TUGAS KELOMPOK

Disusun Oleh :

Kelompok 6

Nama Anggota :

1. Briandena Silvania Sestiani (1801035012)

2. Chinndy Ivana (1801035015)
3. Retno Tri Utami (1801035033)
4. Nurhalisa. S (1801035176)
5. Pany Aprilia (1801035220)
6. Sri Hastutik (1801035182)
7. Cynthia Pongliku (1801035044)
8. Lela Istyana Nur Fitraratri (1801035030)

Kelas AK/C R.14 Selasa jam 13.00

Mata Kuliah: Sistem Informasi Akuntansi

Pertemuan: 10 (Sepuluh)

BAB 9 : Pengendalian Kerahasiaan dan Privasi

REFERENSI :

Romney, Marshall & Paul John. 2014. Sistem Informasi Akuntansi. Jakarta:
Salemba Empat.
https://www.academia.edu/10161164/Pengendalian_Kerahasiaan_dan_Privasi?auto=
download

https://purnamiap.blogspot.com/2017/01/rmk-pengendalian-kerahasiaan-dan-
privasi.html

http://ilhamadityagnw.blogspot.com/2019/01/bab-9-pengendalian-kerahasiaan-
privasi_9.html?m=1

Dosen Pengampu: Muhammad Iqbal

 PENDAHULUAN

A. Pengertian Pengendalian Kerahasiaan dan Privasi

Manajemen mengidentifikasi informasi yang sensitif dan perlu untuk
dilindungi dari pengungkapan tidak sah. Biasanya hal-hal yang masuk di
dalamnya adalah rencana bisnis, strategi harga, dan dokumen resmi. Menjaga
kerahasiaan kekayaan intelektual organisasi dan informasi serupa yang dibagi
(shared) dengan rekan bisnis, telah lama dikenan sebagai sebuah tujuan utama
keamanan informasi. Empat tindakan dasar yang harus dilakukan untuk
menjaga kerahasiaan atas informasi sensitif yaitu :
1. Identifikasi dan klasifikasi informasi untuk dilindungi
Langkah pertama untuk melindungi kerahasiaan kekayaan
intelektual dan informasi bisnis sensitif lainnya aadalah
mengidentifikasi letak informasi tersebut disimpan dan orang yang
mengaksesnya. Hal tersebut terdengar mudah, tetapi mengusahakan
persediaan yang lengkap dari setiap simpanan digital dan kertas
informasi sama-sama memakan waktu serta biaya karena melibatkan
pemeriksaan yang lebih cermat daripada isi sistem keuangan
organisasi. Sebagai contoh, perusahaan manufaktur biasanya
menggunakan otomatisasi pabrik berskala besar. Sistem-sistem
tersebut memuat instruksi yang mungkin memberikan keunggulan
biaya signifikan atau peningkatan kualitas produk disbanding pesaing,
sehingga harus dilindungi dari pengungkapan yang tidak diotorisasi-
penggelapan.
2. Melindungi kerahasiaan dengan enkripsi
Enkripsi adalah alat yang sangat penting dan efektif untuk
melindungi kerahasiaan. Ia adalah satu-satunya cara untuk melindungi
informasi dalam lalu lintasnya melalui internet. Enkripsi juga
merupakan bagian yang diperlukan dari defense-in-depth untuk
 melindungi informasi yang disimpan dalam situs atau di dalam
sebuah cloud publik.

Pengenkripsian data klien yang disimpan pada portal,

memberikan sebuah lapisan perlindungan tambahan untuk tindakan
pengaksesan yang tak terotorisasi terhadap portal. Begitu pula dengan
pengenkripsian informasi yang disimpan dalam cloud publik,
melindunginya dari akses tak terotorisasi yang dilakukan oleh para
pegawai penyedia layanan cloud atau oleh orang lain yang
menggunakan cloud yang sama. Namun, enkripsi bukanlah sebuah
obat yang manjur. Beberapa informasi sensitif sesungguhnya
merupakan “petunjuk praktis” seperti shortcut proses mungkin tidak
disimpan secara digital sehingga tidak dapat dilindungi dengan
enkripsi. Selain itu enkripsi melindungi informasi hanya dalam situasi
tertentu.
3. Mengendalikan akses terhadap informasi sensitif
Manajemen hak informasi (information rights management -
IRM): perangkat lunak yang menawarkan kemampuan tidak hanya
untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga
memerinci tindakan-tindakan (baca, salin, cetak, unduh, dsb) individu
yang diberi akses terhadap sumber daya tersebut agar dapat
melakukannya. Beberapa perangkat lunak IRM bahkan memiliki
kemampuan untuk membatasi keistimewaan akses untuk periode
waktu tertentu dan menghapus file yang dilindungi dari jarak jauh.

