Dosen Pembimbing: Lydia
Setyawardhani, SE, MSi
Kelompok 10 (6 – SM3)
Disusun Oleh:
Yuni Indra (1210205466)
Indriani W (1210205467)
Caesar Andreas (1210205470)
Novandi Arif W (1210205471)
Tissa Rizky P (1210205472)
Pertemuan 6 (Menggunakan Teknologi Informasi Dalam Menjalankan Perdagangan Elektronik (e-commerce)
6.1 Perdagangan Elektronik (E-commerce)
E-commerce (perniagaan elektronik), sebagai
bagian dari electronic business (bisnis yang dilakukan dengan
menggunakan electronic transmission), oleh para ahli dan pelaku bisnis dicoba
dirumuskan definisinya. Secara umum e-commerce dapat
didefinisikan sebagai segala bentuk transaksi perdagangan/perniagaan barang
atau jasa (trade of goods and service) dengan menggunakan media elektronik.
Jelas, selain dari yang telah disebutkan di atas, bahwa kegiatan perniagaan
tersebut merupakan bagian dari kegiatan bisnis. Kesimpulannya, “e-commerce is a
part of e-business”.
1. E-Commerce di Luar Batas
Perusahaan
E-commerce dibedakan menjadi dua jenis,
yaitu e-commerce bisnis ke konsumen(business-to-consumen—B2C)
mengacu pada transaksi-transaksi yang terjadi antara sebuah bisnis dan konsumen
akhir produk; dan yang kedua yaitu e-commerce bisnis
ke bisnis (business-to-business—B2B) mengacu pada transaksi
antarbisnis dimana tidak ada pihak yang menjadi konsumen akhir.
2. Faktor Kunci Sukses dalam E-Commerce
Dalam banyak kasus, sebuah perusahaan e-commerce bisa
bertahan tidak hanya mengandalkan kekuatan produk saja, tapi dengan adanya tim
manajemen yang handal, pengiriman yang tepat waktu, pelayanan yang bagus,
struktur organisasi bisnis yang baik, jaringan infrastruktur dan keamanan,
desain situs web yang bagus, beberapa faktor yang termasuk:
- Menyediakan
harga kompetitif
- Menyediakan
jasa pembelian yang tanggap, cepat, dan ramah
- Menyediakan
informasi barang dan jasa yang lengkap dan jelas
- Menyediakan
banyak bonus seperti kupon, penawaran istimewa, dan diskon
- Memberikan
perhatian khusus seperti usulan pembelian
- Menyediakan
rasa komunitas untuk berdiskusi, masukan dari pelanggan, dan lain-lain
- Mempermudah
kegiatan perdagangan
3. Manfaat-Manfaat yand Diharapkan dari E-Commerce
o
Perbaikan layanan
pelanggan sebelum, selama, dan setelah penjualan
o
Perbaikan hubungan
dengan pemasok dan komunitas keuangan
o
Peningkatan imbal
hasil eknomis atas pemegang saham dan investasi pemilik
Perlu diingat, peningkatan laba tidak termasuk ke dalam manfaat yang
diharapkan dari e-commerce karena laba adalah hasil dari
sebuah organisasi yang mencapai tujuannya sedangkan e-commerce adalah
sarana pendukung yang kuat yang dapat membantu organisasi mencapai tujuannya.
4. Kendala-Kendala E-Commerce
Pada tahun 1996, dilakukan survey dan didapati 60 persen perusahaan yang
memberikan respons menunjukkan bahwa mereka belum mengimplementasikan e-commerce dan
tidak memiliki rencana untuk melakukannya dalam waktu tiga tahun ke depan.
