TUGAS SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Chapter 9

Nama : Grace Laurensia

PPA 2019
Universitas Tarumanagara
1. Menjaga Kerahasiaan
Organisasi memiliki segudang informasi sensitif, termasuk rencana strategis, rahasia
dagang, informasi biaya, dokumen hukum, dan perbaikan proses. Kekayaan intelektual
ini sering sangat penting untuk keunggulan kompetitif jangka panjang dan kesuksesan
organisasi. Karena itu, menjaga kerahasiaan kekayaan intelektual organisasi, dan
sejenisnya informasi yang dibagikan kepadanya oleh mitra bisnisnya, telah lama diakui
sebagai tujuan dasar keamanan informasi.
Kekayaan Intelektual terdiri dari:

 Rencana Strategis Perusahaan

 Rahasia Dagang

 Informasi Biaya

 Dokumen Legal

 Pengembangan Bisnis Perusahaan

 Segala informasi yang harus dijaga kerahasiaannya

Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas
informasi sensitif:

 Mengidentifikasi dan Klasifikasi Informasi Untuk Dilindungi

 Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan
informasi bisnis sensitif lainnya adalah mengidentifikasi letak informasi
tersebut disimpan dan orang yang mengaksesnya. Sebagai contoh,
perusahaan manufaktur biasanya menggunakan otomatisasi pabrik
berkala besar. Sistem-sistem tersebut memuat instruksi yang mungkin
memberikan keunggulan biaya signifikan atau peningkatan kualitas
produk dibanding pesaing, sehingga baru di lindungi dari pengungkapan
yang tidak diotorisasi-penggelapan.

 Melindungi Kerahasiaan dengan Enkripsi

 Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi
kerahasiaan, cara untuk melindungi informasi dalam lintasanya melalui
internet. Pengenkripsian informasi yang disimpan dalam cloud publik,
melindunginya dari akses tarotorisasi yang dilakukan oleh para pegawai
penyedia layanan cloud atau orang lain yang menggunakan cloud yang
sama. Sebagi contoh, enkripsi disk yang menyeluruh akan melindungi
 informasi yang tersimpan di laptop saat laptop tersebut hilang atau dicuri.
Orang yang mencuri atau menemukan laptop tersebut tidak dapat
membaca informasi yang dienkripsi, kecuali ia dapat masuk sebagai
pemilik sah. Itulah mengapa auntetikasi diperlukan.

 Mengendalikan Akses terhadap Informasi Sensitif

 Information Right Management (IRM) Perangkat lunak yang menawarkan
kemampuan tidak hanya untuk membatasi akses terhadap file atau
dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin,
cetak, unduh, dsb) Individu yang diberi akses terhadap sumber daya
tersebut agar dapat melakukannya. Beberapa perangkat lunak IRM
bahkan memiliki kemampuan untuk membatasi bahkan memiliki
kemampuan akses untuk periode waktu tertentu, dan menghapus file
yang dilindungi dari jarak jauh.

 Pelatihan
 Pelatihan adalah pengendalian yang paling penting untuk melindungi
kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat
mereka bagikan dengan orang luar dan jenis informasi yang perlu
dilindungi.
2. Privasi
Prinsip privasi erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu ia
lebih fokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai,
pemasok, atau rekan bisnis daripada data keorganisasian.

 Pengendalian Informasi
Data masking: sebuah program yang melindungi privasi dengan mengganti
informasi pribadi dengan nilai-nilai palsu.
Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas:
1. Spam
 Spam adalah email yang tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Spam merupakan permasalahan yang terkait
privasi, karena penerimaan sering kali menjadi menjadi target tujuan tak
terotorisasi terhadap daftar dan database email yang berisi informasi
pribadi. Volume spam melebihi banyaknya sistem e-mail. Spam tidak
hanya mengurangi manfaat efisiensi e-mail, tetapi juga merupakan
sebuah sumber dari banyaknya virus, worm, program spyware dan jenis-
 jenis malware lainnya. Perusahaan harus mengikuti panduan dari
Controlling the Assault of Non-Solicited Pornography and Marketing
(CAM-SPAM) atau risiko sanksinya. Ketentuan utamanya meliputi:
 identitas pengirim harus ditampilkan dengan jelas di header pesan.
 field subjek pada header harus mengidentifikasikan dengan jelas
pesan sebagai contoh periklanan atau permintaan.
 bagian isi pesan harus menyediakan penerima dengan sebuah tautan
aktif yang dapat digunakan untuk memilih keluar dari e-mail di masa
depan.
 bagian isi pesan harus menyertakan alamat pos pengirim yang valid.
 organisasi tidak boleh mengirim e-mail komersial ke alamat-alamat
yang diperoleh secara acak dan tidak boleh membuat situs yang di
desain untuk "mengambil" alamat e-mail dari calon pelanggan.
2. Pencurian Identitas
 Pencurian Identitas yaitu penggunaan tidak sah atas informasi pribadi
seseorang dami keuntungan pelaku. Pencurian identitas menggunakan
identitas seseorang, biasanya untuk keuntungan ekonomi.

 Regulasi Privasi dan Prinsip-Prinsip Privasi yang Diterima Secara Umum

Sepuluh praktik terbaik yang diakui internasional untuk melindungi privasi
informasi pribadi para pelanggan:
1. Manajemen.
 Organisasi harus membuat satu set prosedur dan kebijakan untuk
melindungi privasi informasi pribadi.
2. Pemberitahuan
 Organisasi harus memberikan pemberitahuan tentang kebijakan dan
praktik privasinya pada saat/ sebelum mengumpulkan informasi.
3. Pilihan dan persetujuan
 Organisasi harus menjelaskan pilihan-pilihan yang tersedia kepada para
individu dan juga harus mendapat persetujuan sebelum mengumpulkan
atau menggunakan informasi pribadi mereka.
4. Pengumpulan
  Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk
memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. Cookie
adalah sebuah file teks yang diciptakan oleh sebuah situs web dan
disimpan dalam hard drive pengunjung. Cookie menyimpan informasi
mengenai siapa pengguna tersebut dan tindakan yang telah dilakukan
pengguna di situs tersebut.
5. Penggunaan dan retensi
 Organisasi harus menggunakan informasi pribadidengan cara
dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan
informasi tersebut selama informasi tersebut diperlukan.
6. Akses
 Organisasi harus memberikan akses para penggunaannya, meninjau,
memperbaiki, menghapus informasi pribadi yang tersimpan mengenai
mereka.
7. Pengungkapan kepada Pihak Ketiga
 Organisasi Organisai harus mengungkapkan informasi pribadi
pelanggannya hanya untu situasi tertentu dan cara yang sesuai dengan
kebijakan privasi organisasi dan pihak ketiga harus menjamin tingkat
perlindungan privasi yang sama.
8. Keamanan
 Organisasi haus melindungi informasi pribadi pelanggan dari kehilangan
yang tak terotorisasi.
9. Kualitas
 Organisasi harus mejaga integritas informasi pribadi pelanggannya
menggunakan prosedur yang memastikan informasi terseut akurat secara
wajar.
10. Pengawasan dan Penegakan
 Organisasi harus menugaskna suatu pegawai atau lebih guna
bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan
privasi yang dinayatakan.
3. Enkripsi
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi
hak kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan melalui
internet dan juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh
seorang penyusup yang telah mendapatkan akeses tak terotorisasi atas informasi yang
disimpan.
Faktor-Faktor yang Memengaruhi kekuatan Enkripsi:
1. Panjang Kunci
 Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan
mengurangi jumlah blok-blok berulang pada chipertext.
2. Alogartime Enkripsi
 Jenis Alogaritime yang digunakan untuk mengombinasikan kunci dan plaintext
adalah sangat penting. Sebuah Alogaritime kuat yang rumit, bukannya tidak
mungkin untuk dirusak dengan menggunakan teknik penebakan paksaan brutal.
3. Kebijakan untuk Mengelola Kunci Kriptografi
 Kunci Kriptografi harus disimpan secara aman dan dilindungi dengan
pengendalian akses yang kuat. Praktik-praktik terbaik meliputi: (1) tidak
menyimpan kriptografi didalam sebuah browser atau file lain yang dapat diakses
oleh pengguna lain dari sistem tersebut. (2) menggunkan frasa sandi yang kuat
dan panjang untuk melindungi kunci.
Jenis-Jenis Sistem Enkripsi:
1. Sistem Enkripsi Simetris adalah Sistem Enkripsi yang menggunakan kunci yang sama
untuk mengenkripsi dan mendeskripsi
2. Sistem Enkripsi Asimetris adalah Sistem Enkripsi yang menggunakan dua kunci (satu
publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hnaya kunci
pencocokan lainnya yang dapat mendekripsi.
3. Kunci publik (public key) adalah salah satu kunci yang digunakan dalam sistem
enkripsi asimetris. Kunci ini didistribusikan secara luas dan tersedia bagi siapa pun.
 4. Kunci privat (private key) adalah salah satu kunci yang digunakan pada sistem
enkripsi asimetris. Kunci ini dirahasiakan dan diketahui hanya oleh pemilik dari
sepasang kunci publik dan privat.
5. Key escrow adalah proses penyimpanan sebuah salinan kunci enkripsi dalam
lokasi yang aman.
Berikut perbandingan sistem enkripsi simetris dan asimetris:

4. Hashing
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan
sebuah kode singkat yang disebut hash.
Hash adalah plaintext yang telah diubah menjadi kode singkat.
 Berikut perbandingan antara hashing dan enkripsi:

5. Tanda Tangan Digital

Nonrepudiation: menciptakan persetujuan yang terikat secara hukum yang tidak dapat
ditolak secara unilateral oleh kedua pihak.
Tanda tangan digital (digital signature): sebuah hash yang dienkripsi dengan kunci privat
milik pembuat hash.
Berikut langkah menciptakan sebuah tanda tangan digital:
 Berikut contoh penggunaan tanda tangan digital:

6. Sertifikat Digital dan Infrastruktur Kunci Publik

Sertifikat digital (digital certificate): sebuah dokumen elektronik yang mengandung kunci
publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.
Otoritas sertiifikat (certificate authority): sebuah organisasi yang menerbitkan kunci
publik dan privat serta mencatat kunci publik di dalam sertifikat digital.
Infrastruktur kunci publik (public key infrastructure - PKI): sistem untuk menerbitkan
sepasang kunci publik dan privat serta sertifikat digital terkait.
 7. Virtual Private Network (VPN)
Virtual private network (VPN): menggunakan enkripsi dan autentikasi untuk mentransfer
informasi melalui internet dengan aman sehingga menciptakan sebuah jaringan privat
"virtual".
Berikut VPN:

Contoh Kasus
Jason Scott sedang mempersiapkan pertemuannya dengan kepala petugas keamanan
informasi Industri Northwest (CISO). Meskipun Jason puas dengan kebijakan dan prosedur
keamanan komputer Northwest Industries dalam memberi perusahaan perlindungan yang
memadai terhadap intrusi, ia prihatin dengan aspek keandalan sistem lainnya. Secara khusus,
dia ingin mengetahui apa yang dilakukan Northwest Industries untuk mengatasi masalah
berikut:
1. Melindungi kerahasiaan informasi perusahaan yang sensitif, seperti pemasaran rencana
dan rahasia dagang.
2. Melindungi privasi informasi pribadi yang dikumpulkannya dari pelanggan, karyawan,
pemasok, dan mitra bisnis
Jason berencana untuk menggunakan wawancaranya dengan CISO untuk mendapatkan
pemahaman umum tentang CISO kontrol sistem informasi perusahaan untuk melindungi
kerahasiaan dan privasi. Dia kemudian berencana untuk menindaklanjuti dengan
mengumpulkan bukti tentang efektivitas kontrol tersebut.
Jason Scott mengulas apa yang telah ia pelajari tentang sistem informasi Northwest Industries
kontrol untuk melindungi kerahasiaan dan privasi. Informasi rahasia tentang bisnis paket dan
informasi pribadi yang dikumpulkan dari pelanggan dienkripsi dalam penyimpanan dan kapan
pun itu dikirimkan melalui Internet. Laptop karyawan dikonfigurasikan dengan Perangkat lunak
VPN sehingga mereka dapat dengan aman mengakses sistem informasi perusahaan saat
mereka bekerja di rumah atau saat bepergian untuk urusan bisnis. Northwest Industries
menggunakan kunci sistem escrow untuk mengelola kunci enkripsi; Jason telah menguji dan
memverifikasi bahwa itu berhasil seperti yang direncanakan. CISO telah menggunakan GAPP
untuk mengembangkan prosedur untuk melindungi informasi pribadi dikumpulkan dari
pelanggan. Jason memverifikasi bahwa karyawan menerima pelatihan terperinci pada
bagaimana menangani informasi seperti itu ketika awalnya disewa dan dihadiri "penyegaran"
wajib kursus setiap 6 bulan. Otentikasi multifactor digunakan untuk mengontrol akses ke
perusahaan basis data. Jason juga memverifikasi bahwa Northwest Industries menandatangani
transaksi secara digital dengan mitra bisnisnya dan mengharuskan pelanggan untuk
menandatangani secara digital semua pesanan itu melebihi $ 10.000.
Berdasarkan laporannya, pengawas Jason dan CIO puas dengan tindakan Northwest Industries
untuk melindungi kerahasiaan dan privasi. Mereka meminta Jason selanjutnya untuk
memeriksa kontrol tersedia untuk mencapai dua prinsip sisa keandalan sistem dalam Kerangka
Layanan Trust AICPA: integritas dan ketersediaan pemrosesan.