Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Evaluasi Infrastruktur TI 1950-2012 1930-1950 : Era mesin Akuntansi Elektronik. 1959-kini : Era mainframe umum dan mini computer. 1981-kini : Era personal.

Presentasi serupa


Presentasi berjudul: "Evaluasi Infrastruktur TI 1950-2012 1930-1950 : Era mesin Akuntansi Elektronik. 1959-kini : Era mainframe umum dan mini computer. 1981-kini : Era personal."— Transcript presentasi:

1 Evaluasi Infrastruktur TI : Era mesin Akuntansi Elektronik kini : Era mainframe umum dan mini computer kini : Era personal computer (PC) kini: Era klien / server 1994-kini: Era komputasi internet perusahaan. Ir. H. Sumijan, M.Sc, OCP, OCM, OCA, MCP

2 Tren teknologi yg memunculkan isu etika T R E N **Kecpt komputasi berlipat 2xper 18 bl **Biaya simpan data menurun cepat **Kemajuan analisis data **Kemajuan jaringan dan internet P E N G A R U H **Orgns bergntg pd CBIS u/ ops pntg **Persh lbh mdh memelhr terprinci basis data **Persh mdh menganals data besar dg rinci **Menyalin data pribd/o.lain/dll dari jauh menjadi sangat mudah

3 Hubungan antara isu etika, sosial, dan politik dalam masyarakat informasi (Dimensi Moral) Sistem Informasi & Teknologi Informasi Isu politik SI dan TI *Hak & Kewajiban Kepemilikan *Tanggung jawab dan Isu Politik pengendalian Isu Sosial *Hak & Kewajiban Memperoleh Informasi yang berkualitas * Kualitas Sistem * Kualitas Hidup Isu Etika Individu Masyarakat Negara Dan privasi

4 Hak Atas Kekayaan Intelektual (HAKI) Kekayaan Intelektual : kekayaan tidak tampak yg diciptakan oleh seseorang atau kelompok atau perusahaan. Pengertian HAKI hak yang lahir dari kemampuan intelektual atau daya kreasi pikiran manusia dan dapat berupa ciptaan atau temuan maupun penyempurnaan atau perbaikan terhadap permasalahan di berbagai bidang. Kekayaan Intelektual dilindungi oleh tiga tradisi sah: Rahasia Dagang, Hak Cipta, dan Hak Paten.

5 Rahasia Dagang, Hak Cipta, Hak Paten Rahasia Dagang (Trade Secret): Produk rumus, perangkat, pola, kompilasi data, dan karya lainnya yang baru atau unik yang merupakan rahasia bagi penciptanya dan yang digunakan untuk tujuan bisnis. Hak Cipta (Copyright): Pengakuan oleh undang-undang yang melindungi pencipta kekayaan intelektual dari penggandaan (Copy) oleh pihak lain untuk tujuan apapun s/d 70 thn setelah pencipta individu meninggal dunia dan selama 95 thn setelah peluncuran pertama karya cipta oleh perusahaan. Hak Paten (Patent): Hak monopoli eksklusif selama 20 tahun yg diberikan kepada pencipta thd suatu penemuan.

6 MORAL, ETIKA, HUKUM Moral adalah tradisi atau keyakinan mengenai perilaku benar dan salah yang menjadi landasan perilaku sosial suatu kelompok masyarakat. (tidak tertulis) Etika adalah suatu standar perangkat arahan-arahan atau prinsip-prinsip moral yang mempengaruhi dan diyakini seseorang atau suatu kelompok masyarakat.(tidak tertulis) Hukum adalah peraturan-peraturan formal mengenai perilaku yang benar dan salah yang ditetapkan oleh lembaga resmi pemerintahan yang berwenang. (tertulis).

7

8 3 Alasan diperlukannya etika komputer James Moor dalam teorinya menyatakan: – Logical Malleability/Kemampuan mempengaruhi logika: komputer beroperasi sesuai instruksi, maka bila digunakan untuk aktifitas yang tidak etis, komputer bukanlah sumber kesalahannya tetapi pelaku yang membuat instruksi. – The Transformation Factor/faktor transformasi: komputer memiliki kemampuan mengubah secara drastis cara-cara melakukan sejumlah besar aktivitas. – The Invisibility Factor/faktor laten (ketidaktampakan): operasi internal komputer membuka banyak peluang bagi pelaku untuk melanggar etika melalui pemrograman, penghitungan, dan analisis yang tak terlihat secara kasat mata.

