Etika & Keamanan Sistem Informasi
Disusun oleh: RIDLO PAMUJI 13111111 / 22
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASI UNIVERSITAS MERCU BUANA YOGYAKARTA 2015/2016
1
DAFTAR ISI Daftar Isi .....................................................................................................................................2 BAB I – Pendahuluan .................................................................................................................3 1.1.
Latar Belakang . ............................................................................................................3
1.2.
Rumusan Masalah . .......................................................................................................3
BAB II – Pembahasan .................................................................................................................4 2.1.
Etika Sistem Informasi. .................................................................................................4
2.1.1. Pengertian Etika . .....................................................................................................4 2.1.2. Pengertian Teknologi Informasi . ..............................................................................4 2.1.3. Etika Dalam Penggunaan Teknologi Sistem Informasi . ............................................4 2.1.4. Permasalahan Etika .................................................................................................5 2.2.
Keamanan Sistem Informasi. .........................................................................................7
2.2.1. Pengertian Keamanan Sistem Informasi....................................................................7 2.2.2. Pentingnya Keamanan Sistem Informasi ..................................................................7 2.2.3. Keamanan Informasi ...............................................................................................7 2.2.4. Ancaman Virus .......................................................................................................9 2.2.5. Ancaman Keamanan Informasi .............................................................................. 12 2.2.6. Pengamanan Sistem Informasi ............................................................................... 14 2.2.7. Kebijakan Keamanan Sistem Informasi .................................................................. 19 2.3.
Pengendalian Sistem Informasi. .................................................................................. 22
2.3.1. Pengertian Pengendalian Sistem Informasi ............................................................. 22 2.3.2. Element Pengendalian Sistem Informasi ................................................................. 22 2.3.3. Jenis Pengendalian Sistem Informasi ...................................................................... 23 2.3.4. Prosedur Pengendalian Sistem Informasi ................................................................ 24 BAB III – Penutup ................................................................................................................... 26 5.1.
Kesimpulan ................................................................................................................ 26
5.2.
Daftar Pustaka............................................................................................................. 26
2
BAB I PENDAHULUAN 1.1. Latar Belakang Masalah Perkembangan teknologi komputer sebagai sarana informasi memberikan banyak keuntungan. Salah satu manfaatnya adalah bahwa informasi dapat dengan segera diperoleh dan pengambilan keputusan dapat dengan cepat dilakukan secara lebih akurat, tepat dan berkualitas. Namun, di sisi lain, perkembangan teknologi informasi, khususnya komputer menimbulkan masalah baru. Bahwa banyak sekarang penggunaan komputer sudah di luar etika penggunaannya, misalnya: dengan pemanfaatan teknologi komputer, dengan mudah seseorang dapat mengakses data dan informasi dengan cara yang tidak sah. Adapula yang memanfaatkan teknologi komputer ini untuk melakukan tindakan kriminal. Hal-hal inilah yang kemudian memunculkan unsur etika sebagai faktor yang sangat penting kaitannya dengan penggunaan sistem informasi berbasis komputer, mengingat salah satu penyebab pentingnya etika adalah karena etika melingkupi wilayah – wilayah yang belum tercakup dalam wilayah hukum. Faktor etika disini menyangkut identifikasi dan penghindaran terhadap unethical behavior dalam penggunaan sistem informasi berbasis computer. Keamanan system informasi juga sangat penting untuk menjaga, mengelola dan menghindarkan system informasi disalahgunakan untuk tindakan criminal ataupun kejahatan. 1.2. Rumusan Masalah Berdasarkan latar belakang masalah di atas, maka rumusan masalah yang akan dibahas adalah tentang etika system informasi, keamanan system informasi dan pengendalian system informasi yang bertujuan untuk menyelesaikan tugas mata kuliah Konsep Sistem Informasi serta menambah pengetahuan tentang system informasi.
