Slide 5 4.1 Menjelaskan masalah-masalah etis seputar teknologi informasi.

Teknologi menimbulkan tantangan baru bagi etika kita-prinsip dan standar yang memandu perilaku kita terhadap orang lain. Kekayaan intelektual - karya kreatif tidak berwujud yang diwujudkan dalam bentuk fisik. Hak Cipta Perlindungan hukum diberikan sebuah ekspresi dari sebuah ide, seperti lagu, video game, dan beberapa jenis dokumen kepemilikan. Doktrin penggunaan yang adil - Dalam situasi tertentu, itu legal untuk menggunakan hak cipta. Perangkat lunak bajakan - Penggunaan yang tidak sah, penggandaan, distribusi, atau penjualan software. Pemalsuan software - Software yang dibuat agar terlihat seperti hal yang nyata dan dijual seperti itu. 4.2 Mengidentifikasi perbedaan antara kebijakan penggunaan komputer yang etis dan kebijakan penggunaan komputer yang dapat diterima Komputer kebijakan penggunaan etika berisi prinsip-prinsip umum untuk memandu perilaku komputer pengguna. Kebijakan etika komputer pengguna memastikan semua pengguna diberitahukan tentang aturan dan, dengan menyetujui untuk menggunakan sistem pada persetujuan, dasar untuk mematuhi aturan. Penggunaan kebijakan dapat diterima (AUP) adalah kebijakan yang pengguna harus setuju untuk mengikuti untuk diberikan akses ke jaringan atau ke Internet. Sebuah AUP biasanya berisi klausul nonrepudiation: nonrepudiation adalah ketentuan kontrak untuk memastikan bahwa peserta eBusiness tidak menyangkal (menolak) tindakan online mereka. 4.3 Menjelaskan hubungan antara suatu kebijakan privasi email dan kebijakan penggunaan Internet Organisasi dapat mengurangi risiko email dan alat pesan instan komunikasi dengan menerapkan dan mematuhi kebijakan privasi email. rincian privasi email kebijakan sejauh mana pesan email dapat dibaca oleh orang lain. Sebuah kebijakan penggunaan Internet berisi prinsip-prinsip umum untuk memandu penggunaan yang tepat dari Internet. Kebijakan penggunaan Internet mencakup semua tindakan yang terjadi di Internet, sedangkan kebijakan privasi email hanya mencakup email.

Slide 6 4.4 Jelaskan efek dari spam pada suatu organisasi Spam adalah email yang tidak diminta. Spam menyumbang 40% sampai 60% dari email kebanyakan organisasi 'dan US biaya bisnis lebih dari $ 13 miliar pada 2005 Anti-spam kebijakan hanya menyatakan bahwa pengguna email tidak akan mengirim email yang tidak diinginkan (atau spam) 4.5 Merangkum teknologi pemantauan yang berbeda dan menjelaskan pentingnya sebuah kebijakan pemantauan karyawan Teknologi pemantauan yang berbeda meliputi: Key logger, atau perangkat lunak penjebak kunci - catatan penekanan tombol dan klik mouse

Hardware kunci logger - menangkap penekanan tombol dari keyboard ke motherboard Cookie - file kecil disimpan pada hard drive oleh website yang berisi informasi tentang pelanggan dan aktivitas Web mereka Adware - menghasilkan diri memasang iklan Spyware - software tersembunyi yang melacak pergerakan online Web log - terdiri dari satu baris informasi untuk setiap pengunjung ke situs web Clickstream - catatan informasi tentang pelanggan selama sesi Web surfing Sebuah kebijakan pemantauan karyawan secara eksplisit menyatakan bagaimana, kapan, dan dimana perusahaan memonitor karyawannya. Suatu organisasi harus merumuskan kebijakan yang tepat dan menempatkan mereka ke dalam praktek. OMS yang eksplisit tentang apa perusahaan dilakukan dengan cara pemantauan dan alasan untuk itu, bersama dengan secara aktif mendidik karyawan mereka tentang apa perilaku yang tidak tampak seperti, akan menemukan bahwa karyawan tidak hanya menyesuaikan diri cukup cepat untuk sebuah kebijakan, tetapi juga mengurangi OMS beban oleh kepolisian sendiri.

Slide 7 Memecahkan siswa ke dalam kelompok dan minta mereka untuk menemukan contoh dunia nyata dari setiap jenis masalah etis yang ditampilkan pada gambar dalam teks. Mintalah siswa Anda untuk menemukan masalah etika tambahan yang berasal dari kemajuan teknologi tidak disebutkan dalam gambar. Kekayaan intelektual - karya kreatif tidak berwujud yang diwujudkan dalam bentuk fisik Copyright - Perlindungan hukum diberikan sebuah ekspresi dari sebuah ide, seperti lagu, video game, dan beberapa jenis dokumen kepemilikan Doktrin penggunaan yang adil - Dalam situasi tertentu, itu legal untuk menggunakan materi hak cipta Perangkat lunak bajakan - Penggunaan yang tidak sah, penggandaan, distribusi, atau penjualan hak cipta perangkat lunak Pemalsuan software - Software yang dibuat agar terlihat seperti hal yang nyata dan dijual sebagai seperti

Slide 8 Privasi adalah masalah etika Ada banyak contoh dari masalah etika sekitarnya TI Daftar beberapa contoh TI etika yang saat ini dalam berita Diskusikan kasus terkenal dari Napster dan menyajikan siswa dengan isu-isu etis sekitarnya berbagi

musik dan hukum hak cipta Menurut Anda melacak informasi pelanggan dari kunjungan website ini etis? Bagaimana jika perusahaan menjual informasi?

