia perdagangan melindingi kekayaan intelektual melalui
lisensi atau kontrak. Pada lisensi perangkat lunak, seseorang yang
menandatanganikontrak menyetujui untuktidak menyalin perangkat lunak tersebut
untuk diserahkan kepada oranglain atau dijual.
Masalah
kekayaan intelektual merupakan faktor pentingyang perlu diperhatikan dalam
sistem informasi untuk menghindari tuntutan dari pihak lain di kemudian hari.
Isu pelanggaran kekayaan intelektual yangcukup seru pernah terjadi ketika
terdapat gugatan bahwa sistem windows itu meniru sistem Mac. Begitu juga timbul
perseteruan ketika muncul perangkat-perangkat lunak lain yang menyerupai
spreadsheet Lotus 123. Kasus ini menimbulkan pertanyaan, “Apakah tampilan nuasa
dari suatu perangkat lunak memang butuh perlindungan hak cipta?”.
Berkaitan
dengan masalah intelektual, banyak masalah yang belum terpecahkan (Zwass,
1998), antara lain:
• Pada level
apa informasi dapat dianggap sebagai properti?
• Apa yang
harus membedakan antara satu produk dengan produk lain?
• Akankah
pekerjaan yang dihasilkan oleh komputer memiliki manusia penciptanya? Jika
tidak, lalu hak properti apa yang dilindunginya?
Isu yang
juga marak sampai saat ini adalah banyaknya penyali perangkat lunak secara
ilegal dengan sebutan pembajakan perangkat lunak (software privacy). Beberapa
solusi untuk mengatasi hal ini telah banyak ditawarkan, namun belum memiliki
penyelesaian, seperti sebaiknya software – terutana yang bias dijual massak –
dijual dengan harga yang relative murah. Solusi yang mengkin bias figunakan
untukperusahaan-perusahaan yang memiliki dana yangterbatas untukmemberli
perangkat lunak yang tergolong sebagai open source.
4. Akses
Fokus dari
masalah akses adalah pada penyediaanakses untuk semua kalangan. Teknologi
informasi diharapkan tidak menjadi halangan dalam melakukan pengaksesan
terhadap informasi bagi kelompok orang tertentu, tetapi justru untuk mendukung
pengaksesan untuk semuapihak. Sebagai contoh, untuk mendukunf pengaksesan
informasi Web bagi orang buta, TheProducivity Works (www.prodworks.com)
menyediakan Web Broser khusus diberi nama pw WebSpeak. Browser ini memiliki
prosesor percakapan dan dapat (Zwass, 1998).
B. Keamanan
Dalam Sistem Informasi
Jika kita
berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk
adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain.
Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara
kepada kemungkinan adanya resiko yang muncul atas sistem tersebut (lihat
tulisan strategi pendekatan manajemen resiko dalam pengembangan sistem
informasi). Sehingga pembicaraan tentang keamanan sistem tersebut maka kita
akan berbicara 2 masalah utama yaitu :
Threats
(Ancaman) atas sistem dan
Vulnerability
(Kelemahan) atas sistem
Masalah
tersebut pada gilirannya berdampak kepada 7 hal yang utama dalam sistem
informasi yaitu :
1.
Efektifitas
2. Efisiensi
3.
Kerahaasiaan
4.
Integritas
5.
Keberadaan (availability)
6. Kepatuhan
(compliance)
7. Keandalan
(reliability)
Untuk
menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan
dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan
sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu
:
-Akses kontrol
sistem yang digunakan
-Telekomunikasi
dan jaringan yang dipakai
-Manajemen
praktis yang di pakai
-Pengembangan
sistem aplikasi yang digunakan
-Cryptographs
yang diterapkan
-Arsitektur
dari sistem informasi yang diterapkan
-Pengoperasian
yang ada
-Busineess
Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
-Kebutuhan
Hukum, bentuk investigasi dan kode etik yang diterapkan
-Tata letak
fisik dari sistem yang ada
Dari domain
tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan
ancaman dan kelemahan sistem yang dimiliki.
THREATS (Ancaman)
Ancaman adalah aksi yang terjadi baik dari dalam
sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem
informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi
berasal dari 3 hal utama, yaitu :
-Ancaman
Alam
-Ancaman
Manusia
-Ancaman
Lingkungan
-Ancaman
Alam
Yang
termasuk dalam kategori ancaman alam terdiri atas :
-Ancaman
air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai,
pencairan salju
-Ancaman
Tanah, seperti : Longsor, Gempa bumi, gunung meletus
-Ancaman
Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
-Ancaman
Manusia
Yang dapat
dikategorikan sebagai ancaman manusia, diantaranya adalah :
-Malicious
code
-Virus,
Logic bombs, Trojan horse, Worm, active contents, Countermeasures
-Social
engineering
-Hacking,
cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
-Kriminal
-Pencurian,
penipuan, penyuapan, pengkopian tanpa ijin, perusakan
-Teroris
-Peledakan,
Surat kaleng, perang informasi, perusakan
-Ancaman
Lingkungan
Yang dapat
dikategorikan sebagai ancaman lingkungan seperti :
Penurunan
tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam
jangka waktu yang cukup lama
Polusi
Efek bahan
kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
Kebocoran
seperti A/C, atap bocor saat hujan.
Besar
kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum
teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks
ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di
minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas
serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan
seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami
mall function.
VURNERABILITY
(Kelemahan)
Adalah cacat atau kelemahan dari suatu sistem yang
mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan
maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat
sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang
dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka
telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti
oleh penerapan kerberos atau NAT.
Suatu
pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
1.
Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman
dan kelemahan
2.
Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses
yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
3.
Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak
seimbang untuk dikembalikan dalam keadaan normal
Tindakan tersebutlah
menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca mata
timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi
dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.