Alhamdulillah
wasyukurillah atas nikmat rezeki, sehat dan panjang umur, kita di pertemukan kembali
dengan tugas sofskill ini :
ciri-ciri profesionalisme di bidang IT dan juga kode etik
profesional.
Mencari
tahu mengenai ciri-ciri dari profesionalisme pada bidang IT dan juga mengenai
kode etik profesional.
Etika
merupakan suatu ilmu cabang filosofi yang berkaitan dengan apa saja yang
dipertimbangkan baik dan salah.
Ada
beberapa definisi mengenai etika antara lain :
- Kode moral dari suatu profesi
tertentu
- Standar penyelenggaraan suatu
profesi tertentu
- Persetujuan diantara manusia
untuk melakukan yang benar dan menghindari yang salah.
Salah
satu yang harus dipahami adalah bahwa apa yang tidak etis tidak berarti
illegal. Dalam lingkungan yang kompleks, definisi benar atau salah tidak selalu
jelas. Juga perbedaan antara illegal dan tidak beretika tidak selalu jelas.
Adapun
ciri-ciri seorang profesional di bidang IT adalah :
- Mempunyai pengetahuan yang
tinggi di bidang TI
- Mempunyai ketrampilan yang
tinggi di bidang TI
- Mempunyai pengetahuan yang luas
tentang manusia dan masyarakat, budaya, seni, sejarah dan komunikasi
- Cepat tanggap terhada[ masalah
client, paham terhadap isyu-isyu etis serta tata nilai kilen-nya
- Mampu melakukan pendekatan
multidispliner
- Mampu bekerja sama
- Bekerja dibawah disiplin etika
- Mampu mengambil keputusan
didasarkan kepada kode etik, bila dihadapkan pada situasi dimana
pengambilan keputusan berakibat luas terhadap masyarakat
Kode Etik IT Profesional :
Kode
etik merupakan suatu ketetapan yang harus diikuti sebagai petunjuk bagi
karyawan perusahaan atau anggota profesi. Setujunya, setiap bidang profesi
memiliki aturan-aturan/hukum-hukum yang mengatur bagaimana seorang profesional
berfikir dan bertindak. Seseorang yang melanggar Kode Etik dikenakan sanksi.
Sanksi yang dikenakan adalah mulai dari yang paling ringan, yaitu cuma mendapatkan
sebutan “tidak profesional” sampai pada pencabutan ijin praktek, bahkan hukuman
pidana pun bisa terjadi.
Sebagai
salah satu bidang profesi, Information Technology (IT) bukan pengecualian,
diperlukan aturan-aturan tersebut yang mengatur bagaimana para IT profesional
ini melakukan kegiatannya.
Ada
lima aktor yang perlu diperhatikan:
- Publik
- Client
- Perusahaan
- Rekan Kerja
- Diri Sendiri
Kode
Etik juga mengatur hubungan kita dengan rekan kerja. Bahwa kita harus selalu
adil, jujur dengan rekan kerja kita. Tidak boleh kita sengaja mencebloskan
rekan kerja kita dengan memberi data atau informasi yang salah/keliru.
Persaingan yang tidak sehat ini akan merusak profesi secara umum apabila
dibiarkan berkembang.
Karyawan
IT di client mestinya juga mengambil Kode Etik tersebut, sehingga bisa terjalin
hubungan profesional antara konsultan dengan client. Bertindak fair adil, jujur
terhadap kolega juga berlaku bagi karyawan IT di organisasi client dalam
memperlakukan vendornya.
Beberapa
perlakuan yang tidak adil terhadap kolega, antara lain:
- Menganggap kita lebih baik dari
rekan kita karena tools yang digunakan. Misalnya, kita yang menggunakan
bahasa JAVA lebih baik daripada orang lain yang pakai Visual BASIC.
- Kita merasa lebih senior dari
orang lain, oleh karena itu kita boleh menganggap yang dikerjakan orang
lain lebih jelek dari kita, bahkan tanpa melihat hasil kerjanya terlebih
dahulu.
- Seorang profesional IT di
client merasa lebih tinggi derajatnya daripada profesional IT si vendor
sehingga apapun yang disampaikan olehnya lebih benar daripada pendapat
profesional IT vendor
Jenis-jenis ancaman (thread) dalam
TI :
National
Security Agency (NSA) dalam dokuman Information Assurance Technical Framework
(IATF) menggolongkan lima jenis ancaman pada sistem teknologi informasi.
Kelima
ancaman itu adalah :
1.
SeranganPasif
Termasuk
di dalamnya analisa trafik, memonitor komunikasi terbuka, memecah kode trafik
yang dienkripsi, menangkan informasi untuk proses otentifikasi (misalnya password).
