eprocurement security - PowerPoint PPT Presentation

Loading...

PPT – eprocurement security PowerPoint presentation | free to view - id: 74e4c-ZDc1Z



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

eprocurement security

Description:

Teknologi Informasi sudah merupakan bagian dari kehidupan kita ... Perhatikan lebih baik: skimmer. 2005. 8. e-procurement security. Kejahatan ATM. Menyadap PIN dengan ... – PowerPoint PPT presentation

Number of Views:112
Avg rating:3.0/5.0
Slides: 19
Provided by: BudiRa
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: eprocurement security


1
e-procurement security
  • Budi Rahardjo
  • budi_at_indocisc.com
  • http//budi.insan.co.id
  • Dipresentasikan pada seminar Sosialisasi Keppres
    No. 61/2004 tentang Pengadaan Barang dan Jasa
    Pemerintah secara elektronik dan aplikasi
    perpajakannya, yang diselenggarakan oleh Lembaga
    Pendidikan dan Pelatihan Perpajakan, Properti dan
    Administrasi Bisnis Artha Bhakti, Sahid Jaya
    Hotel, Jakarta, 20 April 2005.

2
Latar Belakang
  • Teknologi Informasi sudah merupakan bagian dari
    kehidupan kita
  • Aplikasi transaksi yang berbasis teknologi
    informasi mulai marak
  • e-commerce
  • e-learning
  • e-government
  • e-procurement

3
e-procurement
  • Keppres No. 61/2004 tentang Pengadaan Barang dan
    Jasa Pemerintah secara elektronik
  • Bagus untuk kepastian hukum
  • Contoh di Indonesia
  • Garuda Indonesia
  • Indonesia Power

4
E-procurement
  • Manfaat
  • Layanan lebih cepat
  • Transparansi
  • Aplikasi yang salah dari IT
  • Sistem tidak dapat digunakan secara efektif dan
    efisien
  • Bahkan dapat menimbulkan masalah baru
  • Memberikan false sense of security

5
Aspek Keamanan
  • Confidentiality
  • Integrity
  • Availability
  • Non-repudiation
  • Authentication
  • Standar pengamanan
  • Evaluasi secara berkala

6
Confidentiality
  • Menyangkut kerahasiaan data
  • Data pelanggan, transaksi, penawaran, data
    sensitif lainnya
  • Serangan
  • Penyadapan data (dengan sniffer, keylogger)
  • Tidak digunakannya enkripsi, atau penggunaan
    algoritma yang terlalu mudah dipecahkan
  • Tidak digunakannya proteksi seperti firewall
  • Social engineering
  • Kebijakan yang tidak jelas
  • Penggunaan portable devices, PDA, USB flash disk

7
Contoh Kejahatan ATM
  • Mesin ATM biasa?
  • Perhatikan lebih baik skimmer

8
Kejahatan ATM
Menyadap PIN denganwireless camera
9
Integrity
  • Informasi tidak boleh berubah (tampered, altered,
    modified) kecuali oleh orang yang berwenang,
    sesuai dengan prosedur yang berlaku
  • Serangan
  • Pemalsuan, pengubahan data oleh orang yang tidak
    berhak
  • Virus, trojan horse
  • Man-in-the-middle attack
  • Pengamanan
  • Penggunaan message authentication code (MAC),
    hash function
  • Digital signature
  • Logging, audit trail

10
Availability
  • Informasi harus dapat tersedia ketika dibutuhkan
  • Serangan terhadap server
  • dibuat hang, down, crash, lambat, Denial of
    Service (DoS) attack
  • Biaya jika server web (transaction) down di
    Indonesia
  • Menghidupkan kembali Rp 25 juta
  • Kerugian (tangible) yang ditimbulkan Rp 300 juta
  • Proteksi
  • backup, redundancy, Disaster Recovery Center
    (DRC), Business Continuity Planning (BCP)

11
Non-Repudiation
  • Tidak dapat menyangkal (telah melakukan
    transaksi)
  • menggunakan digital signature / certificates
  • perlu pengaturan masalah hukum (bahwa digital
    signature sama seperti tanda tangan konvensional)
  • Serangan
  • Menyangkal telah melakukan transaksi
  • Menghilangkan log/trail

12
Authentication
  • Meyakinkan keaslian data, sumber data, orang yang
    mengakses data, server yang digunakan
  • Bagaimana mengenali pengguna transaksi
    elektronik? Lack of physical contact
  • Menggunakan
  • what you have (identity card)
  • what you know (password, PIN)
  • what you are (biometric identity)
  • Serangan identitas palsu, password palsu,
    terminal palsu, situs web gadungan
  • Proteksi digital certificates

13
On the Internet,nobody knows youre dog
14
Standar Pengamanan
  • Standar
  • ISO 17799/BS 7799
  • Best practice
  • Masalah
  • Standar terlalu tinggi dan malah menyulitkan
  • Ada banyak standar

15
Evaluasi Berkala
  • Sistem berubah
  • Sistem bertambah kompleks
  • Pola bisnis berubah
  • Apa yang sebelumnya dianggap telah aman bisa
    berubah

16
Masalah Pengamanan
  • Tidak adanya visi komitment top management
  • Menyulitkan implementasi
  • Tidak ada investasi
  • Sumber kesalahan
  • Desain (security as an after thought)
  • Implementasi (ketidak-mengertian security dari
    developer)
  • Konfigurasi
  • Operasional (sistem terlalu kompleks)

17
Management Security
  • Pencegahanmeminimalkan potensi (probabilitas)
    terjadinya masalah yang ditimbulkan oleh keamanan
  • Security audit
  • meminimalkan dampak yang terjadi jika masalah
    tersebut terjadi
  • Business impact analysis

18
Penutup
  • Masih banyak hal teknis yang harus dibahas
  • Penerapan e-procurement masih pada tahap awal.
    Masih membutuhkan waktu untuk menjadi mature.
  • Berhati-hati dalam penerapannya
  • Ada opportunity, tidak dapat dihindari
About PowerShow.com