PENGENDALIAN KERAHASIAAN DAN PRIVASI

MENJAGA KERAHASIAAN

Organisasi memiliki informasi rahasia yang tak terhitung, termaksud rencana strategi, rahasi dagang, informasi biaya, dokumen legal dan peningkatan proses. Kekayaan intelektual ini sering kali sangat penting sebagai keunggulan kompetitif dan kesuksesan jangka panjang organisasi. Oleh karenanya, menjaga kerahasiaan kekayaan intelektual  Berikut ini empat tingkatan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi yang rahasia

•  Identifikasi Dan Klasifikasi Informasi Untuk Dilindungi

Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi  bisnis rahasia lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan siapa saja orang yang mengaksesnya. Setalah informasi yang perlu untuk dilindungi telah diidentifikasi, langkah selanjutnya adalah mengklasifikasikan berdasarkan nilainya. Praktik manajemen Control Objective for Information and Related Technology (COBIT) 5 menunjukan bahwa klasifikasi merupakan tanggung jawab pemilik informasi.

•     Melindungi Kerahasiaan Dengan Enkripsi

Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Enkripsi juga merupakan bagian yang diperlukan dari defense-in depth untuk melindungi informasi yang disimpan dalam situs atau di dalam sebuah cloud.

• Mengendalikan Akses Terhadap Informasi Rahasia

Sebagaimana yang dijelaskan praktik manajemen COBIT 5, organisasi perlu melindungi informasi rahasia sepanjang siklus hidupnya, termaksud distribusi dan pembuangan terlepas dari apakah ia disimpan secara digital atau fisik. Perangkat lunak Information right management (IRM- Manajemen hak informasi) memberikan lapisan tambahan perlindungan terhadap informasi yang disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga merinci tindakan (read, copy, print, download to USB devices, etc

Untuk mengakses sumberdaya IRM yang terlindungi, terlebih dahulu harus melakukan autentifikasi ke server IRM. Saat ini, organisasi secara konstan mempertukarkan informasi dengan rekan bisnis dan pelanggannya. oleh karena itu, perlindungan kerahasiaan juga mensyaratkan pengendalian terhadap komunikasi ke luar. Sebuah alat yang memenuhi syarat tersebut adalah Data Loss Prevention

Ø  Data Loss Prevention ( Pencegahan kehilangan data ), bekerja seperti program antivirus secara terbalik, memblok pesan-pesan keluar (baik e-mail, IM atau pesan lain)

Ø  Data Loss Prevention merupakan suatu pengendalian preventif. Ia harus dilengkapi dengan kode yang disebut dengan Watermark Digital (Digital watermark).

Ø Watermark Digital (Digital watermark) adalah pengendalian detektif yang memungkinkan sebuah organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan.

•  Pelatihan atau Training

Pelatihan (Training) adalahh pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu dilindungi. Dengan pelatihan yang memadai, para pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas pengendalian terkait.

PRIVASI
Pengendalian yang perlu diimplementasikan untuk melindungi privasi sama dengan pengendalian yang digunakan untuk melindungi kerahasiaan.

Demi melindungi privasi, organisasi harus menjalankan program Data Masking yaitu program yang menggantikan informasi pribadi semaca itu dengan nilai-nilai palsu (seperti, mengganti sebuah nomor keamanan sosial yang asli dengan rangkaian nomor berbeda yang memiliki karakteristik yang sama). Sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Data masking juga disebut Tokenization. Tokenization adalah sebuah program yang melindungi privasi dengan mengganti informasi pribadi dengan nilai-nilai palsu. Dua permasalahan utama terkait privasi adalah

1. Spam
   E-mail tidak diinginkan yang mengandung periklanan maupun konten serangan. Spam merupakan permasalahan terkait privasi karena penerima seringkali menjadi target tujuan atas akses tak terotorisasi.
   
   
2. Identity Theft (Pencurian Identitas) 
   Penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Pencurian identitas berupa kejahatan keuangan yakni pelaku mendapatkan pinjaman atau membuka kartu kredit baru atas nama korban. 
   
   
   Berikut adalah kerangka yang diakui secara internasional untuk melindungi privasi informasi para pelanggan
   

Enkripsi

Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi melindungi data saat sedang berjalan melalui internet dan juga menyediakan sebuah tembok batas yang harus dilalui oleh seorang penyusup yang telah mendapatkan akses tak terotorisasi atas informasi yang disimpan. Faktor-faktor yang mempengaruhi kekuatan sistem enkripsi;

• Key Leght

Memberikan enkripsi yang lebih kuat dengan mengurangi blok-blok berulang pada chipertext (plaintext yang diubah menjadi raban yang tidak dapat dibaca menggunakan enkripsi 

•  Encryption Algorithm 

Sebuah algoritma kuat dan rumit, bukannya tidak mungkin untuk dirusak dengan menggunakan brute force guessing techniques. Kerahasiaan tidak diperlukan untuk kekuatan. Oleh karena itu, organisasi seharusnya tidak berupaya menciptakan algoritma enkripsi”rahasia” tetapi seharusnya membeli produk yang menggunakan algoritma standard yang diterima secara luas dan telah terbukti

•  Policies For Managing Cryptographic Keys

Tidak masalah seberapa jika Key leght dan Encryption Algorithm telah dicuri dan dirusak dengan mudah. Oleh karena itu, kunci kriptografi harus disimpan secara dan dilindungi dengan pengendalian akses yang kuat.

a.       Tidak menyimpan kunci kriptografi di dalam sebuah browser atau file  yang dapat diakses oleh pengguna lain

b.      Menggunakan sebuah frasa sandi yang kuat

JENIS-JENIS SISTEM ENKRIPSI