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.
Bagi hacker, menangkap secara pasif data-data di jaringan ini bertujuan mencari celah sebelum menyerang. Serangan pasif bisa memaparkan informasi atau data tanpa sepengetahuan pemiliknya. Contoh serangan pasif ini adalah terpaparnya informasi kartu kredit.
2.
Serangan Aktif
Tipe
serangan ini berupaya membongkar sistem pengamanan, misalnya dengan memasukan
kode-kode berbahaya (malicious code), mencuri atau memodifikasi informasi.
Sasaran serangan aktif ini termasuk penyusupan ke jaringan backbone, eksploitasi
informasi di tempat transit, penetrasi elektronik, dan menghadang ketika
pengguna akan melakukan koneksi jarak jauh. Serangan aktif ini selain
mengakibatkan terpaparnya data, juga denial-of-service, atau modifikasi data.
3.
Serangan jarak dekat
Dalam
jenis serangan ini, hacker secara fisik berada dekat dari peranti jaringan,
sistem atau fasilitas infrastruktur. Serangan ini bertujuan memodifikasi,
mengumpulkan atau memblok akses pada informasi. Tipe serangan jarak dekat ini
biasanya dilakukan dengan masuk ke lokasi secara tidak sah.
4. Orang
dalam
Serangan
oleh orang di dalam organisasi ini dibagi menjadi sengaja dan tidak sengaja.
Jika dilakukan dengan sengaja, tujuannya untuk mencuri, merusak informasi,
menggunakan informasi untuk kejahatan atau memblok akses kepada informasi.
Serangan orang dalam yang tidak disengaja lebih disebabkan karena kecerobohan
pengguna, tidak ada maksud jahat dalam tipe serangan ini.
5.
Serangan distribusi
Tujuan
serangan ini adalah memodifikasi peranti keras atau peranti lunak pada saat
produksi di pabrik sehingga bisa disalahgunakan di kemudian hari. Dalam
serangan ini, hacker sejumlah kode disusupkan ke produk sehingga membuka celah
keamanan yang bisa dimanfaatkan untuk tujuan ilegal.
IT
Audit Trail
Audit
Trail merupakan salah satu fitur dalam suatu program yang mencatat semua
kegiatan yang dilakukan tiap user dalam suatu tabel log. secara rinci. Audit
Trail secara default akan mencatat waktu , user, data yang diakses dan berbagai
jenis kegiatan. Jenis kegiatan bisa berupa menambah, merungubah dan menghapus.
Audit Trail apabila diurutkan berdasarkan waktu bisa membentuk suatu kronologis
manipulasi data.Dasar ide membuat fitur Audit Trail adalah menyimpan histori
tentang suatu data (dibuat, diubah atau dihapus) dan oleh siapa serta bisa
menampilkannya secara kronologis. Dengan adanya Audit Trail ini, semua kegiatan
dalam program yang bersangkutan diharapkan bisa dicatat dengan baik.
Cara kerja Audit Trail
Audit
Trail yang disimpan dalam suatu table.
1.
Dengan menyisipkan perintah penambahan record ditiap query Insert, Update dan
Delete
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
2. Dengan memanfaatkan fitur trigger pada DBMS. Trigger adalah kumpulan SQL statement, yang secara otomatis menyimpan log pada event INSERT, UPDATE, ataupun DELETE pada sebuah tabel.
Fasilitas Audit Trail
Fasilitas
Audit Trail diaktifkan, maka setiap transaksi yang dimasukan ke Accurate,
jurnalnya akan dicatat di dalam sebuah tabel, termasuk oleh siapa, dan kapan.
Apabila ada sebuah transaksi yang di-edit, maka jurnal lamanya akan disimpan,
begitu pula dengan jurnal barunya.
Hasil
Audit Trail
Record
Audit Trail disimpan dalam bentuk, yaitu :
- Binary File – Ukuran tidak
besar dan tidak bisa dibaca begitu saja
- Text File – Ukuran besar dan
bisa dibaca langsung
- Tabel.
Real
Time Audit
Real
Time Audit atau RTA adalah suatu sistem untuk mengawasi kegiatan teknis dan
keuangan sehingga dapat memberikan penilaian yang transparan status saat ini
dari semua kegiatan, di mana pun mereka berada. Ini mengkombinasikan prosedur
sederhana dan logis untuk merencanakan dan melakukan dana untuk kegiatan dan
“siklus proyek” pendekatan untuk memantau kegiatan yang sedang berlangsung dan
penilaian termasuk cara mencegah pengeluaran yang tidak sesuai.
