BAB 9

Pengendalian Kerahasiaan
dan Privasi
Langkah Melindungi Kerahasiaan

Identifikasi dan klasifikasi Penggunaan enkripsi

Melindungi
Kerahasiaan dan
Privasi

Akses Kontrol Training

Privasi
Pengen
dalian
privasi

Fokus
perhatia
PRIVACY
n dari
privasi
Regulasi
dan
prinsip yg
berlaku
umum Identify Spammi
theft ng
Pengendalian privasi (privacy
control)
Informasi perlu dienkripsi selama masih
berada dalam internet maupun dalam
penyimpanan (storage). Meng-enkripsi
informasi personal tidak hanya melindungi
dari hal-hal yang tidak terotorisasi, tetapi
juga dapat menjaga keuangan perusahaan.
Untuk melindungi data privasi, perusahaan
biasanya menjalankan program
perlindungan data (data masking), di mana
informasi personal dibuat palsu (fake)
sebelum dikirimkan pada pengembang dan
pengetes program keamanan.
Spamming

Spam adalah e-mail yang berisi iklan

(advertising) atau konten-konten yang
bersifat menyerang (offensive contents).
Spam menjadi masalah yang berhubungan
dengan privasi karena si penerima informasi
sering ditargetkan sebagai akibat dari akses
yang tidak sah ke alamat e-mail dan
database yang berisi informasi pribadi
Pencurian identitas (identify
theft)
Pencurian, atau bahkan pembajakan
data/identitas adalah sebuah upaya
penggunaan informasi personal secara tidak
sah (unauthorized) untuk mencapai sebuah
tujuan/keuntungan. Seringkali hal pencurian
data ini melibatkan kasus keuangan, di
mana pelaku kejahatan melakukan
pinjaman atau membuka kartu kredit baru
atas nama si korban dan bahkan melalui
rekening resmi milik si korban
Regulasi privasi dan prinsip yang
berlaku umum
Fokus perhatian pada tindakan spam,
pencurian data/identitas, dan perlindungan
privasi seseorang, berdampak pada
keluarnya peraturan pemerintah terkait.
Regulasi privasi dan prinsip yang
berlaku umum
GAPP ini mengidentifikasi dan merumuskan 10
(sepuluh) cara latihan perusahaan secara universal
dalam menjaga privasi dari informasi personal para
pelanggannya:
1. Management
2. Notice
3. Choice And Consent
4. Collection
5. Use And Retention
6. Access
7. Disclosure In Third Parties
8. Security
9. Quality
10.Monitoring And Enforcement
Enkripsi (encryption)
Enkripsi adalah dasar dari kegiatan
pengendalian pencegahan atas
penyalahgunaan privasi tentang
informasi seseorang yang
dikumpulkan oleh suatu organisasi
Enkripsi (encryption)
Plaintext Plaintext

