Pengendalian Kerahasiaan dan

Privasi

TUJUAN PEMBELAJARAN
Setelah mempelajari bab ini, Anda harus mampu:
1. Mengidentifikasi dan menjelaskan pengendalian yang
didesain untuk melindungi kerahasiaan informasi
perusahaan yang sensitif.
2. Mengidentifikasi dan menjelaskan pengendalian yang
didesain untuk melindungi privasi atas informasi
pribadi yang dikumpulkan dari pelanggan, pegawai,
pemasok, atau rekan bisnis.
3. Menjelaskan cara kerja dua jenis dasar sistem enkripsi.
 Pendahuluan

 Bab ini meliputi dua prinsip lain dari keandalan
sistem dalam Trust Service Framework dan
membahas topik enkripsi secara mendetail.
 Menjaga Kerahasiaan

 Figur 9-1 menunjukkan empat tindakan dasar yang
harus dilakukan untuk menjaga kerahasiaan atas
informasi sensitif:
IDENTIFIKASI DAN KLASIFIKASI INFORMASI
UNTUK DILINDUNGI


MELINDUNGI KERAHASIAAN DENGAN ENKRIPSI

MENGENDALIKAN AKSES TERHADAP INFORMASI

SENSITIF

PELATIHAN
 Privasi
 Prinsip privasi Trust Services Framework erat kaitannya dengan


prinsip kerahasiaan, perbedaan utamanya, yaitu ia lebih
berfokus pada perlindungan informasi pribadi mengenai
pelanggan, pegawai, pemasok, atau rekan bisnis daripada data
keorganisasian.

PENGENDALIAN PRIVASI
penting pula untuk menerapkan pengendalian guna melindungi
informasi tersebut karena insiden-insiden yang melibatkan
pengungkapan tak terotorisasi atas informasi pribadi yang
disengaja atau tidak dapat memakan biaya.

PERMASALAHAN PRIVASI
Dua permasalahan utama terkait privasi adalah spam dan
pencurian identitas.
Spam adalah e-mail tak diinginkan
yang mengandung baik periklanan
maupun konten serangan.

Pencurian Identitas (identity theft), yaitu

penggunaan tidak sah atas informasi
pribadi seseorang demi keuntungan
pelaku.
REGULASI PRIVASI DAN PRINSIP-PRINSIP PRIVASI
YANG DITERIMA SECARA UMUM (GENERALLY
ACCEPTED PRIVACY PRINCIPLES—GAPP)

1. Manajemen.

2. Pemberitahuan.
3. Pilihan dan persetujuan.
4. Pengumpulan.
5. Penggunaan dan retensi.
6. Akses.
7. Pengungkapan kepada pihak ketiga.
8. Keamanan.
9. Kualitas.
10. Pengawasan dan penegakan.
 Enkripsi

Seperti yang ditunjukkan pada Figur 9-2, enkripsi
(encryption) adalah proses mentransformasikan teks
normal, yang disebut plaintext, ke dalam raban yang
tidak dapat dibaca, yang disebut chipertext.

JENIS-JENIS SISTEM ENKRIPSI
 Sistem enkripsi simetris (symmetric encryption system),
menggunakan kunci yang sama untuk mengenkripsi


dan mendekripsi. DES dan AES adalah contoh dari
sistem enkripsi simetris.

 Sistem enkripsi asimetris (asymmetric encryption system)

menggunakan dua kunci.
1. Satu kunci disebut kunci publik (public key),
didistribusikan secara luas dan tersedia untuk
siapapun;
2. kunci lainnya disebut dengan kunci privat (private
key), dirahasiakan dan diketahui hanya pemilik dari
sepasang kunci tersebut.

HASHING


 Hashing adalah proses mengubah plaintext dengan
segala ukuran dan menciptakan sebuah kode singkat
yang disebut hash.

TANDA TANGAN DIGITAL
Seperti yang ditunjukkan Figur 9-3, pembuatan tanda
tangan digital (digital signature) merupakan proses dengan
dua langkah.

Tanda tangan digital memberikan penjaminan atas dua
hal penting:
(1) bahwa salinan sebuah dokumen atau file belumlah
diubah,
(2) siapa yang menciptakan versi asli dari sebuah
dokumen atau file digital.

SERTIFIKAT DIGITAL DAN INFRASTRUKTUR
KUNCI PUBLIK


 Sertifikat digital (digital certificate) adalah dokumen
elektronik yang mengandung kunci publik milik entitas
dan menerangkan identitas pemilik kunci publik
tersebut.

 infrastruktur kunci publik (publik key infrastructure-PKI)

adalah sistem untuk menerbitkan sepasang kunci publik
dan privat serta sertifikat digital terkait.
VIRTUAL PRIVATE NETWORK (VPN)


Dinamakan demikian karena ia menyediakan
fungsionalitas sebuah jaringan aman yang dimiliki secara
privat, tanpa biaya lini telepon yang dibebankan, dan
perlengkapan komunikasi lainnya.