Ketika ditanyakan mengenai alasannya, perusahaan tersebut menyebutkan tiga
kendala dengan urutan sebagai berikut:
o
Biaya yang tinggi
o
Kekhawatiran akan
masalah keamanan
o
Peranti lunak yang
belum mapan atau belum tersedia
5. Ruang Lingkup E-Commerce
E-commerce bersifat dinamis dan ruang lingkup
pengaruhnya dapat berubah dalam waktu hanya beberapa bulan. Karena sangat
lebarnya spektrum proses dari transaksi jual beli yang ada, sangat sulit
menentukan ruang lingkup atau batasan dari domain e-commerce. Salah
satu cara yang dapat dipergunakan untuk dapat mengerti batasan-batasan dari
sebuah e-commerce adalah dengan mencoba mengkaji dan melihat
fenomena bisnis tersebut dari berbagai dimensi, seperti yang dijelaskan berikut
ini.
o
Teknologi
Kontributor terbesar yang memungkinkan terjadinya e-commerce adalah
teknologi informasi, dalam hal ini perkembangan pesat teknologi komputer dan
telekomunikasi. Tidak dapat dipungkiri bahwa arena jual beli di dunia maya
terbentuk karena terhubungnya berjuta-juta komputer ke dalam sebuah jaringan
raksasa (internet). Dari sisi ini e-commerce dapat dipandang
sebagai sebuah prosedur atau mekanisme berdagang (jual beli) di internet dimana
pembeli dan penjual dipertemukan di sebuah dunia maya yang terdiri dari sekian
banyak komputer.
o
Marketing dan “New Consumer Processes”
Dari segi pemasaran, e-commerce sering dilihat sebagai
sebuah kanal atau cara baru untuk berhubungan dengan pelanggan. Melalui e-commerce jangkauan
sebuah perusahaan menjadi semakin luas karena yang bersangkutan dapat
memasarkan produk dan jasanya ke seluruh dunia tanpa memperhatikan
batasan-batasan geografis. Dengan cara yang sama pula sebuah perusahaan dapat
langsung berhubungan dengan end-comsumers-nya. Economic e-commerce merupakan
sebuah pemicu terbentuknya prinsip ekonomi baru yang lebih dikenal dengan
ekonomi digital (digital economy). Di dalam konsep ekonomi ini, semua sumber
daya yang dapat didigitalisasikan menjadi tak terbatas jumlahnya (bukan
merupakan “scarce of resources”) dan berpotensi menjadi public goods yang dapat
dimiliki oleh siapa saja dengan bebas. Di dalam konsep ekonomi ini pula
informasi dan knowledge menjadi sumber daya penentu sukses tidaknya para pelaku
ekonomi melakukan aktivitasnya. Beragam model bisnis (business model) pun
diperkenalkan di dalam konsep ekonomi baru ini yang belum pernah dijumpai
sebelumnya. Dari segi produksi, selain physical value chain, diperkenalkan pula
konsep virtual value chain yang sangat menentukan proses penciptaan produk dan
jasa di dunia maya.
o
Electronic linkage
Di suatu sisi yang lain, banyak orang melihat e-commerce sebagai
sebuah mekanisme hubungan secara elektronis antara satu entiti dengan entiti
lainnya. Dengan adanya e-commerce, maka dua buah divisi dapat
bekerja sama secara efisien melalui pertukaran data elektronis; demikian juga
antara dua buah kelompok berbeda seperti misalnya antara kantor pemerintah
dengan masyarakatnya; atau mungkin antara pelanggan dengan
perusahaan-perusahaan tertentu.
o
Information value adding
Di dalam e-commerce, bahan baku yang paling penting adalah
informasi. Sehubungan dengan hal ini, proses pertambahan nilai (value adding
processes) menjadi kunci terselenggaranya sebuah mekanisme e-commerce.
Konsep ini dikuatkan dengan teori virtual value chain yang menggambarkan
bagaimana proses pertambahan nilai diberlakukan terhadap informasi, yaitu
melalui langkah-langkah proses: gathering, organizing, selecting, synthesizing,
dan distributing.
o
Market-making
E-commerce dikatakan sebagai market-making
karena keberadaannya secara langsung telah membentuk sebuah pasar perdagangan
tersendiri yang mempertemukan berjuta-juta penjual dan pembeli di sebuah pasar
digital maya (e-market). Di pasar maya ini terjadi perdagangan secara terbuka
dan bebas, karena masing-masing penjual dan pembeli dapat bertemu secara
efisien tanpa perantara. E-market juga disinyalir sebagai arena perdagangan
yang paling efisien karena kecenderungannya untuk selalu mencari bentuk-bentuk
perdagangan yang berorientasi kepada pembeli (customer oriented), disamping
struktur persaingan antar penjual produk dan jasa yang hampir berada dalam
suasana perfect competition.
