chapter 9 "Information systems Controls for System Reliability Part 2: Confidentiality and Privacy"

dalam postingan ini saya akan membahas Sistem Informasi Akuntansi tentang Information systems Controls for System Reliability Part 2: Confidentiality and Privacy. Selamat membaca ^^ 

Menjaga Kerahasiaan

Organisasi memiliki segudang informasi sensitif, termasuk rencana strategis, rahasia dagang, informasi biaya, dokumen hukum, dan peningkatan proses. Kekayaan intelektual ini sering sangat penting bagi keunggulan kompetitif dan kesuksesan jangka panjang organisasi. Akibatnya, menjaga kerahasiaan kekayaan intelektual organisasi, dan informasi serupa yang dibagikan oleh mitra bisnisnya, telah lama diakui sebagai tujuan dasar dari keamanan informasi.

apa saja tindakan yang dilakukan untuk menjaga kerahasiaan sistem informasi ?

1. identifikasi dan klasifikasi informasi yang harus dilindungi. Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitif lainnya adalah mengidentifikasi di mana informasi tersebut berada dan siapa yang memiliki akses kepadanya. Ini kedengarannya mudah, tetapi melakukan inventarisasi menyeluruh atas setiap penyimpanan informasi digital dan kertas memakan waktu dan biaya karena melibatkan pemeriksaan lebih dari sekadar isi sistem keuangan organisasi. Misalnya, perusahaan manufaktur biasanya menggunakan otomatisasi pabrik berskala besar. Sistem-sistem tersebut mengandung instruksi yang dapat memberikan keuntungan biaya yang signifikan atau peningkatan kualitas produk dibandingkan dengan pesaing dan, oleh karena itu, harus dilindungi dari pengungkapan atau gangguan yang tidak sah. Setelah informasi yang perlu dilindungi telah diidentifikasi, langkah selanjutnya, sebagaimana dibahas dalam Tujuan Kontrol untuk Informasi dan Teknologi Terkait (COBIT) adalah untuk mengklasifikasikan informasi dalam hal nilainya kepada organisasi. Klasifikasi informasi bukanlah tugas yang harus didelegasikan semata-mata kepada para profesional sistem informasi; untuk mengenali nilai informasi dengan tepat, prosesnya juga membutuhkan masukan dari manajemen senior. Setelah informasi diklasifikasi, rangkaian kontrol yang sesuai dapat digunakan untuk melindunginya.
2. enkripsi informasi sensitif, Enkripsi (akan dibahas nanti dalam bab ini) adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan. Ini adalah satu-satunya cara untuk melindungi informasi saat transit melalui Internet. Ini juga merupakan bagian penting dari pertahanan-mendalam untuk melindungi informasi yang disimpan di situs Web atau di cloud publik. Sebagai contoh, banyak perusahaan akuntansi telah menciptakan portal aman yang mereka gunakan untuk berbagi informasi audit, pajak, atau konsultasi sensitif dengan klien. Keamanan portal seperti itu, bagaimanapun, dibatasi oleh kekuatan metode otentikasi yang digunakan untuk membatasi akses. Dalam kebanyakan kasus, ini hanya memblok otentikasi satu faktor melalui kata sandi. Mengenkripsi data klien yang disimpan di portal memberikan lapisan perlindungan tambahan jika ada akses tidak sah ke portal. Demikian pula, mengenkripsi informasi yang disimpan dalam cloud publik melindunginya dari akses tidak sah oleh karyawan penyedia layanan cloud atau oleh siapa pun yang menggunakan cloud yang sama. Enkripsi, bagaimanapun, bukanlah obat mujarab Beberapa informasi sensitif, terutama "knowhow" seperti cara pintas proses, mungkin tidak disimpan secara digital dan, karena itu, tidak dapat dilindungi dengan dienkripsi. Selain itu, enkripsi hanya melindungi informasi dalam situasi tertentu. Sebagai contoh, enkripsi dilk penuh melindungi informasi yang disimpan di laptop jika hilang atau dicuri. Orang yang mencuri atau menemukan laptop semacam itu tidak akan dapat membaca informasi apa pun yang dienkripsi, kecuali ia dapat masuk sebagai pemilik yang sah. Itu sebabnya otentikasi yang kuat juga diperlukan. Selain itu, informasi pada laptop didekripsi kapan pun pemilik telah masuk, yang berarti siapa pun yang dapat duduk di keyboard dapat melihat informasi sensitif. Oleh karena itu, kontrol akses fisik juga diperlukan. Demikian pula, dalam sistem perusahaan, mengenkripsi informasi saat disimpan dalam basis data melindunginya agar tidak dilihat oleh orang yang memiliki akses ke sistem tetapi tidak ke basis data 'Namun, database harus mendekripsi informasi untuk memprosesnya; oleh karena itu, siapa pun yang dapat mengakses ke basis data dapat berpotensi melihat informasi rahasia. Itulah mengapa kontrol akses yang kuat juga diperlukan. Singkatnya, informasi sensitif terekspos dalam tampilan biasa setiap kali sedang diproses oleh program, ditampilkan pada monitor, atau termasuk dalam laporan tercetak. Akibatnya, melindungi kerahasiaan membutuhkan penerapan prinsip pertahanan-mendalam: melengkapi enkripsi dengan kontrol akses dan pelatihan.
