Semakin pesatnya kemajuan teknologi informasi.kita harus mempunyai sebuah rencana keamanan, harus dapat mengkombinasikan peran dari kebijakan, teknologi dan orang. Dimana manusia (people), yang menjalankan proses membutuhkan dukungan kebijakan (policy),sebagai petunjuk untuk melakukannya, dan membutuhkan teknologi (technology), merupakan alat (tools), mekanisme atau fasilitas untuk melakukan.
Terdapat prinsip-prinsip penting dari sebuah rencana keamanan informasi (information security), yaitu: kerahasian (Confidentiality), keutuhan data (Integrity), dan ketersediaan (Availability). Biasanya ketiga aspek ini sering disingkat menjadi CIA. CIA adalah standar yang digunakan banyak pihak untuk mengukur keamanan sebuah sistem. Prinsip-prinsip keamanan informasi ialah sebagai berikut:
- Integrity
Integrity yaitu taraf kepercayaan terhadap sebuah informasi. Dalam konsep ini tercakup data integrity dan source integrity, merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang (authorized). Untuk aplikasi e-procurement, aspek integrity ini sangat penting. Data yang telah dikirimkan tidak dapat diubah oleh pihak yang berwenang. Pelanggaran terhadap hal ini akan berakibat tidak berfungsinya sistem e-procurement. Secara teknis ada banyak cara untuk menjamin aspek integrity ini, seperi misalnya dengan menggunakan messange authentication code, hash function, digital signature.
- Confidentiality
Confidentiality yaitu membatasi akses informasi hanya bagi pengguna tertentu, merupakan aspek yang menjamin kerahasiaan data atau informasi. Sistem yang digunakan untuk mengimplementasikan e-procurement harus dapat menjamin kerahasiaan data yang dikirim, diterima dan disimpan. Bocornya informasi dapat berakibat batalnya proses pengadaan.
Kerahasiaan ini dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi kriptografi dengan melakukan proses enkripsi (penyandian, pengkodean) pada transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data (storage). Teknologi kriptografi dapat mempersulit pembacaan data tersebut bagi pihak yang tidak berhak.
Seringkali perancang dan implementor dari sistem informasi atau sistem transaksi elektronik lalai dalam menerapkan pengamanan. Umumnya pengamanan ini baru diperhatikan pada tahap akhir saja sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini menyebabkan sistem menjadi tambal sulam. Akibat lain dari hal ini adalah adanya biaya yang lebih mahal daripada jika pengamanan sudah dipikirkan dan diimplementasikan sejak awal. Akses terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi (authorization) yang ketat. Tingkat keamanan dari mekanisme otorisasi bergantung kepada tingkat kerahasiaan data yang diinginkan.
- Availability
Availability aitu ketersediaan, Availability yang dimaksud adalah ketersediaan sumber informasi, merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Dapat dibayangkan efek yang terjadi ketika proses penawaran sedang dilangsungkan ternyata sistem tidak dapat diakses sehingga penawaran tidak dapat diterima. Ada kemungkinan pihak-pihak yang dirugikan karena tidak dapat mengirimkan penawaran, misalnya:
Hilangnya layanan dapat disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan pemulihan (disaster recovery plan).
Sebuah rencana keamanan informasi, harus mampu menggambarkan langkah yang sistematis untuk menurunkan risiko, dengan cara mengimplementasikan kontrol keamanan berdasarkan sasarannya.
Jenis kontrol berdasarkan sasarannya, sebagai berikut:
1. Kontrol administrasi (administrative security)
2. Kontrol logik (logical control), intrusion detection, dan anti-virus
3. Kontrol fisik (physical control)
Kontrol keamanan tidak terlepas dari perlindungan terhadap aset informasi yang sensitif. Enterprise Information Technology Services (2001), dalam artikelnya yang berjudul “Information Classification Standard”, menjelaskan bahwa informasi diklasifikasikan menjadi informasi sensitif dan kritikal. Informasi sensitif terkait dengan kerahasiaan (confidentiality) dan integritas data (integrity), sedangkan informasi kritikal terkait dengan ketersediaan data (availability).
Berdasarkan uraian di atas, maka rencana keamanan akan berisi tentang penentuan kombinasi kontrol keamanan informasi yang digunakan, serta prioritas dalam melakukan implementasinya. Isi konten dasar pada dokumen rencana keamanan informasi (information security plan), antara lain:
1. Ancaman dan kelemahan, merupakan proses untuk mereview hasil tahapan penilaian risiko, dengan mengambil informasi mengenai sesuatu yang dapat menganggu kegiatan organisasi.
2. Tujuan dan sasaran, merupakan proses menentukan target dan lingkup keamanan informasi yang ingin dicapai, sehingga dapat fokus pada aspek keamanan yang akan diselesaikan. Sasaran keamanan informasi menggambarkan spesifik hasil, kejadian atau manfaat yang ingin di capai sesuai dengan tujuan keamanan yang ditetapkan.
3. Aturan dan tanggungjawab, merupakan proses menyusun aturan dan penanggungjawab, yang mengatur kegiatan sebagai upaya untuk menurunkan risiko keamanan informasi yang bersumber dari ancaman dan kelemahan.
4. Strategi dan kontrol keamanan, merupakan proses untuk memberikan prioritas aksi yang akan dilakukan untuk mencapai tujuan dan sasaran keamanan informasi yang telah ditetapkan. Prioritas aksi tersebut sebagai pengaman untuk menjaga kerahasiaan, keutuhan dan ketersediaan informasi, dengan penentuan control keamanan yang sesuai dengan tujuan dan sasaran yang diinginkan.
