![Tugas Sistem Informasi Dan Pengendalian Internal CH 9 [PDF]](https://pdfs.asia/img/200x200/tugas-sistem-informasi-dan-pengendalian-internal-ch-9.jpg)
4 0 1 MB
TUGAS SISTEM INFORMASI DAN PENGENDALIAN INTERNAL Chapter 9
Nama : Grace Laurensia PPA 2019 Universitas Tarumanagara
1. Menjaga Kerahasiaan Organisasi memiliki segudang informasi sensitif, termasuk rencana strategis, rahasia dagang, informasi biaya, dokumen hukum, dan perbaikan proses. Kekayaan intelektual ini sering sangat penting untuk keunggulan kompetitif jangka panjang dan kesuksesan organisasi. Karena itu, menjaga kerahasiaan kekayaan intelektual organisasi, dan sejenisnya informasi yang dibagikan kepadanya oleh mitra bisnisnya, telah lama diakui sebagai tujuan dasar keamanan informasi. Kekayaan Intelektual terdiri dari:
Rencana Strategis Perusahaan
Rahasia Dagang
Informasi Biaya
Dokumen Legal
Pengembangan Bisnis Perusahaan
Segala informasi yang harus dijaga kerahasiaannya
Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif:
Mengidentifikasi dan Klasifikasi Informasi Untuk Dilindungi Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitif lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. Sebagai contoh, perusahaan manufaktur biasanya menggunakan otomatisasi pabrik berkala besar. Sistem-sistem tersebut memuat instruksi yang mungkin memberikan keunggulan biaya signifikan atau peningkatan kualitas produk dibanding pesaing, sehingga baru di lindungi dari pengungkapan yang tidak diotorisasi-penggelapan.
Melindungi Kerahasiaan dengan Enkripsi Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan, cara untuk melindungi informasi dalam lintasanya melalui internet. Pengenkripsian informasi yang disimpan dalam cloud publik, melindunginya dari akses tarotorisasi yang dilakukan oleh para pegawai penyedia layanan cloud atau orang lain yang menggunakan cloud yang sama. Sebagi contoh, enkripsi disk yang menyeluruh akan melindungi
informasi yang tersimpan di laptop saat laptop tersebut hilang atau dicuri. Orang yang mencuri atau menemukan laptop tersebut tidak dapat membaca informasi yang dienkripsi, kecuali ia dapat masuk sebagai pemilik sah. Itulah mengapa auntetikasi diperlukan.
Mengendalikan Akses terhadap Informasi Sensitif Information Right Management (IRM) Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, unduh, dsb) Individu yang diberi akses terhadap sumber daya tersebut agar dapat melakukannya. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi bahkan memiliki kemampuan akses untuk periode waktu tertentu, dan menghapus file yang dilindungi dari jarak jauh.
Pelatihan Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu dilindungi.
2. Privasi Prinsip privasi erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu ia lebih fokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis daripada data keorganisasian.
Pengendalian Informasi Data masking: sebuah program yang melindungi privasi dengan mengganti informasi pribadi dengan nilai-nilai palsu. Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas: 1. Spam Spam adalah email yang tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi, karena penerimaan sering kali menjadi menjadi target tujuan tak terotorisasi terhadap daftar dan database email yang berisi informasi pribadi. Volume spam melebihi banyaknya sistem e-mail. Spam tidak hanya mengurangi manfaat efisiensi e-mail, tetapi juga merupakan sebuah sumber dari banyaknya virus, worm, program spyware dan jenis-
jenis malware lainnya. Perusahaan harus mengikuti panduan dari Controlling the Assault of Non-Solicited Pornography and Marketing (CAM-SPAM) atau risiko sanksinya. Ketentuan utamanya meliputi:
identitas pengirim harus ditampilkan dengan jelas di header pesan.
field subjek pada header harus mengidentifikasikan dengan jelas pesan sebagai contoh periklanan atau permintaan. bagian isi pesan harus menyediakan penerima dengan sebuah tautan aktif yang dapat digunakan untuk memilih keluar dari e-mail di masa depan. bagian isi pesan harus menyertakan alamat pos pengirim yang valid. organisasi tidak boleh mengirim e-mail komersial ke alamat-alamat yang diperoleh secara acak dan tidak boleh membuat situs yang di desain untuk "mengambil" alamat e-mail dari calon pelanggan. 2. Pencurian Identitas Pencurian Identitas yaitu penggunaan tidak sah atas informasi pribadi seseorang dami keuntungan pelaku. Pencurian identitas menggunakan identitas seseorang, biasanya untuk keuntungan ekonomi.
