IMPLIKASI ETIS DARI TEKNOLOGI INFORMASI

 
 
 
 
A.      CAKUPAN PERSPEKTIF VERSUS CAKUPAN DESKRIPTIF
     Cakupan perspektif untuk MIS menentukan bagaimana MIS sebaiknya dikembangkan dan digunakan di dalam suatu perusahaan. Jelas ini merupakan pendekatan yang lebih baik untuk menampilkan materi kepada mahasiswa yang memasuki dunia bisnis dibandingkan dengan memberikan cakupan deskriptif yang menjelaskan bagaimana hal-hal yang sedang dilaksanakan.
B.       MORAL,  ETIKA DAN HUKUM
Dalam kehidupan sehari-hari, kita diarahkan oleh banyak pengaruh. Sebagai warga Negara yang memiliki tanggug jawab sosial, kita ingin melakukan hal yang secara moral benar, berlaku etis, dan mematuhi hukum.
 
Moral
Moral adalah tradisi kepercayaan mengenai perilaku yang benar dan salah. Moral adalah institusi sosial dengan sejarah dan seperangkat aturan. Kita mulai belajar mengenai perilaku moral semenjak kecil: “Perilaku orang lain sebagaimana layaknya kita ingin diperlakukan.” “Selalu ucapkan terima kasih,” Saat kita tumbuh dewasa secara fisik dan mental, kita belajar mengenai peraturan-peraturan yang diharapkan masyarakat untuk kita ikuti. Aturan perilaku ini adalah moral kita.
Meskipun masyarakat di sekeliling dunia tidak semuanya mengikuti seperangkat moral yang sama, terdapat kesamaan di antara semuanya. “Melakukan apa yang secara moral benar,” adalah landasan dasar perilaku sosial kita. 
 
Etika
Perilaku kita juga diarahkan oleh etika. Kata etika berasal dari bahasa Yunani ethos, yang berarti “karakter”. Etika (ethics) adalah sekumpulan kepercayaan, standar, atau teladan yang mengarahkan, yang merasuk ke dalam seorang atau masyarakat. Semua individu bertanggung jawab terhadap komunitas mereka atas perilaku mereka, Komunitas dapat berarti rukun tetangga, kota, Negara, atau profesi.
Tidak seperti moral, etika bisa jadi amat bervariasi dari satu komunitas dengan yang lain. Keberagaman di bidang computer ini terlihat dalam bentuk peranti lunak bajakan (pirated software) peranti lunak yang diduplikasi secara illegal dan kemudian digunakan atau dijual. Di beberapa Negara praktik ini lebih menyebar disbandingkan yang lain. Pada tahun 2004, diperkirakan sekitar 21 persen peranti lunak yang digunakan di Amerika Serikat telah dibajak; angka ini melonjak menjadi 32 persen di Australia dan 90 persen di Cina.
Beberapa orang mungkin berkata bahwa angka-angka ini menunjukkan bahwa para pengguna computer di Cina tidak seetis pengguna computer di Amerika Serikat. Namun sebenarnya tidak selalu demikian. Beberapa budaya, khususnya budaya di Negara-negara Asia, mendorong orang-orang untuk saling berbagi. Dalam peribahasa Cina “Orang yang berbagi harus dihargai, sedangkan yang tidak harus dihukum.” Meskipun demikian,pembajakan peranti lunak adalah suatu masalah, karena tidak terdapat insentif untuk merancang dan mendistribusikan peranti lunak baru kecuali jika para penggunanya menyadari nilai ekonomisnya.
 
Hukum
Hukum (law) adalah peraturan perilaku formal yang diterapkan oleh otoritas yang berwenang, seperti pemerintah, terhadap subjek atau warga negaranya. Selama sekitar 10 tahun pertama penggunaan computer dibidang bisnis dan pemerintahan, tidak terdapat hukum yang berkaitan dengan penggunaan computer. Hal ini dikarenakan pada saat itu computer merupakan inovasi baru, dan system hokum membutuhkan waktu untuk mengejarnya.
