Menggunakan Teknologi Informasi
dalam Menjalankan Perdagangan Elektronik (E-Commerce) Part 6
6.1 PERDAGANGAN
ELEKTRONIK
Beberapa orang
mendefinisikan perdagangan elektronik (yang disebut juga e-commerce) dengan sangat sempit.
Definisi sempit yang Orang-orang ini akan menyebutnya sebagai transaksi bisnis
elektronik. Dengan pandangan ini istilah bisnis elektronik dan perdagangan elektronik akan sama. Banyak operasi perusahaan
adalah internal dilaksanakan di dalam batas perusahaan oleh bidang bisnis
keuangan, sumber daya manusia, layanan informasi, produksi, pemasaran, dan
lain-lain. Dalam definisi luas kita ini, suatu transaksi bisnis yang
menggunakan akses jaringan sistem berbasis komputer dan antarmuka (interface) sebuah browser. Web akan memenuhi
persyaratan sebagai perdagangan elektronik (e-commerce).
E-Commerce di Luar Batas Perusahaan
Akan
bermanfaat jika kita membedakan 2 jenis e-commerce yang terjadi dengan entitas
di luar batas perusahaan. E-Commerce bisnis-ke-konsumen
(busibess-to-consumer -B2C) mengacu
pada transaksi-transaksi yang terjadi antara sebuah bisnis dan konsumen akhir
produk, e-commerce bisnis-ke-bisnis (business-to-business-B2B) mengacu
pada transaksi antarbisnis dimana tidak ada pihak yang menjadi konsumen akhir.
Sebagai contoh, dalam rantai distribusi dari produsen ke distributor ke toko
eceran ke konsumen seluruh transaksi dari satu entitas ke entitas yang lain
adalah B2B sampai transaksi terjadi antara toko eceran dengan konsumen yaitu
merupakan transaksi B2C.
Transaksi
B2B melibatkan jumlah orang yang relatif sedikit, biasanya mereka berada di
dalam kelompok layanan informasi dari perusahaan yang terpengaruh. Orang-orang
yang terlibat dalam transaksi B2B biasanya sangat terlatih dalam penggunaan
sistem informasi dan mengenal proses bisnis yang terpengaruh oleh transaksi
tersebut. Karena terjadi antar bisnis, jumlah transaksi B2B dapat relatif kecil
tetapi dengan nilai yang cukup tinggi. Satu transaksi antara toko eceran dengan
konsumen, yang merupakan transaksi B2C.
Manfaat-manfaat yang Diharapkan dari
E-Commerce
Perusahaan
melaksanakan e-commerce untuk
mencapai perbaikan organisasi secara keseluruhan. Perbaikan –perbaikan ini
diharapkhan merupakan hasil dari tiga manfaat utama :
1. Pebaikan layanan pelanggan sebelum, selama, dan
setelah penjualn
2. Perbaikan hubungan dengan pemasok dan komunikasi
keuangan
3. Peningkatan imbal balik ekonomis atas pemegang saham
dan investasi pemilik. Laba adalah hasil dari sebuah organisasi yang mencapai
tujuan e-commerce adalah
sarana pendukung yang kuat yang dapat membantu organisasi mencapai tujuannya.
Manfaat di atas akan
memberikan kontribusi pada stabilitas keuangan perusahaan dan memungkinkannya
bersaing dengan lebih baik di dalam dunia bisnis yang semakin luas menerapkan teknologi
komputer.
Kendala-kendala
E-Commerce
Pada
survei tahun 1960, 60 % perusahaan yang memberikan respons menunjukkan bahwa
mereka belum mengimplementasikan e-commerce dan
tidak memiliki rencana untuk melakukannya dalam waktu tiga tahun kedepan. Bahkan
pada tahun 2004, Departemen perdagangan AS melaporkan bahwa hanya 2,3 % dari
seluruh penjualan ritel kuatral keempat dilakukan dalam bentuk e-commerce. Ketika ditanyakan
mengenai alasan dari kehati-hatiannya, perusahaan menyebutkan 3 kendala dengan urutan
sebagai berikut :
1. Biaya yang tinggi
2. Kekhhawatiran akan masalah keamanan
3. Perantu lunak yang belum mapan atau belum tersedia
Ruang Lingkup E-Commerce
Ketika
anda membaca bagian ini, pahamilah bahwa e-commerce bersifat dinamis dan ruang lingkup pengaruhnya
dapat berubah dalam waktu hanya beberapa bulan. Anda hendaknya mengunjungi
WWWCENSUS.GOV dan hubungkan ke halaman web e-stats untuk mengetahui angka-angka e-commerce yang terakhir.
