Embed Size (px)
Citation preview
SERTIFIKAT KULIAH UMUM
S e b a g a i P e s e r t a
K u l i a h U m u m S e c u r i t y A w a r e n e s s fo r O n l in e S h o p
O l e h P r o f . D r . H o g a S a r a g i h , S . T . , M . T .
K a m i s , 2 5 F e b r u a r i 2 0 2 1
Nelli Novyarni, SE., M.Si., Ak., CSRS., CSRA., CSP
KESADARAN KEAMANAN INFORMASI UNTUK BELANJA DI TOKO ONLINE
Prof. Dr. Hoga Saragih, ST, MT.
081285947801
Perkembangan E-commerce
• Perkembangan E-commerce di Indonesia selaras denganpermasalahan didalamnya seperti Phising, Malware, Wardriving, Skimming.
• Alasannya adalah karena masih rendahnya tingkat kesadarankeamanan informasi dari pengguna E-commrce di Indonesia
• Dalam etika bermedsos (no hate speech, no sara, no hoax), bagaimana bijak dalam memberikan data pribadi di medsos, tips penggunaan password aman (metode keacakan dan penggantiansecara periodik), bahaya pishing atau penipuan di dunia digital sertabagaimana penggunaan tandatangan digital untuk pengamananidentitas pribadi.
2
• Istilah Data Breach adalah data data pengguna sudah bocor di dunia maya
• Data breach sendiri merupakan kejadian dimana data sensitif, terproteksi, atau rahasia disalin, dipindahkan, dilihat, dicuri, atau digunakan oleh orang yang tidak seharusnya memiliki akses pada data tersebut. Untukmemprediksi kejadian seperti ini memang sulit.
• Sulit memprediksi data breach akan terjadi, mungkin kebanyakan dari kita pun juga tidak tahu seberapa amansistem keamanan yang dibangun oleh layanan toko online
• Agar terhindar dari data breach, khususnya ketika menggunakan layanan toko online, Karena Ahli IT menyarankanbeberapa langkah preventif yang sederhana bagi para pengguna. Salah satunya adalah dengan mengganti kata sandi secara berkala dan tidak menggunakan kata sandi yang sama untuk beberapa akun.
• Perlu juga pengaktifan otentikasi dua faktor atau two step verification untuk pengamanan tambahan.
• Serta jangan menyimpan informasi perbankan secara otomatis pada sistem transaksi, agar lebih aman
• Para pengguna atau user juga perlu memeriksa aset seperti uang elektronik yang tersimpan pada toko online ataulayanan online lainnya. Kemudian harus segera laporkan ke penyedia layanan jika terdapat kejanggalan
• Mengimbau agar masyarakat atau pengguna internet khususnya untuk menghindari penggunaan wifi publik saatbertransaksi online. Jadi, lebih aman dengan menggunakan kuota milik pribadi.
• Lengkapi juga keamanan perangkat yang digunakan untuk transaksi (HP/Laptop/Desktop) dengan menggunakankunci otomatis, pattern, sidik jari maupun sistem keamanan lain untuk menyulitkan akses apabila hilang ataudicuri pihak yang tidak berkepentingan 3
Pentingnya Sistem Keamanan untuk Bisnis Online• Rincian pembayaran, data transaksi pembayaran dan juga Informasi pribadi
seorang pelanggan merupakan hal yang sensitive dalalm sebuah bisnis online karena beberapa hal tersebut jika jatuh ke tangan yang salah dapat dijual denganharga yang tinggi dan membahayakan bisnis Anda.
• Dengan berkembangnya teknologi yang semakin canggih, popularitas online shop terus tumbuh secara pesat di seluruh dunia, oleh karena itu, keamanan menjadihal yang terpenting, tidak hanya bagi para pemilik bisnis yang beroperasi melaluiinternet, dalam upaya untuk meningkatkan kepercayaan dan kepercayaanpelanggan. Hal ini dapat dicapai terutama dengan meminimalkan risiko yang dihadapi pelanggan secara online.
4
Beberapa alasan mengapa keamanan sangatpenting untuk bisnis online
Pada akhir akhir ini terdapat banyak laporan tentang para pelanggan yang telah menjadikorban pelanggaran hacking dan data pribadi mereka, hal ini disebabkan oleh tingkatkeamanan yang tidak cukup kuat.
Konsekuensi dari hal ini dapat menyebabkan reputasi perusahan menurun dan konsekuensifinansial yang tidak dapat diperbaiki lagi.
Dengan demikian, keamanan online sangat penting dalam membantu bisnis dalammengatasi ancaman terhadap situs mereka dan menghindari hilangnya data pribadi dan sensitif lainnya.
Selain itu, sistem keamanan yang tinggi juga dapat mempromosikan penjualan produk milikperusahaan Anda, hal ini karena konsumen secara alami akan memilih melakukanpembelian dari sebuah website yang mereka yakini benar-benar aman.
Agar membuat website Anda menjadi sebuah tempat yang aman untuk melakukantransaksi jual beli maka Anda sebagai pemilik bisnis harus menyadari beberapa layanankeamanan yang dapat memastikan bahwa website Anda dilindungi secara menyeluruhsehingga kepercayaan konsumen dapat meningkat.
5
Pentingnya Otentifikasi
Arti kata otentikasi itu sendiri adalah proses identifikasi bahwa baik toko maupun pelanggan tersebut valid. Proses ini dapat membuat kedua belahpihak bisa tenang dengan mengetahui bahwa ada pembeli dan penjual asli.
Dengan mendapatkan sertifikat digital adalah salah satu cara untukmengotentikasi seorang pedagang atau penjual yang valid.
Dengan cara ini, para pembeli dapat mengetahui jika sebuah website yang mereka kirimkan informasi sensitif sebenarnya adalah sebuah website yang vaild, bukan pihak ketiga yang menyamar sebagai toko online.
Dengan menggunakan Secure Socket Layers (SSL) yang berguna untukmengenkripsi data dari pelanggan ke server dan mencegah interferensi pihakketiga, dan juga terdapat (PKI) Public Key Infrastructure untuk memastikanprivasi dan integritas dapat terjaga.
6
Pentingnya Keamanan web host
Dengan menggunakan SSL (Secure Socket Layers) beberapa rincian kartukredit dapat dikirim dengan aman, namun tetap saja banyak pelangganmerasa khawatir tentang apa yang terjadi dengan informasi pribadi merekaketika transaksi telah selesai dilakukan.
Hal ini dikarenakan rincian pembayaran diperlukan untuk e-commerce sehingga penting bagi pedagang atau penjual produk untuk menyimpaninformasi tersebut dengan aman dan di tempat yang aman.
Data tersebut dapat disimpan di server pemasok web hosting, di PC yang terpisah atau bahkan di disk.
Namun, dengan menggunakan layanan dari penyedia web hosting berkualitas tinggi, Anda dapat mengidentifikasi pola atau seranganberbahaya yang mungkin tidak terdeteksi oleh perangkat lunak Anda.
7
Melihat dari sudat pandang pelanggan
Terdapat beberapa cara lain yang dapat Anda lakukan untuk memeriksa keamanan dari website Anda. Salah satunya adalah melalui proses pembelian, memilih produk dan melakukan pembayaran, seolah-olahAnda adalah pelanggan. Ini akan memberi peluang kepada perusahaan untuk membuat sistem keamananyang dapat terus diimprovisasi untuk memastikan semua layanan stelah berjalan dengan lancar.
Seperti contohnya ketika melakukan input data kartu kredit, Anda harus memastikan jika browser Anda sedang terhubung dengan server menggunakan SSL. Jika browser tidak mengenali sertifikat SSL server, segera perbaiki hal tersebut karena pelanggan mungkin tidak menganggap situs tersebut cukup dapatdipercaya untuk menyelesaikan transaksi penjualan atau pembelian.
Selain itu, faktor keamanan lainnya adalah penggunaan username dan kata sandi. Username dan kata sandi yang aman haruslah terdiri dari kombinasi angka dan juga huruf agar tidak dapat lebih amandigunakan.
Jika pelanggan gagal mengetikkan kata sandi yang benar setelah lima kali mencoba, maka akun tersebutdapat ‘dikunci’ untuk menghindari pencurian beberapa data penting milik pelanggan tersebut.
Daripada menunggu kerusakan atau pencurian data terjadi, seorang pemilik bisnis harus melakukantindakan pencegahan agar website Anda dapat lebih dipercaya oleh para pelanggan. Selain itu, para pelanggan juga harus meningkatkan kewaspadaan saat berbelanja online di sebuah website.
8
Tips Keamanan Data untuk Pengguna Toko Online
• kebanyakan pengguna tidak mengetahui seberapa aman sistem keamanan yang dibangun oleh layanan toko online.
• "Bahkan, sangat sulit untuk memprediksi kapan data breach akan terjadi,"
• Data Breach merupakan kejadian dimana data sensitif, terproteksi, atau rahasiadisalin, dipindahkan, dilihat, dicuri, atau digunakan oleh orang yang tidakseharusnya memiliki akses pada data tersebut.
