BAB IX CONFIDENTIALITY AND PRIVACY CONTROLS

CONFIDENTIALITY AND PRIVACY CONTROLS

A. INTRODUCTION
Pada bab sebelumnya telah didskusikan mengenai Information Security, yang merupakan prinsip
dasar system reliability. Pada bab ini akan di bahas mengenai dua prinsip dasar lainnya dari reliable system
pada Trust Service Framework.
B. PRESERVING CONFIDENTIALITY
Ada empat tidakan dasar yang harus diambil dalam rangka melindungi dan menjaga kerahasiaan
terhadap informasi sensitive sebuah organisasi, yaitu: (1) mengidentifikasi dan mengklasifikasi informasi
yang akan dilindungi; (2) mengenkripsi informasi; (3) mengontrol akses ke informasi; dan (4) melatih
karyawan untuk menangani informasi dengan benar.
Identify
and
Classify
Informatio
n

Trainin
g

Preservation
of
Confidentiali
ty and
Privacy

Encrypti
on

Access
Control
1. Identify and Classify Information to be Protected
Langkah pertama untuk melindungi kerhasiaan kekayaan intelektual dan informasi bisnis sensitive
lainnya adalah dengan mengidentifikasi dimana informasi tersebut berada dan Siapa yang memiliki akses
terhadap informasi tersebut. Setelah teridentifikasi, langkah selanjutya adalah mengklasifikasikan informasi
tersebut sesuai dengan nilainya bagi perusahaan.
2. Protecting Confidentiality with Encryption
Enkripsi adalah satu-satunya cara untuk melindungi informasi yang transit melalui internet. Enkripsi
juga diperlukan dalam pertahanan berlapis (defense-in-depth) untuk melindungi informasi yanf disimpan
dalam website atau public cloud. Enkripsi bagaimanapun bukan senjata yang paling ampuh. Beberapa

AHMAD EDI SUSILO

A31115752

BAB IX CONFIDENTIALITY AND PRIVACY CONTROLS

informasi sensitive seperti proses shortcut tidak disimpan secara digital, karena itu tidak dapat dilindungi
dengan enkripsi.
3. Controlling Access to Sensitive Information
Akses kontrol menyediakan suatu tambahan lapisan untuk memproteksi spesifik file atau dokumen,
tapi juga untuk kemungkinan aksi yang dijamin akses ke sumber daya yang dapat dilakukan. Akses control
yang dirancang untuk melindungi kerahasiaan harus terus menerus dievaluasi untuk meresponse setiap
ancaman baru yang diciptakan oleh kemajuan teknologi.
4. Training
Training bisa jadi control yang paling penting untuk melindungi kerahasiaan. Adalah kontrol yang
penting untuk menjaga kerahasiaan. Karyawan harus tahu apa informasi mereka dapat share dengan orang
luar dan apa informasi yang dibutuhkan untuk diproteksi. Mereka juga harus di ajarkan bagaimana
memproteksi data rahasia
C. PRIVACY
Dalam kerangka trust service privasi berkaitan erat dengan prinsip kerahasiaan. Perbedaan dasar
antara privasi dan kerahasiaan adalah privasi lebih terfokus pada perlindungan data pribadi pelanggan daripada
perlindungan pada data perusahaan.
1. Privacy Controls
Seperti halnya untuk kerahasiaan informasi, langkah pertama untuk melindungi privasi informasi
pribadi yang dikumpulkan dari pelanggan, karyawan, pemasok dan mitra bisnis adalah untuk
mengidentifikasi informasi proses organisasi apa, dimana disimpan, dan siapa yang memiliki akses ke
informasi tersebut. Enkripsi menjadi control yang fundamental untuk melindungi privasi dari informasi pribadi
yang dikumpulkan oleh organisai.
2. Privacy Concerns
a. SPAM
SPAM adalah e-mail yang berisi advertising atau offensive konten. SPAM adalah keluaran
hubungannya dengan privasi. Spam tidakhanya mengurangi keefisiensian dari e-mail, juga bisa
menimbulkan virus, worm, spyware program, juga malware. Jadi organisasi mengatasinya, antara lain:

identitas pengirimharus secara tuntas di perlihatkan di header of message

subjek harus diidentifikasi
body message harus menyediakan dengan link yang bekerja
body of message harus mencakup postal address yang valid

organisasi tidak tidak mengirim pesan acak

AHMAD EDI SUSILO

A31115752

BAB IX CONFIDENTIALITY AND PRIVACY CONTROLS

b. Identity theft
Adalah penggunaan personal informasi seseorang untuk keuntungan tertentu yang tidak
bertanggung jawab.
3. Privacy Regulations and Generally Accepted Privacy Principles
GAPP telah mengidentifikasi dan mendefinisikan 10 praktek terbaik yang diakui secara
internasional untuk melindungi informasi pribadi pelanggan. Dibawah ini dijabarkan 10 praktek perlindungan
privasi pelanggan:
a. Management
Perusahaan membuat kebijakan dan prosedur untuk melindungi privasi dari data pribadi
pelanggan yang mereka kumpulkan dari para pelanggan ataupun dari pihak ketiga.
b. Notice
Sebelum pengumpulan data pribadi, perusahaan mengumumkan aturan dan prosedur,
pengumuman selambat-lambanya saat pengumpulan data.
c. Choice and Consent
Perusahaan harus menjelaskan pilihan yang tersedia kepada setiap individu dan mendapatkan
peretujuan mereka sebelum pengumpulan dan penggunaan informasi pribadi mereka.
d. Collection
Organisasi harus mengumpulkan hanya informasi yang dibutuhkan untuk memenuhi tujuan
yang dinyatakan dalam kebijakan privasi.
e. Use and Retention
Organisasi harus menggunakan informasi pribadi pelanggan hanya dengan cara yang
dijelaskan dalam pernyataan kbijakan privasi mereka dan menyimpan informasi hanya selama itu
diperlukan untuk memenuhi tujuan bisnis yang sah.
f. Access
Organisasi harus menyediakan akses bagi individu untuk mereviu, mengoreksi, dan
menghapus data yang disimpan tentang mereka.
g. Disclosure to third parties
Organisasi hanya akan memberikan data pribadi pelanggan kepada pihak ketiga apabila
dibutuhkan dan hal tersebut sesuai dengan kesepakatan

AHMAD EDI SUSILO

A31115752

BAB IX CONFIDENTIALITY AND PRIVACY CONTROLS

h. Security
Organisasi harus mengambil langkah-langkah yang wajar untuk melindungi data pribadi
pelanggan dari kehilangan dan pengungkapan yang tidak sah.
i. Quality
Organisasi harus menjaga integritas informasi pribadi pelanggan mereka dan membuat suatu
prosedur untuk memastikan bahwa informasi tersebut akurat.
j. Monitoring and Enforcement
Organisasi melindungi data pribadi dengan memperkerjakan karyawan untuk bertanggung
jawab mengawasi data.
D. ENCRYPTION
Enkripsi adalah tindakan kontrol secara preventif yang dapat digunakan melindungi antara
kerahasiaandan privasi. Enkripsi adalah proses perubahan konten normal yang disebut plain text, menjadi
konten yang tidak terbaca, disebut chipertext. Decryption membalikan proses ini dari chipertext ke dalam plain
text. Enskripsi dan dekripsi mencakup penggunaan kunci dan alogaritma. Enkripsi dan dekripsi mencakup
penggunaan kunci dan alogaritma. Untuk memproduksi originaldocument pertama dibagi ciphertext kedalam
123-bit blocks dan kemudian menyetujuidekripsi kunci untuk tiap blok.
1. Factors that Influence Encryption Strength
a. Panjang kunci
b. Enkripsi alogaritma
c. Kunci kriptografik
2. Types of Encryption Systems
a. Sistem enkripsi simetris
b. Sistem enkripsi asimetris
3. Hashing
Hashing adalah proses yang mengambil plaintext panjang dan mengubahnya menjadikode pendek
yang dipanggil hash. Hashing alogaritma menggunakan tiap bit pada orifinal plaintext untuk menghitung nilai
hash
4. Digital Signatures
Digital signature adalah campuran dokumen atau file yang dienkripsi menggunakan pembuat
dokumenprivate key. Digital signatures menyediakan bukti tentang 2 keluaran yakni kopi dokumen atau file
tidak dapat diubah siapa yang membuat versi original dari digital dokumenatau file. Jadi digital signature
menyediakan asuransi yang seseorang tidak dapat masuk ke digitaltransaction dan kemudian secara urut
membolehkan mereka melakukannya dan menolak untuk mengisi kontrak

AHMAD EDI SUSILO

A31115752

BAB IX CONFIDENTIALITY AND PRIVACY CONTROLS

5. Digital Sertificates and Public Key Infrastructure

Sertifikat digital memiliki sepasang kunci elektonik yang bisa digunakan untuk mengenkripsi dan
menandai informasi digital. Sertifikat Digital memungkinkan untuk memverifikasi klaim seseorang yang
memiliki hak untuk menggunakan kunci yang diberikan, membantu mencegah orang-orang menggunakan
kunci palsu untuk menyamar sebagai pengguna. Apabila digunakan bersamaan dengan enkripsi Sertifikat
Digital memberikan solusi keamanan yang lebih lengkap, memastikan keamanan identitas semua pihak
yang terlibat dalam suatu transaksi. Sertifikat Digital bisa digunakan untuk berbagai transaksi elektronik
seperti e-mail, electronic commerce, groupware dan transfer uang secara elektronik
6. Virtual Prvate Networks (VPNS)
Sebuah koneksi private melalui jaringan publik atau internet, jika menggunakan VPN kita seolaholah membuat jaringan didalam jaringan atau biasa disebut tunnel. VPN menggunakan salah satu dari tiga
teknologi tunneling yang ada yaitu: PPTP, L2TP dan standar terbaru, Internet Protocol Security (biasa
disingkat menjadi IPSec). VPN merupakan perpaduan antara teknologi tunneling dan enkripsi. Cara Kerja
VPN adalah seebagai berikut:
a. Dibutuhkan server yang berfungsi menghubungkan antar PC, bisa berupa komputer dengan
aplikasi VPN server atau router.
b. Komputer dengan aplikasi VPN Client mengontak Server VPN, VPN Server kemudian
memverifikasi username dan password dan apabila berhasil maka VPN Server memberikan IP
Address baru pada komputer client dan selanjutnya sebuah koneksi / tunnel akan terbentuk.
c. Selanjutnya komputer client bisa digunakan untuk mengakses berbagai resource (komputer atau
LAN) yang berada di VPN Server.

AHMAD EDI SUSILO

A31115752