ANITA NURJAYANTI (1410108893)
NINDYA DAKA ARYSTA (1410108944)
DESY ULFINDAH SARI (1410108946)
ELVIN ARIFIANA PUTRI (1410109153)
GANDIS TARASETIYA DITA (1410109805)
SEKOLAH TINGGI ILMU EKOONOMI INDONESIA
Perdagangan elektronik (bahasa Inggris: electronic commerce atau e-commerce) adalah penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik seperti internet atau televisi, www, atau jaringan komputer lainnya. E-commerce dapat melibatkan transfer dana elektronik, pertukaran data elektronik, sistem manajemen inventori otomatis, dan sistem pengumpulan data otomatis.
Industri teknologi informasi melihat kegiatan e-commerce ini sebagai aplikasi dan penerapan dari e-bisnis (e-business) yang berkaitan dengan transaksi komersial, seperti: transfer dana secara elektronik, SCM (supply chain management), pemasaran elektronik (e-marketing), atau pemasaran online (online marketing), pemrosesan transaksi online (online transaction processing), pertukaran data elektronik (electronic data interchange /EDI), dll.
E-commerce merupakan bagian dari e-business, di mana cakupan e-business lebih luas, tidak hanya sekedar perniagaan tetapi mencakup juga pengkolaborasian mitra bisnis, pelayanan nasabah, lowongan pekerjaan dll. Selain teknologi jaringan www, e-commerce juga memerlukan teknologi basisdata atau pangkalan data (databases), surat elektronik (e-mail), dan bentuk teknologi non komputer yang lain seperti halnya sistem pengiriman barang, dan alat pembayaran untuk e-dagang ini. Sejarah dan Perkembangan E-Commerce.
E-commerce pertama kali diperkenalkan pada tahun 1994 pada saat pertama kali banner-elektronik dipakai untuk tujuan promosi dan periklanan di suatu halaman-web (website). Menurut Riset Forrester, perdagangan elektronik menghasilkan penjualan seharga AS$12,2 miliar pada 2003. Menurut laporan yang lain pada bulan oktober 2006 yang lalu, pendapatan ritel online yang bersifat non-travel di Amerika Serikat diramalkan akan mencapai seperempat trilyun dolar US pada tahun 2011.
Istilah "perdagangan elektronik" telah berubah sejalan dengan waktu. Awalnya, perdagangan elektronik berarti pemanfaatan transaksi komersial, seperti penggunaan EDI untuk mengirim dokumen komersial seperti pesanan pembelian atau invoice secara elektronik.
Kemudian dia berkembang menjadi suatu aktivitas yang mempunyai istilah yang lebih tepat "perdagangan web" — pembelian barang dan jasa melalui World Wide Web melalui server aman (HTTPS), protokol server khusus yang menggunakan enkripsi untuk merahasiakan data penting pelanggan.
Pada awalnya ketika web mulai terkenal di masyarakat pada 1994, banyak jurnalis memperkirakan bahwa e-commerce akan menjadi sebuah sektor ekonomi baru. Namun, baru sekitar empat tahun kemudian protokol aman seperti HTTPS memasuki tahap matang dan banyak digunakan. Antara 1998 dan 2000 banyak bisnis di AS dan Eropa mengembangkan situs web perdagangan ini.
Model-Model E-Commerce di Indonesia
Iklan Baris, merupakan salah satu bentuk e-commerce yang tergolong sederhana, bisa dianggap sebagai evolusi dari iklan baris yang biasanya ditemui di koran-koran ke dalam dunia online. Penjual yang menggunakan social media atau forum untuk beriklan, biasanya tidak bisa langsung menyelesaikan transaksi pada website yang bersangkutan. Namun penjual dan pembeli harus berkomunikasi secara langsung untuk bertransaksi. Contoh iklan baris: OLX.co.id (sebelumnya Tokobagus), Berniaga, dan FJB-Kaskus.
Retail, merupakan jenis e-commerce yang dimana semua proses jual-beli dilakukan melalui sistem yang sudah diterapkan oleh situs retail yang bersangkutan. Oleh karena itu, kegiatan jual-beli di retail relatif aman, namun biasanya pilihan produk yang tersedia tidak terlalu banyak, atau hanya fokus ke satu-dua kategori produk. Contoh retail: Berrybenzka, Zalora, dan Lazada.
Marketplace, bisa dianggap sebagai penyedia jasa mall online, namun yang berjualan bukan penyedia website, melainkan anggota-anggota yang mendaftar untuk berjualan di website marketplace yang bersangkutan. Marketplace umumnya menyediakan lapisan keamanan tambahan untuk setiap transaksi yang terjadi, seperti sistem pembayaran escrow atau lebih umum dikenal sebagai rekening bersama. Jadi setiap terjadi transaksi di dalam sistem marketplace tersebut, pihak marketplace akan menjadi pihak ketiga yang menerima pembayaran dan menjaganya hingga produk sudah dikirimkan oleh penjual dan diterima oleh pembeli. Setelah proses pengiriman selesai, barulah uang pembayaran diteruskan ke pihak penjual.
Kunci Sukses dalam E-Commerce
Dalam banyak kasus, sebuah perusahaan e-commerce bisa bertahan tidak hanya mengandalkan kekuatan produk saja, tapi dengan adanya tim manajemen yang handal, pengiriman yang tepat waktu, pelayanan yang bagus, struktur organisasi bisnis yang baik, jaringan infrastruktur dan keamanan, desain situs web yang bagus, beberapa faktor yang termasuk:
Menyediakan harga kompetitif
Menyediakan jasa pembelian yang tanggap, cepat, dan ramah.
Menyediakan informasi barang dan jasa yang lengkap dan jelas.
Menyediakan banyak bonus seperti kupon, penawaran istimewa, dan diskon.
Memberikan perhatian khusus seperti usulan pembelian.
Menyediakan rasa komunitas untuk berdiskusi, masukan dari pelanggan, dan lain-lain.
Mempermudah kegiatan perdagangan.
Masalah E-Commerce
Penipuan dengan cara pencurian identitas dan membohongi pelanggan.
Hukum yang kurang berkembang dalam bidang e-commerce ini.
Aplikasi bisnis
Beberapa aplikasi umum yang berhubungan dengan e-commerce adalah:
E-mail dan Messaging
Content Management Systems
Dokumen, spreadsheet, database
Akunting dan sistem keuangan
Informasi pengiriman dan pemesanan
Pelaporan informasi dari klien dan enterprise
Sistem pembayaran domestik dan internasional
Newsgroup
On-line Shopping
Conferencing
Online Banking/internet Banking
Product Digital/Non Digital
Online SEO
Business-to-Cunsumer (B2C)
Perdagangan melalui jaringan elektronik yang berkenaan dengan transaksi antara sebuah perusahaan dengan pemakai akhir dari produk.
Strategi Business to Customer (B2C) melalui Jaringan Elektronik,
· Produk Digital, Produk dan jasa tertentu dapat dikirim kepada konsumen langsung melalui internet. Contoh produk digital seperti lagu, film, perangkat lunak. Produk dan jasa dapat langsung dikonsumsi setelah didownload.
· Produk Fisik, Produk dan jasa tertentu yang tidak dapat langsung dikonsumsi melalui internet, tetapi harus dikirimkan kepada konsumen. Order penjualan dan pembayaran dapat diterima melaui internet, setelah itu dilakukan pengiriman kepada pembeli.
· Virtual kontra Penjualan Hybrid, Penjual Virtual adalah penjualan yang dilakukan oleh perusahaan yang tidak memiliki toko secara fisik. Penjual Hybrid adalah penjualan yang dilakukan perusahaan yang memiliki toko secara fisik dan juga memiki halaman Web untuk melakukan penjualan.
LANGKAH E-COMMERCE BERIKUTNYA
Perdagangan Bergerak.
Perdagangan bergerak (mobile commerce atau m-commerce) adalah pengguna telepon seluler dan asisten digital pribadi(personal digital assistant-PDA) untuk melakukan e-commercial nirkabel. Istilah telekomunikasi generasi ketiga (third generation-3G) telah secara longgar dipergunakan untuk teknologi-teknologi nirkabel yang mampu memindahkan data. Aplikasi-aplikasi awal m-commerce meliputi layanan berita, transaksi/pengumuman informasi keuangan, dan perbankan.
Nirkabel Berkelas Bisnis di Semua Tempat
Hot spot biasanya diciptakan dengan menggunakan suatu koneksi kabel (untuk kecepatan koneksi yang tinggi) dan kemudian dipancarkan melalui sebuah poin akses nirkabel. Hal ini menjadikan akses nirkabel secara terus-menerus mustahil untuk dilakukan. Komunikasi nirkabel yang kecepatannya cukup memadai melalui penyedia jasa komunikasi yang sama dengan telepon seluler akan memungkinkn terciptanya komputasi nirkabel berkelas bisnis hampir di semua tempat.
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan industri untuk meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
Pendekatan-pendekatan yang dimulai di kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana versus hak-hak individu dan keamaan versus ketersediaan.
Keamanan Informasi
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindunga peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan Keamanan Informasi
Keamanan informasi ditujuakan untuk mencapai tiga tujuan utama yakni:
Kerahasiaan: Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
Ketersediaan: Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
Integritas: Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan informasi
Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM).
Jabatan direktur keamanan sistem informasi perusahaan (coorporate information system security officer – CISSO) digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.
KEAMANAN DAN RESIKO ANCAMAN
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan Eksternal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
a. Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
b. Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
c. Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
d. Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program yang mengumpulkan data dari mesin pengguna
2. RESIKO
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.
PERSOALAN E-COMMERCE
E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit.
Kartu Kredit “Sekali pakai”.
Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik keamanan yang diwajibkan oleh Visa.
Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan visa. Peritel harus :
1. Memasang dan memelihara firewall
2. Memperbaharui keamanan
3. Melakukan enkripsi data yang disimpan
4. Melakukan enkripsi pada data ynag dikirm
5. Menggunakan dan memperbaharui peranti lunak anti virus
6. Membatasi akses data kepada orang-orang yang ingin tahu
7. Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8. Memantau akses data dengan id unik
9. Tidak menggunakan kata sandi default yang disediakan oleh vendor
10. Secara teratur menguji sistem keamanan
Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce:
1. Menyaring karyawan yang memiliki akses terhadap data
2. Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3. Menghancurkan data jika tidak dibutuhkan lagi
MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut.
H. PENGANDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
1. PENGENDALIAN TEKNIS
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
a. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
1. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
2. Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (acess control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.
b. System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
c. Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis firewall, yaitu:
1. Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang digunakan untuk pembajak untuk menipu router.
2. Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.
3. Firewall Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.
d. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
e. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
f. Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis.
2. PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3. PENGENDALIAN INFORMAL
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGAKAT PENGENDALIAN YANG TEPAT.
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan-pertimbangan lain.
DUKUNGAN PEMERINTAH DAN INDUSTRI.
Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya :
· BS7799 Milik Inggris
· BSI IT Baseline Protection Manual
· COBIT
· GASSP (Generally Accepted System Security Principles)
· ISF Standard of Good Practice
Tidak ada satupun dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah ini. Namun, jika disatukan, standar-standar tersebut menjadi dasar yang baik untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya sendiri yang mendukung budaya organisasi tersebut.
PERATURAN PEMERINTAH
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standard an menetapkan standardan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan computer. Beberapa dioantaranya adalah :
· Standar Keamanan Komputer Pemerintah Amerika Serikat
· Undang-undang Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001
STANDAR INDUSTRI
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para mengguna computer guna membuat system mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS Scoring Tools.
SERTIFIKASI PROFESIONAL
Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
· Asosiasi Audit Sistem dan Pengendalian
· Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
· Institute SANS
MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian yang didasarkan atas identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan dan sistemnya mamapu berfungsi secara efektif.
MANAJEMEN KEBERLANGSUNGAN BISNIS
Manajemen keberlangsungan bisnis (bussines continuity management – BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguang sistem informasi. Pada tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana (disaster planing), namun istilah yang lebih positif perencanaan kontijensi (contigency plan), menjadi populer. Elemen penting dalam perenccanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen tertulis, formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.
Banyak perusahaan telah menemukan bahwa, dibanding sekedar mengandalkan, satu rencana kontijensi besar, pendekatan yang terbaik adalah merancang beberapa sub rencana yang menjawab beberapa kontijensi yang spesifik. Sub rencana yang umum mencakup :
Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi dan sistem pemadaman api.
Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak digunakan. Cadangan ini dapat diperoleh melalui kombinasi dari :
Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama, komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan namun tidak mencakup fasilitas komputer.
Rencana catatan penting. Catatan penting (vital records) perusahaan adalah dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimna catatan penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs komputer, cadanan harus disimpan dilokasi. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik.
MELETAKKAN MANAJEMEN KEBERLANGSUNGAN BISNIS PADA TEMPATNYA
Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarakan sistem pemulihan bencana (disaster recovery system – DRS) yang mencakup sistem manajemen basis dasa, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolak ukur.
Tidak ada komentar:
Posting Komentar