Legal, Ethical, dan Professional Issues on Information Security
TUJUAN PEMBELAJARAN :
- Menjelaskan fungsi dan hubungan antara hukum, peraturan, dan professional organisasi dalam keamanan informasi
- Mampu menjelaskan perbedaan antara hukum dan etika
- Mengidentifikasi undang-undang nasional utama yang mempengaruhi praktik keamanan informasi
Hukum dan Etika dalam Keamanan Informasi
- Moral Budaya : sikap moral tetap atau kebiasaan kelompok tertentu.
- Etika : Didefenisikan sebagai perilaku yang diterima secara social dengan mempertimbangkan alam, kriteria, sumber, logika, dan validasi penilian moral (Aturan yang tidka tertulis).
- Hukum: Aturan yang mengamanatkan atau melarang perilaku tertentu dan ditegakkan oleh negara.
- Hukum membawa sansksi dan otoritas pemerintahan, sementara etik tidak.
- Sebagai seorang professional bidang keamanan informasi dimasa depan, anda harus memahami ruang lingkup tanggung jawab tentang legalisasi dan etik dari sebuah organisasi.
Untuk meminimalkan kewajiban dan mengurangi resiko, seorang praktisi keamanan informasi harus :
- Memahami lingkungan legalitas terkini
- Selalu up to date terhdap hukum dan peraturan
- Mengamati permasalahan baru yang muncul
Tanggung Jawab Organisasi
Ø due care (perawatan): Langkah-Langkah yang dibutuhkan organisasi untuk memastikan setiap karyawan tahu apa yang dapat diterima dan apa yang tidak.
Ø Due diligence (uji kelayakan): Langkah wajar yang diambil oleh orang atau organisasi untuk memeneuhi kewajiban yang dibebankan oleh undang-undang atau peraturan.
Ø Juridiction: hak pengadilan untuk menyelidiki sebuah kasus jika kesalahan dilakukan dalam wilayah teritorinya atau melibatkan warga negaranya.
Ø Liability: kewajibam legal dari sebuah entitas yang melampaui hukum pidana atau perdata, termasuk kewajiban legal untuk membuat restitusi untuk mengkompensasi kesalahan yang dilakukan sebuah organisasi atau pekerjanya.
Kebijakan Vs Hukum
Kebijakan: Pedoman yang menentukan perilaku tertentu dalam organisasi.
Kriteria: Dissemination (disebarkan), Review (dibaca), Comprehension (dipahami), Compliance (disepakati), dan Uniform enforcement (diterapkan secara sama):
Hukum: aturan yang mengamanatkan atau melarang perilaku tertentu dan ditegakkan oleh negara.
Tipe Hukum: Constitutional, Statutory, Civil – Tort, Criminal, Regulatory or Administrative, Common Case, and Precedent, dan Private and Public
Kebijakan dan Hukum
- Kebijakan: mendeskripsikan perilaku pekerja yang dapat diterima dan tidak dapat diterima dalam suatu lingkungan kerja.
- Kebijakan yang difungsikan sebagai hukum organisasi harus dibuat secara hati-hati untuk memastikan kebijakan tersebut lengkap, sesuai dan diterapkan secara adil kepada semua orang dilingkungan kerja.
- Perbedaan antara kebijakan dan hukum: bahwa ketidaktahuan terhadao suatu kebijakan merupakan alasan yang bisa diterima.
Kriteria Kebijakan
- Dissemination (disebarkan): Organisasi harus mampu menunjukkan bahwa kebijakan yang relevan telah tersedia untuk ditinjau oleh karyawan. Teknik penyebaran umum termasuk hard copy dan distribusi elektronik.
- Review (dibaca): Organisasi harus dapat menunjukkan bahwa dokumen tersebut disebarluaskan dalam bentuk yang dapat dipahami, termasuk versi untuk karyawan yang buta huruf, mengalami gangguan membaca, dan tidak dapat membaca bahasa Inggris. Teknik umum termasuk pencatatan kebijakan dalam bahasa Inggris dan bahasa alternatif.
- Comprehension (dipahami): Organisasi harus mampu menunjukkan bahwa karyawan memahami persyaratan dan isi kebijakan. Teknik umum meliputi kuis dan penilaian lainnya.
- Compliance (disepakati): Organisasi harus mampu menunjukkan bahwa karyawan setuju untuk mematuhi kebijakan melalui tindakan atau penegasan. Teknik umum termasuk spanduk masuk, yang memerlukan tindakan tertentu (klik mouse atau ketukan tombol) untuk mengakui persetujuan, atau dokumen yang ditandatangani dengan jelas yang menunjukkan bahwa karyawan telah membaca, memahami, dan setuju untuk mematuhi kebijakan tersebut.
