Appendix A Threat Sources [19]

92   

Appendix A Threat Sources [19]

  Table A.1 Threat Sources 

  Table A.2 Adversary Capability Assesment Scale 

   

93   

  Table A.3 Adversary Intent Assessment Scale 

  Table B.4 Adversary Targeting Assessment Scale 

   

94   

  Table A.5 Non‐ Adversary Range of Effects Assessment Scale 

 

  Table A.6 Identification of Adversarial threat sources Template 

 

  Table A.7 Identification of Non‐Adversarial threat sources Template 

 

   

95   

Appendix B Threat events [19]

       

96   

           

97   

       

   

98   

   

99   

  Table B.1: Threat Events Example. 

 

  Table B.2: Representative Examples and non Representatitive 

   

100   

  Table B.3: Relevance of threat Events 

  Table B.4: identification of threat Events template 

                         

   

101   

Appendix C Vulnerabilities and Predisposing Conditions [19]  

  TABLE C‐1: Inputs – Vulnerabilities and Predisposing Conditions 

  TABLE C‐2: Assessment Scale – Vulnerability Severity   

 

   

102   

  Table c‐3: template – identification of vulnerabilities   

 

   

103   

Appendix D Determine Likelihood [19]

  Table D‐1: Assessment Scale – Likelihood of Threat Event Initiation (Adversarial) 

  Table D‐2: Assessment Scale – Likelihood of Threat Event Occurrence (Non‐adversarial) 

  Table D‐3: Assessment Scale – Likelihood of Threat Event Resulting in Adverse Impacts 

 

   

104   

  Table D‐4: Assessment Scale – Overall Likelihood 

   

105   

Appendix E Determine Impact [19]  

  Table E‐1: Examples of Adverse Impacts 

 

   

106   

  Table E‐2: Assessment Scale – Impact of Threat Events 

  Table E‐3: Assessment Scale – Range of Effects of Threat Events 

  Table E‐4: template – Identification of Adverse Impacts 

   

107   

Appendix F Determine Risk [19]  

  Table F‐1: Assessment Scale – Level of Risk 

  Table F‐2: Assessment Scale – Level of Risk (Combination of Likelihood and Impact) 

  Table F‐3: Template – Adversarial Risk 

   

108   

  Table F‐4: Template – Non‐Adversarial Risk 

                                   

   

109   

Appendix G Interview Result  

Interview with Mr. Trigantoro Bramaningtyas as Information System Architect in PT. HP Berca Servisindo.

Q: Cloud service apa yang di berikan oleh HP? A: Sebelum menentukan service itu ada tahapan2 seperti pertama2 strategy seperti survey market itu termasuk strategy. Dari strategy kita ke design > dengan hasil dari survey market setelah itu Ada transition, operation dan continual improvement. Awalnya HP mengadakan workshop seperti design cloud discovery workshop darisana muncul pertanyaan apa yang di jual? Ada tidak yang mau beli servicenya? Mau darimana internal atau external? Seperti itu contohnya. Untuk hardware solusi HP namanya Cloud System, untuk software namanya Cloud Service Automation dan untuk service namanya Cloud Start. HP service bisa di bilang lengkap karena sudah termasuk consulting, dll. HP cloud deployment models HP menjalankan semua models dan di dukung juga dengan konsultasi.

Q: Seberapa terbukanya provider kepada pelangan seperti lokasi datacenter misalnya atau jumlah server? A: Lokasi datacenter confidential. Jumlah server tidak relevant dikarenakan User tidak peduli akan hal2 seperti itu mereka hanya mementingkan dimana mereka perlu kita bisa memberikan service dengan baik.

   

110   

Q: Datacenter sendiri termasuk dalam tier berapa? lokasi datacenter? A: Lokasi datacenter rahasia. Tergantung kebutuhan pelangan yang di sediakan tier 2-4.

Q: Untuk sertivikasi yang di miliki oleh HP sendiri? A: Standard datacenter sendiri itu TIA942. Sedangkan untuk security adalah ISO 27001 dan ISO 27002 yang dimana di turunkan dari ISO 17799. Di dalam ISO tersebut ada 11 domain. untuk yang mengeluarkan sertifikasi adalah badan yang sudah certified. ISO sendiri tidak memberikan sertifikasi. Sertifikasi bisa di berikan oleh ancestor nya seperti SGS dll. Contoh pertanyaan seperti di Indonesia siapa yang sudah ISO 2700 certifite? Bank Indonesia itupun menyangkut banyak hal seperti People, Process dan Tools.

Q: Encryption bisa di pasang di banyak tempat dimana di pasang nya?data in transit, data at rest atau data di processor atau memory? A: Pertama2 kita bicara basic security seperti Confidentiality itu dengan encryption, Integrity dengan hashing dan availability dengan backup. Data di bagi menjadi tiga data yang unclassified, internal use dan confidential. Untuk data di encrypt hanya yang confidential. Setelah process itu nanti di bagi lagi darisana ada yang strong ada yang very strong semua sesuai kebutuhan.

Q: Tentang masalah encryption apa pelangan di jelaskan dengan baik tentang regulasi2 yang ada seperti apa yang boleh di encryp atau apa yang tidak boleh?

   

111   

A: Data ada di disk. Di disk misalnya data itu confidential maka disk itu akan di encrypt. Dengan formula tertentu di encrypt setelah itu di backup ke tape dari tape di lakukan encryption lagi agar menjaga data tetap aman waktu transportasi data itu tidak bisa di lihat orang atau hacker.

Q: Di HP Ada kendala tidak di cloud atau masalah yang di complain dari client? A: User pertama2 sudah mendapat penjelasan agar orang tidak expect berlebihan. Sudah di jelaskan untuk apa yang tidak bisa di pindahkan ke cloud. Contohnya apllikasi2 yang di buat jaman dahulu seperti core banking karena tidak bisa di bagi beban ke machine lain. Dengan penjelasan yang sudah di berikan itu sangat memperkecil kemungkinan terjadi masalah atau kendala.

Q: Masalah insider threats ini menduduki pringkat 1 di tahun 2010 adakah regulasi2 yang di berikan untuk mengurangi potensi insider threats? Prosedur untuk admistrator? A: Pertama2 sebagai contoh komputer di bank sudah bisa di bilang sangat aman karena di dukung oleh Hardware atau tools seperti encryption yang sangat kuat. Prinsip pertama hacker apabila bisa menebak buat apa melakukan hacking dengan social engineering utamanya. 80 % kerugian bank itu dari orang dalam bukan di tools. Contoh bank2 seperti mandiri dll yang terkena kasus tetapi bank2 seperti bank sariah jarang atau tidak pernah terkena kasus atau hacking darisana bisa di jadikan kesimpulan yang memberikan pengaruh besar adalah orangnya karena dari level security sudah jelas bank2 besar di dukung oleh tools dan hardware yang lebih hebat tetapi jumlah kasus di bank tersebut lebih banyak. Security breeches utamanya dari orang dalam.    

112   

Security itu 3 hal people, process dan tools. Untuk hardware sudah bisa di bilang aman. Untuk people/admin dibuat sedemikan rupa agar admin tidak boleh pegang semua password seperti contoh 8 character password 1 admin pegang password kiri 1 admin lagi pegang password kanan (Pembagian pekerjaan) dengan cara ini admin tersebut tidak bisa login karena hanya memegang sebagian character dari password tersebut. Apabila masih terjadi fraud artinya hacking tersebut di lakukan lebih dari 1 orang (serangan yang di rencanakan dengan baik).permasalahan security itu intinya insider threats atau orang dalem. Orang2 dilarang untuk mekakukan sniffing traffic sembarangan network harus di secure. Di dalam network di pasang anti intrusion preventions. Kembali lagi Intinya kita harus percaya kepada administrator. Seorang administrator tidak boleh punya utang dan permasalahan lain untuk mencegah dia berbuat jahat (background check) semua sudah ada procedurnya.

Mengetahui,

Trigantoro Bramaningtyas        

   

113   

Interview with Mr. Thomas Dragono as Regional Manager in PT. Cyberindo Aditama. Q: Sudah berapa lama CBN masuk ke cloud? A: Agustus 2010 (prototype) launch 1 oktober 2011. CBN awal2 tidak memilih terlalu go publik karena untuk benar2 mempersiapkan segala sesuatunya agar bisa bersaing dengan provider lain. Sementara dengan prototype saja dan yang kita sudah test CBN cukup bisa bersaing dengan provider lain bahkan ungul. CBN focus on IaaS.

