Security Plan Print
Content
NAMA
: RIO SYAMBERA
NPM
: 43A87006110049
JURUSAN
: TI/S1/7 K
TUGAS
: PLAN SECURITY
Cyber Rencana Aksi Item:
1. Menetapkan peran dan tanggung jawab keamanan Salah satu cara yang paling efektif dan
paling murah untuk mencegah insiden keamanan cyber yang serius adalah untuk membangun
kebijakan yang jelas mendefinisikan pemisahan peran dan tanggung jawab yang berkaitan
dengan sistem dan informasi mereka mengandung. Banyak sistem yang dirancang untuk
menyediakan Peran Berbasis kuat Access Control (RBAC), tetapi alat ini adalah penggunaan
kecil tanpa prosedur dan kebijakan yang didefinisikan dengan baik untuk mengatur
penugasan peran dan terkait kendala. Kebijakan-kebijakan tersebut harus dengan jelas
menyatakan, minimal:
• Jelas mengidentifikasi kepemilikan data perusahaan dan peran karyawan untuk pengawasan
keamanan dan hak-hak mewarisi mereka, termasuk di dalamnya:
o peran Diperlukan, dan hak-hak istimewa dan kendala yang diberikan kepada peran-peran.
o Jenis-jenis karyawan yang harus diizinkan untuk mengasumsikan berbagai peran.
o Berapa lama seorang karyawan dapat memegang peran sebelum hak akses harus ditinjau.
o Jika karyawan dapat memegang peran ganda, keadaan mendefinisikan kapan harus
mengadopsi satu peran di atas yang lain. Tergantung pada jenis data secara teratur ditangani
oleh bisnis Anda, mungkin juga masuk akal untuk membuat terpisah kebijakan yang
mengatur siapa yang bertanggung jawab untuk beberapa jenis data. Sebagai contoh, sebuah
bisnis yang menangani volume besar dari informasi pribadi (PII) dari pelanggan dapat
mengambil manfaat dari mengidentifikasi pelayan utama untuk Informasi privasi pelanggan.
Pelayan itu bisa berfungsi tidak hanya sebagai subjek ahli dalam semua masalah privasi,
tetapi juga untuk melayani sebagai juara untuk proses dan teknis perbaikan penanganan PII.
2. Menetapkan kebijakan penggunaan internet karyawan
Batas-batas pada karyawan penggunaan internet di tempat kerja sangat bervariasi dari bisnis
ke bisnis. pedoman Anda harus memungkinkan karyawan tingkat maksimum kebebasan yang
mereka butuhkan untuk menjadi produktif (istirahat pendek untuk menjelajahi web atau
melakukan tugas-tugas pribadi online telah terbukti meningkatkan produktivitas). Pada saat
yang sama, aturan perilaku yang diperlukan untuk memastikan bahwa semua karyawan
mengetahui batas-batas, baik untuk menjaga mereka tetap aman dan untuk menjaga
perusahaan Anda sukses. Beberapa yang perlu dipertimbangkan:
• istirahat pribadi untuk menjelajahi web harus dibatasi pada jumlah waktu yang wajar dan
jenis tertentu kegiatan.
• Jika Anda menggunakan sistem penyaringan web, karyawan harus memiliki pengetahuan
yang jelas tentang bagaimana dan mengapa kegiatan web mereka akan dipantau, dan apa
jenis situs yang dianggap tidak dapat diterima oleh kebijakan Anda.
• aturan Kerja perilaku harus jelas, ringkas dan mudah diikuti. Karyawan harus merasa
nyaman melakukan tugas-tugas pribadi dan profesional secara online tanpa membuat
penilaian panggilan untuk apa mungkin atau mungkin tidak dianggap tepat. Bisnis mungkin
ingin memasukkan percikan peringatan pada jaringan sign-on yang menyarankan karyawan
kebijakan penggunaan internet bisnis 'sehingga semua karyawan pada pemberitahuan.
Pengembangan dan Manajemen Kebijakan
3. Menetapkan kebijakan media sosial
Aplikasi jejaring sosial menyajikan sejumlah risiko yang sulit untuk alamat menggunakan
teknis atau prosedural solusi. Sebuah kebijakan media sosial yang kuat sangat penting untuk
setiap bisnis yang berusaha untuk menggunakan jejaring sosial untuk mempromosikan
kegiatan dan berkomunikasi dengan pelanggan. Minimal, kebijakan media sosial harus secara
jelas termasuk berikut:
• Panduan khusus tentang kapan harus mengungkapkan aktivitas perusahaan menggunakan
media sosial, dan apa jenis rincian dapat dibahas dalam forum publik.
• aturan tambahan dari perilaku bagi karyawan menggunakan akun jejaring sosial pribadi
untuk membuat jenis jelas apa topik diskusi atau posting dapat menyebabkan risiko bagi
perusahaan.
• Pedoman penerimaan menggunakan alamat email perusahaan untuk mendaftar, atau
mendapatkan
pemberitahuan
dari,
sosial
situs
media.
• Pedoman memilih password yang panjang dan kuat untuk account jejaring sosial, karena
sangat sedikit media sosial situs menegakkan kebijakan otentikasi yang kuat bagi pengguna.
Terakhir, semua pengguna media sosial perlu menyadari risiko yang terkait dengan alat
jaringan sosial dan jenis data yang dapat secara otomatis diungkapkan online ketika
penggunakan media sosial. Mengambil waktu untuk mendidik Anda karyawan perangkap
potensi penggunaan media sosial, terutama seiring dengan layanan geo-lokasi, mungkin
kebanyakan praktek keamanan jaringan sosial yang menguntungkan semua.
4. Mengidentifikasi risiko reputasi potensial
Semua organisasi harus meluangkan waktu untuk mengidentifikasi potensi risiko reputasi
mereka dan mengembangkan strategi untuk mengurangi risiko melalui kebijakan atau
tindakan lain yang tersedia. Tipe tertentu risiko reputasi antara lain:
• Menjadi menyamar online dengan organisasi kriminal (misalnya, sebuah situs yang tidak
sah bisnis spoofing nama dan menyalin desain situs Anda, kemudian mencoba untuk menipu
pelanggan
potensial
melalui
penipuan
phishing
atau
lainnya
Metode).
• Memiliki perusahaan atau pelanggan informasi sensitif yang bocor ke publik melalui web.
• Memiliki tindakan karyawan sensitif atau tidak pantas dipublikasikan melalui web atau situs
media sosial.
Semua bisnis harus menetapkan kebijakan untuk mengelola jenis risiko dan rencana untuk
mengatasi insiden tersebut jika dan ketika mereka terjadi. Kebijakan tersebut harus mencakup
proses biasa untuk mengidentifikasi potensi risiko reputasi perusahaan di dunia maya,
langkah-langkah praktis untuk mencegah risiko dari terwujudnya dan referensi rencana untuk
merespon dan pulih dari insiden potensial segera setelah mereka terjadi.membantu link :
• US-CERT itu Lindungi Kerja Anda Poster & Brosur:
http://www.us-cert.gov/reading_room/distributable.html
• Sosialisasi Aman: Menggunakan Layanan Jaringan Sosial:
http://www.us-cert.gov/reading_room/safe_social_networking.pdf
• Pemerintahan untuk Enterprise Security:
http://www.cert.org/governance/
• FFIEC Handbook Definisi Risiko Reputasi:
http://ithandbook.ffiec.gov/it-booklets/retail-payment-systems/retail-payment-systemsriskmanagement/
reputasi risk.aspx
• Apa Bisnis dapat lakukan untuk membantu dengan keamanan cyber:
http://www.staysafeonline.org/sites/default/files/resource_documents/What%20Businesses
%20Can%20Do
% 202011% 20Final_0.pdf
SF-1
Teknologi telekomunikasi baru dapat menawarkan kesempatan tak terhitung untuk usaha
kecil, tetapi mereka juga menawarkan penjahat cyber banyak cara-cara baru untuk
pengorbankan bisnis, penipuan pelanggan Anda dan merusak reputasi Anda. Bisnis dari
semua ukuran harus menyadari penipuan yang paling umum dilakukan secara online.
