NAMA
: RIO SYAMBERA
NPM
: 43A87006110049
JURUSAN
: TI/S1/7 K
TUGAS
: PLAN SECURITY
Cyber Rencana Aksi Item: 1. Menetapkan peran dan tanggung jawab keamanan Salah satu cara yang paling efektif dan paling murah untuk mencegah insiden keamanan cyber yang serius adalah untuk membangun kebijakan yang jelas mendefinisikan pemisahan peran dan tanggung jawab yang berkaitan dengan sistem dan informasi mereka mengandung. Banyak sistem yang dirancang untuk menyediakan Peran Berbasis kuat Access Control (RBAC), tetapi alat ini adalah penggunaan kecil tanpa prosedur dan kebijakan yang didefinisikan dengan baik untuk mengatur penugasan peran dan terkait kendala. Kebijakan-kebijakan tersebut harus dengan jelas menyatakan, minimal: • Jelas mengidentifikasi kepemilikan data perusahaan dan peran karyawan untuk pengawasan keamanan dan hak-hak mewarisi mereka, termasuk di dalamnya: o peran Diperlukan, dan hak-hak istimewa dan kendala yang diberikan kepada peran-peran. o Jenis-jenis karyawan yang harus diizinkan untuk mengasumsikan berbagai peran. o Berapa lama seorang karyawan dapat memegang peran sebelum hak akses harus ditinjau. o Jika karyawan dapat memegang peran ganda, keadaan mendefinisikan kapan harus mengadopsi satu peran di atas yang lain. Tergantung pada jenis data secara teratur ditangani oleh bisnis Anda, mungkin juga masuk akal untuk membuat terpisah kebijakan yang mengatur siapa yang bertanggung jawab untuk beberapa jenis data. Sebagai contoh, sebuah bisnis yang menangani volume besar dari informasi pribadi (PII) dari pelanggan dapat mengambil manfaat dari mengidentifikasi pelayan utama untuk Informasi privasi pelanggan. Pelayan itu bisa berfungsi tidak hanya sebagai subjek ahli dalam semua masalah privasi, tetapi juga untuk melayani sebagai juara untuk proses dan teknis perbaikan penanganan PII. 2. Menetapkan kebijakan penggunaan internet karyawan Batas-batas pada karyawan penggunaan internet di tempat kerja sangat bervariasi dari bisnis ke bisnis. pedoman Anda harus memungkinkan karyawan tingkat maksimum kebebasan yang mereka butuhkan untuk menjadi produktif (istirahat pendek untuk menjelajahi web atau melakukan tugas-tugas pribadi online telah terbukti meningkatkan produktivitas). Pada saat yang sama, aturan perilaku yang diperlukan untuk memastikan bahwa semua karyawan
mengetahui batas-batas, baik untuk menjaga mereka tetap aman dan untuk menjaga perusahaan Anda sukses. Beberapa yang perlu dipertimbangkan: • istirahat pribadi untuk menjelajahi web harus dibatasi pada jumlah waktu yang wajar dan jenis tertentu kegiatan. • Jika Anda menggunakan sistem penyaringan web, karyawan harus memiliki pengetahuan yang jelas tentang bagaimana dan mengapa kegiatan web mereka akan dipantau, dan apa jenis situs yang dianggap tidak dapat diterima oleh kebijakan Anda. • aturan Kerja perilaku harus jelas, ringkas dan mudah diikuti. Karyawan harus merasa nyaman melakukan tugas-tugas pribadi dan profesional secara online tanpa membuat penilaian panggilan untuk apa mungkin atau mungkin tidak dianggap tepat. Bisnis mungkin ingin memasukkan percikan peringatan pada jaringan sign-on yang menyarankan karyawan kebijakan penggunaan internet bisnis 'sehingga semua karyawan pada pemberitahuan. Pengembangan dan Manajemen Kebijakan 3. Menetapkan kebijakan media sosial Aplikasi jejaring sosial menyajikan sejumlah risiko yang sulit untuk alamat menggunakan teknis atau prosedural solusi. Sebuah kebijakan media sosial yang kuat sangat penting untuk setiap bisnis yang berusaha untuk menggunakan jejaring sosial untuk mempromosikan kegiatan dan berkomunikasi dengan pelanggan. Minimal, kebijakan media sosial harus secara jelas termasuk berikut: • Panduan khusus tentang kapan harus mengungkapkan aktivitas perusahaan menggunakan media sosial, dan apa jenis rincian dapat dibahas dalam forum publik. • aturan tambahan dari perilaku bagi karyawan menggunakan akun jejaring sosial pribadi untuk membuat jenis jelas apa topik diskusi atau posting dapat menyebabkan risiko bagi perusahaan. • Pedoman penerimaan menggunakan alamat email perusahaan untuk mendaftar, atau mendapatkan pemberitahuan dari, sosial situs media. • Pedoman memilih password yang panjang dan kuat untuk account jejaring sosial, karena sangat sedikit media sosial situs menegakkan kebijakan otentikasi yang kuat bagi pengguna. Terakhir, semua pengguna media sosial perlu menyadari risiko yang terkait dengan alat jaringan sosial dan jenis data yang dapat secara otomatis diungkapkan online ketika penggunakan media sosial. Mengambil waktu untuk mendidik Anda karyawan perangkap potensi penggunaan media sosial, terutama seiring dengan layanan geo-lokasi, mungkin kebanyakan praktek keamanan jaringan sosial yang menguntungkan semua. 4. Mengidentifikasi risiko reputasi potensial Semua organisasi harus meluangkan waktu untuk mengidentifikasi potensi risiko reputasi mereka dan mengembangkan strategi untuk mengurangi risiko melalui kebijakan atau tindakan lain yang tersedia. Tipe tertentu risiko reputasi antara lain:
• Menjadi menyamar online dengan organisasi kriminal (misalnya, sebuah situs yang tidak sah bisnis spoofing nama dan menyalin desain situs Anda, kemudian mencoba untuk menipu pelanggan potensial melalui penipuan phishing atau lainnya Metode). • Memiliki perusahaan atau pelanggan informasi sensitif yang bocor ke publik melalui web. • Memiliki tindakan karyawan sensitif atau tidak pantas dipublikasikan melalui web atau situs media sosial. Semua bisnis harus menetapkan kebijakan untuk mengelola jenis risiko dan rencana untuk mengatasi insiden tersebut jika dan ketika mereka terjadi. Kebijakan tersebut harus mencakup proses biasa untuk mengidentifikasi potensi risiko reputasi perusahaan di dunia maya, langkah-langkah praktis untuk mencegah risiko dari terwujudnya dan referensi rencana untuk merespon dan pulih dari insiden potensial segera setelah mereka terjadi.membantu link : • US-CERT itu Lindungi Kerja Anda Poster & Brosur: http://www.us-cert.gov/reading_room/distributable.html • Sosialisasi Aman: Menggunakan Layanan Jaringan Sosial: http://www.us-cert.gov/reading_room/safe_social_networking.pdf • Pemerintahan untuk Enterprise Security: http://www.cert.org/governance/ • FFIEC Handbook Definisi Risiko Reputasi: http://ithandbook.ffiec.gov/it-booklets/retail-payment-systems/retail-payment-systemsriskmanagement/ reputasi risk.aspx • Apa Bisnis dapat lakukan untuk membantu dengan keamanan cyber: http://www.staysafeonline.org/sites/default/files/resource_documents/What%20Businesses %20Can%20Do % 202011% 20Final_0.pdf SF-1 Teknologi telekomunikasi baru dapat menawarkan kesempatan tak terhitung untuk usaha kecil, tetapi mereka juga menawarkan penjahat cyber banyak cara-cara baru untuk pengorbankan bisnis, penipuan pelanggan Anda dan merusak reputasi Anda. Bisnis dari semua ukuran harus menyadari penipuan yang paling umum dilakukan secara online. Cyber Rencana Aksi Item: 1. Melatih karyawan untuk mengenali rekayasa sosial Social engineering, juga dikenal sebagai "dalih," digunakan oleh banyak penjahat, baik online dan off, untuk mengelabui tidak curiga orang agar memberikan informasi pribadi mereka dan / atau menginstal perangkat lunak berbahaya ke komputer mereka, perangkat atau jaringan. Social engineering berhasil karena orang-orang jahat melakukan yang terbaik untuk membuat pekerjaan mereka terlihat dan terdengar sah, kadang-kadang bahkan membantu, yang membuatnya lebih mudah untuk menipu pengguna. Kebanyakan rekayasa sosial secara offline terjadi melalui telepon, tetapi sering terjadi secara online, juga. Informasi dikumpulkan dari jaringan sosial atau diposting
di website dapat cukup untuk membuat tipu muslihat meyakinkan untuk mengelabui Anda karyawan. Sebagai contoh, profil LinkedIn, posting Facebook dan pesan Twitter dapat memungkinkan penjahat untuk merakit berkas rinci tentang karyawan. Mengajar orang risiko yang terlibat dalam berbagi informasi pribadi atau bisnis di Internet dapat membantu Anda bermitra dengan staf Anda untuk mencegah kerugian baik pribadi dan organisasi. Banyak penjahat menggunakan taktik rekayasa sosial untuk mendapatkan individu untuk secara sukarela menginstal perangkat lunak komputer berbahaya seperti antivirus palsu, berpikir mereka melakukan sesuatu yang akan membantu membuat mereka lebih aman. Pengguna yang tertipu memuat program jahat di komputer mereka dapat memberikan kemampuan remote control ke penyerang, tanpa disadari menginstal perangkat lunak yang dapat mencuri informasi keuangan atau hanya mencoba untuk menjualnya keamanan palsu perangkat lunak. 