Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
SISTEM TRANSAKSI ELEKTRONIK
&
SISTEM KEAMANAN DATA, INFORMASI
Balai Kota Malang, 21 Oktober 2014
SISTEMSISTEM
TRANSAKSI
ELEKTRONIK
REAL SPACE vs CYBER SPACE
AMANAT PEMBENTUKAN PP
UU ITE :
Kepastian Hukum Alat Bukti Elektronik
Penyelenggaraan Sistem Elektronik
SISTEM KEAMANAN DATA &SISTEM KEAMANAN DATA &
INFORMASI
Penetrasi Internet
Pertumbuhan 90+ juta pengguna, 45+ juta pelajar, 135+ juta akses data selular, 270+ juta
nomor, 200 Gbp...
Klasifikasi Informasi
SANGAT RAHASIA = dapat mengakibatkan kerusakan secara nasional
yang tidak dapat dipulihkan.Tidak dap...
Perlakuan Sesuai Klasifikasi
Label data: MERAH (Sangat Rahasia, Rahasia),
KUNING (Hanya Untuk Diketahui), HIJAU (Terbatas)...
DATA CENTER STANDAR --- TIA 942
LEVEL KETERANGAN
1
•Rentan terhadap gangguan dari kegiatan terencana dan tidak terencana
•...
DATA CENTER STANDAR – TIA 942
LEVEL KETERANGAN
3
•Memungkinkan kegiatan terencana tidak menganggu operasi komputer
hardwar...
5 elemen utama Data Center
Aplikasi
Database
Server & Os
Jaringan
Storage Array
Matriks Perlakuan Informasi
Encrypted
Dual Key
DRCT4
Encrypted
Single Key
DRCT3DRCT4 DRCT3
Encrypted
Limited Key
DRCT2
Enc...
Fitur Kriptografi
Mengubah informasi yang dapat digunakan menjadi bentuk yang tidak
dapat digunakan oleh orang lain selain...
Fitur Otentikasi
Untuk MENGUJI kebenaran identitas seseorang dilakukan satu prosedur yang
disebut dengan OTENTIKASI berdas...
Fitur Otorisasi
Setelah seseorang, aplikasi, sistem, perangkat diidentifikasi melalui
proses otentikasi, maka ditentukan H...
Fitur Keamanan OS
Semua sistem operasi terbaru memiliki fitur keamanan:
Manajemen pengguna dan hak akses
Enkripsi tingkat ...
Pencadangan Dan Pemulihan
Solusi pencadangan selalu lebih murah dibanding
pemulihan
Dua cadangan tidak cukup, selalu gunak...
Kebijakan Pengakhiran
Semua salinan fisik data pada sembarang media harus punya batas waktu
pengakhiran, pembatasan pembuk...
Perangkat Bersih dan Aman
Pastikan semua perangkat anda menggunakan OS, APLIKASI
LEGAL, serta memiliki dukungan resmi dan ...
Akses Jarak Jauh Aman
Jangan pernah percaya dengan akses nirkabel (WiFi, selular)
Jika terpaksa, pastikan data telah disan...
Akses Nirkabel Publik Aman
Jaringan nirkabel bersifat terbuka, tidak terlindungi dan mudah
dieksploitasi. Sangat penting u...
Berselancar Dengan Aman
Hampir semua situs mutakhir telah memanfaatkan CA, HTTPS
Jangan mengijinkan segala macam bentuk po...
Interaksi Media Sosial Aman
Jangan menerima permintaan pertemanan dari orang asing
Selalu lakukan konfirmasi pada teman la...
Melindungi Surat Elektronik
Gunakan mode plain text saja, matikan auto open attachment
Jangan percaya segala jenis attachm...
MelindungiTransaksi Daring
Harus cek dan re-cek, selalu ada waktu untuk memeriksa
Baca dan pahami aturan main dan tanyakan...
Melindungi Kartu Kredit/Debit
Perbaharui pengetahuan teknologi terbaru untuk memahami
kelemahan, penipuan, deteksi proses ...
Melindungi Kata Kunci
Peretasan kata kunci (password) masih menjadi modus utama
untuk mendapatkan akses tidak sah dengan b...
