-
data privacy framework
- identify. apa yang ingin dilindungi
- govern. Dari organisasi gimana mau ngatur data nya
- control. Pengaturan hak akses, dll
- communicate.
- protect. Teknis gimana ngamanin nya
- detect. Gimana cara mengetahui ketika ada sesuatu terjadi
- respond. Mau ngapain ketika sesuatu terjadi
- recover. Gimana balik lagi setelah sesuatu terjadi
-
people salah satu resiko yang cukup besar dalam hal keamanan informasi
- threat modeling.
- Dalam mengembangkan sesuatu yang baru, dari segi infra, aplikasi dan data, sudah harus memperhatikan sisi keamanan
- risk. S. T. R. I. D. E
- S nya ke skip, wokwowk
- Tampering. Yang tidak berhak bisa mengubah data. Mitm contohnya
- Repudiation. Ketika hacker berhasil masuk ke sistem, dan mereka menghilangkan jejak dengan hapus log
- Information disclosure. Membuka data yang confidential
- Denial of service
- Elevation of privilege. Akses sesuatu yang diluar hak akses dia
- develop standard
- repository ownership file.
- owners of the repo. Jika ada sesuatu, bisa notify owners nya
- developer yang involve. Control access
- services apa aja di dalam repo ini
- static repo security testing
- scanning source code. Untuk cari hard coded secret key, dll
- masuk dalam ci cd. DevSecOps
- library vulnerability checker
- jika ada vuln, repo yang pakai ini di notif
- dynamic app sec testing
- black box
- Manual testing