LECTURE NOTES

Information System Concept

Week 2
Ethics And Privacy
&
Information Security

ISYS6299 – Information System Concept

 LEARNING OUTCOMES

Tujuan Pembelajaran:
1. Menjelaskan definisi dari etika, menyebutkan dan menjelaskan tiga prinsip dasar
etika, dan menjelaskan empat kategori masalah etika yang terkait dengan teknologi
informasi.
2. Mengidentifikasi tiga tempat yang menyimpan data pribadi, dan menyebutkan
masing-masing sedikitnya satu ancaman potensial terhadap privasi data yang di
simpat di tempat tersebut.

Chapter Outline
1. Masalah Etika
2. Privasi

Tujuan Pembelajaran:
1. Menyebutkan lima faktor yang berkontribusi terhadap meningkatnya kerentanan
sumber daya informasi dan memberikan masing-masing contoh spesifik.
2. Membandingkan kesalahan yang dibuat manusia dan rekayasa social, dan
memberikan masing-masing contoh spesifik.
3. Menyebutkan sepuluh tipe serangan yang disengaja.
4. Menyebutkan tiga resiko strategi mitigasi, dan memberikan masing-masing contoh
dalam konteks memiliki sebuah rumah.
5. Menyebutkan tidak tipe utama dari control yang dapat digunakan organisasi untuk
melindungi sumber informasi mereka dan memberikan masing-masing contoh.

Chapter Outline
1. Pengantar Keamanan Informasi
2. Ancaman yang tidak disengaja untuk Keamanan Informasi
3. Ancaman yang disengaja untuk Keamanan Informasi
4. Apa yang organisasi lakukan untuk melindungi sumber daya informasi
5. Kontrol Keamanan Informasi

ISYS6299 – Information System Concept

 Chapter 3
Ethics and Privacy

Masalah Etika (Ethical Issues)

Etika (Ethics) mengacu pada prinsip-prinsip benar dan salah yang digunakan individu
untuk membuat pilihan yang menuntun perilaku mereka. Memutuskan apa yang benar dan
salah tidak selalu mudah dan tidak selalu jelas. Untungnya ada banyak kerangka kerja yang
dapat membantu kita membuat keputusan etis.

Ethical Frameworks:
• Utilitarian approach: tindakan etis adalah salah satu yang menyediakan paling baik
atau setidaknya tidak merugikan.
• Rights approach: tindakan etis adalah tindakan yang terbaik melindungi dan
menghormati hak-hak moral dari pihak yang terkena dampak.
• Fairness approach: tindakan etis adalah yang memperlakukan semua manusia sama,
atau jika tidak merata, maka cukup berdasarkan pada beberapa standar yang
dipertahankan.
• Common good approach: berdasarkan hubungan yang saling terkait yang mendasari
semua masyarakat.

General Framework for Ethics:

• Recognize an ethical issue (Kenali masalah etika)
 Apakah keputusan ini atau situasi ini merusak sesorang atau beberapa
kelompok?
 Apakah keputusan ini melibatkan pilihan alternatif yang baik dan yang buruk?
 Apakah masalah ini lebih dari sekedar masalah hokum? Jika demikian,
bagaimana?
• Get the facts (Dapatkan fakta)
 Apa saja fakta yang relevan dari situasi tersebut?

ISYS6299 – Information System Concept

  Apakah saya cukup tahu untuk membuat keputusan?
 Siapa individu dan/atau kelompok yang berkepentingan terhadap hasil?
 Apakah saya berkonsultasi pada semua orang atau kelompok yang relevan?
• Evaluate alternative actions (Mengevaluasi alternative tindakan)
 Pilihan mana yang akan menghasilkan yang paling baik dan pilihan yang
paling merusak? (the utilitarian approach)
 Pilihan mana yang terbaik yang menghormati semua yang berkepentingan?
(the rights approach)
 Pilihan mana yang memperlakukan setiap orang sama atau proposional? (the
fairness approach)
 Pilihan mana yang terbaik yang melayani masyarakat secara keseluruhan dan
bukan hanya beberapa anggota saja? (the common good approach)
• Make a decision and test it (Buat keputusan dan mengujinya)
 Berdasarkan pertimbangan semua pendekatan, pilihan mana yang paling
sesuai dengan situasi tersebut?
• Act and reflect on the outcome of your decision (Lakukan dan refleksi hasil
keputusan yang telah diambil)
 Bagaimana saya bisa menerapkan keputusan saya dengan hati-hati dan
memperhatikan semua kepentingan semua pihak?
 Bagaimana saya mengubah keputusan, dan apa yang saya pelajari dari situasi
seperti ini?

