6.1
Perdagangan
Elektronik
Perdagangan elektronik atau yang disebut juga
sebagai e-commerce adalah menggunakan
jaringan komunikasi, internet dan komputer dengan menggunakan browser web untuk melaksanakan proses
bisnis.
Kalangan bisnis mempertukarkan data secara
elektronik agar operasi berjalan dengan efisien. Jalur komunikasi dan perangkat
keras komunikasi khusus dipergunakan untuk memfasilitasi pertukaran tersebut.
Untuk mencapai keunggulan dalam e –
commerce perusahaan harus memperoleh kecerdasan bisnis sehingga dapat
memahami peranan potensial yang akan dimainkan oleh masing – masing unsur
lingkungan.
Perdagangan elektronik sendiri dibagi menjadi 2
jenis:
a. E – commers
bisnis ke bisnis (business – to – business
– B2B)
Perdagangan ini mengacu
pada transaksi antar bisnis dimana tidak ada pihak yang menjadi konsumen akhir.
Transaksi B2B melibatkan orang yang realtif sedikit dan sangat terlatih dalam
penggunaan sistem informasi serta mengenal proses bisnis yang terpengaruh oleh
transaksi tersebut. Jumlah transaksi B2B relatif kecil namun dengan nilai yang
cukup tinggi. Satu transaksinya dapat menyangkut ribuan unit dengan nilai
jutaan rupiah.
b. E – commers
bisnis ke konsumen (business – to –
consumer – B2C)
Perdagangan ini mengacu
pada yang terjadi pada sebuah bisnis pada konsumen akhir. Dalam transaksinya,
tidak semua konsumen mengerti akan bidang teknologi maka pembuatan web harus
diberikan instruksi dan bantuan. Cara pembayarannya pada B2C umumnya akan
mendapatkan informasi pembayaran dengan sistem yang dapat dipilih oleh
konsumen.
Tidak
sedikit perusahaan memakai e – commers sebagai sarana pendukung yang kuat dan
dapat membantu organisasi mencapai tujuannya, karena e – commers mempunyai 3
manfaat utama yang menguntungkan bagi perusahaan tersebut, yaitu:
1. Perbaikan
layanan pelanggan sebelum, selama, dan setelah penjualan.
2. Perbaikan
hubungan dengan pemasok dan komunitas keuangan.
3. Peningkatan
imbal hasil ekonomis atas pemegang saham dan investasi pemilik.
Disamping dari manfaat – manfaatnya di atas e – commers disebutkan mempunyai 3
kendala:
1. Biaya
yang tinggi
2. Kekhawatiran
akan masalah keamanan.
3. Perangkat
lunak yang belum mapan atau tersedia.
Masing
– masing kendala di atas akan semakin tertantang seiring dengan semakin
populernya teknologi dan sistem informasi.
E – commers
mempunyai sifat yang dinamis dan ruang lingkup pengaruhnya dapat berubah dalam
waktu hanya beberapa bulan. E – commers
akan mencapai kematangan hingga titik dimana ia menjadi suatu yang vital bagi
perekonomian, dan arti pentingnya juga akan terus berkembang.
6.2
Strategi
B2C untuk E – Commerce
Strategi B2C untuk e – commerce B2C begitu penting karena semakin banyak jumlah produk
dan jasa yang tersedia untuk pengiriman dan semakin banyak konsumen yang mampu
mengatasi keengangan mereka melakukan transaksi melalui web. Hal ini
dapatmembuat komunikasi akan lebih cepat dan efisien serta pengiriman produk
lebih praktis.
Dalam strategi B2C terdapat 2 produk yang dijualkan
kepada konsumen:
1. Produk
– produk digital.
Produk ini dapat dibeli
dan dikirimkan kepada pelanggan melalui internet. Produk ini dapat digunakan
begitu selesai di – download oleh
konsumen. Contohnya : pembelian i-Tunes, Antivirus, Perangkat lunak, dan Film.
2. Produk
– produk fisik.
Berbeda dengan produk
digital, barang fisik tidak dapat dikonsumsi melali web. Sebagai gantinya harus
memakai jasa pengiriman hingga sampai ke tangan konsumen untuk dikonsumsi. Pos
paket sering kali menjadi jasa paling murah yang diberikan dan membutuhkan
waktu pengiriman yang bervariasi. Pelanggan akan diberikan satu nomer resi
pengiriman paket yang dibeli. Pelanggan dapat melacak status paket pada web
pengirim hingga paket tersebut sampai ke depan rumah pelanggan.
Sistem penjualan produk tersebut dapat melalui
Penjualan Maya dan Campuran.
1. Penjualan maya (virtual sales)
Penjualan yang
dilakukan oleh sebuah perusahaan yang tidak mengoperasikan tempat berjualan
fisik. Dengan penjualan maya, tidak ada toko dimana pelanggan dapat masuk dan
membeli produk. Penjualan ini sering digunakan ketika perusahaan tidak dapat
membangun sebuah tempat berjualan fisik yang layak secara ekonomis.
Dari sisi pelanggan,
mereka dapat langsung menuju produk dengan hanya mengetikkan nama dan jenis
produk ke dalam kotak pencari dan membiarkan situs mencari produk tersebut.
Kesulitan yang dihadapi
dalam penjualan maya adalah memberikan informasi produk yang dibutuhkan tanpa
membingungkan pelanggan. Kendala lainnya file
yang berukuran besar akan memakan waktu yang cukup lama untuk muncul di
perangkat keras pelanggan.
2. Penjualan campuran (hybrid sales)
Penjualan campuran
terkadang disebut operasi brick and click.
Kebanyakan perusahaan memiliki tempat berjualan untuk rencana bisnisnya, atau
sudah memiliki tempat berjualan sebelum melakukan penjualan secara online.
Pelanggan sendiri dapat
memutuskan ingin berbelanja ke toko untuk melihat dan menyentuh barang yang
diinginkan atau duduk manis di depan komputer melalui web sehingga menghemat
waktu dan tenaga.
Sebagian perusahaan hybrid sales menawarkan pengiriman
gratis dengan pembelian jumlah dan produk tertentu.
6.3
Langkah
E-commerce Berikutnya
Tantangan e-commerce
lebih dari sekedar jenis barang yang ditawarkan; ia adalah teknologi dibalik
perdagangan. Banyak pelanggan merasa lebih nyaman menggunakan telepon seluler
daripada menggunakan keyboard
computer.Kalangan pebisnis selalu mencari koneksi nirkabel dimanapun tersedia
layanan telepon seluler.
1.
Perdagangan
Bergerak (mobile commerce atau m-commerce)
Adalah penggunaan telepon seluler dan asisten
digital pribadi (personal digital
assistant – PDA) untuik melakukan e-commerce
nirkabel.diperkirakan pada tahun 2009industr ini akan menjadi industry global
bernilai $40 miliar per tahun. Seiring dengan berkembangnya teknologi telepon
seluler dari generasi analog menjadi generasi digital, istilah telekomunikasi
generasi ketiga (third generation –
3G) telah secara longgar dipergunakan untuk teknologi – teknologi nirkabel yang
mampu memindahkan data. Satru alasan mengapa m-commerce mendapat sedikit perhatian dari Amerika Serikat adalah
bahwa meskipun perusahaan – perusahaan Eropa mulai membeli biaya lisensi untuk
3G pada tahun 2000 perusahaan AS pertama yang menawarkan layanan suara/data
seperti itu adalah AT&T Wireless pada tahun 2004.
Aplikasi – aplikasi awal m-commerce meliputi layanan berita, transaksi/pengumuman informasi
keuangan, dan perbankan.Pembelian tiket bioskop dan pembayaran parkir adalah
dua aplikasi yang mulai diterima di Eropa dan Jepang.Penjualan eceran mengalami
pertumbuhan yang lambat, tetapi nampaknya pembayaran m-commerce di restoran – restoran cepat saji mulai banyak diterima.