- Uniform enforcement (diterapkan secara sama): Organisasi harus mampu menunjukkan bahwa kebijakan telah ditegakkan secara seragam, terlepas dari status atau penugasan karyawan
Tipe-Tipe Hukum
Ø Hukum Perdata: mengatur suatu bangsa atau negara, mengelola konflik dan hubungan entiitas organisasi dan orang.
Ø Hukum Pidana: menangani pelanggaran berbahaya terhadao komunitas dan ditegakkan secara aktif oleh Negara
Ø Hukum Privat: mengatur hubungan antara individu atau organisasi, dan mencakup hukum keluarga, hukum komersial, hukum pekerja.
Ø Hukum Publik: mengatur struktur dan administrasi dari agen pemerintan dan hubungan mereka dengan penduduk, pekerja, dan pemerintahan lain.
Konvensi tentang Kejahatan Cyber
European Council Cyber-Crime Convention
- Membentuk gugus tugas international untuk mengawasi fungsi keamanan Internet berdasarkan gukum teknologi International standar
- Berupaya meningkatkan efektivitas investigasi international terhadap pelanggaran hukum teknologi
- Diterima dengan baik oleh para pendukung kekayaan intelektual karena menekankan pada penuntutan pelanggaran hak cipta
- Kurang adanya ketentuan realistik untuk penegakan hukum.
Kesepakatan pada transaksi kekayaan intelektual
Agreement on Trade-Related Aspect of Intellectual Property Rights (TRIPS), dibuat oleh World Trade Organization (WTO). Meliputi 5 masalah:
a) Penerapan prinsip-prinsip dasar system perdagangan dan kesepakatan kekayaan intelektual international
b) Pemberian perlindungan yang cukup terhadap hak atas kekayaan intelektual
c) Penegakan hak atas kekayaan intelektual oleh negara-negara pada teritori mereka
d) Penyelesaian perselisihan atas kekayaan intelektual
e) Pengaturan transisi saat system baru diperkenalkan.
Ø Digital Millenium Copyright ACT (DMCA) : sebuah kontribusi dari US terhadap upaya secara international untuk mengurangi dampak pelanggaran hak cipta, merk dagang, dan privasi
Ø Council of Europe Convention on Cybercrime: Ini menciptakan satuan tugas internasional untuk mengawasi berbagai fungsi keamanan yang terkait dengan aktivitas Internet dan undang-undang teknologi standar lintas batas internasional.
Ø Payment Card Industry Data Security Standards (PCI DSS) : Dewan Standar Keamanan Industri Kartu Pembayaran (PCI) menawarkan standar kinerja yang harus dipatuhi oleh organisasi yang berpartisipasi
Ø Agreement on Trade-Related Aspects of Intellectual Property Rights : dibuat oleh World Trade Organization (WTO). Ini upaya internasional pertama yang signifikan untuk melindungi hak kekayaan intelektual, menguraikan persyaratan untuk pengawasan govermental dan undang-undang yang memberikan tingkat perlindungan minimum untuk kekayaan intelektual.
Ø DMCA: sebuah kontribusi dari US terhadap upaya secara international untuk mengurangi dampak pelanggaran hak cipta, merk dagang, dan privasi
Ø Hal ini merupakan respon terhadap European Union Directive 95/46/EC, yang menambahkan perlindungan terhadap individu mengenai pemrosesan dan pergerakan bebas dari data personal.
DMCA mencakup ketentuan sebagai berikut :
- Melarang pengelakan perlindungan dan Tindakan balasan yang diterapkan oleh pemilik hak cipta untuk mengontrol akses ke konten yang dilindungi
- Melarang pembuatan perangkat untuk menghindari perlindungan dan Tindakan pencegahan yang mengontrol akses ke konten yang dilindungi
- Melarang perdagangan perangkat yang doproduksi untuk menghindari perlindungan dan Tindakan pencegahan yang mengontrol akses ke konten yang dilindungi
- Melarang pengubahan informasi yang dilampirkan atau disematkan ke dalam materi berhak cipta
- Mengecualikan penyedia layanan internet dari bentuk pelanggaran hak cipta tertentu.
Council of Europe Convention on Cybercrime
Ø Menciptakan satuan tugas internasional untuk mengawasi berbagai fungsi keamanan yang terkait dengan aktivitas Internet dan undang-undang teknologi standar lintas batas internasional.
Ø Meningkatkan efektivitas investigasi internasional terhadap pelanggaran hukum teknologi
Payment Card Industry Data Security Standards (PCI DSS)
Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), dirancang untukmeningkatkan keamanan data akun pelanggan. Peraturan tersebut mencakup persyaratan untuk kebijakan, prosedur, dan manajemen keamanan informasi, serta spesifikasi perangkat lunak dan jaringan teknis.
World Trade Organization and the Agreement on Trade-Related Aspects of Intellectual Property Rights
Ø Perjanjian tentang Aspek-Aspek Terkait Perdagangan dari Hak Kekayaan Intelektual (TRIPS), dibuat olehOrganisasi Perdagangan Dunia (WTO).