Ethics in the Corporate Environment (Etika di Lingkungan Perusahaan)

• sebuah Kode Etik (A Code of Ethics) adalah sekumpulan prinsip yang bertujuan
untuk menuntun pengambilan keputusan bagi anggota dalam organisasi. Sebagai
contoh kode etik kedokteran, kode etik jurnalistik, dan lain-lain.

Fundamental tenets of ethics (Prinsip dasar etika)

• Responsibility (tanggungjawab) berarti bahwa Anda menerima konsekuensi dari
keputusan dan tindakan Anda.

ISYS6299 – Information System Concept

 • Accountability (akuntabilitas) berarti penentuan siapa yang bertanggungjawab atas
tindakan yang diambil.
• Liability (kewajiban) adalah konsep hukum yang berarti bahwa individu memiliki hak
untuk memulihkan kerusakan yang dilakukan kepada mereka oleh orang lain,
organisasi, atau sistem.

Unethical vs. Illegal

• What is unethical is not necessarily illegal. (Apa yang tidak etis belum tentu
melanggar hukum). Harus dipelajari terlebih dahulu permasalahannya apakah
melanggar etika? Apakah melanggar hukum? Melanggar etika belum tentu melanggar
hukum.

Etika dan Teknologi Informasi

Empat kategori masalah etika yang melibatkan aplikasi IT:
• Privacy Issues (masalah privasi) melibatkan pengumpulan, penyimpanan, dan
penyebaran informasi tentang individu.
• Accuracy Issues (masalah keakuratan) melibatkan keaslian, fidelity, dan keakuratan
informasi yang dikumpulkan dan yang diproses.
• Property Issues (masalah kepemilikan) melibatkan kepemilikan dan nilai dari
informasi.
• Accessibility Issues (masalah kemudahan akses) berkisar siapa yang harus memiliki
akses ke informasi dan apakah mereka harus membayar untuk mengakses ini.

Privasi (Privacy)
Privasi adalah hak untuk menyendiri dan bebas dari gangguan pribadi yang tidak
masuk akal. Informasi Privasi (Information Privacy) merupakah hak untuk menentukan
kapan, dan sejauh mana, informasi tentang Anda dapat dikumpulkan dan/atau
dikomunikasikan kepada orang lain.

ISYS6299 – Information System Concept

Keputusan pengadilan mengikuti dua aturan:
(1) Hak privasi tidak mutlak. Privasi Anda harus seimbang terhadap kebutuhan
masyarakat.
(2) Hak publik di atas daripada hak privasi individu.

Ancaman terhadap privasi (Threats to Privacy):

• Data aggregators, digital dossiers, and profiling
• Electronic Surveillance
• Personal Information in Databases
• Information on Internet Bulletin Boards, Newsgroups, and Social Networking Sites

Data aggregators, digital dossiers, and profiling

• Data aggregators. Perusahaan mengumpulkan data publik (misalnya, catatan real
estate, nomor telepon) dan data non publik (misalnya, nomor jaminan sosial, data
keuangan, catatan polisi, catatan kendaraan bermotor) dan mengintegrasikan mereka
untuk menghasilkan berkas-berkas digital (digital dossier).
• Digital dossier adalah deskripsi elektronik tentang Anda dan kebiasaan Anda.
• Profiling adalah proses membuat berkas digital (digital dossier).

Electronic Surveillance.
• Pelacakan kegiatan masyarakat, online atau offline, dengan bantuan computer (secara
elektronik). Banyak orang yang tidak menyadari bahwa mereka dapat berada di
bawah pengawasan elektronik saat mereka menggunakan komputer mereka.

Personal Information in Databases

• Informasi tentang individu disimpan di banyak database: Bank, Perusahaan umum,
instansi pemerintah, lembaga kredit; lokasi yang paling terlihat adalah lembaga
pelaporan kredit.

Kekuatiran utama tentang informasi Anda yang Anda berikan kepada yang mencatat
informasi tersebut. Apakah Anda tahu di mana catatan tersebut dicatat? Apakah catatan

ISYS6299 – Information System Concept

tersebut akurat? Dapatkah Anda mengubah data yang tidak akurat? Berapa lama waktu yang
dibutuhkan untuk melakukan perubahan? Dalam keadaan apakah akan data pribadi akan
dirilis? Bagaimana data yang digunakan? Kepada siapakah data Anda akan diberikan atau
dijual? Seberapa aman adalah data Anda agar tidak diakses oleh orang yang tidak berhak?

Melindungi Privasi (Protecting Privacy)

Privacy Codes and Policies adalah pedoman organisasi sehubungan dengan melindungi
privasi pelanggan, klien, dan karyawan.
• Opt-out model memungkinkan perusahaan untuk mengumpulkan informasi pribadi
sampai pelanggan meminta secara khusus agar data tersebut tidak dikumpulkan.
• Opt-in model berarti bahwa organisasi dilarang mengumpulkan informasi pribadi
kecuali pelanggan secara khusus memberikan wewenang. (Disukai oleh para
pendukung privasi)
International Aspects of Privacy adalah masalah privasi dimana organisasi internasional dan
pemerintah hadapi ketika informasi tersebut lintas Negara dan yurisdiksi.

ISYS6299 – Information System Concept

 Chapter 4
Information Security

Pengantar Keamanan Informasi

Istilah-istilah dalam Keamanan Informasi
• Keamanan (Security): tingkat perlindungan terhadap aktivitas kriminal, bahaya,
kerusakan, dan / atau kerugian.
• Keamanan Informasi (Information security) mengacu pada semua proses dan
kebijakan yang dirancang untuk melindungi informasi dan sistem informasi organisasi
dari akses yang tidak sah, penggunaan, pengungkapan, gangguan, modifikasi, atau
perusakan.
• Suatu Ancaman (A threat) pada sumber daya informasi adalah segala bahaya yang
tertuju pada suatu sistem.
• Paparan (exposure) dari sumber daya informasi adalah bahaya, kerugian, atau
kerusakan yang dapat terjadi jika ancaman terjadi pada sumber daya itu.
• Kerentanan (vulnerability) dari sebuah sistem adalah kemungkinan bahwa sistem
akan menderita kerugian oleh karena sebuah ancaman.

Five Factors Increasing the Vulnerability of Information Resources

• Lingkungan bisnis saat ini yang saling terhubung, saling tergantung, nirkabel-jaringan
• Komputer dan perangkat penyimpanan yang semakin murah, lebih kecil, dan lebih
cepat.
• Penurunan keterampilan yang diperlukan untuk menjadi seorang hacker.
 Alat-alat yang baru dan mudah, membuat semakin mudah untuk menyerang
jaringan.
 Serangan menjadi semakin canggih.
• Cybercrime diambil alih oleh kejahatan terorganisir.
• Kurangnya dukungan manajemen.

ISYS6299 – Information System Concept

Unintentional Threats to Information Systems
Security Threats

ISYS6299 – Information System Concept

Kesalahan Manusia (Human Errors)
 Karyawan level tinggi + hak akses yang lebih besar = ancaman yang lebih besar
 Dua area yang berpeluang mendapat ancaman yang signifikan
 Human Resources
 Information Systems
 Area lain yang mendapat ancaman:
 Contract Labor, consultants, janitors, & guards

Kesalahan manusia yang umum (Common Human Error) Tabel 4.1, page: 79
 Carelessness with Laptops
 Carelessness with Computing Devices
 Opening Questionable E-mail
 Careless Internet Surfing
 Poor Password Selection and Use
 Carelessness with One’s Office
 Carelessness Using Unmanaged Devices
 Carelessness with Discarded Equipment
 Careless Monitoring of Environmental Hazards

Social engineering adalah serangan di mana penyerang menggunakan keterampilan social

(social skills) untuk mengelabui karyawan yang sah dalam menyediakan informasi rahasia
perusahaan seperti password.
Dua contoh:
• Tailgating
 Untuk mencegah Tailgating, banyak perusahaan memiliki pintu Anti-
Tailgating untuk melindungi pintu masuk ke daerah-keamanan yang lebih
tinggi. Perhatikan bahwa hanya satu orang pada satu waktu dapat pergi
melalui jenis pintu ini.

