Seminar Nasional Teknologi Informasi 2017

Information Security and Privacy dalam Bisnis Manajemen :

Sistematik Review

Fitroh 1) Arif Deni Herdiana 2) Radityo Saputro P 3) Arib Zhafran 4) Sutian Zaenal Q I T 2)
1)
Teknik Informatika Universitas Maju Sekali
Jl. Merdeka 10, Jakarta 12020 Indonesia
email : emailku@yahoo.com
2)
Sistem Informasi, FST UIN Syarif Hidayatullah Jakarta
Jl. Ir. H. Juanda No.95, Ciputat, Ciputat Tim., Kota Tangerang Selatan, Banten 15412, Indonesia
email : arif.deni15@mhs.uinjkt.ac.id

ABSTRACT yang dipakai sulit untuk digunakan atau kurang user

Systematic review contains descriptions of theories,
findings and other research materials derived from
reference materials to serve as the basis for research
activities. This research was conducted to find out the
methods used to overcome the problem of information
security and privacy in the field of business and
management. Research using systematic method of review
with the stages of Problem formulation, Search for
literature, Evaluate data, Analyze and Interpret. From the
search results didatabase Spinger Link by using the
keyword "Information Security and Privacy" produces
1,926 consisting of 1.604 Chapter, 1,433 Conference, 290
Article, 30 Book, 29 Conference Proceedings, 2
Reference Work Entry.From 1987 to 2018. Then filtered
According to the discipline of "business and
management" produces 44 papers which are then filtered
according to the content of "article" with the results of 20
papers. From 20 papers selected 5paper related to
information security and privacy. From 5 papers there are
papers using SARC 20%, ANT 20%, ABM 20%, CAS 20%,
GDT 20%. The result of systematic review is that there
are several methods that can be applied to overcome the
problem of information security and privacy in the
business world such as SARC method, ANT method, ABM
method, CAS method, and GDT method.
Key words
Keywords: Information Security, Privacy, Systematic review,
Business, Management
1. Pendahuluan
Keamanan sistem informasi pada saat ini telah banyak
dibangun oleh para kelompok analis dan programmer
namun pada akhirnya ditinggalkan oleh para pemakainya.
Hal tersebut terjadi karena sistem yang dibangun lebih
berorientasi pada pembuatnya sehingga berakibat sistem
friendly bagi pemakai, sistem kurang interaktif dan
kurang memberi rasa nyaman bagi pemakai, sistem sulit
dipahami interface dari sistem menu dan tata letak kurang
memperhatikan kebiasaan perilaku pemakai, sistem
dirasa memaksa bagi pemakai dalam mengikuti prosedur
yang dibangun sehingga sistem terasa kaku dan kurang
dinamis, keamanan dari sistem informasi yang dibangun
tidak terjamin. Hal-hal yang disebutkan diatas dapat
disimpulkan bahwa dalam membangun sebuah keamanan
sistem informasi harus memiliki orientasi yang berbasis
perspektif bagi pemakai bukan menjadi penghalang atau
bahkan mempersulit dalam proses transaksi dan
eksplorasi dalam pengambilan keputusan. Terdapat
banyak cara untuk mengamankan data maupun informasi
pada sebuah sistem. Pengamanan data dapat dibagi
menjadi dua jenis yaitu : penecegahan dan pengobatan.
Pencegahan dilakukan supaya data tidak rusak, hilang
dan dicuri, sementara pengobatan dilakukan apabila data
sudah terkena virus, sistem terkena worm, dan lubang
keamanan sudah diexploitasi. (Paryati, 2008) (Rosmiati &
Riadi, 2016) (Supradono, 2009)
Keamanan informasi saat ini menjadi hal yang sangat
penting, terutamaterhadap organisasi yang menggunakan
teknologi Informasi (TI) sebagai pendukung proses
bisnisnya Privasi adalah kemampuan satu atau
sekelompok individu untuk menutup atau melindungi
kehidupan dan urusan personalnya dari publik, atau untuk
mengontrol arus informasi mengenai diri mereka. Privasi
kadang dihubungkan dengan anonimitas walaupun
anonimitas terutama lebih dihargai oleh orang yang
dikenal publik. Privasi dapat dianggap sebagai suatu
aspek dari keamanan. (Utomo, Ali, & Affandi, 2012)
(Rosmiati & Riadi, 2016) (Paryati, 2008)
Keamanan merupakan hal sangat penting dalam
sebuah sistem informasi. Didalam dunia bisnis peran
informasi sangat berharga bagi sebuah perusahaan.
Kerahasiaan informasi sebuah perusahaan berperan
penting dalam mengendalikan jalanya bisnis di
perusahaan. Namun hal ini masih kurang mendapat
perhatian dari pemilik dan pengelola sistem informasi.
