Machine Translated by Google

komputer & keamanan 109 (2021) 102403

Tersedia online di www.sciencedirect.com

beranda jurnal: www.elsevier.com/locate/cose

Kerangka kerja untuk kebijakan pencegahan

penipuan ID di sektor E-tailing

Zahoor Ahmed Soomro a,ÿ , Jason Thatcher c

, Mahmud Hussain Shahb
aTeesside University, Preston, Lancashire,
Inggris b Associate Professor Newcastle Business School, Northumbria University, Newcastle-upon-Tyne,
Inggris c Profesor Fox School of Business Temple University, Philadelphia, PA USA

articleinfo abstrak

Riwayat artikel: Penipuan identitas dapat menyebabkan hilangnya pendapatan, menyebabkan masalah operasional pada e-tailer, dan
Diterima 9 Desember 2020 merusak reputasi perusahaan. Sebagian besar penelitian dalam domain ini berfokus pada teknologi keamanan atau
Revisi 3 Juli 2021 masalah terkait kepatuhan keamanan pengguna sistem. Dalam penelitian ini, kami mengarahkan perhatian untuk
Diterima 9 Juli 2021 memahami isi dan luasnya kebijakan pencegahan penipuan identitas.
Tersedia online 20 Juli 2021 Kami melakukan tiga puluh tiga wawancara semi-terstruktur dengan karyawan dan manajemen dari tiga e-tailer besar
berbasis di Inggris. Ditemukan bahwa sementara e-tailer memiliki kebijakan dan pengaturan terkait lainnya yang
Kata kunci: membahas keamanan informasi dan pencegahan pencurian data, mereka seringkali kekurangan kebijakan tentang
E-Tailing pencegahan penipuan identitas. Selain itu, kami menemukan bahwa desain strategi kesadaran kebijakan keamanan,
Penipuan identitas pendekatan untuk memperbarui kebijakan keamanan, dan penegakan kepatuhan/audit keamanan, tidak membantu
Pembuatan kebijakan mencegah penipuan identitas. Berdasarkan analisis ini, kami mengembangkan Kerangka Pencegahan Penipuan Identitas
Wawancara (IFPF) untuk membantu e-tailer mengembangkan dan menerapkan praktik pencegahan penipuan identitas yang lebih baik.
Pendekatan holistik, pendekatan studi
kasus
© 2021 Elsevier Ltd. Semua hak dilindungi undang-undang.
organisasi Inggris

Meskipun belanja online sudah sangat populer, COVID-19 telah

1. pengantar membawanya ke level tertinggi baru. Karena pandemi, belanja online
telah meningkat secara signifikan di antara semua kelompok umur dan
Kemajuan teknologi informasi telah mengubah kebiasaan berbelanja,
tren ini diperkirakan akan berlanjut di tahun-tahun mendatang (Kim,
memungkinkan e-tailing menjadi sebuah norma. E-tailing menghemat
2020). Peningkatan signifikan dalam ritel online ini disertai dengan
waktu dan menawarkan perbandingan produk dan harga yang lebih
peningkatan tantangan penipuan identitas. Menurut sebuah studi oleh
baik dan, akibatnya, semakin banyak bisnis yang memperkenalkan e-
Buil-Gil et al. (2021), penipuan belanja online di Inggris telah meningkat
tailing. Perbedaan pola belanja juga menyebabkan perubahan sifat dan
sebesar 50% sejak Mei 2019. Angka ini diperkirakan akan meningkat
cara penipuan.
seiring dengan terungkapnya pandemi. Sebagian besar penipuan
Penggunaan internet untuk berbelanja secara signifikan meningkatkan
belanja online melibatkan identitas (CIFAS, 2020).
risiko pencurian identitas (Reyns, 2013), sehingga penipuan identitas
Penipuan identitas sebagaimana didefinisikan dalam literatur adalah
telah menjadi masalah yang berkembang bagi e-tailer di negara maju;
penggunaan identitas yang dicuri, dikloning, atau dipalsukan untuk
misalnya, di AS, 15,1 juta pelanggan mengalami penipuan identitas
melakukan penipuan (Onwubiko, 2020; Smadi et al., 2018). E-tailer
pada tahun 2016 (Javelin Strategy, 2018).
adalah target lini pertama untuk penipu identitas karena identitas
diverifikasi melalui kredensial akun, yang dengan mudah dicuri melalui berbagai

ÿ Penulis yang sesuai.

Alamat email: Z.Soomro@tees.ac.uk (ZA Soomro), Mahmood.shah@northambria.ac.uk (MH Shah), Jason.thatcher@temple.edu (J.
Thatcher).
https://doi.org/10.1016/j.cose.2021.102403 0167-4048/
© 2021 Elsevier Ltd. Semua hak dilindungi undang-undang.
Machine Translated by Google
2 komputer & keamanan 109 (2021) 102403
cara. Kebijakan dan praktik pengelolaan penipuan umum mungkin tidak efektif
karena sifat operasi bisnis online yang berbeda. Kebijakan penipuan umum
mengasumsikan informasi yang relatif kaya tentang identitas korban, tetapi
identitas pelanggan dalam operasi bisnis online terbatas pada nama pengguna
dan kata sandi. Informasi itu tipis, membuat pencegahan pencurian kredensial
ini lebih menantang bagi e-tailer, yang mengakibatkan kerugian besar. Sifat
penipuan identitas berbeda dengan penipuan tradisional dalam bisnis, dan
melibatkan teknologi, yang selalu berubah.
Penipuan identitas adalah masalah yang meluas dan global bagi e tailers.
Setiap dua detik, seorang Amerika menjadi korban penipuan identitas. Akun
penipuan identitas menyebabkan kerugian total sebesar US$ 16 miliar pada
tahun 2016 (Javelin Strategy, 2018). Situasi di Inggris tidak jauh berbeda
dengan 364.643 kasus penipuan yang dilaporkan oleh National Fraud Database
(NFD) pada tahun 2019.
CIFAS (2020) melaporkan bahwa penipuan identitas merupakan 61% dari
total penipuan dan 87% dari penipuan ini terjadi melalui saluran online.
nels (CIFAS, 2020) E-tailer berbagi lebih dari 35% dari total penipuan (CIFAS,
2019), yang mungkin disebabkan oleh kurangnya kebijakan yang efektif, karena
sebagian besar studi penelitian berpendapat bahwa masalah tersebut
diperlakukan sebagai masalah teknologi daripada manajerial. (Soomro et al.,
2019).
Karena mayoritas studi penipuan identitas mengarahkan perhatian pada
penipuan internal di perbankan, asuransi dan sektor publik lainnya (misalnya
Njenga dan Osiemo, 2013; Coulson-Thomas, 2017; Bierstaker et al., 2006;
Siponen et al., 2014), mereka menawarkan kemungkinan terbatas dalam hal
bagaimana mengembangkan dan mengelola kebijakan manajemen penipuan
identitas di antara e-tailer. Pertimbangkan layanan keuangan; bank melakukan
investasi yang signifikan dalam bidang teknologi dan sumber daya manusia.
Selain itu, perbankan dan sektor publik lainnya memiliki penegakan hukum
yang lebih kuat, pengawasan peraturan yang signifikan, dan tidak ada lini
produk fisik. Oleh karena itu, prosedur dan kebijakan identifikasi pribadi di
sektor ini sudah pasti dan layanan online menjadi preseden untuk identifikasi
pribadi dan fisik pelanggan mereka. Sebaliknya, investasi sektor e tail memiliki
pengaturan pendukung yang sangat terbatas dan kurangnya verifikasi identitas
fisik dan tidak adanya kebijakan untuk mengumpulkan bukti untuk membuktikan
identitas pelanggan (Amasiatu dan Shah, 2018). Demikian pula, sektor swasta
lainnya mungkin memiliki persaingan yang lebih sedikit, ketersediaan dana
yang cukup dan lebih banyak peluang bisnis dibandingkan dengan e-tailer,
yang beroperasi dalam persaingan ketat dengan sumber daya terbatas. Dalam
situasi seperti itu, pengelolaan penipuan identitas menjadi lebih menantang
bagi e-tailer (Soomro et al., 2019).
Karena lingkungan operasi e-tailer berbeda dengan sektor perbankan,
publik, dan swasta lainnya, penting untuk mengembangkan pemahaman nuansa
penipuan identitas di lingkungan e-tailing, karena kerugian yang disebabkan
oleh penipuan identitas dapat merusak reputasi bisnis dan mencegah yang
baru. atau pelanggan berulang.
Tanpa penelitian, e-tailer mungkin kekurangan panduan tentang cara
mengembangkan dan menerapkan respons yang efektif terhadap penipuan identitas. karyawan dalam merancang kebijakan tersebut (Chen et al., 2015; Bierstaker
Oleh karena itu, makalah ini menyelidiki penipuan identitas di antara e-
tailer untuk mengembangkan Kerangka Kebijakan Pencegahan Penipuan
Identitas (IFPF) untuk memandu penelitian dan kebijakan di masa depan dalam
praktiknya. Berdasarkan tinjauan literatur yang relevan dan studi kualitatif, kami
akan menganalisis praktik organisasi yang terkait dengan pengelolaan kebijakan
penipuan identitas di e-tail atau organisasi besar. Fokus kami adalah menyelidiki
pencegahan penipuan identitas
masalah kebijakan tion di sektor e-tail besar di Inggris. Kami akan mengeksplorasi
pentingnya pengembangan, pemutakhiran, komunikasi, kesadaran, dan
kepatuhan terhadap kebijakan yang dirancang untuk mencegah penipuan
identitas. Berdasarkan tinjauan literatur terkait dan temuan dari analisis data
yang dikumpulkan di tiga organisasi e-tail besar, kami menyarankan kerangka
kerja kebijakan pencegahan penipuan identitas (IFPF). Dengan demikian,
encom penelitian ini melewati setiap aspek kebijakan yang disebutkan pada
Tabel 1 dalam ruang lingkup penelitian ini. Tanpa menyentuh semua isu
kebijakan yang relevan yaitu pengembangan kebijakan, komunikasi, pelatihan,
kepatuhan dan audit, implikasi kebijakan mungkin tidak akan terlihat. Oleh
karena itu, penelitian kami mengembangkan wawasan baru tentang kebijakan
pencegahan penipuan identitas di antara e-tailer untuk merangkum semua
masalah yang membuat implikasi kebijakan terlihat.
Studi ini berkontribusi pada literatur dengan menawarkan pandangan baru
tentang pencegahan penipuan identitas di antara e-tailer dengan (1) memberikan
pemahaman yang kaya dan kontekstual tentang praktik pencegahan penipuan
identitas online di e-tailing; (2) menawarkan IFPF untuk menginformasikan
kebijakan penipuan identitas yang berkembang; (3) memberikan pemahaman
tentang praktik organisasi dalam kaitannya dengan manajemen kebijakan yang
berkaitan dengan e-tailer yang berusaha mencegah penipuan identitas; dan (4)
menawarkan saran untuk manajer yang ingin meningkatkan pedoman, dan
praktik yang meminimalkan kerugian akibat penipuan identitas.
1.1. Penelitian sebelumnya tentang manajemen penipuan
Kebijakan memiliki dampak yang signifikan terhadap praktik dan kegiatan yang
dilakukan dalam suatu organisasi. Oleh karena itu, organisasi harus membuat
dan mempertahankan kebijakan anti penipuan yang efektif (Njenga dan Osiemo,
2013; Bierstaker et al., 2006). Kebijakan memberikan garis panduan untuk
mengadopsi perilaku yang tepat terhadap pencapaian tujuan organisasi secara
keseluruhan. Dalam domain pencegahan penipuan identitas, kebijakan mengacu
pada pedoman tindakan untuk mencegah penipuan dengan cara yang telah
ditentukan, mendukung tujuan keseluruhan organisasi. Literatur yang ada
membahas berbagai aspek kebijakan dalam berbagai konteks (Soomro et al.,
2019). Sebagian besar penelitian kebijakan ditujukan untuk mencegah penipuan
internal dan akuntansi. Area lain yang paling banyak dipelajari dalam
pencegahan penipuan identitas difokuskan pada pengukuran teknologi
(contohnya adalah: Piquero et al., 2021; Gomes et al., 2020; Ahmed 2020),
tetapi penelitian ini terbatas pada pengaturan terkait kebijakan untuk pencegahan
penipuan identitas .
Oleh karena itu, literatur tentang perspektif teknologi pencegahan penipuan
identitas tidak dimasukkan ke dalam penelitian ini.
Praktek organisasi di bawah payung pencegahan penipuan meliputi
penciptaan, evaluasi, komunikasi dan kepatuhan terhadap kebijakan (Wilhelm,
2004). Membuat dan memelihara kebijakan anti-penipuan, yang membahas
semua tahapan manajemen penipuan diperlukan untuk memandu karyawan
dan mempertahankan kinerja organisasi (Njenga dan Osiemo, 2013). Karena
kebijakan pencegahan penipuan adalah masalah kelangsungan hidup bisnis
(Coulson-Thomas, 2017), penting bagi manajer untuk mendorong partisipasi
et al., 2006; Siponen et al., 2014; Soomro et al., 2016). Pertama, karyawan
memasukkan informasi awal mereka, yang diperoleh melalui pengalaman
pribadi mereka. Kedua, keterlibatan mereka dalam pengembangan kebijakan
dapat menjadi faktor pendorong untuk memastikan kepatuhan mereka (Chen
et al., 2015). Khususnya, literatur yang masih ada telah diperiksa
Machine Translated by Google

komputer & keamanan 109 (2021) 102403 3

Tabel 1 – Ringkasan praktik yang disarankan untuk kebijakan pencegahan penipuan.

Praktek Sumber
- Kebijakan manajemen penipuan harus ditangani di tingkat tertinggi (Coulson-Thomas, 2017)
dalam organisasi.
- Organisasi harus memiliki kebijakan komprehensif tentang keamanan (Soomro et al., 2016)
informasi.
- Organisasi harus menciptakan kesadaran kebijakan.
- Karyawan harus dilatih tentang metode kepatuhan kebijakan.

- Mendorong partisipasi karyawan dalam desain dan pengembangan (Chen et al., 2015)
kebijakan keamanan informasi.
- Pastikan kepatuhan kebijakan melalui pemantauan ketat.
- Pastikan kesadaran karyawan terhadap kebijakan keamanan informasi (Parsons et al., 2014)
yang ada.
- Melatih staf untuk mengembangkan sikap positif terhadap kepatuhan
terhadap kebijakan.
- Organisasi harus memiliki mekanisme kepatuhan kebijakan.

- Ciptakan kesadaran, karena ini merupakan mekanisme yang berguna (Siponen et al., 2014)
untuk kepatuhan kebijakan.
- Membuat dan memelihara kebijakan anti-fraud untuk memandu (Njenga dan Osiemo, 2013)
karyawan.
- Saat membuat kebijakan anti-penipuan, pertimbangkan semua tahapan
manajemen penipuan dan tujuan bisnis secara keseluruhan.

- Kebijakan anti-penipuan harus berlaku untuk semua anggota staf,

termasuk manajer senior.
- Organisasi harus memiliki kebijakan komprehensif tentang keamanan (Singh et al., 2013)
informasi.
- Program kesadaran dan pelatihan harus dilaksanakan
mengenai kepatuhan terhadap kebijakan.
- Harus ada mekanisme yang efektif untuk kepatuhan terhadap
kebijakan.
- Perbarui kebijakan secara teratur. (Bechtsoudis dan Sklavos, 2012)
- Kebijakan harus dievaluasi untuk memastikan mereka efektif.

- Kebijakan anti-penipuan harus fokus pada aspek teknis, (Ji et al., 2007;
organisasi dan manusia dari manajemen penipuan.

Rhee et al., 2012)

- Secara teratur memperbarui kebijakan untuk memastikan (Liu et al., 2010)
efektivitasnya.
- Organisasi harus memastikan kebijakan yang sama untuk pihak
ketiga berlaku untuk kontraktor terkait sistem informasi dan
manajemen penipuan.
- Libatkan karyawan dalam pengembangan kebijakan. (Albrechtsen dan Hovden, 2010)
- Meningkatkan pengetahuan karyawan tentang kebijakan
dan metode kepatuhan.
- Kebijakan anti-penipuan juga harus diterapkan pada manajemen (Wright, 2007)
senior.
- Kebijakan anti-penipuan harus menetapkan komitmen organisasi untuk
memerangi penipuan dan mengomunikasikan sikap organisasi terhadap
penipuan.
- Organisasi harus mengembangkan dan mempertahankan kebijakan anti- (Bierstaker et al., 2006)
penipuan.
- Kebijakan anti-penipuan harus berdiri sendiri dan berbeda dari kode
etik dan kebijakan etika perusahaan.
- Pengakuan tertulis harus memastikan bahwa semua anggota staf
telah menerima salinan dan memahaminya.
Machine Translated by Google

4 komputer & keamanan 109 (2021) 102403

Tabel 2 – Staf perusahaan kasus, saluran bisnis, pendapatan dan sumber data.

Metode pengumpulan
Perusahaan Staf data Saluran bisnis Penjualan tahunan untuk 2016/17

C1 Lebih dari 5000 Semi-terstruktur Online, telepon Lebih dari £1,5 miliar.

wawancara,
dokumen kebijakan dan
diskusi informal
C2 Lebih dari 25000 Wawancara semi- Online, telepon, toko Lebih dari £4 miliar.

terstruktur dan diskusi

informal
C3 Lebih dari 25000 Wawancara semi- Online, telepon, toko Lebih dari £3 miliar.

terstruktur dan diskusi

informal

keterlibatan karyawan dalam merancang kebijakan penipuan, tetapi tidak satu pun
dari studi ini yang berfokus pada sektor e-tail, yang beroperasi di lingkungan yang
berbeda dan memiliki sifat operasi yang bervariasi.
Kebijakan penipuan harus mencakup aspek teknis, organisasi, dan manusia
dari manajemen penipuan, karena tidak adanya aspek apa pun akan membatasi
efektivitasnya (Ji et al., 2007; Rhee et al., 2012). Selain itu, organisasi yang
membagikan informasi mereka dengan pihak lain, termasuk kontraktor, juga harus
memastikan bahwa protokol keamanan informasi dan kebijakan anti-penipuan yang
sama diterapkan secara menyeluruh (Liu et al., 2010; Jalali et al., 2019). Saran ini
sangat penting tetapi terbatas pada keamanan informasi dan data, sementara
pencegahan penipuan identitas membutuhkan strategi kebijakan yang komprehensif.
literatur menyarankan berbagai praktik organisasi untuk mengembangkan,
memperbarui, dan mengkomunikasikan kebijakan, selain membangun kesadaran
dan kepatuhan, tetapi lebih sedikit yang dipelajari dengan berfokus pada pencegahan
penipuan identitas dalam konteks bisnis online (Soomro, et al., 2019). Analisis
literatur kami menyarankan peluang untuk penelitian yang berfokus pada:
pengembangan kebijakan pencegahan penipuan identitas; pembaruan kebijakan,
kesadaran kebijakan; kepatuhan kebijakan; dan kepatuhan au dits. Mengatasi
dimensi kebijakan ini dalam konteks saat ini akan membantu menyarankan kerangka
kebijakan komprehensif dalam pencegahan penipuan identitas dalam konteks bisnis
online (Edquist, 2019).

Pembahasan di atas menandakan bahwa pencegahan penipuan identitas

Organisasi harus memiliki mekanisme untuk memantau dan mengaudit
kepatuhan kebijakan (Chen et al., 2015; Parsons et al., 2014; Singh et al., 2013;
Kolkowska et al., 2017; Maitlo et al., 2019; Syed, 2019 ). Pemantauan adalah proses
berkelanjutan yang dilakukan oleh supervisor untuk memastikan bahwa anggota staf
mematuhi kebijakan anti-fraud secara efektif. Oleh karena itu, anggota staf senior
harus mengetahui kebijakan terkait (Njenga dan Osiemo, 2013; Wright, 2007).
Meskipun saran ini layak diterapkan, mereka berfokus pada keamanan informasi di
sektor perbankan dan lainnya, yang menyiratkan bahwa masalah terkait kebijakan
dalam pencegahan penipuan identitas di sektor e-tail memerlukan perhatian dan
penyelidikan khusus.
Pemantauan dan audit sangat penting untuk memastikan kepatuhan kebijakan.
Studi sebelumnya menunjukkan bahwa memberikan pelatihan dapat menciptakan
kesadaran akan penipuan online dan bagaimana pencegahannya (Chen et al., 2015;
Singh et al., 2013; Soomro et al., 2016). Pelatihan dan kesadaran tersebut
mempengaruhi persepsi dan asumsi karyawan terhadap kecurangan yang
menghasilkan perilaku patuh. Analisis kami menunjukkan bahwa sebagian besar
studi dalam domain kebijakan difokuskan pada keamanan informasi atau operasi
bisnis lainnya. Dengan demikian, tidak ada studi signifikan yang ditemukan dalam
konteks terkait.
Tabel 1 merangkum temuan literatur tentang praktik organisasi mengenai
kebijakan manajemen penipuan identitas, perkembangannya, pembaruan,
komunikasi, kesadaran, dan kepatuhan.
belum diselidiki dalam konteks manajemen kebijakan, karena telah diperlakukan
sebagai masalah teknologi oleh e-tailer (Soomro et al., 2019; Shah, et al., 2016) .
Untuk mendapatkan pemahaman manajemen kebijakan tentang isu-isu yang terkait
dengan pencegahan penipuan identitas di et-ailing, studi kualitatif mendalam
diperlukan untuk mendapatkan wawancara lapangan untuk mendapatkan wawasan
yang hilang.
Penting juga untuk menggunakan pendekatan komprehensif untuk mengembangkan
kerangka kerja untuk mengelola kebijakan secara efektif. Oleh karena itu, penelitian
ini mengkaji praktik manajerial terkait pengelolaan kebijakan penipuan identitas di
kalangan e-tailer. Berfokus pada e-tailer skala besar; karena mereka menawarkan
kredit kepada pelanggan mereka, mereka adalah perusahaan yang paling
terpengaruh.
2. Metode
Untuk memahami penipuan identitas dan e-tailing, kami menggunakan penelitian
studi kasus untuk memperoleh wawasan berdasarkan pengalaman kehidupan nyata
e-tailer dalam mengembangkan sistem manajemen untuk kebijakan pencegahan
penipuan identitas, serta untuk mengidentifikasi peluang untuk mendalam
penyelidikan dari pengalaman itu, berdasarkan analisis dan wawancara yang kuat
(Yin, 2014). Konsisten dengan Gibbert et al. (2008), studi kasus kami memerlukan
interaksi yang erat dengan para praktisi yang berurusan dengan isu-isu
pengembangan kebijakan keamanan.