• BSSN pun mengimbau menghimbau masyarakat untuk terus waspada dan meningkatkan keamanan perangkat saat berbelanja secara online di platform ecommerce.
• "Tetap bijak mengaksesnya, karena keamanan siber yang kuat juga tergantungkesadaran kita mengelolanya. Jangan menjadi rantai terlemah dalam keamanan."
9
Agar terhindar dari peretasan data (data breach)Agar terhindar dari peretasan data (data breach), khususnya ketika menggunakan layanantoko online, berikut tips keamanan dari BSSN. Yaitu :
1. Ganti password secara berkala dan tidak menggunakan password yang sama untukbeberapa akun.
2. Aktifkan Otentikasi Dua Faktor untuk pengamanan tambahan.
3. Tidak menyimpan informasi perbankan secara otomatis pada sistem transaksi.
4. Periksa aset seperti uang elektronik yang tersimpan pada platform online (ecommerce, dompet digital), segera laporkan ke penyedia layanan jika terdapatkejanggalan.
5. Hindari menggunakan Wifi publik saat bertransaksi online.
6. Lengkapi keamanan perangkat yang digunakan untuk transaksi (HP/Laptop/Desktop) dengan menggunakan kunci otomatis, pattern, sidik jari maupun sistem keamanan lain untuk menyulitkan akses apabila hilang atau dicuri pihak yang tidak berkepentingan.
10
• Cara yang terbaik untuk memperkuat benteng pertahanan adalahdengan memberikan peluang lebih besar terhadap keamanan siber, edukasi cybersecurity di sektor pendidikan dan selalu ke depankantopik keamanan sebagai pilar kehidupan.
• Sehingga, publikasi di media juga semakin menonjol untuk keamanansiber, baik di TV, koran dan media lainnya. Dengan begitu, pemerintahselanjutnya dapat memainkan perannya
11
Antisipasi Isu Keamanan dan Privasi Data
• Risiko terhadap ancaman kebocoran data pada digital platform senantiasadalam rentang yang sangat tinggi. Jika menggunakan matriks risiko, kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan didapatkan dari kombinasi dampak dari frekuensi (seberapa seringterjadi) dan skala (seberapa besar dampak) kejadian kebocoran data.
• Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karenaterdapatnya celah atau vulnerability dari sistem yang dibuat oleh sebuahorganisasi. Celah disebabkan oleh berbagai macam faktor, namun secaraumum menjadi tiga kelompok besar, yakni People, Process, dan Technology.
12
People
• People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa darisisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepadapengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehinggaketerlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanandasar yang bisa dilakukan dari sisi pengguna antara lain adalah penggunaan password yang baik (kombinasi karakter password, menggunakan password yang berbeda untuksetiap platform, serta menggantinya secara berkala). Pengguna juga perlu memilikikesadaran atau pengetahuan terhadap ancaman social engineering (seperti phishing).
• Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembangtidak menerapkan enkripsi untuk penggunaan variable username dan password, dan penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalammelakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudahkedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalammelakukan design system (tidak mengindahkan kaidah standard practice berdasarkanrisiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanyabisa diakses oleh internal). 13
Proses
• Process — Eksploitasi terhadap business proses. Terkadang pelaku tindakkejahatan memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuahorganisasi (logic flaw exploitation). Paradigma bahwa security adalah tameng atausebagai pelindung terakhir sebuah produk, bisa menjadi salah satu faktor utamakebocoran data.
• Harus selalu berusaha menguji produk toko oonline dari fase awalpengembangannya untuk menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan dampak terhadap terjadinyakebocoran data.
• Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa kasus kebocoran data juga terjadi karena eksploitasi perangkat kerasyang berisikan data pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data secara offline.
14
Technology• Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan pengembang.
Teknologi merupakan hasil dari sebuah pengembangan produk logika manusia. Melalui pendekatanlogika yang berbeda (terbalik), banyak para pelaku tindakan kejahatan memanfaatkan celah ini untukkemudian dijadikan sebagai pintu dalam pengambilan data-data dari sebuah organisasi.
• Sebagai salah satu contoh adalah adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi inibanyak dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu, ditemukansatu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man in The Middle” attack. Dengan adanya celah ini, pelaku dapat melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.
• Jika melihat kepada ketiga komponen di atas dan berdasarkan data perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah satunya adalah cyware.com), kecenderunganserangan dan kebocoran data saat ini banyak terjadi karena faktor People melalui social engineering. Social engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya.
• Pada saat yang bersamaan, phishing juga dijadikan sebagai media utama dalam menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai serangan baru yang biasa disebutdengan Advanced Persistent Threat (APT) attack. Dengan APT attack, pelaku kemudian melakukanpengembangan dan eksploitasi data yang kemudian bisa dikomersialisasi/dijual.
• Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama data pelanggan. sebagaipengembang dan penyedia jasa digital, secara aktif mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran informasi dilakukan secara berkala agar Blibli dapat melakukankontrol pengamanan yang komprehensif.
15
• Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus jeli guna membatasi informasi yang diberikan ke penyediajasa digital dan memahami risiko jika informasi yang diminta terlalu sensitifdan tidak berhubungan dengan jasa.
• Keterbatasan pemahaman akan keamanan data ini lah yang membuatketerlibatan tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan tidak hanya sebatas darifaktor keamanan teknis saat produk digital siap dibuat, namun penerapanpengamanan bahkan harus dilakukan saat produk didesain sesuai denganstandar best practice.
16
Pemrosesan data pribadi
• Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika melakukanpemrosesan data pribadi, yaitu:
• Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh pemerintah setempatsudah dijadikan sebagai salah satu referensi utama dalam proses pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini menjadi penting karena setiap wilayah akanmemiliki hukum dan regulasi yang berbeda-beda.
• Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang digunakan dalampengamanan data terutama data pelanggan. Payung ini biasanya dibentuk dalam sebuah KebijakanPrivasi. Dalam pembuatan kebijakan ini, pastikan dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti dengan tanpa melupakan aspek transparansi dan keamanan.
• Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat pengembanganaplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap risiko. Ada beberapa manfaatyang bisa diambil pada saat penilaian risiko yang dilakukan. Selain melakukan identifikasi terhadapsetiap potensi ancaman yang akan terjadi, penggunaan kontrol yang efektif juga dapat mengurangibeban biaya dalam proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrolyang berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau memilikikriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk treatment plan parameter).
17
• Data collection. Dalam pengembangan sebuah platform pasti akan menggunakan minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat email, atau nomor telpon. Pengembang harusmemperhitungkan dan mempertimbangkan secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk layanan perbankan.
• Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu identitas atau Credit Card pada saatpengembangan sebuah fitur promo. Atau yang paling sering ditemukan dalam pengembangan produk untuksmartphone, terkadang pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga adabeberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain sebagainya. Usahakanpenggunaan data pribadi dilakukan sesuai dengan kebutuhan dan pada saat menggunakan data tersebutdipastikan bahwa kita sudah memiliki kontrol yang tepat untuk setiap data yang dikumpulkan.
• Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam mode web atau enkripsi lain dalam pengirimandata) merupakan salah satu fitur keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itufitur two factor authentication atau recovery methods lainnya adalah pendekatan pengembangan lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.
• Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan hak akses kepada setiapstakeholder yang terlibat. Segregation of duties atau pemisahan tugas menjadi pendekatan untuk mencegahancaman dari dalam. Klasifikasi data merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk menghindari terjadinya data terekspos keluar.
18
• salah satu investasi terpenting adalah pada People dan Process. Dalam perspektifkeamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alatpenunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasipada People dan Process akan mengubah pola pikir dan kultur pada bisnis.
• Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti yang telah dijelaskan sebelumnya, organisasi juga harus terusmenginformasikan bahwa keamanan data dan informasi pelanggan adalahmerupakan tanggung jawab bersama dengan cakupan yang sesuai denganporsinya masing-masing.
• Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuahbisnis dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini dilakukan dengan efektif dan efisien, perusahaan dapat menurunkanprofil risiko serta menerapkan kontrol pada organisasi. Organisasi pun dapatmempercepat perkembangan bisnis karena sudah dapat menentukan kontrolkeamanan yang tepat dari surface attack pada saat melakukan scale-up.
19
• Permasalahan ini adalah permasalahan klasik antara tim pengembangdengan security.
• Beberapa startup masih menggunakan konsep konvensional dalammelakukan balancing atau penyeimbangan pada saat melakukanpengembangan aplikasi.
• Sehingga masalah klasik ini senantiasa terjadi dan berulang.
• Dalam menghadapi ini, sebenarnya kita bisa melakukan adopsipendekatan Shifting Left.
• Berikut adalah penjelasan mengenai pendekatan konvensional dan Shifting Left.
20
pendekatan konvensional dan Shifting Left
21
• Konvensional:
• Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasisenantiasa akan menuliskan semua permintaan pada bagian awal pengembangan.
• Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan.
• Satu sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi lain akan memberikan dampak yang cukup serius pada saat terjadinya penemuandefect hasil testing yang banyak dan cukup kritis.
