Anda di halaman 1dari 26

PENGENDALIAN UNTUK KEAMANAN INFORMASI

DAN
PENGENDALIAN KERAHASIAAN DAN PRIVASI

Dibuat oleh:
Mairis Rosari
NIM : 123151051

PROGRAM PENDIDIKAN MAGISTER AKUNTANSI


UNIVERSITAS TRISAKTI
JAKARTA
2016
PENGENDALIAN UNTUK KEAMANAN INFORMASI

Berdasarkan Cobit 5 yang terkait langsung dengan keandalan sebuah sistem


informasi dan kepatuhan terhadap standar peraturan,

Trust Services

Framework yang dikembangkan oleh secara bersamaan oleh AICPA dan CICA
dapat menyediakan panduan penilaian keandalan sistem informasi.
Trust Services Framework untuk mengatur pengendalian Teknologi Informasi
(TI) ke dalam 5 Prinsip yang berkontribusi secara bersamaan terhadap
keandalan sistem antara lain :
1. Keamanan (Security) : akses (baik fisik maupun logis) terhadap sistem
dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang
sah.
2. Kerahasian (confidentiality) : informasi keorganisasian yang sensitive
yang terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) : informasi pribadi tentang pelanggan, pegawai, pemasok
atau

rekan kerja hanya dikumpulkan, digunakan, diungkapkan dan

dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan


persyaratan peraturan eksternal serta terlindungi dari pengungkapan
tanpa izin.
4. Integritas Pemrosesan (Processing integrity) : data di proses secara
akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability) : sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.

Dua Konsep Keamanan Informasi Fundamental


1. Keamanan merupakan masalah manajemen, bukan hanya masalah
teknologi
Keamanan infromasi yang efektif mensyaratkan penggunaan alat-alat
berteknologi seperti farewall, antivirus dan enkripsi namun keterlibatan
serta

dukungan

manajemen

senior

juga

menjadi

dasar

untuk

keberhasilan. Para professional keamanan infromasi harus memilki


keahilan dalam mengidentifikasi ancaman potensial dan mengestimasikan
kemungkinan serta dampaknya, dimana manajemen senior harus mampu
memilih mana dari 4 respon resiko (menurunkan, menerima, membagi

atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya


yang diinvestasikan pada keamanan informasi menunjukan kebutuhan
risiko organisasi.
2. Defense-In-Depth dan model keamanan informasi berbasis waktu
Defense-In-Depth adalah penggunaan berbagai lapisan pengendalian
untuk menghindari satu poin kegagalan. Contohnya penggunaan firewall
yang didukung pula dengan penggunaan metode autentikasi untuk
membatasi akses terhadap sistem informasi.
Penggunaan pengendalian yang tumpang tindih, saling melengkapi dan
berulang dapat meningkatkan keseluruhan efektivitas karena jika satu
pengendalian gagal atau terlewat maka yang lainnya dapat berfungsi seperti
yang direncanakan. Konsep ini juga mrupakan kombinasi dari pengendalian
preventif, detektif dan korektif.
Model

keamanan

berbasis

waktu

adalah

menggunakan

kombinasi

perlindungan preventif, detektif, korektif yang melindungi aset informasi


cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah
serangan

tengah

terjadi

dan

mengambil

langkah-langkah

untuk

menggagalkannya sebelum informasi hilang atau dirusak.


Model ini ditunjukan dengan formula dengan menggunakan 3 variable
sebagai berikut :
P

Waktu

yang

diperlukan

seorang

penyerang

untuk

menerobos

pengendalian preventif organisasi


D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan
sedang dalam proses
C = Waktu yang diperlukan untuk merespons serangan dan mengambil
tindakan korektif
jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika
sebaliknya maka pengendalian tidaklah efektif.

Memahami serangan yang ditargetkan


Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang
sistem informasi suatu Perusahaan:
1. Melakukan
mempelajari

Pengintaian
tata

(conduct

ruang

fsik

reconnaissance),
target

mereka

Para

untuk

perampok
memahami

pengendalian yang dimiliki oleh tempat tersebut. Tujuan pengintaian awal


adalah untuk mempeljari sebanyak mungkin tentang target serta
mengidentifikasikan kerentanan potensial.
2. Mengupayakan rekayasa sosial (attempt social engineering). Penyerang
biasanya mencoba meggunakan informasi yang didapatkan

selama

pengintaian awal untuk mengelabui seorang pegawai yang tidak merasa


curiga untuk emberi akses kepada mereka. Rekayasa sosial dapat terjadi
melalui banyak cara, hanya di batasi oleh kreatifitas dan imajinasi
penyerang. Biasanya melalui telepon, email, dan menyebarkan USB
Drives diarea parker suatu organisasi yang menjadi target.
3. Memindai dan Memetakan target (scan and map the target). Serangan
dengan melakukan pengintaian terperinci untuk mengidentifikasi titik-titik
potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis
untuk mengidentifikasi computer yang dapat dikendaliakan dari jarak jauh serta
berbagai jenis perangkat lunak yang mereka jalankan.

