TUGAS SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

PENGENDALIAN KERAHASIAAN DAN PRIVASI

FAKULTAS EKONOMI DAN BISNIS

PRODI AKUNTANSI
2020
 KATA PENGANTAR

Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa, karena berkat rahmat-Nya
kami dapat menyelesaikan makalah ini sebagai salah satu tugas dari dosen mata kuliah Sistem
Informasi Akuntansi dan Pengendalian Internal dengan judul makalah “Pengendalian
Kerahasiaan dan Privasi”.

Tercurah dari segala kemampuan yang ada, kami berusaha membuat makalah ini dengan
sebaik mungkin, namun demikian kami menyadari sepenuhnya bahwa penulisan makalah ini
masih banyak kekurangan dikarenakan keterbatasan pengetahuan kami. Maka dengan sepenuh
hati kami mohon maaf dan mengharapkan saran dan kritik yang bersifat membangun untuk
perbaikan selanjutnya.

Terakhir kami ucapkan terimakasih untuk semua pihak yang sudah membantu dan
memudahkan penyelesaian makalah ini, kami berharap semoga makalah ini bisa bermanfaat.

Denpasar, 21 Oktober 2020

Penulis

i
 DAFTAR ISI

KATA PENGANTAR................................................................................................................................i
DAFTAR ISI..............................................................................................................................................ii
BAB I..........................................................................................................................................................1
PENDAHULUAN......................................................................................................................................1
1.1 Latar Belakang..........................................................................................................................1
1.2 Rumusan Masalah.....................................................................................................................1
1.3 Tujuan........................................................................................................................................1
BAB II PEMBAHASAN...........................................................................................................................2
2.1 Tindakan Dasar Dalam Menjaga Kerahasiaan.......................................................................2
2.2 Langkah-Langkah Pengendalian Privasi.................................................................................4
2.3 Regulasi dan Prinsip Privasi Yang Diterima Secara Umum..................................................7
2.4 Pengertian Enkripsi...................................................................................................................9
2.5 Jenis-Jenis Sistem Enkripsi.....................................................................................................12
BAB III PENUTUP.................................................................................................................................19
3.1 Kesimpulan..............................................................................................................................19
DAFTAR PUSTAKA..............................................................................................................................21

ii
 BAB I
PENDAHULUAN
1.1 Latar Belakang
Sistem informasi akuntansi adalah suatu sistem dalam sebuah organisasi yang
bertanggung jawab untuk penyiapan informasi yang diperoleh dari pengumpulan dan
pengolahan data transaksi yang beruna bagi semua pemakai baik di dalam maupun di luar
perusahaan. Sistem ini menyiapkan informasi dengan melaksanakan operasi-operasi
tertentu atas semua data sumber yang diterimanya dan juga mempengaruhi hubungan
organisasi perusahan dengan lingkungan sekitarnya.
Di dalam melakukan penyediaan informasi-informasi tersebut, haruslah diperhatikan
dan juga dijaga keamanannya. Organisasi atau perusahaaan harus mengupayakan
keamanan dan kerahasiaaan informasi yang ada, dan harus bisa menentukan langkah
yang tepat dalam pengendalian privasi dan juga enskripsi.

1.2 Rumusan Masalah

1. Apa saja tindakan dasar dalam menjaga kerahasiaan ?
2. Bagaimana langkah-langkah dalam pengendalian privasi?
3. Apa saja regulasi dan prinsip-prinsip privasi yang diterima secara umum?
4. Apa pengertian dari enkripsi?
5. Apa saja jenis-jenis sistem enkripsi?
1.3 Tujuan
1. Untuk mengetahui Tindakan dasar dalam menjaga kerahasiaan.
2. Untuk mengetahui Langkah-langkah dalam pengendalian privasi.
3. Untuk mengetahui regulasi dan prinsip-prinsip privasi yang diterima secara umum.
4. Untuk mengetahui pengertian dari enkripsi.
5. Untuk mengetahui jenis-jenis sistem enkripsi.

1
 BAB II
PEMBAHASAN

2.1 Tindakan Dasar Dalam Menjaga Kerahasiaan

Menjaga kerahasiaan kekayaan intelektual sebuah organisasi dan menjaga privasi informasi
pribadi yang dikumpulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis merupakan
tujuan utama menjaga kerahasiaan atas informasi sensistif.

