Tentang IT dan Komputer

Teknologi Informasi

Kesalahan Yang Sering Terjadi Pada Penerapan Security

Posted by intrik on April 21, 2007

Kegagalan merupakan salah satu guru terbaik dari pengalaman anda, dengan mengetahui sebab-sebab kegagalan dalam implementasi di bidang IT maka kesuksesan di bidang IT dapat dengan mudah anda terapkan. Bahkan perlu anda ketahui bahwa Microsoft pernah mencari manager yang pernah gagal sehingga mereka anda lebih mengerti akan pekerjaan mereka dan tidak menganggap remeh suatu pekerjaan.
Memang banyak hal yang berperan dalam bidang ini, bisa dari departemen, end-user dan tentu saja tidak ketinggalan BOS anda sendiri.Disini akan saya sharing sedikit survey yang telah di lakukan oleh Sans Institute dan saran dari Bruce Schneier yang merupakan salah satu bos dari Counterpane Internet Security.

Pertama sekali kita anda lihat tentang kesalahan terbesar dari IT department, mengapa sampai security implementasi dapat gagal di suatu perusahaan :
1.   Menghubungkan system perusahaan anda ke Internet sebelum melakukan implementasi security dari sisi equipment hardware maupun software.
2.   Menghubungkan suatu system yang dalam kondisi testing ke internet dengan default configuration.
3.   Tidak mengadakan update terhadap system yang memiliki hole. (cth, service pack dari produk Microsoft)
4.   Menggunakan telnet dan protocol lainnya untuk memanage suatu system tanpa enkripsi.
5.  Tidak melakukan maintenace system dan back up data yang teratur.
6.   Memberikan password kepada user melalui telpon, atau melakukan perubahan password langsung via telpon ataupun user melakukan perubahan password
sendiri tanpa melalui protokol authentication yang dapat diandalkan.
7.   Menggunakan services yang tidak diperlukan contohnya telnet atau ftp.
8.   Mengimplementasikan firewall tanpa  “rule” yang benar, misalnya untuk menhentikan suatu request yang sesuai ciri-ciri worm atau network traffic yang
berbahaya(DoS).
9.   Kegagalan dalam mengimplementasikan software update untuk anti virus.
10. Kegagalan dalam melakukan edukasi/training terhadap user mengenai security yang mereka hadapi.
Berikutnya yang paling berperan dalam security di dalam perusahaan yang tidak kalah penting adalah End-User. Apa kesalahan yang sering mereka lakukan ?
1. Membuka attachment email tanpa melakukan verifikasi terlebih dahulu sumber email dan apa isi nya.(cth. Virus Code Red)
2. Tidak menginstall patch pada system yang digunakan
3. Menginstall screnn saver atau game yang tidak diketahui sumbernya.
4. Tidak pernah melakukan back up ataupun testing terhadap hasil backup.
5. Menggunakan modem pada pada PC yang tersambung ke dalam Network. Penyusupan dapat dilakukan melalui mesin yang tersambung ke network.

Dan kesalahan paling besar yang biasa dilakukan oleh BOS anda atau anda sendiri yang menjadi executivenya, adalah :
1. Memberikan pekerjaan untuk menghandle security kepada orang/staff yang sama sekali tidak pernah ditranining atau memiliki pengetahuan mengenai security.
2. Tidak mengerti mengenai hubungan antara information security dan masalah dalam bisnis.Bisanya hanya melihat physical security tetapi tidak tahu mengenai
konsekuensi tentang information security yang hancur lebur. Kebanyakan konsep atau NATO (not action talk only)
3. Terlalu bergantung terhadap firewall.
4. Gagal dalam implementasi operasional security. Perbaikan atau system maintenance tidak berlanjut, hanya dilakukan pada tahap-tahap awal saja.
5. Tidak menyadari aset yang dimiliki perusahaan, tentang berapa tinggi nilai yang harus dilindungi.
6. Menganggap bahwa masalah yang terjadi akan selesai dengan cara mengacuhkannya.

Solusi apa yang di sarankan oleh Bruce Schneier dalam menghadapi keadaan tsb atau tindakan prevensi yang harus dilakukan untuk meningkatkan security di perusahaan anda.
1. Penggunaan firewall ( konfigurasi yang harus terus di monitoring, install update security dari vendor untuk meyakinkan bahwa security hole dapat tetap diblok)
2. Menggunakan PKI
3. Enkripsi.
4. Anti-Virus
5. VPNs (virtual private network)
6. Physical Security dengan menggunakan kartu akses atau lainnya
7. User training dan security prosedur yang jelas sehingga user dapat lebih mengerti peran mereka.
8. IDS (Intrusion Detection System) dan log file yang perlu di review.
9. Security monitoring.

[-Ruth-]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: