PENGENDALIAN UNTUK KEAMANAN INFORMASI

& PENGENDALIAN KERAHASIAAN PRIVASI

Disusun Untuk Memenuhi Salah Satu Tugas Mata Kuliah Sistem Informasi Akuntansi

Dosen Pembina :

Andhika Ligar Hardika, S.E., M.Si., Ak., CA.

Oleh:

Ghina Yustika ( 0116101158)

Nopiyani (0116101084)

Dicky Nugroho (0116101320)

Doni R amdani (0116101235)

Andrew Kanisius (0116101403)

Ahmad Herlandi (0114101443)

Kelas J

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI

UNIVERSITAS WIDYATAMA

2018
 KATA PENGANTAR

Puji dan syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa berkat rahmat dan
karunia-Nya, penulis dapat menyelesaikan makalah dengan judul “Pengendalian untuk keamanan
informasi & pengendalian kerahasiaan privasi”. Penulisan makalah ini bertujuan untuk
memenuhi tugas yang diberikan oleh dosen mata kuliah Sistem Informasi Akuntansi.

Penulis mengucapkan terima kasih kepada semua pihak yang telah membantu sehingga
makalah ini dapat diselesaikan tepat pada waktunya. Makalah ini masih jauh dari kata sempurna,
oleh karena itu penulis mengharapkan kritik dan saran dari pembaca demi perbaikan menuju arah
yang lebih baik.

Bandung, Februari 2018

Penulis
 PENGENDALIAN UNTUK KEAMANAN INFORMASI

Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan daripengelolaan
sistem informasi, bahkan melaksanakan fungsi yang sangat penting karenamengamati setiap
tahapan dalam proses pengelolaan informasi. Pengendalian sistem informasiadalah keseluruhan
kegiatan dalam bentuk mengamati, membina, dan
mengawasi pelaksanaanmekanisme. Organisasi pada saat ini bergantung pada teknologi
informasi (TI), sepertimemindahkan sebagaian dari sistem informasinya kecloud. Untuk
mengatasi permasalahanpengendalian tersebut, AICPA dan CICA mengembangkan Trust
Service Framework untukmenyediakan panduan penilaian keandalan sistem informasi.Trust
Service Framework mengatur pengendalian TI ke dalam lima prinsip yangberkontribusi secara
bersamaan terhadap keandalan sistem:1.
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data
didalamnya dikendalikan serta terbatas untuk pengguna yang sah.2.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(sepertirencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.3.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, ataurekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengankepatuhan
terhadap kebijakan internal dan persyaratan peraturan eksternal sertaterlindungi dari
pengungkapan tanpa ijin.4.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,lengkap,
tepat waktu dan hanya dengan otorisasi yang sesuai.5.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhikewajiban operasional dan kontraktual.

A. Dua Konsep Keamanan Informasi Fundamental

1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi
Keamanan informasi yang efektif mensyaratkan penggunaan alat-alatberteknologi seperti
firewall, antivirus dan enskripsi, keterlibatan serat dukunganmanajemen senior juga jelas
menjadi dasar keberhasilan. Kemajuan dalam TImenciptakan ancaman baru. Oleh karena itu,
manajemen harus secara periodik menilaiulang respons risiko organisasi dan membuat
perubahan keamanan informasi.
2. Defense-In-Depth dan modal keamanan informasi berbasis waktu
Defense in depth merupakan konsep dalam menerapkan perlindungan secara berlapis yang
tidak hanya mengandalkan satu produk atau jasa. Ide dibalik pendekatan Defense in Depth adalah
untuk mempertahankan sistem terhadap serangantertentu dengan menggunakan beberapa
metode independen serta untuk menghindari sebuah poin kegagalan.
Defense in depth secara khusus melibatkan penggunaan sebuah kombinasi, yaituperan pengendalian
preventif adalah untuk membatasi tindakan individu agar sesuaidengan kebijakan keamanan
organisasi. Walaupun tindakan preventif tidak pernahmemberikan perlindungan 100%. Dengan
sumber daya yang cukup, segala pengendalianpreventif dapat di elakkan. Oleh karena itu, perlu
untuk melengkapinya dengan metode-metode untuk mendeteksi insiden dan presedur untuk
melakukan tindakan perbaikankorektif.Tujuan dari model keamanan berbasis waktu adalah menggunakan
kombinasiperlindungan preventif, detektif, korektif yang melindungi asset informasi cukup
lamaagar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadidan
mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang ataudirusak.

B. Memahami Serangan yang Ditargetkan

Langkah-langkah dasar yang dilakukan parah penjahat untuk menyerang sistem informasi suatu
perusahaan:
1. Melakukan Pengintaian (conduct reconnaissance). Tujuan pengintaian
awal adalahuntukmempelajari sebanyak mungkin tentang target serta
mengindentifikasikankerentananpotensial.
2. Mengupayakan rekayasa sosial (attempt social engineering). Rekayasa sosial
dapatterjadimelalui banyak cara. Hanya dibatasi oleh kreativitas dan imajinasi penyerang.
3. Memindai dan memetakan target (scan and the map target).
Penyerangmenggunakanberbagai alat otomatis untuk mengidentifikasi komputer yang
dapatdikendalikan darijarak jauh serta berbagai jenis perangkat lunak yang mereka
jalankan.
4. Penelitian (research). Setelah penyerang mengidentifikasi target-target
spesifikdanmengetahui jenis versi perangkat lunak yang dijalankan, langka
selanjutnyaadalahmelakukan penelitian untuk menemukan kerentanan yang terdeteksi
pada program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan
tersebut.5)
5. Mengeksekusi serangan (execute the attack). Penyerang memanfaatkan kerentananuntuk
mendapatkan akses tanpa izin terhadap system informasi target.
6. Menutupi jejak (cover tracks). Setelah memasuki sistem informasi pengguna, sebagain
besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu
belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal
mereka diketahui dan pengendalian diimplementasikan untuk mengeblok metode entri
tersebut.

Pengendalian Preventif
1. Orang-orang : penciptaan sebuah budaya “sadar keamanan”
Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi sebagai salah satu
dari fasilitator kritis untuk keamanan informasi yang efektif. Pengendalian ini untuk
menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
 keorganisasian, manajemen puncak tidak hanya harus mengkomunikasikan kebijakan
keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya.
2. Orang –orang : Pelatihan
Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh
karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai
harus diajarkan tentang pentingnya ukuran –ukuran keamanan bagi kebertahanan jangka
panjang organisasi serta dilatih untuk mengikuti praktik-praktik komputasi yang aman.
3. Proses : Pengendalian Akses Pengguna
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset
informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai. Untuk
mencapai tujuan tersebut maka praktik manajemen COBIT 5 menekankan perlunya
pengendalian untuk mengelola identitas penggunaan dan akses logis, sehingga
memungkinkan identifikasi secara khusus siapa saja yang mengakses sistem informasi
organisasi serta melacak tindakan yang merek lakukan. Penerapan COBIT 5 ini
menggunakan 2 pengendalian yaitu pengendalian autentikasi dan pengendalian otorisasi.
4. Pengendalian Autentikasi
Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk
mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat
mengakses sistem.
Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang :
a. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN
b. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID
c. Beberapa karakteristik atau prilaku (pengidentifikasi biometri seperti sidik jari
atau pola tulisan.
5. Pengendalian Otorisasi
Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagain spesifik
sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Tujuannya adalah untuk menyusun hak serta keistimewaan setiap pegawai dengan cara
menetapkan dan mengelola pemisahan tugas yang tepat
6. Solusi TI : Pengendalian Antimalware
 Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah sebuah ancaman
besar. Malware dapat membahayakan atau menghancurkan informasi atau menghasilkan
sebuah cara untuk memperoleh akses tanpa izin. Berikut cara yang direkomendasikan sebagai
salah satu dari kunci keamanan untuk perlindungan dari malware :
a. Edukasi kesadaran perangkat lunak jahat
b. Pemasangan alat perlindungan anti malware pada seluruh perangkat
c. Manajemen terpusat atas sejumlah patch dan memperbaruhi perangkat lunak anti
malware
d. Tinjauan teratur atas ancaman malware baru
e. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial
f. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau
tidak disetujui.
7. Solusi TI : Pengendalian Akses Jaringan
Sebuah pengendalian dimana beberapa organisasi masih mempertahankan pengelolaan
jaringan hak milik mereka sendiri dengan menyediakan dial up lanhsung melalui modem,
dan tidak menggunakan jaringan internet.
8. Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan
Border router adalah sebuah perangkat yang menghubungakan sistem informais organisasi ke
internet. Dibalik border router terdapat firewall utama yang menjadi perangkat keras yang
bertujuan khusus. Firewall adalah perangkat lunak yang berkerja pada sebuah omputer yang
bertujuan umum yang mengendalikan baik komunikasi masuk ataupun keluar antara sistem
dibalik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan
terpisah yang berada diluar sistem informasi internal organisasi serta mengizinkan akses
yang dikendalikan dari internet. Secara bersamaan border router dan firewall bertindak
sebagai penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan
keluar dari sistem informasi organisasi.
9. Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet
Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer, seluruh file
jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah ke dalam seri – seri
potongan kecil yang dikirim secara individu dan disusun ulang selama pengiriman.
Innformasi yang dikerjakan dalah informasi yang dimuat pada header Transmission Control
 Protocol (TCP), Internet Protocol (IP) dan Ethernet. Header TCP berisi bidang-bidang yang
merinci posisi berurutan dari paket yang berkaitan dengan ksesluruhan file dan port number
pada perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file
disusun kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat
pengiriman dan penerimaan.
10. Mengendalikan Akses dengan Paket Penyaringan
Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal
mereka ke penyedia layanan internet. Borde router dan firewall utama organisasi
menggunakan seperangkat aturan IF-THEN yang disebut Access control list (ACL). ACL
digunakan untuk menentukan tindakan yang dilakukan pada paket yang tiba. Penyaringan
paket adalah sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP
Paket untuk memutuskan tindakan yang dilakukan.
11. Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal untuk
membuat segmentasi department berbeda didalm organisasi. Firewall internal membantu
untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi yang dapat
diakses seorang pegawai tertentu. Hal ini tidak hanya meningkatkan keammanan namun juga
memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan
pemisahan tugas.
12. Mengamankan Koneksi Dial-Up
Penting untuk memverifikasi identitas pengguna yang berupaya untuk mendapatkan akses
dial-in yaitu dengan cara Remote Authentication Dial-In User Service (RADIUS). RADIUS
adalah sebuah metode standar untuk memverifikasi identitas pengguna yang berupaya
untuk terhubung melalui akses dial-in, sehingga hanya pengguna yang telah
terverifikasi sajalah yang dapat mengakses jaringan internal perusahaan.

13. Mengamankan Akses Nirkabel

Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai
adalah (1) Menyalakan fitur keamanan yang tersedia, (2) Membuktikan keabsahan seluruh
perangkat yang digunakan untuk menetapkan akses nirkabel ke jaringan sebelum
 menentukan sebuah alamat IP untuk mereka, (3) Mengatur seluruh perangkat nirkabel
terotorisasi agar hanya beroperasi pada modus infrastruktur yang memaksa perangkat untuk
hanya terhubung ke titik akses nirkabel, (4) Menggunakan nama yang noninformatif sebagai
alamat titik akses yang disebut dengan service set identifier (SSID), (5) Mengurangi
kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan
menggunakan antena pengarahan untuk membuat penerimaan lokal tanpa izin menjadi lebih
sulit, (6) Mengenkripsi seluruh lalu lintas nirkabel.
14. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan
perangkat lain yang meliputi jaringan organisasi.) yang berhak mendapatkan perhatian lebih
menurut COBIT 5 DSS05.03:
a. Konfigurasi endpoint >> endpoint dapat dibuat lebih aman dengan memodifikasi
konfigurasinya
b. Manajemen akun pengguna >> akun pengguna harus dikelola secara hati-hati,
terutama akun-akun yang memiliki hak tak terbatas (administratif) pada komputer.
Oleh karena itu, para pegawai yang memerlukan kewenanagan administratif untuk
sebuah komputer khusus harus diberikan dua akun; 1 dengan hak administratif
dan akun lainnya hanya memiliki keistimewaan terbatas
c. Desain perangkat lunak >> limpahan buffer, injeksi SQL, dan cross-site scripting
adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga
perlu menspesifikasikan kebutuhan untuk mendesai keamanan secara cermat ke
dalam selutuh aplikasi baru.

15. Solusi TI : Enkripsi

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin
terhadap informasi sensitif.
16. Keamanan Fisik : Pengendalian Akses
Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik mengenai
pengendalian akses fisik, seperti pengendalian akses fisik dimulai dari pintu masuk ke dalam
gedung itu sendiri. Idealnya sebaiknya hanya terdapat satu pintu masuk reguler yang tetap
 terbuka selama jam kerja normal dan tambahan untuk pintu keluar darurat, tetapi pintu
darurat tersebut sebaiknya tidak memperkenan siapapun menggunakannya untuk masuk dari
luar dan pintu tersenut sebaiknya terhubung dengan sistem alarm sehingga secara otomatis
terpicu kapan pun pintu darurat terbuka. Selain itu, juga harus ada resepsionis maupun staff
keamanan yang harus bertugas di pintuk masuk utama untuk memverifikasi identitas para
pegawai. Akses fisik pada ruangan-ruangan yang menyimpan komputer juga harus dibatasi.
Ruangan-ruangan tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar diawasi
dnegan sistem CCTV. Ruangan-ruangan yang menyimpan server, terutama yang memuat
data sensitif harus ditambahi kunci reguler dengan teknologi yang lebih kuat (seperti
pembaca kartu, keypad numerik, atau berbagai perangkat biometri, seperti pemindai retina,
pembaca sidik jari, atau pengenal suara).

Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi untuk
mencegah wiretapping. Itu berarti bahwa pengabelan dan wiring seharusnya tidak dipasang
di area yang dapat diakses pengunjung biasa dan jika lemari wiring digunakan bersama
dengan penyewa lain di dalam gedung kantor, organisasi tersebut harus meletakkan
perlengkapan telekomunikasinya di dalam kurungan besi terkunci untuk mecegah akses fisik
tanpa izin yang terotorisasi.
17. Pengendalian Perubahan dan Manajemen Perubahan
Pengendalian perubahan dan manajemen perubahan (change control and change
management) mengarah pada proses formal yang digunakan untuk memastikan bahwa
modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi
keandalan sistem.

Pengendalian Detektif
Pengendalian preventif tidak pernah 100% efektif dalam mengeblok seluruh serangan. Oleh
karena itu, salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas
yang juda dibutuhkan organisasi untuk memungkinkan deteksi gangguan dan masalah secara
tepat waktu.

Jenis-jenis pengendalian detektif:

1. Analisis log
 Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan
serangan. Tujuan dari analisis log adalah untuk mengetahui alasan dari kegagalan untuk
masuk kedalam sistem dan untuk mencatat siapa yang mengakses sistem dan tindakan-
tindakan tertentu apa saja yang dilakukan setiap penggunan.
2. Sistem deteksi gangguan
Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem yang
menghasilka sejumlah log dari seluruh log dari seluruh lalu lintas jaringan yang diizinkan
untuk melewati firewall kemudiang menganalisis log-log tersebut sebagai tanda atas
gangguan yang diupayakan atau berhasil dilakukan. IDS dapat dipasang pada sebuah
perangkat tertentu untuk mengawasi upaya tanpa izin untuk mengubah konfigurasi perangkat
tersebut.
3. Pengujian penetrasi
Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan untuk secara periodik
menguji efektivitas proses bisnis dan pengendalian internal. Pengujian penetrasi memberikan
sebuah cara yang lebih cermat untuk menguji efektivitas keamanan informasi sebuah
organisasi. Uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun
kantor konsultasi keamanan eksternal untuk menerobos ke dalam sistem informasi organisasi.
4. Pengawasan berkelanjutan
Pengawasan berkelanjutan merupakan pengendalian detektif penting yang dapat
menidentifikasi masalah potensial secra tepat waktu.

Pengendalian Korektif
Tiga pengendalian korektif:
1. Pembentukan sebuah tim perespons insiden komputer (computer incident response team -
CIRT)
Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan efektif.
CIRT harus mengarahkan proses respons insiden organisasi melalui 4 tahapan: (1)
Pemberitahuan (recognition) adanya sebuah masalah, (2) Penahanan (containment) masalah,
(3) Pemulihan (recovery), (4) Tindak lanjut (follow up)
2. Pendesainan individu khusus, biasanya disebut dengan Chief Information Security Officer
(CISO) dengan tanggung jawab luas atas keamanan informasi
 Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya. CISO harus
memahami lingkungan teknologi perusahaan dan bekerja dengan Chief Information Officer
(CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan dan prosedur
keamanan yang baik. CISO harus menjadi penilai dan pengevaluasi yang adil di lingkungan
TI. CISO harus memiliki tanggung jawab untuk emmastikan bahwa penilaian kerentanan dan
risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.
3. Manajemen patch
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch
dan memperbaharui seluruh perangkat lunak yang digunakan oleh organisasi. Sejumlah patch
merepresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya patch
terkadang menciptakan masalah baru karena dampak lain yang tidak diantisipasi. Oleh
karena itu organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya

Implikasi Keamanan Virtualisasi Dan Cloud

Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan
berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi cloud memanfaatkan
high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai
menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat
lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah
layanan), perangkat keras (infrastruktur sebagai sebuah layanan), dan seluruh lingkungan
aplikasi (platform sebagai sebuah layanan).
 PENGENDALIAN KERAHASIAAN DAN PRIVASI

Informasi yang dimilik perusahaan tentunya memiliki informasi yang sensitif dan penuh dengan
kekayaan intelektual. Dalam menjaga kerahasiaan kekayaan intelektual yang berisikan
informasi-informasi yang sensitif maka ada empat tidakan dasar yang harus dilakukan untuk
menjaga rahasia informasi tersebut, yaitu:
1. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi
2. Mengenkripsi informasi
3. Mengendalikan akses atas informasi, dan
4. Melatih para pegawai untuk menangani informasi secara tepat.
Menjaga Kerahasiaan
Langkah-langkah dalam yang perlu diperhatikan dalam melindungi kerahasiaan kekayaan
intelektual dan informasi bisnis yang sensitif adalah:
1. Mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya.
2. Mengklasifikasikan informasi untuk organisasi berdasarkan nilainya.

