![Etika Dan Keamanan Dalam Sistem Informasi [PDF]](https://pdfs.asia/img/200x200/etika-dan-keamanan-dalam-sistem-informasi-l64dda0cd37fa7.jpg)
12 0 357 KB
BAB 13
ETIKA DAN KEAMANAN DALAM SISTEM INFORMASI
Bab ini membahas masalah etika, keamanan, dan pengendalian dalam sistem informasi. Setelah bab ini berakhir Anda diharapkan dapat memahami ketiga masalah tersebut dan mampu menjelaskan hal-hal seperti enkripsi, fault-tolerant, virus, dan berbagai istilah yang lain. 13.1 Etika dalam Sistem Informasi Masalah etika juga mendapat perhatian dalam pengembangan dan pemakaian sistem informasi. Masalah ini diidentifikasi oleh Richard Mason pada tahun 1986 (Zwass. 1998) yang mencakup privasi, akurasi, properti, dan akses, dan dikenal dengan akronim PAPA. 13.1.1 Privasi Privasi menyangkut hak individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang memang tidak diberi izin untuk melakukannya. Sebagai contoh, ketika Anda menjadi mahasiswa Anda memberikan data-data pribadi Anda ke bagian pengajaran dengan tujuan data itu hanya digunakan untuk kepentingan akademis. Pada keadaan seperti ini, pihak pengajaran tidak boleh memberikan data-data tersebut ke pihak ketiga untuk tujuan yang lain dari tujuan semula. Contoh isu mengenai privasi sehubungan diterapkannya sistem informasi adalah pada kasus seorang manajer pemasaran yang ingin mengamati e-mail yang dimiliki oleh para bawahannya karena diperkirakan mereka lebih banyak berhubungan dengan e-mail pribadi daripada e-mail para pelanggan. Sekalipun sang manajer dengan kekuasannya dapat melakukan hal seperti itu, tetapi ia telah melanggar privasi bawahannya.
Buku Ajar Sistem Informasi Manajemen
316
Privasi dibedakan menjadi privasi fisik dan privasi informasi (Alter, 2002). Privasi fisik adalah hak seseorang untuk mencegah seseorang yang tak dikehendaki terhadap waktu, ruang, dan properti (hak milik), sedang kan privasi informasi adalah hak individu untuk menentukan kapan, bagaimana, dan apa saja informasi pribadi yang ingin dikomunikasikan dengan pihak lain. Penggunaan teknologi informasi berkecenderungan membuat pelanggaran terhadap privasi jauh lebih mudah terjadi. Sebagai contoh, para pemakai e-mail sering kali jengkel dengan kiriman-kiriman e-mail yang tak dikehendaki dan berisi informasi yang tak berguna (yang biasa disebut junk mail). E-mail semacam itu dirasakan sangat mengganggu privasi. Di Amerika serikat, masalah privasi diatur oleh undang-undang privasi. Berkaitan dengan hal ini, maka:
Rekaman-rekaman data tak boleh digunakan untuk keperluan lain yang bukan merupakan tujuan aslinya tanpa sepengetahuan individu bersangkutan.
Setiap individu memiliki hak untuk melihat datanya sendiri dan membetulkan rekaman-rekaman yang menyangkut dirinya.
13.1.2 Akurasi Akurasi terhadap informasi merupakan faktor yang harus dipenuhi oleh sebuah sistem informasi. Ketidakakurasian informasi dapat menimbulkan hal yang menggangu, merugikan, dan bahkan membahayakan. Sebuah kasus akibat kesalahan penghapusan nomor keamanan sosial dialami oleh Edna Rismeller (Alter, 2002). Akibatnya, kartu asuransinya tidak bisa digunakan dan bahkan pemerintah menarik kembali cek pensiun sebesar $672 dari rekening banknya. Kisah lain dialami oleh para penyewa apartemen di Amerika yang karena sesuatu hal pernah bertengkar dengan pemilik apartemen. Dampaknya, terdapat tanda tidak baik dalam basis data dan hal ini membuat mereka sulit untuk mendapatkan apartemen yang lain.
Buku Ajar Sistem Informasi Manajemen
317
Mengingat data dalam sistem informasi menjadi bahan dalam pengambilan keputusan, keakurasiannya benar-benar harus diperhatikan. 13.1.3 Properti Perlindungan terhadap hak properti yang sedang digalakkan saat ini yaitu yang dikenal dengan sebutan HAKI (hak atas kekayaan intelektual). Di Amerika serikat, kekayaan intelektual diatur melalui tiga mekanisme yaitu hak cipta (copyright), paten, dan rahasia perdagangan (trade secret).
