Praktek-Praktek Kode Etik dalam
penggunaan Teknologi Informasi
(Integrity,
confidentiality, dan avaliabilityPrivacy)
Roro Rizky Ananda Febriani 16110243
Eka Fitri Rahayu 12110271
Jurusan Sistem Informasi, Fakultas Ilmu Komputer dan Teknologi Informasi
Universitas Gunadarma, 2014
ABSTRAK
Semakin
pesatnya kemajuan teknologi informasi.kita harus mempunyai sebuah rencana
keamanan, harus dapat mengkombinasikan peran dari kebijakan, teknologi dan
orang. Dimana manusia (people), yang
menjalankan proses membutuhkan dukungan kebijakan (policy), sebagai petunjuk untuk melakukannya, dan membutuhkan
teknologi (technology), merupakan
alat (tools), mekanisme atau
fasilitas untuk melakukan.
A. LATAR BELAKANG
Kode Etik dapat
diartikan sebagai pola aturan, tata cara, tanda, pedoman etis dalam melakukan
suatu kegiatan atau pekerjaan. Kode etik merupakan pola aturan atau tata cara
sebagai pedoman berperilaku. Adanya kode etik akan melindungi perbuatan yang
tidak profesional. Maksudnya bahwa dengan kode etik profesi, pelaksana profesi
mampu mengetahui suatu hal yang boleh dialakukan dan yang tidak boleh dilakukan
seperti penggunaan teknologi informasi. Dan sini akan membahas beberapa prinsip
dalam penggunaan teknologi informasi seperti Integrity, confidentiality, dan
availability juga Privacy dan Term&condition pada penggunaan IT.
B. PEMBAHASAN
1. Prinsip Integrity, Confidentiality dan
Avaliability Dalam TI
A. Integrity
Integrity
merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak
yang berwenang (authorized). Untuk
aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah
dikirimkan tidak dapat diubah tanpa ijin pihak yang berwenang. Pelanggaran
terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement.
E-Procurement adalah sistem aplikasi berbasis Internet yang menawarkan proses
order pembelian secara elektronik dan meningkatkan fungsi-fungsi administrasi
untuk pembeli dan pemasok, guna efisiensi biaya. Proses Pengadaan barang dan
jasa yang dilakukan dengan menggunakan e-procurement secara signifikan akan
meningkatkan kinerja, efektifitas, efisiensi biaya, transparansi, akuntabilitas
transaksi yang dilakukan, selain itu biaya operasional dapat dikurangi secara
signifikan karena tidak diperlukan lagi penyerahan dokumen fisik dan proses
administrasi yang memakan waktu dan biaya. Secara teknis ada beberapa cara untuk
menjamin aspek integrity ini, seperi misalnya dengan menggunakan message
authentication code, hash function, dan digital signature.
Ø Message
Authentication Code
MAC (Message
Authentication Code) adalah sebuah tanda pengenal untuk membuktikan keaslian
suatu dokumen yang didapatkan dengan menggunakan pesan tak bermakna yang
diperoleh dari pemrosesan sebagian isi dokumen menggunakan sebuah kunci privat.
Secara teknis, (setengah) dokumen diproses menggunakan kunci privat sehingga
menghasilkan pesan MAC, yang lebih sederhana dari isi dokumen. Pesan MAC ini
kemudian dilekatkan dengan dokumen dan dikirim ke penerima. Penerima kemudian
menggunakan kunci yang sama untuk memperoleh pesan MAC dari dokumen yang
diterima dan membandingkannya dengan pesan MAC yang ia terima.
Ø Hash Function
Fungsi Hash
adalah fungsi yang secara efisien mengubah string input dengan panjang
berhingga menjadi string output dengan panjang tetap yang disebut nilai hash. Umumnya
digunakan untuk keperluan autentikasi dan integritas data.
Ø Digital
Signature
Digital
Signature adalah salah satu teknologi yang digunakan untuk meningkatkan
keamanan jaringan. Digital Signature memiliki fungsi sebagai penanda pada data
yang memastikan bahwa data tersebut adalah data yang sebenarnya (tidak ada yang
berubah).
