International Organization for Standardization
-
Upload
kuraesin-eci -
Category
Documents
-
view
38 -
download
2
description
Transcript of International Organization for Standardization
-
International Organization For Standardization
27001
Mata Kuliah
Manajemen Pusat Data
Disusun Oleh:
Hasbiyarrahman (41813210038)
Destriyani Putri (41813210018)
Fridha Cipta Nur A. (41813210006)
FAKULTAS ILMU KOMPUTER
SISTEM INFORMASI
BEKASI
-
Universitas Mercu Buana | 2
DAFTAR ISI
DAFTAR ISI ........................................................................................................................................... 2
BAB I PENDAHULUAN ........................................................................................................................ 5
BAB II PEMBAHASAN ......................................................................................................................... 6
1. Risk Management ......................................................................................................................... 7
Membuat Metodologi Pengukuran Risiko (Risk Assessment Methodology) ............................... 7
Melakukan Pelaksanaan Penilaian / Pengukuran Risiko (Risk Assessment Implementation) ...... 8
Melakukan Implementasi Penanganan Risiko (Risk Treatment Implementation) ....................... 8
Membuat Laporan Penilaian Risiko ISMS ................................................................................ 9
Membuat Pernyataan Dari Penerapan (Statement Of Applicability) ........................................... 9
Membuat Rencana Penanganan Risiko (Risk Treatment Plan) .................................................. 9
2. Security Policy ........................................................................................................................... 10
a. Clear Desk and Clear Screen Policy ....................................................................................... 10
b. Disposal and Destruction Policy............................................................................................. 10
c. Change Management Policy ................................................................................................... 10
d. Back-up Policy ...................................................................................................................... 10
e. Information Transfer Policy ................................................................................................... 10
f. Secure Development Policy ................................................................................................... 10
g. Supplier Security Policy......................................................................................................... 11
h. Business Continuity Policy .................................................................................................... 11
i. Privacy policy ........................................................................................................................ 11
j. Bring Your Own Device (BYOD) Policy ............................................................................... 11
k. Mobile Device and Teleworking Policy ................................................................................. 11
l. Acceptable Use Policy ........................................................................................................... 11
m. Information Classification Policy ........................................................................................... 11
n. Access Control Policy ............................................................................................................ 11
o. Password Policy..................................................................................................................... 11
p. Policy on the Use of Cryptographic Control ........................................................................... 11
-
Universitas Mercu Buana | 3
3. Organization Of Information Security ......................................................................................... 14
a. Komitmen manajemen untuk kontrol keamanan informasi ..................................................... 14
b. Koordinasi kontrol keamanan informasi ................................................................................. 15
c. Alokasi tanggung jawab kontrol keamanan informasi ............................................................. 15
d. Proses pemberian wewenang pada fasilitas control pengolahan informasi ............................... 15
e. Kontrol perjanjian kerahasiaan ............................................................................................... 15
f. Kontrol kontak dengan pihak berwenang................................................................................ 15
g. Kontrol kontak dengan kelompok-kelompok minat khusus ..................................................... 15
4. Asset Management ..................................................................................................................... 15
a. Inventori ................................................................................................................................ 15
b. Mengklasifikasikan Asset ...................................................................................................... 16
c. Ownership ............................................................................................................................. 16
5. Human Resource (HR) Security .................................................................................................. 16
a. Joiners/Movers ...................................................................................................................... 17
b. Leavers .................................................................................................................................. 17
c. Awareness Traning and Education ......................................................................................... 17
6. Physical And Environmental Security ......................................................................................... 17
- Faktor Lingkungan ................................................................................................................ 18
- Faktor Manusia ...................................................................................................................... 22
7. Communications And Operations Management .......................................................................... 23
Kontrol terhadap personel pengoperasi (Logging) .................................................................. 23
Kontrol terhadap penyimpanan arsip (Archives) ..................................................................... 24
Kontrol terhadap penyusunan (Configuration)........................................................................ 24
Kontrol terhadap cadangan data (Back-up) ............................................................................. 24
8. Access Control ........................................................................................................................... 24
9. Information System Acquisition, Development And Maintanance ............................................... 28
Security requirements of information systems ........................................................................ 28
Correct processing in applications .......................................................................................... 28
Cryptographic controls........................................................................................................... 29
Security in development and support processes ...................................................................... 29
10. Information Security Incident Management ................................................................................ 29
a. Disaster Recovery System ...................................................................................................... 29
-
Universitas Mercu Buana | 4
b. Ketahanan Sistem (Resiliance) ............................................................................................... 31
11. Business Continuity Management ............................................................................................... 31
a. Strategi Pemulihan Teknologi Informasi ................................................................................ 33
b. Data Back-Up ........................................................................................................................ 35
12. Compliance (Penyesuaian) .......................................................................................................... 36
Audit ..................................................................................................................................... 36
Company policies .................................................................................................................. 36
3rd party/client ...................................................................................................................... 36
Laws and regulation in company location............................................................................... 36
REFERENSI..................................................................................................................................... 38
-
Universitas Mercu Buana | 5
BAB I
PENDAHULUAN
Informasi merupakan salah satu asset yang sangat penting. Dengan perkembangan
teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan keamanan informasi
semakin meningkat. Untuk itu suatu lembaga atau institusi harus menerapkan kebijakan yang
tepat untuk melindungi asset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil
untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan Sistem Manajemen
Keamanan Informasi (SMKI).
Dalam melakukan pengelolaan perlu adanya standarisasi yang diterapkan atau
diimplementasikan sebagai panduan yang memberikan arahan dalam menjaga asset penting
seperti informasi. Salah satu standar manajemen keamanan informasi yang dikenal luas secara
global yaitu ISO/IEC 27001 untuk membantu suatu organisasi dalam menganalisa sistem
keamanan informasi. Beberapa hal penting yang dapat dijadikan pertimbangan mengapa
ISO/IEC 27001 dipilih karena :
a. ISO/IEC 27001 sangat fleksibel dikembangkan karena sangat tergantung dari
kebutuhan suatu organisasi, misi organisasi, persyaratan keamanan, proses bisnis dan
jumlah pegawai serta ukuran dari struktur organisasi.
b. ISO/IEC 27001 menyediakan sertifikat implementasi Sistem Manajemen Keamanan
Informasi SMKI yang diakui secara internasional yang disebut Information Security
Management System (ISMS).
ISO/IEC 27001 memiliki beberapa keuntungan yang akan diperoleh organisasi setelah
menerapkannya, diantaranya yaitu meningkatkan efektivitas keamanan informasi, menambah
keyakinan mitra bisnis, stakeholders dan pelanggan, menunjukkan kepatuhan pada peraturan dan
hukum yang berlaku, pemantauan yang independen terhadap manajemen keamanan informasi.
-
Universitas Mercu Buana | 6
BAB II
PEMBAHASAN
ISO/IEC 27001 dapat diterapkan dengan mencapai tier 3 data center. Karena telah
memiliki standar data center yang berkualitas tinggi, handal dan berskala mampu memenuhi
spesifikasi dari sektor keuangan dan perusahaan penyiaran yang diketahui membutuhkan
kemampuan yang cukup tinggi.
-
Universitas Mercu Buana | 7
Secara umum ISO/IEC 27001 memiliki beberapa aspek yang biasa disebut control yang
harus ada dalam setiap organisasi dalam usahanya mengimplementasikan konsep keamanan
informasi. Kontrol tersebut telah dijelaskan dalam dokumen ISO 27001 Annex A. Controls.
Annex A. berisi control sebagai berikut.
1. Risk Management
Risk Management (Manajemen Risiko) sering disebut dengan analisis risiko yang merupakan
bagian paling kompleks dari implementasi ISO 27001. Tetapi, pada penilaian risiko waktu yang
sama (dan penanganan) adalah langkah yang paling penting pada awal proyek keamanan
informasi.
Set fondasi untuk keamanan informasi.
Mengapa penting ?
- Filosofi utama ISO/IEC 27001 adalah untuk mengetahui insiden yang bisa terjadi
(menilai risiko) dan kemudian menemukan cara yang paling tepat untuk
menghindari insiden seperti itu (memperkirakan risiko).
- Anda harus menilai seberapa penting setiap risiko, sehingga Anda dapat fokus pada
yang paling penting.
Meskipun penilaian dan manajemen risiko adalah pekerjaan yang kompleks, 6 langkah
dasar ini dapat menjelaskan apa yang harus Anda lakukan, yakni :
Membuat Metodologi Pengukuran Risiko (Risk Assessment Methodology)
Langkah awal dalam manajemen risiko, Anda perlu mendefinisikan aturan
tentang bagaimana Anda akan melakukan manajemen risiko. Karena Anda ingin
seluruh organisasi Anda untuk melakukannya dengan cara yang sama. Masalah
terbesar dalam penilaian atau pengukuran risiko yang terjadi jika ada organisasi
yang menerapkan manajemen risiko dengan cara berbeda. Oleh karena itu,
Anda perlu menentukan apakah Anda ingin penilaian risiko yang kualitatif atau
kuantitatif serta skala apakah yang Anda gunakan untuk penilaian kualitatif,
tingkat risiko seperti apa saja yang dapat diterima dsb.
-
Universitas Mercu Buana | 8
Melakukan Pelaksanaan Penilaian / Pengukuran Risiko (Risk Assessment
Implementation)
Setelah mengetahui aturannya, Anda dapat mulai mencari tahu masalah apa
sajakah yang bisa terjadi. Anda harus mendaftarkan semua asset yang Anda
miliki termasuk ancaman dan kerentanan yang terkait dengan asset tersebut.
Menilai dampak dan kemungkinan untuk setiap kombinasi asset / ancaman /
kerentanan dan terakhir menghitung tingkat risiko.
Perusahaan biasanya hanya menyadari 30 % dari risiko yang mereka miliki.
Oleh karena itu, Anda harus bisa lebih banyak mengungkapkannya jika akan
melakukan langkah ini. Ketika selesai, Anda akan mulai menghargai usaha yang
telah Anda lakukan.
Melakukan Implementasi Penanganan Risiko (Risk Treatment
Implementation)
Tidak semua risiko yang ada bernilai sama. Anda harus fokus pada yang paling
penting disebut risiko yang tidak dapat diterima. Ada empat yang dapat Anda
pilih untuk mengurangi setiap risiko yang tidak dapat diterima, diantaranya :
a. Terapkan kontrol keamanan dari Lampiran A untuk mengurangi risiko lihat
artikel ini ISO 27001 Anne A. controls
(http://www.iso27001standard.com/blog/2014/02/10/overview-of-iso-
270012013-annex-a/)
b. Transfer risiko kepada pihak lain, seperti perusahaan asuransi, membeli
polis asuransi dsb.
c. Hindari risiko dengan menghentikan kegiatan yang terlalu berisiko atau bisa
melakukan hal tersebut dengan cara yang berbeda.
d. Terima risiko. Misal, biaya untuk mengurangi risiko yang akan lebih tinggi
bahwa kerusakan itu sendiri.