3. mengontrol akses ke informasi sensitif, Bab 8 membahas bagaimana organisasi menggunakan otentikasi dan kontrol otorisasi untuk membatasi akses ke sistem informasi yang mengandung informasi sensitif. Perangkat lunak manajemen hak lnformasi (IRM) memberikan lapisan tambahan perlindungan terhadap sumber daya informasi tertentu, yang menawarkan kemampuan tidak hanya untuk membatasi akses ke file atau dokumen tertentu, tetapi juga untuk menentukan tindakan (baca, salin, cetak, unduh ke perangkat USB, dll.) bahwa individu yang diberikan akses ke sumber daya itu dapat melakukan. Beberapa perangkat lunak IRM bahkan memiliki kemampuan untuk membatasi hak istimewa tersebut untuk jangka waktu tertentu dan menghapus file yang dilindungi dari jarak jauh. Entah pembuat informasi atau orang yang bertanggung jawab untuk mengelolanya harus menetapkan hak akses Untuk mengakses sumber daya yang dilindungi IRM, seseorang harus terlebih dahulu mengotentikasi ke server IRM, yang kemudian mengunduh kode yang berisi instruksi pembatasan akses ke komputer orang tersebut . Tujuan pengendalian COBIT DS 12.2 dan DS 12.3 mengatasi kontrol akses fisik, yang juga penting dalam mencegah seseorang dengan akses yang tidak diawasi dengan cepat mengunduh dan menyalin gigabyte informasi rahasia ke drive USB, iPod, ponsel, atau perangkat portal lainnya. Sangat penting untuk membatasi akses ke ruangan yang berisi printer, mesin fotokopi digital, dan mesin faks karena perangkat tersebut biasanya memiliki RAM dalam jumlah besar, yang dapat menyimpan informasi rahasia yang dicetak. Laptop dan workstation harus menjalankan screen saver yang dilindungi sandi secara otomatis. setelah beberapa menit tidak aktif, untuk mencegah melihat informasi sensitif. Perangkat perlindungan layar yang membatasi jarak dan sudut dari mana informasi pada laptop atau workstation monitor dapat dilihat juga berguna.Selain itu, tujuan kontrol COBIT DS 11.4 membahas pentingnya mengendalikan pembuangan sumber informasi Laporan yang dicetak dan micro film yang berisi informasi rahasia harus difilter sebelum dibuang. Prosedur khusus diperlukan untuk menghancurkan informasi yang tersimpan pada media magnetik dan optik. Menggunakan perintah sistem operasi built-in untuk menghapus informasi itu tidak cukup, karena banyak program utilitas ada yang dapat memulihkan file yang dihapus tersebut. Seringkali, orang-orang yang telah membeli komputer bekas, ponsel, mesin fotokopi digital, dan perangkat lain menemukan informasi yang sebelumnya dianggap telah dihapus oleh pemilik sebelumnya. Pembuangan yang tepat dari media komputer membutuhkan penggunaan perangkat lunak khusus yang dirancang untuk "menghapus" bersih media dengan berulang kali menimpa disk atau drive dengan pola data acak. Mungkin alternatif yang paling aman adalah menghancurkan secara fisik (misalnya, dengan insinerasi) media magnetik dan optik yang telah digunakan untuk menyimpan data yang sangat sensitif. Saat ini, organisasi terus bertukar informasi dengan mitra bisnis dan pelanggan mereka. Oleh karena itu, melindungi kerahasiaan juga membutuhkan kontrol terhadap komunikasi keluar. Salah satu alat untuk mencapai itu adalah perangkat lunak pencegahan kehilangan data (DLP), yang bekerja seperti program antivirus secara terbalik, memblokir pesan keluar (apakah e-mail, lM, atau cara lain) yang berisi kata atau frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lainnya yang ingin dilindungi oleh organisasi. Perangkat lunak DLP adalah kontrol pencegahan. Ini dapat dan harus dilengkapi dengan kode embedding dengan digita! tanda air dalam dokumen. Watermark lhedigital adalah kontrol detektif yang memungkinkan organisasi untuk mengidentifikasi informasi rahasia yang telah diungkapkan. Ketika suatu organisasi menemukan dokumen yang berisi tanda air digitalnya di Internet, ia memiliki bukti bahwa kontrol preventif yang dirancang untuk protec (informasi sensitifnya telah gagal. Seharusnya, "irr" melakukan tindakan korektif yang sesuai. kontrol yang dirancang untuk memutar kerahasiaan harus terus-menerus ditinjau ulang dan dimodifikasi untuk menanggapi ancaman baru yang dihilangkan oleh kemajuan teknologi. Sebagai contoh, penggabungan kamera digital dalam ponsel memungkinkan pengunjung untuk diam-diam menangkap informasi rahasia. Akibatnya, banyak organisasi sekarang. melarang pengunjung menggunakan ponsel saat melakukan tur fasilitas manufaktur atau area lain yang mungkin berisi informasi rahasia. Karena ponsel kamera begitu mudah disembunyikan, sebagian besar organisasi juga mengharuskan pengunjung selalu dikawal oleh karyawan untuk mengurangi risiko pengunjung memotret informasi sensitif Percakapan telepon adalah sebuah daerah lain dipengaruhi untuk kemajuan teknologi. Di masa lalu, penyadapan adalah satu-satunya ancaman serius terhadap kerahasiaan percakapan telepon, dan kesulitan mengaturnya berarti bahwa risiko ancaman itu relatif rendah. Penggunaan voiceover-the-Internet (VoIP), howeveq berarti percakapan telepon sekarang dialihkan sebagai paket melalui Internet. Ini berarti bahwa percakapan telepon VoIP rentan terhadap penyadapan seperti halnya informasi lain yang dikirim melalui Internet. Karena itu, percakapan VoIP tentang sensitif topik harus dienkripsi. Virtualisasi dan komputasi awan juga memengaruhi risiko akses tidak sah ke informasi sensitif atau rahasia. Kontrol penting dalam lingkungan virtual, termasuk awan "pribadi" yang dikelola secara internal, adalah menggunakan firewall virtual untuk membatasi akses antara mesin virtual berbeda yang hidup berdampingan di server fisik yang sama. Selain itu, mesin virtual yang menyimpan data yang sangat sensitif atau rahasia tidak boleh di-host pada server fisik yang sama dengan mesin virtual yang dapat diakses melalui Internet karena risiko bahwa penyerang yang terampil mungkin dapat keluar dari yang terakhir dan kompromi bekas. Dengan cloud publik, data disimpan di tempat lain, dan akses terjadi melalui Internet melalui browser. Oleh karena itu, komunikasi antara pengguna dan cloud harus dienkripsi. Perangkat lunak browser, bagaimanapun, sering mengandung banyak kerentanan. Akibatnya, data yang sangat sensitif dan rahasia mungkin tidak boleh disimpan di cloud publik karena kurangnya kontrol terhadap di mana informasi itu sebenarnya disimpan dan karena risiko akses tidak sah oleh pelanggan cloud lain, yang mungkin termasuk pesaing, atau bahkan oleh karyawan penyedia cloud.
4. pelatihan, Pelatihan adalah kontrol yang paling penting untuk melindungi konfidertialitas. Karyawan perlu mengetahui informasi apa yang dapat mereka bagikan dengan pihak luar dan informasi apa yang perlu dilindungi. Mereka juga perlu diajarkan cara melindungi data rahasia. Misalnya, karyawan perlu tahu cara menggunakan enkripsi, pada perangkat lunak. Mereka juga perlu belajar untuk selalu keluar dari aplikasi sebelum meninggalkan laptop atau workstation tanpa pengawasan, untuk mencegah karyawan lain mendapatkan akses tidak sah ke informasi itu. Karyawan juga perlu mengetahui cara mengodekan laporan yang dibuat untuk mencerminkan pentingnya informasi yang terkandung di dalamnya sehingga karyawan lain akan tahu cara menangani laporan tersebut. Mereka juga perlu diajarkan untuk tidak pergi, "po.tr berisi informasi sensitif dalam tampilan biasa di meja mereka ketika mereka pergi. Pelatihan sangat penting mengenai penggunaan e-mail yang tepat, pesan instan (chat), dan blog karena tidak mungkin untuk mengontrol distribusi informasi setelah dikirim atau diposting melalui salah satu metode tersebut. Sebagai contoh, penting untuk mengajari karyawan untuk tidak menggunakan opsi "balas semua" dengan e-mail karena melakukan jadi dapat mengungkapkan informasi sensitif kepada orang-orang yang seharusnya tidak melihatnya. Karyawan juga perlu diajari bagaimana berpartisipasi dalam diskusi di konferensi atau kursus pendidikan profesional sehingga mereka tidak secara tidak sengaja mengungkapkan informasi yang mungkin mengurangi keunggulan kompetitif majikan mereka. Karyawan sering tidak menyadari pentingnya informasi yang mereka miliki, seperti langkah-langkah menghemat waktu atau fitur tidak terdokumentasi yang mereka temukan ketika menggunakan

apa itu 10 praktek sehat GAAP ?

Peraturan Privasi dan Umumnya Diterima Privacy Principles Concerns tentang spam, pencurian identitas, dan melindungi privasi individu telah menghasilkan banyak regulasi pemerintah. Selain undang-undang pengungkapan negara, sejumlah peraturan federal, termasuk Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA), Teknologi Informasi Kesehatan untuk Ekonomi dan Klinis Kesehatan Act (HITECH), dan Modernisasi Undang-Undang Jasa Keuangan (biasa disebut sebagai Gramm-Leach-Bliley Act, mewakili nama-nama tiga sponsor Kongresnya, memberlakukan persyaratan khusus pada organisasi untuk melindungi privasi informasi pribadi pelanggan mereka. Banyak negara lain juga memiliki peraturan tentang penggunaan dan perlindungan informasi pribadi pelanggan. Untuk membantu organisasi dengan biaya yang efektif memenuhi persyaratan segudang ini, American Institute of Certified Public Accountants (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka kerja yang disebut Prinsip-Prinsip Kerahasiaan yang Diterima Umum (GAPP). GAPP mengidentifikasi dan menetapkan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan:

1. Pengelolaan. Organisasi perlu menetapkan serangkaian prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang mereka kumpulkan dari pelanggan, serta informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit. Mereka harus menetapkan tanggung jawab dan akuntabilitas untuk menerapkan kebijakan dan prosedur tersebut kepada orang atau kelompok karyawan tertentu.
2. Perhatikan. Suatu organisasi harus memberikan pemberitahuan tentang kebijakan privasi dan praktiknya pada atau sebelum waktu itu mengumpulkan informasi pribadi dari pelanggan, atau sesegera mungkin setelah itu. Pemberitahuan harus menjelaskan dengan jelas informasi apa yang dikumpulkan, alasan pengumpulannya, dan bagaimana informasi itu akan digunakan.
