Semakin pesatnya
kemajuan teknologi informasi.kita harus mempunyai sebuah rencana keamanan,
harus dapat mengkombinasikan peran dari kebijakan, teknologi dan orang. Dimana
manusia (people), yang menjalankan
proses membutuhkan dukungan kebijakan (policy),
sebagai petunjuk untuk melakukannya, dan membutuhkan teknologi (technology), merupakan alat (tools), mekanisme atau fasilitas untuk
melakukan.
Terdapat prinsip-prinsip penting
dari sebuah rencana
keamanan informasi (information
security), yaitu: kerahasian (Confidentiality), keutuhan data (Integrity),
dan ketersediaan (Availability).
Biasanya ketiga aspek ini sering disingkat menjadi CIA. CIA
adalah standar yang
digunakan banyak pihak untuk
mengukur keamanan sebuah sistem. Prinsip-prinsip keamanan
informasi ialah sebagai berikut:
-
Integrity
Integrity yaitu
taraf kepercayaan
terhadap sebuah informasi. Dalam konsep
ini tercakup data integrity dan
source integrity, merupakan aspek yang menjamin bahwa data tidak
boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk
aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah
dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap
hal ini akan berakibat tidak berfungsinya sistem e-procurement. Secara teknis ada banyak
cara untuk menjamin aspek integrity ini, seperi misalnya dengan
menggunakan messange authentication code, hash function, digital
signature.
-
Confidentiality
Confidentiality yaitu
membatasi akses informasi hanya bagi pengguna tertentu, merupakan aspek yang
menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk
mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang
dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya
proses pengadaan.
Kerahasiaan ini dapat diimplementasikan dengan
berbagai cara, seperti misalnya menggunakan teknologi kriptografi dengan
melakukan proses enkripsi (penyandian, pengkodean) pada transmisi data,
pengolahan data (aplikasi dan database), dan penyimpanan data (storage).
Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak yang
tidak berhak.
Seringkali perancang dan implementor dari sistem
informasi atau sistem transaksi elektronik lalai dalam menerapkan pengamanan.
Umumnya pengamanan ini baru diperhatikan pada tahap akhir saja sehingga
pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada
tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal
ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah
dipikirkan dan diimplementasikan sejak awal. Akses terhadap informasi juga
harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang
ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat
kerahasiaan data yang diinginkan.
-
Availability
Availability aitu
ketersediaan, Availability yang dimaksud adalah ketersediaan sumber
informasi, merupakan aspek yang menjamin bahwa data tersedia ketika
dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang
dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak
dapat diterima. Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat
mengirimkan penawaran, misalnya:
Hilangnya layanan dapat disebabkan oleh berbagai
hal, mulai dari benca alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem
(server rusak, disk rusak, jaringan putus), sampai ke upaya pengrusakan yang
dilakukan secara sadar (attack). Pengamanan terhadap ancaman ini dapat
dilakukan dengan menggunakan sistem backup dan menyediakan disaster
recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan
(disaster recovery plan).
Sebuah
rencana keamanan informasi,
harus mampu menggambarkan
langkah yang sistematis untuk menurunkan risiko, dengan cara
mengimplementasikan kontrol keamanan berdasarkan sasarannya.
Jenis kontrol berdasarkan sasarannya, sebagai berikut:
Jenis kontrol berdasarkan sasarannya, sebagai berikut:
1. Kontrol administrasi (administrative
security)
2. Kontrol logik
(logical control), intrusion detection, dan anti-virus
3. Kontrol fisik (physical control)
Kontrol keamanan tidak terlepas dari
perlindungan
terhadap aset informasi yang sensitif. Enterprise
Information
Technology Services (2001),
dalam artikelnya
yang berjudul “Information Classification Standard”, menjelaskan
bahwa informasi diklasifikasikan menjadi informasi sensitif dan kritikal. Informasi
sensitif terkait dengan
kerahasiaan (confidentiality) dan integritas data (integrity), sedangkan informasi kritikal terkait dengan ketersediaan data
(availability).
Berdasarkan uraian di atas, maka rencana keamanan
akan berisi tentang
penentuan kombinasi kontrol keamanan informasi yang digunakan,
serta prioritas
dalam melakukan implementasinya. Isi konten
dasar pada dokumen
rencana keamanan informasi (information
security plan), antara lain:
1.