Q: Services apa aja yang di provide CBN? A: VPDC, VDS and cluster server. Satu server bisa di buat seperti kavling bisa di bagi2 sesuai kebutuhan dan kemauan penguna. CBN target market adalah small, medium enterprise. CBN tidak focus ke perusahaan besar karena perusahaan besar biasanya lebih concern buat pindah banyak hall yang harus di pertimbangkan jadi buat sekarang masih belum focus arah sana.

Q: Di perusahaan bapak pernah mengalami kehilangan data? Sebabnya? A: Pernah terjadi. Yang hilang data web hosting- belajar dari kesalahan CBN cukup delema akan masalah seperti itu CBN perbaikin dengan cpt sekarang CBN mengunakan Backup.

   

114   

Q: Security apa yang perusahaan pake biar data ngga hilang dan bocor? A: Untuk CBN ada 2 physical security dan software security. Physical security aksess ke datacenter dan cyber2 tower security yang begitu lengkap dan bagus. Software security adalah firewall inplace, limited ip access and monitoring 24 jam untuk jaga2 misal ada threads biar bisa di handle secepatnya.

Q: Di perusahaan pernah mengalami ganguan security yang di sebabkan oleh hacker? A: Opini saya untuk tentang hacker sebenernya itu tergantung dari intrest hacker tersebut kalo untuk web hosting biasa, biasanya hacker juga kurang intrest jadi kemungkinan kecil buat hacker untuk menyerang website2 yang tidak menarik. Sebaliknya kalo hal yang mreka incar besar biasa mereka interest sekali dengan itu kita handle dengan security yang baik juga di jaga dan di monitor terus. Untung CBN sendiri sepertinya pernah tapi tidak memberi dampak yang besar. Serangan tersebut termasuk dalam kategori iseng saja.

Q: Untuk Encryption apa CBN mengunakanya ? A: Cbn 1997 SSL. Sekarang mau ecomerce netsorce certivication. Cbn sudah mengunakan encryption dari dulu. Terdapat public and private encryption key pada setiap volume data dengan system yang menjaga agar setiap volume data yang ada hanya dapet dijalankan dan dibaca di dalam environment CBN cloud.

   

115   

Q: Cara apa yang di lakukan perusahaan dalam menangani orang dalam (insider threats)? A: Dari sisi user sendiri Cbn nanganin insider threads dengan cara limit email yang bisa di kirim user sendiri ngga bisa broadcast Ip misal terdeteksi lasung di block (monitoring and filtering). Dari sisi employee ini Khusus CBN mengeluarkan aturan untuk 3 bulan orang baru pindah dari perusahaan yang bergerak di bidang yang sama untung masuk. Tapi kesulitan nya adalah di provider lain tidak ada ketentuan seperti itu jadi ini perlu di tangepin lebih dalam kedepannya karena kalo tidak ada autority sepertiitu percuma. Menurut saya jadi Indonesia goverment mungkin harus bikin peraturan seperti itu dan semua provider di Indonesia wajib mempunyai hukum2 yang melarang adanya perpindahan pegawai secara cpt. Untuk CBN sendirii pelangan punya data adalah milik pelangan hanya cloud admin dan yang berhubungan dengan itu sendiri yag bisa aksess. (ada ketentuan directure sendiri kalo dia tidak punya kepentingan dan tidak berkaitan dia tidak punya aksess buat utak atik cloud).

Q: Ada incident responese team yang bisa langsung di contact kalo2 terjadi sesuatu? A: 24 jam secara shiff. Ada process namanya CBN escalation table (highly protected) perpindahan orang yang nanganin kasus tersebut dari normal employee ke manager then ke boardmanager berubah terus posisi pertukarannya misal masalahnya belum bisa di selesaikan. (confidential process). Yang bisa di provide hanya main ideanya misal ada keadaan darurat kami melakukan rotasi2 pekerja untuk menyelesaikanya.

   

116   

Q: Proteksi apa yang di berikan buat menjaga data confidentionality? A: Cbn terbuka buat user dimana dia simpan data dimana datacenternya. pelangan bisa pilih lebih mau dimana indonesia atau singapore karena baru ada disana datacenternya tapi CBN sendiri saranin di indonesia. Bisa backup di singapore.

Q: Perusahaan seberapa terbuka tentang dimana di simpan data, apa aja yang boleh dan tidak boleh di berikan? A: Data center location di provides primary datacenter at cybertower (lantai 10 dan 2). CBN mangala bakti dan di singapore ( all international standard).  