Hal ini merupakan dimana Anda perlu untuk menjadi kreatif. Cara mengurangi
risiko dengan investasi minimum. Ini akan menjadi yang paling mudah jika
anggaran Anda tidak terbatas, tapi itu tidak akan pernah terjadi. Karena dapat
-
Universitas Mercu Buana | 9
dikatakan manajemen Anda benar, adalah mungkin untuk mencapai hasil yang
sama dengan sedikit uang. Anda hanya perlu mencari tahu bagaimana caranya.
Membuat Laporan Penilaian Risiko ISMS
Anda perlu untuk mendokumentasikan segala sesuatu yang telah dilakukan
sejauh ini. Tidak hanya untuk Auditor, tetapi dengan adanya laporan ini Anda
dapat memeriksa hasilnya dalam satu atau dua tahun.
Membuat Pernyataan Dari Penerapan (Statement Of Applicability)
Dokumen ini menunjukkan profil keamanan dalam suatu organisasi.
Berdasarkan hasil penanganan risiko yang dilakukan oleh Anda, harus terdaftar
semua kontrol yang telah Anda terapkan, mengapa Anda menerapkannya dan
bagaimana. Dokumen ini sangat penting karena auditor sertifikasi akan
menggunakannya sebagai pedoman utama untuk audit.
Membuat Rencana Penanganan Risiko (Risk Treatment Plan)
Ini adalah langkah dimana Anda harus pindah dari teori ke praktik. Berdasarkan
pengamatan, dari dahulu hingga sekarang pekerjaan manajemen risiko secara
keseluruhan ini adalah murni teoritis. Tetapi sekarang saatnya untuk
menunjukkan beberapa hasil yang nyata.
Berikut ini merupakan tujuan dari rencana penanganan risiko yakni :
a. Untuk mendefinisikan dengan tepat siapa yang akan melaksanakan setiap
kontrol yang ada.
b. Dimana jangka waktunya.
c. Dimana anggarannya dsb.
Setelah Anda membuat dokumen ini, sangatlah penting untuk mendapatkan
persetujuan manajemen Anda karena membutuhkan banyak waktu dan usaha
(uang) untuk melaksanakan semua kontrol yang telah direncanakan. Tanpa
adanya komitmen dari mereka, Anda tidak akan mendapatkan semua ini.
Intinya adalah ISO/IEC 27001 memaksa Anda untuk melakukan perjalanan ini
dengan cara yang sistematis.
-
Universitas Mercu Buana | 10
2. Security Policy
Securiy policy dalam ISO/IEC 27001 mencakup kebijakan, panduan dan prosedur mengenai
keamanan sistem informasi. Adapun kebijakan maupun prosedur ini harus mencakup hal-hal
berikut :
a. Clear Desk and Clear Screen Policy
Prosedur yang mengatur untuk pelaksanaan pembersihan informasi yang bersifat
hardcopy pada meja kerja dan penonaktifan pada notebook, PC dsb. Hal ini dilakukan
untuk mengurangi risiko penipuan terhadap pelanggaran keamanan dan pencurian
informasi.
b. Disposal and Destruction Policy
Tujuan adanya prosedur ini untuk memastikan bahwa informasi yang tersimpan pada alat
dan media ini aman dari kerusakan atau penghapusan. Prosedur ini dimaksudkan untuk
organisasi kecil dan menengah.
c. Change Management Policy
Prosedur yang sebagai pedoman untuk penanganan perubahan terkait pengembangan,
perbaikan dan pemeliharaan sistem atau infrastruktur IT dengan memastikan kegiatan
tersebut sudah melalui prosedur yang berlaku dan sesuai dengan spesifikasi kebutuhan
atau persyaratan dari user.
d. Back-up Policy
Prosedur ini bertujuan untuk memastikan bahwa cadangan salinan yang dibuat sesuai
pada interval yang ditentukan dan diuji secara teratur.
e. Information Transfer Policy
Prosedur yang sebagai pedoman untuk memastikan keamanan pada informasi dan
perangkat lunak yang digunakan ketika melakukan pertukaran baik dalam maupun luar
organisasi.
f. Secure Development Policy
Prosedur ini sebagai pedoman untuk mendefinisikan aturan-aturan dasar untuk keamanan
pengembangan perangkat lunak dan sistem.