4. Penelitian (Research). Melakukan penelitian untuk menemukan


kerentanan yang terdeteksi pada program-program tersebut serta
mempelajari bagaimana memanfaatkan kerentanan tersebut.
5. Mengeksekusi Serangan (excute the attack). Penyerang memanfaatkan
kerentanan untuk mendapatkan akses tanpa izin terhadap sistem
informasi target.
6. Menutupi jejak (cover tracks). Setelah memasuki sistem informasi
pengguna, sebagain besar penyerang berupaya untuk menutupi jejak
mereka dan menciptakan pintu belakang yang dapat mereka gunakan
untuk mendapatkan akses jika serangan awal mereka diketahui dan
pengendalian diimplementasikan untuk mengeblok metode entri tersebut.

Pengendalian Preventif
1. Orang-orang : penciptaan sebuah budaya sadar keamanan
Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi
sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang
efektif. Pengendalian ini untuk menciptakan sebuah budaya sadar
keamanan agar para pegawai mematuhi kebijakan keorganisasian,
manajemen puncak tidak hanya harus mengkomunikasikan kebijakan
keamanan

organisasi,

tetapi

juga

harus

memandu

dengan

mencontohkannya.
2. Orang orang : Pelatihan
Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan
organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian
preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya
ukuran ukuran keamanan bagi kebertahanan jangka panjang organisasi
serta dilatih untuk mengikuti praktik-praktik komputasi yang aman.
3. Proses : Pengendalian Akses Pengguna
Organisasi perlu menerapkan satu set pengendalian yang dirancang
untuk melindungi aset informasi mereka dari penggunaan dan akses
tanpa izin yang dilakukan oleh pegawai. Untuk mencapai tujuan tersebut
maka praktik manajemen COBIT 5 menekankan perlunya pengendalian
untuk mengelola identitas penggunaan dan akses logis, sehingga
memungkinkan identifikasi secara khusus siapa saja yang mengakses
sistem informasi organisasi serta melacak tindakan yang merek lakukan.
Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian
autentikasi dan pengendalian otorisasi.
4. Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat
yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan
bahwa hanya pengguna sah yang dapat mengakses sistem.
Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi
identitas seseorang :

a. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN


b. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
c. Beberapa karakteristik atau prilaku (pengidentifikasi biometri
seperti sidik jari atau pola tulisan.
5. Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah
terhadap bagain spesifik sistem dan membatasi tindakan-tindakan apa
saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk
menyusun

hak

serta

keistimewaan

setiap

pegawai

dengan

cara

menetapkan dan mengelola pemisahan tugas yang tepat


6. Solusi TI : Pengendalian Antimalware
Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah
sebuah

ancaman

menghancurkan

besar.

informasi

Malware
atau

dapat

menghasilkan

membahayakan
sebuah

cara

atau
untuk

memperoleh akses tanpa izin. Berikut cara yang direkomendasikan


sebagai salah satu dari kunci keamanan untuk perlindungan dari
malware :
a. Edukasi kesadaran perangkat lunak jahat
b. Pemasangan alat perlindungan anti malware pada seluruh perangkat
c. Manajemen terpusat atas sejumlah patch dan memperbaruhi perangkat
lunak anti malware
d. Tinjauan teratur atas ancaman malware baru
e. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial
f. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan
atau tidak disetujui.
7. Solusi TI : Pengendalian Akses Jaringan
Sebuah
pengendalian
dimana
beberapa

organisasi

masih

mempertahankan pengelolaan jaringan hak milik mereka sendiri dengan


menyediakan dial up lanhsung melalui modem, dan tidak menggunakan
jaringan internet.
8. Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan
Border router adalah sebuah perangkat yang menghubungakan sistem
informais organisasi ke internet. Dibalik border router terdapat firewall
utama yang menjadi perangkat keras yang bertujuan khusus. Firewall
adalah perangkat lunak yang berkerja pada sebuah omputer yang bertujuan
umum yang mengendalikan baik komunikasi masuk ataupun keluar antara

sistem dibalik firewall dan jaringan lainnya.

Demilitarized zone (DMZ) adalah

sebuah jaringan terpisah yang berada diluar sistem informasi internal organisasi
serta mengizinkan akses yang dikendalikan dari internet. Secara bersamaan

border

router

dan

firewall

bertindak

sebagai

penyaring

untuk

mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari
sistem informasi organisasi.
9. Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan
Ethernet
Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah
printer, seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan
kasus file di pecah ke dalam seri seri potongan kecil yang dikirim secara
individu

dan

disusun

ulang

selama

pengiriman.

Innformasi

yang

dikerjakan dalah informasi yang dimuat pada header Transmission Control


Protocol (TCP), Internet Protocol (IP) dan Ethernet. Header TCP berisi
bidang-bidang yang merinci posisi berurutan dari paket yang berkaitan
dengan ksesluruhan file dan port number pada perangkat-perangkat
pengiriman dan penerimaan dari asal file hingga ke mana file disusun
kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari
perangkat pengiriman dan penerimaan.
10. Mengendalikan Akses dengan Paket Penyaringan
Organisasi memiliki satu border router atau lebih yang menghubungkan
jaringan internal mereka ke penyedia layanan internet. Borde router dan
firewall utama organisasi menggunakan seperangkat aturan IF-THEN yang
disebut Access control list (ACL). ACL digunakan untuk menentukan
tindakan yang dilakukan pada paket yang tiba. Penyaringan paket adalah
sebuah proses yang menggunakan berbagai bagian pada header IP dan
TCP Paket untuk memutuskan tindakan yang dilakukan.
11.

Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan

salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall
internal

untuk

membuat

segmentasi

department

berbeda

didalm

organisasi. Firewall internal membantu untuk mempersempit jenis data


dan porsi sistem informasi sebuah organisasi yang dapat diakses seorang

pegawai tertentu. Hal ini tidak hanya meningkatkan keammanan namun


juga memperkuat pengendalian internal dengan menyediakan sebuah
sarana untuk melaksanakan pemisahan tugas.
12.

Mengamankan Koneksi Dial-Up

Penting untuk memverifikasi identitas pengguna yang berupaya untuk


mendapatkan akses dial-in yaitu dengan cara

Remote Authentication

Dial-In User Service (RADIUS). RADIUS adalah sebuah metode standar


untuk

memverifikasi

identitas

pengguna

yang

berupaya

terhubung melalui akses dial-in, sehingga hanya pengguna

untuk

yang telah

terverifikasi sajalah yang dapat mengakses jaringan internal perusahaan.

13.

Mengamankan Akses Nirkabel

Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel


secara memadai adalah (1) Menyalakan fitur keamanan yang tersedia, (2)
Membuktikan keabsahan seluruh perangkat yang digunakan untuk
menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah
alamat IP untuk mereka, (3) Mengatur seluruh perangkat nirkabel
terotorisasi agar hanya beroperasi pada modus infrastruktur yang
memaksa perangkat untuk hanya terhubung ke titik akses nirkabel, (4)
Menggunakan nama yang noninformatif sebagai alamat titik akses yang
disebut dengan service set identifier (SSID), (5) Mengurangi kekuatan
publikasi dari titik akses nirkabel, menempatkannya pada interior gedung,
dan menggunakan antena pengarahan untuk membuat penerimaan lokal
tanpa izin menjadi lebih sulit, (6) Mengenkripsi seluruh lalu lintas nirkabel.
14.

Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak

Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja,
server, printer, dan perangkat lain yang meliputi jaringan organisasi.)
yang berhak mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:
a. Konfigurasi endpoint >> endpoint dapat dibuat lebih aman
dengan memodifikasi konfigurasinya

b. Manajemen akun pengguna >> akun pengguna harus dikelola


secara hati-hati, terutama akun-akun yang memiliki hak tak
terbatas (administratif) pada komputer. Oleh karena itu, para
pegawai yang memerlukan kewenanagan administratif untuk
sebuah komputer khusus harus diberikan dua akun; 1 dengan
hak administratif dan akun lainnya hanya memiliki keistimewaan
terbatas
c. Desain perangkat lunak >> limpahan buffer, injeksi SQL, dan
cross-site scripting adalah contoh umum dari serangan-serangan
terhadap perangkat lunak, sehingga perlu menspesifikasikan
kebutuhan untuk mendesai keamanan secara cermat ke dalam
selutuh aplikasi baru.

15.

Solusi TI : Enkripsi

Enkripsi

memberikan

sebuah

lapisan

pertahanan

terakhir

untuk

mencegah akses tanpa izin terhadap informasi sensitif.


16.

Keamanan Fisik : Pengendalian Akses

Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik


mengenai pengendalian akses fisik, seperti pengendalian akses fisik
dimulai dari pintu masuk ke dalam gedung itu sendiri. Idealnya sebaiknya
hanya terdapat satu pintu masuk reguler yang tetap terbuka selama jam
kerja normal dan tambahan untuk pintu keluar darurat, tetapi pintu
darurat

tersebut

sebaiknya

tidak

memperkenan

siapapun

menggunakannya untuk masuk dari luar dan pintu tersenut sebaiknya


terhubung dengan sistem alarm sehingga secara otomatis terpicu kapan
pun pintu darurat terbuka. Selain itu, juga harus ada resepsionis maupun
staff keamanan yang harus bertugas di pintuk masuk utama untuk
memverifikasi identitas para pegawai. Akses fisik pada ruangan-ruangan
yang

menyimpan

komputer

juga

harus

dibatasi.

Ruangan-ruangan

tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar

diawasi dnegan sistem CCTV. Ruangan-ruangan yang menyimpan server,


terutama yang memuat data sensitif harus ditambahi kunci reguler
dengan teknologi yang lebih kuat (seperti pembaca kartu, keypad
numerik, atau berbagai perangkat biometri, seperti pemindai retina,
pembaca sidik jari, atau pengenal suara).
Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu
dibatasi untuk mencegah wiretapping. Itu berarti bahwa pengabelan dan
wiring seharusnya tidak dipasang di area yang dapat diakses pengunjung
biasa dan jika lemari wiring digunakan bersama dengan penyewa lain di
dalam

gedung

kantor,

organisasi

tersebut

harus

meletakkan

perlengkapan telekomunikasinya di dalam kurungan besi terkunci untuk


mecegah akses fisik tanpa izin yang terotorisasi.
17.

Pengendalian Perubahan dan Manajemen Perubahan

Pengendalian perubahan dan manajemen perubahan (change control and


change management) mengarah pada proses formal yang digunakan
untuk memastikan bahwa modifikasi pada perangkat keras, perangkat
lunak, atau pada proses tidak mengurangi keandalan sistem.

Pengendalian Detektif
Pengendalian preventif tidak pernah 100% efektif dalam mengeblok seluruh
serangan. Oleh karena itu, salah satu praktik manajemen COBIT 5 DSS05.07
menjelaskan aktivitas-aktivitas yang juda dibutuhkan organisasi untuk
memungkinkan deteksi gangguan dan masalah secara tepat waktu.
Jenis-jenis pengendalian detektif:
1. Analisis log
Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan. Tujuan dari analisis log adalah untuk mengetahui
alasan dari kegagalan untuk masuk kedalam sistem dan untuk mencatat

siapa yang mengakses sistem dan tindakan-tindakan tertentu apa saja


yang dilakukan setiap penggunan.
2. Sistem deteksi gangguan
Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah
sistem yang menghasilka sejumlah log dari seluruh log dari seluruh lalu
lintas

jaringan

yang

diizinkan

untuk

melewati

firewall

kemudiang

menganalisis log-log tersebut sebagai tanda atas gangguan yang


diupayakan atau berhasil dilakukan. IDS dapat dipasang pada sebuah
perangkat tertentu untuk mengawasi upaya tanpa izin untuk mengubah
konfigurasi perangkat tersebut.
3. Pengujian penetrasi
Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan
untuk secara periodik menguji efektivitas proses bisnis dan pengendalian
internal. Pengujian penetrasi memberikan sebuah cara yang lebih cermat
untuk menguji efektivitas keamanan informasi sebuah organisasi. Uji
penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal
maupun kantor konsultasi keamanan eksternal untuk menerobos ke
dalam sistem informasi organisasi.
4. Pengawasan berkelanjutan
Pengawasan berkelanjutan merupakan pengendalian detektif penting
yang dapat menidentifikasi masalah potensial secra tepat waktu.

Pengendalian Korektif
Tiga pengendalian korektif:
1. Pembentukan sebuah tim perespons insiden komputer (computer incident
response team -CIRT)
Sebuah komponen utama agar mampu merespons insiden keamanan
dengan tepat dan efektif. CIRT harus mengarahkan proses respons insiden
organisasi melalui 4 tahapan: (1) Pemberitahuan (recognition) adanya
sebuah masalah, (2) Penahanan (containment) masalah, (3) Pemulihan
(recovery), (4) Tindak lanjut (follow up)

2. Pendesainan individu khusus, biasanya disebut dengan Chief Information


Security Officer (CISO) dengan tanggung jawab luas atas keamanan
informasi
Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya.
CISO harus memahami lingkungan teknologi perusahaan dan bekerja
dengan

Chief

Information

Officer

(CIO)

untuk

mendesain,

mengimplementasi, serta membangun kebijakan dan prosedur keamanan


yang baik. CISO harus menjadi penilai dan pengevaluasi yang adil di
lingkungan TI. CISO harus memiliki tanggung jawab untuk emmastikan
bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta
audit keamanan dilakukan secara periodik.
3.

Manajemen patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk
secara teratur menerapkan patch dan memperbaharui seluruh perangkat
lunak yang digunakan oleh organisasi. Sejumlah patch merepresentasikan
modifikasi perangkat lunak yang sungguh rumit. Akibatnya

patch

terkadang menciptakan masalah baru karena dampak lain yang tidak


diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat efek
dari patch sebelum menyebarkannya

Implikasi Keamanan Virtualisasi Dan Cloud


Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk
menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi
global modern agar memungkinkan para pegawai menggunakan sebuah
browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak
sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan
sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah
layanan),
layanan).

dan

seluruh

lingkungan

aplikasi

(platform

sebagai

sebuah

PENGENDALIAN KERAHASIAAN DAN PRIVASI


Informasi yang dimilik perusahaan tentunya memiliki informasi yang sensitif
dan penuh dengan kekayaan intelektual. Dalam menjaga kerahasiaan
kekayaan intelektual yang berisikan informasi-informasi yang sensitif maka
ada empat tidakan dasar yang harus dilakukan untuk menjaga rahasia
informasi tersebut, yaitu:
1.
2.
3.
4.

Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi


Mengenkripsi informasi
Mengendalikan akses atas informasi, dan
Melatih para pegawai untuk menangani informasi secara tepat.