Melindungi Kerahasiaan dengan Enkripsi

Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan dan ini adalah
salah satu cara untuk melindungi informasi dalam lalu lintasnya internet dan juga dapat
membantu memberikan perlindungan apabila informasi yang telah dienkripsi dari orang lain
yang ingin berusaha mencuri informasi tersebut.

Dikarenakan informasi yang telah dienkripsi tersebut hanya dapat diakses oleh user yang
mengenkripsi file tersebut, maka informasi tersebut hanya dapat oleh user itu sendiri dan hanya
bisa dilihat oleh orang lain, namun apabila user meninggalkan informasi yang dalam keadaan
terbuka, maka siapapun yang duduk dihadapan laptop tersebut akan dapat melihat informasi
yang sensitif tersebut, sehingga dalam hal ini masih diperlukan pengendalian akses fisik
diperlukan.
Mengendalikan Akses Terhadap Informasi Sensitif
Untuk melindungi informasi yang sensitif dalam waktu yang relevan dan terus menerus
dibutuhkan maka pengendalain pengendalian autentikasi dan otorisasi perlu dilengkapi dengan
pengendalian akses digital ata fisik tambahan seperti:
1. Information Right Management
Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses
terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin,
cetak, undu, dsb)
2. Data Loss Prevention
Perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok
pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait
dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi.
3. Watermark Digital
Kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi untuk
mengidentifikasi informasi rahasia yang telah diungkapkan.

Pelatihan
Selain melindungi kerahasiaan dengan enkripsi dan memberikan pengendalian akses terhadap
informasi yang sensitif, pelatihan kepada para karyawan perusahaan juga diperlukan, dimana hal
ini bertujuan untuk membuat para karyawan perusahaan mengerti informasi apa saja yang perlu
dirahasiakan dari pihak eksternal maupun yang tidak dan diberikab kepada pihak ekstrnal.

Privasi
Umumnya Prinsip Privasi erat kaitannnya dengan prinsip kerahasiaan, hanya perbedaan
utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan,
pegawai pemasok, atau rekan bisnis daripada pada data keorganisasian.
Pengendalian Privasi
Enkrispsi adalah sebuah pengendalian yang fundamental untuk melindungi privasi informasi
pribadi yang dikumpulkan oleh organisasi. Demi melindungi privasi, organisasi harus
menjalankan program data masking yaitu program yang menggantikan informasi pribadi
semacam itu dengan nilai-nilai palsu (seperti mengganti sebuah nomor keamanan social yang asli
dengan rangkaian nomor yang berbeda yang memiliki karakteristik sama, seperti 123-45-678)
sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Data
Masking juga disebut dengan tokenization.

Permasalahan Privasi
Dalam Privasi terdapat dua permasalahan utama terkait privasi, yaitu:
1. Spam
Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten
serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering
kali jadi target tujuan atas akses tak terotorisasi terhadap daftar dan database e-mail yang
berisi informasi pribadi.
2. Pencurian Identitas
Pencurian identitas yaitu penggunaan tidak sah atas informasi pribadi seseorang demi
keuntungan pelaku. Dan rata-rata pencurian Identitas lebih cenderung untuk mendapatkan
keuntungan ekonomi.

Regulasi Privasi dan Prinsip Yang Diterima Secara Umum

Dalam Regulasi Privasi ini terdapat kerangka yang disebut denga prinsip-prinsip yang diterima
secara umum, diman kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10
praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi
pelanggan yang diantaranya:
1. Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi
informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan
informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.

2. Pemberitahuan
Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya
pada saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para
pelanggan atau segera sesudahnya.
3. Pilihan dan Persetujuan
Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para individu serta
mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan informasi
pribadi mereka.
4. Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi
tujuan yang dinyatakan dalam kebijakan privasinya.
5. Penggunaan dan retensi
Organisasi harus menggunakan informasi pribadi para pelanggan hanya dengan cara yang
dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi
tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis yang
sah.
6. Akses
Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau,
memperbaiki dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga
Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk situasi
dan cara yang sesuai dengan kebijakan privasi organisasi serta hanya kepada pihak ketiga
yang menyediakan tingkatan perlindungan privasi yang sama, sebagaimana organisasi
sebelumnya yang mengumpulkan informasi tersebut.
8. Keamanan
Organisasi harus mengambil langkah-langkah rasional untuk melindungi informasi
pribadi para pelanggannya dari kehilangan atau pengungkapan yang tidak terotorisasi.
9. Kualitas
Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan
prosedur yang memastikan informasi tersebut akurat secara wajar.
10. Pengawasan dan penegakan
Organisasi harus menugaskan satu pegawai atau lebih guna bertanggungjawab untuk
memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.
3. Enkripsi
Enkripsi adalah proses mentransformasikan teks normal (plaintext) ke dalam raban yang tidak
dapat dibaca (chipertext). Deskripsi membalik proses ini, mengubah chipertext kembali
menjadi plaintext.
Enkripsi
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik
kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses mentransformasikan teks
normal yang disebut plaintext ke dalam raban yang tidak dapat dibaca yang disebut chipertext.
Deskripsi (decryption) membalik proses ini, mengubah chipertext ke dalam plaintext.

Dari ilustrasi gambar diatas, menunjukkan bahwa baik enkripsi maupun dekripsi melibatkan
pengunaan sebuah kunci dan alogaritma.
Faktor- Faktor yang Mempengaruhi Kekuatan Enkripsi
1. Panjang Kunci
Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi
jumlah blok-blok berurang pada chipertext. Hal tersebut menjadikannya lebih sulit untuk
menunjukkan pola-pola chipertext yang merefleksikan pola-pola plaintext asli.
 2. Alogaritme Enkripsi
Algoritma Enkripsi adalah proses mengacak data sehingga tidak dapat dibaca oleh pihak
lain. Jenis Alogaritme yang digunakan untuk mengombinasikan kunci dan plaintext
adalah sangat penting. Sebuah Alogaritme yang rumit bukannya tidak mungkin untuk
dirusak dengan teknik penebakabn brutal.
3. Kebijakan untuk Mengelola kunci Kriptografi
Kriptografi merupakan ilmu dan seni untuk menjaga kerahasiaan berita agar tetap aman.
Manajemen kunci kriptografi sering kali merupakan aspek yang paling rentan dari sistem
enkripsi, kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian
akses yang kuat : (1) Tidak menyimpan kunci kriptografi di dalam sebuah browser atau
file lain yang dapat diakses oleh pengguna lain dari sistem tersebut (2) menggunakan
sebuah frasa sandi yang kuat dan panjang untuk melindungi kunci.
Jenis-Jenis Sistem Enkripsi

Pada dua jenis sistem enkripsi, hilang atau dicurinya kunci enkripsi merupakan ancaman besar.
Jika kunci hilang, informasi yang dienkripsi tidak dapat dipulihkan. Salah satu solusi untuk
ancaman ini adalah menggunakan perangkat lunak enkripsi yang menciptakan sebuah kunci
utama built-in yang dapat digunakan untuk mendekripsi apa saja yang dienkripsi oleh perangkat
lunak tersebut. Alternatif lainnya dengan key escrow yaitu pembuatan salinan dari seluruh kunci
enkripsi yang digunakan oleh para pegawai dan menyimpan salinana tersebut dengan aman.

Hashing
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode
singkat yang disebut hash.

Tanda Tangan Digital

Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci privat milik pembuat
hash.
Menciptakan Sebuah Tanda Tangan Digital :

Nonrepudiation adalah menciptakan persetujuan yang terikat secara hukum yang tidak dapat
ditolak secara unilateral oleh kedua pihak. Bisnis memperoleh tingkat keabsahan transaksi
digital dengan sebuah dokumen yang ditandatangani dengan digital menggunakan hashing
maupun enkripsi asimetris untuk menciptakan tanda tangan yang terikat secara legal atau hukum.

Sertifikat Digital dan Infrastruktur Kunci Publik

Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik entitas
dan menerangkan identitas pemilik kunci publik tersebut. Contoh : SIM dan paspor diterbitkan
oleh pihak independen yang terpercaya dan menggunakan sistem hologram serta watermark
untuk membuktikan keasliannya.
Otoritas Sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan privat serta
mencatat kunci publik di dalam sertifikat digital. Contoh : Thawte Inc sebagai salah satu
perusahaan otoritas sertifikat komersial, menciptakan SSL (Secure Socket Layer) untuk e-
business.
Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik dan privat
serta sertifikat digital terkait. Sistem ini berkaitan dengan penjaminan otoritas sertifikat yang
menerbitkan kunci dan sertifikat.