Q: Datacenter tersebut masuk ke tier berapa? Seberapa cpt bisa pindahin datacenter kalo2 terjadi sesuatu? A: CBN data center tier 3. Capacity transfer rate ke singapore 10 gigapersecond Seperti LAN. Using viberoptic.

Q: Procedure apa yang di lakukan perusahaan pada saat terjadi musibah? A: Network infrastructure. Gedung2 cbn metro ring metro internet Metroetrenet ring Contoh galian memutuskan koneksi viber optic di metro ring bisa memcari jalan lain biar bisa connect misal gedung di tengah2 putus dan ngga ada jalan lain CBN masih ada via udara lewat tower2 yang ada di setiap gedung yang terjalin dengan metroethernet ring CBN semua ini di berikan biar menjaga ke stabilan dan mencegah hall2 yang tidak di inginkan sampe misal down conection yang bakalan cause in financial dan ke percayaan kepada cbn sendiri.    

117   

Q: Pernah kejadian kah musibah nya? Seberapa baik perusahaan handle itu? A: Viberoptic handhole (waterproff) 30 cm semen setelah itu kotak viber optic sendiri masih masih water profff lagi sebanyak 2 lapis.

Q: Pernah mengalamai privacy problem dalam hal data? A: Di indonesia sebenarnya pelangan tidak imune. Contoh kasus misal pihak kepolisian indonesia minta data tentang 1 coustomer yang melakukan serangan ke suatu tempat nah secara user itu mengunakan cbn ip jadi cbn berhak kasih data ke polisi sebatas data dimana tingal other basic information. Pernah kejadian insider threats bahkan dari interpoll karena itu CBN bisa di bilang cukup berpengalaman dan bisa kerja sama dengan baik ke pihak kepolisian. tapi tetep kerahasiaan data di jaga dengan baik. CBN wajib ikuti law indonesia karena dia berdiri dan jalanin businiess disini ada aturan2 nya.

Q: Ada tidak undang2 nya tentang data privacy? Contoh kasus Pertanyaan yang sir Charles tanyakan ada rumor tentang us bakal memohon biar punya aksess untuk data di seluruh dunia. A: Menurut saya hal seperti itu masih belum mungkin di lakukan karena bakalan menangu semua system yang ada sekarang dan akan sulit sekali buat di jalanin hal yang seperti itu karena masing2 sudah ada process dan saling berkaitan dengan persetujuan. jadi kebijakan US misal mau melakukan begitu akan sulit sekali.

   

118   

Q: Pada saat data ilang seberapa bagus data recoverynya berjalan suksess? A: Ada internal backup misal terjadi apa2 seperti servernya overload. Kembali lagi semua ini buat jaga2 daripada kehilangan lebih baik menjaga.

Mengetahui,

Thomas Dragono

                       

 

         

119   

Interview with Mr. Norman Sasono as Architect Advisor developer and platform group in Microsoft Q: Mengenai issue tentang Microsoft tidak mau membuat datacenter di Indonesia hal2 apa yang di pertimbangkan oleh Microsoft? A: Pertama yang di lihat adalah kesiapan Negara itu sendiri dan setelah itu dari sisi business. Seperti yang kita tau dan menurut Microsoft, Indonesia masih belum siap untuk kami membuat data center di Indonesia. Banyak hal yang harus di perhatikan seperti undang2 dasar Indonesia belum siap, cyber security policy yang belum benar2 di perhatikan dan di jalankan dan yang terakhir infrastructure contoh untuk downtime 99,99% yang Microsoft janjikan akan sangat sulit untuk di penuhi dengan melihat kinerja PLN selama ini setidaknya Indonesia harus memiliki beberapa perusahaan listrik seperti kebutuhan tier 4 yang mengharuskan untuk punya lebih dari 1 perusahaan listrik. Untuk di asia kita sudah memiliki 2 datacenter di Singapore dan hongkong yang bisa di katakan siap.

Q: Apa ada sertivikasi yang sudah di miliki Microsoft? A: Untuk datacenter kami sudah ada sekitar 4 sertivikasi yang bisa di lihat langsung di video tentang datacenter kami. “Microsoft GFS datacenter tour”

Q: Untuk Disaster recovery plan sendiri untuk di Indonesia banyak pihak yang belum kuat seperti apa detailnya? A: Untuk DRP azure kita menjalankanya dari 2 lokasi datacenter sebagai contoh Singapore datacenter terkena musibah data itu masih bias di access dari datacenter lain yang kami miliki karena data itu di simpan di 2 tempat.