3. Pilihan dan persetujuan. Organisasi harus menjelaskan pilihan yang tersedia bagi individu dan memperoleh persetujuan mereka sebelum pengumpulan dan penggunaan informasi pribadi mereka. Sifat pilihan yang ditawarkan berbeda di setiap negara. Di Amerika Serikat, kebijakan default disebut opt-out, yang memungkinkan organisasi untuk mengumpulkan informasi pribadi tentang pelanggan kecuali pelanggan secara eksplisit objek. Sebaliknya, kebijakan default di Eropa adalah opsi, yang berarti bahwa organisasi tidak dapat mengumpulkan informasi pengenal pribadi kecuali customers secara eksplisit memberi mereka izin untuk melakukan sd. Namun, bahkan di Amerika Serikat, GAPP merekomendasikan agar organisasi mengikuti pendekatan opt-in dan memperoleh konsentrasi positif eksplisit sebelum mengumpulkan dan menyimpan informasi pribadi yang sensitif, seperti catatan keuangan atau kesehatan, opini politik, agama yang tidak percaya, dan sejarah kriminal sebelumnya.
4. Collection Suatu organisasi hanya boleh mengumpulkan inlormasi yang diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. Salah satu masalah yang paling penting adalah penggunaan cookie di situs Wbb. Cookie adalah file teks yang dibuat oleh situs Web dan disimpan di hard disk pengunjung. Cookie menyimpan informasi tentang apa yang telah dilakukan pengguna di situs. Sebagian besar situs web membuat banyak cookie per kunjungan untuk memudahkan pengunjung untuk menavigasi ke bagian yang relevan dari situs Web. Penting untuk dicatat bahwa cookie adalah file teks, yang berarti bahwa mereka tidak dapat "melakukan" apa pun selain menyimpan informasi. Mereka, bagaimanapun, mengandung informasi pribadi yang dapat meningkatkan risiko pencurian identitas dan ancaman privasi lainnya. Browser dapat dikonfigurasi untuk tidak menerima cookie, dan GAPP merekomendasikan agar organisasi menggunakan prosedur untuk menyetujui permintaan tersebut dan tidak menggunakan cookie secara diam-diam.
5. Gunakan dan retensi. Organisasi harus menggunakan informasi pribadi pelanggan hanya dengan cara yang dijelaskan dalam kebijakan privasi mereka dan menyimpan informasi tersebut hanya selama diperlukan untuk memenuhi tujuan bisnis yang sah. Ini berarti bahwa organisasi perlu membuat kebijakan retensi dan menetapkan tanggung jawab seseorang untuk memastikan kepatuhan dengan kebijakan tersebut.
6. Mengakses. Suatu organisasi harus menyediakan individu dengan kemampuan untuk mengakses, meninjau,benar, dan hapus informasi pribadi yang tersimpan tentang mereka.
7. Pengungkapan kepada pihak-pihak yang haus. Organisasi harus mengungkapkan informasi pribadi pelanggan mereka kepada pihak ketiga hanya dalam situasi dan perilaku yang dijelaskan dalam kebijakan privasi organisasi dan hanya untuk pihak ketiga yang memberikan tingkat perlindungan privasi yang sama seperti yang dilakukan organisasi yang pada awalnya mengumpulkan informasi. Prinsip ini memiliki implikasi untuk menggunakan komputasi awan, karena menyimpan informasi pribadi pelanggan di cloud dapat membuatnya dapat diakses oleh karyawan penyedia cloud; maka informasi semacam itu harus dienkripsi setiap saat.
8. Keamanan. Organisasi harus mengambil langkah-langkah yang wajar untuk melindungi informasi pribadi pelanggannya dari kehilangan atau pengungkapan yang tidak sah. Memang, tidak mungkin melindungi privasi tanpa keamanan informasi yang memadai. Oleh karena itu, organisasi harus menggunakan berbagai kontrol pencegahan, detektif, dan korektif yang dibahas dalam Bab 8 untuk membatasi akses ke informasi pribadi pelanggan mereka. Namun, mencapai tingkat keamanan informasi yang dapat diterima tidak cukup untuk melindungi privasi. Juga perlu melatih karyawan untuk menghindari praktik yang dapat mengakibatkan pelanggaran privasi yang tidak disengaja atau dalam pelanggaran advertent. Satu masalah yang sering diabaikan adalah masalah pembuangan peralatan komputer. Penting untuk mengikuti saran yang disajikan di bagian tentang melindungi kerahasiaan untuk menghapus semua informasi yang disimpan di media komputer dengan benar. Mungkin salah satu insiden paling terkenal gagal untuk menghapus informasi dengan benar pada hard drive melibatkan pembuangan komputer pribadi mutlak oleh bank Inggris. Itu dijual di lelang; pembeli menemukan bahwa itu berisi informasi pribadi tentang urusan keuangan Paul McCartney. E-mail menyajikan vektor ancaman kedua yang perlu dipertimbangkan. Sebagai contoh, pada tahun2002 produsen obat, Eli Lilly mengirim e-mail tentang obat antidepresannya, Prozac, kepada 669 pasien. Namun, karena menggunakan cc: berfungsi untuk mengirim pesan ke semua pasien, e-mail mengungkapkan identitas pasien lain. Area ketiga yang sering dilupakan menyangkut pelepasan dokumen elektronik. Sama seperti prosedur khusus digunakan untuk mematikan informasi pribadi pada dokumen kertas, organisasi harus melatih karyawan untuk menggunakan prosedur untuk menghapus informasi tersebut pada dokumen elektronik dengan cara yang mencegah penerima dokumen memulihkan informasi yang disunting.
