Bab 9 Pengendalian Kerahasiaan dan Privasi
Pendahuluan
Bab 8 membahas informasi keamanan informasi yang merupakan prinsip fundamental dari keandalan sistem. Bab ini meliputi dua prinsip lain dari keandalan sistem dalam Trust Service Framework: Framework: menjaga kerahasiaan kerahasiaan kekayaan intelektual sebuah organisasi dan menjaga privasi informasi pribadi yang dikumulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis. Kita juga membahas topik enkripsi secara mendetail karena ia merupakan alat penting untuk melindungi baik kerahasiaan maupun privasi.
Menjaga Menjaga K eraha rahasiaa siaan Organisasi memliki informasi sensitif yang tak terhitung, termasuk rencana strategis, rahasia dagang, informasi biaya, dokumen ilegal, dan peningkatan proses. Kekayaan intelektual ini sering kali sangat penting sebagai sebagai keunggulan kompetitif kompetitif dan kesuksesan kesuksesan jangka jangka panjang organisasi. organisasi. Empat Empat tindakan dasr yang harus dil akukan untuk menjaga kerahasiaan atas informasi sensitif : 1. 2. 3. 4.
Mengidentifikasi Mengidentifikasi dan mengklarifikasi mengklarifikasi informasi untuk di lindungi. Mengenkripsi informasi. Mengendalikan Mengendalikan akses atas informasi, dan Melatih pegawai untuk menangani informasi secara cepat.
Identifikasi dan Informasi untuk Dilindungi
Langkah pertama untuk melindungi kerahasiaan kekayaan kekayaan intelektual dan informasi bisnis sensitif lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. mengaksesnya. Hal tersebut terdengan mudah, tetapi mengusahakan mengusahakan persediaan persediaan yang lengkap dari setiap simpanan simpanan digital dan kertas informasi sama-sama memakan waktu serta biaya karena melibatkan pemeriksaan yang lebih cermat daripada isi keuangan keuangan organisasi. Melindungi Kerahasiaan dengan Enkripsi
Enkripsi ( dibahas saelanjutnya di bab ini) adalah alat yang sangat penting dan efektif untuk melindugi kerahasiaan. kerahasiaan. Ia adalah satu-satunya cara untuk melindungi informasi rahasia dalam lalu lintasnya melalui internet. Enkripsi juga merupakan bagian yang diperlukan dari defend-in-depth untuk melindungi informasi yang disimpan dalam sit us atau didalam cloud publik. Mengendalikan Akses Terhadap Informasi Sensitif
Bab 8 memebahas memebahas cara organisasi menggunakan pengendalian autentikasi dan otorisasi untuk mempersempit akses terhadap sistem informasi yang berisi. Namun, pengendalian autentifikasi dan otorisasi tidaklah cukup untuk melindungi kerahasiaan karena mereka hanya mengendalikan akses awal terhadap informasi sensitif yang disimpan secara digital.
nfor masi r i g ht mana managg ement (IRM-manajemen Perangkat lunak i nform (IRM-manajemen hak informasi) memberikan tambahan lapisan perlindungan terhadap informasi yang disi mpan dengan format digital, menawarkan menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan tindakan-tindakan (baca, salin, catak, unduh ke perangkat USB, dsb.) yang dapat dilakukan
individu yang diberi akses terhadap sumber daya tersebut. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi keistimewaan-keistimewaan tersebut untuk periode waktu tertentu dan menghapus file yang dilindungi dari jarak jauh.
Data loss pervention (DLP) Perangkat lunak yang bekerja seperti program antivirus t erbalik, mengeblok pesan-pesan keluar (baik email, IM, dll) yang mengandung kata-kata terkait dengan kekayaan intelektualatau data sensitif lain yang ingin dillindungi organisasi.
Watermark digital Kode yang teletak dalam dokumen yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan. PELATIHAN
Pelatihan adalah pengedalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat meraka bagikan dengan orang luar dan jenis informasi yang perlu dilindungi.
Privasi Privasi privasi Trust Service Framework erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu ia lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis daripada data keorganisasian. Akibatnya, seperti yang ditunjukkan figur 91, pengendalian yang perlu diimplementasikan untuk melindungi privasi sama dengan pengendalian yang digunakan untuk melindungi privasi sama dengan pengendalian yang digunakan untuk melindungi kerahasiaan, identifikasi informasi yang perlu dilindungi, enkripsi, pengendaliaan akses, dan pelatihan. PENGENDALIAN PRIVASI
Seperti kasus informasi rahasia, langkah pertama untuk melindungi privasi informasi pribadi yang dikumpulkan dari pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu mengidentifikasi jenis informasi yang dimiliki organisasi, letak ai disimpan, dan orang yang memiliki akses terhadapnya. Kemudian, penting pula untuk menerapkan pengendalian guna melindungi informasi tersebut karena insiden-insiden yang melibatkan pengungkapan tak terotorisasi atas informasi pribadi yang disengaja atau tidak dapat memekan biaya. Data masking adalah sebuah program yang melindungi privasi dengan mengganti informasi pribadi dengan nilai-nilai palsu. PERMASALAH PIVASI
Dua permasalahan utama terkait privasi adalah spam dan pencurian indentitas.
SPA M spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupan permasalah yang tekait privasi karena penerima sering kali menajadi target tujuan atas akses tak terotorisasi terhadap daftar dan database e-mail yang berisi informasi pribadi. Pencurian identitas mengasumsikan identitas seseorang, biaanya untuk keuntungan ekonomi.
REGULASI PRIVASI DAN PRINSIP-PRINSIP YANG DITERIMA SECARA UMUM (GENE RALLY ACCEPTED PRI VACY PRINCI PLES — G APP)
Permasalah mengenai spam, pencurian identitas, dan perlindungan privasi individu telah menghasilkan berbagai regulasi pemerintah. Selain itu, tekait hukum pengungkapan negara bagian, sejumlah regulasi federal, termasuk health Insurence Portability and Accountability Act (HIPAA), Health Informasi Technology for Economic and Clinical Health Act (HITECH), dan financial Service Modernization Act (biasa disebut Gramm-Leach-Bliley Act, menunjukkan nama-nama dari tiga sponsor di kongres), regulasi-regulasi tersebut memaksa persyaratan spesifik pada organisasi untuk melindungi privasi informasi pribadi para pelanggannya. Kerangka tersebut mengidentifikasi dan mendefenisikan untuk melindungi privasi informasi pribadi para pelanggan: 1. Manejemen 2. Pemberitahuan 3. Pilihan dan persetujuan 4. Pengumpulan 5. Penggunaan dan retensi 6. Akses 7. Pengungkapan pada pihak ketiga 8. Keamanan 9. Kuallitas 10. Pengawasan dan penegakan Secara garis besar, GAPP menunjukkan bahwa melindungi privasi informal pribadi pelanggan mensyaratakan penerapan suatu kombinasi kebijakan, prosedur, dan teknologi terlebih dulu, baru setelahnya melatih setiap orang di dalam organisasi untuk bertindak sesuai dengan rencana-rencana tersebut dan kemudian mengawasi kepatuhannya. Ekripsi
Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan memalui internet dan juga menyediakan sebuah tembok batas terakhir yang harus dilalui oleh seorang penyusup yang mendapat akses tak terotorisasi atas informasi yang disimpan. Plaintext teks noramal yang belum di enkripsi. Chipertext adalah plaintext yang diubah menjadi rabah yang tidak dapat dibaca menggunakan enkripsi. Deskripsi mengubah chipertext kembali menjadi plaintext. Faktor-faktor yang Mempengaruhi Kekuatan Enkripsi
Tiga faktor penting yang menentukan kekuatan sistem enkripsi :
Panjang kunci
Algoritme enkripsi
Kebijakan untuk mengelola kunci-kunci kriptografi
Jenis-jenis Sistem Enkripsi
Tabel 9.1 memperbandingkan dua jenis dasar sistem enkripsi. Sistem enkripsi simetris ( symmetric encryption system), menggunakan dua kunci yang sama untuk mengenkripsi dan mendeskripsi. DEA
dan AES adalah contoh dari sistem enkripsi simetris. Sistem enkripsi asimetris (asymmetric encryption system;) menggunakan dua kunci. Satu kunci disebut kunci publik, didistribusikan secara luas dan tersediauntuk siapapun; kunci lainnya disebut kunci privat, dirahasiakan dan diketahui hanya pemilik dari sepasang kunci tersebut. Baik kunci publik dan kunci privat dapat digunakan untuk mengenkripsi, tetapi hanya satu kunci yang dapat mendeskripsi chipertext, RSA dan PGP merupakan contoh dari enkripsi asimetris.
Key escrow adalah penyimpanan sebuah salinan kunci enkripsi dalam lokasi yang aman. Hasing
Merupakan proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut hash. Contohnya, alogaritma SHA-256 mencipatakan hash 256-bit, terlepas dari ukuran plaintext asli. Tanda Tangan Digital
Pokok penting untuk transaksi bisnis selalu nonrepudiation, atau bagaimana agar menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak. Secara tradisional, hal tersebut telah dilakukan melalui penandatanganan kontrak dan dokumen lain secara fisik. Tanda tanga digital adalah sebuah hash yang dienkripsi dengan kunci privat milik pembuat hash. Sertifikat Digital dan Infrastruktur Kunci Publik
Biasanya, anda mendapatkan kunci publik lain dengan mengunjungi situsnya, di mana browser anda secara otomatis akan mengekstrak kunci publik dari sertifikat digital situs tersebut. Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut. Otoritas Sertfikat sebuah organisasi yang menerbitkan kunci publik dan privasi serta mencatat kunci publik di dalam sertifikas digital. Infastruktuer kunci pulik sebuah sistem untuk menerbitkan sepasang kunci publik dan privasi serta sertifikat digital terkait. Virtual Private Network
Guna menlindungi kerahasiaan dan privasi, informasi harus dienkripsi tidak hanya di dalam sebuah sisstem, tetapi juga ketika ia sedang dalam perjalanan melalui inetrnet. VPN adalah menggunkan enkripsi dan autentifikasi untuk mentransfer informasi malalui internet dengan aman sehingga menciptakan sebuah jaringan privat “virtual”.
