PENGENDALIAN UNTUK KEAMANAN INFORMASI

DAN

PENGENDALIAN KERAHASIAAN DAN PRIVASI

Dibuat oleh:

Mairis Rosari

NIM : 123151051

PROGRAM PENDIDIKAN MAGISTER AKUNTANSI

UNIVERSITAS TRISAKTI

JAKARTA

2016

Berdasarkan Cobit 5 yang terkait langsung dengan keandalan sebuah sistem informasi dan kepatuhan terhadap standar peraturan, Trust Services Framework yang dikembangkan oleh secara bersamaan oleh AICPA dan CICA dapat menyediakan panduan penilaian keandalan sistem informasi.

Trust Services Framework untuk mengatur pengendalian Teknologi Informasi (TI) ke dalam 5 Prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem antara lain :

1. Keamanan (Security) : akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.

2. Kerahasian (confidentiality) : informasi keorganisasian yang sensitive yang terlindungi dari pengungkapan yang tanpa izin.

3. Privasi (privacy) : informasi pribadi tentang pelanggan, pegawai, pemasok atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan dan dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa izin.

4. Integritas Pemrosesan (Processing integrity) : data di proses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai. 5. Ketersediaan (availability) : sistem dan informasinya tersedia untuk

memenuhi kewajiban operasional dan kontraktual.

Dua Konsep Keamanan Informasi Fundamental

1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi

Keamanan infromasi yang efektif mensyaratkan penggunaan alat-alat berteknologi seperti farewall, antivirus dan enkripsi namun keterlibatan serta dukungan manajemen senior juga menjadi dasar untuk keberhasilan. Para professional keamanan infromasi harus memilki keahilan dalam mengidentifikasi ancaman potensial dan mengestimasikan kemungkinan serta dampaknya, dimana manajemen senior harus mampu memilih mana dari 4 respon resiko (menurunkan, menerima, membagi

atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang diinvestasikan pada keamanan informasi menunjukan kebutuhan risiko organisasi.

2. Defense-In-Depth dan model keamanan informasi berbasis waktu

Defense-In-Depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Contohnya penggunaan firewall yang didukung pula dengan penggunaan metode autentikasi untuk membatasi akses terhadap sistem informasi.

Penggunaan pengendalian yang tumpang tindih, saling melengkapi dan berulang dapat meningkatkan keseluruhan efektivitas karena jika satu pengendalian gagal atau terlewat maka yang lainnya dapat berfungsi seperti yang direncanakan. Konsep ini juga mrupakan kombinasi dari pengendalian preventif, detektif dan korektif.

Model keamanan berbasis waktu adalah menggunakan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau dirusak.

Model ini ditunjukan dengan formula dengan menggunakan 3 variable sebagai berikut :

P = Waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif organisasi

D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses

C = Waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif

jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika sebaliknya maka pengendalian tidaklah efektif.

Memahami serangan yang ditargetkan

Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu Perusahaan:

1. Melakukan Pengintaian (conduct reconnaissance), Para perampok mempelajari tata ruang fsik target mereka untuk memahami pengendalian yang dimiliki oleh tempat tersebut. Tujuan pengintaian awal adalah untuk mempeljari sebanyak mungkin tentang target serta mengidentifikasikan kerentanan potensial.

2. Mengupayakan rekayasa sosial (attempt social engineering). Penyerang biasanya mencoba meggunakan informasi yang didapatkan selama pengintaian awal untuk mengelabui seorang pegawai yang tidak merasa curiga untuk emberi akses kepada mereka. Rekayasa sosial dapat terjadi melalui banyak cara, hanya di batasi oleh kreatifitas dan imajinasi penyerang. Biasanya melalui telepon, email, dan menyebarkan USB Drives diarea parker suatu organisasi yang menjadi target.

3. Memindai dan Memetakan target (scan and map the target). Serangan dengan melakukan pengintaian terperinci untuk mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk mengidentifikasi computer yang dapat dikendaliakan dari jarak jauh serta berbagai jenis perangkat lunak yang mereka jalankan.