B. Confidentiality
Confidentiality atau kerahasiaan adalah pencegahan bagi
mereka yang tidak berkepen-tingan dapat mencapai informasi . Secara umum dapat
disebutkan bahwa kerahasiaan mengandung makna bahwa informasi yang tepat
terakses oleh mereka yang berhak ( dan bukan orang lain), sama analoginya
dengan e-mail maupun data-data perdagangan dari perusahaan. Inti utama aspek
confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses. Confidentiality biasanya berhubungan dengan data yang
diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari
pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme
otorisasi (authorization) yang ketat. Sebagai contoh dari confidentiality
adalah daftar pelanggan dari sebuah InternetService Provider (ISP). Jadi, data
dari daftar pelanggan tersebut seperti nama,alamat, nomor telephone dan data
lainnya harus dilindungi agar tidak tersebar pada pihak yang tidak seharusnya
mendapatkan informasi tersebut. Karena kalau sudah ada di pihak yang tidak
seharusnya maka datanya akan di salah gunakan. Kerahasiaan ini dapat
diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi
kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada
transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data
(storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi
pihak yang tidak berhak. Seringkali perancang dan implementor dari sistem
informasi atau sistem transaksi elektronik lalai dalam menerapkan pengamanan.
Umumnya pengamanan ini baru diperhatikan pada tahap akhir saja sehingga
pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada
tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal
ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah
dipikirkan dan diimplementasikan sejak awal. Akses terhadap informasi juga
harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan dari mekanisme
otorisasi bergantung kepada tingkat kerahasiaan data yang diinginkan.
C. Avaliability
Availability
merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat
dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan
ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima.
Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan
penawaran. Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari
benca alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem (server rusak,
disk rusak, jaringan putus), sampai ke upaya pengrusakan yang dilakukan secara
sadar (attack). Pengamanan terhadap ancaman ini dapat dilakukan dengan
menggunakan sistem backup dan menyediakan disaster
recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan
pemulihan (disaster recovery plan).
Ø Disaster
Recovery Center (DRC)
Kemampuan infrastruktur untuk melakukan kembali
operasi secepatnya pada saat terjadi gangguan yang signifikan seperti bencana
besar yang tidak dapat diduga sebelumnya. Berfungsi meminimalisasi kerugian
finansial dan nonfinansial dalam meghadapi kekacauan bisnis atau bencana alam
meliputi fisik dan informasi berupa data penting perusahaan juga meningkatkan
rasa aman di antara personel, supplier, investor, dan pelanggan. Infrastruktur
disaster recovery mencakup fasilitas data center, wide area network (WAN) atau
telekomunikasi, local area network (LAN), hardware, dan aplikasi. Dari tiap
bagian ini kita harus menentukan strategi disaster recovery yang paling tepat
agar dapat memberikan solusi yang efektif dan sesuai dengan kebutuhan
perusahaan.
Lokasi DRC yang bagus :
a.
DRC harus
berada di daerah aman tapi yang terjangkau dari lokasi yang akan dilayaninya
(minimum > 50 km dari data center)
b.
Berada di luar
radius mitigasi benacana
c.
Akses jaringan
internet memadai
Metode backupnya secara garis besar meliputi Full
Backup, Differential Backup dan Incremental Backup
a.
Full Backup
atau Normal Backup
§
Backup seluruh
data dalam setiap waktu
§
Waktu untuk
backup lama
§
Waktu untuk
recovery cepat
b.
Differential
Backup
§
Dilakukan
setelah full backup, tiap terjadi perubahan data
§
Full backup
tetap dilakukan tapi ada jarak waktu
§
Waktu backup
tidak terlalu lama
§
Saat recovery :
recovery full backup dan diferential backup terakhir
c.