o
Service infrastructure
Konsep e-commerce ternyata tidak hanya membuahkan
mekanisme transaksi jual beli semata, namun ternyata banyak sekali jasa-jasa
baru yang diperlukan sebagai sarana pendukung aktivitas jual beli produk
tersebut. Katakanlah jasa dari institusi keuangan untuk menawarkan cara
pembayaran secara elektronik, jasa dari vendor aplikasi yang menawarkan cara
melakukan transaksi secara aman (secure), jasa dari ISP (internet service
provider) yang menawarkan cara mengakses internet dengan cepat dan murah, jasa
perusahaan hosting yang menawarkan perangkat penyimpan data maupun situs
perusahaan yang bersangkutan, dan lain-lain.
o
Legal, privacy, dan public policy
Sisi terakhir dalam melihat e-commerce adalah mencoba
memandangnya dari unsur-unsur semacam hukum, peraturan, kebijakan, proses, dan
prosedur yang diberlakukan. Secara tidak langsung terlihat bahwa interaksi
perdagangan elektronis yang telah mengikis batas-batas ruang dan waktu mau
tidak mau mendatangkan tantangan baru bagi pemerintah dan masyarakat dalam
mencoba membuat regulasi tertentu agar di satu pihak terbentuk lingkungan
bisnis yang kondusif, sementara di pihak lain hak-hak individu maupun
masyarakat dapat terjaga dengan baik.
6. Jalan Menuju E-Commerce
Rencana bisnis strategis akan membakukan komitmen untuk menggunakan e-commerceguna
meraih keunggulan kompetitif. Perusahaan pertama-tama harus memperoleh
kecerdasan bisnis (business intelligence) sehingga perusahaan tersebut
akan dapat memahami peranan potensial yang akan dimainkan oleh masing-masing
unsur lingkungan.
6.2 Strategi B2C Untuk E-commerce
Semakin banyaknya jumlah produk dan jasa yang
tersedia untuk pengiriman digital dan semakin banyaknya pelanggan yang mampu
mengatasi keengganan mereka untuk melakukan pembelian menggunakan web.
Kecepatan komunikasi yang lebih cepat dari komputer-komputer rumahan juga telah
membuat pengiriman produk-produk ditgital menjadi lebih praktis.
1. Produk-produk Digital
Beberapa produk dan jasa tertentu dapat
dikirimkan kepada pelanggan melalui internet. Dunia hiburan telah menjadi salah
satu produk awal yang mengambil manfaat dari internet. Satu perbedaan utama
antara pembelian produk-produk digital dengan produk-produk fisik melalui web
adalah bahwa produk digital dapat digunakan begitu selesai di-download.
Perbedaan lainnya adalah bahwa produk itu sendiri akan berpindah ke aset
pembelinya.
2. Produk-produk Fisik
Barang-barang fisik tidak dapat dikonsumsi
melalui web; sebagai gantinya, harus dikirimkan ke pelanggan. Pesanan penjualan
dapat diambil alih oleh web, tapi pengiriman harus tetap dilakukan. Pos paket
sering kali menjadi jasa paling murah yang diberikan, tetapi biasanya membutuhkan
waktu pengiriman yang paling lama.
Berkembangnya perusahaan-perusahaan pengiriman
surat/barang swasta telah secara langsung membantu e-commerce eceran. Perusahaan memberikan sejumlah
metode pengiriman alternatif dengan harga yang berbeda-beda.
3. Penjualan Maya Versus Campuran
Penjualan maya (virtual sales) adalah
penjualan yang dilakukan oleh sebuah perusahaan yang tidak mengoperasikan
tempat berjualan fisik. Dengan penjualan maya, tidak ada tokok dimana pelanggan
dapat masuk dan membeli produk. Penjualan campuran (hybrid sales)
terjadi ketika perusahaan memiliki tempat berjualan secara fisik dan situs web
dimana pelanggan dapat membeli produk. Kedua strategi penjualan eceran ini
perlu menginformasikan biaya dan fitur produk kepada pelanggan, mengatur
pembayaran pelanggan, dan menghasilkan pengiriman produk.