Jepang, negara pertama di dunia yang memiliki
penyedia layanan 3G, dengan menjadi pemimpin di bidam m-commerce.Penyedia layanan telekomunikasi Jepang NTT DoCoMo, Inc.
telah membeli lebih dari 30 persen bisnis kartu kredit kelompok keuangan
Sumitomo Mitsui. Pembelian ini mencerminkan pergerakan ke arah layanan keuangan
, karena hamper semua penduduk dewasa di Jepang memiliki telepon seluler dan
telepon seluler tersebut dapat digunakan untuk melakukan transaksi keuangan.
Sebaliknya, hanya sekitar 40 persen populasi penduduk dewasa AS yang memiliki telepon seluler.
2.
Nirkabel
Berkelas Bisnis di Semua Tempat
Hot Spot
internet nirkabel cukup memadai untuk menggunakan web umum maupun pribadi,
namun memeriksa e-mail di sebuah kedai kopi Starbuck adalah suatu cara yang
kurang memadai bagi para professional bisnis. Hot spot biasanya diciptakan dengan menggunakan suatu koneksi kabel
(untuk kecepatan komunikanya yang tinggi) dan kemudian dipancarkan melalui
sebuah poin akses nirkabel ke suatu wilayah yang kurang lebih berjarak 100
meter dari poin akses tersebut.Ketergantungan pada sambungan komunikasi kabel
dan kecilnya cakupan jarak oleh suatu poin akses nirkabel menjadikan akses
nirkabel terus – menerus mustahil untuk dilakukan. Komunikasi nirkabel yang
kecepatannya cukup memadai melalui penyedia jasa komunikasi yang sama dengan
telepon seluler akan memungkinkan terciptanya komputasi nirkabel berkelas
bisnis hampir di semua tempat.
Verizon menawarkan suatu rencana akses pita lebar (broadband) yang berjalan pada kecepatan
mulai dari 400 hingga 700 kilobit per detik, sekitar satu seperempat hingga
satu setengah kali kecepatan komunikasi nirkabel yang biasanya kita dapatkan di
hot spot Starbuck. Namun layanan ini
tersedia di banyak wilayah metropolitan dan tidak terbatas hanya pada poin
akses terdekat untuk suatu jaringan menggunakan kabel.
Kebebasan dan kecepatan seperti itu tidaklah
gratis.Pertama, pengguna harus membeli kartu seluler untuk laptop mereka untuk
mengakses sinyal komunikasi seluler. Novatel, Kyocera, dan perusahaan –
perusahaan lain menawarkan kartu dengan harga mulai dari $50 hingga $75. Kedua,
tagihan akses jaringan bulanan dapat sebesar $80 per bulan atau lebih. Akan
tetapi, jika kita memikirkan bahwa biaya akses modem kabel ke koneksi data
berkecepatan tinggi dirumah mebutuhkan biaya sebesar $50 atau lebih, biaya
ekstra yang harus dikeluarkan bias jadi lebih kecil jika dibandingkan dengan
tidak membutuhkan modem kabel dan mampu mengakses internet dari semua lokasi di
kota anda.