9 INFORMATION SECURITY Information security/Pengamanan informasi adalah segala usaha untuk melindungi perangkat komputer maupun non komputer beserta fasilitas, data, dan informasi dari penyalahgunaan oleh pihak-pihak yang tidak berhak. Definisi tersebut melingkupi perangkat teknologi informasi, mesin copy, fax, multimedia, termasuk dokumen kertas.

10 3 Tujuan Pengamanan Informasi – Confidentiality/menjaga kerahasiaan : melindungi data dan informasi dari keterkuakan oleh pihak-pihak yang tidak berhak. – Availability/menjaga ketersediaan: menjaga ketersediaan data dan informasi hanya untuk yang berhak menggunakannya. – Integrity/menjaga keakuratan: sistem informasi menjaga penyediaan informasi yang akurat sesuai dengan instruksi dan sistem fisik yang melakukan pengolahan.

11 INFORMATION SECURITY MANAGEMENT (ISM) 4 langkah manajemen pengamanan informasi: 1.Mengidentifikasi ancaman-ancaman yang menyerang sumber-sumber informasi perusahaan. 2.Mengantisipasi segala resiko yang akan diakibatkan oleh serangan-serangan yang mengancam. 3.Menetapkan kebijakan pengamanan informasi. 4.Melaksanakan pengendalian-pengendalian untuk mengatasi resiko-resiko.

12 THREATS/ANCAMAN Ancaman sistem informasi adalah orang, organisasi, mekanisme, atau kejadian yang menimbulkan bahaya bagi sumber-sumber informasi. Kategori ancaman: ( Whitman and Mattord, 2003) 1.Internal 2.Eksternal 3. Tidak disengaja (ketidak sengajaan manusia; bencana; ganguan debu, suhu, dsb; kegagalan teknis; kegagalan manajemen) 4. Disengaja.

13

14 Perlindungan terhadap S I NI. Mengapa SI menjadi rentan ? Jaringan komunikasi elektronik dapat kapan saja menimbulkan peluang akses ilegal, penyalahgunaan, dan penipuan dari dan ke titik akses manapun. NII. Software berbahaya: Virus, Worm, Trojan Horse, dan Spyware.

15 15 Pengertian jenis software berbahaya Computer Virus Software berbahaya yg menempelkan diri ke program lain atau file data untuk dieksekusi. *Bahaya: -menghancurkan program/data -memakan memori komputer -memformat ulang hard drive - program berjalan tidak normal *Menyebar di internet dan dari komputer ke komputer lain melalui pengiriman lampiran atau penyalinan file yang terinfeksi. *Contoh: ILoveYou, Mellisa, CIH, dll

16 16 WORM software independen yang menyalin diri sendiri dari komputer ke komputer lain dlm jaringan tanpa mengikat diri pada suatu file. *Bahaya: -menghancurkan data/program, -menghentikan kerja jaringan komputer *Menyebar jauh lebih cepat dari virus dengan cara yang sama dengan virus. *Contoh: Sasser.ftp, MyDoom.A,Bagle,dll

17 17 Trojan Horse Software yang tidak mereplikasi tetapi yang membuka jalan bagi virus dan lainnya untuk masuk dan merusak sistem komputer. *Masuk melalui pesan palsu yang mengarahkan penerima ke suatu situs palsu yg memudahkan Hacker mengaccess data rahasia dari jarak jauh tanpa terdeteksi. *Contoh: DSNX-05

18 18 Spyware Software yang memasang diri tersembunyi di komputer untuk memantau penelusuran web oleh pengguna lalu membentuk key logger yang langsung mencatat setiap nomor rahasia pribadi/kata sandi yang diketik.

19 Human Errors/Yang tidak disengaja Tailgating (pintu yang lupa terkunci dengan aman) Shoulder surfing (terlihat oleh orang lain di belakang atau di sampingnya) Carelessness with laptops and portable computing devices (menaruh laptop atau alat sejenis secara sembarangan) Opening questionable s (ketidaktahuan membuka yang tak biasa) Careless Internet surfing (penggunaan internet yang kurang hati- hati/lupa sign-out, dll) Poor password selection and use (memiliki password yang mudah diterka orang lain) And more (dsb)

20 Anti-Tailgating Door

21 Shoulder Surfing

22 Natural Disasters/Bencana alam (tak disengaja)

23 Deliberate Acts/Tindakan disengaja Espionage or trespass / mata-mata Information extortion/merekayasa informasi dari aslinya Sabotage or vandalism / pengrusakan Sabotage or vandalism Theft of equipment or informationequipment (pencurian instrumen atau informasi)

24 Deliberate Acts (disengaja) Serangan software perusak – Virus – Worm 1988: first widespread worm, created by (yang pertama kali menciptakan worm dan disebarkan):Robert T. Morris, Jr.Robert T. Morris, Jr. (contoh: lihat Slammer worm)Slammer worm – Trojan horse – Logic Bomb: software perusak dengan waktu beraksi yang telah di-set untuk melakukan pengrusakan. – Denial of service attack: diimplementasikan melalui internet untuk membuat sejumlah komputer tidak dapat diakses melalui cara overloading/jamming.

25 Deliberate Acts (tindakan disengaja) Alien Software (software perusak yang tidak diketahui pasti sumber pembuatnya) – Spyware – Spamware – Cookies

26 I DENTITY T HEFT / Pencurian Identitas Seseorang menggunakan informasi pribadi anda tanpa pengetahuan atau persetujuan anda sebagai pemilik informasi. (Federal Trade Commission) –Dampak: Menghancurkan nama baik pemilik asli informasi Menghilangkan jejak kejahatan pemalsu

27 P RIVACY Contoh gangguan terhadap privasi: –Akses yang tak diinginkan terhadap informasi pemilik –Memasuki area pribadi seperti rumah, ruang kerja, tanpa izin –Kegiatan mengamat-amati pemilik informasi –Keberhasilan orang lain mendapatkan informasi pribadi pemilik Yang lebih memperburuk keadaan adalah perangkat hukum belum lengkap mengatur dan mengatasi pelanggaran privasi.

28 P RIVACY E-Commerce Privacy Concerns Banyak perusahaan yang menyelenggarakan e- commerce atau jejaring sosial memanfaatkan data para pengguna dan menjualnya kepada pihak lain tanpa sepengetahuan pemilik identitas Metode pemanfaatan cookies pada saat pengguna mengunjungi suatu website untuk kepentingan bisnis. Cookie – adalah suatu record kecil yang mengidentifikasi dan merekam segala aktivitas pengguna internet pada saat mengunjungi suatu website.

29 P RIVACY Workplace Privacy (pelanggaran privasi dan etika di tempat kerja Oleh pimpinan) Menurut survey resmi di Amerika Serikat, secara umum, sekitar 75% pemimpin memonitor dan merekan penggunaan web oleh para karyawan termasuk penggunaan voice mail, , telepon, video, mereview file-file komputer mereka, dsb. Sekitar 25% dari kegiatan monitoring tersebut tidak diberitahu kepada para karyawan yang bersangkutan. (Associated Press, 1997)

30 Protecting Information Resources (melindungi sumber- sumber informasi)

31 Firewalls Firewall berfungsi sebagai penyaring atau penghalang yang membatasi data yang mengalir dalam suatu jejaring/network dan internet. Terdapat 3 jenis firewall: – Packet-Filters – berupa modem/router yang dilengkapi dengan tabel-tabel data berisikan alamat-alamat internet protocol yang berfungsi sebagai pengatur dalam penyaringan yang diletakkan /diposisikan diantara internet dan jejaring internal perusahaan. – Circuit-Level Firewall – dipasang/di-instal diantara internet dan jejaring perusahaan tetapi posisinya lebih dekat ke media komunikasi. – Application-Level Firewall – diposisikan diantara router dan unit komputer yang sedang beroperasi.

32 Cryptographic Controls ( Data Encryption ) Cryptography adalah penggunaan software yang berisikan pengkodean/coding yang melakukan proses- proses matematika. Data dan informasi dapat di-enkripsi pada saat berada dalam strorage atau yang sedang mengalir dikirim melalui jejaring. Bila seseorang yang tidak berhak melakukan akses, maka enkripsi mampu membuat data dan informasi menjadi tak terbaca dan menghalangi usaha-usaha penyalahgunaan. Jenis enkripsi berupa SET (Secure Electronic Transactions) dibuat khusus untuk difungsikan pada aktifitas transaksi dalam e-commerce.

33 PENGAMANAN (lanjutan) Pengamanan lain Encryption: proses mengubah teks atau data biasa menjadi teks bersandi rahasia (cipher) yang tidak dapat dibaca oleh siapapun kecuali pengirim dan penerima dengan mengunakan public & private encryption key. *Contoh: SSL (Secure Sockets Layer) untuk antar dua komputer. TLS (Transport Layer Security) penerus SSL untuk antar dua komputer. SHTTP (Secure Hypertext Transfer Protocol) untuk data di internet. WEP (Wired Equivalent Privacy) yang masih statis/ pengembangannya dengan kunci yang lebih panjang dan berubah- ubah + VPN (Virtual Private Network): digunakan pada penggunaan teknologi Wi-Fi. Kebijakan dan prosedur yang tepat.

34 PENGAMANAN (lanjutan) Network Detection System kombinasi hardware dan software yg bekerja melakukan pemantauan tanpa henti. * Tugas: melalui piranti pemantauan yg diletakkan di titik-titik yang paling rentan dalam jaringan perusahaan dengan menyalakan alarm atau mematikan bagian jaringan jika menemukan keganjilan.

35 PENGAMANAN (lanjutan) Antivirus dan Antispyware Software yg memeriksa, mendeteksi, dan menghapus virus yang ada didalam sistem atau drive. Hanya mampu melawan virus yang telah dikenal sehingga harus diperbarui secara berkesinambungan. Contoh antivirus: McAfee,Symantec,Norton,kaspersky,dll Contoh antispyware: Ad-Aware,Spybot,Spyware Doctor, dll.

36 CONTROLS/Pengendalian Control /pengendalian adalah suatu mekanisme yang dilaksanakan untuk melindungi perusahaan/pengguna dari resiko-resiko untuk menghilangkan/memperkecil dampak dari resiko tersebut: 1.Technical controls adalah berbagai macam pengendalian yang sudah secara standar dibenamkan kedalam sistem komputer oleh pengembang sistem pada saat pelaksanaan pengembangan sistem informasi. 2.Access control merupakan dasar pengemanan untuk mengatasi ancaman dari pihak yang tidak berhak. -Identification memasukan user ID dan Password yg -Authentication memasukan kode yg lebih personal -Authorization pemilahan hak akses

37 CONTROLS/Pengendalian Control /pengendalian adalah suatu mekanisme yang dilaksanakan untuk melindungi perusahaan/pengguna dari resiko-resiko untuk menghilangkan/memperkecil dampak dari resiko tersebut: 1.Technical controls adalah berbagai macam pengendalian yang sudah secara standar dibenamkan kedalam sistem komputer oleh pengembang sistem pada saat pelaksanaan pengembangan sistem informasi. 2.Access control merupakan dasar pengemanan untuk mengatasi ancaman dari pihak yang tidak berhak. 3.Intrusion detection systems merupakan pengendalian yang mengidentifikasi suatu percobaan untuk menembus sistem pengamanan sebelum ancaman tersebut merusak data dan informasi.

38 Access Control/pengendalian akses 1.User identification. Para pengguna diidentifikasi melalui sesuatu yang mereka ketahui sebagai identitas pribadi mereka seperti user name dan password. 2.User authentication. Para pengguna kemudian diverifikasi melalui sesuatu yang mereka miliki seperti nomor smart card atau chip yang mereka miliki. 3.User authorization. Para pengguna pada akhirnya diotorisasi tingkatan hak aksesnya apakah sebatas melihat saja, mengubahnya, atau dengan batasan ruang lingkup data dan informasi yang dapat dibuka, dsb.

39 FORMAL CONTROLS Pembuatan kode etik penggunaan sistem informasi Pembuatan dokumentasi prosedur/kebijakan yang mengatur segala aktivitas agar dijalankan sesuai harapan organisasi. Pelaksanaan monitoring terhadap pelanggaran kode etik dan/atau prosedur yang telah ditetapkan.

40 INFORMAL CONTROLS Adalah segala bentuk pengendalian yang dilakukan agar pihak manajemen dan karyawan mendukung program pengamanan informasi suatu organisasi. Membudayakan kode etik di seluruh lapisan organisasi. Memastikan bahwa segenap unsur manajemen dan karyawan perusahaan memahami visi, misi, tujuan, dan sasaran strategis organisasi. Pelaksanaan program pendidikan dan pelatihan.

41 Physical Controls/pengendalian bersifat fisik Satuan pengamanan (satpam) CCTV (Closed-Circuit Television) Biometric systems Pintu pengaman Alarm systems Pengamanan gedung dan ruang pengolahan data, gudang data, dsb.

42 INDUSTRY STANDARDS (Standar-Standar pengamanan informasi perusahaan yang diberikan oleh lembaga resmi baik lokal, nasional, internasional) Contoh: The Center for Internet Security (CIS) adalah suatu lembaga nirlaba yang didedikasikan untuk membantu para pengguna komputer dalam mengamankan informasinya. CIS Benchmarks ditanamkan dan diintegrasikan dalam bentuk suatu paket software yang dapat mengevaluasi tingkat keamanan dari 0-10.

43 PROFESSIONAL CERTIFICATION Merupakan sertifikasi yang diberikan kepada orang/individu yang telah teruji mampu melakukan pengamanan informasi sesuai bidang profesi pengamanan informasi yang diminati. Di AS program sertifikasi pengamanan informasi telah dimulai sejak 1960-an. Contoh: – Information Systems Audit and Control Association (ISACA) – International Information System Security Certification Consortium (ISC) – SANS (SysAdmin, Audit, Network, Security) Institute

44 INFORMATION AUDITING Perusahan memerlukan jasa external auditor untuk melakukan verifikasi keamanan serta keakuratan informasi persahaan yang bersangkutan Perusahaan yang tergolong besar (enterprise: memiliki total pegawai di atas 5000, memiliki banyak cabang, bahkan memiliki jaringan bisnis global/internasional) pada umumnya memiliki internal auditor yang bertanggung jawab melakukan analisis yang sama dilakukan oleh external auditor. Setelah dievaluasi oleh internal auditor, umumnya secara resmi diverifikasi oleh external auditor.

45 Information Systems Auditing Jenis Auditor dan aktivitas Audit – Internal – External

46 IS Auditing Procedure Auditing around the computer: mengaudit komunikasi/informasi di sekitar sistem komputer perusahaan. Auditing through the computer: mengaudit komunikasi/informasi yang mengalir melalui komputer perusahaan. Auditing with the computer: mengaudit segala aktivitas yang dilakukan dalam memakai komputer yang bersangkutan.

47 BUSINESS CONTINUITY MANAGEMENT (BCM) Manajemen Keberlangsungan Usaha: suatu perencanaan yang berkesinambungan mengenai tindakan-tindakan rinci yang harus dilaksanakan bila terjadi ancaman apapun terhadap keamanan informasi dan komputasi perusahaan. Conth: An emergency plan A backup plan A vital records plan ( perencanaan perlindungan terhadap aset informasi yang vital/teramat penting)

48 Risk Management Risk (mengidentifikasi resiko-resiko yang dapat terjadi) Risk management (membuat rencana penanggulangan) Risk analysis (menganalisis dampak resiko-resiko) Risk mitigation (melakukan tindakan-tindakan untuk menghilangkan/meminimalisir resiko)

49 Where Defense Mechanisms (Controls) Are Located/Penempatan media pengamanan informasi

50 Communication or Network Controls Firewalls Anti-malware systems Whitelisting and Blacklisting Intrusion detection systems Encryption

51 Basic Home Firewall (top) and Corporate Firewall (bottom)

52 How Public Key Encryption Works

53 Communication or Network Controls (continued) Virtual private networking (VPN) Secure Socket Layer (kini disebut transport layer security) (SSL/TLS) Vulnerability management systems (VMS) Employee monitoring systems : sistem yang bertugas memonitor aktivitas komunikasi setiap karyawan.

54 Virtual Private Network and Tunneling


Download ppt "Evaluasi Infrastruktur TI 1950-2012 1930-1950 : Era mesin Akuntansi Elektronik. 1959-kini : Era mainframe umum dan mini computer. 1981-kini : Era personal."

Presentasi serupa


Iklan oleh Google