Universitas Gunadarma

Universitas Gunadarma

Minggu, 29 November 2015

Sistem Informasi Manajemen 1# - Resume BAB 10

SISTEM INFORMASI MANAJEMEN
BAB 10
IMPLIKASI ETIS DARI TEKNOLOGI INFORMASI

MORAL, ETIKA DAN HUKUM

Moral
Tradisi kepercayaan mengenal perilaku yang benar dan  yang salah. Moral adalah institusi sosial dengan sejarah dan seperangkat aturan.

Etika
Sekumpulan kepercayaan, standar atau teladan yang mengarahkan, yang merasuk kedalam  seseorang atau masyarakat. Semua individu bertanggung jawab terhadap komunitas mereka terhadap perilaku mereka.

Hukum
Peraturan perilaku formal yang ditetapkan oleh otoritas yang berwenang, seperti pemerintah, terhadap subjek atau warga negaranya.
Meletakkan  moral, etika dan hukum pada tempatnya
Penggunaan komputer di dunia bisnis diarahkan oleh nilai moral dan etis manager, spesialis informasi , dan penggunaan serta hukum yang berlaku
Alasan pentingnya etika komputer

Menurut james moor mengidentifikasikan tiga alasan utama dibalik minat masyarakat yang tinggi akan etika komputer :
   
      1.      Kelenturan secara  logis 
Sebagai kemampuan untuk memprogram komputer untuk melakukan hampir apa saja  yang kita ingin  lakukan.

     2.     Faktor transformasi
Alasan atas etika yang didasarkan pada fakta bahwa komputer dapat mengubah cara kita mengerjakan sesuatu dengan drastis.

      3.      Faktor ketidaktampakan
Alasan ketiga untuk minat masyarakat atas etika komputer adalah karena masyarakat memandang komputer sebagai kotak hitam.

Jenis aktivitas audit :

      a.  Audit finansial
Memverifikasi catatan – catatan perusahaan dan merupakan jenis aktivitas yang dilaksanakan auditor eksternal.  Pada beberapa tugas auditor interval bekerja sama dengan auditor eksternal.

       b.  Audit operasional
Tidak dilaksanakan untuk memverifikasi keakuratan catatan, melainkan untuk memvalidasi efektivitas prosedur. Audit jenis ini merupakan merupakan jenis pekerjaan yang dilakukan oleh analis sistem pada tahap analisis dari masa siklus perancangan sistem.

        c. Audit berkelanjutan
Sama dengan audit operaional tetapi audit berkelanjutan berlangsung secara terus  - menerus. Contoh audit internal dapat secara acak memilih karyawan dan memberikan slip gaji kepada mereka tanpa menggunakan sistem surat – menyurat perusahaan.

      d. Desain sistem pengendalian internal
Dalam audit operasional dan beriringan, auditor internal mempelajari sistem yang sudah ada. Namun auditor tidak harus menunggu hingga sistem diimplimentasikan untuk mempengaruhi sistem tersebut.

Kode etik
Association for computing machinery (ACM) didirikan pada tahun 1947 adalah sebuah organisasi komputer profesional tertua didunia. ACM menyusun kode etik dan perilaku profesional yang  diharapkan diikuti oleh 80.000 anggotannya.

Keharusan kode etik yang  ditulis dengan sebuah narasi singkat  :

      1.  Keharusan moral umum
Keharusan ini berkenaan dengan perilaku moral (memberi kontribusi kepada masyarakat ; menghindari bahaya;  berperilaku  jujur, dapat dipercaya dan adil dan isu – isu yang pada saat ini mendapatkan perhatian hukum (hak milik, hak cipta, privasi dan kerahasiaan).

     2.  Tanggug jawab profesional yang lebih spesifik
Hal ini berkenaan dengan dimensi – dimensi  kinerja profesional.

     3.  Keharusan kepemimpinan organisasi
Sebagai pemimpin, anggota ACM memiliki tanggung jawab untuk pengguaan sah sumber daya komputer, serta melindungi kepentingan para pengguna.