Incremental
Backup
§
Backup
dilakukan setiap terjadi perubahan data
§
Waktu backup
relative cepat
§
Waktu recovery
lama karena harus recovery full backup terakhir dan masing-masing incremental
backup
Strategi Backup dan Recovery
Data
Strategi implementasi ada 2 yaitu Offline Backup Solutions dan Online Data Protection Solutions.
1.
Offline Backup Solutions
Hampir setiap customer dengan storage deployment mengimplementasikan
beberapa jenis dari metode backup. Offline backup adalah sebuah mekanisme yang
melibatkan proses pembuatan copy-an data dari primary storage (di filers) ke
offline media seperti tape. Metode
offline backup ada dua yaitu Disk-to-Tape Deployment dan
2. Online Data Protection Solutions
Proses offline backup
saja tidak cukup untuk memberikan jaminan proteksi data pada sebuah perusahaan
bila terjadi data loss dalam proses backup data dari client ke filler. Oleh
karena itu dibutuhkan online data protection untuk menangani masalah di atas.
Salah satu bentuk online data protection yang dapat diterapkan pada DRC adalah
Remote Site Disaster Recovery. Pilihan konfigurasi untuk remote site disaster
recovery sangat beragam tergantung pada jarak antara sites, level redundansi
yang dibutuhkan, dan metode lain untuk data recovery.
a.
Active/Passive
b.
Active/Active
c.
Multisite Topologies
Sebuah
rencana keamanan informasi,
harus mampu menggambarkan langkah
yang sistematis untuk menurunkan risiko, dengan cara mengimplementasikan
kontrol keamanan berdasarkan sasarannya. Jenis kontrol berdasarkan sasarannya,
sebagai berikut:
1. Kontrol administrasi (administrative
security)
2. Kontrol logik (logical control), intrusion
detection, dan anti-virus
3. Kontrol fisik (physical control)
Kontrol
keamanan tidak terlepas dari perlindungan terhadap aset informasi yang
sensitif. Enterprise Information Technology
Services (2001), dalam artikelnya
yang berjudul “Information Classification Standard”, menjelaskan bahwa
informasi diklasifikasikan menjadi informasi sensitif dan kritikal. Informasi
sensitif terkait dengan
kerahasiaan (confidentiality) dan integritas data (integrity), sedangkan informasi kritikal
terkait dengan ketersediaan data (availability).
Berdasarkan
uraian di atas, maka rencana keamanan
akan berisi tentang
penentuan kombinasi kontrol
keamanan informasi yang digunakan, serta prioritas dalam
melakukan implementasinya. Isi konten
dasar pada dokumen
rencana keamanan informasi
(information security plan), antara lain:
1.
Ancaman dan kelemahan,
merupakan proses untuk mereview
hasil tahapan penilaian risiko, dengan
mengambil informasi mengenai sesuatu yang dapat menganggu kegiatan organisasi.
2. Tujuan
dan sasaran, merupakan proses menentukan target dan lingkup keamanan informasi
yang ingin dicapai, sehingga dapat fokus pada aspek keamanan yang
akan diselesaikan. Sasaran keamanan informasi
menggambarkan spesifik hasil,
kejadian atau manfaat yang ingin di capai sesuai dengan tujuan keamanan yang
ditetapkan.
3.
Aturan dan tanggungjawab, merupakan proses menyusun aturan dan penanggungjawab,
yang mengatur kegiatan sebagai
upaya untuk menurunkan risiko
keamanan informasi yang bersumber dari ancaman dan kelemahan.
4. Strategi dan
kontrol keamanan, merupakan proses untuk memberikan prioritas
aksi yang akan dilakukan untuk
mencapai tujuan dan sasaran keamanan informasi yang telah
ditetapkan. Prioritas aksi tersebut sebagai pengaman untuk menjaga
kerahasiaan, keutuhan dan ketersediaan informasi, dengan penentuan
control keamanan yang sesuai
dengan tujuan dan sasaran yang diinginkan.
Salah satu kunci keberhasilan pengaman sistem
informasi adalah adanya visi dan komitmen dari pimpinan puncak. Upaya atau
inisiatif pengamanan akan percuma tanpa hal ini. Ketidakadaan komitmen dari
puncak pimpinan berdampak kepada investasi pengamanan data. Pengamanan data
tidak dapat tumbuh demikian saja tanpa adanya usaha dan biaya. Sebagai contoh,
untuk mengamankan hotel, setiap pintu kamar perlu dilengkapi dengan kunci.
Adalah tidak mungkin menganggap bahwa setiap tamu taat kepada aturan bahwa
mereka hanya boleh mengakses kamar mereka sendiri. Pemasangan kunci pintu
membutuhkan biaya yang tidak sedikit, terlebih lagi jika menggunakan kunci yang
canggih. Pengamanan data elektronik juga membutuhkan investmen. Dia tidak dapat
timbul demikian saja. Tanpa investasi akan sia-sia upaya pengamanan data.
Sayangnya hal ini sering diabaikan karena tidak adanya komitmen dari pimpinan puncak.
Jika komitmen dari pucuk pimpinan sudah ada, masih ada banyak lagi masalah
pengamanan sistem informasi. Masalah tersebut adalah (1) kesalahan desain, (2)
kesalahan implementasi, (3) kesalahan konfigurasi, dan (4) kesalahan
operasional.
Kode etik penggunaan fasilitas internet di
kantor hampir sama dengan kode etik pengguna internet pada umumnya, hanya saja
lebih dititik beratkan pada hal-hal atauaktivitas yang berkaitan dengan masalah
perkantoran di suatu organisasi atau instansi. Berikut contohnya :
-
Menghindari penggunaaan fasilitas internet diluar keperluan kantor atau untuk
kepentingan sendiri.
-
Tidak menggunakan internet untuk mempublikasi atau bertukar informasi
internalkantor kepada pihak luar secara ilegal.
-
Tidak melakukan kegiatan pirating, hacking atau cracking
terhadap fasilitas internet kantor.
terhadap fasilitas internet kantor.
-
Mematuhi peraturan yang ditetapkan oleh kantor dalam penggunaan fasilitas
internet
Dalam
lingkup TI, kode etik profesinya memuat kajian ilmiah mengenai prinsip atau
norma-norma dalam kaitan dengan hubungan antara professional atau developer TI
dengan klien, antara para professional sendiri, antara organisasi profesi serta
organisasi profesi dengan pemerintah. Salah satu bentuk hubungan seorang
profesional dengan klien (pengguna jasa) misalnya pembuatan sebuah program
aplikasi.
Seorang profesional tidak dapat membuat program semaunya, ada beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan (security) sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan sistem kerjanya(misalnya: hacker, cracker, dll).
Seorang profesional tidak dapat membuat program semaunya, ada beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan (security) sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan sistem kerjanya(misalnya: hacker, cracker, dll).
Ada
3 hal pokok yang merupakan fungsi dari kode etik profesi:
1.
Kode etik profesi memberikan pedoman bagi setiap anggota profesi tentang
prinsip profesionalitas yang digariskan.
2.
Kode etik profesi merupakan sarana kontrol sosial bagi masyarakat atas profesi
yang bersangkutan(kalanggansocial).
3.
Kode etik profesi mencegah campur tangan pihak diluarorganisasi profesi tentang
hubungan etika dalam keanggotaan profesi.
Ada
8 hal pokok yang merupakan prinsip dasar dari kode etik profesi:
1.
Prinsip Standar Teknis
Setiap
anggota profesi harus melaksanakan jasa profesional yang relevan dengan bidang
profesinya.
2.
Prinsip Kompetensi
Setiap
anggota profesi harus melaksanakan pekerjaan sesuai jasa profesionalnya dengan
kehati-hatian, kompetensi dan ketekunan
3.
Prinsip Tanggung Jawab Profesi
Setiap
anggota harus senantiasa menggunakan pertimbangan moral dan profesional dalam
semua kegiatan yang dilakukan
4.