Identifikasi dan
Klasifikasi Informasi Penjagaan Enkripsi
Kerahasiaan
dan Privasi

Pengendalian
Pelatihan Akses

2
 Kekayaan intelektual ini sering kali sangat penting sebagai keunggulan kompetetif dan
kesuksesan jangka panjang organisasi. Menjaga kerahasiaan kekayaan intelektual organisasi dan
informasi serupa yang dibagi (shared) dengan rekan bisnis, telah lama dikenal debagai sebuah
tujuan utama keamanan informasi. Adapun empat tindakan dasar yang harus dilakukan untuk
menjaga kerahasiaan atau informasi sensitif :

a) Identifikasi dan Klasifikasi Informasi untuk dilindungi

Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitive adalah mengidentifikasi letak informasi tersebut disimpan dan orang
yang mengaksesnya. Langkah ini mengusahakan persediaan yang lengkap dari setiap
simpanan digital dan kertas informasi yang membutuhkan waktu serta biaya.
Contohnya, perusahaan manufaktur yang menggunakan otomatisasi pabrik berskala
besar. Sistem ini memuat intruksi yang mungkin memberikan keunggulan biaya
signifikan atau peningkatan produk disbanding pesaing, sehingga harus dilindungi
dari pengunkapan yang tidak diotorisasi-penggelapan.
b) Melindungi Kerahasiaan Dengan enkripsi
Enkripsi merupakan alat atau bagian yang diperlukan dari defense-indepth untuk
melindungi informasi yang disimpan dalam situs atau di dalam sebuahcloud public.
Contohnya, banyak kantor akuntan telah menciptakan portal aman yang digunakan
untuk membagi informasi sensitive atas audit, pajak, atau konsultasi dengan klien.
c) Mengendalikan Akses Terhadap Informasi Sensitif
Perangkat lunak information rights management (IRM-manajeman hak informasi)
memberikan tambahab lapisan perlindungan terhadap informasi yang disimpan
dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses
terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan yang dapat
dilakukan individu yang diberi akses terhadap sumber daya. Saat ini, organisasi
secara jonstan mempertukarkan informasi dengan rekan bisnis dan pelanggannya.
Oleh karena itu, perlindungan kerahasiaan juga mensyaratkan pengadilan terhadap
komunikasi ke luar yaitu alat perangkat lunak data loss prevention (DLP-pencegahan
kehilangan data) yang dilengkapi dengan kode terlekat yaitu watermark digital.
Watermark digital merupakan pengendalian detektif yang memungkinkan sebuah

3
 organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.
Organisasi harus menyelidiki penyebab masalah tersebut dapat terjadi dan mengambil
tindakan korektif yang sesual. Untuk mencegah seseorang dengan akses yang ta
terawati untuk mengunduh dan menyalin dengan cepat informasi rahasia berukuran
gigabyte ke dalam sebuah USB drive, iPod, telepon seluler, atau perangkat portable
lainnya. Terdapat praktik menejemn COBIT-5 yang membahas kebutuhan untuk
mengendalikan akses fisik terhadap informasi sensitive. Laporan cetak dan microfilm
yang mengandung informasi rahasia harus dirobek sebelum dibuang dan perangkat
lunak khusus yang di desain untuk “menghapus” bersih media dengan menimpa
secara berulang disk atau drive menggunakan pola data yang acak. Pengendalian
akses yang di desain untuk melindungi kerahasiaan harus ditinjau dan dimodifikasi
secara berkelanjutan unuk menanggulangi ancaman baru yang diciptakan oleh
kemajuan teknologi. Virtualisasi dan komputasi cloud juga mempengaruhi risiko
akses tak terotorisasi terhadap informasi sensitif atau rahasia. Adapun browser yang
memiliki berbagai kerentanan akibatnya data yang sangat sensitive dan rahasia
mungkin harus disimpan di sebuah cloud public karena kuranganya pengendalian
terhadap temoat informasi seharusnya disimpan dan resiko atas akses tak terotoritas
oleh pengguna cloud lainnya yang mungkin merupakan pesaing atau bahkan pegawai
penyedia cloud.
d) Pelatihan
Penting bagi manajemen untuk menginformasikan kepada para pegawai yang akan
menghadiri kursus pelatihan eksternal, acara dagang, atau koferensi dan perlu juga
diajari cara melindungi data rahasia. Pelatihan harus mencangkup:
 Cara menggunakan perangkat enkripsi dan pentingnya untuk selalu log out
dari aplikasi serta menggunakan screen saver
 Cara membuat kode untuk laporan yang dibuat
 Tidak meninggalkan laporan yang berisi informasi sensitive yang dapat dilihat
orang lain
Dengan pelatihan yang memadai, para pegawai dapat memainkan peran pentinguntuk
melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas
pengendalian terkait.