3
BAB II PEMBAHASAN 2.1. Etika Sistem Informasi 2.1.1. Pengertian Etika Etika adalah sebuah sesuatu dimana dan bagaimana cabang utama filsafat yang mempelajari nilai atau kualitas yang menjadi studi mengenai standar dan penilaian moral. Etika mencakup analisis dan penerapan konsep seperti benar, salah, baik, buruk, dan tanggung jawab. Etika pun memiliki landasan hukum dalam penggunaan teknologi informasi yang tersirat di UU ITE tahun 2008, BAB II asas tujuan pasal 3 , yang berbunyi "pemanfaatan teknologi informasi dan transaksi elektronik dilaksanakan berdasarkan asas kepastian hukum, manfaat, kehati-hatian, itikad baik dan kebebasan memilih teknologi atau netral teknologi". 2.1.2. Pengertian Teknologi Sistem Informasi Teknologi Sistem Informasi (TSI) atau Technology Information System adalah teknologi yang tidak terbatas pada penggunaan sarana komputer, tetapi meliputi pemrosesan data, aspek keuangan, pelayanan jasa sejak perencanaan, standar dan prosedur, serta organisasi dan pengendalian sistem catatan (informasi). 2.1.3. Etika Dalam Penggunaan Teknologi Sistem Informasi Dalam bidang teknologi informasi, tentunya etika menjadi sangat penting khususnya di era informasi seperti sekarang ini. Para pelaku dunia IT harus mengetahui etika dalam penggunaan Teknologi Sistem Informasi. Etika untuk pembuat teknologi informasi Pembuat adalah orang yang menciptakan teknologi informasi, biasanya adalah lembaga besar dengan para ahli-ahli teknologi di beberapa bidang namun tidak menutup kemungkinan dilakukan secara individu, dalam membuat teknologi informasi tentu harus memperhatikan etika IT yaitu tidak menjiplak atau mengambil ide / info dari orang lain secara ilegal, salah satu contohnya adalah kasus dimana apple mengugat samsung dikarenakan bentuk produk yang dimuliki samsung memiliki bentuk yang menyerupai produk apple, dan setelah dilakukan persidangan akhirnya dimenangkan oleh pihak dari apple.
4
Etika untuk pengelola teknologi informasi Pengelola adalah orang yang mengelola teknologi informasi, misalnya adalah provider telekomunikasi, etika bagi pengelola adalah merahasiakan data pribadi yang dimiliki oleh client mereka, selain itu juga tidak melakukan pelanggaran perundang-undangan ITE. Etika untuk pengguna teknologi informasi Pengguna adalah orang yang menggunakan teknologi informasi untuk membantu menyelesaikan masalah dan mempermudah pekerjaan mereka, etika bagi pengguna adalah tidak melakukan atau menggunakan apliksi bajakan yang dapat merugikan pembuat, menghormati hak cipta yang milik orang lain, tidak merusak teknologi informasi , contohnya adalah bila mengutip tulisan dari blog atau halaman lain yang dimasukan kedalam blog pribadi,maka diharuskan untuk menulis atau mencantumkan backlink sebagai bentuk pertangungjawaban atas kutipan yang telah dilakukan. 2.1.4. Permasalahan Etika Masalah etika juga mendapat perhatian dalam pengembangan dan pemakaian sistem informasi. Masalah ini diidentifikasi oleh Richard Mason pada tahun 1986 (Zwass, 1998) yang mencakup privasi, akurasi, property dan akses. Privasi Privasi menyangkut hak individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang memang tidak diberi ijin untuk melakukannya. Contoh isu mengenai privasi sehubungan diterapkannya sistem informasi adalah pada kasus seorang manajer pemasaran yang ingin mengamati email yang dimiliki bawahannya karena diperkirakan mereka lebih banyak berhubungan dengan email pribadi daripada email para pelanggan. Sekalipun manajer dengan kekuasaannya dapat melakukan hal itu, tetapi ia telah melanggar privasi bawahannya. Akurasi Akurasi terhadap informasi merupakan factor yang harus dipenuhi oleh sebuah sistem informasi. Ketidakakurasian informasi dapat menimbulkan hal yang mengganggu, merugikan, dam bahkan membahayakan. Sebuah kasus akibat kesalahan penghapusan nomor keamanan social dialami oleh Edna Rismeller. Akibatnya, kartu asuransinya tidak bisa digunakan dan bahkan pemerintah
