SISTEM INFORMASI AKUNTANSI (SIA 2)

PENGENDALIAN KERAHASIAAN DAN PRIVASI

(CONFIDENTIALLY AND PRIVACY CONTROLS)

OLEH :

xxxx

PROGRAM STUDI AKUNTANSI - FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS TRISAKTI

JAKARTA

2019
A. PENDAHULUAN

Bab ini membahas keamanan informasi yang merupakan prinsip fundamental dari
keandalan system. Hal tersebut meliputi dua prinsip lain dari keandalan system dalam
Trust Service Framework: menjaga kerahasiaan kekayaan intelektual sebuah organisasi dan
menjaga privasi informasi pribadi yang dikumpulkan dari pelanggan, pegawai, pemasok
dan rekan bisnis. Disini juga akan membahas topik enkripsi secara mendetail karena
merupakan alat penting untuk melindungi kerahasiaan maupun privasi.

MENJAGA KERAHASIAAN

Organisasi memiliki informasi sensitif yang tak terhitung, termasuk rencana strategis,
rahasia dagang, informasi biaya, dokumen legal, dan peningkatan proses. Kekayaan intelektual
ini sering kali sangat penting sebagai keunggulan kompetitif dan kesuksesan jangka panjang
organisasi. Oleh karena itu, menjaga kerahasiaan kekayaan intelektual organisasi dan informasi
serupa yang dibagi (shared) dengan rekan bisnis, telah lama dikenal sebagai sebuah tujuan utama
keamanan informasi. Empat tindakan dasar yang dilakukan untuk menjaga kerahasiaan atas
informasi sensitif :
1. Identifikasi dan Klasifikasi Informasi Untuk Dilindungi

Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi

bisnis sensitif laninnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang
yang mengaksesnya. Hal tersebut terdengar mudah, tetapi mengusahakan persediaan yang
lengkap dari setiap simpanan digital dan kertas informasi sama-sama memakan waktu serta
biaya karena melibatkan pemeriksaan yang lebih cermat daripada isi sistem keuangan
organisasi. Setelah informasi yang perlu dilindungi telah diidentifikasi, langkah selanjutnya
adalah mengklasifikasi informasi untuk organisasi berdasarkan nilainya.

2. Melindungi Kerahasian Dengan Enkripsi

Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasian. Ia
adalah satu-satunya cara melindungi informasi dalam lalu lintasnya melalui internet.
Enkripsi juga merupakan bagian yang diperlukan dari defense-in-depth untuk melindungi
informasi yang disimpan dalam situr atau di dalam sebuah cloud public.

3. Mengendalikan Akses Terhadap Informasi Sensitif

Pengendalian akses terhadap informasi sensitif dapat dilakukan dengan:

 Perangkat lunak information rights management (IRMmanajemen hak informasi) yang
memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan dengan
format digital, juga menawarkan kemampuan yang tidak hanya untuk membatasi akses
terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin,
cetak, untuh ke perangkat USB, dsb.)
 Perangkat lunak data loss prevention (DLPpencegah kehilangan data), bekerja seperti
program antivirus secara tebalik, mengeblok pesan-pesan keluar (bail e-mail, IM, atau
pesan lain) yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan
kekayaan intelektual atau data sensitive lain yang ingin dilindungi. Perangkat lunak DLP
merupakan sebuah pengendalian preventif.
 Watermark digital (digital watermark) adalah pengendalian detektif yang
memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah
diungkapkan. Ketika sebuah organisasi menemukan dokumen yang
mengandung watermark digitalnya di internet, hal tersebut membuktikan bahwa
pengendalian preventif yang didesain untuk melindungi informasi sensitifnya telah gagal.
4. Pelatihan

Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan. Para
pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan
jenis informasi yang perlu dilindungi. Oleh karena itu, penting bagi manajemen untuk
menginformasikan kepada para pegawai yang akan menghadiri kursus-kursus pelaihan
ekternal, acara dagang, atau konferensi, apakah mereka dapat mendiskusikan informasi
tersebut atau apakah informasi tersebut harus dilindungi karena ia menyediakan keunggulan
penghematan biaya atau peningkatan kualitas perusahaan terhadap pesaingnya.

PRIVASI

1. Pengendalian Privasi

Demi melindungi privasi, organisasi harus menjalankan program data masking, yaitu
program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu (seperti,
mengganti sebuah nomor keamanan social yang asli dengan rangkaian nomor berbeda yang
memiliki karakteristik sama).

2. Permasalahan Privasi

Spam. Spam adalah e-mail yang tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Guna menghadapi masalah tersebut, Kongres Amerika Serikat
menetapkan Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-
SPAM) Act pada 2003. Undang-undang tersebut memberikan baik hukuman pidana maupun
perdata atas pelanggaran hukum. CAN-SPAM berlaku untuk e-mail komersial yang
didefinisikan sebagai e-mail yang memiliki tujuan utama periklanan atau promosi.

3. Pencurian Identitas

Pencurian identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi
seseorang demi keuntungan pelaku.
American Institude of Certified Public Accountant (AICPA) dan Canadian Institute of
Chartered Accountant (CICA) bersama-sama mengembangkan sebuah kerangka yang
disebut prinsip-prinsip Privasi yang diterima secara umum (Generally Accepted Privacy
Principles GAPP). Kerangka tersebut mengidentifikasi dan mendefinisikan 10 pelaksanaan
praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi
para pelanggan.
1. Manajemen. Organisasi perlu membuat satu set prosedur dan kebijakan untuk
melindungi privasi informasi pribadi yang mereka kumpulkan dari para pelanggan,
begitu pula dengan informasi tentang pelanggan mereka yang diperoleh dari pihak
ketiga seperti biro kredit.
2. Pemberitahuan. Organisasi harus memberikan pemberitahuan tentang kebijakan dan
praktik privasinya pada saat atau sebelum organisasi tersebut mengumpulkan informasi
pribadi dari para pelanggan atau sesegera sesudahnya.
3. Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan-pilihan yang disediakan
kepada para individu serta mendapatkan persetujuannya sebelum mengumpulkan dan
menggunakan informasi pribadi mereka.
4. Pengumpulan. Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk
memenuhi tujuan uang dunyatakan dalam kebijakan privasinya.
5. Penggunaan dan retensi. Organisasi harus menggunakan informasi pribadi para
pelanggan hanya dengan cara yang dideskripsikan pada kebijakan privasi yang
dinyatakan dan menyimpan informasi tersebut hanya selama informasi tersebut
diperlukan untuk memenuhi tujuan bisnis yang sah.
6. Akses. Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau,
memperbaiki, dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga. Organisasi harus mengungkapkan informasi
pribadi pelanggannya hanya untuk situasi dan cara yang sesuai dengan kebijakan privasi
organisasi serta hanya kepada pihak ketiga yang menyediakan tingkatan pelindungan
privasi yang sama, sebagaimana organisasi sebelumnya mengumpulkan informasi
tersebut.
8. Keamanan. Organisasi harus mengambil langkah-langkah rasional untuk melindungi
informasi pribadi para pelangannya dari kehilangan atau pengungkapan yang tak
terotorasi.
9. Kualitas. Organisasi harus menjaga integritas informasi pribadi pelangganya dan
menggunakan prosedur yang memastikan informasi tersebut akurat secara wajar.
 10. Pengawasan dan penegakan. Organisasi harus menugaskan satu pegawai atau lebih
guan bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan privasi yang
dinyatakan.