Pendekatan studi kasus banyak digunakan untuk menyelidiki manajemen

Kebijakan anti-fraud berdampak signifikan terhadap pengelolaan keamanan
kebijakan. Ini adalah proses penelitian yang komprehensif, yang menawarkan desain
informasi dan fraud. Tabel 2 menyajikan praktik organisasi pada kebijakan anti-
kasus yang disesuaikan, berbagai metode pengumpulan data, pendekatan analisis
penipuan dan isu-isu terkait yang disarankan dalam penelitian sebelumnya dalam
data, dan penyajian hasil dengan cara yang tepat (Yin, 2014). Kami menggunakan
konteks keamanan informasi dalam penipuan perbankan dan akuntansi. Yang masih
pendekatan studi kasus untuk menghasilkan pengetahuan yang relevan dari yang
ada
sudah ada
Machine Translated by Google
komputer & keamanan 109 (2021) 102403
praktik yang diperlukan untuk mengembangkan kerangka kerja untuk
pencegahan penipuan identitas.
Mengenai generalisasi, hasil dari satu atau beberapa kasus tidak mungkin
cukup komprehensif. Namun, mirip dengan hasil eksperimen, hasil tersebut
memiliki nilai karena dapat memperluas dan menggeneralisasi teori (generalisasi
analitik), daripada menyimpulkan probabilitas (generalisasi statistik) (Yin, 2014).
Oleh karena itu, penelitian ini merupakan langkah pertama menuju kerangka
umum yang berlaku untuk sektor e-tail. Kami mengakui bahwa pekerjaan kami
mengambil data dari organisasi e-tail besar di Inggris, yaitu di ekonomi maju,
sehingga pekerjaan di masa depan diperlukan untuk memeriksa penerapannya
pada organisasi kecil dan menengah di ekonomi maju; semua bentuk lain dari
perusahaan bisnis di ekonomi yang berbeda bukanlah objek yang menjadi fokus.
Untuk mengumpulkan data, kami menyelesaikan tiga studi kasus di
pengecer online Inggris yang besar. Melakukan pekerjaan di Inggris penting
karena merupakan negara maju di mana sejumlah besar penjualan ritel terjadi
melalui saluran online. Selanjutnya, sebagai konteks penelitian, melakukan
penelitian ini di Inggris tepat waktu karena jumlah penipuan identitas di sektor e-
tail Inggris meningkat pesat (CIFAS, 2020). Selain itu, dengan mengumpulkan
data di satu negara, kami memastikan bahwa informan kami bekerja dalam
konteks peraturan yang konsisten, memungkinkan kami menarik kesimpulan
yang kaya dari berbagai pengalaman informan dari berbagai organisasi. Alasan
terakhir untuk melakukan pekerjaan kami di Inggris adalah pragmatis, karena
penelitian kualitatif menuntut akses yang signifikan ke organisasi yang
berpartisipasi untuk wawancara, dan dua penulis berbasis di Inggris dengan
kontak di sektor ritel Inggris. Kami menggunakan a
pendekatan berbasis teori, berdasarkan replikasi literal, untuk menginformasikan
pemilihan lokasi penelitian kami (Yin, 2014). Kasus dipilih berdasarkan
kesamaan (replikasi literal) (Yin, 2014). Kriteria seleksi adalah bahwa:
a) organisasi harus bergerak di bidang online retailing, karena kajian
difokuskan pada bisnis online; b) mereka harus cukup besar untuk
mengembangkan poli keamanan
cies;
c) mereka harus berbasis di Inggris, untuk menjamin kesamaan budaya dan
gaya manajemen sehingga mereka sebanding.
Ini juga mendukung pengumpulan data, karena pengumpulan data di
negara lain mana pun dapat menimbulkan biaya lebih tinggi, rentang waktu
ekstra, masalah migrasi imigrasi, dan masalah akses data lainnya; d)
mereka harus merupakan organisasi independen, bukan pasar (seperti eBay);
dan e) mereka harus merupakan organisasi yang menawarkan kredit
kepada pelanggan mereka dan memiliki sistem manajemen penipuan identitas
internal.
Tiga puluh tiga wawancara semi-terstruktur dilakukan di tiga organisasi
kasus. Semua organisasi kasus adalah pengecer besar yang beroperasi di
industri serupa di Inggris. Alasan memilih industri yang sama adalah untuk
mengidentifikasi pola serupa di seluruh industri. Pertanyaan yang diajukan
mengarahkan perhatian peserta pada kebijakan pencegahan penipuan identitas.
Pertanyaan-pertanyaan tersebut berkaitan dengan isu-isu yang terkait dengan
pengembangan, pemutakhiran, komunikasi, kesadaran, kepatuhan dan audit
kebijakan. Wawancara semi-terstruktur ditawarkan sebagai metode terbaik
untuk penyelidikan mendalam semacam itu
5
tentang bagaimana, dan alasan mengapa praktik organisasi telah diadopsi.
Data dikumpulkan terus menerus selama setahun karena butuh waktu untuk
mendapatkan akses dan menjadwalkan wawancara. Kami menggunakan
purposive sampling untuk mengidentifikasi peserta, berusaha untuk
mewawancarai staf dan manajer yang bertanggung jawab atas pencegahan
penipuan identitas. Setelah memperoleh perincian tanggung jawab staf yang
terlibat dalam manajemen bisnis online, daftar calon responden diselesaikan
dengan berkoordinasi dengan orang yang bertanggung jawab sebagai
penghubung. Orang yang diwawancarai termasuk, tetapi tidak terbatas pada,
manajer keamanan informasi, manajer operasi bisnis, manajer keamanan
database, manajer penipuan, penasihat penipuan, analis penipuan, petugas
investigasi penipuan, manajer kepatuhan dan auditor.
Responden didekati melalui liaison per son di masing-masing firma. Calon
peserta direkomendasikan oleh kontak utama kami di masing-masing organisasi
dan diundang melalui email untuk mengatur waktu yang nyaman untuk
wawancara. Proses ini menghasilkan akses yang aman ke sejumlah peserta
yang berbeda di setiap organisasi, dengan total tiga puluh tiga peserta. Kami
melakukan wawancara sampai kami berhenti menemukan tema baru atau lebih
lanjut (inductive the matic saturation; Saunders et al., 2018), menunjukkan
bahwa kami telah mencapai titik kejenuhan empiris dan teoretis.
Teknik ini biasa digunakan dalam studi tematik dan juga digunakan oleh
Chowdhury et al. (2020).
Kuesioner penelitian, sebagian besar berdasarkan tinjauan literatur kami,
digunakan untuk menyusun wawancara. Pertanyaannya termasuk: siapa yang
bertanggung jawab untuk mengembangkan kebijakan pencegahan penipuan
identitas, seberapa sering Anda memperbarui kebijakan, bagaimana Anda
memastikan kepatuhan kebijakan, dll. Untuk memanfaatkan wawancara semi-
terstruktur, pertanyaan mendalam lebih lanjut diajukan ditanyakan, berdasarkan
jawaban responden.
Sistem analisis data kualitatif berbantuan komputer (NVivo 11) digunakan
untuk membantu pengkodean dan kategorisasi dataset. Berdasarkan tinjauan
literatur, tema umum telah diidentifikasi, termasuk pengembangan kebijakan,
pemutakhiran, komunikasi dan kesadaran, serta kepatuhan dan audit. Perangkat
lunak membantu mengklasifikasikan teks sesuai dengan tema masing-masing.
Pertama, simpul utama dikembangkan sesuai dengan tema yang ditentukan
melalui temuan literatur, yaitu pengembangan kebijakan, pembaruan kebijakan,
kepatuhan kebijakan, dll. Kedua, sub-simpul dikembangkan untuk praktik
organisasi individu di bawah setiap simpul untuk contoh frekuensi pembaruan
kebijakan. , komunikasi kebijakan, dan metode kepatuhan. Transkrip file audio
kemudian diimpor ke file kata dan dibaca dan dibaca ulang oleh penulis utama,
kata demi kata, dengan maksud untuk menghindari hilangnya tema apa pun.
Setelah itu, setiap informasi disalin ke NVivo dan dikelompokkan ke dalam node
yang telah ditentukan sebelumnya dan sub node dari tema.
Menggunakan pendekatan induktif, simpul dan tema tambahan juga
dikembangkan. Dengan demikian, semua data penting dipindahkan ke NVivo.
Setelah itu, data diimpor ke file kata dan kemudian dikurangi dengan
menghilangkan pandangan serupa dalam organisasi yang sama hanya satu
atau dua pernyataan yang diambil pada satu tema dari masing-masing
perusahaan. Berdasarkan data yang diimpor, pendekatan analisis tematik
diadopsi untuk penjelasan, dan argumen dikembangkan, seperti yang diberikan
di bagian hasil.
Machine Translated by Google

6 komputer & keamanan 109 (2021) 102403

2.1. Latar belakang lokasi studi kasus memiliki rekening dan membeli barang secara kredit. Kredit diberikan tanpa bunga
untuk jangka waktu tertentu dan suku bunga tetap berlaku setelah jangka waktu
Perusahaan yang dipilih adalah e-tailer terkemuka di Inggris Raya, yang menjual tertentu. Meskipun pinjaman kredit adalah skema yang efektif untuk menarik pelanggan,
merek-merek terkenal, terutama pakaian, tata rias, dan aksesori rumah. Total volume namun rentan terhadap penipuan identitas karena memerlukan pengumpulan dan
penjualan dari perusahaan-perusahaan ini merupakan pemrosesan informasi keuangan dan pribadi.
sekitar 40% dari total penjualan online Inggris. Perusahaan-perusahaan ini mengelola
penipuan identitas secara internal tanpa campur tangan pihak ketiga, sehingga
informasi tangan pertama tentang pengelolaan kebijakan penipuan identitas di antara
mereka dicari. Pengaturan yang dibuat oleh perusahaan-perusahaan ini sehubungan 3. Hasil
dengan kebijakan pencegahan penipuan identitas dapat secara signifikan memengaruhi
praktik industri, yang juga menjadikan organisasi ini ideal untuk jenis penelitian ini. Hasil kami menegaskan bahwa tema yang diidentifikasi dalam liter kami
Karakteristik organisasi terpilih disajikan rendah pada Tabel 2. Tinjauan alam relevan dengan tiga lokasi studi kasus kami. Mereka juga mengidentifikasi
tema-tema baru yang kami sajikan di bagian ini. Data yang dikumpulkan dari masing-
masing perusahaan diberikan di bawah ini sesuai dengan temanya.
Organisasi terpilih menjual merek mereka sendiri serta produk yang dibuat oleh
banyak merek lain. Mereka semua menegaskan bahwa mereka mempraktikkan
kegiatan pencegahan penipuan yang komprehensif. 3.1. Adanya kebijakan pencegahan penipuan identitas
Ketiga organisasi kasus tersebut memiliki tim manajemen penipuan yang terpisah. Sub-
bagian berikut memberikan latar belakang singkat tentang masing-masing dari tiga Peserta kami menggambarkan adanya kebijakan keamanan informasi dan
perusahaan yang dipilih.1 menyarankan bahwa mereka tidak harus diterjemahkan ke dalam kebijakan
pencegahan penipuan identitas.
2.1.1. Perusahaan A Ketika ditanya tentang kebijakan keamanan TI, Termohon CA-R05 menyatakan:
Perusahaan A adalah salah satu pengecer online terbesar di Inggris
Raya dan didasarkan pada penggabungan dua perusahaan saingan
“Yang pasti, kami memiliki kebijakan keamanan TI, kebijakan keamanan email,
besar. Ini memiliki jaringan pelanggan yang besar di seluruh Inggris
kebijakan keamanan internet”.
dan Irlandia. Lebih dari 90% operasi bisnisnya dilakukan secara
online, namun memiliki beberapa toko fisik. Ini adalah pengecer Selain itu, responden CA-R10 menegaskan:
online multi-merek, jadi selain menjual mereknya sendiri, ia juga
“Ada kebijakan keamanan informasi yang cukup kuat yang mendefinisikan seluruh
berurusan dengan ratusan merek terkenal lainnya. Perusahaan A
pos keamanan eksternal dan sistem pada dasarnya untuk dikendalikan”.
adalah bisnis pinjaman kredit yang menawarkan periode bebas
bunga kepada pelanggannya saat membeli suatu produk. Pelanggan
dapat memiliki akun di perusahaan dengan memberikan informasi Pernyataan tersebut menunjukkan bahwa Perusahaan A memiliki beberapa
pribadi mereka dan kemudian dapat memperoleh kredensial masuk kebijakan, tetapi sebagian besar terkait dengan keamanan informasi. Perusahaan telah
untuk mengakses akun mereka. Informasi pelanggan bersifat sensitif mengembangkan dokumen kebijakan yang mencakup komputasi seluler keamanan
karena mencakup tanggal lahir, gaun iklan, detail bank, dan detail informasi, email keamanan informasi, kebijakan penggunaan yang dapat diterima,
kartu kredit. Kepemilikan informasi pribadi dan keuangan pelanggan kebijakan enkripsi keamanan informasi, kebijakan jaringan keamanan informasi,
menimbulkan risiko pencurian identitas dan penipuan bagi perusahaan kebijakan keamanan informasi dalam manajemen insiden, kebijakan perlindungan
dan merupakan tantangan dalam hal pengembangan kebijakan yang efektif.
keamanan informasi karyawan dan data pelanggan, dan keamanan informasi internet
kebijakan penggunaan yang dapat diterima. Tujuan dari kebijakan ini adalah untuk
2.1.2. Perusahaan B membantu mengamankan informasi pelanggan dari pencurian dan pelanggaran.
Perusahaan B adalah organisasi ritel online besar yang berbasis di Ketiadaan kebijakan pencegahan penipuan identitas akan mengakibatkan kurangnya
Inggris. Ini juga memiliki rantai toko di seluruh Inggris dan Irlandia tindakan efektif terhadap penipuan ID dan akan membuat sulit untuk mengendalikan
dan memiliki jutaan pelanggan online. Perusahaan berurusan secara luas penipuan tersebut. Oleh karena itu, Perusahaan A disarankan untuk memiliki kebijakan
berbagai barang dari barang rumah tangga hingga perhiasan. Perusahaan B pencegahan penipuan identitas yang komprehensif.
menawarkan pembelian kredit kepada pelanggannya untuk jangka waktu terbatas dan
membebankan tingkat bunga tetap setelah periode bebas bunga awal. Untuk
mengakses dan mendapatkan fasilitas tersebut, pelanggan harus memiliki akun dan Namun, kebijakan serupa belum dikembangkan atau diterapkan untuk pencegahan
karenanya mereka memberikan data pribadi dan informasi kartu kredit. Pemegang penipuan, yang mungkin menjadi alasan terjadinya penipuan identitas. Misalnya, dalam
akun menetapkan kredensial login untuk mengakses akun mereka. menanggapi pertanyaan tentang adanya kebijakan pencegahan penipuan identitas,
responden CB-R14 dari Perusahaan B menjelaskan:

2.1.3. Perusahaan C
“Kami memiliki banyak kebijakan berbeda tetapi tidak secara khusus untuk
Perusahaan C adalah pengecer daring besar di Inggris Raya dengan
rangkaian toko dan situs web untuk bisnis daring. Itu menjual sendiri pencurian identitas. Jelas, kami memiliki kebijakan keamanan informasi dan….
tetapi bukan hanya kebijakan pencurian identitas atau kebijakan pencegahan penipuan”.
brand dan berbagai merk lainnya serta menjual berbagai macam pakaian dan
perlengkapan rumah tangga lainnya. Seperti dua perusahaan lainnya, perusahaan ini Menjawab pertanyaan yang sama, responden CB-R02 menyebutkan:
juga merupakan perusahaan pinjaman kredit yang memungkinkan pelanggannya

“Untuk kebijakan penipuan awal, kami tidak punya”.