Mereka sering kali menempatkan masalah keamanan
informasi di posisi kedua. Bahkan jika di anggap
mengganggu performasi perusahaan masalah keamanan
ini ditiadakan. Informasi hanya boleh diakses oleh orang
orang tertentu, hal ini disebabkan sangat penting nya
nilai informasi bagi sebuah organisasi atau perusahaan.
Salah satu akibat yang terjadi dari lemahnya keamanan
sistem informasi di organisasi atau perusahaan yaitu jatuh
nya informasi organisasi ke pihak kawan bisnis yang
dapat menimbulkan kerugian bagi pemilik informasi.
Untuk mengatasi masalah ini dapat diterapkan beberapa
metode keamanan informasi diantaranya metode SARC,
metode ANT, metode ABM, metode CAS, dan metode
GDT. (lisadiana, 2016)
Keamanan Informasi adalah perlindungan informasi
dari berbagai macam ancaman agar menjamin kelanjutan
usaha / bisnis, mengurangi resiko bisnis dan
meningkatkan return of investment dan peluang bisnis.
Keamanan sistem informasi merupakan suatu kegiatan
perlindungan atau pencegahan terhadap gangguan Gambar 1 Diagram Langkah-langkah sistematik review
penyalahgunaan informasi yang dilakukan oleh orang-
orang yang tidak bertanggung jawab terhadap jalannya Langkah-langkah sistematik review :
suatu sistem. (Supriyatna, 2014) (Syafitri, 2016) 1. Formulasi permasalahan
(Rahardjo, 2002) Penulis memilih topik yang sesuai dan menarik.
Tujuan dari Penelitian ini diharapkan dapat Selain itu, permasalahan yang diangkat harus
memberikan pemahaman yang lebih kepada para pemilik ditulis dengan lengkap dan tepat.
dan pengelola sistem informasi organisasi atau 2. Mencari literatur
perusahaan dalam keamanan informasi organisasi atau Literatur yang dicari harus relevan dengan
perusahaan. penelitian. Sehingga membantu kita untuk
mendapatkan gambaran (overview) dari suatu
topik penelitian. Sumber-sumber penelitian
2. Metodologi Penelitian tersebut akan sangat membantu bila didukung
dengan pengetahuan tentang topik yang akan
Menurut (Hasibuan, 2007), sistematik review berisi dikaji. Karena sumber-sumber tersebut akan
uraian tentang teori, temuan dan bahan penelitian lain memberikan berbagai macam gambaran tentang
yang diperoleh dari bahan acuan untuk dijadikan ringkasan dari beberapa penelitian terdahulu.
landasan kegiatan penelitian. Uraian dalam sistematik 3. Evaluasi data
review ini diarahkan untuk menyusun kerangka Melihat dari literatur yang ada, apa saja yang
pemikiran yang jelas tentang pemecahan masalah yang menjadi kontribusi tentang topik yang dibahas.
sudah diuraikan dalam sebelumnya pada perumusan Penulis harus mencari dan menemukan sumber
masalah. Sistematik review berisi ulasan, rangkuman, dan data yang sesuai dengan kebutuhan penelitian.
pemikiran penulis tentang beberapa sumber pustaka Data bisa berupa data kualitatif dan data
(dapat berupa artikel, buku, slide, informasi dari internet, kuantitatif maupun kombinasi dari keduanya.
dan lain-lain) tentang topik yang dibahas, dan biasanya 4. Menganalisis dan Menginterpretasikan
ditempatkan pada bab awal. Hasil-hasil penelitian yang Mendiskusikan dan meringkas literatur yang
dilakukan oleh peneliti lain dapat juga dimasukkan sudah ada
sebagai pembanding dari hasil penelitian.
3. Hasil Percobaan
Pada pencarian data di Spinger Link yang di akses
pada tanggal 20 Juni jam 08:37 dengan keyword
"Information Security and Privacy" kami memperoleh
data 1926 paper dengan rincian 87=1, 95=1, 96=32,
97=36, 98=47, 99=43, 00=55, 01=71, 02=64, 03=96,
 04=110, 05=137, 06=123, 07=92, 08=68, 09=85, 4 Aggeliki Tsohou, Managing the
10=80, 11=85, 12=144, 13=118, 14=94, 15=85, Maria Karyda, introduction of
16=160, 17=97, 18=2. kemudian ditelusuri sesuai Spyros Kokolakis information
dengan topik "bisnis management" mendapat data 44 dan Evangelos security
paper dengan tema bisnis dan manajemen. kemudian Kiountouzis awareness
di telusuri lagi berdasarkan konten artikel, programmes in
mendapatkan data 20 paper. Dari 20 paper tersebut di organisations
ambil 5 paper yang memiliki topik yang sesuai 5 A. J. Burns & Organizational
dengan topik keamanan informasi dan privasi. Clay Posey & information
Berikut ini grafik jumlah data yang di dapatkan: James F. Courtney security as a
& Tom L. Roberts complex
& Prabhashi adaptive
Nanayakkara system: insights
from three
agent-based
model

