Pengendalian dan Kerahasiaan

I. PENDAHULUAN
Pada bab sebelumnya, membahas keamanan informasi yang merupakan prinsip fundamental dari keandalan sistem. Nah, pada bab ini akan dibahas topik enkripsi secara mendetail karena ia merupakan alat penting untuk melindungi baik kerahasiaan maupun privasi.

MENJAGA KERAHASIAAN
Sebuah organisasi pasti memiliki informasi sensitif yang tak terhitung, misal: rencana strategis, rahasia dagang, informasi biaya, dokumen legal, dan peningkatan proses. Oleh karena itu, dibutuhkan empat tindakan dasar untuk menjaga kerahasiaan atas informasi sensitif, yaitu:

  1. Identifikasi dan Klasifikasi Informasi untuk Dilindungi yang dilakukan oleh Pemilik Informasi 
  2. Melindungi Kerahasiaan dengan Enkripsi
  3. Mengendalikan Akses terhadap Informasi Sensitif dengan adanya perangkat lunak information rights management (IRM) atau perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, unduh, dsb) individu yang diberi akses terhadap sumber daya tersebut agar dapat melakukannya. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi keistimewaan akses untuk periode waktu tertentu dan menghapus file yang dilindungi dari jarak jauh. Ada sebuah alat yang dapat memberikan perlindungan kerahasiaan saat informasi ditukarkan dengan rekan bisnis, yaitu: data loss prevention (DLP) atau perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi. DLP ini harus dilengkapi dengan kode terikat, yaitu: watermark digital (kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi untuk mengidentifikasikan informasi rahasia yang telah diungkapkan).
  4. Pelatihan kepada pegawai yang mencakup hal cara menggunakan perangkat lunak enkripsi dan pentingnya selalu log out dari aplikasi serta menggunakan screen saver yang terlindungi dengan kata kunci sebelum meninggalkan laptop atau stasiun kerja tanpa ada pengawasan. 
PRIVASI 
Pengendalian yang perlu diimplementasikan untuk melindungi privasi sama dengan pengendalian yang digunakan untuk melindungi kerahasiaan. 
  • Pengendalian Privasi 
Dengan mengidentifikasi informasi apa yang dikumpulkan, di mana informasi itu disimpan, dan siapa yang memiliki akses pada informasi tersebut.
  • Masalah Privasi 
Ada 2 masalah privasi, meliputi: SPAM (masalah terkait privasi karena penerima sering ditargetkan sebagai akibat dari akses tidak sah ke daftar alamat email dan basis data yang berisi informasi pribadi yang dapat menambah virus. Untuk mengatasi masalah ini, Kongres AS mengesahkan UU Pengendalian Pornografi dan Pemasaran Non-Pemohon (CAN-SPAM) pada tahun 2003. CAN-SPAM berlaku untuk e-mail komersial, yang didefinisikan sebagai e-mail yang memiliki tujuan utama iklan atau promosi. Ini mencakup banyak e-mail resmi yang dikirimkan banyak organisasi kepada pelanggan, pemasok, dan, dalam kasus organisasi nirlaba, donor mereka. Ketentuan utama mencakup hal-hal berikut: 1) Identitas pengirim harus ditampilkan dengan jelas di header pesan. 2) Bidang subjek di header harus secara jelas mengidentifikasi pesan sebagai iklan atau ajakan. 3)  Tubuh pesan harus memberikan tautan yang berfungsi kepada penerima agar dapat digunakan untuk menyisih dari email yang akan datang. 4) Tubuh pesan harus menyertakan alamat pos pengirim yang valid. 5) Organisasi tidak boleh mengirim e-mail komersial ke alamat yang dibuat secara acak, juga tidak boleh mereka mengatur situs Web yang dirancang untuk "memanen" alamat e-mail pelanggan potensial.) dan PENCURIAN IDENTITAS.
  • Peraturan Privasi dan Prinsip Privasi yang Secara Umum diterima
Untuk membantu organisasi dengan biaya yang efektif memenuhi persyaratan segudang ini, American Institute of Certified Public Accountants (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka kerja yang disebut Prinsip-Prinsip Kerahasiaan yang Diterima Umum (GAPP). GAPP mengidentifikasi dan menetapkan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan:
  • Pengelolaan. Organisasi perlu menetapkan serangkaian prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang mereka kumpulkan dari pelanggan, serta informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
  • Pemberitahuan. Suatu organisasi harus memberikan pemberitahuan tentang kebijakan privasi dan praktiknya pada atau sebelum waktu itu mengumpulkan informasi pribadi dari pelanggan, atau sesegera mungkin setelah itu.
  • Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan yang tersedia bagi individu dan memperoleh persetujuan mereka sebelum pengumpulan dan penggunaan informasi pribadi mereka.
  • Pengumpulan. Organisasi harus mengumpulkan hanya informasi yang diperlukan untuk memenuhi tujuan yang tercantum dalam kebijakan privasinya.
  • Penggunaan dan retensi. Organisasi harus menggunakan informasi pribadi pelanggan hanya dengan cara yang dijelaskan dalam kebijakan privasi yang mereka nyatakan dan menyimpan informasi itu hanya selama diperlukan untuk memenuhi tujuan bisnis yang sah.
  • Mengakses. Suatu organisasi harus menyediakan individu dengan kemampuan untuk mengakses, meninjau, memperbaiki, dan menghapus informasi pribadi yang disimpan tentang mereka.
  • Pengungkapan kepada pihak ketiga. Organisasi harus mengungkapkan informasi pribadi pelanggan mereka kepada pihak ketiga hanya dalam situasi dan perilaku yang dijelaskan dalam kebijakan privasi organisasi dan hanya untuk pihak ketiga yang memberikan tingkat perlindungan privasi yang sama seperti yang dilakukan organisasi yang pada awalnya mengumpulkan informasi.
  • Keamanan. Suatu organisasi harus mengambil langkah-langkah yang wajar untuk melindungi informasi pribadi pelanggannya dari kehilangan atau pengungkapan yang tidak sah.
  • Kualitas. Organisasi harus menjaga integritas informasi pribadi pelanggan mereka dan menerapkan prosedur untuk memastikan bahwa itu cukup akurat.
  • Pemantauan dan penegakan hukum. Suatu organisasi harus menugaskan satu atau lebih karyawan untuk bertanggung jawab untuk memastikan kepatuhan dengan kebijakan privasi yang dinyatakannya.
ENKRIPSI 
Suatu kontrol pencegahan yang dapat digunakan untuk melindungi kerahasiaan dan privasi disebut enkripsi. Enkripsi melindungi data yang dikirim melalui Internet dan menyediakan satu penghalang terakhir yang harus diatasi oleh penyusup yang telah memperoleh akses tidak sah ke informasi yang disimpan. Sehingga penting bagi akuntan, auditor, dan profesional sistem untuk memahami enkripsi.  enkripsi adalah proses mengubah konten normal, yang disebut plaintext, menjadi omong kosong yang tidak terbaca, yang disebut ciphertext. Dekripsi membalikkan proses ini, mengubah ciphertext kembali menjadi plaintext. Baik enkripsi dan dekripsi melibatkan penggunaan kunci dan algoritma. Komputer mewakili baik plaintext dan ciphertext sebagai serangkaian digit biner (0 dan ls). Kuncinya juga merupakan serangkaian digit biner dengan panjang tetap; misalnya, kunci 128-bit terdiri dari string 128 0s dan ls. Algoritme adalah rumus untuk menggabungkan kunci dan teks. Kebanyakan dokumen lebih panjang dari kunci, sehingga proses enkripsi dimulai dengan membagi blok intol plaintext, setiap blok memiliki panjang yang sama dengan kunci. Kemudian algoritma tersebut diterapkan ke tombol anp blok plaintext.

