Bagikan Artikel >>>

Rabu, 15 April 2015

Menggunakan Teknologi Informasi dalam Menjalankan Perdagangan Elektronik (E-Commerce) Part 6


6.1 PERDAGANGAN ELEKTRONIK
Beberapa orang mendefinisikan perdagangan elektronik (yang disebut juga e-commerce) dengan sangat sempit. Definisi sempit yang Orang-orang ini akan menyebutnya sebagai transaksi bisnis elektronik. Dengan pandangan ini istilah bisnis elektronik dan perdagangan elektronik akan sama. Banyak operasi perusahaan adalah internal dilaksanakan di dalam batas perusahaan oleh bidang bisnis keuangan, sumber daya manusia, layanan informasi, produksi, pemasaran, dan lain-lain. Dalam definisi luas kita ini, suatu transaksi bisnis yang menggunakan akses jaringan sistem berbasis komputer dan antarmuka (interface) sebuah browser. Web akan memenuhi persyaratan sebagai perdagangan elektronik (e-commerce).  
          
E-Commerce di Luar Batas Perusahaan
Akan bermanfaat jika kita membedakan 2 jenis e-commerce yang terjadi dengan entitas di luar batas perusahaan. E-Commerce bisnis-ke-konsumen (busibess-to-consumer -B2C) mengacu pada transaksi-transaksi yang terjadi antara sebuah bisnis dan konsumen akhir produk, e-commerce bisnis-ke-bisnis (business-to-business-B2B) mengacu pada transaksi antarbisnis dimana tidak ada pihak yang menjadi konsumen akhir. Sebagai contoh, dalam rantai distribusi dari produsen ke distributor ke toko eceran ke konsumen seluruh transaksi dari satu entitas ke entitas yang lain adalah B2B sampai transaksi terjadi antara toko eceran dengan konsumen yaitu merupakan transaksi B2C.

            Transaksi B2B melibatkan jumlah orang yang relatif sedikit, biasanya mereka berada di dalam kelompok layanan informasi dari perusahaan yang terpengaruh. Orang-orang yang terlibat dalam transaksi B2B biasanya sangat terlatih dalam penggunaan sistem informasi dan mengenal proses bisnis yang terpengaruh oleh transaksi tersebut. Karena terjadi antar bisnis, jumlah transaksi B2B dapat relatif kecil tetapi dengan nilai yang cukup tinggi. Satu transaksi antara toko eceran dengan konsumen, yang merupakan transaksi B2C.


Manfaat-manfaat yang  Diharapkan dari E-Commerce
Perusahaan melaksanakan e-commerce untuk mencapai perbaikan organisasi secara keseluruhan. Perbaikan –perbaikan ini diharapkhan merupakan hasil dari tiga manfaat utama :
1.  Pebaikan layanan pelanggan sebelum, selama, dan setelah penjualn
2.   Perbaikan hubungan dengan pemasok dan komunikasi keuangan
3.  Peningkatan imbal balik ekonomis atas pemegang saham dan investasi pemilik. Laba adalah hasil dari sebuah organisasi yang mencapai tujuan e-commerce adalah sarana pendukung yang kuat yang dapat membantu organisasi mencapai tujuannya.

Manfaat di atas akan memberikan kontribusi pada stabilitas keuangan perusahaan dan memungkinkannya bersaing dengan lebih baik di dalam dunia bisnis yang semakin luas menerapkan teknologi komputer.

Kendala-kendala E-Commerce
Pada survei tahun 1960, 60 % perusahaan yang memberikan respons menunjukkan bahwa mereka belum mengimplementasikan e-commerce dan tidak memiliki rencana untuk melakukannya dalam waktu tiga tahun kedepan. Bahkan pada tahun 2004, Departemen perdagangan AS melaporkan bahwa hanya 2,3 % dari seluruh penjualan ritel kuatral keempat dilakukan dalam bentuk e-commerce. Ketika ditanyakan mengenai alasan dari kehati-hatiannya, perusahaan menyebutkan 3 kendala dengan urutan sebagai berikut :
1.      Biaya yang tinggi
2.      Kekhhawatiran akan masalah keamanan
3.      Perantu lunak yang belum mapan atau belum tersedia

Ruang Lingkup E-Commerce
Ketika anda membaca bagian ini, pahamilah bahwa e-commerce bersifat dinamis dan ruang lingkup pengaruhnya dapat berubah dalam waktu hanya beberapa bulan. Anda hendaknya mengunjungi WWWCENSUS.GOV dan hubungkan ke halaman web e-stats untuk mengetahui angka-angka e-commerce yang terakhir.
            
Basis Data Eksternal
Perusahaan  tidak harus mengumpulkan informasi lingkungannya sendiri. Tersedia sejumlah basis data komersial penting yang memberikan informasi mengenai hampir semua subjek.  Perusahaan menggunakan berbagai basis data ini untuk mendapatkan kecerdasan bisnis karena ia lebih cepat dan lebih murah dari pada meneliti beragam jenis sumber informasi. Basis data pemerintah juga merupakan sumber informasi penting lainnya. Informasi  diberikan dalam sejumlah format dan dapat bisa bersifat umum seperti suatu industri atau bersifat spesifikasi seperti suatu Wilayah. Pemerintah pusat dan banyak pemerintah daerah mendapat mandat untuk menyediakan informasi publik melalui internet. Perusahaan menjadi semakin condong untuk melakukan pencarian eksternal sendiri untuk kecerdasan pasar. Pencarian eksternal telah dibantu oleh adanya fakta bahwa semakin banyak perusahaan memberikan informasinya sendiri di web. Mesin-mesin pencari adalah cara yang paling populer bagi nseseorang untuk mendapatkan informasi yang tersedia di web. 

STRATEGI E-COMMERCE DAN SISTEM INTERORGANISASIONAL
Masalah dalam menentukan strategi e-commerce yang terbaik memiliki beberapa kemungkinan solusi. Namun, strategi yang paling sering disebut-sebut adalah strategi di mana unsur-unsur yang ada dikaitkan dengan trabsmisi data elektronik. Strategi dimana unsur-unsur  yang ada dikaitkan dengan transmisi data elektronik. Nama yang diberikan untuk strategi ini adalah sistem interorganisasional. Istilah yang seringkali dipergunakan untuk IOS adalah EDI yang merupakan singkatan dari electronic data interchange (pertukaran data elektronik).

SISTEM INTERORGANISASIONAL
Kita telah mengetahui bagaiman perusahaan dapat membuat hubungan elektronik dengan perusahaan lain untuk menciptakan suatu sistem interorganisasional(interorganizational sistem—IOS) sehingga semua perusahaan bekerja bersama sebagai suatu unit yang terkoordinasi,meraih manfaat yang tidak dapat diraih sendiri oleh setiap perusahaan. Yang berpartisipasi disebut sekutu dagang,sekutu bisnis,atau alianis bisnis.

Manfaat IOS
            Dengan bergabung dalam IOS, para sekutu dagang dapat memproduksi barang dan jasa dengan tingkat efisiensi yang lebih tinggi dan selanjutnya memberikan barang dan jasa dengan biaya yang lebih rendah kepada para pelanggannya. Hal ini memberikan para sekutu di dalam IOS keunggulan harga di atas para pesaingnya.
  • Efisiensi internal terdiri atas perbaikan dalam operasi-operasi perusahaan itu sendiri, sehingga memungkinkan perusahaan mengumpulkan dan menganalisis data dengan cepat dan mengambil keputusan dengan cara yang lebih cepat lagi.
  • Efisiensi interorganisasional meliputi perbaikan-perbaikan yang diperoleh melalui kerja sama dengan perusahaan-perusahaan lain, ini memungkinkan perusahaan menawarkan lebih banyak produk dan jasa, melayani lebih banyak pelanggan, memindahkan pekerjaan-pekerjaan tertentu kepada pemasok dan pelangganm dan mengumpulkan data lingkungan dengan lebih mudah.
            Kemampuan sebuah perusahaan untuk menyelesaikan perselisihan dengan para pemasok dan pelanggannya demi keuntungan perusahaan itu sendiri disebut kekuatan penawaran (bargaining power). Kekuatan ini diambil dari tiga area dasar dengan fitur-fitur produk yang unik, dengan mengurangi biaya-biaya yang berhubungan dengan penelitian, serta dengan meningkatnya biaya perpindahan.

  • Fitur-fitur hubungan yang unik
Hubungan-hubungan elektronik IOS memungkinkan perusahaan menawarkan pelayanan yang lebih baik   kepada para pelanggannya dalam bentuk penempatan pesanan yang lebih mudah, pengiriman yang lebih cepat, dan waktu respons yang lebih cepat dalam permintaan informasi.
·        
  •  Menurunkan biaya-biaya yang berhubungan dengan penelitian
Dengan tergabung dalam suatu IOS, perusahaan dapat menurunkan biaya “belanja” yang ditanggung oleh para pelanggannya dalam mencari pemasok, mengidentifikasikan produk-produk alternatif, dan mendapatkan harga yang lebih murah.
  • Meningkatkan biaya perpindahan
Sebuah perusahaan ingin membuat mahal, baik itu biaya dan/atau kemudahan bagi para pelanggannya untuk berpindah ke perusahaan pesaingnya. IOS mencapai manfaat ini dengan memberikan para pelanggannya sumber daya informasi seperti peranti keras, peranti lunak, dan saluran komunikasi data yang akan harus diganti jika pelanggan membeli produk dari perusahaan lain.

