SISTEM PENGENDALIAN INFORMASI UNTUK KEANDALAN SISTEM PART 2

       Menjaga kerahasiaan kekayaan intelektual organisasi, dan informasi serupa yang dibagikan oleh mitra bisnisnya, telah lama diakui sebagai tujuan dasar keamanan informasi. Berikut ini akan  membahas tindakan-tindakan yang harus diambil untuk menjaga kerahasiaan: 

1. identifikasi dan klasifikasi informasi yang harus dilindungi,
2. enkripsi informasi sensitif,
3. mengontrol akses ke informasi sensitif, dan
4. pelatihan.

Identifikasi dan Klasifikasi Informasi yang harus dilindungi. Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitif lainnya adalah mengidentifikasi di mana informasi tersebut berada dan siapa yang memiliki akses kepadanya. Setelah informasi yang perlu dilindungi telah diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi dalam hal nilainya kepada organisasi. Klasifikasi informasi bukanlah tugas yang harus didelegasikan semata-mata kepada para profesional sistem informasi; untuk mengenali nilai informasi dengan tepat, prosesnya juga membutuhkan masukan dari manajemen senior. Setelah informasi diklasifikasi, rangkaian kontrol yang sesuai dapat digunakan untuk melindunginya.

Enkripsi Informasi Sensitif. Enkripsi  adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ini adalah satu-satunya cara untuk melindungi informasi saat transit melalui Internet. Ini juga merupakan bagian penting dari pertahanan-mendalam untuk melindungi informasi yang disimpan di situs Web atau di cloud publik.

Mengontrol Akses ke Informasi Sensitif. Mengatasi kontrol akses fisik, yang juga penting dalam mencegah seseorang dengan akses yang tidak diawasi dengan cepat mengunduh dan menyalin gigabyte informasi rahasia ke drive USB, iPod, telepon seluler, atau perangkat uji lain. Sangat penting untuk membatasi akses ke ruangan yang berisi printer, mesin fotokopi digital, dan mesin faks karena perangkat tersebut biasanya memiliki sejumlah besar RAM, yang dapat menyimpan informasi rahasia yang dicetak. Salah satu alat untuk mencapai itu adalah perangkat lunak pencegahan kehilangan data (DLP), yang bekerja seperti program antivirus secara terbalik, memblokir pesan keluar (apakah e-mail, lM, atau cara lain) yang berisi kata atau frasa kunci yang terkait dengan kekayaan intelektual atau lainnya data sensitif yang ingin dilindungi oleh organisasi. Perangkat lunak DLP adalah kontrol pencegahan. Ini dapat dan harus dilengkapi dengan kode embedding yang disebut watermark digital dalam dokumen. tanda air digital adalah kontrol detektif yang memungkinkan organisasi mengidentifikasi informasi rahasia yang telah diungkapkan. Ketika sebuah organisasi menemukan dokumen yang berisi tanda air digitalnya di Internet, ia memiliki bukti bahwa kontrol preventif yang dirancang untuk protec (informasi sensitifnya telah gagal. 

Pelatihan. Pelatihan adalah pengendalian yang paling penting untuk melindungi konfidertialitas. Karyawan perlu mengetahui informasi apa yang dapat mereka bagikan dengan pihak luar dan informasi apa yang perlu dilindungi. Mereka juga perlu diajarkan cara melindungi data rahasia. 

Mengidentifikasi dan Menjelaskan Pengendalian yang dirancang untuk melindungi Informasi pribadi

Pengendalian yang perlu diterapkan untuk melindungi privasi adalah yang sama yang digunakan untuk melindungi kerahasiaan: identifikasi informasi yang perlu dilindungi, enkripsi, kontrol akses, dan pelatihan.

Pengendalian Privasi. Langkah pertama untuk melindungi privasi informasi pribadi yang dikumpulkan dari pelanggan adalah mengidentifikasi informasi apa yang dikumpulkan, di mana informasi itu disimpan, dan siapa yang memiliki akses kepadanya. Kemudian penting untuk menerapkan kontrol untuk melindungi informasi tersebut karena insiden yang melibatkan pengungkapan informasi pribadi pelanggan secara tidak sah, baik disengaja atau tidak disengaja, dapat menjadi mahal. Untuk melindungi privasi, organisasi harus menjalankan program masking data yang menggantikan informasi pribadi pelanggan dengan nilai-nilai palsu (misalnya, mengganti nomor Jaminan Sosial yang nyata dengan serangkaian angka berbeda yang memiliki karakteristik yang sama, seperti 123-45-67 89) sebelum mengirim data itu ke pengembangan program dan sistem pengujian.

