E- BUSINESS SECURITY

advertisement
E- BUSINESS SECURITY
Electronic Business
• Electronic business adalah aktivitas yang berkaitan
secara langsung maupun tidak langsung dengan proses
pertukaran barang dan/atau jasa dengan
memanfaatkan internet sebagai media komunikasi dan
transaksi
• Aplikasi teknologi internet yang merambah dunia bisnis
internal, melingkupi sistem, pengembangan produk,
dan pengembangan usaha.
• Secara luas sebagai proses bisnis yang bergantung
pada sebuah sistem terotomatisasi.
Electronic Business
e-Business memiliki masalah dan resiko, oleh karena
kita harus memastikan :
• keamanan sistem komputer dan aktivitas online
• melindungi bisnis
• melindungi aset
• melindungi reputasi serta privasi pelanggan
• melindungi hubungan dengan pelanggan
Tujuan Sistem Keamanan Informasi eBusiness
• Confidentially: menjamin informasi yang dikirim tidak
dapat dibuka /diketahui oleh orang yang tidak
berhak.
• Integrity: menjamin konsistensi data , masih utuh
sesuai aslinya atau tidak, sehingga upaya
penduplikatan dan perusakan data bisa dihindari.
• Availability: menjamin pengguna yang sah agar dapat
mengakses informasi dan sumber miliknya sendiri.
• Legitimate Use: menjamin kepastian bahwa sumber
tidak digunakan oleh orang-orang yang tidak
bertanggung jawab.
Ancaman dalam e-Business
• Accident
Kesalahan yang berasal dari staff.
Contoh : Mudah bagi webmaster untuk menghilangkan key
files dari sebuah situs web.
• Sabotage
– industrial maupun individual
– sabotase sistem yang disengaja untuk keuntungan komersial
ataupun motif lain, misal dendam pribadi seperti mantan
karyawan
Ancaman dalam e-business
• Natural Disaster
Bencana banjir dan juga kebakaran.
Contoh :
– Jika sebuah perusahaan host server e-commerce
mereka sendiri atau ISP mereka yang terkena
bencana seperti itu, maka ada kemungkinan bahwa
kehadiran web mereka bisa hilang selama beberapa
hari pada saat terjadi banjir.
Ancaman dalam e-business
• Theft
– Pencurian informasi seperti nomor kartu kredit, untuk
keuntungan komersial.
• Unauthorized Use (Hacking)
– Bertujuan untuk pencurian atau sabotase, tapi kadangkadang tidak memiliki niat jahat
– tantangan bagi orang-orang teknis berpikiran untuk
mencoba masuk ke sistem.
Ancaman dalam e-business
• Hijacking
– Sebuah server perusahaan dapat digunakan untuk
meningkatkan serangan terhadap server lain.
– Misalnya serangan Denial of Service untuk mengirim banyak
lalu lintas yang tidak diinginkan ke situs besar seperti Yahoo!
yang dipasang dengan mengirimkan pesan dari banyak
komputer dibajak.
– Demikian pula Spammer dapat membajak server mail dan
menggunakannya untuk mengirimkan SPAM.
– Hal ini dapat mengakibatkan operasi web Anda ditutup oleh
ISP jika mereka percaya Anda yang harus disalahkan.
Ancaman dalam e-Business
• Computer Viruses
– Program yang tersebar antara mesin dengan atau tanpa
tujuan menimbulkan kerusakan.
4 Layer Manajemen Keamanan E-Business
Adapun 4 (empat) layer pendekatan yang digunakan
untuk menjabarkan proses perencanaan sebagai bagian
dari tahapan manajemen keamanan pada e-Business :
– Pendekatan Asset Identification
– Pendekatan Risk Identification
– Pendekatan Tool Identification
– Pendekatan Action Planning
4 Layer Manajemen Keamanan E-Business
• Pendekatan Asset Identification
– Dalam proses identifikasi keamanan, perlu didefinisikan
aset berharga yang akan diamankan.
– Pada e-Business, aset yang dimaksud adalah :
• data atau informasi yang tersimpan dalam database,
• infrastruktur hardware (server, router, dsb) pada pusat layanan eBusiness
• perangkat lunak sebagai antarmuka dalam mengakses layanan eBusiness.
4 Layer Manajemen Keamanan E-Business
• Pendekatan Risk Identification
– Untuk mempermudah mengidentifikasi resiko dilihat dari
aset berharga yang telah didefinisikan, kemudian
menentukan resiko yang mungkin terjadi.
– Bila aset berupa data dan informasi, resiko yang mungkin
terjadi adalah data rusak, data hilang, data dimodifikasi oleh
pihak yang tidak berwenang dan sejenisnya.
– Bila aset berupa perangkat keras, kemungkinan besar resiko
adalah perangkat hilang dicuri, perangkat mengalami
kerusakan pada komponen elektronik dan salah konfigurasi
pada perangkat yang mengakibatkan perangkat beroperasi
tidak sebagaimana mestinya.
4 Layer Manajemen Keamanan E-Business
• Pendekatan Risk Identification - lanjt
– Bila aset adalah perangkat lunak berupa halaman web,
web service, driver dan sistem operasi, maka kemungkinan
resiko adalah aplikasi dalam e-Business yang mudah di
eksploitasi akibat kesalahan konfigurasi, celah keamanan
dan bug yang belum di patch dan sejenisnya.
– Resiko lain adalah misalnya penggunaan hak akses yang
tidak sesuai, pengaksesan resource tanpa ijin yang jelas
dan sebagainya.
4 Layer Manajemen Keamanan E Business
• Pendekatan Tool Identification
– Pendekatan yang ditawarkan sebelumnya akan lebih
optimal lagi bila tool identification disertakan kedalamnya.
– Tool atau alat, disadari sebagai bagian yang perlu di
identifikasi.
– Alat yang dimaksud ini bukan termasuk aset yang perlu
diamankan, melainkan “alat” ini yang akan digunakan
untuk mengamankan aset.
4 Layer Manajemen Keamanan E Business
• Pendekatan Action Planning
– Masing-masing resiko dianalisa dan direncanakan tindakan
pencegahannya.
– Contoh, untuk mencegah resiko akses yang tidak sesuai
terhadap resource atau aset e-Business, dapat dilakukan
proses autentikasi jati diri pengakses.
– Setiap tindakan yang direncanakan untuk dijalankan, harus
melalui tahap pengujian terlebih dahulu sehingga rencana
yang disusun menjadi lebih matang untuk dilaksanakan dan
peluang terjadinya kesalahan dalam penerapan rencana
menjadi lebih sedikit karena tiap rencana tindakan yang
akan dilakukan telah dibuktikan hasilnya.
Resiko & Sistem Keamanan
• Resiko: “Sesuatu yang akan terjadi yang dipengaruhi oleh
faktor kemungkinan (likelihood), berupa ancaman terhadap
beberapa kelemahan yang menghasilkan dampak (impact)
yang merugikan perusahaan”
• Sistem keamanan: “Semua tindakan yang dilakukan maupun
aset yang digunakan untuk menjamin keamanan perusahaan”
Klasifikasi resiko
• Hazard risk: fire, flood, theft, etc.
• Financial risk: price, credit, inflation, etc.
• Strategic risk: competition, technological
innovation, regulatory changes, brand image
damage etc.
• Operational risk: IT capability, business
operations, security threat, etc
Resiko sebagai ‘fungsi’
=
Probability
Threats
x
Frequency
x
+ Vulnerability +
Impact
Asset value
Klasifikasi Ancaman Dikaitkan Dengan
Informasi Dan Data
• Loss of confidentiality of information
– Informasi diperlihatkan kepada pihak yang tidak berhak
untuk melihatnya
• Loss of integrity of information
– Informasi tidak lengkap, tidak sesuai aslinya, atau telah
dimodifikasi
• Loss of availability of information
– Informasi tidak tersedia saat dibutuhkan
• Loss of authentication of information
– Informasi tidak benar atau tidak sesuai fakta atau
sumbernya tidak jelas
Secure Electronic Commerce
• Adalah E Commerce yang menggunakan prosedur
sistem keamanan dan teknik untuk menghadapi resiko
yang terjadi.
• Fungsi-fungsi umumnya antara lain:
- Authentication (Pembuktian keaslian)
- Confidentiality (kerahasiaan)
- Data integrity (integritas data)
• Biasanya diimplementasikan dengan menggunakan
teknologi kriptografi seperti enkripsi dan digital
signature.
Secure Electronic Commerce
Security service safe guards:
• Authentication Service: memberikan kepastian
identitas pengguna.
– Entity Authentication: contohnya password.
– Data Origin Authentication: membuktikan sah tidaknya
identitas dalam bentuk pesan tertulis.
• Access Control Services: melindungi semua fasilitas
dan sumber-sumber yang ada dari akses-akses yang
tidak berhak.
Secure Electronic Commerce
Security service safe guards –lanjt
• Confidentiality Service: memberikan perlindungan terhadap
informasi yang berusaha disingkap oleh orang lain yang tidak
berhak.
• Data Integrity Service: perlindungan terhadap ancaman yang
dapat mengubah data item seandainya ini terjadi di dalam
lingkungan security policy.
• Non-Repudiation Service: melindungi user melawan ancaman
yang berasal dari user berhak lainnya seperti kesalahan
penolakan ketika transaksi atau komunikasi sedang terjadi
Google Web Security Untuk Perusahaan
• Google Web Security untuk Perusahaan
menyediakan gateway aman sesuai permintaan bagi
perusahaan yang ingin melindungi diri dari serangan
berbasis Web.
• Layanan Google Security and Compliance,
melindungi semua komunikasi elektronik (email dan
Web) dan mengelola kebijakan komunikasi dari satu
lokasi.
• Layanan Google dapat meningkatkan:
Google Web Security Untuk Perusahaan
• Perlindungan Celah Keamanan
Google Web Security untuk Perusahaan menyediakan
perlindungan realtime dan dinamis setiap hari dengan
mendeteksi malware dan informasi sensitif di lalu lintas
sebelum masuk atau meninggalkan jaringan.
Layanan ini menggunakan pendeteksian heuristik
terkontrol di komputer untuk menganalisis aktivitas
celah keamanan dan menggunakan perlindungan setiap
menit atau jam dan bukan setiap hari dibandingkan
teknologi berbasis label biasa yang mengharuskan
serangan muncul sebelum perlindungan dapat
dikembangkan.
Google Web Security Untuk Perusahaan
• Penyaringan URL Terbaik
Google Web Security untuk Perusahaan memungkinkan akses
ke konten terkait bisnis dengan membuat daftar URL yang
disetujui berdasarkan persyaratan perusahaan dan memblokir
akses ke URL yang tidak terkait dengan perusahaan.
Dengan demikian, layanan ini akan mengurangi risiko masuknya
konten yang besar dan menyinggung ke jaringan.
Dengan mengurangi risiko, layanan ini akan membantu
menurunkan kemungkinan gugatan hukum dan biaya
bandwidth tambahan.
Google Web Security Untuk Perusahaan
• Performa Tinggi
Platform Google Web Security untuk Perusahaan dirancang
khusus bagi lalu lintas Web menggunakan pemrosesan sangat
paralel untuk throughput optimal.
Google Web Security Untuk Perusahaan
• Skalabilitas Mudah
Google Web Security untuk Perusahaan mudah dikembangkan
sehingga pengguna dapat cepat ditambahkan dengan biaya
tetap.
Perencanaan kapasitas tambahan tidak diperlukan untuk
peningkatan atau penurunan skala perusahaan sehingga
layanan dapat digunakan di beberapa lokasi internasional atau
kantor cabang tanpa waktu arahan atau biaya modal,
konfigurasi, maupun administrasi.
Google Web Security untuk Perusahaan memiliki sistem
pemulihan bencana, ketersediaan, dan redundansi internal,
sehingga dapat menghemat sumber daya serta biaya waktu
operasional yang direncanakan atau tidak direncanakan.
Google Web Security Untuk Perusahaan
• Biaya Kepemilikan Total yang Rendah
Layanan Google sesuai permintaan dirancang untuk
diintegrasikan secara transparan dengan arsitektur jaringan
yang ada, sehingga akan mengurangi persyaratan penerapan.
Dengan demikian, biaya kepemilikan total dapat dikurangi
karena tidak diperlukan tambahan perangkat lunak, perangkat
keras, atau sumber daya manusia untuk menggunakan dan
memelihara solusi.
Download