Manfaat-manfaat Tidak Langsung IOS
Beberapa manfaat dari system interorganisasional seperti EDI dan ekstranet didororng secara langsung dari teknologi. Ini merupakan mafaat langsung dari kekurangan kesalahan entri data, biaya yang lebih rendah , dan meningkatnya efisiensi operasional. Mafaat tidak langsung meliputi meningkatnya kemampuan untuk bersaing, perbaikan hubungan dengan sekutu dagang , dan layanan pelanggan yang lebih baik.

Manfaat manfaat langsung dan tidak langsung.
·         Mengurangi kesalahan
·         Menurunkan biaya
·         Meningkatnya efisiensi operasional
·         Meningkatnya kemampuan untuk bersaing
·         Memperbaiki hubungan dengan sekutu dagang
·         Memperbaiki layanan pelanggan

EDI
Edi terdiri atas data langsung computer ke computer dalam suatu format struktur yang dapat dibaca oleh mesin. Meskipun EDI merupakan teknologi yang lebih lama, ia tetap penting karena memfasilitasi sebagaian besar mayoritas perdagangan B2B.

            Ketika jasa yang menjalankan dan mengelola jalur komunikasi diberikan selain jalur itu sendiri , disebut sebagai jaringan bernilai tambah. Beberapa orang berpendapat bahwa VAN sebenarnya adalah EDI yang telah di kontrakkan kepada suatu vendor. Edi adalah implementasi dominan dari suatu IOS . lebih dari dua pertiga e-commerce dilaksanakan dengan menggunakan EDI , jika dibandingkan dengan alternative alternative IOS lain nya. Meskipun EDI mahal dan merepotkan dari pada system komunikasi IOS yang lebih baru, EDI tetap merupakan metode yang terdepan.
Pengaruh Penerapan
Pada satu artikel decision sciences tahun 1995 , dua professor SIM G. Premkumar dan K.Ramamurthy mempelajari faktor faktor yang dapat mempengaruhi keputusan untuk menerapkan suatu IOS . Mereka mengindentifikasi empat faktor yang menentukan apakah perusahaan akan mengambil langkah proaktif atau reaktif.

Dua pengaruh bersifat lingkungan.
·         Tekanan kompetitif
·         Penggunaan Kekuasaan
·         Kebutuhan Internal
·         Dukungan manajemen puncak

6.2 STRATEGI B2C UNTUK E-COMMERCE

Nilai uang e-commerce B2B membuat nilai uang e-commerce B2B terlihat begituh kecil. Hanya sekitar 6 persen dari nilai e-commerce dihasilkan oleh B2B. Jadi,mengapa memahami strategi bisnis untuk e-commerce B2B menjadi begituh penting ? 2 alasan adalah semakin banyaknya jumlah produk dan jasa yang tersedia untuk pengiriman digital dan semakin banyaknya pelanggan yang mampu mengatasi keengganan mereka untuk melakukan pembelian menggunakan Web.

Produk-produk Fisik
Barang-barang fisik tidak dapat dikonsumsi melalui Web; sebagai gantinya,harus dikirimkan ke pelanggan. Perusahaan-perusahaan yang disebut perusahaan “katalog” telah mengahadapi masalah ini selama bertahun-tahun. Pesanan penjualan dapat diambil alih oleh web, tapi pengiriman harus tetap dilakukan.
Sebagian besar perusahaan jasa pengiriman populer menawarkan jasa yang melengkapi aktivitas B2C sebuah perusahaan. Pelanggan dapat menggunakan situs web pengirim untuk melacak status kemajuan paket dari perusahaan sampai pengirimannya hingga ke depan pintu rumah mereka. Dengan akses pengiriman web, pelanggan akan dapat memiliki lebih banyak informasi dan kendali atas pengiriman. Pelacakan secara online dapat membuat penjualan B2C menjadi lebih baik.

Pemerintahan Elektronik
Pemerintahan juga dapat mengambil manfaat dari e-commerce.satu contoh adalah polk Country di Florida. Kantor Pajak Polk County menggunakan layanan online melelang sertifikat pajak bumi dan bangunan pada tahun 2005. Sertifikat pajak adalah cara bagipemerintah daerah untuk mengasih pajak bumi dan bangunan yang belum dibayar. Seorang individu akan memberikan penawaran untuk properti yang memiliki pajak tertunggak, membayar pajak tersebut, dan menagih pajak dari pemiliknya, plus sejumlah bunga atas pajak yang terutang

6.3 LANGKAH E-COMMERCE BERIKUTNYA

Perdagangan bergerak
Perdagangan bergerak (mobile commerce atau m-commerce) adalah penggunaan telepon seluler  dan asisten digital pribadi (personal digital assistant—PDA) untuk melakukan e-commerce nirkabel. Seiring dengan berkembangnya teknologi telepon seluler dari generasi analog menjadi generasi digital, istilah telekomunikasi generasi ketiga (thirdgeneration—3G)telah secara longgar dipergunakan untuk teknologi-teknologi nirkabel yang mampu memindahkan data.

