Kelompok 3

 Emi Dwi Rachmawati (G72218034)

 Khoi Fatimah (G72218042)

 Maulidah Indah Islami (G72218043)

 Chofifa Kurnia Putri (G92218071)

 Salsabilla Wahyu Purnama Putri (G92218091)

BAB 9

PENGENDALIAN KERAHASIAAN DAN PRIVASI

A. MENJAGA KERAHASIAAN

Organisasi memiliki informasi sensitif yang tak terhitung termasuk rencana

strategis rahasia dagang informasi biaya dokumen legal dan peningkatan proses.
Kekayaan intelektual ini seringkali sangat penting sebagai keunggulan kompetitif dan
kesuksesan jangka panjang organisasi. Oleh karenanya menjaga kerahasiaan kekayaan
intelektual organisasi dan informasi serupa yang dibagi dengan rekan bisnis telah lama
dikenal sebagai sebuah tujuan utama keamanan informasi.Empat tindakan dasar yang
harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif adalah:

1. Mengidentifikasi Dan Mengklasifikasi Informasi Untuk Dilindungi.

Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan

informasi bisnis sensitif lainnya adalah mengidentifikasi letak informasi tersebut
disimpan terdengar mudah, tetapi mengusahakan persediaan yang lengkap dari setiap
simpanan digital dan kertas informasi sama-sama memakan waktu serta biaya karena
melibatkan pemeriksaan yang lebih cermat daripada isi sistem keuangan organisasi.
Praktik COBIT 5 menunjukkan bahwa klasifikasi merupakan tanggung jawab pemilik
informasi, bukan profesional keamanan informasi karena hanya pemilik informasilah
yang memahami bagaimana informasi digunakan.
2. Melindungi Kerahasiaan Dengan Enkripsi.

Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi
kerahasiaan. Ia adalah satu-satunya cara untuk melindungi informasi dalam lalu lintas
melalui internet.Pengenkripsian data klien yang disimpan pada portal, memberikan
sebuah lapisan perlindungan tambahan untuk tindakan pengaksesan yang tak terotorisasi
terhadap portal. Begitu pula dengan pengenkripsian informasi yang disimpan dalam
cloud public, melindunginya dari akses takterotorisasi yang dilakukan oleh para pegawai
penyedia layanan cloud atau oleh orang lain yang menggunakan cloud yang sama.

3. Mengendalikan Akses Terhadap Informasi Sensitif.

Perangkat lunak information rights management (IRM – manajemen hak

informasi) memberikan tambahan lapisan perlindungan terhadap informasi yang
disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi
akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca,
salin, cetak, unduh ke perangkat USB, dsb.) yang dapat dilakukan individu yang diberi
akses terhadap sumberdaya tersebut. Perlindungan kerahasiaan juga mensyaratkan
pengendalian terhadap komunikasi ke luar. Sebuah alat yang memenuhi syarat tersebut
adalah perangkat lunak data loss prevention (DLP – pencegahan kehilangan data),
bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar (baik e-
mail, IM, atau pesan lain) yang mengandung kata-kata atau frasa-frasa kunci yang terkait
dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi. DLP
harus dilengkapi dengan kode terlekat yang disebut dengan watermark digital pada
dokumen. Watermark digital adalah pengendalian detektif yang memungkinkan sebuah
organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan

4. Pelatihan.

Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan.

Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang
luar dan jenis informasi yang perlu dilindungi. Dengan pelatihan yang memadai, para
pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi
organisasi dan meningkatkan efektivitas pengendalian terkait.
B. PRIVASI

Prinsip privasi Trust Services Framework Rat kaitanya dengan prinsip

kerahasiaan, perbedaan utamanya yaitu ia lebih berfokus pada perlindungan Informasi
pribadi mengenai pelanggan pegawai pemasok atau rekan bisnis daripada data
keorganisasian. Oleh karena itu pengendalian yang perlu diimplementasikan untuk
melindungi privasi sama dengan pengendalian yang digunakan kan untuk melindungi
kerahasiaan yakni Identifikasi informasi yang perlu dilindungi, enskripsi, pengendalian
akses, dan pelatihan.

1. Pengendalian Privasi

Demi melindungi privasi, organisasi harus menjalankan program data masking,

yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu
(seperti, mengganti sebuah nomor keamanan social yang asli dengan rangkaian nomor
berbeda yang memiliki karakteristik sama).

2. Permasalahan Privasi

Spam adalah e-mail yang tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Guna menghadapi masalah tersebut, Kongres Amerika Serikat
menetapkan Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-
SPAM) Act pada 2003. Undang-undang tersebut memberikan baik hukuman pidana
maupun perdata atas pelanggaran hukum. CAN-SPAM berlaku untuk e-mail komersial
yang didefinisikan sebagai e-mail yang memiliki tujuan utama periklanan atau promosi.

3. Pencurian Identitas

Permasalahan terkait privasi lainnya yang meningkat adalah pencurian identitas.

Seringnya pencurian identitas berupa kejahatan keuangan yakni pelaku mendapatkan
pinjaman atau membuka kartu kredit baru atas nama korban dan terkadang menjarah
rekening bank milik korban.Pencurian identitas (identity theft), yaitu penggunaan tidak
sah atas informasi pribadi seseorang demi keuntungan pelaku.
4. Regulasi Privasi dan Prinsip-prinsip yang Diterima Secara Umum (Generally
Accepted Privacy Principles – GAPP).

Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi

individu telah menghasilkan berbagai regulasi pemerintah. Kerangka GAPP
mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang diakui secara
internasional untuk melindungi privasi informasi pribadi para pelanggan

a) Manajemen.

Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi
privasi Informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula
dengan informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti
biro kredit.

b) Pemberitahuan

Organisasi harus memberikan Pemberitahuan tentang kebijakan dan praktik

privasinya pada saat atau sebelum organisasi tersebut mengumpulkan informasi
pribadi dari para pelanggan atau segera sesudahnya.

c) Pilihan dan persetujuan.

Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para

individu serta mendapatkan persetujuan nya sebelum mengumpulkan dan
menggunakannya Informasi pribadi mereka.

d) Pengumpulan.

Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk

memenuhi tujuan yang dinyatakan dalam kebijakan privasinya.

e) Penggunaan dan retensi.

Organisasi harus menggunakan Informasi pribadi para pelanggan hanya dengan

cara dideskripsikan nya pada kebijakan privasi yang dinyatakan dan menyimpan
 informasi tersebut hanya selama informasi tersebut diperlukan untuk memenuhi
tujuan bisnis.

f) Akses

Organisasi harus memberikan individu dengan kemampuan mengakses,meninjau

memperbaiki,dan menghapus Informasi pribadi yang tersimpan mengenai mereka.

g) Pengungkapan kepada pihak ketiga.

Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk

situasi dan cara yang sesuai dengan kebijakan privasi organisasi.

h) Keamanan.

Organisasi harus mengambil langkah-langkah nasional untuk melindungi

Informasi pribadi para pelanggannya dari kehilangan atau pengungkapan yang tak
terotorisasi.

i) Kualitas

Organisasi harus menjaga integritas Informasi pribadi pelanggannya dengan

menggunakan prosedur yang memastikan informasi tersebut akurat secara wajar.

j) Pengawasan dan penegakan

Organisasi harus menugaskan 1 pegawai atau lebih bertanggung jawab untuk

memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.

C. ENKRIPSI

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk

melindungi baik kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses
mentransformasikan teks normal, yang disebut plaintext, ke dalam raban yang tidak dapat
dibaca, yang disebut chipertext. Deskripsi (decryption) membalik proses ini, mengubah
 chipertext kembali ke dalam plaintext. Ada Faktor-faktor yang Memengaruhi Kekuatan
Enkripsi.

1. Tiga Faktor Penting Yang Menentukan Kekuatan Sistem Enkripsi Yaitu:

a) Panjang kunci

b) Algoritme enkripsi.

c) Kebijakan untuk mengelola kunci-kunci kriptografi.

2. Jenis-Jenis Sistem Enkripsi

a) Sistem enkripsi simetris (symmetric encryption system), yaitu sistem enkripsi yang
menggunakan kunci sama untuk mengenkripsi dan mendeskripsi.

b) Sistem enkripsi asimetris (asymmetric encryption system), yaitu sistem enkripsi yang
menggunakan dua kunci )satu publik, lainnya privat), keduanya dapat mengenkripsi,
tetapi hanya kunci pencocokan lainnya dapat mendeskripsi.

3. Hashing.

Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan
sebuah kode singkat yang disebut dengan hash.

4. Tanda Tangan Digital

Pokok penting untuk transaksi bisnis selalu nonrepudiation, atau bagaimana agar
menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral
oleh kedua pihak. Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci
privat milik pembuat hash. Tanda tangan digital memberikan penjaminan atas dua hal
penting:

a) Bahwa salinan sebuah dokumen atau file belumlah diubah

b) Siapa yang menciptakan versi asli dari sebuah dokumen atau file digital.

c) Sertifikat Digital dan Infrastruktur Kunci Publik

 Sertifikat digital adalah dokumen elektronik yang mengandung kunci publik milik
entitas dan menerangkan identitas pemilik kunci publik tersebut. Otoritas sertifikat adalah
sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di
dalam sertifikat digital. Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang
kunci publik dan privat serta sertifikat digital terkait.