   

120   

Q: Issue tentang lokasi data center menurut bapak seperti apa apakah itu sebuah isupenting? A: Secara teknis lokasi itu bukan sebuah issue lagi ya. Sekarang seperti yang kita tau internet connection sudah sangat murah. Jadi datacenter di luar negri sudah bukan isu penting lagi.

Q: Untuk issue insider threats apakah Indonesia sudah melakukan langkah2 cukup untuk menanganinya? A: Sebagai contoh peraturan bank Indonesia nomor 9/15/PBI/2007 bab 4 pasal 18 dan 19 disana di tulis dengan jelas law nya untuk menjaga pemasalahan ini. Bias di bilang perbankan sudah siap dengan ini tapi di untuk industry lain saya rasa belum siap.

Q: Untuk threats malicious insider bagaimana Microsoft menanganinya? A: Untuk di Microsoft sendiri ada nya peraturan dimana seorang pekerja mengajukan surat pemberhentian di hari itu juga semua fasilitas untuk orang terebut di matikan. Seperti email, accesscard dan lain2

Q: Adakah peraturan yang benar2 di peruntukan untuk menjaga malicious insider? A: Di Microsoft tidak ada peraturan seperti itu untuk mencegah perpindahan pekerja.

Q: Shared technology issue pernahkah terjadi di Microsoft? A: Untuk permasalahan itu biasanya bila terjadi sudah di blowup ke public jadi saya tidak bias menjawab ini.

   

121   

Q: Untuk permasalahan dataloss or leak bagaimana Microsoft menangani ini? A: Kami Microsoft mempunyai beberapa category untuk data access. Ada data yang partners boleh tau ada data yang hanya customer yang tau. Semua data ada timelinenya.

Q: Untuk encryption dan incident response team Microsoft ada di mana? A: Untuk encryption kami mengunakan standart encryption. Untuk kejadian serangan sepertinya belum pernah terjadi. Apabila ada kejadian kami sudah siap untuk menyelesaikanya dengan Microsoft support.

Q: Sebagai orang yang mengerti cloud industry di Indonesia bagaimana menurut bapak apakah Indonesia sudah siap? A: Indonesia sudah siap untuk migrasi ke cloud. Untuk Microsoft kita ada partners yang membantu seperti mitrasolve, jatis solution. Semua ini bisa membantu customer untuk migrasi. Microsoft juga menyiapkan consulting agak mempermudah customer pindahkan system mereka ke cloud. Untuk cloud nya sendiri sampai sekarang tidak ada issue yang significant.

Mengetahui,

Norman Sasono

   

122   

Interview with Mr. Onno Widodo Purbo as an information technology expert. The interview was held on 28th of October 2011.

Q: Apa pendapat pak ono tentang cloud? A: Cloud itu bukan suatu technology yang baru sebagai admin server cloud bukan sesuatu yang baru. Kenapa begitu karena cloud itu sendiri sudah ada sejak dahulu di temukan technologi virtualisasi dari sana baru bagi2 oleh provider menjadi beberapa services seperti IaaS, PaaS dan SaaS. Cloud itu sendiri semua hanya tentang virtualisasi karena virtualisasi cloud bisa lahir cloud sendiri menjadi gembar gembor karena pasar atau cloud provider menyebutnya begitu. Saya sendiri memiliki private cloud untuk memenuhi kebutuhan pak ono private cloud memang sangat membantu dengan ada nya private cloud semua menjadi lebih praktis dan simple. Keuntungan dari private cloud itu sendiri kita sebagai user di private cloud bisa melakukan configurasi sendiri. Untuk estimasi waktu itu sendiri sebagai orang yang cukup familiar hanya membutuhkan waktu kurang lebih 15 min untuk melakukan configurasi.