Virtual Private Network (VPN)

Cara kerja VPN ibarat seperti membuat jaringan di dalam jaringan atau biasa disebut tunneling.
Tunneling adalah suatu cara untuk membuat jalur koneksi secara privat dengan menggunakan
infrastruktur jaringan lain. Pada dasarnya VPN juga membutuhkan sebuah server sebagai
penghubung dan pengatur antar client. 2 Jenis Dasar VPN :
1. SSL – protokol yang menghasilkan simbol kunci familiar kapanpun anda terlibat dalam
kegiatan belanja atau perbankan online.
2. IPSec – sebuah versi protokol IP yang memasukkan enkripsi ke dalam proses penciptaan
paket IP.
 CONTOH KASUS
1. Pencurian dan penggunaan account internet milik orang lain. Pencurian account ini berbeda
dengan pencurian secara fisik karena pencurian dilakukan cukup dengan menangkap “user_id”
dan “ password ” saja. Tujuan dari pencurianitu hanya untuk mencuri informasi saja. Pihak yang
kecurian tidak akan merasakan kehilangan. Namun, efeknya akan terasa jika informasi tersebut
digunakan oleh pihak yang tidak bertanggung jawab. Hal tersebut akan membuat semua beban
biaya penggunaan account oleh si pencuri dibebankan kepada si pemilik account yang
sebenarnya. Kasus ini banyak terjadi di ISP ( Internet Service Provider). Kasus yang pernah
diangkat adalah penggunaan account curian yang dilakukan oleh dua Warnet di Bandung.
Kasus lainnya: Dunia perbankan dalam negeri juga digegerkan dengan ulah Steven Haryanto,
yang membuat situs asli tetapi palsu layanan perbankan lewat Internet BCA. Lewat situs-situs
“Aspal”, jika nasabah salah mengetik situs asli dan masuk ke situs-situs tersebut, identitas
pengguna (user ID) dan nomor identifikasi personal (PIN) dapat ditangkap. Tercatat 130 nasabah
tercuri data-datanya, namun menurut pengakuan Steven pada situs Master Web Indonesia,
tujuannya membuat situs plesetan adalah agar publik memberi perhatian pada kesalahan
pengetikan alamat situs, bukan mengeruk keuntungan. Persoalan tidak berhenti di situ. Pasalnya,
banyak nasabah BCA yang merasa kehilangan uangnya untuk transaksi yang tidak dilakukan.
Ditengarai, para nasabah itu kebobolan karena menggunakan fasilitas Internet banking lewat
situs atau alamat lain yang membuka link ke Klik BCA, sehingga memungkinkan user ID dan
PIN pengguna diketahui. Namun ada juga modus lainnya, seperti tipuan nasabah telah
memenangkan undian dan harus mentransfer sejumlah dana lewat Internet dengan cara yang
telah ditentukan penipu ataupun saat kartu ATM masih di dalam mesin tiba-tiba ada orang lain
menekan tombol yang ternyata mendaftarkan nasabah ikut fasilitas Internet banking, sehingga
user ID dan password diketahui orang tersebut. Modus kejahatan ini adalah penyalahgunaan
user_ID dan password oleh seorang yang tidak punya hak. Motif kegiatan dari kasus ini
termasuk ke dalam cybercrime sebagai kejahatan“abu-abu”. Kasus cybercrime ini merupakan
jenis cybercrime uncauthorized access dan hacking-cracking. Sasaran dari kasus ini termasuk ke
dalam jenis cybercrime menyerang hak milik (against property). Sasaran dari kasus kejahatan ini
adalah cybercrime menyerang pribadi (against person).
Beberapa solusi untuk mencegah kasus di atas adalah:
 Penggunaan enkripsi untuk meningkatkan keamanan. Penggunaan enkripsi yaitu dengan
mengubah data-data yang dikirimkan sehingga tidak mudah disadap (plaintext diubah
menjadi chipertext). Untuk meningkatkan keamanan authentication (pengunaan user_id
dan password), penggunaan enkripsi dilakukan pada tingkat socket. Hal ini akan
membuat orang tidak bias menyadap data atau transaksi yang dikirimkan dari/ke server
WWW. Salah satu mekanisme yang popular adalah dengan menggunakan Secure Socket
Layer (SSL) yang mulanya dikembangkan oleh Nerscape. Selain server WWW dari
netscape, server WWW dari Apache juga dapat dipakai karena dapat dikonfigurasikan
agar memiliki fasilitas SSL dengan menambahkan software tambahan, sperti open SSL.
 Penggunaan Firewall Tujuan utama dari firewall adalah untuk menjaga agar akses dari
orang tidak berwenang tidak dapat dilakukan. Program ini merupakan perangkat yang
diletakkan antara internet dengan jaringan internal. Informasi yang keluar dan masuk
harus melalui atau melewati firewall. Firewall bekerja dengan mengamati paker Intenet
Protocol (IP) yang melewatinya.
 Perlunya CyberLaw Cyberlaw merupakan istilah hukum yang terkait dengan
pemanfaatan TI. Istilah lain adalah hukum TI (Low of IT), Hukum Dunia Maya (Virtual
World Law) dan hukum Mayantara.
 Melakukan pengamanan sistem melalui jaringan dengan melakukan pengaman FTP,
SMTP, Telnet dan pengaman Web Server.

