Sabtu, 11 Desember 2010

Risk Management

Risk Management at Ebay (another point of view)

**rolles.blog.binusian.org



eBay.com merupakan situs/ web penyedia layanan yang menawarkan dan menjual suatu produk/ jasa atau dengan istilah kita adalah merupakan Toko Online (Pasar Online/ Pasar Lelang). Didirikan oleh Pierre Omidyar bermarkas di San Jose, California pada 1998 yang berawal dengan menjual tongkat laser yang rusak seharga $14.83. Ebay menjadi yang terbesar sekarang karena berhasil memanfaatkan momentum sebagai yang pertama untuk mendapatkan user sebanyak-banyaknya. Awalnya itu dilakukan dengan menawarkan service-nya secara gratis. Setelah penggunanya mulai banyak, barulah eBay mulai menarik bayaran untuk listing fee. Saat itu, beberapa kompetitor mulai muncul dan beberapa malah menawarkan listing fee gratis. Untungnya buat eBay, saat itu jumlah user situs web-nya sudah mencapai jumlah yang banyak. Dan pengunjung ebay paling sedikit sekitar 902 juta/tahunnya.



2. Pembahasan Ebay



a. Identifikasi masalah security yang bisa terjadi



a. Phising



Mengingat banyaknya transaksi data dan uang didalam ebay, bisa dipastikan akan menjadi target empuk oknum yang tidak bertanggung jawab untuk melakukan pencurian data dengan menyamarkan website asli ebay dengan tiruan. Dan ketika pengguna/customer memasukkan data mereka untuk login/registrasi, disaat itulah sang pembuat phising ini akan memanen informasi yang berharga tersebut.



b. Scaming



Scaming adalah penipuan yang sudah marak di internet, sang pelaku pada awalnya mencoba memberikan kepercayaan kepada korban, transaksi pertama akan sukses demikian sampai transaksi kedua, dan biasanya pada transaksi ketiga atau pada saat nilai transaksi mencapi jumlah yang besar, sang pelaku biasanya akan kabur. Dan di ebay sendiri hal ini memungkinkan diterapkan saat proses jual dilakukan.



c. Carding



Carding secara sederhana ialah pencurian nomor kartu kredit yang masih berlaku, bisa dengan tehnik phising. Di ebay sendiri, hal ini sangat memungkinkan dilakukan, mengingat transaksi di ebay menggunakan paypal dan paypal sendiri biasanya divalidasi dengan menggunakan kartu kredit/master card.



d. Spaming



Spaming disini bertujuan untuk memenuhi inbox email dari pihak ebay secara terus menerus dalam jumlah yang besar, sehingga pada suatu titik tertentu server email akan mengalami crash/hang dan pada saat itulah bisa dimanfaatkan oleh pelaku entah dengan menggunakan tehnik phising untuk menjerat korban disaat server email utama mati atau memang tujuannya hanya sebatas membuat server email crash.



b. Jelaskan solusi apa yang anda usulkan untuk menjawab permasalahan no.1



a. Phising



Dengan memberitahukan customer diawal registrasi, bahwa pengisian data hanya dilakukan pertama kali ketika melakukan pendaftaran dan apabila customer ingin memperbaharui informasinya, customer harus memastikan bahwa link yang dituju benar dan terdapat tanda secure/https (icon lock pada alamat url website), dengan demikian akan memperkecil peluang terkena phising.



b. Scaming



Dalam kasus ebay, yakni transaksi jual yang terjadi. Salah satu cara yang bisa ditempuh untuk menghindari scam ini ialah dengan melakukan validasi yang cukup ketat, baik itu pembeli/penjual harus divalidasi dengan kartu kredit (karena biasanya data perbankan cukup akurat dan bisa dipercaya sebagai validasi awal) dan dengan validasi pada alamat customer, yakni dengan mengirimkan user/password ke alamat customer melalui kantor pos terkait.



c. Carding



Cara menghindari carding bisa dengan menggunakan jasa keuangan pihak ke-3, misalnya paypal atau google checkout, website tersebut memberikan jaminan keamanan data pengguna, jadi ketika customer hendak melakukan transaksi dikemudian hari mereka tidak perlu lagi memasukkan nomor kartu kredit dan validasinya, mereka cukup login ke website yang dimaksud dan hal kedua yang perlu diperhatikan adalah dengan memperbaharui password customer minimal 1 minggu sekali.



d. Spaming



Melakukan block permanent terhadap email-email atau dns server mail yang terus menerus melakukan spam mail ke server ebay.Menyembunyikan alamat email yang biasa digunakan dengan captcha (berupa image) agar tidak mudah dibaca oleh spaming border.



c. Misalkan anda adalah CIO dari perusahaan tersebut, buatlah sebuah tata kelola (governance) untuk masalah keamanan untuk studi kasus Ebay



IT Security Governance merupakan konstruksi organisasi dan proses tata kelola keamanan TI yang merupakan tanggung jawab dewan direksi dan eksekutif senior . IT Security Governance fokus pada domain pengelolaan outcome, perlindungan aset informasi, pengelolaan benefit keamanan TI dan integrasi proses penanganan keamanan TI.



•Mendokumentasikan pola-pola serangan yang biasa terjadi agar bisa melakukan deteksi dan penanggulangan apabila pola yang sama ditemukan.

•Dengan memanfaatkan dan mempelajari manfaat Cyber Law diberbagai negara untuk menunjang Policy yang dimiliki oleh Ebay

•Perbaikan infrastuktur dengan yang lebih baru apabila infrastuktur yang lama dirasa tidak mendukung lagi dalam operasional dan penangggulangan IT risk yang ada.

•Melakukan evaluasi keamanan dan penanggulangan untuk mengatur strategy baru dimasa yang akan datang.

d. Jika anda diminta untuk mengajukan investasi untuk no.2 dan no.3, berikanlah usulan disertai alas an bahwa dari sisi investasi, usulan dan tata kelola anda tersebut adalah layak



•Menyediakan server backup/imaging/mirror, manakala server utama down karena Ddos mana server backup akan segera menggantikan server utama, sehingga tidak menghambat ttransaksi yang sedang terjadi dan customer tetap merasa nyaman dan akan berefek pada ebay itu sendiri, baik dari performa keuntungan dan loyalitas customer.

•Dari sisi software, secara rutin melakukan update/patch terhadap sistem yang di indikasikan memiliki celah keamanan, hal ini bisa dilakukan dengan berkonsultasi kepada pihak pengembang software yang mereka gunakan, khususnya software keamanan. Hal ini dilakukan sebagai bentuk tanggung jawab pada sisi privacy data customer yang mereka miliki, terlebih data yang bersifat sensitif misalnya no.kartu kredit, no.jaminan sosial/identitas

•Dari sisi people, dengan menggandeng konsultan IT dibidang security yang berpengalaman dalam hal e-comerce, dengan demikian pihak ebay bisa fokus pada bisnis mereka. Akan tetapi pihak ebay sendiripun tetap melakukan pengawasan dan kontrol pada konsultan yang mereka gandeg serta membuat sebuah policy bahwa konsultan tersebut tidak bekerja pada peruahaan e-commerce sejenis

Mengasuransikan hardware tertentu yang merupakan aset utama mereka, misalnya data center. Hal ini dilakukan untuk memindahkan resiko yang mereka miliki pada pihak asuransi, sehingga dapat meredam berbagai ketakutan, ketidakpastian dan keraguan yang merupakan salah satu penyakit didalam IT security.



ref : ebay.com



Tidak ada komentar:

Posting Komentar