Apa saja aspek web security untuk keamanan website perusahaan?

keamanan website perusahaanWebsite yang memainkan peran penting dalam sebuah pengelolaan informasi bisnis menjadi menarik ketika berbicara mengenai aspek keamanannya.

Untuk sebuah perusahaan atau institusi, ini tidak lagi bicara sekedar informasi satu arah seperti profil, produk dan layanan, kegiatan dan lain sebagainya.

Dapat saya katakan saat ini bahwa website adalah sebuah media dimana terjadinya interaksi dua arah, intensif saling bertukar informasi tidak hanya sebatas internal tapi juga hingga pihak luar perusahaan.

Keamanan website perusahaan erat sekali dengan kredibilitas

Website dengan interaksi dua arah dan saling bertukar informasi boleh saya sebut sebagai sebuah aplikasi yang berbasiskan web, lebih dari sekedar sebuah website biasa atau konvensional.

keamanan website perusahaan untuk kredibilitasContoh sederhana adalah sebuah aplikasi berbasiskan web yang disediakan oleh sebuah perusahaan makanan ringan, dimana para distributornya bisa mendapatkan aneka materi pemasaran melalui sebuah aplikasi web. Sebuah sistem layanan mandiri yang menghemat waktu, tenaga dan SDM.

Dengan demikian aspek keamanan website perusahaan atau institusi menjadi hal yang sudah seharusnya menjadi prioritas.

Sebuah website yang terbuka untuk diakses oleh siapa pun melalui internet wajib memiliki tingkat keamanan yang baik.

Seberapa baik? itu menjadi jawaban yang relatif, tapi setidaknya dengan mengetahui best practice, jika website kita adalah rumah, maka rumah tersebut setidaknya memiliki pagar yang kokoh.

Pada artikel ini, jika saya sebut website maknanya adalah web presence, bisa sebuah website konvensional biasa atau sistem aplikasi yang berbasiskan web.

Informasi yang disediakan tidak hanya sekedar sebuah informasi statis dari sebuah website konvensional, tapi juga kehadiran sebuah web presence dalam bentuk aplikasi berbasis web yang menyediakan informasi yang bersifat dinamis.

Pada artikel ini, saya ingin membagi pengalaman saya sebagai pekerja IT di salah satu perusahaan global, dimana keamanan website perusahaan adalah prioritas nomor satu. Selain itu saya juga banyak membantu klien saya memiliki website perusahaan, sehingga perlu untuk membagi informasi yang berkenaan dengan topik ini.

Kenapa keamanan website itu penting?

keamanan website perusahaanJika ditanya “Apakah penting?” pasti semua orang akan menjawab, “penting”.

Terlepas apakah perusahaan kecil atau besar, skala nasional atau global, penting atau kurang penting data di website, keamanan untuk sebuah website layak jadi perhatian utama.

Berikut beberapa dampak kerugian jika sampai terjadi insiden yang berkenaan dengan adanya celah keamanan website.

  • Dampak keuangan akibat kehilangan, pengrusakan atau pencurian data.
  • Dampak negatif pada citra perusahaan akibat kesan buruk yang ditimbulkan secara langsung atau tidak langsung.
  • Dampak yang berkenaan dengan hukum dan perundangan.

Sebuah dampak bisa memicu timbulnya dampak yang lain, atau bahkan menimbulkan efek domino yang menyebalkan jika tidak cepat ditangani.

Secara garis besar, ada dua sisi yang perlu diperhatikan terkait keamanan untuk sebuah website, yaitu :

  • Eksternal, lebih ke arah infrastruktur.
  • Internal, perhatian ke dalam bangunan website (isi atau coding) itu sendiri.

Ulasan yang akan saya sajikan adalah secara garis besar karena rinciannya akan bersifat terlalu teknis dan sangat panjang, Anda bisa dapatkan banyak informasi terkait melalui Google.

Eksternal

keamanan website perusahaanAspek ini lebih menekankan pada hal di luar isi (content atau presence) dari website itu sendiri. Umumnya aspek ini dilaksanakan oleh pihak penyedia layanan webhosting atau pengelola infrastruktur.

