Modul 9: Keamanan Informasi dan Masalah Hukum, Etika, dan Sosial di Bidang Teknologi Informasi
TIPS: Rangkuman ini hanya sebagai pemahaman secara umum. Pastikan Anda juga membaca BMP (Buku Materi Pokok) versi cetak atau digital di Ruang Baca Virtual (RBV) untuk pemahaman lebih mendalam.
DILARANG: Memperjualbelikan seluruh konten atau latihan soal yang terdapat di portal ini. Pelanggaran akan dikenakan sanksi sesuai ketentuan yang berlaku.
Kegiatan Belajar 1: Keamanan Informasi
A. KERENTANAN INTERNET
Keamanan (Security): Kebijakan, prosedur, dan tindakan teknis untuk mencegah akses tidak sah, pengubahan, pencurian, atau kerusakan fisik pada sistem informasi.
Kontrol (Control): Metode dan prosedur organisasi untuk memastikan keamanan aset, akurasi data, dan kepatuhan terhadap standar manajemen.
Sistem informasi modern sangat rentan terhadap ancaman karena saling terhubung melalui jaringan. Ancaman dapat berasal dari faktor teknis, organisasi, dan lingkungan, serta keputusan manajemen yang buruk.
Internet, sebagai jaringan publik, secara inheren lebih rentan daripada jaringan internal. Kerentanan ini diperparah dengan meluasnya penggunaan email, instant messaging (IM), dan program berbagi file peer-to-peer (P2P), yang dapat menjadi pintu masuk bagi malware atau akses tidak sah.
Penggunaan perangkat seluler seperti smartphone dan tablet menambah kerentanan karena portabilitasnya (mudah hilang atau dicuri) dan dapat menjadi titik akses ke sistem internal perusahaan.
B. TANTANGAN KEAMANAN NIRKABEL
Jaringan nirkabel (Wi-Fi dan Bluetooth) sangat rentan terhadap peretasan karena pita frekuensi radio mudah dipindai.
Praktik seperti "war driving"—di mana peretas berkeliling untuk mendeteksi jaringan nirkabel yang tidak terlindungi—dapat memungkinkan penyusup memantau lalu lintas jaringan atau mendapatkan akses tidak sah.
Penyusup dapat menggunakan SSID (Service Set Identifiers) yang disiarkan oleh titik akses untuk terhubung dan kemudian mengakses sumber daya lain di jaringan.
C. KEJAHATAN KOMPUTER
Kejahatan komputer didefinisikan sebagai kejahatan yang melibatkan komputer atau jaringan, baik sebagai target serangan maupun sebagai alat untuk melakukan kejahatan.
Teknik umum yang digunakan untuk menyerang komputer:
Virus komputer: Kode kecil yang menempel pada program atau file dan menyalin dirinya sendiri untuk memodifikasi atau menghapus informasi.
Worm: Sejenis virus yang dapat menggandakan diri dari mesin ke mesin melalui jaringan, seringkali menghabiskan sumber daya sistem.
Trojan horse:Malware yang menyamar sebagai file sah untuk menipu korban agar menginstalnya, yang kemudian dapat memata-matai atau menyebabkan kerusakan.
Logic bomb:Malware yang dirancang untuk aktif pada waktu atau peristiwa tertentu (misalnya, tanggal tertentu).
Denial of service (DoS) attack: Serangan yang membanjiri komputer target dengan lalu lintas data sehingga menjadi tidak dapat diakses oleh pengguna yang sah.
Ransomware:Malware yang mengenkripsi data korban dan meminta tebusan untuk mengembalikannya.
Hacker: Orang yang melakukan aktivitas pembobolan, seringkali tanpa niat jahat.
Cracker: Orang yang membobol sistem dengan niat mencuri, merusak, atau melakukan tindakan berbahaya lainnya.
Ancaman juga dapat datang dari orang dalam (karyawan) dan mitra bisnis yang memiliki akses ke sistem.
D. PENGENDALIAN SISTEM INFORMASI
Kontrol sistem informasi terdiri dari kontrol umum dan kontrol aplikasi.
1. Kontrol Umum
Mengatur desain, keamanan, dan penggunaan program komputer secara umum di seluruh infrastruktur TI. Jenis-jenisnya meliputi:
Kontrol perangkat lunak: Mencegah akses tidak sah ke program.
Kontrol perangkat keras fisik: Mengamankan perangkat keras dari kerusakan fisik.
Kontrol operasi komputer: Mengawasi pekerjaan departemen komputer.
Kontrol keamanan data: Melindungi file data dari akses tidak sah.
Kontrol implementasi: Mengaudit proses pengembangan sistem.
Kontrol administratif: Memformalkan standar, aturan, dan prosedur.