1
Tidak ada informasi rinci tentang organisasi kasus yang diberikan
untuk menghindari identifikasi mereka. Lebih lanjut, responden CB-R13 menyatakan:
Machine Translated by Google
komputer & keamanan 109 (2021) 102403
“Tidak ada kebijakan keamanan e-niaga khusus sekarang”.
Pernyataan ini menunjukkan bahwa semua organisasi kasus memiliki beberapa
kebijakan tetapi terbatas pada aspek keamanan informasi saja daripada keamanan
seluruh rantai e-commerce. Meskipun kebijakan ini dapat membantu pencegahan
pencurian identitas, pencegahan penipuan identitas adalah bidang yang lebih luas,
di mana hasil dari Perusahaan B menunjukkan bahwa perusahaan tidak memiliki
kebijakan. Ketiadaan kebijakan semacam itu merupakan kekurangan yang serius.
Dengan tidak adanya kebijakan pencegahan penipuan, anggota staf dapat bekerja
dalam isolasi dan kondisi yang tidak pasti untuk menangani masalah terkait penipuan,
yang mengarah ke praktik yang tidak efektif dan tanggapan yang tidak terorganisir
terhadap pencegahan penipuan identitas. Situasi ini akan menyebabkan upaya
penipuan terus meningkat bahkan meningkat.
Oleh karena itu, Perusahaan B disarankan untuk fokus pada pengembangan
kebijakan untuk mencegah penipuan identitas secara efektif.
Hasil penelitian menunjukkan bahwa Perusahaan C memiliki beberapa kebijakan
namun terbatas pada keamanan informasi. Ketika ditanya tentang kebijakan
pencegahan penipuan identitas, para peserta menyatakan:
“Kami memiliki kebijakan keamanan, jadi kebijakan keamanan grup yang
mencakup setiap kemungkinan”. (CC-R04)
“Jadi ada kebijakan anti pencucian uang, ada kebijakan fraud, dan di dalamnya
ada unsur-unsur tertentu yang berhubungan dengan fraud”.
(CC-R01)
Peserta kami menyarankan agar Perusahaan C memiliki kebijakan yang
berkaitan dengan keamanan infrastruktur TI, keamanan informasi dan komunikasi,
dan pencucian uang. Tanggapan mereka menyiratkan bahwa Perusahaan C berfokus
pada kebijakan yang terkait dengan keamanan informasi dan penipuan internal.
Namun, kebijakan tersebut terbatas pada pengamanan informasi identitas nasabah.
Ini menunjukkan bahwa perusahaan tidak memiliki pengaturan kebijakan yang tepat
untuk mencegah penipuan identitas, yang menyebabkan upaya penipuan berhasil.
Kami tidak menemukan bukti bahwa organisasi kasus kami memiliki serangkaian
kebijakan komprehensif yang membahas setiap aspek pencegahan penipuan
identitas. Ketika ditanya tentang kebijakan pencegahan penipuan identitas, semua
responden menjawab negatif. Tidak adanya kebijakan tersebut dapat menyebabkan
ketidakkonsistenan dalam organisasi, mengakibatkan pengaturan yang buruk untuk
pencegahan penipuan identitas. Kehadiran kebijakan antifraud direkomendasikan
oleh Soomro et al. (2019) dan Njenga dan Osiemo (2013) untuk efektivitas. Oleh
karena itu, kerangka kerja kami menyediakan rubrik tentang cara membuat kebijakan
antifraud yang memberikan panduan tentang bagaimana manajer dan karyawan
harus berpikir tentang cara menanggapi dan mencegah penipuan identitas secara
efisien.
3.2. Kebijakan pengelolaan akses data
Selain pengaturan untuk pencegahan ancaman eksternal seperti enkripsi, anti-
malware dan anti-virus, Perusahaan A memiliki kebijakan untuk melindungi informasi
penting dari ancaman internal. Mengenai kebijakan akses data, CA-R09 mengatakan:
“Kami berusaha keras untuk menjalankan kebijakan dengan hak istimewa paling
rendah. Jadi, kami hanya diberikan hak istimewa yang Anda perlukan untuk melakukan
aktivitas yang terkait dengan pekerjaan Anda dengan peran Anda”.
Mengenai validasi akses dan pemutakhiran akses tersebut, responden yang
sama menyatakan:
7
“Kami memiliki proses yang berjalan enam bulanan, yang disebut 'keperluan
bisnis lanjutan' yang mengekstrak ID pengguna semua orang pada hak istimewa
yang terkait dengan ID tersebut dan manajer individu dihubungi dan diminta
untuk memvalidasi ulang apakah akses penangguhan individu adalah masih
sesuai dengan peran yang mereka pegang”.
Peserta kami berbagi bahwa Perusahaan A memiliki kebijakan manajemen
akses data di mana staf diizinkan akses terbatas ke data organisasi dan pelanggan
yang merupakan praktik yang baik untuk mencegah penipuan identitas internal.
Pernyataan-pernyataan ini menunjukkan bahwa Perusahaan A menjalankan
kebijakan dengan hak istimewa paling rendah pada akses data, yang dimaksudkan
untuk meminimalkan pencurian informasi internal. Praktik up date akses data secara
berkala harus sesuai dengan kebijakan manajemen akses data. Meskipun
Perusahaan A memiliki kebijakan akses data, itu ditinjau kembali enam bulanan,
yang mungkin meninggalkan beberapa risiko.
Menanggapi pertanyaan tentang kebijakan akses data, responden
CB-R13 dari Perusahaan B menyatakan:
“Nah, akses ke data pelanggan hanya diizinkan untuk orang yang berwenang
dan telah menunjukkan kebutuhan dalam pekerjaan mereka untuk memiliki
akses ke data pelanggan tersebut… Orang yang memiliki akses ke data tersebut
harus mengakui untuk mematuhi Undang-Undang Perlindungan Data, dan
sebagainya, dan lain-lain”.
Peserta kami menunjukkan bahwa akses ke data terkait dengan sifat pekerjaan.
Jika suatu pekerjaan memerlukan informasi spesifik, hanya akses data yang relevan
yang diberikan kepada staf untuk memungkinkan mereka memenuhi pekerjaan
mereka. Ini adalah praktik yang valid untuk mencegah upaya penipuan identitas
internal. . Pernyataan tersebut juga menunjukkan bahwa perusahaan lebih
memperhatikan implikasi peraturan, yang wajib, tetapi untuk pencegahan penipuan
identitas yang efektif, perusahaan disarankan untuk mempertimbangkan pencegahan
penipuan identitas saat mengembangkan kebijakan manajemen akses.
Termohon CC-R06 dari Perusahaan C menyatakan:
“Kami diberi akses terbatas ke data pelanggan dan lainnya sehubungan dengan
tanggung jawab kami”.
Peserta kami berhati-hati untuk mencatat bahwa kebijakan tersebut membatasi
akses mereka ke informasi pelanggan dan organisasi yang melampaui konteks tugas
dan tanggung jawab mereka dan membatasi akses hanya ke informasi yang
diperlukan untuk menyelesaikan tugas mereka. Khususnya, mereka mengungkapkan
kesadaran bahwa akses data ditinjau dan dikelola setiap tahun sesuai dengan
kebijakan manajemen akses. Tinjauan tahunan atas kebijakan tersebut dapat
meninggalkan beberapa kesenjangan dalam keefektifannya karena transfer dan
promosi di dalam perusahaan. Oleh karena itu, disarankan untuk meninjau akses
setelah relokasi dari setiap staf terkait.
Data menunjukkan bahwa organisasi kasus memiliki sistem manajemen akses
untuk membatasi akses staf ke informasi penting pelanggan. Pengaturan ini
membantu mengendalikan penipuan internal.
Rekomendasi tersebut juga dibuat oleh Lim (2021) dan Ramprasath dan
Seethalakshmi, (2021) tentang keamanan informasi. Oleh karena itu, kami
menyertakan kebijakan manajemen akses data ke dalam kerangka kerja kami untuk
mengatasi kekhawatiran tentang upaya penipuan identitas internal.
3.3. Kesadaran kebijakan
Ketika ditanya tentang kesadaran kebijakan dan kesiapan akses, responden CA-
R09 dari Perusahaan A menyatakan:
Machine Translated by Google
8 komputer & keamanan 109 (2021) 102403
“Ada paket e-learning internal yang diterapkan di seluruh organisasi sehingga
memberikan gambaran kepada individu tentang isi kebijakan dan mengarahkan
mereka ke bagian lengkap dokumen jika mereka ingin membaca lebih lanjut”.
Hasil menunjukkan bahwa Perusahaan A telah membuat kebijakan tersedia untuk
semua anggota staf, yang membantu mereka untuk melaksanakan tugasnya sesuai
dengan pedoman kebijakan. Meskipun ketersediaan kebijakan itu penting, tidak
menjamin bahwa karyawan akan membaca dan memahaminya.
Dengan demikian, tidak ditemukan mekanisme konfirmasi informasi kebijakan. Tidak
adanya mekanisme untuk memastikan bahwa staf mengetahui dengan baik kebijakan
pencegahan penipuan identitas dapat menjadi kelemahan utama dalam program
kesadaran kebijakan dan kesenjangan tersebut dapat menyebabkan staf bertindak di
luar pedoman kebijakan.
Oleh karena itu, program pelatihan harus diatur untuk meningkatkan kesadaran dan
pemahaman karyawan tentang kebijakan dan harus ada mekanisme untuk terus
memantau kesadaran kebijakan di antara staf.
Responden CB-R01 dari Perusahaan B menyatakan:
“Semua kebijakan tersedia di sistem komunikasi internal kami, sehingga siapa pun
dapat mengakses kebijakan tersebut”.
Meskipun merupakan praktik yang baik untuk memastikan ketersediaan kebijakan,
hal itu mungkin tidak menjamin bahwa semua anggota staf memahaminya. Selain itu,
terkait awareness up date kebijakan, responden CB-R12 menyatakan:
“Setiap pembaruan dalam kebijakan dikomunikasikan kepada staf melalui email”.
Meskipun email adalah cara yang efisien untuk mengomunikasikan informasi,
pembaruan kebijakan mengharuskan staf sepenuhnya memahami perubahan, yang
kurang di Perusahaan B. Meskipun informasi email diterima oleh anggota staf, tetapi
tidak menjamin bahwa mereka membaca dan memahami kebijakan baru atau
amandemen, yang dapat menyebabkan kurangnya kepatuhan.
Kesadaran akan kebijakan diperlukan untuk kepatuhan mereka, sehingga harus ada
mekanisme untuk memastikan bahwa staf tidak
memahami kebijakan dan dilatih untuk mematuhinya.
Serupa dengan perusahaan lain, Perusahaan C juga memiliki platform untuk
kesadaran kebijakan, seperti yang disebutkan oleh responden CC
R06 bahwa:
“Kami memiliki basis data internal kami yang menawarkan akses ke kebijakan
yang tersedia”.
Selain mengakses kebijakan yang ada mengenai kesadaran akan adanya kebijakan
baru atau perubahan apapun, responden
CC-R02 memberi tahu kami bahwa:
“Kebijakan baru diedarkan melalui email”.
Pernyataan tersebut menunjukkan bahwa Perusahaan C menawarkan akses
terhadap kebijakannya (keamanan informasi umum) melalui basis datanya, yang
merupakan bentuk pasif dari kesadaran kebijakan. Itu tidak menjamin bahwa staf
sangat menyadari kebijakan dan mampu mematuhinya. Karena kesadaran kebijakan
telah ditemukan sangat penting oleh berbagai peneliti (seperti Soomro et al. (2019)
dan Parsons et al. (2014)) dalam berbagai konteks berbeda yang melengkapi temuan
kami. Konsekuensinya, kami memasukkan kesadaran kebijakan sebagai bagian
penting dari
kerangka kerja kami dan menyarankan jaminan pemahaman kebijakan.
Oleh karena itu, harus mengembangkan program pelatihan kesadaran untuk
memastikan kesadaran kebijakan. Praktik pengiriman email staf tentang kebijakan baru
memang penting, tetapi juga harus mengembangkan mekanisme yang memastikan
staf membaca dan memahami kebijakan baru.
3.4. Pembaruan kebijakan
Memperbarui kebijakan lebih sering sangat penting dalam e-commerce, karena
lingkungan teknologi yang lebih luas, khususnya ekosistem online, berubah dengan
cepat. Hasilnya menunjukkan bahwa organisasi kami memiliki rencana untuk
memperbarui kebijakan mereka secara sistematis. Ketika ditanya tentang frekuensi
pembaruan polis, CA-R05 dari Perusahaan A menyatakan:
“Setiap kebijakan ditinjau setiap dua belas bulan, dan itu hanya dapat menjadi
kebijakan langsung yang aktif”.
Responden CB-R01 dari Perusahaan B menyatakan:
“Saya pikir itu setiap 12 bulan”.
Meskipun pernyataan ini menunjukkan bahwa Perusahaan A dan Perusahaan B
memperbarui dan meninjau kebijakan mereka setiap tahun, dan dapat membantu
meningkatkan keefektifannya, tinjauan terencana semacam itu mungkin bermasalah.
Tinjauan kebijakan tahunan dapat menghasilkan beberapa kesenjangan serius, karena
konteks e-tailing bertumpu pada teknologi yang berkembang pesat dan ancaman yang
berkembang pesat (Pymnts.com, 2021). Jadi praktik tinjauan kebijakan tahunan saat
ini dapat menyebabkan kebijakan yang tidak efektif. Bercermin pada tren penipuan
identitas dan teknologi yang berkembang pesat, kebijakan menjadi lebih sering
ditiadakan dari sebelumnya, oleh karena itu, praktik pembaruan kebijakan dapat ditinjau
kembali dan proses yang berkelanjutan harus diadopsi. Karena siklus peninjauan
tahunan mungkin terlalu lama, kami menyelidiki bagaimana e-tailer menanggapi
ancaman penipuan yang muncul dan dinamis. Dalam hal ini, Perusahaan C memiliki
kedudukan yang lebih baik, sebagaimana dijelaskan oleh CC R03 bahwa:
“Kami memiliki sistem yang ditetapkan untuk memperbarui kebijakan kami secara
berkala, tetapi terkadang kami melakukannya sesegera mungkin untuk memitigasi risiko”.
Pernyataan ini menunjukkan bahwa meskipun sistem Perusahaan C memperbarui
kebijakannya secara berkala, ia memiliki fleksibilitas untuk memperbarui kebijakan
penipuan identitas setiap kali perubahan tuntutan lingkungan berubah. Fleksibilitas ini
penting, karena pembaruan kebijakan yang lebih sering akan menghasilkan kinerja
yang lebih efektif terhadap pelaku penipuan identitas. Praktik semacam itu juga penting
untuk menghadapi tantangan ancaman teknologi yang selalu berubah. Strategi
pembaruan kebijakan yang berkelanjutan ini juga disarankan oleh Bechtsudis dan
Sklavos (2012) dan Liu et al. (2010) dan merupakan bagian dari kerangka kerja yang
direkomendasikan.
3.5. Kepatuhan kebijakan
Meskipun praktik memiliki kebijakan pencegahan penipuan identitas penting,
kepatuhan terhadap kebijakan ini bahkan lebih penting; kepatuhan tersebut sangat
penting untuk memenuhi tujuan mereka.
Pernyataan yang diberikan oleh CA-R09 dari Perusahaan A tentang kepatuhan
mendukung hal ini:
Machine Translated by Google
komputer & keamanan 109 (2021) 102403
“Kami memvalidasi semua persyaratan kontrol yang ditentukan dalam kebijakan
tersebut terhadap semua sistem di dalam lingkungan dan memastikan adanya
pelanggaran terhadap kebijakan tersebut, dan pelanggaran tersebut kemudian
diselidiki sepenuhnya”.
Menanggapi pertanyaan tentang bagaimana perusahaan memastikan kebijakan
kepatuhan, responden CA-R10 menyatakan:
“Kami memiliki tim kepatuhan penuh dengan cukup banyak orang, dan mereka
melihat berbagai bidang bisnis”.
Hal ini menunjukkan bahwa Perusahaan A memiliki praktik untuk memastikan
kepatuhan terhadap setiap kebijakan, menginvestigasi setiap pelanggaran dan
mengambil tindakan korektif. Hasilnya juga menunjukkan bahwa Perusahaan A
memiliki tim yang berdedikasi untuk memantau kepatuhan terhadap kebijakan.
Meskipun Perusahaan A memantau kepatuhan terhadap kebijakannya, namun tidak
memberikan pelatihan apa pun tentang metode dan proses kepatuhan.
Mengenai kepatuhan kebijakan di Perusahaan B, CB-R05 yang diwawancarai
menyatakan:
“Saya dapat mengatakan bahwa bisnisnya, kepatuhannya cukup sederhana.
Mereka akan selalu beroperasi melebihi kepatuhan sebagai praktik terbaik”.
Ini mengungkapkan bahwa di Perusahaan B, anggota staf diharapkan untuk
mematuhi kebijakan dan menerapkan praktik terbaik.
Namun, hasil menunjukkan bahwa Perusahaan B tidak memiliki sistem pemantauan
kepatuhan kebijakan, yang dapat menyebabkan perilaku ketidakpatuhan beberapa
anggota staf. Kesenjangan perilaku ketidakpatuhan dapat meningkat jika tidak ada
sistem pemantauan, sehingga CB disarankan untuk memastikan bahwa kebijakannya
diikuti oleh semua anggota staf.
Mengenai audit internal dan eksternal reguler untuk kepatuhan kebijakan,
responden CC-R06 dari Perusahaan C menyatakan:
“Setiap departemen yang diaudit setiap tahun oleh kepala kepatuhan… setiap
departemen harus berhasil, dan harus memberikan bukti kepatuhan mereka, jadi
kami mengaudit kepatuhan secara internal dan kami mengaudit secara eksternal”.
Pernyataan tersebut menunjukkan bahwa Perusahaan C tidak memiliki sistem
untuk pemantauan kepatuhan kebijakan secara terus menerus. Kesenjangan dalam
pemantauan kepatuhan kebijakan tersebut merupakan ancaman yang signifikan bagi
organisasi dan menyebabkan upaya penipuan saya berhasil.
Dengan tidak adanya kebijakan, praktik kepatuhan tidak akan menambah keberhasilan
pencegahan penipuan identitas mereka, sehingga Perusahaan C harus
mempertimbangkan pengembangan kebijakan pada setiap langkah pencegahan
penipuan dan memastikan praktik yang lebih baik, dengan pemantauan kepatuhan
yang berkelanjutan melalui staf pengawas. . Selain itu, Perusahaan C juga dapat
mengembangkan mekanisme kepatuhan kebijakan yang akan membantu memastikan
perilaku staf yang positif terhadap kepatuhan. Praktik pemantauan kepatuhan
kebijakan secara berkelanjutan juga direkomendasikan oleh Siponen et al. (2014) dan
Chen et al. (2015), sehingga merupakan bagian dari kerangka kerja yang
direkomendasikan.
3.6. Audit kepatuhan
Audit memiliki peran penting dalam memastikan kepatuhan kebijakan karena
membantu menemukan ketidakpatuhan dan aspek-aspek prosedur yang membuat
kepatuhan lebih mudah diterapkan.
Menanggapi pertanyaan tentang audit kepatuhan, responden melaporkan bahwa: CA-
R06:
9
“Audit dilakukan dalam bisnis untuk memastikan bahwa mereka patuh; tim audit
internal sendiri yang mereka lakukan secara rutin, dan pihak ketiga datang setiap
tahun untuk memastikan (bahwa) kami mematuhi kebijakan kami”.
CB-R05 menyatakan:
“Ini diaudit secara internal dan diaudit secara eksternal, dan setiap masalah
ditangani (dengan) sesuai”.
CC-R05 memberi tahu kami bahwa:
“Kami memiliki proses audit internal yang baik untuk memastikan bahwa
kebijakan kami diterapkan dengan benar”.
Selanjutnya responden yang sama juga menyebutkan bahwa:
“Kami juga mengundang pihak eksternal untuk melakukan audit kepatuhan,
terutama terkait dengan kebijakan yang mencerminkan kebijakan eksternal seperti
FCA dan otoritas pengatur lainnya”.
Pernyataan-pernyataan ini menunjukkan bahwa semua organisasi kasus memiliki
infrastruktur yang tepat untuk mempromosikan kepatuhan kebijakan-yang sedang
menunggu kebijakan manajemen penipuan identitas diterapkan. Data menunjukkan
bahwa kepatuhan tersebut sebagian besar ditargetkan untuk memenuhi persyaratan
keuangan dan otoritas pengatur lainnya dan dengan demikian kurang terfokus pada
pencegahan penipuan identitas. Kesenjangan kurangnya fokus pada pencegahan
penipuan identitas dalam audit kepatuhan kebijakan dapat mengakibatkan kerugian
yang signifikan karena upaya penipuan yang berhasil. Literatur yang ada memberikan
fokus signifikan pada audit kepatuhan (seperti Soomro et al. (2019) dan Singh et al.
(2013)). Studi ini meneruskan bahwa audit kepatuhan kebijakan harus diperluas untuk
mencakup pencegahan penipuan identitas, yang juga harus menjadi bagian dari
kerangka kerja yang direkomendasikan.
Jadi, kami menemukan bahwa tidak ada kebijakan pencegahan penipuan identitas
yang kuat, meskipun setiap organisasi memiliki struktur pendukung untuk kebijakan
pencegahan penipuan identitas.
Organisasi-organisasi ini harus fokus untuk memasukkan kebijakan pencegahan
penipuan identitas ke dalam keseluruhan kebijakan mereka, seperti yang didukung
oleh sebagian besar peserta. Akhirnya, terungkap bahwa tidak ada kerangka kerja
untuk mencegah penipuan identitas di sektor e-tail.
4. Diskusi
Penelitian ini menganalisis praktik organisasi terkait kebijakan pencegahan penipuan
identitas di sektor e-tail. Sementara penipuan identitas adalah masalah yang
berkembang cepat, pengembangan dan implementasi kebijakan lambat di kalangan e-
tailer. Oleh karena itu, penelitian ini memberikan wawasan baru dan menyarankan
perbaikan dalam kebijakan penipuan identitas. Dengan demikian, pekerjaan kami
konsisten dengan pandangan Giuliani (2018) tentang perumusan kebijakan, yang
menyarankan bahwa setiap solusi kebijakan harus komprehensif, karena kebijakan
parsial mungkin tidak menyelesaikan masalah. Jadi, untuk kerangka teoretis baru,
IFPF, dikembangkan untuk menawarkan pendekatan komprehensif terhadap
manajemen kebijakan penipuan identitas, melalui pendekatan studi kasus e-tailer.
Dengan tidak adanya kerangka seperti itu, e-tailer tidak memiliki strategi yang
jelas tentang bagaimana mengelola penipuan identitas, yang menyebabkan tidak
adanya kebijakan yang efektif. Dengan tidak adanya kebijakan pencegahan penipuan,
staf yang menangani transaksi bisnis tidak mengetahui cara menangani transaksi
yang mencurigakan. Ini juga
Machine Translated by Google
10 komputer & keamanan 109 (2021) 102403
Gambar 1 – Kerangka pencegahan penipuan identitas (IFPF).
mengarah ke tindakan yang berbeda pada transaksi serupa, tergantung
pada siapa yang berurusan dengan transaksi tersebut. Karena itu, e-
tailer kehilangan sejumlah besar pendapatan mereka karena kerugian
penipuan identitas. Dalam konteks pencegahan penipuan identitas,
kebijakan memainkan peran penting dalam menentukan tindakan
terhadap penipuan. Hasilnya menunjukkan bahwa ketiga perusahaan
memiliki kebijakan keamanan informasi yang terbatas pada perlindungan
data dan terutama berfokus pada masalah teknologi.
Untuk mempelajari dan menerapkan kebijakan yang secara efektif
mencegah penipuan identitas di e-tailing, kami beralih ke pengembangan
kerangka holistik untuk mengelola kebijakan yang berfokus pada
pencegahan penipuan identitas di organisasi e-tailing. Gambar 1
menunjukkan IFPF yang dikembangkan dalam penelitian ini yang
mengintegrasikan praktik organisasi utama yang dapat mempengaruhi
pencegahan penipuan identitas di sektor e-tail. Penelitian kami selangkah
lebih maju dari rekomendasi kebijakan oleh Ling dan Naughton (2016)
dan menambahkan satu komponen lagi untuk kepatuhan dan audit agar
menyeluruh untuk memastikan bahwa kebijakan diterapkan secara
efektif. Empat tema penting (praktik organisasi) yang muncul adalah:
• Adanya kebijakan pencegahan penipuan identitas •
Kebijakan pengelolaan akses data, • Kesadaran dan
pembaruan kebijakan; dan • Kepatuhan kebijakan dan
audit kepatuhan.
Kami menemukan bahwa ketiga e-tailer memiliki kebijakan untuk
mengamankan informasi mereka dari pencurian dan peretasan sistem.
Kebijakan ini sebagian besar terkait dengan keamanan informasi,
keamanan komunikasi dan keamanan infrastruktur. Temuan menunjukkan
bahwa ketiga perusahaan memiliki pengaturan serupa untuk
mengamankan informasi mereka. Salah satu alasan utama konsistensi
ini adalah karena perusahaan lebih fokus pada GDPR dan kepatuhan
terhadap peraturan privasi, sehingga kurangnya kesadaran tentang
perbedaan antara pencurian identitas dan penipuan identitas.
Meskipun kebijakan ini hadir untuk mencegah pencurian identitas,
dan dapat digunakan untuk pencegahan penipuan identitas, fokus
utamanya adalah mencegah insiden ini terjadi.
Untuk pencegahan penipuan identitas yang efektif, perusahaan
memerlukan kebijakan pada tahap pencegahan penipuan berikutnya,
termasuk menangani insiden yang terjadi, dan pemantauan.
Mengatasi kesenjangan dalam pemahaman ini penting, karena di
luar pelanggaran data awal, kami tidak dapat mengidentifikasi pekerjaan
preskriptif yang berfokus pada penipuan identitas di perusahaan e-tail.
Tampaknya literatur telah mengadopsi pendekatan satu ukuran cocok
untuk semua, dengan asumsi bahwa resep penipuan identitas umum
cukup untuk mencegah penipuan di semua organisasi.
Ketiadaan kebijakan menyebabkan kelemahan dalam proses pencegahan
penipuan identitas. Ini juga menunjukkan bahwa perusahaan yang diteliti
lebih fokus pada pencegahan pencurian informasi (untuk memenuhi
persyaratan GDPR) Sultan, et al. (2020) yang mungkin menjadi salah
satu alasan yang sah untuk sejumlah besar penipuan yang berhasil.
Dengan tidak adanya seperangkat kebijakan komprehensif pada setiap
tahap pencegahan penipuan identitas, ada kekurangan tindakan strategis
terhadap aktivitas penipuan, yang memungkinkan beberapa insiden
penipuan identitas terjadi.
Selain adanya kebijakan yang tepat, mengkomunikasikan dan
menciptakan kesadaran akan kebijakan penipuan identitas akan menjadi
penting. Meskipun tidak dalam domain e-tailing, berkaitan dengan
pentingnya kebijakan keamanan, Puhamainen dan Siponen (2010) dan
Siponen et al. (2014) berpendapat bahwa visibilitas kebijakan keamanan
informasi memiliki dampak yang signifikan dan positif terhadap perilaku
kepatuhan kebijakan karyawan. Dengan membuat kebijakan penipuan
anti-identitas yang terlihat, Bierstaker et al. (2006) dan karya Wright
(2007) menyarankan e tailers akan menjadi lebih baik dalam pencegahan
penipuan.
Kami menemukan bahwa situs studi kasus kami secara aktif
berkomunikasi dengan peserta kami tentang keamanan informasi, dan
praktik komunikasi ini dapat membantu meningkatkan kesadaran akan
penipuan identitas. Perusahaan yang kami pelajari telah membuat
kebijakan mereka tersedia untuk anggota staf mereka melalui komunikasi internal
Machine Translated by Google
komputer & keamanan 109 (2021) 102403
sistem komunikasi. Dokumen kebijakan yang tersedia sangat membantu
staf untuk mendapatkan panduan dan mendapatkan serangkaian
panduan yang jelas untuk diikuti. Selain itu, perusahaan memiliki praktik
mengirimkan pembaruan kebijakan melalui email untuk menciptakan
kesadaran karyawan tentang perubahan kebijakan yang ada, yang
membantu karyawan untuk mengetahui perubahan ini.
Akibatnya, untuk meningkatkan pencegahan penipuan identitas,
kami merekomendasikan mempelajari efektivitas keamanan TI, dan
membangun kesadaran staf terhadap kebijakan seperti yang
direkomendasikan oleh Parsons et al. (2014) dan menentukan apakah
mereka menerjemahkan ke konteks e-tailing. Praktik menciptakan
kesadaran kebijakan disorot dalam penelitian sebelumnya (Siponen et
al., 2014; Soomro et al., 2016). Ringkasan praktik organisasi dari masing-
masing perusahaan yang diteliti dalam hal pencegahan penipuan identitas
dan pembuatan kebijakan disediakan pada Tabel 3.
Temuan pada Tabel 3 menunjukkan bahwa Perusahaan A dan
Perusahaan B menggunakan sistem pembelajaran online yang membantu
staf untuk mendapatkan akses ke setiap isi kebijakan. Praktik ini penting
untuk memberi tahu karyawan tentang kebijakan yang ada dan
menafsirkannya untuk memastikan kepatuhan. Perusahaan C tidak
memiliki sistem pembelajaran seperti itu, yang dapat mengakibatkan
kebijakan tidak tersedia dan dapat menyebabkan ketidakpatuhan. Penting
untuk mengarahkan tanggapan karyawan sesuai dengan tujuan
organisasi. Dalam perspektif teoretis, ini menekankan bahwa komunikasi
kebijakan harus aktif, dan berorientasi pada umpan balik untuk
memastikan bahwa staf terkait memahami kebijakan terkait dan mampu
mematuhinya.
Kami menemukan bahwa kurangnya pemahaman karyawan tentang
kebijakan merupakan salah satu kendala utama kepatuhan terhadap
kebijakan. Oleh karena itu, e-tailer disarankan untuk menyusun
mekanisme umpan balik untuk memastikan bahwa karyawan membaca
dan memahami kebijakan terkait. Selain itu, perusahaan-perusahaan ini
harus mengembangkan program pelatihan untuk menciptakan kesadaran
kebijakan, pemahaman dan pembelajaran proses kepatuhan, dan
mengembangkan sikap positif dari staf yang akan menghasilkan
kepatuhan yang lebih baik (Parsons et al., 2014; Singh et al., 2013;
Soomro et al., 2016). Untuk menambah teori, komunikasi kebijakan harus
menjadi mekanisme dua arah untuk memastikan pemahaman yang tepat
tentang inti kebijakan dan komitmen terhadap kepatuhan.
Untuk memastikan pengelolaan data dan privasi pelanggan, e tailer
perlu memiliki tindakan pencegahan yang lebih kuat untuk penipuan
identitas. Perusahaan yang diteliti menyimpan informasi sensitif yang
berkaitan dengan sejumlah besar pelanggan, yang membuat perusahaan
ini bertanggung jawab atas peraturan perlindungan data umum (GDPR),
dan kepatuhan terhadap peraturan privasi. Selain tantangan eksternal,
perusahaan-perusahaan ini menghadapi ancaman internal, jadi untuk
meminimalkan risiko ini, perusahaan mengizinkan karyawan mereka agar Perusahaan B dan Perusahaan C menerapkan sistem pemantauan
untuk mengakses informasi sensitif tentang pelanggan mereka secara minimum.
kepatuhan dan melatih anggota stafnya untuk mematuhi kebijakan anti-
Karyawan hanya diberi akses ke informasi yang penting untuk
menyelesaikan tugasnya, yang membantu meminimalkan kemungkinan
pencurian data internal. Itu juga didirikan
bahwa di Perusahaan B dan Perusahaan C, hak istimewa akses data
dinilai setiap tahun, yang tidak cukup sering dan dapat membuat hak
akses data yang disusupi tidak terdeteksi selama beberapa waktu. Oleh
karena itu, Perusahaan B dan Perusahaan C disarankan untuk lebih
sering menilai hak istimewa, yang merupakan praktik yang diterapkan di
Perusahaan A. Selain itu, e-tailer juga disarankan untuk meninjau hak
istimewa akses data saat terjadi perubahan peran anggota staf (Alrashed ,
2016; Wang et al., 2006).
11
Signifikansi kebijakan terkait untuk manajemen yang efektif dan
pengembangan kebijakan penipuan identitas juga telah disorot oleh
Singh et al. (2013) dan Soomro et al. (2016). Studi sebelumnya yang
dilakukan oleh Jamieson et al. (2007), Kumar dkk. (2007), Liu dkk. (2010),
Njenga dan Osiemo (2013) dan Wilhelm (2004) menekankan pentingnya
keberadaan kebijakan terkait untuk pencegahan penipuan yang efektif.
Oleh karena itu, e-tailer direkomendasikan untuk mengembangkan
kebijakan pencegahan penipuan identitas yang efektif. Selain itu,
pentingnya kepatuhan terhadap kebijakan sama pentingnya dengan
keberadaan kebijakan itu sendiri.
Ketiga perusahaan yang diteliti memiliki praktik audit internal dan
eksternal untuk kepatuhan kebijakan, yang membantu manajemen
puncak memastikan bahwa kebijakan dipatuhi secara efektif untuk
membantu mencapai tujuan organisasi. Namun, untuk memastikan
kepatuhan kebijakan secara real-time, Perusahaan A perlu
mengembangkan mekanisme di mana atasan langsung memastikan
bahwa kebijakan tersebut dipatuhi, tanpa menunggu audit. Praktik seperti
itu akan membantu memantau secara ketat proses kepatuhan dan
mengoreksi setiap kesalahan yang dibuat oleh anggota staf tentang
pemahaman kebijakan dan prosedur kepatuhan, memungkinkan
peningkatan kinerja kepatuhan staf melalui pelatihan dan kesadaran.
Direkomendasikan untuk memperluas praktik pemantauan ketat
proses kepatuhan dan keberadaan mekanisme kepatuhan dalam
konteks e-tail yang disoroti oleh Chen et al. (2015) dan Parsons et al.
(2014) untuk kepatuhan kebijakan keamanan TI.
Perusahaan C harus mengembangkan seperangkat kebijakan
pencegahan penipuan identitas yang komprehensif pada setiap tahap
pencegahan penipuan untuk memberikan panduan yang tepat kepada
karyawan untuk memastikan tindakan yang seragam dan terencana.
Perlunya kebijakan pencegahan penipuan yang komprehensif juga
ditekankan oleh Bierstaker et al. (2006), dan Njenga dan Osiemo (2013).
Kebijakan pencegahan penipuan identitas harus ditangani di tingkat
manajemen puncak, dan masukan dari staf operasional harus dicari
untuk menghasilkan kebijakan yang efektif (Coulson-Thomas, 2017; Albrechtsen dan Ho
Memberikan pelatihan membantu karyawan untuk memahami
metode dan proses kepatuhan yang mengarah pada perilaku kepatuhan
yang positif (Soomro et al., 2016). Oleh karena itu, Perusahaan A harus
mengembangkan program pelatihan untuk meningkatkan kepatuhan
terhadap kebijakan. Pemantauan ketat terhadap kepatuhan kebijakan
direkomendasikan dalam Chen et al. (2015) studi. Perusahaan juga
disarankan untuk memperkenalkan pelatihan kepatuhan, yang akan
membantu karyawan memahami kebijakan dan mempelajari cara
mematuhi secara efisien (Soomro et al., 2016). Selain itu, disarankan
penipuan.
Hasil kami menunjukkan bahwa sementara e-tailer kami berbagi
banyak kesamaan dalam pendekatan mereka untuk mengelola penipuan,
mereka juga memiliki perbedaan substansial dalam strategi mereka di
seluruh perusahaan, menemukan bahwa perusahaan-perusahaan ini
menerapkan strategi yang berbeda terhadap revisi manajemen akses.
Perusahaan A merevisinya dua kali setahun sementara Perusahaan B
dan C melakukan latihan ini setiap tahun. Kami juga menemukan
perbedaan besar di antara perusahaan kasus dalam variasi prosedur
kepatuhan kebijakan. Hasil menunjukkan bahwa Perusahaan A memiliki
prosedur kepatuhan kebijakan yang berkelanjutan, sementara yang lain
mengandalkan audit kepatuhan yang mereka lakukan secara berkala. Selanjutnya, hasi
Machine Translated by Google

12 komputer & keamanan 109 (2021) 102403

Tabel 3 – Ringkasan praktik organisasi pencegahan penipuan identitas di perusahaan yang diteliti.

Organisasi
Proses Praktek CA CB CC

Adanya kebijakan - Adanya informasi dan Ya Ya Ya

pencegahan penipuan Tidak Tidak Tidak

kebijakan keamanan Ya Ya Ya
teknologi.
- Adanya kebijakan
terkait pencegahan
penipuan identitas pada
setiap tahapan.

- Semua kebijakan
ditinjau setiap tahun.
Akses data - Staf setidaknya Ya Ya Ya
kebijakan harus memiliki akses ke Ya Ya Ya
manajemen informasi pribadi. Enam bulanan Tahunan Tahunan

- Hanya informasi
terkait pekerjaan yang
dapat diakses.
- Penilaian data
hak istimewa akses.
Kesadaran kebijakan - Paket e- Ya Ya Tidak

learning Ya Ya Ya
dikembangkan untuk Ya Ya Ya
membantu staf mempelajarinya Tidak Tidak Tidak

isi dari
kebijakan dan
memahaminya.
- Semua kebijakan
tersedia di
intern
komunikasi
sistem.
- Kebijakan baru dan
yang diperbarui
dikomunikasikan secara
efektif.
Kesadaran dan
pemahaman kebijakan
diakui.
Pembaruan kebijakan Kebijakan sering diperbarui Tahunan Tahunan Tahunan
- Mekanisme kepatuhan
Kepatuhan kebijakan kebijakan. Ya Tidak Tidak

Ya Ya Ya
- Mengaudit kepatuhan Ya Ya Ya
kebijakan secara internal.
- Undang eksternal
ahli untuk
audit kepatuhan.
Audit kepatuhan - Sebuah praktek Ya Ya Tidak

internal dan
audit eksternal untuk
memastikan kepatuhan
dengan kebijakannya

Catatan: CA: Perusahaan A, CB: Perusahaan B, CC: Perusahaan C.

menunjukkan bahwa perusahaan A dan B mendapatkan kepatuhan perbedaan-perbedaan yang disebutkan di atas, penelitian kami
kebijakan mereka diaudit oleh pihak internal dan eksternal untuk semua menemukan banyak kesamaan antara kasus organisasi pencegahan
kebijakan mereka, sedangkan Perusahaan C mengundang auditor eksternal penipuan identitas. Kesamaan ini mungkin karena kami secara teoritis
mengambil sampel perusahaan yang terlibat dalam industri bersama (e-
hanya untuk memastikan kepatuhan terhadap kebijakan otoritas pengatur keuangan.
Dengan demikian, penelitian kami menemukan beberapa perbedaan penting tailing), dengan struktur organisasi yang serupa, ukuran yang serupa, dan
dalam praktik manajemen dalam pencegahan penipuan identitas. Meskipun lingkungan operasi yang serupa.
Machine Translated by Google
komputer & keamanan 109 (2021) 102403
4.1. Kontribusi teoretis
Studi ini memberikan kontribusi terhadap penipuan identitas dan e-tailing lit
era dalam beberapa cara. Pertama, studi ini mengembangkan kerangka
teoretis baru (IFPF), mengintegrasikan praktik organisasi yang diperlukan
untuk kebijakan pencegahan penipuan identitas yang efektif di antara e-
tailer. Studi ini bersifat unik, karena tidak ada penelitian sebelumnya yang
menyelidiki manajemen kebijakan pencegahan penipuan identitas.
E-tailing adalah pasar yang berkembang pesat dan subjek otoritas
perilaku keuangan, sehingga perlu untuk mencegah penipuan identitas untuk
menghindari kerusakan bisnis dan reputasi. Oleh karena itu, kontribusi baru
dari penelitian ini memberikan wawasan baru ke dalam kebijakan pencegahan
penipuan identitas melalui IFPF yang diusulkan dalam penelitian ini.
Penelitian ini berkontribusi pada pengetahuan yang ada dengan membantu
menjembatani kesenjangan dalam literatur, karena menyelidiki manajemen
kebijakan pencegahan penipuan identitas dalam pengaturan dunia nyata di
perusahaan e-tail besar, karena penelitian sebelumnya yang sangat terbatas
berfokus pada sektor e-ekor. Studi ini juga menawarkan wawasan tentang
pentingnya manajemen kebijakan dalam pencegahan penipuan identitas
yang membuka jalan baru untuk penelitian di masa depan. Kami telah
mengidentifikasi beberapa celah atau peluang untuk memajukan pemahaman
kami tentang penipuan identitas dalam konteks e-tailing, dan menyarankan
penelitian perlu melampaui pencurian identitas untuk memahami sepenuhnya
implikasi penipuan identitas bagi organisasi.
Penelitian ini juga berkontribusi pada perdebatan saat ini tentang
penipuan identitas, mengingat sifat dinamis perkembangan teknologi dan
pengaruhnya terhadap sektor e-tail. Temuan penelitian ini memajukan
kemajuan pengelolaan penipuan identitas online dan memberikan dasar
untuk penelitian selanjutnya dalam hal ini.
4.2. Implikasi praktis
Selain kontribusi teoretis, penelitian ini juga memiliki implikasi praktis bagi e-
tailer yang ingin memecahkan masalah terkait manajemen kebijakan
pencegahan penipuan identitas. Seperti yang telah disebutkan dalam
motivasi kerja kami, penipuan identitas telah meningkat secara signifikan
selama pandemi COVID-19, jadi penelitian ini akan membantu para manajer
yang ingin mengatasi tantangan yang terkait dengan peningkatan belanja
online. Pertama, penelitian ini membantu e-tailer untuk memahami apa yang
dimaksud dengan kebijakan pencegahan penipuan identitas yang
komprehensif. Kedua, analisis manajemen kebijakan pencegahan penipuan
identitas memberikan panduan kepada e-tailer tentang cara mengembangkan,
menerapkan, dan memperbarui kebijakan pencegahan penipuan identitas.
Ini merupakan kontribusi penting, karena sementara penipuan identitas
adalah masalah yang berkembang cepat, pengembangan dan implementasi
kebijakan lambat di kalangan e-tailer. Dengan menyediakan kerangka kerja
untuk mengevaluasi teknologi, proses, dan kinerja staf yang relevan,
pekerjaan kami membantu e-tailer mengidentifikasi kelemahan apa pun
dalam pencegahan penipuan identitas mereka, yang dapat mengarah pada
pengembangan kebijakan yang lebih efektif.
Kebijakan anti-penipuan berdampak penting pada pencegahan penipuan
identitas. Selain itu, mereka membantu mengarahkan tindakan karyawan
menuju tindakan yang ideal. Oleh karena itu, disarankan untuk
mempertahankan serangkaian kebijakan yang terperinci untuk pencegahan
penipuan identitas. Kebijakan terperinci juga harus ditetapkan untuk
penerapan teknologi anti-penipuan. Pencegahan yang dapat diakses
13
kebijakan harus dirancang untuk mengendalikan penipuan internal.
Disarankan bahwa kebijakan pencegahan penipuan identitas dikomunikasikan
secara efektif untuk memfasilitasi dan menciptakan kesadaran di antara
semua karyawan sehingga dapat berhasil diterapkan.
Selain itu, karena pencurian ID adalah masalah yang berkembang pesat,
kebijakan pencegahan penipuan identitas harus dievaluasi secara teratur
sebagai tanggapan terhadap tantangan yang muncul agar pembaruan tepat
waktu dapat dilakukan. Tabel 4 memberikan rekomendasi terperinci tentang
atau praktik organisasional dan pembuatan kebijakan dalam kaitannya
dengan pencegahan penipuan identitas di antara tiga e-tailer yang dipelajari.
Tabel 4 menunjukkan bahwa e-tailer tidak memiliki seperangkat
kebijakan komprehensif tentang pencegahan penipuan identitas untuk
mengarahkan perilaku karyawan; selain itu, mekanisme untuk kesadaran
dan kepatuhan kebijakan memiliki beberapa batasan penting.
Oleh karena itu, saran untuk mengatasi keterbatasan tersebut disajikan
pada Tabel 4. Temuan juga mengungkapkan bahwa ketiga perusahaan
yang diteliti meninjau kebijakan mereka setiap tahun. Namun, ini mungkin
tidak cukup untuk mengatasi tantangan penipuan identitas, terutama karena
penjahat dunia maya secara aktif membuat taktik baru dengan frekuensi
tinggi, dan e-tailer harus mengadopsi praktik untuk terus memperbarui
kebijakan pencegahan penipuan identitas mereka untuk memastikan
tindakan pencegahan yang lebih baik terhadap penipuan identitas. tren dan
metode penipuan yang muncul (Soomro et al., 2019).
Pedoman yang disarankan dari kerangka kerja kami juga akan membantu
e-tailer mengidentifikasi mekanisme yang diperlukan untuk melawan
peningkatan upaya penipuan identitas karena peningkatan terkait pandemi
dalam tren belanja online. Dengan mengarahkan perhatian, misalnya, pada
frekuensi pembaruan kebijakan, kerangka kerja yang kami rekomendasikan
akan membantu e-tailer yang terkena pandemi mengetahui mekanisme
mana yang akan membantu mereka memerangi penipuan identitas.
E-tailer juga harus mempertimbangkan untuk mengembangkan sistem
pembelajaran kebijakan untuk membantu karyawan mereka mendapatkan
akses ke kebijakan untuk kepatuhan yang efektif. Meskipun konsep replikasi
literal berlaku untuk penelitian ini, hasil ini dapat digeneralisasikan ke e-tailer
yang serupa, terutama untuk perusahaan pemberi pinjaman kredit.
4.3. Keterbatasan dan penelitian masa depan
Seperti semua penelitian, penelitian ini memiliki beberapa keterbatasan
yang dapat diatasi dalam penelitian selanjutnya. Pertama, data dikumpulkan
dari tiga e-tailer yang berlokasi di Inggris; Untuk fokus yang lebih luas, studi
di masa depan dapat mencakup lebih banyak organisasi untuk mencakup
populasi yang lebih luas. Kedua, hanya perusahaan besar yang dimasukkan,
sedangkan perusahaan kecil dan menengah mungkin memiliki prosedur
operasional dan manajemen yang berbeda, oleh karena itu penelitian
selanjutnya dapat mengumpulkan data dari perusahaan kecil dan menengah.
Ketiga, penelitian kami difokuskan pada Inggris, yang merupakan ekonomi
maju, sehingga disarankan lebih banyak penelitian yang berfokus pada
negara berkembang dan ekonomi maju lainnya untuk memahami implikasi
ekonomi dan budaya yang lebih luas. Keempat, penelitian ini mengandalkan
pengumpulan data kualitatif untuk mengembangkan IFPF; data kualitatif
memiliki beberapa keterbatasan, untuk mengatasi keterbatasan ini, studi
masa depan bisa mengumpulkan data kuantitatif dari sejumlah besar
responden untuk menggeneralisasi temuan. Akhirnya, kurangnya penelitian
tentang pencegahan penipuan identitas di antara e-tailer menunjukkan
kebutuhan untuk studi lebih lanjut di bidang ini dan lainnya, karena ini adalah
bidang yang baru muncul dan menjanjikan yang dapat menjadi fokus
penelitian di masa depan.
Machine Translated by Google

14 komputer & keamanan 109 (2021) 102403

Tabel 4 – Saran untuk perbaikan kebijakan pencegahan penipuan identitas.

Keterbatasan
praktik yang ada Berhubungan dengan Saran Berlaku untuk

Kebijakan terbatas CA, CB dan CC Perusahaan kasus CA, CB dan CC

ke informasi harus mengembangkan
keamanan. kebijakan khusus untuk
pencegahan penipuan
identitas.
Hak istimewa akses data CB dan CC Hak istimewa akses data CB dan CC
dievaluasi setiap tahun. harus dinilai lebih sering.

Kepatuhan kebijakan CB dan CC CB dan CC

dipastikan hanya melalui Mengembangkan

audit. mekanisme untuk kepatuhan kebijakan.

Kebijakan dibuat CC Kembangkan paket CC

tersedia hanya pada pembelajaran untuk

database perusahaan membuat staf sadar akan

kebijakan.
Kebijakan ditinjau setiap CA, CB dan CC Kebijakan terkait CA, CB dan CC
tahun. penipuan harus terus
diperbarui untuk
menghadapi tantangan
yang muncul.

Catatan: CA: Perusahaan A, CB: Perusahaan B, CC: Perusahaan C.

Juga, sementara pekerjaan kami berfokus pada masalah manajerial
terkait dengan manajemen penipuan identitas, ada kebutuhan untuk
pekerjaan integratif yang mengikat kebijakan manajemen identitas dengan
pendekatan yang lebih teknosentris untuk mencegah penipuan, serta
untuk pekerjaan yang mempertimbangkan bagaimana kebijakan dapat
disematkan dalam desain sistem yang muncul blockchain memungkinkan
cryptocurrency dan sistem manajemen identitas.
5. Kesimpulan
Selain itu, hasil penelitian menunjukkan bahwa terdapat beberapa
praktik organisasi penting yang harus diperhatikan oleh e-tailer, yaitu:
ketersediaan kebijakan pencegahan penipuan; kebijakan manajemen
akses data; kesadaran kebijakan dan pembaruan kebijakan; dan
kepatuhan kebijakan dan audit.
Wawasan baru ditawarkan ke dalam teori pencegahan penipuan, dan
pedoman diberikan kepada e-tailer menuju pencegahan penipuan identitas
yang lebih baik. Studi ini menyelidiki e-tailer besar yang menawarkan
pinjaman kredit dan beroperasi di ekonomi maju yang dapat membatasi
generalisasi, jadi disarankan agar studi di masa depan dilakukan dengan
perusahaan menengah dan kecil di berbagai ekonomi. Selain itu, untuk

Penipuan identitas adalah tantangan besar terutama bagi pengecer
online, yang menyebabkan mereka kehilangan pendapatan dalam jumlah
yang signifikan. Untuk membantu e-tailer secara efektif mencegah
penipuan identitas, pendekatan data kualitatif diadopsi dan data
dikumpulkan dari tiga pengecer online besar, yang beroperasi di Inggris.
Berdasarkan hasil tersebut, penelitian ini telah mengembangkan kerangka
teori baru, IFPF, berdasarkan analisis komprehensif praktik organisasi
yang terkait dengan pengelolaan kebijakan penipuan identitas di organisasi
e-tail besar.
Melalui tinjauan literatur, terlihat bahwa pencegahan penipuan
kemampuan generalis yang lebih luas, penelitian selanjutnya disarankan
untuk didasarkan pada data titatif kuantitatif. Ada juga kebutuhan untuk
pekerjaan integratif yang mengikat kebijakan manajemen identitas dengan
pendekatan yang lebih teknosentris untuk mencegah penipuan.
Pernyataan penulis
Ini untuk mengkonfirmasi bahwa semua penulis yang disebutkan dalam au

identitas dalam konteks kebijakan sedang diteliti. Meskipun telah ada
sejumlah besar studi tentang penipuan online dan pencegahan keamanan
informasi, tetapi sebagian besar dalam konteks teknologi. Temuan kami
menunjukkan bahwa penipuan identitas adalah salah satu tantangan
utama bagi e-tailer dan perusahaan-perusahaan ini kehilangan banyak
pendapatan karena penipuan. Studi kami menemukan bahwa umumnya
masalah online diperlakukan sebagai tantangan teknologi, sehingga
perusahaan tidak memiliki seperangkat kebijakan yang komprehensif
terkait penipuan identitas dan ada juga beberapa kelemahan dalam
menciptakan kesadaran, pembaruan, dan kepatuhan kebijakan, yang
mungkin menjadi penyebab mendasar dari hal tersebut. kerugian penipuan.
Oleh karena itu, penelitian ini memberikan pedoman untuk meningkatkan
pengelolaan kebijakan penipuan identitas melalui IFPF.
daftar penulis telah memberikan kontribusi yang signifikan terhadap
pengembangan dan revisi kertas. Para penulis terkait terlibat langsung
dalam pengumpulan data empiris dan proses analisis. Penulis lain telah
memberikan kontribusi yang berarti di area kertas yang tersisa. Dengan
demikian, semua penulis memiliki kontribusi yang signifikan terhadap
kertas.
Deklarasi Kepentingan Bersaing
Para penulis menyatakan bahwa mereka tidak memiliki kepentingan
keuangan yang bersaing atau hubungan pribadi yang dapat mempengaruhi
pekerjaan yang dilaporkan dalam makalah ini.
Machine Translated by Google
komputer & keamanan 109 (2021) 102403
Bahan pelengkap
Materi tambahan yang terkait dengan artikel ini dapat ditemukan, dalam versi
online, di doi:10.1016/j.cose.2021.102403.
Pernyataan kontribusi kepengarangan CRedit
Zahoor Ahmed Soomro: Konseptualisasi, Analisis Formal,
Investigasi, Metodologi, Penulisan – draf asli.
Mahmood Hussain Shah: Administrasi proyek, Pengawasan,
Validasi. Jason Thatcher: Menulis – meninjau & menyunting,
Visualisasi.
REFERENSI
Ahmad SR. Agen ancaman dan dampak kejahatan identitas. Dalam:
Mencegah Kejahatan Identitas: Pencurian Identitas dan Penipuan Identitas.
Brill Nijhoff; 2020. hal. 187–235.
Albrechtsen E, Hovden J. Meningkatkan keamanan informasi
kesadaran dan perilaku melalui dialog, partisipasi dan refleksi kolektif. Studi
intervensi. Komputer. Aman. 2010;29(4):432–45.
Alrashed F. Mencuri lebih dari sekedar identitas. Int. J.Sci. Eng. Res.
2016;7(2):422–6.
CV Amasiatu, Syah MH. Manajemen penipuan pihak pertama:
kerangka kerja untuk industri ritel. Int. J. Distribusi Ritel. Mengelola.
2018;46(4):350–63.
Bechtsoudis A, Sklavos N. Bertujuan untuk keamanan jaringan yang lebih
tinggi melalui uji penetrasi ekstensif. IEEE Lat. Saya. Trans.
2012;10(3):1752–6.
Persepsi Bierstaker JL, Brody RG, Pacini C. Akuntan
mengenai metode deteksi dan pencegahan penipuan. Mengelola.
Audit. J. 2006;21(5):520–35.
Buil-Gil D, Miró-Llinares F, Moneva A, Kemp S, Díaz-Castaño N.
Kejahatan dunia maya dan pergeseran peluang selama COVID-19:
analisis awal di Inggris. eur. Soc. 2021;23(sup1):S47–59.
Chen Y, Ramamurthy K, Wen K. Dampak program keamanan informasi
komprehensif pada budaya keamanan informasi. J.Komput. Inf.
Sistem. 2015;55(3):11.
Chowdhury NH, Adam MT, Teubner T. Tekanan waktu dalam perilaku
keamanan siber manusia: kerangka teori dan penanggulangan. Komputer.
Aman. 2020;97.
CIFAS. (2020) Fraudscape 2020. Diambil dari https:
//www.cifas.org.uk/insight/reports-trends/fraudscape-2020 [Diakses pada
22-06-2020}.
CIFAS (2019) Fraudscape 2019. Tersedia di:
https://www.cifas.org.uk/secure/contentPORT/uploads/documents/
Cifas%20Fraudscape%202019%20Full%20Digital %20Report%20.pdf
(Diakses pada 12- 08-2019).
Coulson-Thomas C. Penipuan, risiko keamanan dan perusahaan
tanggapan'. Di dalam: Ahluwalia JS, editor. Dalam: Etika Perusahaan dan
Manajemen Risiko di Dunia yang Tidak Pasti. Mumbai: Penerbitan IOD;
2017. hal. 67–76.
Edquist C. Menuju Kebijakan Inovasi Holistik: Bisakah Dewan Inovasi Nasional
Swedia (NIC) menjadi panutan? Res. Kebijakan 2019;48(4):869–79.
Gibbert M, Ruigrok W, Wicki B. Apa yang dianggap sebagai studi kasus yang
ketat? Strat. Mengelola. J. 2008;29(13):1465–74.
Giuliani E. Mengatur kapitalisme global di tengah maraknya kesalahan korporasi
—membalas “tiga bingkai untuk kebijakan inovasi".
Res. Kebijakan 2018;47(9):1577–82.
Gomes FO, Agostinho BM, Martina JE. Pencegahan penipuan di dalam
infrastruktur kunci publik pemerintah Brasil. Di: 2020
15
Konferensi Internasional IEEE tentang Intelijen dan Keamanan Informatika
(ISI). IEEE; 2020. hal. 1–6.
Jalali MS, Siegel M, Madnick S. Pengambilan keputusan dan bias dalam
pengembangan kemampuan keamanan siber: bukti dari eksperimen
game simulasi. J. Strat. Inf. Sistem. 2019;28(1):66–82.
Jamieson R, Winchester D, Smith S. Pengembangan kerangka kerja konseptual
untuk mengelola penipuan identitas. Dalam: Konferensi Internasional Hawaii
Tahunan ke-40 tentang Ilmu Sistem, (HICSS); 2007. hal. 3–6 Januari.
Strategi Javelin (2018) Penipuan identitas mencapai rekor tertinggi, 154 juta
korban AS 2016, Naik 16 persen menurut Strategi Javelin baru dan studi
penelitian. Tersedia di https://www.javelinstrategy.com/press-release/identity-
fraud-hits-record-high-154-million-us victim-2016-16-percent-according-new
(Diakses: 12 Jan, 2020) .
Ji S, Wang J, Min Q, Smith-Chao S. Dalam: Konferensi Internasional tentang
Komunikasi Nirkabel, Jaringan, dan Komputasi Seluler. Rencana sistem
untuk memerangi pencurian identitas - kerangka teoretis New York; 2007.
(WiCom)21-25 September.
Kim RY. Dampak COVID-19 terhadap konsumen: mempersiapkan penjualan
digital. IEEE Eng. Mengelola. Pdt. 2020;48(3):212–18. doi:10.1109/
EMR.2020.2990115.
Kolkowska E, Karlsson F, Hedström K. Menuju menganalisis
alasan ketidakpatuhan keamanan informasi: merancang metode analisis
kepatuhan berbasis nilai. J. Strat. Inf. Sistem. 2017;26(1):39–57.
Kumar V, Kumar D, De Grosbois D. Kolaborasi Pemberantasan Penipuan
Identitas.. Surat Sinta; 2007.
Lim HI. Sebuah pendekatan untuk meningkatkan keamanan perangkat lunak melalui
kontrol akses untuk data dalam program. Dalam: Kemajuan dalam Ilmu
Komputer dan Komputasi Ubiquitous. Singapura: Peloncat; 2021. hal. 413–
19.
Ling C, Naughton B. Pembuatan kebijakan yang dilembagakan
mekanisme: China kembali ke kebijakan tekno-industri. Res.
Kebijakan 2016;45(10):2138–52.
Liu J, Xiao Y, Chen H, Ozdemir S, Dodle S, Singh V. Sebuah survei
standar keamanan data industri kartu pembayaran. Komunitas IEEE.
Tutorial Survei 2010;12(3):287–303.
Maitlo A, Ameen N, Peikari HR, Shah M. Mencegah pencurian identitas:
mengidentifikasi hambatan utama untuk berbagi pengetahuan dalam
organisasi ritel online. Inf. Technol. Orang 2019;32(5):1184–214. doi:10.1108/
ITP-05-2018-0255.
Njenga N, Osiemo. Pengaruh manajemen risiko penipuan pada
kinerja organisasi: kasus lembaga keuangan mikro deposito di
Kenya. Int. J.Soc. Sains. Pengusaha. 2013;1(7):490–507.
Matriks Penipuan Onwubiko C.: klasifikasi dan taksonomi penipuan berdasarkan
morfologi dan analisis. Komputer. Aman. 2020;96.
Parsons K, McCormac A, Butavicius M, Pattinson M, Jerram C.
Menentukan kesadaran karyawan menggunakan Human Aspects of
Information Security Questionnaire (HAIS-Q). Komputer.
Aman. 2014;42(Mei):165–76.
Piquero NL, Piquero AR, Gies S, Green B, Bobnis A, Velasquez E.
Mencegah pencurian identitas: perspektif solusi teknologi dari orang
dalam industri. Pelanggaran Korban. 2021;16(3):444–63.
Pymnts.com (2021) Pencegahan penipuan. Tersedia di:
https://www.pymnts.com/fraud-prevention/2021/ecommerce-
fraud-detection (diakses pada 03/04/2021)
Ramprasath J, Seethalakshmi V. Akses sumber daya yang aman di
jaringan yang ditentukan perangkat lunak menggunakan daftar kontrol akses dinamis.
Int. J.Commun. Sistem. 2021;34(1):e4607.
Reyns BW. Rutinitas online dan viktimisasi pencurian identitas: semakin
memperluas teori aktivitas rutin di luar pelanggaran kontak langsung.
J.Res. Kejahatan Delinq. 2013;50(2):216–38.
Machine Translated by Google
16 komputer & keamanan 109 (2021) 102403
Rhee H, Ryu YU, Kim C. Optimisme yang tidak realistis pada manajemen
keamanan informasi. Komputer. Aman. 2012;31(2):221–32.
... Saunders B, Sim J, Kingstone T, Baker S, Waterfield J, Bartlam B, Jinks C. Kejenuhan
dalam penelitian kualitatif: mengeksplorasi konseptualisasi dan operasionalisasinya.
Kual. Bergalah. 2018;52(4):1893–907.
Shah MH, Ahmed J, Soomro ZA. Menyelidiki strategi pencegahan pencurian identitas
di M-commerce. Asosiasi Internasional untuk Pengembangan Masyarakat
Informasi, Makalah dipresentasikan pada Konferensi Internasional tentang
Teknologi & Masyarakat Internet (ITS), Teknologi Pendidikan (ICEduTECH), dan
Keberlanjutan, Teknologi, dan Pendidikan (STE) (Melbourne, Australia, 6-8 Des
2016 ) 2016.
Singh AN, Picot A, Kranz J, Gupta MP, Ojha A. Informasi
praktik manajemen keamanan (ISM): pelajaran dari kasus tertentu dari India
dan Jerman. Gumpal. J.Flex. Sistem. Mengelola. 2013;14(4):225–39.
Siponen M, Mahmood MA, Pahnila S. Kepatuhan karyawan terhadap kebijakan
keamanan informasi: studi lapangan eksplorasi. Inf.
Mengelola. 2014;51(2):217–24.
Smadi S, Aslam N, Zhang L. Deteksi email phishing online menggunakan jaringan
saraf yang berkembang dinamis berdasarkan pembelajaran penguatan.
Keputusan. Sistem Dukungan 2018;107:88–102.
Soomro ZA, Ahmed J, Shah MH, Khoumbati K. Menyelidiki praktik manajemen
penipuan identitas di sektor e-tail: tinjauan sistematis. J. Perusahaan Inf.
Mengelola. 2019;32(2):301–24. doi:10.1108/JEIM-06-2018-0110.
Soomro ZA, Shah MH, Ahmed J. Keamanan informasi
manajemen membutuhkan pendekatan yang lebih holistik: tinjauan literatur.
Int. J.Inf. Mengelola. 2016;36(2):215–25.
AlGhamdi S, Win KT, Vlahu-Gjorgievska E. Keamanan informasi
tantangan tata kelola dan faktor penentu keberhasilan: tinjauan
sistematis. Komputer. Aman. 2020;99(Desember):1–39 102030.doi
:10.1016/j.cose.2020.102030.
Ancaman reputasi Syed R. Enterprise di media sosial: kasus
pembingkaian pelanggaran data. J. Strat. Inf. Sistem. 2019;28(3):257–
74. doi:10.1016/j.jsis.2018.12.001.
Wang W, Yuan Y, Archer N. Kerangka kerja kontekstual untuk
memerangi pencurian identitas. Keamanan IEEE. Privasi 2006;4(2):30–8.
Wilhelm WK. Teori siklus hidup manajemen penipuan: pendekatan holistik untuk
manajemen penipuan. J.Econ. Manajemen Kejahatan. 2004;2(2):1–38.
Wright R. Mengembangkan alat yang efektif untuk mengelola risiko
kerusakan yang disebabkan oleh penipuan kejahatan bermotivasi ekonomi. J.
Keuangan Kejahatan 2007;14(1):17–27.
Yin RK. Penelitian Studi Kasus: Desain dan Metode. edisi kelima
London: Sagen Publications Ltd; 2014.
Dr. Zahoor adalah dosen Manajemen Bisnis di Universitas Teesside. Beliau meraih
gelar doktor dari University of Central Lancashire, Preston UK di bidang Online Business
Manage
ment.
Penelitiannya terutama difokuskan pada manajemen penipuan identitas dalam
organisasi e-tail. Melalui penelitian empiris, Zahoor telah mengeksplorasi berbagai jenis
penipuan online yang dihadapi oleh organisasi atau online besar. Penelitiannya berfokus
pada pengelolaan penipuan identitas yang efektif untuk mengembangkan hubungan
pelanggan yang menguntungkan dan mengendalikan kerugian penipuan.
Publikasinya mencakup pandangan menyeluruh tentang pengelolaan keamanan
informasi, manajemen penipuan identitas, pencegahan penipuan m-commerce. Saat
ini dia sedang mengerjakan pengembangan kerangka kerja kontekstual untuk manajemen
penipuan identitas, memperluas teori pencegahan dalam konteks pencegahan penipuan
identitas dan signifikansi manajemen kebijakan dalam pencegahan penipuan online.
Dr Mamood Shah adalah Associate Professor Manajemen Informasi di Newcastle
Business School. Sebelumnya dia adalah SL dalam e-Business di School of Strategy
and Leadership, Coven try University, UK. Dia telah memegang jabatan akademik di
University of Central Lancashire, Cranfield University dan University of Hertfordshire
selama dua puluh tahun terakhir. Dia bertindak sebagai konsultan untuk beberapa bank
di Inggris dan peritel online tentang keamanan informasi dan masalah terkait manajemen
e-banking. Minat penelitiannya saat ini termasuk mengidentifikasi pencegahan pencurian
di ritel online dan e-Banking serta sistem informasi kesehatan dan strategi IS. Dia telah
menerbitkan beberapa buku di bidang keamanan informasi, e-Banking dan teknologi
seluler. Dia juga telah menerbitkan banyak makalah dalam Jurnal berkualitas tinggi
seperti Computer and Human Behaviour, Information Technology and People, European
Journal of Information Systems, International Journal of Simulation Modelling, Health
Informatics dan International Journal of Information Management. Beliau juga bertindak
sebagai reviewer untuk jurnal seperti British Journal of Management, Information
Technology and People dan International Journal of Operations and Production
Management. Dia adalah editor tamu untuk edisi khusus Information Technology and
People on cyber-crimes prevention dan edisi khusus Computer and Human Behavior on
e-marketing. Dia telah berhasil mengawasi siswa 14PhD di masa lalu dan mengawasi 6
siswa saat ini.
Jason Thatcher memegang Milton F. Stauffer Professorship di Departemen Sistem
Informasi Manajemen di Fox School of Business and Management Universitas Temple.
Dr. Thatcher mempelajari isu-isu strategis, sumber daya manusia, dan keamanan dunia
maya yang terkait dengan penerapan teknologi informasi yang efektif di dalam atau
organisasi. Karyanya muncul di MIS Quarterly, Journal of the As sociation for Information
Systems, Information Systems Research, Journal of Applied Psychology, dan outlet
referensi lainnya. Dia pernah menjabat sebagai presiden Asosiasi Sistem Informasi dan
editor senior di MIS Quarterly. Dia saat ini menjadi Editor Senior di Journal of the
Association for Information Systems and Information Systems Research. Dia telah diakui
sebagai Rekan AIS dan dengan Sandy Slaughter Service Award oleh AIS.