Ø Perjanjian TRIPS WTO mencakup lima masalah:
ü Bagaimana prinsip-prinsip dasar sistem perdagangan dan perjanjian kekayaan intelektual internasional lainnya harus diterapkan
ü Bagaimana memberikan perlindungan yang memadai terhadap hak kekayaan intelektual
ü Bagaimana negara harus menegakkan hak-hak tersebut secara memadai di dalam perbatasan mereka sendiri
ü Bagaimana menyelesaikan perselisihan tentang kekayaan intelektual antara anggota WTO
ü Pengaturan transisi khusus selama periode ketika sistem baru diperkenalkan
Ø Banyak disiplin ilmu yang diatur secara professional memiliki aturan eksplisit yang mengatur perilaku etis dari anggota mereka.
Ø Contoh: dokter dan pengacara yang melakukan pelanggaran berat terhadap perilaku profesi mereka dapat dicabut kemampuan hukumnya untuk berpraktik.
Ø Berbeda dengan bidang medis dan hukum, bidang teknologi informasi dan keamanan informasi tidak memiliki kode etik yang mengikat.
Ø Sebaliknya, asosiasi profesional seperti ACM dan ISSA, dan lembaga sertifikasi seperti (ISC)2 dan ISACA, bekerja untuk memelihara kode etik untuk keanggotaan mereka masing-masing.
1. Tidak boleh menggunakan komputer untuk menyakiti orang lain.
2. Tidak boleh mengganggu pekerjaan komputer orang lain.
3. Tidak boleh mengintip file komputer orang lain.
4. Jangan menggunakan komputer untuk mencuri.
5. Jangan menggunakan komputer untuk bersaksi dusta.
6. Tidak boleh menyalin atau menggunakan perangkat lunak berpemilik yang belum Anda bayar.
7. Tidak boleh menggunakan sumber daya komputer orang lain tanpa izin atau kompensasi yang layak.
8. Tidak boleh mengambil hasil intelektual orang lain.
9. Harusmemikirkan konsekuensi sosial dari program yang Anda tulisatau sistem yang Anda rancang.
10. Harus selalu menggunakan komputer dengan cara yang memastikan pertimbangan dan rasa hormatuntuk sesama manusia.
Perbedaan Etik Antar Budaya
Ø Perbedaan budaya menyebabkan kesulitan untuk menentukan apa yang etis dan yang tidak
Ø Kesulitan terjadi saat perilaku etik sebuah bangsa konflik dengan etik dari kelompok bangsa lain.
Ø Contoh: dalam banyak hal, budaya orang Asia dalam menggunakan teknologi komputer dianggap sebagai pembajakan software oleh bangsa lain
Etik dan Pedidikan
Ø Studi kunci mengungkapkan bahwa pendidikan adalah faktor utamadalam menyamakan persepsi etis dalam populasi kecil.
Ø Pendidikan ini sangat penting dalam keamanan informasi, karena banyak karyawan mungkin tidak memiliki pelatihan teknis formal untuk memahami bahwa perilaku mereka tidak etis atau bahkan ilegal.
Ø Pelatihan etika dan hukum yang tepat sangat penting untuk menciptakanpengguna sistem yang terinformasi dan dipersiapkan dengan baik.
Mencegah Perilaku Tidak Etis dan Ilegal
Ada tiga penyebab umum perilaku tidak tidak etis dan illegal:
v Ignorance (Ketidaktahuan): Ketidaktahuan hukum bukanlah alasan. Metode pencegahan pertama adalah pendidikan, yang dilakukan dengan merancang, menerbitkan, dan menyebarluaskan kebijakan organisasi dan undang-undang yang relevan, dan memperoleh persetujuan untuk mematuhi kebijakan dan undang-undang ini dari semua anggota organisasi. Pengingat, pelatihan, dan program kesadaran menyimpan informasi kebijakan di depan karyawan untuk mendukung retensi dan kepatuhan.
v Accident (Kecelakaan): Orang yang memiliki otorisasi dan hak istimewa untuk mengelola informasi dalam organisasi kemungkinan besar menyebabkan kerugian atau kerusakan secara tidak sengaja. Perencanaan dan kontrol yang cermat membantu mencegah modifikasi yang tidak disengaja pada sistem dan data
v Intent (niat): Niat kriminal atau tidak etis masuk ke pikiran orang yang melakukan tindakan tersebut; seringkali perlu untuk menetapkan niat kriminal untuk berhasil mengadili para pelanggar. Melindungi sistem dari orang-orang yang bermaksud menyebabkan kerugian atau kerusakan paling baik dilakukan melalui kontrol teknis, dan litigasi atau penuntutan yang kuat jika kontrol ini gagal.
Tidak ada komentar:
Posting Komentar