LEGAL,ETHICAL,DAN PROFESSIONAL ISSUES ON INFORMATION

HUKUM DAN ETIK DALAM KEAMANAN INFORMASI

Ø  sebagai seorang professional bidang keamanan informasi di masa depan, anda harus memahami ruang lingkup tanggung jawab tentang legalitas dan etik dari sebuah organisasi.

Ø  Untuk meminimalkan kewajiban dan mengurangi resiko, seorang praktisi keamanan informasi harus:

ü  Memahami lingkungan legalitas terkini

ü  Selalu up todate terhadap hukum dan peraturan

Mengamati permasalahan baru yang muncul

TANGGUNG JAWAB ORGANISASI

1.         due care (perawatan): Langkah-Langkah yang dibutuhkan organisasi untuk memastikan setiap karyawan tahu apa yang dapat diterima dan apa yang tidak.
2.            Due diligence (uji kelayakan): Langkah wajar yang diambil oleh orang atau organisasi untuk memeneuhi kewajiban yang dibebankan oleh undang-undang atau peraturan.
3.            Juridiction: hak pengadilan untuk menyelidiki sebuah kasus jika kesalahan dilakukan dalam wilayah teritorinya atau melibatkan warga negaranya.
4.            Liability:  kewajibam legal dari sebuah entitas yang melampaui hukum pidana atau perdata, termasuk kewajiban legal untuk membuat restitusi untuk mengkompensasi kesalahan yang dilakukan sebuah organisasi atau pekerjanya.

KEBIJAKAN VS HUKUM

Kebijakan adalah rangkaian konsep dan asas yang menjadi pedoman dan dasar rencana dalam pelaksanaan suatu pekerjaan, kepemimpinan, dan cara bertindak. Istilah ini dapat diterapkan pada pemerintahan, organisasi dan kelompok sektor swasta, serta individu. Kebijakan berbeda dengan peraturan dan hukum. Jika hukum dapat memaksakan atau melarang suatu perilaku (misalnya suatu hukum yang mengharuskan pembayaran pajak penghasilan), kebijakan hanya menjadi pedoman tindakan yang paling mungkin memperoleh hasil yang diinginkan.

Hukum adalah sistem yang terpenting dalam pelaksanaan atas rangkaian kekuasaan kelembagaan dari bentuk penyalahgunaan kekuasaan dalam bidang politik, ekonomi, dan masyarakat dalam berbagai cara dan bertindak, sebagai perantara utama dalam hubungan sosial antar masyarakat terhadap kriminalisasi dalam hukum pidana, hukum pidana yang berupayakan cara negara dapat menuntut pelaku dalam konstitusi hukum menyediakan kerangka kerja bagi penciptaan hukum, perlindungan hak asasi manusia dan memperluas kekuasaan politik serta cara perwakilan mereka yang akan dipilih

KRITERIA KEBIJAKAN

Ø  Dissemination (disebarkan): Organisasi harus mampu menunjukkan bahwa kebijakan yang relevan telah tersedia untuk ditinjau oleh karyawan. Teknik penyebaran umum termasuk hard copy dan distribusi elektronik.

Ø  Review (dibaca): Organisasi harus dapat menunjukkan bahwa dokumen tersebut disebarluaskan dalam bentuk yang dapat dipahami, termasuk versi untuk karyawan yang buta huruf, mengalami gangguan membaca, dan tidak dapat membaca bahasa Inggris. Teknik umum termasuk pencatatan kebijakan dalam bahasa Inggris dan bahasa alternatif.

Ø  Comprehension (dipahami): Organisasi harus mampu menunjukkan bahwa karyawan memahami persyaratan dan isi kebijakan. Teknik umum meliputi kuis dan penilaian lainnya.

Ø  Compliance (disepakati): Organisasi harus mampu menunjukkan bahwa karyawan setuju untuk mematuhi kebijakan melalui tindakan atau penegasan. Teknik umum termasuk spanduk masuk, yang memerlukan tindakan tertentu (klik mouse atau ketukan tombol) untuk mengakui persetujuan, atau dokumen yang ditandatangani dengan jelas yang menunjukkan bahwa karyawan telah membaca, memahami, dan setuju untuk mematuhi kebijakan tersebut.

Ø  Uniform enforcement (diterapkan secara sama): Organisasi harus mampu menunjukkan bahwa kebijakan telah ditegakkan secara seragam, terlepas dari status atau penugasan karyawan

TIPE - TIPE HUKUM

Ø  Hukum Perdata: mengatur suatu bangsa atau negara, mengelola konflik dan hubungan entiitas organisasi dan orang.

Ø  Hukum Pidana: menangani pelanggaran berbahaya terhadao komunitas dan ditegakkan secara aktif oleh Negara

Ø  Hukum Privat: mengatur hubungan antara individu atau organisasi, dan mencakup hukum keluarga, hukum komersial, hukum pekerja.

Ø  Hukum Publik: mengatur struktur dan administrasi dari agen pemerintan dan hubungan mereka dengan penduduk, pekerja, dan pemerintahan lain.

KONVERSI TENTANG KEJAHATAN

      European Council Cyber-Crime Convention

            Membentuk gugus tugas international untuk mengawasi fungsi keamanan Internet         berdasarkan gukum teknologi International standar  Berupaya meningkatkan                 efektivitas investigasi international terhadap pelanggaran hukum teknologi

            Diterima dengan baik oleh para pendukung kekayaan intelektual karena                         menekankan pada penuntutan pelanggaran hak cipta  Kurang adanya ketentuan             realistik untuk penegakan hukum.

KESEPAKATAN PADA TRANSAKSI KEKAYAAN INTELEKTUAL

                      Agreement on Trade-Related Aspect of Intellectual Property Rights (TRIPS), dibuat oleh World Trade Organization (WTO). Meliputi 5 masalah:

Ø  Penerapan prinsip-prinsip dasar system perdagangan dan kesepakatan kekayaan intelektual international

Ø  Pemberian perlindungan yang cukup terhadap hak atas kekayaan intelektual

Ø  Penegakan hak atas kekayaan intelektual oleh negara-negara pada teritori mereka

Ø  Penyelesaian perselisihan atas kekayaan intelektual

Ø                Ø   Pengaturan transisi saat system baru diperkenalkan

HHUKUM INTERNASIONAL DAN BADAN HUKUM

HØ  Digital Millenium Copyright ACT (DMCA) :  sebuah kontribusi dari US terhadap upaya secara international untuk mengurangi dampak pelanggaran hak cipta, merk dagang, dan privasi

Ø  Council of Europe Convention on Cybercrime: Ini menciptakan satuan tugas internasional untuk mengawasi berbagai fungsi keamanan yang terkait dengan aktivitas Internet dan undang-undang teknologi standar lintas batas internasional.

Ø  Payment Card Industry Data Security Standards (PCI DSS) :  Dewan Standar Keamanan Industri Kartu Pembayaran (PCI) menawarkan standar kinerja yang harus dipatuhi oleh organisasi yang berpartisipasi

Ø  Agreement on Trade-Related Aspects of Intellectual Property Rights : dibuat oleh World Trade Organization (WTO). Ini upaya internasional pertama yang signifikan untuk melindungi hak kekayaan intelektual, menguraikan persyaratan untuk pengawasan govermental dan undang-undang yang memberikan tingkat perlindungan minimum untuk kekayaan intelektual.

ETIKA DAN KEAMANAN INFORMASI

Ø  Banyak disiplin ilmu yang diatur secara professional memiliki aturan eksplisit yang mengatur perilaku etis dari anggota mereka.

Ø  Contoh: dokter dan pengacara yang melakukan pelanggaran berat terhadap perilaku profesi mereka dapat dicabut kemampuan hukumnya untuk berpraktik.