Hak cipta Hak cipta adalah hak yang dijamin oleh kekuatan hukum yang melarang
penduplikasian kekayaan intelektual tanpa seizin pemegangnya. Hak cipta biasa diberikan kepada pencipta buku, artikel, rancangan, ilustrasi, foto, film, musik, perangkat lunak, dan bahkan keping semikonduktor. Hak seperti ini mudah untuk didapatkan dan diberikan kepada pemegangnya selama masa hidup penciptanya plus 70 tahun.
Paten Paten merupakan bentuk perlindungan terhadap kekayaan intelektual
yang paling sulit didapatkan karena hanya akan diberikan pada penemuanpenemuan inovatif dan sangat berguna. Hukum paten memberikan perlindungan selama 20 tahun.
Rahasia perdagangan Hukum rahasia perdagangan melindungi kekayaan intelektual melalui
lisensi
atau
kontrak.
Pada
lisensi
perangkat
lunak,
seseorang
yang
menandatangani kontrak menyetujui untuk tidak menyalin perangkat lunak tersebut untuk diserahkan pada orang lain atau dijual. Masalah kekayaan intelektual merupakan faktor penting yang perlu diperhatikan dalam sistem informasi untuk menghindari tuntutan dari pihak lain di kemudian hari. Berbagai pelajaran tentang hal seperti itu dapat diambil hikmahnya. Isu pelanggaran kekayaan intelektual yang cukup seru pernah terjadi ketika terdapat
Buku Ajar Sistem Informasi Manajemen
318
gugatan bahwa sistem Windows itu meniru sistem Mac. Begitu juga timbul perseteruan ketika muncul perangkat-perangkat lunak yang menyerupai spreadsheet Lotus 113. Kasus ini sekaligus menimbulkan pertanyaan, "Apakah tampilan dan nuansa dari suatu perangkat lunak memang butuh perlindungan hak cipta?9°. Berkaitan dengan dengan kekayaan intelektual, banyak masalah yang belum terpecahkan (Zwass, 1998), antara lain: o
Pada level apa informasi dapat dianggap sebagai properti?
o
Apa yang harus membedakan antara satu produk dengan produk lain? Akankah pekerjaan yang dihasilkan oleh komputer memiliki
o
manusia penciptanya? Jika tidak, lalu hak properti apa yang dilindunginya? lsu yang juga marak sampai saat ini adalah banyaknya penyalinan perangkat lunak secara ilegal yangdikenal dengan sebutan pembajakan perangkat lunak (software piracy). Pembajakan seperti ini tidak hanya terjadi di negara-negara berkembang, tetapi juga berlangsung di negaranegara maju seperti Amerika serikat dan Jepang. Beberapa solusi untuk mengatasi hal ini telah banyak ditawarkan, namun belum memiliki penyelesaian, seperti sebaiknya softwnre - terutama yang bisa dijual secara massal - dijuai dengan harga yang relatif murah. Solusi yang mungkin bisa digunakan untuk perusahaan-perusahaan yang memiliki dana terbatas untuk membeli perangkat lunak adalah dengan menggunakan perangkat lunak yang tergolong sebagai open source. 13.1.4 Akses Fokus dari masalah akses adalah pada penyediaan akses untuk semua kalangan. Teknologi informasi diharapkan malah tidak menjadi halangan datam melakukan pengaksesan terhadap informasi bagi kelompok orang tertentu, tetapi justru untuk mendukung pengaksesan untuk semua pihak. Sebagai contoh, untuk mendukung pengaksesan
informasi
Web
bagi
orang
buta,
The
Productivity
Works
(www.prodworks.com) menyediakan Web browser khusus yang diberi nama Buku Ajar Sistem Informasi Manajemen
319
pwWebSpeak. Browser ini memiliki prosesor percakapan dan dapat mengubah isi halaman Web ke dalam bentuk suara (Zwass, 1998). 13.2 Masalah Keamanaan dalam Sistem Informasi Keamanan merupakan faktor penting yang perlu diperhatikan dalam pengoperasian sistem informasi, yang dimaksudkan untuk mencegah ancaman terhadap sistem serta untuk mendeteksi dan membetulkan akibat segala kerusakan sistem. Secara garis besar, ancaman terhadap sistem informasi dapat dibagi menjadi dua macam, yaitu ancaman aktif dan ancaman pasif. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer, sedangkan ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam. Kegagalan sistem menyatakan kegagalan dalam peralatanperalatan komponen (misalnya hard disk). Berbagai bentuk ancaman terhadap sistem informasi diperlihatkan pada Tabel 13.1.
Gambar 13.1 Berbagai ancaman terhadap sistem informasi
Buku Ajar Sistem Informasi Manajemen
320
Tabel 13.1 Ancaman terhadap Sistem Informasi Macam Ancaman Bencana alam dan politik
Kesalahan manusia
Kegagala perangkat lunak dan perangkatkeras
Kecurangan dan kejahatan komputer Program yang jahat/usil
Contoh
Gempa bumi, banjir, kebakaran, perang.
Kesalahan pemasukan data. Kesalahan penghapusan data. Kesalahan operator (salah memberi label pada pita magnetik).
Uangguan listrik. Kegagaian peralatan. Kegagalan
Penyelewengan aktivitas. Penyalahgunaan kartu kredit. Sabotase. Pengaksesan oleh orang yang tidak berhak.
Virus, cacing, bom waktu, dll.
Bencana alam merupakan faktor yang tak terduga yang bisa mengancam sistem informasi. Banjir, badai, gempa bumi, dan kebakaran dapat meluluhlantahkan sumber daya pendukung sistem informasi dalam waktu yang singkat. Kesalahan pengoperasian sistem oleh manusia juga dapat mengancam integritas sistem dan data. Pemasukan data yang salah dapat mengacaukan sistem. Begitu juga penghapusan data (sebagaimana terjadi pada kasus penghapusan nomor keamanan sosial yang dibahas di depan). Pelabelan yang salah terhadap pita magnetik yang berisi backup sistem juga membawa dampak yang buruk kalau terjadi gangguan dalam sistem (misalnya data harus dikembalikan ke sistem).
Buku Ajar Sistem Informasi Manajemen
321
Gangguan listrik, kegagalan peralatan dan kegagalan fungsi perangkat lunak dapat menyebabkan data tidak konsisten, transaksi tidak lengkap, atau bahkan data rusak. Selain itu, variasi tegangan listrik yang terlalu tajam dapat membuat peralatanperalatan terbakar. Ancaman lain berupa kecurangan dan kejahatan komputer. Ancaman ini rnendasarkan pada komputer sebagai alat untuk melakukan tindakan yang tidak benar. Penggunaan sistem berbasis komputer terkadang men jadi rawan terhadap kecurangan (fraud) dan pencurian. Sebagai contoh, banyak pegawai yang menyiasati sistem presensi yang meng-gunakan barcode atau kartu magnetik. Seorang pegawai dapat menitipkan kartu magnetik tersebut pada orang lain, dan bahkan untuk kartu dengan barcode, seseorang dapat menggandakannya dengan cara memfotokopi. Penyalahgunaan kartu VISA atau semacam itu melalui Internet juga telah merebak di seluruh penjuru dunia, termasuk di Indonesia. Seseorang dapat memanfaatkan kartu seperti itu yang merupakan milik orang lain untuk berbelanja ke situs-situs online. Kasus pembobolan rekening nasabah bank melalui Internet juga merupakan kisah nonfiksi yang barangkali pernah Anda dengar. Banyak kisah kejahatan vang berkaitan dengan sistem berbasis komputer yang justru dilakukan oleh orang da(am. Sebagai contoh, seorang pemrogram pada sebuah bank swasta di Indonesia pada dekade 1990-an berhasil kabur setelah mengambil uang tabungan yang didapatkan dengan memanipulasi data pada komputer. Metode yang umum digunakan oleh orang dalam melakukan penetrasi terhadap sistem berbasis komputer ada 6 macam (Bodnar dan Hopwood, 1993), yaitu: 1. Pemanipulasian masukan. 2. Penggantian program. 3. Penggantian berkas secara langsung. 4. Pencurian data. 5. Sabotase.
Buku Ajar Sistem Informasi Manajemen
322
6. Penyalahgunaan dan pencurian sumber daya komputasi. Dalam banyak kecurangan terhadap komputer, pemanipulasian masukan merupakan metode yang paling banyak digunakan, mengingat hal ini bisa dilakukan tanpa memerlukan ketrampilan teknis yang tinggi. Contoh kasus ini dilakukan oleh seorang teller di Bank Union Dime, Amerika (Bodnar dan Hopwood, 1993). Si teller ini ditemukan mengambil uang dari rekening-rekening bank melalui sistem komputer. Bank tersebut kehilangan lebah dari $1 juta. Pemanipulasian melalui program biasa dilakukan oleh para spesialis teknologi informasi. Contoh hal ini telah diutarakan di depan. Pengubahan berkas secara langsung umum dilakukan oleh orang yang punyak akses secara langsung terhadap basis data. Pencurian
data
banyak
dikisahkan
dalam
film-film
fiksi.
Dengan
kecanggihan menebak password (yang tentu saja sebenarnya sangat sulit untuk dilakukan) atau menjebol password, tokoh-tokoh dalam film berhasil mengakses data yang seharusnya tidak men.jadi hak mereka. Dalam dunia nyata, pencurian data kerapkali dilakukan oleh "orang dalam" untuk dijual. Salah satu kasus terjadi pada Encyclopedia Britanica Company (Bodnar dan Hopwood. 1993). Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta. Sabotase dapat dilakukan dengan berbagai cara. Istilah yang umum digunakan untuk menyatakan tindakan masuk ke dalam suatu sistem komputer tanpa otorisasi, yaitu hacking. Pada masa kerusuhan tahun 1998, banyak situs Web badanbadan pemerintah di Indonesia yang diacak-acak oleh para cracker. Berbagai teknik yang digunakan untuk melakukan hacking:
Denial of Service Teknik ini dilaksanakan dengan cara membuat permintaan yang sangat banyak terhadap suatu situs sehingga sistem menjadi macet dan kemudian dengan mencari kelemahan pada sistem si pelaku melakukan serangan terhadap sistem.
Buku Ajar Sistem Informasi Manajemen
323
Sniffer Teknik ini diimplementasikan dengan membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi Internet, menangkap password atau menangkap isinya.
Spoofing Melakukan pemalsuan alamat e-mail atau Web dengan tujuan untuk menjebak pemakai agar memasukkan informasi yang penting seperti password atau nomor kartu kredit. Berbagai kode yang jahat atau usil juga menjadi ancaman bagi sistem
komputer. Kode yang dimaksud mencakup virus, cacing, kuda Trojan, bom waktu, dan perangkat lunak lain yang tidak diharapkan. Kode-kode seperti ini bisa menyerang platform apa saja. Di lingkungan Windows, istilah virus begitu dikenal dan sangat ditakuti oleh para pemakai PC.
Virus Virus berupa penggalan kode yang dapat menggandakan dirinya sendiri dengan cara menyalin kode dan menempelkan ke berkas program yang dapat diekesekusi (misalnya berkas .exe pada DOS). Selanjutnya, salinan virus ini akan menjadi aktif manakala program yang terinfeksi diialankan. Beberapa virus hanya "sekadar nampang". Namun, sejumlah virus yang lain benar-benar sangat jahat karena akan menghapus berkasberkas dengan ekstensi tertentu dan bahkan dapat memformat hard disk.
Catatan Hacker sering dibedakan dengan cracker. Hacker adalah para ahli komputer yang memiliki kekhususan dalam menjebol keamanan sistem komputer dengan tujuan untuk publisitas. Adapun cracker adalah penjebol sistem komputer yang bertujuan untuk melakukan pencurian atau merusak sistem. Tokoh cracker terkenal, yaitu Kevin D. Mitnick yang mencuri 20.000 nomor kartu kredit dari NetCom, mencuri ratusan program dari seorang ahli keamanan di San Diego Supercomputer Center, dan menghapus rekaman-rekaman akuntansi pada sebuah jasa online (Martin, dkk., 1999).
Buku Ajar Sistem Informasi Manajemen
324
Gambar 13.2 Mekanisme penularan Virus Contoh virus jahat adalah CIH atau virus Chernobyl, yang melakukan penularan melalui e-mail.
Cacing Cacing adalah program yang dapat menggandakan dirinya sendiri dan menulari komputer-komputer dalam jaringan. Sebuah contoh cacing legendaris adalah yang diciptakan oleh mahasiswa ilmu komputer di Universitas Cornell yang bernama Robert Morris pada tahun 1988. Program yang dibuat olehnya ini dapat menyusup ke jaringan yang menghubungkan Massachusets Institute of Technology, perusahaan RAND, Ames Research Center-nya NASA, dan sejumlah universitas di Amerika. Cacing ini telah menyebar ke 6.000 mesin sebelum akhirnya terdeteksi.
Buku Ajar Sistem Informasi Manajemen
325
Bom Logika atau Bom Waktu (Logic bomb & Time bomb) Bom logika atau bom waktu adalah program yang beraksi karena dipicu oleh sesuatu kejadian atau setelah selang waktu berlalu. Sebagai contoh, program dapat diatur agar menghapus hard disk atau menyebabkan lalu lintas jaringan macet. Contoh kasus bom waktu terjadi di USPA, perusahaan asurtansi di Fort Worth (Bodnar dan Hopwood, 1993). Donal Burkson, pemrogram pada perusahaan tersebut yang berusia 40 tahun dipecat karena sesuatu hal. Dua hari kemudian, sebuah bom waktu mengaktifkan dirinya sendiri dan menghapus kira-kira 160.000 rekaman-rekaman penting pada komputer perusahaan tersebut. Para penyidik menyimpulkan bahwa Burkson memasang bom waktu dua tahun sebelum di-PHK.
Kuda Trojan (Trojan Horse) Kuda Trojan adalah program yang dirancang agar dapat digunakan untuk menyusup ke dalam sistem. Sebagai contoh, kuda Trojan dapat menciptakan pemakai dengan wewenang supervisor atau superuser. Pemakai inilah yang nantinya dipakai untuk menyusup ke sistem. Contoh kuda Trojan yang terkenal adalah program pada Macintosh yang bernama Sexy Ladies HyperCard yang pada tahun 1988 membawa korban dengan janji menyajikan gambar-gambar erotis. Sekalipun janjinya dipenuhi, program ini juga menghapus data pada komputer-komputer yang memuatnya.
Buku Ajar Sistem Informasi Manajemen
326
Gambar 13.3 www.cai.com/virusinfo, halaman Web yang membahas berbagai virus, cacing, dan kuda Trojan Penyalahgunaan dan pencurian sumber daya komputasi merupakan bentuk pemanfaatan secara ilegal terhadap sumber daya komputasi oleh pegawai dalam rangka menjalankan bisnisnya sendiri. Satu hal lagi yang perlu mendapat perhatian tentang kemungkinan ancaman terhadap sistem informasi .adalah apa yang disebut dengan trapdoor. Trapdoor adalah kemungkinan tindakan yang tak terantisipasi yang tertinggal dalam program karena ketidaksengajaan. Disebabkan sebuah program tak terjamin bebas dari kesalahan, kesaiahan-kesalahan yang terjadi dapat rnembuat pemakai yang tak berwewenang dapat mengakses sistem dan melakukan hal-hal yang sebenarnya tidak boleh dan tidak bisa dilakukan. 13.3 Pengendalian Sistem Informasi Berkaitan dengan keamanan sistem informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol yang dilakukan untuk pengamanan sistem informasi dapat dilihat pada Tabel 13.2. Tabel 13.2 Berbagai cara kontrol terhadap sistem informasi Macam Kontrol
Contoh Tindakan
Kontrol administratif
Kontrol pengembangan dan perneliharaan sistem
Buku Ajar Sistem Informasi Manajemen
Mempublikasikan kebijakan kontrol secara formal. Mempublikasikan prosedur dan standar. Perekrutan personel secara berhati-hati. Pemisahan tugas dalam suatu pekerjaan. Membuat rencana pemulihan terhadap bencana. Melakukan audit terhadap proses untuk menjamin pengendalian dan penelusuran sistem. Mengkaji pascaimplementasi. Memastikan bahwa pemeliharaan yang dilakukan terotorisasi. Mengaudit dokumentasi.
327
Kontrol operasi
Proteksi terhadap pusat data secara fisik Kontrol perangkat keras Kontrol terhadap akses komputer Kontrol terhadap akses informasi Kontrol terhadap perlindungan terakhir Kontrol aplikasi
Mengontrol akses terhadap pusat data. Mengontrol personel pengoperasi. Mengontrol pemeliharaan peralatanperalatan. Mengontrol penyimpan arsip. Melindungi dari virus. Mengontrol lingkungan. Melindungi terhadap kebakaran dan banjir. Menyiapkan sumber listrik darurat (misalnya UPS - uninter-ruptable power supply).