2. Penyerangan terhadap jaringan internet KPU Jaringan internet di Pusat Tabulasi Nasional
Komisi Pemilihan Umum sempat down (terganggu), beberapa kali. KPU menggandeng
kepolisian untuk mengatasi hal tersebut. Cybercrime kepolisian juga sudah membantu. Domain
kerjasamanya antara KPU dengan kepolisian”, kata Ketua Tim Teknologi Informasi KPU, Husni
Fahmi di Kantor KPU, Jalan Imam Bonjol, Menteng , Jakarta Pusat (15 April 2009). Menurut
Husni, tim kepolisian pun sudah mendatangi Pusat Tabulasi Nasional KPU di Hotel Brobudur di
Hotel Brobudur, Jakarta Pusat. Mereka akan mengusut adanya dugaan kriminal dalam kasus
kejahatan dunia maya dengan cara meretas. “Kamu sudah melaporkan semuanya ke KPU.
Cybercrime sudah datang,” ujarnya. Sebelumnya, Husni menyebut sejak tiga hari dibuka, Pusat
Tabulasi berkali-kali diserang oleh peretas.” Sejak hari lalu dimulainya perhitungan tabulasi,
samapai hari ini kalau dihitung-hitung, sudah lebuh dari 20 serangan”, kata Husni, Minggu(12/4).
Seluruh penyerang itu sekarang, kata Husni, sudah diblokir alamat IP-nya oleh PT. Telkom. Tim
TI KPU bias mengatasi serangan karena belajar dari pengalamn 2004 lalu. “Memang sempat ada
yang ingin mengubah tampilan halaman tabulasi nasional hasil pemungutan suara milik KPU.
Tetapi segera kami antisipasi.” Kasus di atas memiliki modus untuk mengacaukan proses
pemilihan suara di KPK. Motif kejahatan ini termasuk ke dalam cybercrime sebagai tindakan
murni kejahatan. Hal ini dikarenakan para penyerang dengan sengaja untuk melakukan
pengacauan pada tampilan halaman tabulasi nasional hasil dari Pemilu. Kejahatan kasus
cybercrime ini dapat termasuk jenis data forgery, hacking-cracking, sabotage and extortion,
atau cyber terorism. Sasaran dari kasus kejahatan ini adalah cybercrime menyerang pemerintah
(against government) atau bisa juga cybercrime menyerang hak milik (against property).

Beberapa cara untuk menanggulangi dari kasus:

 Kriptografi : seni menyandikan data. Data yang dikirimkan disandikan terlebih dahulu
sebelum dikirim melalui internet. Di komputer tujuan, data dikembalikan ke bentuk
aslinya sehingga dapat dibaca dan dimengerti oleh penerima. Hal ini dilakukan supaya
pihak-pihak penyerang tidak dapat mengerti isi data yang dikirim.
 Internet Farewell: untuk mencegah akses dari pihak luar ke sistem internal. Firewall
dapat bekerja dengan 2 cara, yaotu menggunakan filter dan proxy. Firewall filter
menyaring komunikasi agar terjadi seperlunya saja, hanya aplikasi tertentu saja yang
bisa lewat dan hanya komputer dengan identitas tertentu saja yang bisa berhubungan.
Firewall proxy berarti mengizinkan pemakai dalam untuk mengakses internet seluas-
luasnya, tetapi dari luar hanya dapat mengakses satu komputer tertentu saja.
 Menutup service yang tidak digunakan.
 Adanya sistem pemantau serangan yang digunakan untuk mengetahui adanya
tamu/seseorang yang tak diundang (intruder) atau adanya serangan (attack).
 Melakukan back up secara rutin.
 Adanya pemantau integritas sistem. Misalnya pada sistem UNIX adalah program tripwire.
Program ini dapat digunakan untuk memantau adanya perubahan pada berkas.
 Perlu adanya cyberlaw : Cybercrime belum sepenuhnya terakomodasi dalam peraturan /
Undang-undang yang ada, penting adanya perangkat hukum khusus mengingat karakter
dari cybercrime ini berbeda dari kejahatan konvensional.
 Perlunya Dukungan Lembaga Khusus: Lembaga ini diperlukan untuk memberikan
informasi tentang cybercrime, melakukan sosialisasi secara intensif kepada masyarakat,
serta melakukan riset-riset khusus dalam penanggulangan cybercrime.