1 Awareness & Framework Security Policy Pendahuluan ... - Sharing
1 Awareness & Framework Security Policy Pendahuluan ... - Sharing
1 Awareness & Framework Security Policy Pendahuluan ... - Sharing
Transform your PDFs into Flipbooks and boost your revenue!
Leverage SEO-optimized Flipbooks, powerful backlinks, and multimedia content to professionally showcase your products and significantly increase your reach.
<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong>Deris Stiawan (Dosen FASILKOM UNSRI)Sebuah Pemikiran, <strong>Sharing</strong>, Ide Pengetahuan, Penelitian<strong>Pendahuluan</strong> ...Perkembangan Internet benar-benar telah merubah cara hidup dan pola business perusahaandan manusia selama ini, sampai-sampai saat ini dikenal istilah dalam psikologi yaitu”internetholic”, dimana ketergantungan seseorang terhadap layanan dan koneksi Internet danakan merasa gelisah jika tidak online dalam sehari dan cepat spanning karena koneksi yanglambat, mau tidak mau lambat laun membuat hidupnya lebih individualisme karena kurangnyasosialisasi dengan masyarakat sekitar dan lebih banyak ”bersosialisasi” dengan lingkungansecara virtual. Internet, banyak sekali definisinya, penulis lebih suka mendefinisikaninternetworking network, sebuah jaringan yang besar yang melibatkan banyak server danresources lainnya untuk dapat dimanfaatkan dan diintegrasikan dalam satu jaringan tanpamengenal jarak dan teknologi yang digunakan di setiap end usernya.Begitu juga dengan perkembangan dan kebutuhan akan solusi dari komunikasi data sebuahperusahaan business (banking, retailed, manufacture, services, dan lain-lain), saat inicenderung sebuah perusahaan mempunyai banyak cabang di banyak tempat yang terpisah olehjarak dan secara geografis. Kebutuhan komunikasi ini biasanya digunakan untuk transfer data,sinkronisasi database, integrasi data / informasi, kebutuhan komunikasi suara menggunakanVoIP, Teleconference untuk keperluaan meeting secara virtual sampai dengan integrasi sistemdengan menggunakan teknologi ERP/CRM/ Supply Chain.Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusatuntuk keperluan proses bisnisnya dengan menggunakan komunikasi data via jaringan privateatau sewa seperti Leased Channel, VSAT, VPN atau bahkan menggunakan jaringan publik(Internet), Maka ada suatu permasalahan lain yang sangat krusial yaitu ”Keamanan atau<strong>Security</strong>”. Karena tidak ada yang sistem yang aman didunia ini selagi masih dibuat oleh tanganmanusia, mengapa karena kita hanya membuat meningkatkan dari yang tidak aman menjadiaman dan biasanya keamanan akan didapat setelah lubang / vurnability system diketahui olehhacker atau cracker.<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)1
<strong>Awareness</strong>...Kesadaran yang penuh dari semua level manajemen, mungkin ini yang akan menjadi penekananpada suatu sistem keamaman yang akan kita buat, tanpa ada kesadaran dari semua level diperusahaan tersebut maka secanggih apapun peralatan tersebut tidak akan optimal, misalnyacontoh kasus1. mempunyai router yang mahal dan canggih namun tidak diletakan ditempat khusus dandiatur dengan baik2. perusahaan membeli perangkat Firewall dan Antivirus Server berlicensed mahal, namunkarena tidak ada kesadaran dari pegawai dengan tanpa berdosa mereka menyalin file darimedia penyimpanan eksternal lainnya seperti flasdisk, hardisk, cd dan sebagainya tanpamelakukan checking antivrus lagi.3. Ada beberapa karyawan yang membuka attachment email yang tidak jelas asalnya4. Dengan gampangnya admin memberikan akses root ke server dan komputer karyawan.5. sharing files yang dibuka tanpa proteksi di sebuah jaringan6. install sofware third party yang tidak jelas kegunaannya dan software peer to peer untukdownload share.7. menuliskan user password confidential pada secarik kertas dan ditempel di layar monitoratau catatan kecil yang mudah terlihat.Secara garis besar keamanan sistem informasi dan komputer dapat dibagi dua yaitu keamanansecara phisikal dan secara logikal. Secara Phisik berarti bagaimana kita mengamankan semuainfrastruktur peralatan sistem keamanan kita baik dari sisi server, ruangan, kabel, systembackup redundant system, system cadangan power listrik dan lain-lain sedangkan keamanansecara logikal tentang metode keamanan seperti protocol yang digunakan, metode komunikasidatanya, model basis datanya dan sistem operasinya. Contoh mengambarkan pengamanansecara phisik, film mission imposible, twelve thirteen, independent days, dimana para jagoantersebut masuk ke “jantung” servernya dan melakukan penetrasi serangan untuk melumpuhkansistem komputernya.<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)3