Pada tahun 1966, kasus kejahatan computer pertama menjadi berita ketika seorang programmer untuk sebuah bank mengubah suatu program computer sehingga program tersebut tidak akan menandai rekeningnya ketika terlalu banyak uang ditarik. Ia dapat terus menulis cek meskipun tidak ada uang di dalam rekeningnya. Tipuan ini bekerja hingga computer tersebut rusak, dan pemrosesan manual mengungkapkan rekening dengan saldo yang sudah negatih dan tidak ditandai tersebut. Programmer tersebut tidak dituntut atas kejahatan computer, karena pada saat itu tidak ada hokum mengenai kejahatan tersebut. Sebaliknya, ia dituntut atas tuduhan membuat entri palsu pada catatan bank.
C.      MELETAKKAN MORAL, ETIKA DAN HUKUM PADA TEMPATNYA
Penggunaan computer di dunia bisnis diarahkan oleh nilai moral dan etis manajer, spesialis informasi, dan pengguna, serta hokum yang berlaku. Hukum adalah yang termudah untuk diinterpretasikan karena bersifat tertulis. Tetapi etika tidak terdefinisi demikian tepat, dan mungkin bahkan tidak disetujui oleh semua anggota masyarakat. Wilayah etika computer yang kompleks inilah yang saat ini sangat banyak diperhatikan.
D.      KEBUTUHAN AKAN BUDAYA ETIKA
Opini yang dipegang secara luas di dunia bisnis adalah bahwa bisnis merefleksikan kepribadian dari pemimpinnya. Sebagai contoh, pengaruh James Cash Penney pada JCPenney Colonel John Patterson di National Cash Register, atau Thomas J. Watson, Sr. di IBM menentukan kepribadian dari perusahaan-perusahaan tersebut. Di masa kini CEO perusahaab seperti FedEX, Southwest Airlines, dan Microsoft memiliki pengaruh yang penting pada organisasinya sehingga masyarakat cenderung memandang perusahaan tersebut seperti CEO-nya.
Keterkaitan antara CEO dengan perusahaannya merupakan dasar untuk budaya etika. Jika perusahaan dituntut untuk berlaku etis, maka manajemen tingkat tinggi harus bersikap etis dalam segala sesuatu yang dilakukan dan dikatakannya. Manajemen tingkat atas harus memimpin melalui contoh. Perilaku ini disebut dengan budaya etika (ethics culture).
Bagaimana Budaya Etika Diterapkan
Tugas dari manajeman tingkat atas adalah untuk meyakinkan bahwa konsep etikanya merasuk ke seluruh organisasi, dan turun ke jajaran bawah sehingga menyentuh setiap karyawan. Para eksekutif dapat mencari implementasi ini melalui tiga tingkat, dalam bentuk kredo perusahaan, program etika, dank ode perusahaan yang telah disesuaikan.
Kredo Perusahaan (Corporate credo) adalah pernyataan singkat mengenai nilai-nilai yang ingin dijunjung perusahaan. Tujuan  kredo tersebut adalah untuk memberitahu individu dan organisasi, baik didalam maupun diluar perusahaan, akan nilai-nilai etis yang dianut perusahaan tersebut.
Program Etika (ethics program) adalah upaya yang terdiri atas berbagai aktivitas yang di desain untuk memberikan petunjuk kepada para karyawan untuk menjalankan kredo perusahaan. Aktivitas yang biasa dilakukan adalah sesi orientasi yang diadakan untuk para karyawan baru. Selama sesi ini perhatian cukup besar ditujukan untuk masalah etika.
 
Kode Perusahaan Yang Disesuaikan. Banyak perusahaan merancang sendiri kode etik perusahaan mereka. Terkadang kode-kode etik ini merupakan adaptasi dari kode untuk industry atau profesi tertentu. Di bab yang akan datang akan dipelajari kode etik untuk profesi system informasi.
Meletakkan Kredo, Program, dan Kode pada Tempatnya
Kredo perusahaan memberikan dasar untuk pelaksanaan program etika perusahaan. Kode etik tersebut menggambarkan perilaku-perilaku tertentu yang diharapkan dilaksanakan oleh para karyawan perusahaan dalam berinteraksi antara satu dengan lain dan dengan elemen-elemen lingkungan perusahaan.
E.       ALASAN DI BALIK ETIKA KOMPUTER
James H.Moor mendefinisikan etika komputer sebagai analisis sifat dan dampak sosial teknologi komputer serta perumusan dan justivikasi dari kebijakan-kebijakan yang terkait untuk penggunaan teknologi tersebut secara etis. Dengan demikian,etika komputer terdiri atas dua aktifitas utama. Orang diprusahaan yang merupakan pilihan yang logis untuk menerapkan program etika ini adalah CIO.