Slide 9 Privasi selama interaksi Web adalah perhatian utama bagi banyak individu Melanggar privasi seseorang adalah cara yang pasti untuk merusak hubungan eBusiness dibangun pada praktek bertukar sejumlah besar informasi antara banyak pihak Tanpa privasi, tidak akan ada kepercayaan setiap Pernahkah Anda telah melanggar privasi mereka di Internet? Salah satu contoh yang paling umum adalah seseorang forwarding atau bcc (blind carbon copy) email tanpa sepengetahuan orang tersebut atau persetujuan Untuk eBusiness bekerja, perusahaan, pelanggan, mitra, dan pemasok harus saling percaya

Slide 10

Slide 11 Jelaskan kepada siswa Anda bahwa sebagian besar organisasi ingin membuat keputusan di suatu tempat di kuadran I, baik hukum dan etika Jelas ini tidak selalu terjadi, atau kita tidak akan memiliki contoh seperti Enron dan Martha Stewart Dapatkah Anda menyebutkan sebuah perusahaan yang beroperasi di kuadran masing-masing? I - Amazon II - Microsoft - Pemerintah memutuskan bahwa Microsoft melanggar undang-undang antitrust dan mengoperasikan monopoli, meskipun Microsoft merasa sudah beroperasi secara etis dan legal III - Beberapa pengacara IV - Dealer Obat

Slide 12 Untuk alasan ini jatuh di pundak mereka yang tuan atas informasi untuk mengembangkan pedoman etika tentang bagaimana kudis itu Tinjau angka membahas didirikan saat ini informasi terkait hukum

Slide 13 Organisasi harus mengembangkan kebijakan tertulis menetapkan pedoman karyawan, prosedur personalia, dan aturan organisasi Kebijakan ini menetapkan harapan karyawan tentang praktik organisasi dan standar dan melindungi organisasi dari penyalahgunaan sistem komputer dan sumber daya TI Apakah ada kebijakan-kebijakan yang digunakan di kampus Anda?

Slide 14 Sebagai contoh: sebuah kebijakan etika penggunaan komputer mungkin menyatakan bahwa pengguna harus menahan diri dari bermain game komputer selama jam kerja

Slide 15 Review enam prinsip untuk manajemen informasi etis dan mengurutkannya dalam urutan yang paling penting bagi pentingnya setidaknya bagi suatu organisasi Membuat untuk debat kelas yang sangat baik

Slide 16 Sebagai contoh, nomor jaminan sosial dimulai sebagai cara untuk mengidentifikasi tunjangan pemerintah pensiun dan sekarang digunakan sebagai semacam ID pribadi yang universal Apakah Anda keberatan jika perusahaan Visa berbagi semua informasi pembelian Anda? Siapa yang memiliki informasi tentang Visa? Mengapa orang ingin membeli informasi Visa? Untuk mencari pemasaran dan peluang penjualan

Slide 17 Penerapan dan implementasi kebijakan privasi - sebuah organisasi yang melakukan kegiatan online atau ebusiness memiliki tanggung jawab untuk mengadopsi dan menerapkan kebijakan untuk melindungi privasi informasi pribadi Pemberitahuan dan pengungkapan - kebijakan privasi organisasi harus mudah untuk menemukan, membaca, dan memahami Pilihan dan persetujuan - individu harus diberi kesempatan untuk melakukan pilihan tentang bagaimana

informasi pribadi yang dikumpulkan dari secara online dapat digunakan ketika penggunaan tersebut tidak berhubungan dengan tujuan mana informasi dikumpulkan Informasi keamanan - organisasi yang menciptakan, memelihara, menggunakan, atau menyebarkan informasi pribadi harus mengambil tindakan yang tepat untuk menjamin kehandalan dan melindunginya dari kehilangan, penyalahgunaan, atau perubahan Informasi kualitas dan akses - organisasi harus menetapkan proses atau mekanisme yang tepat sehingga ketidakakuratan dalam informasi material pribadi dapat dikoreksi.

Slide 18

Bukan penyangkalan - suatu ketentuan kontraktual untuk memastikan bahwa peserta eBusiness tidak menyangkal (menolak) tindakan online mereka Apakah Anda memiliki insiden ketika seseorang secara online menolak tindakan mereka? Ingatkan siswa Anda bahwa mereka harus menyimpan semua email mereka karena ini adalah salah satu cara untuk menahan seseorang akuntabel (nonrepudiation)
Slide 19 Surat bom: mengirim sejumlah besar email ke orang tertentu atau sistem sehingga mengisi ruang disk penerima Sebagian besar siswa Anda mungkin menandatangani AUP saat mendaftar dengan ISP mereka ISP biasanya membutuhkan setiap pelanggan untuk menandatangani AUP Mintalah siswa Anda untuk peringkat ketentuan penggunaan kebijakan dapat diterima dalam urutan kepentingan terbesar bagi pentingnya setidaknya untuk ISP

Slide 20 Jelaskan kepada siswa Anda bahwa email tidak aman email dapat dengan mudah dibaca oleh: Siapa pun yang bekerja untuk penyedia layanan Internet Siapa pun yang bekerja untuk penyedia layanan penerima Internet Setiap orang yang mengoperasikan salah satu mungkin puluhan router internet bahwa paket data akan melewati Siapapun dengan akses fisik ke peralatan switching telepon di kantor perusahaan telepon Apakah siswa Anda tahu bahwa jika mereka berbicara di telepon dengan siapa pun di Amerika Serikat, peralatan switching telepon di kantor perusahaan telepon telah penyadapan dibangun ke dalamnya untuk memudahkan akses oleh pihak berwenang - atau sebenarnya siapa saja dengan password, seperti personil pemeliharaan. Ini penyadapan mulai muncul setelah Kongres AS meloloskan UU Telephony

Digital, karena keluhan dari penegak hukum yang modern sistem telepon digital telah menjadi sulit untuk tekan.

Slide 21 Jelaskan kepada siswa Anda bahwa email tidak aman email dapat dengan mudah dibaca oleh: Siapa pun yang bekerja untuk penyedia layanan Internet Siapa pun yang bekerja untuk penyedia layanan penerima Internet Setiap orang yang mengoperasikan salah satu mungkin puluhan router internet bahwa paket data akan melewati Siapapun dengan akses fisik ke peralatan switching telepon di kantor perusahaan telepon Apakah siswa Anda tahu bahwa jika mereka berbicara di telepon dengan siapa pun di Amerika Serikat, peralatan switching telepon di kantor perusahaan telepon telah penyadapan dibangun ke dalamnya untuk memudahkan akses oleh pihak berwenang - atau sebenarnya siapa saja dengan password, seperti personil pemeliharaan. Ini penyadapan mulai muncul setelah Kongres AS meloloskan UU Telephony Digital, karena keluhan dari penegak hukum yang modern sistem telepon digital telah menjadi sulit untuk tekan.

Slide 22

80 persen pekerja profesional diidentifikasi email sebagai sarana yang mereka sukai komunikasi perusahaan Tren juga menunjukkan peningkatan yang dramatis dalam tingkat adopsi pesan cepat (IM) di tempat kerja Mintalah siswa Anda untuk peringkat ketentuan kebijakan privasi email dalam urutan kepentingan terbesar bagi pentingnya setidaknya untuk ISP

Slide 23 Ada banyak alasan mengapa suatu organisasi harus menerapkan kebijakan penggunaan internet termasuk: Sejumlah besar sumber daya komputasi bahwa pengguna internet dapat mengeluarkan Bahan banyak bahwa beberapa mungkin merasa yang menyinggung Mintalah siswa Anda untuk peringkat ketentuan kebijakan penggunaan Internet dalam rangka kepentingan terbesar bagi pentingnya setidaknya untuk ISP

Slide 24 Sebuah metode yang beberapa organisasi dapat mengikuti untuk mencegah spam termasuk Menyamarkan alamat email diposting di tempat elektronik publik - bukan benar-benar posting semua email karyawan Anda pada website perusahaan, hanya posting nama tanpa the@xyz.com. Cara bahwa spam perangkat mengumpulkan tidak akan mengenali alamat email dan tidak akan dapat untuk mengirim email Opt-out dari direktori anggota yang dapat menempatkan sebuah alamat online email - memilih untuk tidak berpartisipasi dalam kegiatan bahwa email alamat tempat secara online Gunakan filter - Gunakan filter spam untuk membantu mencegah spam

25 Organisasi perlu untuk melindungi diri dengan mengetahui apa yang karyawan lakukan, tetapi apakah itu harus memantau segala sesuatu di seluruh tempat kerja? Sulit untuk menentukan kapan pemantauan karyawan melintasi garis etis Apa yang bisa organisasi lakukan untuk melindungi diri dari hal-hal seperti pelecehan seksual, diskriminasi, dan bentuk-bentuk perilaku tidak etis di mana ia dapat bertanggung jawab? Sebuah survei terbaru dari pemantauan tempat kerja dan praktik pengawasan oleh American Management Association (AMA) dan Institut ePolicy menunjukkan sejauh mana perusahaan yang beralih ke pemantauan: 82 persen (dari 1.627 perusahaan yang disurvei) mengakui melakukan beberapa bentuk pemantauan elektronik atau pengawasan fisik 63 persen menyatakan bahwa mereka memantau koneksi internet 47 persen mengakui menyimpan dan meninjau karyawan pesan email

26

Kunci logger, atau perangkat lunak penjebak kunci Sebuah program yang, bila diinstal pada komputer, mencatat setiap klik keystroke dan mouse Hardware kunci logger Sebuah perangkat keras yang menangkap keystrokes dalam perjalanan mereka dari keyboard ke motherboard. Cookie Sebuah file kecil disimpan pada hard drive oleh website yang berisi informasi tentang pelanggan dan aktivitas Web mereka. Cookie memungkinkan situs web untuk merekam yang datang dan pergi dari pelanggan, biasanya tanpa sepengetahuan atau persetujuan Software Adware menghasilkan iklan yang menginstal sendiri pada komputer ketika seseorang mendownload program lain dari Internet. Spyware (sneakware atau stealthware) Perangkat Lunak yang datang tersembunyi dalam software yang dapat didownload gratis dan melacak pergerakan online, tambang informasi yang tersimpan pada komputer, atau menggunakan CPU komputer dan penyimpanan untuk beberapa

tugas pengguna mengetahui apa-apa tentang Web log Terdiri dari satu baris informasi untuk setiap pengunjung ke situs web dan biasanya disimpan pada server Web Catatan clickstream informasi tentang pelanggan selama sesi Web berselancar seperti apa website yang dikunjungi, berapa lama kunjungan itu, apa iklan yang dilihat, dan apa yang dibeli

27

Mintalah siswa Anda untuk peringkat ketentuan pemantauan karyawan kebijakan dalam rangka kepentingan terbesar bagi pentingnya setidaknya bagi suatu organisasi
28 1. Tentukan hubungan antara etika dan Sarbanes-Oxley Act Sarbanes-Oxley Act (SOX) Tahun 2002 adalah undang-undang berlaku sebagai tanggapan terhadap profil tinggi Enron dan WorldCom skandal keuangan untuk melindungi pemegang saham dan masyarakat umum dari kesalahan akuntansi dan praktek penipuan oleh organisasi. Salah satu komponen utama dari Sarbanes-Oxley Act adalah definisi yang catatan harus disimpan dan untuk berapa lama. Ketika sebuah organisasi yang memutuskan untuk menyimpan catatan dan untuk berapa lama, tanpa mengubah, menghapus, atau menghancurkan catatan adalah di mana etika organisasi akan ikut bermain. Cukup memutuskan untuk memenuhi SOX akan menjadi masalah etis untuk beberapa organisasi. 2. Mengapa catatan manajemen merupakan bidang perhatian untuk seluruh organisasi dan bukan hanya IT departemen Pada dasarnya, setiap organisasi publik yang menggunakan TI sebagai bagian dari proses keuangan bisnis akan menemukan bahwa itu harus diletakkan di tempat TI kontrol agar sesuai dengan SOX. Karena setiap departemen dalam suatu organisasi menggunakan catatan elektronik seluruh organisasi akan diminta untuk mematuhi catatan manajemen, bukan hanya departemen IT atau departemen akuntansi. 3. Mengidentifikasi dua kebijakan organisasi dapat menerapkan untuk mencapai SarbanesOxley? Pastikan sistem keuangan saat ini memenuhi persyaratan peraturan untuk pengajuan lebih akurat, rinci, dan cepat. Pisahkan tugas dalam staf pengembangan sistem sehingga orang-orang bahwa kode berbeda dari orang yang tes.

29 4. Apa dilema etika sedang diselesaikan dengan menerapkan Sarbanes-Oxley? Organisasi ingin membuat keputusan yang baik yang legal dan etis. SOX membantu menentukan apa yang legal dan etis. Sebelum SOX terserah organisasi untuk menentukan apa catatan elektronik itu

akan menyimpan, berapa lama untuk menyimpan catatan elektronik, dan apa yang dianggap penghancuran catatan elektronik. Organisasi yang menyimpan jumlah yang berbeda dari catatan untuk periode waktu yang berbeda. Hukuman untuk informasi menghancurkan bervariasi dari satu organisasi ke organisasi. SOX jelas mendefinisikan apa etika dan hukum dalam hal manajemen catatan elektronik memberikan organisasi pedoman jelas untuk perilaku etis. 5. Apa hambatan terbesar bagi organisasi yang sedang berusaha untuk mencapai Sarbanes-Oxley? Biaya untuk memperbarui sistem dan menyimpan semua catatan adalah salah satu hambatan terbesar, serta mendapatkan semua orang yang terlibat dalam mengikuti tindakan SOX.

