RINGKASAN SIA BAB 9



Menjaga Kerahasiaan.

Empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif adalah:

  1. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Mengidentifikasi letak informasi tersebut disimpan terdengar mudah, tetapi mengusahakan persediaan yang lengkap dari setiap simpanan digital dan kertas informasi sama-sama memakan waktu serta biaya karena melibatkan pemeriksaan yang lebih cermat daripada isi sistem keuangan organisasi. Praktik COBIT 5 menunjukkan bahwa klasifikasi merupakan tanggung jawab pemilik informasi, bukan profesional keamanan informasi  karena hanya pemilik informasilah yang memahami bagaimana informasi digunakan.
  2. Melindungi kerahasiaan dengan enkripsi. Pengenkripsian data klien yang disimpan pada portal, memberikan sebuah lapisan perlindungan tambahan untuk tindakan pengaksesan yang tak terotorisasi terhadap portal. Begitu pula dengan pengenkripsian informasi yang disimpan dalam cloud public, melindunginya dari akses takterotorisasi yang dilakukan oleh para pegawai penyedia layanan cloud atau oleh orang lain yang menggunakan cloud yang sama.
  3. Mengendalikan akses terhadap informasi sensitif. Perangkat lunak information rights management (IRM – manajemen hak informasi) memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, unduh ke perangkat USB, dsb.) yang dapat dilakukan individu yang diberi akses terhadap sumberdaya tersebut. Perlindungan kerahasiaan juga mensyaratkan pengendalian terhadap komunikasi ke luar. Sebuah alat yang memenuhi syarat tersebut adalah perangkat lunak data loss prevention (DLP – pencegahan kehilangan data), bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar (baik e-mail, IM, atau pesan lain) yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi. DLP harus dilengkapi dengan kode terlekat yang disebut dengan watermark digital pada dokumen. Watermark digital adalah pengendalian detektif yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.
  4. Pelatihan. Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu dilindungi. Dengan pelatihan yang memadai, para pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas pengendalian terkait.



Pengendalian privasi. Demi melindungi privasi, organisasi harus menjalankan program data masking, yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu (seperti, mengganti sebuah nomor keamanan social yang asli dengan rangkaian nomor berbeda yang memiliki karakteristik sama).

Permasalahan privasi.
Spam. Spam adalah e-mail yang tak diinginkan yang mengandung baik periklanan maupun konten serangan. Guna menghadapi masalah tersebut, Kongres Amerika Serikat menetapkan Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM) Act pada 2003. Undang-undang tersebut memberikan baik hukuman pidana maupun perdata atas pelanggaran hukum. CAN-SPAM berlaku untuk e-mail komersial yang didefinisikan sebagai e-mail yang memiliki tujuan utama periklanan atau promosi.
Pencurian Identitas. Pencurian identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku.
Regulasi Privasi dan Prinsip-prinsip yang Diterima Secara Umum (Generally Accepted Privacy Principles – GAPP)
Kerangka GAPP mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi para pelanggan.
  1. Manajemen.
  2. Pemberitahuan.
  3. Pilihan dan persetujuan.
  4. Pengumpulan.
  5. Penggunaan dan retensi.
  6. Akses.
  7. Pengungkapan kepada pihak ketiga.
  8. Keamanan.
  9. Kualitas.
  10. Pengawasan dan penegakan.



Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses mentransformasikan teks normal, yang disebut plaintext, ke dalam raban yang tidak dapat dibaca, yang disebut chipertext. Deskripsi (decryption) membalik proses ini, mengubah chipertext kembali ke dalam plaintext.

Faktor-faktor yang Memengaruhi Kekuatan Enkripsi.
Tiga faktor penting yang menentukan kekuatan sistem enkripsi:
  1. Panjang kunci.
  2. Algoritme enkripsi.
  3. Kebijakan untuk mengelola kunci-kunci kriptografi.

Jenis-jenis Sistem Enkripsi
  1. Sistem enkripsi simetris (symmetric encryption system), yaitu sistem enkripsi yang menggunakan kunci sama untuk mengenkripsi dan mendeskripsi.
  2. Sistem enkripsi asimetris (asymmetric encryption system), yaitu sistem enkripsi yang menggunakan dua kunci )satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hanya kunci pencocokan lainnya dapat mendeskripsi.

  • Key escrow adalah proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman.

Hashing.
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut dengan hash.

Tanda Tangan Digital
Pokok penting untuk transaksi bisnis selalu nonrepudiation, atau bagaimana agar menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak. Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci privat milik pembuat hash. Tanda tangan digital memberikan penjaminan atas dua hal penting:
  1. Bahwa salinan sebuah dokumen atau file belumlah diubah
  2. Siapa yang menciptakan versi asli dari sebuah dokumen atau file digital.

Sertifikat Digital dan Infrastruktur Kunci Publik.
  • Sertifikat digital adalah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.
  • Otoritas sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital.
  • Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait.

Virtual Private Netwotk (VPN)
VPN adalah menggunakan enkripsi dan autentikasi untuk mentransfer informasi melalui internet dengan aman sehingga menciptakan sebuah jaringan privat “virtual”.


Komentar

Posting Komentar

Postingan populer dari blog ini

RINGKASAN SIA BAB 10

Gambar
PENGENDALIAN INPUT Jika data yang dimasukkan ke dalam sebuah sistem tidak akurat, tidak lengkap, atau tidak valid, maka output-nya juga akan demikian. Akibatnya hanya personel yang berwenang untuk bertindak di dalam otoritasnya yang harus mempersiapkan dokumen sumber. Selain itu, bentuk desain, pembatalan dan penyimpanan dokumen sumber, serta pengendalian entri data secara otomatis diperlukan untuk memverifikasi validitas data input. BENTUK DESAIN Dua bentuk utama desain pengendalian yang penting melibatkan: Dokumen sumber sebelum penomoran ( prenumbering ) secara berurutan. Prenumbering tersebut meningkatkan pengendalian dengan memperbolehkannya untuk memverifikasi bahwa tidak ada dokumen yang hilang. Ketika dokumen data sumber secara berurutan uang sebelumnya telah dinomori digunakan, sistem harus deprogram untuk mengidentifikasi dan melaporkan dokumen sumber yang hilang atau duplikatnya Menggunakan dokumen turnaround . Turnaround document adalah c
Baca selengkapnya

RINGKASAN SIA BAB 15

Gambar
Siklus manajemen sumber daya manusia (MSDM)/penggajian – human resources management (HRM)/ payroll cycle adalah serangkaian aktivitas bisnis dan operasi pengolahan data terkait yang terus menerus berhubungan dengan mengelola kemampuan pegawai secara efektif. Tugas-tugas yang lebih penting meliputi sebagai berikut. Merekrut dan mempekerjakan para pegawai baru. Pelatihan. Penugasan pekerjaan. Kompensasi (penggajian). Evaluasi kinerja. Mengeluarkan pegawai karena penghentian yang sukarela maupun tidak. Sistem manajemen pengetahuan ( knowledge management system ) adalah perangkat lunak yang menyimpan dan mengelola keahlian yang dimiliki oleh pegawai individu sehingga pengetahuan tersebut dapat dibagikan dan digunakan oleh yang lain. Gambar 15.1 Ancaman dan Pengendalian Dalam Siklus Penggajian/MSDM Gambar 15.2 Ancaman dan Pengendalian Dalam Siklus Penggajian/MSDM Gambar 15.3 Ancaman dan Pengendalian Dalam Siklus Penggajian/MSDM Gambar 15.4 Anca
Baca selengkapnya

RINGKASAN SIA BAB 12

Gambar
Siklus Pendapatan ( revenue cycle )  adalah serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus-menerus dengan menyediakan barang dan jasa kepada pelanggan dan menerima kas sebagai pembayaran atas penjualan tersebut. Tujuan utama siklus pendapatan adalah menyediakan produk yang tepat di tempat yang tepat pada saat yang tepat untuk harga yang sesuai. Untuk mencapai tujuan tersebut, manajemen harus membuat keputusan-keputusan penting sebagai berikut. Sampai sejauh mana produk dapat dan harus disesuaikan dengan kebutuhan dan keinginan pelanggan individu? Seberapa banyak persediaan yang harus dimiliki dan di mana persediaan tersebut harus ditempatkan? Bagaimana seharusnya barang dagangan dikirim ke pelanggan? Haruskah perusahaan menjalankan fungsi pengiriman sendiri atau mengalihdayakan (outsourcing) ke pihak ketiga yang berspesialisasi dalam bidang logistik? Berapakah harga optimal untuk setiap produk atau jasa? Haruskah kredit dipe
Baca selengkapnya