• Proses perbaikan terhadap hasil dari testing akan membutuhkan biaya tambahan baikuntuk desain maupun implementasinya.
• Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang senantiasa mengandalkan kepada jumlah release yang cepat.
• Adopsi pendekatan yang lebih agile dan shifting left bisa dilakukan untuk setiaporganisasi startup dalam menghasilkan produk yang cepat tanpa meninggalkan aspekkeamanan.
22
pendekatan konvensional dan Shifting Left
23
• Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and Verification).
• Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase awal yaitu “Requirement”.
• Pada fase ini, Requirement tidak hanya akan melibatkan kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga memasukan unsur keamanan sebagai salah satuparameter. Perusahaan telah menerapkan metode ini dalam proses pengembangan produkdigitalnya.
• Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan pihak penguji dalamsetiap tahap.
• Tim pengembang dan security dapat berkerja sama untuk melakukan tindakan preventif daripadadetective.
• Metode dan pendekatan ini telah kami terapkan di Blibli sebelum perusahaan meluncurkanproduk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta meningkatkankemudahan dan kualitas produk/aplikasi.
24
• Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi, sebuah organisasitelah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari sebuah organisasi. Proses bisnis akanmenyesuaikan dengan standar sehingga mampu menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu melakukan manajemen risiko.
• Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia keamanan informasi ataucybersecurity. Hal ini kembali lagi dengan kepentingan dan ranah bisnis yang dilakukan organisasi.
• Ketika telah mendapatkan sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untukpengelolaan sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.
• Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi nilai tambah bagiperusahaan dalam menjalankan bisnisnya.
• Sertifikasi keamanan informasi ini banyak sekali untuk level individual seperti:
• Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM
• Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT Master, ECSA Master, CREST
• Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor 25
• Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam bentuk digital. Fokuspengamanan sebuah organisasi harus lebih jauh, bukan hanya pada pengamanan data semata, namun jauh lebihbesar ke dalam hasil pengolahan data tersebut – biasanya dikenal dengan informasi.
• Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow (architect), Red (attacker) dan Blue (defender).
• Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan senantiasa dilakukan baikdari sisi aplikasi, infrastruktur, maupun security. Tim Security Architect akan melakukan review terhadaparchitecture dari aplikasi berdasarkan fungsi, obyektif, rencana pengujian, serta pemantauan terhadap risikoteknis melalui proses threat modelling.
• Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke publik. Pengujian ini akandilakukan oleh tim Red. Fungsi utama dari tim ini adalah melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur. Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukanberbagai simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
• Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi atau platform, metodelain yang dibutuhkan adalah metode defensif. Tim Blue akan bertanggung jawab terhadap implementasi skenariodan kontrol pertahanan dari serangan pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red sepertiimplementasi web application firewall, firewall, logging, SIEM, incident handling, dan sejumlah tindakan defensiflainnya.
26
• Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasildari campuran ketiga warna tersebut. Perusahaan toko online pun menerapkancampuran ini untuk memastikan tim IT dapat beroperasi dengan maksimal. Ketigatim tambahan tersebut adalah:
• Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak melakukanperbaikan dari security automation dan code yang dituliskan oleh developer (programmer).
• Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam bentukawareness atau edukasi teknis keamanan.
• Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai timpenyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metodeofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari Tim Blue dalam melakukan pertahanan.
27
• Perusahaan Toko Online berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranyaadalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan baik.
• Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian keamananinformasi, sehingga dalam pelaksanaannya kami melakukan tiga metode pengendalian yang meliputi:
• Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan melakukanperubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang kami lakukan termasukkampanye yang meningkatkan awaraness pelanggan akan keamanan data, menerapkan kendaliterhadap akses dan teknologi sesuai kebutuhan stakeholder, serta bekerja sama dengan pihak eksternalresmi seperti Badan Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkankeamanan yang lebih luas.
• Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan harapanterdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat tingkat efektivitasterhadap kontrol yang kita miliki. Analisis log, pengujian keamanan, dan laporan secara berkalamerupakan langkah-langkah deteksi yang dilakukan.
• Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan pada saat sebuahinsiden terjadi. Pembentukan tim Computer Incident Response Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses pengelolaan manajemen insiden merupakan salah satu metodeyang diterapkan 28
• saat ini tindakan kejahatan dalam dunia siber semakin hari semakin meningkatbaik secara kualitas maupun kuantitas. Dalam pengamanannya kami menerapkanbanyak kontrol keamanan baik dari sisi pelanggan maupun platform Perusahaan.
• Berikut ini adalah beberapa poin yang telah di kembangkan demi menjagakeamanan data dan kenyamanan bertransaksi.
29
(1) Pengamanan terhadap sistem e-commerce.
• Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik. Selainmemudahkan pelanggan dalam berbelanja, juga memastikan semua layanan transaksi tersebutberjalan dengan aman.
• Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang dilakukanoleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat menikmati promosiyang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan bot yang disiapkan untukmelakukan eksploitasi.
• Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting left, Perusahaan Toko Online sudah menjalankan proses SDLC yang aman sehingga kami dapatmelakukan antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi.
• Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksiterhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Perusahaan Toko Online dapat menjaga keamanan lingkungan digital perusahaan dari pihak yang tidakberwenang agar tidak dapat mengakses Data Pelanggan.
• Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko, di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai.
30
(2) Perlindungan pelanggan.
• Perusahaan Toko Online telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai salah satu kontrol untukmelindungi dan meningkatkan keamanan akun pelanggan.
• Dalam menghadapi ancaman tindakan fraud, Perusahaan Toko Online menerapkan fitur 3D Secure for credit card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay dan BCA OneKlik.
• Menjalankan phishing site detection, fitur yang memberikan kemudahankepada pelanggan Perusahaan toko online dalam proteksi terhadappercobaan phishing.
• End-to-end encryption untuk semua fitur yang mengandung informasi kritisdari pelanggan seperti password, credit card, dan informasi sensitif lainnya
31
• Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk dari sebuah serangantermasuk skenario kebocoran data. Tindakan pencegahan dan respons terhadap kebocoran data harus melibatkansemua pihak baik dari sisi tim IT, Security, komunikasi, legal, serta jajaran manajemen.
• Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan insiden. Setiap insidenyang terjadi tidak harus diinformasikan kepada pelanggan. Perusahaan juga harus melakukan kategorisasi insidenyang terjadi (apakah insiden termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidaknormal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).
• Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan membantu tim melakukan perhitungan dengan lebihtepat dan cepat.
• Analisis ini perlu juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah insiden inibenar-benar valid atau hanya sebatas false positive, apakah kejadian ini memiliki dampak yang sesuai denganlaporan pertama, serta data atau sistem apa saja yang terkena dampak dari insiden ini.
• Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan prioritas baik dari jenis insidenmaupun langkah kontrol untuk perbaikan yang sifatnya sementara supaya insiden ini tidak memberikan dampakyang lebih besar. Proses investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritasini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah selanjutnya.
32
Jika pada fase incident triage menghasilkan kesimpulan bahwa insidenterjadi, proses notifikasi harus secepatnya diberikan kepada setiapkomponen organisasi yang terlibat. Notifikasi cepat ini harus melibatkan:• Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.• Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal
dari insiden yang terjadi, termasuk tim infrastructure dan developer untukmelakukan perbaikan secepatnya.
• Management representative untuk memberikan laporan terbaru dari status insiden serta meminta saran, rekomendasi, serta arahan untuk keputusan.
• Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktifatau proaktif) kepada publik mengenai kondisi insiden saat ini dan apakahinsiden ini valid atau tidak valid.
33
• Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnyamenjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju daridampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden tersebut.
• Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti darisetiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatanlaporan dan menentukan proses forensic dari insiden tersebut.
• Hasil forensic ini akan menjelaskan detail informasi dari insiden tersebut seperti:
1. Metode penyerangan.
2. Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
3. Kontrol keamanan yang mampu menahan serangan.
4. Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masukpenyerang serta informasi detailnya.
34
• Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnyamelakukan pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan yang ditemukan dan dijadikan sebagai jalanmasuk dari insiden tersebut. Dalam penanganan insiden, melakukanpatching ini biasa disebut dengan proses pemberantasan atau eradication process.
• Beberapa contoh lain dari proses ini adalah dengan penggantian perangkatyang malfungsi, mengubah konfigurasi baik dari perangkat infrastruktur, security maupun code dari developer, serta melakukan improvement (instalasi) baru untuk meningkatkan keamanan.
• Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalahmelakukan pemulihan sistem, layanan, serta data yang terkena dampakdari insiden tersebut. Tim penanganan harus dapat memastikan bahwasemua layanan kembali normal.
35
• Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya ke pihak terkait. Selainmanajemen perusahaan, tim dapat melaporkannya kepada pemerintah apabila insiden termasuk dalam kategorikritis dan berhubungan dengan pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya adabeberapa poin yang harus dilakukan atau disampaikan:
• Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
• Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak dalam melakukanperencanaan persiapan insiden merupakan salah satu pendekatan terbaik. Informasikan juga bahwa kejadian inidi luar kontrol organisasi, mengingat organisasi sudah melakukan serangkaian kegiatan preventif.
• Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut. Termasuk di dalamnyainformasi tentang
• Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi oleh enkripsi.
• Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih dalam tahap investigasiatau perbaikan, seperti mengganti password semua akun digital dan pengecekan saldo (untuk platform finansial) secara reguler
• Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah tindakan kritis yang harussegera dilakukan. Namun demikian tindakan pencegahan merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data tersebut.
36
• Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalamkeamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisiteknis.
• Platform yang biasa kami gunakan adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-lab, pwnable, coursera, opensecurity training, heimdal security, san cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform community yang bisa digunakan.
• Perusahaan Toko Online senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya adalah melakukan edukasi terhadap pengembangan produk melalui secure coding training, seminar, dan internal sharing session secara periodik.
• Perusahaan Toko Online juga mengajak rekan-rekan IT untuk bergabung dalamkomunitas IT. Fungsi dari keikutsertaaan karyawan di komunitas adalah memperluasnetwork serta mendapatkan update mengenai isu-isu terkini, baik yang terjadi di dalammaupun luar negeri
37
• Perusahaan mempunyai kewajiban memberikan perlindungan terbaikuntuk keamanan data pelanggan. Secara bersamaan para pelangganjuga harus menjaga kerahasiaan data mereka terutama saatmelakukan transaksi online yang saat ini semakin mudah dan cepat. Selain itu pelanggan juga harus memilih platform yang terpercayaketika melakukan transaksi online. Dengan adanya kesadaran yang tinggi terhadap keamanan data informasi, pelanggan dapat ikut aktifmeminimalkan potensi terjadinya kebocoran data.”
38
• Perkembangan teknologi telah memungkinkan digitalisasi dalam ranah strategis, termasuk hadirnya e-commerce, digital banking, transportasi online, dan masih banyak lagi. Perkembangan teknologi inimenempatkan data sebagai inti dari layanan.
• Dalam mewujudkan ekosistem ekonomi digital yang aman diperlukan kolaborasi dari berbagai pihak, yaitu pemerintah, pelaku layanan digital, komunitas, dan terutama dari pengguna layanan digital itusendiri.”
• Edukasi mengenai keamanan data dan bertransaksi digital kepada pengguna rutin dilaksanakan melaluiberbagai medium seperti email, artikel online, media sosial, push notification, hingga beragam kegiatanbersama komunitas. Perusahaan online percaya, gaya hidup digital perlu diimbangi dengan kesadaranakan keamanan dalam bertransaksi offline maupun online.
• Beberapa langkah dasar untuk melindungi data pribadi antara lain menggunakan e-mail dan password yang berbeda untuk masing-masing kebutuhan, mengganti PIN dan password akun secara berkala, tidakmembagikan data pribadi baik kepada orang lain atau pun di media sosial, mengatur PIN (Personal Identification Number) yang berbeda untuk setiap kartu debit, dan menjaga kerahasiaan OTP (one-time password).
• semakin membuka wawasan masyarakat digital savety agar lebih waspada dalam melindungi keamanandata pribadi untuk meminimalkan berbagai kemungkinan risiko yang muncul saat melakukan transaksionline maupun offline,” 39
Menjaga Keamanan Data dan Informasi Organisasi• Bagi organisasi/perusahaan, data dan informasi adalah aset penting dan berharga demi
kelangsungan hidup organisasi / perusahaan tersebut. Oleh karena itu, data dan informasi yang ada dalam organisasi/perusahaan haruslah di Kelola dengan baik dan dijaga keamanan sertakerahasiaannya, jangan sampai jatuh dan dimanfaatkan oleh pihak-pihak yang tidakbertanggungjawab dan menjadikan organisasi/perusahaan tidak bisa berjalan sesuai visi misinyahingga tidak bisa berkembang dan akan mati pada aknirnya.
• Coba bisa Anda bayangkan, di era digital seperti sekarang ini, dimana semua orang bisamengakses informasi dengan mudahnya melalui internet, tentu saja dengan mudahnya aksesmelalui jaringan internet pasti juga ada orang-orang yang memiliki niatan jahat dengan mencuriatau membobol data dan informasi yang ada pada sebuah organisasi/perusahaan untukdiperjualbelikan atau bahkan minta tebusan uang dengan jumlah yang besar.
• Nah hal-hal itulah yang tentunya harus menjadi prioritas organisasi/perusahaan untuk menjagakeamanan dan menghindari penyalahgunaan data dan informasi yang ada didalamnya. Dan dalamhal ini keamanan data informasi , dibutuhkan untuk menjaga kerahasiaan, ketersediaan dan integritas sumber daya informasi yang ada dalam organisasi/perusahaan.
40
• Berkaitan dengan keamanan data informasi dan sesuai dengan judul artikel ini, mulai sekarangAnda harus bisa menghindari kesalahan-kesalahan fatal dalam menjaga dan mengelola data informasi di organisasi/perusahaan Anda, seperti contohnya :
1. Pemetaan data dan informasi yang tidak terstruktur dengan baik2. Data dan informasi yang diterima tidak konsisten3. Kurangnya kesadaran akan pentingnya keamanan data informasi4. Penyimpanan data informasi yang berbeda-beda sumbernya5. Sulit mencari data informasi yang dibutuhkan6. Tidak adanya pembagian hak akses data informasi yang ada7. Integritas data tidak terjamin
• Untuk menghindari kesalahan-kesalahan seperti di atas, Anda bisa melakukan berbagai langkahdalam menjaga dan mengelola data informasi organisasi/perusahaan Anda, beberapacontohnya seperti ; membuat rencana strategis IT untuk 5 tahun ke depan (IT Master Plan) yang berguna dalam membuat kebijakan dalam penanganan data informasi, gunakansoftware/aplikasi yang aman bagi organisasi, meningkatkan awareness terhadap keamanandata informasi, menerapkan Sistem Manajemen Keamanan Informasi (SMKI), dll. 41
• Dari beberapa langkah yang dapat diterapkan dalam menjagakemanan data informasi di atas, ada dua poin yang dapat di prioritaskan oleh organisasi/perusahaan, yaitu rencana strategis IT ( IT Master Plan) dan penerapan Sistem Manajemen Keamanan Informasi(SMKI) atau biasa dikenal dengan ISO 27001.
• Ya karena dengan kedua poin tersebut, organisasi/perusahaan dapatdengan mudah merencanakan pengembangan IT yang sesuai dengankebutuhan disertai dengan sistem keamanan data informasi yang sesuai dengan standart ISO 27001.
42
Pentingnya Meningkatkan Keamanan Website Toko Online di Era Digital
• Pada saat yang sama, website toko online merupakan target utama hacker, kecurangan, dan risiko keamanan lainnya. Situs E-niaga merupakan sasaran favorit bagi peretas karena merekadapat menghasilkan informasi berharga, termasuk nomor kartu kredit dan data pribadi lainnya.
• Berita tentang pelanggaran data yang besar di perusahaan besar telah menjadi hal yang biasa, namun bukan hanya perusahaan besar yang menjadi target dan korban. Situs e-commerce dengan ukuran apapun rentan terhadap peretasan, penipuan, dan jenis serangan cyber lainnya.
• Sebenarnya, perusahaan kecil mungkin lebih rentan karena sumber daya yang terbatas dan sering dialihkan ke tempat lain atau keahlian keamanan cyber yang dibutuhkan tidak tersedia.
• Dalam hal ini, perusahaan kecil dapat menggunakan jasa layanan web managed service kami, sehingga tidak terlalu membebankan biaya anda.
• Namun, untuk meningkatkan keamanan website toko online yang tepat merupakan prioritas di dunia digital saat ini. Ada risiko besar untuk tidak berinvestasi dalam meningkatkan keamananwebsite toko online. Serangan cyber bisa berarti kehilangan pendapatan, penurunan reputasimerek dan kepercayaan konsumen.
43
Tips Cara Meningkatkan Keamanan Website Toko Online Anda• Setiap hari, jutaan transaksi e-commerce berlangsung di seluruh
dunia. Pembelian barang secara online semakin populer. Dengandemikian, akan ada peningkatan terhadap ancaman maya. Berikutkami sajikan tips singkat untuk meningkatkan keamanan website toko online anda.
• Dalam meningkatkan keamanan website toko online, salah satu faktoryang paling penting adalah melindungi data pelanggan. Karena jikapelanggan sudah tidak percaya, maka reputasi bisnis anda juga akanterganggu. Kemudian hal tersebut akan membawa dampak pada penurunan penjualan.
44
Pastikan Kepatuhan PCI DSS
• Akhir-akhir ini dibutuhkan lompatan bagi konsumen untuk memasukkan nomor kartu kredittersebut ke situs e-commerce. Setiap kali mereka melakukannya, mereka mempercayakankerahasaiaan data kepada bisnis Anda agar informasi sensitif mereka tetap aman.
• Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) menetapkan persyaratankeamanan untuk semua perusahaan yang menangani transaksi kartu kredit. Dari protokolotentikasi yang kuat hingga enkripsi data sensitif selama transit melalui internet, kepatuhan PCI DSS melindungi perusahaan dan konsumen.