Sistem komputer fault-tolerant.
Mengidentifikasi dan melakukan otentikasi terhadap pemakai. Firewall.
Enkripsi.
Rencana pemulihan terhadap bencana. Asuransi.
Kontrol terhadap masukan, pemrosesan, dan Kontrol terhadap basis data. Kontrol terhadap telekomunikasi.
13.3.1 Kontrol Administratif Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka kontrol dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal sebagai berikut:
Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas, Termasuk dalam hal ini adalah proses
Buku Ajar Sistem Informasi Manajemen
328
pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi, pembinaan, dan pelatihan yang diperlukan.
Supervisi terhadap para pegawai. Termasuk pula cara melakukan kontrol kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorang pun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
13.3. 2 Kontrol terhadap Pengembangan dan Pemeliharaan Sistem Untuk mendukung kontrol ini, peran auditor sistem informasi sangatlah penting. Auditor sistem informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan sistem, untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri. 13.3.3 Kontrol Operasi Kontrol operasi dimaksudkan agar sistem beroperasi sesuai dengan yang diharapkan. Termasuk dalam kontrol ini:
Pembatasan akses terhadap pusat data Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memasukinya.
Kontrol terhadap personel pengoperasi Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pedomanpedoman untuk melakukan suatu pekerjaan. Pedomanpedoman ini harus
Buku Ajar Sistem Informasi Manajemen
329
dijalankan dengan tegas. Selain itu, para personel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catata-catatan dalam sistem komputer (yang biasa disebut systenn log) benar-benar terpelihara; misalnya pada waktu tertentu diarsipkan dalam pita magnetik.
Kontrol terhadap peralatan Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimalkan.
Kontrol terhadap penyimpan arsip Kontrol ini untuk memastikan bahwa setiap pita magnetik yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
Pengendalian terhadap virus Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif. Ketiga macam kontrol ini dapat dilihat pada Tabel 13.3. Tabel 13.3 Macam kontrol untuk mengendalikan virus Kontrol
Contoh
Preventif
Detektif
Menggunakan salinan perangkat lunak atau berkas yang berisi makro yang benar-benar bersih (tidak asal menyalin). Menghindari pemakaian perangkat lunak freeware atau shareware dari sumber yang belum bisa dipercaya. Menghindari pengambilan berkas yang mengandung makro dari sebarang tempat. Memeriksa program baru atau berkas-berkas baru yang mengandung makro dengan program antivirus sebelum dipakai. Menyadarkan pada setiap pemakai untuk waspada terhadap virus. Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus. Melakukan pembandingan ukuran-ukuran berkas
Buku Ajar Sistem Informasi Manajemen
330
Korektif
untuk mendeteksi perubahan ukur-an pada berkas. Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan tanggal pada berkas. Memastikan pem-backup-an yang bersih. Memiliki rencana terdokumentasi tentang pemulihan dari infeksi virus. Menialankan program antivirus untuk menghilangkan virus dari program yang tertular.
13.3.4 Perlindungan Fisik terhadap Pusat Data Untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data, faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar. Peralatan-peralatan yang berhubungan dengan faktor-faktor tersebut perlu dipantau dengan baik. Untuk mengantisipasi kegagalan sumber daya listrik, biasa digunakan UPS. Dengan adanya peraiatan ini, masih ada kesempatan beberapa menit sampai satu jam bagi personil yang bertanggung jawab untuk melakukan tindakan-tindakan seperti memberikan peringatan pada pemakai untuk segera menghentikan aktivitas yang berhubungan dengan sistem komputer. Sekiranya sistem memerlukan operasi yang tidak boleh diputus, misalnya pelayanan dalam rumah sakit, sistem harus dilengkapi dengan generator listrik tersendiri. 13.3.5 Kontrol Perangkat Keras Untuk mengantisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem seperti ini tetap dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambiI alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.
Buku Ajar Sistem Informasi Manajemen
331
Sistem faul--tolerant dapat diterapkan pada lima level, yaitu pada komunikasi jaringan, prosesor, penyimpan eksternal, catu daya, dan transaksi. Toleransi kegagalan terhadap jaringan dilakukan dengan men duplikasi jalur komunikasi dan prosesor komunikasi. Redundansi prosesor dilakukan antara lain dengan teknik watchdog processor, yang akan mengambil alih prosesor yang bermasalah. Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk mirrorirag atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara paralel. Jika salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih baik. Toleransi kegagalan pada catu daya diatasi melalui UPS. Toleransi kegagalan pada level transaksi ditanganimelalui mekanisme basis data yang disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di pertengahan pemrosesan transaksi terjadi kegagalan transaksi. 13.3.6 Kontrol Akses terhadap Sistem Komputer Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu pa,ssword-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Misalnya, pemakai bisa mengakses sistem selain pada hari minggu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data saat mengatur agar pemakai X bisa mengubah isi berkas A, tetapi pemakai Y hanya bisa membaca isi berkas tersebut. Jika pendekatan tradisional hanya mengandalkan pada password, sistemsistem yang lebih maju mengombinasikan dengan teknologi lain. Sebagai contoh, mesin ATM (anjungan tunai mandiri) menggunakan kartu magnetik atau bahkan kartu cerdas sebagai langkah awal untuk mengakses sistem dan kemudian baru diikuti dengan pemasukan PIN (personal identifacation nurnber), Teknologi yang
Buku Ajar Sistem Informasi Manajemen
332
lebih canggih menggunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci untuk mengakses sistem. Pada sistem intranet yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet) dapat dicegah dengan menggunakan firewall (lihat Gambar 10.9 pada Bab 10). Firewall dapat berupa program ataupun perangkat keras yang memblokir akses dari luar intranet. 13.3.7 Kontrol terhadap Akses Informasi Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi
berhasil membaca
informasi
tersebut melalui
jaringan
(dengan
menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptograia. Adapun sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli (disebut cleartext atau plaintext) menjadi teks yang telah diacak (disebut ciphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari ciphertext menjadi cleartext, disebut dekripsi. Dua teknik yang yang populer untuk melakukan enkripsi yaitu DES dan public-key encryption. DES (Data Encryption Standard) DES merupakan teknik untuk melakukan enkripsi dan deskripsi yang dikembangkan oleh IBM pada awal tahun 1970-an. Kunci yang digunakan berupa kunci privat yang bentuknya sama, baik untuk enkripsi maupun untuk dekripsi. Panjang kunci yang digunakan untuk enkripsi dan dekripsi sebesar 64 bit. Algoritma yang digunakan mengonversi satu blok berukuran 64 bit (8 karakter) menjadi blok data berukuran 64 bit.
Buku Ajar Sistem Informasi Manajemen
333
Gambar 13.5 Proses enkripsi dara dekripsi pesan
Gambar 13.6 Enkripsi dan dekripsi pada DES Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang meniadi titik rawan untuk diketahui oleh pihak penyadap.
Buku Ajar Sistem Informasi Manajemen
334
Catatan Sistem kripto yang menggunakan kunci yang sama untuk enkripsi dan dekripsi disebut sistem kripto simetrik.
Public-key Enerpyton Untuk mengatasi kelemahan sistem kripto simetrik, Whitefield Diffie dan Martin Hellman (Universitas Stanford) memperkenalkan teknik yang disebut kriptografi kunci publik pada tahun 1976. Sistem ini merupakan model sistem kripto asimetrik, yang menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R melakukan dekripsi dengan menggunakan kunci privat R.
Gambar 13.7 Ettkripsi dan dekripsi dertgan menggunakan kunci publik Contoh enkripsi kunci publik yang terkenal adalah RSA (berasal dari namanama penciptanya: Ron Rivest, Adi Shamir, dan Len Adleman, dari MIT). 13.3.8 Kontrol terhadap Bencana Bencana dapat terjadi kapan saja dan tak dapat diduga. Untuk mengantisipasi hal seperti itu, organisasi perlu memiliki rencana pemulihan terhadap bencana. Zwass (1008) membagi rencana pemulihan terhadap bencana ke dalam 4 komponen: rencana darurat, rencana cadangan, rencana pemulihan, dan rencana pengujian.
Buku Ajar Sistem Informasi Manajemen
335
o
Rencana darurat (etnergency plan) menentukan tindakan-tindakan yang harus dilakukan oleh para pegawai manakala bencana terjadi.
o
Rencana cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
o
Rencana pemulihan (recovery plart) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasuk mencakup tanggung jawab masing-masing personil.
o
Rencana pengujian (test plan) menentukan bagaimana komponenkomponen dalam rencana pemulihan akan diuji atau disimulasikan.
