yufi-season.blogspot.com "sistem informasi akuntansi": information system control for...
DESCRIPTION
"Sistem Informasi Akuntansi": Information System Control for system reliability, part 2: Confidentiality and Privacy (translate to Indonesia)TRANSCRIPT
YUFI MAHENDRA WARDANA 12312043
CHAPTER 9: INFORMATION SYSTEMS CONTROL FOR SYSTEMS RELIABILITY
PART 2: CONFIDENTIALITY AND PRIVACY
Tujuan pembelajaran
1. Mengidentifikasi dan menjelaskan desain pengendalian untuk melindungi kerahasiaan dari
informasi sensitive yang terkooperasi.
2. Mengidentifikasi dan menjelaskan pengendalian yang didesain untuk proteksi terhadap privasi
dari informasi personal pelanggan.
3. Menjelaskan bagaimana 2 dasar tipe atas enkripsi kerja sistem
Contoh kasus,
Jason ingin mempelajari apa yang perusahaan lakukan untuk mengalamatkan isu sebagai berikut
1. Memproteksi kerahasiaan dari kooperasi informasi sensitive, diantaranya adalah rancangan
penjualan dan rahasia perdagangan
2. Memproteksi privasi dari personal informasi yang dikoleksi dari pelanggan.
Jason merencanakan untuk menggunakan interview dengan chief information security officer. Dia
kemudian merencanakan untuk mengikuti petunjuk mengenai keefektivan dari beberapa kontrol.
Pengenalan
Di sini akan membahas tentang perlindungan kerahasiaan atas property intelektual organisasi dan
melindungi keamanan atas informasi personal yang didapat dari pelanggan.
Preserving Confidentiality
Berikut ini adalah langkah-langkah yang diambil ketika melindungi kerahasiaan:
1. Identifikasi dan klasifikasi dari informasi untuk diproteksi
Langkah pertama untuk memproteksi kerahasiaan property intelektual dan informasi bisnis yang
sensitif untuk mengidentifikasi dimana diantara informasi diletakan dan siapa yang mengakses
tersebut. Setelah informasi yang dibutuhkjan diproteksi telah diidentifikasi kemudian
didiskusikan pada kontrol objektif untuk informasi dan kontrol objektif teknologi yang berkaitan.
2. Proteksi kerahasiaan dengan enkripsi
YUFI MAHENDRA WARDANA 12312043
Enkripsi adalah suatu cara yang sangat penting dan alat yang efektif untuk memproteksi
kerahasiaan, Ini adalah langkah satu-satunya untuk memproteksi informasi yang transit melalui
internet. Enkripsi bagaimana pun bukan lah obat mujarab. Beberapa informasi sensitive,
mengandung proses shortcuts, mungkin tidak disimpan secara digital, dan dengan demikian
tidak dapat diproteksi dengan enkripsi.
3. Controlling Acces to sensitive information
Information rights management software menyediakan suatu tambahan lapisan untuk
memproteksi spesifik file atau dokumen, tapi juga untuk kemungkinan aksi yang dijamin akses ke
sumberdaya yang dapat dilakukan. Untuk mengakses ke IRM-protected resources, seseorang
pertama harus memanggil ke IRM server, yangmana kemudian mendownload kore berisi
instruksi pembatasan akses ke computer. Untuk memproteksi kerahasiaan juga membutuhkan
kontrol dari komunikasi luar, sakah satunya adalah data loss prevention software yang mana
bekerja seperti program antivirus secara bilak balik, blocking pesan tak diharapkan yang
mengandung kata berkaitan property intelektual atau data sensitive organisasi yang
memproteksi. Akses kontrol didesain untuk meproteksi kerahasiaan yang harus dilakukan secara
berlanjut merview dan memodifikasi untuk merespon tantangan baru yang dibuat dengan
teknologi. Virtualization and cloud computing juga berpengaruh terhadap resiko
ketidaktanggung jawaban akses ke sensitive atau informasi yang rahasia.
4. Training
Training adalah kontrol yang penting untuk menjaga kerahasiaan. Karyawan harus tahu apa
informasi mereka dapat share dengan orang luar dan apa informasi yang dibutuhkan untuk
diproteksi. Mereka juga harus di ajarkan bagaimana memproteksi data rahasia. Training penting
untuk menyiapkan penggunaan e-mail, instant messaging, and blogging karena itu
memungkinkah untuk mengendalikan distribusi berurutan dari informasi sekalipun itu sudah
dikirim melalui berbagai cara. Dengan menyiapkan training, karyawan dapat bermain pada peran
penting untuk memproteksi koerahasiaan dari informasi organisasi dan keefektifan kontrol.
PRIVACY
Privacy control, sebagai kasus atas informasi kerahasiaan, langkah pertama adalah memprotek
privasi atas personal informasi yang diokoleksi dari customer, untuk mengidentifikasi informasi yang
dikoleksi, dimana itu disimpan dan siapa yang dapat mengaksesnya. Enkripsi terhadap file data
YUFI MAHENDRA WARDANA 12312043
informasi yang transit melalui internet juga perlu, selain itu training bagaimana memanaje dan
melindungi informasi personal penting keberadanannya.
Privacy concern,
a. SPAM, adalah e-mail yang berisi advertising atau offensive konten. SPAM adalah keluaran
hubungannya dengan privasi, karena receipient kadang-kadang ditarget sebagai ketidak
tanggungjawaban akses e-mail address list dan data base yang berisi informasi personal. Spam tidak
hanya mengurangi keefisiensian dari e-mail, juga bisa menimbulkan virus, worm, spyware program,
juga malware. Jadi organisasi harus mebutuhkan cara mengatasi diantaranya, identitas pengirim
harus secara tuntas di perlihatkan di header of message, subjek harus diidentifikasi, body message
harus menyediakan dengan link yang bekerja, body of message harus mencakup postal address
yang valid, organisasi harus tidak mengirim acak pesan.
b. Identity thef, adalah ketidak tanggung jawaban penggunaan personal informasi seseorang untuk
keuntungan tertentu.
c. Privacy regulation and generally accepted privacy principles
Terkait dengan SPAM, identity thef dan proteksi individual privacy menghasilkan kebijakan badan
penguasa. Berikut ini adalah langkah praktis untuk menjaga privacy customer personal information,
a. Management, mereka harus menetapkan resposnsibilitas dan akuntabilitas ketika
mengimplementasikan kebijakan dan prosedur untuk orang yang spesifik
b. Notice, harus menyediakan catatan tentang kebijakan privasi dan pelatihan sebelum mengkoleksi
informasi dari customer
c. Choice and Consent, harus menjelaskan pilhan yang ada untuk memilih tawaran tiap beda negara.
d. Collection, harus mengkoleksi hanya informasi yang dibutuhkan untuk mengisi tujuan negara
dengan kebijakan privasinya
e. Use and Retention, organisasi harus menggunakan personal informasi customer hanya pada
deskripsi tentang kebijakan privasi dan membendung informasi hanya sepanjang dibutuhkan untuk
legistimasi .
f. Access, organisasi harus menyediakan individual dengan kemampuan untuk akses, mereview,
mengkoreksi, dan menghapus informasi personal.
g. Disclosure to third parties, harus mengungkapkan personal information dalam tiga bagian hanya
pada situasi tertentu dan cara yang dideskripsikan perusahaan.
YUFI MAHENDRA WARDANA 12312043
h. Security, harus mengambil langkah beralasan untuk memproteksi personal information dari
kekurangan atau ketidak tanggung jawaban catatan.
i. Quality, harus mengelola penggabungan dari personal information customer, dan prosedur pekerja
untuk meyakinkan keakuratan
j. Monitoring and enforcement, harus menetapkan satu atau lebih pekerja untuk menjadi tanggung
jawab untuk meyakinkan hubungan dengan kebijakan privasi
ENCRYPTION
Enkripsi adalah tindakan kontrol secara preventif yang dapat digunakan melindungi antara kerahasiaan
dan privasi. Enkripsi adalah proses perubahan konten normal yang disebut plain text, kedalam ketidak
terbacaan, disebut chipertext. Decryption membalikan proses ini dari chipertext ke dalam plain text.
Kedua enkripsi dan dekripsi mencakup penggunaan kunci dan alogaritma. Untuk memproduksi original
document the computer pertama dibagi ciphertext kedalam 123-bit blocks dan kemudian menyetujui
dekripsi kunci untuk tiap blok.
Faktor yang berpengaruh kekuatan enkripsi
Panjang kunci, panjang kunci menyediakan enkripsi yang lebih kuat dengan mengurangi nomor dari
pengulangan blok di chipertext.
Enkripsi alogaritma, alogaritma digunakan untuk mengombinasikan kunci dan plaintext. Kekuatan
alogaritma susah, jika tidak mungkin, untuk memecahkannya dengan teknik pendugaan.
Kebijakan memanaje kunci kriptografik, Kriptographic keys harus dikompromi, enkripsi dapat dengan
mudah terpecahkan. Kata kunci utama adalah tidak menyimpan kunci kriptografik di browser atau file
yang pengguna lain dari dengan mudah mengakses dan menggunakan passphrase yang kuat untuk
memproteksi kunci.
Tipe dari sistem enkripsi
Terdapat 2 dasar tipe sistem enkripsi. Symetric encryption systems menggunakan kunci sama kedua
untuk mengenkripsi atau mendekripsi. DES dan AES adalah contoh atas symmetric encryption sustems,
Asymetric encryption systems menggunakan dua kunci. Kunci pertama, dipanggil public key, secara luas
didistribusikan dan tersedia untuk semua orang; lainnya, disebut private key, adalah kunci rahasia dan
mengetahui hanya pemilik dari sepasang kunci tersebut.
YUFI MAHENDRA WARDANA 12312043
Hashing, adalah proses yang mengambil plaintext dari beberapa panjang dan mengubahnya menjadi
kode pendek yang dipanggil hash. Hashing alogaritma memiliki property yang menyenangkan: mereka
menggunakan tiap bit pada orifinal plaintext untuk menghitung nilai hash.
Digital signatures, adalah campuran dokumen atau file yang dienkripsi menggunakan pembuat dokumen
private key. Digital signatures menyediakan bukti tentang 2 keluaran penting: (1) bahwa kopi dari
dokumen atau file tidak dapat diubah dan (2) siapa yang membuat versi original dari digital dokumen
atau file. Jadi digital signature menyediakan asuransi yang seseorang tidak dapat masuk ke digital
transaction dan kemudian secara urut membolehkan mereka melakukannya dan menolak untuk mengisi
sisi dari kontrak.
Digital Certificates and public key infrastructure
Sertifikat digital adalah dokumen elektronit yang mengandung entitas atas public key dan sertifikat
untuk mengidentifkasi dari kepemilikan public key. Jadi sertifikat digital berfungsi seperti ekuivalen
digital dari lisensi pengemudi atau passport. Digital sertifikat merupakan keluaran dari suatu organisasi
biasa disebut authority sertificate dan mengandung wewewnang sertifikat digital, penandatanganan
untuk membuktikan mereka asli. Keluaran atas public dan private keys serta koresponden sertifikat
digital dipanggil public key infrastructure. Sertifikat digital menyediakan sebuah mekanisme untuk
securely memperoleh dan memverifikasi kevalidasian bagian public key lainnya.
Virtual Privat Networks
Informasi enkripsi melewati internet membuat virtual private network, dinamakan demikian karena
menyediakan fingsional dari privasi dimiliki keamanan jaringan tanpa diasosiasikan kos dari jaringan
telpon, satelit, dan alat komunikasi lainnya. Organisasi pada umumnya menggunakan 2 tipe VPN yakni,
menggunakan SSL and browser software untuk memberikan karyawan mengendalikan mengendalikan
akses untuk mengkooperasi jaringan ketika bepergian atau bekerja dirumah. Tipe lainnya adalah
menggunakan IPSec. Sebuah versi dari IP protocol yang menyamar enkripsi, menuju koneksi 2 kantor.
Kedua tipe atas VPNs menyediakan keamanan dari pertukaran informasi sensitive melalui internet tapi
membuat masalah untuk komponen lain dari keamanan informasi.