Prinsip Kepentingan Publik
Setiap
anggota berkewajiban untuk senantiasa bertindak memberikan jasa profesionalnya
dalam kerangka pelayanan kepada publik, menghormati kepercayaan publik, dan
menunjukkan komitmen atas profesionalisme.
5.
Prinsip Integritas
Pelaku
profesi harus menjunjung nilai tanggung jawab profesional dengan integritas
setinggi mungkin untuk memelihara dan meningkatkan kepercayaan publik yang
menggunakan jasa profesionalnya
6.
Prinsip Obyektivitas
Setiap
anggota harus menjaga obyektivitas dan bebas dari benturan kepentingan dalam
pemenuhan kewajiban profesionalnya
7.
Prinsip Kerahasiaan
Setiap
anggota harus menghormati kerahasiaan informasi yang diperoleh selama melakukan
jasa profesional dan tidak boleh memakai atau mengungkapkan informasi tersebut
tanpa persetujuan, kecuali bila ada hak atau kewajiban profesional atau hukum
untuk mengungkapkannya
8.
Prinsip Perilaku Profesional
Setiap
anggita harus berperilaku konsisten dengan reputasi profesi yang baik dan
menjauhi tindakan yang dapat mendiskreditkan profesi yang diembannya prinsip-prinsip
umum yang dirumuskan dalam suatu profesi akan berbeda satu dengan yang lainnya.
Hal ini disebabkan perbedaan adat, kebiasaan, kebudayaan, dan peranan tenaga
ahli profesi yang didefinisikan dalam suatu negara tidak sama.
2. Privacy
dan Term&condition
A. Privacy
Pada dasarnya,
privacy ini sama dengan confidentiality. Namun, jika confidentiality biasanya
berhubungan dengan data-data perusahaan atau organisasi, sedangkan privacy
lebih ke arah data-data yang bersifat pribadi. Seperti email atau media
social lainnya milik seorang pemakai tidak boleh dibaca oleh administrator.
B. Term&condition
Term &
condition penggunaan TI adalah aturan-aturan dan kondisi yang harusditaati pada
penggunaan teknologi informasi. Hal tersebut mencakup integrity,privacy dan
availability dari informasi yang terdapat dan dibutuhkan didalamnya.
3. Kode Etik Penggunaan Fasilitas Internet di Kantor
Kode etik
penggunaan fasilitas internet di kantor hampir sama dengan kode
etik pengguna internet pada umumnya, hanya saja lebih dititik beratkan
pada hal-hal atau aktivitas yang berkaitan dengan masalah perkantoran di suatu
organisasi atau instansi. Contohnya :
- Menghindari penggunaaan fasilitas internet diluar keperluan kantor atau untuk kepentingan sendiri (seperti browsing-browsing juga bermain game online).
- Tidak menggunakan internet untuk mempublikasi atau bertukar informasi internal kantor kepada pihak luar secara ilegal.
- Tidak melakukan kegiatan pirating, hacking atau cracking terhadap fasilitas internet kantor.
- Mematuhi peraturan yang ditetapkan oleh kantor dalam penggunaan fasilitas internet.
C. KESIMPULAN
Kode Etik merupakan
pola aturan, tata cara, tanda, pedoman etis dalam melakukan suatu kegiatan atau
pekerjaan sebagai pedoman berperilaku. Adanya kode etik akan melindungi
perbuatan yang tidak profesional. Maksudnya bahwa dengan kode etik profesi,
pelaksana profesi mampu mengetahui suatu hal yang boleh dilakukan dan yang
tidak boleh dilakukan seperti penggunaan teknologi informasi. Oleh karena itu Integrityn
Availability dan Confidentiality merupakan suatu aspek yang penting dalam
penggunaan teknologi informasi. Integrity
merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak
yang berwenang (authorized). Sedangkan Availability merupakan aspek yang menjamin bahwa data tersedia ketika
dibutuhkan. Dan Confidentiality yaitu membatasi akses informasi hanya bagi pengguna
tertentu, merupakan aspek yang menjamin kerahasiaan data atau informasi.
REFERENSI :