• Pedoman lain termasuk tidak menyimpan informasi kartu kredit di database lebih lama dariyang diperlukan untuk transaksi tertentu.
• Perlu diingat, bahkan ketika penyedia layanan pihak ketiga terbiasa memproses transaksionline, pedagang masih bertanggung jawab untuk memastikan transaksi yang aman. Pengecerharus memantau sistem mereka dari ujung ke ujung untuk memastikan kepatuhan.
• Namun, jika anda tidak memproses pembayaran kartu kredit, tentunya sertifikasi PCI DSS tidakrelevan untuk anda. Ikuti syarat untuk meningkatkan keamanan website toko online selanjutnya. 45
Berinvestasi dalam Aplikasi Web Firewall
• Sebagian besar situs e-commerce memanfaatkan beberapa jenis aplikasi web – keranjangbelanja, sistem manajemen konten, dan solusi SaaS lainnya. Firewall jaringan tradisional tidakdapat memfilter dan memeriksa lalu lintas lapisan aplikasi (Layer 7) dengan benar.
• Solusinya adalah menggunakn aplikasi web firewall (WAF) yang menganalisa dan menerapkanseperangkat aturan yang spesifik untuk interaksi layer aplikasi.
• WAF secara khusus melihat ciri-ciri lalu lintas perilaku, mengidentifikasi pola yang tidak biasadan mencegah lalu lintas yang berpotensi berbahaya untuk dilewati.
• Injeksi SQL, scripting lintas situs, pembajakan sesi, parameter atau gangguan URL adalahbeberapa ancaman aplikasi web yang dapat di mitigasi oleh WAF.
• Firewall aplikasi web tersedia sebagai solusi perangkat keras, jaringan, atau host. Ada teknologiWAF yang terintegrasi dengan layanan lain yang terkait dengan situs e-commerce, sepertijaringan pengiriman konten atau perlindungan DDoS.
• Dalam memberikan jasa pembuatan website toko online atau website coporate, kami menggunakan beberapa layanan Firewall dan mitigasi DDoS.
46
Lindungi Situs Anda dengan Perlindungan DDoS
• Dalam serangan denial-of-service terdistribusi (DDoS), penyerang mendapatkan akses kebeberapa perangkat dan menggunakannya untuk membanjiri server target, atau jenisinfrastruktur web lainnya.
• Tujuan serangan DDoS adalah untuk memperlambat kinerja situs suatu web bahkan hinggamelumpuhkan website. Saat ini, serangan DDoS banyak dikombinasikan dengan penyusupanmalware.
• Untuk meningkatkan keamanan website toko online, terutama bagi yang menerimapembayaran kartu kredit, sebaiknya juga menggunakan mitigasi malware yang dapat mengenalipola perilaku malware.
• Kampanye DDoS bisa bertahan rata-rata 2-6 jam dan menghabiskan ribuan bisnis denganpendapatan yang hilang. Reputasi merek dan kepercayaan konsumen juga dipertaruhkan.
• Pertimbangkan solusi perlindungan DDoS berbasis cloud seperti CloudFlare. Ini menyediakanmitigasi proaktif, serta isolasi lalu lintas dan penyerapan. Perlindungan DDoS berbasis awanmemiliki bandwidth jaringan untuk menangani lonjakan besar lalu lintas serangan DDoS dan menawarkan dukungan layanan 24/7. 47
Bermitra dengan Secure Hosting Provider
• Penyedia web hosting adalah dasar dari kesuksesan sebuah website toko online. Hosting yang dapat diandalkan adalah yang memiliki kerangka kerja yang menyediakan komponen penting untuk keamanan situs.
• Pastikan penyedia hosting Anda selalu peduli terhadap keamanan. Lingkunganhosting khusus yang menggunakan enkripsi, melakukan pemantauan jaringanreguler (untuk perangkat lunak perusak, virus, dan sebagainya.) Dan memilikiprosedur yang berlaku jika terjadi pelanggaran data.
• Salah satu syarat keamanan website adalah dengan memiliki backup yang beradadi hosting dan juga selalu di download ke external hard drive anda.
• Tanpa backup yang tersedia, akan menjadi sulit untuk memulihkan website toko online setelah terkena serangan.
48
Update seluruh elemen website
• Salah satu cara peretas mendapatkan akses ke situs web adalah dengan cara mencarikerentanan yang diketahui, perangkat lunak aplikasi web usang dan mengungkap kata sandi yang lemah atau default.
• Dengan cara ini, situs e-commerce ukuran kecil dan menengah lebih rentan daripadaperusahaan yang lebih besar. Ini adalah buah yang menggantung rendah di dunia hacker.
• Tutup kerentanan ini dengan tetap mengikuti pembaruan dan menginstalnya sesegeramungkin. Ini berlaku untuk server, kode pihak ketiga (WordPress, Java, Prestashop, dan sebagainya.) Juga selalu update plugin atau modul-modul lainnya yang terpasang.
• Dengan menggunakan jasa pembuatan website kami, terutama untuk website perusahaan berbasis wordpress dan toko online berbasis woocommerce, update dapatdilakukan secara otomatis berdasar parameter konfigurasi yang akan anda terapkan.
49
Tetap Waspada dan Konsisten
• Lanskap ancaman cyber ke situs e-commerce terus berubah dan beradaptasi denganteknologi dan keadaan baru. Ini penting untuk tetap update terhadap trend keamanancyber dan solusi keamanan terbaru.
• Tim keamanan perlu mengadopsi keadaan pikiran yang konstan. Ini melibatkan tugasseperti:
1. Lakukan tes rutin di website.
2. Perbaiki masalah segera setelah mereka diidentifikasi.
3. Pantau situs web untuk tetap di atas kerentanan.
4. Masing-masing langkah yang diuraikan akan membuat Anda berada di jalur yang benar untukmeningkatkan keamanan website toko online.
• E-niaga adalah industri yang bergantung pada situs web untuk menghasilkan uang. Oleh karena itu, membuat dan memelihara situs web yang aman sangat penting. Janganmengabaikan langkah-langkah penting ini untuk melindungi situs Anda. 50
Kesadaran Keamanan untuk Karyawan Perusahaan Anda
• Kesalahan karena manusia (brainware) selalu dianggap sebagai penyebab utamakebocoran data. Faktanya, karyawan di sebuah perusahaan adalah salah satuancaman terbesar terhadap keamanan siber.
• Infosec melansir, karyawan juga bisa menjadi aset terbesar keamanan siberperusahaan. Jika karyawan diberikan pengetahuan untuk mengidentifikasiancaman melalui program pelatihan, mereka adalah garis pertahanan lain di organisasi.
• Pelatihan kemanan siber yang baik harus mencakup kemungkinan ancaman yang akan dihadapi perusahaan. Artikel ini menguraikan sepuluh topik pelatihankesadaran keamanan yang paling penting untuk dimasukkan dalam program kesadaran keamanan.
51
1. Penipuan (phising) melalui email
• Phising menjadi metode paling umum dalam kejahatan dunia maya untuk mendapatkan akses ke jaringan komputer. Memanfaatkan kelengahan manusia untuk mengelabui target dengan penawaran-penawaran menarik (barang gratis, peluangbisnis, dan sebagainya).
• Kesadaran terhadap phising melalui email harus menjadi komponen penting program pelatihan keamanan perusahaan.
• Pelatihan harus mencakup contoh email phishing yang umum dan relevan serta tip untuk mengidentifikasi percobaanserangan, termasuk:
• Anjuran untuk tidak mempercayai email apa pun yang tidak diinginkan.
• Tidak mengirim data apa pun kepada orang yang meminta melui email, penting untuk melakukan konfirmasi kembali kepadapimpinan
• Selalu aktifkan filter spam
• Konfigurasikan email client dengan benar
• Pasang anivirus dan firewall yang selalu diperbaharui
• Tidak mengeklik tautan tidak dikenal yang dikirim melalui email
• Waspada terhadap lampiran email.
• Verifikasi lampiran yang dikirim (melalui telepon atau media lain) sebelum membukannya.
• Phising bisa terjadi melalui media apa pun selalui email.
52
2. Perangkat Lunak Perusak (Malware)
• Malware adalah perangkat lunak berbahaya yang digunakan penjahat dunia maya untukmencuri data sensitif (informasi rahasia pengguna, informasi keuangan, dan sebagainya) atau menyebabkan kerusakan pada sistem (misalnya, ransomware dan malware yang menghapus data).
• Malware dapat masuk ke jaringan komputer dengan berbagai cara, termasuk email phishing, unduhan, dan USB flash drive.
• Pelatihan kesadaran keamanan karyawan tentang malware harus mencakup metodepengiriman umumnya, ancaman, dan dampak terhadap organisasi.
• Kiat penting harus meliputi:1. Curiga terhadap file di email, situs web, dan tempat lain.2. Jangan instal perangkat lunak yang tidak sah.3. Tetap jalankan antivirus dan selalu perbarui.4. Hubungi tim IT/keamanan jika Anda mungkin terkena infeksi malware.