ISYS6299 – Information System Concept

 • Shoulder surfing
 Shoulder surfing terjadi ketika penyerang melihat layar komputer orang lain
melalui bahu orang itu. Sangat berbahaya di tempat-tempat umum seperti
bandara, kereta komuter, dan di pesawat.

Deliberate Threats to Information Systems

Ada banyak jenis serangan yang disengaja termasuk:
• Espionage or Trespass
• Information extortion
• Sabotage or vandalism
• Theft of equipment or information
• Identity theft
• Compromises to intellectual property
• Software attacks
• Alien software
• Supervisory control and data acquisition (SCADA) attacks
• Cyberterrorism and cyberwarfare

Ancaman yang disengaja:

• Espionage or Trespass:
Bedakan antara Competitive intelligence dengan industrial espionage.
 Competitive intelligence terdiri dari teknik pengumpulan informasi yang sah
menurut hukum.
 Industrial espionage melintasi batas hukum.
• Pemerasan Informasi (Information Extortion)
Information extortion terjadi ketika seorang penyerang mengancam untuk mencuri,
atau benar-benar mencuri informasi dari sebuah perusahaan. Pelaku menuntut
pembayaran untuk tidak mencuri informasi, untuk mengembalikan informasi yang
dicuri, atau untuk setuju untuk tidak mengungkapkan informasi tersebut.

ISYS6299 – Information System Concept

• Sabotage or Vandalism.
Melibatkan pengotoran situs organisasi, mungkin merusak citra organisasi dan
menyebabkan pelanggan tersebut kehilangan kepercayaan. Salah satu bentuk
vandalisme online adalah operasi hactivist atau cyberactivist. Ini adalah kasus
berteknologi tinggi pembangkangan sipil untuk memprotes operasi, kebijakan, atau
tindakan agen organisasi atau pemerintah.
• Theft of equipment or information.
Sebagai contoh, dumpster diving. Banyak dumpster divers memakai pakaian
pelindung dan menggunakan snorkel, karena bukan ide yang baik untuk menerima
potongan sampah di tempat sampah, dan polusi udara.
• Pencurian Identitas (Identity Theft). Teknik untuk memperoleh informasi pribadi
secara illegal, meliputi:
 Stealing mail atau dumpster diving;
 Mencuri informasi pribadi di dalam database komputer;
 Infiltrasi organisasi yang menyimpan sejumlah besar informasi pribadi
(misalnya agregator data seperti Acxiom) (www.acxiom.com).
 Meniru komunikasi elektronik sebuah organisasi yang terpercaya (phishing).
• Software attacks.
 virus adalah sebuah segmen kode komputer yang melakukan tindakan
kejahatan dengan melekat pada progam computer lain.
 worm adalah sebuah segmen kode komputer yang menyebar dengan
sendirinya dan melakukan tindakan kejahatan tanpa memerlukan program
computer lain.
 Trojan horse adalah sebuah program perangkat lunak yang menyembunyikan
program computer lain dan menunjukkan perilaku yang telah dirancang hanya
ketika diaktifkan. Sebuah perilaku khas Trojan Horse adalah untuk
menangkap informasi sensitive Anda (misalnya password, nomor rekening,
dll) dan mengirimkannya kepada pencipta Trojan Horse.
 Logic bomb adalah segment kode komputer yang tertanam pada program
komputer suatu organisasi yang dirancang untuk aktif dan melakukan tindakan
desktruktif pada waktu dan tanggal tertentu.

ISYS6299 – Information System Concept

  Phishing attacks melakukan penipuan untuk mendapatkan informasi pribadi
yang sensitive dengan menyamar sebagai tampaknya e-mail resmi atau pesan
pribadi.
 Distributed denial-of-service attack, pertama penyerang mengambil alih
banyak komputer. Komputer-komputer ini disebut zombie atau bot. Bersama-
sama, bot ini membentuk sebuah botnet.
• Alien Software
 Spyware mengumpulkan informasi pribadi tentang pengguna tanpa
persetujuan pengguna. Dua tipe spyware yaitu keystroke loggers (keyloggers)
and screen scrapers. Keystroke loggers merekam keystrokes dan riwayat
browsing Web Anda. Screen scrapers merekam terus menerus “film” dari apa
yang Anda lakukan di layar.
 Spamware adalah perangkat lunak asing yang dirancang untuk menggunakan
komputer Anda sebagai launchpad untuk spammer. Spam adalah email yang
tidak diminta.
 Cookies sejumlah kecil informasi yang disimpan website ke dalam komputer
Anda.

Apa yang organisasi lakukan untuk memproteksi diri mereka.

Silakan melihat pada table 7.3 (The Difficulties in Protecting Information Resources) untuk
mempelajari kesulitan-kesulitan melindungi sumber daya informasi.

Manajemen Risiko (Risk Management)

• Risiko (Risk). Probabilitas bahwa ancaman akan berdampak pada sumber daya
informasi.
• Manajemen Risiko (Risk management). Untuk mengidentifikasi, control dan
meminimalkan dampak dari ancaman.
• Analisis Risiko (Risk analysis). Untuk menilai nilai dari setiap asset yang dilindungi,
memperkirakan probabilitas yang mungkin dikompromikan, dan membandingkan
biaya kemungkinan dikompromikan dengan biaya melindunginya.

ISYS6299 – Information System Concept

 • Mitigasi Risiko (Risk mitigation) adalah ketika organisasi mengambil tindakan nyata
terhadap risiko. Mitigasi Risiko memiliki dua fungsi:
(1) Menerapkan control untuk mencegah ancaman yang diidentifikasikan akan
terjadi.
(2) Mengembangkan sarana pemulihan ketika ancaman menjadi kenyataan.

Strategi Mitigasi Risiko (Risk Mitigation Strategies)

• Risk Acceptance.
Menerima potensi risiko, terus beroperasi tanpa adanya pengendalian, menerima
kerugian yang terjadi.
• Risk limitation.
Membatasi risiko dengan menerapkan pengendalian yang meminimalkan dampak
ancaman.
• Risk transference.
Mentransfer risiko dengan menggunakan cara lain untuk mengkonpensasi kerugian
seperti membeli asuransi.

Kontrol Keamanan Informasi (Information Security Controls)

• Pengendalian Fisik (Physical controls). Perlindungan fasilitas fisik komputer dan
sumber daya.
• Kontrol Akses (Access controls). Pembatasan akses pengguna yang tidak sah ke
sumber daya komputer; menggunakan biometrik dan password kontrol untuk
identifikasi pengguna.
• Kontrol Komunikasi (Jaringan) (Communications (network) controls). Untuk
melindungi pergerakan data melalui jaringan dan termasuk kontrol perbatasan
keamanan, otentikasi dan otorisasi.
• Di mana Pertahanan Mekanisme (kontrol) Berlokasi

ISYS6299 – Information System Concept

Kontrol Akses (Access Controls)
• Otentikasi (Authentication) – Tujan utama adalah bukti identitas.
 Something the User Is - Juga dikenal sebagai biometrik, kontrol akses ini
meneliti karakteristik fisik bawaan pengguna.
 Something the User Has - kontrol akses ini termasuk kartu reguler ID, kartu
pintar, dan token.
 Something the User Does - kontrol akses ini termasuk pengenalan suara dan
tanda tangan.
 Something the User Knows - kontrol akses ini termasuk password dan
passphrase. Password adalah kombinasi pribadi karakter yang hanya pengguna
yang tahu. Sebuah passphrase adalah serangkaian karakter yang lebih panjang
dari password tetapi dapat diingat dengan mudah.
• Otorisasi (Authorization) - Izin yang dikeluarkan untuk individu dan kelompok untuk
melakukan kegiatan tertentu dengan sumber daya informasi, berdasarkan identitas
diverifikasi.
 A privilege: hak istimewa adalah kumpulan operasi sistem komputer terkait
yang dapat dilakukan oleh pengguna sistem.
 Least privilege: dengan prinsip bahwa pengguna diberikan hak istimewa
untuk beberapa aktivitas hanya jika ada kebutuhan yang dibenarkan untuk
memberikan otorisasi ini