4. Penelitian (Research). Melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan tersebut.

5. Mengeksekusi Serangan (excute the attack). Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin terhadap sistem

informasi target.

6. Menutupi jejak (cover tracks). Setelah memasuki sistem informasi pengguna, sebagain besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal mereka diketahui dan

Pengendalian Preventif

1. Orang-orang : penciptaan sebuah budaya “sadar keamanan”

Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Pengendalian ini untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya harus mengkomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu dengan mencontohkannya.

2. Orang –orang : Pelatihan

Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian

preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran –ukuran keamanan bagi kebertahanan jangka panjang organisasi serta dilatih untuk mengikuti praktik-praktik komputasi yang aman.

3. Proses : Pengendalian Akses Pengguna

Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang mengakses sistem informasi organisasi serta melacak tindakan yang merek lakukan. Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian autentikasi dan pengendalian otorisasi.

4. Pengendalian Autentikasi

Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.

Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang :

a. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN b. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID c. Beberapa karakteristik atau prilaku (pengidentifikasi biometri

seperti sidik jari atau pola tulisan. 5. Pengendalian Otorisasi

Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagain spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun hak serta keistimewaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat

6. Solusi TI : Pengendalian Antimalware

Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah sebuah ancaman besar. Malware dapat membahayakan atau menghancurkan informasi atau menghasilkan sebuah cara untuk memperoleh akses tanpa izin. Berikut cara yang direkomendasikan sebagai salah satu dari kunci keamanan untuk perlindungan dari malware :

a. Edukasi kesadaran perangkat lunak jahat

b. Pemasangan alat perlindungan anti malware pada seluruh perangkat c. Manajemen terpusat atas sejumlah patch dan memperbaruhi perangkat

lunak anti malware

d. Tinjauan teratur atas ancaman malware baru

e. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial f. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan

atau tidak disetujui.

7. Solusi TI : Pengendalian Akses Jaringan

Sebuah pengendalian dimana beberapa organisasi masih mempertahankan pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up lanhsung melalui modem, dan tidak menggunakan jaringan internet.

8. Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan Border router adalah sebuah perangkat yang menghubungakan sistem informais organisasi ke internet. Dibalik border router terdapat firewall utama yang menjadi perangkat keras yang bertujuan khusus. Firewall adalah perangkat lunak yang berkerja pada sebuah omputer yang bertujuan umum yang mengendalikan baik komunikasi masuk ataupun keluar antara

sistem dibalik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang berada diluar sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet. Secara bersamaan border router dan firewall bertindak sebagai penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem informasi organisasi.

9. Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet

Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer, seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah ke dalam seri – seri potongan kecil yang dikirim secara individu dan disusun ulang selama pengiriman. Innformasi yang dikerjakan dalah informasi yang dimuat pada header Transmission Control Protocol (TCP), Internet Protocol (IP) dan Ethernet. Header TCP berisi bidang-bidang yang merinci posisi berurutan dari paket yang berkaitan dengan ksesluruhan file dan port number pada perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat pengiriman dan penerimaan.

10. Mengendalikan Akses dengan Paket Penyaringan

Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal mereka ke penyedia layanan internet. Borde router dan firewall utama organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access control list (ACL). ACL digunakan untuk menentukan tindakan yang dilakukan pada paket yang tiba. Penyaringan paket adalah sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP Paket untuk memutuskan tindakan yang dilakukan.

11. Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan

salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal untuk membuat segmentasi department berbeda didalm organisasi. Firewall internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi yang dapat diakses seorang

pegawai tertentu. Hal ini tidak hanya meningkatkan keammanan namun juga memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas.

12. Mengamankan Koneksi Dial-Up

Penting untuk memverifikasi identitas pengguna yang berupaya untuk mendapatkan akses dial-in yaitu dengan cara Remote Authentication Dial-In User Service (RADIUS). RADIUS adalah sebuah metode standar untuk memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in, sehingga hanya pengguna yang telah terverifikasi sajalah yang dapat mengakses jaringan internal perusahaan.