5. Virtual Private Netwotk (VPN)

VPN adalah menggunakan enkripsi dan autentikasi untuk mentransfer informasi

melalui internet dengan aman sehingga menciptakan sebuah jaringan privat “virtual”.

BAB 10

PENGENDALIAN INTEGRITAS PEMROSESAN DAN KETERSEDIAAN

A. INTEGRITAS PEMROSESAN

Prinsip integritas pemrosesan menyatakan bahwa sebuah sistem yang dapat

diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tempat waktu,
dan valid. Ada pula aplikasi pengendalian untuk integritas pemrosesan yaitu pada tahap
proses input, risiko yang mungkin terjadi adalah data yang tidak valid, tidak diotorisasi,
tidak lengkap, dan tidak akurat. Apabila hal tersebut muncul proses pengendaliannya
dapat ditemukan dalam bentuk desain, pembatalan dan penyimpangan dokumen, otorisasi
dan pemisahan tugas pengendalian, pemindahan visual, dan pengendalian entry data.
Pada tahap pemrosesan risiko yang dapat terjadi salah satunya adalah kesalahan dalam
output dan data yang tersimpan, dan apabila meksiko tersebut mulai muncul proses
pengendaliannya dapat ditemukan pada kecocokan data, label file, total batch, pengujian
saldo cross-footing dan saldo nol, serta pada pemrosesan database, dan pengendalian
integritas.

1. Pengendalian Input

Pengendalian input merupakan hal yang sangat penting dikarenakan jika data
yang dimasukkan ke dalam sebuah sistem tidak akurat ataupun tidak valid, maka output
my juga akan demikian. Hal tersebut mengakibatkan hanya personel yang berwenang
untuk bertindak di dalam otoritasnya yang harus mempersiapkan dokumen sumber.

a) Bentuk desain

Dokumen sumber dan bentuk lainnya harus didesain untuk meminimalkan

kemungkinan kesalahan dan kelalaian. Dua bentuk utama desain pengendalian yang
penting melibatkan dokumen sumber sebelum penomoran secara berurutan dan
menggunakan dokumen turnaround.

 Seluruh dokumen sumber harus dinomori sebelumnya secara berurutan.

 Sebuah dokumen turnaround disiapkan dalam bentuk yang dapat terbaca oleh
mesin untuk memudahkan pemrosesan selanjutnya sebagai catatan input.

b) Pembatalan dan penyimpanan dokumen sumber

Dokumen dokumen sumber yang telah dimasukkan ke dalam sistem harus

dibatalkan sehingga mereka tidak dapat dengan sengaja atau secara tidak jujur
dimasukkan ulang ke dalam sistem. Dokumen kertas harus ditandai contohnya
dengan memberi stempel " dibayar". Dan pada dokumen elektronik dengan cara yang
sama dapat dibatalkan dengan mengatur sebuah field tanda untuk mengindikasi
bahwa dokumen tersebut telah diproses. Dokumen sumber asli harus ditahan
sepanjang diperlukan untuk memenuhi persyaratan hukum dan peraturan serta
memberikan sebuah jejak audit.

c) Pengendalian entry data

Dokumen dokumen sumber harus dipindai untuk kewajaran dan kebenaran

sebelum dimasukkan ke dalam sistem. Pengendalian ini harus dilengkapi dengan
pengendalian entri data otomatis seperti berikut :

 Pengecekan field

 Pengecekan tanda

 Pengecekan batas
  Pengecekan jangkauan

 Pengecekan ukuran

 Pengecekan kelengkapan

 Pengecekan validitas

 Tes kewajaran

 Nomor ID resmi

2. Pengendalian Tambahan Entry Data Pemrosesan Batch

Pemrosesan batch lebih efisien jika transaksi transaksi disortir sehingga rekening
rekening yang terkena dampak berada dalam urutan yang sama dengan catatan di dalam
file induk. Sebuah pengecekan berurutan menguji apakah batch atas input data berada di
dalam urutan numerik atau alfabetis yang tepat. Total batch merangkum nilai nilai
numerik bagi sebuah batch atas catatan input. Berikut ini adalah 3 total batch yang sering
digunakan:

a) Total financial

b) Total hash

c) Jumlah catatan

3. Pengendalian Tambahan Entry Data Online

Prompting, sebuah pengecekan kelengkapan secara online. Verivikasi closed-

loop, proses pengecekan kecepatan dari dapat input dengan menggunakannya untuk
mengambil dan menampilkan informasi terkait lainnya.

Sebuah log transaksi menyertakan sebuah catatan mendetail dari seluruh transaksi
termasuk mengidentifikasi transaksi khusus, tanggal, dan waktu entry, serta siapa yang
memasukkan transaksi.