  • Faktor yang Memengaruhi Kekuatan Enkripsi 
  1. Panjang Kunci
  2. Algoritma Enkripsi
  3. Kebijakan Untuk Mengelola Kunci CRYPTOGRAPHIC
  • Jenis Sistem Enkripsi 
  1. Sistem Enkripsi Simetris adalah sistem yang menggunakan kunci yang sama baik untuk mengenkripsi atau mendeskripsi, contoh: DES dan AES. Akan tetapi, sistem ini memiliki dua masalah utama, yaitu: kedua belah pihak (pengirim dan penerima) perlu mengetahui kunci rahasia bersama dan kunci rahasia yang terpisah perlu dibuat untuk digunakan oleh masing-masing pihak dengan siapa penggunaan enkripsi yang diinginkan.
  2. Sistem Enkripsi Asimetris adalah suatu sistem yang menggunakan 2 kunci. Kunci pertama adalah kunci publik yang tersedia bagi semua orang. Kunci kedua adalah kunci privat yang hanya dimiliki oleh pemilik kunci tersebut. Contoh sistem enkripsi asimetris, yaitu: RSA dan PGP
HASHING
Proses yang mengambil plaintext dari setiap Iength dan mengubahnya menjadi kode pendek yang disebut hash. Hashing selalu menghasilkan hash yang panjangnya tetap, terlepas dari panjang teks asli.

