Secara sadar atau tidak sadar kita mungkin melakukan suatu kesalahan yang mungkin bisa membahayakan sekuriti kita. Berikut adalah contoh kesalahan yang sering terjadi di sekitar kita. Pada dasarnya, ini merupakan kesalahan yang sangat sederhana dan mendasar dan sudah saatnya bagi kita untuk tidak melakukannya lagi.
Mengirim Data Penting Lewat E-Mail yang Tidak Dienkripsi
Jangan lagi mengirim password, PIN, dan data account lewat e-mail yang tidak dienkripsi. Banyak orang yang tidak tahu pentingnya atau malas menggunakan enkripsi. Meskipun Anda ingin memberikan apa yang mereka inginkan, yaitu data penting (yang tidak dikirim lewat e-mail yang dienkripsi), bukan berarti Anda tidak bisa memberikan komunikasi yang aman pada waktu mengirim data tersebut.
Menggunakan Pertanyaan "Sekuriti" yang Mudah Ditebak
Nomor jaminan sosial, nama gadis ibu kandung, nama hewan peliharaan, dan tanggal lahir bukan merupakan cara yang aman dalam memverifikasi identitas. Jika untuk mendapat password user harus menjawab pertanyaan seperti itu sebagai cara untuk me-reset ulang password, maka pada dasarnya itu berarti bahwa password itu sendiri tidak bisa mencegah orang lain, yang bisa saja dengan sedikit usaha, bisa langsung mendapatkan akses yang diinginkan.
Memberlakukan Restriksi Password yang Terlalu Kaku
Beberapa sistem online yang memperbolehkan Anda mengatur keuangan Anda -seperti situs internet banking-memberlakukan restriksi password yang malah membuat sistemnya kurang aman. Kita tidak diperbolehkan menggunakan password lebih dari 6 karakter, tidak boleh berisi huruf atau karakter khusus (!*&^%$^%#). Bisa dimengerti mengapa situs-situs tersebut melakukan hal itu. bisa saja pembuat situs tidak tahu bagaimana menulis kode untuk menangani password yang terdiri dari karakter alpanumerik. Ini bukan berarti kita membenarkan hal tersebut, tapi hanya coba memahami mengapa itu bisa terjadi. Meskipun begitu, password yang hanya terdiri dari 6 karakter numeric tentu sedikit menghawatirkan jika dibandingkan dengan password yang terdiri dari karakter alphabet dan numeric.
Menyerahkan Sekuriti ke Vendor
Banyak professional TI dan manajer yang mempunyai wewenang pembelian barang, memilih satu merk tertentu. Malah, sulit rasanya untuk menemukan orang tidak melakukan itu-dan bahkan jika Anda adalah seseorang yang mencoba untuk tidak memilihsatu produk tertentu, sulit untuk lepas dari kebiasaan itu.
Jika Anda mempunyai pengalaman yang baik dengan suatu vendor maka kemungkinan di masa mendatang Anda juga akan mempunyai pengalaman yang baik dengan vendor tersebut. Ini merupakan cara yang alami dalam berhubungan dengan orang. Percaya kepada mereka yang telah Anda percaya. Namun, di sini kita berhubungan dengan perusahaan, bukan orang.
Kadang kita menganggap vendor sebagai suatu individu, seseorang yang bisa diajak untuk menjalin suatu hubungan, dimana perilaku tindakan masa lalu dapat digunakan sebagai indikator untuk menunjukkan perilaku di masa depan. Sayangnya, masalahnya bukan sekedar itu.
Perubahan kepemimpinan perusahaan seiring dengan datang dan perginya direktur utama dan dewan direksi, restrukturisasi perusahaan dan kondisi financial perusahaan bisa menyebabkan kebijakan perusahaan berubah. Anda tidak bisa mempercayai suatu vendor sama dengan Anda mempercayai seseorang. Meskipun ini berlaku untuk hal-hal seperti kualitas hardware, tapi paling relevan dan penting ketika berhubungan dengan hal-hal seperti sekuriti.
Tidak ada satu vendor pun yang bisa Anda percaya 100%. Pada akhirnya, satu-satunya perlindungan sekuriti yang dipedulikan oleh para vendor adalah bagaimana melindungi profit dan pangsa pasarnya. Ini memang bisa mendorong vendor untuk meningkatkan sekuriti produk dan service-nya, tapi kadang menuju ke arah yang sebaliknya. Anda harus menanyakan apakah definisi "sekuriti yang bagus" itu menurut vendor tersebut, dan jangan biarkan vendor mendikte apa yang penting buat Anda.
Menganggap Remeh Keahlian Sekuriti
Orang-orang yang berperan sebagai pengambil keputusan pada suatu perusahaan sering kali tidak mengerti perlunya keahlian sekuriti tertentu. Ini tidak hanya berlaku untuk manajer nonteknik, tapi juga manajer TI. Faktanya adalah standar WEP misalnya, memiliki banyak teknologi cerdas, tidak hanya cryptographer, meskipun standar skuriti tersebut dikembangkan dengan menggunakan algoritma cryptographic.
Menganggap Remeh Pentingnya Review
Bahkan mereka yang ahli pun butuh seorang ahli lainnya (dengan keahlian yang sama tentunya) untuk mengecek pekerjaan yang sedang dilakukannya. Dalam komunitas sekuriti peninjauan seperti ini merupakan sesuatu hal yang harus dilakukan untuk mendapatkan kepastian keamanan, dan tidak ada yang bisa dianggap aman tanpa melalui pengetesan oleh ahli sekuriti dari luar lingkungan yang mengembangkan sekuriti tersebut.
Berlebihan dalam Menanggapi Pentingnya Kerahasiaan
Banyak pengembang software sekuriti yang melakukan kesalahan dengan menganggap remeh pentingnya review dan terlalu berlebihan dalam menanggapi pentingnya kerahasiaan. Mereka menolak melakukan review dengan alasan bahwa mereka perlu menjaga policy sekuriti supaya tetap rahasia. Seperti yang disebutkan pada prinsip Kerckoffs -salah satu hal paling mendasar dalam penelitian sekuriti-bahwa setiap sistem yang sekuritinya mengandalkan desain yang dijaga tetap rahasia bukanlah sistem dengan sekuriti yang tinggi.
Identitas yang Mudah Dipalsukan
Kita semua mungkin pernah mengirim kartu ID melalui fax atau mem-fotokopi atau scan. Sebenarnya untuk hal-hal seperti tanda tangan dan kartu ID, satu-satunya cara supaya copy-an bisa digunakan untuk verifikasi adalah copy-an tersebut haruslah cukup baik sehingga tidak dikenali sebagai copy-an. Atau dengan kata lain, hanya pemalsuan dari yang asli sajalah yang merupakan copy-an yang bagus. Dan tentu jauh lebih mudah untuk memalsukan kartu ID yang kualitasnya rendah dibandingkan dengan yag berkualitas tinggi.
Membuat yang Tidak Perlu
Seringkali pengembang software sekuriti baru membuat kembali sesuatu yang sudah ada tanpa mempunyai alasan yang kuat kenapa itu dilakukan. Banyak vendor software yang mengalami "Not Invented Here" dan menghasilkan software baru yang sebenarnya tidak melakukan hal yang baru atau diperlukan. Ini mungkin bukanlah hal yang besar, tapi masalahnya software baru tersebut seringkali tidak direview, sehingga bisa saja adalah kesalahan sekuriti dan mengacaukan segalanya.
Setiap membuat software baru, tentukan apakah Anda hendak menggantikan yang sudah ada dan apakah pengganti yang Anda buat melakukan suatu hal yang berbeda dan penting. Jika software Anda melakukan hal yang berbeda dan penting, tentukan apakah Anda bisa cukup menambahkannya saja ke software eksisting sehingga Anda tidak akan membuat satu paket masalah baru dengan mencoba menggantikan software tersebut.
Melonggarkan Sekuriti karena Perasaan
Ini merupakan kesalahan yang tidak masuk akal yang sulit untuk dijelaskan. Namun, ini juga sering terjadi sehingga perlu untuk disebutkan. Orang mau menyerahkan kunci ke wilayah sekuriti pribadi ke semua orang yang datang dan berkata, "Percayalah, saya orang yang ahli." Dan itu dilakukan secara sadar dan sukarela, dan seringkali tanpa pertimbangan. "Certificate Authorities" menyebutkan siapa-siapa yang bisadipercaya, sehingga bisa Anda jadikan pegangan dalam melakukan penilaian tentang kepercayaan; penyedia jasa webmail menawarkan enkripsi dan deskripsi on-server, sehingga Anda bisa melakukan enkripsi end-to-end dan mengontrol key enkripsi Anda sendiri; operating system menentukan apa yang perlu dijalankan tanpa izin Anda, sehingga Anda bisa melindungi diri sendiri dari kode berbahaya.
Jangan serahkan pengaturan sekuriti Anda ke pihak ketiga. Memang, Anda mungkin tidak bisa membuat program atau policy sekuriti yang bagus sendiri, tapi itu bukan berarti program atau policy tidak memberikan kita kontrol dalam mengatur sekuriti kita sendiri.
****
Di ambil dari Majalah PC MEDIA
0 comments:
Post a Comment