4
2.2 Langkah-Langkah Pengendalian Privasi

Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan,
perbedaan utamanya, yaitu ia lebih berfokus pada perlindungan informasi pribadi mengenai
pelanggan, pegawai, pemasok, atau rekan bisnis daripada data keorganisasian.

Seperti pada kasus informasi rahasia, langkah pertama untuk melindungi privasi
informasi pribadi yang dikumpulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu
mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia disimpan, dan orang yang
memiliki akses terhadapnya. Kemudian, penting pula untuk menerapkan pengendalian guna
melindungi informasi tersebut karena insiden-insiden yang melibatkan pengungkapan tak
terotorisasi atas informasi pribadi yang disengaja atau tidak dapat memakan biaya.

Enkripsi adalah sebuah pengendalian yang fundamental untuk melindungi privasi

informasi pribadi yang dikumpulkan oleh organisasi. Informasi tersebut perlu dienkripsi baik
saat ia sedang dalam pengiriman melalui Internet maupun saat ia dalam penyimpanan.
Mengenkripsi informasi pribadi pelanggan tidak hanya melindunginya dari pengungkapan yang
tak terotorisasi, tetapi juga dapat menyelamatkan aset organisasi.

Meski demikian, informasi pribadi tidak dienkripsi selama pemrosesan atau saat
ditampilkan baik di sebuah monitor atau laporan tercetak. Akibatnya, sama dengan kasus
kerahasiaan, perlindungan privasi memerlukan penambahan enkripsi dalam pengendalian akses
dan pelatihan. Pengendalian autentikasi dan otorisasi yang kuat membatasi orang yang dapat
mengakses sistem yang mengandung informasi pribadi serta tindakan yang dapat dilakukan
pengguna ketika mereka diberikan akses. Hal tersebut penting, terutama untuk mencegah
pemrogram mendapatkan akses ke informasi pribadi, seperti nomor kartu kredit nomor telepon,
dan nomor keamanan sosial. Demi melindungi privasi, organisasi harus menjalankan program
data masking, yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-
nilai palsu (seperti, mengganti sebuah nomor keamanan sosial yang asli dengan rangkaian nomor
berbeda yang memiliki karakteristik sama) sebelum mengirimkan data tersebut kepada
pengembang program dan sistem pengujian. Data masking juga disebut dengan tokenization.

5
 Organisasi juga perlu melatih para pegawai tentang cara mengelola dan melindunei
informasi pribadi yang didapatkan dari pelanggan. Hal ini terutama penting untuk informasi
medis dan keuangan. Penyalahgunaan informasi yang disengaja dapat mengakibatkan
konsekuensi ekonomi negatif yang serius, termasuk penurunan harga saham yang signifikan.

 Permasalahan Privasi

Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas.

1. Spam
Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten
serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali
menjadi target tujuan atas akses tak terotorisasi terhadap daftar dan database e-mail yang
berisi informasi pribadi. Volume spam melebihi banyaknya sistem e-mail. Spam tidak hanya
mengurangi manfaat efisiensi e-mail, tetapi juga merupakan sebuah sumber dari banyaknya
virus, worm, program spyware, dan jenis-jenis malware lainnya. Guna menghadapi masalah
tersebut, Kongres Amerika Serikat menetapkan Controlling Assault of Non-Solicited
Pornography and Marketing (CAN-SPAM) Act pada 2003. Undang-undang tersebut
memberikan baik hukuman pidana maupun perdata atas pelanggaran hukum. CAN- SPAM
berlaku untuk e-mail komersial yang didefinisikan sebagai e-mail yang memiliki tujuan
utama periklanan atau promosi. Hal ini mencakup sejumlah e-mail sah yang dikirimkan oleh
kebanyakan organisasi kepada pelanggan serta pemasok mereka, sedangkan pada kasus
organisasi non-laba dikirimkan pada penyumbang mereka. Oleh karenanya, organisasi harus
mengikuti panduan CAN-SPAM atau risiko sanksinya. Ketentuan utamanya meliputi:
1. Identitas pengirim harus ditampilkan dengan jelas di header pesan.
2. Field subjek pada header harus mengidentifikasikan dengan jelas pesan sebagai
sebuah periklanan atau permintaan.
3. Bagian isi pesan harus menyediakan penerima dengan sebuah tautan aktif yang
dapat digunakan untuk memilih keluar dari e-mail di masa depan.
4. Bagian isi pesan harus menyertakan alamat pos pengirim yang valid.
5. Organisasi tidak boleh mengirim e-mail komersial ke alamat-alamat yang
diperoleh secara acak dan tidak boleh membuat situs yang didesain untuk
“mengambil" alamat e-mail dari calon pelanggan.

6
2. Pencurian Identitas
Permasalahan terkait privasi lainnya yang meningkat adalah pencurian identitas. Pencurian
identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi
keuntungan pelaku. Seringnya, pencurian identitas berupa kejahatan keuangan yakni pelaku
mendapatkan pinjaman atau membuka kartu kredit baru atas nama korban dan terkadang
menjarah rekening bank milik korban.
Organisasi memiliki peran untuk ikut serta mencegah pencurian identitas. Pelanggan,
pegawai, pemasok, dan rekan bisnis memercayakan informasi pribadi mereka pada
organisasi. Organisasi mendapat untung secara ekonomi dari penggunaan akses informasi
tersebut. Oleh karena itu, organisasi harus memiliki kewajiban etis dan moral untuk
menerapkan pengendalian demi melindungi informasi pribadi yang mereka kumpulkan.

2.3 Regulasi dan Prinsip Privasi Yang Diterima Secara Umum

Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu telah
menghasilkan berbagai regulasi pemerintah. Selain itu, terkait hukum pengungkapan negara
bagian, sejumlah regulasi federal, termasuk Health Insurance Portability and Accountability Act
(HIPAA), Health Information Technology for Economic and Clinical Health Act (HITECH). dan
Financial Services Modernization Act (biasa disebut dengan Gramm-Leach-Bliley Act,
menunjukkan nama-nama dari tiga sponsor di Kongres), regulasi-regulasi tersebut memaksakan
persyaratan spesifik pada organisasi untuk melindungi privasi informasi pribadi para
pelanggannya. Banyak negara lain juga memiliki regulasi yang terkait dengan penggunaan dan
perlindungan informasi pribadi.

Untuk membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini,
American Institute of Certified Public Accountant (AICPA) dan Canadian Institute of Chartered
Accountants (CICA) bersama-sama mengembangkan sebuah kerangka yang disebut Prisip-
Prinsip Privasi yang Diterima secara Umum (Generally Accepted Privacy Principles-GAPP).

7
Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang
diakui secara internasional untuk melindungi privasi informasi pribadi para pelanggan.

1. Manajemen
Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi
informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan informasi
tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
2. Pemberitahuan
Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya pada
saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para pelanggan
atau sesegera sesudahnya. Pemberitahuan harus menerangkan dengan jelas jenis informasi
yang sedang dikumpulkan, alasan pengumpulan, dan bagaimana informasi akan digunakan.
3. Pilihan dan persetujuan
Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para individu serta
mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan informasi pribadi
mereka.

4. Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi tujuan
yang dinyatakan dalam kebijakan privasinya.
5. Penggunaan dan retensi
Organisasi harus menggunakan informasi pribadi para pelanggan hanya dengan cara yang
dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi tersebut
hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis yang sah.
6. Akses
Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau,
memperbaiki, dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga
Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk situasi dan
cara yang sesuai dengan kebijakan privasi organisasi serta hanya kepada pihak ketiga yang
menyediakan tingkatan perlindungan privasi yang sama, sebagaimana organisasi sebelumnya
yang mengumpulkan informasi tersebut.