Salah satu kunci keberhasilan pengaman sistem informasi adalah adanya visi dan komitmen dari pimpinan puncak. Upaya atau inisiatif pengamanan akan percuma tanpa hal ini. Ketidakadaan komitmen dari puncak pimpinan berdampak kepada investasi pengamanan data. Pengamanan data tidak dapat tumbuh demikian saja tanpa adanya usaha dan biaya. Sebagai contoh, untuk mengamankan hotel, setiap pintu kamar perlu dilengkapi dengan kunci. Adalah tidak mungkin menganggap bahwa setiap tamu taat kepada aturan bahwa mereka hanya boleh mengakses kamar mereka sendiri. Pemasangan kunci pintu membutuhkan biaya yang tidak sedikit, terlebih lagi jika menggunakan kunci yang canggih. Pengamanan data elektronik juga membutuhkan investmen. Dia tidak dapat timbul demikian saja. Tanpa investasi akan sia-sia upaya pengamanan data. Sayangnya hal ini sering diabaikan karena tidak adanya komitmen dari pimpinan puncak. Jika komitmen dari pucuk pimpinan sudah ada, masih ada banyak lagi masalah pengamanan sistem informasi. Masalah tersebut adalah (1) kesalahan desain, (2) kesalahan implementasi, (3) kesalahan konfigurasi, dan (4) kesalahan operasional.
Kode etik penggunaan fasilitas internet di kantor hampir sama dengan kode etik pengguna internet pada umumnya, hanya saja lebih dititik beratkan pada hal-hal atauaktivitas yang berkaitan dengan masalah perkantoran di suatu organisasi atau instansi. Berikut contohnya :
- Menghindari penggunaaan fasilitas internet diluar keperluan kantor atau untuk kepentingan sendiri.
- Tidak menggunakan internet untuk mempublikasi atau bertukar informasi internalkantor kepada pihak luar secara ilegal.
- Tidak melakukan kegiatan pirating, hacking atau cracking
terhadap fasilitas internet kantor.
- Mematuhi peraturan yang ditetapkan oleh kantor dalam penggunaan fasilitas internet
Dalam lingkup TI, kode etik profesinya memuat kajian ilmiah mengenai prinsip atau norma-norma dalam kaitan dengan hubungan antara professional atau developer TI dengan klien, antara para professional sendiri, antara organisasi profesi serta organisasi profesi dengan pemerintah. Salah satu bentuk hubungan seorang profesional dengan klien (pengguna jasa) misalnya pembuatan sebuah program aplikasi.
Seorang profesional tidak dapat membuat program semaunya, ada beberapa hal yang harus ia perhatikan seperti untuk apa program tersebut nantinyadigunakan oleh kliennya atau user; iadapat menjamin keamanan (security) sistem kerja program aplikasi tersebut dari pihak-pihak yang dapat mengacaukan sistem kerjanya(misalnya: hacker, cracker, dll).
Ada 3 hal pokok yang merupakan fungsi dari kode etik profesi:
1. Kode etik profesi memberikan pedoman bagi setiap anggota profesi tentang prinsip profesionalitas yang digariskan.
2. Kode etik profesi merupakan sarana kontrol sosial bagi masyarakat atas profesi yang bersangkutan(kalanggansocial).
3. Kode etik profesi mencegah campur tangan pihak diluarorganisasi profesi tentang hubungan etika dalam keanggotaan profesi.
Ada 8 hal pokok yang merupakan prinsip dasar dari kode etik profesi:
1. Prinsip Standar Teknis
Setiap anggota profesi harus melaksanakan jasa profesional yang relevan dengan bidang profesinya.
2. Prinsip Kompetensi
Setiap anggota profesi harus melaksanakan pekerjaan sesuai jasa profesionalnya dengan kehati-hatian, kompetensi dan ketekunan
3. Prinsip Tanggung Jawab Profesi
Setiap anggota harus senantiasa menggunakan pertimbangan moral dan profesional dalam semua kegiatan yang dilakukan
4. Prinsip Kepentingan Publik
Setiap anggota berkewajiban untuk senantiasa bertindak memberikan jasa profesionalnya dalam kerangka pelayanan kepada publik, menghormati kepercayaan publik, dan menunjukkan komitmen atas profesionalisme.
5. Prinsip Integritas
Pelaku profesi harus menjunjung nilai tanggung jawab profesional dengan integritas setinggi mungkin untuk memelihara dan meningkatkan kepercayaan publik yang menggunakan jasa profesionalnya
6. Prinsip Obyektivitas
Setiap anggota harus menjaga obyektivitas dan bebas dari benturan kepentingan dalam pemenuhan kewajiban profesionalnya
7. Prinsip Kerahasiaan
Setiap anggota harus menghormati kerahasiaan informasi yang diperoleh selama melakukan jasa profesional dan tidak boleh memakai atau mengungkapkan informasi tersebut tanpa persetujuan, kecuali bila ada hak atau kewajiban profesional atau hukum untuk mengungkapkannya
8. Prinsip Perilaku Profesional
Setiap anggita harus berperilaku konsisten dengan reputasi profesi yang baik dan menjauhi tindakan yang dapat mendiskreditkan profesi yang diembannya
Prinsip-prinsip umum yang dirumuskan dalam suatu profesi akan berbeda satu dengan yang lainnya. Hal ini disebabkan perbedaan adat, kebiasaan, kebudayaan, dan peranan tenaga ahli profesi yang didefinisikan dalam suatu negara tidak sama.
Sumber:
