E- BUSINESS SECURITY Electronic Business • Electronic business adalah aktivitas yang berkaitan secara langsung maupun tidak langsung dengan proses pertukaran barang dan/atau jasa dengan memanfaatkan internet sebagai media komunikasi dan transaksi • Aplikasi teknologi internet yang merambah dunia bisnis internal, melingkupi sistem, pengembangan produk, dan pengembangan usaha. • Secara luas sebagai proses bisnis yang bergantung pada sebuah sistem terotomatisasi. Electronic Business e-Business memiliki masalah dan resiko, oleh karena kita harus memastikan : • keamanan sistem komputer dan aktivitas online • melindungi bisnis • melindungi aset • melindungi reputasi serta privasi pelanggan • melindungi hubungan dengan pelanggan Tujuan Sistem Keamanan Informasi eBusiness • Confidentially: menjamin informasi yang dikirim tidak dapat dibuka /diketahui oleh orang yang tidak berhak. • Integrity: menjamin konsistensi data , masih utuh sesuai aslinya atau tidak, sehingga upaya penduplikatan dan perusakan data bisa dihindari. • Availability: menjamin pengguna yang sah agar dapat mengakses informasi dan sumber miliknya sendiri. • Legitimate Use: menjamin kepastian bahwa sumber tidak digunakan oleh orang-orang yang tidak bertanggung jawab. Ancaman dalam e-Business • Accident Kesalahan yang berasal dari staff. Contoh : Mudah bagi webmaster untuk menghilangkan key files dari sebuah situs web. • Sabotage – industrial maupun individual – sabotase sistem yang disengaja untuk keuntungan komersial ataupun motif lain, misal dendam pribadi seperti mantan karyawan Ancaman dalam e-business • Natural Disaster Bencana banjir dan juga kebakaran. Contoh : – Jika sebuah perusahaan host server e-commerce mereka sendiri atau ISP mereka yang terkena bencana seperti itu, maka ada kemungkinan bahwa kehadiran web mereka bisa hilang selama beberapa hari pada saat terjadi banjir. Ancaman dalam e-business • Theft – Pencurian informasi seperti nomor kartu kredit, untuk keuntungan komersial. • Unauthorized Use (Hacking) – Bertujuan untuk pencurian atau sabotase, tapi kadangkadang tidak memiliki niat jahat – tantangan bagi orang-orang teknis berpikiran untuk mencoba masuk ke sistem. Ancaman dalam e-business • Hijacking – Sebuah server perusahaan dapat digunakan untuk meningkatkan serangan terhadap server lain. – Misalnya serangan Denial of Service untuk mengirim banyak lalu lintas yang tidak diinginkan ke situs besar seperti Yahoo! yang dipasang dengan mengirimkan pesan dari banyak komputer dibajak. – Demikian pula Spammer dapat membajak server mail dan menggunakannya untuk mengirimkan SPAM. – Hal ini dapat mengakibatkan operasi web Anda ditutup oleh ISP jika mereka percaya Anda yang harus disalahkan. Ancaman dalam e-Business • Computer Viruses – Program yang tersebar antara mesin dengan atau tanpa tujuan menimbulkan kerusakan. 4 Layer Manajemen Keamanan E-Business Adapun 4 (empat) layer pendekatan yang digunakan untuk menjabarkan proses perencanaan sebagai bagian dari tahapan manajemen keamanan pada e-Business : – Pendekatan Asset Identification – Pendekatan Risk Identification – Pendekatan Tool Identification – Pendekatan Action Planning 4 Layer Manajemen Keamanan E-Business • Pendekatan Asset Identification – Dalam proses identifikasi keamanan, perlu didefinisikan aset berharga yang akan diamankan. – Pada e-Business, aset yang dimaksud adalah : • data atau informasi yang tersimpan dalam database, • infrastruktur hardware (server, router, dsb) pada pusat layanan eBusiness • perangkat lunak sebagai antarmuka dalam mengakses layanan eBusiness. 