8
8. Keamanan
Organisasi harus mengambil langkah-langkah rasional untuk melindungi keamanan informasi
pribadi para pelanggannya dari kehilangan atau pengungkapan yang tak terotorisasi. Oleh
karena itu, organisasi harus menggunakan berbagai pengendalian preventif, detektif, dan
korektif untuk membatasi akses terhadap informasi pribadi para pelanggan. Namun,
pencapaian level keamanan informasi yang dapat diterima tidaklah cukup untuk melindungi
privasi. Perlu juga untuk melatih para pegawai agar menghindari praktik-praktik yang dapat
mengakibatkan pelanggaran privasi yang tidak disengaja.
9. Kualitas. Organisasi harus menjaga integritas informasi pribadi pelanggannya dan
menggunakan prosedur yang memastikan informasi tersebut akurat secara wajar.
10. Pengawasan dan penegakan. Organisasi harus menugaskan satu pegawai atau lebih guna
bertanggung jawab untuk memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.
Organisasi juga harus memverifikasi secara periodik bahwa pegawai mereka mematuhi
kebijakan privasi yang dinyatakan.
Secara garis besar, GAPP menunjukkan bahwa melindungi privasi informasi pribadi
pelanggan mensyaratkan penerapan suatu kombinasi kebijakan, prosedur, dan teknologi
terlebih dulu, baru setelahnya melatih setiap orang di dalam organisasi untuk bertindak sesuai
dengan rencana-rencana tersebut dan kemudian mengawasi kepatuhannya. Hanya
manajemen senior yang memiliki otoritas dan sumber daya untuk mencapainya serta
mendorong fakta bahwa pada dasarnya seluruh aspek keandalan sistem merupakan
permasalahan manajerial dan bukan hanya permasalahan TI. Oleh karena para akuntan dan
auditor melayani sebagai penasihat terpercaya untuk manajemen senior, maka mereka perlu
memahami permasalahan- permasalahan tersebut.

2.4 Pengertian Enkripsi

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik
kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan melalui Internet dan
juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh seorang penyusup yang
telah mendapatkan akses tak terotorisasi atas infromasi yang disimpan.

9
 Seperti yang ditunjukkan pada Figur 9 – 2, Enkripsi (encryption) adalah proses
mentransformasikan teks normal, yang disebut plaintext, ke dalam raban yang tidak dapat
dibaca, yang disebut chipertext. Deskripsi (decryption) membalik proses ini, mengubah
chipertext ke dalam plaintext. Figur 9 – 2 menunjukkan bahwa enkripsi maupun dekripsi
melibatkan penggunaan sebuah kunci dan algoritma. Komputer mempresentasikan baik plaintext
maupun chipertext sebagai seri bilangan biner (0 dan 1). Kunci enkripsi dan dekripsi juga
merupakan rangkaian bilangan biner. Sebagai contoh, sebuah kunci 256 bit terdiri atas sebuah
rangkaian 256 0 dan 1. Algoritme adalah formula yang menggunakan kunci untuk mengubah
plaintext menjadi chipertext (enkripsi) atau chipertext kembali menjadi plaintext (dekripsi).
Kebanyakan dokumen tidak lebih panjang dari kunci. Sehingga, proses enrkipsi dimulai dengan
membagi plaintext kedalam blok-blok. Masing-masing blok panjangnya sama dengan kunci.
Kemudian, algoritme diaplikasikan ke kunci dan masing-masing blok plaintext.

Faktor-Faktor yang Mempengaruhi Kekuatan Enkripsi

Tiga faktor yang menentukan kekuatan sistem enkripsi diantaranya :

1. Panjang kunci
2. Algoritme enkripsi
3. Kebijakan untuk mengelola kunci-kunci kriptografi

Panjang Kunci

10
Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-
blok berulang pada chipertext. Hal tersebut menjadikannya lebih sulit untuk menunjukkan pola-
pola chipertext yang merefleksikan pola-pola plaintext asli. Dalam bahasa Inggris, 8 bit
mempresentasikan masing-masing huruf. Dengan demikian, 24 bit mengenkripsikan plaintext
bahasa Inggris dalam potongan 3 huruf. Hal ini mempermudah penggunaan informasi terkait
frekuensi kata relatif, seperti fakta bahwa kata the adalah salah satu dari kata dengan tiga huruf
yang paling umum dalam bahasa Inggris, untuk “menebak” bahwa pola kata berulang yang
paling umum dari 24 bit. Chipertext kemungkinan menunjukkan kata bahasa Inggris the dan
memproses untuk “merusak” enkripsi. Itulah mengapa sebagian besar kunci enkripsi setidaknya
sepanjang 256 bit (setara dengan 42 huruf bahasa Inggris), dan seringnya adalah 1.024 bit atau
lebih panjang lagi.

