Legal,Ethical dan Profesional Issues on Information Security



A.  Hukum dan Etika dalam Keamanan Informasi 

1. Moral Budaya : sikap moral tetap atau kebiasaan kelompok tertentu

2. Etik : didefenisikan sebagai perilaku yang diterima secara sosial dengan mempertimbangkan alam, kriteria, sumber, logika, dan validitas penilaian moral. (aturan yang tidak tertulis).

3. Hukum :  Aturan yang mengamanatkan atau melarang perilaku tertentu dan ditegakkan oleh negara.

lHukum membawa sanksi dari otoritas pemerintahan, sementara etik tidak.

lsebagai seorang professional bidang keamanan informasi di masa depan, anda harus memahami ruang lingkup tanggung jawab tentang legalitas dan etik dari sebuah organisasi.

lUntuk meminimalkan kewajiban dan mengurangi resiko, seorang praktisi keamanan informasi harus:

i. Memahami lingkungan legalitas terkini.

ii. Selalu up to date terhadap hukum dan peraturan.

iii. Mengamati permasalahan baru yang muncul.

 

B. Tanggung Jawab Organisasi

ØDue care (perawatan) : Langkah-Langkah yang dibutuhkan organisasi untuk memastikan setiap karyawan tahu apa yang dapat diterima dan apa yang tidak.

ØDue diligence (uji kelayakan) : Langkah wajar yang diambil oleh orang atau organisasi untuk memeneuhi kewajiban yang dibebankan oleh undang-undang atau peraturan.

ØJuridiction : hak pengadilan untuk menyelidiki sebuah kasus jika kesalahan dilakukan dalam wilayah teritorinya atau melibatkan warga negaranya.

ØLiability : kewajiban legal dari sebuah entitas yang melampaui hukum pidana atau perdata, termasuk kewajiban legal untuk membuat restitusi untuk mengkompensasi kesalahan yang dilakukan sebuah organisasi atau pekerjanya.

 

C. Kebijakan VS Hukum

ØKebijakan : Pedoman yang menentukan perilaku tertentu dalam organisasi.

Kebijakan mendeskripsikan perilaku pekerja yang dapat diterima dan tidak dapat diterima dalam suatu lingkungan kerja. Yang difungsikan sebagai hukum organisasi harus dibuat secara hati-hati untuk memastikan kebijakan tersebut lengkap, sesuai dan diterapkan secara adil kepada semua orang dilingkungan kerja.

Kriteria Kebijakan :

1. Dissemination (disebarkan) :  Organisasi harus mampu menunjukkan bahwa kebijakan yang relevan telah tersedia untuk ditinjau oleh karyawan. Teknik penyebaran umum termasuk hard copy dan distribusi elektronik. 

2. Review (dibaca) : Organisasi harus dapat menunjukkan bahwa dokumen tersebut disebarluaskan dalam bentuk yang dapat dipahami, termasuk versi untuk karyawan yang buta huruf, mengalami gangguan membaca, dan tidak dapat membaca bahasa Inggris. Teknik umum termasuk pencatatan kebijakan dalam bahasa Inggris dan bahasa alternatif.

3. Comprehension (dipahami) :  Organisasi harus mampu menunjukkan bahwa karyawan memahami persyaratan dan isi kebijakan. Teknik umum meliputi kuis dan penilaian lainnya.

4. Compliance (disepakati) : Organisasi harus mampu menunjukkan bahwa karyawan setuju untuk mematuhi kebijakan melalui tindakan atau penegasan. Teknik umum termasuk spanduk masuk, yang memerlukan tindakan tertentu untuk mengakui persetujuan, atau dokumen yang ditanda tangani dengan jelas yang menunjukkan bahwa karyawan telah membaca, memahami, dan setuju untuk mematuhi kebijakan tersebut.

5. Uniform enforcement (diterapkan secara sama) : Organisasi harus mampu menunjukkan bahwa kebijakan telah ditegakkan secara seragam, terlepas dari status atau penugasan karyawan.

Perbedaan antara kebijakan dan hukum bahwa ketidaktahuan terhadap suatu kebijakan merupakan alasan yang bisa diterima.


ØHukum : aturan yang mengamanatkan atau melarang perilaku tertentu dan ditegakkan oleh negara.

Tipe Hukum :

1. Hukum Perdata : mengatur suatu bangsa atau negara, mengelola konflik dan hubungan entiitas organisasi dan orang.

2. Hukum Pidana : menangani pelanggaran berbahaya terhadao komunitas dan ditegakkan secara aktif oleh Negara

3. Hukum Privat : mengatur hubungan antara individu atau organisasi, dan mencakup hukum keluarga, hukum komersial, hukum pekerja.

4. Hukum Publik : mengatur struktur dan administrasi dari agen pemerintan dan hubungan mereka dengan penduduk, pekerja, dan pemerintahan lain. 