     4. Kebutuhan terhadap kode
Di  sini anggota ACM harus mengindikasi dukugan untuk kode etik.

Kode etik  dan praktik profesional rekayasa peranti lunak
Kode ini mencatat pengaruh penting yang dapat  diterapkan para ahli peranti lunak  pada sistem nformasi dan terdiri ekspektasi di 8 hal penting :
1.      Masyarakat
2.      Klien dan atasan
3.      Produk
4.      Penilaian
5.      Manajemen
6.      Profesi
7.      Kolega
8.      Diri sendiri

Rabu, 11 November 2015

Sistem Informasi Manajemen 1# - Resume BAB 9



SISTEM INFORMASI MANAJEMEN
BAB 9
KEAMANAN INFORMASI

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar. Sistem computer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instalasi computer dirusak oleh para pemrotes. Pengalaman ini menginspirasi kalangan industri.
Pemerintah federal amerika serikat sekarang menerapkan pencegahan dan pengadilan yang serupa, melalui otoritas patriot Act (undang undang patriot) dan office of homeland security (dinas keamanan dalam negri). Pendekatan pendekatan yang dimulai oleh kalangan industry dicontoh dan diperluas.

KEAMANAN INFORMASI
Saat pemerintah dan kalangan industry mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka istilah kemanan sistem (system security) pun digunakan. Focus sempit ini kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data, namun juga peranti lunak, fasilitas computer, dan personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data – bukan hanya data didalam computer. Istilah kemanan informasi (information security) digunakan untuk mendeskripsikan perlindungan baik peralatan computer dan non computer, fasilitas, data, dan informasi dari penyalah gunaan pihak pihak yang tidak berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotocopy dan mesin fax serta semua jenis media, termasuk dokumen kertas.

Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama : kerahasiaan, ketersediaan, dan integritas.
-        Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang orang yang tidak berwenang.
-        Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak pihak yang memiliki wewenang untuk menggunakannya.
-        Integritas. Semua sistem informasi harus memberikan referentasi akurat atas sistem fisik yang direpresentasikannya.
 
Manajemen Keamanan Informasi
Seperti halnya cakupan keamanan informasi telah meluas, demikian juga pandangan akan tanggung jawab manajemen. Manajemen tidak hanya diharapkan untuk menjaga agar sumber daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebol nya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen kemanan informasi (information security management – ISM), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen berlangsungan bisnis (business continuity management – BCM).
     
CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini.

MANAJEMEN KEAMANAN INFORMASI
Pada bentuknya yang paling dasar, manajemen kemanan informasi terdiri atas empat tahap : mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan; mendefinisikan resiko yang dapat disebabkan oleh ancaman ancaman tersebut; menentukan kebijakan keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi resiko resiko tersebut.
     
Terdapat pilihan lain untuk merumuskan kebijakan kemanan informasi suatu perusahaan. Pilihan ini telah menjadi popular pada beberapa tahun belakangan ini dengan munculnya standar atau tolak ukur keamanan informasi. Tolak ukur (benchmark) adalah tingkat kinerja yang disarankan.

ANCAMAN
Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahagiakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang alami jika kita membayangkan beberapa kelompok atau beberapa orang diluar perusahaan tersebut yang melakukan tindakan yang disengaja. Pada kenyataanya, ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja maupun disengaja.

Ancaman Internal dan Eksternal
Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survey yang dilakukan oleh computer security institute menemukan bahwa 49% koresponden menghadapi insiden keamanan yang disebabkan oleh tindakan para pengguna yang sah; proporsi kejahatan computer yang dilakukan oleh karyawan diperkirakan mencapai 81%.

Tindakan Kecelakaan dan Disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang orang didalam ataupun diluar perusahaan. Sama halnya dimana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan harus mengeliminasi atau mengurangi kemungkinan terjadi nya kerusakan yang disebabkan terjadinya kecelakaan.

JENIS ANCAMAN
Semua orang pernah mendengar mengenai virus computer. Sebenarnya, virus hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software) malicious software, atau malware terdiri atas program program lengkap atau segmen segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi fungsi tersebut dapat menghapus file atau menyebabkan sistem  tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, Trojan horse, adware, dan spyware.
     
