Pengelolaan Sistem
Informasi
8. Pengelolaan Instalasi Komputer
9. Dokumentasi Pengelolaan Sistem Informasi
10.SOP
11.Keamanan Sistem Informasi
12.Quiz 2
13.Sekilas tentang AUDIT SI
14.Sekilas BCP dan DRP
Sistem Informasi
Pengembangan
Pengelolaan
Pasca
Pra
Visi, Misi, dan Tujuan Perusahaan
Manfaat
Resiko
Teknologi Informasi BISNIS
Keamanan Sistem Informasi
•
Tujuan Keamanan Informasi
Untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan,
dan integrasi.
–
Kerahasiaan.
Untuk melindungi data dan informasi dari
penggunaan yang tidak semestinya oleh orang-orang yang tidak
memiliki otoritas. Sistem informasi eksekutif, sumber daya
manusia, dan sistem pengolahan transaksi, adalah
sistem-sistem yang terutama harus mendapat perhatian dalam
keamanan informasi.
–
Ketersediaan.
Supaya data dan informasi perusahaan tersedia
bagi pihak-pihak yang memiliki otoritas untuk
menggunakannya.
–
Integritas.
Seluruh sistem informasi harus memberikan atau
menyediakan gambaran yang akurat mengenai sistem fisik yang
mereka wakili.
Keamanan Sistem Informasi
•
Dasar-dasar Keamanan Informasi
–
Tujuan:
•
menjaga keamanan sumber-sumber informasi , disebut dengan
Manajemen Pengamanan Informasi
(information security
management-ISM)
•
memelihara fungsi-fungsi perusahaan setelah terjadi bencana
atau pelanggaran keamanan, disebut dengan
Manajemen
Kelangsungan Bisnis
(business continuity management-BCM).
–
CIO (chief information officer) akan menunjuk sekelompok
khusus pegawai sebagai bagian keamanan sistem informasi
perusahaan.
(corporate information systems security
officer-CISSO),
atau bagian penjamin informasi perusahaan
Keamanan Sistem Informasi
•
Manajemen Keamanan Informasi
–
Manajemen keamanan informasi terdiri dari 4 tahap yaitu:
• mengidentifikasi ancaman yang dapat menyerang sumber informasi perusahaan;
• mengidentifikasi risiko yang mungkin ditimbulkan oleh ancaman tersebut;
• menetapkan kebijakan-kebijakan keamanan informasi; dan
• melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan risiko keamanan informasi.
–
Ancaman
dapat menimbulkan risiko yang harus dikontrol. Istilah
manajemen risiko
(risk management)
dibuat untuk menggambarkan
pendekatan secara mendasar terhadap risiko keamanan yang
dihadapi oleh sumber-sumber informasi perusahaan.
–
Terdapat pilihan lain, yaitu standar keamanan informasi atau
benchmark.
Benchmark menunjukkan model keamanan yang
dianggap dan diyakini pemerintah dan asosiasi sebagai program
keamanan informasi yang baik.
•
Menentukan aset
•
Menentukan ancaman
•
Menentukan kelemahan
•
Menentukan bentuk, model, dan kebijakan terkait
dengan keamanan
Keamanan Sistem Informasi
•
Ancaman
–
Ancaman terhadap keamanan informasi berasal dari
individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada
sumber-sumber informasi perusahaan.
–
Pada kenyataannya, ancaman dapat bersifat internal,
yaitu berasal dari dalam perusahaan, maupun
eksternal atau berasal dari luar perusahaan. Ancaman
dapat juga terjadi secara sengaja atau tidak sengaja.
Keamanan Sistem Informasi
•
Ancaman Internal dan Eksternal
– Ancaman bersifat internal berasal dari para pegawai tetap, pegawai sementara, konsultan, kontraktor, dan rekan bisnis perusahaan
– Survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah dan diperkirakan 81 % kejahatan komputer dilakukan oleh pegawai perusahaan.
– Ancaman dari dalam perusahaan mempunyai bahaya yang lebih serius
dibandingkan yang dari luar perusahaan, karena kelompok internal memiliki pengetahuan yang lebih mengenai sistem di dalam perusahaan.
– Kontrol untuk menghadapi ancaman eksternal baru mulai bekerja jika serangan terhadap keamanan terdeteksi.
– Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.
•
Ketidaksengajaan dan Kesengajaan
– Tidak semua ancaman berasal dari perbuatan yang disengaja
– Banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun luar perusahaan.
Keamanan Sistem Informasi
•
Resiko
–
Resiko keamanan informasi adalah hasil yang tidak
diinginkan akibat terjadinya ancaman dan gangguan
terhadap keamanan informasi.
–
Semua risiko mewakili aktivitas-aktivitas yang tidak sah
atau di luar dari yang diperbolehkan perusahaan.
–
Aktivitas-aktivitas tersebut adalah:
1. pengungkapan dan pencurian informasi,
2. penggunaan secara tidak sah,
3. pengrusakan dan penolakan dan
4. modifikasi yang tidak dibenarkan.
Keamanan Sistem Informasi
• Resiko
1. Pengungkapan dan Pencurian
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang tidak berhak. Misalnya, mata-mata industri dapat memperoleh
informasi kompetitif yang berharga dan penjahat komputer dapat menggelapkan dana perusahaan.
2. Penggunaan Secara Tidak Sah
Penggunaan secara tidak sah terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak menggunakannya, biasa disebut
hacker. Misalnya, seorang hacker dapat memperoleh akses terhadap sistem telepon dan melakukan hubungan telepon interlokal secara tidak sah.
Keamanan Sistem Informasi
• Resiko
3. Pengrusakan Secara Tidak Sah dan Penolakan Pelayanan
Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputer yang berada jauh dari lokasi dan menyebabkan kerusakan fisik, seperti
kerusakan pada layar monitor, kerusakan pada disket, kemacetan pada printer, dan tidak berfungsinya keyboard.
4. Modifikasi Secara Tidak Sah
Perubahan dapat dibuat pada data-data perusahaan, informasi, dan perangkat lunak. Beberapa perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output system menerima informasi yang salah dan membuat keputusan yang salah. Tipe modifikasi yang paling dikhawatirkan adalah modifikasi disebabkan oleh perangkat lunak yang
Keamanan Sistem Informasi
•
Ancaman Paling Terkenal – Virus
– Dalam dunia komputer dikenal jenis perangkat lunak yang disebut "perangkat lunak perusak" (malacious software atau malware), terdiri dari program atau segmen kode yang menyerang sistem dan melakukan fungsi perusakan. Terdapat banyak jenis
perangkat lunak perusak selain virus, di antaranya worm dan Trojan horses.
– Virus merupakan program komputer yang memperbanyak diri sendiri dan
menyimpan salinannya secara otomatis pada program lainnya dan boot sectors.
– Worm tidak memperbanyak diri sendiri, tetapi mengirim salinannya dengan menggunakan e-mail
– Trojan horses juga tidak memperbanyak diri. Penyebaran dilakukan oleh pengguna secara tidak disengaja.
Keamanan Sistem Informasi
•
Manajemen Resiko
– Di awal bab, kita telah mengidentifikasi manajemen risiko sebagai satu dari dua strategi untuk mendapatkan keamanan informasi.
– Ada empat langkah yang diambil dalam mendefmisikan risiko, yaitu: 1. Identifikasi aset-aset bisnis yang harus dilindungi dari resiko. 2. Kenali resiko
3. Tentukan tingkat-tingkat dari dampak yang ditimbulkan risiko pada perusahaan.
4. Analisis kelemahan-kelemahan perusahaan
– Suatu pendekatan yang sistematik dapat diambil terhadap langkah 3 dan 4, yaitu penentuan dampak dari risiko dan analisis kelemahan perusahaan.
Keamanan Sistem Informasi
•
Manajemen Resiko
–
Tingkat kerusakan yang ditimbulkan risiko dapat diklasifikasikan
menjadi dampak parah, dampak signifikan dan dampak minor.
–
Untuk dampak yang parah maupun yang signifikan, perlu
dilakukan analisis kelemahan perusahaan.
• Jika tingkat kelemahan tinggi, kontrol harus diimplementasikan untuk menghapuskan atau menguranginya.
• Jika tingkat kelemahan sedang, kontrol dapat diimplementasikan
• Jika tingkat kelemahan rendah, maka kontrol yang ada harus
Keamanan Sistem Informasi
•
Manajemen Resiko
–
Untuk
melengkapi analisis risiko, hal-hal yang ditemukan dalam
analisis harus didokumentasikan dalam laporan. Untuk setiap
risiko,
isi laporan berisi informasi sbb:
1. Deskripsi risiko 2. Sumberrisiko
3. Tingkat kekuatan risiko
4. Kontrol yang diterapkan terhadap risiko 5. Pemilik risiko
6. Tindakan yang direkomendasikan ntuk menangani risiko
7. Batasan waktu yang direkomendasikan untuk menangani risiko. 8. Apa yang telah dilakukan untuk mengurangi risiko tersebut.
Kerusakan Proyektor
1. Deskripsi risiko
2. Sumber risiko
3. Tingkat kekuatan risiko
4. Kontrol yang diterapkan terhadap risiko
5. Pemilik risiko
6. Tindakan yang direkomendasikan untuk menangani risiko
7. Batasan waktu yang direkomendasikan untuk menangani risiko.
8. Apa yang telah dilakukan untuk mengurangi risiko tersebut.
Keamanan Sistem Informasi
•
Kebijakan Informasi Keamanan
– Kebijakan keamanan harus diimplementasikan untuk mengarahkan keseluruh program, sbb:
• Fase 1-Inisiasi proyek. Pembentukan Tim yang akan bertugas untuk mengembangkan kebijakan keamanan.
• Fase 2-Kebijakan Pengembangan.Tim proyek berkonsultasi dalam menentukan persyaratan-persyaratan yang diperlukan.
• Fase 3-Konsultasi dan Persetujuan. Tim proyek berkonsultasi dan menginformasikan hasil temuan kepada para manajer.
• Fase 4-Kewaspadaan dan Pendidikan. Pelatihan kewaspadaan dan program pendidikan kebijakan di unit organisasi.
• Fase 5-Penyebarluasan Kebijakan. Kebijakan keamanan disebarluaskan dimana kebijakan tersebut diterapkan.
Keamanan Sistem Informasi
•
Kontrol Teknis
– Kontrol teknis adalah kontrol yang dibangun di dalam sistem oleh
pengembang selama siklus hidup pengembangan sistem. Auditor internal dalam tim proyek harus memasikan bahwa kontrol telah disertakan sebagai bagian dari perancangan sistem. Sebagian besar kontrol keamanan
berdasarkan pada teknologi perangkat keras dan perangkat lunak. Kontrol yang biasa dipakai saat ini adalah sebagai berikut:
1. Kontrol terhadap akses 2. Sistem deteksi gangguan 3. Firewalls
4. Kontrol kriptografi 5. Kontrol fisik
Keamanan Sistem Informasi
•
Kontrol Teknis
1. Kontrol Terhadap Akses
Landasan keamanan untuk melawan ancaman yang timbul dari orang-orang yang tidak berwenang adalah kontrol terhadap akses.
Kontrol terhadap akses dilakukan melalui tiga tahap, sbb:
1. Pengenalan otomatis penggunaPara pengguna mengidentifikasi diri mereka meng gunakan sesuatu yang mereka kenali sebelumnya, misalnya password.
2. Pembuktian otomatis penggunaproses identifikasi telah dilakukan, pengguna akan memverifikasi hak mereka terhadap akses menggunakan fasilitas seperti kartu cerdas (smart card), chip identifikasi, dll.
3. Pengesahan otomatis penggunaBila proses identifikasi dan verifikasi telah selesai pengguna akan diberi otorisasi untuk melakukan akses dengan tingkat-tingkat penggunaan tertentu.
Keamanan Sistem Informasi
•
Kontrol Teknis
2. Sistem Deteksi Gangguan
– Logika dasar dari sistem deteksi gangguan adalah bagaimana mengenali potensi pengganggu keamanan sebelum sebelum usaha tersebut menjadi nyata dan menimbulkan kerusakan. Contohnya adalahperangkat lunak proteksi virus (virus protection software).
– Contoh yang lain tentang deteksi terhadap gangguan adalah perangkat lunak yang diarahkan untuk mengidentifikasi pengganggu potensial sebelum penggangu tersebut memiliki
kesempatan untuk menimbulkan kerusakan. Alat untuk memprediksi ancaman dari dalam perusahaaan telah dikembangkan dengan mempertimbangkan berbagai karakteristik, seperti posisi pegawai di perusahaan, akses terhadap data-data penting, kemampuan untuk mengubah komponen perangkat keras, jenis aplikasi yang digunakan, file yang dimiliki dan pemakaian protokol-protokol jaringan tertentu.
