PENGENDALIAN UNTUK KEAMANAN INFORMASI, PENGENDALIAN

KERAHASIAAN DAN PRIVASI

DISUSUN OLEH :
MEILANI IDWAR
02271811015

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS KHAIRUN
2020/2021
 KATA PENGANTAR

Alhamdulillah segala puji syukur saya panjatkan kepada Allah SWT, tuhan semesta
alam yang mengatur kehidupan. Atas karunia nikmat-Nya saya dapat menyusun makalah
yang berjudul “PENGENDALIAN UNTUK KEAMANAN INFORMASI,
PENGENDALIAN KERAHASIAAN DAN PRIVASI” dengan maksimal.
Adapun tujuan penyusunan makalah ini adalah untuk memenuhi salah satu syarat
dalam menempuh mata kuliah Sistem Informasi Akuntansi. Mengingat keterbatasan
pengetahuan, pengalaman dan kemampuan penulisan, hasil makalah ini tidak luput dari
kekurangan dan belum sempurna, namun saya berharap semoga makalah ini dapat
bermanfaat bagi saya dan pembaca khususnya serta bagi semua pihak yang berkenan
memanfaatkannya.
Pada proses penyusunan makalah ini tidak terlepas dari bantuan berbagai pihak, saya
menyampaikan rasa hormat dan terimakasih kepada Ibu Yustiana Djaelani SE, M.Sc selaku
Dosen Pengampu yang telah banyak meluangkan waktu serta memberikan bimbingan dan
pengarahan sampai terselesaikan makalah ini.
Akhir kata semoga makalah ini bisa menjadi amal jariyah dan bisa bermanfaat buat
pembaca semuanya.

Ternate, 25 Oktober 2020

 DAFTAR ISI

Kata Pengantar ..................................................................................................................

Daftar Isi ...........................................................................................................................
BAB I PENDAHULUAN .................................................................................................
1.1. Latar Belakang .............................................................................................
1.2. Rumusan Masalah ........................................................................................
1.3. Tujuan Makalah ............................................................................................
BAB II PEMBAHASAN ..................................................................................................
2.1 Pengendalian untuk Keamanan Informasi.....................................................
2.2 Konsep Keamanan Informasi Fundamental...................................................
2.3 Pengendalian Preventif..................................................................................
2.4 Pengendalian Detektif...................................................................................
2.5 Pengendalian Korektif...................................................................................
2.6 Implikasi Keamanan Virtualisasi dan Cloud..................................................
3.1 Pengendalian Kerahasiaan dan Privasi..........................................................
3.2 Menjaga Kerahasiaan....................................................................................
3.3 Privasi............................................................................................................
3.4 Enkripsi.........................................................................................................
3.4.1. Faktor-faktor yang Mmepengaruhi Kekuatan Enkripsi.......................
3.4.2. Jenis-jenis Sistem Enkripsi..................................................................
BAB III PENUTUP ..........................................................................................................
4.1 Kesimpulan ...................................................................................................
DAFTAR PUSTAKA........................................................................................................
 BAB I
PENDAHULUAN