4. Pengendalian Pemrosesan
 Pengendalian juga diperlukan untuk memastikan bahwa data diproses dengan
benar. Pengendalian pemrosesan yang penting mencakup kegiatan sebagai berikut:

a) Pencocokan data

b) Label file

c) Perhitungan ulang total batch

d) Pengujian saldo cross-footing dan saldo nol

e) Mekanisme white-protection

f) Pengendalian pembaruan secara bersamaan

5. Pengendalian Output

Pengecekan yang hati-hati terhadap output sistem memberikan pengendalian

tambahan atas integritas pemrosesan. Pengendalian output yang penting adalah:

a) Pemeriksaan pengguna terhadap output

b) Prosedur rekonsiliasi

c) Rekonsiliasi data eksternal

d) Pengendalian transmisi data

6. Pengendalian Integritas Pemrosesan Dalam Spreadsheet

Mayoritas organisasi memiliki ribuan spreadsheet yang digunakan untuk

mendukung pembuatan keputusan. Pentingnya spreadsheet bagi pelaporan keuangan,
berisi lampiran terpisah yang secara spesifik menjelaskan pengendalian integritas
pemrosesan yang harus diterapkan dalam spreadsheet. Namun begitu masih banyak sekali
organisasi yang mengalami masalah masalah yang disebabkan oleh kesalahan
spreadsheet. Hal itu menyebabkan perusahaan ataupun organisasi kehilangan berbagai
asetnya. Pengujian yang cermat atas spreadsheet sebelum digunakan dapat mencegah
jenis-jenis kesalahan tersebut.
B. KETERSEDIAAN

Gangguan dalam proses bisnis yang dikarenakan tidak tersedianya sistem atau
informasi dapat menyebabkan kerugian keuangan yang signifikan. Akibatnya proses
pengendalian DSS01 dan DSS01.05 COBIT 5 menunjukkan pentingnya memastikan
bahwa sistem informasi tersedia setiap saat dibutuhkan oleh pengguna. Tujuannya adalah
meminimalkan risiko penghentian sistem. Meskipun demikian ketersediaan sistem dan
informasi mustahil untuk sepenuhnya eliminasi resiko penghentian.

1. Meminimalkan Risiko Penghentian Sistem

Suatu organisasi dapat melakukan berbagai tindakan untuk meminimalkan resiko

penghentian sistem. Praktik manajemen DSS01.05 COBIT 5 mengidentifikasi kebutuhan
akan pemeliharaan yang preventif seperti membersihkan disk drive dan menyimpan
media magnetik dan optik yang tepat, untuk mengurangi resiko kegagalan perangkat
keras dan lunak. Praktik manajemen DSS01.04 dan DSS01.05 COBIT 5 menunjukkan
pentingnya meletakkan dan mendesain pusat-pusat data yang menaungi server tugas kritis
dan database sehingga meminimalkan resiko yang terkait dengan bencana alam dan yang
disebabkan manusia. Fitur-fitur desain umumnya meliputi :

a) Lantai yang ditinggikan memberi perlindungan dari kerusakan yang disebabkan oleh
banjir

b) Pendeteksi api dan perangkat penekanan mengurangi kemungkinan kerusakan akibat

kebakaran

c) Sistem pendingin udara yang memadai untuk mengurangi kemungkinan kerusakan

bagi peralatan komputer karena terlalu panas ataupun lembab

d) Pengendalian akses fisik mengurangi resiko pencurian dan kerusakan

e) Perangkat anti petir memberi perlindungan terhadap fluktuasi daya thunder horor
yang mungkin menyebabkan kerusakan komputer dan perangkat jaringan lainnya.
Dsb..

2. Pemulihan Dan Penerusan Operasi Normal

 Backup adalah sebuah salinan yang sama persis atas versi terbaru dari database,
file, atau program perangkat lunak yang dapat digunakan jika data aslinya tidak lagi
tersedia. Backup hanya memusatkan ketersediaan data dan perangkat lunak. Prosedur
backup data di desain untuk menghadapi situasi dimana informasi tidak dapat diakses
karena file atau database yang relevan telah menjadi korup atau rusak akibat kegagalan
perangkat keras, masalah perangkat lunak, atau kesalahan manusia, namun sistem
informasinya masih berfungsi. Tidak peduli prosedur backup mana yang digunakan
berbagai salinan backup harus dibuat. Satu salinan dapat disimpan ditempat, untuk
digunakan dalam kejadian atas masalah-masalah yang relatif minor seperti kegagalan atas
hard drive. Dan satu salinan dapat disimpan di luar tempat untuk digunakan dalam
kejadian yang lebih serius seperti kebakaran dan bencana alam.