Keamanan Sistem Informasi
•
Kontrol Teknis
3. Firewalls– Firewall bertindak sebagai suatu saringan dan penghalang yang membatasi aliran data dari internet masuk dan keluar perusahaan. Konsep yang menjadi latar belakang firewall adalah membangun satu pengaman untuk seluruh komputer yang ada di jaringan perusahaan. Ada tiga jenis firewall, yaitu packet-filtering, circuit-level, danaplication level.
– PACKET-FILTERING FIREWALL. Firewall penyaring adalah Satu perangkat yang biasanya disertakan ke dalam jaringan adalahrouter. Kelemahan router adalah bahwa router ini merupakan satu-satunya titik yang digunakan untuk menjaga keamanan.
– CIRCUIT-LEVEL FIREWALL. Satu tingkat diatasrouter adalahcircuit-level firewall atau firewall
tingkat sirkuit yang di-install antara Internet dan jaringan perusahaan, tetapi tetap memiliki kelemahan sebagai sistem keamanan yang berpusat pada satu titik.
– APPLICATION-LEVEL FIREWALL. Firewall tingkat aplikasi ini ditempatkan antararouter dan komputer yang melakukan aplikasi. Dengan cara ini, pemeriksaan keamanan secara penuh
dapat dilakukan. Firewall aplikasi adalah firewall yang paling efektif, tetap firewall ini cenderung mengurangi akses terhadap sumber daya dan merepotkan programer.
Keamanan Sistem Informasi
•
Kontrol Teknis
4. Kontrol Kriptografi (Cryptographic Control)
– Penyimpanan dan transmisi data dapat dilindungi dari pemakaian secara ilegal melalui
kriptografi. Kriptografi adalah penyusunan dan penggunaan kode dengan proses-proses
matematika, sehingga pemakai ilegal hanya akan mendapatkan data berbentuk kode yang tidak dapat dibaca.
– Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaane-commerce,
dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan. Salah satunya adalah SET (Secure Electronic Transactions/Pengaman Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan dengan penggunaan nomor seri seperti yang terdapat pada kartu kredit.
– Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi yang berkesinambungan, penggunaan enkripsi diperkirakan akan meningkat walaupun ada
Keamanan Sistem Informasi
•
Kontrol Teknis
5. Kontrol Fisik–Langkah pencegahan pertama terhadap gangguan ilegal dari luar adalah mengunci pintu ruang komputer.
–Pencegahan selanjutnya yaitu menggunakan kunci yang lebih canggih, yang hanya dapat dibuka dengan sidik jari dan pengenalan suara.
–Selanjutnya pengawasan menggunakan kamera dan menempatkan petugas keamanan.
–Perusahaan dapat meminimalisasi pengawasan fisik dengan menempatkan pusat komputernya di lokasi yang jauh dari kota besar dan pemukiman
penduduk dan jauh dari daerah yang rawan terhadap bencana alam seperti gempa bumi, banjir, dan badai
Keamanan Sistem Informasi
•
Kontrol Formal
– Kontrol formal meliputi penetapan kode, dokumentasi prosedur dan
penerapannya, serta monitoring dan pencegahan perilaku yang menyimpang dari peraruran-peraturan yang telah ditetapkan.
– Kontrol bersifat formal artinya manajemen perusahaan menyediakan waktu tertentu untuk melaksanakannya, hasilnya didokumentasikan secara tertulis dan dalam jangka waktu panjang kontrol ini menjadi salah satu inventaris perusahaan yang berharga.
– Ada kesepakatan universal bahwa jika kontrol formal ingin lebih efektif, maka manajemen tingkat atas harus mengambil peran aktif dalam
Keamanan Sistem Informasi
•
Kontrol Informal
– Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika kepercayaan perusahaan terhadap pegawainya, memastikan bahwa para pegawai memahami misi dan tujuan perusahaan, mengadakan program pendidikan dan pelatihan serta program pengembangan manajemen.
– Kontrol ini ditujukan untuk memastikan bahwa pegawai perusahaan memahami dan mendukung program keamanan tersebut.
Keamanan Sistem Informasi
• Bantuan Pemerintah dan Industri
– Beberapa dari standar berbentuk benchmark sebagai salah satu strategi dalam manajemen risiko. Ada juga standar yang menggunakan istilah baseline.
– Pemerintah tidak mengharuskan perusahaan dan organisasi mengikuti standar, tapi lebih cenderung menyediakan bantuan dan arahan bila perusahaan akan menentukan tingkat keamanan yang ingin dicapai. Beberapa contoh standar adalah sebagai berikut:
• United Kingdom's BS 7799. Standar yang dikeluarkan oleh negara Inggris
• BSI IT Baseline Protection Manual, pendekatan baseline diikuti juga oleh German Bundesamt Fur Sicherheit in der Information technik (BSI).
