Pengelolaan Sistem Informasi - · PDF fileManajemen Pengamanan Informasi ... Pembentukan Tim...

Pengelolaan Sistem Informasi

Keamanan Sistem Informasi

8. Pengelolaan Instalasi Komputer

9. Dokumentasi Pengelolaan Sistem Informasi

10.SOP

11.Keamanan Sistem Informasi

12.Quiz 2

13.Sekilas tentang AUDIT SI

14.Sekilas BCP dan DRP

Sistem Informasi

Pengembangan

Pengelolaan

Pasca

Pra

Visi, Misi, dan Tujuan Perusahaan

Manfaat

Resiko

Teknologi Informasi

BISNIS

Evaluasi Audit SI


• Tujuan Keamanan InformasiUntuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan,

dan integrasi.– Kerahasiaan. Untuk melindungi data dan informasi dari

penggunaan yang tidak semestinya oleh orang-orang yang tidakmemiliki otoritas. Sistem informasi eksekutif, sumber dayamanusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalamkeamanan informasi.

– Ketersediaan. Supaya data dan informasi perusahaan tersediabagi pihak-pihak yang memiliki otoritas untukmenggunakannya.

– Integritas. Seluruh sistem informasi harus memberikan ataumenyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.


• Dasar-dasar Keamanan Informasi– Tujuan:

• menjaga keamanan sumber-sumber informasi , disebut denganManajemen Pengamanan Informasi (information security management-ISM)

• memelihara fungsi-fungsi perusahaan setelah terjadi bencanaatau pelanggaran keamanan, disebut dengan ManajemenKelangsungan Bisnis (business continuity management-BCM).

– CIO (chief information officer) akan menunjuk sekelompokkhusus pegawai sebagai bagian keamanan sistem informasiperusahaan. (corporate information systems security officer-CISSO), atau bagian penjamin informasi perusahaan(corporate information assurance officer-CIAO).


• Manajemen Keamanan Informasi– Manajemen keamanan informasi terdiri dari 4 tahap yaitu:

• mengidentifikasi ancaman yang dapat menyerang sumber informasiperusahaan;

• mengidentifikasi risiko yang mungkin ditimbulkan oleh ancaman tersebut; • menetapkan kebijakan-kebijakan keamanan informasi; dan• melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan

risiko keamanan informasi.

– Ancaman dapat menimbulkan risiko yang harus dikontrol. Istilahmanajemen risiko (risk management) dibuat untuk menggambarkanpendekatan secara mendasar terhadap risiko keamanan yang dihadapi oleh sumber-sumber informasi perusahaan.

– Terdapat pilihan lain, yaitu standar keamanan informasi ataubenchmark. Benchmark menunjukkan model keamanan yang dianggap dan diyakini pemerintah dan asosiasi sebagai program keamanan informasi yang baik.

• Menentukan aset

• Menentukan ancaman

• Menentukan kelemahan

• Menentukan bentuk, model, dan kebijakan terkaitdengan keamanan

• Melakukan evaluasi keamanan


• Ancaman

– Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi perusahaan.

– Pada kenyataannya, ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman dapat juga terjadi secara sengaja atau tidak sengaja.


• Ancaman Internal dan Eksternal– Ancaman bersifat internal berasal dari para pegawai tetap, pegawai

sementara, konsultan, kontraktor, dan rekan bisnis perusahaan– Survey menemukan 49% kejadian yang membahayakan keamanan informasi

dilakukan pengguna yang sah dan diperkirakan 81 % kejahatan komputerdilakukan oleh pegawai perusahaan.

– Ancaman dari dalam perusahaan mempunyai bahaya yang lebih seriusdibandingkan yang dari luar perusahaan, karena kelompok internal memilikipengetahuan yang lebih mengenai sistem di dalam perusahaan.

– Kontrol untuk menghadapi ancaman eksternal baru mulai bekerja jikaserangan terhadap keamanan terdeteksi.

– Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksigangguan keamanan yang mungkin terjadi.

• Ketidaksengajaan dan Kesengajaan– Tidak semua ancaman berasal dari perbuatan yang disengaja– Banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang

berasal dari orang di dalam maupun luar perusahaan.


• Resiko– Resiko keamanan informasi adalah hasil yang tidak

diinginkan akibat terjadinya ancaman dan gangguanterhadap keamanan informasi.

– Semua risiko mewakili aktivitas-aktivitas yang tidak sahatau di luar dari yang diperbolehkan perusahaan.

– Aktivitas-aktivitas tersebut adalah: 1. pengungkapan dan pencurian informasi,

2. penggunaan secara tidak sah,

3. pengrusakan dan penolakan dan

4. modifikasi yang tidak dibenarkan.


• Resiko

1. Pengungkapan dan Pencurian

Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orangyang tidak berhak. Misalnya, mata-mata industri dapat memperolehinformasi kompetitif yang berharga dan penjahat komputer dapatmenggelapkan dana perusahaan.

2. Penggunaan Secara Tidak Sah

Penggunaan secara tidak sah terjadi ketika sumber daya perusahaan dapatdigunakan oleh orang yang tidak berhak menggunakannya, biasa disebuthacker. Misalnya, seorang hacker dapat memperoleh akses terhadap sistemtelepon dan melakukan hubungan telepon interlokal secara tidak sah.


• Resiko

3. Pengrusakan Secara Tidak Sah dan Penolakan Pelayanan

Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputeryang berada jauh dari lokasi dan menyebabkan kerusakan fisik, sepertikerusakan pada layar monitor, kerusakan pada disket, kemacetan padaprinter, dan tidak berfungsinya keyboard.

4. Modifikasi Secara Tidak Sah

Perubahan dapat dibuat pada data-data perusahaan, informasi, danperangkat lunak. Beberapa perubahan tidak dapat dikenali sehinggamenyebabkan pengguna yang ada di output system menerima informasiyang salah dan membuat keputusan yang salah. Tipe modifikasi yang paling dikhawatirkan adalah modifikasi disebabkan oleh perangkat lunak yang menyebabkan kerusakan, biasanya dikelompokkan sebagai virus.


• Ancaman Paling Terkenal – Virus– Dalam dunia komputer dikenal jenis perangkat lunak yang disebut "perangkat lunak

perusak" (malacious software atau malware), terdiri dari program atau segmen kode yang menyerang sistem dan melakukan fungsi perusakan. Terdapat banyak jenis perangkat lunak perusak selain virus, di antaranya worm dan Trojan horses.

– Virus merupakan program komputer yang memperbanyak diri sendiri dan menyimpan salinannya secara otomatis pada program lainnya dan boot sectors.

– Worm tidak memperbanyak diri sendiri, tetapi mengirim salinannya dengan menggunakan e-mail

– Trojan horses juga tidak memperbanyak diri. Penyebaran dilakukan oleh pengguna secara tidak disengaja.


• Manajemen Resiko– Di awal bab, kita telah mengidentifikasi manajemen risiko sebagai satu dari

dua strategi untuk mendapatkan keamanan informasi.

– Ada empat langkah yang diambil dalam mendefmisikan risiko, yaitu:

1. Identifikasi aset-aset bisnis yang harus dilindungi dari resiko.

2. Kenali resiko

3. Tentukan tingkat-tingkat dari dampak yang ditimbulkan risiko padaperusahaan.

4. Analisis kelemahan-kelemahan perusahaan

– Suatu pendekatan yang sistematik dapat diambil terhadap langkah 3 dan 4, yaitu penentuan dampak dari risiko dan analisis kelemahan perusahaan.


• Manajemen Resiko

– Tingkat kerusakan yang ditimbulkan risiko dapat diklasifikasikan menjadi dampak parah, dampak signifikan dan dampak minor.

– Untuk dampak yang parah maupun yang signifikan, perlu dilakukan analisis kelemahan perusahaan. • Jika tingkat kelemahan tinggi, kontrol harus diimplementasikan untuk

menghapuskan atau menguranginya.

• Jika tingkat kelemahan sedang, kontrol dapat diimplementasikan

• Jika tingkat kelemahan rendah, maka kontrol yang ada harus dipertahankan.


• Manajemen Resiko

– Untuk melengkapi analisis risiko, hal-hal yang ditemukan dalamanalisis harus didokumentasikan dalam laporan. Untuk setiaprisiko, isi laporan berisi informasi sbb:

1. Deskripsi risiko

2. Sumberrisiko

3. Tingkat kekuatan risiko

4. Kontrol yang diterapkan terhadap risiko

5. Pemilik risiko

6. Tindakan yang direkomendasikan ntuk menangani risiko

7. Batasan waktu yang direkomendasikan untuk menangani risiko.

8. Apa yang telah dilakukan untuk mengurangi risiko tersebut.

Kerusakan Proyektor

1. Deskripsi risiko

2. Sumber risiko

3. Tingkat kekuatan risiko

4. Kontrol yang diterapkan terhadap risiko

5. Pemilik risiko

6. Tindakan yang direkomendasikan untuk menangani risiko

7. Batasan waktu yang direkomendasikan untuk menangani risiko.

8. Apa yang telah dilakukan untuk mengurangi risiko tersebut.


• Kebijakan Informasi Keamanan– Kebijakan keamanan harus diimplementasikan untuk mengarahkan

keseluruh program, sbb:

• Fase 1-Inisiasi proyek. Pembentukan Tim yang akan bertugas untukmengembangkan kebijakan keamanan.