31

4,6 Jelaskan hubungan antara kebijakan keamanan informasi dan rencana keamanan informasi Rincian informasi rencana keamanan bagaimana organisasi akan menerapkan kebijakan keamanan informasi Informasi kebijakan keamanan mengidentifikasi peraturan yang dibutuhkan untuk menjaga keamanan informasi 4,7 Merangkum lima langkah untuk menciptakan rencana keamanan informasi Mengembangkan kebijakan keamanan informasi Mengkomunikasikan kebijakan keamanan informasi Mengidentifikasi aset informasi kritis dan risiko Menguji dan mengevaluasi kembali risiko Mendapatkan dukungan stakeholder 4,8 Berikan contoh dari masing-masing tiga bidang keamanan utama: (1) otentikasi dan otorisasi, (2) pencegahan dan perlawanan, dan (3) deteksi dan respon Otentikasi dan otorisasi - sesuatu pengguna mengetahui seperti user ID dan password, pengguna memiliki sesuatu seperti kartu pintar atau token, sesuatu yang merupakan bagian dari pengguna seperti sidik jari atau tanda tangan suara Pencegahan dan ketahanan - penyaringan konten, enkripsi, firewall Deteksi dan respon - perangkat lunak antivirus 4,9 Jelaskan hubungan dan perbedaan antara hacker dan virus Hacker adalah orang yang sangat berpengetahuan tentang komputer yang menggunakan pengetahuan mereka untuk menyerang komputer orang lain Virus adalah perangkat lunak yang ditulis dengan niat jahat menyebabkan gangguan atau kerusakan

34 Apakah Anda setuju informasi yang membutuhkan perlindungan? Apa yang terjadi jika semua informasi penjualan untuk bisnis jatuh ke tangan pelanggan? Apa yang terjadi jika semua nilai gaji karyawan dan informasi bonus yang dibagikan kepada seluruh karyawan? Apa yang terjadi jika nomor kartu kredit pelanggan yang diposting ke website bagi siapa saja untuk melihat?

Ini adalah beberapa alasan mengapa sangat penting bahwa informasi harus sangat dilindungi Dengan strategi bisnis seperti organisasi CRM dapat menentukan hal-hal seperti pelanggan mereka yang paling berharga Mengapa suatu organisasi ingin melindungi jenis informasi ini? Mengapa eBusiness secara otomatis membuat risiko keamanan? Berapa banyak informasi penting yang mengalir bebas melalui Internet ke pelanggan, mitra, dan pemasok? Bagaimana HIPAA membantu melindungi privasi dan keamanan catatan kesehatan pribadi? HIPAA memerlukan kesehatan organisasi perawatan untuk mengembangkan, melaksanakan, dan mempertahankan langkah-langkah keamanan yang sesuai ketika mengirim informasi kesehatan elektronik 36 Apakah Anda setuju informasi yang membutuhkan perlindungan? Apa yang terjadi jika semua informasi penjualan untuk bisnis jatuh ke tangan pelanggan? Apa yang terjadi jika semua nilai gaji karyawan dan informasi bonus yang dibagikan kepada seluruh karyawan? Apa yang terjadi jika nomor kartu kredit pelanggan yang diposting ke website bagi siapa saja untuk melihat? Ini adalah beberapa alasan mengapa sangat penting bahwa informasi harus sangat dilindungi Dengan strategi bisnis seperti organisasi CRM dapat menentukan hal-hal seperti pelanggan mereka yang paling berharga Mengapa suatu organisasi ingin melindungi jenis informasi ini? Mengapa eBusiness secara otomatis membuat risiko keamanan? Berapa banyak informasi penting yang mengalir bebas melalui Internet ke pelanggan, mitra, dan pemasok? Bagaimana HIPAA membantu melindungi privasi dan keamanan catatan kesehatan pribadi? HIPAA memerlukan kesehatan organisasi perawatan untuk mengembangkan, melaksanakan, dan mempertahankan langkah-langkah keamanan yang sesuai ketika mengirim informasi kesehatan elektronik 37 Pelanggaran Kebanyakan informasi keamanan hasil dari orang menyalahgunakan informasi organisasi baik advertently atau tidak sengaja. Sebagai contoh, banyak orang secara bebas menyerah password mereka atau menuliskannya pada catatan tempel di samping komputer mereka, meninggalkan pintu terbuka lebar untuk penyusup

38

Keamanan informasi kebijakan - mengidentifikasi peraturan yang dibutuhkan untuk menjaga keamanan informasi Informasi rencana keamanan - rincian bagaimana organisasi akan menerapkan kebijakan keamanan informasi Mintalah siswa Anda untuk meninjau rencana sampel keamanan informasi dalam teks

39 Mintalah siswa Anda untuk berbagi pengalaman mereka telah dengan rekayasa sosial melalui password dicuri atau pencurian identitas Jika mereka harus mencoba untuk insinyur sosial password dari siswa lain apa yang akan mereka lakukan? 40 Mintalah siswa Anda meninjau lima langkah untuk membuat rencana keamanan informasi rinci dalam teks Mengembangkan kebijakan keamanan informasi Jenis sederhana namun efektif dari kebijakan keamanan informasi meliputi: Mengharuskan pengguna untuk log off dari sistem mereka sebelum berangkat untuk makan siang atau pertemuan Jangan pernah berbagi password, dan mengubah password pribadi setiap 60 hari. Mintalah siswa Anda apa jenis-jenis kebijakan keamanan informasi yang mereka temui Mengkomunikasikan kebijakan keamanan informasi Melatih semua karyawan dan menetapkan harapan yang jelas untuk mengikuti kebijakan. Sebagai contoh - teguran formal dapat diharapkan jika komputer dibiarkan tanpa jaminan. Mengidentifikasi aset informasi kritis dan risiko Memerlukan penggunaan user ID, password, dan perangkat lunak antivirus pada semua sistem. Pastikan bahwa sistem yang berisi link ke jaringan eksternal memiliki firewall dan perangkat lunak IDS. Menguji dan mengevaluasi kembali risiko Terus melakukan tinjauan keamanan, audit, pemeriksaan latar belakang, dan penilaian keamanan Mendapatkan dukungan stakeholder Mendapatkan persetujuan dan dukungan dari kebijakan keamanan informasi oleh Dewan Direksi dan seluruh stakeholder

41 International Data Corp memperkirakan belanja TI di seluruh dunia pada keamanan perangkat lunak, perangkat keras, dan layanan akan mencapai $ 35 miliar di 2004. Organisasi dapat menyebarkan berbagai teknologi untuk mencegah pelanggaran keamanan informasi. Ketika menentukan jenis teknologi untuk berinvestasi dalam, hal ini membantu untuk memahami tiga bidang informasi

keamanan utama: Otentikasi dan otorisasi Pencegahan dan ketahanan Deteksi dan respon

44 Diskusikan contoh pencurian identitas dibahas dalam teks Seorang wanita 82-tahun di Fort Worth, Texas, menemukan bahwa identitasnya telah dicuri ketika wanita menggunakan namanya terlibat dalam tabrakan empat mobil. Selama 18 bulan, ia terus mendapatkan pemberitahuan dari tuntutan hukum dan tunggakan tagihan medis yang benar-benar dimaksudkan untuk orang lain. Butuh waktu tujuh tahun baginya untuk mendapatkan nama keuangan baiknya dikembalikan setelah pencuri identitas dibebankan lebih dari $ 100.000 pada tanggal 12-nya kartu kredit curang diperoleh. Sebuah 42-tahun Angkatan Darat kapten pensiunan di Rocky Hill, Connecticut, menemukan bahwa pencuri identitas telah menghabiskan $ 260.000 untuk membeli barang dan jasa yang termasuk dua truk, sepeda motor Harley-Davidson, dan waktu-saham rumah liburan di South Carolina. Korban menemukan masalahnya hanya ketika membayar pensiun itu hiasi untuk membayar tagihan yang beredar. Di New York, anggota cincin pencopet ditempa lisensi pengemudi korban mereka beberapa jam setelah menyambar dompet perempuan. Mencuri tas biasanya menghasilkan sekitar $ 200, jika tidak kurang. Tapi mencuri identitas orang tersebut dapat bersih rata-rata antara $ 4.000 dan $ 10.000. Sebuah geng kejahatan mengambil $ 8 juta nilai hipotek kedua di rumah korban. Ternyata sumber dari semua contoh dari pencurian identitas datang dari sebuah dealer mobil. Scam identitas-pencurian terbesar hingga saat ini dalam sejarah AS ini dibubarkan oleh polisi pada tahun 2002 ketika mereka menemukan bahwa tiga orang telah mengunduh laporan kredit menggunakan password dicuri dan dijual kepada penjahat di jalan sebesar $ 60 masing-masing. Jutaan dolar yang dicuri dari orang-orang di seluruh 50 negara.

45

Kartu Smart dapat bertindak sebagai instrumen identifikasi, suatu bentuk tunai digital, atau perangkat penyimpanan data dengan kemampuan untuk menyimpan catatan medis seluruh Mengidentifikasi peluang bisnis yang bisa memanfaatkan teknologi smart card? Eropa adalah menyebarkan kartu cerdas untuk pemegang tiket musim pertandingan sepak bola. Mungkinkah AS menggunakan sama untuk NFL game? Ya, kita bisa menawarkan smart card untuk NFL game, namun banyak tiket NFL musim dimiliki menjadi sekelompok orang yang berbagi tiket - bagaimana mereka berbagi kartu pintar?

47 Berapa biayanya eBay atau Amazon.com jika sistem mereka turun selama satu hari? Satu 22-jam pemadaman pada bulan Juni 2000 disebabkan kapitalisasi pasar eBay untuk terjun $ 5700000000

48 Penyaringan konten - terjadi ketika organisasi menggunakan perangkat lunak yang menyaring konten untuk mencegah pengiriman informasi yang tidak sah Spam - bentuk email yang tidak diminta Berapa banyak pesan spam yang Anda terima setiap hari? Jenis tindakan pencegahan mereka mengambil untuk menghentikan spam? Berapa banyak penggunaan perangkat lunak antivirus untuk mencegah spam? Lebih penting lagi, berapa banyak punya saat ini, up-to-date perangkat lunak antivirus, dan seberapa sering mereka benar-benar menjalankannya dan memindai komputer mereka dari virus? Penelitian Internet dan menemukan beberapa filter spam yang berbeda dan perangkat lunak antivirus yang melindungi pengguna komputer

49 Enkripsi - mengacak informasi menjadi bentuk alternatif yang membutuhkan kunci atau password untuk mendekripsi informasi Publik kunci enkripsi (PKE) - sebuah sistem enkripsi yang menggunakan dua kunci: kunci publik untuk semua orang dan kunci privat untuk penerima Berapa lama waktu yang dibutuhkan seorang hacker untuk memecahkan kode enkripsi pada dokumen Word? Banyak ratusan tahun, meskipun di televisi hanya mengambil 10 menit Penelitian Web untuk mencari informasi tentang teknologi enkripsi yang dapat Anda gunakan untuk melindungi informasi sensitif

50 Sebuah elemen penting untuk sistem kunci publik adalah bahwa kunci publik dan swasta terkait sedemikian rupa sehingga hanya kunci publik dapat digunakan untuk mengenkripsi pesan dan hanya kunci privatnya dapat digunakan untuk mendekripsi mereka. Selain itu, hampir tidak mungkin untuk menyimpulkan kunci pribadi jika Anda tahu kunci publik.