Satu kesulitan yang dihadapi oleh perusahaan yang
menawarkan penjualan maya adalah memberikan informasi produk yang dibutuhkan
tanpa membingungkan pelanggan. Kendala lainnya adalah bahwa gambar merupakan file yang berukuran besar, dan
mengomunikasikannya dari situs web ke komputer pelanggan akan memakan waktu.
Masalah ini dapat dikurangi dengan membatasi jumlah gambar yang ditampilkan
sampai pelanggan telah memusatkan perhatian pencarian mereka pada pilihan yang
relatif sedikit.
Penjualan maya paling sering dipergunakan ketika
perusahaan tidak dapat membangun sebuah tempat berjualan fisik atau menemukan
tempat berjualan fisik yang layak secara ekonomis.
Penjualan campuran terkadang disebut sebagai
operasi brick-and-click.
Kebanyakan perusahaan memiliki tempat berjualan karena biasanya hal tersebut
dibutuhkan untuk rencana bisnisnya.
Contoh
yang paling populer pada saat ini adalah penjualan produk melalui jejaring
sosial seperti Facebook atau situs lain seperti www.kaskus.us, dimana
penjualan yang mereka lakukan biasanya merupakan penjualan maya atau pun
penjualan campuran.
4. Pemerintahan Elektronik
Pemerintah juga dapat mengambil manfaat dari e-commerce. Pemerintahan
elektronik atau e-government adalah penggunaan teknologi informasi
oleh pemerintah untuk memberikan informasi dan pelayanan bagi warganya, urusan
bisnis, serta hal-hal lain yang berkenaan dengan pemerintahan. E-government dapat diaplikasi pada legislatif,
yudikatif, atau administrasi public, untuk meningkatkan efisiensi internal,
menyampaikan pelayanan publik, atau proses kepemerintahan yang demokratis.
Model penyampaian yang utama adalah government-to-citizen atau government-to-customer(G2C), government-to-business (G2B) serta government-to-government (G2G). keuntungan yang paling
diharapkan dari e-government adalah peningkatan efisiensi,
kenyamanan, serta aksesibilitas yang lebih baik dari pelayanan publik.
Contohnya
pemerintahan elektronik untuk di Indonesia yang sudah sangat mengikuti
perkembangan adalah kantor pelayanan pajak yang memiliki pemerintahan
elektronik yang dapat diakses melalui internet dengan alamat situs www.pajak.go.id
6.3 Langkah E-commerce Berikutnya
Tantangan bagi e-commerce lebih dari sekedar jenis barang yang
ditawarkan. Banyak pelanggan lebih nyaman menggunakan telepon selular dari pada
menggunakan keyboard komputer.
1. Perdagangan Bergerak
Perdagangan bergerak adalah penggunaan telepon
selular dan asisten digital pribadi (personal digital assistant—PDA)
untuk melakukan e-commerce nirkabel. Seiring dengan berkembangnya
teknologi telepon selular dari generasi analog menjadi generasi digital,
istilah telekomunikasi generasi ketiga (third generation—3G) telah
secara longgar dipergunakan untuk teknologi-teknologi nirkanel yang mampu
memindahkan data.
2. Nirkabel Berkelas Bisnis di
Semua Tempat
Hot spot internet kabel cukup memadai untuk
penggunaan Web umum maupun pribadi, namun memeriksa e-mail di sebuah kedai kopi starbucks adalah
suatu cara yang kurang memadai bagi para profesional bisnis. Karena
ketergantungan pada sambungan komunikasi kabel dan kecilnya cakupan jarak oleh
suatu poin akses nirkabel menjadikan akses nirkabel secara terus-menerus
mustahil untuk dilakukan. Komunikasi nirkabel yang kecepatannya cukup memadai
melalui penyedia jasa komunikasi yang sama dengan telepon seluler akan
memungkinkan terciptanya komputasi nirkabel berkelas bisnis hampir di semua
bisnis hampir di semua tempat. Verizon menawarkan suatu rencana akses
pita lebar (broadband) yang berjalan pada kecepatan mulai dari 400 sampai 700
kilobit per detik, namun layanan ini tersedia dibanyak wilayah metropolitan dan
tidak terbatas hanya pada poin akses terdekat untuk suatu jaringan menggunakan
kabel.