Melindungi Perangkat Portabel
SMARTPHONE, LAPTOP,TABLET, EXTERNAL / FLASH
DRIVE, IPOD, DLL.
Gunakan kata kunci (password) ...
SUMBER
Dokumen Keamanan Informasi ID-SIRTII/CC,“Melindungi
Aset Informasi Dan Aktivitas Daring Kita”, 2014.
Dokumen Sosial...
TERIMA KASIH
eva@stiki.ac.ideva@stiki.ac.id
Sistem Transaksi Elektronik, Keamanan Data & Informasi
Sistem Transaksi Elektronik, Keamanan Data & Informasi
Sistem Transaksi Elektronik, Keamanan Data & Informasi
Sistem Transaksi Elektronik, Keamanan Data & Informasi
Sistem Transaksi Elektronik, Keamanan Data & Informasi
Nächste SlideShare
Wird geladen in …5
×

Sistem Transaksi Elektronik, Keamanan Data & Informasi

Materi Workshop Sistem Transaksi Elektronik, Keamanan Data & Informasi oleh Diskominfo Kota Malang, 21 Oktober 2014

  • Loggen Sie sich ein, um Kommentare anzuzeigen.

Sistem Transaksi Elektronik, Keamanan Data & Informasi

  1. 1. SISTEM TRANSAKSI ELEKTRONIK & SISTEM KEAMANAN DATA, INFORMASI Balai Kota Malang, 21 Oktober 2014
  2. 2. SISTEMSISTEM TRANSAKSI ELEKTRONIK
  3. 3. REAL SPACE vs CYBER SPACE
  4. 4. AMANAT PEMBENTUKAN PP
  5. 5. UU ITE : Kepastian Hukum Alat Bukti Elektronik
  6. 6. Penyelenggaraan Sistem Elektronik
  7. 7. SISTEM KEAMANAN DATA &SISTEM KEAMANAN DATA & INFORMASI
  8. 8. Penetrasi Internet Pertumbuhan 90+ juta pengguna, 45+ juta pelajar, 135+ juta akses data selular, 270+ juta nomor, 200 Gbps traffic IP transit local exchange (IX, OIXP, CDN), konten lokal tumbuh 100% Always ON Lifestyle, 60+ juta pengguna media sosial, 30 juta pengunjung media daring, 10 juta penggemar games daring, 15 juta transaksi ebanking > transaksi ATM, omzet transaksi daring lebih dari 100 triliun rupiah per tahun sejak 2010transaksi daring lebih dari 100 triliun rupiah per tahun sejak 2010 Deteksi sensor peringatan dini lebih dari 3 juta insiden, virus dan malware meningkat hingga 1 juta kejadian, peretasan situs lebih 1400+ dan kerentanan 2400+ kasus per bulan Serangan terbesar: peretasan pangkalan data 900+K, malware CNC (bots) 800+K, domain target .sch.id, .ac.id, .go.id Target obyek: data bisnis, kerentanan aplikasi dan perangkat
  9. 9. Klasifikasi Informasi SANGAT RAHASIA = dapat mengakibatkan kerusakan secara nasional yang tidak dapat dipulihkan.Tidak dapat dibuka dengan alasan apapun RAHASIA = dapat mengakibatkan kerusakan secara nasional, mungkin bisa dipulihkan kembali (sebagian). Dapat dibuka setelah waktu tertentu HANYA DIKETAHUI = dapat menimbulkan kerawanan nasional. DapatHANYA DIKETAHUI = dapat menimbulkan kerawanan nasional. Dapat diketahui oleh kelompok tertentu dengan ijin.Tidak dapat diduplikasi TERBATAS = dapat mengakibatkan dampak yang tak diinginkan. Dapat dibuka untuk kelompok tertentu dengan ijin dan batasan penggunaan TANPA KLASIFIKASI = dapat dibuka tanpa ijin dan batasan penggunaan
  10. 10. Perlakuan Sesuai Klasifikasi Label data: MERAH (Sangat Rahasia, Rahasia), KUNING (Hanya Untuk Diketahui), HIJAU (Terbatas), PUTIH (Bebas) Protokol pertukaran dan pengamanan data sesuai label:Protokol pertukaran dan pengamanan data sesuai label: Merah, dengan sandi dan ijin ganda, minimum DRC Tier-4 Kuning, dengan sandi dan ijin khusus, minimum DRC Tier-3 Hijau, dengan sandi dan ijin terbatas, minimum DRC Tier-2 Putih, tanpa persandian dan tanpa ijin, minimum cold DRC