Pengelola infrastruktur bisa pihak ketiga yang menjual layanannya atau bagian dari perusahaan.

Kenapa saya sebut sebagai eksternal? karena tidak langsung berkaitan dengan isi dari website. Bagian ini lebih ke aspek keamanan website perusahaan yang dibangun oleh infrastruktur dari sebuah webhosting.

Apa sajakah itu? berikut adalah referensi bagi Anda.

Patching dan update

Ini adalah hal yang penting. Di belakang layar, ada infrastruktur yang menunjang dan bekerja agar webhosting dapat berjalan dengan baik dan aman.

Aneka server di belakang layar harus senantiasa melaksanakan pembaruan perbaikannya (update dan patching), terutama perbaikan yang berkaitan dengan keamanan server.

Hal ini wajib dikelola dan dijadwal dengan baik oleh penyedia layanan webhosting atau pengelola infrastruktur. Laporan jadwal dan status pembaruan kepada pengguna menjadi nilai tambah tersendiri.

Untuk para pengelola infrastruktur, rajin-rajinlah melakukan update dan patching.

SSL Certificate

Dulu hanya website yang berkaitan dengan transaksi finansial saja yang memanfaatkan SSL, namun saat ini website apa pun sudah selayaknya memanfaatkan ini.

SSL atau Secure Socket Layer adalah mekanisme transmisi data dengan tingkat keamanan yang tinggi. Sedikit merinci, website yang ingin menerapkan SSL membutuhkan SSL Certificate.

Mengingat penerapan SSL dan SSL Certificate sudah bukan sesuatu yang mahal dan sulit saat ini, sehingga sangat penting dan perlu untuk dimiliki oleh sebuah website apalagi website perusahaan.

Sebuah website yang menggunakan SSL ditandai dengan awalan https://. Sebuah aplikasi berbasis web, saran saya lebih baik hanya menggunakan https dan non-aktifkan akses http-nya.

Password yang kuat

Bagian ini sering luput dari perhatian karena kadang terasa seperti menyusahkan hidup.

Namun sebuah mekanisme keamanan website yang baik dari sisi infrastruktur, akan menyarankan dan mendorong penggunanya untuk memiliki password yang kuat.

Sistem infrastruktur webhosting ada yang disetel secara sistematis untuk memenuhi sejumlah kriteria password yang kuat. Anda pun juga dapat melaksanakan sendiri pemenuhan kritera ini.

Berikut adalah contoh kriteria minimal untuk memiliki password yang kuat:

  • Tidak menggunakan 5 password terakhir yang sama.
  • Terdiri dari 18 karakter yang harus memiliki minimal 1 huruf besar, 1 angka dan 1 tanda baca.
  • Tidak menggunakan informasi pribadi yang umum seperti nama dan nomor telepon.
  • Gunakan captcha.

Internal

Internal artinya aspek keamanan dari dalam website itu sendiri.

Tidaklah lengkap jika hanya membahas keamanan website (websecurity) jika sebatas infrastruktur seperti server, operating system, anti virus atau perangkat jaringan komputer.

keamanan website perusahaan - aplikasi yang dibangun dengan memperhatikan rekomendasi OWASPJustru bagian yang krusial adalah isi, materi, content atau web presence dari sebuah website. Terutama jika website tersebut berupa aplikasi berbasis web, bagaimana aplikasi tersebut dibangun.

Di sini pendekatan yang saya ulas adalah pendekatan keamanan website yang direkomendasikan oleh OWASP Foundation.

Sekilas mengenai OWASP Foundation, ini adalah sebuah organisasi nirlaba yang dibentuk di Amerika Serikat yang bertujuan untuk membantu komunitas terbuka OWASP di seluruh dunia. OWASP sendiri artinya adalah Open Web Application Security Project.

OWASP pada dasarnya mengeluarkan sejumlah rekomendasi terkait peningkatan keamanan website, namun saya akan mengupas secara umum dan hanya 10 rekomendasi terpenting (top 10) saja.