6.4
Kebutuhan
Organisasi akan Keamanan dan Pengendalian Keamanan Informasi
Dalam dunia masa kini, banyak organisasi semakin
sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat
virtual maupi fisik, agar aman dari ancaman dalam dan luar. System computer
yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini
berubah pada saat perang Vietnam ketika sejumlah instalasi computer dirusak
oleh para pemrotes.Pengalaman ini menginspirasi kalangan industry untuk
meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau
mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi
dengan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
Pendekatan – pendekatan yang dimulai oleh kalangan
industry dicontoh dan diperluas. Ketika pencegahan federal ini
diimplementasikan, dua isu penting harus diatasi.Isu yang pertama adalah
keamanan versus hak – hak individu.Tantangannya adalah bagaimana
mengimplementasikan keamanan yang cukup serta alat – alat pengendalian yang
tidak melangar hak individu yang dijamin oleh konstitusi.Isu yang kedua adalah
keamanan versus ketersediaan. Isu ini amat menonjol pada bidang pelayanan
medis, di mana kekhawatiran akan privasi catatan medis individu menjadi pusat
perhatian. Keamanan catatan medis ini sedang diperluas sehingga melibatkan microchip yang ditanamkan pada pasien,
selain data medis yang disimpan di computer. Isu – isu keamanan sangat sulit
untuk dipecahkan dan akan mendapatkan perhatian yang lebih tinggi di masa yang akan datang.
1.
Tujuan
Keamanan Informasi
Keamanan
informasi ditunjukkan untuk mencapai tiga tujuan utama:
·
Kerahasiaan.
Perusahaan
berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang
– orang yang tidak berwenang. System informasi eksekutif, system informasi
sumber daya manusia, dan system pemrosesan transaksi seperti penggajian,
piutang dagang, pembelian, dan utang dagang ama penting dalam ini.
·
Ketersediaan.
Tujuan
dari infrstruktur informasi perusahaaan adalah menyediakan data dan informasi
data sedia bagi pihak – pihak yang memiliki wewenang untuk menggunakannya.
Tujuan ini penting, khususnya bagi system berorientasi informasi seperti system
informasi sumber daya manusia dan system informasi eksekutif.
·
Integritas.
Semua
sitem informasi harus memberikan repressentasi akurat atas system fisik yang
direpresentasikannya.
2.
Manajemen
Keamanan Informasi
Seperti halnya cakupan keamanan informasi telah
meluas, demikian juga pandangan akan tanggung jawab manajemen. Manajemen tidak
hanya diharapkan untuk menjaga agar sumber daya informasi aman, namun juga
diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu
bencana atau jebolnya system keamanan.Aktivitas untuk menjaga agar sumber daya
informasi tetap aman disebut manajemen
keamanan informasi (information security
management – ISM), sedangkan aktivitas untuk menjaga agar perusahaan
dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (business
continuity management – BCM).
CIO adalah orang yang tepat untuk memiliki tanggung
jawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang
– orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini.
Jabatan direktur keamanan system
informasi perusahaan (corporate information system security officer - CISSO)digunakan
untuk individu di dalam organisasi, biasanya anggota dari unit system informasi
yang lebih tinggi lagi di dalam suatu perusahaan dengan cara menunjuk seorang
direktur asuransi informasi perusahaan (corporate information assurance officer
- CIAO) yang akan melapor kepada CEO dan mengelola unit penjagaan informasi.
Seperti yang diharapkan, seorang CIAO harus mendapatkan serangkaian sertifikasi
keamanan dan memiliki pengalaman minimum 10 tahun dalam mengelola suatu
fasilitas keamanan informasi.
6.5
Ancaman
dan Risiko
Pada bentuknya yang paling dasar, manajemen keamanan
informasi terdiri atas empat tahap:
1) Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan
2) Mendefinisikan
resiko yang dapat disebabkan oleh ancaman – ancaman tersebut
3) Menentukan
kebijakan keamanan informasi
4) Mengimplementasikan
pengendalian untuk mengatasi risiko – risiko tersebut.
Ancaman menghasilkan risiko yang harus dikendalikan.
