Pengamanan Dokumen
Setiap pengguna teknologi informasi dan komunikasi perlu memperhatikan praktik baik sebagai berikut
1.     Tidak membiarkan dokumen sensitif terbuka;
2.     Tidak mencetak dokumen sensitif di fasilitas printer/pencetakan terbuka dan diluar jangkauan pengawasan;
3.     Tidak berbagi informasi sensitif;
4.     Tidak melihat informasi sensitif yang bukan kewenangannya;
5.     Tidak menyimpan informasi sensitif diluar fasilitas perkantoran yang ada;
6.     Tidak membuat sharing folder dengan akses “everyone”;
7.     Tidak membuang laporan/informasi tanpa dihancurkan terlebih dahlu;
8.     Tidak memberikan aset informasi kepada pihak lain untuk kepentingan di luar kedinasan;
9.     Tidak memberikan label/kode kerhasiaan pada amplok pembungkus dokumen sensitif.

Pengamanan Perangkat
Setiap pengguna teknologi informasi dan komunikasi perlu memperhatikan praktik baik sebagai berikut
1.     Pengguna Login pada perangkat dengan akun domain resmi Universitas Gadjah Mada;
2.     Memastikan sistem operasi selalu update dengan patch sistem operasi terbaru;
3.     Perangkat pengguna menggunakan antivirus dan signature versi terbaru;
4.     Mengaktifkan fitur lock pada komputer saat ditinggalkan;
5.     Melakukan backup berkala untuk data penting;
6.     Mematikan komputer ketika meninggalkan kantor;
7.     Mewaspadadi terhadap shoulder surfing yaitu metode observasi langsung dengan cara mengintip untuk mendapatkan informasi;
8.     Berhati-hati dalam menyimpan data penting di komputer seperti nomor kartu kredit, tanggal ulang tahun dan tidak mengirimkan data penting tersebut melalui pesan instan/email;
9.     Konfigurasi komputer yang tidak digunakan dalam 15 menit dibuat matu (hibernate/sleep) secara otomatis;
10.  Tidak menggunakan removable media yang tidak diketahui pemiliknya ke perangkat pengguna;
11.  Perangkat pengguna termasuk perangkat pribadi yang digunakan untuk kepentingan kedinasan dan mengakses jaringan Universitas.

Pengamanan Kata Sandi

Ciri-ciri Kata Sandi yang Buruk
Peretas telah membuat database berisi kata, frasa, dan kombinasi angka paling umum yang dapat digunakan untuk menelusuri kata sandi Anda untuk menemukan kecocokan. Berikut ini adalah beberapa tema kata sandi umum yang harus Anda hindari:
a. ulang tahun;
b. Nama;
c. Nama kerabat;
d. Nomor telepon;
e. Tim olahraga;
f. [Informasi perusahaan; Dan
g. Kebingungan sederhana dari kata umum (“P@$$w0rd”).

Apa yang Membuat Kata Sandi Bagus?
Untuk memulai, kata sandi Anda harus terdiri dari setidaknya karakter, dengan setidaknya satu huruf kapital, satu angka, dan satu karakter khusus (“@”, atau “%”, dll.). Sebagai lapisan keamanan tambahan, ubah kata sandi Anda secara rutin untuk memastikan Anda tetap terdepan dari para peretas. Dan, bila memungkinkan, Anda harus menggunakan autentikasi multifaktor, seperti “Verifikasi Dua Langkah” Google untuk menambahkan lapisan keamanan ekstra.

Beberapa praktik baik dalam penggunaan kata sandi sebagai berikut
1.     Gunakan kata sandi dengan kriteria
a.     minimal 8 karakter;
b.     kombinasi antara huruf kapital, huruf kecil dan angka;
2.     Ganti kata sandi secara berkala, maksimal dalam 3 bulan atau ketika kata sandi diketahui orang lain;
3.     Menjaga kerahasiaan kata sandi;
4.     Ubah kata sandi yang diberikan pertama kali setelah membuat akun pertama kali;
5.     Tidak menuliskan atau menyimpan kata sandi dimanapun/atau menyimpan kata sandi dalam komputer pribadi atau perangkat mobile yang digunakan;
6.     Tidak mengaktifkan fitur “remember password” pada browser internet.

Penggunaan Internet dan Intranet

Setiap pengguna teknologi informasi dan komunikasi perlu memperhatikan praktik baik sebagai berikut
1.     Menggunakan fasilitas akses Intranet dan Internet secara bijak sesuai dengan tugas, fungsi, dan wewenang;
2.     Menggunakan fasilitas akses Intranet dan Internet sesuai norma hukum dan etika yang berlaku.