Masalah Privasi. Dua masalah utama terkait privasi adalah sebagai berikut :

SPAM.  SPAM adalah e-mail yang tidak diminta yang berisi konten periklanan atau ofensif. Spam adalah masalah terkait privasi karena penerima sering ditargetkan sebagai akibat dari akses tidak sah ke daftar alamat email dan basis data yang berisi informasi pribadi. Volume spam meluap-luap banyak sistem e-mail. Spam tidak hanya mengurangi manfaat efisiensi dari e-mail tetapi juga merupakan sumber dari banyak virus, wonns, program spyware, dan jenis malware lainnya. Untuk mengatasi masalah ini, Kongres AS mengesahkan UU Pengendalian Pornografi dan Pemasaran Non-Pemohon (CAN-SPAM) pada tahun 2003. CAN-SPAM memberikan hukuman pidana dan perdata untuk pelanggaran hukum. CAN-SPAM berlaku untuk e-mail komersial, yang didefinisikan sebagai e-mail yang memiliki tujuan utama iklan atau promosi. Ini mencakup banyak e-mail resmi yang dikirimkan banyak organisasi kepada pelanggan, pemasok, dan, dalam kasus organisasi nirlaba, donor mereka. Ketentuan utama mencakup hal-hal berikut: 1) Identitas pengirim harus ditampilkan dengan jelas di header pesan. 2) Bidang subjek di header harus secara jelas mengidentifikasi pesan sebagai iklan atau ajakan. 3)  Tubuh pesan harus memberikan tautan yang berfungsi kepada penerima agar dapat digunakan untuk menyisih dari email yang akan datang. 4) Tubuh pesan harus menyertakan alamat pos pengirim yang valid. 5) Organisasi tidak boleh mengirim e-mail komersial ke alamat yang dibuat secara acak, juga tidak boleh mereka mengatur situs Web yang dirancang untuk "memanen" alamat e-mail pelanggan potensial.

PENCURIAN IDENTITAS. Pencurian identitas adalah penggunaan yang tidak sah dari informasi pribadi seseorang untuk manfaat perentrator. Seringkali, pencurian identitas adalah kejahatan keuangan, di mana pelaku memperoleh pinjaman atau membuka kartu kredit baru dengan nama korban dan kadang-kadang merampok rekening bank korban.

Peraturan Privasi dan Prinsip Privasi yang Secara Umum Diterima.  Kekhawatiran tentang spam, pencurian identitas, dan melindungi privasi individu telah menghasilkan banyak peraturan pemerintah. Selain undang-undang pengungkapan negara, sejumlah peraturan federal, termasuk Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Teknologi Informasi Kesehatan untuk Ekonomi dan Klinis Kesehatan Act (HITECH), dan Modernisasi Undang-Undang Jasa Keuangan (biasa disebut sebagai Gramm-Leach-Bliley Act, mewakili nama-nama tiga sponsor Kongresnya, memberlakukan persyaratan khusus pada organisasi untuk melindungi privasi informasi pribadi pelanggan mereka. Untuk membantu organisasi dengan biaya yang efektif memenuhi persyaratan segudang ini, American Institute of Certified Public Accountants (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka kerja yang disebut Prinsip-Prinsip Kerahasiaan yang Diterima Umum (GAPP). 

GAPP mengidentifikasi dan menetapkan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan:

Pengelolaan. Organisasi perlu menetapkan serangkaian prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang mereka kumpulkan dari pelanggan, serta informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.

Pemberitahuan. Suatu organisasi harus memberikan pemberitahuan tentang kebijakan privasi dan praktiknya pada atau sebelum waktu itu mengumpulkan informasi pribadi dari pelanggan, atau sesegera mungkin setelah itu.

Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan yang tersedia bagi individu dan memperoleh persetujuan mereka sebelum pengumpulan dan penggunaan informasi pribadi mereka.

Pengumpulan. Organisasi harus mengumpulkan hanya informasi yang diperlukan untuk memenuhi tujuan yang tercantum dalam kebijakan privasinya.

Penggunaan dan retensi. Organisasi harus menggunakan informasi pribadi pelanggan hanya dengan cara yang dijelaskan dalam kebijakan privasi yang mereka nyatakan dan menyimpan informasi itu hanya selama diperlukan untuk memenuhi tujuan bisnis yang sah.

Mengakses. Suatu organisasi harus menyediakan individu dengan kemampuan untuk mengakses, meninjau, memperbaiki, dan menghapus informasi pribadi yang disimpan tentang mereka.

Pengungkapan kepada pihak ketiga. Organisasi harus mengungkapkan informasi pribadi pelanggan mereka kepada pihak ketiga hanya dalam situasi dan perilaku yang dijelaskan dalam kebijakan privasi organisasi dan hanya untuk pihak ketiga yang memberikan tingkat perlindungan privasi yang sama seperti yang dilakukan organisasi yang pada awalnya mengumpulkan informasi.