-
Universitas Mercu Buana | 11
g. Supplier Security Policy
Prosedur ini untuk mendefinisikan aturan untuk hubungan dengan pemasok dan mitra.
h. Business Continuity Policy
i. Privacy policy
j. Bring Your Own Device (BYOD) Policy
Prosedur yang menjadi pedoman untuk menentukan bagaimana suatu organisasi bisa
mempertahankan pengaturan atas informasi sementara yang didapatkan melalui
perangkat yang tidak dimiliki oleh organisasi.
k. Mobile Device and Teleworking Policy
Prosedur untuk mencegah akses dari pihak yang tidak berwenang ke perangkat mobile
baik di dalam maupun di luar tempat organisasi.
l. Acceptable Use Policy
Prosedur untuk menentukan aturan yang jelas dalam penggunaaan sistem informasi dan
asset informasi lainnya.
m. Information Classification Policy
Prosedur atau kebijakan untuk memastikan bahwa informasi yang dilindungi pada tingkat
yang sesuai.
n. Access Control Policy
Prosedur yang menentukan aturan untuk akses ke berbagai sistem, peralatan, fasilitas dan
informasi yang didasarkan pada kebutuhan bisnis dan keamanan akses.
o. Password Policy
Prosedur yang menetapkan aturan untuk memastikan manajemen password yang aman.
p. Policy on the Use of Cryptographic Control
Prosedur yang menentukan aturan untuk penggunaan kontrol kriptografi serta aturan
penggunaan kunci kriptografi untuk melindungi kerahasiaan, integritas, keaslian dsb.
-
Universitas Mercu Buana | 12
Langkah-langkah ini dirancang berdasarkan pengalaman dari Dejan Kosutic dengan berbagai
macam klien baik besar maupun kecil, pemerintah atau swasta, nirlaba atau non-profit.
Sebenarnya langkah-langkah ini berlaku untuk segala jenis kebijakan dan prosedur yang tidak
hanya berkaitan dengan ISO 27001 atau BS 25999-2.
Pelajari Persyaratan (Study The Requirements)
Pertama Anda harus belajar dengan sangat hati-hati dalam mempelajari berbagai
persyaratan. Apakah ada undang-undang yang mengharuskan sesuatu yang dimasukkan
ke dalam tulisan atau mungkin kontrak dengan klien atau beberapa kebijakan tingkat
tinggi lain yang sudah ada dalam organisasi (mungkin standar perusahaan) ?
Memperhitungkan Hasil Dari Penilaian Risiko (Take Into Account The Results Of Your
Risk Assessment)
Penilaian risiko yang dilakukan akan menentukan mana masalah yang harus Anda
alamatkan dalam dokumen Anda. Misalnya, Anda mungkin perlu memutuskan apakah
Anda akan mengelompokkan informasi tersebut sesuai dengan kerahasiaan. Dan jika
demikian, apakah Anda memerlukan dua, tiga atau empat tingkat kerahasiaan.
Langkah dalam bentuk ini menjadi tidak relevan jika kebijakan atau prosedur tersebut
tidak terkait dengan keamanan informasi atau kelangsungan usaha. Namun, prinsip-
prinsip manajemen risiko tetap berlaku dalam bidang lain seperti manajemen mutu (ISO
9001), pengelolaan lingkungan (ISO 14001) dsb.
Optimalkan dan Menyelaraskan Dokumen (Optimize and Align Your Document)
Hal yang paling penting untuk dipertimbangkan adalah jumlah total dokumen. Apakah
Anda akan menulis sepuluh dokumen 1 halaman atau satu dokumen dengan 10 halaman ?
Jauh lebih mudah untuk mengelola satu dokumen, terutama jika sasaran kelompok
pembaca adalah sama (hanya saja, jangan membuat dokumen 100 halaman).
Selain itu, Anda harus berhati-hati saat menyelaraskan dokumen Anda dengan dokumen
lainnya. Masalah yang Anda tentukan mungkin ada sebagian sudah didefinisikan dalam
dokumen lain. Dalam hal ini, mungkin tidak perlu menulis dokumen baru, tetapi hanya
memperluas yang sudah ada.
-
Universitas Mercu Buana | 13
Jika Anda menulis dokumen baru tentang masalah yang sudah ada dalam dokumen lain,
pastikan untuk menghindari terjadinya redudansi dalam menggambarkan masalah yang
sama di kedua dokumen. Karena hal itu akan menjadi mimpi buruk untuk
mempertahankan dokumen tersebut. Itu jauh lebih baik apabila salah satu dokumen
membuat referensi ke yang lain tanpa mengulangi hal yang sama.
Strukturkan Dokumen Anda (Structure Your Document)
Anda perlu berhati-hati bahwa Anda harus bisa mematuhi aturan perusahaan dalam
memformat dokumen, jika Anda sudah memiliki template dengan font yang ditentukan,
header, footer dll.
Apabila Anda sudah menerapkan ISO 27001 atau BS 25999-2 (standar manajemen lain)
Anda perlu untuk mengamati prosedur pengendalian dokumen. Prosedur tersebut
mendefinisikan tidak hanya untuk format dokumen, tetapi juga aturan untuk
mendapatkan persetujuan, distribusi dll.
Tulis Dokumen Anda (Write Your Document)
Aturan praktis adalah semakin kecil organisasi dan semakin kecil risiko, dokumen Anda
menjadi tidak begitu kompleks. Tidak ada yang lebih tidak berguna daripada
memutuskan untuk menulis dokumen panjang namun tidak ada yang membaca. Anda
harus memahami bahwa membaca dokumen membutuhkan waktu dan tingkat perhatian
seseorang berbanding terbalik dengan jumlah baris dalam dokumen Anda.
Salah satu teknik yang baik untuk mengatasi perlawanan karyawan lain untuk dokumen
ini (tidak ada yang menyukai perubahan, terutama jika itu berarti sesuatu seperti
kewajiban untuk mengubah password secara teratur) adalah melibatkan mereka dalam
menulis atau mengomentari dokumen ini dengan cara ini mereka akan memahami
mengapa perlu.