• COBIT. Kontrol COBIT dikeluarkan oleh ISACAF (Information Systems Audit and Control Association & Foundation).
• GASSP. GASSP adalah singkatan dari Generally Accepted System Security Principles. Dibuat oleh Lembaga Penelitian Nasional Amerika Serikat.
• GMITS. GMITS atau The Guidelines for the Management of IT Security. Produk dari Joint Technical Committee dari ISO (International Standards Organization).
Keamanan Sistem Informasi
• Manajemen Keberlangsungan Bisnis (BCM)
– Aktivitas yang dilakukan untuk melanjutkan operasional perusahaan setelah terjadinya
gangguan dan bencana terhadap sistem informasi disebut Manajemen Keberlangsungan Bisnis
(Business Continuity Manajemen-BCM).
– Awalnya aktivitas ini disebut sebagai disaster planning atau perencanan ketika terjadi bencana. Istilah ini diperhalus menjadi contingency planning atau perencanaan terhadap hal-hal di luar dugaan dan perkiraan..
– Perusahaan telah menemukan bahwa pendekatan dengan cara memilah dan mengembangkan rencana menjadi sub-rencana dimana setiap sub-rencana diarahkan pada satu topik tertentu, lebih baik dibandingkan dengan pendekatan contingency planning yang bersifat menyeluruh. Yang termasuk sub-rencana rencana di antaranya:
1. rencana darurat, 2. rencana back up, dan
Keamanan Sistem Informasi
Pertanyaan
1. Apakah yang termasuk dalam keamanan informasi tetapi tidak termasuk dalam keamanan sistem?
2. Sebutkan tiga tujuan keamanan informasi?
3. Keamanan informasi dibagi dalam dua upaya yang terpisah. Apa saja kedua upaya tersebut ?
4. Apa perbedaan antara manajemen risiko dengan pelaksanaan benchmark ? 5. Risiko jenis apa yang menjadi perhatian dalam sisteme-commercel
6. Jenis ancaman apa yang dapat ditangani oleh firewall?
7. Apa keistimewaan dari kriptografi?
8. Apa perbedaan antara kontrol formal dan kontrol informal?
9. Apa yang membedakan antara bank dan organisasi pelayanan kesehatan dalam cara mereka menentukan tingkat keamanan yang tepat?
10. Apa peranan ISP dalam sistem keamanan informasi melawan kejahatan komputer dan terorisme?
Keamanan Sistem Informasi
• Topik Diskusi
1. Dapatkah kebijakan ditetapkan sebelum mendefinisikan risiko dan ancaman? Mengapa?
2. Mengapa kontrol yang ditujukan pada ancaman internal lebih menekankan pada pendeteksian gangguan?
3. Outline laporan yang akan disiapkan pada akhir analisis risiko menyebutkan tentang "pemilik risiko". Apa yang dimaksud dengan "memiliki" sebuah risiko? Siapa yang menjadi contoh pemilik?
4. Mengapa keamanan informasi tidak bisa hanya mengandalkan pada kriptografi, sehingga tidak perlu menghadapi masalah pembatasan akses ?
• Permasalahan
Asumsikan bahwa Anda adalah pegawai sistem keamanan informasi perusahaan yang disewa oleh perusahaan kecil Midwest manufacturing. Anda menemukan bahwa perusahaan tersebut tidak dilengkapi denganperangkat lunak anti virus. Baca artikel tentang anti-virus dan tulis memo pada pimpinan Anda. Memo berisi laporan mengenai kondisi perusahaan dan permintaan untuk implementasi
Implikasi Etis dari Teknologi Informasi
•
Moral, Etika, dan Hukum
–
Elemen lingkungan, seperti pemegang dan pemilik
saham, harus mengetahui bahwa perusahaan
menggunakan sumber daya teknologi informasinya
berdasarkan pada kode-kode etik yang berlaku,
sehingga dana yang telah mereka keluarkan untuk
pengembangan teknologi informasi benar-benar
bermanfaat.
–
Sebagai warga negara yang bermasyarakat, kita
mengharapkan apa yang kita lakukan benar secara
moral, beretika, dan mematuhi hukum yang berlaku.
Implikasi Etis dari Teknologi Informasi
•
Moral
–
Moral adalah keyakinan dan penilaian secara tradisi
tentang baik atau buruknya hal yang dilakukan.
–
Moral juga merupakan institusi sosial yang memiliki
sejarah dan aturan-aturan tertentu. Kita mulai
mempelajari aturan-aturan moral sejak masa
anak-anak sampai dewasa.
–
Walaupun masyarakat diberbagai belahan dunia
memiliki aturan-aturan moral yang berbeda, tetapi
terdapat satu aturan yang berlaku umum, yaitu
Implikasi Etis dari Teknologi Informasi
•
Etika
– Perilaku kita juga diatur dan dipengaruhi oleh etika.
– Etika adalah pedoman yang digunakan untuk menjalankan suatu
kepercayaan, standar, atau pemikiran dalam suatu individu, kelompok, dan komunitas tertentu.
– Setiap perilaku individu akan dinilai oleh komunitasnya. Komunitas dapat berbentuk lingkungan tetangga, kota, provinsi, negara, atau lingkungan pekerjaan.
– Etika di suatu komunitas bisa sangat berbeda dengan etika komunitas
lainnya. Kita dapat melihat perbedaan ini dalam dunia komputer, misalnya dalam kasus pembajakan perangkat lunak.
– Dalam beberapa budaya, saling berbagi justru hal yang dianjurkan, seperti yang terlihat dalam peribahasa Cina "Mereka yang saling berbagi akan diberi pahala, mereka yang tidak berbagi akan dihukum."
Implikasi Etis dari Teknologi Informasi
•
Hukum
– Hukum adalah aturan formal yang dibuat oleh pihak yang berwenang,
misalnya pemerintah, di mana aturan ini harus diterapkan dan ditaati oleh pihak subjek, yaitu masyarakat atau warga negara.
– Pada 1996 muncul kasus pertama kejahatan komputer. Kasus yang menjadi berita besar ini terjadi ketika programmer suatu bank mengubah program sehingga saat programmer tersebut menarik uang dari rekeningnya,
komputer tidak dapat mengenali.
– Namun, pelaku tidak dapat didakwa telah melakukan kejahatan komputer karena saat itu tidak ada hukum yang berlaku. Pelaku hanya didakwa
Implikasi Etis dari Teknologi Informasi
•
Moral, Etika, dan Hukum dalam IT
–
Penggunaan komputer dalam dunia bisnis dipandu oleh moral
dan nilai-nilai etika yang harus dimiliki baik oleh para manajer,
ahli informasi, maupun pengguna.
–
Hukum yang ditetapkan mudah untuk dipahami dan
dilaksanakan karena ada dalam bentuk tertulis, berbeda dengan
moral dan etika yang tidak didefinisikan secara pasti.
–
Oleh karena itu, etika penggunaan teknologi informasi
khususnya komputer menjadi hal yang perlu mendapat
perhatian serius.
Implikasi Etis dari Teknologi Informasi
•
Kebutuhan Akan Budaya Etika
–
Kondisi suatu perusahaan menggambarkan jatidiri dari
pemimpinnya adalah opini umum dalam dunia bisnis saat ini,
begitu juga sebaliknya, sehingga publik cenderung untuk
menilai perusahaan dengan menilai CEO-nya.
–
Jika suatu perusahaan diharapkan menjadi perusahaan yang
memiliki etika yang tinggi, maka semua manajer tingkat atas
harus memimpin dan memberi contoh bagi seluruh anggota
organisasi dalam menerapkan etika perusahaan. Perilaku ini
yang disebut
budaya etika
(ethics culture).
Implikasi Etis dari Teknologi Informasi
•
Bagaimana Budaya Etika Diterapkan
–
Tugas para manajer adalah memastikan
konsep-konsep etika menjangkau seluruh organisasi.
–
Para eksekutif perusahaan menggunakan tiga tahap
untuk menerapkan konsep-konsep etika ini.
•
Tahap pertama: membentuk paham perusahaan
(corporate
credo);
•
T
ahap kedua: menjalankan program-program etika;
Implikasi Etis dari Teknologi Informasi
•
Bagaimana Budaya Etika Diterapkan
1. PAHAM PERUSAHAAN.
•
Definisi: Pernyataan yang singkat tapi jelas mengenai
nilai-nilai yang akan ditegakkan perusahaan.
•
Tujuan: Untuk memberikan informasi kepada masyarakat
didalam dan diluar perusahaan mengenai nilai-nilai etika
yang dipegang perusahaan.