13. Mengamankan Akses Nirkabel

Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai adalah (1) Menyalakan fitur keamanan yang tersedia, (2) Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka, (3) Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel, (4) Menggunakan nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set identifier (SSID), (5) Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tanpa izin menjadi lebih sulit, (6) Mengenkripsi seluruh lalu lintas nirkabel. 14. Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak

Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi.) yang berhak mendapatkan perhatian lebih menurut COBIT 5 DSS05.03:

a. Konfigurasi endpoint >> endpoint dapat dibuat lebih aman dengan memodifikasi konfigurasinya

b. Manajemen akun pengguna >> akun pengguna harus dikelola secara hati-hati, terutama akun-akun yang memiliki hak tak terbatas (administratif) pada komputer. Oleh karena itu, para pegawai yang memerlukan kewenanagan administratif untuk sebuah komputer khusus harus diberikan dua akun; 1 dengan hak administratif dan akun lainnya hanya memiliki keistimewaan terbatas

c. Desain perangkat lunak >> limpahan buffer, injeksi SQL, dan cross-site scripting adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga perlu menspesifikasikan kebutuhan untuk mendesai keamanan secara cermat ke dalam selutuh aplikasi baru.

15. Solusi TI : Enkripsi

Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin terhadap informasi sensitif.

16. Keamanan Fisik : Pengendalian Akses

Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik mengenai pengendalian akses fisik, seperti pengendalian akses fisik dimulai dari pintu masuk ke dalam gedung itu sendiri. Idealnya sebaiknya hanya terdapat satu pintu masuk reguler yang tetap terbuka selama jam kerja normal dan tambahan untuk pintu keluar darurat, tetapi pintu darurat tersebut sebaiknya tidak memperkenan siapapun menggunakannya untuk masuk dari luar dan pintu tersenut sebaiknya terhubung dengan sistem alarm sehingga secara otomatis terpicu kapan pun pintu darurat terbuka. Selain itu, juga harus ada resepsionis maupun staff keamanan yang harus bertugas di pintuk masuk utama untuk memverifikasi identitas para pegawai. Akses fisik pada ruangan-ruangan yang menyimpan komputer juga harus dibatasi. Ruangan-ruangan tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar

diawasi dnegan sistem CCTV. Ruangan-ruangan yang menyimpan server, terutama yang memuat data sensitif harus ditambahi kunci reguler dengan teknologi yang lebih kuat (seperti pembaca kartu, keypad numerik, atau berbagai perangkat biometri, seperti pemindai retina, pembaca sidik jari, atau pengenal suara).

Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi untuk mencegah wiretapping. Itu berarti bahwa pengabelan dan wiring seharusnya tidak dipasang di area yang dapat diakses pengunjung biasa dan jika lemari wiring digunakan bersama dengan penyewa lain di dalam gedung kantor, organisasi tersebut harus meletakkan perlengkapan telekomunikasinya di dalam kurungan besi terkunci untuk mecegah akses fisik tanpa izin yang terotorisasi.

17. Pengendalian Perubahan dan Manajemen Perubahan

Pengendalian perubahan dan manajemen perubahan (change control and change management) mengarah pada proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.

Pengendalian Detektif

Pengendalian preventif tidak pernah 100% efektif dalam mengeblok seluruh serangan. Oleh karena itu, salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas yang juda dibutuhkan organisasi untuk memungkinkan deteksi gangguan dan masalah secara tepat waktu.

Jenis-jenis pengendalian detektif:

1. Analisis log

Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Tujuan dari analisis log adalah untuk mengetahui alasan dari kegagalan untuk masuk kedalam sistem dan untuk mencatat

siapa yang mengakses sistem dan tindakan-tindakan tertentu apa saja yang dilakukan setiap penggunan.

2. Sistem deteksi gangguan

Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem yang menghasilka sejumlah log dari seluruh log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudiang menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi upaya tanpa izin untuk mengubah konfigurasi perangkat tersebut.

3. Pengujian penetrasi

Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Pengujian penetrasi memberikan sebuah cara yang lebih cermat untuk menguji efektivitas keamanan informasi sebuah organisasi. Uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam sistem informasi organisasi.

4. Pengawasan berkelanjutan

Pengawasan berkelanjutan merupakan pengendalian detektif penting yang dapat menidentifikasi masalah potensial secra tepat waktu.

Pengendalian Korektif

Tiga pengendalian korektif:

1. Pembentukan sebuah tim perespons insiden komputer (computer incident response team -CIRT)

Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan efektif. CIRT harus mengarahkan proses respons insiden organisasi melalui 4 tahapan: (1) Pemberitahuan (recognition) adanya sebuah masalah, (2) Penahanan (containment) masalah, (3) Pemulihan (recovery), (4) Tindak lanjut (follow up)

2. Pendesainan individu khusus, biasanya disebut dengan Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan informasi

Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya. CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief Information Officer (CIO) untuk mendesain, mengimplementasi, serta membangun kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan pengevaluasi yang adil di lingkungan TI. CISO harus memiliki tanggung jawab untuk emmastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.

3. Manajemen patch

Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbaharui seluruh perangkat lunak yang digunakan oleh organisasi. Sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya patch terkadang menciptakan masalah baru karena dampak lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya

Implikasi Keamanan Virtualisasi Dan Cloud

Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah layanan), dan seluruh lingkungan aplikasi (platform sebagai sebuah layanan).

PENGENDALIAN KERAHASIAAN DAN PRIVASI

Informasi yang dimilik perusahaan tentunya memiliki informasi yang sensitif dan penuh dengan kekayaan intelektual. Dalam menjaga kerahasiaan kekayaan intelektual yang berisikan informasi-informasi yang sensitif maka ada empat tidakan dasar yang harus dilakukan untuk menjaga rahasia informasi tersebut, yaitu:

1. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi 2. Mengenkripsi informasi

3. Mengendalikan akses atas informasi, dan

4. Melatih para pegawai untuk menangani informasi secara tepat.

Menjaga Kerahasiaan

Langkah-langkah dalam yang perlu diperhatikan dalam melindungi kerahasiaan kekayaan intelektual dan informasi bisnis yang sensitif adalah:

1. Mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya.

2. Mengklasifikasikan informasi untuk organisasi berdasarkan nilainya.

Melindungi Kerahasiaan dengan Enkripsi

Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan dan ini adalah salah satu cara untuk melindungi informasi dalam lalu lintasnya internet dan juga dapat membantu memberikan perlindungan apabila informasi yang telah dienkripsi dari orang lain yang ingin berusaha mencuri informasi tersebut.

Dikarenakan informasi yang telah dienkripsi tersebut hanya dapat diakses oleh user yang mengenkripsi file tersebut, maka informasi tersebut hanya dapat oleh user itu sendiri dan hanya bisa dilihat oleh orang lain, namun apabila user meninggalkan informasi yang dalam keadaan terbuka, maka siapapun yang duduk dihadapan laptop tersebut akan dapat melihat

informasi yang sensitif tersebut, sehingga dalam hal ini masih diperlukan pengendalian akses fisik diperlukan.

Mengendalikan Akses Terhadap Informasi Sensitif

Untuk melindungi informasi yang sensitif dalam waktu yang relevan dan terus menerus dibutuhkan maka pengendalain pengendalian autentikasi dan otorisasi perlu dilengkapi dengan pengendalian akses digital ata fisik tambahan seperti:

1. Information Right Management

Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, undu, dsb)

2. Data Loss Prevention

Perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi.

3. Watermark Digital

Kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.