  11. 11. DATA CENTER STANDAR --- TIA 942 LEVEL KETERANGAN 1 •Rentan terhadap gangguan dari kegiatan terencana dan tidak terencana •Hanya mempunyai satu jalur distribusi untuk daya dan pendingin, tidak mempunyai komponen redundant (N) •Raised Floor, UPS atau generator bersifat optiona; •Downtime tahunan sekitar 28,8 jam •Harus dilakukan pemadaman secara keseluruhan pada saat melakukan•Harus dilakukan pemadaman secara keseluruhan pada saat melakukan perawatan pencegahan. 2 •Sedikit rentan terhadap gangguan dari kegiatan terencana dan tidak terencana •Hanya mempunyai satu jalur distribusi untuk daya dan pendingin, mempunyai komponen redundant (N+1) •Mempunyai raised floor, UPS dan generator •Downtime tahunan sekitar 22 jam •Membutuhkan processing downtime pada saat melakukan perawatan terhadap jalur daya dan perangkat infrastruktur lainnya
  12. 12. DATA CENTER STANDAR – TIA 942 LEVEL KETERANGAN 3 •Memungkinkan kegiatan terencana tidak menganggu operasi komputer hardware, tetapi kegiatan yang tidak terencana masih akan menyebabkan gangguan •Mempunyai beberapa jalur distribusi untuk daya dan pendingin tetapi hanya satu jalur yang aktif, mempunyai komponen redundant (N+1) •Downtime tahunan sekitar 1,6 jam•Downtime tahunan sekitar 1,6 jam •Mempunyai raised floor, dan mempunyai kapasitas untuk menampung beban dengan satu jalur pada saat jalur lain dilakukan perawatan. 4 •Kegiatan yang terencana tidak akan mengganggu operiasional dan data center dapat mempertahankan setidaknya satu kegiatan buruk yang tidak terencana tanpa menyebabkan dampak buruk terhadap operasi yang bersifat kritikal. •Mempunyai beberapa jalur ditribusi untuk daya dan pendingin, dan mempunyai komponen redundant (2(N+1)) •Downtime tahunan sekiar 0,4 jam
  13. 13. 5 elemen utama Data Center Aplikasi Database Server & Os Jaringan Storage Array
  14. 14. Matriks Perlakuan Informasi Encrypted Dual Key DRCT4 Encrypted Single Key DRCT3DRCT4 DRCT3 Encrypted Limited Key DRCT2 Encrypted No Key Cold DRC
  15. 15. Fitur Kriptografi Mengubah informasi yang dapat digunakan menjadi bentuk yang tidak dapat digunakan oleh orang lain selain pengguna yang berwenang; proses ini disebut ENKRIPSI Informasi terenkripsi dapat diubah kembali oleh pengguna yang berwenang, menggunakan KUNCI KRIPTOGRAFI (dekripsi) MELINDUNGI informasi dari pengungkapan yang tidak sah, disengaja, sementara atau ketika dalam kondisi akses jarak jauh maupun manakala dalam penyimpanan Menyediakan aplikasi lain yang berguna: metode otentikasi yang lebih baik, mencerna pesan, tanda tangan digital, non-penolakan dan komunikasi jaringan terenkripsi
  16. 16. Fitur Otentikasi Untuk MENGUJI kebenaran identitas seseorang dilakukan satu prosedur yang disebut dengan OTENTIKASI berdasarkan: Sesuatu yang diketahui: PIN, kata sandi, nama gadis ibu kandung Sesuatu yang dimiliki: kartu identitas, kode token, nomor telepon Sesuatu yang personal: biometrik (sidik jari, retina, suara) SYARAT VALIDITAS otentikasi apabila memenuhi sedikitnya dua dari tiga jenis pengenalan dimana yang terbaik/terkuat bila salah satunya adalah biometrik. Inilah yang disebut dengan OTENTIKASI DUA FAKTOR (two factor authentication) Identifikasi dan otentikasi adalah KUNCI PENGENDALIAN AKSES dimana para pemilik aset informasi secara terpusat memiliki kekuasaan menentukan dan mengatur hak akses sesuai fungsi