D. Konvensi tentang Kejahatan Cyber

European Council Cyber-Crime Convention

  • Membentuk gugus tugas international untuk mengawasi fungsi keamanan Internet berdasarkan gukum teknologi International standar.
  • Berupaya meningkatkan efektivitas investigasi international terhadap pelanggaran hukum teknologi.
  • Diterima dengan baik oleh para pendukung kekayaan intelektual karena menekankan pada penuntutan pelanggaran hak cipta.
  • Kurang adanya ketentuan realistik untuk penegakan hukum.
Kesepakatan pada transaksi kekayaan intelektual

Agreement on Trade-Related Aspect of Intellectual Property Rights (TRIPS), dibuat oleh World Trade Organization (WTO). Meliputi 5 masalah :
  • Penerapan prinsip-prinsip dasar system perdagangan dan kesepakatan kekayaan intelektual international.
  • Pemberian perlindungan yang cukup terhadap hak atas kekayaan intelektual.
  • Penegakan hak atas kekayaan intelektual oleh negara-negara pada teritori mereka.
  • Penyelesaian perselisihan atas kekayaan intelektual.
  • Pengaturan transisi saat system baru diperkenalkan.

E. Hukum Internasional dan Badan Hukum

1. Digital Millenium Copyright ACT (DMCA) :  sebuah kontribusi dari US terhadap upaya secara international untuk mengurangi dampak pelanggaran hak cipta, merk dagang, dan privasi. DMCA mencakup ketentuan sebagai berikut : 
  • Melarang pengelakan perlindungan dan Tindakan balasan yang diterapkan oleh pemilik hak cipta untuk mengontrol akses ke konten yang dilindungi 
  • Melarang pembuatan perangkat untuk menghindari perlindungan dan Tindakan pencegahan yang mengontrol akses ke konten yang dilindungi
  • Melarang perdagangan perangkat yang doproduksi untuk menghindari perlindungan dan Tindakan pencegahan yang mengontrol akses ke konten yang dilindungi 
  • Melarang pengubahan informasi yang dilampirkan atau disematkan ke dalam materi berhak cipta
  • Mengecualikan penyedia layanan internet dari bentuk pelanggaran hak cipta tertentu.
2. Council of Europe Convention on Cybercrime : Ini menciptakan satuan tugas internasional untuk mengawasi berbagai fungsi keamanan yang terkait dengan aktivitas Internet dan undang-undang teknologi standar lintas batas internasional.
Meningkatkan efektivitas investigasi internasional terhadap pelanggaran hukum teknologi 

3. Payment Card Industry Data Security Standards (PCI DSS) :  Dewan Standar Keamanan Industri Kartu Pembayaran (PCI) menawarkan standar kinerja yang harus dipatuhi oleh organisasi yang berpartisipasi. Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), dirancang untuk meningkatkan keamanan data akun pelanggan. Peraturan tersebut mencakup persyaratan untuk kebijakan, prosedur, dan manajemen keamanan informasi, serta spesifikasi perangkat lunak dan jaringan teknis.

4. Agreement on Trade-Related Aspects of Intellectual Property Rights : dibuat oleh World Trade Organization (WTO). Ini upaya internasional pertama yang signifikan untuk melindungi hak kekayaan intelektual, menguraikan persyaratan untuk pengawasan govermental dan undang-undang yang memberikan tingkat perlindungan minimum untuk kekayaan intelektual. 

Perjanjian TRIPS WTO mencakup 5 masalah :
  • Bagaimana prinsip-prinsip dasar sistem perdagangan dan perjanjian kekayaan intelektual internasional lainnya harus diterapkan.
  • Bagaimana memberikan perlindungan yang memadai terhadap hak kekayaan intelektual.
  • Bagaimana negara harus menegakkan hak-hak tersebut secara memadai di dalam perbatasan mereka sendiri.
  • Bagaimana menyelesaikan perselisihan tentang kekayaan intelektual antara anggota WTO.
  • Pengaturan transisi khusus selama periode ketika sistem baru diperkenalkan.

 
F. Etik dan Keamanan Informasi 
Banyak disiplin ilmu yang diatur secara professional memiliki aturan eksplisit yang mengatur perilaku etis dari anggota mereka.
Contoh: dokter dan pengacara yang melakukan pelanggaran berat terhadap perilaku profesi mereka dapat dicabut kemampuan hukumnya untuk berpraktik. 
Berbeda dengan bidang medis dan hukum, bidang teknologi informasi dan keamanan informasi tidak memiliki kode etik yang mengikat.Sebaliknya, asosiasi profesional seperti ACM dan ISSA, dan lembaga sertifikasi seperti (ISC)2 dan ISACA, bekerja untuk memelihara kode etik untuk keanggotaan mereka masing-masing.

G. Perbedaan Etik antar Budaya
Perbedaan budaya menyebabkan kesulitan untuk menentukan apa yang etis dan yang tidak Kesulitan terjadi saat perilaku etik sebuah bangsa konflik dengan etik dari kelompok bangsa lain.
Contoh: dalam banyak hal, budaya orang Asia dalam menggunakan teknologi komputer dianggap sebagai pembajakan software oleh bangsa lain.


H. Etik dan Pendidikan
  1. Studi kunci mengungkapkan bahwa pendidikan adalah faktor utamadalam menyamakan persepsi etis dalam populasi kecil.
  2. Pendidikan ini sangat penting dalam keamanan informasi, karena banyak karyawan mungkin tidak memiliki pelatihan teknis formal untuk memahami bahwa perilaku mereka tidak etis atau bahkan ilegal. 
  3. Pelatihan etika dan hukum yang tepat sangat penting untuk menciptakanpengguna sistem yang terinformasi dan dipersiapkan dengan baik.

I. 10 Perintah Etia Komputer dari Intitute Etika Komputer
  1. Tidak boleh menggunakan komputer untuk menyakiti orang lain.
  2. Tidak boleh mengganggu pekerjaan komputer orang lain.
  3. Tidak boleh mengintip file komputer orang lain.
  4. Jangan menggunakan komputer untuk mencuri.
  5. Jangan menggunakan komputer untuk bersaksi dusta.
  6. Tidak boleh menyalin atau menggunakan perangkat lunak berpemilik yang belum Anda bayar.
  7. Tidak boleh menggunakan sumber daya komputer orang lain tanpa izin atau kompensasi yang layak. 
  8. Tidak boleh mengambil hasil intelektual orang lain.
  9. Harus memikirkan konsekuensi sosial dari program yang Anda tulisatau sistem yang Anda rancang.
  10. Harus selalu menggunakan komputer dengan cara yang memastikan pertimbangan dan rasa hormatuntuk sesama manusia.

J. Mencegah Perilaku tidak Etis dan Ilegal

Ada tiga penyebab umum perilaku tidak tidak etis dan illegal :
  • Ignorance (Ketidaktahuan) : Ketidaktahuan hukum bukanlah alasan. Metode pencegahan pertama adalah pendidikan, yang dilakukan dengan merancang, menerbitkan, dan menyebarluaskan kebijakan organisasi dan undang-undang yang relevan, dan memperoleh persetujuan untuk mematuhi kebijakan dan undang-undang ini dari semua anggota organisasi. Pengingat, pelatihan, dan program kesadaran menyimpan informasi kebijakan di depan karyawan untuk mendukung retensi dan kepatuhan.
  • Accident (Kecelakaan) : Orang yang memiliki otorisasi dan hak istimewa untuk mengelola informasi dalam organisasi kemungkinan besar menyebabkan kerugian atau kerusakan secara tidak sengaja. Perencanaan dan kontrol yang cermat membantu mencegah modifikasi yang tidak disengaja pada sistem dan data
  • Intent (niat) : Niat kriminal atau tidak etis masuk ke pikiran orang yang melakukan tindakan tersebut; seringkali perlu untuk menetapkan niat kriminal untuk berhasil mengadili para pelanggar. Melindungi sistem dari orang-orang yang bermaksud menyebabkan kerugian atau kerusakan paling baik dilakukan melalui kontrol teknis, dan litigasi atau penuntutan yang kuat jika kontrol ini gagal. 



 

 

Komentar

Posting Komentar

Postingan populer dari blog ini

KRIPTOGRAFI PART 2

Gambar
1. Algoritma Simetris Adalah algoritma yang biasa disebut dengan algoritma klasik karena memakai kunci yang sama untuk kegiatan enkripsi dan deskripsinya. Kunci enkripsi = kunci dekripsi. Bila pengirim menggunakan algortima ini, si penerima harus mendekripsikan pesan tersebut. Keamanan dari pesan tergantung dari kunci, Jika kunci diketahui oleh orang lain maka orang tersebut akan dapat melakukan enkripsi dan dekripsi. Contoh algoritma simetris AES (Advanced Encryption Standard) DES (Data Encryption Standard) Blowfish IDEA (Intercational Data Encryption Algorithm) OTP GOST Serpent RC2,RC4,RC5,RC6 dll. 2. Algoritma Asimetris Algoritma Asimetris disebut dengan algoritma kunci public. yang dimana kunci enkripsi tidak sama dengan kunci dekripsi. Algoritma ini kunci terbagi menjadi 2 : kunci umum (public key) dan kunci rahasia (private key). Contoh algoritma asimetris ECC (Ellyptic Curve Cryptography) RSA ElGamal Rabin Diffie-Hellman Key Exchange DSA dll. 3. Hash Function fungsi hash biasa d
Baca selengkapnya