11
Algoritme Enkripsi

Jenis algoritme yang digunakan untuk mengombinasikan kunci dan plaintext sangatlah
penting. Algoritme yang kuat dan rumit adalah hal tidak mungkin untuk dirusak dengan
menggunakan teknik penebakan paksaan-brutal. Tentu saja, prosedur-prosedur yang digunakan
oleh sebagian besar algoritme-algoritme enkripsi yang dapat diterima dan digunakan secara luas,
tersedia secara publik. Fakta bahwa algoritme telah diuji secara seksama dan didemonstrasikan
untuk menahan serangan penebakan paksaan brutal. Oleh karena itu, organisasi seharusnya tidak
berupaya untuk menciptakan algoritme enkripsi “rahasia”, tetapi seharusnya membeli produk
yang menggunakan algoritme standar yang diterima secara luas dengan kekuatannya yang telah
terbukti.

Kebijakan Untuk Mengelola Kunci Kriptografi

Manajemen kunci kriptografi sering kali merupakan aspek yang paling rentan dari sistme
enkripsi. Jika kunci telah dicuri, enkripsi dapat dirusak dengan mudah. Oleh karena itu, kunci
kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian akses yang kuat.
Praktik-praktik yang terbaik meliputi :

1. Tidak menyimpan kunci kriptografi didalam sebuah browser atau file lain yang dapat
diakses oleh pengguna lain dari sistem tersebut.
2. Menggunakan sebuah frasa sandi yang kuat (dan panjang) untuk melindungi kunci.
Organisasi juga memerlukan kebijakan dan prosedur yang tepat untuk memberikan dan
menarik kembali kunci. Kunci hanya boleh diberikan kepada para pegawai yang menangani data
sensitif, sehingga perlu kewenangan untuk mengenkripsikannya.

2.5 Jenis-Jenis Sistem Enkripsi

12
Tabel 9-1 memperbandingkan dua jenis dasar sistem enkripsi.

Sistem enkripsi simetris (symmetric encryption system), menggunakan kunci yang sama
untuk mengenkripsikan dan mendekripsi. DES dan AES adalah contoh dari sistem enkripsi
simetris. Sistem enkripsi asimetris (asymmetric encryption system) menggunakan dua kunci. Satu
kunci disebut Kunci Publik (public key), didstribusikan secara luas dan tersedia untuk siapapun.
Selanjutnya, disebut dengan Kunci Privat (private key), dirahasiakan dan diketahui hanya
pemilik dari sepasang kunci tersebut. Baik kunci publik dan kunci privat dapat digunakan untuk
mengenkripsi, tetapi hanya satu kunci yang dapat mendekripsi chipertext. RSA dan PGP
merupakan contoh dari sistem enkripsi asimetris.

Enkripsi simetris jauh lebih cepat daripada enkripsi asimetris. Tetapi, ia memiliki dua
masalah besar. Pertama, kedua pihak (pengirim dan penerima) perlu mengetahui kunci rahasia
yang dibagikan (shared secret key). Artinya, kedua belah pihak perlu memiliki beberapa metode
untuk menukarkan kunci dengan aman yang kemudian akan digunakan baik untuk mengenkripsi

13
maupun mendekripsi. E-mail bukanlah sebuah solusi, karena siapapun yang dapat memotong e-
mail akan mengetahui kunci rahasianya. Oleh karena itu, beberapa metode pertukaran kunci
dengan sarana lain diperlukan. Masalah kedua adalah perlunya membuat kunci rahasia yang
terpisah agar dapat digunakan oleh tiap pihak dengan penggunaan enkripsi terhadap orang yang
dihendaki.

Hashing

Hashing adalah sebuah proses mengubah plaintext dengan segala ukuran dan menciptakan
sebuah kode singkat yang disebut hash. Tabel 9-2 menunjukkan bahwa hashing berbeda dari
enkripsi dalam dua aspek penting. Pertama, enkripsi selalu menghasilkan chipertext dengan
ukuran yang sama dengan plaintext asli, tetapi hashing selalu menghasilkan hash yang
panjangnya tetap tanpa melihat ukuran plaintext asli. Mengirimkan sebuah hash kepada
seseorang bukanlah sebuah cara untuk melindungi kerahasiaan atau privasi karena penerima
tidak pernah dapat memulihkan segala informasi dari hash. Algoritme hashing menggunakan
setiap bit plaintext untuk menghitung nilai hash. Mengubah segala karakter pada dokumen yang
dikenai hash, seperti mengganti 1 dengan 7, menambahkan atau menghapuskan sebuah spasi,
atau mengubah dari huruf besar ke huruf kecil, akan menghasilkan hash yang berbeda.