Cipherte Ciphertext
xt
Enkripsi (encryption)
Faktor-faktor yang mempengaruhi
kekuatan enkripsi:
1. Panjang kunci (key length)
2. Algoritma enkripsi
3. Kebijakan pengelolaan kunci
kriptografik (chryptographic keys)
Enkripsi (encryption)
Ada 2 tipe dasar dari sistem enkripsi:
1. Symmentric encrypt system
2. Asymmetric encrypt system
 Tabel perbandingan antara sistem enkripsi simetris dan asimteris
Sistem enkripsi Sistem enkripsi
simetris asimetris
Jumlah kunci (keys) Satu kunci. Dua kunci.
Kunci rahasia yang sama Satu kunci dibuat utk
digunakan dalam meng- public, kunci lainnya untuk
enkripsi dan meng- privat. Keduanya dapat
dekripsi digunakan dalam enkripsi,
namun hanya satu kunci
yang dapat dekripsi.
Keuntungan Kecepatan lebih cepat Setiap orang dapat
menggunakan kunci
public untuk
berkomunikasi dengan
Anda
Tidak memerlukan
ruang utk menyimpan
kunci pada setiap
komponen yang kita
harap dapat
berkomunikasi
Dapat digunakan untuk
menghasilkan
 Tabel perbandingan antara sistem enkripsi simetris dan asimteris
Sistem enkripsi simetris Sistem enkripsi
asimetris
Kelemahan Memerlukan kunci yang Kecepatan lebih
terpisah bagi setiap lambat
orang yang ingin Membutuhkan ijin
berkomunikasi otorisasi kunci privat
Harus mencari jalan (Privat Key
rahasia utk Infrastructure) untuk
membagikan kunci memvalidasi
rahasia dengan lawan kepemilikan dari kunci
komunikasi kita publik (public key)
Risiko yang mungkin Perlindungan dalam Perlindungan dalam
muncul pembagian kunci rahasia pembagian kunci privat
(secret key) dalam hal (private key) dari bentuk
kehilangan maupun kehilangan maupun
kecurian kecurian
Kegunaan utama Enkripsi dari sejumlah Pembuatan
besar informasi lambang/tanda secara
digital
Melindungi pertukaran
kunci simetris
(symmetric keys)
Hashing
Hashing adalah proses pengambilan
plaintext sesuai kebutuhan, dan lalu
menghasilkan sebuah kode singkat
yang disebut hash.
Misalnya, algoritma SHA-256
menghasilkan sebuah hash sebesar
256-bit, lebih rendah daripada
ukuran plaintext aslinya.
 Hashing
Table perbandingan antara Hashing dan Enkripsi
Hashing Enkripsi
Memliki fungsi searah (tidak Memiliki fungsi bolak-balik
dapat bolak-balik, atau unhash (dapat enkripsi maupun dekripsi)
untuk mengembalikan dokumen
asli
Berapapun besaran input akan Besaran output kurang lebih
menghasilkan ukuran output hamper sama dengan besaran
yang sama. Misalnya algoritma input. Sebagai contoh:
hashing SHA-256 menghasilkan a) Sebuah dokumen dlm bentuk 1
sebuah data hash sebesar 256- kalimat menjadi dokumen
bit pada masing-masing berikut: enkripsi 1 kalimat
a) Sebuah dokumen dlm bentuk 1 b) Sebuah dokumen dlm bentuk 1
kalimat halaman menjadi dokumen
b) Sebuah dokumen dlm bentuk 1 enkripsi 1 halaman
halaman c) Sebuah dokumen dlm bentuk 10
c) Sebuah dokumen dlm bentuk 10 halaman menjadi dokumen
halaman enkripsi 10 halaman
Lambang/tanda Digital (digital
signature)
Hal yang penting dalam transaksi
bisnis adalah penghindaran kejadian
penolakan, atau bagaimana
menciptakan kesepakatan secara
legal yang tidak dapat ditolak secara
sepihak.
Lambang/tanda Digital (digital
signature)
step 1 : pembuat dokumen
menggunakan sebuah algoritma
hashing untuk menghasilkan
dokumen hash dari bentuk
aslinya.

Step 2 : pembuat dokumen

menggunakan kunci privatnya
untuk mengenkripsi dokumen
hash pada step 1

Hasil : hash yang telah

dienkripsi adalah lambang/tanda
digital yang legal.
Sertifikasi digital dan pembangunan kunci publik (PKI)

Sertifikat digital adalah sebuah dokumen

elektronik yang mengandung kunci
entitas publik dan sertifikasi atas identitas
pemilik kunci publik.
Sistem yang menghasilkan kunci public
dan kunci privat, serta mengumpulkan
sertifikat digital disebut infrastruktur
kunci public (public key infrastructure
PKI). Keseluruhan sistem PKI berdasarkan
atas otoritas sertifikasi yang menerbitkan
kunci dan sertifikat
Virtual Private Networks (VPN)
Untuk melindungi kenyamanan dan
privasi dari para pelanggan,
informasi haruslah di enkripsi tidak
hanya melalui sistem, tetapi juga
pada saat masuk ke ranah internet.
VPN menyediakan fungsi secara
privat untuk melindungi data pemilik
tanpa harus mengeluarkan biaya
telepon, satelit, atau perlengkapan
komunikasi lainnya.
Virtual Private Networks (VPN)

VPN = encrypted
Tunnel

INTERNET