• Fase 2-Kebijakan Pengembangan.Tim proyek berkonsultasi dalammenentukan persyaratan-persyaratan yang diperlukan.

• Fase 3-Konsultasi dan Persetujuan. Tim proyek berkonsultasi danmenginformasikan hasil temuan kepada para manajer.

• Fase 4-Kewaspadaan dan Pendidikan. Pelatihan kewaspadaan danprogram pendidikan kebijakan di unit organisasi.

• Fase 5-Penyebarluasan Kebijakan. Kebijakan keamanan disebarluaskandimana kebijakan tersebut diterapkan.


• Kontrol Teknis– Kontrol teknis adalah kontrol yang dibangun di dalam sistem oleh

pengembang selama siklus hidup pengembangan sistem. Auditor internal dalam tim proyek harus memasikan bahwa kontrol telah disertakan sebagai bagian dari perancangan sistem. Sebagian besar kontrol keamanan berdasarkan pada teknologi perangkat keras dan perangkat lunak. Kontrol yang biasa dipakai saat ini adalah sebagai berikut:

1. Kontrol terhadap akses

2. Sistem deteksi gangguan

3. Firewalls

4. Kontrol kriptografi

5. Kontrol fisik


• Kontrol Teknis1. Kontrol Terhadap Akses

Landasan keamanan untuk melawan ancaman yang timbul dari orang-orang yang tidakberwenang adalah kontrol terhadap akses.

Kontrol terhadap akses dilakukan melalui tiga tahap, sbb:

1. Pengenalan otomatis pengguna Para pengguna mengidentifikasi diri merekameng gunakan sesuatu yang mereka kenali sebelumnya, misalnya password.

2. Pembuktian otomatis pengguna proses identifikasi telah dilakukan, penggunaakan memverifikasi hak mereka terhadap akses menggunakan fasilitas sepertikartu cerdas (smart card), chip identifikasi, dll.

3. Pengesahan otomatis pengguna Bila proses identifikasi dan verifikasi telahselesai pengguna akan diberi otorisasi untuk melakukan akses dengan tingkat-tingkat penggunaan tertentu.


• Kontrol Teknis2. Sistem Deteksi Gangguan

– Logika dasar dari sistem deteksi gangguan adalah bagaimana mengenali potensi pengganggukeamanan sebelum sebelum usaha tersebut menjadi nyata dan menimbulkan kerusakan. Contohnya adalah perangkat lunak proteksi virus (virus protection software).

– Contoh yang lain tentang deteksi terhadap gangguan adalah perangkat lunak yang diarahkanuntuk mengidentifikasi pengganggu potensial sebelum penggangu tersebut memilikikesempatan untuk menimbulkan kerusakan. Alat untuk memprediksi ancaman dari dalamperusahaaan telah dikembangkan dengan mempertimbangkan berbagai karakteristik, sepertiposisi pegawai di perusahaan, akses terhadap data-data penting, kemampuan untuk mengubahkomponen perangkat keras, jenis aplikasi yang digunakan, file yang dimiliki dan pemakaianprotokol-protokol jaringan tertentu.


• Kontrol Teknis3. Firewalls

– Firewall bertindak sebagai suatu saringan dan penghalang yang membatasi aliran data dariinternet masuk dan keluar perusahaan. Konsep yang menjadi latar belakang firewall adalahmembangun satu pengaman untuk seluruh komputer yang ada di jaringan perusahaan. Adatiga jenis firewall, yaitu packet-filtering, circuit-level, dan aplication level.

– PACKET-FILTERING FIREWALL. Firewall penyaring adalah Satu perangkat yang biasanyadisertakan ke dalam jaringan adalah router. Kelemahan router adalah bahwa router inimerupakan satu-satunya titik yang digunakan untuk menjaga keamanan.

– CIRCUIT-LEVEL FIREWALL. Satu tingkat diatas router adalah circuit-level firewall atau firewall tingkat sirkuit yang di-install antara Internet dan jaringan perusahaan, tetapi tetap memilikikelemahan sebagai sistem keamanan yang berpusat pada satu titik.

– APPLICATION-LEVEL FIREWALL. Firewall tingkat aplikasi ini ditempatkan antara router dankomputer yang melakukan aplikasi. Dengan cara ini, pemeriksaan keamanan secara penuhdapat dilakukan. Firewall aplikasi adalah firewall yang paling efektif, tetap firewall ini cenderungmengurangi akses terhadap sumber daya dan merepotkan programer.


• Kontrol Teknis4. Kontrol Kriptografi (Cryptographic Control)

– Penyimpanan dan transmisi data dapat dilindungi dari pemakaian secara ilegal melaluikriptografi. Kriptografi adalah penyusunan dan penggunaan kode dengan proses-prosesmatematika, sehingga pemakai ilegal hanya akan mendapatkan data berbentuk kode yang tidakdapat dibaca.

– Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaan e-commerce, dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan. Salahsatunya adalah SET (Secure Electronic Transactions/Pengaman Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Penggunaan tandatangan rangkap ini lebih efektif dibandingkan dengan penggunaan nomor seri seperti yang terdapat pada kartu kredit.

– Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi yang berkesinambungan, penggunaan enkripsi diperkirakan akan meningkat walaupun adapembatasan-pembatasan yang dilakukan pemerintah.


• Kontrol Teknis5. Kontrol Fisik

–Langkah pencegahan pertama terhadap gangguan ilegal dari luar adalahmengunci pintu ruang komputer.

–Pencegahan selanjutnya yaitu menggunakan kunci yang lebih canggih, yang hanya dapat dibuka dengan sidik jari dan pengenalan suara.

–Selanjutnya pengawasan menggunakan kamera dan menempatkan petugaskeamanan.

–Perusahaan dapat meminimalisasi pengawasan fisik dengan menempatkanpusat komputernya di lokasi yang jauh dari kota besar dan pemukimanpenduduk dan jauh dari daerah yang rawan terhadap bencana alam sepertigempa bumi, banjir, dan badai


• Kontrol Formal– Kontrol formal meliputi penetapan kode, dokumentasi prosedur dan

penerapannya, serta monitoring dan pencegahan perilaku yang menyimpang dari peraruran-peraturan yang telah ditetapkan.

– Kontrol bersifat formal artinya manajemen perusahaan menyediakan waktu tertentu untuk melaksanakannya, hasilnya didokumentasikan secara tertulis dan dalam jangka waktu panjang kontrol ini menjadi salah satu inventaris perusahaan yang berharga.

– Ada kesepakatan universal bahwa jika kontrol formal ingin lebih efektif, maka manajemen tingkat atas harus mengambil peran aktif dalam penetapan dan penerapannya.


• Kontrol Informal– Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika

kepercayaan perusahaan terhadap pegawainya, memastikan bahwa para pegawai memahami misi dan tujuan perusahaan, mengadakan program pendidikan dan pelatihan serta program pengembangan manajemen.

– Kontrol ini ditujukan untuk memastikan bahwa pegawai perusahaan memahami dan mendukung program keamanan tersebut.


• Bantuan Pemerintah dan Industri– Beberapa dari standar berbentuk benchmark sebagai salah satu strategi dalam manajemen

risiko. Ada juga standar yang menggunakan istilah baseline.

– Pemerintah tidak mengharuskan perusahaan dan organisasi mengikuti standar, tapi lebih cenderung menyediakan bantuan dan arahan bila perusahaan akan menentukan tingkat keamanan yang ingin dicapai. Beberapa contoh standar adalah sebagai berikut:

• United Kingdom's BS 7799. Standar yang dikeluarkan oleh negara Inggris

• BSI IT Baseline Protection Manual, pendekatan baseline diikuti juga oleh German Bundesamt Fur Sicherheit in der Information technik (BSI).

• COBIT. Kontrol COBIT dikeluarkan oleh ISACAF (Information Systems Audit and Control Association & Foundation).

• GASSP. GASSP adalah singkatan dari Generally Accepted System Security Principles. Dibuat oleh Lembaga Penelitian Nasional Amerika Serikat.

• GMITS. GMITS atau The Guidelines for the Management of IT Security. Produk dari Joint Technical Committee dari ISO (International Standards Organization).