  17. 17. Fitur Otorisasi Setelah seseorang, aplikasi, sistem, perangkat diidentifikasi melalui proses otentikasi, maka ditentukan HAK untuk serta aktivitas apa yang diijinkan (jalankan baca, tulis, hapus, ubah) Hak otoritas akses diberikan melalui KEBIJAKAN DAN PROSEDUR Kebijakan menentukan BATASAN apa yang boleh diakses, oleh siapa dan dalam kondisi bagaimana. Mekanisme pengendalian kemudian ditetapkan melalui konfigurasi untuk memastikan semua aturan main dipatuhi dan bagaimana perlindungannya
  18. 18. Fitur Keamanan OS Semua sistem operasi terbaru memiliki fitur keamanan: Manajemen pengguna dan hak akses Enkripsi tingkat file, direktori, file system Fitur keamanan di tingkat aplikasi: kata kunci dan kompresi Pengamanan pada tingkat perangkat fisik (terminal access): Kata kunci: PIN, password Biometrik: sidik jari, retina
  19. 19. Pencadangan Dan Pemulihan Solusi pencadangan selalu lebih murah dibanding pemulihan Dua cadangan tidak cukup, selalu gunakan tiga jenis cadangan Perangkat portabel eksternal untuk pencadangan harian Pencadangan statis periodik pada tempat yang berbedaPencadangan statis periodik pada tempat yang berbeda Fasilitas penyimpan cadangan online dengan fitur enkripsi Lakukan sesering mungkin dengan pola acak. Gunakan fitur otomatisasi pencadangan yang tersedia pada semua OS Strategi klasifikasi dan pemisahan data, gunakan enkripsi
  20. 20. Kebijakan Pengakhiran Semua salinan fisik data pada sembarang media harus punya batas waktu pengakhiran, pembatasan pembukaan, memiliki prosedur penghapusan, penghancuran, pengarsipan aman Semua data harus disandikan dengan algoritma terkuat, kata kunci kompleks satu arah serta dikompresi sebelum dihapus dengan metode paling aman misalnya 35x standar NSA/DOD Semua perangkat portabel dan acang bergerak harus segera diserahkan kepada tim keamanan pada saat cuti, liburan atau pensiun dan melaporkan kehilangan/penggantian perangkat Pembatasan fungsi dan pengaturan akses untuk isu bring your own device (BYOD) serta diterapkan ketat di semua tingkatan
  21. 21. Perangkat Bersih dan Aman Pastikan semua perangkat anda menggunakan OS, APLIKASI LEGAL, serta memiliki dukungan resmi dan selalu terbarukan. Dilengkapi proteksi standar: firewall, anti virus terbaru. Lakukan pencadangan teratur pada tiga media dan tiga lokasi Aktifkan perawatan otomatis untuk membersihkan residu dan pemeriksaan rutin sekaligus pencadangan. Upaya pencegahan selalupemeriksaan rutin sekaligus pencadangan. Upaya pencegahan selalu berguna dan membutuhkan sumber daya (waktu, uang) lebih sedikit dibandingkan proses penyelamatan + pemulihan. Jangan percaya semua media eksternal termasuk kiriman file dari siapapun untuk tujuan apapun. Apabila terpaksa, sebelum dibuka lakukan pemeriksaan (pemindaian) seksama. Jangan bekerja dengan menggunakan hak akses super user
  22. 22. Akses Jarak Jauh Aman Jangan pernah percaya dengan akses nirkabel (WiFi, selular) Jika terpaksa, pastikan data telah disandikan sebelum dikirim Jangan gunakan akses WiFi dengan standar keamanan kurang dari WPA karena meretas nirkabel hanya masalah waktu Selalu gunakan tunnel (VPN, SSH, IPSEC) untuk akses aman keSelalu gunakan tunnel (VPN, SSH, IPSEC) untuk akses aman ke pangkalan data. Bila anda sering bekerja jarak jauh minta agar kantor memfasilitasi. Semua OS modern memiliki fasilitas ini Gunakan Infrastruktur Kunci Publik (PKI) untuk mensandikan dan menerakan tanda tangan digital pada data anda: file dll. Pilih protokol aman untuk setiap layanan (apabila tersedia)
