Scribd Logo
Unggah

Selamat datang di Scribd!

  • E Procurement Security

    Diunggah oleh

    Dhafin Keanu Akhdan
    9 tayangan18 halaman
    Sistem keamanan aplikasi pengadaan barang dan jasa

    Judul Asli

    e Procurement Security

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PPT, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Sistem keamanan aplikasi pengadaan barang dan jasa

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PPT, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    9 tayangan18 halaman

    E Procurement Security

    Diunggah oleh

    Dhafin Keanu Akhdan
    Sistem keamanan aplikasi pengadaan barang dan jasa

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PPT, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 18

    e-procurement security

    Budi Rahardjo budi@indocisc.com http://budi.insan.co.id


    Dipresentasikan pada seminar Sosialisasi Keppres No. 61/2004 tentang Pengadaan Barang dan Jasa Pemerintah secara elektronik dan aplikasi perpajakannya, yang diselenggarakan oleh Lembaga Pendidikan dan Pelatihan Perpajakan, Properti dan Administrasi Bisnis Artha Bhakti, Sahid Jaya Hotel, Jakarta, 20 April 2005.

    Latar Belakang

    Teknologi Informasi sudah merupakan bagian dari kehidupan kita Aplikasi transaksi yang berbasis teknologi informasi mulai marak
    e-commerce e-learning e-government e-procurement

    2005

    e-procurement security

    e-procurement

    Keppres No. 61/2004 tentang Pengadaan Barang dan Jasa Pemerintah secara elektronik

    Bagus untuk kepastian hukum

    Contoh di Indonesia
    Garuda Indonesia Indonesia Power

    2005

    e-procurement security

    E-procurement

    Manfaat
    Layanan lebih cepat Transparansi

    Aplikasi yang salah dari IT


    Sistem tidak dapat digunakan secara efektif dan efisien Bahkan dapat menimbulkan masalah baru Memberikan false sense of security

    2005

    e-procurement security

    Aspek Keamanan

    Confidentiality Integrity Availability Non-repudiation Authentication Standar pengamanan Evaluasi secara berkala
    e-procurement security 5

    2005

    Confidentiality

    Menyangkut kerahasiaan data

    Data pelanggan, transaksi, penawaran, data sensitif lainnya


    Penyadapan data (dengan sniffer, keylogger) Tidak digunakannya enkripsi, atau penggunaan algoritma yang terlalu mudah dipecahkan Tidak digunakannya proteksi seperti firewall Social engineering Kebijakan yang tidak jelas Penggunaan portable devices, PDA, USB flash disk
    e-procurement security 6

    Serangan

    2005

    Contoh Kejahatan ATM

    Mesin ATM biasa?

    Perhatikan lebih baik: skimmer

    2005

    e-procurement security

    Kejahatan ATM

    Menyadap PIN dengan wireless camera

    2005

    e-procurement security

    Integrity

    Informasi tidak boleh berubah (tampered, altered, modified) kecuali oleh orang yang berwenang, sesuai dengan prosedur yang berlaku Serangan

    Pemalsuan, pengubahan data oleh orang yang tidak berhak Virus, trojan horse Man-in-the-middle attack Penggunaan message authentication code (MAC), hash function Digital signature Logging, audit trail
    e-procurement security 9

    Pengamanan

    2005

    Availability

    Informasi harus dapat tersedia ketika dibutuhkan Serangan terhadap server:

    dibuat hang, down, crash, lambat, Denial of Service (DoS) attack Menghidupkan kembali: Rp 25 juta Kerugian (tangible) yang ditimbulkan: Rp 300 juta

    Biaya jika server web (transaction) down di Indonesia


    Proteksi:

    backup, redundancy, Disaster Recovery Center (DRC), Business Continuity Planning (BCP)

    2005

    e-procurement security

    10

    Non-Repudiation

    Tidak dapat menyangkal (telah melakukan transaksi)


    menggunakan digital signature / certificates perlu pengaturan masalah hukum (bahwa digital signature sama seperti tanda tangan konvensional)

    Serangan
    Menyangkal telah melakukan transaksi Menghilangkan log/trail

    2005

    e-procurement security

    11

    Authentication

    Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan

    Bagaimana mengenali pengguna transaksi elektronik? Lack of physical contact Menggunakan:


    1.
    2. 3.

    what you have (identity card) what you know (password, PIN) what you are (biometric identity)


    2005

    Serangan: identitas palsu, password palsu, terminal palsu, situs web gadungan Proteksi: digital certificates
    e-procurement security 12

    On the Internet, nobody knows youre dog

    2005

    e-procurement security

    13

    Standar Pengamanan

    Standar
    ISO 17799/BS 7799 Best practice

    Masalah
    Standar terlalu tinggi dan malah menyulitkan Ada banyak standar

    2005

    e-procurement security

    14

    Evaluasi Berkala

    Sistem berubah
    Sistem bertambah kompleks Pola bisnis berubah

    Apa yang sebelumnya dianggap telah aman bisa berubah

    2005

    e-procurement security

    15

    Masalah Pengamanan

    Tidak adanya visi & komitment top management


    Menyulitkan implementasi Tidak ada investasi

    Sumber kesalahan
    Desain (security as an after thought) Implementasi (ketidak-mengertian security dari developer) Konfigurasi Operasional (sistem terlalu kompleks)

    2005

    e-procurement security

    16

    Management Security

    Pencegahan meminimalkan potensi (probabilitas) terjadinya masalah yang ditimbulkan oleh keamanan

    Security audit

    meminimalkan dampak yang terjadi jika masalah tersebut terjadi

    Business impact analysis

    2005

    e-procurement security

    17

    Penutup

    Masih banyak hal teknis yang harus dibahas Penerapan e-procurement masih pada tahap awal. Masih membutuhkan waktu untuk menjadi mature.

    Berhati-hati dalam penerapannya

    Ada opportunity, tidak dapat dihindari

    2005

    e-procurement security

    18

    Anda mungkin juga menyukai