Ancaman dan
kelemahan, merupakan proses untuk mereview hasil tahapan penilaian
risiko, dengan mengambil informasi mengenai sesuatu yang dapat menganggu
kegiatan organisasi.
2.
Tujuan dan sasaran, merupakan proses menentukan target dan lingkup
keamanan informasi yang ingin dicapai, sehingga dapat fokus pada aspek keamanan
yang akan diselesaikan.
Sasaran keamanan informasi menggambarkan
spesifik hasil, kejadian atau manfaat yang ingin di capai sesuai dengan tujuan
keamanan yang ditetapkan.
3.
Aturan dan tanggungjawab, merupakan proses menyusun aturan dan penanggungjawab,
yang mengatur
kegiatan sebagai upaya
untuk menurunkan risiko
keamanan informasi yang bersumber dari ancaman dan
kelemahan.
4.
Strategi dan kontrol
keamanan, merupakan proses untuk memberikan prioritas aksi yang akan
dilakukan untuk mencapai
tujuan dan sasaran keamanan informasi yang telah ditetapkan. Prioritas aksi tersebut sebagai pengaman untuk
menjaga kerahasiaan, keutuhan
dan ketersediaan informasi, dengan penentuan control keamanan
yang sesuai dengan
tujuan dan sasaran yang diinginkan.
Salah
satu kunci keberhasilan pengaman sistem informasi adalah adanya visi dan
komitmen dari pimpinan puncak. Upaya atau inisiatif pengamanan akan percuma
tanpa hal ini. Ketidakadaan komitmen dari puncak pimpinan berdampak kepada
investasi pengamanan data. Pengamanan data tidak dapat tumbuh demikian saja
tanpa adanya usaha dan biaya. Sebagai contoh, untuk mengamankan hotel, setiap
pintu kamar perlu dilengkapi dengan kunci. Adalah tidak mungkin menganggap
bahwa setiap tamu taat kepada aturan bahwa mereka hanya boleh mengakses kamar
mereka sendiri. Pemasangan kunci pintu membutuhkan biaya yang tidak sedikit,
terlebih lagi jika menggunakan kunci yang canggih. Pengamanan data elektronik
juga membutuhkan investmen. Dia tidak dapat timbul demikian saja. Tanpa
investasi akan sia-sia upaya pengamanan data. Sayangnya hal ini sering
diabaikan karena tidak adanya komitmen dari pimpinan puncak. Jika komitmen dari
pucuk pimpinan sudah ada, masih ada banyak lagi masalah pengamanan sistem
informasi. Masalah tersebut adalah (1) kesalahan desain, (2) kesalahan
implementasi, (3) kesalahan konfigurasi, dan (4) kesalahan operasional.
Kode etik penggunaan fasilitas internet di kantor hampir sama
dengan kode etik pengguna internet pada umumnya, hanya saja lebih dititik
beratkan pada hal-hal atauaktivitas yang berkaitan dengan masalah perkantoran
di suatu organisasi atau instansi. Berikut contohnya :
- Menghindari penggunaaan fasilitas internet diluar keperluan
kantor atau untuk kepentingan sendiri.
- Tidak menggunakan internet untuk mempublikasi atau bertukar
informasi internalkantor kepada pihak luar secara ilegal.
- Tidak melakukan kegiatan pirating, hacking atau cracking
terhadap fasilitas internet kantor.
terhadap fasilitas internet kantor.
- Mematuhi peraturan yang ditetapkan oleh kantor dalam penggunaan
fasilitas internet
Dalam lingkup TI, kode etik profesinya memuat kajian ilmiah
mengenai prinsip atau norma-norma dalam kaitan dengan hubungan antara
professional atau developer TI dengan klien, antara para professional sendiri,
antara organisasi profesi serta organisasi profesi dengan pemerintah. Salah
satu bentuk hubungan seorang profesional dengan klien (pengguna jasa) misalnya
pembuatan sebuah program aplikasi.
Seorang profesional tidak dapat membuat program semaunya, ada beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan (security) sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan sistem kerjanya(misalnya: hacker, cracker, dll).
Seorang profesional tidak dapat membuat program semaunya, ada beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan (security) sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan sistem kerjanya(misalnya: hacker, cracker, dll).
Ada 3 hal pokok yang merupakan fungsi dari kode etik profesi:
1.
Kode etik profesi memberikan pedoman bagi setiap anggota profesi
tentang prinsip profesionalitas yang digariskan.
2.
Kode etik profesi merupakan sarana kontrol sosial bagi masyarakat
atas profesi yang bersangkutan(kalanggansocial).
3.
Kode etik profesi mencegah campur tangan pihak diluarorganisasi
profesi tentang hubungan etika dalam keanggotaan profesi.
Ada 8 hal
pokok yang merupakan prinsip dasar dari kode etik profesi:
1.
Prinsip Standar Teknis
Setiap anggota profesi harus melaksanakan jasa profesional yang relevan dengan bidang profesinya.
Setiap anggota profesi harus melaksanakan jasa profesional yang relevan dengan bidang profesinya.
2.
Prinsip Kompetensi
Setiap anggota profesi harus melaksanakan pekerjaan sesuai jasa profesionalnya dengan kehati-hatian, kompetensi dan ketekunan
Setiap anggota profesi harus melaksanakan pekerjaan sesuai jasa profesionalnya dengan kehati-hatian, kompetensi dan ketekunan
3.
Prinsip Tanggung Jawab Profesi
Setiap anggota harus senantiasa menggunakan pertimbangan moral dan profesional dalam semua kegiatan yang dilakukan
Setiap anggota harus senantiasa menggunakan pertimbangan moral dan profesional dalam semua kegiatan yang dilakukan
4.
Prinsip Kepentingan Publik
Setiap anggota berkewajiban untuk senantiasa bertindak memberikan jasa profesionalnya dalam kerangka pelayanan kepada publik, menghormati kepercayaan publik, dan menunjukkan komitmen atas profesionalisme.
Setiap anggota berkewajiban untuk senantiasa bertindak memberikan jasa profesionalnya dalam kerangka pelayanan kepada publik, menghormati kepercayaan publik, dan menunjukkan komitmen atas profesionalisme.
5.
Prinsip Integritas
Pelaku profesi harus menjunjung nilai tanggung jawab profesional dengan integritas setinggi mungkin untuk memelihara dan meningkatkan kepercayaan publik yang menggunakan jasa profesionalnya
Pelaku profesi harus menjunjung nilai tanggung jawab profesional dengan integritas setinggi mungkin untuk memelihara dan meningkatkan kepercayaan publik yang menggunakan jasa profesionalnya
6.
Prinsip Obyektivitas
Setiap anggota harus menjaga obyektivitas dan bebas dari benturan kepentingan dalam pemenuhan kewajiban profesionalnya
Setiap anggota harus menjaga obyektivitas dan bebas dari benturan kepentingan dalam pemenuhan kewajiban profesionalnya
7.
Prinsip Kerahasiaan
Setiap anggota harus menghormati kerahasiaan informasi yang diperoleh selama melakukan jasa profesional dan tidak boleh memakai atau mengungkapkan informasi tersebut tanpa persetujuan, kecuali bila ada hak atau kewajiban profesional atau hukum untuk mengungkapkannya
Setiap anggota harus menghormati kerahasiaan informasi yang diperoleh selama melakukan jasa profesional dan tidak boleh memakai atau mengungkapkan informasi tersebut tanpa persetujuan, kecuali bila ada hak atau kewajiban profesional atau hukum untuk mengungkapkannya
8.
Prinsip Perilaku Profesional
Setiap anggita harus berperilaku konsisten dengan reputasi profesi yang baik dan menjauhi tindakan yang dapat mendiskreditkan profesi yang diembannya
Prinsip-prinsip umum yang dirumuskan dalam suatu profesi akan berbeda satu dengan yang lainnya. Hal ini disebabkan perbedaan adat, kebiasaan, kebudayaan, dan peranan tenaga ahli profesi yang didefinisikan dalam suatu negara tidak sama.
Setiap anggita harus berperilaku konsisten dengan reputasi profesi yang baik dan menjauhi tindakan yang dapat mendiskreditkan profesi yang diembannya
Prinsip-prinsip umum yang dirumuskan dalam suatu profesi akan berbeda satu dengan yang lainnya. Hal ini disebabkan perbedaan adat, kebiasaan, kebudayaan, dan peranan tenaga ahli profesi yang didefinisikan dalam suatu negara tidak sama.
Sumber:
Terimakasih info dan artikelnya
ReplyDeleteittelkom-sby.ac.id