TANDA TANGAN DIGITAL
adalah hash dari dokumen (atau file) yang dienkripsi menggunakan kunci pribadi pembuat dokumen. Tanda tangan digital memberikan bukti tentang dua masalah penting: (1) bahwa salinan dokumen atau file belum diubah, dan (2) yang membuat versi asli dokumen digital atau file. Dengan demikian, tanda tangan digital memberikan jaminan bahwa seseorang tidak dapat masuk ke dalam transaksi digital dan kemudian menolaknya melakukannya dan menolak untuk memenuhi sisi kontraknya.  Bagaimana tanda tangan digital memberikan jaminan ini? 
Pertama, ingat bahwa properti penting dari hash adalah ia mencerminkan setiap bit dalam dokumen. Oleh karena itu, jika dua hash identik, itu berarti bahwa dua dokumen atau file identik.
Kedua, ingat bahwa dalam sistem enkripsi asimetris, sesuatu yang dienkripsi dengan kunci privat hanya dapat didekripsi dengan kunci publik terkait. Oleh karena itu, jika sesuatu dapat didekripsi dengan kunci publik entitas, itu pasti telah dienkripsi dengan kunci pribadi yang sesuai, yang membuktikan bahwa itu harus dienkripsi oleh pemilik kunci publik dan pribadi itu.

SERTIFIKAT DIGITAL DAN INFRASTRUKTUR KUNCI PUBLIK
Sertifikat digital adalah dokumen elektronik yang berisi kunci publik entitas dan menyatakan identitas pemilik kunci publik tersebut. Dengan demikian, sertifikat digital berfungsi seperti pada digital dari SIM atau paspor. Sama seperti paspor dan SIM yang dikeluarkan oleh pihak independen tepercaya (pemerintah) dan menggunakan mekanisme seperti simbol dan watermark untuk membuktikan bahwa mereka asli, sertifikat digital dikeluarkan oleh organisasi yang disebut otoritas sertifikat dan berisi tanda tangan digital otoritas sertifikat untuk membuktikan bahwa mereka asli. Sertifikat digital yang ditujukan untuk penggunaan e-bisnis biasanya dikeluarkan oleh otoritas sertifikat komersial, seperti Thawte dan VeriSign. Otoritas sertifikat ini membebankan biaya untuk mengeluarkan sepasang kunci publik dan kunci pribadi dan mengumpulkan bukti untuk memverifikasi identitas yang diklaim dari orang atau organisasi yang membeli kunci tersebut dan sertifikat digital yang sesuai. Sistem ini untuk mengeluarkan pasangan kunci publik dan swasta dan sertifikat digital yang sesuai disebut infrastruktur kunci publik (PKI). Seluruh sistem PKI bergantung pada mempercayai otoritas sertifikat yang mengeluarkan kunci dan sertifikat. Kerangka kerja Trust Services AICPA berisi daftar kriteria yang dapat digunakan untuk mengevaluasi keandalan keseluruhan otoritas sertifikat tertentu. Satu faktor penting menyembunyikan prosedur yang digunakan otoritas sertifikat untuk memverifikasi identitas pemohon untuk sertifikat digital. Beberapa kelas sertifikat digital ada. Yang termurah, dan paling tidak dapat dipercaya. Sertifikat digital hanya berlaku untuk jangka waktu tertentu. Dengan demikian, kriteria penting kedua untuk menilai keandalan otoritas sertifikat adalah prosedur yang digunakan untuk memperbarui sertifikat dan mencabut sertifikat digital yang kadaluwarsa. Sertifikat digital menyediakan mekanisme untuk memperoleh dan memverifikasi keabsahan kunci publik pihak lain secara aman.

JARINGAN PRIBADI MAYA
Jaringan pribadi maya atau yang disebut Virtual Private Networks (VPNs) Untuk melindungi kerahasiaan dan privasi, informasi harus dienkripsi tidak hanya di dalam sistem, tetapi juga ketika sedang transit melalui Internet. Organisasi biasanya menggunakan dua jenis VPN. Satu jenis menggunakan SSL dan perangkat lunak peramban untuk memberi karyawan akses jarak jauh ke jaringan perusahaan saat bepergian atau bekerja di rumah. Jenis VPN lainnya menggunakan IPSec, versi protokol IP yang menggabungkan enkripsi, untuk menghubungkan dua kantor dengan aman. Kedua jenis VPN menyediakan sarana yang aman untuk bertukar informasi sensitif melalui Internet tetapi menciptakan masalah untuk komponen keamanan informasi lainnya. Ada tiga pendekatan yang umum digunakan untuk menangani masalah ini. Salah satunya adalah mengkonfigurasi firewall untuk mengirim paket terenkripsi ke komputer dalam DNIZ yang mendekripsi mereka; komputer itu kemudian mengirim paket yang didekripsi kembali melalui firrewall untu kpenyaringan sebelum diizinkan masuk ke jaringan internal.

Komentar

Posting Komentar

Postingan populer dari blog ini

Siklus Manajemen Sumber Daya Manusia dan Penggajian

Gambar
I. PENDAHULUAN Siklus manajemen sumber daya manusia (MSDM) atau penggajian- human resources management (HRM) atau payroll cycle adalah serangkaian aktivitas bisnis dan operasi pengolahan data terkait yang terus menerus berhubungan dengan mengelola kemampuan pegawai secara efektif. Tugas-tugas yang lebih penting meliputi sebagai berikut: Merekrut dan mempekerjakan para pegawai baru Pelatihan Penugasan pekerjaan Kompensasi (penggajian) Evaluasi kinerja Mengeluarkan pegawai karena penghentian yang sukarela maupun tidak Tugas 1 dan 6 dilakukan hanya sekali pada setiap pegawai, sementara tugas 2 sampai 5 dijalankan berulang-ulang selama seorang pegawai bekerja untuk perusahaan tersebut. Pada kebanyakan perusahaan, keenam aktivitas ini dibagi ke dalam dua sistem terpisah. Tugas 4, kompensasi pegawai, merupakan fungsi utama sistem penggajian. Kelima tugas yang lain merupakan sistem MSDM. Pada banyak perusahaan, kedua sistem tersebut dikelola secara terpisah. Sistem MSDM biasanya
Baca selengkapnya

Siklus Produksi

Gambar
I. PENDAHULUAN Siklus produksi (production cycle) adalah serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus-menerus berhubungan dengan pembuatan produk. Figur 14-1 Diagram Konteks Siklus Produksi Figur ini menunjukkan bagaimana siklus produksi dihubungkan dengan subsistem lain dalam sistem informasi sebuah perusahaan. Sistem informasi siklus pendapatan menyediakan informasi (pesanan pelanggan dan perkiraan penjualan) yang digunakan untuk merencanakan tingkat produksi dan persediaan. Sebagai balasannya, sisem informasi siklus produksi mengirimkan informasi ke siklus pendapatan mengenai barang jadi yang telah diproduksi dan tersedia untuk dijual. Informasi mengenai kebutuhan bahan baku dikirim ke sistem informasi siklus pengeluaran dalam bentuk permintaan pembelian. Sebagai gantinya, sistem siklus pengeluaran menyediakan informasi mengenai perolehan bahan baku dan juga mengenai pengeluaran lain yang dimasukkan ke dalam overhead pabrik. Informasi menge
Baca selengkapnya

Sistem Buku Besar dan Pelaporan

Gambar
I. PENDAHULUAN Sistem buku besar dan pelaporan memainkan sebuah peran penting dalam sistem informasi akuntansi sebuah perusahaan. Fungsi utamanya adalah untuk mengumpulkan dan mengatur data dari sumber-sumber sebagai berikut: Setiap subsistem siklus akuntansi menyediakan informasi mengenai transaksi reguler Bendahara menyediakan informasi mengenai aktivitas pendanaan dan investasi, seperti penerbitan atau penyelesaian instrumen utang dan ekuitas dan pembelian serta penjualan sekuritas investasi Departemen anggaran menyediakan nomor anggaran Kontrolir menyediakan jurnal penyesuaian II. SISTEM BUKU BESAR DAN PELAPORAN Proses Database terpusat harus diatur menggunakan cara yang memungkinkan tercapainya berbagai kebutuhan informasi, baik pengguna internal maupun eksternal. Para manajer membutuhkan informasi yang detail dan tepat waktu mengenai hasil operasi pada area tanggung jawab tertentunya. Para investor dan kreditur mengharapkan laporan keuangan periodik dan pemb
Baca selengkapnya