Seorang CIO harus :
  •   Menyadari dampak penggunaan komputer terhadap masyarakat dan
  •   Merumuskan kebijakan yang menjaga agar teknologi tersebut digunakan diseluruh perusahaan secara etis.
Satu hal amatlah penting : CIO tidak menanggung tanggung jawab manajerial untuk penggunaan komputer secara etis sendiri. Eksekutif-eksekutif lain juga harus memberikan kontribusi. Keterlibatan di seluruh perusahaan ini merupakan kebutuhan absolute dalam era komputasi pengguna akhir masa kini, dimana para manajer di semua wilayah bertanggung jawab untuk menggunakan computer di wilayah merekan secara etis. Selain para manajer, seluruh karyawan bertanggung jawab untuk tindakan mereka yang berkaitan dengan computer.
Alasan Pentingnya Etika Komputer
James Moor mengidentifikasi tiga alasan utama dibalik minat masyarakat yang tingi akan etika komputer: kelenturan secara logis,faktor tranformasi,dan faktor ketidak tampakan.
  •   Kelenturan secara logis Moor mengartikannya sebagai kemampuan untuk memprogram komputer untuk melakukan hampir apa saja yang ingin kita lakukan.
  •   Faktor tranformasi alasan atas etika komputer ini didasarkan pada fakta bahwa komputer dapat mengubah cara kita mengerjakan sesuatu dengan draktis. Salah satu contoh yang baik adalah e-mail.
  •   Faktor ketidaktampakan : alasan ketidak untuk minat masyarakat atas etika komputer adalah karena masyarakat memandang komputer sebagai kotak hitam. Ketidak tampakan operasi internal ini memberikan kesempatan terjadinya nilai-nilai pemrograman yang tidak tampak ,dan menyalah gunakan yang tidak tampak :
·         Nilai pemrograman yang tidak tampak adalah perintah rutin yang dikodekan program kedalam program yang menghasilkan proses yang diinginkan si pengguna.
·         Perhitungan rumit yang tidak tampak berbentuk program yang sangat rumit sehingga penguna tidak dapat memahaminya.
·         Penyalahgunaan yang tidak tampak mencangkup tindakan yang disengaja yang melintasi batasan hukum maupun etis. Semua tindakan kejahatan computer berada pada kategori ini, misalnya tindakan tak etis seperti pelanggaran hak individu akan privasi.
Hak Sosial dan Komputer
Masyarakat tidak hanya mengharapkan dan dunia usaha untuk menggunakan komputer secara etis, namun juga menuntut beberapa hak yang berhubungan dengan komputer. Klasifikasi hak-hak manusia dalam wujud komputer yang paling banyak dipublikasikan adalah PAPA rancangan Richard O. Mason. Mason menciptakan akronim PAPA untuk mempersentasikan empat hak dasar masyarakat sehubungan dengan informasi :
  •   Privasi
  •   Akurasi
  •   Kepemilikan
  •   Aseksibilitas
Hak Privasi
Hakim Mahkamah Agung Amerika Serikat, Louis Brandeis dikenal karena memperkenalkan “ hak agar dibiarkan sendiri”. Mason merasa bahwa hak ini terancam oleh dua hal, yaitu:
ü  Meningkatkan kemampuan komputer untuk digunakan dalam kegiatan mata-mata.
ü  Meningkatkan nilai informasi dalam proses pengambilan keputusan.
Hak untuk Mendapatkan Keakuratan
Komputer memungkinkan tingkat keakuratan yang tidak dapat dicapai dengan sistem nonkomputer. Potensi ini memang tersedia, namun tidak selalu didapatkan. Beberapa sistem berbasis komputer berisikan lebih banyak kesalahan daripada yang diberikan sistem manual.
Hak Kepemilikan
Di sini yang dibahas adalah hak kepemilikan intelektual, biasanya dalam bentuk program komputer. Vendor peranti lunak dapat menghindari pencurian hak kepemilikan intelektual melalui undang-undang hak cipta, hak paten, dan persetujuan lisensi. Hingga tahun 1980-an, peranti lunak tidak dilindungi oleh hak cipta atau hukum paten.
Hak Mendapatkan Akses
Sebelum diperkenalkanya basis data yang terkomputerisasi, kebanyakan informasi tersedia untuk masyarakat umum dalam bentuk dokumen cetak atau gambar mikroformat yang disimpan di perpustakaan.
F.       AUDIT INFORMASI
Saat menyusun etika penggunaan computer, satu kelompok dapat memegang peranan yang amat penting. Mereka adalah para auditor internal. Perusahaan dengan semua ukuran mengandalkan auditor eksternal (ekternal auditor) dari luar organisasi untuk memverifikasi keakuratan catatan akuntansi. Perusahaan-perusahaan yang lebih besar memiliki staf tersendiri yang berfungsi sebagai auditor internal (internal auditor), yang melaksanakan analisis yang sama seperti auditor eksternal namun memiliki tanggung jawab yang lebih luas. Beberapa auditor eksternal juga melaksanakan beberapa jenis audit internal dan mengawasi pekerjaan para auditor internal, namun setelah peristiwa Enron praktik ini tidak berlanjut. Praktik ini merupakan salah satu kegagalan Arthur Andersen dengan Enron. Badan Pengawas Pasar Modal (Securities and Echange Comission) telah menerapkan pembatasan-pembatasan pada jumlah audit internal yang dapat dilakukan oleh auditor eksternal. Hal ini juga merupakan salah satu kegagalan Arthur Andersen dengan Emerson.
Gambar dibawah menunjukkan salah satu cara popular yang menempatkan audit internal di dalam organisasi. Dewan direktur mencakup komite audit (audit committee), yang mendefinisikan tanggung jawab dari departemen audit internal dan menerima sebagian besar laporan audit. Direktur audit internal (director of internal audit) mengelola departemen audit internal dan biasanya melapor ke CEO atau direktur keuangan (chief financial officer-CFO).
Posisi tingkat tinggi audit internal di dalam organisasi menjaga agar posisi ini dihormati sebagai aktivitas yang penting dan mendapatkan kerja sama dari para manajer di semua tingkat.
Pentingnya Objektivitas
Hal unik yang ditawarkan oleh auditor internal adalah objektivitas. Mereka beroperasi secara independen terhadap unit-unit bisnis perusahaan dan tidak memiliki hubungan dengan individu atau kelompok lain di dalam perusahaan. Keterlibatan mereka satu-satunya adalah dengan dewan komisaris, CEO, dan CFO.
Agar para Auditor dapat menjaga objektivitas, mereka harus menyatakan bahwa mereka tidak menginginkan tanggung jawab operasional system yang mereka bantukembangkan. Mereka hanya bekerja dengan kapasitas sebagai penasihat. Mereka membuat rekomendasi untuk manajemen, dan manajemen memutuskan apakah mereka akan menerapkan rekomendasi-rekomendasi tersebut.
Jenis Aktivitas Audit
Terdapat empat jenis dasar aktivitas audit internal: financial, operasional, beriringan, dan desain system pengendalian internal.
  •   Audit Financial (financial audit) memverifikasi catatan-catatan perusahaan dan merupakan jenis aktivitas yang dilaksanakan auditor eksternal. Pada beberapa tugas, auditor internal bekerja sama dengan auditor eksternal. Pada tugas lain, auditor internal merupakan seluruh pekerjaan audit sendiri.
  •   Audit operasional (operational audit) tidak dilaksanakan untuk memverifikasi keakuratan catatan, melainkan untuk memvalidasi efektivitas prosedur. Audit jenis ini merupakan jenis pekerjaan yang dilakukan oleh analisis system pada tahap analisis dari masa siklus perancangan system. Sistem yang dipelajari hampir selalu berbentuk virtual dan bukan fisik, namun tidak selalu melibatkan computer.
Ketika para auditor internal melaksanakan audit opersional, mereka mencari tiga fitur system dasar:
  •          Kecukupan pengendalian.
  •          Efisiensi.
  •          Kepatuhan dengan kebijakan perusahaan.
  •     Ketika para spesialis informasi merancang system, mereka mencari fitur-fitur yang sama ini.
  •          Audit berkelanjutan
  •         Desain system pengendalian internal.
Subsistem Audit Internal
Dalam system informasi financial, subsistem audit internal merupakan salah satu subsistem input. Melibatkan auditor internal dalam tim perancangan system merupakan suatu langkah yang baik untuk mendapatkan system informasi yang terkendali dengan baik, dan system tersebut merupakan langkah yang baik untuk memberikan yang mereka perlukan kepada manajemen informasi guna mencapai dan mengelola operasional bisnis yang beretika.
G.      MENERAPKAN ETIKA DALAM TEKNOLOGI INFORMASI
Bantuan dalam bentuk kode etik dan program edukasi etika yang dapat memberikan fondasi untuk budaya tersebut. Program edukasi dapat membantu menyusun kredo perusahaan dan meletakkan program etika pada tempatnya. Kode etik dapat digunakan seperti apa adanya atau disesuaikan dengan perusahaan tersebut.
Kode Etik
Association for Computing Machinery (ACM) yang didirikan pada tahun 1947, adalah sebuah organisasi komputer professional tertua di dunia. ACM telah menyusun kode etik dan perilaku professional (Code of Ethics and Professional Practice) yang diharapkan diikuti oleh 80.000 anggotanya. Selain itu, Kode Etik dan Praktik Profesional Rekayasa Peranti Lunak (Software Engineering Code of Ethics and Professional Parctice) dinuat dengan tujuan agar bertindak sebagai panduan untuk mengajarkan dan mempraktikkan rekayasa peranti lunak, yaitu penggunaan prinsip-prinsip perancangan dalam pengembangan peranti lunak.
Kode Etik dan Perilaku Profesional ACM. Bentuk kode etik ACM yang ada saat ini diadopsi pada tahun 1992 dan berisikan “keharusan”, yang merupakan pernyataan tanggung jawab pribadi. Kode ini dibagi lagi menjadi empat bagian. Masing-masing keharusan ditulis dengan sebuah narasi singkat.
1. Keharusan Moral Umum. Keharusan ini berkenaan dengan perilaku moral (member kontribusi kepada masyarakat; menghindari bahaya; berlaku jujur, dapat dipercaya, dan adil) dan isu-isu yang pada saat ini mendapatkan perhatian hokum (hak milik, hak cipta, privasi, dan kerahasiaan).
2. Tanggung Jawab Profesional yang Lebih Spesifik. Hal ini berkenaan dengan dimensi-dimensi kinerja professional. Isu moral seperti berlaku jujur dalam melakukan evaluasi dan menghargai komitmen dibahas disini. Isu hokum dan tanggung jawab sosial untuk berkontribusi terhadap pemahaman umum mengenai computer juga dibahas.
3. Keharusan Kepemimpinan Organisasi. Sebagai pemimpin, anggota ACM memiliki tanggung jawab untuk mendukung penggunaan sah sumber daya computer, menstimulasi orang lain di organisasi untuk memenuhi tanggung jawab sosial, memungkinkan pihak lain di dalam organisasi mendapatkan manfaat dari computer, serta melindungi kepentingan para pengguna.
4. Kepatuhan terhadap Kode Etik. Di sini, anggota ACM harus mengindikasi dukungan untuk kode etik.
Kode ACM membahas lima dimensi utama pekerjaan yang berkaitan dengan computer - moral, hukum, kinerja professional, tanggung jawab sosial, dan dukungan internal. Tabel 10.1 mengilustrasikan bagaimana lima wilayah ini dibahas oleh tiga bagian utama. Meskipun kode ACM ditujukan untuk pengarahan para anggota ACM, kode ini memberikan panduan yang baik untuk semua professional computer.

Kode Etik dan Praktik Profesional Rekayasa Peranti Lunak
Kode etik ini mencatat pengaruh penting yang dapat diterapkan para ahli peranti lunak pada system informasi dan terdiri atas ekspektasi di delapan hal penting:
1. Masyarakat
2. Kien dan atasan
3. Produk
4. Penilaian
5. Manajemen
6. Profesi
7. Kolega
8. Diri Sendiri
Lima dari hal diatas berkaitan dengan tanggung jawab dimana ahli tersebut menjadi bagian (Masyarakat, Klien dan Atasan, Manajemen, Profesi dan Kolega). Dua hal (Produk dan Penilaian) berkaitan dengan kinerja professional, dan satu hal (Diri sendiri) mengacu pada peningkatan diri sendiri.
Pendidikan Etika Komputer
Program edukasi formal dalam etika computer tersedia dari beragam sumber – mata kuliah di perguruan tinggi, program professional, dan program edukasi swasta.
  •   Mata Kuliah di Perguruan Tinggi. Di awal pendiriannya, ACM merancang suatu model kurikulum computer yang menentukan berbagai mata kuliah computer yang harus ditawarkan institusi pendidikan.
  •   Program Profesional. Asosiasi Manajemen Amerika (American Management Association) menawarkan program khusus yang membahas masalah-masalah penting saat ini, seperti etika.
  •   Program Edukasi Swasta. LRN*, Leagal Knowledge Company, menawarkan modul mata kuliah berbasis Web yang membahas berbagai permasalahan hukum dan etika.
Mata kuliah perguruan tinggi memungkinkan para mahasiswa untuk bersiap-siap mengatasi permasalahan etika ketika mereka memasuki industry, dan program professional dan swasta memungkinkan manajer dan karyawan di setiap tingkatan untuk menjaga kesadaran beretika serta komitmen mereka seiring dengan perubahan tuntutan sosial.
H.      ETIKA DAN CIO
Kebutuhan untuk mengembalikan integritas ke dalam dunia bisnis Amerika tidak pernah menjadi lebih besar. Sejak tahun 2002, para CEO dan CFO diharuskan oleh hukum untuk mendatangani keakuratan laporan keuangan mereka. Persyaratan ini meletakkan tanggung jawab di bahu para eksekutih serta unit pelayanan informasi yang berkenaan dengan bisnis untuk memberikan informasi financial yang dibutuhkan kepada para eksekutif.
Pelayanan informasi hanyalah merupakan satu unit di dalam struktur organisasi, namu berada pada posisi kunci yang memiliki pengaruh terbesar dalam memenuhi tuntutan pemerintah maupun masyarakat akan pelaporan keuangan yang akurat. Terlebih lagi, sebagai seorang esekutif yang memiliki tanggung jawab terhadap informasi penuh waktu, CIO merupakan orang yang tepat untuk memimpin upaya-upaya untuk memenuhi tujuan pelaporan ini. CIO dapat memenuhi ekspektasi pelaporan keuangan dengan cara mengikuti program yang mencakup hal-hal berikut:
·         Mencapai tingkat pemahaman yang lebih baik akan pemahaman prinsip-prinsip akuntansi.
·         Mempelajari system informasi yang menyelesaikan laporan keuangan dan mengambil tindakan perbaikan.
·         Mendidik eksekutif perusahaan mengenai system-sistem keuangan.
·         Mengintegrasikan ke dalam system informasi alarm yang memperingatkan eksekutif terhadap aktivitas yang membutuhkan perhatian.
·         Secara aktif berpartisipasi di dalam memberikan informasi keuangan kepada elemen lingkungan.
·         Mengendalikan dengan ketat keuangan yang dihabiskan untuk sumber daya informasi.
I.         PENGARUH SARBANES-OXLEY
SOX terdiri dari 10 pasal utama, 2 diantaranya secara langsung mempengaruhi unit pelayanan informasi perusahaan:
ü  CEO dan CFO harus menandatangani laporan keuangan.
ü  Perusahaan-perusahaan Amerika Serikat disyaratkan untuk memiliki unit audit internal.
SOX 404
Ketetapan SOX yang memberikan dampak terbesar pada TI adalah bagian 404, yang membahas tentang penilaian manajemen mengenai pengendalian keuangan. Bagian ini mensyaratkan bahwa harus terdapat suatu bentuk pengendalian internal terhadap pelaporan keuangan.
Agar memenuhi persyaratan pengendalian yang diwajibkan oleh SOX, seorang CIO harus menjaga agar pengendalian seperti ini berbeda di dalam sistem selama proses perencanaan sistem. Aktivitas perencanaan harus mencakup:
  •   Identifikasi sistem yang memainkan peranan dalam pelaporan keuangan
  •   Identifikasi resiko yang dihadapi sistem ini
  •   Mendesain pengendalian yang mengatasi resiko ini
  •   Mendokumentasikan dan menguji pengendalian tersebut
  •   Memonitor efektifitas pengendalian seiring waktu
  •   Memperbaharui pengendalian sebagaimana Dibutuhkan
CIO harus memastikan agar CEO, CFO, dan para eksekutif lain memahami pengendalian tersebut dan memberitahu mereka mengenai perkembangan pengendalian melalui penggunaan mekanisme pelaporan komite pengawas MIS.
SOX 409
Ketetapan SOX lain yang mempengaruhi pelayanan informasi adalah 409, yang membahas mengenai pengungkapan secara real time. Ini berarti bahwa perusahaan tersebut harus mampu melaporkan perubahan mengenai kondisi keuangannya secara real time – atau pada saat perubahan berlangsung.
SOX dan COBIT
CUBIT disebut sebagai organisasi industri yang dapat memberikan standar keamana untuk sumber daya informasi perusahaan. Organisasi yang sama dapat memberikan bantuan kepada perusahaan untuk menangani tanggung jawab SOX. Standar COBIT amat selaras dengan ekspetasi SOX. Karena COBIT memiliki lebih dari 47.000 anggota diseluruh dunia, standar pelaporan keuangan dapat memberikan dampak global.
Meletakan Serbanas-Oxyley pada Tempatnya
Di awal bab ini, telah dikatakan bahwa pendekatan preskriptif diambil untuk menggambarkan SIM-hal ini digambarkan sebagaimana seharusnya SIM harus dipraktikan. Serbanas-Oxley merupakan salah satu argumen yang baik untuk pendekatan seperti ini. Perusahaan dan CIO yang menerapkan MIS sebagaimana yang digambarkan seharusnya tidak menghadapi kesulitan untuk memenuhi persyaratan SOX. Dengan kata lain, SOX mengharapkan eksekutif, sistem keuangan, dan Ti untuk bekerja sebagaimana  mereka seharusnya bekerja-yaitu secara etis.

KEAMANAN INFORMASI PADA SISTEM INFORMASI MANAJEMEN



  1. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
            Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan industri untuk meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
            Pendekatan-pendekatan yang dimulai di kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana versus hak-hak individu dan keamaan versus ketersediaan.
  1. KEAMANAN INFORMASI
            Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindunga peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan Keamanan Informasi
            Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
  1. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
  2. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
  3. Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan informasi
            Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM).
            Jabatan direktur keamanan sistem informasi perusahaan (coorporate information system security officer – CISSO) digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.
  1. MANAJEMEN KEAMANAN INFORMASI
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap yakni:
a.       Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
b.      Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c.       Menentukan kebijakan keamanan informasi
d.      Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
            Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
            Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan informasi (information security benchmark) adalah tingkat kemanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informais yang baik menurut otoritas tersebut.
            Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
  1. ANCAMAN
            Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan Eksternal
            Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan. sama halnya 
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
a.       Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
b.      Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
c.       Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
d.      Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e.       Spyware. Program yang mengumpulkan data dari mesin pengguna
  1. RISIKO
            Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
  1. Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
  2. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
  3. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
  4. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.
  1. PERSOALAN E-COMMERCE
            E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit.
Kartu Kredit “Sekali pakai”
            Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik keamanan yang diwajibkan oleh Visa
            Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan  visa. Peritel harus :
1.      Memasang dan memelihara firewall
2.      Memperbaharui keamanan
3.      Melakukan enkripsi data yang disimpan
4.      Melakukan enkripsi pada data ynag dikirm
5.      Menggunakan dan memperbaharui peranti  lunak anti virus
6.      Membatasi akses data kepada orang-orang yang ingin tahu
7.      Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8.      Memantau akses data dengan id unik
9.      Tidak menggunakan kata sandi default yang disediakan oleh vendor
10.  Secara teratur menguji sistem keamanan
            Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce:
1.      Menyaring karyawan yang memiliki akses terhadap data
2.      Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3.      Menghancurkan data jika tidak dibutuhkan lagi
  1. MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1.      Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2.      Menyadari risikonya
3.      Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4.      Menganalisis kelemahan perusahaan tersebut
Tabel Tingkat Dampak dan Kelemahan
Dampak Parah
Dampak Signifikan
Dampak Minor
Kelemahan Tingkat Tinggi
Melaksanakan analisis kelemahan. Harus meningkatkan pengendalian
Melaksanakan analisis kelemahan. Harus meningkatkan pengendalian
Analisis kelemahan tidak dibutuhkan
Kelemahan Tingkat Menengah
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian.