  23. 23. Akses Nirkabel Publik Aman Jaringan nirkabel bersifat terbuka, tidak terlindungi dan mudah dieksploitasi. Sangat penting untuk memahami apa yang disebut dengan serangan sniffing, MITM, side jacking Perhatikan keamanan fisik dan lingkungan, kenali CCTV palsu Selalu tanyakan SSID yang sah pada pengelola layanan tsb. Jangan pernah percaya SSID tampilan “Free WiFi Access”Jangan pernah percaya SSID tampilan “Free WiFi Access” Ketika akses jaringan nirkabel publik PASTIKAN semua aturan berbagi pakai (sharing) melalui media apapun dalam keadaan tidak aktif dan jangan ijinkan upaya akses dari terminal asing Jangan tinggalkan perangkat tanpa pengawasan terpecaya Bila menggunakan terminal publik, pastikan bersih dari tools berbahaya misalnya keylogger, remote access, spyware dll.
  24. 24. Berselancar Dengan Aman Hampir semua situs mutakhir telah memanfaatkan CA, HTTPS Jangan mengijinkan segala macam bentuk pop up. Baca teliti sebelum klikYES/NO/ACCEPT/CANCEL. Perhatikan peringatan Gunakan FILTERING dan PARENTAL CONTROL. Semua aplikasi perambah terbaru mendukung fitur ini, menyediakan add on Menggunakan NAWALA adalah solusi terbaik untuk mencegahMenggunakan NAWALA adalah solusi terbaik untuk mencegah paparan situs negatif: iklan yang mengganggu (vulgar), phising atau malware sites termasuk berbagai jenis penipuan, judi dll. Pastikan dan biasakan logout dengan sempurna, hapus SWAP, cache, cookies, history, bookmark – atau gunakan modus safe private browsing – jangan mengaktifkan penyimpanan isian form dan kata kunci (password) otomatis, lakukan manual
  25. 25. Interaksi Media Sosial Aman Jangan menerima permintaan pertemanan dari orang asing Selalu lakukan konfirmasi pada teman lainnya dan tinggalkan pertanyaan pribadi yang spesifik untuk akun yang dicurigai Selalu bersikap konservatif, membatasi informasi pribadi dan apa saja yang hendak dibagi.Tidak semua orang menyukai. Jangan percaya kiriman link, file dan ajakan private message.Jangan percaya kiriman link, file dan ajakan private message. Dengan alasan apapun jangan pernah membuka alamat email dan informasi terkait yang digunakan untuk akses akun anda. Gunakan alamat email khusus dan tidak digunakan untuk hal lainnya serta tidak pernah dipublikasikan. Sedapat mungkin BUKAN akun email gratisan, gunakan alamat domain sendiri Bila sesuatu terjadi, laporkan ke admin, minta bantuan teman untuk tag akun anda yang bermasalah dan beritahukan semua
  26. 26. Melindungi Surat Elektronik Gunakan mode plain text saja, matikan auto open attachment Jangan percaya segala jenis attachment, mintalah konfirmasi Apabila harus membuka attachment, pisahkan dan periksalah Selalu aktifkan anti virus dan anti SPAM yang terbaru (update) Lakukan komunikasi surat elektronik hanya di terminal aman Manfaatkan fitur tambahan Infrastruktur Kunci Publik (PKI) Untuk komunikasi surat elektronik sensitif pastikan memakai protokol yang aman (MIME, STARTTLS, SSL) POP, SMTP, IMAP Hindari akses melalui WEBMAIL, bila terpaksa gunakan HTTPS