Properti dari algoritme hashing menyediakan sebuah cara untuk menguji integritas sebuah
dokumen dan memverifikasi salinan ganda dari sebuah dokumen, masing-masing disimpan
dalam sebuah perangkat yang berbeda, salinan dokumen tersebut identik.

14
Tanda Tangan Digital

Figur 9-3
Menciptakan sebuah tanda tangan digital.

Pokok penting dari sebuah transaksi bisnis selalu nonrepudiation, atau bagaimana cara agar
menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral
oleh kedua pihak. Saat ini, banyak transaksi bisnis terjadi secara digital dengan menggunakan
internet. Menggunakan hashing maupun enkripsi asimetris untuk menciptakan tanda tangan yang
terikat secara legal maupun hukum.

15
 Figur 9-4

Contoh penggunaan tanda tangan digital.

Figur 9-4 menujukkan kedua fakta tersebut bekerja sama untuk menyediakan nonrepudiation.

Sertifikat Digital dan Infrastruktur Kunci Publik

Sertifikat digital (digital certificate) adalah dokumen elektronik yang mengandung kunci
publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut. Oleh karena itu,
fungsi sertifikat digital seperti ekuivalen digital dari SIM atau paspor. Sertifikat digital juga

16
diterbitkan oleh sebuah organisasi yang disebut otoritas sertifikat untuk menunjukkan
keasliannya.

Browser didesain untuk mengecek secara otomatis validitas dari sertifikat digital milik
sebuah situs. Otoritas sertifikat penerbitan menandatangani sertifikat digital dan browser akan
dimuat dengan kunci publik dari otoritas sertifikat yang dikenal luas. (Pada Internet Explorer.
Anda dapat melihat daftar otoritas sertifikat yang dipercayai oleh browser Anda dengan
membuka browser tersebut, memilih Internet Option pada menu Tools, kemudian pindah ke tab
Content dan mengklik tombol Publishers.) Browser menggunakan kunci publik yang tersimpan
untuk mendekripsikan tanda tangan digital otoritas sertifikat yang menghasilkan sebuah hash
sertifikat digital. Browser kemudian menciptakan hash sertifikat digitalnya sendiri; jika dua hash
cocok, sertifikat tersebutvalid. Jika hash tidak cocok, browser akan menampilkan sebuah
peringatan bahwa sertifikat milik situs tidak valid dan menanyakan pada Anda apakah ingin
memprosesnya atau tidak. Browser juga mengecek tanggal kedaluwarsa dari sebuah sertifikat
digital dan memperingatkan Anda jika sertifikat digital tersebut sudah kedaluwarsa. Perhatikan
bahwa browser memainkan sebuah peran penting dalam PKI. Jika seorang penjahat dapat
mengompromikan browser Anda dan menyimpan kunci publik penjahat tersebut, maka browser
Anda dapat dikecoh agar menerima sebuah sertifikat digital palsu. Cara terbaik untuk mencegah
ancaman tersebut adalah selalu pastikan bahwa browser Anda telah diberi patch secara penuh
dan selalu diperbarui.

Virtual Private Network (VPN)

Guna melindungi kerahasiaan dan privasi. informasi harus dienkripsi tidak hanya di dalam
sebuah Sistem, tetapi juga ketika ia sedang dalam perjalanan melalui Internet. Seperti yang
ditunjukkan Figur 9-5, mengenkripsi informasi saat informasi melintasi lnternet akan
menciptakan sebuah virtual private network (VPN), dinamakan demikian karena ia virtual
menyediakan fungsionalitas sebuah jaringan aman yang dimiliki secara privat, tanpa biaya lini
telepon yang dibebankan, dan perlengkapan komunikasi lainnya. Penggunaan perangkat
autentikasi lunak VPN untuk mengenkripsi informasi saat informasi tersebut sedang dalam
peralanan melalui Internet, dampaknya akan menciptakan saluran komunikasi privat, sering kali
disebut dengan tunnel, yang dapat diakses hanya oleh pihak-pihak yang memiliki kunci enkripsi
dan dekripsi yang sesuai. Selain itu, VPN juga menyertakan pengendalian untuk mengautentikasi

17
pihak-pihak yang mempertukarkan informasi dan menciptakan sebuah jejak audit pertukaran
tersebut. Oleh karena itu, VPN memastikan bahwa informasi sensitif dipertukarkan secara aman
dan dengan cara yang dapat memberikan bukti autentiknya.

Figur 9-5
Virtual Private Network (VPN)

Terdapat dua jenis dasar VPN. Salah satu jenisnya menggunakan sebuah browser,
mengenkripsi lalu lintas dengan SSL (protokol sama yang menghasilkan simbol "kunci" faminar
kapanpun Anda terlibat dalam kegiatan belanja atau perbankan online); jenis yang lainnya
menggunakan IPSec, sebuah versi dari protokol IP yang memasukkan enkripsi ke dalam proses
penciptaan paket IP. Kedua jenis VPN bukan hanya memberikan sarana yang aman untuk
mempertukarkan informasi sensitif melalui Internet, tetapi juga menciptakan masalah bagi
komponen-komponen lain dari. keamanan informasi. Fungsi firewall adalah menginspeksi isi
dari paket. Namun, firewall tidak dapat memeriksa paket yang dienkripsi. Ada tiga pendekatan
yang umumnya digunakan untuk menghadapi masalah ini. Salah satunya adalah mengonfigurasi
firewall untuk mengirimkan paket terenkripsi ke sebuah komputer dalam demilitarized zone
(DNIZ) yang mendekripsikannya; komputer tersebut kemudian mengirimkan paket yang
didekripsi kembali melalui firewall untuk menyaring paket sebelum diizinkan masuk ke dalam
jaringan internal. Meskipun pendekatan ini memungkinkan firewall untuk menyaring seluruh
paket yang datang, ini berarti bahwa informasi sensitif tidak terenkripsi dengan baik di dalam
DMZ maupun jaringan internal. Pendekatan kedua adalah mengonfigurasi firewall utama agar
mengizinkan paket terenkripsi untuk memasuki jaringan internal dan mendekripsikan hanya pada
tujuan akhirnya. Meskipun pendekatan ini melindungi kerahasiaan informasi sensitif sampai ia
mencapai destinasi yang sesuai, ia menciptakan kelemahan potensial pada pengendalian akses
karena tidak semua paket yang datang disaring dengan firewall. Pendekatan ketiga adalah

18
memiliki firewall yang juga berfungsi sebagai titik terminasi VPN, mendekripsikan seluruh lalu
lintas yang masuk dan kemudian menginspeksi isinya. Pendekatan ini membutuhkan biaya,
menciptakan sebuah titik tunggal kegagalan (jika firewall runtuh, begitu pula dengan VPN),
sehingga informasi sensitif tidak dienkripsi ketika menjelajahi jaringan perusahaan internal. Oleh
karena itu, organisasi harus mengedepankan tujuan keandalan sistem yang lebih pening:
kerahasiaan (privasi) atau keamanan. Sayangnya, jenis dilema ini tak terbatas untuk firewall;
program antivirus, sistem pencegahan gangguan, dan sistem deteksi gangguan juga memiliki
kesulitan untuk menghadapi paket terenkripsi. Perlunya membuat trade-off diantara komponen-
komponen berbeda dari keandalan sistem rnerupakan alasan lain bahwa keamanan informasi
serta pengendalian merupakan sebuah permasalahan manajerial dan bukan hanya permasalahan
TI.

19
 BAB III
PENUTUP
3.1 Kesimpulan

Menjaga kerahasiaan kekayaan intelektual sebuah organisasi dan menjaga privasi

informasi pribadi yang dikumpulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis
merupakan tujuan utama menjaga kerahasiaan atas informasi sensitif. Dalam menjaga
kerahasiaan, ada beberapa Tindakan dasar yang harus dilakukan, yaitu identifikasi dan
klasifikasi, pengendalian akses, perlindungan kerahasiaan dan pelatihan. Selain itu kita
juga harus bisa menentukan langkah yang tepat dalam pengendalian privasi dan juga
enskripsi. Privasi memiliki prinsip yang berfokus pada perlindungan informasi mengenai
pelanggan, pegawai, pemasok, atau rekan bisnis, dan enkripsi melindungi data saat
sedang berjalan melalui internet sekaligus sebagai tembok batas terakhir yang harus
dilalui oleh seorang penyusup.

20
 DAFTAR PUSTAKA

Romney, Marshall dan Paul John Steinbart. 2015. Sistem Informasi Akuntansi. Jakarta:Salemba
Empat