Keamanan. Suatu organisasi harus mengambil langkah-langkah yang wajar untuk melindungi informasi pribadi pelanggannya dari kehilangan atau pengungkapan yang tidak sah.

Kualitas. Organisasi harus menjaga integritas informasi pribadi pelanggan mereka dan menerapkan prosedur untuk memastikan bahwa itu cukup akurat.

Pemantauan dan penegakan hukum. Suatu organisasi harus menugaskan satu atau lebih karyawan untuk bertanggung jawab untuk memastikan kepatuhan dengan kebijakan privasi yang dinyatakannya.

Enkripsi

      Enkripsi adalah kontrol pencegahan yang dapat digunakan untuk melindungi kerahasiaan dan privasi. Enkripsi melindungi data yang dikirim melalui Internet dan menyediakan satu penghalang terakhir yang harus diatasi oleh penyusup yang telah memperoleh akses tidak sah ke informasi yang disimpan. Sehingga penting bagi akuntan, auditor, dan profesional sistem untuk memahami enkripsi.  enkripsi adalah proses mengubah konten normal, yang disebut plaintext, menjadi omong kosong yang tidak terbaca, yang disebut ciphertext. Dekripsi membalikkan proses ini, mengubah ciphertext kembali menjadi plaintext. Baik enkripsi dan dekripsi melibatkan penggunaan kunci dan algoritma. Komputer mewakili baik plaintext dan ciphertext sebagai serangkaian digit biner (0 dan ls). Kuncinya juga merupakan serangkaian digit biner dengan panjang tetap; misalnya, kunci 128-bit terdiri dari string 128 0s dan ls. Algoritme adalah rumus untuk menggabungkan kunci dan teks. Kebanyakan dokumen lebih panjang dari kunci, sehingga proses enkripsi dimulai dengan membagi blok intol plaintext, setiap blok memiliki panjang yang sama dengan kunci. Kemudian algoritma tersebut diterapkan ke tombol anp blok plaintext. 

Faktor-faktor yang mempengaruhi kekuatan Enkripsi

PANJANG KUNCI. Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok berulang di ciphertext. Hal ini membuat lebih sulit untuk melihat pola di ciphertext yang mencerminkan pattems di teks asli. 

ALGORITMA ENKRIPSI Sifat dari algoritma yang digunakan untuk menggabungkan kunci dan plaintext adalah penting. Algoritma yang kuat sulit, jika tidak mustahil, untuk dihancurkan dengan menggunakan teknik tebakan bruteforce. Kerahasiaan tidak diperlukan untuk kekuatan. 

KEBIJAKAN UNTUK MENGELOLA KUNCI CRYPTOGRAPHIC. Pentingnya praktik suara untuk mengelola kunci kriptografi. Memang, ini sering merupakan aspek paling rentan dari sistem enkripsi. Tidak peduli berapa lama kuncinya, atau seberapa kuat suatu algoritma enkripsi, jika tombol telah dikompromikan, enkripsi dapat dengan mudah rusak. Oleh karena itu, kunci kriptografi harus disimpan dengan aman dan dilindungi dengan kontrol akses yang kuat. Praktik terbaik termasuk tidak menyimpan kunci kriptografi di browser atau file lain yang dapat diakses oleh pengguna lain dari sistem tersebut dan menggunakan frasa sandi yang kuat (dan panjang) untuk melindungi kunci.

Jenis Sistem Eknripsi

Sistem Enkripsi Simetris. Menggunakan kunci yang sama baik untuk mengenkripsi dan mendekripsi. DES dan AES adalah contoh sistem enkripsi simetris. Enkripsi simetris jauh lebih cepat daripada enkripsi asimetris, tetapi memiliki dua masalah utama. Pertama, kedua belah pihak (pengirim dan penerima) perlu mengetahui kunci rahasia bersama. Masalah sdcond adalah bahwa kunci rahasia yang terpisah perlu dibuat untuk digunakan oleh masing-masing pihak dengan siapa penggunaan enkripsi yang diinginkan.

Sistem Enkripsi Asimetris. Menggunakan dua kunci. Salah satu kunci, yang disebut kunci publik, didistribusikan secara luas dan tersedia bagi semua orang; yang lain, yang disebut kunci privat, dirahasiakan dan hanya diketahui oleh pemilik sepasang kunci itu. Entah kunci publik atau privat dapat digunakan untuk mengenkripsi, tetapi hanya kunci lain yang dapat mendekripsi ciphertext. RSA dan PGP adalah contoh sistem enkripsi asimetris. 

Hashing

      Hashing adalah proses yang mengambil plaintext dari setiap Iength dan mengubahnya menjadi kode pendek yang disebut hash. Hashing selalu menghasilkan hash yang panjangnya tetap, terlepas dari panjang teks asli. 

Tanda Tangan Digital

         Tanda tangan digital adalah hash dari dokumen (atau file) yang dienkripsi menggunakan kunci pribadi pembuat dokumen. Tanda tangan digital memberikan bukti tentang dua masalah penting: (1) bahwa salinan dokumen atau file belum diubah, dan (2) yang membuat versi asli dokumen digital atau file. Dengan demikian, tanda tangan digital memberikan jaminan bahwa seseorang tidak dapat masuk ke dalam transaksi digital dan kemudian menolaknya melakukannya dan menolak untuk memenuhi sisi kontraknya.  Bagaimana tanda tangan digital memberikan jaminan ini? 

Pertama, ingat bahwa properti penting dari hash adalah ia mencerminkan setiap bit dalam dokumen. Oleh karena itu, jika dua hash identik, itu berarti bahwa dua dokumen atau file identik.

Kedua, ingat bahwa dalam sistem enkripsi asimetris, sesuatu yang dienkripsi dengan kunci privat hanya dapat didekripsi dengan kunci publik terkait. Oleh karena itu, jika sesuatu dapat didekripsi dengan kunci publik entitas, itu pasti telah dienkripsi dengan kunci pribadi yang sesuai, yang membuktikan bahwa itu harus dienkripsi oleh pemilik kunci publik dan pribadi itu.

Sertifikat Digital dan Infrastruktur Kunci Publik

      Sertifikat digital adalah dokumen elektronik yang berisi kunci publik entitas dan menyatakan identitas pemilik kunci publik tersebut. Dengan demikian, sertifikat digital berfungsi seperti pada digital dari SIM atau paspor. Sama seperti paspor dan SIM yang dikeluarkan oleh pihak independen tepercaya (pemerintah) dan menggunakan mekanisme seperti simbol dan watermark untuk membuktikan bahwa mereka asli, sertifikat digital dikeluarkan oleh organisasi yang disebut otoritas sertifikat dan berisi tanda tangan digital otoritas sertifikat untuk membuktikan bahwa mereka asli. Sertifikat digital yang ditujukan untuk penggunaan e-bisnis biasanya dikeluarkan oleh otoritas sertifikat komersial, seperti Thawte dan VeriSign. Otoritas sertifikat ini membebankan biaya untuk mengeluarkan sepasang kunci publik dan kunci pribadi dan mengumpulkan bukti untuk memverifikasi identitas yang diklaim dari orang atau organisasi yang membeli kunci tersebut dan sertifikat digital yang sesuai. Sistem ini untuk mengeluarkan pasangan kunci publik dan swasta dan sertifikat digital yang sesuai disebut infrastruktur kunci publik (PKI). Seluruh sistem PKI bergantung pada mempercayai otoritas sertifikat yang mengeluarkan kunci dan sertifikat. Kerangka kerja Trust Services AICPA berisi daftar kriteria yang dapat digunakan untuk mengevaluasi keandalan keseluruhan otoritas sertifikat tertentu. Satu faktor penting menyembunyikan prosedur yang digunakan otoritas sertifikat untuk memverifikasi identitas pemohon untuk sertifikat digital. Beberapa kelas sertifikat digital ada. Yang termurah, dan paling tidak dapat dipercaya. Sertifikat digital hanya berlaku untuk jangka waktu tertentu. Dengan demikian, kriteria penting kedua untuk menilai keandalan otoritas sertifikat adalah prosedur yang digunakan untuk memperbarui sertifikat dan mencabut sertifikat digital yang kadaluwarsa. Sertifikat digital menyediakan mekanisme untuk memperoleh dan memverifikasi keabsahan kunci publik pihak lain secara aman. 

Jaringan Pribadi Maya 

       Jaringan pribadi maya atau yang disebut Virtual Private Networks (VPNs) Untuk melindungi kerahasiaan dan privasi, informasi harus dienkripsi tidak hanya di dalam sistem, tetapi juga ketika sedang transit melalui Internet. Organisasi biasanya menggunakan dua jenis VPN. Satu jenis menggunakan SSL dan perangkat lunak peramban untuk memberi karyawan akses jarak jauh ke jaringan perusahaan saat bepergian atau bekerja di rumah. Jenis VPN lainnya menggunakan IPSec, versi protokol IP yang menggabungkan enkripsi, untuk menghubungkan dua kantor dengan aman. Kedua jenis VPN menyediakan sarana yang aman untuk bertukar informasi sensitif melalui Internet tetapi menciptakan masalah untuk komponen keamanan informasi lainnya. Ada tiga pendekatan yang umum digunakan untuk menangani masalah ini. Salah satunya adalah mengkonfigurasi firewall untuk mengirim paket terenkripsi ke komputer dalam DNIZ yang mendekripsi mereka; komputer itu kemudian mengirim paket yang didekripsi kembali melalui firrewall untu kpenyaringan sebelum diizinkan masuk ke jaringan internal.