Basis Data Eksternal
Perusahaan
tidak harus mengumpulkan informasi
lingkungannya sendiri. Tersedia sejumlah basis data komersial penting yang
memberikan informasi mengenai hampir semua subjek. Perusahaan
menggunakan berbagai basis data ini untuk mendapatkan kecerdasan bisnis karena
ia lebih cepat dan lebih murah dari pada meneliti beragam jenis sumber
informasi. Basis data pemerintah juga merupakan sumber informasi penting
lainnya. Informasi diberikan dalam sejumlah format dan dapat bisa
bersifat umum seperti suatu industri atau bersifat spesifikasi seperti suatu
Wilayah. Pemerintah pusat dan banyak pemerintah daerah mendapat mandat untuk
menyediakan informasi publik melalui internet. Perusahaan menjadi semakin
condong untuk melakukan pencarian eksternal sendiri untuk kecerdasan pasar. Pencarian
eksternal telah dibantu oleh adanya fakta bahwa semakin banyak perusahaan
memberikan informasinya sendiri di web. Mesin-mesin pencari adalah cara yang
paling populer bagi nseseorang untuk mendapatkan informasi yang tersedia di
web.
STRATEGI E-COMMERCE
DAN SISTEM INTERORGANISASIONAL
Masalah dalam
menentukan strategi e-commerce yang
terbaik memiliki beberapa kemungkinan solusi. Namun, strategi yang paling
sering disebut-sebut adalah strategi di mana unsur-unsur yang ada dikaitkan
dengan trabsmisi data elektronik. Strategi dimana unsur-unsur yang
ada dikaitkan dengan transmisi data elektronik. Nama yang diberikan untuk
strategi ini adalah sistem interorganisasional. Istilah yang seringkali
dipergunakan untuk IOS adalah EDI yang merupakan singkatan dari electronic data interchange (pertukaran
data elektronik).
SISTEM INTERORGANISASIONAL
Kita telah mengetahui
bagaiman perusahaan dapat membuat hubungan elektronik dengan perusahaan lain
untuk menciptakan suatu sistem interorganisasional(interorganizational sistem—IOS) sehingga semua perusahaan
bekerja bersama sebagai suatu unit yang terkoordinasi,meraih manfaat yang tidak
dapat diraih sendiri oleh setiap perusahaan. Yang berpartisipasi disebut sekutu
dagang,sekutu bisnis,atau alianis bisnis.
Manfaat IOS
Dengan bergabung dalam IOS, para
sekutu dagang dapat memproduksi barang dan jasa dengan tingkat efisiensi yang
lebih tinggi dan selanjutnya memberikan barang dan jasa dengan biaya yang lebih
rendah kepada para pelanggannya. Hal ini memberikan para sekutu di dalam IOS
keunggulan harga di atas para pesaingnya.
- Efisiensi
internal terdiri atas perbaikan dalam operasi-operasi perusahaan itu
sendiri, sehingga memungkinkan perusahaan mengumpulkan dan menganalisis
data dengan cepat dan mengambil keputusan dengan cara yang lebih cepat
lagi.
- Efisiensi
interorganisasional meliputi perbaikan-perbaikan yang diperoleh melalui
kerja sama dengan perusahaan-perusahaan lain, ini memungkinkan perusahaan
menawarkan lebih banyak produk dan jasa, melayani lebih banyak pelanggan,
memindahkan pekerjaan-pekerjaan tertentu kepada pemasok dan pelangganm dan
mengumpulkan data lingkungan dengan lebih mudah.
Kemampuan
sebuah perusahaan untuk menyelesaikan perselisihan dengan para pemasok dan
pelanggannya demi keuntungan perusahaan itu sendiri disebut kekuatan penawaran
(bargaining power). Kekuatan ini diambil dari tiga area dasar dengan
fitur-fitur produk yang unik, dengan mengurangi biaya-biaya yang berhubungan
dengan penelitian, serta dengan meningkatnya biaya perpindahan.
