Wah sudah lama beberapa bulan ini tidak menulis di blogku. Beberapa minggu yang lalu ada beberapa vendor yang presentasi produk Core Banking System. Ketika saya mengikuti beberapa presentasi dari mereka, saya kaget juga jika sekarang beberapa aplikasi core sudah meninggalkan desktop application tapi sudah beralih ke web based application, maklum saya gagap teknologi.
Ada bagusnya jika menggunakan web application dikarenakan pihak client tidak perlu melakukan install application di komputer atau laptop mereka tapi tinggal memanggil url aplikasi tersebut. Banyak sekali manfaat aplikasi yang berbasiskan web dan anda dapat mencari di mbah Google. Akan tetapi jika aplikasi bersifat kritikal atau terkait dengan transaksi, ada beberapa hal-hal yang harus diperhatikan antara lain:
- Aplikasi harus menggunakan secure protocol seperti penggunaan "Https". Usahakan untuk penggunaan url bersifat unik dan alangkah baiknya bukan memanggil alamat IP tapi ke alamat seperti domain jaringan internal. Sebagai contoh "https://corebankingxyz"
- End user tidak boleh menggunakan fasilitas remember password pada browser.
- Satu akun hanya dapat diakses oleh satu browser atau dengan kata lain tidak boleh menggunakan multiple browser dengan waktu yang bersamaan. Misal jika sekarang saya lagi login di browser xyz maka saya coba juga di browser abc maka tidak bisa login secara bersamaan. Begitu juga dengan IP address-nya loh, atau dengan kata lain satu akun hanya bisa diakses oleh single browser dan single ip dalam waktu yang bersamaan. Best practice untuk desktop application juga seperti itu loh.
- URL application tidak boleh bersifat IP Publik yang dapat diakses oleh IP diluar jaringan internal perusahaan / organisasi. Jika ingin mengakses dari jaringan luar, harus menggunakan VPN yang terdaftar dan melewati firewall terlebih dahulu.
- Perusahaan harus menetapkan segmentasi jaringan komunikasi.
- Harus ada firewall yang berfungsi untuk IDS dan IPS.
- Jika menggunakan web services seperti apache, tomcat, iis, dll maka harus aware apabila ada update patch. Hal ini juga tidak hanya untuk web services loh kawan tapi juga patch di sistem operasi, dll.
- Hal yang menurut penting bagi saya adalah terus dilakukan security test yang dilakukan oleh pihak internal maupun eksternal, hal ini untuk mengetahui seberapa secure aplikasi dan infrastruktur yang digunakan.
- Poin terakhir adalah sering dilakukan sosialisasi tentang keamanan informasi dan prosedur terkait aplikasi tersebut.
Sekian tulisan saya ini dan mungkin masih jauh dari kesempurnaan.