Implikasi Etis dari Teknologi Informasi
•
Bagaimana Budaya Etika Diterapkan
2. PROGRAM ETIKA.
•
Definisi: Suatu usaha terdiri dari berbagai aktivitas yang
dirancang untuk memberikan arah bagi para karyawan
bagaimana melaksanakan paham perusahaan.
•
Kegiatan: Beberapa sesi selama masa orientasi untuk para
karyawan baru. Selama sesi ini subjek pembicaraan khusus
difokuskan kepada masalah etika.
•
Contoh lain dari program etika adalah
audit etika.
Di dalam
suatu audit etika, seorang auditor internal mengadakan
Implikasi Etis dari Teknologi Informasi
•
Bagaimana Budaya Etika Diterapkan
3. MENETAPKAN KODE ETIK PERUSAHAAN.
•
Sebaiknya perusahaan sudah merencanakan untuk
membuat kode etik bagi perusahaan mereka sendiri.
•
Kadang-kadang kode etik tersebut merupakan adaptasi dari
kode etik industri atau profesi tertentu.
Implikasi Etis dari Teknologi Informasi
•
Mengapa Perlu Etika Komputer
–
Definisi: Analisis mengenai sifat dan dampak sosial
dari teknologi komputer, serta bagaimana formulasi
dan kebijakan yang sesuai agar dapat menggunakan
teknologi tersebut secara etis.
–
Etika komputer terdiri dari dua aktivitas utama:
•
(1) waspada dan sadar bagaimana pengaruh komputer
terhadap masyarakat; dan
•
(2) menentukan kebijakan yang dapat memastikan bahwa
teknologi tersebut digunakan secara akurat.
Implikasi Etis dari Teknologi Informasi
•
Alasan Pentingnya Etika Komputer
–
Ada tiga alasan utama mengapa etika komputer sangat
penting bagi masyarakat:
•
kelenturan logika
(logical malleability),
•
faktor transformasi, dan
Implikasi Etis dari Teknologi Informasi
•
Alasan Pentingnya Etika Komputer
1. KELENTURAN LOGIKA.
•
Definisi: Kita mampu memprogram komputer untuk
melakukan apa pun yang kita inginkan. Komputer bekerja
akurat seperti yang diinstruksikan oleh programernya dan
kemampuan ini dapat berubah menjadi hal yang
menakutkan.
•
Masyarakat tidak perlu khawatir terhadap teknologi
komputer sebab bila komputer digunakan untuk aktivitas
yang tidak etis, maka orang yang berada di belakang
Implikasi Etis dari Teknologi Informasi
•
Alasan Pentingnya Etika Komputer
2. FAKTOR TRANSFORMASI.
•
Definisi: penggunaan komputer telah mengubah secara
drastis cara-cara kita dalam melakukan tugas-tugas
perusahaan.
•
Contohnya adalah
e-mail. E-mail
tidak hanya
menggantikan fungsi surat-surat dan telepon, tetapi
merupakan bentuk komunikasi yang sama sekali baru.
•
Contoh lain, dulu para manajer harus berkumpul secara
fisik di satu lokasi, sekarang mereka dapat bertemu dalam
bentuk konferensi video.
Implikasi Etis dari Teknologi Informasi
•
Alasan Pentingnya Etika Komputer
3. FAKTOR TIDAK TERLIHAT.
•
Umumnya masyarakat memandang komputer sebagai
"kotak hitam" karena semua operasi internal komputer
tidak dapat dilihat secara langsung.
•
Tersembunyinya operasi internal komputer membuka
peluang untuk:
a) Membuat program-program secara tersembunyi b) Melakukan kalkulasi kompleks secara diam-diam
Implikasi Etis dari Teknologi Informasi
•
Hak Masyarakat dan Komputer
–
Masyarakat mengharapkan:
•
Pemerintah dan kalangan bisnis untuk menggunakan
komputer dengan cara yang etis
•
Mempunyai hak-hak tertentu yang terkait dengan komputer.
•
Penggolongan hak asasi manusia dalam area komputer yang
diistilahkan
PAPA,
yaitu
Privacy, Accuracy, Property
dan
Accesibility
(Kerahasiaan, Keakuratan, Kepemilikan, dan
Kemudahan Akses).
Implikasi Etis dari Teknologi Informasi
•
Audit Informasi
–
Ketika kita membangun seperangkat aturan dalam
etika penggunaan komputer, ada kelompok yang
sebagai kunci untuk bangunan tersebut. Mereka
adalah auditor internal dan eksternal.
–
Seluruh perusahaan baik kecil maupun besar
bersandar pada auditor eksternal
–
Auditor eksternal, mengerjakan auditing internal dan
memeriksa ulang hasil-hasil yang telah dikerjakan
Implikasi Etis dari Teknologi Informasi
•
Pentingnya Objektivitas dalam Audit
–
Ciri khas yang dimiliki auditor internal adalah
objektifitas. Auditor internal bekerja secara
independen. Mereka hanya bertanggung jawab
kepada CEO dan CFO.
–
Auditor bekerja terbatas dalam kapasitasnya sebagai
penasihat. Mereka memberikan rekomendasi kepada
manajemen, dan manajemen memutuskan apakah
rekomendasi tersebut akan diimplementasikan atau
tidak.
Implikasi Etis dari Teknologi Informasi
•
Jenis-jenis Aktivitas Audit
–
Ada empat jenis aktivitas audit internal, yaitu:
1. Audit keuangan,
2. Audit operasional,
3. Audit lapangan, dan
4. Kontrol internal desain sistem.
–
Seorang auditor internal dapat mengerjakan keempat
jenis audit ini.
Implikasi Etis dari Teknologi Informasi
•
Jenis-jenis Aktivitas Audit
– AUDIT KEUANGAN. Audit keuangan adalah aktivitas verifikasi terhadap keakuratan arsip dan catatan perusahaan. Secara umum aktivitas ini dilakukan oleh auditor eksternal. Dalam situasi dan pekerjaan tertentu, audit keuangan dilakukan auditor internal bekerja sama dengan auditor eksternal, dan pada tugas lain, audit keuangan dilakukan sendiri oleh auditor internal.
– AUDIT OPERASIONAL. Aktivitas audit operasional diselenggarakan untuk menilai efektivitas prosedur, bukan unruk memeriksa keakuratan arsip. Aktivitas ini dilakukan oleh analis sistem pada fase analisis dari siklus hidup pengembangan sistem. Sistem ini lebih bersifat konseptual daripada fisik, tetapi unruk audit operasional tidak terlalu dibutuhkan pemakaian komputer. Bila audit operasional telah dilaksanakan, auditor akan memberikan sejumlah saran kepada manajemen untuk memperbaiki sistem yang ada.
Implikasi Etis dari Teknologi Informasi
•
Jenis-jenis Aktivitas Audit
–
AUDIT OPERASIONAL.
•
Tujuan: Untuk menilai efektivitas prosedur, bukan untuk
memeriksa keakuratan arsip.
•
Aktivitas ini dilakukan oleh analis sistem pada fase analisis
dari siklus hidup pengembangan sistem.
•
Sistem ini lebih bersifat konseptual daripada fisik, sehingga
tidak terlalu dibutuhkan pemakaian komputer.
•
Bila audit operasional telah dilaksanakan, auditor akan
memberikan sejumlah saran kepada manajemen untuk
memperbaiki sistem yang ada.
Implikasi Etis dari Teknologi Informasi
•
Jenis-jenis Aktivitas Audit
–
AUDIT LAPANGAN.
•
Audit lapangan pada dasarnya sama dengan audit
operasional, hanya audit lapangan dilakukan pada saat
kegiatan yang diaudit tengah berlangsung.
•
Sebagai contoh, auditor internal secara acak akan memilih
karyawan dan secara pribadi menanyakan bagaimana
pembayaran gaji mereka.
•
Prosedur ini memastikan bahwa nama yang tercantum
bukan nama fiktif yang dibuat oleh
supervisor
agar dia
memperoleh penghasilan ekstra secara tidak jujur.
Implikasi Etis dari Teknologi Informasi
•
Jenis-jenis Aktivitas Audit
–
KONTROL INTERNAL DESAIN SISTEM.
•
Auditor internal perlu aktif mengambil bagian dalam
pengembangan sistem.
•
Ada dua pertimbangan dasar untuk itu:
– Pertama, biaya mengoreksi kesalahan dari sistem akan meningkat dramatis bila siklus hidup sistem telah berjalan. Biaya koreksi
terhadap kesalahan desain pada saat operasi dan pemeliharaan
sebesar 40 kali lipat dibandingkan mengoreksi kesalahan saat sistem masih berbentuk konsep
– Auditor internal memiliki keahlian yang dapat meningkatkan mutu dari sistem yang dikembangkan.