   

123   

Q: Dalam mengunakan private cloud selama ini pak ono mengalami dalam kenadala apa? A: Private cloud itu sendiri sebenarnya secure dari dunia luar karena yang memakai itu sendiri adalah orang dalam(insider Threats). Tidak akan mungkin bila orang luar bisa masuk ke private cloud bila tidak ada bantuan dari orang dalam atau kesalahan pada setingan. Hal lain yang paling penting dari semua kita harus mempunyai daya listrik yang kuat dan stabil untuk mendapatkan itu di indonesia sendiri kita harus benar2 di bantu oleh genset karena naik turunya daya bisa memberikan dampak yang sangat besar kepada cloud itu sendiri. Server atau semua prangkatnya bukan barang yang murah bila terjadi down pada listrik dan tidak stabli bisa menyebabkan kerusakan fatal dan harus melakukan beberapa configurasi kembali untuk dapat kembali ke posisi awal. Aspec lain adalah cable masalah ini sangat menangu dimana cable tidak memberikan 100% seperti kita harus mencari cable mana yang mengalami masalah itu akan sangat memakan waktu.

Q: Pak untuk bapak sebagai penguna cloud jika ingin mengunakan cloud provider untuk membatu menjalankan cloud bapak apa saja yang bapak focus dan pertimbangkan ? A: Pertama pasti menyangkut uang dan melihat apakah service yang di berikan pantas.

Q: Untuk masalah sertifikasi apa customer mementingkan cloud provider miliki seperti ISO 20071 sebagai standard security? A: Kita sebagai penguna cloud kebanyakan hanya mencari services dan kenyamanan untuk masalah sertifikasi sendiri buat saya kurang penting karena di cloud sendiri kita sebagai customer juga harus menjaga keamanan data kita masing2 untung cloud provider mreka hanya mengakali agar data kita lebih aman. Untuk sertivikasi buat saya kurang di pikirkan oleh customer.    

124   

Q: Permasalahan firewall, encryption dan intrusion detection menurut bapak bagaimana? A: Untuk firewall dan intrusion detection itu sebenarnya juga bukan isu security di cloud itu adalah ilmu networking security. Semua sesuai kebutuhan sesuatu yang berlebihan biasa akan mengurangi sisi lain seperti encryption bila ingin mendapatkan security yang baik kita bisa saja melakukan semua encryption di semua process seperti pada saat data di simpan data di transfre tapi semua itu akan memakan banyak resource yang ujungnya hanya akan memberikan beban baru jadi untuk encryption bisa di sesuaikan untuk kebutuhan masing2 memiliki kebuthan yang berbeda2.

Q: Menurut bapak masalah yang di hadapi cloud vendor itu apa? A: Permasalahan untuk cloud vendor di cloud customer bisa dengan sangat mudah untuk pindah dari 1 cloud vendor ke vendor lain( shared technology issue). Jadi hal yang sangat penting untuk di pikirkan oleh sisi vendor adalah bagaimana mreka menyediakan sedemikian rupa agar customer merasa nyaman mengunakan service mereka. Untuk permasalahan securitity ada di manusia nya menurut pengalaman saya pintu yang sudah di gembok akan sangat sulit untuk di buka tetapi dengan adanya kunci semua itu bukan apa2(insider helps). Manusia yang di maksut adalah admin. Cloud vendor harus memiliki legalitas untuk menjaga ini seperti bagai mana merekrut orang yang benar dan lain2.

Q: Insider threats? Mengapa admin? A: Karena admin dia lah orang yang memiliki 100% access untuk semua data yang di simpan.bisa di bilang dia adalah dewanya dalam masalah ini. Seberapa pintar admin bisa menentukan seberapa kuat system security yang ada pada system tersebut. Kesalahan2 yang di lakukan oleh admin biasa akan memberikan dampak besar.    

125   

Q: procedure apa yang harus di lakukan untuk mencegah ini atau minimal menguranginya? A: Dengan cara background check dan job distribution. Dua cara ini setau saya sudah di jalani di beberapa cloud provider karena insider threats ini termasuk threats yang sangat berbahaya.

Mengetahui,

Onno Widodo Purbo

                     

126   

Interview with Mr. Ari Pryanto as Technical Manager of kaspersky team in PT. Optima SolusindoInformatika. Q: Apa kah Kaspersky sudah memberikan service di cloud? A: Kaspersky sudah mengeluarkan product baru namanya KSCPE (Secure service provider edition) Baru 2 bulan (September 2011) mulai di jalanin sejauhini berjalan bagus dan client mulai mengunakan ini. Permasalahan harga tidak berbeda jauh dari Kaspersky protection yang membedakan karena ini mulai mengadaptasi hybrid cloud.