2. Melindungi penipuan online Penipuan online mengambil banyak samaran yang dapat mempengaruhi semua orang, termasuk usaha kecil dan karyawan mereka. itu adalah membantu untuk mempertahankan pesan online yang konsisten dan dapat diprediksi ketika berkomunikasi dengan pelanggan Anda untuk mencegah orang lain dari meniru perusahaan Anda. Pastikan untuk tidak pernah meminta informasi atau account pribadi rincian melalui email, jejaring sosial atau online lainnya pesan. Biarkan pelanggan Anda tahu Anda tidak akan pernah meminta informasi seperti ini melalui saluran tersebut dan memerintahkan mereka untuk menghubungi Anda langsung harus mereka memiliki keprihatinan apapun. 3. Lindungi terhadap phishing Phishing adalah teknik yang digunakan oleh penjahat online untuk mengelabui orang untuk berpikir bahwa mereka berhadapan dengan dunia situs atau badan lainnya. Usaha kecil menghadapi ancaman ini dari dua arah - phisher mungkin meniru mereka untuk mengambil keuntungan dari pelanggan yang tidak curiga, dan phisher mungkin mencoba untuk mencuri secara online karyawan mereka 'kredensial. Bisnis harus memastikan bahwa komunikasi online mereka tidak pernah meminta pelanggan mereka untuk mengirimkan informasi sensitif melalui email. Membuat pernyataan yang jelas dalam komunikasi Anda memperkuat bahwa Anda tidak akan pernah meminta pribadi informasi melalui email, sehingga jika seseorang menargetkan pelanggan Anda, mereka mungkin menyadari permintaan adalah scam. Kesadaran karyawan adalah pertahanan terbaik terhadap pengguna yang tertipu untuk menyerahkan username dan password untuk penjahat cyber. Jelaskan kepada semua orang bahwa mereka tidak harus menanggapi pesan masuk yang meminta informasi pribadi. Juga, untuk menghindari menyebabkan situs palsu, mereka harus tahu untuk tidak pernah mengklik link yang dikirim melalui email dari sumber yang tidak bisa dipercaya. Karyawan perlu untuk mengakses link situs yang dikirim dari sumber dipertanyakan harus membuka jendela browser internet dan secara manual mengetikkan alamat web situs untuk memastikan link email tidak jahat mengarahkan ke situs berbahaya. Penipuan dan Penipuan
Saran ini sangat penting untuk melindungi akun online banking milik organisasi Anda. Penjahat menargetkan perbankan usaha kecil menyumbang lebih dari sektor lain. 4. Jangan mau untuk menawarkan antivirus palsu Antivirus palsu, "scareware" dan penipuan keamanan nakal online lainnya berada di balik beberapa yang paling sukses penipuan secara online dalam beberapa kali. Pastikan organisasi Anda memiliki kebijakan di tempat penjelaskan apa prosedur ini jika komputer karyawan terinfeksi oleh virus. Melatih karyawan Anda untuk mengenali pesan peringatan yang sah (menggunakan file tes dari eicar.org, misalnya) dan untuk benar memberitahu tim TI Anda jika sesuatu yang buruk atau dipertanyakan telah terjadi. Jika memungkinkan, mengkonfigurasi komputer Anda untuk tidak mengizinkan pengguna biasa untuk memiliki akses administratif. Ini akan meminimalkan risiko mereka menginstal perangkat lunak dan kondisi pengguna berbahaya yang menambahkan software yang tidak sah untuk bekerja komputer bertentangan dengan kebijakan. 5. Melindungi terhadap malware Bisnis dapat mengalami kompromi melalui pengenalan perangkat lunak berbahaya, atau malware, yang melacak sebuah keyboard stroke pengguna, juga dikenal sebagai penebangan kunci. Banyak perusahaan yang menjadi korban malware kunci logging yang diinstal pada sistem komputer di mereka lingkungan hidup. Setelah terinstal, malware dapat merekam keystrokes dibuat pada komputer, yang memungkinkan orang-orang jahat untuk melihat password, nomor kartu kredit dan data rahasia lainnya. Menjaga perangkat lunak keamanan up to date dan patching Anda komputer secara teratur akan membuat lebih sulit untuk jenis malware untuk menyusup ke jaringan Anda.