<strong>Framework</strong> <strong>Policy</strong>Dalam membuat suatu policy tentang sistem keamanan, ada beberapa hal yang bisa mejadipedoman awal sebelum menetapkan suatu kebijakan, diantaranya ;1. Computer Physical, membuat aturan baku tentang akses computer dan jaringan secaralangsung misalnya kabel, server yang diletakkan diruangan khusus, hub, router, dan lainlain.Ruang server ini sering disebut NOC (Network Operating Center) yang biasanyadiruangan khusus yang terpisah dari user dan terdapat rack-rack khusus untukmenempatkan perangkat jaringannya.Solusi ruangan server ini bisa menggunakan solusi dari PANDUIT (www.panduit.com), saatini dalam implementasi pembangunan ruang khusus server bisa menggunakan solusi datacenter PANDUIT.Gambar solusi penempatan server diruangan khusus (sumber www.panduit.com)<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)4
2. Koneksi kabel yang dilindungi, kabel UTP, STP atau coax dari gangguan sabotase langsung,perlindungan bisa menggunakan sistem cable duck / wiring duck atau menempatkan didalam dinding dengan tambahan wallplate / outlet UTP.Gambar aksesoris perlengkapan kabel (sumber www.panduit.com)Sistem perkabelan selain untuk memperhatikan masalah keindahan secara visual tapi jugauntuk membatasi masalah sabotase langsung pada jaringan kabelnya. Beberapa kasuspenyadapan dilakukan dengan ”cut” langsung pada perkabelan LAN yang ada. Denganmenggunakan wiring duck kita dapat menutupi kabel agar terlihat lebih rapi danmenyusahkan jika ada yang mau melakukan network cable cut off. Ada standar dariTIA/EIA 568 A sistem perkabelan yang menggunakan sistem horizontal cableGambar standar cabling dari TIA (sumber cisco.netacad.net ver 2.0)<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)5
3. membuat metode otentikasi di jaringan nirkabel, saat ini penggunaan W-LAN sudahmenggantikan jaringan fixed LAN, dikarenakan sifatnya yang mobile dan broadcast makaada beberapa kelemahan mendasar yaitu metode hacking wireless. Metode otentikasi bisamenggunakan RADIUS (Remote Access Dial-in User Services) yang tidak lagi menggunakanprotocol WEP (Wired Equivalent Privacy) dan WPA (Wi-Fi Protected Access) yang mudah ditembus.4. Membuat mesin Filtering dan otentikasi Firewall, jika perusahaan mempunyai server farmyang terintegrasi ke cabang-cabang atau mobile user dan telecomuters sudah seharusnyamembuat sistem filtering atau FIREWALL. Firewall suatu metode hardware atau softwareyang tugas utamanya untuk melakukan penyaringan paket data yang boleh masuk dankeluar yang ditetapkan oleh perusahaan.Gambar contoh implementasi Firewall<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)6
5. Membuat password BIOS, LILO boots, Screen saver, user disarankan untuk membuatpassword di computer nya masing-masing untuk kepentingan keamanan pribadi, misalnyapassword untuk BIOS agar tidak bisa sembarang orang masuk ke konfig BIOS, password LILOBoots agar tidak semua orang bisa merubah dan membypass masuk ke system tanpapassword dan password screen saver pada saat ditinggalkan berapa saat harus memasukankata tertentu.6. Automatic Lock, aturan yang memungkinkan penguncian sistem secara otomatis, jikaterjadi misalkan penulisan password yang salah sebanyak tiga kali. Ini sangat berguna untukuser yang bisa login ke server.7. Check Log adminstrasi secara priodik dengan melakukan checking semua aktivitas sistemcomputer baik dari sisi akses ke user, jalannya daemon sistem, dan akses user ke sistem.8. Closed Port / Services / Daemon, menutup port-port atau layanan-layanan yang tidakpenting atau tidak digunakan. Ada banyak port yang terbuka di sistem operasi yang secaradefault digunakan aplikasi untuk terkoneksi ke sistem lainya. Biasanya dengan port inilahserangan dimulai, dari serangan worm, trojan, sampai dengan DOS dan DDOS.9. Ganti password secara berkala (admin & user) dan dokumentasikan, Password yang baikselain terdiri dari karakter dan angka juga panjangnya, ada baiknya password digantisecara berkala misalnya 1 bulan sekali dan di dokumentasikan. Ada beberapa hal yangharus diperhatikan pada saat membuat password• Jangan pernah menggunakan kata-kata umum yang ada dikamus• Gunakan kombinasi huruf dan angka (besar dan kecil)• Min 5 karakter• Ganti secara berkala• Jangan gunakan password tentang pribadi : TTL, nama pacar, nama ortu, alamat, dll• Harus mudah diingat10. New accounts, membatasi user baru dengan quota, memory dan akses beserta hak yangdimilikinya.<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)7