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian.
Analisis kelemahan tidak dibutuhkan
Kelemahan Tingkat Rendah
Melaksanakan analisis kelemahan.  Menjaga Pengendalian tetap ketat.
Melaksanakan analisis kelemahan.  Menjaga Pengendalian tetap ketat.
Analisis kelemahan tidak dibutuhkan
            Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1.      dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
2.      dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
3.      dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari.
            Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap risiko:
  1. diskripsi risiko
  2. sumber risiko
  3. tingginya tingkat risiko
  4. pengendalian yang diterapkan pada risiko tersebut
  5. para pemilik risiko tersebut
  6. tindakan yang direkomendasikan untuk mengatasi risiko
  7. jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir :
  1. apa yang telah dilaksanakan untuk mengatasi risiko tersebut
KEBIJAKAN KEAMANAN INFORMASI
            Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap, diantaranya:
  1. Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
  2. Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.
  3. Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
  4. Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
  5. Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.
Kebijakan Keamanan yang Terpisah dikembangkan untuk
a.       Keamanan Sistem Informasi
b.      Pengendalian Akses Sistem
c.       Keamanan Personel
d.      Keamanan Lingkungan Fisik
e.       Keamanan Komunikasi data
f.       Klasifikasi Informasi
g.      Perencanaan Kelangsungan Usaha
h.      Akuntabilitas Manajemen
            Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.
  1. PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu : 
1.      PENGENDALIAN TEKNIS
Pengendalian teknis (technical control)  adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak. 
1.      Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
1.      Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
2.      Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
3.      Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (acess control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para  pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.
2.      System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
3.      Firewall 
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis firewall, yaitu:
1.      Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang digunakan untuk pembajak untuk menipu router.
2.      Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.
3.      Firewall Tingkat Aplikasi. Firewall  ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa  apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.
4.      Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
5.      Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
6.      Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis.
2.      PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3.      PENGENDALIAN INFORMAL
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGAKAT PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan-pertimbangan lain. 
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya :
·         BS7799 Milik Inggris
·         BSI IT Baseline Protection Manual
·         COBIT
·         GASSP (Generally Accepted System Security Principles)
·         ISF Standard of Good Practice
Tidak ada satupun dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah ini. Namun, jika disatukan, standar-standar tersebut menjadi dasar yang baik untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya sendiri yang mendukung budaya organisasi tersebut.
PERATURAN PEMERINTAH
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standard an menetapkan standardan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan computer. Beberapa dioantaranya adalah :
  • Standar Keamanan Komputer Pemerintah Amerika Serikat
  • Undang-undang Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001
  • STANDAR INDUSTRI
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para mengguna computer guna membuat system mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS Scoring Tools. 
SERTIFIKASI PROFESIONAL
Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
·         Asosiasi Audit Sistem dan Pengendalian
·         Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
·         Institute SANS
MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
            Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian yang didasarkan atas identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan dan sistemnya mamapu berfungsi secara efektif.
MANAJEMEN KEBERLANGSUNGAN BISNIS
            Manajemen keberlangsungan bisnis (bussines continuity management – BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguang sistem informasi. Pada tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana (disaster planing), namun istilah yang lebih positif perencanaan kontijensi (contigency plan), menjadi populer. Elemen penting dalam perenccanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen tertulis, formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.
            Banyak perusahaan telah menemukan bahwa, dibanding sekedar mengandalkan, satu rencana kontijensi besar, pendekatan yang terbaik adalah merancang beberapa sub rencana yang menjawab beberapa kontijensi yang spesifik. Sub rencana yang umum mencakup :
Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi dan sistem pemadaman api.
Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak digunakan. Cadangan ini dapat diperoleh melalui kombinasi dari :
  1. Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
  2. Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama, komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
  3. Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan namun tidak mencakup fasilitas komputer.
Rencana catatan penting. Catatan penting (vital records) perusahaan adalah dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimna catatan penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs komputer, cadanan harus disimpan dilokasi. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik.
MELETAKKAN MANAJEMEN KEBERLANGSUNGAN BISNIS PADA TEMPATNYA
            Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarakan sistem pemulihan bencana (disaster recovery system – DRS) yang mencakup sistem manajemen basis dasa, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolak ukur.

Popular Posts

Diberdayakan oleh Blogger.