6. Mengembangkan pendekatan berlapis untuk menjaga terhadap perangkat lunak berbahaya Meskipun kemajuan dalam menciptakan kesadaran lebih ancaman keamanan di Internet, penulis malware tidak menyerah. Perusahaan riset malware SophosLabs melaporkan melihat lebih dari 100.000 sampel perangkat lunak berbahaya yang unik setiap hari. Perlindungan yang efektif terhadap virus, Trojan dan perangkat lunak berbahaya lainnya membutuhkan pendekatan berlapis untuk Anda pertahanan. Perangkat lunak antivirus adalah suatu keharusan, tapi tidak harus hanya line perusahaan pertahanan. Sebaliknya, menyebarkan kombinasi dari banyak teknik untuk menjaga lingkungan Anda aman. Juga, berhati-hatilah dengan penggunaan thumb drive dan removable media lainnya. Media ini bisa berbahaya software pra-instal yang dapat menginfeksi komputer Anda, jadi pastikan Anda percaya sumber media removable perangkat sebelum Anda menggunakannya. Menggabungkan penggunaan web filtering, perlindungan tanda tangan antivirus, perlindungan proaktif malware, firewall, kuat kebijakan keamanan dan karyawan pelatihan secara signifikan
menurunkan risiko infeksi. Menjaga software perlindungan sampai dengan tanggal bersama dengan sistem operasi dan aplikasi meningkatkan keamanan sistem Anda. 7. Verifikasi mengidentifikasi pencari informasi telepon Kebanyakan rekayasa sosial secara offline terjadi melalui telepon. Informasi yang dikumpulkan melalui jaringan sosial dan informasi yang diposting di situs dapat cukup untuk membuat tipu muslihat meyakinkan untuk mengelabui karyawan Anda. Pastikan bahwa Anda melatih karyawan untuk tidak mengungkapkan informasi pelanggan, username, password atau lainnya yang sensitif rincian untuk penelepon yang masuk. Ketika seseorang meminta informasi, selalu menghubungi orang kembali menggunakan diketahui nomor telepon atau alamat email untuk memverifikasi identitas dan keabsahan individu dan permintaan mereka. membantu link • Cari patch terbaru untuk komputer dan perangkat lunak aplikasi Anda: http://www.softwarepatch.com/ • alat pemindaian keamanan komputer gratis untuk PC atau jaringan: http://www.staysafeonline.org/tools-resources/free-security-check-ups • Tetap di atas penipuan terbaru, penipuan dan ancaman keamanan saat mereka terjadi: http://nakedsecurity.sophos.com/ • puncak tambahan untuk mencegah terhadap phishing: http://www.fraud.org/tips/internet/phishing.htm • Pelajari cara untuk melawan teknik phishing dengan permainan interaktif ini: http://cups.cs.cmu.edu/antiphishing_phil/ NS-1 Mengamankan jaringan perusahaan terdiri dari: (1) mengidentifikasi semua perangkat dan koneksi pada jaringan; (2) pengaturan batas antara sistem perusahaan Anda dan lain-lain; dan (3) menegakkan kontrol untuk memastikan bahwa tidak sah akses, penyalahgunaan, atau denial-of-service peristiwa dapat digagalkan atau cepat terkandung dan pulih dari jika mereka terjadi. Cyber Rencana Aksi Item: 1. jaringan dan awan layanan internal Aman Jaringan perusahaan Anda harus dipisahkan dari internet publik dengan mekanisme otentikasi pengguna yang kuat dan sistem penegakan kebijakan seperti firewall dan web proxy filtering.
