Rabu, 15 April 2015

SIM - BAB 6: MENGGUNAKAN TEKNOLOGI INFORMASI DALAM MENJALANKAN PERDAGANGAN ELEKTRONIK (E-COMMERCE)





Dosen Pembimbing: Lydia Setyawardhani, SE, MSi
Kelompok 10 (6 – SM3)
Disusun Oleh:

Yuni Indra (1210205466)
Indriani W (1210205467)
Caesar Andreas (1210205470)
Novandi Arif W (1210205471)
Tissa Rizky P (1210205472)



Pertemuan 6 (Menggunakan Teknologi Informasi Dalam Menjalankan Perdagangan Elektronik (e-commerce)

6.1 Perdagangan Elektronik (E-commerce)

E-commerce (perniagaan elektronik), sebagai bagian dari electronic business (bisnis yang dilakukan dengan menggunakan electronic transmission), oleh para ahli dan pelaku bisnis dicoba dirumuskan definisinya. Secara umum e-commerce dapat didefinisikan sebagai segala bentuk transaksi perdagangan/perniagaan barang atau jasa (trade of goods and service) dengan menggunakan media elektronik. Jelas, selain dari yang telah disebutkan di atas, bahwa kegiatan perniagaan tersebut merupakan bagian dari kegiatan bisnis. Kesimpulannya, “e-commerce is a part of e-business”.
1. E-Commerce di Luar Batas Perusahaan
E-commerce dibedakan menjadi dua jenis, yaitu e-commerce bisnis ke konsumen(business-to-consumen—B2C) mengacu pada transaksi-transaksi yang terjadi antara sebuah bisnis dan konsumen akhir produk; dan yang kedua yaitu e-commerce bisnis ke bisnis (business-to-business—B2B) mengacu pada transaksi antarbisnis dimana tidak ada pihak yang menjadi konsumen akhir.
2. Faktor Kunci Sukses dalam E-Commerce
Dalam banyak kasus, sebuah perusahaan e-commerce bisa bertahan tidak hanya mengandalkan kekuatan produk saja, tapi dengan adanya tim manajemen yang handal, pengiriman yang tepat waktu, pelayanan yang bagus, struktur organisasi bisnis yang baik, jaringan infrastruktur dan keamanan, desain situs web yang bagus, beberapa faktor yang termasuk:
-  Menyediakan harga kompetitif
-  Menyediakan jasa pembelian yang tanggap, cepat, dan ramah
-  Menyediakan informasi barang dan jasa yang lengkap dan jelas
-  Menyediakan banyak bonus seperti kupon, penawaran istimewa, dan diskon
-  Memberikan perhatian khusus seperti usulan pembelian
-  Menyediakan rasa komunitas untuk berdiskusi, masukan dari pelanggan, dan lain-lain
-  Mempermudah kegiatan perdagangan
3. Manfaat-Manfaat yand Diharapkan dari E-Commerce
o    Perbaikan layanan pelanggan sebelum, selama, dan setelah penjualan
o    Perbaikan hubungan dengan pemasok dan komunitas keuangan
o    Peningkatan imbal hasil eknomis atas pemegang saham dan investasi pemilik
Perlu diingat, peningkatan laba tidak termasuk ke dalam manfaat yang diharapkan dari e-commerce karena laba adalah hasil dari sebuah organisasi yang mencapai tujuannya sedangkan e-commerce adalah sarana pendukung yang kuat yang dapat membantu organisasi mencapai tujuannya.
4.  Kendala-Kendala E-Commerce
Pada tahun 1996, dilakukan survey dan didapati 60 persen perusahaan yang memberikan respons menunjukkan bahwa mereka belum mengimplementasikan e-commerce dan tidak memiliki rencana untuk melakukannya dalam waktu tiga tahun ke depan.
Ketika ditanyakan mengenai alasannya, perusahaan tersebut menyebutkan tiga kendala dengan urutan sebagai berikut:
o    Biaya yang tinggi
o    Kekhawatiran akan masalah keamanan
o    Peranti lunak yang belum mapan atau belum tersedia

