Checklist Keamanan SaaS CTO Ver.3

• Menjelaskan hal-hal keamanan esensial yang harus diperhatikan CTO berdasarkan kategori

→ Tautan terkait untuk dibaca, alat yang direkomendasikan, tip, dan lain-lain

• Karyawan

→ Lakukan pelatihan keamanan

→ Terapkan 2FA

→ Kunci otomatis komputer

→ Cegah berbagi akun

→ Enkripsi komputer/ponsel pribadi - Jamf, Canonical Landscape

→ Checklist onboarding / offboarding

→ Gunakan password manager - dashlane, lastpass, onelogin

→ Buat dan operasikan checklist code review keamanan -

→ Manajemen akun terpusat

→ Alat pencegahan malware & virus - stormshield

→ Rekrut security engineer

• Kode

→ Kelola bug keamanan seperti bug biasa

→ Pisahkan secret dari kode - envkey, vault, secret-manager

→ Jangan membuat cryptography sendiri, gunakan library

→ Terapkan Static Code Analysis Tool

→ Jalankan sesi pengujian yang berfokus pada keamanan

→ Otomatisasi keamanan di seluruh software development life cycle (SDLC)

→ Lakukan onboarding pelatihan keamanan untuk software engineer - safecode, pagerdugy sudo

• Aplikasi

→ Otomatisasi keamanan untuk produk production - snyk, checkov

→ Keamanan FaaS

→ Pelacakan dependency - snyk, dependabot

→ Jalankan dengan akun selain root (unprivileged)

→ Layanan perlindungan real-time (Runtime Application Self Protection, RASP)

→ Sewa tim external penetration testing

• Infrastruktur

→ Lakukan backup, uji restore, lalu backup lagi - tarsnap, quay

→ Uji keamanan dasar website - securityheaders, ssllabs

→ Isolasi asset di level jaringan

→ Pertahankan OS & image Docker tetap terbaru - watchtower , spacewalkproject

→ Pemindaian otomatis keamanan image container - quay, vulerability & image scanning

→ Terapkan TLS ke semua website & API

→ Sentralisasi semua log, arsipkan, dan buat lebih bermakna - loggly, kibana

→ Pantau layanan yang terekspos - checkup

→ Lindungi dari serangan DDOS - fastly, cloudflare, cloudfront

→ Batasi akses layanan internal berdasarkan IP

→ Deteksi pola anomali pada metrik - newrelec , sysdig

• Perusahaan

→ Jujur dan transparan atas semua data yang dikumpulkan

→ Bangun budaya yang akrab dengan keamanan - Security Culture Framework

→ Jangan berbagi jaringan WiFi dengan pengunjung

→ Verifikasi keamanan untuk semua layanan pihak ketiga utama - Google Apps/Slack/WordPress, dll.

→ Pastikan perlindungan untuk nama domain - perpanjangan otomatis dan fitur penguncian lainnya

→ Periksa kebijakan keamanan yang dipublikasikan

→ Gunakan alat untuk memprioritaskan keamanan

→ Bersiap untuk scaling keamanan

→ Buat program Bug Bounty - hackerone, cobalt

→ Buat inventaris aset perusahaan

→ Buat kebijakan keamanan internal

→ Siapkan perlindungan terhadap phishing domain

• Pengguna produk

→ Terapkan kebijakan kata sandi

→ Perkuat perlindungan privasi pengguna: blokir social engineering

→ Anjurkan pengguna memakai 2FA. SSO dan manajemen akun berbasis peran - auth0, okta, WebAuthn

→ Deteksi perilaku anomali pengguna - castle