Setiap pengguna intranet dan internet perlu menghindari praktik buruk sebagai berikut
1.     Menyampaikan pendapat yang bermuatan ujaran kebencianterhadap Pancasila, Undang-Undang Dasar Republik IndonesiaTahun 1945, Bhinneka Tunggal Ika, Negara Kesatuan RepublikIndonesia (NKRI), Pemerintah, dan Suku, Agama, Ras, dan Antar Golongan (SARA);
2.     Mengirimkan dan/atau mempublikasikan konten yang berisi perjudian, pornografi, keasusilaan, ancaman, penghinaan, pemerasan, dan/atau pencemaran nama baik orang lain atau digunakan untuk mengemukan pandangan dan pendapat pribadi (positif maupun negatif) terhadap sesama pegawai, pimpinan, mitra, dan pihak lain yang terkait;
3.     Melewati ketentuan pembatasan hak akses internet;
4.     Menyebarkan berita bohong dan menyesatkan yangmengakibatkan kerugian;
5.     Menggunakan perangkat lunak yang dapat mengelabui sistem pengendalian/pembatasan akses Internet;
6.     Melakukan kegiatan yang dapat menimbulkan gangguan terhadap Sistem TIK Unit di Universitas Gadjah Mada antara lain menggunakan tunneling tools, mengakses laman yang berpotensi mengandung virus, mengakses video streaming yang membutuhkan bandwidth besar;
7.     Mengunggah, mengunduh, menjalankan software berlisensi atau Pihak Ketiga manapun untuk keperluan di luar kedinasan;
8.     Mengungkapkan/menyebarkan informasi yang bersifat sensitif (terbatas, rahasia, dan sangat rahasia) ;
9.     Menggunakan HAKI pihak lain tanpa persetujuan melalui fasilitas internet;
10.  Mengakses, mengunggah, mengunduh, dan/atau mempublikasikan situs-situs yang tidak menunjang kedinasan;
11.  Melakukan kegiatan yang dapat merusak/mencoreng nama baik individu maupun Universitas Gadjah Mada melalui fasilitas akses Intranet atau Internet.

Etika Bermedia Sosial
Himbauan penyebarluasan informasi melalui media sosial khususnya terkait keamanan informasi:

1.     Menjaga kerahasiaan yang menyangkut kebijakannegara, memberikan informasi secara benar dan tidakmenyesatkan kepada pihak lain yang memerlukaninformasi terkait kepentingan kedinasan;
2.     Tidak menyalahgunakan informasi intern negara untuk mendapat atau mencari keuntungan atau manfaat bagi diri sendiri atau untuk orang lain;
3.     Memastikan bahwa informasi yang disebarluaskan jelas sumbernya, dapat dipastikan kebenarannya dan tidak mengandung unsur kebohongan;
4.     Melakukan pengaturan privasi (identitas dan unggahan) di berbagai platform media sosial untuk menjaga keamanan informasi;
5.     Membuka media sosial secara berkala untuk memastikan akunmedia sosial tidak disalahgunakan;
6.     Hindari membagi identitas pribadi seperti alamat lengkap, notelepon , email pribadi/kantor, atau tanggal lahir. Jika diperlukanlakukan komunikasi privat dalam saluran terpercaya;
7.     Tidak menggunakan alamat email kantor untuk mendaftar mediasosial kecuali untuk keperluan resmi kantor;
8.     Segera komunikasikan ke tim terkait sambil berupayamengamankan kembali akses ke akun media sosial anda jika kehilangan akses ke akun media sosial.

Penggunaan E-mail
Praktik baik dalam penggunaan email sebagai berikut
 
1.     Menjaga kerahasiaan dan keamanan email miliknya;
2.     Menggunakan email hanya untuk kepentingan kedinasan secara bijak sesuai dengan tugas, fungsi, dan wewenang;
3.     Waspada attachment dan email dari orang asing;
4.     Verifikasi email kepada pengirimnya;
5.     Hapus email spam/junk;
6.     Waspada terhadap virus;
7.     Pastikan identitas individu dan organisasi penerima email sebelum mengirimkan informasi kedinasan;
8.     Gunakan SImpan UGM untuk pengiriman file dengan ukuran besar;
9.     Hubungi PIC TIK masing-masing unit jika ada hal yang mencurigakan, seperti email spam, pishing, dan lainnya.
 
Menghindari praktik buruk dalam penggunaan email sebagai berikut
1.     Mengirim email yang berisi ancaman, penghinaan , pencemaran nama baik;
2.     Menyampaikan pendapat ke pihak lain dengan mengatasnamakan Universitas Gadjah Mada melalui email;
3.     Menggunakan email untuk mailing list, forum diskusi atau sosial media untuk kepentingan pribadi;
4.     Membuka email/attachment dari orang asing yang terindikasi dapat mengancam keamanan informasi;
5.     Mengirim informasi pribadi kepada pihak yang tidak dikenal;
6.     Mengirim informasi kedinasan kepada pihak yang tidak berkepentingan;
7.     Mengirim email berantai atau email hoax;
8.     Mengirim email atas nama pengguna lain.

Penggunaan Wifi
1.     Memperhatikan ketentuan penggunaan intranet dan internet di lingkungan Universitas Gadjah Mada;
2.     Pastikan menggunakan SSID yang di sediakan oleh Universitas Gadjah Mada jika berada di area Universitas Gadjah Mada;
3.     Tidak memancarkan SSID lain dari perangkat Stand alone Wifi, Handphone, hal ini dapat mengurangi kualitas sinyal yangdipancarkan oleh SSID yang di kelola Unit TIK;
4.      Jangan terhubung dengan SSID yang tidak dikenal. Jika dalam keadaaan mendesak, hal-hal yang perlu diperhatikan saat menggunakan free wifi anatara lain:
a.     Tidak mengakses aplikasi sensitif misalnya aplikasi kedinasan atau mobile banking;
b.     Jangan menginput data rahasia (password, pin akun bank, login administrator, dll) pada sembarang situs;
c.     Gunakan layanan keamanan dasar seperti antivirus.

Penggunaan Perangkat Lunak Legal
1.     Gunakan software yang direkomendasikan oleh Unit TIK;
2.     Gunakan software milik Universitas untuk kedinasan;
3.     Pastikan membaca dan memahami End User License Agreement untuk pemasangan software;
4.     Menghubungi PIC TIK untuk instalasi software;
5.     Tidak Menginstal dan menggunakan softwareyang tidak direkomendasikan.

Ancaman

Pikirkan Sebelum Anda Mengklik
Ransomware semakin banyak digunakan oleh peretas untuk memeras uang dari perusahaan. Ransomware adalah jenis perangkat lunak berbahaya yang mengambil alih komputer Anda dan mencegah Anda mengakses file sampai Anda membayar uang tebusan.

Cara paling umum ransomware memasuki jaringan perusahaan adalah melalui email. Seringkali, penipu akan menyertakan tautan atau lampiran berbahaya dalam email yang terlihat tidak berbahaya. Untuk menghindari jebakan ini, harap perhatikan praktik terbaik email berikut:

a. Jangan mengklik link atau lampiran dari pengirim yang tidak Anda kenali. Berhati-hatilah terhadap .zip atau jenis file terkompresi atau yang dapat dieksekusi lainnya.
b. Jangan memberikan informasi pribadi yang sensitif (seperti nama pengguna dan kata sandi) melalui email.
c. Waspadai pengirim email yang menggunakan nama domain mencurigakan atau menyesatkan.
d. Jika Anda tidak dapat mengetahui apakah suatu email sah atau tidak
e. Berhati-hatilah saat membuka lampiran atau mengeklik tautan jika Anda menerima email berisi spanduk peringatan yang menunjukkan bahwa email tersebut berasal dari sumber eksternal.

Jenis serangan phishing yang harus diwaspadai:
Phishing: Dalam jenis serangan ini, peretas menyamar sebagai perusahaan nyata untuk mendapatkan kredensial login Anda. Anda mungkin menerima email yang meminta Anda memverifikasi detail akun Anda dengan tautan yang membawa Anda ke layar masuk palsu yang mengirimkan informasi Anda langsung ke penyerang.

Spear Phishing: Spear phishing adalah serangan phishing yang lebih canggih yang mencakup informasi khusus yang membuat penyerang tampak seperti sumber yang sah. Mereka mungkin menggunakan nama dan nomor telepon Anda serta merujuk ke [NAMA PERUSAHAAN] di email untuk mengelabui Anda agar mengira mereka memiliki koneksi dengan Anda, sehingga membuat Anda lebih cenderung mengeklik tautan atau lampiran yang mereka berikan.

Perburuan Paus: Perburuan Paus adalah taktik populer yang bertujuan membuat Anda mentransfer uang atau mengirimkan informasi sensitif kepada penyerang melalui email dengan menyamar sebagai eksekutif perusahaan sungguhan. Menggunakan domain palsu yang tampak serupa dengan milik kami, email tersebut terlihat seperti email biasa dari pejabat tingkat tinggi perusahaan, biasanya CEO atau CFO, dan menanyakan informasi sensitif kepada Anda (termasuk nama pengguna dan kata sandi).

Phishing Dokumen Bersama: Anda mungkin menerima email yang sepertinya berasal dari situs berbagi file seperti Dropbox atau Google Drive yang memberi tahu Anda bahwa dokumen telah dibagikan kepada Anda. Tautan yang diberikan dalam email ini akan membawa Anda ke halaman login palsu yang meniru halaman login asli dan akan mencuri kredensial akun Anda.

Apa yang Dapat Anda Lakukan
Untuk menghindari skema phishing ini, harap perhatikan praktik terbaik email berikut:
a. Jangan mengklik link atau lampiran dari pengirim yang tidak Anda kenali. Berhati-hatilah terhadap .zip atau jenis file terkompresi atau yang dapat dieksekusi lainnya.
b. Jangan memberikan informasi pribadi yang sensitif (seperti nama pengguna dan kata sandi) melalui email.
c. Waspadai pengirim email yang menggunakan nama domain mencurigakan atau menyesatkan.
d. Periksa URL dengan cermat untuk memastikan URL tersebut sah dan bukan situs palsu.
e. Jangan mencoba membuka dokumen bersama apa pun yang tidak Anda harapkan akan diterima.
f. Jika Anda tidak dapat mengetahui apakah suatu email sah atau tidak, harap berhati-hatilah saat membuka lampiran atau mengeklik tautan jika Anda menerima email berisi spanduk peringatan yang menunjukkan bahwa email tersebut berasal dari sumber eksternal.

Mitigasi Insiden
1.     Mencatat semua rincian penting gangguan dengan segera, seperti jenis pelanggaran, jenis kerusakan, pesan pada layar, atau anomali sistem
2.     Segera melaporkan gangguan ke Service Desk, PIC TIK masing-masing unit, atau Petugas Keamanan Informasi (KI) masing-masing unit
3.     Petugas KI berkoordinasi dengan Gov-CSIRT Indonesia (BSSN) dalam menangani gangguan keamanan informasi
4.     Tidak Membicarakan insiden keamanan dengan siapa pun di luar organisasi maupun di tempat umum
5.     Tidak Menghambat atau mencegah pegawai lain melaporkan insiden keamanan informasi

Social Engineering
1.     Social engineering adalah kegiatan untuk mendapatkan informasi rahasia/pentingdengan cara menipu pemilik informasi tersebut
2.     Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu MANUSIA.
3.     Selalu hindari untuk merespon penawaran atau informasi yang terlalu berlebihan dan menawarkan keuntungan instan debgan memberikan informasi pribadi dan apapun melalui semua channel komunikasi.

Penggunaan aplikasi ilegal di lingkungan Universitas Gadjah Mada, dihimbau kepada seluruh sivitas akademika untuk mematuhi Peraturan Rektor Nomor 58/P/SK/HT/2008 tentang Kebijakan Teknologi Informasi dan Komunikasi. Sesuai dengan pasal 14 peraturan tersebut, setiap individu di universitas ini bertanggung jawab untuk menghormati Hak Atas Kekayaan Intelektual (HAKI) dan lisensi yang berlaku.
 
Penggunaan aplikasi ilegal, tidak berlisensi, atau tidak sesuai dengan penggunaannya berpotensi pada resiko keamanan jaringan dan internet, pencurian data, dan juga pelanggaran hukum dan hak cipta. Kami mengharapkan kerjasama dari semua pihak untuk menggunakan aplikasi yang legal dan berlisensi. Hal ini merupakan bentuk dukungan kita bersama dalam menjaga integritas akademik dan kepatuhan terhadap hukum yang berlaku.

Jika terdapat kebutuhan aplikasi berlisensi yang spesifik untuk produktivitas unit kerja maka unit kerja wajib melakukan pembelian dan pengadaan sesuai dengan aturan yang berlaku. Namun demikian, jika terdapat aplikasi yang dibutuhkan secara luas dan mendukung kinerja perguruan tinggi maka dapat mengusulkan dan melakukan pembelian bersama dengan bersurat pada Direktorat Teknologi Informasi.

Grup Diskusi UGM Secure melalui WAG yang dapat diikuti oleh tim teknologi informasi atau pengamanan informasi melalui https://chat.whatsapp.com/GFy5wR89KlgI5Cpca20mkq , untuk melaporkan insiden keamanan informasi atau potensi yang akan terjadi.