Pemantauan dan keamanan tambahan solusi, seperti perangkat lunak dan intrusi anti-virus sistem deteksi, juga harus digunakan untuk mengidentifikasi dan menghentikan kode berbahaya atau upaya akses yang tidak sah. jaringan internal Setelah mengidentifikasi titiktitik batas di jaringan perusahaan Anda, masing-masing batas harus dievaluasi untuk menentukanapa jenis kontrol keamanan yang diperlukan dan bagaimana mereka dapat digunakan terbaik. Router perbatasan harus dikonfigurasi untuk hanya rute lalu lintas ke dan dari alamat IP publik perusahaan Anda, firewall harus dikerahkan untuk membatasi lalu lintas hanya untuk dan dari set layanan minimum yang diperlukan, dan sistem pencegahan intrusi harus dikonfigurasi untuk memantau aktivitas yang mencurigakan melintasi perimeter jaringan Anda. Untuk mencegah kemacetan, semua sistem keamanan Anda menyebarkan ke perimeter jaringan perusahaan Anda harus mampu menangani bandwidth yang operator Anda menyediakan layanan berbasis Cloud. Hati-hati berkonsultasi persyaratan Anda layanan dengan semua penyedia layanan cloud untuk memastikan bahwa informasi perusahaan Anda dan kegiatan dilindungi dengan tingkat keamanan yang sama Anda akan berniat untuk memberikan pada Anda sendiri. Permintaan keamanan dan audit dari penyedia layanan cloud Anda sebagai berlaku untuk kebutuhan dan kepentingan perusahaan Anda. Review dan memahami perjanjian layanan tingkat, atau SLA, untuk pemulihan sistem dan waktu pemulihan. Anda juga harus menanyakan tentang layanan tambahan layanan cloud dapat memberikan. Layanan ini mungkin termasuk backupand-memulihkan layanan dan jasa enkripsi, yang mungkin sangat menarik bagi usaha kecil. 2. Mengembangkan kebijakan sandi yang kuat Secara umum, metode otentikasi dua faktor, yang memerlukan dua jenis bukti bahwa Anda adalah yang Anda mengklaim, lebih aman daripada menggunakan password hanya statis untuk otentikasi. Salah satu contoh umum adalah pribadikeamanan token yang menampilkan perubahan kode akses yang akan digunakan bersama dengan password yang ditetapkan. Akan Tetapi, sistem dua faktor tidak selalu mungkin atau praktis untuk perusahaan Anda. Kebijakan sandi harus mendorong karyawan Anda untuk menggunakan password terkuat mungkin tanpa membuat kebutuhan atau godaan untuk menggunakan kembali password atau menuliskannya. Itu berarti password yang acak, kompleks dan panjang (setidaknya 10 karakter), yang berubah secara teratur, dan yang dijaga ketat oleh orang-orang yang mengenal mereka. 3. Aman dan mengenkripsi Wi-Fi perusahaan Anda Kontrol akses nirkabel Perusahaan Anda dapat memilih untuk mengoperasikan Wireless Local Area Network (WLAN) untuk penggunaan pelanggan, tamu, dan pengunjung. Jika demikian, adalah penting bahwa WLAN seperti disimpan terpisah dari jaringan perusahaan utama sehingga lalu lintas dari jaringan publik tidak dapat melintasi sistem internal perusahaan pada setiap titik keamanan jaringan.