Regulasi Privasi dan Prinsip-Prinsip Privasi yang Diterima Secara Umum Sepuluh praktik terbaik yang diakui internasional untuk melindungi privasi informasi pribadi para pelanggan: 1. Manajemen. Organisasi harus membuat satu set prosedur dan kebijakan untuk melindungi privasi informasi pribadi. 2. Pemberitahuan Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya pada saat/ sebelum mengumpulkan informasi. 3. Pilihan dan persetujuan Organisasi harus menjelaskan pilihan-pilihan yang tersedia kepada para individu dan juga harus mendapat persetujuan sebelum mengumpulkan atau menggunakan informasi pribadi mereka. 4. Pengumpulan
Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. Cookie adalah sebuah file teks yang diciptakan oleh sebuah situs web dan disimpan dalam hard drive pengunjung. Cookie menyimpan informasi mengenai siapa pengguna tersebut dan tindakan yang telah dilakukan pengguna di situs tersebut. 5. Penggunaan dan retensi Organisasi harus menggunakan informasi pribadidengan cara dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi tersebut selama informasi tersebut diperlukan. 6. Akses Organisasi harus memberikan akses para penggunaannya, meninjau, memperbaiki, menghapus informasi pribadi yang tersimpan mengenai mereka. 7. Pengungkapan kepada Pihak Ketiga Organisasi Organisai harus mengungkapkan informasi pribadi pelanggannya hanya untu situasi tertentu dan cara yang sesuai dengan kebijakan privasi organisasi dan pihak ketiga harus menjamin tingkat perlindungan privasi yang sama. 8. Keamanan Organisasi haus melindungi informasi pribadi pelanggan dari kehilangan yang tak terotorisasi. 9. Kualitas Organisasi harus mejaga integritas informasi pribadi pelanggannya menggunakan prosedur yang memastikan informasi terseut akurat secara wajar. 10. Pengawasan dan Penegakan Organisasi harus menugaskna suatu pegawai atau lebih guna bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan privasi yang dinayatakan. 3. Enkripsi Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi hak kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan melalui internet dan juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh
seorang penyusup yang telah mendapatkan akeses tak terotorisasi atas informasi yang disimpan. Faktor-Faktor yang Memengaruhi kekuatan Enkripsi: 1. Panjang Kunci Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-blok berulang pada chipertext. 2. Alogartime Enkripsi Jenis Alogaritime yang digunakan untuk mengombinasikan kunci dan plaintext adalah sangat penting. Sebuah Alogaritime kuat yang rumit, bukannya tidak mungkin untuk dirusak dengan menggunakan teknik penebakan paksaan brutal. 3. Kebijakan untuk Mengelola Kunci Kriptografi Kunci Kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian akses yang kuat. Praktik-praktik terbaik meliputi: (1) tidak menyimpan kriptografi didalam sebuah browser atau file lain yang dapat diakses oleh pengguna lain dari sistem tersebut. (2) menggunkan frasa sandi yang kuat dan panjang untuk melindungi kunci.
Jenis-Jenis Sistem Enkripsi: 1.
Sistem Enkripsi Simetris adalah Sistem Enkripsi yang menggunakan kunci yang sama untuk mengenkripsi dan mendeskripsi
2. Sistem Enkripsi Asimetris adalah Sistem Enkripsi yang menggunakan dua kunci (satu publik, lainnya privat), keduanya dapat mengenkripsi, tetapi hnaya kunci pencocokan lainnya yang dapat mendekripsi. 3. Kunci publik (public key) adalah salah satu kunci yang digunakan dalam sistem enkripsi asimetris. Kunci ini didistribusikan secara luas dan tersedia bagi siapa pun.
4. Kunci privat (private key) adalah salah satu kunci yang digunakan pada sistem enkripsi asimetris. Kunci ini dirahasiakan dan diketahui hanya oleh pemilik dari sepasang kunci publik dan privat. 5. Key escrow adalah proses penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman. Berikut perbandingan sistem enkripsi simetris dan asimetris:
4. Hashing Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut hash. Hash adalah plaintext yang telah diubah menjadi kode singkat.
Berikut perbandingan antara hashing dan enkripsi:
5.
Tanda Tangan Digital Nonrepudiation: menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak. Tanda tangan digital (digital signature): sebuah hash yang dienkripsi dengan kunci privat milik pembuat hash. Berikut langkah menciptakan sebuah tanda tangan digital:
Berikut contoh penggunaan tanda tangan digital:
6.
Sertifikat Digital dan Infrastruktur Kunci Publik Sertifikat digital (digital certificate): sebuah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut. Otoritas sertiifikat (certificate authority): sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital. Infrastruktur kunci publik (public key infrastructure - PKI): sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait.
7.
Virtual Private Network (VPN) Virtual private network (VPN): menggunakan enkripsi dan autentikasi untuk mentransfer informasi melalui internet dengan aman sehingga menciptakan sebuah jaringan privat "virtual". Berikut VPN:
Contoh Kasus Jason Scott sedang mempersiapkan pertemuannya dengan kepala petugas keamanan informasi Industri Northwest (CISO). Meskipun Jason puas dengan kebijakan dan prosedur keamanan komputer Northwest Industries dalam memberi perusahaan perlindungan yang memadai terhadap intrusi, ia prihatin dengan aspek keandalan sistem lainnya. Secara khusus, dia ingin mengetahui apa yang dilakukan Northwest Industries untuk mengatasi masalah berikut: 1. Melindungi kerahasiaan informasi perusahaan yang sensitif, seperti pemasaran rencana dan rahasia dagang. 2. Melindungi privasi informasi pribadi yang dikumpulkannya dari pelanggan, karyawan, pemasok, dan mitra bisnis Jason berencana untuk menggunakan wawancaranya dengan CISO untuk mendapatkan pemahaman umum tentang CISO kontrol sistem informasi perusahaan untuk melindungi kerahasiaan dan privasi. Dia kemudian berencana untuk menindaklanjuti dengan mengumpulkan bukti tentang efektivitas kontrol tersebut. Jason Scott mengulas apa yang telah ia pelajari tentang sistem informasi Northwest Industries kontrol untuk melindungi kerahasiaan dan privasi. Informasi rahasia tentang bisnis paket dan informasi pribadi yang dikumpulkan dari pelanggan dienkripsi dalam penyimpanan dan kapan pun itu dikirimkan melalui Internet. Laptop karyawan dikonfigurasikan dengan Perangkat lunak VPN sehingga mereka dapat dengan aman mengakses sistem informasi perusahaan saat mereka bekerja di rumah atau saat bepergian untuk urusan bisnis. Northwest Industries menggunakan kunci sistem escrow untuk mengelola kunci enkripsi; Jason telah menguji dan memverifikasi bahwa itu berhasil seperti yang direncanakan. CISO telah menggunakan GAPP
untuk mengembangkan prosedur untuk melindungi informasi pribadi dikumpulkan dari pelanggan. Jason memverifikasi bahwa karyawan menerima pelatihan terperinci pada bagaimana menangani informasi seperti itu ketika awalnya disewa dan dihadiri "penyegaran" wajib kursus setiap 6 bulan. Otentikasi multifactor digunakan untuk mengontrol akses ke perusahaan basis data. Jason juga memverifikasi bahwa Northwest Industries menandatangani transaksi secara digital dengan mitra bisnisnya dan mengharuskan pelanggan untuk menandatangani secara digital semua pesanan itu melebihi $ 10.000. Berdasarkan laporannya, pengawas Jason dan CIO puas dengan tindakan Northwest Industries untuk melindungi kerahasiaan dan privasi. Mereka meminta Jason selanjutnya untuk memeriksa kontrol tersedia untuk mencapai dua prinsip sisa keandalan sistem dalam Kerangka Layanan Trust AICPA: integritas dan ketersediaan pemrosesan.
