Selasa, 06 Maret 2012

Etika dan Profesionalisme TSI

Ciri-ciri seorang profesional di bidang IT 
•Memiliki pengetahuan yang tinggi di bidang IT
•Memiliki ketrampilan yang tinggi di bidang IT
•Memiliki pengetahuan yang luas tentang manusia dan masyarakat, budaya, seni, sejarah dan komunikasi
•Tanggap terhadap masalah klien, memahami isu-isu etis serta tata nilai kilen-nya
•Mampu melakukan pendekatan multidispliner
•Mampu bekerja sama
•Bekerja dibawah disiplin etika
•Mampu mengambil keputusan didasarkan kepada kode etik, bila dihadapkan pada situasi dimana pengambilan keputusan berakibat luas terhadap masyarakat
Jenis-jenis ancaman thread melalui IT
National Security Agency (NSA) dalam dokuman Information Assurance Technical Framework (IATF) menggolongkan lima jenis ancaman pada sistem teknologi informasi.

Kelima ancaman itu adalah :

1. SeranganPasif

Termasuk di dalamnya analisa trafik, memonitor komunikasi terbuka, memecah kode trafik yang dienkripsi, menangkan informasi untuk proses otentifikasi (misalnya password).
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.

2. Serangan Aktif

Tipe serangan ini berupaya membongkar sistem pengamanan, misalnya dengan memasukan kode-kode berbahaya (malicious code), mencuri atau memodifikasi informasi. Sasaran serangan aktif ini termasuk penyusupan ke jaringan backbone, eksploitasi informasi di tempat transit, penetrasi elektronik, dan menghadang ketika pengguna akan melakukan koneksi jarak jauh. Serangan aktif ini selain mengakibatkan terpaparnya data, juga denial-of-service, atau modifikasi data.

3. Serangan jarak dekat

Dalam jenis serangan ini, hacker secara fisik berada dekat dari peranti jaringan, sistem atau fasilitas infrastruktur. Serangan ini bertujuan memodifikasi, mengumpulkan atau memblok akses pada informasi. Tipe serangan jarak dekat ini biasanya dilakukan dengan masuk ke lokasi secara tidak sah.

4. Orang dalam

Serangan oleh orang di dalam organisasi ini dibagi menjadi sengaja dan tidak sengaja. Jika dilakukan dengan sengaja, tujuannya untuk mencuri, merusak informasi, menggunakan informasi untuk kejahatan atau memblok akses kepada informasi. Serangan orang dalam yang tidak disengaja lebih disebabkan karena kecerobohan pengguna, tidak ada maksud jahat dalam tipe serangan ini.

5. Serangan distribusi
Tujuan serangan ini adalah memodifikasi peranti keras atau peranti lunak pada saat produksi di pabrik sehingga bisa disalahgunakan di kemudian hari. Dalam serangan ini, hacker sejumlah kode disusupkan ke produk sehingga membuka celah keamanan yang bisa dimanfaatkan untuk tujuan ilegal.

Focus Cybercrime

Kejahatan Cyber ( Cybercrime) adalah sebuah kejahatan yang dilakukan dengan menggunakan computer dan bertekhnologi internet sebagai sarana/ alat sebagai objek atau subjek dan dilakukan dengan sengaja. Cybercrime with violence adalah sebuah perbuatan melawan hukum dengan menggunakan computer berbasis jaringan dan tekhnologi internet yang menjadikan jaringan tersebut menjadi subjek/objek dari kegiatan terorisme, kejahatan cyber pornografi anak, kejahatan cyber dengan ancaman ataupun kejahatan cyber penguntitan.

Secara harfiah, kejahatan cyber yang menjadikan korban dengan menggunakan kekerasan secara langsung memang tidak bisa dilihat hubungan timbal baliknya, namun ada implikasi dari kejahatan-kejahatan tersebut, yang berupa ancaman terhadap rasa aman dan keselamatan korban kejahatan.

Dr. Dorothy Dennings, (Bernadette Hlubik Schell, Clemens Martin, Cybercrime: A Reference Handbook, ABC-CLIO,2004) salah satu pakar cybercrime di Universitas Goergetown Amerika mengatakan bahwa “jaringan internet telah menjadi lahan yang subur untuk melakukan serangan – serangan terhadap pemerintah, perusahaan-perusahaan dan individu-individu. Para pelaku kejahatan ini melakukan pembobolan data, penyadapan dan penguntitan individu/personal yang mengakibatkan terancamnya keselamatan individu, merusak jaringan website yang mengakibatkan hancurnya data base yang sudah dibangun, ada dua faktor yang sangat penting untuk menentukan apakah korban dari cyber terorisme ini dapat menjadi ancaman yang mengakibatkan terlukai atau terbunuhnya banyak orang. Faktor yang pertama apakah ada target yang dapat dibuktikan bahwa kejahatan ini dapat menuntun dilakukannya kekerasan dan penganiayaan. Faktor yang kedua adalah apakah ada actor yang mempunyai kapabilitas ( kemampuan) dan motivasi untuk dilakukannya cyber terorisme”.

Pemerintah USA telah mendefinisikan Cyberterorisme sebagai perbuatan terorisme yang dilakukan, direncanakan dan dikoordinasikan dalam jaringan cyberspace, yang melalui jaringan computer. Faktor-faktor yang menjadikan menjadi pertimbangan untuk mencegah Cyber crime sebagai prioritas utama adalah (Debra Littlejohn Shinder, Ed Tittel, Scene of the Cybercrime: Computer Forensics Handbook, Syngress, 2002):

Perluasan target kekerasan :

Cybercrime yang melibatkan kekerasan atau potensi kekerasan melawan orang ( khususnya terhadap anak-anak) adalah normal sebagai prioritas utama, kejahatan terhadap property yang mengakibatkan kerugian yang bernilai besar juga menjadi focus perhatian yang lebih besar untuk ditanggulangi dari pada dengan nilai kerugian yang kecil.

Frekuensi Kejadian :

Cybercrime yang terjadi lebih sering menjadi focus perhatian utama dari pada yang jarang terjadi.

Kemampuan Personel :

Penyidikan cybercrime yang dapat dilakukan oleh satu penyidik lebih membantu satuannya karena tidak banyak penyidik yang dimiliki untuk melakukan penyidikan cybercrime.
IT Audit

Audit  menurut  Arens,  et  al.  (2003)  yang  diterjemahkan  oleh  kanto  Santoso
Setiawan dan Tumbur Pasaribu adalah proses pengumpulan dan pengevaluasian bukti-bukti  tentang  informasi  ekonomi  untuk  menentukan  tingkat kesesuaian informasi tersebut  dengan  kriteria-kriteria  yang  telah  ditetapkan,  dan  melaporkan  hasil pemeriksaan 
tersebut.  IT  Audit  adalah  suatu  proses  kontrol  pengujian  terhadap
infrastruktur teknologi informasi dimana berhubungan dengan masalah audit finansial dan audit internal.IT audit lebih dikenal dengan istilah EDP Auditing (Electronic Data
Processing
),  biasanya  digunakan  untuk  menguraikan  dua  jenis
aktifitas yang berkaitan  dengan  komputer.  IT  Audit  merupakan  gabungan  dari  berbagai  macam ilmu,  antara  lain  Traditional  Audit,  Manajemen  Sistem  Informasi,  Sistem  Informasi Akuntansi,  Ilmu  Komputer,  dan 
Behavioral  Science.  IT  Audit  bertujuan  untuk meninjau  dan 
mengevaluasi  faktor-faktor  ketersediaan  (availability),  kerahasiaan
(confidentiality), dan kebutuhan (integrity) dari sistem informasi organisasi.

Jenis IT Audit
1.Sistem  dan  aplikasi:   untuk  memeriksa  apakah  sistem  dan  aplikasi  sesuai  dengan kebutuhan  organisasi,  berdayaguna,  dan  memiliki kontrol yang cukup baik untuk menjamin  keabsahan,  kehandalan,  tepat  waktu,  dan  keamanan  padainput,  proses, output pada semua tingkat kegiatan sistem.
2.Fasilitas  pemrosesan  informasi:  untuk  memeriksa  apakah  fasilitas  pemrosesan terkendali untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi yang efisien dalam keadaan normal dan buruk.
3.Pengembangan  sistem:  untuk  memeriksa  apakah  sistem  yang
dikembangkan mencakup kebutuhan obyektif organisasi.
4.Arsitektur  perusahaan  dan  manajemen  TI:  untuk memeriksa apakah manajemen  TI dapat  mengembangkan  struktur  organisasi  dan  prosedur  yang  menjamin  kontrol  dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5.Client/Server,  telekomunikasi,  intranet,  dan  ekstranet:   untuk
 memeriksa  apakah kontrol-kontrol  berfungsi  pada  client,  server,  dan  jaringan  yang 
menghubungkan client dan server.

Manfaat IT Audit 
Manfaat penggunaan IT Audit dapat dikelompokkan menjadi 2 yaitu: 

A. Manfaat pada saat Implementasi (Pre-Implementation Review

1.Institusi dapat mengetahui apakah sistem  yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria. 
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut. 
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.

B. Manfaat setelah sistem live (Post-Implementation Review
1. Institusi  mendapat  masukan  atas  risiko-risiko  yang  masih  yang  masih  ada  dan  saran untuk penanganannya. 
2. Masukan-masukan  tersebut  dimasukkan  dalam  agenda  penyempurnaan  sistem, perencanaan strategis, dan anggaran pada periode berikutnya. 
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang. 
4.Memberikan  reasonable  assurance  bahwa  sistem  informasi  telah 
sesuai   dengan kebijakan atau prosedur yang telah ditetapkan. 
5.Membantu  memastikan  bahwa  jejak  pemeriksaan  (audit  trail)  telahdiaktifkan  dan dapat  digunakan  oleh  manajemen,  auditor  maupun pihak  lain  yang  berwewenang melakukan pemeriksaan. 
6.Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya. 
  
Audit Trail  

Audit Trail merupakan salah satu fitur dalam suatu program yang mencatat semua kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus. Audit
Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
 
Cara Kerja Audit Trail 

Audit Trail yang disimpan dalam suatu tabel:
 
1. Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan Delete  
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
 
 
Fasilitas Audit Trail
 
Fasilitas Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate,
jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan. Apabila
ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan, begitu pula
dengan jurnal barunya.

Hasil Audit Trail 

Record Audit Trail disimpan dalam bentuk, yaitu : 

1. Binary File - Ukuran tidak besar dan tidak bisa dibaca begitu saja 
2. Text File - Ukuran besar dan bisa dibaca langsung 
3. Tabel.


IT Forensik
 
IT  Forensik  adalah  cabang  dari  ilmu  komputer  tetapi  menjurus  ke  
bagian forensik yaitu berkaitan dengan bukti hukum yang ditemukan di komputer dan media penyimpanan  digital.  Komputer  forensik  juga  dikenal  sebagai  Digital  Forensik  yang terdiri  dari  aplikasi  dari  ilmu  
pengetahuan  kepada  indetifikasi,  koleksi,  analisa,  dan pengujian dari bukti digital. 

IT  Forensik  adalah  penggunaan  sekumpulan  prosedur  untuk
melakukan pengujian  secara  menyeluruh  suatu  sistem  komputer  
dengan  mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan  keadaan  artefak 
digital  terkini.  Artefak  Digital  dapat  mencakup  sistem komputer, 
media penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya  pesan  email  atau  gambar  JPEG)  atau  bahkan  paket-paket  yang  secara 
berurutan  bergerak  melalui  jaringan.  Bidang  IT  Forensik  juga  memiliki  cabang-cabang  di  dalamnya  seperti  firewall  forensik,  forensik  jaringan  ,  database  forensik, dan forensik perangkat mobile.



 
 sumber: - staff.ui.ac.id/internal/130517305/material/Ethic-2009-a.ppt
             - http://ridwan-simbada.blogspot.com/2012/03/ciri-ciri-seorang-profesional-di-bidang.html
             -  http://saprida.blogspot.com/2012/03/focus-cybercrime.html
             - http://dc347.4shared.com/doc/WLzr3vgv/preview.html 

Tidak ada komentar:

Posting Komentar