Untuk detailnya dapat Anda pelajari di laman pada tautan di atas.

1. Injection, celah kelemahan yang dimanfaatkan oleh penyerang untuk memasukkan data berbahaya, seakan-akan sebagai sebuah perintah normal atau query. Celah ini bisa berada di SQL, OS atau LDAP. Bayangkan jika data berbahaya yang disusupi tersebut membuat interpreter tertipu dan menjalankan perintah yang tidak seharusnya.

2. Broken Authentication and Session Management, sebuah fungsi otentifikasi yang tidak sempurna menjadi celah untuk mendapatkan password atau berpura-pura menjadi pengguna.

3. Cross-Site Scripting (XSS), celah keamanan yang disebabkan oleh aplikasi web yang bisa menerima data palsu dan mengirimkannya ke web browser karena lemahnya fungsi validasi data.

4. Insecure Direct Object References, celah keamanan yang disebabkan (tanpa sengaja) dimana pembangun aplikasi (developer) menunjukkan akses ke objek aplikasi seperti file, folder atau database key.

5. Security Misconfiguration, persinggungan antara infrastruktur dan aplikasi web, cukup jelas, bahwa antara keamanan harus dibangun di kedua sisi, eksternal dan internal. Sebagai tambahan, update software secara teratur adalah kebijakan yang baik sekali.

6. Sensitive Data Exposure, celah keamanan yang disebabkan oleh kelemahan dalam melindungi data sensitif seperti informasi kartu kredit, identitas pajak,  username/password dan lain sebagainya.

7. Missing Function Level Access Control, kelemahan yang disebabkan luputnya kontrol akses saat sebuah fungsi dipanggil.

8. Cross-Site Request Forgery (CSRF), kelemahan yang memanfaatkan browser korban untuk mengirimkan tipuan HTTP request ke aplikasi web.

9. Using Components with Known Vulnerabilities, komponen-komponen pembangun aplikasi web seperti library, framework, modul dan lain sebagainya sering bekerja dengan full priviledges. Bayangkan jika komponen tersebut sampai diketahui dan dimanfaatkan oleh penyerang, kehilangan data atau pengambil-alihan server adalah hal yang sangat mungkin terjadi.

10. Unvalidated Redirects and Forwards, kelemahan yang mengakibatkan korban bisa diarahkan ke website palsu karena disusupinya data palsu, akibat lemahnya fungsi validasi. Paling berbahaya adalah ditembusnya akses oleh pihak yang tidak seharusnya.

Dengan 10 rekomendasi dari OWASP di atas, pada dasarnya sudah cukup untuk membangun keamanan website yang bagus dilihat dari sisi internal website.

Walaupun rekomendasi di atas utamanya untuk keamanan aplikasi berbasis web, tapi sebuah website yang non-aplikasi, menurut saya juga layak memperhatikan rekomendasi tersebut.

Bukan berarti juga, jika saya bagi menjadi 2 sudut pandang, keamanan website dari sisi eksternal (infrastruktur) dan internal (dari dalam website itu sendiri) kemudian masing-masing dianggap berdiri sendiri.

Keduanya wajib dibangun secara bersamaan dan terpadu sebagai sebuah kesatuan.

Dalam beberapa pengalaman saya, persinggungan antara infrastruktur dan rekomendasi OWASP sering terjadi karena dibutuhkan konfigurasi yang benar di sisi server agar rekomendasi tersebut dapat dilaksanakan.

Artinya, keamanan website untuk hasil terbaik adalah kerjasama yang baik antara team teknis infrastruktur dan team pembangun aplikasi atau website.

 

Memilih penyedia layanan webhosting

keamanan website perusahaan dimulai dari penyelenggara webhosting yang bagusSaya juga ingin sedikit membagi pengalaman saya memilih penyedia layanan webhosting terutama yang berkaitan dengan keamanan website.

Saat berbicara dengan klien, umumnya mereka akan menanyakan perihal biaya, biasanya tidak jauh-jauh dari biaya hosting murah dan domain murah.

Oke, keduanya boleh menjadi pertimbangan awal.

Namun karena saya telah mencoba layanan dari beberapa penyedia webhosting yang berbeda, maka selanjutnya kita perlu mengetahui sejauh mana kepedulian penyedia layanan memperhatikan dan menyediakan keamanan infrastrukturnya.

Seperti ulasan saya di atas :

  • Seberapa sering mereka melakukan update dan patching.
  • Apakah mampu menyediakan SSL Certificate? jika ya, bagaimana dengan biayanya?
  • Adakah sistem yang membantu mengarahkan password yang kuat?

Setelah beberapa tahun melihat dan membandingkan, saya melihat setidaknya 3 kriteria di atas dimiliki dan diberikan oleh Dewaweb kepada pelanggannya.

Saat ini saya mengelola dua website blog yaitu Dokumentasi.Biz dan HelioCentre.Com dan keduanya saya putuskan untuk hosting di Dewaweb.

keamanan website perusahaan pilih penyedia layanan yang punya jadwal update dan patching yang teraturDapat saya katakan bahwa ketiga kriteria di atas sudah merupakan layanan yang langsung kita dapatkan saat kita terdaftar sebagai pelanggan.

Satu hal yang paling saya sukai adalah layanan update dan patching terutama yang berkaitan dengan keamanan website, tapi juga aplikasi yang menjadi platform yang kita gunakan.

Secara berkala Dewaweb juga melaksanakan pembaruan (update/patching) dimana informasi tersebut bisa diketahui melalui laman server status atau melalui email kepada pelanggan.

Untuk bonus, diberikannya domain gratis jika Anda melakukan pembayaran untuk 1 tahun. Cukup menarik saya kira.

Silahkan kunjungi dan pelajari apa saja yang ditawarkan oleh Dewaweb yang sesuai dengan kebutuhan Anda.

Sedikit saran dari saya

keamanan website perusahaan dari pengalaman saya bekerja di perusahaan swasta multi nasional dan globalOke, semisal perusahaan Anda memiliki atau berminat untuk memiliki aplikasi yang berbasiskan web. Ini berarti lebih dari sekedar website biasa dan semisal ada pihak luar perusahaan menjadi penggunanya, selain karyawan perusahaan itu sendiri.

Dengan demikian, ini bukanlah sesuatu yang baru, saran dari saya adalah sebagai berikut :

  1. Bangun keamanan aplikasi web tersebut dari sisi internal dan eksternal seperti ulasan saya di atas.
  2. Gunakan skema VPN (Virtual Private Network) sebagai jalur pihak luar untuk dapat menggunakan aplikasi web tersebut.
  3. Infrastruktur yang dipisahkan dalam zona yang berbeda. Semisal untuk web server ada di zona luar (DMZ) dan server database ada di zona lebih dalam dengan tingkat keamanan yang lebih tinggi.

Benar ini akan membutuhkan biaya. Semakin bagus tingkat keamanan, akan membutuhkan biaya yang semakin tinggi.

Jika pada akhirnya biaya yang menjadi salah satu faktor penting, saran saya yang kedua adalah dilakukannya Data Protection Assesment untuk aplikasi web tersebut.

Maknanya adalah mengetahui berapa nilai data / informasi yang terkandung di dalam aplikasi tersebut. Umumnya dalam nilai uang, semisal rupiah, dollar, euro dan lainnya.

Akan saya buatkan artikel tersendiri mengenai Data Protection Assesment ini. Ada baiknya Anda daftarkan alamat email Anda pada bagian kanan dari halaman ini agar bisa mendapatkan informasi terbaru.

Dengan mengetahui seberapa bernilainya data atau informasi di dalam suatu aplikasi, maka akan lebih mudah untuk membuat alokasi dana membangun aspek keamanannya.

Sebagai ilustrasi, mengeluarkan uang untuk peningkatan keamanan website senilai 1 juta rupiah menjadi tidak sepadan jika nilai informasi dari website tersebut hanya senilai 300 ribu rupiah, misalnya.

Demikianlah ulasan saya mengenai topik websecurity atau keamanan website perusahaan, semoga bisa membantu menambah wawasan.

Salam!