Banyak penelitian yang sebelumnya dilakukan mengenai

keamanan informasi dan privasi. Dalam upaya
mengembangkan dan menyempurnakan keamanan
informasi ini perlu dilakukan tinjuan pustaka (literatur
review) sebagai salah satu dari penerapan metode
penelitian yang akan dilakukan. Diantara Yaitu:
Dari data diatas dengan jumlah paper 1.926 dengan data
Paper terendah pada tahun 1987 dan 1995 yang hanya 1. Penelitian yang di lakukan oleh Fergle
ada 1 paper dan data paper tertinggi berada pada tahun DAubeterre, Rahul Singh and Lakshmi Iyer
2016 dengan jumlah paper 160. pada tahun 2008 yang berjudul Secure activity
resource coordination: empirical evidence of
No Nama Penulis Judul Jurnal enhanced security awareness in designing secure
1 Fergle Secure activity business processes. Penelitian ini membahas
DAubeterre, resource metodologi pengembangan sistem
Rahul Singh and coordination: menggabungkan persyaratan keamanan sebagai
Lakshmi Iyer empirical renungan dalam persyaratan sistem yang tidak
evidence of fungsional. Kurangnya kontrol akses yang tepat
enhanced terhadap pertukaran informasi antar aktivitas
security bisnis dapat membuat organisasi rentan terhadap
awareness in ancaman penjaminan informasi. Kesenjangan
designing antara pengembangan sistem dan keamanan
secure business sistem menyebabkan upaya pengembangan
processes perangkat lunak yang kurang memahami risiko
keamanan. Kami menjawab pertanyaan
2 Ali Alper Yayla The impact of
dan Qing Hu information penelitian: bagaimana kita bisa memasukkan
security events keamanan sebagai persyaratan fungsional dalam
on the stock analisis dan pemodelan proses bisnis? Studi ini
value of firms: memperluas pendekatan Semantic untuk
the effect of Mengamankan Proses eBusiness Inter-
contingency Organizational Collaborative di D'Aubeterre dkk.
factors (2008). Dalam penelitian ini, kami
mengembangkan artefak koordinasi aktivitas-
3 Merrill Warkentin, The influence
aktivitas aman (OPTC) untuk proses bisnis dunia
Allen C. Johnston of the informal
dan Jordan social learning nyata. Kami menunjukkan bagaimana SARC
Shropshire environment on dapat digunakan untuk menciptakan model
information proses bisnis yang ditandai dengan pertukaran
privacy policy informasi yang aman di dalam dan di seluruh
compliance batas organisasi. Kami menyajikan evaluasi
efficacy and empiris artefak SARC terhadap Kasus
intention Penggunaan yang Diperkuat (Siponen et al.,
 2006) dan Diagram Aktivitas UML standaruntuk
menunjukkan kegunaan metode perancangan
yang diusulkan.
2. Penelitian yang dilakukan oleh Ali Alper Yayla
dan Qing Hu pada tahun 2011 yang berjudul
The impact of information security events on
the stock value of firms: the effect of contingency
factors. Penelitian ini membahas reaksi pasar
saham terhadap kejadian teknologi terkait (IT)
sering digunakan sebagai proxy terhadap nilai
atau biaya kejadian ini dalam literatur sistem
informasi. Dalam tulisan ini, kami mempelajari
reaksi pasar saham terhadap kejadian yang
berkaitan dengan keamanan informasi dengan
menggunakan metodologi analisis acara dengan
mempertimbangkan dampak sejumlah faktor
kontingensi, termasuk tipe bisnis, industri, jenis
pelanggaran, tahun kejadian, dan lamanya
Jendela acara Kami menemukan bahwa
perusahaan e-commerce murni mengalami reaksi
pasar negatif yang lebih tinggi daripada
perusahaan batu bata dan mortir tradisional jika
terjadi pelanggaran keamanan. Kami juga
menemukan bahwa serangan penolakan layanan
memiliki dampak negatif yang lebih tinggi
daripada jenis pelanggaran keamanan lainnya.
Akhirnya, peristiwa keamanan yang terjadi
dalam beberapa tahun terakhir ditemukan
memiliki dampak yang kurang signifikan
daripada yang terjadi sebelumnya, menunjukkan
bahwa investor mungkin menjadi kurang sensitif
terhadap kejadian keamanan. Yang paling
menarik, analisis kami menunjukkan bahwa
besarnya dan umur panjang pelanggaran
keamanan bervariasi sesuai waktu di sub-sampel.
Hal ini menimbulkan beberapa pertanyaan serius
mengenai keabsahan analisis hanya reaksi pasar
saham jangka pendek sebagai indikator dari
biaya pelanggaran keamanan, dan secara umum,
merupakan indikator dari nilai kejadian terkait
TI. Implikasi dari hasil ini dibahas dan tujuan
penelitian masa depan yang potensial diusulkan.
3. Penelitian yang dilakukan oleh Merrill
Warkentin, Allen C. Johnston dan Jordan
Shropshire pada tahun 2011 yang berjudul The
influence of the informal social learning
environment on information privacy policy
compliance efficacy and intention yang
membahas tentang proyek penelitian yang
menyelidiki anteseden kepatuhan-kepatuhan
kebijakan privasi informasi oleh individu.
Menggunakan Portabilitas dan Akuntabilitas
Asuransi Kesehatan Kepatuhan hukum di
industri perawatan kesehatan sebagai proxy
praktis untuk kepatuhan kebijakan privasi
organisasi secara umum, hasil survei terhadap
234 profesional kesehatan menunjukkan bahwa
kondisi sosial tertentu dalam lingkungan
organisasi (disebut sebagai isyarat eksternal dan
terdiri dari situasional Dukungan, persuasi
verbal, dan pengalaman perwakilan)
berkontribusi pada proses belajar informal.
Proses ini berbeda dari prosedur pelatihan
kepatuhan formal dan ditunjukkan untuk
mempengaruhi persepsi keberhasilan karyawan
untuk terlibat dalam kegiatan kepatuhan, yang
berkontribusi terhadap niat perilaku untuk
mematuhi kebijakan privasi informasi. Implikasi
bagi manajer dan peneliti dibahas.
4. Penelitian yang dilakukan oleh Aggeliki Tsohou,
Maria Karyda, Spyros Kokolakis dan Evangelos
Kiountouzis pada tahun 2015 yang berjudul
Managing the introduction of information
security awareness programmes in organisations
yang membahas beberapa penelitian yang
mengeksplorasi kesadaran keamanan informasi
yang berfokus pada aspek individu dan / atau
organisasi. Makalah ini berpendapat bahwa
proses kesadaran keamanan dikaitkan dengan
perubahan yang saling terkait yang terjadi pada
tingkat organisasi, teknologi dan individu. Kami
mengenalkan kerangka analisis terpadu yang
telah dikembangkan melalui penelitian tindakan
di sebuah organisasi sektor publik, yang terdiri
dari teori aktor-jaringan (ANT), teori
strukturisasi dan kontekstualisme. Kami
mengembangkan dan menggunakan kerangka
kerja ini untuk menganalisis dan mengelola
perubahan yang diperkenalkan oleh
implementasi program kesadaran keamanan di
tempat penelitian. Makalah ini menggambarkan
keterbatasan masing-masing teori (ANT, teori
struktur dan kontekstualisme) untuk mempelajari
perubahan multi level bila digunakan secara
individual, menunjukkan sinergi ketiga teori
tersebut, dan mengusulkan bagaimana mereka
dapat digunakan untuk mempelajari dan
mengelola perubahan terkait kesadaran di
Tingkat individu, organisasi dan teknologi.
5. Penelitian yang di lakukan oleh A. J. Burns &
Clay Posey & James F. Courtney & Tom L.
Roberts & Prabhashi Nanayakkara pad tahun
2015 yang berjudul Organizational information
security as a complex adaptive system: insights
from three agent-based model yang membahas
pengelolaan keamanan informasi dapat
dikonseptualisasikan sebagai sistem adaptif yang
kompleks karena tindakan orang dalam dan
orang luar berkembang bersama dengan
lingkungan organisasi, sehingga mengarah pada
kemunculan keseluruhan keamanan aset
informasi dalam sebuah organisasi. Dengan
 demikian, interaksi antara individu dan Penelitian ini dilatarbelakangi
lingkungan mereka pada tingkat mikro adanya serangan keamanan yang
membentuk keseluruhan postur keamanan di Latarbelakan
memberikan dampak kerugian
tingkat makro. Selain itu, di lingkungan yang g
keuangan yang cukup besar pada
kompleks ini, ancaman keamanan berkembang pasar saham suatu perusahaan
terus-menerus, membuat organisasi tidak
memiliki banyak pilihan kecuali berevolusi di Meneliti dampak dari
samping ancaman atau risiko kehilangan
segalanya. Untuk melindungi sistem informasi pelanggaran keamanan pada
Tujuan
organisasi dan aset informasi terkait, para harga saham dari suatu
manajer dipaksa untuk menyesuaikan diri perusahaan
dengan ancaman keamanan dengan melatih 2 Metodologi Metodologi Analisis
karyawan dan dengan menjaga agar sistem dan
prosedur keamanan diperbarui. Penelitian ini
menjelaskan bagaimana keamanan informasi Pelanggaran keamamanan
organisasi dapat dikelola sebaik mungkin sebagai dalam psasar saham suatu
sistem adaptif yang kompleks (CAS) dan perusahaan memiliki dampak
memodelkan kompleksitas risiko keamanan IS yang berbeda-beda tergantung
dan tanggapan organisasional dengan Hasil
dari beberapa faktor seperti :
menggunakan pemodelan berbasis agen (ABM). tipe bisnis, industri, jenis
Kami menyajikan model berbasis agen yang pelanggaran, dan lamanya
menggambarkan masalah phishing probabilistik
kejadian
sederhana serta model yang mensimulasikan
hasil keamanan organisasi dari pendekatan
3
keamanan teoritis yang kompleks berdasarkan
teori pencegahan umum (GDT) dan teori
motivasi perlindungan (protection motivation Penelitian ini dilatarbelakangi
theory / PMT). Latarbelakan oleh terdapatnya pelanggaran
g dalam menjaga suatu privasi
Penelitian ini dilatarbelakangi dalam suatu organisasi
oleh adanya suatu persyaratan
keamanan yang harus dipenuhi
Latarbelakan
sebagai bagian penting dari
g
perancangan sistem yang
memungkinkan proses bisnis Menginvestigasi sejauh mana
yang aman
keberhasilan kepatuhan
Membantu mengurangi Tujuan kebijakan privasi informasi
kekurangpahaman terhadap oleh individu di suatu
Tujuan
resiko keamanan informasi pada organisasi
1 suatu organisasi/perusahaan
Menggunakan pemodelan Secure
Metodologi Activity Resource Coordination Metodologi Menggunakan metode
(SARC)
pembelajaran kepatuhan
Model proses bisnis yang
dikembangkan dengan metode
SARC menghasilkan kesadaran
Hasil tingkat keamanan yang lebih
besar dibandingkan dengan
menggunakan Enriched-Use Case
dan UML-Activity Diagram