Akses WLAN non-publik internal harus dibatasi ke perangkat tertentu dan pengguna tertentu semaksimal mungkin sementara memenuhi kebutuhan bisnis perusahaan Anda. Dimana WLAN internal yang memiliki akses kurang ketat kontrol dari jaringan kabel, koneksi ganda perusahaan Anda - di mana perangkat ini dapat terhubung ke kedua jaringan nirkabel dan kabel secara bersamaan - harus dilarang oleh kontrol teknis pada masing-masing mampu seperti perangkat (misalnya, BIOS-tingkat pengaturan LAN / switch WLAN). Semua pengguna harus diberikan mandat yang unik dengan yang telah ditetapkan berakhirnya tanggal untuk digunakan saat mengakses WLAN internal. enkripsi nirkabel Karena kelemahan keamanan dibuktikan diketahui ada dalam bentuk yang lebih tua dari enkripsi nirkabel, perusahaan Anda internal WLAN hanya harus menggunakan Wi-Fi Protected Access 2 (WPA2) enkripsi. 4. Mengenkripsi data perusahaan yang sensitif Enkripsi harus digunakan untuk melindungi data bahwa perusahaan Anda mempertimbangkan sensitif, selain pertemuan persyaratan peraturan yang berlaku informasi pengamanan. Skema enkripsi yang berbeda sesuai dalam keadaan yang berbeda. Namun, aplikasi yang sesuai dengan standar OpenPGP, seperti PGP dan GnuPG, menyediakan berbagai macam pilihan untuk mengamankan data pada disk serta transit. Jika Anda memilih untuk menawarkan aman transaksi melalui website perusahaan Anda, konsultasikan dengan penyedia layanan Anda tentang pilihan yang tersedia untuk SSL sertifikat untuk situs Anda. 5. Secara teratur memperbarui semua aplikasi Semua sistem dan perangkat lunak, termasuk peralatan jaringan, harus diperbarui secara tepat waktu sebagai patch dan upgrade firmware menjadi tersedia. Gunakan layanan update otomatis bila memungkinkan, terutama untuk keamanan sistem seperti aplikasi anti-malware, alat web filtering dan sistem pencegahan intrusi. 6. Atur web yang aman aturan penjelajahan Jaringan internal perusahaan Anda hanya harus dapat mengakses layanan tersebut dan sumber daya di Internet yang penting untuk bisnis dan kebutuhan karyawan Anda. Gunakan browsing yang aman fitur disertakan dengan yang modern web software browsing dan web proxy untuk memastikan bahwa situs berbahaya atau tidak sah tidak dapat diakses dari Anda jaringan internal.
7. Jika akses remote diaktifkan, pastikan sudah aman Jika perusahaan Anda perlu menyediakan akses remote ke jaringan internal perusahaan Anda melalui Internet, salah satu yang populer dan pilihan aman adalah dengan menggunakan aman Virtual Private Network (VPN) sistem disertai dengan kuat dua faktor otentikasi, baik menggunakan perangkat keras atau token perangkat lunak. membantu link: • Microsoft Password Kekuatan Checker: https://www.microsoft.com/security/pc-security/password-checker.aspx • Philip Zimmerman, Dimana Mendapatkan PGP: http://philzimmermann.com/EN/findpgp/ • US-CERT Security Publikasi: http://www.us-cert.gov/reading_room/ • NIST Khusus Publikasi 800-153, Pedoman Draft untuk Mengamankan Wireless Local Area Networks (WLAN): http://csrc.nist.gov/publications/drafts/800-153/Draft-SP800-153.pdf WS-1 Website security lebih penting daripada sebelumnya.Server web, yang host data dan konten lain yang tersedia untuk pelanggan Anda di Internet, seringkali yang paling sasaran dan menyerang komponen jaringan perusahaan. Penjahat cyber terus mencari benar situs aman untuk menyerang, sementara banyak pelanggan mengatakan keamanan situs adalah pertimbangan utama ketika mereka memilih untuk berbelanja online. Akibatnya, sangat penting untuk mengamankan server dan infrastruktur jaringan yang mendukung mereka. Itu Konsekuensi dari pelanggaran keamanan yang besar: hilangnya pendapatan, kerusakan kredibilitas, tanggung jawab hukum dan hilangnya kepercayaan pelanggan. Berikut ini adalah contoh ancaman keamanan khusus untuk server web: • penjahat Cyber dapat mengeksploitasi bug perangkat lunak dalam server web, yang mendasari sistem operasi, atau aktif konten untuk mendapatkan akses tidak sah ke server web. Contoh akses yang tidak sah termasuk mendapatkan akses ke file atau folder yang tidak dimaksudkan untuk menjadi