Dapatkan Dokumen Anda Disetujui (Get Your Document Approved)
Jika Anda bukan seorang manajer dengan peringkat tinggi di perusahaan, Anda tidak
akan memiliki kekuatan untuk menegakkan dokumen ini.
-
Universitas Mercu Buana | 14
Hal inilah yang menyebabkan mengapa seseorang dengan posisi tersebut harus bisa
memahami, menyetujui dan secara aktif memerlukan pelaksanaannya. Terdengar mudah,
tapi percayalah sebenarnya tidak. Langkah ini (dan berikutnya) adalah orang-orang yang
dimana dalam pelaksanaannya paling sering gagal.
Pelatihan Dan Kesadaran Karyawan Anda (Training And Awareness Of Your Employees)
Langkah ini mungkin yang paling penting, tapi sayangnya langkah ini adalah salah satu
yang sangat sering dilupakan. Seperti yang telah dibahas sebelumnya, karyawan lelah
dengan perubahan yang konstan dan mereka pasti tidak akan menyambut satu sama lain
jika itu berarti lebih banyak pekerjaan untuk mereka.
Oleh karena itu, sangat penting untuk menjelaskan kepada karyawan Anda mengapa
kebijakan atau prosedur tersebut diperlukan.
Hal-hal yang perlu dipertimbangkan dalam membuat kebijakan keamanan (security
police), prosedur atau bimbingan adalah :
a. Risiko (Risk)
b. Kepatuhan (Compliance)
c. Ukuran perusahaan Anda (Size of your company)
d. Penting (Importance)
e. Jumlah orang yang terlibat (Number of people involved)
f. Kompleksitas (Complexity)
g. Kematangan (Maturity)
h. Frequency of activity
3. Organization Of Information Security
Organisasi internal bertujuan untuk mengelola keamanan informasi dalam organisasi.
a. Komitmen manajemen untuk kontrol keamanan informasi
Manajemen harus secara aktif mendukung keamanan dalam organisasi melalui jelas arah,
menunjukkan komitmen, tugas eksplisit dan pengakuan tanggung jawab keamanan
informasi.
-
Universitas Mercu Buana | 15
b. Koordinasi kontrol keamanan informasi
Kegiatan keamanan informasi harus dikoordinasikan oleh perwakilan dari berbagai
bagian dari organisasi dengan peran yang relevan dan fungsi pekerjaan.
c. Alokasi tanggung jawab kontrol keamanan informasi
Semua tanggung jawab keamanan informasi harus didefinisikan secara jelas.
d. Proses pemberian wewenang pada fasilitas control pengolahan informasi
Sebuah proses otorisasi manajemen untuk fasilitas pengolahan informasi baru akan
didefinisikan dan diimplementasikan.
e. Kontrol perjanjian kerahasiaan
Persyaratan untuk kerahasiaan atau non-disclosure perjanjian yang mencerminkan
kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi dan secara
teratur.
f. Kontrol kontak dengan pihak berwenang
Kontak yang sesuai dengan otoritas yang relevan harus dipelihara.
g. Kontrol kontak dengan kelompok-kelompok minat khusus
Kontak yang sesuai dengan kelompok kepentingan khusus atau forum keamanan spesialis
lainnya dan asosiasi profesi harus dipelihara.
Pendekatan organisasi untuk mengelola keamanan informasi dan implementasinya (yaitu
tujuan pengendalian, kontrol, kebijakan, proses dan prosedur untuk informasi keamanan)
harus dikaji secara independen pada selang waktu terencana atau ketika signifikan
perubahan pada implementasi keamanan terjadi.
4. Asset Management
Dalam asset management mencakup 3 hal diantaranya yaitu :
a. Inventori
Membuat daftar seluruh asset yang dimiliki perusahaan mulai dari spesifikasinya, nilai,
jumlah, pemeliharaan, daya tahan.
-
Universitas Mercu Buana | 16
b. Mengklasifikasikan Asset
Asset-asset dapat diklasifikasikan berdasarkan
fungsi-fungsinya apakah itu hardware (storage, mainframes, online/offline), software,
fasilatas, dokumen, data atau informasi
nilai asset
level pengamanannya
efektifitasnya terhadap sistem
c. Ownership
Memiliki daftar siapa yang memiliki atau bertanggung jawab terhadap asset tersebut. Jadi
1 asset dapat memiliki 2 atau lebih owner risk.
5. Human Resource (HR) Security
Organisasi harus memastikan bahwa semua personel yang diberikan tanggung jawab yang
ditetapkan dalam system manajemen keamanan informasi kompeten untuk melaksanakan tugas
yang dipersyaratkan dengan :
Menetapkan kompetensi yang perlu untuk personel yang melaksanakan pekerjaan yang
mempengaruhi system manajemen keamanan informasi.
Menyediakan pelatihan atau mengambil tindakan lain (misalnya mempekerjakan personel
yang kompeten) untuk memenuhi kegiatan tersebut.
Mengevaluasi keefektifan tindakan yang diambil.
Memelihara rekaman pendidikan, pelatihan, ketrampilan, pengalaman dan kualifikasi.
Organisasi juga harus memastikan bahwa semua personel terkait peduli akan relevansi dan
pentingnya kegiatan keamanan informasinya dan bagaimana mereka memberikan kontribusi
terhadap pencapaian sasaran system manajemen keamanan informasi.
Sumber daya manusia pada sebuah organisasi atau perusahaan khususnya berbasis TI harus
dapat diperhatikan keamanannya. Karena mereka lah yang menjalankan operasi atau kegiatan-
kegiatannya. dalam pengontrolannya dapat dibagi sebagai berikut :
-
Universitas Mercu Buana | 17
a. Joiners/Movers
Perekrutan pegawai dengan hati-hati. maksudnya saat merekrut pegawai baru harus
memiliki kriteria-kriteria yang sesuai dengan kebutuhan dan sebelumnya harus diketahui latar
belakangnya. Verifikasi latar belakang terhadap semua calon pegawai, kontuktor dan semua
pihak ketiga harus dilaksanakan. Sebagai bagian dari kewajiban kontrak, pegawai, kontruktor
dan pengguna pihak ketiga harus menyetujui dan menandatangani kepegawaian yang harus
menyatakan tanggung jawab mereka dan organisasi terhapad keamanan informasi.
b. Leavers
Dalam beberapa kasus ketika seorang pegawai merasa telah tidak dibutuhkan lagi oleh
organisasi dan pada akhirnya dipecat. Disinilah muncul kerentanan akan data-data organisasi/
perusahaan yang dapat dipublikasi oleh pihak tersebut dikarenakan merasa dibuang. Untuk
menghindari akan hal tersebut harus hak akses semua pegawai, kontruktor dan pengguna pihak
ketiga terhapad informasi dan fasilitas pengolahan informasi harus dihapuskan ketika pekerjaan,
kontrak atau perjanjian berakhir atau disesuaikan dengan perubahan.
c. Awareness Traning and Education
Perlunya pelatihan kepada para pegawai terhadap teknologi yang digunakan dengan
maksud agar meningatkan keefektifan system manajemen keamanan informasi pada organisasi
tersebut.
6. Physical And Environmental Security
Berikut ini merupakan beberapa poin yang perlu diperhatikan dalam penyusunan metode
pengamanan fisik pada data center sebagai cara untuk mengatasi dan menanggulangi kerugian
serta ancaman dari :
-
Universitas Mercu Buana | 18
- Faktor Lingkungan
1. Bangunan Data Center
Faktor lingkungan berkaitan erat dengan bangunan tempat data center didirikan untuk itu
sebagai awal pembahasan akan dimulai mengenai lokasi bangunan dan fisik bangunan
untuk data center sebagai langkah awal pengamanan data.
o Lokasi Data Center
Pemilihan lokasi bagunan mejadi hal yang harus diperhatikan. Hal-hal berikut dapat
dijadikan bahan pertimbangan dari segi aspek keamanan dalam pemilihan lokasi.
Lokasi yang dipilih sebaiknya yang memiliki sedikit risiko baik dari ancaman
bencana alam (jalur gempa, daerah rawan banjir atau daerah rawan tornado) maupun
dari ancaman teroris dan vandalisme. Data Center sebaiknya dibangun terpisah dari
kantor pusat. Cukup jauh dari jalan raya utama. Tidak bertetangga dengan bandar
udara, pabrik kimia, jalur pipa gas, pusat keramaian (pasar, stadium olahraga) dan
pusat pembangkit listrik. Dan juga lokasi memiliki fasilitas yang memadai, seperti
kecukupan tenaga listrik.
o Kontruksi Bangunan Data Center
Setelah memilih lokasi yang baik selanjutnya kita harus memperhatikan bagunan
yang akan didirikan untuk Data Center. Bangunan harus memperhatikan masalah
sirkulasi udara karena hal ini terkait dengan suhu, ventilasi udara yang cukup,
penggunaan AC yang direncanakan dengan baik, karena biasanya bangunan Data
Center dibuat dengan sedikit/bahkan tidak ada jendela dan tertutup. Bahan bangunan
yang dipakai harus tidak mudah terbakar serta kontruksi bangunan yang tahan gempa.
Adanya ruangan terpisah antara ruangan administratif dengan ruangan server dan
data. Gunakan standar pendingin ruangan, seperti TIA-942 dan perhatikan pengaturan
kabel yang melalui bawah lantai. Karena dalam menyiapkan kabel standar untuk
instalasi listrik yang dibutuhkan dan konstruksi bangunan harus memperhatikan hal
tersebut. Pintu masuk dirancang sangat terbatas. Pintu kebakaran dirancang untuk
keluar saja. Segala aspek keamanan dalam bangunan sebuah Data Center harus
-
Universitas Mercu Buana | 19
direncanakan dengan baik. Kontruksi dan arsitektur bangunan harus dapat
mengakomodasi semua hal berkaitan dengan keamanan fisik.
o Pengamanan di Sekeliling Bangunan
Di sekeliling bangunan Data Center seharusnya adalah bidang kosong, dimana
bangunan Data Center sebaiknya memiliki jarak 10 meter dengan bangunan lain
atau tanaman dan pepohonan, yang mana hal ini dimaksudkan untuk memudahkan
pengawasan. Penggunaan kamera CCTV sebagai pengawas adalah hal minimal yang
harus dilakukan. Kamera yang digunakan sebaiknya memiliki kemampuan terhadap
cahaya rendah, tahan terhadap suhu dan cuaca.
Pengawasan juga tidak terlepas dari areal parkir yang ada didekat data center.
Pengawasan orang yang masuk dan keluar di kawasan Data Center harus dimonitor
dengan baik. Penggunaan detektor bom sangat disarankan untuk memeriksa setiap
mobil yang akan masuk ke kawasan. Penggunaan penjaga atau petugas keamanan
yang profesional merupakan sebuah hal yang harus dilakukan.
o Pengamanan di Dalam Bangunan
Pengamanan di dalam bangunan juga terkait dengan hal-hal lain, seperti faktor
manusia. Penggunaan kamera pengawas, sensor asap, sensor kebakaran merupakan
hal standar yang harus diterapkan. Pengawasan terhadap pintu masuk dan keluar
orang harus diperhatikan dengan baik. Pintu masuk yang menggunakan bahan dari
baja serta penggunaan kaca dan dinding yang aman akan sulit dilalui. Namun
penggunaan pendeteksi penyusup dapat pula di aplikasikan pada bangunan Data
Center.
2. Kebakaran (System Fire Suppression)
Solusi perlindungan Data Center dari api mempunyai tiga tujuan utama, yaitu: identifikasi
adanya api, pemberitahuan adanya api ke seluruh penghuni dan orang-orang yang
berkepentingan serta memadamkan api.
Pemasangan sistem Fire Suppression yang komprehensif di Data Center sebagai solusi
pencegahan terjadinya api atau penanggulangan api yang sudah terlanjur muncul. Khusus untuk
Data Center, sebaiknya menggunakan gaseous suppressant yang tidak akan merusak server.
-
Universitas Mercu Buana | 20
Material suppression yang umum adalah Inergen dan Argonite, dua jenis gas mulia seperti FM-
200 dan HFC-227 (dibuat dari heptafluoropropane) serta FE13 atau HFC-23 (yang menyerap
panas dari api).
Komponen minimum fire suppression yang harus digunakan pada data center sederhana
sekalipun adalah sebuah sistem sprinkler biasa (yang bertindak sebagai pre-action sprinkler)
dengan clean-agent fire extinguishers yang cocok. Kemudian meningkat kepada level yang lebih
tinggi, maka sistem fire suppression yang lebih canggih akan meliputi air sampling smoke
detection systems, pre-action sprinkler systems dan clean agent suppression systems.
Sistem peringatan proteksi dini sangat penting untuk menghindari kerusakan dan kehilangan
yang dapat terjadi selama status kebakaran belum benar-benar terjadi (atau awal terjadinya
kebakaran). Contoh sebuah sistem peringatan proteksi dini adalah air sampling smoke detection
systems sebagai pengganti smoke detectors biasa, karena kesensitifannya dan kapabilitas
deteksinya jauh melampaui detektor konvensional.
3. Suhu
Menentukan kebutuhan sistem pendingin yang dibutuhkan untuk sebuah data center diperlukan
input berupa jumlah panas yang dihasilkan dari perlengkapan IT dan sumber panas lainnya di
Data Center. Pengukuran kebutuhan menggunakan standar watts. Kemudian setelah output panas
didefinisikan maka pertimbangan-pertimbangan berikut harus diperhatikan:
Ukuran beban pendingin dari perangkat (termasuk perangkat penghasil energi)
Ukuran beban pendingin untuk gedung
Sistem pendingin harus dapat mengantisipasi efek humidifikasi, redundansi bila
diperlukan dan untuk kebutuhan masa mendatang
Kegiatan pengaturan temperatur dan sirkulasi udara yang dikenal sebagai HVAC (heating,
ventilation, air conditioning), bertujuan untuk menjaga agar temperatur tetap dalam keadaan
rendah dan konstan serta menyebarkan titik-titik panas yang dibuat oleh suatu kelompok
perangkat yang dalam hal ini terletak di data center. Temperatur yang rendah sangat diperlukan
untuk efisiensi operasi server dan perangkat jaringan untuk menghindarkan dari fluktuasi.
-
Universitas Mercu Buana | 21
Sistem pendingin pada data center pada prinsipnya adalah sistem aliran udara dingin, yang
terbagi menjadi tiga perangkat utama yaitu air handler, chiller dan menara pendingin. Selain itu,
juga ada perangkat pendingin tambahan, seperti: house air dan make-up air.
4. Listrik Atau Tenaga
Kebutuhan listrik merupakan hal yang penting pada sebuah Data Center. Karena semua
peralatan komputer, peralatan komunikasi dan jaringan serta pendingin membutuhkan energi.
Selain itu juga penggunaan listrik cadangan seperti Genset dan UPS harus dilakukan. UPS yang
digunakan harus mampu memenuhi kebutuhan listrik dari semua peralatan yang ada. Baterai
UPS diharapkan dapat bertahan cukup lama sebelum digantikan dengan listrik cadangan dari
Genset.
Masalah umum yang sering terjadi pada sistem elektrik di Data Center adalah pemasangan
sistem listrik yang salah dan tidak umum antara lain ketiadaan labeling dan dokumentasi,
kemudian sistem pengawasan tidak berjalan dengan baik atau adanya ketidak lengkapan
pemasangan infrastruktur listrik sehingga dapat mengakibatkan tidak berfungsinya sistem listrik.