Istilah manjemen risiko (risk manajemen) dibuat untuk
menggambarkan pendekatan ini di mana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
Terdapat pilihan lain untuk merumuskan kebijakan
keamanan informasi suatu perusahaan. Pilihan ini telah menjadi popular pada
beberapa tahun belakangan ini dengan munculnya standar atau tolok ukur keamanan
informasi.Tolok ukur (benchmark)adalah
tingkat kinerja yang disarankan.Tolok ukur keamanan informasi (information
security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan
normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak
terotorisasi.Standar dan tolok ukur semacam ini ditentukan oleh pemerintah dan
asosiasi industry serta mencerminkan komponen – komponen program keamanan
informasi yang baik menurut otoritas – otoritas tersebut.Ketika perusahaan
mengikuti pendekatan ini, yang disebut kepatuhan
terhadap tolok ukur (benchmark compliance),
dapat diasumsikan bahwa pemerintah dan ototritas industry telah melakukan
pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan
tolok ukur tersebut menawarkan perlindungan yang baik.
1.
Ancaman
Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme,
atau peristiwa yang memiiki potensi untuk membahayakan sumber daya informasi
perusahaan.Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu
yang dialami jika kita membayangkan bebrapa kelompok atau bebrapa orang diluar
perusahaan tersebut yang melakukan tindakan disengaja.Pada kenyataannya,
ancaman dapat bersifat internal dan eksternal, serta dapat bersifat disengaja
maupun tidak disengaja.
a.
Ancaman
internal dan eksternal
Ancaman
internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan
tersebut.Survey yang dilakukan oleh Computer Security Institute menemukan bahwa
49 persen responden menghadapi insiden keamanan yang disebabkan oleh tindakan
para pengguna yang sah, proporsi kejahatan computer yang dilakukan oleh karyawa
diperkirakan mencapai 81 persen. Ancaman internal diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman
eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan
system tersebut.
b.
Tindakan
kecelakaan dan disengaja
Tidak
semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai.Bebrapa merupakan kecelakaan, yang disebabkan oleh orang – orag di
dalam ataupun di luar perusahaaan.Sama halnya di mana keamanan iformasi harus
ditujukan untuk mencegah ancaman yang disengaja, system keamanan juga harus
mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan
kecelakaan.
2.
Risiko
Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output
yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko –
risiko seperti ini dibagi menjadi empat jenis:
1) Pengungkapan
informasi yang tidak terotorisasi dan pencurian.
2) Penggunaan
yang tidak terotorisasi.
3) Penghancuran
yang tidak terotorisasi dan penolakan layanan.
4) Modifikasi
yang tidak terotorisasi.
a.
Pengungkapan
informasi yang tidak terotorisasi dan pencurian
Ketika
suatu basis data dan perpustakaan piranti lunak tersedia bagi orang – orang
yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi
atau uang. Sebagai contoh, mata – mata industry dapat memperoleh informasi
mengenai kompetisi yang berharga, dan criminal computer dapat menyelundupkan
dana perusahaan.
b.
Penggunaan
yang tidak terotorisasi
Penggunaan
tidak terotorisasi terjadi ketika orang – orang yang biasanya tidak berhak
mengguanakn sumber daya perusahaan mampu melakukan hal tersebut.Contoh
kejahatan computer tipe ini adalah hacker
yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi.Hacker misalnya, dapat memasuki jaringan
computer sebuah perisahaan, mendapatkan akses ke dalam system telepon, dan
melakukan sambungan telepon jarak jauh tanpa otorisasi.
c.
Penghancuran
yang tidak terotorisasi dan penolakan layanan
Seseorang
dapat merusak atau menghancurkanperanti keras atau peranti lunak, sehingga
menyebabkan operasional computer perusahaan tersebut tidak berfungsi.Dalam hal
ini penjahat computer bahkan tidak harus berada dilokasi fisik tersebut.Mereka
dapat memasuki jaringan computer perusahaan dan menggunakan sumber daya
perusahaan (seperti email) hingga
tingkatan tertentu sehingga operasioanl bisnis normal tidak berlangsung.
d.
Modifikasi
yang tidak terotorisasi
Perubahan
dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Bebrapa
perusahaan dapat berlangsung tanpa disadari dan menyebabkan para penggna output
system tersebut mengambil keputusan yang salah. Salah satu contoh adalah
perusahaan nilai pada catatan akademis seorang siswa.
6.6
Persoalan
E-Commerce
E-Commers perdagangan
elektronik telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah masalah perlindungan data, informasi, dan peranti lunak. Tapi
perlindungan dari pemalsuan dari kartu kredit. Menurut sebuah survey yang
dilakukan olehh Gartner Group. Pemalsuan kartu kredit 12 kali sering terjadi
untuk para peritel e-commerce dibandingkan
dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung.
Untuk mengatasi masalah ini perusahaan-perusahaan kartu kredit yang utama telah
mengimplementasikan program yang ditujukan secara khusus untuk keamanan kartu
kredit e-commerce.
1.
Kartu
Kredit Sekali Pakai
Pada
September 2000, American Express megumumkan sebuah kartu kredit sekali pakai –
Tindakan yang ditujukan bagi 60 hingga 70% konsumen yang mengkhawatirkan
pemalsuan kartu kredit dari penggunaan internet. Kartu sekali pakai ini bekerja
secara berikut : saat pemakai kartu ingin membeli sesuatu secara online, ia
akan memperoleh angka yang acak dari situs web perusahaan kartu kredit
tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut,
yang diberikan kepada pedagang e-commerce,
yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Meskipun
memelopori kartu kredit sekali pakai ini, American Express kemudian tidak
melanjutkannya. Meskipun demikian, perusahaan kartu kredit lain telah mengikuti
sistem kartu sekali pakai ini. Discover menawarkan kartu Deskshop Virtual
Kredit yang memberikan para pembelinya kemampuan untuk melakukan pembelian
berulang kali dari situs web yang sama. Citibank menawarkan Virtual Accounts
Number dan MBNA memiliki program yang disebut Shopsafe.
2.
Praktik
Keamanan yang Diwajibkan oleh Visa
Pada
waktu yang bersamaan dengan pengumuman peluncuran kartu sekali pakai American
Express, Visa mengumumkan 10 praktek terkait kemanan yang diharapkan perusahaan
ini untuk diikuti oleh para peritelnya. Peritel yang memilih untuk tidak
mengikuti aturan ini, akan menghadapi denda, kehilangan keanggotaan program
Visa, atau pembatasan penjualan dengan Visa. Peritel harus:
·
Memasang dan memelihara Firewall
·
Memperbarui keamanan
·
Melakukan enkripsi pada data yang
disimpan
·
Melakukan enkripsi pada data yang
dikirimkan
·
Menggunakan dan memperbarui peranti
lunak anti virus
·
Membatasi akses data kepada orang-orang
yang ingin tahu
·
Memberikan id unik pada setiap orang
yang memiliki kemudahan mengakses data
·
Memantau akses data dengan id unik
·
Tidak menggunakan kata sandi default
yang disediakan oleh vendor
·
Secara teratur menguji sistem keamanan
Selain
itu, Visa mengidentifikasi 3 praktek umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas, bukan hanya yang
berhubungan dengan e-commerce.
·
Menyaring karyawan yang memiliki akses
terhadap data
·
Tidak meninggalkan data (disket),
kertas, dan lain-lain atau komputer dalam keadaan tidak aman
·
Menghancurkan data jika tidak dibutuhkan
lagi
Praktek-praktek
keamanan yang diwajibkan ini telah ditingkatkan lagi melalui Program Pengamanan
Informasi Pemegang Kartu (Cardholder
Information Security Program-CISP). CISP ditujukan pada peritel; dengan
tujuan untuk menjaga data pemegang kartu. Tujuan ini dicapai melalui penempatan
pembatasan-pembatasan pada peritel mengenai data yang dapat disimpan setelah
Visa menyetujui suatu transaksi. Satu-satunya data yang dapat disimpan adalah Nomor
Rekening, pemegang kartu serta nama dan tanggal kardaluarsa kartu tersebut.
Semua tindakan yang diambil kartu kredit ini ditujukan untuk menciptakan
lingkungan yang aman bagi konsumen untuk berbelanja secara online.
6.7
Manajemen
Risiko
Risiko dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Pendefinisian risiko terdiri
atas empat langkah :
·
Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko.
·
Menyadari risikonya.
·
Menentukan tingkatan dampak pada perusahaan
jika risiko benar-benar terjadi.
·
Menganalis kelemahan perusahaan
tersebut.
Tingkat
keparahan dampak dapat diklasifikasikan menjadi dampak yang parah (severe impact), membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi; dampak signifikan (significant impact), menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor (minor impact),
menyebabkan kerusakan yag mirip dengan yang terjadi dalam operasional sehari-hari.
Baik untuk risiko parah maupun signifikan, analisis kelemahan harus
dilaksanakan. Ketika analisis tersebut mengindikasikan klemahan tingkat tinggi
(terdapat kelemahan substansial di dalam sistem), maka pengendalian harus diimplementasikan untuk mengeliminasi
atau mengurangi kelemahan tersebut. Jika kelemahan itu bersifat menengah
(terdapat beberapa kelemahan), maka pengendalian sebaiknya diimplementasikan. Jika kelemahan bersifat rendah (sistem
tersebut terkonstruksi dengan baik dan beroperasi dengan benar), pengendalian
yang ada harustetap dijaga.
Setelah
analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi
berikut ini, mengenai tiap-tiap risiko :
1. Deskripsi
risiko
2. Sumber
risiko
3. Tingginya
tingkat risiko
4. Pengendalian
yang diterapkan pada risiko tersebut
5. (Para)
pemilik risiko tersebut
6. Tindakan
yang direkomendasikan untuk mengatasi risiko
7. Jangka
waktu yang direkomendasikan untuk mengatasi risiko
Jika
perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan
cara menambahkan bagian akhir :
8. Apa
yang telah dilaksanakan untuk mengatasi risiko tersebut
Kebijakan
Keamanan Informasi
Dengan mengabaikan bahwa apakah perusahaan mengikuti
strategi manajemen risiko atau kepatuhan terhadap tolok ukur maupun tidak,
suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan
program. Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti
pendekatan yang bertahap.
Kebijakan terpisah dikembangkan
untuk :
·
Keamanan sistem informasi
·
Pengendalian akses sistem
·
Keamanan personel
·
Keamanan lingkungan dan fisik
·
Keamanan komunikasi data
·
Klasifikasi informasi
·
Perencanaan kelangsungan usaha
·
Akuntabilitas manajemen
Kebijakan ini diberitahukan kepada karyawan,
sebaiknya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi.
Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.
6.8
Pengendalian
Pengendalian
(control) adalah
mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau
untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut
terjadi. Pengendalian dibagi menjadi tiga kategori, yaitu :
1.
Pengendalian
teknis
Pengendalian
teknis (technical control) adalah
pengendalian yang menjadi satu dalam sistem dan dibuat oleh para penyusun
sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor
internal di dalam tim proyek merupakan satu cara yanng amat baik untuk menjaga
agar pengendalian semacam ini menjdi
bagian dari desain sistem, Kebanyakan pengendalian keamanan dibuat berdasarkan
teknologi peranti keras dan lunak.
2.
Pengendalian
Akses
Dasar untuk
keamanan melawan ancaman yang dilakukan
oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya
sederhana : jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses
terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses
dilakukan melalui proses tiga tahap yang mencakup identifikasi pengguna,
autentifikasi pengguna, dan otorisasi pengguna. Idntifikasi dan autentikasi
memanfaatkan profil pengguna (useer profil), atau deskripsi pengguna terotorisasi. Otorisasi memanfaatkan file pengendalian
akses (access control file) yang
menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna
memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber
daya informasi yang terdapat di dalam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer
terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan
waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan
keuangan.