Cyber Rencana Aksi Item:
1. Melatih karyawan untuk mengenali rekayasa sosial Social engineering, juga dikenal
sebagai "dalih," digunakan oleh banyak penjahat, baik online dan off, untuk mengelabui tidak
curiga orang agar memberikan informasi pribadi mereka dan / atau menginstal perangkat
lunak berbahaya ke komputer mereka, perangkat atau jaringan. Social engineering berhasil
karena orang-orang jahat melakukan yang terbaik untuk membuat pekerjaan mereka terlihat
dan terdengar sah, kadang-kadang bahkan membantu, yang membuatnya lebih mudah untuk
menipu pengguna. Kebanyakan rekayasa sosial secara offline terjadi melalui telepon, tetapi
sering terjadi secara online, juga. Informasi dikumpulkan dari jaringan sosial atau diposting
di website dapat cukup untuk membuat tipu muslihat meyakinkan untuk mengelabui Anda
karyawan. Sebagai contoh, profil LinkedIn, posting Facebook dan pesan Twitter dapat
memungkinkan penjahat untuk merakit berkas rinci tentang karyawan. Mengajar orang risiko
yang terlibat dalam berbagi informasi pribadi atau bisnis di Internet dapat membantu Anda
bermitra dengan staf Anda untuk mencegah kerugian baik pribadi dan organisasi. Banyak
penjahat menggunakan taktik rekayasa sosial untuk mendapatkan individu untuk secara
sukarela menginstal perangkat lunak komputer berbahaya seperti antivirus palsu, berpikir
mereka melakukan sesuatu yang akan membantu membuat mereka lebih aman. Pengguna
yang tertipu memuat program jahat di komputer mereka dapat memberikan kemampuan
remote control ke penyerang, tanpa disadari menginstal perangkat lunak yang dapat mencuri
informasi keuangan atau hanya mencoba untuk menjualnya keamanan palsu perangkat lunak.
2. Melindungi penipuan online
Penipuan online mengambil banyak samaran yang dapat mempengaruhi semua orang,
termasuk usaha kecil dan karyawan mereka. itu adalah membantu untuk mempertahankan
pesan online yang konsisten dan dapat diprediksi ketika berkomunikasi dengan pelanggan
Anda untuk mencegah orang lain dari meniru perusahaan Anda. Pastikan untuk tidak pernah
meminta informasi atau account pribadi rincian melalui email, jejaring sosial atau online
lainnya pesan. Biarkan pelanggan Anda tahu Anda tidak akan pernah meminta informasi
seperti ini melalui saluran tersebut dan memerintahkan mereka untuk menghubungi Anda
langsung harus mereka memiliki keprihatinan apapun.
3. Lindungi terhadap phishing
Phishing adalah teknik yang digunakan oleh penjahat online untuk mengelabui orang untuk
berpikir bahwa mereka berhadapan dengan dunia situs atau badan lainnya. Usaha kecil
menghadapi ancaman ini dari dua arah - phisher mungkin meniru mereka untuk mengambil
keuntungan dari pelanggan yang tidak curiga, dan phisher mungkin mencoba untuk mencuri
secara online karyawan mereka 'kredensial. Bisnis harus memastikan bahwa komunikasi
online mereka tidak pernah meminta pelanggan mereka untuk mengirimkan informasi sensitif
melalui email. Membuat pernyataan yang jelas dalam komunikasi Anda memperkuat bahwa
Anda tidak akan pernah meminta pribadi informasi melalui email, sehingga jika seseorang
menargetkan pelanggan Anda, mereka mungkin menyadari permintaan adalah scam.
Kesadaran karyawan adalah pertahanan terbaik terhadap pengguna yang tertipu untuk
menyerahkan username dan password untuk penjahat cyber. Jelaskan kepada semua orang
bahwa mereka tidak harus menanggapi pesan masuk yang meminta informasi pribadi. Juga,
untuk menghindari menyebabkan situs palsu, mereka harus tahu untuk tidak pernah mengklik
link yang dikirim melalui email dari sumber yang tidak bisa dipercaya. Karyawan perlu untuk
mengakses link situs yang dikirim dari sumber dipertanyakan harus membuka jendela
browser internet dan secara manual mengetikkan alamat web situs untuk memastikan link
email tidak jahat mengarahkan ke situs berbahaya. Penipuan dan Penipuan
Saran ini sangat penting untuk melindungi akun online banking milik organisasi Anda.
Penjahat menargetkan perbankan usaha kecil menyumbang lebih dari sektor lain.
4. Jangan mau untuk menawarkan antivirus palsu Antivirus palsu, "scareware" dan penipuan
keamanan nakal online lainnya berada di balik beberapa yang paling sukses penipuan secara
online dalam beberapa kali. Pastikan organisasi Anda memiliki kebijakan di tempat
penjelaskan apa prosedur ini jika komputer karyawan terinfeksi oleh virus. Melatih karyawan
Anda untuk mengenali pesan peringatan yang sah (menggunakan file tes dari eicar.org,
misalnya) dan untuk benar memberitahu tim TI Anda jika sesuatu yang buruk atau
dipertanyakan telah terjadi. Jika memungkinkan, mengkonfigurasi komputer Anda untuk
tidak mengizinkan pengguna biasa untuk memiliki akses administratif. Ini akan
meminimalkan risiko mereka menginstal perangkat lunak dan kondisi pengguna berbahaya
yang menambahkan software yang tidak sah untuk bekerja komputer bertentangan dengan
kebijakan.
5. Melindungi terhadap malware
Bisnis dapat mengalami kompromi melalui pengenalan perangkat lunak berbahaya, atau
malware, yang melacak sebuah keyboard stroke pengguna, juga dikenal sebagai penebangan
kunci. Banyak perusahaan yang menjadi korban malware kunci logging yang diinstal pada
sistem komputer di mereka lingkungan hidup. Setelah terinstal, malware dapat merekam
keystrokes dibuat pada komputer, yang memungkinkan orang-orang jahat untuk melihat
password, nomor kartu kredit dan data rahasia lainnya. Menjaga perangkat lunak keamanan
up to date dan patching Anda komputer secara teratur akan membuat lebih sulit untuk jenis
malware untuk menyusup ke jaringan Anda.
6. Mengembangkan pendekatan berlapis untuk menjaga terhadap perangkat lunak berbahaya
Meskipun kemajuan dalam menciptakan kesadaran lebih ancaman keamanan di Internet,
penulis malware tidak menyerah. Perusahaan riset malware SophosLabs melaporkan melihat
lebih dari 100.000 sampel perangkat lunak berbahaya yang unik setiap hari. Perlindungan
yang efektif terhadap virus, Trojan dan perangkat lunak berbahaya lainnya membutuhkan
pendekatan berlapis untuk Anda pertahanan. Perangkat lunak antivirus adalah suatu
keharusan, tapi tidak harus hanya line perusahaan pertahanan. Sebaliknya, menyebarkan
kombinasi dari banyak teknik untuk menjaga lingkungan Anda aman. Juga, berhati-hatilah
dengan penggunaan thumb drive dan removable media lainnya. Media ini bisa berbahaya
software pra-instal yang dapat menginfeksi komputer Anda, jadi pastikan Anda percaya
sumber media removable perangkat sebelum Anda menggunakannya. Menggabungkan
penggunaan web filtering, perlindungan tanda tangan antivirus, perlindungan proaktif
malware, firewall, kuat kebijakan keamanan dan karyawan pelatihan secara signifikan
menurunkan risiko infeksi. Menjaga software perlindungan sampai dengan tanggal bersama
dengan sistem operasi dan aplikasi meningkatkan keamanan sistem Anda.
7. Verifikasi mengidentifikasi pencari informasi telepon
Kebanyakan rekayasa sosial secara offline terjadi melalui telepon. Informasi yang
dikumpulkan melalui jaringan sosial dan informasi yang diposting di situs dapat cukup untuk
membuat tipu muslihat meyakinkan untuk mengelabui karyawan Anda. Pastikan bahwa Anda
melatih karyawan untuk tidak mengungkapkan informasi pelanggan, username, password
atau lainnya yang sensitif rincian untuk penelepon yang masuk. Ketika seseorang meminta
informasi, selalu menghubungi orang kembali menggunakan diketahui nomor telepon atau
alamat email untuk memverifikasi identitas dan keabsahan individu dan permintaan mereka.
membantu link
• Cari patch terbaru untuk komputer dan perangkat lunak aplikasi Anda:
http://www.softwarepatch.com/
• alat pemindaian keamanan komputer gratis untuk PC atau jaringan:
http://www.staysafeonline.org/tools-resources/free-security-check-ups
• Tetap di atas penipuan terbaru, penipuan dan ancaman keamanan saat mereka terjadi:
http://nakedsecurity.sophos.com/
• puncak tambahan untuk mencegah terhadap phishing:
http://www.fraud.org/tips/internet/phishing.htm
• Pelajari cara untuk melawan teknik phishing dengan permainan interaktif ini:
http://cups.cs.cmu.edu/antiphishing_phil/
NS-1
Mengamankan jaringan perusahaan terdiri dari:
(1) mengidentifikasi semua perangkat dan koneksi pada jaringan;
(2) pengaturan batas antara sistem perusahaan Anda dan lain-lain; dan
(3) menegakkan kontrol untuk memastikan bahwa tidak sah akses, penyalahgunaan, atau
denial-of-service peristiwa dapat digagalkan atau cepat terkandung dan pulih dari jika mereka
terjadi.
