YUFI MAHENDRA WARDANA 12312043

CHAPTER 9: INFORMATION SYSTEMS CONTROL FOR SYSTEMS RELIABILITY

PART 2: CONFIDENTIALITY AND PRIVACY

Tujuan pembelajaran

1. Mengidentifikasi dan menjelaskan desain pengendalian untuk melindungi kerahasiaan dari

informasi sensitive yang terkooperasi.

2. Mengidentifikasi dan menjelaskan pengendalian yang didesain untuk proteksi terhadap privasi

dari informasi personal pelanggan.

3. Menjelaskan bagaimana 2 dasar tipe atas enkripsi kerja sistem

Contoh kasus,

Jason ingin mempelajari apa yang perusahaan lakukan untuk mengalamatkan isu sebagai berikut

1. Memproteksi kerahasiaan dari kooperasi informasi sensitive, diantaranya adalah rancangan

penjualan dan rahasia perdagangan

2. Memproteksi privasi dari personal informasi yang dikoleksi dari pelanggan.

Jason merencanakan untuk menggunakan interview dengan chief information security officer. Dia

kemudian merencanakan untuk mengikuti petunjuk mengenai keefektivan dari beberapa kontrol.

Pengenalan

Di sini akan membahas tentang perlindungan kerahasiaan atas property intelektual organisasi dan

melindungi keamanan atas informasi personal yang didapat dari pelanggan.

Preserving Confidentiality

Berikut ini adalah langkah-langkah yang diambil ketika melindungi kerahasiaan:

1. Identifikasi dan klasifikasi dari informasi untuk diproteksi

Langkah pertama untuk memproteksi kerahasiaan property intelektual dan informasi bisnis yang

sensitif untuk mengidentifikasi dimana diantara informasi diletakan dan siapa yang mengakses

tersebut. Setelah informasi yang dibutuhkjan diproteksi telah diidentifikasi kemudian

didiskusikan pada kontrol objektif untuk informasi dan kontrol objektif teknologi yang berkaitan.

2. Proteksi kerahasiaan dengan enkripsi

YUFI MAHENDRA WARDANA 12312043

Enkripsi adalah suatu cara yang sangat penting dan alat yang efektif untuk memproteksi

kerahasiaan, Ini adalah langkah satu-satunya untuk memproteksi informasi yang transit melalui

internet. Enkripsi bagaimana pun bukan lah obat mujarab. Beberapa informasi sensitive,

mengandung proses shortcuts, mungkin tidak disimpan secara digital, dan dengan demikian

tidak dapat diproteksi dengan enkripsi.

3. Controlling Acces to sensitive information

Information rights management software menyediakan suatu tambahan lapisan untuk

memproteksi spesifik file atau dokumen, tapi juga untuk kemungkinan aksi yang dijamin akses ke

sumberdaya yang dapat dilakukan. Untuk mengakses ke IRM-protected resources, seseorang

pertama harus memanggil ke IRM server, yangmana kemudian mendownload kore berisi

instruksi pembatasan akses ke computer. Untuk memproteksi kerahasiaan juga membutuhkan

kontrol dari komunikasi luar, sakah satunya adalah data loss prevention software yang mana

bekerja seperti program antivirus secara bilak balik, blocking pesan tak diharapkan yang

mengandung kata berkaitan property intelektual atau data sensitive organisasi yang

memproteksi. Akses kontrol didesain untuk meproteksi kerahasiaan yang harus dilakukan secara

berlanjut merview dan memodifikasi untuk merespon tantangan baru yang dibuat dengan

teknologi. Virtualization and cloud computing juga berpengaruh terhadap resiko

ketidaktanggung jawaban akses ke sensitive atau informasi yang rahasia.

4. Training

Training adalah kontrol yang penting untuk menjaga kerahasiaan. Karyawan harus tahu apa

informasi mereka dapat share dengan orang luar dan apa informasi yang dibutuhkan untuk

diproteksi. Mereka juga harus di ajarkan bagaimana memproteksi data rahasia. Training penting

untuk menyiapkan penggunaan e-mail, instant messaging, and blogging karena itu

memungkinkah untuk mengendalikan distribusi berurutan dari informasi sekalipun itu sudah

dikirim melalui berbagai cara. Dengan menyiapkan training, karyawan dapat bermain pada peran

penting untuk memproteksi koerahasiaan dari informasi organisasi dan keefektifan kontrol.

PRIVACY

Privacy control, sebagai kasus atas informasi kerahasiaan, langkah pertama adalah memprotek

privasi atas personal informasi yang diokoleksi dari customer, untuk mengidentifikasi informasi yang

dikoleksi, dimana itu disimpan dan siapa yang dapat mengaksesnya. Enkripsi terhadap file data

YUFI MAHENDRA WARDANA 12312043

informasi yang transit melalui internet juga perlu, selain itu training bagaimana memanaje dan

melindungi informasi personal penting keberadanannya.

Privacy concern,

a. SPAM, adalah e-mail yang berisi advertising atau offensive konten. SPAM adalah keluaran

hubungannya dengan privasi, karena receipient kadang-kadang ditarget sebagai ketidak

tanggungjawaban akses e-mail address list dan data base yang berisi informasi personal. Spam tidak

hanya mengurangi keefisiensian dari e-mail, juga bisa menimbulkan virus, worm, spyware program,

juga malware. Jadi organisasi harus mebutuhkan cara mengatasi diantaranya, identitas pengirim

harus secara tuntas di perlihatkan di header of message, subjek harus diidentifikasi, body message

harus menyediakan dengan link yang bekerja, body of message harus mencakup postal address

yang valid, organisasi harus tidak mengirim acak pesan.

b. Identity thef, adalah ketidak tanggung jawaban penggunaan personal informasi seseorang untuk

keuntungan tertentu.

c. Privacy regulation and generally accepted privacy principles

Terkait dengan SPAM, identity thef dan proteksi individual privacy menghasilkan kebijakan badan

penguasa. Berikut ini adalah langkah praktis untuk menjaga privacy customer personal information,

a. Management, mereka harus menetapkan resposnsibilitas dan akuntabilitas ketika

mengimplementasikan kebijakan dan prosedur untuk orang yang spesifik

b. Notice, harus menyediakan catatan tentang kebijakan privasi dan pelatihan sebelum mengkoleksi

informasi dari customer

c. Choice and Consent, harus menjelaskan pilhan yang ada untuk memilih tawaran tiap beda negara.

d. Collection, harus mengkoleksi hanya informasi yang dibutuhkan untuk mengisi tujuan negara

dengan kebijakan privasinya

e. Use and Retention, organisasi harus menggunakan personal informasi customer hanya pada

deskripsi tentang kebijakan privasi dan membendung informasi hanya sepanjang dibutuhkan untuk

legistimasi .

f. Access, organisasi harus menyediakan individual dengan kemampuan untuk akses, mereview,

mengkoreksi, dan menghapus informasi personal.

g. Disclosure to third parties, harus mengungkapkan personal information dalam tiga bagian hanya

pada situasi tertentu dan cara yang dideskripsikan perusahaan.

YUFI MAHENDRA WARDANA 12312043

h. Security, harus mengambil langkah beralasan untuk memproteksi personal information dari

kekurangan atau ketidak tanggung jawaban catatan.

i. Quality, harus mengelola penggabungan dari personal information customer, dan prosedur pekerja

untuk meyakinkan keakuratan

j. Monitoring and enforcement, harus menetapkan satu atau lebih pekerja untuk menjadi tanggung

jawab untuk meyakinkan hubungan dengan kebijakan privasi

ENCRYPTION

Enkripsi adalah tindakan kontrol secara preventif yang dapat digunakan melindungi antara kerahasiaan

dan privasi. Enkripsi adalah proses perubahan konten normal yang disebut plain text, kedalam ketidak

terbacaan, disebut chipertext. Decryption membalikan proses ini dari chipertext ke dalam plain text.

Kedua enkripsi dan dekripsi mencakup penggunaan kunci dan alogaritma. Untuk memproduksi original

document the computer pertama dibagi ciphertext kedalam 123-bit blocks dan kemudian menyetujui

dekripsi kunci untuk tiap blok.

Faktor yang berpengaruh kekuatan enkripsi

Panjang kunci, panjang kunci menyediakan enkripsi yang lebih kuat dengan mengurangi nomor dari

pengulangan blok di chipertext.

Enkripsi alogaritma, alogaritma digunakan untuk mengombinasikan kunci dan plaintext. Kekuatan

alogaritma susah, jika tidak mungkin, untuk memecahkannya dengan teknik pendugaan.

Kebijakan memanaje kunci kriptografik, Kriptographic keys harus dikompromi, enkripsi dapat dengan

mudah terpecahkan. Kata kunci utama adalah tidak menyimpan kunci kriptografik di browser atau file

yang pengguna lain dari dengan mudah mengakses dan menggunakan passphrase yang kuat untuk

memproteksi kunci.

Tipe dari sistem enkripsi

Terdapat 2 dasar tipe sistem enkripsi. Symetric encryption systems menggunakan kunci sama kedua

untuk mengenkripsi atau mendekripsi. DES dan AES adalah contoh atas symmetric encryption sustems,

Asymetric encryption systems menggunakan dua kunci. Kunci pertama, dipanggil public key, secara luas

didistribusikan dan tersedia untuk semua orang; lainnya, disebut private key, adalah kunci rahasia dan

mengetahui hanya pemilik dari sepasang kunci tersebut.

YUFI MAHENDRA WARDANA 12312043

Hashing, adalah proses yang mengambil plaintext dari beberapa panjang dan mengubahnya menjadi

kode pendek yang dipanggil hash. Hashing alogaritma memiliki property yang menyenangkan: mereka

menggunakan tiap bit pada orifinal plaintext untuk menghitung nilai hash.

Digital signatures, adalah campuran dokumen atau file yang dienkripsi menggunakan pembuat dokumen

private key. Digital signatures menyediakan bukti tentang 2 keluaran penting: (1) bahwa kopi dari

dokumen atau file tidak dapat diubah dan (2) siapa yang membuat versi original dari digital dokumen

atau file. Jadi digital signature menyediakan asuransi yang seseorang tidak dapat masuk ke digital

transaction dan kemudian secara urut membolehkan mereka melakukannya dan menolak untuk mengisi

sisi dari kontrak.

Digital Certificates and public key infrastructure

Sertifikat digital adalah dokumen elektronit yang mengandung entitas atas public key dan sertifikat

untuk mengidentifkasi dari kepemilikan public key. Jadi sertifikat digital berfungsi seperti ekuivalen

digital dari lisensi pengemudi atau passport. Digital sertifikat merupakan keluaran dari suatu organisasi

biasa disebut authority sertificate dan mengandung wewewnang sertifikat digital, penandatanganan

untuk membuktikan mereka asli. Keluaran atas public dan private keys serta koresponden sertifikat

digital dipanggil public key infrastructure. Sertifikat digital menyediakan sebuah mekanisme untuk

securely memperoleh dan memverifikasi kevalidasian bagian public key lainnya.

Virtual Privat Networks

Informasi enkripsi melewati internet membuat virtual private network, dinamakan demikian karena

menyediakan fingsional dari privasi dimiliki keamanan jaringan tanpa diasosiasikan kos dari jaringan

telpon, satelit, dan alat komunikasi lainnya. Organisasi pada umumnya menggunakan 2 tipe VPN yakni,

menggunakan SSL and browser software untuk memberikan karyawan mengendalikan mengendalikan

akses untuk mengkooperasi jaringan ketika bepergian atau bekerja dirumah. Tipe lainnya adalah

menggunakan IPSec. Sebuah versi dari IP protocol yang menyamar enkripsi, menuju koneksi 2 kantor.

Kedua tipe atas VPNs menyediakan keamanan dari pertukaran informasi sensitive melalui internet tapi

membuat masalah untuk komponen lain dari keamanan informasi.