Virus adalah program computer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program program dan boot sector lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri didalam sistem, tapi dapat menyebarkan salinan nya melalui email. Trojan horse (kuda troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan perubahan perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut. Adware memunculkan pesan pesan iklan yang mengganggu, dan spyware mengumpulkan data dari mesin pengguna. Dari beragam jenis malware ini, adware dan spyware merupakan yang terkini. Baru pada awal 2005, setelah menyadari besarnya masalah masalah ini, Microsoft memutuskan untuk memasuki perang anti spyware. Situs Web MSN Korea selatan diserang pada juni 2005, dan serangan ini tidak ditemukan slama berhari hari.

RISIKO
Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko risiko seperti ini dibagi menjadi 4 jenis : pengungkapan informasi yang tidak terotorisasi dan pencurian, penggangguan yang tidak terotorisasi, penghancuran yang tidak terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.

Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilang nya informasi atau uang. Sebagai contoh, mata mata industry dapat memperoleh informasi mengenai kompetisi yang berharga, dan criminal computer dapat menyelundupkan dana perusahaan.

Penggunaan yang Tidak Terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan computer tipe ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Hacker misalnya, dapat memasuki jaringan computer sebuah perusahaan, mendapatkan akses kedalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.

Penghancuran yang Tidak Terotorisasi dan Penolakan Layanan
Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional computer perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat computer bahkan tidak harus berada di lokasi fisik tersebut.

Modifikasi yang Tidak Terotorisasi
Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.

PERSOALAN E-COMMERCE
e-Commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari permalsuan kartu kredit.

MANAJEMEN RISIKO
Sebelumnya, manajemen resiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan resiko atau mengurangi dampaknya. Pendefinisian resiko terdiri atas empat langkah :
1.      Identifikasi asset asset bisnis yang harus dilindungi dari resiko.
2.      Menyadari resikonya.
3.      Menentukan tingkatan dampak pada perusahaan jika resiko benar benar terjadi.
4.      Menganalisis kelemahan perusahaan tersebut.

Tingkat keparahan dampak dapat di klasifikasikan menjadi dampak yang parah (severe impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi; dampak signifikan (significant impact), menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari hari. Baik untuk resiko parah maupun signifikan, analisis kelemahan harus dilaksanakan. Ketika analisis tersebut mengindikasikan kelemahan tingkat tinggi (terdapat kelemahan substansial di dalam sistem), maka pengendalian harus diimplementasikan untuk mengeliminasi atau mengurangi kelemahan tersebut.

KEBIJAKAN KEAMANAN INFORMASI
Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen resiko atau kepatuhan terhadap tolak ukur maupun tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruh program perusahaan dapat menerapkan kebijakan keamanan nya dengan mengikuti pendekatan yang bertahap.

PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk memiminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi 3 kategori : teknis, formal, dan informal.

PENGENDALIAN TEKNIS
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu didalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal didalam team proyek merupakan satu cara yang amat baik untuk menjaga agar mengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.

PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunya, mendokumentasikanya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

PENGENDALIAN INFORMAL
Pengendalian informal mencakup program program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus di tetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan pertimbangan lain.

STANDAR INDUSTRI
The center for internet security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna computer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk – CIS benchmarks dan CIS Scoring Tools. CIS Benchmark membantu para pengguna untuk mengamankan sistem informasi mereka dengan cara menerapkan pengendalian khusus teknologi. CIS scoring tools member kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk  mengamankan sistem.

MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dan resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industry

MANAJEMEN KEBERLANGSUNGAN BISNIS
Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan bisnis (business continuity management – BCM). Pada tahun tahun awal pengunaan computer, aktivitas ini disebut perencanaan bencana (disaster planning), namun istilah yang lebih positif, perencanaan kontinjensi (contingency plan), menjadi popular. Elemen penting dalam perencanaan kontinjensi adalah rencana kontijensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.