53
3. Keamanan kata sandi
• Kata sandi adalah sistem otentikasi yang paling umum dan paling mudahdigunakan yang ada. Sebagian besar karyawan memiliki banyak akun online yang diakses dengan memberikan nama pengguna (biasanya alamat email mereka) dan kata sandi.
• Keamanan kata sandi yang buruk adalah salah satu ancaman terbesar bagikeamanan perusahaan modern. Beberapa tip keamanan sandi penting untukdisertakan dalam konten pelatihan:
1. Selalu gunakan kata sandi unik untuk setiap akun online2. Kata sandi harus dibuat secara acak3. Kata sandi harus berisi campuran huruf, angka, dan simbol4. Gunakan pengelola kata sandi untuk menghasilkan dan menyimpan kata sandi yang kuat
untuk setiap akun.5. Gunakan otentikasi multi-faktor (MFA) bila tersedia untuk mengurangi dampak kata sandi
yang dibobol. 54
4. Removable media
• Removable media (seperti USB, CD, dan sebagainya) adalah alat yang sering digunakanmalware untuk melewati pertahanan keamanan berbasis jaringan organisasi.
• Malware dapat diinstal pada media dan dikonfigurasi untuk dijalankan secara otomatisdengan autorun atau memiliki nama file yang menarik untuk mengelabui karyawan agar mengklik.
• Removable media dapat digunakan untuk mencuri data, memasang ransomware, ataubahkan menghancurkan komputer tempat mereka dimasukkan.
• Removable media dapat didistribusikan dengan cara dijatuhkan di tempat parkir dan area umum atau dibagikan pada konferensi dan acara publik lainnya.
• Karyawan harus dilatih untuk mengelola media lepas-pasang yang tidak tepercayadengan benar:
1. Jangan pernah mencolokkan removable media yang tidak tepercaya ke komputer2. Bawa semua media lepas tepercaya ke TI/keamanan untuk pemindaian3. Nonaktifkan autorun di semua komputer
55
5. Kebiasaan internet yang aman
• Hampir setiap pekerja, khususnya di bidang teknologi, memiliki akses ke internet. Untukalasan ini, penggunaan internet yang aman menjadi sangat penting bagi perusahaan.
• Program pelatihan keamanan harus memasukkan kebiasaan internet yang aman yang mencegah penyerang menembus jaringan perusahaan.
• Beberapa konten penting untuk disertakan dalam pelatihan:• Kemampuan untuk mengenali domain yang mencurigakan dan palsu (seperti
yahooo.com, bukan yahoo.com)• Perbedaan antara HTTP dan HTTPS dan cara mengidentifikasi koneksi yang tidak aman• Bahaya mengunduh perangkat lunak yang tidak tepercaya atau mencurigakan dari
internet• Risiko memasukkan informasi login ke situs web yang tidak tepercaya atau berisiko
(termasuk halaman palsu dan phishing)• Serangan pada celah keamanan, unduhan drive-by, dan ancaman lain dari menjelajahi
situs yang mencurigakan 56
6. Bahaya jejaring sosial
• Perusahaan menggunakan jejaring sosial sebagai alat yang ampuh untukmembangun merek (baik secara lokal maupun global) dan menghasilkanpenjualan online. Sayangnya, penjahat dunia maya juga menggunakan media sosial untuk serangan yang membahayakan sistem dan reputasi organisasi.
• Untuk mencegah hilangnya data penting, perusahaan harus memiliki program pelatihan jejaring sosial yang layak yang harus membatasi penggunaan jejaringsosial dan menginformasikan karyawan tentang ancaman media sosial:
• Serangan phishing dapat terjadi di media sosial maupun melalui email
• Penjahat dunia maya yang meniru merek tepercaya dapat mencuri data ataumenyebarkan malware
• Informasi yang dipublikasikan di media sosial dapat digunakan untuk membuatemail spearphishing
57
7. Keamanan fisik dan pengendalian lingkungan
• Kesadaran keamanan bukan hanya tentang apa yang ada di komputer atau perangkat genggamperusahaan Anda. Karyawan harus menyadari potensi risiko keamanan dalam aspek fisiktempat kerja, seperti:
• Pengunjung atau karyawan baru menonton saat karyawan mengetik sandi (dikenal sebagai"selancar bahu")
• Mengizinkan pengunjung yang mengaku sebagai inspektur, pembasmi serangga, atau tamutidak biasa lainnya yang mungkin ingin masuk ke sistem (disebut "peniruan identitas")
• Mengizinkan seseorang mengikuti Anda melalui pintu ke area terlarang (disebut "tailgating")
• Meninggalkan kata sandi di selembar kertas di atas meja seseorang
• Membiarkan komputer hidup dan tidak dilindungi kata sandi saat berangkat kerja malam itu
• Meninggalkan ponsel atau perangkat yang dikeluarkan kantor di depan mata
• Kontrol keamanan fisik (pintu, kunci, dan sebagainya) tidak berfungsi
58
8. Kebijakan meja bersih
• Informasi sensitif di meja seperti catatan tempel, kertas, dan hasilcetak dapat dengan mudah diambil oleh tangan pencuri dan dilihatdengan mengintip.
• Kebijakan meja bersih harus menyatakan bahwa informasi yang terlihat di meja harus dibatasi pada apa yang saat ini diperlukan. Sebelum meninggalkan ruang kerja karena alasan apa pun, semuainformasi sensitif dan rahasia harus disimpan dengan aman.
59
9. Manajemen data dan privasi
• Sebagian besar organisasi mengumpulkan, menyimpan, dan memproses banyakinformasi sensitif. Ini termasuk data pelanggan, catatan karyawan, strategi bisnis, dan data lain yang penting untuk pengoperasian bisnis yang benar. Jika salah satudari data ini diungkapkan kepada publik atau dapat diakses oleh pesaing ataupenjahat dunia maya, maka organisasi dapat menghadapi sanksi peraturan yang signifikan, kerusakan pada hubungan konsumen, dan hilangnya keunggulankompetitif.
• Karyawan dalam suatu organisasi perlu dilatih tentang cara mengelola data sensitif bisnis dengan benar untuk melindungi keamanan data dan privasipelanggan. Konten pelatihan penting meliputi:
• Strategi klasifikasi data bisnis dan cara mengidentifikasi dan melindungi data di setiap tingkat
• Persyaratan regulasi yang dapat memengaruhi operasi sehari-hari karyawan
• Lokasi penyimpanan yang disetujui untuk data sensitif di jaringan perusahaan
• Gunakan kata sandi dan MFA yang kuat untuk akun dengan akses ke data sensitif60
10. Kebijakan Bring-your-own-device (BYOD)
• Kebijakan BYOD memungkinkan karyawan untuk menggunakan perangkat pribadi mereka di tempat kerja. Meskipun hal ini dapat meningkatkan efisiensi - dengan memungkinkan karyawan menggunakan perangkat yang paling nyaman bagi mereka - hal ini juga menimbulkan potensi risiko keamanan.
• Kebijakan BYOD dan pelatihan kesadaran keamanan karyawan harus mencakup tip-tip berikut:
• Semua perangkat yang digunakan di tempat kerja harus diamankan dengan kata sandi yang kuat untuk melindungidari pencurian
• Aktifkan enkripsi disk penuh untuk perangkat BYOD
• Gunakan VPN pada perangkat saat bekerja dari Wi-Fi yang tidak tepercaya
• Perangkat yang disetujui BYOD harus menjalankan antivirus yang disetujui perusahaan
• Hanya unduh aplikasi dari toko aplikasi besar atau langsung dari situs web produsen
• Karyawan memainkan peran penting dalam menjalankan bisnis yang sukses. Tenaga kerja yang tidak terlatih dan lalai dapat membahayakan perusahaan Anda karena banyak pelanggaran data. Oleh karena itu, organisasi harusmengadopsi program pelatihan keamanan yang layak yang harus mencakup pedoman penting yang diperlukanuntuk menggagalkan insiden dunia maya yang akan terjadi.
• Organisasi Anda juga harus mengatur pertemuan pelatihan bulanan, sering memberikan pengingat, melatihsemua personel baru tentang kebijakan baru saat mereka tiba, menyediakan materi pelatihan dan menerapkaninsentif kreatif untuk memberi penghargaan kepada karyawan karena bersikap proaktif dalam memastikankeamanan organisasi. 61
Tingkatkan Keamanan Informasi Perusahaan dengan SMKI
• Salah satu langkah yang dapat diterapkan oleh perusahaan untuk menjaga informasi adalah dengan menerapkan Sistem Manajemen KeamananInformasi (SMKI). SMKI merupakan bagian dari sistem manajemen dalam suatu organisasi yang bertujuan untuk membangun, mengimplementasikan, mengoperasikan, memantau, memelihara, dan meningkatkan keamanan informasi.
• BSN adalah Standardisasi Nasional (BSN) telah mengadopsi identik standar ISO/IEC 27001:2013 – information technology – security techniques –information security management system – requirements menjadi SNI ISO/IEC 27001:2013 – Teknologi Informasi – Teknik keamanan – SistemManajemen Keamanan Informasi – persyaratan.
• SMKI merupakan pendekatan secara sistematik untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji ulang, memelihara, dan meningkatkan keamanan informasi suatu organisasi untuk mencapai tujuan/sasaran bisnisnya.
• SMKI mencakup kebijakan, prosedur, pedoman/panduan serta sumber daya dan kegiatan terkait yang dikelola oleh suatu organisasi yang bertujuanuntuk melindungi aset informasinya.
• SMKI mengikuti high level structure dalam standar sistem manajemen, sehingga ketika diterapkan, akan lebih mudah bagi penguna untukmengintegrasikan/memadukan SMKI dengan sistem manajemen lainnya. “Jadi dalam standar ini tidak hanya tekait teknis teknologi informasinya, tetapijuga termasuk isu mengenai organisasinya,”
• Sebagai contoh, dengan menerapkan SMKI, maka paling tidak suatu perusahaan/organisasi akan menerapkan empat hal. • Pertama, perusahaan/organisasi akan mengidentifikasi asset informasi dan persyaratan’kebutuhan keamanan informasi. • Kedua, perusahaan/organisasi akan menilai risiko keamanan informasi dan cara menanganinya. • Kemudian, perusahaan/organisasi akan memilih dan menerapkan kendali yang sesuai untuk mengelola risiko yang tidak dapat diterima. • Selanjutnya, perusahaan/organisasi harus memantau, memelihara, dan meningkatkan keefektifan kendali sesuai aset informasi perusahaan/organisasi.
• Hingga saat ini, BSN melalui Komite Akreditasi Nasional (KAN) telah mengakreditasi 10 Lembaga Sertifikasi yang memiliki ruang lingkup SMKI.
• Tercatat ada 159 organisasi di Indonesia yang telah menerapkan standar ini. Diharapkan, dengan berkembang pesatnya sektor bisnis digital, kesadaranakan pentingnya penerapan Sistem Manajemen Keamanan Informasi akan meningkat.
62
• sertifikasi ISO/IEC 27001:2013 untuk penerapan sistem manajemenkeamanan informasi, sesuai dengan standar yang diakui secarainternasional tersebut.
• Sertifikasi ini menunjukkan bahwa telah memenuhi keseluruhanstandar terkait sistem manajemen keamanan informasi dalammengoperasikan bisnis e-commerce.
• Ada juga : Indeks Keamanan Informasi (KAMI) dari Badan Sandi dan Siber Negara (BSSN).
63
Keamanan Toko Online
• Dari waktu ke waktu, serangan cyber dari tingkat yang berbeda terjadi di seluruhdunia.
• Setelah mendengar berita tersebut, Anda ingin segera bertindak untukmelindungi toko online Anda dan bisnis,
• Saran ini akan memberikan Anda minimal yang membantu untuk menjaga toko Anda aman dari mayoritas serangan cyber. Semakin cepat Anda menerapkanrekomendasi ini, lebih baik.
64
1. Pastikan Anda adalah pemilik domain Anda
• Jika Anda menggunakan nama domain kustom Anda, dan terutama jika itu tidakAnda yang membelinya (tapi orang IT Anda, manajer, atau kontraktor), cek yang adalah pemilik - itu harus Anda. Sebaliknya, orang lain (atau organisasi) memilikinama domain Anda, dan mereka secara teknis dapat menjual nama domain Anda atau yang sesuai untuk situs web yang berbeda.
• Dalam kasus domain Anda terdaftar dengan nama orang lain, memindahkannyake akun Anda menggunakan petunjuk dari penyedia domain Anda
• Jika Anda akan membeli nama domain, tidak memberikan tugas ini kepadakontraktor atau setidaknya pastikan Anda pemilik. Pemilik perusahaantransnasional harus mendaftarkan domain dengan nama mereka terlalu. Ingatlogin dan password, as you’ll need them when it’s time to renew your hosting subscription. 65
2. Pastikan Anda adalah pemilik langganan hosting Anda
• Jika Anda perlu hosting untuk toko online Anda (misalnya, jika Anda menambahkannya ke Anda WordPress.org, Adobe Muse, or Joomla website), make sure that you own your hosting subscription.
• Sebaliknya, Anda menjalankan risiko yang sama seperti ketika mempercayai namadomain Anda ke orang lain. Pemilik akun hosting Anda akan dapat melakukanapa-apa dengan situs web Anda, bahkan menghapusnya.
• Anda juga harus menjaga login dan password dari account hosting Anda untukmemperbaharui itu.
66
3. Eksklusif membuat password yang kuat
• Melindungi akun Anda dengan password yang kuat. Gunakan rekomendasi dari Google:• Buat password yang unik untuk setiap akun• sandi Anda harus terdiri dari setidaknya 6 karakter• Gunakan campuran huruf, nomor, and symbols• Gunakan huruf besar dan kecil• Jangan gunakan:• kata-kata umum dan ekspresi umum• pola keyboard seperti “qwerty” atau “12345”• Informasi pribadi: nama, alamat, nomor ID, dan lain-lain.• Mengubah semua password Anda dengan yang lebih kuat, dari toko dashboard online
Anda ke email Anda dan media sosial. Mengubah password setiap kali Anda berbagiaccount Anda dengan kontraktor atau memecat karyawan.
67
4. Instal password manager
• Ini hampir tidak mungkin untuk mengingat beberapa password yang kuat dari hosting Anda, admin, email, and other accounts. Ada jalan keluar - manajer password:
• 1Password, manajer terbaik sejauh
• LastPass is great too, and cheaper
• Layanan ini memerlukan mengingat hanya satu password (password master) darilayanan mereka.
• Selain itu, 1Password dan LastPass dapat menghasilkan password yang kuat yang unik. Gunakan fitur ini jika Anda tidak memiliki waktu atau inspirasi untuk menciptakanbanyak password sendiri.
• Ini sangat tidak aman untuk memiliki password Anda tersedia untuk umum, misalnyadengan menjaga mereka di atas kertas. Makalah ini dapat tersesat, or damaged by water or simply by time. Jangan menyimpan password Anda di Notebook / Excel / file Word, sebagai data tersebut dapat dengan mudah dicuri atau hancur oleh virus. 68
5. Instal sertifikat SSL di situs web Anda
• Sertifikat SSL aman melindungi data pelanggan Anda - nama, alamat, nomortelepon, rincian kartu kredit - dari hacker yang dapat mencuri dan menggunakannya, misalnya, untuk mendapatkan uang dari kartu kreditpelanggan Anda).
• Plus, sertifikat SSL membantu untuk meningkatkan peringkat di Google dan mendapatkan kepercayaan pelanggan. pos lain akan memberitahu lebih lanjuttentang sertifikat SSL serta tentang bagaimana untuk mendapatkan mereka untuktoko online Anda.
69
6. Mengatur otentikasi dua faktor untuk email Anda
• Dan juga di mana pun itu mungkin. Untuk mengakses kotak masuk, Anda harus mengetikkan login + password, dan kemudian ketik kode verifikasi yang dikirimkan kepada Anda melalui SMS atau dihasilkandalam aplikasi khusus yang disebut authenticator. SMS tersebut dikirim ke nomor Anda hanya, dan aplikasi yang terhubung ke akun Anda sehingga tidak ada satu tapi Anda dapat menerima kode ini.
• Bahkan jika beberapa orang jahat menebak atau mencuri password, mereka tidak akan dapatmengakses akun Anda karena sistem akan meminta mereka untuk memasukkan kode verifikasi merekatidak punya.
• Jika Anda tidak menggunakan otentikasi dua faktor, Anda bisa menjadi korban dari virus atau phishing. Seorang penyusup bisa mendapatkan password email Anda dan bisa mengubah password lainnya yang Anda gunakan (termasuk panel kontrol toko online Anda).
• Beberapa layanan memiliki otentikasi dua faktor secara default, misalnya, MailChimp. Berikut adalahpetunjuk untuk mengaktifkan otentikasi dua faktor dalam layanan populer dan di media sosial:
• Untuk layanan Google
• untuk Facebook
• untuk Twitter
• untuk Yahoo70
7. Instal versi terbaru dari semua program yang Anda gunakan
• Ini termasuk browser dan sistem operasi komputer Anda dan perangkat mobile. update seperti biasanyadipasang secara otomatis atau dengan persetujuan Anda (selalu menyetujui mereka).
• Memperbarui Firefox ke versi terbaru
• Memperbarui Google Chrome ke versi terbaru
• Update Opera ke versi terbaru
• Jika website Anda dibangun dengan WordPress.org, Adobe Muse, Joomla, or another site builder that requires hosting, tidak mengabaikan pembaruan dan jangan ragu untuk menginstal mereka segerasetelah mereka tersedia. Memonitor pemberitahuan keamanan layanan dan siap untuk segeramenginstal keamanan patch to prevent your website from being hacked.
• Check it out sekarang dan memperbarui website Anda jika perlu:
• update WordPress.org
• update Joomla
• update Adobe Muse
• Jika website Anda dibangun dengan awan constructor (seperti Ecwid, WordPress.com, Wix), layananAnda diperbarui secara otomatis, tidak ada tindakan yang diperlukan.