• ISF Standard of Good Practise. The Information Security Forum Standard of Good Practice


• Manajemen Keberlangsungan Bisnis (BCM)– Aktivitas yang dilakukan untuk melanjutkan operasional perusahaan setelah terjadinya

gangguan dan bencana terhadap sistem informasi disebut Manajemen Keberlangsungan Bisnis (Business Continuity Manajemen-BCM).

– Awalnya aktivitas ini disebut sebagai disaster planning atau perencanan ketika terjadi bencana. Istilah ini diperhalus menjadi contingency planning atau perencanaan terhadap hal-hal di luar dugaan dan perkiraan..

– Perusahaan telah menemukan bahwa pendekatan dengan cara memilah dan mengembangkan rencana menjadi sub-rencana dimana setiap sub-rencana diarahkan pada satu topik tertentu, lebih baik dibandingkan dengan pendekatan contingency planning yang bersifat menyeluruh. Yang termasuk sub-rencana rencana di antaranya:

1. rencana darurat,

2. rencana back up, dan

3. rencana pencatatan kejadian-kejadian penting.

Keamanan Sistem InformasiPertanyaan

1. Apakah yang termasuk dalam keamanan informasi tetapi tidak termasuk dalamkeamanan sistem?

2. Sebutkan tiga tujuan keamanan informasi?

3. Keamanan informasi dibagi dalam dua upaya yang terpisah. Apa saja keduaupaya tersebut ?

4. Apa perbedaan antara manajemen risiko dengan pelaksanaan benchmark ?

5. Risiko jenis apa yang menjadi perhatian dalam sistem e-commercel

6. Jenis ancaman apa yang dapat ditangani oleh firewall?

7. Apa keistimewaan dari kriptografi?

8. Apa perbedaan antara kontrol formal dan kontrol informal?

9. Apa yang membedakan antara bank dan organisasi pelayanan kesehatan dalamcara mereka menentukan tingkat keamanan yang tepat?

10. Apa peranan ISP dalam sistem keamanan informasi melawan kejahatankomputer dan terorisme?

11. Perencanaan apa saja yang termasuk kedalam contingency planning?

Keamanan Sistem Informasi• Topik Diskusi

1. Dapatkah kebijakan ditetapkan sebelum mendefinisikan risiko dan ancaman? Mengapa?

2. Mengapa kontrol yang ditujukan pada ancaman internal lebih menekankanpada pendeteksian gangguan?

3. Outline laporan yang akan disiapkan pada akhir analisis risiko menyebutkantentang "pemilik risiko". Apa yang dimaksud dengan "memiliki" sebuah risiko? Siapa yang menjadi contoh pemilik?

4. Mengapa keamanan informasi tidak bisa hanya mengandalkan pada kriptografi, sehingga tidak perlu menghadapi masalah pembatasan akses ?

• Permasalahan

Asumsikan bahwa Anda adalah pegawai sistem keamanan informasi perusahaanyang disewa oleh perusahaan kecil Midwest manufacturing. Anda menemukanbahwa perusahaan tersebut tidak dilengkapi denganperangkat lunak anti virus. Baca artikel tentang anti-virus dan tulis memo pada pimpinan Anda. Memo berisilaporan mengenai kondisi perusahaan dan permintaan untuk implementasiperangkat-perangkat lunak yang diperlukan.

Implikasi Etis dari Teknologi Informasi

• Moral, Etika, dan Hukum

– Elemen lingkungan, seperti pemegang dan pemilik saham, harus mengetahui bahwa perusahaan menggunakan sumber daya teknologi informasinya berdasarkan pada kode-kode etik yang berlaku, sehingga dana yang telah mereka keluarkan untuk pengembangan teknologi informasi benar-benar bermanfaat.

– Sebagai warga negara yang bermasyarakat, kita mengharapkan apa yang kita lakukan benar secara moral, beretika, dan mematuhi hukum yang berlaku.


• Moral

– Moral adalah keyakinan dan penilaian secara tradisi tentang baik atau buruknya hal yang dilakukan.

– Moral juga merupakan institusi sosial yang memiliki sejarah dan aturan-aturan tertentu. Kita mulai mempelajari aturan-aturan moral sejak masa anak-anak sampai dewasa.

– Walaupun masyarakat diberbagai belahan dunia memiliki aturan-aturan moral yang berbeda, tetapi terdapat satu aturan yang berlaku umum, yaitu "lakukanlah segala sesuatu yang secara moral benar.”


• Etika– Perilaku kita juga diatur dan dipengaruhi oleh etika.

– Etika adalah pedoman yang digunakan untuk menjalankan suatukepercayaan, standar, atau pemikiran dalam suatu individu, kelompok, dankomunitas tertentu.