Pelatihan

Selain melindungi kerahasiaan dengan enkripsi dan memberikan pengendalian akses terhadap informasi yang sensitif, pelatihan kepada para karyawan perusahaan juga diperlukan, dimana hal ini bertujuan untuk membuat para karyawan perusahaan mengerti informasi apa saja yang perlu dirahasiakan dari pihak eksternal maupun yang tidak dan diberikab kepada pihak ekstrnal.

Umumnya Prinsip Privasi erat kaitannnya dengan prinsip kerahasiaan, hanya perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai pemasok, atau rekan bisnis daripada pada data keorganisasian.

Pengendalian Privasi

Enkrispsi adalah sebuah pengendalian yang fundamental untuk melindungi privasi informasi pribadi yang dikumpulkan oleh organisasi. Demi melindungi privasi, organisasi harus menjalankan program data masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu (seperti mengganti sebuah nomor keamanan social yang asli dengan rangkaian nomor yang berbeda yang memiliki karakteristik sama, seperti 123-45-678) sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Data Masking juga disebut dengan tokenization.

Permasalahan Privasi

Dalam Privasi terdapat dua permasalahan utama terkait privasi, yaitu:

1. Spam

Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali jadi target tujuan atas akses tak terotorisasi terhadap daftar dan database e-mail yang berisi informasi pribadi.

2. Pencurian Identitas

Pencurian identitas yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Dan rata-rata pencurian Identitas lebih cenderung untuk mendapatkan keuntungan ekonomi.

Regulasi Privasi dan Prinsip Yang Diterima Secara Umum

Dalam Regulasi Privasi ini terdapat kerangka yang disebut denga prinsip-prinsip yang diterima secara umum, diman kerangka tersebut

mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan yang diantaranya:

1. Manajemen

Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.

2. Pemberitahuan

Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya pada saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para pelanggan atau segera sesudahnya.

3. Pilihan dan Persetujuan

Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para individu serta mendapatkan persetujuannya sebelum mengumpulkan dan menggunakan informasi pribadi mereka.

4. Pengumpulan

Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. 5. Penggunaan dan retensi

Organisasi harus menggunakan informasi pribadi para pelanggan hanya dengan cara yang dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis yang sah.

6. Akses

Organisasi harus memberikan individu dengan kemampuan mengakses, meninjau, memperbaiki dan menghapus informasi pribadi yang tersimpan mengenai mereka.

7. Pengungkapan kepada pihak ketiga

Organisasi harus mengungkapkan informasi pribadi pelanggannya hanya untuk situasi dan cara yang sesuai dengan kebijakan privasi organisasi serta hanya kepada pihak ketiga yang menyediakan tingkatan perlindungan privasi yang sama, sebagaimana organisasi sebelumnya yang mengumpulkan informasi tersebut.

8. Keamanan

Organisasi harus mengambil langkah-langkah rasional untuk melindungi informasi pribadi para pelanggannya dari kehilangan atau pengungkapan yang tidak terotorisasi.

9. Kualitas

Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan prosedur yang memastikan informasi tersebut akurat secara wajar.

10. Pengawasan dan penegakan

Organisasi harus menugaskan satu pegawai atau lebih guna bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.

Enkripsi

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses mentransformasikan teks normal yang disebut plaintext ke dalam raban yang tidak dapat dibaca yang disebut chipertext. Deskripsi (decryption) membalik proses ini, mengubah chipertext ke dalam plaintext.

Dari ilustrasi gambar diatas, menunjukkan bahwa baik enkripsi maupun dekripsi melibatkan pengunaan sebuah kunci dan alogaritma.

Faktor- Faktor yang Mempengaruhi Kekuatan Enkripsi

1. Panjang Kunci

Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-blok berurang pada chipertext. Hal tersebut menjadikannya lebih sulit untuk menunjukkan pola-pola chipertext yang merefleksikan pola-pola plaintext asli.

2. Alogaritme Enkripsi

Algoritma Enkripsi adalah proses mengacak data sehingga tidak dapat dibaca oleh pihak lain. Jenis Alogaritme yang digunakan untuk mengombinasikan kunci dan plaintext adalah sangat penting. Sebuah Alogaritme yang rumit bukannya tidak mungkin untuk dirusak dengan teknik penebakabn brutal.