Cyber Rencana Aksi Item:
1. jaringan dan awan layanan internal Aman
Jaringan perusahaan Anda harus dipisahkan dari internet publik dengan mekanisme otentikasi
pengguna yang kuat dan sistem penegakan kebijakan seperti firewall dan web proxy filtering.
Pemantauan dan keamanan tambahan solusi, seperti perangkat lunak dan intrusi anti-virus
sistem deteksi, juga harus digunakan untuk mengidentifikasi dan menghentikan kode
berbahaya atau upaya akses yang tidak sah. jaringan internal Setelah mengidentifikasi titiktitik batas di jaringan perusahaan Anda, masing-masing batas harus dievaluasi untuk
menentukanapa jenis kontrol keamanan yang diperlukan dan bagaimana mereka dapat
digunakan terbaik. Router perbatasan harus dikonfigurasi untuk hanya rute lalu lintas ke dan
dari alamat IP publik perusahaan Anda, firewall harus dikerahkan untuk membatasi lalu lintas
hanya untuk dan dari set layanan minimum yang diperlukan, dan sistem pencegahan intrusi
harus dikonfigurasi untuk memantau aktivitas yang mencurigakan melintasi perimeter
jaringan Anda. Untuk mencegah kemacetan, semua sistem keamanan Anda menyebarkan ke
perimeter jaringan perusahaan Anda harus mampu menangani bandwidth yang operator Anda
menyediakan layanan berbasis Cloud. Hati-hati berkonsultasi persyaratan Anda layanan
dengan semua penyedia layanan cloud untuk memastikan bahwa informasi perusahaan Anda
dan kegiatan dilindungi dengan tingkat keamanan yang sama Anda akan berniat untuk
memberikan pada Anda sendiri. Permintaan keamanan dan audit dari penyedia layanan cloud
Anda sebagai berlaku untuk kebutuhan dan kepentingan perusahaan Anda. Review dan
memahami perjanjian layanan tingkat, atau SLA, untuk pemulihan sistem dan waktu
pemulihan. Anda juga harus menanyakan tentang layanan tambahan layanan cloud dapat
memberikan. Layanan ini mungkin termasuk backupand-memulihkan layanan dan jasa
enkripsi, yang mungkin sangat menarik bagi usaha kecil.
2. Mengembangkan kebijakan sandi yang kuat
Secara umum, metode otentikasi dua faktor, yang memerlukan dua jenis bukti bahwa Anda
adalah yang Anda mengklaim, lebih aman daripada menggunakan password hanya statis
untuk otentikasi. Salah satu contoh umum adalah pribadikeamanan token yang menampilkan
perubahan kode akses yang akan digunakan bersama dengan password yang ditetapkan. Akan
Tetapi, sistem dua faktor tidak selalu mungkin atau praktis untuk perusahaan Anda.
Kebijakan sandi harus mendorong karyawan Anda untuk menggunakan password terkuat
mungkin tanpa membuat kebutuhan atau godaan untuk menggunakan kembali password atau
menuliskannya. Itu berarti password yang acak, kompleks dan panjang (setidaknya 10
karakter), yang berubah secara teratur, dan yang dijaga ketat oleh orang-orang yang mengenal
mereka.
3. Aman dan mengenkripsi Wi-Fi perusahaan Anda
Kontrol akses nirkabel Perusahaan Anda dapat memilih untuk mengoperasikan Wireless
Local Area Network (WLAN) untuk penggunaan pelanggan, tamu, dan pengunjung. Jika
demikian, adalah penting bahwa WLAN seperti disimpan terpisah dari jaringan perusahaan
utama sehingga lalu lintas dari jaringan publik tidak dapat melintasi sistem internal
perusahaan pada setiap titik keamanan jaringan.
Akses WLAN non-publik internal harus dibatasi ke perangkat tertentu dan pengguna
tertentu semaksimal mungkin sementara memenuhi kebutuhan bisnis perusahaan Anda.
Dimana WLAN internal yang memiliki akses kurang ketat kontrol dari jaringan kabel,
koneksi ganda perusahaan Anda - di mana perangkat ini dapat terhubung ke kedua jaringan
nirkabel dan kabel secara bersamaan - harus dilarang oleh kontrol teknis pada masing-masing
mampu seperti perangkat (misalnya, BIOS-tingkat pengaturan LAN / switch WLAN). Semua
pengguna harus diberikan mandat yang unik dengan yang telah ditetapkan berakhirnya
tanggal untuk digunakan saat mengakses WLAN internal. enkripsi nirkabel Karena
kelemahan keamanan dibuktikan diketahui ada dalam bentuk yang lebih tua dari enkripsi
nirkabel, perusahaan Anda internal WLAN hanya harus menggunakan Wi-Fi Protected
Access 2 (WPA2) enkripsi.
4. Mengenkripsi data perusahaan yang sensitif
Enkripsi harus digunakan untuk melindungi data bahwa perusahaan Anda
mempertimbangkan sensitif, selain pertemuan persyaratan peraturan yang berlaku informasi
pengamanan. Skema enkripsi yang berbeda sesuai dalam keadaan yang berbeda. Namun,
aplikasi yang sesuai dengan standar OpenPGP, seperti PGP dan GnuPG, menyediakan
berbagai macam pilihan untuk mengamankan data pada disk serta transit. Jika Anda memilih
untuk menawarkan aman transaksi melalui website perusahaan Anda, konsultasikan dengan
penyedia layanan Anda tentang pilihan yang tersedia untuk SSL sertifikat untuk situs Anda.
5. Secara teratur memperbarui semua aplikasi
Semua sistem dan perangkat lunak, termasuk peralatan jaringan, harus diperbarui secara tepat
waktu sebagai patch dan upgrade firmware menjadi tersedia. Gunakan layanan update
otomatis bila memungkinkan, terutama untuk keamanan sistem seperti aplikasi anti-malware,
alat web filtering dan sistem pencegahan intrusi.
6. Atur web yang aman aturan penjelajahan
Jaringan internal perusahaan Anda hanya harus dapat mengakses layanan tersebut dan sumber
daya di Internet yang penting untuk bisnis dan kebutuhan karyawan Anda. Gunakan browsing
yang aman fitur disertakan dengan yang modern web software browsing dan web proxy
untuk memastikan bahwa situs berbahaya atau tidak sah tidak dapat diakses dari Anda
jaringan internal.
7. Jika akses remote diaktifkan, pastikan sudah aman
Jika perusahaan Anda perlu menyediakan akses remote ke jaringan internal perusahaan Anda
melalui Internet, salah satu yang populer dan pilihan aman adalah dengan menggunakan
aman Virtual Private Network (VPN) sistem disertai dengan kuat dua faktor otentikasi, baik
menggunakan perangkat keras atau token perangkat lunak. membantu link:
• Microsoft Password Kekuatan Checker:
https://www.microsoft.com/security/pc-security/password-checker.aspx
• Philip Zimmerman, Dimana Mendapatkan PGP:
http://philzimmermann.com/EN/findpgp/
• US-CERT Security Publikasi:
http://www.us-cert.gov/reading_room/
• NIST Khusus Publikasi 800-153, Pedoman Draft untuk Mengamankan Wireless Local Area
Networks (WLAN):
http://csrc.nist.gov/publications/drafts/800-153/Draft-SP800-153.pdf
WS-1
Website security lebih penting daripada sebelumnya.Server web, yang host data dan konten
lain yang tersedia untuk pelanggan Anda di Internet, seringkali yang paling sasaran dan
menyerang komponen jaringan perusahaan. Penjahat cyber terus mencari benar situs aman
untuk menyerang, sementara banyak pelanggan mengatakan keamanan situs adalah
pertimbangan utama ketika mereka memilih untuk berbelanja online. Akibatnya, sangat
penting untuk mengamankan server dan infrastruktur jaringan yang mendukung mereka. Itu
Konsekuensi dari pelanggaran keamanan yang besar: hilangnya pendapatan, kerusakan
kredibilitas, tanggung jawab hukum dan hilangnya kepercayaan pelanggan.
Berikut ini adalah contoh ancaman keamanan khusus untuk server web:
• penjahat Cyber dapat mengeksploitasi bug perangkat lunak dalam server web, yang
mendasari sistem operasi, atau aktif konten untuk mendapatkan akses tidak sah ke server
web. Contoh akses yang tidak sah termasuk mendapatkan akses ke file atau folder yang tidak
dimaksudkan untuk menjadi dapat diakses publik dan mampu untuk menjalankan perintah
dan / atau menginstal perangkat lunak berbahaya pada server web.
• Denial-of-service serangan dapat diarahkan pada server web atau jaringan infrastruktur
pendukung untuk
mencegah atau menghalangi pengguna website Anda dari memanfaatkan layanan.
