Case study Wilderness Trailhead Inc.

Wilderness Trailhead Inc. (WTI) adalah suatu retailer yang menawarkan produk-produk untuk hiking, pendakian gunung, dan peralatan-peralatan survival yang dijual dalam web sitenya. Perusahaan tersebut menargetkan konsumennya kepada para penggila kegiatan-kegiatan outdoor dan menawarkan produk-produk peralatan yang berkualitas yang sangat baik dengan harga yang kompetitif. Wilderness Trailhead, Inc. ini telah berkecimpung dalam e business ini selama 8 tahun. Sejak saat itu bisnis perusahaan itu telah berkembang dengan cepatnya dan menghasilkan profit sejak tahun pertama  beroperasinya bisnis mereka di web. WTI menawarkan sekitar 1200 jenis peralatan yang berbeda untuk dijual dan telah mencapai 1000 pengunjung di web site nya setiap hari. Karena perusahaan ini menawarkan produk yang khusus dengan  qualitas yang sangat baik, maka rata-rata jumlah transaksinya jauh lebih besar daripada toko-toko penjual peralatan outdoor lainnya. WTI mencatatkan sekitar 200 penjualan setiap harinya dalam situs mereka, dengan rata-rata nilai transaksinya sekitar $372.

WTI menjual produknya sebagian besar melalui web site nya (Perusahaan juga mempunyai toko retail outletnya untuk produk-produk yang tidak continue, dimana tokonya terletak di bellingham, Washington) kepada konsumennya di Amerika Serikat dan Kanada. Pengiriman dari barang yang di order oleh WTI datang dari dua gudangnya yang terletak di Vancouver, British Colombia dan gudang yang kedua berada di Shoreline, Washington. Perusahaan WTI ini menerima empat kartu kredit utama dan memproses transaksi yang menggunakan kartu kredit - kartu kredit tersebut. Perusahaan itu mencatat-catat data dari semua transaksi itu dalam satu database server yang juga berbagi ruangan kecil dengan komputer Web Server di kantor pusat WTI yang terletak di kawasan industri kecil di luar Bellingham. IT manager dari WTI, Harry Bogdosian, menjadi sangat menaruh perhatian yang sangat besar terhadap keamanan dari Web perusahaan dan server database perusahaan yang dipengaruhi dari pertumbuhan perusahaan WildernessTrailhead Inc. itu.

1.  4 Ancaman specific ke keamanan server database WIT adalah:
     - Resiko internal : ancaman dapat terjadi dari dalam perusahaan itu sendiri, dimana
       informasi, data, ataupun
     - Rahasia perusahaan kadang diketahui oleh staf internal ataupun rekanan, hal ini kadang
       sulit untuk dikontrol.
     - Pencurian Identitas: "Cracker" sering mendapatkan akses ke informasi yang sensitif
       seperti rekening pengguna, rincian pengguna, alamat, dll.
     - Virus : mulai dari worm, trojan yang bisa mencuri informasi sampai melumpuhkan suatu
       sistem.
     -  ncaman fisik : suatu kecelakaan yang terjadi di kantor WTI dimana servernya
       berada.            

Penanganan terhadap ancaman yang dapat  mengurangi ancaman bahkan menghilangkannya?

    * Authentication :
      dimana untuk mengidentifikasi siapa saja user yang dapat mengakses data yang ada dan
      untuk mencegah unauthorized user dimana dapat mengaplikasikan password untuk
      mengkonfirmasi data user.
    * anti virus dan firewall
    * Edukasi terhadap user.
      User harus diedukasi sebelumnya,bagaimana melakukan praktek yang aman dalam  hal 
      e - commerce dengan sendirinya akan meminimalisir  dari ancaman.

2. Kebijakan keamanan yang dapat dibuat untuk operasi yang dilakukan oleh server database WTI adalah:
                                        WTI Security Policy

1.0 Purpose
The purpose of this policy is to establish standards for the base configuration of internal server equipment that is owned and/or operated by Wilderness Trailhead Inc.. Effective implementation of this policy will minimize unauthorized access to Wilderness Trailhead Inc. proprietary information and technology.

            

2.0 Scope
This policy applies to server equipment owned and/or operated by Wilderness Trailhead Inc., and to servers registered under any Wilderness Trailhead Inc.-owned internal network domain.

This policy is specifically for equipment on the internal Wilderness Trailhead Inc. network. For secure configuration of equipment external to Wilderness Trailhead Inc. on the DMZ, refer to the Internet DMZ Equipment Policy.
             

3.0 Policy

3.1 Ownership and Responsibilities
All internal servers deployed at Wilderness Trailhead Inc. must be owned by an operational group that is responsible for system administration. Approved server configuration guides must be established and maintained by each operational group, based on business needs and approved by InfoSec. Operational groups should monitor configuration compliance and implement an exception policy tailored to their environment. Each operational group must establish a process for changing the configuration guides, which includes review and approval by InfoSec.

•    Servers must be registered within the corporate enterprise management system. At a    minimum, the following  information is required to positively identify the point of contact:
               o    Server contact(s) and location, and a backup contact
               o    Hardware and Operating System/Version
               o    Main functions and applications, if applicable
•    Information in the corporate enterprise management system must be kept up-to-date.
•  Configuration changes for production servers must follow the appropriate change management procedures.

             

 3.2 General Configuration Guidelines
•    Operating System configuration should be in accordance with approved InfoSec guidelines.
•    Services and applications that will not be used must be disabled where practical.
•    Access to services should be logged and/or protected through access-control methods such as TCP Wrappers, if possible.
•    The most recent security patches must be installed on the system as soon as practical, the only exception being when immediate application would interfere with business requirements.
•    Trust relationships between systems are a security risk, and their use should be avoided. Do not use a trust relationship when some other method of communication will do.
•    Always use standard security principles of least required access to perform a function.
•    Do not use root when a non-privileged account will do.
•    If a methodology for secure channel connection is available  (i.e., technically feasible), privileged access must be performed over secure channels, (e.g., encrypted network connections using SSH or IPSec).
•    Servers should be physically located in an access-controlled environment.
•    Servers are specifically prohibited from operating from uncontrolled cubicle areas.

3.3 Monitoring

•    All security-related events on critical or sensitive systems must be logged and audit trails saved as follows:
        o    All security related logs will be kept online for a minimum of 1 week.
        o    Daily incremental tape backups will be retained for at least 1 month.
        o    Weekly full tape backups of logs will be retained for at least 1 month.
        o    Monthly full backups will be retained for a minimum of 2 years.
•    Security-related events will be reported to InfoSec, who will review logs and report incidents to IT management.Corrective measures will be prescribed as needed. Security-related events include, but are not limited to:
        o    Port-scan attacks
        o    Evidence of unauthorized access to privileged accounts
        o    Anomalous occurrences that are not related to specific applications on the host.

3.4 Compliance
•    Audits will be performed on a regular basis by authorized organizations within Wilderness Trailhead Inc..
•    Audits will be managed by the internal audit group or InfoSec, in accordance with the Audit Policy. InfoSec will filter findings not related to a specific operational group and then present the findings to the appropriate support staff for remediation or justification.
•    Every effort will be made to prevent audits from causing operational failures or disruptions.

4.0 Enforcement
Any employee found to have violated this policy may be subject to disciplinary action, up to and including termination of employment.
              

5.0 Definitions
Term        Definition
DMZ        De-militariezed Zone. A network segment external to the corporate production network.

Server    For purposes of this policy, a Server is defined as an internal <Company Name> Server. Desktop     machines and Lab equipment are not relevant to the scope of this policy.

              
6.0 Revision History

( disadur dari http://www.sans.org/security-resources/policies/server.php )

3. Fitur-fitur keamanan yang WTI harus minta ke CSP untuk disediakan sebagai bagian dari service co-location web dan database servernya:

- Secured abundant floor space dedicated to the data centers


- Earthquake-resistant structure which can withstand a seismic intensity of 7-class and anti-fire provisions


- Direct connection to a large capacity and high-speed Internet backbone, which can only be provided by a communications carrier


- Adoption of a reliable security system by monitoring 24 hours a day 365 days a year
Adoption of reliable security system, with entry/exit control by monitoring cameras and IC   cards, locking of racks and cages, and monitoring by operators 24 hours a day 365 days a year. Prior confirmation, registration and records have also been implemented for entry/exit [1].

- Advanced management, monitoring and maintenance services which employ years of expertise
Must provides advanced management, monitoring and maintenance of the customer's equipment, by utilizing the expertise of KDDI in the management of outsourcing till now. KDDI promotes the reduction of work load in the operation activities of the customers [1].

- Total support for all the customers' needs

Regards

Christofer Bobby

Research Assistant | Research & Development Division | BINUS BUSINESS SCHOOL

The Joseph Wibowo Center building, Jl. Hang Lekir I No. 6 Senayan, Jakarta 10270

website : http://research.wherebusinessisreal.com/ |  email: cbobby@binus.edu | telp: 021-7202222 ext. 3309 fax: 021-7205555

 
 

Kekurangan dari Hosting e-commerce site yang free atau murah(ekonomis)

Definisi resmi Hosting atau biasa disebut sebagai web hosting adalah layanan penyewaan ruang simpan data (space) yang digunakan untuk menyimpan data - data website agar halaman website tersebut bisa diakses dari mana saja. Data web tersebut meliputi file - file html, php script, cgi script, css, image, database, dan file lain yang dibutuhkan untuk menampilkan halaman web..
Web hosting bisa dibilang adalah semacam space atau ruangan di internet tempat kita menyimpan data website kita sehingga website kita bisa diakses di internet. Untuk mempermudahnya, anggap saja webhosting itu adalah hardisk atau flashdisk atau media penyimpanan lainnya. Namun lokasinya bukan di komputer kita. Beda webhosting dengan hardisk: kalo kita simpan data-data website kita di dalam hardisk komputer kita, maka yang bisa melihat website kita hanyalah kita saja. Sementara jika kita menyimpan data-data website kita pada webhosting, maka website kita bisa dilihat/diakses oleh seluruh pengguna internet di dunia.

Cara memiliki Web Hosting
Sebagaimana domain, web hosting juga ada yang menyediakan secara gratis dan adapula berbayar. Bedanya apa? Kalo yang gratis cenderung memiliki banyak keterbatasan. Baik dari segi kualitas maupun kekuasaan. Misalnya pada webhosting berbayar kita bisa mengontrol akun kita sesuka hati, sementara di webhosting gratisan amat-sangat dibatasi kekuasaan kita. Bahkan bukan tidak mungkin data kita dihapus secara sepihak oleh webhosting. Beda halnya dengan hosting berbayar, mereka tidak boleh seenaknya menghapus data kita, karena kita telah membayar untuk itu.

Nah, salah satu web hosting di indonesia yang ekonomis tersebut adalah idwebhost.com Salah satu clientnya (yg saya tidak bisa saya sebutkan identitasnya), yang mengeluhkan tentang pelayanan dari web hosting tersebut.. setelah dirangkum,mungkin kekurangannya disebutkan sebagai berikut:
setelah melakukan maintenance, updating, beberapa addon/plugin yg ada di website,baru merasakan beberapa kejengkelan diantaranya yg sering muncul.

1. Folder is not writable sehingga saya tidak bisa melakukan upload gambar atau file.

2. Setiap melakukan update plugin selalu dimintai untuk memasukkan FTP user ama password

3. Begitu pula ketika melakukaan "Deletion" folder dari admin website lagi-lagi harus memasukkan user FTP dan password.

4. Control Panel domain yg diberikan sangat payah. Ingin lihat EPP code kita harus email dulu, kemudian untuk melakukan privacy protect email lagi. sangat merepotkan.

5. Responsive uptime juga tergolong sangat lama.

6. Karena sring kali "folder is not writable" maka system cache pada website sering tidak berfungsi, akibatnya tidak bisa berhemat bandwidth.

7. Pernah suatu kali server di idwebhost juga tidak bisa membuat folder secara otomatis, akibatnya gambar pada website pernah blank. Akibatnya  harus membuat folder secara manual baru gambar pada website bisa muncul dan bisa upload gambar lagi.

8. Terkadang tiba - tiba domain saya berstatus Pending Renewal tanpa ada konfirmasi sebelumnya, padahal di Control Panelnya tercatat domain saya msih aktif.
Padahal dengan Konfigurasi yang sama yg saya lakukan pada website di Hosting yang berbayar, Kejadian seperti diatas tidak pernah terjadi sama sekali , semua lancarrr

dan macam-macam lagi lah bayak keluhan yang dilontarkan oleh client-client tersebut. Blog ini memberitahukan kekurangan-kekurangannya bukan maksud untuk menjelek-jelekkan web hostingnya, cuma memang ingin share aja. Web ini juga banyak sekali kelebihannya kok, disamping gratis.. mungkin reviewnya akan saya masukkan dalam blog berikutnya ya.. :)

Yah,, seumua pasti ada kelemahan dan kelebihannya ya baik yang berbayar atau yang gratis. Semua tinggal keputusan dari usernya mau makai yang mana tergantung dari kebutuhannya..

Kind Regards,

Christofer Bobby

Research Assistant | Research & Development Division | BINUS BUSINESS SCHOOL The Joseph Wibowo Center building, Jl. Hang Lekir I No. 6 Senayan, Jakarta 10270 website : http://research.wherebusinessisreal.com/ |  email: cbobby@binus.edu | telp: 021-7202222 ext. 3309 fax: 021-7205555

Types of Business 2 Business Sites in Indonesia

Pemanfaatan teknologi internet saat ini semakin luas di berbagai aspek kegiatan terutama sekali di dunia bisnis. Hal ini memberikan dampak yang signifikan terhadap kemajuan aktifitas bisnis global di berbagai negara. Penggunaan teknologi internet adalah cara yang inovatif dalam melakukan kegiatan perusahaan dalam suatu pasar maya yang disebut sebagai electronic business dan commerce (e-business dan e-commerce). Dengan memanfaatkan teknologi internet perusahaan dapat melakukan berbagai kegiatan bisnis secara elektronik seperti; transaksi bisnis, operasi fungsi-fungsi perusahaan, berbagi informasi dengan konsumen dan suplier untuk mempertahankan hubungan sebelum, selama dan setelah proses pembelian. Aktifitas bisnis secara elektronik ini (e-business/e-commerce) telah memberikan beberapa kemudahan baik bagi penjual maupun bagi pembeli. Bagi pihak penjual, e-commerce akan membantu untuk memperluas daerah pemasaran produk yang akan dijualnya, sedangkan bagi pembeli, akan mempermudah mendapatkan dan
membandingkan informasi tentang produk yang akan dibelinya.

Dalam kesempatan kali ini akan dijelaskan berbagai macan situs B2B yang dibagi beberapa jenis, antara lain :
1. Private store on seller site        

Adalah suatu perusahaan dimana perusahaan tersebut menghasilkan produk yang berasal dari perusahaan itu sendiri, situs tentang bisnis hanya ada satu penjual dengan banyak pembeli. Disitus ini kita bisa belanja online, tetapi kita harus login terlebih dahulu jadi member (password-protected).Selain transaksi kita bisa langsung berkomunikasi untuk menanyakan
tentang produk ,dari kualitas sampai dengan pemesanan.contoh perusahaan yang dimaksud :
http://www.jaketbola.com/

2. Customer portal

Adalah suatu perusahaan yang menjual berbagai merk atau produk dengan meneyertakan katalog dari produk itu sendiri, sehingga para customer dapat langsung melihat produk yang diinginkan. Suatu jenis website yang menjadi perantara atau distributor resmi dengan sistem konsinyasi suatu produk yang mana konsumen dapat memesan produknya melalui website tersebut,

Contoh:
www.bursa-game.com/

3.Independent industry marketplace
Adalah website untuk sarana penjual dan pembeli bertemu dan bertransaksi.Harga barang yang dijual terkadang berubah, karena ada beberapa penawaran oleh sipembeli. Dalam perusahaan ini bisa terjadi tawar menawar antara penjual dengan pembeli atau lelang.
Contoh:

http://www.tokobagus.com/

4. Consortia-sponsored markedplace
website Marketplace membentuk beberapa pembeli besar di industri tertentu,

http://housebuyernetwork.com/

5. Private company marketpalce

Adalah suatu perusahaan dimanan perusahaan tersebut menghasilkan produk buatan sendiri, dan perusahaan jenis seperti ini memiliki banyak cabang dengan menjualproduk yang sama.
Disini website ini penjual yang menawarkan produknya kepada satu pembeli saja, dan mengikuti harga dari pembeli.
Contoh:

http://www.boeing.com/

AFF - Second Leg Final, Indonesia vs Malaysia