71
8. Membuat salinan cadangan
• Jika situs Web Anda dibuat dengan sistem manajemen konten (CMS) sepertiWordPress.org, Adobe Muse, Joomla, dan lain-lain, dan di-host oleh penyedia hosting terpisah, Anda harus membuat salinan cadangan setiap bulan.
• penyedia layanan hosting besar melakukan backup otomatis atau memungkinkan Anda untuk mengatur backup otomatis (misalnya, BlueHost). Periksa dengan operator Anda apakah mereka melakukan backup. Jika tidak, lakukan sendiri, menggunakan salah satupetunjuk di web (Anda mungkin perlu pengembang di sini).
• Jika toko online Anda hacked, salinan cadangan akan membantu Anda menemukan dan menghapus potongan kode yang tidak perlu ditambahkan oleh hacker. If your website gets completely deleted, salinan cadangan dapat menyelamatkan bisnis Anda.
72
Keamanan Siber
• Sebagai konsekuensi semakin banyak dan besarnya volume transaksiperdagangan berbasis elektronik, maka faktor keamanan menjasi sangat pentinguntuk dilakukan. Tanpa memperhatikan secara serius aspek keamanan ini, makasistem ini akan dapat hancur dan membuat kekacauan yang tidak kita harapkan.
• Pada Oktober 2017 lalu telah dirilis prosedur operasi dan regulasi standar umumyang terkait dengan penyimpanan data konsumen, sertifikasi untuk keselamatandata konsumen, serta perumusan regulasi untuk kejahatan siber (cybercrime).
• Disamping itu tak kalah pentingnya adalah program untuk meningkatkankesadaran publik terhadap kejahatan yang mungkin terjadi pada dunia maya melalui edukasi konsumen dan pelaku usaha tentang pentingnya peran masing-masing dalam menjaga keamanan transaksi elektronik.
73
Pentingnya Sistem Keamanan untuk Bisnis Online
• Rincian pembayaran, data transaksi pembayaran dan juga Informasi pribadiseorang pelanggan merupakan hal yang sensitive dalalm sebuah bisnis online karena beberapa hal tersebut jika jatuh ke tangan yang salah dapat dijual denganharga yang tinggi dan membahayakn bisnis Anda.
• Dengan berkembangnya teknologi yang semakin canggih, popularitas online shop terus tumbuh secara pesat di seluruh dunia, oleh karena itu,keamanan menjadihal yang terpenting, tidak hanya bagi para pemilik bisnis yang beroperasi melaluiinternet, dalam upaya untuk meningkatkan kepercayaan dan kepercayaanpelanggan. Hal ini dapat dicapai terutama dengan meminimalkan risiko yang dihadapi pelanggan secara online.
74
Beberapa alasan mengapa keamanan sangatpenting untuk bisnis online
• Pada akhir akhir ini terdapat banyak laporan tentang para pelanggan yang telah menjadikorban pelanggaran hacking dan data pribadi mereka, hal ini disebabkan oleh tingkatkeamanan yang tidak cukup kuat.
• Konsekuensi dari hal ini dapat menyebabkan reputasi perusahan menurun dan konsekuensi finansial yang tidak dapat diperbaiki lagi. Dengan demikian, keamananonline sangat penting dalam membantu bisnis dalam mengatasi ancaman terhadapsitus mereka dan menghindari hilangnya data pribadi dan sensitif lainnya.
• Selain itu, sistem keamana yang tinggi Ijuga dapat mempromosikan penjualan produkmilik perusahaan Anda, hal ini karena konsumen secara alami akan memilih melakukanpembelian dari sebuah website yang mereka yakini benar-benar aman.
• Agar membuat website Anda menjadi sebuah tempat yang aman untuk melakukantransaksi jual beli maka Anda sebagai pemilik bisnis harus menyadari beberapa layanankeamanan yang dapat memastikan bahwa website Anda dilindungi secara menyeluruhsehingga kepercayaan konsumen dapat meningkat. 75
Pentingnya Otentifikasi
• Arti kata otentikasi itu sendiri adalah proses identifikasi bahwa baik toko maupunpelanggan tersebut valid. Proses ini dapat membuat kedua belah pihak bisatenang dengan mengetahui bahwa ada pembeli dan penjual asli. Denganmendapatkan sertifikat digital adalah salah satu cara untuk mengotentikasiseorang pedagang atau penjual yang valid.
• Dengan cara ini, para pembeli dapat mengetahui jika sebuah website yang mereka kirimkan informasi sensitif sebenarnya adalah sebuah website yang vaild, bukan pihak ketiga yang menyamar sebagai toko online.
• Dengan menggunakan Secure Socket Layers (SSL) yang berguna untukmengenkripsi data dari pelanggan ke server dan mencegah interferensi pihakketiga, dan juga terdapat (PKI) Public Key Infrastructure untuk memastikan privasidan integritas dapat terjaga. 76
Pentingnya Keamanan web host
• Dengan menggunakan SSL (Secure Socket Layers) beberapa rincian kartu kreditdapat dikirim dengan aman, namun tetap saja banyak pelanggan merasa khawatirtentang apa yang terjadi dengan informasi pribadi mereka ketika transaksi telahselesai dilakukan.
• Hal ini dikarenakan rincian pembayaran diperlukan untuk e-commerce sehinggapenting bagi pedagang atau penjual produk untuk menyimpan informasi tersebutdengan aman dan di tempat yang aman.
• Data tersebut dapat disimpan di server pemasok web hosting, di PC yang terpisahatau bahkan di disk. Namun, dengan menggunakan layanan dari penyedia web hosting berkualitas tinggi, Anda dapat mengidentifikasi pola atau seranganberbahaya yang mungkin tidak terdeteksi oleh perangkat lunak Anda.
77
Melihat dari sudat pandang pelanggan
• Terdapat beberapa cara lain yang dapat Anda lakukan untuk memeriksa keamanan dari website Anda. Salah satunya adalah melalui proses pembelian, memilih produk dan melakukanpembayaran, seolah-olah Anda adalah pelanggan. Ini akan memberi peluang kepadaperusahaan untuk membuat sistem keamana yang dapat terus diimprovisasi untuk memastikansemua layanan stelah berjalan dengan lancar.
• Seperti contohnya ketika melakukan input data kartu kredit, Anda harus memastikan jikabrowser Anda sedang terhubung dengan server menggunakan SSL. Jika browser tidakmengenali sertifikat SSL server, segera perbaiki hal tersebut karena pelanggan mungkin tidakmenganggap situs tersebut cukup dapat dipercaya untuk menyelesaikan transaksi penjualanatau pembelian.
• Selain itu, faktor keamanan lainnya adalah penggunaan username dan kata sandi. Username dan kata sandi yang aman haruslah terdiri dari kombinasi angka dan juga huruf agar tidak dapatlebih aman digunakan. Jika pelanggan gagal mengetikkan kata sandi yang benar setelah lima kali mencoba, maka akun tersebut dapat ‘dikunci’ untuk menghindari pencurian beberapa data penting milik pelanggan tersebut.
• Daripada menunggu kerusakan atau pencurian data terjadi, seorang pemilik bisnis harusmelakukan tindakan pencegahan agar website Anda dapat lebih dipercaya oleh para pelanggan. Selain itu, para pelanggan juga harus meningkatkan kewaspadaan saat berbelanjaonline di sebuah website.
78
Sumber-Sumber Bahan Bacaan
• https://www.mogodev.id/2020/11/topik-pelatihan-kesadaran-keamanan.html
• https://mastel.id/apa-penyebab-situs-pemerintah-sering-diretas/
• https://www.cnbcindonesia.com/tech/20200505182629-37-156540/tips-agar-akun-tokopedia-tak-bocor-dari-badan-siber-ri
• https://www.antaranews.com/berita/812491/pakar-kesadaran-keamanan-siber-perlu-ditingkatkan
• https://dailysocial.id/post/tips-keamanan-dan-privasi-data-ricky-setiadi
• https://www.blibli.com/page/news-events/jenius-dan-blibli-com-ajak-digital-savvy-jaga-keamanan-data-pribadi/
• https://integrasolusi.com/blog/stop-kesalahan-fatal-dalam-menjaga-keamanan-data-dan-informasi-organisasi-anda/
• https://jakartaurbanhosting.com/tips-cara-meningkatkan-keamanan-website-toko-online-anda/
• https://www.topreneur.id/tingkatkan-keamanan-informasi-perusahaan-dengan-smki/
• https://tekno.kompas.com/read/2019/12/10/12390027/blibli-kantongi-sertifikat-keamanan-data-iso-27001
• https://www.ecwid.com/id/blog/online-store-security-8-must-complete-steps-against-web-threats.html
• https://iprice.co.id/trend/insights/peta-jalan-e-commerce-dan-manfaatnya-bagi-ekosistem-perdagangan-online-indonesia/
• https://suryasemesta.com/pentingnya-sistem-keamanan-untuk-bisnis-online.html
79