ENKRIPSI

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi
baik kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang melalui internet dan juga
menyediakan sebuah tembok batas terakhir yang harus dilalui oleh seorang penyusup yang telah
mendapatkan akses tak terotorisasi atas informasi yang disimpan.
Enkripsi (encyption) adalah proses menstransformasikan teks normal, yang
disebut plaintext, ke dalam raban yang tidak dapat dibaca, yang
disebut chipertext. Deskripsi (descryption) membalik proses ini, mengubah chipertext kembali
ke dalam plaintext. Komputer mempresentasikan baik plaintext maupun chipertext sebagai seri
bilangan biner (0 dan 1). Kunci enkripsi dan dekripsi juga merupakan rangkaian bilangan biner;
sebagai contoh, sebuah kunci 256 bit terdiri atas sebuah rangkaian 256 0 dan 1. Algoritme adalah
formula yang menggunakan kunci untuk mengubah plaintext menjadi chipertext (enkripsi)
atau chipertext kembali menjadi plaintext (dekripsi). Kebanyakan dokumen tidak lebih panjang
dari kunci, sehingga proses enkripsi dimuali dengan membagi plaintext ke dalam blok-blok,
masing-masing blok panjangnya sama dengan kunci. Kemudian, algoriteme diaplikasikan ke
kunci dan masing-masing blok plaintext. Sebagai contoh, jika sebuah kunci 512 bit digunakan,
computer terlebih dahulu akan membagi dokumen atau file ke dalam blok-blok sepanjang 512 bit
dan kemudian mengombinasikan setiap blok dengan kunci dengan cara yang dikhususkan oleh
algoritme. Hasilnya adalah versi chipertext dokumen atau file, ukurannya sama dengan aslinya.
Untuk mereproduksi dokumen asli, computer terlebih dahulu membagi chipertext ke dalam blok-
blok 512 bit dan kemudian mengaplikasikan kunci dekripsi ke masing-masing blok.
Berikut langkah-langkah dalam proses enkripsi dan deskripsi:

FAKTOR-FAKTOR YANG MEMPENGARUHI KEKUATAN ENKRIPSI:

1. Panjang Kunci

Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi
jumlah blok-blok berulang pada chipertext.
2. Alogaritme Enkripsi

Jenis alogaritme yang digunakan untuk mengombinasikan kunci dan plaintext adalah

sangat penting. Sebuah Alogaritime kuat yang rumit, bukannya tidak mungkin untuk dirusak
dengan menggunakan teknik penebakan paksaan brutal.

3. Kebijakan untuk Mengelola Kunci Kriptografi

Kunci Kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian
akses yang kuat.  Praktik-praktik terbaik meliputi: (1) tidak menyimpan kriptografi didalam
sebuah browser atau file lain yang dapat diakses oleh pengguna lain dari sistem tersebut. (2)
menggunkan frasa sandi yang kuat dan panjang untuk melindungi kunci.

JENIS-JENIS SISTEM ENKRIPSI

 Sistem enkripsi simetris (symmetric encryption system): sistem enkripsi yang menggunakan

kunci yang sama untuk mengenkripsi dan mendeskripsi.
 Sistem enkripsi asimetris (asymmetric encryption system): sistem enkripsi yang
menggunakan dua kunci (satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi
hanya kunci pencocokan lainnya yang dapat mendeskripsi.
 Kunci publik (public key): salah satu kunci yang digunakan dalam sistem enkripsi asimetris.
Kunci ini didistribusikan secara luas dan tersedia bagi siapa pun.
 Kunci privat (private key): salah satu kunci yang digunakan pada sistem enkripsi asimetris.
Kunci ini dirahasiakan dan diketahui hanya oleh pemilik dari sepasang kunci publik dan
privat.
 Key escrow: proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman.
Berikut perbandingan sistem enkripsi simetris dan asimetris: 

HASHING

Hashing:  mengubah plaintext sepanjang apa pun ke dalam sebuah kode singkat yang

disebut hash.
Hash:   plaintext yang telah diubah menjadi kode singkat.
Berikut perbandingan antara hashing  dan enkripsi:

TANDA TANGAN DIGITAL

Nonrepudiation: menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak
secara unilateral oleh kedua pihak.
Tanda tangan digital (digital signature): sebuah hash yang dienkripsi dengan kunci privat
milik pembuat hash.
Berikut langkah menciptakan sebuah tanda tangan digital: 
Berikut contoh penggunaan tanda tangan digital:

SERTIFIKAT DIGITAL DAN INFRASTRUKTUR KUNCI PUBLIK

Sertifikat digital (digital certificate):  sebuah dokumen elektronik yang mengandung kunci

publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.
Otoritas sertiifikat (certificate authority): sebuah organisasi yang menerbitkan kunci publik
dan privat serta mencatat kunci publik di dalam sertifikat digital.
Infrastruktur kunci publik (public key infrastructure - PKI): sistem untuk menerbitkan
sepasang kunci publik dan privat serta sertifikat digital terkait.

VIRTUAL PRIVATE NETWORK (VPN)

Virtual private network (VPN): menggunakan enkripsi dan autentikasi untuk mentransfer

informasi melalui internet dengan aman sehingga menciptakan sebuah jaringan privat "virtual".
Berikut VPN: