PENGENDALIAN KERAHASIAAN DAN PRIVASI

KELAS “A” AKUNTANSI

Disusun Oleh :

Aldo Pradana Kusuma (1513010018)

Putra Dianda Pratama (1513010021)

Muhammad Amrizal Umam (1513010039)

Rochmad Prasetyo (1513010040)

Syaifullah Yusuf (1513010104)

Universitas Pembangunan Nasional “Veteran”

Jawa Timur

2017
 PENGENDALIAN KERAHASIAAN DAN PRIVASI

1) Pendahuluan
Informasi yang dimilik perusahaan tentunya memiliki informasi yang sensitif dan penuh
dengan kekayaan intelektual. Dalam menjaga kerahasiaan kekayaan intelektual yang berisikan
informasi-informasi yang sensitif maka ada empat tidakan dasar yang harus dilakukan untuk
menjaga rahasia informasi tersebut, yaitu:
 Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi
 Mengenkripsi informasi
 Mengendalikan akses atas informasi, dan
 Melatih para pegawai untuk menangani informasi secara tepat.

2) Menjaga Kerahasiaan
Langkah-langkah dalam yang perlu diperhatikan dalam melindungi kerahasiaan kekayaan
intelektual dan informasi bisnis yang sensitif adalah:
 Mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya.
 Mengklasifikasikan informasi untuk organisasi berdasarkan nilainya.
a) Melindungi Kerahasiaan dengan Enkripsi
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan dan ini
adalah salah satu cara untuk melindungi informasi dalam lalu lintasnya internet dan juga
dapat membantu memberikan perlindungan apabila informasi yang telah dienkripsi dari
orang lain yang ingin berusaha mencuri informasi tersebut.
Dikarenakan informasi yang telah dienkripsi tersebut hanya dapat diakses oleh user
yang mengenkripsi file tersebut, maka informasi tersebut hanya dapat oleh user itu sendiri
dan hanya bisa dilihat oleh orang lain, namun apabila user meninggalkan informasi yang
dalam keadaan terbuka, maka siapapun yang duduk dihadapan laptop tersebut akan dapat
melihat informasi yang sensitif tersebut, sehingga dalam hal ini masih diperlukan
pengendalian akses fisik diperlukan.
b) Mengendalikan Akses Terhadap Informasi Sensitif
 Untuk melindungi informasi yang sensitif dalam waktu yang relevan dan terus menerus
dibutuhkan maka pengendalain pengendalian autentikasi dan otorisasi perlu dilengkapi
dengan pengendalian akses digital ata fisik tambahan seperti:
 Information Right Management
Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses
terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca,
salin, cetak, undu, dsb)
 Data Loss Prevention
Perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok
pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait
dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi.
 Watermark Digital
Kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi untuk
mengidentifikasi informasi rahasia yang telah diungkapkan.
c) Pelatihan
Selain melindungi kerahasiaan dengan enkripsi dan memberikan pengendalian akses
terhadap informasi yang sensitif, pelatihan kepada para karyawan perusahaan juga
diperlukan, dimana hal ini bertujuan untuk membuat para karyawan perusahaan mengerti
informasi apa saja yang perlu dirahasiakan dari pihak eksternal maupun yang tidak dan
diberikab kepada pihak ekstrnal.

3) Privasi
Umumnya Prinsip Privasi erat kaitannnya dengan prinsip kerahasiaan, hanya perbedaan
utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan,
pegawai pemasok, atau rekan bisnis daripada pada data keorganisasian.
a) Pengendalian Privasi
Enkrispsi adalah sebuah pengendalian yang fundamental untuk melindungi privasi
informasi pribadi yang dikumpulkan oleh organisasi. Demi melindungi privasi, organisasi
harus menjalankan program data masking yaitu program yang menggantikan informasi
pribadi semacam itu dengan nilai-nilai palsu (seperti mengganti sebuah nomor keamanan
social yang asli dengan rangkaian nomor yang berbeda yang memiliki karakteristik sama,
 seperti 123-45-678) sebelum mengirimkan data tersebut kepada pengembang program dan
sistem pengujian. Data Masking juga disebut dengan tokenization.
b) Permasalahan Privasi
Dalam Privasi terdapat dua permasalahan utama terkait privasi, yaitu:
 Spam
Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten
serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering
kali jadi target tujuan atas akses tak terotorisasi terhadap daftar dan database e-mail
yang berisi informasi pribadi.
 Pencurian Identitas
Pencurian identitas yaitu penggunaan tidak sah atas informasi pribadi seseorang demi
keuntungan pelaku. Dan rata-rata pencurian Identitas lebih cenderung untuk
mendapatkan keuntungan ekonomi.
c) Regulasi Privasi dan Prinsip Yang Diterima Secara Umum
Dalam Regulasi Privasi ini terdapat kerangka yang disebut denga prinsip-prinsip yang
diterima secara umum, diman kerangka tersebut mengidentifikasi dan mendefinisikan
pelaksanaan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi
informasi pribadi pelanggan yang diantaranya:
 Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi
informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan
informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro
kredit.
 Pemberitahuan
Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya
pada saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para
pelanggan atau segera sesudahnya.
 Pilihan dan Persetujuan
Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para individu
serta mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan
informasi pribadi mereka.
  Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi
tujuan yang dinyatakan dalam kebijakan privasinya.
 Penggunaan dan retensi
Organisasi harus menggunakan informasi pribadi para pelanggan hanya dengan cara
yang dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi
tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis
yang sah.
 Akses
Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau,
memperbaiki dan menghapus informasi pribadi yang tersimpan mengenai mereka.
 Pengungkapan kepada pihak ketiga
Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk situasi
dan cara yang sesuai dengan kebijakan privasi organisasi serta hanya kepada pihak
ketiga yang menyediakan tingkatan perlindungan privasi yang sama, sebagaimana
organisasi sebelumnya yang mengumpulkan informasi tersebut.
 Keamanan
Organisasi harus mengambil langkah-langkah rasional untuk melindungi informasi
pribadi para pelanggannya dari kehilangan atau pengungkapan yang tidak terotorisasi.
 Kualitas
Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan
prosedur yang memastikan informasi tersebut akurat secara wajar.
 Pengawasan dan penegakan
Organisasi harus menugaskan satu pegawai atau lebih guna bertanggungjawab untuk
memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.

