Etika dan Keamanan SI

1
Etika dalam Sistem Informasi
 Etika : kepercayaan tentang hal yang benar
dan salah atau yang baik dan yang tidak
 Etika dalam SI dibahas pertama kali oleh
Richard Mason (1986), yang mencakup
PAPA:
1. Privasi
2. Akurasi
3. Properti
4. Akses

2
Etika dalam Sistem Informasi
PRIVASI yaitu mempertahankan informasi
pribadi dari pengaksesan oleh orang lain yang
memang tidak diberi izin untuk melakukannya
Kasus:
◦ Junk mail
◦ Manajer pemasaran mengamati e-mail
bawahannya
◦ Penjualan data akademis

3
Jenis-jenis Privasi
Privasi Fisik
Hak seseorang untuk mencegah sseseorang
yangtidak dikehendaki terhadap waktu,
ruang, dan properti (hak milik)
Privasi Informasi
Hak individu untuk menentukan kapan,
bagaimana, dan apa saja informasi yang
ingin dikomunikasikan dengan pihak lain.

4
Etika dalam Sistem Informasi
AKURASI terhadap informasi merupakan
faktor yang harus dipenuhi oleh sebuah sistem
informasi
Ketidakakurasian informasi dapat menimbulkan
hal yang menggangu, merugikan, dan bahkan
membahayakan.
Kasus:
◦ Terhapusnya nomor keamanan sosial yang
dialami oleh Edna Rismeller (Alter, 2002, hal.
292)
◦ Kasus kesalahan pendeteksi misil Amerika
Serikat

5
Etika dalam Sistem Informasi
Perlindungan terhadap hak PROPERTI
yang sedang digalakkan saat ini yaitu
yang dikenal dengan sebutan HAKI (hak
atas kekayaan intelektual).
HAKI biasa diatur melalui:
- Hak cipta (copyright)
- Paten
- Rahasia perdagangan (trade secret).

6
Etika dalam Sistem Informasi
Hak cipta adalah hak yang dijamin oleh
kekuatan hukum yang melarang
penduplikasian kekayaan intelektual tanpa
seizin pemegangnya
Hak seperti ini mudah untuk didapatkan
dan diberikan kepada pemegangnya
selama masa hidup penciptanya plus 70
tahun.

7
Etika dalam Sistem Informasi
Paten merupakan bentuk perlindungan
terhadap kekayaan intelektual yang paling
sulit didapatkan karena hanya akan
diberikan pada penemuan-penemuan
inovatif dan sangat berguna. Hukum paten
memberikan perlindungan selama 20
tahun.

8
 Etika dalam Sistem Informasi

Hukum rahasia perdagangan melindungi

kekayaan intelektual melalui lisensi atau kontrak.
Pada lisensi perangkat lunak, seseorang yang
menandatangani kontrak menyetujui untuk tidak
menyalin perangkat lunak tersebut untuk
diserahkan pada orang lain atau dijual.
 

9
 Etika dalam Sistem Informasi
 Berkaitan dengan dengan kekayaan intelektual, banyak
masalah yang belum terpecahkan (Zwass, 1998); Antara lain:
• Pada level bagaimana informasi dapat dianggap sebagai
properti?
• Apa yang harus membedakan antara satu produk dengan
produk lain?

10
 Etika dalam Sistem Informasi

 AKSES adalah penyediaan untuk semua kalangan

 Teknologi informasi diharapkan malah tidak
menjadi halangan dalam melakukan pengaksesan
terhadap informasi bagi kelompok orang tertentu,
tetapi justru untuk mendukung pengaksesan untuk
semua pihak
 

11
Keamanan Sistem Informasi
Keamanan merupakan faktor penting
yang perlu diperhatikan dalam
pengoperasian sistem informasi
Tujuannya adalah untuk mencegah
ancaman terhadap sistem serta untuk
mendeteksi dan membetulkan akibat
segala kerusakan sistem.

12
Keamanan Sistem Informasi
Ancaman terhadap sistem informasi dapat
dibagi menjadi dua macam: ancaman aktif
dan ancaman pasif
Ancaman aktif mencakup kecurangan
dan kejahatan terhadap komputer
Ancaman pasif mencakup kegagalan
sistem, kesalahan manusia, dan bencana
alam

13
.

Keamanan Sistem Informasi

Macam Ancaman Contoh

Bencana alam dan politik Gempa bumi, banjir, kebakaran, perang

Kesalahan manusia Kesalahan pemasukan data,  Kesalahan

penghapusan data,  Kesalahan operator (salah
memberi label pada pita magnetik)

Kegagalan perangkat Gangguan listrik, Kegagalan peralatan

     

lunak dan perangkat keras Kegagalan fungsi perangkat lunak

Kecurangan dan kejahatan Penyelewengan aktivitas, Penyalahgunaan kartu

komputer kredit, Sabotase, Pengaksesan oleh orang yang
   

tidak berhak

Program yang jahat/usil Virus, cacing, bom waktu, dll

14
 Keamanan Sistem Informasi
 Metode yang umum digunakan oleh orang
dalam melakukan penetrasi terhadap sistem
berbasis komputer ada 6 macam (Bodnar dan
Hopwood, 1993), yaitu
1. Pemanipulasian masukan
2. Penggantian program
3. Penggantian berkas secara langsung
4. Pencurian data
5. Sabotase
6. Penyalahgunaan dan pencurian sumber daya
komputasi.

15
 Dalam banyak kecurangan terhadap komputer,
pemanipulasian masukan merupakan metode
yang paling banyak digunakan, mengingat hal
ini bisa dilakukan tanpa memerlukan
ketrampilan teknis yang tinggi.
Pemanipulasian melalui program biasa
dilakukan oleh para spesialis teknologi
informasi
 Pengubahan berkas secara langsung umum
dilakukan oleh orang yang punya akses secara
langsung terhadap basis data.
Pencurian data kerap kali dilakukan oleh
“orang dalam” untuk dijual. Salah satu
kasus terjadi pada Encyclopedia Britanica
Company (bodnar dan Hopwood, 1993).
Perusahaan ini menuduh seorang
pegawainya menjual daftar nasabah ke
sebuah pengiklan direct mail seharga $3
juta.

Minggu 8/AK/Sistem Informatika 17

Keamanan Sistem Informasi
 Berbagai teknik yang digunakan untuk melakukan hacking:
◦ Denial of Service
Teknik ini dilaksanakan dengan cara membuat permintaan yang sangat
banyak terhadap suatu situs sehingga sistem menjadi macet dan
kemudian dengan mencari kelemahan pada sistem si pelaku
melakukan serangan terhadap sistem.
◦ Sniffer
    Teknik ini diimplementasikan dengan membuat program yang
dapat melacak paket data seseorang ketika paket tersebut melintasi
Internet, menangkap password atau menangkap isinya.
◦ Spoofing
Melakukan pemalsuan alamat e-mail atau Web dengan tujuan untuk
menjebak pemakai agar memasukkan informasi yang penting seperti
password atau nomor kartu kredit

18
Keamanan Sistem Informasi
 Penggunaan Kode yang Jahat:

1. Virus
2. Cacing (worm)
3. Bom waktu
4. Kuda Trojan

19
Virus

• Virus komputer adalah sebuah program kecil yang bisa menggandakan

dirinya sendiri dalam media penyimpanan suatu komputer. Virus juga
mampu, baik secara langsung ataupun tak langsung, menginfeksi,
mengkopi maupun menyebarkan program file yang bisa dieksekusi
maupun program yang ada di sektor dalam sebuah media penyimpanan
(Hardisk, Disket, CD-R).
• Virus juga bisa menginfeksi file yang tidak bisa dieksekusi (file data)
dengan menggunakan macros (program sederhana yang biasanya
digunakan untuk melakukan suatu perintah). Intinya adalah kemampuan
untuk menempel dan menulari suatu program.
• Virus bukanlah sesuatu yang terjadi karena kecelakaan ataupun kelemahan
perangkat komputer karena pada hakikatnya, semua virus merupakan hasil
rancangan intelegensi manusia setelah melalui beberapa percobaan terlebih
dahulu layaknya eksperimen-eksperimen ilmiah di dalam bidang-bidang
lainnya.
 
Cacing (Worm)
  Sumber malapetaka lain yang mirip dengan virus, namun tidak bisa dikategorikan sebagai
virus, adalah worm. Worm adalah program yang dapat menduplikasi diri tanpa menginfeksi
program-program lainnya. Worm tidak memerlukan carrier, dalam hal ini program atau
suatu dokumen. Worm biasa menyebar melalui pertukaran data antar hardisk, disket,
maupun e-mail. Penyebaran melalui e-mail biasanya berupa sebuah attachment yang kecil.
Pengguna yang tertarik akan menjalankan program tersebut. Selanjutnya, tanpa basa-basi, si
program akan langsung melakukan aksinya. Worm akan menggandakan diri dengan
mengirimkan file-nya secara otomatis melalui attachment ke setiap alamat yang ada dalam
address book pada mail manager korban.
 Umumnya worm tidak bersifat merusak, namun demikian selain mengakibatkan
kejengkelan di pihak korban, serangan worm dapat sangat berbahaya bagi mailserver.
Berjangkitnya worm menyebabkan beban kerja mailserver melonjak drastis hingga dapat
mempengaruhi performanya.
Dan tidak hanya untuk mailserver, bahkan komputer pribadi kita pun bisa dijadikan
sasarannya. Hal ini terjadi karena worm mampu menduplikasikan dirinya sendiri di dalam
memori komputer dalam jumlah yang sangat banyak. Sekarang bayangkan jika worm
menduplikasi dirinya secara serentak, ‘bakal lemot deh komputer’.
 Worm umumnya berbentuk file executable (berekstensi .EXE datau .SCR), yang terlampir
(attach) pada e-mail. Namun demikian, ada beberapa jenis worm yang berbentuk script
yang ditulis dalam bahasa Visual Basic (VBScript). Sasaran serangan worm jenis ini
terutama adalah perangkat lunak e-mail Microsoft Outlook Express, tapi bukan berarti
aplikasi yang lain sudah pasti kebal dengan semua jenis worm.
Bom logika atau Bom Waktu (Logic Bomb & time
bomb)

Bom logika atau bom waktu adalah program yang

beraksi karena dipicu oleh sesuatu kejadian atausetelah
selang waktu berlalu. Sebagai contoh, program dapat
diatur agar menghapus hard disk atau menyebabkan
lalu lintas macet. Contoh kasus bom waktu terjadi di
USPA, perusahaan asuransi di Fort Worth (Bodnar dan
Hopwood, 1993). Donal Burkson, pemrogram pada
perusahaan tersebut dipecat karena suatu hal. Dua hari
kemudian, sebuah bom waktu mengaktifkan dirinya
sendiri dan menghapus kira-kira 160.000 rekaman-
rekaman penting pada komputer perusahaan tersebut.
Para penyidik menyimpulkan bahwa Burkson
memasang bom waktu dua tahun sebelum di-PHK.
Kuda Trojan (Trojan Horse)

Trojan horse adalah program yang kelihatan seperti

program yang valid atau normal, tetapi sebenarnya program
tersebut membawa suatu kode dengan fungsi-fungsi yang
sangat berbahaya bagi komputer Anda.Sebagai contoh,
virus DLoader-L datang dari attachment e-mail dan
dianggap sebagai sebagai suatu update program dari
Microsoft untuk sistem operasi Windows XP. Jika Anda
menjalankannya maka dia akan mendownload program dan
akan memanfaatkan komputer Anda untuk menghubungkan
komputer Anda ke suatu website tertentu. Targetnya tentu
saja untuk membuat website tadi menjadi overload dan
akhirnya tidak bisa diakses dengan benar oleh pihak lain.
Ini sering dinamakan dengan serangan denial of service
atau DoS.
 Penyalahgunaan dan pencurian sumber daya
komputasi merupakan bentuk pemanfaatan secara
illegal terhadap sumber daya komputasi oleh
pegawai dalam rangka menjalankan bisnisnya
sendiri.
 Satu hal lagi tentang kemungkinan ancaman
terhadap sistem informasi adala trapdoor.
Trapdoor adalah kemungkinan tindakan yang tak
terantisipasi yang tertinggal dalam program
karena ketidak sengajaan. Disebabkan sebuah
program tak terjamin bebas dari kesalahan,
kesalahan-kesalahan yang terjadi dapat membuat
pemakai yang tak berwewenang dapat mengakses
sistem dan melakukan hal-hal yang sebenarnya
tidak bolehdan tidak bisa dilakukan.
Pengendalian Sistem Informasi
 Untuk menjaga keamanan sistem informasi diperlukan
pengendalian terhadap sistem informasi
 Kontrol mencakup:
1. Kontrol administratif
2. Kontrol pengembangan dan pemeliharaan sistem
3. Kontrol operasi
4. Proteksi terhadap pusat data secara fisik
5. Kontrol perangkat keras
6. Kontrol terhadap akses komputer
7. Kontrol terhadap akses informasi
8. Kontrol terhadap perlindungan terakhir
9. Kontrol aplikasi
25
Kontrol Administratif
 Mempublikasikan kebijakan kontrol yang membuat semua
pengendalian sistem informasi dapat dilaksanakan dengan
jelas dan serius oleh semua pihak dalam organisasi

 Prosedur yang bersifat formal dan standar pengoperasian

disosialisasikan dan dilaksanakan dengan tegas. Termasuk
dalam hal ini adalah proses pengembangan sistem, prosedur
untuk backup, pemulihan data, dan manajemen pengarsipan
data

 Perekrutan pegawai secara berhati-hati, yang diikuti dengan

orientasi, pembinaan, dan pelatihan yang diperlukan

26
Kontrol Administratif (lanjutan…)
 Supervisiterhadap para pegawai. Termasuk pula cara
melakukan kontrol kalau pegawai melakukan
penyimpangan terhadap yang diharapkan

 Pemisahan tugas-tugas dalam pekerjaan, dengan tujuan

agar tak seorangpun yang dapat menguasai suatu proses
yang lengkap. Sebagai contoh, seorang pemrogram
harus diusahakan tidak mempunyai akses terhadap data
produksi (operasional) agar tidak memberikan
kesempatan untuk melakukan kecurangan

27
Kontrol terhadap Pengembangan dan
Pemeliharaan Sistem
Melibatkan Auditor sistem, dari masa pengembangan
hingga pemeliharaan sistem, untuk memastikan
bahwa sistem benar-benar terkendali, termasuk dalam
hal otorisasi pemakai sistem
Aplikasi dilengkapi dengan audit trail sehingga
kronologi transaksi mudah untuk ditelusuri

28
Kontrol Operasi
 Tujuan agar sistem beroperasi sesuai
dengan yang diharapkan
 Termasuk dalam hal ini:

1. Pembatasan akses terhadap pusat data

2. Kontrol terhadap personel pengoperasi
3. Kontrol terhadap peralatan (terhadap kegagalan)
4. Kontrol terhadap penyimpan arsip
5. Pengendalian terhadap virus

29
Perlindungan Fisik terhadap Pusat
Data
Faktor lingkungan yang menyangkut suhu,
kebersihan, kelembaban udara, bahaya banjir,
dan keamanan fisik ruangan perlu diperhatikan
dengan benar
Untuk mengantisipasi kegagalan sumber daya
listrik, biasa digunakan UPS dan mungkin juga
penyediaan generator

30
 Kontrol Perangkat Keras
Untuk mengantisipasi kegagalan sistem komputer,
terkadang organisasi menerapkan sistem komputer
yang berbasis fault-tolerant (toleran terhadap
kegagalan)
Toleransi terhadap kegagalan pada penyimpan
eksternal antara lain dilakukan melalui disk mirroring
atau disk shadowing, yang menggunakan teknik
dengan menulis seluruh data ke dua disk secara
paralel

31
Kontrol Akses terhadap Sistem
Komputer
Setiap pemakai sistem diberi otorisasi yang
berbeda-beda
Setiap pemakai dilengkapi dengan nama
pemakai dan password
Penggunaan teknologi yang lebih canggih
menggunakan sifat-sifat biologis manusia yang
bersifat unik, seperti sidik jari dan retina mata,
sebagai kunci untuk mengakses sistem

32
Kontrol terhadap Akses Informasi
Penggunaan enkripsi

33
Kontrol terhadap Bencana
 Rencana darurat (emergency plan) menentukan tindakan-tindakan
yang harus dilakukan oleh para pegawai manakala bencana terjadi
 Rencana cadangan (backup plan) menentukan bagaimana
pemrosesan informasi akan dilaksanakan selama masa darurat.
 Rencana pemulihan (recovery plan) menentukan bagaimana
pemrosesan akan dikembalikan ke keadaan seperti aslinya secara
lengkap, termasuk mencakup tanggung jawab masing-masing
personil
 Rencana pengujian (test plan) menentukan bagaimana komponen-
komponen dalam rencana pemulihan akan diuji atau disimulasikan

34
Kontrol terhadap Perlindungan
Terakhir

Rencana pemulihan dari bencana

Asuransi

35
SEKIAN