Semakin
pesatnya kemajuan teknologi informasi.kita harus mempunyai sebuah rencana
keamanan, harus dapat mengkombinasikan peran dari kebijakan, teknologi dan
orang. Dimana manusia (people), yang menjalankan proses membutuhkan dukungan
kebijakan (policy), sebagai petunjuk untuk melakukannya, dan membutuhkan
teknologi (technology), merupakan alat (tools), mekanisme atau fasilitas untuk
melakukan.Terdapat prinsip-prinsip penting
dari sebuah rencana
keamanan informasi (information
security), yaitu: kerahasian (Confidentiality), keutuhan data
(Integrity), dan ketersediaan
(Availability). Biasanya ketiga aspek ini sering disingkat menjadi CIA.
CIA adalah standar
yang digunakan banyak pihak
untuk mengukur keamanan
sebuah sistem. Prinsip-prinsip
keamanan informasi ialah sebagai berikut:
-
Integrity
Integrity yaitu
taraf kepercayaan terhadap sebuah
informasi. Dalam konsep ini tercakup
data integrity dan source integrity, merupakan aspek yang
menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang
(authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat penting.
Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang.
Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem
e-procurement. Secara teknis ada banyak cara untuk menjamin aspek integrity
ini, seperi misalnya dengan menggunakan messange authentication code, hash
function, digital signature.
-
Confidentiality
Confidentiality yaitu membatasi akses informasi hanya bagi pengguna
tertentu, merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem
yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin
kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat
berakibat batalnya proses pengadaan.
Kerahasiaan
ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan
teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean)
pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan
data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut
bagi pihak yang tidak berhak.
Seringkali
perancang dan implementor dari sistem informasi atau sistem transaksi
elektronik lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru
diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit
diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini
menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya
biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan
diimplementasikan sejak awal. Akses terhadap informasi juga harus dilakukan
dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan
dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang
diinginkan.
-
Availability
Availability
aitu ketersediaan, Availability
yang dimaksud adalah ketersediaan sumber informasi, merupakan aspek yang
menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang
terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak
dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan
pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya: Hilangnya
layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran,
banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan
putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack).
Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem
backup dan menyediakan disaster recovery center (DRC) yang dilengkapi dengan
panduan untuk melakukan pemulihan (disaster recovery plan). Sebuah rencana
keamanan informasi, harus mampu
menggambarkan langkah yang sistematis untuk menurunkan risiko,
dengan cara mengimplementasikan kontrol keamanan berdasarkan sasarannya. Jenis kontrol berdasarkan sasarannya, sebagai
berikut:
1. Kontrol administrasi (administrative
security)
2. Kontrol logik (logical control), intrusion
detection, dan anti-virus
3. Kontrol fisik (physical control)
Kontrol
keamanan tidak terlepas dari perlindungan terhadap aset informasi yang
sensitif. Enterprise Information Technology
Services (2001), dalam artikelnya
yang berjudul “Information Classification Standard”, menjelaskan bahwa
informasi diklasifikasikan menjadi informasi sensitif dan kritikal. Informasi
sensitif terkait dengan
kerahasiaan (confidentiality) dan integritas data (integrity), sedangkan informasi kritikal
terkait dengan ketersediaan data (availability). Berdasarkan uraian di atas,
maka rencana keamanan akan berisi
tentang penentuan kombinasi kontrol keamanan informasi yang
digunakan, serta prioritas dalam melakukan
implementasinya. Isi konten dasar
pada dokumen rencana
keamanan informasi (information security plan), antara lain:
1. Ancaman dan
kelemahan, merupakan proses untuk mereview hasil tahapan penilaian
risiko, dengan mengambil informasi
mengenai sesuatu yang dapat menganggu kegiatan organisasi.
2. Tujuan
dan sasaran, merupakan proses menentukan target dan lingkup keamanan informasi
yang ingin dicapai, sehingga dapat fokus pada aspek keamanan yang
akan diselesaikan. Sasaran keamanan informasi
menggambarkan spesifik hasil,
kejadian atau manfaat yang ingin di capai sesuai dengan tujuan keamanan yang
ditetapkan.
3. Aturan dan tanggungjawab, merupakan proses
menyusun aturan dan penanggungjawab, yang mengatur kegiatan
sebagai upaya untuk menurunkan risiko
keamanan informasi yang bersumber dari ancaman dan kelemahan
4. Strategi dan
kontrol keamanan, merupakan proses untuk memberikan prioritas
aksi yang akan dilakukan untuk
mencapai tujuan dan sasaran keamanan informasi yang telah
ditetapkan. Prioritas aksi tersebut sebagai pengaman untuk menjaga
kerahasiaan, keutuhan dan ketersediaan informasi, dengan penentuan
control keamanan yang sesuai
dengan tujuan dan sasaran yang diinginkan.
Salah
satu kunci keberhasilan pengaman sistem informasi adalah adanya visi dan
komitmen dari pimpinan puncak. Upaya atau inisiatif pengamanan akan percuma
tanpa hal ini. Ketidakadaan komitmen dari puncak pimpinan berdampak kepada
investasi pengamanan data. Pengamanan data tidak dapat tumbuh demikian saja
tanpa adanya usaha dan biaya. Sebagai contoh, untuk mengamankan hotel, setiap
pintu kamar perlu dilengkapi dengan kunci. Adalah tidak mungkin menganggap
bahwa setiap tamu taat kepada aturan bahwa mereka hanya boleh mengakses kamar
mereka sendiri. Pemasangan kunci pintu membutuhkan biaya yang tidak sedikit,
terlebih lagi jika menggunakan kunci yang canggih. Pengamanan data elektronik
juga membutuhkan investmen. Dia tidak dapat timbul demikian saja. Tanpa investasi
akan sia-sia upaya pengamanan data. Sayangnya hal ini sering diabaikan karena
tidak adanya komitmen dari pimpinan puncak. Jika komitmen dari pucuk pimpinan
sudah ada, masih ada banyak lagi masalah pengamanan sistem informasi. Masalah
tersebut adalah (1) kesalahan desain, (2) kesalahan implementasi, (3) kesalahan
konfigurasi, dan (4) kesalahan operasional.
Kode
etik penggunaan fasilitas internet di kantor hampir sama dengan kode etik
pengguna internet pada umumnya, hanya saja lebih dititik beratkan pada hal-hal
atauaktivitas yang berkaitan dengan masalah perkantoran di suatu organisasi
atau instansi. Berikut contohnya :
·
Menghindari penggunaaan fasilitas
internet diluar keperluan kantor atau untuk kepentingan sendiri.
·
Tidak menggunakan internet untuk
mempublikasi atau bertukar informasi internalkantor kepada pihak luar secara
ilegal.
·
Tidak melakukan kegiatan pirating,
hacking atau cracking
·
terhadap fasilitas internet kantor.
·
Mematuhi peraturan yang ditetapkan oleh
kantor dalam penggunaan fasilitas internet
Dalam
lingkup TI, kode etik profesinya memuat kajian ilmiah mengenai prinsip atau
norma-norma dalam kaitan dengan hubungan antara professional atau developer TI
dengan klien, antara para professional sendiri, antara organisasi profesi serta
organisasi profesi dengan pemerintah. Salah satu bentuk hubungan seorang
profesional dengan klien (pengguna jasa) misalnya pembuatan sebuah program
aplikasi. Seorang profesional tidak dapat membuat program semaunya, ada
beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut
nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan (security)
sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan
sistem kerjanya(misalnya: hacker, cracker, dll).
Ada
3 hal pokok yang merupakan fungsi dari kode etik profesi:
1. Kode
etik profesi memberikan pedoman bagi setiap anggota profesi tentang prinsip
profesionalitas yang digariskan.
2. Kode
etik profesi merupakan sarana kontrol sosial bagi masyarakat atas profesi yang
bersangkutan(kalanggansocial).
3. Kode
etik profesi mencegah campur tangan pihak diluarorganisasi profesi tentang
hubungan etika dalam keanggotaan profesi.
Ada
8 hal pokok yang merupakan prinsip dasar dari kode etik profesi:
1.
Prinsip Standar Teknis
Setiap
anggota profesi harus melaksanakan jasa profesional yang relevan dengan bidang
profesinya.
2.
Prinsip Kompetensi
Setiap
anggota profesi harus melaksanakan pekerjaan sesuai jasa profesionalnya dengan
kehati-hatian, kompetensi dan ketekunan
3.
Prinsip Tanggung Jawab Profesi
Setiap
anggota harus senantiasa menggunakan pertimbangan moral dan profesional dalam
semua kegiatan yang dilakukan
4.
Prinsip Kepentingan Publik
Setiap
anggota berkewajiban untuk senantiasa bertindak memberikan jasa profesionalnya
dalam kerangka pelayanan kepada publik, menghormati kepercayaan publik, dan
menunjukkan komitmen atas profesionalisme.
5.
Prinsip Integritas
Pelaku
profesi harus menjunjung nilai tanggung jawab profesional dengan integritas
setinggi mungkin untuk memelihara dan meningkatkan kepercayaan publik yang
menggunakan jasa profesionalnya
6.
Prinsip Obyektivitas
Setiap
anggota harus menjaga obyektivitas dan bebas dari benturan kepentingan dalam
pemenuhan kewajiban profesionalnya
7.
Prinsip Kerahasiaan
Setiap
anggota harus menghormati kerahasiaan informasi yang diperoleh selama melakukan
jasa profesional dan tidak boleh memakai atau mengungkapkan informasi tersebut
tanpa persetujuan, kecuali bila ada hak atau kewajiban profesional atau hukum
untuk mengungkapkannya
8.
Prinsip Perilaku Profesional
Setiap
anggita harus berperilaku konsisten dengan reputasi profesi yang baik dan
menjauhi tindakan yang dapat mendiskreditkan profesi yang diembannya
Prinsip-prinsip
umum yang dirumuskan dalam suatu profesi akan berbeda satu dengan yang lainnya.
Hal ini disebabkan perbedaan adat, kebiasaan, kebudayaan, dan peranan tenaga
ahli profesi yang didefinisikan dalam suatu negara tidak sama.
-
Pendapat mengenai Kode Etik dalam
Penggunaan TI
Kode
etik diperlukan untuk mengatur penggunaan fasilitas teknologi informasi. Jika
tidak ada kode etik tersebut, maka akan banyak pelanggaran-pelanggaran yang
dilakukan oleh pihak-pihak yang tidak bertanggung jawab.
-
Saran mengenai Kode Etik dalam
Penggunaan TI
Saran
yang diperlukan mengenai kode etik adalah agar disetiap kantor-kantor untuk
memberikan pengertian kepada karyawan-karyawan agar mematuhi kode etik dalam penggunaan
fasilitas kantor yang berhubungan dengan TI.
Sumber:
http://juliocaesarz.blogspot.com/2011/05/prinsip-integrity-confidentiality.html
http://budi.paume.itb.ac.id/articles/e-procurement-security.doc
Tidak ada komentar:
Posting Komentar