Menjaga Kerahasiaan
Langkah-langkah

dalam

yang

perlu

diperhatikan

dalam

melindungi

kerahasiaan kekayaan intelektual dan informasi bisnis yang sensitif adalah:


1. Mengidentifikasi letak informasi tersebut disimpan dan orang yang
mengaksesnya.
2. Mengklasifikasikan informasi untuk organisasi berdasarkan nilainya.
Melindungi Kerahasiaan dengan Enkripsi
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi
kerahasiaan dan ini adalah salah satu cara untuk melindungi informasi dalam
lalu lintasnya internet dan juga dapat membantu memberikan perlindungan
apabila informasi yang telah dienkripsi dari orang lain yang ingin berusaha
mencuri informasi tersebut.
Dikarenakan informasi yang telah dienkripsi tersebut hanya dapat diakses
oleh user yang mengenkripsi file tersebut, maka informasi tersebut hanya
dapat oleh user itu sendiri dan hanya bisa dilihat oleh orang lain, namun
apabila user meninggalkan informasi yang dalam keadaan terbuka, maka
siapapun yang duduk dihadapan laptop tersebut akan dapat melihat

informasi yang sensitif tersebut, sehingga dalam hal ini masih diperlukan
pengendalian akses fisik diperlukan.
Mengendalikan Akses Terhadap Informasi Sensitif
Untuk melindungi informasi yang sensitif dalam waktu yang relevan dan
terus menerus dibutuhkan maka pengendalain pengendalian autentikasi dan
otorisasi perlu dilengkapi dengan pengendalian akses digital ata fisik
tambahan seperti:
1. Information Right Management
Perangkat lunak yang menawarkan kemampuan tidak hanya untuk
membatasi akses terhadap file atau dokumen tertentu, tetapi juga
memerinci tindakan-tindakan (baca, salin, cetak, undu, dsb)
2. Data Loss Prevention
Perangkat lunak yang bekerja seperti program antivirus secara
terbalik, mengeblok pesan-pesan keluar yang mengandung kata-kata
atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau
data sensitif lain yang ingin dilindungi organisasi.
3. Watermark Digital
Kode yang terlekat dalam dokumen yang memungkinkan sebuah
organisasi

untuk

mengidentifikasi

informasi

rahasia

yang

telah

diungkapkan.
Pelatihan
Selain

melindungi

kerahasiaan

dengan

enkripsi

dan

memberikan

pengendalian akses terhadap informasi yang sensitif, pelatihan kepada para


karyawan perusahaan juga diperlukan, dimana hal ini bertujuan untuk
membuat para karyawan perusahaan mengerti informasi apa saja yang perlu
dirahasiakan dari pihak eksternal maupun yang tidak dan diberikab kepada
pihak ekstrnal.

Privasi

Umumnya Prinsip Privasi erat kaitannnya dengan prinsip kerahasiaan, hanya


perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi
pribadi mengenai pelanggan, pegawai pemasok, atau rekan bisnis daripada
pada data keorganisasian.
Pengendalian Privasi
Enkrispsi adalah sebuah pengendalian yang fundamental untuk melindungi
privasi informasi pribadi yang dikumpulkan oleh organisasi. Demi melindungi
privasi, organisasi harus menjalankan program data masking yaitu program
yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu
(seperti mengganti sebuah nomor keamanan social yang asli dengan
rangkaian nomor yang berbeda yang memiliki karakteristik sama, seperti
123-45-678) sebelum mengirimkan data tersebut kepada pengembang
program dan sistem pengujian. Data Masking

juga disebut dengan

tokenization.
Permasalahan Privasi
Dalam Privasi terdapat dua permasalahan utama terkait privasi, yaitu:
1. Spam
Spam adalah e-mail tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Spam merupakan permasalahan yang
terkait privasi karena penerima sering kali jadi

target tujuan atas

akses tak terotorisasi terhadap daftar dan database e-mail yang berisi
informasi pribadi.
2. Pencurian Identitas
Pencurian identitas yaitu penggunaan tidak sah atas informasi pribadi
seseorang demi keuntungan pelaku. Dan rata-rata pencurian Identitas
lebih cenderung untuk mendapatkan keuntungan ekonomi.
Regulasi Privasi dan Prinsip Yang Diterima Secara Umum
Dalam Regulasi Privasi ini terdapat kerangka yang disebut denga prinsipprinsip

yang

diterima

secara

umum,

diman

kerangka

tersebut

mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang


diakui secara internasional untuk melindungi privasi informasi pribadi
pelanggan yang diantaranya:
1. Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan untuk
melindungi privasi informasi pribadi yang mereka kumpulkan dari para
pelanggan, begitu pula dengan informasi tentang pelanggan mereka
yang diperoleh dari pihak ketiga seperti biro kredit.

2. Pemberitahuan
Organisasi harus memberikan pemberitahuan tentang kebijakan dan
praktik privasinya pada saat atau sebelum organisasi tersebut
mengumpulkan informasi pribadi dari para pelanggan atau segera
sesudahnya.
3. Pilihan dan Persetujuan
Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada
para

individu

serta

mendapatkan

persetujuannya

sebelum

mengumpulkan dan menggunakan informasi pribadi mereka.


4. Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan
untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya.
5. Penggunaan dan retensi
Organisasi harus menggunakan informasi pribadi para pelanggan
hanya dengan cara yang dideskripsikan pada kebijakan privasi yang
dinyatakan dan menyimpan informasi tersebut hanya selama informasi
tersebut diperlukan untuk memenuhi tujuan bisnis yang sah.
6. Akses
Organisasi

harus

memberikan

individu

dengan

kemampuan

mengakses, meninjau, memperbaiki dan menghapus informasi pribadi


yang tersimpan mengenai mereka.

7. Pengungkapan kepada pihak ketiga


Organisasi harus

mengungkapkan informasi pribadi pelanggannya

hanya untuk situasi dan cara yang sesuai dengan kebijakan privasi
organisasi serta hanya kepada pihak ketiga yang menyediakan
tingkatan perlindungan privasi yang sama, sebagaimana organisasi
sebelumnya yang mengumpulkan informasi tersebut.
8. Keamanan
Organisasi

harus

mengambil

langkah-langkah

rasional

untuk

melindungi informasi pribadi para pelanggannya dari kehilangan atau


pengungkapan yang tidak terotorisasi.

9. Kualitas
Organisasi harus menjaga integritas informasi pribadi pelanggannya
dan menggunakan prosedur yang memastikan informasi tersebut
akurat secara wajar.
10.

Pengawasan dan penegakan

Organisasi

harus

menugaskan

satu

pegawai

atau

lebih

guna

bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan


privasi yang dinyatakan.

Enkripsi
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk
melindungi baik kerahasiaan maupun privasi. Enkripsi (encryption) adalah
proses mentransformasikan teks normal yang disebut plaintext

ke dalam

raban

Deskripsi

yang

tidak

dapat

dibaca

yang

disebut

chipertext.

(decryption) membalik proses ini, mengubah chipertext ke dalam plaintext.

Dari ilustrasi gambar diatas, menunjukkan bahwa baik enkripsi maupun


dekripsi melibatkan pengunaan sebuah kunci dan alogaritma.
Faktor- Faktor yang Mempengaruhi Kekuatan Enkripsi
1. Panjang Kunci
Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan
mengurangi jumlah blok-blok berurang pada chipertext. Hal tersebut
menjadikannya lebih sulit untuk menunjukkan pola-pola chipertext
yang merefleksikan pola-pola plaintext asli.
2. Alogaritme Enkripsi
Algoritma Enkripsi adalah proses mengacak data sehingga tidak dapat
dibaca oleh pihak lain. Jenis Alogaritme yang digunakan untuk
mengombinasikan kunci dan plaintext adalah sangat penting. Sebuah
Alogaritme yang rumit bukannya tidak mungkin untuk dirusak dengan
teknik penebakabn brutal.

3. Kebijakan untuk Mengelola kunci Kriptografi


Kriptografi merupakan ilmu dan seni untuk menjaga kerahasiaan berita
agar tetap aman. Manajemen kunci kriptografi sering kali merupakan
aspek yang paling rentan dari sistem enkripsi, kriptografi harus
disimpan secara aman dan dilindungi dengan pengendalian akses yang
kuat : (1) Tidak menyimpan kunci kriptografi di dalam sebuah browser
atau file

lain yang dapat diakses oleh pengguna lain dari sistem

tersebut (2) menggunakan sebuah frasa sandi yang kuat dan panjang
untuk melindungi kunci.
Jenis-Jenis Sistem Enkripsi

Pada dua jenis sistem enkripsi, hilang atau dicurinya kunci enkripsi
merupakan ancaman besar. Jika kunci hilang, informasi yang dienkripsi tidak
dapat dipulihkan. Salah satu solusi untuk ancaman ini adalah menggunakan
perangkat lunak enkripsi yang menciptakan sebuah kunci utama built-in
yang dapat digunakan untuk mendekripsi apa saja yang dienkripsi oleh
perangkat lunak tersebut. Alternatif lainnya dengan key escrow yaitu
pembuatan salinan dari seluruh kunci enkripsi yang digunakan oleh para
pegawai dan menyimpan salinana tersebut dengan aman.
Hashing

Hashing adalah proses mengubah plaintext dengan segala ukuran dan


menciptakan sebuah kode singkat yang disebut hash.

Tanda Tangan Digital


Tanda tangan digital adalah sebuah hash

yang dienkripsi dengan kunci

privat milik pembuat hash.


Menciptakan Sebuah Tanda Tangan Digital :

Nonrepudiation adalah menciptakan persetujuan yang terikat secara hukum


yang tidak dapat ditolak secara unilateral oleh kedua pihak.

Bisnis

memperoleh tingkat keabsahan transaksi digital dengan sebuah dokumen


yang ditandatangani

dengan digital menggunakan hashing

maupun

enkripsi asimetris untuk menciptakan tanda tangan yang terikat secara legal
atau hukum.
Sertifikat Digital dan Infrastruktur Kunci Publik
Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci
publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.

Contoh : SIM dan paspor diterbitkan oleh pihak independen yang terpercaya
dan menggunakan sistem hologram serta watermark untuk membuktikan
keasliannya.
Otoritas Sertifikat adalah sebuah organisasi yang menerbitkan kunci publik
dan privat serta mencatat kunci publik di dalam sertifikat digital. Contoh :
Thawte Inc sebagai salah satu perusahaan otoritas sertifikat komersial,
menciptakan SSL (Secure Socket Layer) untuk e-business.
Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci
publik dan privat serta sertifikat digital terkait. Sistem ini berkaitan dengan
penjaminan otoritas sertifikat yang menerbitkan kunci dan sertifikat.
Virtual Private Network (VPN)
Cara kerja

VPN ibarat seperti membuat jaringan di dalam jaringan atau

biasa disebut tunneling. Tunneling adalah suatu cara untuk membuat jalur
koneksi secara privat dengan menggunakan infrastruktur jaringan lain. Pada
dasarnya VPN juga membutuhkan sebuah server sebagai penghubung dan
pengatur antar client. 2 Jenis Dasar VPN :
1. SSL protokol yang menghasilkan simbol kunci familiar kapanpun anda
terlibat dalam kegiatan belanja atau perbankan online.
2. IPSec sebuah versi protokol IP yang memasukkan enkripsi ke dalam
proses penciptaan paket IP.

CONTOH KASUS
1. Pencurian dan penggunaan account internet milik orang lain. Pencurian
account ini berbeda dengan pencurian secara fisik karena pencurian
dilakukan cukup dengan menangkap user_id dan password saja. Tujuan
dari pencurianitu hanya untuk mencuri informasi saja. Pihak yang kecurian
tidak akan merasakan kehilangan. Namun, efeknya akan terasa jika
informasi tersebut digunakan oleh pihak yang tidak bertanggung jawab. Hal

tersebut akan membuat semua beban biaya penggunaan account oleh si


pencuri dibebankan kepada si pemilik account yang sebenarnya. Kasus ini
banyak terjadi di ISP ( Internet Service Provider). Kasus yang pernah
diangkat adalah

penggunaan account

curian yang dilakukan oleh dua

Warnet di Bandung. Kasus lainnya: Dunia perbankan dalam negeri juga


digegerkan dengan ulah Steven Haryanto, yang membuat situs asli tetapi
palsu layanan perbankan lewat Internet BCA. Lewat situs-situs Aspal, jika
nasabah salah mengetik situs asli dan masuk ke situs-situs tersebut,
identitas pengguna (user ID) dan nomor identifikasi personal (PIN) dapat
ditangkap. Tercatat 130 nasabah tercuri data-datanya, namun menurut
pengakuan Steven pada situs Master Web Indonesia, tujuannya membuat
situs plesetan adalah agar publik memberi perhatian pada kesalahan
pengetikan alamat situs, bukan mengeruk keuntungan. Persoalan tidak
berhenti di situ. Pasalnya, banyak nasabah BCA yang merasa kehilangan
uangnya untuk transaksi yang tidak dilakukan. Ditengarai, para nasabah itu
kebobolan karena menggunakan fasilitas Internet banking lewat situs atau
alamat lain yang membuka link ke Klik BCA, sehingga memungkinkan user ID
dan PIN pengguna diketahui. Namun ada juga modus lainnya, seperti tipuan
nasabah telah memenangkan undian dan harus mentransfer sejumlah dana
lewat Internet dengan cara yang telah ditentukan penipu ataupun saat kartu
ATM masih di dalam mesin tiba-tiba ada orang lain menekan tombol yang
ternyata mendaftarkan nasabah ikut fasilitas Internet banking, sehingga user
ID dan password diketahui orang tersebut. Modus kejahatan ini adalah
penyalahgunaan user_ID dan password oleh seorang yang tidak punya hak.
Motif kegiatan dari kasus ini termasuk ke dalam cybercrime

sebagai

kejahatanabu-abu. Kasus cybercrime ini merupakan jenis cybercrime


uncauthorized access dan hacking-cracking. Sasaran dari kasus ini termasuk
ke dalam jenis cybercrime menyerang hak milik (against property). Sasaran
dari kasus kejahatan ini adalah cybercrime menyerang
person).
Beberapa solusi untuk mencegah kasus di atas adalah:

pribadi (against

Penggunaan enkripsi untuk meningkatkan keamanan. Penggunaan


enkripsi yaitu dengan mengubah data-data yang dikirimkan sehingga
tidak mudah disadap (plaintext

diubah menjadi chipertext). Untuk

meningkatkan keamanan authentication (pengunaan user_id dan


password), penggunaan enkripsi dilakukan pada tingkat socket. Hal ini
akan membuat orang tidak bias menyadap data atau transaksi yang
dikirimkan dari/ke server WWW. Salah satu mekanisme yang popular
adalah dengan menggunakan Secure Socket Layer

(SSL) yang

mulanya dikembangkan oleh Nerscape. Selain server WWW dari


netscape, server WWW dari Apache juga dapat dipakai karena dapat
dikonfigurasikan agar memiliki fasilitas SSL dengan menambahkan

software tambahan, sperti open SSL.


Penggunaan Firewall Tujuan utama dari firewall adalah untuk menjaga
agar akses dari orang tidak berwenang tidak dapat dilakukan. Program
ini merupakan perangkat yang diletakkan antara internet dengan
jaringan internal. Informasi yang keluar dan masuk harus melalui atau
melewati firewall. Firewall bekerja dengan mengamati paker Intenet

Protocol (IP) yang melewatinya.


Perlunya CyberLaw Cyberlaw merupakan istilah hukum yang terkait
dengan pemanfaatan TI. Istilah lain adalah hukum TI (Low of IT),

Hukum Dunia Maya (Virtual World Law) dan hukum Mayantara.


Melakukan pengamanan sistem melalui jaringan dengan melakukan
pengaman FTP, SMTP, Telnet dan pengaman Web Server.

2. Penyerangan terhadap jaringan internet KPU Jaringan internet di Pusat


Tabulasi Nasional Komisi Pemilihan Umum sempat down (terganggu),
beberapa kali. KPU menggandeng kepolisian untuk mengatasi hal tersebut.
Cybercrime kepolisian juga sudah membantu. Domain kerjasamanya antara
KPU dengan kepolisian, kata Ketua Tim Teknologi Informasi KPU, Husni
Fahmi di Kantor KPU, Jalan Imam Bonjol, Menteng , Jakarta Pusat (15 April
2009). Menurut Husni, tim kepolisian pun sudah mendatangi Pusat Tabulasi

Nasional KPU di Hotel Brobudur di Hotel Brobudur, Jakarta Pusat. Mereka


akan mengusut adanya dugaan kriminal dalam kasus kejahatan dunia maya
dengan cara meretas. Kamu sudah melaporkan semuanya ke KPU.
Cybercrime sudah datang, ujarnya. Sebelumnya, Husni menyebut sejak tiga
hari dibuka, Pusat Tabulasi berkali-kali diserang oleh peretas. Sejak hari lalu
dimulainya

perhitungan tabulasi, samapai hari ini kalau dihitung-hitung,

sudah lebuh dari 20 serangan, kata Husni, Minggu(12/4).


Seluruh penyerang itu sekarang, kata Husni, sudah diblokir alamat IP-nya
oleh PT. Telkom. Tim TI KPU bias mengatasi serangan karena belajar dari
pengalamn 2004 lalu. Memang sempat ada yang ingin mengubah tampilan
halaman tabulasi nasional hasil pemungutan suara milik KPU. Tetapi segera
kami antisipasi. Kasus di atas memiliki modus untuk mengacaukan proses
pemilihan suara di KPK. Motif kejahatan ini termasuk ke dalam cybercrime
sebagai tindakan murni kejahatan. Hal ini dikarenakan para penyerang
dengan sengaja untuk melakukan pengacauan pada tampilan halaman
tabulasi nasional hasil dari Pemilu. Kejahatan kasus cybercrime ini dapat
termasuk jenis data forgery, hacking-cracking, sabotage and extortion, atau
cyber terorism. Sasaran dari kasus kejahatan ini adalah cybercrime
menyerang pemerintah (against government) atau

bisa juga cybercrime

menyerang hak milik (against property).


Beberapa cara untuk menanggulangi dari kasus:

Kriptografi : seni menyandikan data. Data yang dikirimkan disandikan


terlebih dahulu sebelum dikirim melalui internet. Di komputer tujuan,
data dikembalikan ke bentuk aslinya sehingga dapat dibaca dan
dimengerti oleh penerima. Hal ini dilakukan supaya

pihak-pihak

penyerang tidak dapat mengerti isi data yang dikirim.


Internet Farewell: untuk mencegah akses dari pihak luar ke sistem
internal. Firewall dapat bekerja dengan 2 cara, yaotu menggunakan
filter dan proxy. Firewall filter menyaring komunikasi agar terjadi
seperlunya saja, hanya aplikasi tertentu saja yang

bisa lewat dan

hanya

komputer

dengan

identitas

tertentu

saja

yang

bisa

berhubungan. Firewall proxy berarti mengizinkan pemakai dalam untuk


mengakses internet seluas-luasnya, tetapi dari luar hanya dapat

mengakses satu komputer tertentu saja.


Menutup service yang tidak digunakan.
Adanya sistem pemantau serangan yang digunakan untuk mengetahui
adanya tamu/seseorang yang tak diundang (intruder) atau adanya

serangan (attack).
Melakukan back up secara rutin.
Adanya pemantau integritas sistem. Misalnya pada sistem UNIX adalah
program tripwire. Program ini dapat digunakan untuk memantau

adanya perubahan pada berkas.


Perlu adanya cyberlaw : Cybercrime belum sepenuhnya terakomodasi
dalam

peraturan

Undang-undang

yang

ada,

penting

adanya

perangkat hukum khusus mengingat karakter dari cybercrime ini

berbeda dari kejahatan konvensional.


Perlunya Dukungan Lembaga Khusus: Lembaga ini diperlukan untuk
memberikan informasi tentang cybercrime, melakukan sosialisasi
secara intensif kepada masyarakat, serta melakukan riset-riset khusus
dalam penanggulangan cybercrime.