11. Account, apakah sebuah account dapat digunakan bersama, disaat accountnya ditolak apayang harus dilakukan oleh user. Account yang expired seperti keluarnya pegawai / resignyang dahulu mendapatkan hak akses ke server seperti account mail, account web atauquota di server untuk menyimpan datanya harus segera dihapus setelah pegawai tersebutresmi resign dari perusahaan.12. User id dan Group id, menerapkan kelompok-kelompok berdasarkan user dan kelompokagar mudah dimaintenence13. Checking Files, melakukan pemeriksaan secara intensif file atau software yang didapatkandari luar sistem atau dari download di Internet14. Remote account, melakukan checking misalnya remote account yang telah kadaluarsa.Beberapa perusahaan membaut aturan pegawai yang mobile atau telecomutters untukdapat bekerja dari luar dan bisa login ke server farm. Hal ini dilakukan lewat jaringanpublic internet. Dengan membuat aturan yang baku dan system yang baik misalnya denganVPN dan RADIUS akan mempekecil vurnability sistem remote login ini.Service ProviderSharedNetworkInternet, IPVPNGambar remote account (sumber cisco.com)<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)8
15. Remote User, disaat akan terkoneksi ke jaringan apa yang mesti dilakukan oleh user, danbagaimana jika user akan terkoneksi ke jaringan local dari jaringan public.16. Social engineering, metode dengan ”mengelabui” melakukan pencarian informasi tidakdengan cara penetrasi langsung ke sistem server, biasanya ini terjadi di perusahaan layananyang menyediakan CSO (Customer Services Officer) atau Front Office yang langsungbersinggungan dengan customer, misalnya lewat telpon meminta untuk menggantipassword atau menanyakan password yang katanya lupa. Atau dengan mencari-cariserpihan kertas yang dibuang tanpa dihancurkan terlebih dahulu padahal biasanya berisiinformasi penting seperti password, nomer telpon, masalah keuangan, dan lain-lain17. Root <strong>Security</strong>, sistem administrasi dengan menggunakan remote sistem harus melaluijaringan yang aman, misalnya VPN, SSL, atau SSH. Dibuat aturan dimana setiap user yangakan login ke server dengan account root atau super user harus login dengan user biasadulu baru pindah ke user root.18. Membatasi akses pegawai yang tidak berhak untuk bisa mengakses tempat tertentu,misalnya pegawai dibagian Riset sangat leluasa masuk dan keluar kantor bagian marketing /finances19. Backup, membuat aturan dengan menerapkan kegiatan backup secara berkala ataumenggunakan sistem cadangan, saat ini trend perkembangan DRC (Disaster RecoveryCenter) yang biasa digunakan perusahaan banking, dimana menggunakan server cadanganuntuk menyalin database ke dalam server lain secara mirroring dengan metode penyalinanbisa diatur.20. Jika memungkinkan, alihkan atau gandakan log dari suatu server ke mesin lainnya.Tujuannya, agar menyulitkan hacker menghapus log setelah melancarkan aksinya, ataupunjika berhasil, kita masih mempunyai backup log-nya.21. Jangan lupa buat check list terhadap apa-apa yang perlu dilakukan dan juga buat catatantentang apa-apa yang telah dilakukan terutama dilakukan jika terjadi anomaly sistem.22. Patch terbaru, melakukan updating patch yang disediakan vendor perangkat lunaknyauntuk menutupi lubang-lubang keamanan, beberapa kasus masuknya penyusup dari lubangvurnability yang diakibatkan oleh perangkat lunak atau aplikasinya.<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)9
23. Sosialisasi dan kemudahan prosedur, diperlukan sosialisasi ke semua lapisan dari puncaksampai ke bawah untuk prosedur dan peraturan system keamanan yang telah dibuat.Kemudahan dengan system keamanan terbanding terbalik, maksudnya semakin tinggitingkat keamanannya maka akan semakin sulit juga kita akan mengaksesnya. Banyangkansaja jika kita akan login ke account email, namun harus memasukan user24. Team hotline, membuat sebuah tim penangananan jika terjadi serangan dan kerusakan danmenyiapkan nomer khusus online setiap saat.Untuk bahan bacaan lebih lanjut bisa membaca http://ftp.cerias.purdue.edu/pub/doc/policy/<strong>Awareness</strong> & <strong>Framework</strong> <strong>Security</strong> <strong>Policy</strong> | ver. 1.o (23/12/07)10
Change language