3. Kebijakan untuk Mengelola kunci Kriptografi

Kriptografi merupakan ilmu dan seni untuk menjaga kerahasiaan berita agar tetap aman. Manajemen kunci kriptografi sering kali merupakan aspek yang paling rentan dari sistem enkripsi, kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian akses yang kuat : (1) Tidak menyimpan kunci kriptografi di dalam sebuah browser atau file lain yang dapat diakses oleh pengguna lain dari sistem tersebut (2) menggunakan sebuah frasa sandi yang kuat dan panjang untuk melindungi kunci.

Jenis-Jenis Sistem Enkripsi

Pada dua jenis sistem enkripsi, hilang atau dicurinya kunci enkripsi merupakan ancaman besar. Jika kunci hilang, informasi yang dienkripsi tidak dapat dipulihkan. Salah satu solusi untuk ancaman ini adalah menggunakan perangkat lunak enkripsi yang menciptakan sebuah kunci utama built-in yang dapat digunakan untuk mendekripsi apa saja yang dienkripsi oleh perangkat lunak tersebut. Alternatif lainnya dengan key escrow yaitu pembuatan salinan dari seluruh kunci enkripsi yang digunakan oleh para pegawai dan menyimpan salinana tersebut dengan aman.

Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut hash.

Tanda Tangan Digital

Tanda tangan digital adalah sebuah hash yang dienkripsi dengan kunci privat milik pembuat hash.

Menciptakan Sebuah Tanda Tangan Digital :

Nonrepudiation adalah menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak. Bisnis memperoleh tingkat keabsahan transaksi digital dengan sebuah dokumen yang ditandatangani dengan digital menggunakan hashing maupun enkripsi asimetris untuk menciptakan tanda tangan yang terikat secara legal atau hukum.

Sertifikat Digital dan Infrastruktur Kunci Publik

Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.

Contoh : SIM dan paspor diterbitkan oleh pihak independen yang terpercaya dan menggunakan sistem hologram serta watermark untuk membuktikan keasliannya.

Otoritas Sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital. Contoh : Thawte Inc sebagai salah satu perusahaan otoritas sertifikat komersial, menciptakan SSL (Secure Socket Layer) untuk e-business.

Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait. Sistem ini berkaitan dengan penjaminan otoritas sertifikat yang menerbitkan kunci dan sertifikat.

Virtual Private Network (VPN)

Cara kerja VPN ibarat seperti membuat jaringan di dalam jaringan atau biasa disebut tunneling. Tunneling adalah suatu cara untuk membuat jalur koneksi secara privat dengan menggunakan infrastruktur jaringan lain. Pada dasarnya VPN juga membutuhkan sebuah server sebagai penghubung dan pengatur antar client. 2 Jenis Dasar VPN :

1. SSL – protokol yang menghasilkan simbol kunci familiar kapanpun anda terlibat dalam kegiatan belanja atau perbankan online.

2. IPSec – sebuah versi protokol IP yang memasukkan enkripsi ke dalam proses penciptaan paket IP.

CONTOH KASUS

1. Pencurian dan penggunaan account internet milik orang lain. Pencurian

account ini berbeda dengan pencurian secara fisik karena pencurian dilakukan cukup dengan menangkap “user_id” dan “ password ” saja. Tujuan dari pencurianitu hanya untuk mencuri informasi saja. Pihak yang kecurian tidak akan merasakan kehilangan. Namun, efeknya akan terasa jika informasi tersebut digunakan oleh pihak yang tidak bertanggung jawab. Hal

tersebut akan membuat semua beban biaya penggunaan account oleh si pencuri dibebankan kepada si pemilik account yang sebenarnya. Kasus ini banyak terjadi di ISP ( Internet Service Provider). Kasus yang pernah diangkat adalah penggunaan account curian yang dilakukan oleh dua Warnet di Bandung. Kasus lainnya: Dunia perbankan dalam negeri juga digegerkan dengan ulah Steven Haryanto, yang membuat situs asli tetapi palsu layanan perbankan lewat Internet BCA. Lewat situs-situs “Aspal”, jika nasabah salah mengetik situs asli dan masuk ke situs-situs tersebut, identitas pengguna (user ID) dan nomor identifikasi personal (PIN) dapat ditangkap. Tercatat 130 nasabah tercuri data-datanya, namun menurut pengakuan Steven pada situs Master Web Indonesia, tujuannya membuat situs plesetan adalah agar publik memberi perhatian pada kesalahan pengetikan alamat situs, bukan mengeruk keuntungan. Persoalan tidak berhenti di situ. Pasalnya, banyak nasabah BCA yang merasa kehilangan uangnya untuk transaksi yang tidak dilakukan. Ditengarai, para nasabah itu kebobolan karena menggunakan fasilitas Internet banking lewat situs atau alamat lain yang membuka link ke Klik BCA, sehingga memungkinkan user ID dan PIN pengguna diketahui. Namun ada juga modus lainnya, seperti tipuan nasabah telah memenangkan undian dan harus mentransfer sejumlah dana lewat Internet dengan cara yang telah ditentukan penipu ataupun saat kartu ATM masih di dalam mesin tiba-tiba ada orang lain menekan tombol yang ternyata mendaftarkan nasabah ikut fasilitas Internet banking, sehingga user ID dan password diketahui orang tersebut. Modus kejahatan ini adalah penyalahgunaan user_ID dan password oleh seorang yang tidak punya hak. Motif kegiatan dari kasus ini termasuk ke dalam cybercrime sebagai kejahatan“abu-abu”. Kasus cybercrime ini merupakan jenis cybercrime uncauthorized access dan hacking-cracking. Sasaran dari kasus ini termasuk ke dalam jenis cybercrime menyerang hak milik (against property). Sasaran dari kasus kejahatan ini adalah cybercrime menyerang pribadi (against person).

 Penggunaan enkripsi untuk meningkatkan keamanan. Penggunaan enkripsi yaitu dengan mengubah data-data yang dikirimkan sehingga tidak mudah disadap (plaintext diubah menjadi chipertext). Untuk meningkatkan keamanan authentication (pengunaan user_id dan password), penggunaan enkripsi dilakukan pada tingkat socket. Hal ini akan membuat orang tidak bias menyadap data atau transaksi yang dikirimkan dari/ke server WWW. Salah satu mekanisme yang popular adalah dengan menggunakan Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Nerscape. Selain server WWW dari netscape, server WWW dari Apache juga dapat dipakai karena dapat dikonfigurasikan agar memiliki fasilitas SSL dengan menambahkan software tambahan, sperti open SSL.

 Penggunaan Firewall Tujuan utama dari firewall adalah untuk menjaga agar akses dari orang tidak berwenang tidak dapat dilakukan. Program ini merupakan perangkat yang diletakkan antara internet dengan jaringan internal. Informasi yang keluar dan masuk harus melalui atau melewati firewall. Firewall bekerja dengan mengamati paker Intenet Protocol (IP) yang melewatinya.

 Perlunya CyberLaw Cyberlaw merupakan istilah hukum yang terkait dengan pemanfaatan TI. Istilah lain adalah hukum TI (Low of IT), Hukum Dunia Maya (Virtual World Law) dan hukum Mayantara.

 Melakukan pengamanan sistem melalui jaringan dengan melakukan pengaman FTP, SMTP, Telnet dan pengaman Web Server.