5
menarik kembali cek pensiun sebesar $672 dari rekening banknya. Mengingat data dalam sistem informasi menjadi bahan dalam pengambilan keputusan, keakurasiannya benar-benar harus diperhatikan. Properti Perlindungan terhadap hak property yang sedang digalakkan saat ini yaitu dikenal dengan sebutan HAKI (Hak Atas Kekayaan Intelektual). Kekayaan Intelektual diatur melalui 3 mekanisme yaitu hak cipta (copyright), paten, dan rahasia perdagangan (trade secret). Hak Cipta Hak cipta adalah hak yang dijamin oleh kekuatan hokum yang melarang penduplikasian kekayaan intelektual tanpa seijin pemegangnya. Hak cipta biasa diberikan kepada pencipta buku, artikel, rancangan, ilustrasi, foto, film, musik, perangkat lunak, dan bahkan kepingan semi konduktor. Hak seperti ini mudah didapatkan dan diberikan kepada pemegangnya selama masih hidup penciptanya ditambah 70 tahun. Paten Paten merupakan bentuk perlindungan terhadap kekayaan intelektual yang paling sulit didapat karena hanya akan diberikan pada penemuan-penemuan inovatif dan sangat berguna. Hukum paten memberikan perlindungan selama 20 tahun. Rahasia Perdagangan Hukum rahasia perdagangan melindungi kekayaan intelektual melalui lisensi atau kontrak. Pada lisensi perangkat lunak, seseorang yang menandatangani kontrak menyetujui untuk tidak menyalin perangkat lunak tersebut untuk diserhakan pada orang lain atau dijual Akses Fokus dari masalah akses adalah pada penyediaan akses untuk semua kalangan. Teknologi informasi malah tidak menjadi halangan dalam melakukan pengaksesan terhadap informasi bagi kelompok orang tertentu, tetapi justru untuk mendukung pengaksesan untuk semua pihak.
6
2.2. Keamanan Sistem Informasi 2.2.1. Pengertian Keamanan Sistem Informasi Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan untuk mengamankan perangkat keras dan lunak computer, jaringan komunikasi dan data. 2.2.2. Pentingnya Keamanan Sistem Informasi Seringkali sulit untuk membujuk management perusahaan atau pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness” meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya yang lebih banyak. Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan. 2.2.3. Keamanan Informasi Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu perusahaan.Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah sistem informasi.Akan tetapi, masalah keamanan ini kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah“information-based society”.Kemampuan untuk
7
mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat essensial bagi suatu organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi. Jaringan komputer seperti LAN(Local Area Network) dan internet, memungkinkan untuk menyediakan informasi secara cepat.Hal ini menjadi salah satu alasan perusahaan mulai berbondong-bondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet.Terhubungnya komputer ke internet membuka potensi adanya lubang keamanan(security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu: Kerahasiaan Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti keabsahan, integritas data, serta autentikasi data. Ketersediaan Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil karya pembuat.
8
Masalah kedua biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah atau yang berhak menggunakannya. Integritas Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan. 2.2.4. Ancaman Virus Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration. Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi. Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai berikut : Virus Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980an, virus berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada
9
jenis kerusakan yang bersifat merugikan dalam hal finansial. Dilihat dari cara kerjanya, virus dapat dikelompokkan sebagai berikut: Overwriting Virus – merupakan penggalan program yang dibuat sedemikian rupa untuk menggantikan program utama (baca: host) dari sebuah program besar sehingga dapat menjalankan perintah yang tidak semestinya. Prepending Virus – merupakan tambahan program yang disisipkan pada bagian awal dari program utama atau “host” sehingga pada saat dieksekusi, program virus akan dijalankan terlebih dahulu sebelum program yang sebenarnya dijalankan. Appending Virus – merupakan program tambahan yang disisipkan pada bagian akhir dari program (host) sehingga akan dijalankan setelah program sebenarnya tereksekusi. File Infector Virus – merupakan penggalan program yang mampu memiliki kemampuan untuk melekatkan diri (baca: attached) pada sebuah file lain, yang biasanya merupakan file “executable”, sehingga sistem yang menjalankan file tersebut akan langsung terinfeksi. Boot Sector Virus – merupakan program yang bekerja memodifikasi program yang berada di dalam boot sector pada cakram penyimpan (baca: disc) atau disket yang telah diformat. Pada umumnya, sebuah boot sector virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses “boot-up” pada komputer terjadi, sehingga seluruh “floppy disk” yang digunakan pada komputer tersebut akan terjangkiti pula, hal ini sering terjadi pada USB Flashdisk. Multipartite Virus – merupakan kombinasi dari Infector Virus dan Boot Sector Virus dalam arti kata ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan menjangkiti boot sector dari hard disk atau partition sector dari computer tersebut, dan sebaliknya. Macro Virus - menjangkiti program “macro” dari sebuah file data atau dokumen (yang biasanya digunakan untuk “global setting” seperti pada template Microsoft Word) sehingga dokumen berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh penggalan program macro yang telah terinfeksi sebelumnya.
10
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain sebagainya. (Richardus eko indrajit : seri artikel “aneka serangan didunia maya ). Worms Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan program, perbedaan prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data pada hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam menghadapinya. Trojan Horse Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.
11
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain: Remote Access Trojan - kerugian yang ditimbulkan adalah komputer korban dapat diakses menggunakan remote program. Password Sending Trojan - kerugian yang ditimbulkan adalah password yang diketik oleh komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban serangan. Keylogger - kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat dan dikirimkan via email kepada hacker yang memasang keylogger. Destructive Trojan – kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk yang diformat oleh Trojan jenis ini. FTP Trojan – kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer tempat dilakukannya download dan upload file. Software Detection Killer – kerugiannya dapat mencium adanya programprogram keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya. Proxy Trojan – kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian dimana yang terlacak nantinya adalah komputer korban, bukan komputer pelaku kejahatan. 2.2.5 Ancaman Keamanan Informasi Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja..Ancaman selama ini hanya banyak di bahas dikalangan akademis saja.Tidak banyak masyarakat yang mengerti tentang ancaman bagi keamanan
12
sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan ‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode -metode penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) . STRIDE merupakan singkatan dari: Spoofing Menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang lain . Tampering Tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database. Repudiation Membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada suatu saat. Information disclosure Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi. Denial of service Membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain. Elevation of priviledge Menyalahgunakan wewenang yang sistemuntuk kepentingan pribadi.
13
dimiliki
untuk
mengakses
sebuah
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut: Kewenangan tinggi untuk login kedalam sebuah sistem. Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber. Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu. Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut. 2.2.6 Pengamanan Sistem Informasi Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan,sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan“Secure Socket Layer” (SSL).Metoda ini misalnya umum digunakan untuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem andadengan Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak. Mengatur akses (Access Control) Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.Di sistem UNIX, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan “userid” dan “password”. Informasi yang diberikan ini dibandingkan dengan userid dan
14
password yang berada di sistem.Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat.Misalnya, adayang menuliskan informasi apabila pemakai memasukkan user id dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kalisalah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan. Memilih password Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan program password cracker, maka memilih passwordmemerlukan perhatian khusus .Berikut ini adalah daftar hal-hal yang sebaiknya tidak digunakan sebagai password. Memasang Proteksi Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Sebagai contoh, di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk membatasi akses kepada servis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapatdibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu. Sementara firewall dapat digunakan untuk melakukan filter secara umum. Untuk mengetahui apakah server anda menggunakan tcpwrapper atau tidak, periksa isi berkas /etc/inetd.conf. Biasanya tcpwrapper dirakit menjadi “tcpd”.Apabila servis di server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka server anda menggunakan tcpwrapper.Biasanya, konfigurasi tcpwrapper (tcpd)diletakkan di berkas /etc/hosts.allow dan /etc/hosts.deny. Firewall Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal (Lihat Figure 4.1 on page 55).Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan utama dari firewall adalah untuk menjaga
15
(prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis: apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted) apa-apa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted) Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall. Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer dengan prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana. Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering antara lain: ipfwadm: merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kala dibutuhkan software tertentu agar dapat menggunakan proxyserver ini, seperti misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain: Socks: proxy server oleh NEC Network Systems Labs
16
Squid: web proxy server Pemantau adanya serangan Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain: Autobuse, mendeteksi probing dengan memonitor logfile. Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang Shadow dari SANS Pemantau integritas system Pemantau integritas sistem dijalankan secara berkala untuk menguji integratitas sistem. Salah satu contoh program yang umum digunakan di sistem UNIX adalah program Tripwire. Program paket Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas. Pada mulanya, tripwire dijalankan dan membuat database mengenai berkas-berkas atau direktori yang ingin kita amati beserta“signature” dari berkas tersebut. Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas tersebut, makakeluaran dari hash function akan berbeda dengan yang ada di database sehingga ketahuan adanya perubahan. Audit: Mengamati Berkas Log Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya. Backup secara rutin
17
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem danmerusak sistem dengan menghapus berkas-berkas yang dapat ditemui.Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan diadapat menghapus seluruh berkas.Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Bayangkan apabila yang dihapus oleh tamu ini adalah berkas penelitian, tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuatbackup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackupakan tetapi diletakkan pada lokasi yang sama, kemungkinan dataakan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.Untuk menghindari hal ini, enkripsi dapat digunakan untukmelindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan RSA atau IDEA sehingga tidak dapat dibaca oleh orangyang tidak berhak. Salah satu implementasi mekanisme ini adalah SSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain: SSH untuk UNIX (dalam bentuk source code, gratis) SSH untuk Windows95 )http://www.datafellows.com/
dari
Data
Fellows
(komersial
TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95) http://www.paume.itb.ac.id/rahard/koleksi SecureCRT untuk Windows95 (shareware / komersial) Penggunaan Enkripsi untuk meningkatkan keamanan Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap (sniffer).Contoh servis yang menggunakan plain text antara lain: akses jarak jauh dengan menggunakan telnet dan rlogin transfer file dengan menggunakan FTP
18
akses email melalui POP3 dan IMAP4 pengiriman email melalui SMTP akses web melalui HTTP Penggunaan enkripsi untuk remote akses (misalnya melalui ssh sebagai penggani telnet atau rlogin) akan dibahas di bagian tersendiri. Telnet atau shell aman Telnet atau remote login digunakan untuk mengakses sebuah “remotesite” atau komputer melalui sebuah jaringan komputer. Akses ini dilakukan dengan menggunakan hubungan TCP/IP denganmenggunakan userid dan password. Informasi tentang userid danpassword ini dikirimkan melalui jaringan komputer secara terbuka. Akibatnya ada kemungkinan seorang yang nakal melakukan “sniffing” dan mengumpulkan informasi tentang pasangan user id dan password ini. 2.2.7 Kebijakan Keamanan Sistem Informasi Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya. Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya. Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information Communication Technology) dnegan pengarahan dari pimpinan organisasi. Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah: Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan Karyawan diwajibkan untuk memiliki “melek” keamanan informasi.Mereka harus mengetahui dan dapat membayangkan dampak apabila peraturan keamanan sistem informasi diabaikan.Semua manajer bertanggung jawab untuk mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan di perusahaan dan bagiannya. Penetapan pemilik sistem informasi
19
Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau sistem) yang bertanggung jawab atas keamanan sistem dan data yang dipakainya.Ia berhak untuk mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dalam sistem yang menyangkut bagiannya. Personel ini merupakan contact person dengan bagian ICT (Information Communication Technology). Langkah keamanan harus sesuai dengan peraturan dan undang-undang Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undangundang yang telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta. Antisipasi terhadap kesalahan Dengan meningkatkan proes transaksi secara online dan ral time dan terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka hanya dalam hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga kejanggalan dapat ikoreksi secepat mungkin. Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai dnegan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini. Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem informasi Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut. Pekerjaan yang dilakukan oleh pihak ketiga
20
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan, maka perusahaan harus dilindungi oleh keamanan atas informasi perusahaan.Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistm informasi perusahaan.Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah ditentukan. Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai akhir. Untuk mencapai tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem. Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (change request) Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan yang kuat serta keuntungan yang akan didapatkan dan pemohon harus dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting apabila semua pihak yang terkait harus menandatangani “change request” sebelum kegiatan ini dimulai. Sistem yang akan dikembangkan harus sesuai dnegan standart metode pengembangan sistem yang diemban oleh organisasi Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID)
21
Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini. 2.3. Pengendalian Sistem Informasi 2.3.1. Pengertian Pengendalian Sistem Informasi Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam proses pengelolaan informasi. Ada beberapa ketrampilan untuk mengelola pengendalian sistem informasi, yaitu ; 1.
Kemampuan mengendalikan kegiatan perencanaan informasi
2.
Kemampuan mengendalikan proses transformasi informasi
3.
Kemampuan mengendalikan organisasi pelaksana sistem informasi
4.
Kemampuan kemampuan kegiatan koordinasi
Dengan kemampuan-kemapuan itu, maka terjamin kelancaran pelaksanaan pengelolaan sistem informasi Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme pengelolaan sistem informasi, khususnya dalam fungsi-fungsi perencanaan informasi, transformasi, organisasi, dan koordinasi 2.3.2. Element Pengendalian Sistem Informasi Element pengendalian tersebut adalah : 1.
Lingkungan pengendalian(controling environment)
2.
Penilaian risiko manajemen (management risk assessment).
3.
Sistem komunikasi dan informasi (information and comunication sistem).
4.
Aktifitas pengendlian (control activities).
5.
Monitoring.
22
2.3.3. Jenis Pengendalian Sistem Informasi Pengendalian sistem dapat digolongkan menjadi empat jenis : 1.
Pengendalian Korektif Pengendalian korektif adalah bagian pengendalian sistem yang tidak begitu tinggi nilainya dan lebih membebani, karena pengendalian ini mengkoreksi kesalahan-kesahan yang ditemukan pada saat sistem berjalan. Umumnya pengendalian korektif ini mencakup kondisi penting atau bahaya yang memerlukan tindakan segera. Kemampuan untuk mendiagnosa atau memperbaiki kesalahan atau malfungsi dengan cepat sangatlah berharga.
2.
Pengendalian Adaptif Pengendalian adaptif dilakukan untuk menyesuaikan perubahan dalam lingkungan data atau pemrosesan dan memenuhi persyaratan pemakai baru. Lingkungan tempat sistem beroperasi adalah dinamik, dengan demikian, sistem harus terus merespon perubahan persyaratan pemakai. Misalnya, UndangUndang Perpajakan yang baru mungkin memerlukan suatu perubahan dalam kalkulasi pembayaran bersih. Umumnya pengendalian adatif ini baik dan tidak dapat dihindari.
3.
Pengendalian Perfektif (Penyempurnaan) Pengendalian penyempurnaan mempertinggi cara kerja atau maintainabilitas (kemampuan untuk dipelihara). Tindakan ini juga memungkinkan sistem untuk memenuhi persyaratan pemakai yang sebelumnya tidak dikenal. Ketika membuat perubahan substansial modul apapun, petugas pemeliharaan juga menggunakan kesempatan untuk mengupgrade kode, mengganti cabangcabang yang kadaluwarsa, memperbaiki kecerobohan, dan mengembangkan dokumentasi. Sebagai contoh, kegiatan pengendalian ini dapat berbentuk perekayasaan ulang atau restrukturisasi perangkat lunak, penulisan ulang dokumentasi, pengubahan format dan isi laporan, penentuan logika pemrosesan yang lebih efisien, dan pengembangan efisiensi pengoperasian perangkat.
4.
Pengendalian Preventif
23
Pemeliharaan Preventif terdiri atas inspeksi periodik dan pemeriksaan sistem untuk mengungkap dan mengantisipasi permasalahan. Karena personil pemeliharaan sistem bekerja dalam sistem ini, mereka seringkali menemukan cacat-cacat (bukan kesalahan yang sebenarnya) yang menandakan permasalahan potensial. Sementara tidak memerlukan tindakan segera, cacat ini bila tidak dikoreksi di tingkat awal, jelas sekali akan mempengaruhi baik fungsi sistem maupun kemampuan untuk memeliharanya dalam waktu dekat. 2.3.4. Prosedur Pengendalian Sistem Informasi 1.
SDLC (System Development Life Cycle) dan SWDLC (Software Development Life Cycle). Aplikasi yang profesional dalam SDLC dan SWDLC dan teknik maupun perangkat modeling yang mendukungnya adalah hal-hal keseluruhan yang terbaik yang dapat seseorang lakukan untuk meningkatkan maintainabilitas sistem.
2.
Definisi Data Standar. Trend ke arah sistem manajemen database relasional mendasari dorongan ke normalisasi data dan definisi data standar.
3.
Bahasa Pemrograman Standar. Penggunaan bahasa pemrograman standar, misalnya C atau COBOL, akan mempermudah pekerjaan pemeliharaan. Jika perangkat lunak C atau COBOL berisi dokumentasi internal yang jelas dan lengkap, seorang programmer pemeliharaan pemula atau pemakai dapat memahami apa yang sedang dikerjakannya. Lagipula C dan COBOL adalah bahasa Universal yang umumnya diketahui oleh sejumlah besar orang. Dengan demikian penggantian programmer pemeliharaan tidak begitu berdampak negatif pada kemampuan perusahaan untuk memelihara program C atau COBOL lama.
4.
Rancangan Moduler. Programmer pemeliharaan dapat mengganti modul program jauh lebih mudah daripada jika ia berurusan dengan keseluruhan program.
5.
Modul yang Dapat Digunakan Kembali.
24
Modul biasa dari kode yang dapat digunakan kembali, dapat diakses oleh semua aplikasi yang memerlukannya. 6.
Dokumentasi Standar. Diperlukan sistem, pemakai, perangkat lunak dan dokumentasi operasi yang standar sehingga semua informasi yang diperlukan untuk beroperasi dan pemeliharaan aplikasi khusus akan tersedia.
7.
Kontrol Sentral. Semua program, dokumentasi, dan data tes seharusnya diinstal dalam penyimpanan pusat dari sistem CASE (Computer-Aided Software Engineering atau Computer-Assisted Software Engineering).
25
BAB III PENUTUP 3.1. Kesimpulan Etika adalah sebuah sesuatu dimana dan bagaimana cabang utama filsafat yang mempelajari nilai atau kualitas yang menjadi studi mengenai standar dan penilaian moral. Etika mencakup analisis dan penerapan konsep seperti benar, salah, baik, buruk, dan tanggung jawab. Etika pun memiliki landasan hukum dalam penggunaan teknologi informasi yang tersirat di UU ITE tahun 2008, BAB II asas tujuan pasal 3 , yang berbunyi "pemanfaatan teknologi informasi dan transaksi elektronik dilaksanakan berdasarkan asas kepastian hukum,manfaat,kehati-hatian, itikad baik dan kebebasan memilih teknologi atau netral teknologi". Keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan disebuah sistem yang berbasis informasi, dimana informasinya sendiri tidakmemiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikansebagai kebijakan, prosedur, dan pengukuran teknis yang digunakanuntuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam proses pengelolaan informasi. 3.2. Daftar Pustaka http://danipermana66.blogspot.co.id/2013/11/etika-dalam-sistem-informasi.html http://www.academia.edu/9760290/keamanan_sistem_informasi http://elsa-suryana-fisip12.web.unair.ac.id/artikel_detail-79306-UmumKeamanan%20Sistem%20Informasi.html http://akongo.mhs.uksw.edu/2012/11/pengendalian-dan-pemeliharaan-sistem.html http://bagusdwiseto.blogspot.co.id/2013/10/pengendalian-sistem-informasi.html
26