RTA
menyediakan teknik ideal untuk memungkinkan mereka yang bertanggung jawab untuk
dana, seperti bantuan donor, investor dan sponsor kegiatan untuk dapat
“terlihat di atas bahu” dari manajer kegiatan didanai sehingga untuk memantau
kemajuan. Sejauh kegiatan manajer prihatin RTA meningkatkan kinerja karena
sistem ini tidak mengganggu dan donor atau investor dapat memperoleh informasi
yang mereka butuhkan tanpa menuntut waktu manajer. Pada bagian dari pemodal RTA
adalah metode biaya yang sangat nyaman dan rendah untuk memantau kemajuan dan
menerima laporan rinci reguler tanpa menimbulkan beban administrasi yang
berlebihan baik untuk staf mereka sendiri atau manajemen atau bagian dari
aktivitas manajer.
Penghematan
biaya overhead administrasi yang timbul dari penggunaan RTA yang signifikan dan
meningkat seiring kemajuan teknologi dan teknik dan kualitas pelaporan dan
kontrol manajemen meningkatkan menyediakan kedua manajer dan pemilik modal
dengan cara untuk mencari kegiatan yang dibiayai dari sudut pandang beberapa
manfaat dengan minimum atau tidak ada konsumsi waktu di bagian aktivitas
manajer.
Definisi
IT Forensic :
Ilmu
yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem
informasi serta validasinya menurut metode yang digunakan (misalnya metode
sebab-akibat).
Menurut
Marcus Ranum, “Jaringan forensik adalah menangkap, merekam, dan
analisis peristiwa jaringan untuk menemukan sumber serangan keamanan atau
lainnya masalah insiden” (http://searchnetworking.techtarget.com)
Menurut
Noblett, yaitu berperan untuk mengambil, menjaga, mengembalikan, dan
menyajikan data yang telah diproses secara elektronik dan disimpan di media
komputer.
Menurut
Judd Robin, yaitu penerapan secara sederhana dari penyidikan komputer
dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin.
Menurut
Ruby Alamsyah (salah seorang ahli forensik IT Indonesia), digital
forensik atau terkadang disebut komputer forensik adalah ilmu yang
menganalisa barang bukti digital sehingga dapat dipertanggungjawabkan di
pengadilan. Barang bukti digital tersebut termasuk handphone, notebook, server,
alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa
Tujuan IT Forensic :
Mendapatkan fakta-fakta obyektif
dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta
tersebut setelah diverifikasi akan menjadi buktibukti (evidence) yang akan
digunakan dalam proses hukum.
- Metodologi umum dalam proses
pemeriksaan insiden sampai proses hukum:
- Pengumpulan data/fakta dari
sistem komputer (harddisk, usb-stick, log, memory-dump, internet, dll) –
termasuk di dalamnya data yang sudah terhapus
- Mendokumentasikan fakta-fakta
yang ditemukan dan menjaga integritas data selama proses forensik dan
hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan
menggunakan algoritma HASH untuk pembuktian / verifikasi
- Merunut kejadian (chain of
events) berdasarkan waktu kejadian
- Memvalidasi kejadian2 tersebut
dengan metode “sebab-akibat”
- Dokumentasi hasil yang
diperoleh dan menyusun laporan
- Proses hukum (pengajuan delik,
proses persidangan, saksi ahli, dll)
- Prinsip IT Forensic :
- Forensik bukan proses Hacking
- Data yang didapat harus dijaga
jgn berubah
- Membuat image dari HD / Floppy
/ USB-Stick / Memory-dump adalah prioritas tanpa merubah isi, kadang
digunakan hardware khusus
- Image tsb yang diotak-atik
(hacking) dan dianalisis – bukan yang asli
- Data yang sudah terhapus
membutuhkan tools khusus untuk merekonstruksi
- Pencarian bukti dengan: tools
pencarian teks khusus, atau mencari satu persatu dalam image
- Beberapa masalah yang
perlu diperhatikan dalam IT forensik:
- Jumlah data yang perlu diteliti
dalam tiap kasus meningkat setiap tahunnya;
- Perangkat lunak Forensik tidak
stabil saat memproses besar jumlah data;
- Penegakan Hukum memiliki
backlog besar dalam memproses kasus dalam waktu tertentu;
- Lebih banyak dan tekanan lebih
banyak ditempatkan pada penyidik forensik digital untuk menghasilkan hasil
yang dapat diandalkan dalam waktu yang sedikit.
Dalam
IT forensik kemampuan analisis sangat dibutuhkan,karena untuk mengetahui suatu
fakta ataupun mengusut suatu kasus maka harus memiliki kemampuan logika dan
analisis yang baik. Menurut kebiasaannya, analisa data komputer dihubungkan
dengan data pada media penyimpanan komputer, sedangkan untuk analisa data
jaringan dihubungkan dengan data yang melintas pada suatu jaringan. Sebagai
alat dan teknik analisa yang sering digunakan, kedua displin ini sudah
terjalin. Kombinasi antara kemampuan analisis data komputer dan jaringan sangat
penting untuk menangani suatu kejadian dan sebagai pendukung operasional. Untuk
kedua analisis data yaitu analisis data komputer dan jaringan, maka proses
analisa terdiri atas tahap – tahap berikut :
1. Acquisition
(didapatnya) : memperoleh data dari sumber yang mungkin untuk data yang
relevan, serta memeriksakan prosedur untuk integritas data dari sumber data.
2. Examination
(pengujian) : penggunaan metode otomatis untuk menyelidiki data yang
diperoleh .
3. Utilization
(pemanfaatan) : laporan dari hasil pengujian, yang mana meliputi penggunaan
tindakan dalam pengujian dan saran untuk peningkatan.
4. Review
(tinjauan ulang) : melakukan tinjauan ulang untuk proses dan praktek dalam
konteks tugas yang sekarang untuk mengidentifikasi kekurangbijakan, kesalahan
prosedur dan permasalahan lain yang perlu untuk ditinjau ulang. Pelajaran untuk
mempelajari pada sepanjang tahap tinjauan ulang harus disatukan kedalam usaha
analisa data berikutnya.
Ada istilah “auditing around” dan “auditing through” the
computer. Apa bedanya?
1.
Auditing-around the computer
yaitu
audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer tanpa
menggunakan kemampuan dari peralatan itu sendiri. Audit terjadi sebelum
dilakukan pemeriksaan secara langsung terhadap data ataupun program yang ada
didalam program itu sendiri. Pendekatan ini memfokuskan pada input dan output,
sehingga tidak perlu memperhatikan pemrosesan komputer.
Kelemahannya:
a.Umumnya
data base mencakup jumlah data yang banyak dan sulit untuk ditelusuri secara
manual
b.Tidak
membuat auditor memahami sistem computer lebih baik
c.Mengabaikan
pengendalian sistem, sehingga rawan terhadap kesalahan dan kelemahan potensial
dalam system.
d.
Lebih berkenaan dengan hal yang lalu dari pada audit yang preventif
e.
Kemampuan computer sebagai fasilitas penunjang audit mubazir
f.
Tidak mencakup keseluruhan maksud dan tujuan audit
2.
Auditing-through the computer
Yaitu
audit terhadap suatu penyelenggaraan sistem informasi berbasis komputer dengan
menggunakan fasilitas komputer yang sama dengan yang digunakan dalam pemrosesan
data. pendekatan audit ini berorientasi computer yang secara langsung berfokus
pada operasi pemrosesan dalam system computer dengan asumsi bila terdapat
pengendalian yang memadai dalam pemrosesan, maka kesalahan dan penyalahgunaan
dapat dideteksi. Pendekatan ini dapat menggunakan perangkat lunak dalam bentuk
specialized audit software (SAS) dan generalized audit software (GAS).
Pendekatan
Audit ini digunakan bila pendekatan Auditing Around the Computer tidak cocok
atau tidak mencukupi. Pendekatan ini dapat diterapkan bersama-sama dengan
pendekatan Auditing Around the Computer untuk memberikan kepastian yang lebih
besar.
sumber :
http://awansembilan.blogspot.com/2011/03/it-audit-dan-it-forensic.html
http://abcdefghijklmnopratama.blogspot.com/2012/02/ciri-ciri-seorang-profesionalisme-di.html
http://juliocaesarz.blogspot.com/2011/03/it-audit-trail.html
http://sidodolipet.blogspot.com/2010/04/real-time-audit.html
http://sidodolipet.blogspot.com/2010/02/jenis-jenis-ancaman-threats-melalui-it.html
http://nugliztajulie.wordpress.com/2010/03/25/ciri-ciri-profesionalisme-di-bidang-it-dan-kode-etik-profesional/
sumber :
http://awansembilan.blogspot.com/2011/03/it-audit-dan-it-forensic.html
http://abcdefghijklmnopratama.blogspot.com/2012/02/ciri-ciri-seorang-profesionalisme-di.html
http://juliocaesarz.blogspot.com/2011/03/it-audit-trail.html
http://sidodolipet.blogspot.com/2010/04/real-time-audit.html
http://sidodolipet.blogspot.com/2010/02/jenis-jenis-ancaman-threats-melalui-it.html
http://nugliztajulie.wordpress.com/2010/03/25/ciri-ciri-profesionalisme-di-bidang-it-dan-kode-etik-profesional/
0 komentar:
Posting Komentar