dapat diakses publik dan mampu untuk menjalankan perintah dan / atau menginstal perangkat lunak berbahaya pada server web. • Denial-of-service serangan dapat diarahkan pada server web atau jaringan infrastruktur pendukung untuk mencegah atau menghalangi pengguna website Anda dari memanfaatkan layanan. • Informasi sensitif pada server web dapat dibaca atau dimodifikasi tanpa otorisasi. • Informasi sensitif pada database backend yang digunakan untuk mendukung elemen interaktif dari web aplikasi dapat dikompromikan melalui suntikan perintah perangkat lunak yang tidak sah. Contoh termasuk Structured Query Language (SQL) injection, Lightweight
Directory Access Protocol (LDAP) injeksi dan cross-site scripting (XSS). • informasi terenkripsi Sensitif ditransmisikan antara web server dan browser dapat disadap. • Informasi tentang server web dapat diubah untuk tujuan jahat. Perusakan situs adalah sering dilaporkan contoh ancaman ini. • penjahat Cyber dapat mendapatkan akses tidak sah ke sumber daya lain dalam jaringan organisasi melalui sukses serangan pada server web. • penjahat cyber juga dapat menyerang entitas eksternal setelah mengorbankan server web. Serangan ini dapat diluncurkan langsung (misalnya, dari server dikompromikan terhadap server eksternal) maupun tidak langsung (misalnya, menempatkan konten berbahaya pada server web dikompromikan yang mencoba untuk mengeksploitasi kerentanan dalam web browser pengguna mengunjungi situs). • Server dapat digunakan sebagai titik distribusi untuk alat serangan, pornografi atau perangkat lunak disalin secara ilegal. Cyber Rencana Aksi Item: 1. Hati-hati merencanakan dan menangani aspek keamanan dari penyebaran web server publik. Karena itu jauh lebih sulit untuk menangani keamanan setelah penyebaran dan implementasi telah terjadi, keamanan harus dipertimbangkan dari tahap perencanaan awal. Bisnis lebih cenderung untuk membuat keputusan tentang mengkonfigurasi komputer tepat dan konsisten ketika mereka mengembangkan dan menggunakan rinci, yang dirancang dengan baik rencana penyebaran. Mengembangkan rencana tersebut akan mendukung administrator web server dalam membuat tradeoff yang tak terelakkan keputusan antara kegunaan, kinerja dan risiko. Bisnis juga perlu mempertimbangkan kebutuhan sumber daya manusia untuk penyebaran dan operasi lanjutan server web dan infrastruktur pendukung. Poin-poin berikut dalam rencana penyebaran: • Jenis personil yang dibutuhkan - misalnya, sistem dan web server administrator, webmaster, jaringan administrator dan sistem informasi petugas keamanan. • Keterampilan dan pelatihan yang dibutuhkan oleh personil yang ditugaskan. • Individual (yaitu, tingkat usaha yang dibutuhkan jenis personil tertentu) dan staf kolektif (yaitu, secara keseluruhan tingkat usaha) persyaratan Keamanan Website 2. Menerapkan praktek manajemen keamanan dan kontrol saat yang tepatmemelihara dan mengoperasikan server web yang aman. Praktek manajemen yang tepat sangat penting untuk operasi dan pemeliharaan server web yang aman. Keamanan praktek meliputi identifikasi aset sistem informasi perusahaan dan pengembangan, dokumentasi dan pelaksanaan kebijakan, dan pedoman untuk membantu memastikan kerahasiaan, integritas dan ketersediaan sumber daya sistem informasi. Praktek-praktek dan kontrol berikut ini dianjurkan:
• Kebijakan keamanan sistem informasi lebar bisnis. • Server konfigurasi dan kontrol dan manajemen perubahan. • Penilaian risiko dan manajemen. • konfigurasi software Standar yang memenuhi kebijakan sistem keamanan informasi. • Kesadaran Keamanan dan pelatihan. • perencanaan kontingensi, kelangsungan operasional dan perencanaan pemulihan bencana. • Sertifikasi dan akreditasi. 3. Pastikan bahwa sistem operasi server web memenuhi organisasi Anda persyaratan keamanan. Langkah pertama dalam mengamankan server web adalah mengamankan sistem operasi yang mendasarinya. Paling umum tersedia web server beroperasi pada sistem operasi tujuan umum. Banyak masalah keamanan dapat dihindari jika operasi sistem yang mendasari server web yang dikonfigurasi dengan tepat. Hardware standar dan konfigurasi perangkat lunak yang biasanya ditetapkan oleh produsen untuk menekankan fitur, fungsi dan pemudahan penggunaan dengan mengorbankan keamanan. Karena produsen tidak menyadari kebutuhan keamanan masing-masing organisasi, setiap administrator server web harus mengkonfigurasi server baru untuk mencerminkan bisnis 'persyaratan keamanan mereka dan mengkonfigurasi ulang sebagai persyaratan berubah. Menggunakan panduan konfigurasi keamanan atau daftar dapat membantu administrator dalam mengamankan sistem secara konsisten dan efisien. Awalnya mengamankan sistem operasi awalnya umumnya mencakup langkah-langkah berikut: • Patch dan upgrade sistem operasi. • Ubah semua password default • Hapus atau menonaktifkan layanan yang tidak perlu dan aplikasi. • Konfigurasi operasi sistem otentikasi pengguna. • kontrol Konfigurasi sumber daya. • Menginstal dan mengkonfigurasi kontrol keamanan tambahan. • Melakukan pengujian keamanan dari sistem operasi. 4. Pastikan aplikasi web server yang memenuhi keamanan organisasi Anda persyaratan. Dalam banyak hal, instalasi yang aman dan konfigurasi aplikasi web server yang akan mencerminkan operasi Proses sistem dibahas di atas. Prinsip keseluruhan adalah untuk menginstal jumlah minimal layanan web server diperlukan dan menghilangkan kerentanan diketahui melalui patch atau upgrade. Jika program instalasi menginstal aplikasi yang tidak perlu, layanan atau script, mereka harus segera dihapus setelah proses instalasi menyimpulkan. Mengamankan aplikasi web server yang umumnya mencakup langkahlangkah berikut: • Patch dan upgrade aplikasi server web. • Hapus atau menonaktifkan yang tidak perlu layanan, aplikasi, dan konten sampel.
• server web Konfigurasi otentikasi pengguna dan akses kontrol. • Konfigurasi web kontrol sumber daya server. • Uji keamanan aplikasi web server dan konten web. 5. Pastikan bahwa hanya konten yang sesuai dipublikasikan di website Anda. Website perusahaan sering salah satu tempat pertama penjahat cyber mencari informasi yang berharga. Masih banyak bisnis kekurangan proses penerbitan web atau kebijakan yang menentukan apa jenis informasi untuk mempublikasikan secara terbuka, apa Informasi untuk mempublikasikan dengan akses terbatas dan informasi apa yang tidak boleh dipublikasikan ke publik setiap repositori diakses. Beberapa contoh yang berlaku umum dari apa yang tidak boleh dipublikasikan atau setidaknya harus hati-hati diperiksa dan ditinjau sebelum diterbitkan pada situs publik meliputi: • Baris atau informasi bisnis milik. • Informasi sensitif yang berkaitan dengan Anda keamanan bisnis. • Rekam medis. • Sebuah bisnis 'rinci perlindungan keamanan fisik dan informasi. Rincian tentang infrastruktur bisnis 'jaringan dan sistem informasi • - misalnya, rentang alamat, konvensi penamaan dan nomor akses. • Informasi yang menentukan atau menyiratkan kerentanan keamanan fisik. • Rencana Rinci, peta, diagram, foto udara dan gambar arsitektur bangunan bisnis, sifat atau instalasi. • Setiap informasi sensitif tentang individu yang mungkin dikenakan federal, negara bagian atau, dalam beberapa kasus, undang-undang privasi internasional. 6. Pastikan langkah yang tepat diambil untuk melindungi konten web dari akses yang tidak sah atau modifikasi. Meskipun informasi yang tersedia di situs publik dimaksudkan untuk menjadi publik (dengan asumsi proses review yang kredibel dan pengguna
Network Device Security Measures Physical Security Four classes of physical threats are: •
Hardware threats - physical damage to servers, routers, switches, cabling plant, and workstations.
•
Environmental threats - temperature extremes (too hot or too cold) or humidity extremes (too wet or too dry)
•
Electrical threats - voltage spikes, insufficient supply voltage (brownouts), unconditioned power (noise), and total power loss
•
Maintenance threats - poor handling of key electrical components (electrostatic discharge), lack of critical spare parts, poor cabling, and poor labeling
Network Device Types of Security Vulnerabilities •
Technological weaknesses
•
Configuration weaknesses
•
Security policy weaknesses
Security
Measures