Ø  Berbeda dengan bidang medis dan hukum, bidang teknologi informasi dan keamanan informasi tidak memiliki kode etik yang mengikat.

Ø  Sebaliknya, asosiasi profesional seperti ACM dan ISSA, dan lembaga sertifikasi seperti (ISC)2 dan ISACA, bekerja untuk memelihara kode etik untuk keanggotaan mereka masing-masing.

 10 PERINTAH ETIKA KOMPUTER DARI INSTITUTE ETIKA KOMPUTER

 

1. Tidak boleh menggunakan komputer untuk menyakiti orang lain.
2. Tidak boleh mengganggu pekerjaan komputer orang lain.
3. Tidak boleh mengintip file komputer orang lain.
4. Jangan menggunakan komputer untuk mencuri.
5. Jangan menggunakan komputer untuk bersaksi dusta.
6. Tidak boleh menyalin atau menggunakan perangkat lunak berpemilik yang belum Anda bayar.
7. Tidak boleh menggunakan sumber daya komputer orang lain tanpa izin atau kompensasi yang layak.
8. Tidak boleh mengambil hasil intelektual orang lain.
9. Harusmemikirkan konsekuensi sosial dari program yang Anda tulisatau sistem yang Anda rancang.
10. Harus selalu menggunakan komputer dengan cara yang memastikan pertimbangan dan rasa hormatuntuk sesama manusia.

PERBEDAAN ETIK ANTAR BUDAYA

Ø  Perbedaan budaya menyebabkan kesulitan untuk menentukan apa yang etis dan yang tidak

Ø  Kesulitan terjadi saat perilaku etik sebuah bangsa konflik dengan etik dari kelompok bangsa lain.

Ø  Contoh: dalam banyak hal, budaya orang Asia dalam menggunakan teknologi komputer dianggap sebagai pembajakan software oleh bangsa lain

ETIKA DAN PENDIDIKAN

Ø  Studi kunci mengungkapkan bahwa pendidikan adalah faktor utamadalam menyamakan persepsi etis dalam populasi kecil.

Ø  Pendidikan ini sangat penting dalam keamanan informasi, karena banyak karyawan mungkin tidak memiliki pelatihan teknis formal untuk memahami bahwa perilaku mereka tidak etis atau bahkan ilegal.

Ø  Pelatihan etika dan hukum yang tepat sangat penting untuk menciptakanpengguna sistem yang terinformasi dan dipersiapkan dengan baik.

MENCEGAH PERILAKU TIDAK ETIS DAN ILEGAL

            Ada tiga penyebab umum perilaku tidak tidak etis dan illegal:

v  Ignorance (Ketidaktahuan): Ketidaktahuan hukum bukanlah alasan. Metode pencegahan pertama adalah pendidikan, yang dilakukan dengan merancang, menerbitkan, dan menyebarluaskan kebijakan organisasi dan undang-undang yang relevan, dan memperoleh persetujuan untuk mematuhi kebijakan dan undang-undang ini dari semua anggota organisasi. Pengingat, pelatihan, dan program kesadaran menyimpan informasi kebijakan di depan karyawan untuk mendukung retensi dan kepatuhan.

 

v  Accident (Kecelakaan): Orang yang memiliki otorisasi dan hak istimewa untuk mengelola informasi dalam organisasi kemungkinan besar menyebabkan kerugian atau kerusakan secara tidak sengaja. Perencanaan dan kontrol yang cermat membantu mencegah modifikasi yang tidak disengaja pada sistem dan data

v  Intent (niat): Niat kriminal atau tidak etis masuk ke pikiran orang yang melakukan tindakan tersebut; seringkali perlu untuk menetapkan niat kriminal untuk berhasil mengadili para pelanggar. Melindungi sistem dari orang-orang yang bermaksud menyebabkan kerugian atau kerusakan paling baik dilakukan melalui kontrol teknis, dan litigasi atau penuntutan yang kuat jika kontrol ini gagal.