3.
Sistem
Deteksi Gangguan
Logika dasar sistem
deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk
melakukan perusakan. Salah satu contoh yang baikk adalah peranti lunak proteksi virus (virus
protection software) yang telah terbukti efektif melawan virus yang
terkirim melalui e-mail. Peranti
lunak mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
4.
Firewall
Sumber daya komputer
selalu berada dalam risiko jika terhubung ke jaringan. Salah satu pendekatan
keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan
internal perusahaan yang berisikan data sensitif dan sistem informasi. Cara
lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya
memasuki jaringan internal dari Internet. Pendekatan ketiga adalah membangun
dinding pelindung, atau firewall.
Firewall berfungsi
sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari
perusahaan tersebut ke Internet. Konsep di balik firewall adalah dibuatnya suatu pangaman untuk semua komputer pada
jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing
komputer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti
McAfee di WWW.MCAFEE.COM dan WWW.NORTON.COM) sekarang memberikan peranti
lunak firewall tanpa biaya ekstra
dengan pembelian produk antivirus mereka. Berikut adalah tiga jenis firewall :
a. Firewall
Penyaring Paket
Router
adalah
alat jaringan yang mengarahkann aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan
jaringan internal, router tersebut
dapat berlaku sebagai firewal. Router itu
dilengkapi dengan tabel data lamat-alamat IP yang menggambarkan kebijakan
penyaringan.
b. Firewall
Tingkat Sirkuit
Salah satu peningkatan
keamanan dari router adalah firewall tingkat sirkuuit yang terpasang
antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium
komunikasi (sirkuuit) daripada rouer.
c. Firewall
Tingkat Aplikasi
Firewall
ini
berlokasi antara router dan komputer
yang menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan
tambahan dapat dilakukan. Setelah permintaan dotentifikasi sebagai permintaan
yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari komputer
yang diotorisasi (penyaringan paket), aplikasi tersebut dapat meminta informasi
otentikasi yang lebih jauh seperti menanyakan kata sandi sekunder,
menginformasikan identitas, atau bahkan memeriksa apakah permintaan tersebut
berlangsung selama jam-jam kerja biasa.
5.
Pengendalian
Kriptografis
Data dan informasi yang
tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan
proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam
penyimpanan dan juga ditransmisikan ke dalam jaringa. Jika seseorang yang tidak
memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan
penggunaan.
Popularitas kriptografi
semakin meningkat karena e-commerce, dan
produk khusus yang ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure
Electronic Transanctions), yang melakukan pemeriksaan keamanan menggunakan
tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang
dapat berpartisipasi dalam transaksi e-commerce-pelanggan,
penjual, dan instuisi keuangan. Dua tanda tangan biasanya digunakan
menggantikan nomor kartu kredit.
6.
Pengendalian
Fisik
Peringatan pertama
terhadap gangguan yang terotorisasi adalah mengunci pintu ruangan komputer.
Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih, yang
dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai
dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik
hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya di tempat
terpencil yang jauh dari wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
7.
Meletakkan
Pengedalian Teknis pada Tempatnya
Teknologi telah banyak
digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang
terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan
menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realistis.
Pengendalian Formal
Pengendalian Formal mencakup penentuan cara
berperilaku, dokumentasi prosedur dari praktik yang diharapkan, dan pengawasan
serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian
ini bersifat formal karena manajemen menghabiskan banyak waktu untuk
menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan, untuk
berlaku dalam jangka panjang.
Terdapat persetujuan universal bahwa supaya
pengendalian formal efektif, maka manajemen puncak harus berpartisipasi secara
aktif dalam menentukan dan memberlakukannya.
Pengendalian Informal
Pengendalian informal mencakup program-program
pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini
ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung
program keamanan tersebut.
Tidak ada komentar:
Posting Komentar