51

Firewall memeriksa setiap pesan yang ingin masuk ke jaringan, dan kecuali pesan memiliki tanda yang benar, firewall mencegah dari memasuki jaringan Apa yang akan terjadi sebuah organisasi yang tidak memiliki firewall di pintu masuk jaringannya? Server ini organisasi tidak akan beroperasi untuk waktu yang lama karena mereka akan terus hacked

52

Firewall memeriksa setiap pesan yang ingin masuk ke jaringan, dan kecuali pesan memiliki tanda yang benar, firewall mencegah dari memasuki jaringan Tunjukkan kepada siswa Anda penempatan firewall antara server dan internet

53 Cacing tunggal dapat menyebabkan kerusakan besar Pada bulan Agustus 2003, "cacing Blaster" terinfeksi lebih dari 50.000 komputer di seluruh dunia dan merupakan salah satu wabah terburuk tahun ini Jeffrey Lee Parson, 18, ditangkap oleh peneliti AS maya untuk melepaskan cacing merusak di Internet Worm direplikasi sendiri berulang kali, makan kapasitas komputer, tetapi tidak merusak informasi atau program Worm ini dihasilkan lalu lintas begitu banyak sehingga membawa seluruh jaringan turun 54 White-hat hacker-kerja atas permintaan pemilik sistem untuk menemukan kerentanan sistem dan steker lubang Black-hat hacker-masuk ke sistem komputer orang lain dan mungkin hanya melihat-lihat atau mungkin mencuri dan menghancurkan informasi Hactivists-memiliki alasan filosofis dan politik untuk membobol sistem dan seringkali akan merusak situs web sebagai protes Script kiddies atau script kelinci-cari kode hacking pada Internet dan klik-dan-menunjukkan jalan mereka ke dalam sistem untuk menyebabkan kerusakan atau penyebaran virus Cracker-seorang hacker dengan maksud kriminal Cyberterrorists umpet yang dapat mencelakakan orang atau untuk menghancurkan sistem kritis atau informasi dan menggunakan Internet sebagai senjata pemusnah massal 55 Cacing-jenis virus yang menyebar itu sendiri, tidak hanya dari file ke file, tetapi juga dari komputer ke komputer. Perbedaan utama antara virus dan worm adalah bahwa virus harus melampirkan sesuatu, seperti sebuah file eksekusi, untuk menyebar. Worms tidak perlu melampirkan apa pun untuk

penyebaran dan dapat terowongan diri ke komputer. Denial-of-service attack (DoS)-banjir website dengan permintaan begitu banyak untuk layanan yang memperlambat atau crash situs Distributed Denial of service attack (DDoS)-serangan dari beberapa komputer yang membanjiri website dengan permintaan begitu banyak untuk layanan yang memperlambat atau crash. Jenis umum adalah Ping of Death, di mana ribuan komputer mencoba untuk mengakses situs Web pada saat yang sama, overloading dan mematikannya. Trojan-kuda virus bersembunyi di dalam perangkat lunak lain, biasanya sebagai lampiran atau file download Backdoor program-virus yang membuka jalan ke jaringan untuk serangan di masa depan Virus polymorphic dan cacing-mengubah bentuk mereka saat mereka menyebarkan

56 Ketinggian hak istimewa adalah proses dimana user menyesatkan sistem menjadi pemberian hak yang tidak sah, biasanya dengan tujuan untuk mengorbankan atau menghancurkan sistem. Sebagai contoh, penyerang bisa masuk ke jaringan dengan menggunakan akun tamu, dan kemudian mengeksploitasi kelemahan pada perangkat lunak yang memungkinkan penyerang mengubah hak tamu untuk hak akses administratif. Hoax menyerang sistem komputer dengan mengirimkan tipuan virus, dengan virus nyata terpasang. Dengan masking serangan dalam pesan yang tampaknya sah, pengguna yang tidak curiga lebih mudah mendistribusikan pesan dan mengirim serangan ke rekan kerja dan teman-teman, menginfeksi banyak pengguna di sepanjang jalan. Kode berbahaya mencakup berbagai ancaman seperti virus, worm, dan trojan horse Spoofing adalah tempaan pengirim pada email sehingga pesan email tampaknya berasal dari orang lain selain pengirim sebenarnya. Ini bukan virus melainkan cara oleh penulis virus yang menyembunyikan identitas mereka karena mereka mengirimkan virus. Spyware adalah perangkat lunak yang datang tersembunyi dalam software yang dapat didownload gratis dan melacak pergerakan online, tambang informasi yang tersimpan pada komputer, atau menggunakan CPU komputer dan penyimpanan untuk beberapa tugas pengguna mengetahui apa-apa. Menurut National Cyber Security Alliance, 91 persen penelitian memiliki spyware pada komputer mereka yang dapat menyebabkan kinerja yang sangat lambat, berlebihan pop-up iklan, atau halaman rumah dibajak. Sebuah snifferis sebuah program atau perangkat yang dapat memantau data perjalanan melalui jaringan. Sniffer dapat menampilkan semua data yang dikirim melalui jaringan, termasuk password dan informasi sensitif. Sniffers cenderung menjadi senjata favorit di gudang senjata hacker. Paket terdiri dari gangguan mengubah isi paket sebagai perjalanan melalui Internet atau mengubah data pada disk komputer setelah menembus jaringan. Sebagai contoh, penyerang bisa menempatkan keran pada baris jaringan untuk mencegat paket ketika mereka meninggalkan komputer. Penyerang bisa menguping atau mengubah informasi saat meninggalkan jaringan.

57 6. Informasi apa yang dilema keamanan sedang diselesaikan dengan menerapkan Sarbanes-Oxley? SOX mendefinisikan aturan mengenai penghancuran, perubahan, atau pemalsuan informasi. Ini menyatakan bahwa orang-orang yang dengan sengaja mengubah, menghancurkan, merusak, menyembunyikan, atau memalsukan dokumen harus didenda atau dipenjarakan karena tidak lebih dari 20 tahun, atau keduanya. Menyatakan hukuman yang jelas untuk merusak informasi adalah alat pencegah tambahan yang akan membuat hacker dan orang dalam berpikir dua kali sebelum melakukan tindakan ilegal. 7. Bagaimana Sarbanes-Oxley bantuan melindungi keamanan informasi perusahaan? Baris pertama pertahanan dalam keamanan informasi adalah orang. Memastikan semua orang yang menggunakan atau memiliki akses ke informasi organisasi menyadari kepatuhan SOX akan membantu melindungi informasi perusahaan. Hanya dengan menerapkan SOX organisasi adalah melindungi informasinya dengan menyimpan berbagai jenis informasi untuk jangka waktu yang lama. 8. Apakah dampak penerapan Sarbanes-Oxley telah pada keamanan informasi dengan usaha kecil? Sarbanes-Oxley akan menjadi beban besar untuk mengimplementasikan untuk bisnis kecil. Bagian dari beban ini akan diimbangi oleh keuntungan yang diraih dari keamanan informasi titik-pandang-. Dengan mengharuskan perusahaan untuk jenis arsip informasi tertentu, perusahaan akan menemukan dirinya dalam posisi yang lebih baik jika mengalami beberapa bentuk kerugian bencana atau data. Banyak bisnis kecil gagal untuk menyimpan dan arsip informasi dan menempatkan proses yang sesuai di tempat untuk mencapai Sarbanes-Oxley hanya mungkin menjadi hal yang baik untuk usaha kecil untuk diimplementasikan. 9. Apakah informasi terbesar keamanan hambatan untuk organisasi mencoba untuk mencapai Sarbanes-Oxley? Biaya untuk memperbarui sistem dan menyimpan semua catatan adalah salah satu hambatan terbesar, serta mendapatkan semua orang yang terlibat dalam mengikuti tindakan SOX.