6.4 Kebutuhan Organisasi Akan Keamanan Dan Pengendalian
Keamanan Informasi
Dalam dunia masa kini, banyak
organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka,
baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam
atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika
sejumlah instalasi keamanan komputer dirusak pemrotes. Pengalaman ini
menginspirasi kalangan industri untuk meletakkan penjagaan keamanan yang
bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau
penghancuran serta menyediakan organisasi dengnan kemampuan untuk melanjutkan
kegiatan operasional setelah terjadi gangguan.
Pendekatan-pendekatan
yang dimulai di kalangan industri dicontoh dan diperluas. Ketika pencegahan
federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana
versus hak-hak individu dan keamaan versus ketersediaan.
Keamanan
Informasi
Saat pemerintah
dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya
informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindunga
peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan
sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan
nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang
tidak berwenang.
Tujuan Keamanan Informasi
Keamanan
informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
- Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
- Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
- Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan informasi
Aktivitas
untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan
informasi (information security management – ISM ), sedangkan aktivitas untuk
menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity
management – BCM).
Jabatan
direktur keamanan sistem informasi perusahaan (coorporate information system
security officer – CISSO) digunakan untuk individu di dalam organisasi,
biasanya anggota dari unit sistem informasi yang bertanggung jawab atas
keamanan sistem informasi perusahaan tersebut.
Manajemen
Keamanan Informasi
Pada
bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat
tahap yakni:
a. Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan
b. Mendefenisikan risiko yang
dapat disebabkan oleh ancaman-ancaman tersebut
c. Menentukan kebijakan
keamanan informasi
d. Mengimplementasikan
pengendalian untuk mengatasi risiko-risiko tersebut.
Istilah
manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini
dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan
risiko yang dihadapinya.
Tolak ukur
(benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan
informasi (information security benchmark) adalah tingkat kemanan yang
disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini
ditentukan oleh pemerintah dan asosiasi industri serta mencerminkan
komponen-komponen program keamanan informais yang baik menurut otoritas
tersebut.
Ketika
perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak ukur
(benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri
telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman
serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
6.5
Ancaman Dan Resiko
Ancaman
Ancaman Keamanan Informasi (Information Security Threat) merupakan
orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan. Pada kenyataannya,
ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan
tidak disengaja.
Ancaman Internal dan Eksternal
Ancaman
internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan
tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara
potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan
pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut. Ancaman
eksternal misalnya perusahaan lain yang memiliki produk yang sama dengan produk
perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan
tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh
orang-orang di dalam ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik system. Fungsi-fungsi
tersebut dapat menghapus file,atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
a. Virus. Adalah
program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot
sector lain
b. Worm. Program
yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat
menyebarkan salinannya melalui e-mail
c. Trojan
Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya
sendiri, namun disebarkan sebagai perangkat
d. Adware. Program
yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program
yang mengumpulkan data dari mesin pengguna
Risiko
Risiko Keamanan Informasi (Information Security Risk) didefinisikan
sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang
tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a.
Pengungkapan Informsi
yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan
perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b.
Penggunaan yang tidak
terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang
yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan
hal tersebut.
c.
Penghancuran yang
tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau
menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
d.
Modifikasi yang
terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak
perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna
output sistem tersebut mengambil keputusan yang salah.
6.6 Persoalan E-commerce
E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan
dari pemalsuan kartu kredit.