Nirkabel Berkelas Bisnis di Semua Tempat
Hot spot Internet nirkabel cukup memadai untuk penggunaan Web umum maupun pribadi,namun memeriksa e-mail di sebuah kedai kopi Strabucks adalah suatu cara yang kurang memadai bagi profesional bisnis. Hot spot biasanya diciptakan  dengan  menggunakan suatu koneksi kabel (untuk kecepatan komunikasinya yang tinggi) dan kemudian dipancarkan melalui sebuah poin akses nirkabel ke suatu wilayah yang kurang lebih berjarak 100 meter dari poin akses tersebut, dan penerimaan data oleh seseorang melalui suatu jaringan yang kompleks yang melibatkan banyak komputer dan koneksi jaringan adalah suatu hal yang memungkinkan untuk dilakukan.

6.4 KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindungan peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.





Tujuan Keamanan Informasi
 Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
a.       Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
b.      Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
c.       Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.

Manajemen Keamanan informasi
            Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM).
            Jabatan direktur keamanan sistem informasi perusahaan (coorporate information system security officer – CISSO) digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.

Pada bentuknya yang paling dasar, manajemen  keamanan informasi terdiri atas empat tahap yakni:
a.       Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
b.      Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c.       Menentukan kebijakan keamanan informasi
d.      Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
            
6.5 ANCAMAN
            Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.


Ancaman Internal dan Eksternal
            Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.

Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan. sama halnya

Jenis- Jenis Ancaman:
Malicious software, atau  malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis  peranti lunak yang berbahaya, yakni :
a. Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
b. Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
c. Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
d. Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program yang mengumpulkan data dari mesin pengguna

RISIKO
            Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a.      Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b.     Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
c.      Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
d.     Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.


6.6 PERSOALAN E-COMMERCE
 E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit.

Kartu Kredit “Sekali pakai”
            Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Praktik keamanan yang diwajibkan oleh Visa
            Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan  visa. Peritel harus :

1.      Memasang dan memelihara firewall
2.      Memperbaharui keamanan
3.      Melakukan enkripsi data yang disimpan
4.      Melakukan enkripsi pada data ynag dikirm
5.      Menggunakan dan memperbaharui peranti  lunak anti virus
6.      Membatasi akses data kepada orang-orang yang ingin tahu
7.      Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8.      Memantau akses data dengan id unik
9.      Tidak menggunakan kata sandi default yang disediakan oleh vendor
10.  Secara teratur menguji sistem keamanan
 Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce:
1.      Menyaring karyawan yang memiliki akses terhadap data
2.      Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3.      Menghancurkan data jika tidak dibutuhkan lagi


6.7 MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1.      Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2.      Menyadari risikonya
3.      Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4.      Menganalisis kelemahan perusahaan tersebut

 Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap risiko:
1.      Diskripsi risiko
2.      Sumber risiko
3.      Tingginya tingkat risiko
4.      Pengendalian yang diterapkan pada risiko tersebut
5.      Para pemilik risiko tersebut
6.      Tindakan yang direkomendasikan untuk mengatasi risiko
7.      Jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir :
8.      Apa yang telah dilaksanakan untuk mengatasi risiko tersebut.

KEBIJAKAN KEAMANAN INFORMASI
            Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap, diantaranya:
1.     Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
2.     Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.
3.     Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
4.     Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
5.     Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.

Kebijakan Keamanan yang Terpisah dikembangkan untuk
a.       Keamanan Sistem Informasi
b.      Pengendalian Akses Sistem
c.       Keamanan Personel
d.      Keamanan Lingkungan Fisik
e.       Keamanan Komunikasi data
f.       Klasifikasi Informasi
g.      Perencanaan Kelangsungan Usaha
h.      Akuntabilitas Manajemen
            Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.

6.8 PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :


1.      PENGENDALIAN TEKNIS
Pengendalian teknis (technical control)  adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.

1. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
1.      Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
2.      Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, sepertismart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
3.      Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut. Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses(acess control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para  pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.

2. System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.

3. Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka. 


Ada tiga jenis firewall, yaitu:
1. Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, routermengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalahrouter hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang digunakan untuk pembajak untuk menipu router.
2. Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalahfirewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.
3. Firewall Tingkat Aplikasi. Firewall  ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.

4. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.

Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.

5. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.

6. Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis.


2. PENGENDALIAN FORMAL
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3. PENGENDALIAN INFORMAL
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

MENCAPAI TINGAKAT PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan-pertimbangan lain.



e-commerce:

Tidak ada komentar:

Posting Komentar