58 1. Apa alasan akan memiliki bank karena tidak ingin mengadopsi sebuah kebijakan secara online transfer penundaan? Beroperasi di dunia 24x7 berarti kepuasan instan bagi banyak orang. Online-Transfer penundaan Barclay menyediakan keamanan tambahan, tapi kerugian respon real-time, yang banyak orang harapkan ketika berhadapan dengan internet. Sebuah bank dapat memilih untuk tidak menerapkan penundaan online-alih jika pelanggan melihat kecepatan dan efisiensi merupakan faktor kunci. 2. Apakah dua garis utama pertahanan keamanan dan mengapa mereka penting untuk lembaga keuangan? Dua baris utama pertahanan keamanan adalah orang-orang dan teknologi. Sejak bank berurusan dengan uang yang mereka harus menawarkan fitur keamanan paling canggih untuk mempertahankan pelanggan keuangan aman. Menurut Gambar 4.17, industri keuangan memiliki pengeluaran tertinggi kelima / investasi per karyawan untuk keamanan komputer. Sebuah bank

yang tidak aman tidak akan beroperasi lama. 3. Jelaskan perbedaan antara jenis keamanan yang ditawarkan oleh bank dalam kasus ini. Bank mana yang akan Anda membuka rekening dengan dan mengapa? Bank of America menerapkan otentikasi dan otorisasi teknologi seperti identifikasi komputer online Wells Fargo & Company menerapkan teknologi otentikasi dan otorisasi seperti kriteria password tambahan E-Trade Financial Corporation menerapkan teknologi otentikasi dan otorisasi seperti Digital Security ID Bank Barclay 's menerapkan teknologi pencegahan seperti online transfer penundaan dan pemantauan rekening

59

4. Apa jenis tambahan keamanan, tidak disebutkan dalam kasus di atas, akan Anda rekomendasikan bank menerapkan? Bank perlu menerapkan teknologi keamanan untuk ketiga bidang utama termasuk: Otentikasi dan otorisasi - sesuatu pengguna mengetahui seperti user ID dan password, pengguna memiliki sesuatu seperti kartu pintar atau token, sesuatu yang merupakan bagian dari pengguna seperti sidik jari atau tanda tangan suara Pencegahan dan ketahanan - penyaringan konten, enkripsi, firewall Deteksi dan respon - perangkat lunak antivirus Menyediakan kombinasi dari ketiga jenis optimal 5. Mengidentifikasi tiga kebijakan bank harus menerapkan untuk membantu meningkatkan keamanan informasi? Keamanan informasi berencana detail bagaimana organisasi akan menerapkan kebijakan keamanan informasi. Informasi kebijakan keamanan mengidentifikasi peraturan yang dibutuhkan untuk menjaga keamanan informasi. Bank harus melaksanakan rencana keamanan informasi yang berfokus pada hal berikut: Identifikasi dan penilaian risiko untuk informasi pelanggan, menjamin keamanan dan kerahasiaan informasi yang dilindungi, melindungi terhadap akses tanpa izin ke atau penggunaan informasi yang dilindungi yang dapat mengakibatkan kerusakan substansial atau ketidaknyamanan kepada setiap pelanggan, intersepsi data selama transmisi, kehilangan integritas data , kehilangan fisik data dalam bencana, kesalahan diperkenalkan ke dalam sistem, korupsi data atau sistem, akses tidak sah dari data dan informasi, transfer data yang tidak sah kepada pihak ketiga 6. Jelaskan kebijakan pemantauan bersama dengan cara terbaik bagi bank untuk menerapkan teknologi pemantauan Informasi pemantauan teknologi pelacakan kegiatan masyarakat dengan langkah-langkah seperti jumlah penekanan tombol, tingkat kesalahan, dan jumlah transaksi yang diproses. Suatu organisasi harus merumuskan kebijakan pemantauan yang tepat dan menempatkan mereka ke dalam praktek. Jalan terbaik untuk sebuah organisasi berencana untuk terlibat dalam pemantauan karyawan adalah komunikasi terbuka sekitar masalah ini. Karyawan kebijakan pemantauan secara eksplisit menyatakan bagaimana, kapan, dan dimana perusahaan memonitor karyawannya.

OMS yang eksplisit tentang apa perusahaan dilakukan dengan cara pemantauan dan alasan untuk itu, bersama dengan secara aktif mendidik karyawan mereka tentang apa perilaku yang tidak tampak seperti, akan menemukan bahwa karyawan tidak hanya menyesuaikan diri dengan cepat untuk sebuah kebijakan, tetapi juga mengurangi OMS beban oleh kepolisian sendiri.
60 1. Apa jenis teknologi pengecer besar bisa gunakan untuk mencegah pencuri identitas dari pembelian barang dagangan? Otentikasi dan otorisasi teknologi seperti biometrik dapat membantu pengecer besar mencegah mengidentifikasi pencurian dengan memastikan pelanggan adalah pelanggan. Deteksi dan respon teknologi bisa membantu pengecer besar mengidentifikasi rekening penipuan seperti beberapa transaksi dari lokasi yang berbeda di seluruh negeri, atau pembelian yang luar biasa besar dalam waktu singkat. Pengecer kemudian bisa menghubungi pelanggan langsung jika informasi account tampak mencurigakan untuk memverifikasi account itu digunakan secara legal. 2. Apa yang bisa dilakukan organisasi untuk melindungi diri dari hacker yang ingin mencuri data akun? Langkah pertama dalam keamanan informasi adalah orang. Menginformasikan karyawan tentang rekayasa sosial, pengamanan terhadap orang dalam, dan melaksanakan kebijakan keamanan informasi dan prosedur adalah awal yang kokoh bagi setiap organisasi yang ingin mencegah pencurian informasi. Langkah kedua adalah teknologi termasuk: Otentikasi dan otorisasi - sesuatu pengguna mengetahui seperti user ID dan password, pengguna memiliki sesuatu seperti kartu pintar atau token, sesuatu yang merupakan bagian dari pengguna seperti sidik jari atau tanda tangan suara Pencegahan dan ketahanan - penyaringan konten, enkripsi, firewall Deteksi dan respon - perangkat lunak antivirus 3. Pihak berwenang sering tekan penyedia layanan online untuk melacak hacker. Apakah Anda pikir itu adalah etis bagi otoritas untuk memanfaatkan penyedia layanan online dan membaca email orang? Mengapa atau mengapa tidak? Jawaban atas pertanyaan ini akan bervariasi berdasarkan pada etika masing-masing siswa. Privasi adalah hak untuk dibiarkan sendiri ketika Anda inginkan, untuk mengontrol harta pribadi Anda, dan tidak bisa diamati tanpa persetujuan Anda. email pemantauan tanpa sepengetahuan orang tersebut dapat dianggap sebagai pelanggaran privasi orang tersebut. Suatu organisasi memiliki tanggung jawab untuk bertindak secara etis dan secara hukum dan harus mengambil tindakan untuk menjamin itu sehingga menurut hukum, kebijakan, dan prosedur. Pihak berwenang harus dapat melindungi masyarakat dari situasi yang berbahaya. Organisasi dan otoritas harus mampu menggunakan teknologi pemantauan untuk menentukan apakah mungkin ada situasi yang berbahaya atau orang yang bertindak tidak etis atau ilegal. Ada garis tipis antara privasi dan tanggung jawab sosial.

61 4. Apakah Anda pikir itu adalah etis bagi pihak berwenang untuk menggunakan salah satu pejabat tinggi untuk menjebak anggota geng lainnya? Mengapa atau mengapa tidak? Jawaban atas pertanyaan ini akan bervariasi berdasarkan pada etika masing-masing siswa. Menggunakan cara yang mungkin untuk menangkap penjahat biasanya titik yang valid pandang. Namun, jika mereka berarti menjadi tidak etis maka sulit untuk menentukan siapa yang melanggar hukum. 5. Dalam sebuah tim, penelitian Internet dan menemukan cara terbaik untuk melindungi diri Anda dari pencurian identitas http://www.consumer.gov/idtheft/~~V Ini adalah Federal Trade Commission nasional sumber daya tentang pencurian identitas. Situs ini menawarkan sumber daya one-stop nasional untuk belajar tentang kejahatan pencurian identitas. Ini memberikan informasi rinci untuk membantu Anda Deter, Detect, dan Mempertahankan terhadap pencurian identitas. Meskipun tidak ada jaminan tentang menghindari pencurian identitas, ada beberapa langkah yang dapat Anda lakukan untuk meminimalkan risiko Anda dan mengurangi kerusakan jika terjadi masalah: Mencegah pencuri identitas dengan menjaga informasi Anda Mendeteksi aktivitas yang mencurigakan dengan rutin memantau rekening keuangan Anda dan tagihan Mempertahankan terhadap pencurian ID segera setelah Anda menduga masalah

62 1. Jelaskan mengapa pemahaman teknologi, khususnya di bidang keamanan dan etika, adalah penting untuk seorang CEO. Bagaimana tindakan CEO mempengaruhi budaya organisasi? Teknologi di mana-mana dalam bisnis. Seorang CEO yang mengabaikan teknologi adalah mengabaikan kesempatan untuk mendapatkan keuntungan kompetitif dan akan berada pada posisi yang kurang menguntungkan kompetitornya. Seorang CEO yang mengabaikan teknologi dapat menempatkan perusahaan beresiko karena ada banyak masalah peraturan ditegakkan bahwa surround etika dan keamanan, seperti Sarbanes-Oxley. CEO menetapkan iklim untuk budaya organisasi dan jika mereka ingin menciptakan sebuah perusahaan yang menarik dan inovatif itu harus mulai dari atas. 2. Mengidentifikasi mengapa eksekutif di industri nontechnological perlu khawatir tentang teknologi dan konsekuensi potensi bisnis. Seperti banyak kasus mendiskusikan, teknologi yang berhubungan dengan kejahatan dan penyalahgunaan dapat terjadi pada setiap perusahaan, dalam industri apapun. Terlepas dari fokus bisnis bagi perusahaan, semua karyawan perlu khawatir tentang penggunaan etis teknologi.

63

2. Jelaskan mengapa terus menerus belajar tentang teknologi memungkinkan seorang eksekutif untuk lebih menganalisis ancaman dan peluang. Dengan teknologi baru yang ditemukan setiap hari, sangat penting untuk terus belajar dan memahami bagaimana teknologi dapat mempengaruhi suatu perusahaan atau seseorang. Sebagai contoh, identifikasi frekuensi radio baru dan menarik, tetapi banyak orang khawatir tentang isu-isu privasi terkait dengan penggunaan tag RFID untuk melacak siswa di sekolah. 4. Mengidentifikasi tiga hal yang menjadi CTO, CPO, atau CSO bisa lakukan untuk mencegah masalah di atas. Ada banyak metode eksekutif dapat digunakan untuk membantu menghilangkan jenis masalah seperti: Menerapkan kebijakan seperti Internet kebijakan penggunaan dan kebijakan penggunaan diterima (kebijakan ini dibahas secara rinci di Plug-In B7 - Etika). Pelatihan sesi pada penggunaan yang tepat dari email perusahaan. Tentukan prosedur yang jelas untuk peralatan perusahaan, seperti komputer, saat memberhentikan karyawan Menghadiri kelas pelatihan tentang etika dan keamanan 5. Jelaskan bagaimana Nike + iPod SportKit masalah keamanan disebabkan bagi perusahaan. Apakah Anda berpikir Nike atau Apple bertindak tidak etis ketika mereka mengembangkan SportKit itu? Mengapa atau mengapa tidak? Orang dapat menggunakan Nike + iPod SportKit untuk melacak pengguna yang tidak curiga produk. Sejak SportKit yang memancarkan frekuensi siapa saja bisa menggunakan alat ini untuk melacak setiap gerakan individu. Hal ini dapat menyebabkan keamanan yang luar biasa dan risiko untuk semua pelanggan. Apple harus memiliki melakukan evaluasi lengkap dari alat dan memastikan fitur keamanan untuk setiap teknologi memancarkan produk yang dapat digunakan untuk melacak individu. 3.