– Setiap perilaku individu akan dinilai oleh komunitasnya. Komunitas dapatberbentuk lingkungan tetangga, kota, provinsi, negara, atau lingkunganpekerjaan.

– Etika di suatu komunitas bisa sangat berbeda dengan etika komunitaslainnya. Kita dapat melihat perbedaan ini dalam dunia komputer, misalnyadalam kasus pembajakan perangkat lunak.

– Dalam beberapa budaya, saling berbagi justru hal yang dianjurkan, sepertiyang terlihat dalam peribahasa Cina "Mereka yang saling berbagi akan diberipahala, mereka yang tidak berbagi akan dihukum."


• Hukum – Hukum adalah aturan formal yang dibuat oleh pihak yang berwenang,

misalnya pemerintah, di mana aturan ini harus diterapkan dan ditaati oleh pihak subjek, yaitu masyarakat atau warga negara.

– Pada 1996 muncul kasus pertama kejahatan komputer. Kasus yang menjadi berita besar ini terjadi ketika programmer suatu bank mengubah program sehingga saat programmer tersebut menarik uang dari rekeningnya, komputer tidak dapat mengenali.

– Namun, pelaku tidak dapat didakwa telah melakukan kejahatan komputer karena saat itu tidak ada hukum yang berlaku. Pelaku hanya didakwa memalsukan entry data dalam catatan bank.


• Moral, Etika, dan Hukum dalam IT

– Penggunaan komputer dalam dunia bisnis dipandu oleh moral dan nilai-nilai etika yang harus dimiliki baik oleh para manajer, ahli informasi, maupun pengguna.

– Hukum yang ditetapkan mudah untuk dipahami dan dilaksanakan karena ada dalam bentuk tertulis, berbeda dengan moral dan etika yang tidak didefinisikan secara pasti.

– Oleh karena itu, etika penggunaan teknologi informasi khususnya komputer menjadi hal yang perlu mendapat perhatian serius.


• Kebutuhan Akan Budaya Etika

– Kondisi suatu perusahaan menggambarkan jatidiri dari pemimpinnya adalah opini umum dalam dunia bisnis saat ini, begitu juga sebaliknya, sehingga publik cenderung untuk menilai perusahaan dengan menilai CEO-nya.

– Jika suatu perusahaan diharapkan menjadi perusahaan yang memiliki etika yang tinggi, maka semua manajer tingkat atas harus memimpin dan memberi contoh bagi seluruh anggota organisasi dalam menerapkan etika perusahaan. Perilaku ini yang disebut budaya etika (ethics culture).


• Bagaimana Budaya Etika Diterapkan

– Tugas para manajer adalah memastikan konsep-konsep etika menjangkau seluruh organisasi.

– Para eksekutif perusahaan menggunakan tiga tahap untuk menerapkan konsep-konsep etika ini.

• Tahap pertama: membentuk paham perusahaan (corporate credo);

• Tahap kedua: menjalankan program-program etika;

• Tahap ketiga: menetapkan kode etik perusahaan.



1. PAHAM PERUSAHAAN.

• Definisi: Pernyataan yang singkat tapi jelas mengenai nilai-nilai yang akan ditegakkan perusahaan.

• Tujuan: Untuk memberikan informasi kepada masyarakat didalam dan diluar perusahaan mengenai nilai-nilai etika yang dipegang perusahaan.



2. PROGRAM ETIKA.

• Definisi: Suatu usaha terdiri dari berbagai aktivitas yang dirancang untuk memberikan arah bagi para karyawan bagaimana melaksanakan paham perusahaan.

• Kegiatan: Beberapa sesi selama masa orientasi untuk para karyawan baru. Selama sesi ini subjek pembicaraan khusus difokuskan kepada masalah etika.

• Contoh lain dari program etika adalah audit etika. Di dalam suatu audit etika, seorang auditor internal mengadakan pertemuan dengan seorang manajer.



3. MENETAPKAN KODE ETIK PERUSAHAAN.

• Sebaiknya perusahaan sudah merencanakan untuk membuat kode etik bagi perusahaan mereka sendiri.

• Kadang-kadang kode etik tersebut merupakan adaptasi dari kode etik industri atau profesi tertentu.


• Mengapa Perlu Etika Komputer

– Definisi: Analisis mengenai sifat dan dampak sosial dari teknologi komputer, serta bagaimana formulasi dan kebijakan yang sesuai agar dapat menggunakan teknologi tersebut secara etis.