5. Ruang Lingkup E-Commerce
E-commerce bersifat dinamis dan ruang lingkup pengaruhnya dapat berubah dalam waktu hanya beberapa bulan. Karena sangat lebarnya spektrum proses dari transaksi jual beli yang ada, sangat sulit menentukan ruang lingkup atau batasan dari domain e-commerce. Salah satu cara yang dapat dipergunakan untuk dapat mengerti batasan-batasan dari sebuah e-commerce adalah dengan mencoba mengkaji dan melihat fenomena bisnis tersebut dari berbagai dimensi, seperti yang dijelaskan berikut ini.
o    Teknologi
Kontributor terbesar yang memungkinkan terjadinya e-commerce adalah teknologi informasi, dalam hal ini perkembangan pesat teknologi komputer dan telekomunikasi. Tidak dapat dipungkiri bahwa arena jual beli di dunia maya terbentuk karena terhubungnya berjuta-juta komputer ke dalam sebuah jaringan raksasa (internet). Dari sisi ini e-commerce dapat dipandang sebagai sebuah prosedur atau mekanisme berdagang (jual beli) di internet dimana pembeli dan penjual dipertemukan di sebuah dunia maya yang terdiri dari sekian banyak komputer.
o    Marketing dan “New Consumer Processes
Dari segi pemasaran, e-commerce sering dilihat sebagai sebuah kanal atau cara baru untuk berhubungan dengan pelanggan. Melalui e-commerce jangkauan sebuah perusahaan menjadi semakin luas karena yang bersangkutan dapat memasarkan produk dan jasanya ke seluruh dunia tanpa memperhatikan batasan-batasan geografis. Dengan cara yang sama pula sebuah perusahaan dapat langsung berhubungan dengan end-comsumers-nya. Economic e-commerce merupakan sebuah pemicu terbentuknya prinsip ekonomi baru yang lebih dikenal dengan ekonomi digital (digital economy). Di dalam konsep ekonomi ini, semua sumber daya yang dapat didigitalisasikan menjadi tak terbatas jumlahnya (bukan merupakan “scarce of resources”) dan berpotensi menjadi public goods yang dapat dimiliki oleh siapa saja dengan bebas. Di dalam konsep ekonomi ini pula informasi dan knowledge menjadi sumber daya penentu sukses tidaknya para pelaku ekonomi melakukan aktivitasnya. Beragam model bisnis (business model) pun diperkenalkan di dalam konsep ekonomi baru ini yang belum pernah dijumpai sebelumnya. Dari segi produksi, selain physical value chain, diperkenalkan pula konsep virtual value chain yang sangat menentukan proses penciptaan produk dan jasa di dunia maya.
o    Electronic linkage
Di suatu sisi yang lain, banyak orang melihat e-commerce sebagai sebuah mekanisme hubungan secara elektronis antara satu entiti dengan entiti lainnya. Dengan adanya e-commerce, maka dua buah divisi dapat bekerja sama secara efisien melalui pertukaran data elektronis; demikian juga antara dua buah kelompok berbeda seperti misalnya antara kantor pemerintah dengan masyarakatnya; atau mungkin antara pelanggan dengan perusahaan-perusahaan tertentu.
o    Information value adding
Di dalam e-commerce, bahan baku yang paling penting adalah informasi. Sehubungan dengan hal ini, proses pertambahan nilai (value adding processes) menjadi kunci terselenggaranya sebuah mekanisme e-commerce. Konsep ini dikuatkan dengan teori virtual value chain yang menggambarkan bagaimana proses pertambahan nilai diberlakukan terhadap informasi, yaitu melalui langkah-langkah proses: gathering, organizing, selecting, synthesizing, dan distributing.
o    Market-making
E-commerce dikatakan sebagai market-making karena keberadaannya secara langsung telah membentuk sebuah pasar perdagangan tersendiri yang mempertemukan berjuta-juta penjual dan pembeli di sebuah pasar digital maya (e-market). Di pasar maya ini terjadi perdagangan secara terbuka dan bebas, karena masing-masing penjual dan pembeli dapat bertemu secara efisien tanpa perantara. E-market juga disinyalir sebagai arena perdagangan yang paling efisien karena kecenderungannya untuk selalu mencari bentuk-bentuk perdagangan yang berorientasi kepada pembeli (customer oriented), disamping struktur persaingan antar penjual produk dan jasa yang hampir berada dalam suasana perfect competition.
o    Service infrastructure
Konsep e-commerce ternyata tidak hanya membuahkan mekanisme transaksi jual beli semata, namun ternyata banyak sekali jasa-jasa baru yang diperlukan sebagai sarana pendukung aktivitas jual beli produk tersebut. Katakanlah jasa dari institusi keuangan untuk menawarkan cara pembayaran secara elektronik, jasa dari vendor aplikasi yang menawarkan cara melakukan transaksi secara aman (secure), jasa dari ISP (internet service provider) yang menawarkan cara mengakses internet dengan cepat dan murah, jasa perusahaan hosting yang menawarkan perangkat penyimpan data maupun situs perusahaan yang bersangkutan, dan lain-lain.
o    Legal, privacy, dan public policy
Sisi terakhir dalam melihat e-commerce adalah mencoba memandangnya dari unsur-unsur semacam hukum, peraturan, kebijakan, proses, dan prosedur yang diberlakukan. Secara tidak langsung terlihat bahwa interaksi perdagangan elektronis yang telah mengikis batas-batas ruang dan waktu mau tidak mau mendatangkan tantangan baru bagi pemerintah dan masyarakat dalam mencoba membuat regulasi tertentu agar di satu pihak terbentuk lingkungan bisnis yang kondusif, sementara di pihak lain hak-hak individu maupun masyarakat dapat terjaga dengan baik.
6.  Jalan Menuju E-Commerce
Rencana bisnis strategis akan membakukan komitmen untuk menggunakan e-commerceguna meraih keunggulan kompetitif. Perusahaan pertama-tama harus memperoleh kecerdasan bisnis (business intelligence) sehingga perusahaan tersebut akan dapat memahami peranan potensial yang akan dimainkan oleh masing-masing unsur lingkungan.
6.2 Strategi B2C Untuk E-commerce
Semakin banyaknya jumlah produk dan jasa yang tersedia untuk pengiriman digital dan semakin banyaknya pelanggan yang mampu mengatasi keengganan mereka untuk melakukan pembelian menggunakan web. Kecepatan komunikasi yang lebih cepat dari komputer-komputer rumahan juga telah membuat pengiriman produk-produk ditgital menjadi lebih praktis.
1. Produk-produk Digital
Beberapa produk dan jasa tertentu dapat dikirimkan kepada pelanggan melalui internet. Dunia hiburan telah menjadi salah satu produk awal yang mengambil manfaat dari internet. Satu perbedaan utama antara pembelian produk-produk digital dengan produk-produk fisik melalui web adalah bahwa produk digital dapat digunakan begitu selesai di-download. Perbedaan lainnya adalah bahwa produk itu sendiri akan berpindah ke aset pembelinya.

2. Produk-produk Fisik
Barang-barang fisik tidak dapat dikonsumsi melalui web; sebagai gantinya, harus dikirimkan ke pelanggan. Pesanan penjualan dapat diambil alih oleh web, tapi pengiriman harus tetap dilakukan. Pos paket sering kali menjadi jasa paling murah yang diberikan, tetapi biasanya membutuhkan waktu pengiriman yang paling lama.
Berkembangnya perusahaan-perusahaan pengiriman surat/barang swasta telah secara langsung membantu e-commerce eceran. Perusahaan memberikan sejumlah metode pengiriman alternatif dengan harga yang berbeda-beda.
3. Penjualan Maya Versus Campuran
Penjualan maya (virtual sales) adalah penjualan yang dilakukan oleh sebuah perusahaan yang tidak mengoperasikan tempat berjualan fisik. Dengan penjualan maya, tidak ada tokok dimana pelanggan dapat masuk dan membeli produk. Penjualan campuran (hybrid sales) terjadi ketika perusahaan memiliki tempat berjualan secara fisik dan situs web dimana pelanggan dapat membeli produk. Kedua strategi penjualan eceran ini perlu menginformasikan biaya dan fitur produk kepada pelanggan, mengatur pembayaran pelanggan, dan menghasilkan pengiriman produk.
Satu kesulitan yang dihadapi oleh perusahaan yang menawarkan penjualan maya adalah memberikan informasi produk yang dibutuhkan tanpa membingungkan pelanggan. Kendala lainnya adalah bahwa gambar merupakan file yang berukuran besar, dan mengomunikasikannya dari situs web ke komputer pelanggan akan memakan waktu. Masalah ini dapat dikurangi dengan membatasi jumlah gambar yang ditampilkan sampai pelanggan telah memusatkan perhatian pencarian mereka pada pilihan yang relatif sedikit.
Penjualan maya paling sering dipergunakan ketika perusahaan tidak dapat membangun sebuah tempat berjualan fisik atau menemukan tempat berjualan fisik yang layak secara ekonomis.
Penjualan campuran terkadang disebut sebagai operasi brick-and-click. Kebanyakan perusahaan memiliki tempat berjualan karena biasanya hal tersebut dibutuhkan untuk rencana bisnisnya.
Contoh yang paling populer pada saat ini adalah penjualan produk melalui jejaring sosial seperti Facebook atau situs lain seperti www.kaskus.us, dimana penjualan yang mereka lakukan biasanya merupakan penjualan maya atau pun penjualan campuran.