- Fitur-fitur hubungan yang unik
Hubungan-hubungan elektronik IOS memungkinkan
perusahaan menawarkan pelayanan yang lebih baik kepada para
pelanggannya dalam bentuk penempatan pesanan yang lebih mudah, pengiriman yang
lebih cepat, dan waktu respons yang lebih cepat dalam permintaan informasi.
·
- Menurunkan biaya-biaya
yang berhubungan dengan penelitian
Dengan tergabung dalam suatu IOS, perusahaan dapat
menurunkan biaya “belanja” yang ditanggung oleh para pelanggannya dalam mencari
pemasok, mengidentifikasikan produk-produk alternatif, dan mendapatkan harga
yang lebih murah.
- Meningkatkan biaya perpindahan
Sebuah perusahaan ingin membuat mahal, baik itu biaya
dan/atau kemudahan bagi para pelanggannya untuk berpindah ke perusahaan
pesaingnya. IOS mencapai manfaat ini dengan memberikan para pelanggannya sumber
daya informasi seperti peranti keras, peranti lunak, dan saluran komunikasi
data yang akan harus diganti jika pelanggan membeli produk dari perusahaan
lain.
Manfaat-manfaat Tidak Langsung IOS
Beberapa manfaat dari system interorganisasional
seperti EDI dan ekstranet didororng secara langsung dari teknologi. Ini
merupakan mafaat langsung dari kekurangan kesalahan entri data, biaya yang
lebih rendah , dan meningkatnya efisiensi operasional. Mafaat tidak langsung
meliputi meningkatnya kemampuan untuk bersaing, perbaikan hubungan dengan
sekutu dagang , dan layanan pelanggan yang lebih baik.
Manfaat
manfaat langsung dan tidak langsung.
·
Mengurangi
kesalahan
·
Menurunkan
biaya
·
Meningkatnya
efisiensi operasional
·
Meningkatnya
kemampuan untuk bersaing
·
Memperbaiki
hubungan dengan sekutu dagang
·
Memperbaiki
layanan pelanggan
EDI
Edi terdiri atas data langsung
computer ke computer dalam suatu format struktur yang dapat dibaca oleh mesin.
Meskipun EDI merupakan teknologi yang lebih lama, ia tetap penting karena
memfasilitasi sebagaian besar mayoritas perdagangan B2B.
Ketika jasa yang menjalankan dan mengelola jalur komunikasi diberikan selain
jalur itu sendiri , disebut sebagai jaringan bernilai tambah. Beberapa orang
berpendapat bahwa VAN sebenarnya adalah EDI yang telah di kontrakkan kepada
suatu vendor. Edi adalah implementasi dominan dari suatu IOS . lebih dari dua
pertiga e-commerce dilaksanakan dengan menggunakan EDI , jika dibandingkan
dengan alternative alternative IOS lain nya. Meskipun EDI mahal dan merepotkan
dari pada system komunikasi IOS yang lebih baru, EDI tetap merupakan metode
yang terdepan.
Pengaruh Penerapan
Pada satu artikel decision sciences tahun 1995 , dua
professor SIM G. Premkumar dan K.Ramamurthy mempelajari faktor faktor yang
dapat mempengaruhi keputusan untuk menerapkan suatu IOS . Mereka
mengindentifikasi empat faktor yang menentukan apakah perusahaan akan mengambil
langkah proaktif atau reaktif.
Dua pengaruh bersifat lingkungan.
·
Tekanan
kompetitif
·
Penggunaan
Kekuasaan
·
Kebutuhan
Internal
·
Dukungan
manajemen puncak
6.2 STRATEGI B2C
UNTUK E-COMMERCE
Nilai uang e-commerce B2B membuat nilai
uang e-commerce B2B
terlihat begituh kecil. Hanya sekitar 6 persen dari nilai e-commerce dihasilkan oleh B2B.
Jadi,mengapa memahami strategi bisnis untuk e-commerce B2B menjadi begituh penting ? 2 alasan adalah
semakin banyaknya jumlah produk dan jasa yang tersedia untuk pengiriman digital
dan semakin banyaknya pelanggan yang mampu mengatasi keengganan mereka untuk
melakukan pembelian menggunakan Web.
