RINGKASAN SIA BAB 9 PENGENDALIAN KERAHASIAAN DAN PRIVASI



MENJAGA KERAHASIAAN

Empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif adalah:

1.      Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Mengidentifikasi letak informasi tersebut disimpan terdengar mudah, tetapi mengusahakan persediaan yang lengkap dari setiap simpanan digital dan kertas informasi sama-sama memakan waktu serta biaya karena melibatkan pemeriksaan yang lebih cermat daripada isi sistem keuangan organisasi. Praktik COBIT 5 menunjukkan bahwa klasifikasi merupakan tanggung jawab pemilik informasi, bukan profesional keamanan informasi  karena hanya pemilik informasilah yang memahami bagaimana informasi digunakan.
2.      Melindungi kerahasiaan dengan enkripsi. Pengenkripsian data klien yang disimpan pada portal, memberikan sebuah lapisan perlindungan tambahan untuk tindakan pengaksesan yang tak terotorisasi terhadap portal. Begitu pula dengan pengenkripsian informasi yang disimpan dalam cloud public, melindunginya dari akses takterotorisasi yang dilakukan oleh para pegawai penyedia layanan cloud atau oleh orang lain yang menggunakan cloud yang sama.
3.      Mengendalikan akses terhadap informasi sensitif. Perangkat lunak information rights management (IRM – manajemen hak informasi) memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, unduh ke perangkat USB, dsb.) yang dapat dilakukan individu yang diberi akses terhadap sumberdaya tersebut. Perlindungan kerahasiaan juga mensyaratkan pengendalian terhadap komunikasi ke luar. Sebuah alat yang memenuhi syarat tersebut adalah perangkat lunak data loss prevention (DLP – pencegahan kehilangan data), bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar (baik e-mail, IM, atau pesan lain) yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi. DLP harus dilengkapi dengan kode terlekat yang disebut dengan watermark digital pada dokumen. Watermark digital adalah pengendalian detektif yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan
4.      Pelatihan. Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu dilindungi. Dengan pelatihan yang memadai, para pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas pengendalian terkait.

PRIVASI

Pengendalian privasi
Demi melindungi privasi, organisasi harus menjalankan program data masking, yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu (seperti, mengganti sebuah nomor keamanan social yang asli dengan rangkaian nomor berbeda yang memiliki karakteristik sama).

Permasalahan privasi
Spam. Spam adalah e-mail yang tak diinginkan yang mengandung baik periklanan maupun konten serangan. Guna menghadapi masalah tersebut, Kongres Amerika Serikat menetapkan Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM) Act pada 2003. Undang-undang tersebut memberikan baik hukuman pidana maupun perdata atas pelanggaran hukum. CAN-SPAM berlaku untuk e-mail komersial yang didefinisikan sebagai e-mail yang memiliki tujuan utama periklanan atau promosi.

Pencurian Identitas
Pencurian identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku.

Regulasi Privasi dan Prinsip-prinsip yang Diterima Secara Umum (Generally Accepted Privacy Principles – GAPP)
Kerangka GAPP mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi para pelanggan

1.      Manajemen.
2.      Pemberitahuan
3.      Pilihan dan persetujuan.
4.      Pengumpulan.
5.      Penggunaan dan retensi.
6.      Akses
7.      Pengungkapan kepada pihak ketiga.
8.      Keamanan.
9.      Kualitas
10. Pengawasan dan penegakan

ENKRIPSI

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses mentransformasikan teks normal, yang disebut plaintext, ke dalam raban yang tidak dapat dibaca, yang disebut chipertext. Deskripsi (decryption) membalik proses ini, mengubah chipertext kembali ke dalam plaintext.
Faktor-faktor yang Memengaruhi Kekuatan Enkripsi.

Tiga faktor penting yang menentukan kekuatan sistem enkripsi:

1.      Panjang kunci
2.      Algoritme enkripsi.
3.      Kebijakan untuk mengelola kunci-kunci kriptografi.

Jenis-jenis Sistem Enkripsi

1.      Sistem enkripsi simetris (symmetric encryption system), yaitu sistem enkripsi yang menggunakan kunci sama untuk mengenkripsi dan mendeskripsi.
2.      Sistem enkripsi asimetris (asymmetric encryption system), yaitu sistem enkripsi yang menggunakan dua kunci )satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hanya kunci pencocokan lainnya dapat mendeskripsi.

Key escrow adalah proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman.

Hashing.
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut dengan hash.

Tanda Tangan Digital
Pokok penting untuk transaksi bisnis selalu nonrepudiation, atau bagaimana agar menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak. Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci privat milik pembuat hash. Tanda tangan digital memberikan penjaminan atas dua hal penting:

1.      Bahwa salinan sebuah dokumen atau file belumlah diubah
2.      Siapa yang menciptakan versi asli dari sebuah dokumen atau file digital.

Sertifikat Digital dan Infrastruktur Kunci Publik

·        Sertifikat digital adalah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.
·        Otoritas sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital.
·        Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait.

Virtual Private Netwotk (VPN)
VPN adalah menggunakan enkripsi dan autentikasi untuk mentransfer informasi melalui internet dengan aman sehingga menciptakan sebuah jaringan privat “virtual”.

Komentar

Postingan Populer