dasar keamanan
Aspek dari keamanan
privacy / confidentiality
integrity
authentication
availability
non-repudiation
access control
Potensi lubang keamanan
disain kurang baik
implementasi kurang baik
salah konfigurasi
salah menggunakan
confidentiality:
Menyangkut kerahasiaan data
Data pelanggan, transaksi, penawaran, data sensitif lainnya
Serangan
Penyadapan data (dengan sniffer, keylogger)
Tidak digunakannya enkripsi, atau penggunaan algoritma yang terlalu mudah dipecahkan
Tidak digunakannya proteksi seperti firewall
Social engineering
Kebijakan yang tidak jelas
Penggunaan portable devices, PDA, USB flash disk
integritas
Informasi tidak boleh berubah (tampered, altered, modified) kecuali oleh orang yang berwenang, sesuai dengan prosedur yang berlaku
Serangan
Pemalsuan, pengubahan data oleh orang yang tidak berhak
Virus, trojan horse
Man-in-the-middle attack
Pengamanan
Penggunaan message authentication code (MAC), hash function
Digital signature
Logging, audit trail
availability:
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server:
dibuat hang, down, crash, lambat, Denial of Service (DoS) attack
Biaya jika server web (transaction) down di Indonesia
Menghidupkan kembali: Rp 25 juta
Kerugian (tangible) yang ditimbulkan: Rp 300 juta
Proteksi:
backup, redundancy, Disaster Recovery Center (DRC), Business Continuity Planning (BCP)
Non-repudiation
Tidak dapat menyangkal (telah melakukan transaksi)
menggunakan digital signature / certificates
perlu pengaturan masalah hukum (bahwa digital signature sama seperti tanda tangan konvensional)
Serangan
Menyangkal telah melakukan transaksi
Menghilangkan log/trail
autentikasi:
Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan
Bagaimana mengenali pengguna transaksi elektronik? Lack of physical contact
Menggunakan:
what you have (identity card)
what you know (password, PIN)
what you are (biometric identity)
Serangan: identitas palsu, password palsu, terminal palsu, situs web gadungan
Proteksi: digital certificates
standar pengamanan
Standar
ISO 17799/BS 7799
Best practice
Masalah
Standar terlalu tinggi dan malah menyulitkan
Ada banyak standar
masalah pengamanan:
Tidak adanya visi & komitment top management
Menyulitkan implementasi
Tidak ada investasi
Sumber kesalahan
Desain (security as an after thought)
Implementasi (ketidak-mengertian security dari developer)
Konfigurasi
Operasional (sistem terlalu kompleks)
manajement security
Pencegahan
meminimalkan potensi (probabilitas) terjadinya masalah yang ditimbulkan oleh keamanan
Security audit
meminimalkan dampak yang terjadi jika masalah tersebut terjadi
Business impact analysis
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar