Penanganan celah keamanan website

PANDUAN PENANGANAN CELAH KEAMANAN WEBSITE DI LINGKUNGAN ITB

Dalam rangka peningkatan keamanan web di lingkungan ITB, berikut kami sampaikan panduan penguatan dan pencegahan yang wajib dilakukan oleh Unit Kerja dan Unit Kegiatan Mahasiswa pemilik aplikasi berbasis web di ITB:

1. Pembaruan Sistem

Unit Kerja dan Unit Kegiatan mahasiswa wajib memastikan sistem operasi, server web, basis data, dan perangkat lunak lain diperbarui secara teratur dengan memasang pembaruan keamanan terbaru. Hal ini dilakukan untuk mengurangi risiko eksploitasi kerentanan yang diketahui oleh penyerang.

Direktorat SPSI akan mengeluarkan persyaratan minimum untuk “aplikasi berbasis web” yang boleh operasional di ITB. Persyaratan ini dapat diakses melalui  https://spsi.itb.ac.id/panduan/syarat-minimum-web-app.

Bagi website Unit Kerja dan Unit Kegiatan Mahasiswa yang menggunakan WordPress, disarankan menggunakan layanan Multisite dengan pertimbangan:

    • Pengelola website di Unit Kerja dan Unit Kegiatan Mahasiswa tidak lagi direpotkan oleh persoalan infrastruktur dan aplikasi website.
    • Unit Kerja dan Unit Kegiatan Mahasiswa hanya tinggal mengisi informasi ke website, pengelola web Unit Kerja dan Unit Kegiatan Mahasiswa didorong untuk selalu memutakhirkan isi website dan mengintegrasikan posting yang ada di website-nya ke media sosial.
    • Kemudahan pengelolaan themes, karena themes dikelola terpusat. Unit Kerja dan Unit Kegiatan Mahasiswa masih diberi kebebasan untuk mengelola warna, font type, layout, dan gambar utama.
    • Unit Kerja dan Unit Kegiatan Mahasiswa tidak perlu mengelola web server sendiri karena pengelolaannya dilakukan oleh Direktorat SPSI. Hal ini juga akan efektif dari sisi security karena tidak perlu memonitor banyak web server.

2. Pengaturan Keamanan

Unit Kerja dan Unit Kegiatan Mahasiswa wajib menerapkan kebijakan keamanan untuk server web dan sistem dengan cara:

    • Melakukan konfigurasi server terkait security
    • Melakukan pengaturan keamanan dengan mematikan fitur yang tidak diperlukan dan melakukan scanning file hasil dari fitur upload file

3. Kontrol Akses

Unit Kerja dan Unit Kegiatan Mahasiswa wajib melakukan manajemen hak akses pengguna dengan:

    • Memberikan izin akses yang sesuai (secukupnya) ke setiap pengguna.
    • Menonaktifkan user yang sudah tidak berhak mengakses sistem secara berkala.

4. Pemantauan Keamanan

Unit Kerja dan Unit Kegiatan Mahasiswa wajib melakukan pemantauan keamanan dengan cara:

    • Melakukan pemantauan keamanan untuk mengawasi situs web.
    • Meninjau log dan melakukan deteksi aktivitas yang mencurigakan secara berkala.

5. Perlindungan Password

Unit Kerja dan Unit Kegiatan Mahasiswa wajib menerapkan kebijakan penggunaan password yang kuat dengan cara:

    • Memastikan pengguna menggunakan password yang kompleks dan tidak mudah ditebak.
    • Jika password terdeteksi sudah bocor, pengguna wajib melakukan perubahan password.
    • Mewajibkan pengguna untuk merubah password secara berkala.
    • Menerapkan Two Factor Authentication.

6. Backup dan Restore Rutin

Unit Kerja dan Unit Kegiatan Mahasiswa wajib melakukan backup dan restore rutin dengan cara:

    • Melakukan backup rutin untuk situs web dan database.
    • Melakukan simulasi restore berkala untuk memastikan file backup dapat digunakan.
    • Menyimpan file backup di tempat yang aman.

7. Audit Keamanan

Unit Kerja dan Unit Kegiatan Mahasiswa wajib melakukan audit kemanan secara berkala.

    • Mengidentifikasi celah keamanan situs web.
    • Meninjau dan memperbaiki temuan hasil audit untuk meningkatkan keamanan.

8. Pelatihan Keamanan

Unit Kerja dan Unit Kegiatan Mahasiswa wajib mengikuti pelatihan keamanan yang diadakan oleh Direktorat SPSI.

Monitoring

Sebagai tindak lanjut, maka Direktorat SPSI akan :

  1. Mengeluarkan persyaratan minimum untuk “aplikasi berbasis web” yang boleh operasional di ITB.
  2. Melakukan scanning aplikasi secara berkala. Jika berdasarkan scanning terdapat celah keamanan yang terdeteksi, maka hasil scanningnya akan dikirimkan ke penanggung jawab aplikasi. Penanggung jawab aplikasi wajib memperbaiki celah security yang ditemukan.
  3. Mengeluarkan form monitoring untuk “aplikasi berbasis web” yang dapat diakses di https://spsi.itb.ac.id/panduan/monitoring.

Kepatuhan

Kegagalan dalam memenuhi persyaratan minimum dan hasil monitoring aplikasi berbasis web dapat menyebabkan:

  1. Penutupan akses website dari internet dan/atau intranet ITB. Penutupan ini bersifat temporer maksimum 7×24 jam hari kalender. Unit Kerja dan Unit Kegiatan Mahasiswa wajib melakukan perbaikan celah keamanan selama masa penutupan akses.
  2. Jika pada masa penutupan akses, Unit Kerja dan Unit Kegiatan Mahasiswa tidak melakukan perbaikan celah keamanan, maka akan dilakukan penutupan domain.