2. Penyerangan terhadap jaringan internet KPU Jaringan internet di Pusat

Tabulasi Nasional Komisi Pemilihan Umum sempat down (terganggu), beberapa kali. KPU menggandeng kepolisian untuk mengatasi hal tersebut. Cybercrime kepolisian juga sudah membantu. Domain kerjasamanya antara KPU dengan kepolisian”, kata Ketua Tim Teknologi Informasi KPU, Husni Fahmi di Kantor KPU, Jalan Imam Bonjol, Menteng , Jakarta Pusat (15 April 2009). Menurut Husni, tim kepolisian pun sudah mendatangi Pusat Tabulasi

Nasional KPU di Hotel Brobudur di Hotel Brobudur, Jakarta Pusat. Mereka akan mengusut adanya dugaan kriminal dalam kasus kejahatan dunia maya dengan cara meretas. “Kamu sudah melaporkan semuanya ke KPU. Cybercrime sudah datang,” ujarnya. Sebelumnya, Husni menyebut sejak tiga hari dibuka, Pusat Tabulasi berkali-kali diserang oleh peretas.” Sejak hari lalu dimulainya perhitungan tabulasi, samapai hari ini kalau dihitung-hitung, sudah lebuh dari 20 serangan”, kata Husni, Minggu(12/4).

Seluruh penyerang itu sekarang, kata Husni, sudah diblokir alamat IP-nya oleh PT. Telkom. Tim TI KPU bias mengatasi serangan karena belajar dari pengalamn 2004 lalu. “Memang sempat ada yang ingin mengubah tampilan halaman tabulasi nasional hasil pemungutan suara milik KPU. Tetapi segera kami antisipasi.” Kasus di atas memiliki modus untuk mengacaukan proses pemilihan suara di KPK. Motif kejahatan ini termasuk ke dalam cybercrime sebagai tindakan murni kejahatan. Hal ini dikarenakan para penyerang dengan sengaja untuk melakukan pengacauan pada tampilan halaman tabulasi nasional hasil dari Pemilu. Kejahatan kasus cybercrime ini dapat termasuk jenis data forgery, hacking-cracking, sabotage and extortion, atau cyber terorism. Sasaran dari kasus kejahatan ini adalah cybercrime menyerang pemerintah (against government) atau bisa juga cybercrime menyerang hak milik (against property).

Beberapa cara untuk menanggulangi dari kasus:

 Kriptografi : seni menyandikan data. Data yang dikirimkan disandikan terlebih dahulu sebelum dikirim melalui internet. Di komputer tujuan, data dikembalikan ke bentuk aslinya sehingga dapat dibaca dan dimengerti oleh penerima. Hal ini dilakukan supaya pihak-pihak penyerang tidak dapat mengerti isi data yang dikirim.

 Internet Farewell: untuk mencegah akses dari pihak luar ke sistem internal. Firewall dapat bekerja dengan 2 cara, yaotu menggunakan filter dan proxy. Firewall filter menyaring komunikasi agar terjadi seperlunya saja, hanya aplikasi tertentu saja yang bisa lewat dan

hanya komputer dengan identitas tertentu saja yang bisa berhubungan. Firewall proxy berarti mengizinkan pemakai dalam untuk mengakses internet seluas-luasnya, tetapi dari luar hanya dapat mengakses satu komputer tertentu saja.

 Menutup service yang tidak digunakan.

 Adanya sistem pemantau serangan yang digunakan untuk mengetahui adanya tamu/seseorang yang tak diundang (intruder) atau adanya serangan (attack).

 Melakukan back up secara rutin.

 Adanya pemantau integritas sistem. Misalnya pada sistem UNIX adalah program tripwire. Program ini dapat digunakan untuk memantau adanya perubahan pada berkas.

 Perlu adanya cyberlaw : Cybercrime belum sepenuhnya terakomodasi dalam peraturan / Undang-undang yang ada, penting adanya perangkat hukum khusus mengingat karakter dari cybercrime ini berbeda dari kejahatan konvensional.

 Perlunya Dukungan Lembaga Khusus: Lembaga ini diperlukan untuk memberikan informasi tentang cybercrime, melakukan sosialisasi secara intensif kepada masyarakat, serta melakukan riset-riset khusus dalam penanggulangan cybercrime.