Hasil penelitian menunjukkan
bahwa organisasi dapat
menyediakan lingkungan kerja
yang mendukung yang
memfasilitasi tingkat
keberhasilan tinggi yang tinggi
dengan memastikan bahwa
karyawan (1) dilengkapi
dengan alat dan kesempatan
Hasil yang tepat untuk
menyelesaikan pekerjaan
mereka dan benar-benar
melindungi informasi privasi
yang sensitif (2) diberikan
umpan balik dan instruksi yang
memadai untuk mendukung
kepatuhan kebijakan privasi,
dan (3) diberi kesempatan
untuk belajar satu sama lain.
4 tersebut akan saling tertutupi.
Mengembangkan kerangka
teoritis yang menggabungkan
Metodologi teori actor-jaringan (ANT),
teori struktuasi, dan teori
kontekstualisme
Penggabungan teori actor-
jaringan (ANT), teori
struktuasi, dan teori
kontekstualisme dapat
digunakan secara terpisah
namun hasilnya menjadi tidak
Hasil
maksimal, karena masing-
masing teori tersebut memiliki
kelemahan. Apabila ketiga teori
tersebut digabungkan maka
kelemahan masing-masing teori

Penelitian ini dilatarbelakangi

Latarbelakan oleh adanya hambatan dalam
g proses peningkatan kesadaran
keamanan informasi
5 Latarbelakan Penelitian ini dilakukan karena
g tidak ada hentinya ancaman
serangan terhadap sistem
kemanan informasi sehingga
Tujuan Penelitian ini memberikan
dapat membahayakan
panduan dalam rangka untuk
keberlangsungan suatu
meningkatkan kesadaran
organisasi
keamanan informasi pada
tingkat individu maupun
tingkat organisasi.

Tujuan dari penelitian ini untuk
menjelaskan bagaimana
Tujuan keamanan informasi organisasi
dapat dikelola sebagai suatu
system yang kompleks adptif
REFERENSI
[1] Castleman, Kenneth R., 1998, Digital Image Processing,
Prentice Hall, New Jersey.
[2] Li, Shujun., Zheng, Xuan., Mei 2002, Cryptanalysis of a
Chaotic Image Encryption Method, Proceeding IEEE
ISACS, Vol.2, Scottsdale -Arizona.
[3] Mao, Yaobin., Chen, Guanrong., 2003, Chaos-Based
Image Encryption, Handbook of Computational Geometry
for Pattern Recognition, Computer Vision, Neural
Computing and Robotics, Springer, Berlin.

Nama Penulis, memperoleh gelar B.S dan M.Sc dari University

Of New South Wales, Australia tahun 1995 dan 1997. Kemudian
tahun 2002 memperoleh Ph.D dari Cambridge University,
Menggunakan Agent-Based Inggris. Saat ini sebagai Staf Pengajar program studi Teknik
Modelling (ABM) berdasarkan Informatika Universitas Maju Sekali.
Metodologi General Deterrence Theory
(GDT) dan Protection
Motivation Theory (PMT)

Pada penggunaan teori GDT

organisasi melihat karyawan
sebagai resiko keamanan
informasi. Sedangkan teori
PMT melihat karyawan sebagai
pelindung sistem dalam
Hasil
organisasi. Metode ABM
merupak metode yang tepat
untuk mengembangkan
simulasi yang bertujuan untuk
meningkatkan pemahaman
tentang keamanan informasi.

4. Kesimpulan
Hasil dari sistematika review kelima jurnal dapat
diambil kesimpulan bahwa terdapat beberapa kerangka
teori yang dapat digunakan untuk mengatasi masalah
keamanan informasi dan privasi, yaitu teori SARC, teori
pembelajaran kepatuhan, gabungan teori (Actor-Network
Theory, teori struktuasi, dan teori kontekstualisme), teori
General Deterrence Theory (GDT) dan Protection
Motivation Theory (PMT). Kelima kerangka teori tersebut
dapat digunakan tergantung konteks permasalah yang
terjadi pada suatu organisasi.