Pencegahan kehilangan data (data loss prevention - DLP): perangkat

lunak yang bekerja seperti program antivirus secara terbalik,
mengeblok pesan-pesan keluar (baik e-mail, IM, dll.) yang
mengandung kata-kata atau frasa-frasa kunci yang terkait dengan
kekayaan intelektual atau data sensitif lain yang ingin dilindungi
organisasi.

Watermark digital (digital watermark): kode yang terlekat dalam

dokumen yang memungkinkan sebuah organisasi untuk
mengidentifikasi informasi rahasia yang telah diungkapkan.
 Perangkat lunak information rights management (IRM-manajemen hak
informasi) memberikan tambahan lapisan perlindungan terhadap
informasi yang disimpan dengan format digital, menawarkan
kemampuan tidak hanya untuk membatasi akses terhadap file atau
dokumen tertentu tetapi juga memerinci tindakan-tindakan (baca,
salin, cetak, unduh ke perangkat USB, dsb) yang dapat dilakukan
individu yang diberi akses terhadap sumber daya tersebut.
4. Pelatihan
Pelatihan adalah pengendalian yang paling penting untuk
melindungi kerahasiaan. Karyawan harus tahu atau perlu mengetahui
jenis informasi yang dapat mereka bagikan dengan orang luar dan
jenis informasi yang perlu dilindungi. Mereka juga harus diajarkan
Bagaimana memproteksi data rahasia. Sebagai contoh, para pegawai
seringkali tidak menyadari pentingnya informasi yang mereka miliki,
seperti langkah-langkah penghematan waktu dan fitur-fitur tak
terdokumentasikan yang mereka temukan ketika menggunakan
program perangkat lunak tertentu. Oleh karena itu, penting bagi
manajemen untuk menginformasikan kepada para pegawai atau
karyawan yang akan menghadiri kursus-kursus pelatihan eksternal,
acara dagang, atau konferensi, apakah mereka dapat mendiskusikan
informasi tersebut atau apakah informasi tersebut harus dilindungi
karena ia menyediakan keunggulan penghematan biaya atau
peningkatan kualitas perusahaan terhadap pesaingnya. Dengan
pelatihan yang memadai para pegawai dapat memainkan peran penting
untuk melindungi kerahasiaan informasi organisasi dan meningkatkan
efektivitas pengendalian terkait.
B. Pivasi
Dalam kerangka trust service privasi berkaitan erat dengan prinsip
kerahasiaan. Perbedaan dasar antara privasi dan kerahasiaan adalah privasi
lebih berfokus pada perlindungan data pribadi pelanggan daripada
perlindungan pada data perusahaan. Pengendalian yang perlu
diimplementasikan untuk melindungi privasi sama dengan pengendalian yang
digunakan untuk melindungi kerahasiaan seperti Identifikasi informasi yang
perlu dilindungi, enkripsi, pengendalian akses, dan pelatihan.

a. Pengendalian Privasi
Data masking adalah sebuah program yang melindungi privasi
dengan mengganti informasi pribadi dengan nilai-nilai palsu.
Seperti pada kasus informasi rahasia, langkah pertama untuk
melindungi privasi Informasi pribadi yang dikumpulkan dari
pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu mengidentifikasi
jenis informasi yang dimiliki organisasi letak ia disimpan dan orang
yang memiliki akses terhadap nya. Kemudian, penting pula untuk
menerapkan pengendalian guna melindungi informasi tersebut karena
insiden-insiden yang melibatkan pengungkapan tak terotorisasi atas
informasi pribadi yang disengaja atau tidak dapat memakan biaya.
b. Permasalahan privasi
Dua permasalahan utama terkait privasi adalah spam dan
pencurian identitas
1. Spam adalah e-mail tak diinginkan yang mengandung baik
periklanan maupun konten serangan. Spam merupakan
permasalahan yang terkait privasi karena penerima seringkali
menjadi target tujuan atas akses tak terotorisasi terhadap daftar
dan database e-mail yang berisi informasi pribadi. Spam adalah
keluaran hubungannya dengan privasi. Spam tidak hanya
 mengurangi keefisiensian dari e-mail juga menimbulkan virus,
worm, spyware program, juga malware. Organisasi harus
mengikuti panduan Controlling the Assault of Non-Solicited
Pornography and Marketing (CAM-SPAM) atau risiko
sanksinya. Ketentuan utamanya meliputi:
 identitas pengirim harus ditampilkan dengan jelas
di header pesan.
 field subjek pada header harus mengidentifikasikan dengan
jelas pesan sebagai contoh periklanan atau permintaan.
 bagian isi pesan harus menyediakan penerima dengan sebuah
tautan aktif yang dapat digunakan untuk memilih keluar dari e-
mail di masa depan.
 bagian isi pesan harus menyertakan alamat pos pengirim yang
valid.
 organisasi tidak boleh mengirim e-mail komersial ke alamat-
alamat yang diperoleh secara acak dan tidak boleh membuat
situs yang di desain untuk "mengambil" alamat e-mail dari
calon pelanggan.