  27. 27. MelindungiTransaksi Daring Harus cek dan re-cek, selalu ada waktu untuk memeriksa Baca dan pahami aturan main dan tanyakan secara detail Semua aturan kepercayaan di dalam transaksi konvensional TETAP BERLAKU ketika beralih ke media daring. Penjual dan pembeli serta perantara maupun pasar (marketplace) HARUS terpecaya, memiliki identitas dan alamat jelas yang asli serta KONSISTEN,memiliki identitas dan alamat jelas yang asli serta KONSISTEN, dapat dihubungi lewat saluran kontak yang lazim Menggunakan alamat domain yang jelas, valid dan terbuka Website dilindungi dengan CA, mode aman terenkripsi HTTPS Memiliki fasilitas mediasi dan pelayanan keberatan, jaminan pengembalian uang dan barang sampai asuransi pengiriman Pastikan layanan tersebut tak menyimpan informasi sensitif
  28. 28. Melindungi Kartu Kredit/Debit Perbaharui pengetahuan teknologi terbaru untuk memahami kelemahan, penipuan, deteksi proses yang tidak biasa, kenali jenis kartu (magnetic stripe, chip, RFID), jenis layanan (debit / kredit, emoney) termasuk cara melindungi kartu fisik, sarung anti magnetik, menyembunyikan kode CVT/CVV Jangan mudah percaya. Periksa kembali setiap transaksi pada mesinJangan mudah percaya. Periksa kembali setiap transaksi pada mesin EDC dan kasir. Jangan ijinkan kartu chip anda digesek di perangkat selain milik bank – misalnya cash register Perhatikan lingkungan fisik: skimming, kamera tersembunyi Pada prinsipnya semua teknologi berbasis kartu dan PIN telah dapat diretas dan dieksploitasi dengan sangat mudah Jangan gunakan kartu fisik untuk pembayaran daring, ewallet seperti Paypal lebih aman (idak ada ekpose kartu langsung)
  29. 29. Melindungi Kata Kunci Peretasan kata kunci (password) masih menjadi modus utama untuk mendapatkan akses tidak sah dengan berbagai cara Ubah kata kunci secara periodik namun dengan pola acak dan jangan membukanya pada siapapun dengan alasan apapun Kombinasi frasa panjang yang unik dan kompleks, tak mudah ditebak, sekurangnya terdiri 8 karakter, angka, kapital, simbolditebak, sekurangnya terdiri 8 karakter, angka, kapital, simbol Jangan gunakan kata kunci yang sama untuk semua akun anda Apabila tersedia, gunakan fitur One Time Password (OTP) atau Two Factor Authentication dan Application Specific Password Simpan password, PIN dll. pada tempat yang aman dan hanya anda sendiri yang mengetahuinya. Untuk mempermudah kita mengingat, gunakan aplikasi manajemen kata kunci
  30. 30. Melindungi Perangkat Portabel SMARTPHONE, LAPTOP,TABLET, EXTERNAL / FLASH DRIVE, IPOD, DLL. Gunakan kata kunci (password) yang kuat dan selalu diganti Manfaatkan enkripsi dan kompresi bertingkat: file, folder dst. Disiplin lakukan tiga pencadangan (back up) secara periodik Selalu gunakan anti virus terbaru dan aplikasi proteksi lainnya Jangan tinggalkan perangkat sembarangan tanpa pengawasan Tidak meminjamkan perangkat dan media penyimpan sensitif Laksanakan prosedur penghapusan aman untuk pengakhiran Aktifkan fitur penghapusan jarak jauh (secure remote wipe) Dimanapun anda berada perhatikan keamanan fisik sekitarnya
  31. 31. SUMBER Dokumen Keamanan Informasi ID-SIRTII/CC,“Melindungi Aset Informasi Dan Aktivitas Daring Kita”, 2014. Dokumen Sosialisasi PP No 82/2012 PenyelenggaraanDokumen Sosialisasi PP No 82/2012 Penyelenggaraan Sistem Dan Transaksi Elektronik (PP PSTE), Ditjen Aplikasi Informatika Kemkomifo, 2013. The Telecommunications Industry Association's TIA-942, 2013
  32. 32. TERIMA KASIH eva@stiki.ac.ideva@stiki.ac.id

×