4) Enkripsi
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik
kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses mentransformasikan teks
normal yang disebut plaintext ke dalam raban yang tidak dapat dibaca yang disebut chipertext.
Deskripsi (decryption) membalik proses ini, mengubah chipertext ke dalam plaintext.
Dari ilustrasi gambar diatas, menunjukkan bahwa baik enkripsi maupun dekripsi melibatkan
pengunaan sebuah kunci dan alogaritma.
a) Faktor- Faktor yang Mempengaruhi Kekuatan Enkripsi
 Panjang Kunci
Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi
jumlah blok-blok berurang pada chipertext. Hal tersebut menjadikannya lebih sulit
untuk menunjukkan pola-pola chipertext yang merefleksikan pola-pola plaintext asli.
 Alogaritme Enkripsi
Algoritma Enkripsi adalah proses mengacak data sehingga tidak dapat dibaca oleh
pihak lain. Jenis Alogaritme yang digunakan untuk mengombinasikan kunci dan
plaintext adalah sangat penting. Sebuah Alogaritme yang rumit bukannya tidak
mungkin untuk dirusak dengan teknik penebakabn brutal.
 Kebijakan untuk Mengelola kunci Kriptografi
 Kriptografi merupakan ilmu dan seni untuk menjaga kerahasiaan berita agar tetap
aman. Manajemen kunci kriptografi sering kali merupakan aspek yang paling rentan
dari sistem enkripsi, kriptografi harus disimpan secara aman dan dilindungi dengan
pengendalian akses yang kuat : (1) Tidak menyimpan kunci kriptografi di dalam sebuah
browser atau file lain yang dapat diakses oleh pengguna lain dari sistem tersebut (2)
menggunakan sebuah frasa sandi yang kuat dan panjang untuk melindungi kunci.
b) Jenis-Jenis Sistem Enkripsi

Pada dua jenis sistem enkripsi, hilang atau dicurinya kunci enkripsi merupakan ancaman
besar. Jika kunci hilang, informasi yang dienkripsi tidak dapat dipulihkan. Salah satu solusi
untuk ancaman ini adalah menggunakan perangkat lunak enkripsi yang menciptakan
sebuah kunci utama built-in yang dapat digunakan untuk mendekripsi apa saja yang
dienkripsi oleh perangkat lunak tersebut. Alternatif lainnya dengan key escrow yaitu
pembuatan salinan dari seluruh kunci enkripsi yang digunakan oleh para pegawai dan
menyimpan salinana tersebut dengan aman.
c) Hashing
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah
kode singkat yang disebut hash.
d) Tanda Tangan Digital
Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci privat milik
pembuat hash.
Menciptakan Sebuah Tanda Tangan Digital :

Nonrepudiation adalah menciptakan persetujuan yang terikat secara hukum yang tidak
dapat ditolak secara unilateral oleh kedua pihak. Bisnis memperoleh tingkat keabsahan
transaksi digital dengan sebuah dokumen yang ditandatangani dengan digital
menggunakan hashing maupun enkripsi asimetris untuk menciptakan tanda tangan yang
terikat secara legal atau hukum.
e) Sertifikat Digital dan Infrastruktur Kunci Publik
Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik
entitas dan menerangkan identitas pemilik kunci publik tersebut. Contoh : SIM dan paspor
diterbitkan oleh pihak independen yang terpercaya dan menggunakan sistem hologram
serta watermark untuk membuktikan keasliannya.
 Otoritas Sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan
privat serta mencatat kunci publik di dalam sertifikat digital. Contoh : Thawte Inc sebagai
salah satu perusahaan otoritas sertifikat komersial, menciptakan SSL (Secure Socket Layer)
untuk e-business.
Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik
dan privat serta sertifikat digital terkait. Sistem ini berkaitan dengan penjaminan otoritas
sertifikat yang menerbitkan kunci dan sertifikat.
f) Virtual Private Network (VPN)
Cara kerja VPN ibarat seperti membuat jaringan di dalam jaringan atau biasa disebut
tunneling. Tunneling adalah suatu cara untuk membuat jalur koneksi secara privat dengan
menggunakan infrastruktur jaringan lain. Pada dasarnya VPN juga membutuhkan sebuah
server sebagai penghubung dan pengatur antar client. 2 Jenis Dasar VPN :
 SSL – protokol yang menghasilkan simbol kunci familiar kapanpun anda terlibat dalam
kegiatan belanja atau perbankan online.
 IPSec – sebuah versi protokol IP yang memasukkan enkripsi ke dalam proses
penciptaan paket IP.