Q: Kenapa Hybrid cloud? Tidak mengunakan private dan public? A: Kenapa tidak mengunakan private and public karena masih belum cukup kuat dan berani. Private cloud Kebanyakan perusahaan di Indonesia mengunakan model jenis ini karena sulitnya migrasi dari traditional system ke cloud dan juga private cloud lebih secure dan lebih mudah di monitor.

Q: Bagaimana menurut bapak tentang permasalahan malicious insider? A: Untuk permasalahan ini untuk company yang tidak focus ke cloud juga sudah sering terjadi karena dimana bila kita sudah menjalankan beberapa tahap pengamanan terhadap system source yang masih bisa di tembus adalah dari dalamnya sendiri dengan bantuan orang dalam. Sebagai contoh CBN misalnya salah satu customer CBN melakukan attacking dari IP dia sendirii hal itu kan sangat mungkin terjadi > mengarah ke brute force dengan mengirim paket2 kecil menjadi buffer over flow istilah kita sih lempar paket liar untuk memenuhi traffic yang ada. Untuk masalah ini perusahaan biasanya menutup-nutupi permasalahan ini karena cloud vendor itu kan menjual service bagaimana orang bisa percaya apa bila ada incident apa lagi permasalahan internal >impact nya sangat kritikal bahkan sampai menyentuh level business yang berujung ke hilangnya kepercayaan dari client.    

127   

Q: Untuk malicious insider apakah threats jenis ini memungkinkan? A: Pertama2 dari semua aspec manusianya pihak yang paling mengambil peranpenting. Untuk opensource bisa saja dengan sengaja membuat beberapa aplikasi dengan sedikit niat jahat beberapa aplikasi tersebut dibuat untuk dimana di run dalam 1 process akan menghasilkan malware yang bersifat exploit. Contoh nya dari hasil monitoring Kaspersky sekarang linux pun mulai banyak serangan2 seperti itu tidak hanya windows.

Q: Apa bapak punya opini untuk permasalahan threats possibility untuk malicious insider? A: Untuk permasalaan threats possibility saya tidak bisa bantu banyak. Yang saya bias bantu threats possibility dari hasil monitoring dari Kaspersky tetapi itupun beberapa bagian sangat confidential.

Q: Ada tidak sih datacenter atau ISP yang mengunakan Kaspersky sebagai proteksi nya? A: Untuk ini Sangat banyak dan kami membantu mreka dengan cara memberikan keleluasaan untuk melakukan monitoring sendiri juga. Dan di bantu oleh pihak kami untuk melakukan notification bila terjadi sesuatu yang bersifat serangan. Tetapi untuk perusahaan apa saya tidak bisa memberi tahu juga karena itu sudah ada ketentuannya untuk tidak share customer info.

Q: Untuk itu ada tidak yaa SLA yang di tandatangan dari Kaspersky ke ISP? A: Untuk ini Kaspersky tidak menandatangani apa pun semua sudah di tera jelas dalam aggrement yang justru harus di perhatikan dan di tanda tangan oleh pihak ISP bila mereka tidak menetujui maka kerjasama akan langsung berakhir.    

128   

Q: Pendaapat bapak isi dari SLA dari ISP ke customer sepperti apa ya?? A: Yang pasti letak seerver ,downtiime, tingkat keamanan k datta, bagaimanaa disaster reccovery plan nya dan sebagainnya.

uk menjaga ke k validan 1 perusahaan yang mennjual servicee apa di perlukan Q: Untu third parrty? A: Harus ada yang melakukan monitoring dari pihak luar(third l parrty) karena untuk memastik kan semua beerjalan sesuaai dan membeerikan kenyaamanan lebih kepada custtomer. Contoh th hird party Virrus btn, AV-ccomparative. Org, O v100, tolly.com tirtd party. p

Q: Ini th hird party di Indonesia I attau di luar yaa pak? A: Untuk k tirdparty yaang saya sebuutkan itu ada di luar. Untuuk di Indonesiia sendiri muungkin belum ad da karena peopple masih bellum terlalu peeduli dengan security s aspeccnya.

k lokasi dataacenter apakkah itu pentinng menurut bapak? b Q: Untuk A: Untuk k permaslaahhan data cennter semua pasti p punya Datacenter D dii luar negri untuk menjaga disaster recovvery mreka atau a DRP disaaster recoveryy plan. Membbangun data center c harus di dukung d penuhh oleh pihak sendiri s atau di bangun senndiri oleh ISP baru bisa kuaat.

Mengetaahui,

Ari Pryaanto