2. Pencurian Identitas ( identity theft )

permasalahan terkait privasi lainnya yang meningkat adalah
pencurian identitas. Pencurian identitas (identity theft), yaitu
pengguna tidak sah atas Informasi pribadi seseorang demi
keuntungan pelaku atau bisa dikatakan penggunaan personal
informasi seseorang untuk keuntungan tertentu yang tidak
bertanggung jawab. Seringnya, pencurian identitas berupa
kejahatan keuangan yakni pelaku mendapatkan pinjaman atau
membuka kartu kredit baru atas nama korban dan terkadang
menjarah rekening bank milik korban.
c. Regulasi privasi dan prinsip-prinsip privasi yang diterima secara
umum (Generally Accepted Privacy Principles-GAPP)
Permasalahan mengenai spam pencurian identitas dan
perlindungan privasi individu tidak menghasilkan berbagai regulasi
 pemerintah. Selain itu terkait hukum pengungkapan negara bagian
sejumlah regulasi federal termasuk Health Insurance Portability dan
Accountability.

Di bawah ini dijabarkan 10 praktek perlindungan privasi pelanggan :

1. Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan
untuk melindungi privasi Informasi pribadi yang mereka kumpulkan
dari para pelanggan, begitu pula dengan informasi tentang pelanggan
mereka yang diperoleh dari pihak ketiga seperti biro kredit. Organisasi
harus menyerahkan pertanggungjawaban dan akuntabilitas dari
penerapan kebijakan serta prosedur tersebut kepada orang atau
sekelompok pegawai tertentu.
2. Pemberitahuan atau pengumuman
Organisasi harus memberikan pemberitahuan atau
pengumuman tentang kebijakan dan praktik privasinya pada saat atau
sebelum organisasi tersebut mengumpulkan informasi pribadi dari para
pelanggan atau segera sesudahnya. Pemberitahuan harus menerangkan
dengan jelas Jenis informasi yang sedang dikumpulkan alasan
pengumpulan dan bagaimana informasi akan digunakan.
3. Pilihan dan persetujuan
Organisasi harus menjelaskan pilihan-pilihan yang disediakan
kepada para individu serta mendapatkan persetujuan nya sebelum
mengumpulkan dan menggunakan Informasi pribadi mereka. Jenis
pilihan-pilihan yang ditawarkan berbeda di masing-masing negara.
4. Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang
diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan
privasinya.
 Cookie sebuah file teks yang diciptakan oleh sebuah situs web dan
disimpan dalam hard drive pengunjung. Cookie menyimpan
informasi mengenai siapa pengguna tersebut dan tindakan yang telah
dilakukan pengguna di situs tersebut.
5. Penggunaan dan Retensi
Organisasi harus menggunakan Informasi pribadi para
pelanggan hanya dengan cara yang dideskripsikan pada kebijakan
privasi yang dinyatakan dan menyimpan informasi tersebut hanya
selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis
yang sah.
6. Akses
Organisasi harus memberikan individu dengan kemampuan
mengakses, meninjau, memperbaiki, dan menghapus Informasi pribadi
yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga
Organisasi harus mengungkapkan informasi pribadi
pelanggannya hanya untuk situasi dan cara yang sesuai dengan
kebijakan privasi organisasi serta hanya kepada pihak ketiga yang
menyediakan tingkatan perlindungan privasi yang sama, sebagaimana
organisasi sebelumnnya yang mengumpulkan informasi tersebut.

8. Keamanan
Organisasi harus mengambil langkah-langkah rasional untuk
melindungi Informasi pribadi para pelanggannya dari kehilangan atau
pengungkapan yang tak terotorisasi Oleh karena itu, tidak mungkin
untuk melindungi privasi tanpa keamanan informasi yang memadai.
 9. Kualitas
Organisasi harus menjaga integritas Informasi pribadi
pelanggannya dan menggunakan prosedur yang memastikan informasi
tersebut akurat secara wajar. Memberikan konsumen sebuah cara
untuk menunjang Informasi pribadi yang disimpan oleh organisasi
dapat menjadi cara yang hemat biaya untuk mencapai tujuan tersebut.
10. Pengawasan dan Penegakan
Organisasi harus menugaskan 1 pegawai atau lebih guna
bertanggung jawab untuk memastikan kepatuhan terhadap kebijakan
privasi yang dinyatakan.
Organisasi juga harus memverifikasi secara periodik bahwa pegawai
mereka mematuhi kebijakan privasi yang dinyatakan Selain itu,
organisasi harus menetapkan prosedur guna merespon komplain
pelanggan termasuk penerapan sebuah proses penyelesaian
perselisihan pihak ketiga.
C. Regulasi
Regulasi adalah mengendalikan perilaku manusia atau masyarakat
dengan aturan atau pembatasan. Regulasi dapat dilakukan dengan berbagai
bentuk, misalnya: pembatasan hukum diumumkan oleh otoritas pemerintah,
regulasi pengaturan diri oleh suatu industri seperti melalui asosiasi
perdagangan, regulasi sosial misalnya norma, co-regulasi dan pasar.
Seseorang dapat, mempertimbangkan regulasi dalam tindakan perilaku
misalnya menjatuhkan sanksi seperti denda.
D. Enkripsi

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan

untuk melindungi baik kerahasiaan maupun privasi. Enkripsi melindungi data
saat sedang berjalan melalui internet dan juga menyediakan sebuah tembok
batas terakhir yang harus dilalui oleh seorang penyusup yang telah
 mendapatkan akses tak terotorisasi atas informasi yang disimpan. Enkripsi
juga memperkuat prosedur autentikasi dan memainkan sebuah peran esensial
untuk memastikan dan memverifikasi validitas transaksi e-business. Enkripsi
adalah proses mentransformasikan teks normal yang disebut plaintext, ke
dalam raban yang tidak dapat dibaca yang disebut chipertext . Deskripsi
membalik proses ini, mengubah ciphertext kembali ke dalam plaintext.
Enkripsi dan dekripsi mencakup penggunaan kunci dan alogaritma. Untuk
memproduksi original dokumen pertama dibagi chipertext kerdalam 123 bit-
block dan kemudian menyetujui deskripsi kunci untuk tiap blok.

Faktor-faktor yang mempengaruhi kekuatan enkripsi :

1. Panjang Kunci
Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan
mengurangi jumlah blok-blok berulang pada chipertext.
2. Alogartime Enkripsi
Jenis algoritma yang digunakan untuk mengombinasikan kunci dan
plainteks adalah sangat penting.
3. Kebijakan Untuk Mengelola Kunci Kriptografi
Kunci kriptografi harus disimpan secara aman dan dilindungi dengan
mengendalikan akses yang kuat.

Jenis-Jenis Sistem Enkripsi :

1. Sistem Enkripsi Simetris (symmetric encryption system)

Adalah sistem enskripsi yang menggunakan kunci yang sama untuk
mengenkripsi dan mendeskripsi.
2. Sistem Enkripsi Asimetris (asymmetric encryption system)
Adalah sistem enskripsi yang menggunakan 2 kunci. Satu kunci disebut kunci
publik (public key), didistribusikan secara luas dan tersedia untuk siapapun,
kunci lainnya disebut dengan kunci privat (private key), dirahasiakan dan
 diketahui hanya pemilik dari sepasang kunci tersebut. Baik kunci publik dan
privat dapat digunakan untuk enkripsi Tetapi hanya satu kunci yang dapat
mendeskripsi chipertext.

Hashing

Hashing adalah proses yang mengambil plaintext panjang dan mengubahnya

menjadi i-kode pendek yang dipanggil hash. Hash adalah plaintext yang telah diubah
menjadi kode singkat. Hasil logaritma menggunakan tiap bit pada orifinal prank text
untuk menghitung nilai hash.