2. Kontrol Aplikasi
Kontrol khusus yang unik untuk setiap aplikasi (misalnya, penggajian). Terdiri dari:
Kontrol input: Memeriksa akurasi dan kelengkapan data saat masuk ke sistem.
Kontrol pemrosesan: Memastikan data lengkap dan akurat selama pemrosesan.
Kontrol output: Memastikan hasil pemrosesan akurat dan didistribusikan dengan benar.
E. MANAJEMEN RISIKO UNTUK KEAMANAN INFORMASI
Inti dari manajemen keamanan adalah menentukan aset mana yang akan dilindungi dan dengan sumber daya apa.
Proses ini melibatkan:
Identifikasi dan prioritaskan aset informasi.
Tentukan berapa lama organisasi dapat bertahan tanpa aset tersebut.
Kembangkan dan terapkan prosedur keamanan.
Analisis risiko sering menggunakan metrik seperti Ekspektasi Kerugian Tunggal (Single Loss Expectancy/SLE) dan Tingkat Kejadian Tahunan (Annual Occurrence Rate/AOR) untuk menghitung Ekspektasi Kerugian Tahunan (Annualized Expected Losses/AEL).
F. KEPATUHAN PADA HUKUM DAN PERATURAN DI BIDANG TI
Organisasi harus mematuhi berbagai undang-undang yang mengatur keamanan dan privasi data.
Di Amerika Serikat, contohnya termasuk HIPAA (kesehatan), Gramm-Leach-Bliley (keuangan), dan Sarbanes-Oxley (SOX) (pelaporan keuangan).
Ketidakpatuhan dapat mengakibatkan denda yang signifikan dan hukuman pidana.
G. KEBIJAKAN ORGANISASI UNTUK KEAMANAN INFORMASI
Kebijakan keamanan harus tertulis, tidak ambigu, dan menyatakan sanksi dengan jelas.
Kebijakan ini harus dibuat oleh komite yang melibatkan perwakilan dari berbagai pemangku kepentingan dan harus ditinjau secara berkala.
Isi kebijakan harus mencakup segala sesuatu yang memengaruhi integritas dan kerahasiaan informasi, termasuk manajemen kata sandi dan penggunaan sumber daya komputer yang dapat diterima.
H. PERENCANAAN UNTUK KELANGSUNGAN USAHA
Perencanaan Kelangsungan Bisnis (Business Continuity Planning/BCP) adalah proses menyusun rencana untuk memastikan operasi bisnis inti dapat dipertahankan atau dipulihkan saat menghadapi gangguan besar.
Elemen kunci BCP meliputi ruang kerja alternatif, lokasi TI cadangan, dan rencana evakuasi.
Prosesnya dimulai dengan analisis dampak bisnis untuk mengidentifikasi proses kritis dan potensi gangguan.
I. ELECTRONIC RECORDS MANAGEMENT/ERM
Manajemen Arsip Elektronik (ERM) adalah proses pengelolaan arsip perusahaan dalam format digital untuk mematuhi persyaratan hukum dan peraturan (misalnya, UU SOX yang mengharuskan penyimpanan kertas kerja audit).
Manajer ERM bertanggung jawab untuk mendefinisikan apa itu arsip elektronik, mengklasifikasikannya, memastikan autentikasinya, dan mengelola kepatuhan terhadap kebijakan ERM.
J. KEBIJAKAN KEAMANAN INFORMASI DI INDONESIA
Kebijakan utama di Indonesia berfokus pada keamanan siber dan pertahanan siber untuk menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) informasi.
Landasan hukum utamanya adalah UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) dan PP No. 82 Tahun 2012.
UU ITE mewajibkan semua penyelenggara sistem elektronik (baik publik maupun non-publik) untuk menyelenggarakan sistemnya secara aman, andal, dan bertanggung jawab.
Tantangan besar adalah ancaman perang siber (cyber war), yang memerlukan kerja sama antara berbagai instansi pemerintah untuk menyusun strategi keamanan dan pertahanan siber nasional.
Kegiatan Belajar 2: Masalah Hukum, Etika, dan Sosial di Bidang Teknologi Informasi
A. HUBUNGAN ANTARA LINGKUNGAN HUKUM/POLITIK, ETIKA, DAN SOSIAL DALAM BIDANG TEKNOLOGI INFORMASI
Penggunaan sistem informasi menimbulkan isu-isu yang saling terkait dalam lima dimensi moral:
Hak dan kewajiban informasi: Apa hak individu dan organisasi atas informasi mereka sendiri?
Hak dan kewajiban properti: Bagaimana melindungi kekayaan intelektual di dunia digital?
Akuntabilitas dan kontrol: Siapa yang bertanggung jawab atas kerusakan yang disebabkan oleh sistem informasi?
Kualitas sistem: Standar apa yang harus diterapkan untuk melindungi individu dan masyarakat?
Kualitas hidup: Nilai-nilai apa yang harus dipertahankan dalam masyarakat berbasis informasi?
B. LINGKUNGAN HUKUM
Tujuan hukum adalah membatasi perilaku untuk mencegah kerusakan dalam masyarakat.
Dalam bidang TI, hukum seringkali tertinggal dari perkembangan teknologi, sehingga sulit untuk menulis aturan yang berlaku untuk setiap situasi.
Manajer memiliki tugas untuk mengetahui dan mematuhi hukum yang ada, karena ketidaktahuan bukanlah alasan.
C. KERANGKA ETIKA
Bertindak secara etis memerlukan kesadaran bahwa suatu keputusan memiliki implikasi etis. Teknologi itu sendiri netral; manusialah yang bertanggung jawab atas penggunaannya.
1. Mengidentifikasi Masalah Etika
Langkah pertama adalah menyadari adanya implikasi etis. Tidak ada aturan universal, dan pandangan etis dapat bervariasi antar budaya.
2. Konsep Dasar Etika
Dalam masyarakat informasi, tiga konsep dasar sangat penting:
Tanggung jawab (Responsibility): Menerima potensi biaya, tugas, dan kewajiban atas keputusan yang dibuat.
Akuntabilitas (Accountability): Mekanisme untuk menentukan siapa yang bertanggung jawab.
Liabilitas (Liability): Fitur sistem politik yang memungkinkan individu mendapatkan ganti rugi atas kerusakan yang disebabkan oleh orang lain.
D. ISU SOSIAL
TI telah menjadi kontributor positif bagi kesejahteraan, namun juga menimbulkan masalah sosial seperti cyberstalking, akses ke pornografi di tempat kerja, dan cyberbullying.
Manajer harus memastikan aktivitas semacam ini tidak terjadi di lingkungan kerja karena dapat membuat organisasi terkena hukuman dan mempermalukan publik.
E. MASALAH PRIVASI
Privasi didefinisikan sebagai kemampuan untuk mengontrol akses ke informasi tentang diri kita sendiri. TI telah secara radikal memengaruhi kemampuan ini.
Privasi di E-Commerce: Bisnis yang sah sekalipun mengumpulkan informasi pribadi tentang aktivitas belanja kita dan terkadang menjualnya kepada pihak lain.
Privasi di Tempat Kerja: Di banyak negara, perusahaan dapat memantau apa pun yang dilakukan karyawannya dengan komputer perusahaan. Karyawan harus sadar bahwa email perusahaan diarsipkan dan dapat diperiksa.
Undang-Undang Privasi: Di Indonesia, perlindungan data pribadi diatur secara komprehensif dalam UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), yang merupakan salah satu hak asasi manusia.
F. PENCURIAN IDENTITAS
Pencurian identitas adalah penggunaan informasi pribadi orang lain tanpa izin untuk melakukan penipuan atau pencurian.
Informasi ini dapat diperoleh melalui berbagai cara, termasuk membobol komputer atau melalui phishing (penipuan melalui email atau situs web palsu).
Dampak: Kerugian finansial, kerusakan peringkat kredit, dan tekanan psikologis.
Hukum: Di Indonesia, berbagai tindakan terkait penyalahgunaan data pribadi diatur dalam UU ITE dan UU PDP.
G. HAK KEKAYAAN INTELEKTUAL
Kekayaan intelektual adalah produk dari pikiran manusia (ide, penemuan, karya seni, program komputer). Dilindungi oleh hak cipta, paten, dan merek dagang.
Software Piracy (Pembajakan Perangkat Lunak): Penyalinan atau distribusi perangkat lunak secara ilegal atau tidak sah. Pembelian perangkat lunak umumnya hanya memberikan lisensi (izin untuk menggunakan).
Perlindungan Hak Cipta: Melindungi ekspresi tertulis dari sebuah ide, bukan ide itu sendiri. Program komputer dapat dilindungi hak cipta.
Perlindungan Paten: Memberikan hak eksklusif kepada penemu atas sebuah invensi (termasuk proses atau metode bisnis dalam perangkat lunak).
H. UNDANG-UNDANG INFORMASI TRANSAKSI ELEKTRONIK (UU ITE)
Secara resmi dikenal sebagai UU No. 11 Tahun 2008, UU ITE mengatur penggunaan teknologi informasi dan transaksi elektronik di Indonesia.
Informasi Elektronik: Satu atau sekumpulan data elektronik yang telah diolah dan memiliki arti.
Transaksi Elektronik: Perbuatan hukum yang dilakukan menggunakan komputer atau media elektronik lainnya.
Perbuatan yang Dilarang: Menyebarkan konten asusila, judi online, pencemaran nama baik, pengancaman, ujaran kebencian, teror online, peretasan, dan penyebaran berita bohong (hoaks).