Produk-produk Fisik
Barang-barang
fisik tidak dapat dikonsumsi melalui Web; sebagai gantinya,harus dikirimkan ke
pelanggan. Perusahaan-perusahaan yang disebut perusahaan “katalog” telah
mengahadapi masalah ini selama bertahun-tahun. Pesanan penjualan dapat diambil
alih oleh web, tapi pengiriman harus tetap dilakukan.
Sebagian
besar perusahaan jasa pengiriman populer menawarkan jasa yang melengkapi aktivitas
B2C sebuah perusahaan. Pelanggan dapat menggunakan situs web pengirim untuk
melacak status kemajuan paket dari perusahaan sampai pengirimannya hingga ke
depan pintu rumah mereka. Dengan akses pengiriman web, pelanggan akan dapat
memiliki lebih banyak informasi dan kendali atas pengiriman. Pelacakan secara
online dapat membuat penjualan B2C menjadi lebih baik.
Pemerintahan Elektronik
Pemerintahan
juga dapat mengambil manfaat dari e-commerce.satu
contoh adalah polk Country di Florida. Kantor Pajak Polk County menggunakan
layanan online melelang sertifikat pajak bumi dan bangunan pada tahun 2005.
Sertifikat pajak adalah cara bagipemerintah daerah untuk mengasih pajak bumi
dan bangunan yang belum dibayar. Seorang individu akan memberikan penawaran
untuk properti yang memiliki pajak tertunggak, membayar pajak tersebut, dan
menagih pajak dari pemiliknya, plus sejumlah bunga
atas pajak yang terutang
6.3 LANGKAH
E-COMMERCE BERIKUTNYA
Perdagangan bergerak
Perdagangan bergerak
(mobile commerce atau m-commerce) adalah penggunaan telepon seluler dan
asisten digital pribadi (personal digital assistant—PDA) untuk melakukan e-commerce nirkabel. Seiring
dengan berkembangnya teknologi telepon seluler dari generasi analog menjadi
generasi digital, istilah telekomunikasi generasi ketiga
(thirdgeneration—3G)telah secara longgar dipergunakan untuk teknologi-teknologi
nirkabel yang mampu memindahkan data.
Nirkabel Berkelas Bisnis di Semua Tempat
Hot spot Internet
nirkabel cukup memadai untuk penggunaan Web umum maupun pribadi,namun memeriksa
e-mail di sebuah kedai kopi Strabucks adalah suatu cara yang kurang memadai
bagi profesional bisnis. Hot spot biasanya diciptakan dengan menggunakan
suatu koneksi kabel (untuk kecepatan komunikasinya yang tinggi) dan kemudian
dipancarkan melalui sebuah poin akses nirkabel ke suatu wilayah yang kurang
lebih berjarak 100 meter dari poin akses tersebut, dan
penerimaan data oleh seseorang melalui suatu jaringan yang kompleks yang
melibatkan banyak komputer dan koneksi jaringan adalah suatu hal yang
memungkinkan untuk dilakukan.
6.4
KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Saat
pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada
perlindungan peranti keras data maka istilah keamanan sistem digunakan. Istilah
keamanan sistem digunakan untuk mengambarkan perlindungan baik peralatan komputer
dan nonkomputer, fasilitas, data dan informasi dari penyalahgunaan pihak-pihak
yang tidak berwenang.
Tujuan
Keamanan Informasi
Keamanan
informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
a. Kerahasiaan. Perusahaan berusaha untuk melindungi data
dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
b. Ketersediaan. Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki
wewenang untuk menggunakannya.
c. Integritas. Semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen
Keamanan informasi
Aktivitas
untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan
informasi (information security management – ISM ), sedangkan aktivitas untuk
menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity
management – BCM).
Jabatan
direktur keamanan sistem informasi perusahaan (coorporate information system
security officer – CISSO) digunakan untuk individu di dalam organisasi,
biasanya anggota dari unit sistem informasi yang bertanggung jawab atas
keamanan sistem informasi perusahaan tersebut.
Pada bentuknya yang
paling dasar, manajemen keamanan
informasi terdiri atas empat tahap yakni:
a. Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan
b. Mendefenisikan
risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c. Menentukan
kebijakan keamanan informasi
d. Mengimplementasikan
pengendalian untuk mengatasi risiko-risiko tersebut.