Kartu Kredit “Sekali pakai”
Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu
ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari
situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor
kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce,
yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik keamanan yang diwajibkan oleh
Visa
Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini
untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti
praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa,
atau pembatasan penjualan dengan visa. Peritel harus :
1. Memasang
dan memelihara firewall
2. Memperbaharui
keamanan
3. Melakukan
enkripsi data yang disimpan
4. Melakukan
enkripsi pada data ynag dikirm
5. Menggunakan
dan memperbaharui peranti lunak anti virus
6. Membatasi
akses data kepada orang-orang yang ingin tahu
7. Memberikan
id unik kepada setiap orang yang memiliki kemudahan mengakses data
8. Memantau
akses data dengan id unik
9. Tidak
menggunakan kata sandi default yang disediakan oleh vendor
10. Secara teratur menguji sistem keamanan
Selain
itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
1. Menyaring
karyawan yang memiliki akses terhadap data
2. Tidak
meninggalkan data atau komputer dalam keadaan tidak aman
3. Menghancurkan
data jika tidak dibutuhkan lagi
6.7 Manajemen Resiko
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat
langkah :
1. Identifikasi
aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari
risikonya
3. Menentukan
tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis
kelemahan perusahaan tersebut
Tabel Tingkat Dampak dan Kelemahan
Dampak Parah
|
Dampak Signifikan
|
Dampak Minor
|
|
Kelemahan Tingkat Tinggi
|
Melaksanakan analisis kelemahan. Harus
meningkatkan pengendalian
|
Melaksanakan analisis
kelemahan. Harus meningkatkan pengendalian
|
Analisis kelemahan tidak dibutuhkan
|
Kelemahan Tingkat Menengah
|
Melaksanakan analisis kelemahan.
Sebaiknya meningkatkan pengendalian.
|
Melaksanakan analisis kelemahan.
Sebaiknya meningkatkan pengendalian.
|
Analisis kelemahan tidak dibutuhkan
|
Kelemahan Tingkat Rendah
|
Melaksanakan analisis
kelemahan. Menjaga Pengendalian tetap ketat.
|
Melaksanakan analisis
kelemahan. Menjaga Pengendalian tetap ketat.
|
Analisis kelemahan tidak dibutuhkan
|
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang membuat
perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi
2. dampak
signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak
minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang terjadi
dalam operasional sehari-hari.
Setelah
analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi
berikut ini, mengenai tiap-tiap risiko:
1.
diskripsi risiko
2.
sumber risiko
3.
tingginya tingkat
risiko
4.
pengendalian yang diterapkan
pada risiko tersebut
5.
para pemilik risiko
tersebut
6.
tindakan yang
direkomendasikan untuk mengatasi risiko
7.
jangka waktu yang
direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan
dengan cara menambahkan bagian akhir :
8.
apa yang telah
dilaksanakan untuk mengatasi risiko tersebut
KebijakanKeamanan Informasi
Suatu
kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program.
Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap,
diantaranya:
a.
Fase 1, Inisiasi
Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut.
b.
Fase
2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat
dan terpengaruh.
c.
Fase
3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk
mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
d.
Fase 4, Kesadaran
dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam
unit-unit organisasi.
e.
Fase
5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit
organisasi dimana kebijakan tersebut dapat diterapkan.
Kebijakan Keamanan yang
Terpisah dikembangkan untuk
a. Keamanan
Sistem Informasi
b. Pengendalian
Akses Sistem
c. Keamanan
Personel
d. Keamanan
Lingkungan Fisik
e. Keamanan
Komunikasi data
f. Klasifikasi
Informasi
g. Perencanaan
Kelangsungan Usaha
h. Akuntabilitas
Manajemen
Kebijakan
terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan, dan
melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan,
pengendalian dapat diimplementasikan.
6.8 Pengendalian
Pengendalian (control) adalah mekanisme
yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk
meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut
terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
1. Pengendalian Teknis
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh
para penyusun system selam masa siklus penyusunan system. Didalam pengendalian
teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan
satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi
bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan
teknologi peranti keras dan lunak.
1. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang
tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika
orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber
daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
1. Identifikasi pengguna. Para
pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi
dapat pula mencakup lokasi pengguna, seperti nomor telepon
atau titik masuk jaringan.
2. Autentifikasi pengguna. Setelah
identifkasi awal telah dilakukan, para pengguna memverikasi hak akses dengan
cara memberikan sesuatu yang mereka miliki, sepertismart card atau
tanda tertentu atau chip identifikasi. Autentifikasi pengguna
dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas
diri, seperti tanda tangan atau suara atau pola suara.
3. Otorisasi pengguna. Setelah
pemeriksaan identifikasi dan autentifikasi dilalui, seseorang kemudian dapat
mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu.
Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk
membaca sebuah rekaman dari suatu file, sementara pengguna
yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil
pengguna (user profile), atau deskripsi pengguna yang terotorisasi.
Otorisasi memanfaatkan file pengendalian akses(acess control file) yang
menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian
kases, mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam
batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus
dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu
serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan
keuangan.