ISYS6299 – Information System Concept

Communications or Network Controls:
• Firewalls. Kebijakan akses control antara dua jaringan.
• Anti-malware systems (disebut juga perangkat lunak antivirus) paket perangkat lunak
yang mencoba untuk mengidentifikasi dan menghilangkan virus, worm, dan software
berbahaya lainnya.
• Whitelisting adalah proses di mana sebuah perusahaan mengidentifikasi perangkat
lunak yang memungkinkan untuk dijalankan dan tidak mencoba untuk mengenalinya
sebagai malware.
• Blacklisting sebuah proses di mana sebuah perusahaan memungkinkan semua
perangkat lunak untuk dijalankan kecuali perangkat lunak tersebut ada dalam daftar
hitam.
• Encryption. Proses mengubah pesan asli menjadi bentuk yang tidak dapat dibaca oleh
siapa pun kecuali penerima yang dituju.
• A virtual private network (VPN) adalah jaringan pribadi yang menggunakan jaringan
publik (biasanya internet) untuk menghubungkan pengguna.
• Secure socket layer (SSL), sekarang disebut transport layer security (TLS), standar
enkripsi yang digunakan untuk transaksi yang aman seperti pembelian kartu kredit
dan online banking.
• Employee monitoring systems memonitor (mengawasi) komputer karyawan,
kegiatan e-mail, dan kegiatan surfing internet.

Basic Home Firewall (top) and Corporate Firewall (bottom)

ISYS6299 – Information System Concept

 How Public Key Encryption Works

How Digital Certificates Work

• Digital certificate adalah dokumen elektronik yang melekat pada sebuah file yang
menyatakan bahwa file tersebut dari organisasi yang mengaku dari dan belum diubah
dari format aslinya.

ISYS6299 – Information System Concept

 • Certificate authorities, yang dipercaya perantara antara dua organisasi,
mengeluarkan sertifikat digital.

Virtual Private Network and Tunneling

• Tunneling mengenkripsi setiap paket data yang dikirim dan menempatkan setiap
paket dienkripsi dalam paket lain.

Business Continuity Planning, Backup, and Recovery:

• Hot Site fasilitas komputer yang seluruhnya telah dikonfigurasi, dengan semua
layanan, link komunikasi, dan operasi pabrik fisik.
• Warm Site menyediakan banyak layanan dan pilihan yang sama dari hot site, tetapi
biasanya tidak termasuk aplikasi yang sebenarnya perusahaan berjalan.
• Cold Site hanya menyediakan layanan dan fasilitas dasar dan tidak menyediakan
perangkat keras komputer atau pengguna workstation.

Audit Sistem Informasi (Information Systems Auditing)

• Information systems auditing. Independen atau petugas pengamat untuk memastikan
bahwa sistem informasi bekerja dengan baik.
• Audit. Pemeriksaan sistem informasi, input, output dan pengolahan
• Jenis-jenis Auditor dan Audit
 Internal. Dilakukan oleh auditor internal perusahaan
 External.
• Prosedur Audit Sistem Informasi
 Auditing around the computer memverifikasi proses dengan memeriksa
output yang diketahui atau input tertentu.

ISYS6299 – Information System Concept

 Auditing through the computer berarti memeriksa input, output dan proses
 Auditing with the computer berarti menggunakan kombinasi data klien,
perangkat lunak auditor, dan klien dan auditor hardware.

---o0o---

ISYS6299 – Information System Concept

 DAFTAR PUSTAKA

1. Introduction to Information Systems.Rainer, Prince,Cegielski, 5th edition

(2014). John Willey & Sons, Inc.Michigan. ISBN: 978-1-118-80855-9

ISYS6299 – Information System Concept