6.5 ANCAMAN
Ancaman
Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat
internal serta eksternal dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan
Eksternal
Ancaman
internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman
internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius
jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan ancaman
internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya
perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau
disebut juga pesaing usaha.
Tindakan Kecelakaan
dan disengaja
Tidak
semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di
dalam ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious
software, atau malware terdiri atas
program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu
system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi
tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jenis peranti lunak
yang berbahaya, yakni :
a. Virus. Adalah
program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot
sector lain
b. Worm. Program
yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat
menyebarkan salinannya melalui e-mail
c. Trojan Horse. Program
yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun
disebarkan sebagai perangkat
d. Adware. Program
yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program
yang mengumpulkan data dari mesin pengguna
RISIKO
Risiko Keamanan Informasi (Information Security Risk) didefinisikan
sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang
tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a. Pengungkapan Informsi yang tidak terotoritasis dan
pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi
orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya
informasi atau uang.
b. Penggunaan yang tidak terotorisasi. Penggunaan yang
tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak
menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
c. Penghancuran yang tidak terotorisasi dan penolakan
layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti
lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak
berfungsi.
d. Modifikasi yang terotorisasi. Perubahan dapat
dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat
berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut
mengambil keputusan yang salah.
6.6 PERSOALAN
E-COMMERCE
E-Commerce
memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah
perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan
kartu kredit.
Kartu Kredit “Sekali
pakai”
Kartu
sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli
sesuatu secara online, ia akan memperoleh
angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah,
dan bukannya nomor kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian melaporkannya ke
perusahaan kartu kredit untuk pembayaran.
Praktik keamanan yang
diwajibkan oleh Visa
Visa mengumumkan 10 pratik terkait keamanan yang
diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih
untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan
dalam program visa, atau pembatasan penjualan dengan visa. Peritel
harus :
1. Memasang dan memelihara firewall
2. Memperbaharui keamanan
3. Melakukan enkripsi data yang disimpan
4. Melakukan enkripsi pada data ynag dikirm
5. Menggunakan dan memperbaharui peranti lunak
anti virus
6. Membatasi akses data kepada orang-orang yang ingin
tahu
7. Memberikan id unik kepada setiap orang yang memiliki
kemudahan mengakses data
8. Memantau akses data dengan id unik
9. Tidak menggunakan kata sandi default yang disediakan
oleh vendor
10. Secara
teratur menguji sistem keamanan
Selain
itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
1. Menyaring karyawan yang memiliki akses terhadap data
2. Tidak meninggalkan data atau komputer dalam keadaan
tidak aman
3. Menghancurkan data jika tidak dibutuhkan lagi
6.7 MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen
Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi. Risiko
dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau
mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1. Identifikasi aset-aset bisnis yang harus dilindungi dari
risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut
Setelah
analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi
berikut ini, mengenai tiap-tiap risiko:
1.
Diskripsi
risiko
2.
Sumber
risiko
3.
Tingginya
tingkat risiko
4.
Pengendalian
yang diterapkan pada risiko tersebut
5.
Para
pemilik risiko tersebut
6.
Tindakan
yang direkomendasikan untuk mengatasi risiko
7.
Jangka
waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah
mengatasi risiko tersebut, laporan harus diselesaikan dengan cara menambahkan
bagian akhir :
8.
Apa
yang telah dilaksanakan untuk mengatasi risiko tersebut.
KEBIJAKAN KEAMANAN
INFORMASI
Suatu
kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program.
Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap,
diantaranya:
1. Fase 1, Inisiasi Proyek. Membentuk sebuah tim
untuk mengawas proyek kebijakan keamanan tersebut.
2. Fase 2, Penyusunan Kebijakan. Berkonsultasi
dengan semua pihak yang berminat dan terpengaruh.
3. Fase 3, Konsultasi dan
persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan
mengenai berbagai persyaratan kebijakan.
4. Fase 4, Kesadaran dan edukasi. Melaksanakan
program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
5. Fase 5, Penyebarluasan Kebijakan. Kebijakan ini
disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat
diterapkan.
Kebijakan Keamanan
yang Terpisah dikembangkan untuk
a. Keamanan Sistem Informasi
b. Pengendalian Akses Sistem
c. Keamanan Personel
d. Keamanan Lingkungan Fisik
e. Keamanan Komunikasi data
f. Klasifikasi Informasi
g. Perencanaan Kelangsungan Usaha
h. Akuntabilitas Manajemen
Kebijakan
terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan, dan
melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan,
pengendalian dapat diimplementasikan.