1.1. Latar Belakang

Informasi adalah salah satu asset penting yang sangat berharga bagi kelangsungan
hidup suatu organisasi/bisnis, pertahanan keamanan dan keutuhan negara, kepercayaan publik
atau konsumen, sehingga harus dijaga ketersediaan, ketepatan dan keutuhan informasinya. .
Informasi dapat disajikan dalam berbagai format seperti: teks, gambar, audio, maupun video.
Manajemen pengelolaan informasi menjadi penting ketika terkait dengan kredibilitas dan
kelangsungan hidup orang banyak. Tujuan manajemen informasi adalah untuk melindungi
kerahasiaan, integritas dan ketersediaan informasi tersebut.
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur,
struktur-struktur organisasi dan piranti lunak. Keamanan informasi memproteksi informasi
dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan
dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi
memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk
memastikan data telah terkirim dan diterima oleh user yang benar.
Manajemen Keamanan Informasi (SMKI) yang terdokumentasi dalam konteks risiko
bisnis organisasi secara keseluruhan. Standar ini menetapkan persyaratan penerapan
pengendalian keamanan yang disesuaikan dengan kebutuhan masing-masing organisasi atau
bagian organisasi. SMKI didesain untuk memastikan pemilihan pengendalian keamanan yang
memadai dan proposional untuk melindungi aset informasi dan memberikan kepercayaan
kepada pihak terkait [3]. Penentuan penggunaan SNI ISO/IEC 27001:2009 sebagai acuan
perancangan tata kelola keamanan informasi dikarenakan menyediakan kerangka kerja untuk
netralitas penggunaan teknologi, termasuk kemampuan mengakses data secara berkelanjutan
dengan adanya kerahasiaan dan integritas atas informasi yang dimiliki serta kebutuhan pihak-
pihak berkepentingan sesuai dengan hak wewenang yang diperoleh.
Kerahasiaan juga merupakan penjagaan privasi saat interaksi pada informasi yang
diberikan dan juga informasi yang diterima sehingga pihak-pihak yang tidak terkait tidak
dapat mengetahui isi informasi yang disampaikan dan di antara ilmu komputer juga terdapat
kerahasiaan dalam menjaga sebuah data dan informasi sehingga data yang disimpan, dikelola
maupun dikirim memiliki keamanan yang tidak diragukan.
1.2. Rumusan Masalah
Berdasarkan apa yang telah disampaikan pada latar belakang, maka dsimpulkan bahwa
rumusan masalah makalah ini adalah:
1. Jelaskan bagaimana konsep keamanan informasi fundamental?
2. Jelaskan bagaimana memahami serangan yang ditargetkan?
3. Apa itu pengendalian preventif?
4. Apa itu pengendalian detektif?
5. Apa itu pengendalian korektif?
6. Jelaskan bagaimana implikasi keamanan virtualisasi dan Cloud?
7. Jelaskan bagaimana menjaga kerahasiaan?
8. Apa itu privasi?
9. Apa itu enkripsi?

1.3. Tujuan Makalah

Berdasarkan apa yang sudah dijadikan rumusan masalah, maka diambil kesimpulan
tujuan dari makalah ini yaitu:
1. Menjelaskan konsep keamanan informasi fundamental
2. Menjelaskan bagaimana memahami serangan yang ditargetkan
3. Menjelaskan apa itu pengendalian preventif
4. Menjelaskan apa itu detektif
5. Menjelaskan apa itu korektif
6. Menjelaskan implikasi keamanan virtualisasi dan Cloud
7. Menjelaskan bagaimana menjaga kerahasiaan
8. Menjelaskan apa itu privasi
9. Menjelaskan apa itu enkripsi
10.
 BAB II
PEMBAHASAN

2.1 PENGENDALIAN UNTUK KEAMANAN INFORMASI

Saat ini, setiap organisasi bergantung pada teknologi informasi (TI-information
technology). Banyak juga organisasi yang setidaknya memindahkan sebagian dari system
informasinya ke cloud. Manajemen menginginkan jaminan bahwa informasi yang dihasilkan
oleh system akuntansi milik perusahaan adalah reliable serta keandalan penyedia layanan
cloud dengan rekan kontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa
organisasi patuh terhadap susunan peraturan dan ketentuan industry yang terus berkembang
termasuk Sarbanes-Oxley (SOX), Health Insurance Portability and Accountability Act
(HIPAA), dan Payment Card Industry Data Security Standards (PCI-DSS).
Keamanan informasi merupakan landasan keandalan system dan diperlukan untuk
mencapai masing-masing dari empat prinsip lainnya. Prosedur-prosedur keamanan informasi
membatasi akses system hanya untuk pengguna yang terotorisasi saja, sehingga melindungi
kerahasiaan data keorganisasian yang sensitive dan privasi atas informasi pribadi yang
dikumpulkan dari pelanggan. Sejumlah prosedur keamanan informasi melindungi integritas
informasi dengan mencegah terjadinya transaksi tanpa izin atau fiktif serta mencegah
perubahan tanpa izin terhadap data atau program tersimpan. Terakhir, prosedur-prosedur
keamanan informasi memberikan perlindungan terhadap berbagai serangan, termasuk virus
dan worm, sehingga memastikan bahwa sitem tersedia ketika diperlukan.
2.2 DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL
Keamanan informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. “Keamanan Teknologi Informasi” atau IT Security mengacuh pada usaha- usaha
mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses
terlarang serta utilisasi jaringan yang tidak diizinkan.
Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan meliputi :
informasi yang tersimpan dalam computer (baik desktop komputer maupun mobile komputer,
server dan workstation), segala data yang melintas dijaringan, informasi yang dicetak pada
kertas, dikirim melalui fax, data atau informasi yang tersimpan dalam disket, CD, DVD,
Flashdisk, atau penyimpanan data lain termasuk juga informasi yang disampaikan dalam
pembicaraan (termasuk hal percakapan melalui telepon), tersimpan di mobile phone, melalui
sms, e-mail, tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP
atau media presentasi lain dan metode-metode lain yang dapat digunakan untuk
menyampaikan informasi berupa ide-ide baru perusahaan.
Keamanan informasi berbeda dengan keamanan teknologi informasi karena mengacu
pada dua hal yang berbeda. Keamanan teknologi informasi mengacu pada usaha-usaha
mengamankan infrastruktur teknologi informasi dari gangguan berupa akses terlarang serta
utilisasi jaringan yang tidak diizinkan. Keamanan informasi berfokus pada data dan informasi
milik organisasi dengan merencanakan, mengembangkan serta mengawasi semua kegiatan
yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi
sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak
yang tidak berwenang.
Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah Teknologi
Manajemen senior harus berpartisipasi dalam pengembangan kebijakan karena
mereka harus memutuskan sanksi yang akan diberikan terhadap tindakan ketidaknpatuhan.
Sebagai tambahan, dukungan dan keterlibatan aktif dari manajemen puncak diperlukan untuk
memastikan bahwa pelatihan dan komunikasi keamanan informasi dilakukan dengan serius.
Agar menjadi efekti, komunikasi ini harus melibatkan lebih dari sekedar menyerahkan
sebuag dokumen tertulis ke orang-orang atau mengirimi mereka sebuah pesan email dan
mereka untuk menandatangani sebuah surat tanda terima bahwa ereka menerima
pemberitahuan yang teratur dan periodic terkait kebijakan keamanan serta melatih bagaimana
cara untuk mematuhinya.
Manajemen senior juga harus mengotorisasi investassi sumber daya yang diperlukan
untuk mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang
dikehendaki. Kamajuan dalam TI menciptakan ancaman baru dan mengubah risiko yang
tercampur dengan ancaman lama. Oleh karena itu, manajemen harus secara periodic menilai
ulang respons risiko organisasi dan, ketika diperlukan, membuat perubahan terhadap
kebijakan keamanan informasi serta berinvestasi pada solusi baru untuk memastikan bahwa
upaya keamanan informasi organisasi mendukung strategi bisnisnya secara konsisten dengan
kebutuhan risiko manajemen.
Defense-In-Depth dan Model Keamanan Informasi Berbasis Waktu
 Defense-in-depth secara khusu melibatkan penggunaan sebuah kombinasi dari
pengendalian preventif, detektif, dan korektif. Peran pengendalian preventif adalah untuk
membatasi tindakan individu tertentu agar sesuai dengan kebijakan keamanan organisasi.
Meski demikian, auditor telah lama menyadari bahwa pengendalian preventif tidak pernah
dapat memberikan perlindungan 100%. Dengan waktu dan sumber daya yang cukup, segala
pengendalian preventif dapat diletakkan. Oleh karenanya, perlu untuk melengkapi
pengendalian preventif dengan metode-metode untuk mendeteksi insiden dan prosedur untuk
melakukan tindakan perbaikan korektif.
Mendeteksi penorobosan keamanan dan penetapan tindakan perbaikan korektif harus
tepat waktu karena segera setelah pengendalian preventif diterobos, seorang penyusup dapat
dengan cepat menghancurkan, membahayakan atau mencuri sumber daya ekonomi dan
informasi organisasi. Oleh karena itu, tujuan dari model keamanan berbasis waktu (time
based model of security) adalah menggunakan kombinasi perlindungan preventif, detektif,
korektif yang melindungi asset informasi cukup lama agar memungkinkan organisasi untuk
mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk
mengagalkannya sebelum informasi hilang atau dirusak.

2.3 MEMAHAMI SERANGAN YANG DITARGETKAN

Langkah-langkah dasar yang dilakukan para pejabat untuk menyerang system
informasi suatu perusahaan.
1. Melakukan pengintaian (conduct reconnaissance). Para perampok bank biasanya
tidak sekedar bergerak ke bank dan berusaha merampoknya. Sebaliknya, mereka
mempelajari dulu tata ruang fisik target mereka untuk memahami pengendalian yang
dimiliki oleh tempat tersebut (alarm, jumlah penjaga, penempatan kamera,dsb.).
2. Mengupayakan rekayasa social (attempt social engineering). Mengapa harus
menerjang seluruh masalah untuk percobaan pembobolan sebuh system jika ada
seseorang yang membiarkan anda masuk? Para penyerang sringkali mencoba
menggunakan informasi yang didapatkan selama pengintaian awal untuk
“mengelabui” seorang pegawai yang tidak merasa curiga untuk member aksek
kepada mereka.
3. Memindai dan memetakan target (scan and map the target). Jika seorang
 penyerang tidak berhasil memasuki system target melalui rekayasa social, langkah
selanjutnya adalah melakukan lebih banyak pengintaian terperinci untuk
mengidentifikasi titik-titik potensial entri jarak jauh.
4. Penelitian (research). Segera setelah penyerang mengidentifikasi target-target
spesifik dan mengetahui jenis servis perangkat lunak yang dijalankan, langkah
selanjutnya adalah melakukan penelitian untuk menemukan kerentanan yang
terdeteksi pada program-program tersebut serta mempelajari bagaimana
memanfaatkan kerentanan tersebut.
5. Mengeksekusi serangan (execute the attack). Penyerang memanfaatkan kerentanan
untuk mendapatkan akses tanpa izin terhadap system informasi target.
6. Menutupi jejak (cover tracks). Setelah memasuki system informassi pengguna,
sebagian besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan
“pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika
serangan awal mereka diketahui dan pengendalian diimplementasikan untuk
mengeblok meode entri tersebut.
2.4 PENGENDALIAN PREVENTIF
Pengndalian preventif yang digunakan organisasi secara umum digunakan untuk
membatasi akses terhadap sumber daya informasi. Berbagai pengendalian preventif tersebut
selaras bersamaan dengan seperti kepingan-kepingan puzzle yang menyediakan defense-in-
depth secara kolektif. Meskipun seluruh kepingan penting, komponen “orang-orang” adalah
yang paling penting. Manajemen harus menciptakan sebuah budaya “sadar keamanan” dan
para pegawai harus dilatuh untuk mengikuti kebijakan-kebijakan keamanan serta
mempraktikan perilaku komputasi yang aman.
1. Orang-orang: penciptaan sebuah budaya “sadar-keamanan” untuk menciptakan
sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
keorganisasian, manajemen puncak tidak hanya harus mengomunikasikan kebijakan
keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya.
2. Orang-orang: pelatih. Pelatih adalah sebuah pengendalian preventif yang kritis.
Bahkan, pentingnya hal tersebut tercermin dalam fakta bahwa pelatih kesadaran
keamanan dibahas sebagai praktik utama guna mendukung beberapa dari 32 proses
manajemen COBIT 5. Seluruh pegawai harus dianjarkan tentang pentingnya ukuran-
 ukuran keamanan bagi kebertahanan jangka-panjang organisasi.
3. Proses: pengendalian akses pengguna. Organisasi perlu menerapkan satu set
pengendalian yang dirancang untuk melindungi asset informasi mereka dan
penggunaan akses tanpa izin yang dilakukan oleh pegawai.
4. Pengendalian autentikasi. Autentikasi (authentication) adalah proses verifikasi
identitas seseorang atau perangkat yang mencoba untuk meengakes system.
Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses
system.
5. Pengendalian otorisasi. Otorisasi (authorization) adalah proses dari memperketat
akses dari pengguna sah terhadap bagian spesifik system dan membatasi tindakan-
tindakan apa saja yang diperoleh untuk dilakukan. Tujuannya adalah untuk
menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan
mengelola pemisahan tugas yang tepat.
6. Solusi TI: pengendalian antimalware. Malware (seperti virus, worm, perangkat
lunak keystroke logging, dsb) adalah sebuah ancaman besar. Malware dapat
membahayakan atau menghancurkan informasi atau menghasilkan sebuah cara untuk
memperoleh akses tanpa izin.
2.5 PENGENDALIAN DETEKTIF
Bagian ini mendiskusikan empat jenis pengendalian detektif sebagai berikut.
1. Analisis Log. Log perlu dianalisis secara teratur untuk mendeteksi masalah secara
tepat waktu. Hal ini tidak mudah karena ukuran log dapat bertambah dengan cepat.
Masalah lain adalah banyak perangkay menghasilkan log dengan format hak milik,
yang menyulitkannya untuk mengorelasikan dan merangkum log dari perangkat-
perangkat yang berbeda. Tool perangkat lunak seperti sitem manajemen log dan
system manajemen informasi keamanan berupaya untuk menyampaikan masalah-
masalah ini dengan mengonversi format log vendor khusus kedalam representasi
umum dan menghasilkan laporan yang mengorelasikan dan merangkum informasi
dari berbagai sumber.
2. System Detektif Gangguan. System detektif gangguan (intrusion detection system-
IDS) Jaringan terdiri atas satu set sensor dan unit pengawasan pusat (central
monitoring unit) yang menghasilkan log dari seluruh lalu lintas jaringan yang
 diizinkan untuk melewati firewall dan kemudian menganalisis log-log tersebut
sebagai tanda atass gangguan yang diupayakan atau berhasil dilakukan.
3. Pengujian Penetrasi. Pengujian penetrasi memberikan sebuah cara yang lebih
cermat untuk menguji efektivitas keamanan informasi sebuah organisasi. Sebuah uji
penetrasi (penetration test) adalah sebuah upaya terotorisasi oleh baik tim audit
internal maupun kantor konsultasi keamanan eksternal untuk menerobos kedalam
system informasi organisasi.
4. Pengawasan Berkelanjutan. Praktik manajemen COBIT 5 menekankan pentingnya
pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan
informasi organisasi serta kinerja keseluruhan proses bisnis. Pengawasan tersebut
merupakan pengendalian detektif penting yang dapat mengidentifikasi masalah
potensial secara tepat waktu. Mengukur kepatuhan terhadap kebijakan adalah hal
mudah, tetapi kinerja pengawasan secara efektif memerlukan pertimbangan dan
keahlian.
2.6 PENGENDALIAN KOREKTIF
Sekarang, akan dibahas tiga pengendalian korektif yang penting sebagai berikut.

1. Computer Incident Response Team (CIRT). Sebuah komponen utama agar mampu
merespons insiden keamanan dengan tepat dan efektif adalah penetapan sebuah tim
perespons insiden computer (computer incident response team-CIRT). Sebaiknya
CIRT tidak hanya melibatkan spesialis teknis, tetapi juga manajemen operasi senior,
karena beberapa respons potensial inseiden keamanan memiliki konsekuensi
ekonomi yang signifikan.

2. Chief Information Security Officer (CISO). Satu cara untuk memenuhi sasaran ini
adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi system
informasi lainnya serta harus malapor baik ke chief operating officer (COO) maupun
chief executive officer (CEO0.

3. Manajemen Patch. Manajemen patch adalah (patch management) adalah proses

untuk secara teratur menerapkan patch dan memperbaruhi seluruh perangkat lunak
yang digunakan oleh organisasi. Hal tersebut tak semudah kedengarannya. Sejumlah
 patch mempresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya,
patch terkadang meciptakan masalah baru karena dampak lain yang tidak di
antisipasi. Oleh karena itu, organisasi perlu menguji dengan cermat efek daro patch
yang dirilis setiap tahun untyk setiap program perangkat lunak yang digunakan
organisasi.
2.7 IMPLIKASI KEAMANAN VIRTUALISASI DAN CLOUD
Virtualisasi (virtualization) memanfaatkan kekuatan dan kecepatan computer
moderen untuk menjalankan berbagai system secara bersamaan pada suatu computer fisik.
Komputai cloud (cloud computing) memanfaatkan high bandwidth dari jaringan
telekomunikasi global modern agar kemungkinan para pegawai menggunakan sebuah
browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah
layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), perangkat
keras (infrastruktur sebagai sebuah layanan), dan seluruh lingkungan aplikasi (platform
sebagai sebuah layanan).
Virtualisasi dan komputasi cloud merubah risiko beberapa ancaman keamanan
informasi. Sebagai contoh, akses fisik yang tidak diawasi di sebuah lingkungan virtualisasi
membongkar tidak hanya satu perangkat, tetapi juga seluruh jaringan virtual pencurian atau
penghancuran dan perusakan. Sama halnya, perusahaan sebuah system penyedia cloud
mungkin menyediakan akses tanpa izin ke berbagai system.
Meskipun virtualisasi dan komputasi cloud dapat meningkatkan risiko beberapa
ancaman, perkembangan keduanya juga menawarkan peluang untuk meningkatkan
keseluruhan keamanan secara signifikan. Sebagai contoh, penerapan pengendalian kases yang
kuat pada cloud atau seluruh system yang dimuatnya. Oleh karena itu, virtualisasi dan
komputasi cloud dapat memiliki baik efek positive maupun negative pada keseluruhan
tingkatan keamanan informasi, tergantung pada sebaik apa organisasi atau penyedia cloud
mengimplementasikan berbagai lapisan dari pengendalian preventif, detektif, dan korektif.
4.1 PENGENDALIAN KERAHASIAAN DAN PRIVASI
Teknologi Informasi dan Komunikasi telah berperan besar dalam proses penerimaan,
pengiriman, maupun penyimpanan data, baik data yang bersifat publik maupun data privasi
di berbagai bidang. Namun sayangnya, pemberdayaan Teknologi Informasi dan Komunikasi
yang terkait dengan data pribadi atau privasi ini mulai berjalan diluar kendali. Kondisi yang
terjadi saat ini adalah timbulnya penyalahgunaan data pribadi atau pelanggaran privasi hingga
dampaknya dapat merugikan masyarakat sebagai pengguna.
Banyaknya masyarakat yang menggunakan media elektronik sebagai alat komunikasi
memiliki potensi untuk terjadinya pelanggaran terhadap privasi khususnya adalah
penyalahgunaan data pribadi. Hal tersebut dipengaruhi oleh perilaku atau budaya masyarakat
yang senang membagi bagi data serta informasi. Contohnya dari media elektronik seperti
telepon seluler yang mengharuskan mengisi data pribadi atau registrasi sebelum
menggunakan kartu telepon seluler atau bahkan melalui media elektronik internet di setiap
profil pada akun jejaring sosial (seperti Facebook, Twitter, Friendster, MySpace, dan lain-
lain) individu yang bersangkutan selalu mencantumkan data-data pribadinya secara relatif
lengkap dan jujur. Informasi pribadi, seperti tanggal lahir, nomor telepon, tempat tinggal,
foto-foto pribadi dan lainnya tentu saja secara sengaja maupun tidak sengaja, dipicu dengan
karakteristik internet yang terbuka dan bebas, data informasi ini mudah sekali mengalir dari
satu tempat ke tempat lainnya tanpa terkendali. Berkaitan dengan masalah privasi, membahas
privasi berarti membahas tentang hak untuk menikmati hidup. Meskipun privasi diakui
sebagai hak asasi manusia, sebagai sebuah konsep, sangat sulit untuk mendefinisikan dan
bervariasi sesuai dengan konteks, bangsa, dan budaya. Konsep privasi menonjol dalam
wacana tentang ancaman sosial dan politik yang ditimbulkan oleh teknologi informasi dan
komunikasi modern (ICT).
Di Amerika Serikat (AS), "Privacy" adalah konsep yang sering digunakan pada
wilayah publik, akademik dan wacana peradilan, dimana pada tahun 1960-an terjadi diskusi
yang sangat serius tentang implikasi dari pengolahan data pribadi terkomputerisasi, dimana
"privacy" dianggap sebagai istilah kunci untuk menyimpulkan timbunan ketakutan yang
diakibatkan oleh penggunaan komputer. Namun, privasi tidak menjadi satu-satunya
istilah/tema yang disebut dalam konteks diskusi tersebut. Konsep yang saling tumpang tindih
juga telah mengemuka, seperti konsep tentang kebebasan dan otonomi. Perdebatan di
Amerika Serikat di tahun 1960-an dan awal 1970-an tentang privasi, terkait ancaman yang
ditimbulkan oleh ICT modern memiliki pengaruh yang cukup besar terhadap
4.2 MENJAGA KERAHASIAAN
Organisasi memiliki informasi sensitive yang tak terhitung, termasuk rencana
strategis, rahasia dagang, informasi biaya, dokumen legal, dan peningkatan proses. Kekayaan
intelektual ini sering kali sangat penting sebagai keunggulan kompetitif dan kesuksesan
jangka panjang organisasi. Oleh karenanya, menjaga kerahasiaan kekayaan intelektual
organisasi dan informasi serupa yang dibagi (shared) dengan rekan bisnis, telah lama dikenal
sebagai sebuah tujuan utama keamanan informasi.
Identifikasi dan Klasifikasi Informasi untuk Dilindungi
Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang
yang mengaksesnya. Hal tersebut terdengan mudah, tetapi mengusahakan persediaan yang
lengkap dari setiap simpanan digital dan kertas informasi sama-sama memakan waktu serta
biaya karena melibatkan pemeriksaan yang lebih cermat dari pada isis system keuangan
organisasi.
Melindungi Kerahasiaan dengan Enkripsi
Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerhasiaan. Ia
adalah satu-satunya cara untuk melindungi informasi dalam lalu lintasnya melalui internet.
Enkripsi juga merupakan bagian yang diperlukan dari defense-in-depth untuk melindungi
informasi yang disimpan dalam situs atau didalam sebuah cloud public. Namun enkripsi
bukanlah sebuah obat yang manjur. Beberapa informasi sensitive, sesungguhnya merupakan
“petunjuk praktis” seperti shortcut proses, mungkin tidak didimpan secara digital sehingga
tidak dapat dilindungi dengan enkripsi.
Mengendalikan Akses Terhadap Informasi Sensitif
Pengendalian akses fisik dasar untuk mencegah seseorang dengan akses yang tak
terawasi untuk mengunduh dan menyalin dengan cepat informasi rahasia berukuran gigabyte
kedalam sebuah USB drive, iPod, telepon seluler, atau perangkat portable lainnya. Hal
tersebut terutama penting untuk mempersempit akses terhadap ruangan-ruangan yang berisi
printer, penyalin digital, dan mesin faks karena perangkat tersebut biasanya memiliki RAM
dengan kapasitas besar yang mampu menyimpan segala informai rahasia yang dicetak.
Pelatihan
Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan.
Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar
dan jenis informasi yang perlu dilindungi. Sebagai contoh, para pegawai seringkali tidak
menyadari pentingnya informasi yang mereka miliki, seperti langkah-langkah penghematan
waktu dan fitur-fitur tak terdokumentasikan yang mereka temukan ketika menggunakan
program perangkat lunak tertentu.
4.3 PRIVASI
Prinsip privasi Trust Services Freamework erat kaitannya dengan prinsip
kerahasiaan, perbedaan utamanya, yaitu ia lebih berfokus pada perlindungan informasi
pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data
keorganisasian.
Pengendalian Privasi
Seperti pada kasus informasi rahasia, langkah pertama untuk melindungi privasi
informassi pribasi yang dikumpulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis,
yaitu mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia disimpan, dan orang
yang memiliki akses terhadapnya. Kemudian, pentingpula untuk menerapkan pengendalin
guna melindungi informasi tersebut karena insiden-insiden yang melibatkan pengungkapan
tak terotorisasi atas informasi pribadi yang disengaja atau tidak dapat memakan biaya.
Permasalahan Privasi
Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas. Spam
adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan.
Spam merupakan permasalahan yang terkait privasi karena penerima seringkali menjadi
target tujuan atas akses tak terotorisasi terhadap daftar dan database e-mail yang berisi
informasi pribadi. Pencurian identitas (identity theft), yaitu penggunaan tidak sah atas
informasi pribadi seseorang demi keuntungan pelaku. Seringnya, peruncian identitas berupa
kajahatan keuangan yakni pelaku mendapatkan pinjaman atau membuka kartu kredit baru
atas nama korban dan terkadang menjarah rekening bank milik korban.
4.4 ENKRIPSI
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk
melindungi baik kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan
melalui internet dan juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh
seorang penyusup yang telah mendapatkan akses tak terotorisasi atas informais yang
disimpan.
3.4.1 Faktor-faktor yang Mmepengarui Kekuatan Enkripsi
Tiga faktor penting yang menentukan kekuatan system enkripsi sebagaib berikut.
 1. Panjang Kunci. Kunci yang lebih panjang memberikan enkripsi yang lebih kuat
dengan mengurangi jumlah blok-blok berulang pada chipertext. Hal tersebut
menjadikan lebih sulit untuk menunjukkan pola-pola chipertext yang
merefleksikan pola-pola plaintext asli.
2. Alogartime Enkripsi. Jenis alogartimenyang digunakan untuk
mengombinasikan kunci dan plaintext adalah sangat penting. Sebuah algoritme
kuat yang rumit, bukannya tidak mungkin untuk dirusak dengan menggunakan
teknik penebakan paksaan-brutal. Kerahasiaan tidak diperlukan untuk kekuatan.
3. Kebijakan untuk Mengelolah Kunci Kriptografi. Manajemen kunci
kriptografi seringkali merupakan aspek yang paling rentan dari sitem enkripsi.
Tidak masalah seberapa panjang kunci atau seberapa kuat sebuah algoritme
enkripsi, jika kunci telah dicuri, enkripsi dapat dirusak dengan mudah. Oleh
karena itu, kunci kriptografi harus disimpan secara aman dan dilindungi dengan
pengendalian aksek yang kuat.
3.4.2 Jenis-jenis Sistem Enkripsi
1. Sistem enkripsi simetris. Sistem enkripsi yang menggunakan kunci yang sama
untuk mengenkripsikan dan mendekripsi.
2. Sistem enkripsi asimentris. Sistem enkripsi yang menggunakan dua kunci (satu
public, lainnya privasi), keduanya dapat mengenkripsi, tetapi hanya kunci
pencocokkan lainnya yang dapat mendekripsi.
3. Kunci public. Salah satu kunci yang digunakan dalam sistem enkripsi asimetris.
Kunci ini didistribusikan secara luas dan tersedia bagi siapapun.
4. Kunci privat. Salah satu kunci yang digunakan pada sistem enkripsi asimetris.
Kunci ini dirahasiakan dan ketahui oleh pemilik dari sepasang kunci public dan
privat.
5. Key escrow. Proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi
yang aman.
 BAB III
PENUTUP
4.1 Kesimpulan
Keamanan informasi merupakan landasan keandalan system dan diperlukan untuk
mencapai masing-masing dari empat prinsip lainnya. Prosedur-prosedur keamanan
informasi membatasi akses system hanya untuk pengguna yang terotorisasi saja, sehingga
melindungi kerahasiaan data keorganisasian yang sensitive dan privasi atas informasi
pribadi yang dikumpulkan dari pelanggan. Keamanan informasi diperoleh dengan
mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-
kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti
lunak. Keamanan informasi memproteksi informasi dari ancaman yang luas untuk
memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba
atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data
untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data
telah terkirim dan diterima oleh user yang benar.
Manajemen Keamanan Informasi (SMKI) yang terdokumentasi dalam konteks
risiko bisnis organisasi secara keseluruhan. Standar ini menetapkan persyaratan penerapan
pengendalian keamanan yang disesuaikan dengan kebutuhan masing-masing organisasi
atau bagian organisasi. SMKI didesain untuk memastikan pemilihan pengendalian
keamanan yang memadai dan proposional untuk melindungi aset informasi dan
memberikan kepercayaan kepada pihak terkait [3]. Penentuan penggunaan SNI ISO/IEC
27001:2009 sebagai acuan perancangan tata kelola keamanan informasi dikarenakan
menyediakan kerangka kerja untuk netralitas penggunaan teknologi, termasuk
kemampuan mengakses data secara berkelanjutan dengan adanya kerahasiaan dan
integritas atas informasi yang dimiliki serta kebutuhan pihak-pihak berkepentingan sesuai
dengan hak wewenang yang diperoleh.
Kerahasiaan juga merupakan penjagaan privasi saat interaksi pada informasi yang
diberikan dan juga informasi yang diterima sehingga pihak-pihak yang tidak terkait tidak
dapat mengetahui isi informasi yang disampaikan dan di antara ilmu komputer juga
terdapat kerahasiaan dalam menjaga sebuah data dan informasi sehingga data yang
disimpan, dikelola maupun dikirim memiliki keamanan yang tidak diragukan.
 DAFTAR PUSTAKA

Marhhall B. Romney & Paul John Steinbart. 2015. Sistem Informasi Akuntansi. Jakarta:
Salemba Empat

Tansah Rahmatullah. Kajian Mengenai Privasi Dalam Informasi Digital Dihubungkan

Dengan Directive 95/46/EC dan Directive 2002/58/EC of The European Parliament and of
The Council. Jurnal Hukum Media Justitia Nusantara Vol. 7 No. 1 Februari 2017

Niko Surya Atmaja, Yuhandri Yunus & Sumijan. KerahasiaanTeks Basis Data MySQL
Menggunakan Algoritma Elgamal. JurnalSistem Informasi dan Teknologi Vol.
1No.4(2019)65-71

Muhammad Bakri & Nia Irmayana. Analisis dan Penerapan Sistem Manajemen Keamanan
SIMHP BPKB Menggunakan Standar ISO 27001. Jurnal TEKNOKOMPAK, Vol. 11, No. 2,
2017, 41-44. ISSN 1412-9663

Ayu Candra DewI, Eko Nugroho & Rudy Hartanto. Penyusunan Tata Kelola Keamanan
Informasi pada Produksi Film (Kasus di PT. XX). Jurnal SNI ISO/IEC 27001:2009

Melwin Syafrizal. ISO 17799: Standar Sistem Manajemen Keamanan Informasi.

Seminar Nasional Teknologi 2007 (SNT 2007)ISSN : 1978 – 9777 
Yogyakarta, 24 November 2007