“SISTEM
INFORMASI AKUNTANSI”
RINGKASAN
MATERI KULIAH
PENGENDALIAN
KERAHASIAAN DAN PRIVASI
OLEH :
KELAS
V D
NI LUH JUNIA PURNAMI
NIM : 1417051041
AKUNTANSI
PROGRAM S1
FAKULTAS
EKONOMI
UNIVERSITAS PENDIDIKAN
GANESHA
2016
BAB 9
PENGENDALIAN
KERAHASIAAN DAN PRIVASI
1.
Menjaga
Kerahasiaan
Menjaga kerahasiaan
kekayaan intelektual organisasi dan informasi serupa yang dibagi (shared) dengan rekan bisnis, telah lama
dikenan sebagai sebuah tujuan utama keamanan informasi. Empat tindakan dasar
yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitive yaitu :
a. Mengidentifikasi
dan Klasifikasi Informasi
Langkah
pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis
sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan
orang yang mengaksesnya. Langkah selanjutnya adalah mengklasifikasikan
informasi untuk organisasi berdasarkan nilainya.
b. Enkripsi
Enkripsadalah
alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ia adalah
satu-satunya cara untuk melindungi informasi dalam lintasnya melalui internet.
c. Pengendalian
Akses
Pengendalian
akses terhadap informasi sensitive dapat dilakukan melalui :
1) IRM
(Information Rights Management)
2) DLP
(Data Loss Prevention)
3) Watermark Digital
d. Pelatihan
Para
pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang
luar dan jenis informasi yang perlu dilindungi.
2.
Privasi
Pengendalian yang perlu
diimplementasikan untuk melindungi privasi sama dengan pengendalian yang digunakan
untuk melindungi kerahasiaan: identifikasi informasi yang perlu dilindungi,
enkripsi, pengendalian akses, dan pelatihan.
a. Pengendalian
Privasi
Langkah
pertama untuk melindungi privasi informasi pribadi yang dikumpulkan oleh
pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu mengidentifikasi jenis
informasi yang dimiliki organisasi, letak ia disimpan, dan orang yang memiliki
akses terhadapnya.
b. Permasalahan
Privasi
Dua
permasalahan utama terkait privasi adalah spam
dan pencurian identitas.
c. SPAM
Spam adalah
e-mail tak diinginkan yang mengandung
baik periklanan maupun konten serangan.
d. Pencurian
Identitas
Pencurian
identitas (identity theft), yaitu
penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku.
e. Regulasi
Privasi dan Prindip-Prinsip Privasi yang Diterima Secara Umum (Generally Accepted Privacy Principles-GAPP)
Untuk
membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini,
American Institute of Certified Publik Accountant (AICPA) dan Canadian
Institute of Chartered Accountant (CICA) bersama-sama mengembangkan sebuah
kerangka yang disebut Prinsip-Prinsip Privasi yang Diterima secara Umum (generally Accepted Privacy Principles-GAPP).
Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik
terbaik yang diakui secara internasional untuk melindungi privasi informasi
pribadi para pelanggan.
1) Manajemen
Organisasi perlu
membuat satu set prosedur dan kebijakan untuk melindungi privasi informasi
pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan informasi
tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
2) Pemberitahuan
Organisasi harus
memberikan pemberitahuan tentang kebijakan dan praktik privasinya pada saat
atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para
pelanggan atau segera sesudahnya.
3) Pilihan
dan persetujuan
Organisasi harus
menjelaskan pilihan-pilihan yang disediakan kepada para individu serta
mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan informasi
pribadi mereka.
4) Pengumpulan
Organisasi hanya boleh
mengumpulkan informasi yang diperlukan untuk memenuhi tujuan yang dinyatakan
dalam kebijakan privasinya.
5) Penggunaan
dan retensi
Organisasi harus
menggunakan informasi pribadi pada pelanggan hanya dengan cara yang
dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi
tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan
bisnis yang sah.
6) Akses
Organisasi harus
memberikan individu dengan kemampuan mengakses, meninjau, memperbaiki, dan
menghapus informasi pribadi yang tersimpan mengenai mereka.
7) Pengungkapan
kepada pihak ketiga
Organisasi harus
mengungkapkan informasi pribadi pelanggannya hanya untuk situasi dan cara yang
sesuai dengan kebijakan privat organisasi serta hanya kepada pihak ketiga yang
menyediakan tingkatan perlindungan privasi yang sama, sebagaimana organisasi
sebelumnya yang mengumpulkan informasi tersebut.
8) Keamanan
Organisasi harus
mengambil langkah-langkah rasional untuk melindungi informasi pribadi para
pelanggannya dari kehilangan atau pengungkapan yang tanpa terotorisasi. Oleh
karena itu, tidak mungkin untuk melindungi privasi tanpa keamanan informasi
yang memadai.
9) Kualitas
Organisasi harus
menjaga integritas informasi pribadi pelanggannya dan menggunakan prosedur yang
memastikan informasi tersebut akurat secara wajar.
10) Pengawasan
dan penegakan
Organisasi harus menugaskan satu
pengawal atau lebih guna bertanggung jawab untuk memastikan kepatuhan terhadap
kebijakan privasi yang dinyatakan.
3.
Enkripsi
Enkripsi adalah proses
mentransformasikan teks normal (plaintext)
ke dalam raban yang tidak dapat dibaca (chipertext).
Deskripsi membalik proses ini, mengubah chipertext
kembali menjadi plaintext.
a. Faktor-Faktor
Yang Memengaruhi Kekuatan Enkripsi
Tiga
faktor penting yang menentukan kekuatan sistem enkripsi adalah :
1) Panjang
Kunci
Kunci yang lebih panjang
memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-blok berulang
pada chiptertext.
2) Algoritme
Enkripsi
Jenis algoritme yang
digunakan untuk mengombinasikan kunci dan plaintext
sangat penting. Sebuah algoritme kuat yang rumit, bukannya tidak mungkin
untuk dirusak dengan menggunakan teknik penebakan paksaan-brutal. Kerahasiaan
tidak diperlukan untuk kekuatan.
3) Kebijakan
untuk Mengelola Kunci-Kunci Kriptografi
Kunci kriptografi harus
disimpan secara aman dan dilindungi dengan pengendalian akses yang kuat.
Praktik-praktik terbaik meliputi (1) tidak menyimpan kunci kriptografi di dalam
sebuah browser atau file lain yang dapat diakses oleh
pengguna lain dari sistem tersebut dan (2) menggunakan sebuah frasa sandi yang
kuat (dan panjang) untuk melindungi kunci.
b. Jenis-Jenis
Sistem Enkripsi
|
Perbandingan
Sistem Enkripsi Simetris dan Asimetris
|
||
|
|
ENKRIPSI
SIMETRIS
|
ENKRIPSI
ASIMETRIS
|
|
Jumlah Kunci
|
Satu Kunci.
Kunci rahasia yang digunakan baik
untuk ekripsi maupun dekripsi adalah sama.
|
Dua kunci.
Satu kunci dibuat untuk publik,
satunya lagi dirahasiakan. Kedua kunci dapat mengenkripsi, tetapi hanya salah
satu kunci yang dapat mendekripsi.
|
|
Keunggulan
|
·
Kecepatan-jauh lebih cepat
|
·
Siapapun dapat menggunakan kunci publik Anda untuk
berkomunikasi dengan Anda.
·
Tidak perlu menyimpan kunci untuk setiap pihak
yang Anda inginkan untuk berkomunikasi.
·
Dapat digunakan untuk membuat tanda tangan digital
yang legal.
|
|
Kekurangan
|
·
Memerlukan kunci terpisah bagi siapa pun yang
ingin berkomunikasi.
·
Harus menemukan cara yang aman untuk membagikan
kunci rahasia dengan pihak lain.
|
·
Kecepatan-jauh lebih lamban.
·
Memerlukan PKI untuk memvalidasi
kepemilikan kunci publik.
|
|
Isu-Isu Risiko
|
·
Melindungi kunci rahasia yang dibagikan dari
kehilangan atau pencurian.
|
·
Melindungi kunci privat dari kehilangan atau
pencurian.
|
|
Penggunaan Utama
|
·
Enkripsi dengan jumlah informasi yang besar.
|
·
Pembuatan tanda tangan digital.
·
Pertukaran keamanan atas kunci simetris melalui e-mail.
|
c. Hashing
Hashing adalah
proses mengubah plaintext dengan
segala ukuran dan menciptakan sebuah kode singkat yang disebut hash.
d. Tanda
Tangan Digital
Sebuah
hash yang dienkripsi dengan kunci
privat milik pembuat hash. Hash terenkripsi yang dihasilkan
merupakan sebuah tanda tangan digital yang memberikan penjaminan atas dua hal
penting : (1) bahwa salinan sebuah dokumen atau file belumlah diubah, dan (2) siapa yang menciptakan versi asli
dari sebuah dokumen atau file digital.
|
Perbandingan
dari Hashing dan Enkripsi
|
|
|
HASHING
|
ENKRIPSI
|
|
1. Bersifat
satu arah (tidak dapat membalik atau “unhash”
untuk memulihkan dokumen asli).
2. Input dengan
segala ukuran menghasilkan output berukuran
tetap. Sebagai contoh, algoritme hashing
SHA-256 menghasilkan hash 256-bit
untuk masing-masing:
·
Dokumen dengan satu kalimat
·
Dokumen dengan satu halaman
·
Dokumen dengan 10 halaman
|
1. Dapat
dibalikkan (dapat mendekripsi chipertext
kembali ke plaintext).
2. Ukuran
output kira-kira sama dengan ukuran
input. Contohnya :
·
Dokumen dengan satu kalimat
menjadi sebuah dokumen terenkripsi dengan satu kalimat.
·
Dokumen dengan satu halaman
menjadi sebuah dokumen terenkripsi dengan satu halaman.
·
Dokumen dengan 10 halaman menjadi
sebuah dokumen terenkripsi dengan 10 halaman.
|
e. Sertifikat
Digital dan Infrastruktur Kunci Publik
Sertifikat
digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik
entitas dan menerangkan identitas pemilik kunci publik tersebut. Sistem untuk
menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait
disebut dengan infrastruktur kunci publik (publik
key infrastructure-PKI)
f. VPN
(Virtual Private Network)
VPN
menyediakan fungsionalitas sebuah jaringan aman yang dimiliki secara privat,
tanpa biaya lini tlepon yang dibebankan, dan perlengkapan komunikasi lainnya.
VPN menggunakan enkripsi dan autentikasi untuk mentransfer informasi melalui
internet dengan aman sehingga menciptakan sebuah jaringan privat “virtual”.
Belum ada tanggapan untuk "RMK_ PENGENDALIAN KERAHASIAAN DAN PRIVASI"
Post a Comment