2. System
Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk
melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak
proteksi virus (virus protection software) yang telah terbukti
efektif melawan virus yang terkirim melalui e-mail. Peranti lunak
tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan
untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk
membahayakan.Peralatan prediksi ancaman dari dalam (insider threat
prediction tool) telah disusun sedemikian rupa sehingga dapat
mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan,
akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti
keras, jenis aplikasi yang digunakan, file yang dimilki, dan
penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini,
yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal
ke dalam kategori seperti ancaman yang disengaja, potensi ancaman
kecelakaan, mencurigakan, dan tidak berbahaya.
3. Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan.
Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web
perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive
dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra
dagang yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewallberfungsi
sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari
perusahaan tersebut dan Internet. Konsep dibalik firewall adalah
dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan
bukannya pengaman terpisah untuk masing-masing computer. Beberapa perusahaan
yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa
biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis
firewall, yaitu:
1. Firewall
Penyaring Paket. Router adalah alat jaringan yang
mengarahkan aliran lalu lintas jaringan. Jika router diposisikan
antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi
dengan table data dan alamat-alamat IP yang menggambarkan kebijakan
penyaringan. Untuk masing-masing transmisi, routermengakses
table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi
Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah
serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik
mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah
satu keterbasan router adalahrouter hanya
merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya
perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu
menipu table akses router, adalah dalah satu metode yang digunakan
untuk pembajak untuk menipu router.
2. Firewall
Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalahfirewall tingkat
sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat
dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini
memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih
tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal
keamanan tetap berlaku.
3. Firewall Tingkat Aplikasi. Firewall ini
berlokasi antara router dan computer yang menajlankan aplikasi
tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah
permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang
diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan
paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh
seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan
memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja biasa.
Meskipun merupakan jenis firewall yang paling efektif, firewall ini
cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang
programmer jaringan harus penulis kode program yang spesifik untuk
masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan,
dihapus, dimodifikasi.
4. Pengendalian
Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan
membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah
kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan
produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah
dirancang. Salah satunya adalah SET (Secure Electronic Transactions),
yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda
tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam
transaksi e-commerce – pelanggan, penjual, dan institusi
keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
5. Pengendalian
Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan
cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan
dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh
dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir,
dan badai.
6. Meletakkan
Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak
semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan
informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan.
Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang
dianggap menawarkan pengaman yang paling realisitis.
2. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku
yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam
bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan tersebut.
Mncapai Tingkat Pengendalian Yang Tepat
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan
biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan
lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari
resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang
sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya
dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industry
terdapat pula pertimbangan-pertimbangan lain.
Dukungan Pemerintah Dan
Industri
Beberapa organisasi pemerintahan dan internasional telah menentukan
standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin
mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur, yang
telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk
manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun
standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam
menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya :
BS7799
Milik Inggris
BSI
IT Baseline Protection Manual
COBIT
GASSP
(Generally Accepted System Security Principles)
ISF
Standard of Good Practice
Tidak ada satupun dari standar-standar ini yang menawarkan cakupan yang
menyeluruh dari masalah ini. Namun, jika disatukan, standar-standar tersebut
menjadi dasar yang baik untuk diikuti perusahaan dalam menentukan kebijakan
keamanan informasinya sendiri yang mendukung budaya organisasi tersebut.
Peraturan Pemerintah
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standard
an menetapkan standardan menetapkan peraturan yang ditujukan untuk menaggapi
masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah
peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan
computer. Beberapa diantaranya adalah :
Standar
Keamanan Komputer Pemerintah Amerika Serikat
Undang-undang
Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001
Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang
didedikasikan untuk membantu para mengguna computer guna membuat system mereka
lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS
Scoring Tools.
Sertifikasi Profesional
Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga
contoh berikut mengilustrasikan cakupan dari program-program ini.
Asosiasi
Audit Sistem dan Pengendalian
Konsersium
Sertifikasi Keamanan Sistem Informasi Internasional
Institute
SANS
Beberapa contoh perdagangan E-commerce:
-
http://www.amazon.com/
Tidak ada komentar:
Posting Komentar