4 Layer Manajemen Keamanan E-Business • Pendekatan Risk Identification – Untuk mempermudah mengidentifikasi resiko dilihat dari aset berharga yang telah didefinisikan, kemudian menentukan resiko yang mungkin terjadi. – Bila aset berupa data dan informasi, resiko yang mungkin terjadi adalah data rusak, data hilang, data dimodifikasi oleh pihak yang tidak berwenang dan sejenisnya. – Bila aset berupa perangkat keras, kemungkinan besar resiko adalah perangkat hilang dicuri, perangkat mengalami kerusakan pada komponen elektronik dan salah konfigurasi pada perangkat yang mengakibatkan perangkat beroperasi tidak sebagaimana mestinya. 4 Layer Manajemen Keamanan E-Business • Pendekatan Risk Identification - lanjt – Bila aset adalah perangkat lunak berupa halaman web, web service, driver dan sistem operasi, maka kemungkinan resiko adalah aplikasi dalam e-Business yang mudah di eksploitasi akibat kesalahan konfigurasi, celah keamanan dan bug yang belum di patch dan sejenisnya. – Resiko lain adalah misalnya penggunaan hak akses yang tidak sesuai, pengaksesan resource tanpa ijin yang jelas dan sebagainya. 4 Layer Manajemen Keamanan E Business • Pendekatan Tool Identification – Pendekatan yang ditawarkan sebelumnya akan lebih optimal lagi bila tool identification disertakan kedalamnya. – Tool atau alat, disadari sebagai bagian yang perlu di identifikasi. – Alat yang dimaksud ini bukan termasuk aset yang perlu diamankan, melainkan “alat” ini yang akan digunakan untuk mengamankan aset. 4 Layer Manajemen Keamanan E Business • Pendekatan Action Planning – Masing-masing resiko dianalisa dan direncanakan tindakan pencegahannya. – Contoh, untuk mencegah resiko akses yang tidak sesuai terhadap resource atau aset e-Business, dapat dilakukan proses autentikasi jati diri pengakses. – Setiap tindakan yang direncanakan untuk dijalankan, harus melalui tahap pengujian terlebih dahulu sehingga rencana yang disusun menjadi lebih matang untuk dilaksanakan dan peluang terjadinya kesalahan dalam penerapan rencana menjadi lebih sedikit karena tiap rencana tindakan yang akan dilakukan telah dibuktikan hasilnya. Resiko & Sistem Keamanan • Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh faktor kemungkinan (likelihood), berupa ancaman terhadap beberapa kelemahan yang menghasilkan dampak (impact) yang merugikan perusahaan” • Sistem keamanan: “Semua tindakan yang dilakukan maupun aset yang digunakan untuk menjamin keamanan perusahaan” Klasifikasi resiko • Hazard risk: fire, flood, theft, etc. • Financial risk: price, credit, inflation, etc. • Strategic risk: competition, technological innovation, regulatory changes, brand image damage etc. • Operational risk: IT capability, business operations, security threat, etc Resiko sebagai ‘fungsi’ = Probability Threats x Frequency x + Vulnerability + Impact Asset value Klasifikasi Ancaman Dikaitkan Dengan Informasi Dan Data • Loss of confidentiality of information – Informasi diperlihatkan kepada pihak yang tidak berhak untuk melihatnya • Loss of integrity of information – Informasi tidak lengkap, tidak sesuai aslinya, atau telah dimodifikasi • Loss of availability of information – Informasi tidak tersedia saat dibutuhkan • Loss of authentication of information – Informasi tidak benar atau tidak sesuai fakta atau sumbernya tidak jelas Secure Electronic Commerce • Adalah E Commerce yang menggunakan prosedur sistem keamanan dan teknik untuk menghadapi resiko yang terjadi. • Fungsi-fungsi umumnya antara lain: - Authentication (Pembuktian keaslian) - Confidentiality (kerahasiaan) - Data integrity (integritas data) • Biasanya diimplementasikan dengan menggunakan teknologi kriptografi seperti enkripsi dan digital signature. Secure Electronic Commerce Security service safe guards: • Authentication Service: memberikan kepastian identitas pengguna. – Entity Authentication: contohnya password. – Data Origin Authentication: membuktikan sah tidaknya identitas dalam bentuk pesan tertulis. • Access Control Services: melindungi semua fasilitas dan sumber-sumber yang ada dari akses-akses yang tidak berhak. Secure Electronic Commerce Security service safe guards –lanjt • Confidentiality Service: memberikan perlindungan terhadap informasi yang berusaha disingkap oleh orang lain yang tidak berhak. • Data Integrity Service: perlindungan terhadap ancaman yang dapat mengubah data item seandainya ini terjadi di dalam lingkungan security policy. • Non-Repudiation Service: melindungi user melawan ancaman yang berasal dari user berhak lainnya seperti kesalahan penolakan ketika transaksi atau komunikasi sedang terjadi Google Web Security Untuk Perusahaan • Google Web Security untuk Perusahaan menyediakan gateway aman sesuai permintaan bagi perusahaan yang ingin melindungi diri dari serangan berbasis Web. • Layanan Google Security and Compliance, melindungi semua komunikasi elektronik (email dan Web) dan mengelola kebijakan komunikasi dari satu lokasi. • Layanan Google dapat meningkatkan: Google Web Security Untuk Perusahaan • Perlindungan Celah Keamanan Google Web Security untuk Perusahaan menyediakan perlindungan realtime dan dinamis setiap hari dengan mendeteksi malware dan informasi sensitif di lalu lintas sebelum masuk atau meninggalkan jaringan. Layanan ini menggunakan pendeteksian heuristik terkontrol di komputer untuk menganalisis aktivitas celah keamanan dan menggunakan perlindungan setiap menit atau jam dan bukan setiap hari dibandingkan teknologi berbasis label biasa yang mengharuskan serangan muncul sebelum perlindungan dapat dikembangkan. Google Web Security Untuk Perusahaan • Penyaringan URL Terbaik Google Web Security untuk Perusahaan memungkinkan akses ke konten terkait bisnis dengan membuat daftar URL yang disetujui berdasarkan persyaratan perusahaan dan memblokir akses ke URL yang tidak terkait dengan perusahaan. Dengan demikian, layanan ini akan mengurangi risiko masuknya konten yang besar dan menyinggung ke jaringan. Dengan mengurangi risiko, layanan ini akan membantu menurunkan kemungkinan gugatan hukum dan biaya bandwidth tambahan. Google Web Security Untuk Perusahaan • Performa Tinggi Platform Google Web Security untuk Perusahaan dirancang khusus bagi lalu lintas Web menggunakan pemrosesan sangat paralel untuk throughput optimal. Google Web Security Untuk Perusahaan • Skalabilitas Mudah Google Web Security untuk Perusahaan mudah dikembangkan sehingga pengguna dapat cepat ditambahkan dengan biaya tetap. Perencanaan kapasitas tambahan tidak diperlukan untuk peningkatan atau penurunan skala perusahaan sehingga layanan dapat digunakan di beberapa lokasi internasional atau kantor cabang tanpa waktu arahan atau biaya modal, konfigurasi, maupun administrasi. Google Web Security untuk Perusahaan memiliki sistem pemulihan bencana, ketersediaan, dan redundansi internal, sehingga dapat menghemat sumber daya serta biaya waktu operasional yang direncanakan atau tidak direncanakan. Google Web Security Untuk Perusahaan • Biaya Kepemilikan Total yang Rendah Layanan Google sesuai permintaan dirancang untuk diintegrasikan secara transparan dengan arsitektur jaringan yang ada, sehingga akan mengurangi persyaratan penerapan. Dengan demikian, biaya kepemilikan total dapat dikurangi karena tidak diperlukan tambahan perangkat lunak, perangkat keras, atau sumber daya manusia untuk menggunakan dan memelihara solusi.