Berikut perbandingan antara hashing dan enskripsi :

Hashing Enskripsi
1. Bersifat satu arah (tidak dapat 1. Dapat dibalikkan (dapat
membalik atau “unhash” untuk mendeskripsi chipertext kembali
memulihkan dokumen asli). ke plaintext).
2. Input dengan segala ukuran 2. Ukuran output kira-kira sama
menghasilkan output berukuran dengan ukuran input. Contohnya :
tetap. Sebagai contoh, algoritme  Dokumen dengan satu
hashing SHA-256 menghasilkan kalimat menjadi sebuah
hash 256-bit untuk masing- dokumen terenskripsi
masing : dengan satu kalimat
 Dokumen dengan satu  Dokumen dengan satu
kalimat halaman menjadi sebuah
 Dokumen dengan satu dokumen terenskripsi
halaman dengan satu halaman
 Dokumen dengan sepuluh  Dokumen dengan sepuluh
halaman halaman menjadi sebuah
 dokumen terenskripsi
dengan sepuluh halaman

Tanda Tangan Digital (digital signatures)

Digital signature adalah campuran dokumen atau file yang dienkripsi

menggunakan pembuat dokumen private key. Digital signatures menyediakan bukti
tentang dua keluaran yakni copy dokumen atau file tidak dapat diubah siapa yang
membuat versi original dari digital dokumen atau file. Jadi digital signature
menyediakan asuransi yang seseorang tidak dapat masuk ke digital transaction dan
kemudian secara urut membolehkan mereka melakukannya dan menolak untuk
mengisi kontrak. Berikut langkah menciptakan sebuah tanda tangan digital :

 Langkah 1

Pembuat dokumen menggunakan sebuah algoritme hashing untuk

menghasilkan sebuah hash dari dokumen asli.

 Langkah 2

Pembuat dokumen menggunakan kunci privatnya untuk mengenkripsi hash

yang dibuat pada langkah 1.

 Hasilnya

Hash yang terenskripsi merupakan sebuah tanda tangan yang terikat secara
legal atau hukum.
 Berikut contoh penggunaan tanda tangan digital :

Sertifikat Digital dan Infrastruktur Kunci Publik

Sertifikat Digital (digital certificate) adalah sebuah dokumen elektronik yang

mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci
publik tersebut.
 Otoritas Sertifikat (certificate authority) adalah sebuah organisasi yang
menerbitkan kunci publik dan privat serta mencatat publik didalam sertifikat digital.

Infastruktur Kunci Publik (publik key infrastructure-PKI) adalah sitem untuk

menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait.

Virtual Private Network (VPN)

Semua koleksi private melalui jaringan publik atau internet, jika

menggunakan VPN kita seolah-olah membuat jaringan di dalam jaringan atau biasa
disebut tunnel. VPN menggunakan salah satu dari tiga teknologi tunneling yang ada
yaitu: PPTP, L2TP dan standar terbaru, Internet Protocol Security biasa disingkat
menjadi IPSec. VPN merupakan perpaduan antara teknologi tunneling dan enkripsi.

Cara kerja VPN :

1. Dibutuhkan server yang berfungsi menghubungkan antar PC, bisa berupa

komputer dengan aplikasi VPN server atau router.
2. Komputer dengan aplikasi VPN Client mengontak server VPN, VPN server
kemudian memverifikasi username dan password dan apabila berhasil maka
VPN server memberikan IP address baru pada komputer client dan
selanjutnya sebuah koneksi atau tunnel akan terbentuk.
3. Selanjutnya komputer client bisa digunakan untuk mengakses berbagai Resort
(komputer atau LAN) yang berada di VPN server.
E. Kesimpulan
Pada Bab ini membahas tentang mengidentifikasi dan menjelaskan
desain control untuk melindungi kerahasiaan dari informasi di suatu
perusahaan. Manajemen mengidentifikasi informasi yang sensitif dan perlu
untuk dilindungi dari pengungkapan yang tidak sah. Biasanya hal-hal yang
masuk didalamnya adalah rencana bisnis, strategi harga, dan dokumen resmi.
Ada beberapa langkah yang dapat kita lakukan dalam melindungi kerahasiaan
diantaranya identifikasi dan klasifikasi informasi untuk dilindungi,
melindungi kerahasiaan dengan enskripsi, mengendalikan akses terhadap
informasi sensitif, dan pelatihan. Perbedaan mendasar antara privasi dan
kerahasiaan adalah privasi lebih berfokus pada perlindungan data pribadi
pelanggan daripada perlindiungan pada data sebuah perusahaan.