9. Kualitas. Organisasi harus menjaga integritas informasi pribadi pelanggan mereka dan menggunakan prosedur untuk memastikan bahwa itu cukup akurat. Menyediakan pelanggan dengan cara untuk meninjau informasi pribadi yang disimpan oleh organisasi (prinsip GAPP 6) dapat menjadi cara yang efektif biaya untuk mencapai tujuan ini.
10. Pemantauan dan penegakan hukum. Suatu organisasi harus menugaskan satu atau lebih karyawan untuk bertanggung jawab untuk memastikan kepatuhan dengan kebijakan privasi yang dinyatakannya. Organisasi juga harus secara berkala memverifikasi bahwa karyawan mereka mematuhi kebijakan privasi yang disebutkan. Selain itu, organisasi harus menetapkan prosedur untuk menanggapi keluhan pelanggan, yang melibatkan penggunaan proses penolakan sengketa pihak ketiga.

apa itu encryption ?

Enkripsi adalah kontrol pencegahan yang dapat digunakan untuk melindungi kerahasiaan dan privasi. Enkripsi melindungi data yang dikirim melalui Internet dan menyediakan satu penghalang terakhir yang harus diatasi oleh penyusup yang telah memperoleh akses tidak sah ke informasi yang disimpan. Seperti yang akan kita lihat nanti, enkripsi juga memperkuat prosedur otentikasi dan memainkan peran penting dalam memastikan dan memverifikasi keabsahan transaksi e-bisnis. Oleh karena itu, penting bagi akuntan, auditor, dan profesional sistem untuk memahami enkripsi. Seperti yang ditunjukkan pada Gambar 9-1, enkripsi adalah proses mengubah konten normal, yang disebut plaintext, menjadi omong kosong yang tidak terbaca, yang disebut ciphertext. Dekripsi membalikkan proses ini, mengubah ciphertext kembali menjadi plaintext. Baik enkripsi dan dekripsi melibatkan penggunaan kunci dan algoritma. Komputer mewakili baik plaintext dan ciphertext sebagai serangkaian digit biner (0 dan ls). Kuncinya juga merupakan serangkaian digit biner dengan panjang tetap; misalnya, kunci 128-bit terdiri dari string 128 0s dan ls. Algoritme adalah rumus untuk menggabungkan kunci dan teks. Kebanyakan dgcuments lebih panjang dari kunci, sehingga proses enkripsi dimulai dengan membagi blok intol teks biasa, setiap blok memiliki panjang yang sama dengan kunci. Kemudian algoritme diterapkan, ke tombol apa pun blok plaintext. Sebagai contoh, jika kunci 128-bit sedang digunakan, komputer pertama membagi dokumen atau file ke dalam blok 128-bit-panjang dan kemudian menggabungkan setiap blok dengan kunci dengan cara yang ditentukan oleh algoritma (misalnya, dengan menambahkannya ). Hasilnya adalah versi ciphertext dari dokumen atau file, ukurannya sama dengan aslinya. Untuk mereproduksi dokumen asli, komputer terlebih dahulu membagi teks chipher ke dalam blok 128-bit dan kemudian menerapkan kunci dekripsi ke setiap blok.