• Informasi sensitif pada server web dapat dibaca atau dimodifikasi tanpa otorisasi.
• Informasi sensitif pada database backend yang digunakan untuk mendukung elemen
interaktif dari web aplikasi dapat dikompromikan melalui suntikan perintah perangkat lunak
yang tidak sah. Contoh termasuk Structured Query Language (SQL) injection, Lightweight
Directory Access Protocol (LDAP)
injeksi dan cross-site scripting (XSS).
• informasi terenkripsi Sensitif ditransmisikan antara web server dan browser dapat disadap.
• Informasi tentang server web dapat diubah untuk tujuan jahat. Perusakan situs adalah
sering dilaporkan contoh ancaman ini.
• penjahat Cyber dapat mendapatkan akses tidak sah ke sumber daya lain dalam jaringan
organisasi melalui sukses serangan pada server web.
• penjahat cyber juga dapat menyerang entitas eksternal setelah mengorbankan server web.
Serangan ini dapat diluncurkan langsung (misalnya, dari server dikompromikan terhadap
server eksternal) maupun tidak langsung (misalnya, menempatkan konten berbahaya pada
server web dikompromikan yang mencoba untuk mengeksploitasi kerentanan dalam web
browser pengguna mengunjungi situs).
• Server dapat digunakan sebagai titik distribusi untuk alat serangan, pornografi atau
perangkat lunak disalin secara ilegal.
Cyber Rencana Aksi Item:
1. Hati-hati merencanakan dan menangani aspek keamanan dari penyebaran web server
publik. Karena itu jauh lebih sulit untuk menangani keamanan setelah penyebaran dan
implementasi telah terjadi, keamanan harus dipertimbangkan dari tahap perencanaan awal.
Bisnis lebih cenderung untuk membuat keputusan tentang mengkonfigurasi komputer tepat
dan konsisten ketika mereka mengembangkan dan menggunakan rinci, yang dirancang
dengan baik rencana penyebaran. Mengembangkan rencana tersebut akan mendukung
administrator web server dalam membuat tradeoff yang tak terelakkan keputusan antara
kegunaan, kinerja dan risiko. Bisnis juga perlu mempertimbangkan kebutuhan sumber daya
manusia untuk penyebaran dan operasi lanjutan server web dan infrastruktur pendukung.
Poin-poin berikut dalam rencana penyebaran:
• Jenis personil yang dibutuhkan - misalnya, sistem dan web server administrator, webmaster,
jaringan administrator dan sistem informasi petugas keamanan.
• Keterampilan dan pelatihan yang dibutuhkan oleh personil yang ditugaskan.
• Individual (yaitu, tingkat usaha yang dibutuhkan jenis personil tertentu) dan staf kolektif
(yaitu, secara keseluruhan tingkat usaha) persyaratan Keamanan Website
2. Menerapkan praktek manajemen keamanan dan kontrol saat yang tepatmemelihara dan
mengoperasikan server web yang aman. Praktek manajemen yang tepat sangat penting untuk
operasi dan pemeliharaan server web yang aman. Keamanan praktek meliputi identifikasi aset
sistem informasi perusahaan dan pengembangan, dokumentasi dan pelaksanaan kebijakan,
dan pedoman untuk membantu memastikan kerahasiaan, integritas dan ketersediaan sumber
daya sistem informasi. Praktek-praktek dan kontrol berikut ini dianjurkan:
• Kebijakan keamanan sistem informasi lebar bisnis.
• Server konfigurasi dan kontrol dan manajemen perubahan.
• Penilaian risiko dan manajemen.
• konfigurasi software Standar yang memenuhi kebijakan sistem keamanan informasi.
• Kesadaran Keamanan dan pelatihan.
• perencanaan kontingensi, kelangsungan operasional dan perencanaan pemulihan bencana.
• Sertifikasi dan akreditasi.
3. Pastikan bahwa sistem operasi server web memenuhi organisasi Anda persyaratan
keamanan. Langkah pertama dalam mengamankan server web adalah mengamankan sistem
operasi yang mendasarinya. Paling umum tersedia web server beroperasi pada sistem operasi
tujuan umum. Banyak masalah keamanan dapat dihindari jika operasi sistem yang mendasari
server web yang dikonfigurasi dengan tepat. Hardware standar dan konfigurasi perangkat
lunak yang biasanya ditetapkan oleh produsen untuk menekankan fitur, fungsi dan
pemudahan penggunaan dengan mengorbankan keamanan. Karena produsen tidak menyadari
kebutuhan keamanan masing-masing organisasi, setiap administrator server web harus
mengkonfigurasi server baru untuk mencerminkan bisnis 'persyaratan keamanan mereka dan
mengkonfigurasi ulang sebagai persyaratan berubah. Menggunakan panduan konfigurasi
keamanan atau daftar dapat membantu administrator dalam mengamankan sistem secara
konsisten dan efisien. Awalnya mengamankan sistem operasi awalnya umumnya mencakup
langkah-langkah berikut:
• Patch dan upgrade sistem operasi.
• Ubah semua password default
• Hapus atau menonaktifkan layanan yang tidak perlu dan aplikasi.
• Konfigurasi operasi sistem otentikasi pengguna.
• kontrol Konfigurasi sumber daya.
• Menginstal dan mengkonfigurasi kontrol keamanan tambahan.
• Melakukan pengujian keamanan dari sistem operasi.
4. Pastikan aplikasi web server yang memenuhi keamanan organisasi Anda
persyaratan. Dalam banyak hal, instalasi yang aman dan konfigurasi aplikasi web server yang
akan mencerminkan operasi Proses sistem dibahas di atas. Prinsip keseluruhan adalah untuk
menginstal jumlah minimal layanan web server diperlukan dan menghilangkan kerentanan
diketahui melalui patch atau upgrade. Jika program instalasi menginstal aplikasi yang tidak
perlu, layanan atau script, mereka harus segera dihapus setelah proses instalasi
menyimpulkan. Mengamankan aplikasi web server yang umumnya mencakup langkahlangkah berikut:
• Patch dan upgrade aplikasi server web.
• Hapus atau menonaktifkan yang tidak perlu layanan, aplikasi, dan konten sampel.
• server web Konfigurasi otentikasi pengguna dan akses kontrol.
• Konfigurasi web kontrol sumber daya server.
• Uji keamanan aplikasi web server dan konten web.
5. Pastikan bahwa hanya konten yang sesuai dipublikasikan di website Anda.
Website perusahaan sering salah satu tempat pertama penjahat cyber mencari informasi yang
berharga. Masih banyak bisnis kekurangan proses penerbitan web atau kebijakan yang
menentukan apa jenis informasi untuk mempublikasikan secara terbuka, apa Informasi untuk
mempublikasikan dengan akses terbatas dan informasi apa yang tidak boleh dipublikasikan
ke publik setiap repositori diakses. Beberapa contoh yang berlaku umum dari apa yang tidak
boleh dipublikasikan atau setidaknya harus hati-hati diperiksa dan ditinjau sebelum
diterbitkan pada situs publik meliputi:
• Baris atau informasi bisnis milik.
• Informasi sensitif yang berkaitan dengan Anda keamanan bisnis.
• Rekam medis.
• Sebuah bisnis 'rinci perlindungan keamanan fisik dan informasi.
Rincian tentang infrastruktur bisnis 'jaringan dan sistem informasi • - misalnya, rentang
alamat, konvensi penamaan dan nomor akses.
• Informasi yang menentukan atau menyiratkan kerentanan keamanan fisik.
• Rencana Rinci, peta, diagram, foto udara dan gambar arsitektur bangunan bisnis,
sifat atau instalasi.
• Setiap informasi sensitif tentang individu yang mungkin dikenakan federal, negara bagian
atau, dalam beberapa kasus, undang-undang privasi internasional.
6. Pastikan langkah yang tepat diambil untuk melindungi konten web dari akses yang tidak
sah atau modifikasi. Meskipun informasi yang tersedia di situs publik dimaksudkan untuk
menjadi publik (dengan asumsi proses review yang kredibel dan pengguna
Network Device Security Measures
Physical Security
Four classes of physical threats are:
•
Hardware threats - physical damage to servers, routers, switches, cabling plant, and
workstations.
•
Environmental threats - temperature extremes (too hot or too cold) or humidity
extremes (too wet or too dry)
•
Electrical threats - voltage spikes, insufficient supply voltage (brownouts),
unconditioned power (noise), and total power loss
•
Maintenance threats - poor handling of key electrical components (electrostatic
discharge), lack of critical spare parts, poor cabling, and poor labeling
Network
Device
Types of Security Vulnerabilities
•
Technological weaknesses
•
Configuration weaknesses
•
Security policy weaknesses
Security
Measures
: RIO SYAMBERA
NPM
: 43A87006110049
JURUSAN
: TI/S1/7 K
TUGAS
: PLAN SECURITY
Cyber Rencana Aksi Item:
1. Menetapkan peran dan tanggung jawab keamanan Salah satu cara yang paling efektif dan
paling murah untuk mencegah insiden keamanan cyber yang serius adalah untuk membangun
kebijakan yang jelas mendefinisikan pemisahan peran dan tanggung jawab yang berkaitan
dengan sistem dan informasi mereka mengandung. Banyak sistem yang dirancang untuk
menyediakan Peran Berbasis kuat Access Control (RBAC), tetapi alat ini adalah penggunaan
kecil tanpa prosedur dan kebijakan yang didefinisikan dengan baik untuk mengatur
penugasan peran dan terkait kendala. Kebijakan-kebijakan tersebut harus dengan jelas
menyatakan, minimal:
• Jelas mengidentifikasi kepemilikan data perusahaan dan peran karyawan untuk pengawasan
keamanan dan hak-hak mewarisi mereka, termasuk di dalamnya:
o peran Diperlukan, dan hak-hak istimewa dan kendala yang diberikan kepada peran-peran.
o Jenis-jenis karyawan yang harus diizinkan untuk mengasumsikan berbagai peran.
o Berapa lama seorang karyawan dapat memegang peran sebelum hak akses harus ditinjau.
o Jika karyawan dapat memegang peran ganda, keadaan mendefinisikan kapan harus
mengadopsi satu peran di atas yang lain. Tergantung pada jenis data secara teratur ditangani
oleh bisnis Anda, mungkin juga masuk akal untuk membuat terpisah kebijakan yang
mengatur siapa yang bertanggung jawab untuk beberapa jenis data. Sebagai contoh, sebuah
bisnis yang menangani volume besar dari informasi pribadi (PII) dari pelanggan dapat
mengambil manfaat dari mengidentifikasi pelayan utama untuk Informasi privasi pelanggan.
Pelayan itu bisa berfungsi tidak hanya sebagai subjek ahli dalam semua masalah privasi,
tetapi juga untuk melayani sebagai juara untuk proses dan teknis perbaikan penanganan PII.
2. Menetapkan kebijakan penggunaan internet karyawan
Batas-batas pada karyawan penggunaan internet di tempat kerja sangat bervariasi dari bisnis
ke bisnis. pedoman Anda harus memungkinkan karyawan tingkat maksimum kebebasan yang
mereka butuhkan untuk menjadi produktif (istirahat pendek untuk menjelajahi web atau
melakukan tugas-tugas pribadi online telah terbukti meningkatkan produktivitas). Pada saat
yang sama, aturan perilaku yang diperlukan untuk memastikan bahwa semua karyawan
mengetahui batas-batas, baik untuk menjaga mereka tetap aman dan untuk menjaga
perusahaan Anda sukses. Beberapa yang perlu dipertimbangkan:
• istirahat pribadi untuk menjelajahi web harus dibatasi pada jumlah waktu yang wajar dan
jenis tertentu kegiatan.
• Jika Anda menggunakan sistem penyaringan web, karyawan harus memiliki pengetahuan
yang jelas tentang bagaimana dan mengapa kegiatan web mereka akan dipantau, dan apa
jenis situs yang dianggap tidak dapat diterima oleh kebijakan Anda.
• aturan Kerja perilaku harus jelas, ringkas dan mudah diikuti. Karyawan harus merasa
nyaman melakukan tugas-tugas pribadi dan profesional secara online tanpa membuat
penilaian panggilan untuk apa mungkin atau mungkin tidak dianggap tepat. Bisnis mungkin
ingin memasukkan percikan peringatan pada jaringan sign-on yang menyarankan karyawan
kebijakan penggunaan internet bisnis 'sehingga semua karyawan pada pemberitahuan.
Pengembangan dan Manajemen Kebijakan
3. Menetapkan kebijakan media sosial
Aplikasi jejaring sosial menyajikan sejumlah risiko yang sulit untuk alamat menggunakan
teknis atau prosedural solusi. Sebuah kebijakan media sosial yang kuat sangat penting untuk
setiap bisnis yang berusaha untuk menggunakan jejaring sosial untuk mempromosikan
kegiatan dan berkomunikasi dengan pelanggan. Minimal, kebijakan media sosial harus secara
jelas termasuk berikut:
• Panduan khusus tentang kapan harus mengungkapkan aktivitas perusahaan menggunakan
media sosial, dan apa jenis rincian dapat dibahas dalam forum publik.
• aturan tambahan dari perilaku bagi karyawan menggunakan akun jejaring sosial pribadi
untuk membuat jenis jelas apa topik diskusi atau posting dapat menyebabkan risiko bagi
perusahaan.
• Pedoman penerimaan menggunakan alamat email perusahaan untuk mendaftar, atau
mendapatkan
pemberitahuan
dari,
sosial
situs
media.
• Pedoman memilih password yang panjang dan kuat untuk account jejaring sosial, karena
sangat sedikit media sosial situs menegakkan kebijakan otentikasi yang kuat bagi pengguna.
Terakhir, semua pengguna media sosial perlu menyadari risiko yang terkait dengan alat
jaringan sosial dan jenis data yang dapat secara otomatis diungkapkan online ketika
penggunakan media sosial. Mengambil waktu untuk mendidik Anda karyawan perangkap
potensi penggunaan media sosial, terutama seiring dengan layanan geo-lokasi, mungkin
kebanyakan praktek keamanan jaringan sosial yang menguntungkan semua.
4. Mengidentifikasi risiko reputasi potensial
Semua organisasi harus meluangkan waktu untuk mengidentifikasi potensi risiko reputasi
mereka dan mengembangkan strategi untuk mengurangi risiko melalui kebijakan atau
tindakan lain yang tersedia. Tipe tertentu risiko reputasi antara lain:
• Menjadi menyamar online dengan organisasi kriminal (misalnya, sebuah situs yang tidak
sah bisnis spoofing nama dan menyalin desain situs Anda, kemudian mencoba untuk menipu
pelanggan
potensial
melalui
penipuan
phishing
atau
lainnya
Metode).
• Memiliki perusahaan atau pelanggan informasi sensitif yang bocor ke publik melalui web.
• Memiliki tindakan karyawan sensitif atau tidak pantas dipublikasikan melalui web atau situs
media sosial.
Semua bisnis harus menetapkan kebijakan untuk mengelola jenis risiko dan rencana untuk
mengatasi insiden tersebut jika dan ketika mereka terjadi. Kebijakan tersebut harus mencakup
proses biasa untuk mengidentifikasi potensi risiko reputasi perusahaan di dunia maya,
langkah-langkah praktis untuk mencegah risiko dari terwujudnya dan referensi rencana untuk
merespon dan pulih dari insiden potensial segera setelah mereka terjadi.membantu link :
• US-CERT itu Lindungi Kerja Anda Poster & Brosur:
http://www.us-cert.gov/reading_room/distributable.html
• Sosialisasi Aman: Menggunakan Layanan Jaringan Sosial:
http://www.us-cert.gov/reading_room/safe_social_networking.pdf
• Pemerintahan untuk Enterprise Security:
http://www.cert.org/governance/
• FFIEC Handbook Definisi Risiko Reputasi:
http://ithandbook.ffiec.gov/it-booklets/retail-payment-systems/retail-payment-systemsriskmanagement/
reputasi risk.aspx
• Apa Bisnis dapat lakukan untuk membantu dengan keamanan cyber:
http://www.staysafeonline.org/sites/default/files/resource_documents/What%20Businesses
%20Can%20Do
% 202011% 20Final_0.pdf
SF-1
Teknologi telekomunikasi baru dapat menawarkan kesempatan tak terhitung untuk usaha
kecil, tetapi mereka juga menawarkan penjahat cyber banyak cara-cara baru untuk
pengorbankan bisnis, penipuan pelanggan Anda dan merusak reputasi Anda. Bisnis dari
semua ukuran harus menyadari penipuan yang paling umum dilakukan secara online.
Cyber Rencana Aksi Item:
1. Melatih karyawan untuk mengenali rekayasa sosial Social engineering, juga dikenal
sebagai "dalih," digunakan oleh banyak penjahat, baik online dan off, untuk mengelabui tidak
curiga orang agar memberikan informasi pribadi mereka dan / atau menginstal perangkat
lunak berbahaya ke komputer mereka, perangkat atau jaringan. Social engineering berhasil
karena orang-orang jahat melakukan yang terbaik untuk membuat pekerjaan mereka terlihat
dan terdengar sah, kadang-kadang bahkan membantu, yang membuatnya lebih mudah untuk
menipu pengguna. Kebanyakan rekayasa sosial secara offline terjadi melalui telepon, tetapi
sering terjadi secara online, juga. Informasi dikumpulkan dari jaringan sosial atau diposting
di website dapat cukup untuk membuat tipu muslihat meyakinkan untuk mengelabui Anda
karyawan. Sebagai contoh, profil LinkedIn, posting Facebook dan pesan Twitter dapat
memungkinkan penjahat untuk merakit berkas rinci tentang karyawan. Mengajar orang risiko
yang terlibat dalam berbagi informasi pribadi atau bisnis di Internet dapat membantu Anda
bermitra dengan staf Anda untuk mencegah kerugian baik pribadi dan organisasi. Banyak
penjahat menggunakan taktik rekayasa sosial untuk mendapatkan individu untuk secara
sukarela menginstal perangkat lunak komputer berbahaya seperti antivirus palsu, berpikir
mereka melakukan sesuatu yang akan membantu membuat mereka lebih aman. Pengguna
yang tertipu memuat program jahat di komputer mereka dapat memberikan kemampuan
remote control ke penyerang, tanpa disadari menginstal perangkat lunak yang dapat mencuri
informasi keuangan atau hanya mencoba untuk menjualnya keamanan palsu perangkat lunak.
2. Melindungi penipuan online
Penipuan online mengambil banyak samaran yang dapat mempengaruhi semua orang,
termasuk usaha kecil dan karyawan mereka. itu adalah membantu untuk mempertahankan
pesan online yang konsisten dan dapat diprediksi ketika berkomunikasi dengan pelanggan
Anda untuk mencegah orang lain dari meniru perusahaan Anda. Pastikan untuk tidak pernah
meminta informasi atau account pribadi rincian melalui email, jejaring sosial atau online
lainnya pesan. Biarkan pelanggan Anda tahu Anda tidak akan pernah meminta informasi
seperti ini melalui saluran tersebut dan memerintahkan mereka untuk menghubungi Anda
langsung harus mereka memiliki keprihatinan apapun.
3. Lindungi terhadap phishing
Phishing adalah teknik yang digunakan oleh penjahat online untuk mengelabui orang untuk
berpikir bahwa mereka berhadapan dengan dunia situs atau badan lainnya. Usaha kecil
menghadapi ancaman ini dari dua arah - phisher mungkin meniru mereka untuk mengambil
keuntungan dari pelanggan yang tidak curiga, dan phisher mungkin mencoba untuk mencuri
secara online karyawan mereka 'kredensial. Bisnis harus memastikan bahwa komunikasi
online mereka tidak pernah meminta pelanggan mereka untuk mengirimkan informasi sensitif
melalui email. Membuat pernyataan yang jelas dalam komunikasi Anda memperkuat bahwa
Anda tidak akan pernah meminta pribadi informasi melalui email, sehingga jika seseorang
menargetkan pelanggan Anda, mereka mungkin menyadari permintaan adalah scam.
Kesadaran karyawan adalah pertahanan terbaik terhadap pengguna yang tertipu untuk
menyerahkan username dan password untuk penjahat cyber. Jelaskan kepada semua orang
bahwa mereka tidak harus menanggapi pesan masuk yang meminta informasi pribadi. Juga,
untuk menghindari menyebabkan situs palsu, mereka harus tahu untuk tidak pernah mengklik
link yang dikirim melalui email dari sumber yang tidak bisa dipercaya. Karyawan perlu untuk
mengakses link situs yang dikirim dari sumber dipertanyakan harus membuka jendela
browser internet dan secara manual mengetikkan alamat web situs untuk memastikan link
email tidak jahat mengarahkan ke situs berbahaya. Penipuan dan Penipuan
Saran ini sangat penting untuk melindungi akun online banking milik organisasi Anda.
Penjahat menargetkan perbankan usaha kecil menyumbang lebih dari sektor lain.
4. Jangan mau untuk menawarkan antivirus palsu Antivirus palsu, "scareware" dan penipuan
keamanan nakal online lainnya berada di balik beberapa yang paling sukses penipuan secara
online dalam beberapa kali. Pastikan organisasi Anda memiliki kebijakan di tempat
penjelaskan apa prosedur ini jika komputer karyawan terinfeksi oleh virus. Melatih karyawan
Anda untuk mengenali pesan peringatan yang sah (menggunakan file tes dari eicar.org,
misalnya) dan untuk benar memberitahu tim TI Anda jika sesuatu yang buruk atau
dipertanyakan telah terjadi. Jika memungkinkan, mengkonfigurasi komputer Anda untuk
tidak mengizinkan pengguna biasa untuk memiliki akses administratif. Ini akan
meminimalkan risiko mereka menginstal perangkat lunak dan kondisi pengguna berbahaya
yang menambahkan software yang tidak sah untuk bekerja komputer bertentangan dengan
kebijakan.
5. Melindungi terhadap malware
Bisnis dapat mengalami kompromi melalui pengenalan perangkat lunak berbahaya, atau
malware, yang melacak sebuah keyboard stroke pengguna, juga dikenal sebagai penebangan
kunci. Banyak perusahaan yang menjadi korban malware kunci logging yang diinstal pada
sistem komputer di mereka lingkungan hidup. Setelah terinstal, malware dapat merekam
keystrokes dibuat pada komputer, yang memungkinkan orang-orang jahat untuk melihat
password, nomor kartu kredit dan data rahasia lainnya. Menjaga perangkat lunak keamanan
up to date dan patching Anda komputer secara teratur akan membuat lebih sulit untuk jenis
malware untuk menyusup ke jaringan Anda.
6. Mengembangkan pendekatan berlapis untuk menjaga terhadap perangkat lunak berbahaya
Meskipun kemajuan dalam menciptakan kesadaran lebih ancaman keamanan di Internet,
penulis malware tidak menyerah. Perusahaan riset malware SophosLabs melaporkan melihat
lebih dari 100.000 sampel perangkat lunak berbahaya yang unik setiap hari. Perlindungan
yang efektif terhadap virus, Trojan dan perangkat lunak berbahaya lainnya membutuhkan
pendekatan berlapis untuk Anda pertahanan. Perangkat lunak antivirus adalah suatu
keharusan, tapi tidak harus hanya line perusahaan pertahanan. Sebaliknya, menyebarkan
kombinasi dari banyak teknik untuk menjaga lingkungan Anda aman. Juga, berhati-hatilah
dengan penggunaan thumb drive dan removable media lainnya. Media ini bisa berbahaya
software pra-instal yang dapat menginfeksi komputer Anda, jadi pastikan Anda percaya
sumber media removable perangkat sebelum Anda menggunakannya. Menggabungkan
penggunaan web filtering, perlindungan tanda tangan antivirus, perlindungan proaktif
malware, firewall, kuat kebijakan keamanan dan karyawan pelatihan secara signifikan
menurunkan risiko infeksi. Menjaga software perlindungan sampai dengan tanggal bersama
dengan sistem operasi dan aplikasi meningkatkan keamanan sistem Anda.
7. Verifikasi mengidentifikasi pencari informasi telepon
Kebanyakan rekayasa sosial secara offline terjadi melalui telepon. Informasi yang
dikumpulkan melalui jaringan sosial dan informasi yang diposting di situs dapat cukup untuk
membuat tipu muslihat meyakinkan untuk mengelabui karyawan Anda. Pastikan bahwa Anda
melatih karyawan untuk tidak mengungkapkan informasi pelanggan, username, password
atau lainnya yang sensitif rincian untuk penelepon yang masuk. Ketika seseorang meminta
informasi, selalu menghubungi orang kembali menggunakan diketahui nomor telepon atau
alamat email untuk memverifikasi identitas dan keabsahan individu dan permintaan mereka.
membantu link
• Cari patch terbaru untuk komputer dan perangkat lunak aplikasi Anda:
http://www.softwarepatch.com/
• alat pemindaian keamanan komputer gratis untuk PC atau jaringan:
http://www.staysafeonline.org/tools-resources/free-security-check-ups
• Tetap di atas penipuan terbaru, penipuan dan ancaman keamanan saat mereka terjadi:
http://nakedsecurity.sophos.com/
• puncak tambahan untuk mencegah terhadap phishing:
http://www.fraud.org/tips/internet/phishing.htm
• Pelajari cara untuk melawan teknik phishing dengan permainan interaktif ini:
http://cups.cs.cmu.edu/antiphishing_phil/
NS-1
Mengamankan jaringan perusahaan terdiri dari:
(1) mengidentifikasi semua perangkat dan koneksi pada jaringan;
(2) pengaturan batas antara sistem perusahaan Anda dan lain-lain; dan
(3) menegakkan kontrol untuk memastikan bahwa tidak sah akses, penyalahgunaan, atau
denial-of-service peristiwa dapat digagalkan atau cepat terkandung dan pulih dari jika mereka
terjadi.
Cyber Rencana Aksi Item:
1. jaringan dan awan layanan internal Aman
Jaringan perusahaan Anda harus dipisahkan dari internet publik dengan mekanisme otentikasi
pengguna yang kuat dan sistem penegakan kebijakan seperti firewall dan web proxy filtering.
Pemantauan dan keamanan tambahan solusi, seperti perangkat lunak dan intrusi anti-virus
sistem deteksi, juga harus digunakan untuk mengidentifikasi dan menghentikan kode
berbahaya atau upaya akses yang tidak sah. jaringan internal Setelah mengidentifikasi titiktitik batas di jaringan perusahaan Anda, masing-masing batas harus dievaluasi untuk
menentukanapa jenis kontrol keamanan yang diperlukan dan bagaimana mereka dapat
digunakan terbaik. Router perbatasan harus dikonfigurasi untuk hanya rute lalu lintas ke dan
dari alamat IP publik perusahaan Anda, firewall harus dikerahkan untuk membatasi lalu lintas
hanya untuk dan dari set layanan minimum yang diperlukan, dan sistem pencegahan intrusi
harus dikonfigurasi untuk memantau aktivitas yang mencurigakan melintasi perimeter
jaringan Anda. Untuk mencegah kemacetan, semua sistem keamanan Anda menyebarkan ke
perimeter jaringan perusahaan Anda harus mampu menangani bandwidth yang operator Anda
menyediakan layanan berbasis Cloud. Hati-hati berkonsultasi persyaratan Anda layanan
dengan semua penyedia layanan cloud untuk memastikan bahwa informasi perusahaan Anda
dan kegiatan dilindungi dengan tingkat keamanan yang sama Anda akan berniat untuk
memberikan pada Anda sendiri. Permintaan keamanan dan audit dari penyedia layanan cloud
Anda sebagai berlaku untuk kebutuhan dan kepentingan perusahaan Anda. Review dan
memahami perjanjian layanan tingkat, atau SLA, untuk pemulihan sistem dan waktu
pemulihan. Anda juga harus menanyakan tentang layanan tambahan layanan cloud dapat
memberikan. Layanan ini mungkin termasuk backupand-memulihkan layanan dan jasa
enkripsi, yang mungkin sangat menarik bagi usaha kecil.
2. Mengembangkan kebijakan sandi yang kuat
Secara umum, metode otentikasi dua faktor, yang memerlukan dua jenis bukti bahwa Anda
adalah yang Anda mengklaim, lebih aman daripada menggunakan password hanya statis
untuk otentikasi. Salah satu contoh umum adalah pribadikeamanan token yang menampilkan
perubahan kode akses yang akan digunakan bersama dengan password yang ditetapkan. Akan
Tetapi, sistem dua faktor tidak selalu mungkin atau praktis untuk perusahaan Anda.
Kebijakan sandi harus mendorong karyawan Anda untuk menggunakan password terkuat
mungkin tanpa membuat kebutuhan atau godaan untuk menggunakan kembali password atau
menuliskannya. Itu berarti password yang acak, kompleks dan panjang (setidaknya 10
karakter), yang berubah secara teratur, dan yang dijaga ketat oleh orang-orang yang mengenal
mereka.
3. Aman dan mengenkripsi Wi-Fi perusahaan Anda
Kontrol akses nirkabel Perusahaan Anda dapat memilih untuk mengoperasikan Wireless
Local Area Network (WLAN) untuk penggunaan pelanggan, tamu, dan pengunjung. Jika
demikian, adalah penting bahwa WLAN seperti disimpan terpisah dari jaringan perusahaan
utama sehingga lalu lintas dari jaringan publik tidak dapat melintasi sistem internal
perusahaan pada setiap titik keamanan jaringan.
Akses WLAN non-publik internal harus dibatasi ke perangkat tertentu dan pengguna
tertentu semaksimal mungkin sementara memenuhi kebutuhan bisnis perusahaan Anda.
Dimana WLAN internal yang memiliki akses kurang ketat kontrol dari jaringan kabel,
koneksi ganda perusahaan Anda - di mana perangkat ini dapat terhubung ke kedua jaringan
nirkabel dan kabel secara bersamaan - harus dilarang oleh kontrol teknis pada masing-masing
mampu seperti perangkat (misalnya, BIOS-tingkat pengaturan LAN / switch WLAN). Semua
pengguna harus diberikan mandat yang unik dengan yang telah ditetapkan berakhirnya
tanggal untuk digunakan saat mengakses WLAN internal. enkripsi nirkabel Karena
kelemahan keamanan dibuktikan diketahui ada dalam bentuk yang lebih tua dari enkripsi
nirkabel, perusahaan Anda internal WLAN hanya harus menggunakan Wi-Fi Protected
Access 2 (WPA2) enkripsi.
4. Mengenkripsi data perusahaan yang sensitif
Enkripsi harus digunakan untuk melindungi data bahwa perusahaan Anda
mempertimbangkan sensitif, selain pertemuan persyaratan peraturan yang berlaku informasi
pengamanan. Skema enkripsi yang berbeda sesuai dalam keadaan yang berbeda. Namun,
aplikasi yang sesuai dengan standar OpenPGP, seperti PGP dan GnuPG, menyediakan
berbagai macam pilihan untuk mengamankan data pada disk serta transit. Jika Anda memilih
untuk menawarkan aman transaksi melalui website perusahaan Anda, konsultasikan dengan
penyedia layanan Anda tentang pilihan yang tersedia untuk SSL sertifikat untuk situs Anda.
5. Secara teratur memperbarui semua aplikasi
Semua sistem dan perangkat lunak, termasuk peralatan jaringan, harus diperbarui secara tepat
waktu sebagai patch dan upgrade firmware menjadi tersedia. Gunakan layanan update
otomatis bila memungkinkan, terutama untuk keamanan sistem seperti aplikasi anti-malware,
alat web filtering dan sistem pencegahan intrusi.
6. Atur web yang aman aturan penjelajahan
Jaringan internal perusahaan Anda hanya harus dapat mengakses layanan tersebut dan sumber
daya di Internet yang penting untuk bisnis dan kebutuhan karyawan Anda. Gunakan browsing
yang aman fitur disertakan dengan yang modern web software browsing dan web proxy
untuk memastikan bahwa situs berbahaya atau tidak sah tidak dapat diakses dari Anda
jaringan internal.
7. Jika akses remote diaktifkan, pastikan sudah aman
Jika perusahaan Anda perlu menyediakan akses remote ke jaringan internal perusahaan Anda
melalui Internet, salah satu yang populer dan pilihan aman adalah dengan menggunakan
aman Virtual Private Network (VPN) sistem disertai dengan kuat dua faktor otentikasi, baik
menggunakan perangkat keras atau token perangkat lunak. membantu link:
• Microsoft Password Kekuatan Checker:
https://www.microsoft.com/security/pc-security/password-checker.aspx
• Philip Zimmerman, Dimana Mendapatkan PGP:
http://philzimmermann.com/EN/findpgp/
• US-CERT Security Publikasi:
http://www.us-cert.gov/reading_room/
• NIST Khusus Publikasi 800-153, Pedoman Draft untuk Mengamankan Wireless Local Area
Networks (WLAN):
http://csrc.nist.gov/publications/drafts/800-153/Draft-SP800-153.pdf
WS-1
Website security lebih penting daripada sebelumnya.Server web, yang host data dan konten
lain yang tersedia untuk pelanggan Anda di Internet, seringkali yang paling sasaran dan
menyerang komponen jaringan perusahaan. Penjahat cyber terus mencari benar situs aman
untuk menyerang, sementara banyak pelanggan mengatakan keamanan situs adalah
pertimbangan utama ketika mereka memilih untuk berbelanja online. Akibatnya, sangat
penting untuk mengamankan server dan infrastruktur jaringan yang mendukung mereka. Itu
Konsekuensi dari pelanggaran keamanan yang besar: hilangnya pendapatan, kerusakan
kredibilitas, tanggung jawab hukum dan hilangnya kepercayaan pelanggan.
Berikut ini adalah contoh ancaman keamanan khusus untuk server web:
• penjahat Cyber dapat mengeksploitasi bug perangkat lunak dalam server web, yang
mendasari sistem operasi, atau aktif konten untuk mendapatkan akses tidak sah ke server
web. Contoh akses yang tidak sah termasuk mendapatkan akses ke file atau folder yang tidak
dimaksudkan untuk menjadi dapat diakses publik dan mampu untuk menjalankan perintah
dan / atau menginstal perangkat lunak berbahaya pada server web.
• Denial-of-service serangan dapat diarahkan pada server web atau jaringan infrastruktur
pendukung untuk
mencegah atau menghalangi pengguna website Anda dari memanfaatkan layanan.
• Informasi sensitif pada server web dapat dibaca atau dimodifikasi tanpa otorisasi.
• Informasi sensitif pada database backend yang digunakan untuk mendukung elemen
interaktif dari web aplikasi dapat dikompromikan melalui suntikan perintah perangkat lunak
yang tidak sah. Contoh termasuk Structured Query Language (SQL) injection, Lightweight
Directory Access Protocol (LDAP)
injeksi dan cross-site scripting (XSS).
• informasi terenkripsi Sensitif ditransmisikan antara web server dan browser dapat disadap.
• Informasi tentang server web dapat diubah untuk tujuan jahat. Perusakan situs adalah
sering dilaporkan contoh ancaman ini.
• penjahat Cyber dapat mendapatkan akses tidak sah ke sumber daya lain dalam jaringan
organisasi melalui sukses serangan pada server web.
• penjahat cyber juga dapat menyerang entitas eksternal setelah mengorbankan server web.
Serangan ini dapat diluncurkan langsung (misalnya, dari server dikompromikan terhadap
server eksternal) maupun tidak langsung (misalnya, menempatkan konten berbahaya pada
server web dikompromikan yang mencoba untuk mengeksploitasi kerentanan dalam web
browser pengguna mengunjungi situs).
• Server dapat digunakan sebagai titik distribusi untuk alat serangan, pornografi atau
perangkat lunak disalin secara ilegal.
Cyber Rencana Aksi Item:
1. Hati-hati merencanakan dan menangani aspek keamanan dari penyebaran web server
publik. Karena itu jauh lebih sulit untuk menangani keamanan setelah penyebaran dan
implementasi telah terjadi, keamanan harus dipertimbangkan dari tahap perencanaan awal.
Bisnis lebih cenderung untuk membuat keputusan tentang mengkonfigurasi komputer tepat
dan konsisten ketika mereka mengembangkan dan menggunakan rinci, yang dirancang
dengan baik rencana penyebaran. Mengembangkan rencana tersebut akan mendukung
administrator web server dalam membuat tradeoff yang tak terelakkan keputusan antara
kegunaan, kinerja dan risiko. Bisnis juga perlu mempertimbangkan kebutuhan sumber daya
manusia untuk penyebaran dan operasi lanjutan server web dan infrastruktur pendukung.
Poin-poin berikut dalam rencana penyebaran:
• Jenis personil yang dibutuhkan - misalnya, sistem dan web server administrator, webmaster,
jaringan administrator dan sistem informasi petugas keamanan.
• Keterampilan dan pelatihan yang dibutuhkan oleh personil yang ditugaskan.
• Individual (yaitu, tingkat usaha yang dibutuhkan jenis personil tertentu) dan staf kolektif
(yaitu, secara keseluruhan tingkat usaha) persyaratan Keamanan Website
2. Menerapkan praktek manajemen keamanan dan kontrol saat yang tepatmemelihara dan
mengoperasikan server web yang aman. Praktek manajemen yang tepat sangat penting untuk
operasi dan pemeliharaan server web yang aman. Keamanan praktek meliputi identifikasi aset
sistem informasi perusahaan dan pengembangan, dokumentasi dan pelaksanaan kebijakan,
dan pedoman untuk membantu memastikan kerahasiaan, integritas dan ketersediaan sumber
daya sistem informasi. Praktek-praktek dan kontrol berikut ini dianjurkan:
• Kebijakan keamanan sistem informasi lebar bisnis.
• Server konfigurasi dan kontrol dan manajemen perubahan.
• Penilaian risiko dan manajemen.
• konfigurasi software Standar yang memenuhi kebijakan sistem keamanan informasi.
• Kesadaran Keamanan dan pelatihan.
• perencanaan kontingensi, kelangsungan operasional dan perencanaan pemulihan bencana.
• Sertifikasi dan akreditasi.
3. Pastikan bahwa sistem operasi server web memenuhi organisasi Anda persyaratan
keamanan. Langkah pertama dalam mengamankan server web adalah mengamankan sistem
operasi yang mendasarinya. Paling umum tersedia web server beroperasi pada sistem operasi
tujuan umum. Banyak masalah keamanan dapat dihindari jika operasi sistem yang mendasari
server web yang dikonfigurasi dengan tepat. Hardware standar dan konfigurasi perangkat
lunak yang biasanya ditetapkan oleh produsen untuk menekankan fitur, fungsi dan
pemudahan penggunaan dengan mengorbankan keamanan. Karena produsen tidak menyadari
kebutuhan keamanan masing-masing organisasi, setiap administrator server web harus
mengkonfigurasi server baru untuk mencerminkan bisnis 'persyaratan keamanan mereka dan
mengkonfigurasi ulang sebagai persyaratan berubah. Menggunakan panduan konfigurasi
keamanan atau daftar dapat membantu administrator dalam mengamankan sistem secara
konsisten dan efisien. Awalnya mengamankan sistem operasi awalnya umumnya mencakup
langkah-langkah berikut:
• Patch dan upgrade sistem operasi.
• Ubah semua password default
• Hapus atau menonaktifkan layanan yang tidak perlu dan aplikasi.
• Konfigurasi operasi sistem otentikasi pengguna.
• kontrol Konfigurasi sumber daya.
• Menginstal dan mengkonfigurasi kontrol keamanan tambahan.
• Melakukan pengujian keamanan dari sistem operasi.
4. Pastikan aplikasi web server yang memenuhi keamanan organisasi Anda
persyaratan. Dalam banyak hal, instalasi yang aman dan konfigurasi aplikasi web server yang
akan mencerminkan operasi Proses sistem dibahas di atas. Prinsip keseluruhan adalah untuk
menginstal jumlah minimal layanan web server diperlukan dan menghilangkan kerentanan
diketahui melalui patch atau upgrade. Jika program instalasi menginstal aplikasi yang tidak
perlu, layanan atau script, mereka harus segera dihapus setelah proses instalasi
menyimpulkan. Mengamankan aplikasi web server yang umumnya mencakup langkahlangkah berikut:
• Patch dan upgrade aplikasi server web.
• Hapus atau menonaktifkan yang tidak perlu layanan, aplikasi, dan konten sampel.
• server web Konfigurasi otentikasi pengguna dan akses kontrol.
• Konfigurasi web kontrol sumber daya server.
• Uji keamanan aplikasi web server dan konten web.
5. Pastikan bahwa hanya konten yang sesuai dipublikasikan di website Anda.
Website perusahaan sering salah satu tempat pertama penjahat cyber mencari informasi yang
berharga. Masih banyak bisnis kekurangan proses penerbitan web atau kebijakan yang
menentukan apa jenis informasi untuk mempublikasikan secara terbuka, apa Informasi untuk
mempublikasikan dengan akses terbatas dan informasi apa yang tidak boleh dipublikasikan
ke publik setiap repositori diakses. Beberapa contoh yang berlaku umum dari apa yang tidak
boleh dipublikasikan atau setidaknya harus hati-hati diperiksa dan ditinjau sebelum
diterbitkan pada situs publik meliputi:
• Baris atau informasi bisnis milik.
• Informasi sensitif yang berkaitan dengan Anda keamanan bisnis.
• Rekam medis.
• Sebuah bisnis 'rinci perlindungan keamanan fisik dan informasi.
Rincian tentang infrastruktur bisnis 'jaringan dan sistem informasi • - misalnya, rentang
alamat, konvensi penamaan dan nomor akses.
• Informasi yang menentukan atau menyiratkan kerentanan keamanan fisik.
• Rencana Rinci, peta, diagram, foto udara dan gambar arsitektur bangunan bisnis,
sifat atau instalasi.
• Setiap informasi sensitif tentang individu yang mungkin dikenakan federal, negara bagian
atau, dalam beberapa kasus, undang-undang privasi internasional.
6. Pastikan langkah yang tepat diambil untuk melindungi konten web dari akses yang tidak
sah atau modifikasi. Meskipun informasi yang tersedia di situs publik dimaksudkan untuk
menjadi publik (dengan asumsi proses review yang kredibel dan pengguna
Network Device Security Measures
Physical Security
Four classes of physical threats are:
•
Hardware threats - physical damage to servers, routers, switches, cabling plant, and
workstations.
•
Environmental threats - temperature extremes (too hot or too cold) or humidity
extremes (too wet or too dry)
•
Electrical threats - voltage spikes, insufficient supply voltage (brownouts),
unconditioned power (noise), and total power loss
•
Maintenance threats - poor handling of key electrical components (electrostatic
discharge), lack of critical spare parts, poor cabling, and poor labeling
Network
Device
Types of Security Vulnerabilities
•
Technological weaknesses
•
Configuration weaknesses
•
Security policy weaknesses
Security
Measures