6.8 PENGENDALIAN
Pengendalian
(control) adalah
mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau
untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut
terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
1. PENGENDALIAN
TEKNIS
Pengendalian
teknis (technical control) adalah pengendalian yang menjadi satu di dalam
system dan dibuat oleh para penyusun system selam masa siklus penyusunan
system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal
didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar
pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
1. Pengendalian Akses
Dasar
untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak
diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika
orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber
daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian
akses dilakukan melalui proses tiga tahap yang mencakup:
1. Identifikasi
pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka
dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor
telepon atau titik masuk jaringan.
2. Autentifikasi
pengguna. Setelah identifkasi awal telah dilakukan, para pengguna
memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, sepertismart card atau tanda tertentu
atau chip identifikasi.
Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau
yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
3. Otorisasi
pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau
derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan
otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang
lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut. Identifkasi
dan autentifikasi memanfaatkan profil pengguna (user profile), atau
deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file
pengendalian akses(acess control file) yang menentukan tingkat akses
yang tersedia bagi tiap pengguna.
Setelah
para pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka
dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan file
pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan
pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta
identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.
2. System Deteksi Gangguan
Logika
dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan
untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti
lunak proteksi virus (virus protection
software) yang telah terbukti efektif melawan virus yang
terkirim melalui e-mail.
Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan
si pengguna.
Contoh
deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk
mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk
membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun
sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi
seseorang di dalam perusahaan, akses ke dalam data yang sensitive, kemampuan
untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan
penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini,
yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal
ke dalam kategori seperti ancaman
yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
3. Firewall
Sumber
daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu
pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan
jaringan internal perusahaan yang berisikan data sensitive dan system
informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang
memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan
ketiga adalah membangun dinding pelindung atau firewall. Firewall
berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data
ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu
pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman
terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan
peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra
dengan pembelian produk antivirus mereka.
Ada tiga jenis
firewall, yaitu:
1. Firewall
Penyaring Paket. Router adalah
alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara
Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table
data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk
masing-masing transmisi, routermengakses
table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi
Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0
ke 255) yang secara unik mengidentifikasi masing-masing computer yang terhubung
dengan Internet. Salah satu keterbasan router adalahrouter hanya
merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya
perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang
digunakan untuk pembajak untuk menipu router.
2. Firewall
Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalahfirewall tingkat sirkuit yang
terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan
medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan
penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari
titik tunggal keamanan tetap berlaku.
3. Firewall Tingkat Aplikasi. Firewall ini berlokasi
antara router dan
computer yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan
keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai
permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan
dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat
memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi
sekunder, mengonfirmasikan identitas, atau bahkan memeriksa apakah
permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan
jenis firewall yang
paling efektif, firewall ini
cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang
programmer jaringan harus penulis kode program yang spesifik untuk
masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan,
dihapus, dimodifikasi.
4. Pengendalian Kriptografis
Data
dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan
membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah
kesalahan penggunaan.
Popularitas
kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan
keamanan e-commerce telah
dirancang. Salah satunya adalah SET (Secure
Electronic Transactions), yang ,melakukan pemeriksaan keamanan
menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada
orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual,
dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor
kartu kredit.
5. Pengendalian Fisik
Peringatan
pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih
yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera
pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian
fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya
ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive
terhadap bencana alam seperti gempa bumi, banjir, dan badai.
6. Meletakkan Pengendalian Teknis Pada Tempatnya
Anda
dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya
dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan
informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan.
Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang
dianggap menawarkan pengaman yang paling realisitis.
2. PENGENDALIAN FORMAL
Pengendalian
formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik
yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari
panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen
menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk
tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3. PENGENDALIAN INFORMAL
Pengendalian
informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGAKAT
PENGENDALIAN YANG TEPAT
Ketiga
jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena
bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak
uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan
terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan
demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya
versus keuntungan, tapi dalam beberapa industry terdapat pula
pertimbangan-pertimbangan lain.
e-commerce:
Tidak ada komentar:
Posting Komentar