– Etika komputer terdiri dari dua aktivitas utama:

• (1) waspada dan sadar bagaimana pengaruh komputer terhadap masyarakat; dan

• (2) menentukan kebijakan yang dapat memastikan bahwa teknologi tersebut digunakan secara akurat.


• Alasan Pentingnya Etika Komputer

– Ada tiga alasan utama mengapa etika komputer sangat penting bagi masyarakat:

• kelenturan logika (logical malleability),

• faktor transformasi, dan

• faktor tidak terlihat (invisibility factor).



1. KELENTURAN LOGIKA.

• Definisi: Kita mampu memprogram komputer untuk melakukan apa pun yang kita inginkan. Komputer bekerja akurat seperti yang diinstruksikan oleh programernya dan kemampuan ini dapat berubah menjadi hal yang menakutkan.

• Masyarakat tidak perlu khawatir terhadap teknologi komputer sebab bila komputer digunakan untuk aktivitas yang tidak etis, maka orang yang berada di belakang komputer itulah yang harus dipersalahkan.



2. FAKTOR TRANSFORMASI.

• Definisi: penggunaan komputer telah mengubah secara drastis cara-cara kita dalam melakukan tugas-tugas perusahaan.

• Contohnya adalah e-mail. E-mail tidak hanya menggantikan fungsi surat-surat dan telepon, tetapi merupakan bentuk komunikasi yang sama sekali baru.

• Contoh lain, dulu para manajer harus berkumpul secara fisik di satu lokasi, sekarang mereka dapat bertemu dalam bentuk konferensi video.



3. FAKTOR TIDAK TERLIHAT.

• Umumnya masyarakat memandang komputer sebagai "kotak hitam" karena semua operasi internal komputer tidak dapat dilihat secara langsung.

• Tersembunyinya operasi internal komputer membuka peluang untuk: a) Membuat program-program secara tersembunyi

b) Melakukan kalkulasi kompleks secara diam-diam

c) Penyalahgunaan dan pengrusakan yang tidak terlihat.


• Hak Masyarakat dan Komputer

– Masyarakat mengharapkan:

• Pemerintah dan kalangan bisnis untuk menggunakan komputer dengan cara yang etis

• Mempunyai hak-hak tertentu yang terkait dengan komputer.

• Penggolongan hak asasi manusia dalam area komputer yang diistilahkan PAPA, yaitu Privacy, Accuracy, Property dan Accesibility (Kerahasiaan, Keakuratan, Kepemilikan, dan Kemudahan Akses).


• Audit Informasi

– Ketika kita membangun seperangkat aturan dalam etika penggunaan komputer, ada kelompok yang sebagai kunci untuk bangunan tersebut. Mereka adalah auditor internal dan eksternal.

– Seluruh perusahaan baik kecil maupun besar bersandar pada auditor eksternal

– Auditor eksternal, mengerjakan auditing internal dan memeriksa ulang hasil-hasil yang telah dikerjakan auditor internal.


• Pentingnya Objektivitas dalam Audit

– Ciri khas yang dimiliki auditor internal adalah objektifitas. Auditor internal bekerja secara independen. Mereka hanya bertanggung jawab kepada CEO dan CFO.

– Auditor bekerja terbatas dalam kapasitasnya sebagai penasihat. Mereka memberikan rekomendasi kepada manajemen, dan manajemen memutuskan apakah rekomendasi tersebut akan diimplementasikan atau tidak.


• Jenis-jenis Aktivitas Audit

– Ada empat jenis aktivitas audit internal, yaitu:

1. Audit keuangan,

2. Audit operasional,

3. Audit lapangan, dan

4. Kontrol internal desain sistem.

– Seorang auditor internal dapat mengerjakan keempat jenis audit ini.


• Jenis-jenis Aktivitas Audit– AUDIT KEUANGAN. Audit keuangan adalah aktivitas verifikasi terhadap

keakuratan arsip dan catatan perusahaan. Secara umum aktivitas inidilakukan oleh auditor eksternal. Dalam situasi dan pekerjaantertentu, audit keuangan dilakukan auditor internal bekerja samadengan auditor eksternal, dan pada tugas lain, audit keuangandilakukan sendiri oleh auditor internal.

