oleh
Agus Pracoyo
 e-Commerce
tidak hanya mengubah cara suatu barang dijual, tetapi juga
bagaimana barang tersebut dikirim. Salah satu ciri e-commerce
yang membuat logistik tradisional harus diubah adalah kebutuhan
akan pengiriman lebih sulit diprediksi dan tidak stabil, karena
bermacamnya tipe pelanggan yang berasal dari daerah yang tersebar.
Untuk menyiasatinya, kolaborasi dengan pihak lain menjadi
kata kunci dalam menurunkan biaya pengiriman, tetapi dengan
tetap menjaga kualitas pelayanan kepada pelanggan. Cara ini
yang juga digunakan Silicon Graphics, Inc (SGI) untuk meningkatkan
performansinya dengan menyerahkan urusan logistiknya pada
DHL, sementara SGI memokuskan diri pada bisnis intinya. Alhasil
SGI dapat menekan waktu engineering sebesar 10% dan investasi
inventorinya sebesar 30%. Tetapi, kolaborasi merupakan pisau
bermata dua, dimana sisi lainnya mengharuskan perusahaan untuk
berbagi (share) informasi dengan pihak lain.
Divide et Impera
Tentunya hanya informasi yang dibutuhkan pelangan saja yang
diberikan, setelah sebelumnya melewati proses ekstraksi dari
database, pengolahan dan penyaringan oleh aplikasi back-office.
Satu strategi yang dapat digunakan perusahaan untuk memproteksi
informasi dalam berkolaborasi adalah strategi divide et impera,
strategi yang digunakan penjajah Belanda untuk memecah belah
bangsa Indonesia.
Inti strategi ini adalah pelajari alur informasi, identifikasi
komponennya, pecah dan kuasai. Dalam alur informasi e-commerce,
secara garis besar dapat dipecah menjadi beberapa komponen,
yaitu pelanggan/mitra kerja, jalur komunikasi/ internet ,
aplikasi front-end, aplikasi back-office dan database, seperti
terlihat pada diagram berikut.
Pelanggan/Mitra Kerja
Salah satu permasalahan utama pada komponen ini adalah verifikasi
identitas pelanggan/mitra kerja. Menurut survei yang dilakukan
oleh Experian, pencurian identitas mengambil porsi 43% dari
keseluruhan kejahatan on-line. Autentikasi dengan mengandalkan
User name dan Password dirasakan tidak cukup bagi beberapa
perusahaan, sehingga mereka perlu menambahkan autentikasi
tambahan seperti yang dilakukan oleh BCA dengan keyBCA-nya.
Tetapi, cara ini hanya dapat diterapkan untuk model B2C (business
to customer) dan agak susah diterapkan pada model B2B (business
to business), karena pada B2B antar perusahaan sifatnya setara.
Karenanya, akan sulit meminta suatu perusahaan untuk mengikuti
cara yang ditetapkan oleh perusahaan lain.
Pilihan autentikasi lain dalam B2B adalah dengan menerapkan
teknologi Public Key Infrastructure dan masing-masing public
key perusahaan terdaftar dan disahkan oleh badan Certification
Authority (dapat dianalogikan sebagai notaris dalam transaksi
dunia nyata) yang dipercaya oleh keduanya.
Internet
Internet adalah media yang tidak dapat dikontrol, dalam arti
suatu perusahaan tidak dapat mencegah orang untuk menangkap
informasi yang dikirim. Satu cara untuk mengeliminir hal itu
adalah dengan melakukan enkripsi untuk informasi yang sensitif,
sehingga walaupun orang dapat menangkap informasi yang dikirim
tetapi tidak dapat (mudah) dibaca.
Hal yang perlu diperhatikan dalam enkripsi ini adalah metode
yang digunakan untuk melakukan enkripsi harus sama antara
kedua belah pihak. Selain itu, beberapa negara mempunyai aturan
khusus dalam masalah panjang kunci (key) yang diperbolehkan
dalam melakukan enkripsi. Karena itu, sedapat mungkin sistem
enkripsi yang diterapkan menggunakan protokol standar, seperti
IPSec dan fleksibel dalam menerima ukuran key yang berbeda.
Media Internet juga rawan terhadap Denial of Service Attack
(DOS), suatu serangan yang bertujuan agar sistem layanan perusahaan
tidak tersedia untuk orang yang sebenarnya ingin menggunakan.
Salah satu cara yang biasa dilakukan para hackers adalah dengan
membuat jalur ke Internet menjadi penuh oleh paket-paket yang
tidak berguna. Dua tindakan yang dapat dilakukan untuk mengurangi
serangan ini, pertama monitor sedini mungkin serangan DOS.
Kedua, bekerjasama dengan Internet Service Provider (ISP)
untuk memblok paket DOS tersebut sebelum membebani jaringan.
Front-End/Web
Aplikasi front-end, seperti aplikasi web, merupakan layanan
yang diperuntukkan bagi pelanggan/mitra kerja untuk mendapatkan
informasi yang dibutuhkannya. Namun tidak bisa dihindari,
bahwa web server ini juga dapat diakses oleh orang lain selain
pelanggan, karena umumnya proses autentikasi dilakukan setelah
pelanggan akses ke web server. Oleh karena itu, web server
merupakan basis pertahanan pertama yang harus dijaga.
Proteksi yang perlu dilakukan terhadap web server adalah pertama,
membatasi akses ke web server hanya untuk layanan yang disediakan;
hal ini dapat dilaksanakan dengan menggunakan Firewall. Kedua,
melakukan pengamanan terhadap web server itu sendiri; umumnya
vendor mempunyai tips dalam melakukan pengamanan produknya
dan menyediakan security patch (modul untuk peningkatan keamanan)
guna mengatasi persoalan/isu keaman tertentu.
Selain itu, langkah ketiga yang perlu dikerjakan adalah monitoring
terhadap serangan (intrusion) dengan menerapkan sistem deteksi
serangan (intrusion detection system/IDS). IDS akan sangat
membantu untuk mempercepat identifikasi ganguan keamanan.
Aplikasi Back-Office
Aplikasi back-office merupakan cerminan proses bisnis suatu
perusahaan. Untuk itu, web server perlu dipisahkan dari aplikasi
back-office dan akses kontrol perlu diimplementasikan di antaranya.
Tujuannya untuk mempersulit hackers akses langsung ke aplikasi
back office seandainya web server dapat dipenetrasi. Disamping
itu, langkah-langkah pengamanan seperti yang diterapkan pada
web server perlu juga dilakukan terhadap aplikasi back-office.
Database
Komponen ini umumnya menempati urutan pertama dalam daftar
risiko aset informasi. Ironisnya, berdasarkan pengalaman penulis,
banyak perusahaan hanya memokuskan pada proteksi server webnya
saja. Mereka merasa aman kalau tampilan webnya tidak dapat
diubah hackers. Hacker yang bertujuan untuk mengubah tampilan
web biasanya hacker dengan motif mencari popularitas, sedang
hacker dengan motif finansial, akan menghilangkan jejaknya
sehingga tidak mudah dideteksi.
Dengan strategi divide et impera ini, hacker akan lebih sulit
menembus pertahanan database, karena mereka harus melewati
beberapa lapisan di atasnya. Melalui penerapan strategi ini,
berarti pula perlunya pengawasan ekstra dari perusahaan, terutama
pada lapisan-lapisan yang lebih dalam. Dengan begitu, secara
konsisten dan komprehensif semua lapisan akan menjadi ‘tameng’
bagi penjagaan keamanan database perusahaan, yang tidak mudah
ditembus.•
Agus Pracoyo
• channel manager / security consultant
pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com
|
