kisi - kisi E-Business Security (Binus)

Security : Kemampuan untuk mempertahankan terhadap gangguan dan melindungi aset dari akses untuk pencurian atau perusakan.

·         Physical Security : Perlindungan terhadap kebakaran, bencana alam, pencurian, vandalism dan teroris. Contoh : Bangunan, ruang komputer, komputer, media penyimpanan. Harus dilindungi dari kebakaran, gempa bumi, air, listrik, dan orang yang mencuri.

·         Virtual Security : Wired & wireless terpasang security.

·         Data security : Perlindungan terhadap data yang ada di komputer. Contohnya dengan enkripsi atau firewall.

Risk : Kemungkinan dan probabilitas dari setiap tindakan yang tidak diinginkan dan konsekuensi di dalamnya.

Threats : Suatu peristiwa (disengaja atau tidak disengaja) yang tidak diinginkan yang dapat mengakibatkan kerusakan pada aset.

Vulnerabilities (Kerentanan) : Kelemahan yang memungkinkan ancaman untuk mengeksploitasi Anda.

Categories of Vulnerabilities :

•         Technical : Masalah dalam penggunaan teknologi.

•         Physical : Mulai dari login sampai menjaga password computer.

•         Operational : Bagaimana sebuah organisasi atau orang yang melakukan bisnis gagal untuk melindungi aset.

•         Personnel : Bagaimana suatu organisasi merekrut karyawan.

Disaster Recovery Hurricane Katrina :

1.      Preparation.

·         Memback-up sistem.

·         Penyediaan listrik untuk daya cadangan.

2.      Response.

·         Meninggalkan zona bahaya.

·         Melarikan diri ke ke loteng,

3.      Recovery.

·         Membetulkan komunikasi satelit.

·         Memakai komunikasi sementara.

·         Menyiapkan tenaga kerja untuk pemulihan.

Manajemen Resiko : Proses menyeluruh yang dilengkapi dengan alat, teknik,
dan sains yang diperlukan untuk mengenali, mengukur, dan mengelola risiko secara lebih transparan.

Proses Manajemen Resiko :

1.      Mengakses kerentanan aset.

2.      Menentukan konsekuensi.

3.      Menerapkan faktor yang dapat meringankan.

4.      Menjaga organisasi yang aman dengan biaya yang efektif.

Risk Assessment : Kegiatan menganalisa risiko dan mengevaluasi resiko.

Risk Identification : Mengidentifikasi kerentanan terhadap ancaman yang sesuai.

Faktor Manajemen Resiko :

1.      Menganalisis dan menilai ancaman.

2.      Mengidentifikasi.

3.      Analisis kerentanan.

4.      Mengevaluasi risiko.

5.      Melaporkan hasil.

Manajemen Resiko Menyediakan Keamanan Dengan :

·         Architecture.

·         Technology.

·         Management Policy.

Network Security : Proses mencegah dan mendeteksi (berusaha) penggunaan aset yang tidak sah.

Properties of a Network :

·         Reliability : Tidak ada error yang tidak terdeteksi.

·         Accessibility : Tersedia akses ketika dibutuhkan.

·         Performance : Menyediakan bandwidth yang besar.

o   Redudancy : Menyediakan peralatan cadangan,

o   Resiliency : Merespon error yang ada.

·         Security : Tidak ada akses yang tidak sah.

Power Supply Dapat Melindungi Komputer Terhadap :

·         Voltage Surges and Spikes : Ketika tegangan listrik lebih besar dari spec nya.

·         Voltage Sags : Bila tegangan listrik kurang dari yang seharusnya.

·         Total Power Failure : Ketika sekering listrik turun.

·         Frequency Differences.

Resiko dan Solusi Pada Power Supply :

·         Power supply tidak bisa mengatasi tegangan dengan baik.

Solusi : Kemungkinan power supply yang dimiliki, baterainya dalam kondisi yang lemah. Segera isi ulang baterai tersebut supaya kapasitas dan kekuatannya menjadi penuh kembali.

·         Power supply mengeluarkan suara yang berderit-derit.

Solusi :

Kemungkinan besar permasalahan tersebut terletak pada kipas prosesor. Bersihkan kipas prosesor tersebut.

·         Ketika menghidupkan komputer, tidak terjadi apa-apa, tetapi power supply tidak mau hidup.

Solusi :

Pastikan semua komponen terpasang dan terhubung pada power dan mendapatkan daya dari power supply tersebut.

5 A’s :

1.      Architecture – How It’s Built?

Merupakan rencana sistem secara keseluruhan untuk diimplementasikan ke dalam serangkaian Hardware, Software dan komunikasi produk.

2.      Authentication – Who you are?

Proses untuk menentukan apakah orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud biasanya berdasarkan username atau password atau tanda file signature.

3 Cara Authentication :

1.      Who you are? Seperti sidik Jari, retina.

2.      What you have? Credit Card or Smart Card.

3.      What you know? User ID, Password or PIN.

3.      Authorization – What you may do?

Memberikan ijin kepada seseorang untuk melakukan perbuatan atau memiliki sesuatu.

4.      Accountability – Who is responsible?

Menentukan siapa yang bertanggung pada sistem.

5.      Accounting – Where things go?

Membuat laporan sistem.

Security Threat Concern :

·         Business Continuity.

·         Data.

·         IT hardware.

·         Networks.

·         Productivity.

Random Threat :

·         Tidak ditujukan pada siapapun.

·         Ditujukan untuk semua orang.

·         Kesempatan pada target.

·         Hal-hal yang terjadi begitu saja.

Focused Threats :

Ini Semua tentang ANDA.

Focused Attacks :

·         Denial-of-service Attack (DoS).

·         Intrusion.

·         Backdoor.

·         Social Engineering.

·         Smash-and-Dash.

Random Attacks :

·         Systems Software Vulnerabilities.

o   Bugs di aplikasi.

o   Solusi : Patch, Updates, Hot Fixes, Services Packs.

·         Malware.

o   Program komputer yang diciptakan dengan maksud dan tujuan utama mencari kelemahan software. Umumnya Malware diciptakan untuk membobol atau merusak suatu software atau operating sistem.

o   Contoh dari malware adalah Virus, Worm, Keylogger, Trojan Horse, Spyware, Backdoor.

·         Spam.

o   E-mail yang masuk ke inbox anda tanpa anda ketahui dari mana asal usulnya, tanpa nama dan tanpa identitas yang jelas biasanya isinya adalah iklan-iklan atau penawaran-penawaran.

o   Jika anda mendapat e-mail SPAM sebaiknya segera anda hapus, karena jika SPAM itu disusupi virus maka anda akan rugi besar.

·         Spyware.

Spyware tidak akan merusak file atau Windows anda. Hanya saja, Spyware akan memantau kegiatan komputer anda, seperti kegiatan berinternet, tombol yang anda tekan (Keylogger), dan bahkan mengeluarkan ad (advertisement - iklan) yang akan mengganggu anda.

4 D’s of Protection :

1.      Deter : Peringatan ada gangguan.

2.      Detect : Menemukan gangguan.

3.      Deflect : Kirim ke Honeypot.

4.      Defend : Melindungi data.

Ancaman Internal :

·         Perusakan data oleh karyawan.

·         Sistem yang tidak tepat digunakan oleh karyawan.

·         Melewati hak karyawan.

·         Membuka situs yang tidak pantas (verbodden).

·         Menampilkan gambar yang tidak pantas (verbodden).

·         Men-download materi yang berisi malware.

·         File dibiarkan terbuka.

·         Komputer tidak di Log off.

Motivasinya :

·         Keuntungan dari informasi.

·         Keuntungan dalam hal keuangan.

·         Regence.

·         Patriotisme

·         Motif Ideologis.

Mengamankan Workstation :

·         Update aplikasi, sistem operasi, dan anti-malware.

·         Batasi instalasi dan konfigurasi perubahan.

·         Nonaktifkan semua port yang tidak terpakai.

·         Menetapkan dan menegakkan kebijakan password.

Mengamankan Server :

·         Menghapus account yang tidak diperlukan.

·         Mengubah account administrator.

·         Matikan layanan jika tidak diperlukan.

·         Jangan menampilkan orang terakhir yang login.

·         Lakukan back-up data secara teratur.

·         Lindungi back-up data.

Mengamankan Jaringan :

·         Menggunakan switch.

·         Perhatikan setiap aktivitas dalam jaringan.

·         Tidak menjawab ping.

·         Jangan meneruskan paket yang tidak berasal dari dalam LAN.

Kriptografi : Suatu ilmu yang mempelajari bagaimana cara menjaga agar data atau pesan tetap aman saat dikirimkan, dari pengirim ke penerima tanpa mengalami gangguan dari pihak ketiga.

Plain text : Pesan yang dapat dibaca atau dimengerti (data asli).

Ciphertext : Pesan yang tidak dapat dimengeti maknanya.

Contohnya :

Plain text : Yulian Sutopo suka sama Marcelo Saerang. Hhaha

Ciphertext : j&kloP#d$gkgwrg&&&h*7h^”tn%6^klp. d5j&%

Enkripsi : Proses dimana informasi/data yang hendak dikirim diubah menjadi bentuk yang hampir tidak dikenali dengan menggunakan algoritma tertentu.

Deskripsi : Mengubah kembali bentuk yang tersamar tersebut menjadi informasi awal.

Kriptografi Simetris (Symmetric Cryptography) : Suatu algoritma dimana kunci enkripsi yang digunakan sama dengan kunci dekripsi.

Contoh : TwoFish, Rijndael, Camellia.

Kelebihan :

·         Kecepatan operasi lebih tinggi bila dibandingkan dengan Asimentris..

·         Dapat digunakan pada sistem real-time.

Kelemahan :

·         Untuk tiap pengiriman pesan dengan pengguna yang berbeda dibutuhkan kunci yang berbeda juga.

·         Permasalahan dalam pengiriman kunci.

Kriptografi Asimetris (Asymmetric Cryptography) : Suatu algoritma dimana kunci enkripsi yang digunakan tidak sama dengan kunci dekripsi. Pada algoritma ini menggunakan dua kunci yakni kunci publik (public key) dan kunci privat (private key).

Contoh : RSA, DSA, MD5, shell32.

Kelebihan :

·         Masalah keamanan pada distribusi kunci lebih baik.

·         Masalah manajemen kunci yang lebih baik karena jumlah kunci yang lebih sedikit.

Kelemahan :

·         Kecepatan yang lebih rendah bila dibandingkan dengan algoritma simetris.

·         Kunci yang digunakan lebih panjang dibandingkan dengan algoritma simetris.

Hash Function : Suatu fungsi dengan inputan yang berubah-ubah panjangnya dan memetakannya sehingga menghasilkan output.

Digital Signature : Sebuah code digital yang dilampirkan secara elektronik untuk mengidentifikasi pengirim.

Contoh : Alamat email di mana di dalamnya ada nama, alamat, no.telp, dsb.

Publik Key : Sebuah Kunci yang diberitahukan oleh pemilik dan digunakan oleh semua orang yang ingin mengirimkan pesan tertentu.

Contoh : Binus Access sama NIM kita.

Private Key : Sebuah Kunci yang digunakan untuk membuka isi pesan yang dikirim. 

Contoh : Password yang dimasukkan ke  Binus Access.