– AUDIT OPERASIONAL. Aktivitas audit operasional diselenggarakanuntuk menilai efektivitas prosedur, bukan unruk memeriksakeakuratan arsip. Aktivitas ini dilakukan oleh analis sistem pada faseanalisis dari siklus hidup pengembangan sistem. Sistem ini lebihbersifat konseptual daripada fisik, tetapi unruk audit operasional tidakterlalu dibutuhkan pemakaian komputer. Bila audit operasional telahdilaksanakan, auditor akan memberikan sejumlah saran kepadamanajemen untuk memperbaiki sistem yang ada.



– AUDIT OPERASIONAL.

• Tujuan: Untuk menilai efektivitas prosedur, bukan untuk memeriksa keakuratan arsip.

• Aktivitas ini dilakukan oleh analis sistem pada fase analisis dari siklus hidup pengembangan sistem.

• Sistem ini lebih bersifat konseptual daripada fisik, sehingga tidak terlalu dibutuhkan pemakaian komputer.

• Bila audit operasional telah dilaksanakan, auditor akan memberikan sejumlah saran kepada manajemen untuk memperbaiki sistem yang ada.



– AUDIT LAPANGAN.

• Audit lapangan pada dasarnya sama dengan audit operasional, hanya audit lapangan dilakukan pada saat kegiatan yang diaudit tengah berlangsung.

• Sebagai contoh, auditor internal secara acak akan memilih karyawan dan secara pribadi menanyakan bagaimana pembayaran gaji mereka.

• Prosedur ini memastikan bahwa nama yang tercantum bukan nama fiktif yang dibuat oleh supervisor agar dia memperoleh penghasilan ekstra secara tidak jujur.



– KONTROL INTERNAL DESAIN SISTEM.

• Auditor internal perlu aktif mengambil bagian dalam pengembangan sistem.

• Ada dua pertimbangan dasar untuk itu: – Pertama, biaya mengoreksi kesalahan dari sistem akan meningkat

dramatis bila siklus hidup sistem telah berjalan. Biaya koreksi terhadap kesalahan desain pada saat operasi dan pemeliharaan sebesar 40 kali lipat dibandingkan mengoreksi kesalahan saat sistem masih berbentuk konsep

– Auditor internal memiliki keahlian yang dapat meningkatkan mutu dari sistem yang dikembangkan.


• Etika Untuk Keberhasilan Teknologi Informasi

– Perusahaan tidak dapat mengerjakan semua pekerjaan budaya etika tanpa bantuan.

– Bantuan tersebut berbentuk kode etik dan program pendidikan etika yang menyediakan landasan untuk menerapkan budaya etika.

– Program pendidikan etika dapat membantu mengembangkan kredo perusahaan dan menempatkan program-program etika dengan akurat.



– ACM (Association for Computing Machinery) yang didirikan tahun 1947 telah mengembangkan Kode Etik dan Perilaku Profesional dengan 75.000 anggota diharapkan untuk mengikutinya.

– Kode etik ini digunakan sebagai pedoman untuk mengajarkan dan mempraktikan rekayasa perangkat lunak, serta mengatur penggunaan prinsip-prinsip rekayasa dalam mengembangkan perangkat lunak.



– Kode Etik menunjukan lima dimensi utama dari penggunaan komputer, yaitu moral, hukum, kinerja profesional, tanggung jawab sosial, dan dukungan internal.

– Walaupun Kode ACM ditujukan sebagai pedoman bagi anggota ACM, tapi dapat digunakan juga oleh pengguna dan para ahli komputer pada umumnya sebagai pedoman dalam aktivitas-aktivitas yang berhubungan dengan komputer.


• Etika dan CIO

– Sistem Informasi hanya satu unit di dalam perusahaan, tetapi unit ini berpengaruh untuk memenuhi permintaan pemerintah dan masyarakat terhadap laporan keuangan yang akurat.

– CIO (chief information officer) adalah orang yang dapat memberikan informasi yang objektif dan akurat untuk perusahaan, masyarakat pengguna, pemerintah, dan pihak lain yang berkepentingan.


• Etika dan CIO

– CIO telah memahami prinsip-prinsip bisnis dan operasibisnis dengan baik. Saat ini CIO dituntut memiliki ilmudan pemahaman di bidang sistem akuntansi.

– Selain itu CIO juga dapat bekerja sama dengan auditor internal dan anggota tim proyek yang mengembangkan, mengelola dan memelihara sistempengolahan transaksi perusahaan.

Pengelolaan Sistem Informasi - · PDF fileManajemen Pengamanan Informasi ... Pembentukan Tim...

Documents

Transcript of Pengelolaan Sistem Informasi - · PDF fileManajemen Pengamanan Informasi ... Pembentukan Tim...