4. Pemerintahan Elektronik
Pemerintah juga dapat mengambil manfaat dari e-commerce.  Pemerintahan elektronik atau e-government adalah penggunaan teknologi informasi oleh pemerintah untuk memberikan informasi dan pelayanan bagi warganya, urusan bisnis, serta hal-hal lain yang berkenaan dengan pemerintahan. E-government dapat diaplikasi pada legislatif, yudikatif, atau administrasi public, untuk meningkatkan efisiensi internal, menyampaikan pelayanan publik, atau proses kepemerintahan yang demokratis. Model penyampaian yang utama adalah government-to-citizen atau government-to-customer(G2C), government-to-business (G2B) serta government-to-government (G2G). keuntungan yang paling diharapkan dari e-government adalah peningkatan efisiensi, kenyamanan, serta aksesibilitas yang lebih baik dari pelayanan publik.
Contohnya pemerintahan elektronik untuk di Indonesia yang sudah sangat mengikuti perkembangan adalah kantor pelayanan pajak yang memiliki pemerintahan elektronik yang dapat diakses melalui internet dengan alamat situs www.pajak.go.id


6.3 Langkah E-commerce Berikutnya
Tantangan bagi e-commerce lebih dari sekedar jenis barang yang ditawarkan. Banyak pelanggan lebih nyaman menggunakan telepon selular dari pada menggunakan keyboard komputer.
1. Perdagangan Bergerak
Perdagangan bergerak adalah penggunaan telepon selular dan asisten digital pribadi (personal digital assistant—PDA) untuk melakukan e-commerce nirkabel. Seiring dengan berkembangnya teknologi telepon selular dari generasi analog menjadi generasi digital, istilah telekomunikasi generasi ketiga (third generation—3G) telah secara longgar dipergunakan untuk teknologi-teknologi nirkanel yang mampu memindahkan data.
2. Nirkabel Berkelas Bisnis di Semua Tempat
Hot spot internet kabel cukup memadai untuk penggunaan Web umum maupun pribadi, namun memeriksa e-mail di sebuah kedai kopi starbucks adalah suatu cara yang kurang memadai bagi para profesional bisnis. Karena ketergantungan pada sambungan komunikasi kabel dan kecilnya cakupan jarak oleh suatu poin akses nirkabel menjadikan akses nirkabel secara terus-menerus mustahil untuk dilakukan. Komunikasi nirkabel yang kecepatannya cukup memadai melalui penyedia jasa komunikasi yang sama dengan telepon seluler akan memungkinkan terciptanya komputasi nirkabel berkelas bisnis hampir di semua bisnis hampir di semua tempat. Verizon menawarkan suatu  rencana akses pita lebar (broadband) yang berjalan pada kecepatan mulai dari 400 sampai 700 kilobit per detik, namun layanan ini tersedia dibanyak wilayah metropolitan dan tidak terbatas hanya pada poin akses terdekat untuk suatu jaringan menggunakan kabel.
6.4  Kebutuhan Organisasi Akan Keamanan Dan Pengendalian Keamanan Informasi
            Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan industri untuk meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
            Pendekatan-pendekatan yang dimulai di kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana versus hak-hak individu dan keamaan versus ketersediaan.
Keamanan Informasi
            Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindunga peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan Keamanan Informasi
            Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
  1. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
  2. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
  3. Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan informasi
            Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM).
            Jabatan direktur keamanan sistem informasi perusahaan (coorporate information system security officer – CISSO) digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.
Manajemen Keamanan Informasi
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap yakni:
a.       Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
b.      Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c.       Menentukan kebijakan keamanan informasi
d.      Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
            Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
            Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan informasi (information security benchmark) adalah tingkat kemanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program keamanan informais yang baik menurut otoritas tersebut.
            Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.

6.5 Ancaman Dan Resiko
Ancaman
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.

Ancaman Internal dan Eksternal
            Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.




Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
a.       Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
b.      Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
c.       Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
d.      Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e.       Spyware. Program yang mengumpulkan data dari mesin pengguna

Risiko
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a.                   Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b.                  Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
c.                   Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi.
d.                  Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah.

6.6 Persoalan E-commerce

E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit.

Kartu Kredit “Sekali pakai”
Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Praktik keamanan yang diwajibkan oleh Visa
Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan  visa. Peritel harus :

1.      Memasang dan memelihara firewall
2.      Memperbaharui keamanan
3.      Melakukan enkripsi data yang disimpan
4.      Melakukan enkripsi pada data ynag dikirm
5.      Menggunakan dan memperbaharui peranti  lunak anti virus
6.      Membatasi akses data kepada orang-orang yang ingin tahu
7.      Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8.      Memantau akses data dengan id unik
9.      Tidak menggunakan kata sandi default yang disediakan oleh vendor
10.    Secara teratur menguji sistem keamanan
           
            Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce:
1.      Menyaring karyawan yang memiliki akses terhadap data
2.      Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3.      Menghancurkan data jika tidak dibutuhkan lagi

6.7 Manajemen Resiko

Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1.      Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2.      Menyadari risikonya
3.      Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4.      Menganalisis kelemahan perusahaan tersebut

Tabel Tingkat Dampak dan Kelemahan


Dampak Parah
Dampak Signifikan
Dampak Minor
Kelemahan Tingkat Tinggi
Melaksanakan analisis kelemahan. Harus meningkatkan pengendalian
Melaksanakan analisis kelemahan. Harus meningkatkan pengendalian
Analisis kelemahan tidak dibutuhkan
Kelemahan Tingkat Menengah
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian.
Melaksanakan analisis kelemahan. Sebaiknya meningkatkan pengendalian.
Analisis kelemahan tidak dibutuhkan
Kelemahan Tingkat Rendah
Melaksanakan analisis kelemahan.  Menjaga Pengendalian tetap ketat.
Melaksanakan analisis kelemahan.  Menjaga Pengendalian tetap ketat.
Analisis kelemahan tidak dibutuhkan

Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
2.      dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
3.      dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari.

            Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap risiko:
1.                  diskripsi risiko
2.                  sumber risiko
3.                  tingginya tingkat risiko
4.                  pengendalian yang diterapkan pada risiko tersebut
5.                  para pemilik risiko tersebut
6.                  tindakan yang direkomendasikan untuk mengatasi risiko
7.                  jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir :
8.                  apa yang telah dilaksanakan untuk mengatasi risiko tersebut

KebijakanKeamanan Informasi
            Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap, diantaranya:
a.                   Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
b.                  Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh.
c.                   Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
d.                  Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
e.                   Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan.

Kebijakan Keamanan yang Terpisah dikembangkan untuk
a.       Keamanan Sistem Informasi
b.      Pengendalian Akses Sistem
c.       Keamanan Personel
d.      Keamanan Lingkungan Fisik
e.       Keamanan Komunikasi data
f.       Klasifikasi Informasi
g.      Perencanaan Kelangsungan Usaha
h.      Akuntabilitas Manajemen
            Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.

6.8 Pengendalian
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
1.      Pengendalian Teknis
Pengendalian teknis (technical control adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
1.      Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
1.      Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
2.      Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, sepertismart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
3.      Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses(acess control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para  pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.
2.      System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection softwareyang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk membahayakan.Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
3.      Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewallFirewallberfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis firewall, yaitu:
1.      Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewallRouter dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, routermengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalahrouter hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang digunakan untuk pembajak untuk menipu router.
2.      Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalahfirewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.
3.      Firewall Tingkat Aplikasi. Firewall  ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.

4.      Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
5.      Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
6.      Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis.
2.      Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3.      Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

Mncapai Tingkat Pengendalian Yang Tepat
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula pertimbangan-pertimbangan lain.

Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya :
         BS7799 Milik Inggris
         BSI IT Baseline Protection Manual
         COBIT
         GASSP (Generally Accepted System Security Principles)
         ISF Standard of Good Practice
Tidak ada satupun dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah ini. Namun, jika disatukan, standar-standar tersebut menjadi dasar yang baik untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya sendiri yang mendukung budaya organisasi tersebut.

Peraturan Pemerintah
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standard an menetapkan standardan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan computer. Beberapa diantaranya adalah :
         Standar Keamanan Komputer Pemerintah Amerika Serikat
         Undang-undang Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001

Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para mengguna computer guna membuat system mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS Scoring Tools.

Sertifikasi Profesional
Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
         Asosiasi Audit Sistem dan Pengendalian
         Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
         Institute SANS

Beberapa contoh perdagangan E-commerce:
-          http://www.zalora.co.id/
-          http://www.ebay.com/
-          http://www.rakuten.co.id/
-          http://www.amazon.com/

Tidak ada komentar:

Posting Komentar