13.3.9 Kontrol terhadap Perlindungan Terakhir Kontrol terhadap perlindungan terakhir dapat berupa: Rencana pemulihan terhadap bencana. Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengasuransikan gedung atau aset-aset tertentu dengan tujuan kalau bencana benar-benar terjadi, klaim asuransi dapat digunakan untuk meringankan beban organisasi. 13.3.10 Kontrol Aplikasi Kontrol aplikasi adalah kontrol yang diwujudkan secara spesifik dalam suatu aplikasi sistem informasi. Wilayah yang dicakup oleh kontrol ini meliputi:
Masukan
Keluaran
Pemrosesan
Basis data
Telekomunikasi
Buku Ajar Sistem Informasi Manajemen
336
Gambar 11.8 Kontrol aplikasi Kontrol Masukan Kontrol masukan digunakan untuk menjamin keakurasian data, kelengkapan masukan, dan validasi terhadap masukan. Digit pemeriksaan (check digit) yang ditambahkan dalam suatu kode masukan merupakan suatu contoh teknik yang digunakan untuk menjamin keakurasian dan keabsahan data. Contoh Digit Pemeriksaan Misalnya, bilangan yang dimasukkan adalah 2148. Salah satu metode digit pemeriksaan adalah dengan melakukan operasi penjumlahan setiap digit. Pada contoh di atas, pen jumlahannya berupa 2+1+4+8 = 15. Lalu, digit terkanan pada hasil penjum-lahan tersebut ditambahkan di belakang bilangan yang akan dimasukkan. Jadi, bilangan yang akan dimasukkan menjadi 21485. Namun, tentu saja cara seperti ini masih memiliki kelemahan, yaitu tidak bisa mengantisipasi kesalahan letak digit. Sebagai contoh, bilangan 2814-pun akan ditambahi dengan bilangan 5. Metode yang lain mengenai digit pemeriksaan dijelaskan lebih lanjut oleh Weber (1999). Kontrol Pemrosesan Kesalahan dalam pemrosesan bisa saja terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadangkadang perlu dilakukan sehingga kalau
Buku Ajar Sistem Informasi Manajemen
337
terjadi hal-hal yang tidak benar segera bisa diketahui. Kontrol proses antara lain dilakukan dengan mencantumkan total kontrol, berupa nilai total semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan maksud untuk dicocokkan dengan jumlah transaksi. Kontrol Keluaran Kontrol keluaran dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan dengan melaksanakan pengamatan terhadap dokumen-doku-men dan laporan-laporan yang dihasilkan oleh komputer didasarkan pada kebenaran informasi, otorisasi, dan kerahasian informasi. Kontrol Basis Data Kontrol terhadap basis data antara lain dilakukan dengan cara: Penerapan kebijakan recovery. •
Penanganan transaksi melalui mekanisme rollback dan commit (rollback adalah kemampuan basis data yang memungkinkan pengembalian ke keadaan sebelum sebuah transaksi dimulai jika suatu transaksi tidak berjalan dengan sempurna, sedangkan commit d.igunakan untuk memastikan bahwa data benar-benar telah dimutakhirkan pada basis data sekiranya sebuah transaksi telah berlangsung dengan sempurna).
•
Otorisasi akses, yang mengatur orang tertentu hanya bisa melakukan tindakan tertentu pada berkas tertentu.
Kontrol Telekomunikasi Telekomunikasi merupakan komponen yang paling lemah dalam sistem informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan. Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga Buku Ajar Sistem Informasi Manajemen
338
penyadap tidak dapat membaca infoxmasi yang sesungguhnya. Teknik checksum juga bisa diterapkan pada data yang vital untuk mendeteksi apakah telah terjadi perubahan pada data atau tidak. 13.4 Penutup Jawablah pertanyaan-pertanyaan berikut ini: 1.
Jelaskan apa yang dimaksud dengan etika dalam sistem informasi!
2.
Jelaskan apa pentingnya keamanan dalam sistem informasi!
3.
Sebutkan ancaman terhadap sistem informasi!
4.
Sebutkan beberapa contoh virus jahat di internet!
5.
Sebutkan macam-macam cara kontrol terhadap sistem informasi!
Buku Ajar Sistem Informasi Manajemen
339