Sistem elektrik yang dimiliki oleh Data Center menimbulkan suatu masalah bagi lingkungan
karena konsumsi listrik bagi sebuah Data Center sangatlah besar dan berdampak pada emisi
CO2. Hingga tahun 2020 kontribusi emisi CO2 akan meningkat hingga 4 kali lipat seiring
dengan meningkatnya konsumsi listrik untuk menghidupi Data Center yang berkembang secara
signifikan (Mckinsey &Co). Untuk mengatasi hal ini maka diadakannya suatu program yang
diberi nama Corporate Average Data Efficiency (CADE) yang merupakan efisiensi penggunaan
Data Center khususnya untuk perusahaan-perusahaan besar. Proses efisiensi ini sangat beragam,
mulai dari penggunaan software virtualisasi hingga perangkat pengendali proses pendinginan
yang terintegrasi. Selain itu penggunaan alternatif sumber energi juga mulai dipertimbangkan
untuk menuju Green Data Center, misalnya menggunakan tenaga matahari (solar energy).
5. Bencana Alam
Bencana alam memang tak dapat dihindari, namun kita dapat mengantisipasi untuk
mengurangi resiko yang disebabkan oleh bencana alam. Pada awal telah disebutkan bangunan
-
Universitas Mercu Buana | 22
data center harus jauh dari daerah yang sering dilanda bencana alam seperti gempa bumi, gunung
meletus, banjir, tornado dan sebagainya. Kontruksi bangunan yang memiliki ketahanan terhadap
gempa adalah suatu cara yang dapat diterapkan. Selain itu, rak server dapat ditempatkan pada
platform isolasi seismic sehingga risiko kerusakan jika terjadi gempa berskala kecil dapat
dikurangi.
Namun demikian, penerapan back-up yang berketerusan pada sebuah Data Center tetap
sangat penting. Tempat penyimpanan data hasil back-up nantinya harus dipisah dari Data Center
dan disimpan pada tempat yang aman pula. Teknologi back-up data yang digunakan terkait erat
dengan keamanan data secara virtual. Oleh sebab itu, konvergensi keamanan fisik dan virtual
pada keamanan Data Center merupakan hal yang tidak dapat ditawar.
Back-up data dapat dilakukan langsung di Data Center menggunakan media back-up seperti
Tape Drive, CD, DVD, External HDD, atau media-media lainnya. Selain itu, dapat pula
dilakukan secara virtual melalui jaringan. Back-up yang dilakukan secara virtual ini disebut
dengan istilah remote replication, dimana back-up dilakukan dari Hard Disk ke Hard Disk.
Karena dilakukan melalui jaringan, maka diperlukan bandwidth yang cukup untuk melakukan
hal ini dan aspek keamanan virtual harus diperhatikan. Penyimpanan terhadap data hasil backup
perlu diutamakan. Gudang penyimpanan harus aman dari penyusup dan ruangan penyimpan
harus baik, bebas dari debu, tidak lembab dan tidak mudah terbakar agar data tetap terjaga.
Back-up yang dilakukan merupakan salah satu cara dalam perencanaan pemulihan bencana
atau lebih dikenal dengan disaster recovery planning (DR planning). Dengan adanya
perencanaan ini, dimaksudkan agar setelah bencana selesai, maka perusahaan dapat melanjutkan
operasi bisnis. Data yang telah di back-up akan di restore sehingga bisnis dapat terus berlanjut.
- Faktor Manusia
Pada akhirnya, kesuksesan pengamanan Data Center juga akan sangat tergantung dari faktor
manusia. Faktor manusia perlu diatasi dengan menggunakan metoda dan teknik tertentu.
Kebanyakan cara yang digunakan untuk mengatasi faktor manusia ini dengan menerapkan
access door / pintu akses dengan teknologi fingerprint sensor atau biometric. Namun demikian,
karena hal ini menyangkut manusia, maka keberhasilan penerapan biometric juga perlu didukung
-
Universitas Mercu Buana | 23
oleh staff dan kebijakan keamanan yang terkontrol. Staf perlu dididik dan dilatih, serta
diharapkan dapat timbul kesadaran akan keamanan sehingga dapat mengurangi potensi ancaman
yang dapat terjadi.
Cara lain yaitu dengan menetapkan zona keamanan pada Data Center. Cara ini dilakukan
untuk membatasi interaksi seseorang terhadap ruang komputer dan peralatan vital lainnya.
Seperti halnya interaksi pada pusat pembangkit dan pusat pendingin yang juga perlu dibatasi,
karena dapat berpotensi mengganggu keamanan Data Center. Dalam setiap zona akan diterapkan
kebijakan keamanan yang berbeda, penggunaan peralatan baik kamera pengawas (CCTV)
maupun teknologi biometric, password dan lainnya adalah cara yang dapat diterapkan untuk
pengamanan fisik.
Selain itu, monitoring selama 24 jam juga perlu dilakukan, baik di wilayah sekitar gedung
maupun di dalam gedung. Kesadaran akan gangguan keamanan dari pengguna yang berasal dari
dalam adalah wajib untuk di sosialisasikan. Kepercayaan perlu diberikan, namun pengawasan
harus tetap dilaksanakan. Penerapan kebijakan menjadi poin penting dalam hal ini. Penggunaan
teknologi lainnya yang dapat mendukung keamanan merupakan hal yang layak untuk
dipertimbangkan.
7. Communications And Operations Management
a. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.
Termasuk dalam kontrol ini :
Kontrol terhadap personel pengoperasi (Logging)
Dokumen yang berisi prosedur dan berisi pedoman untuk melakukan suatu pekerjaan.
Pedoman-pedoman ini harus dijalankan dengan tegas. Selain itu, para personel yang
bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan
dalam sistem komputer (system log) benar-benar terpelihara.
-
Universitas Mercu Buana | 24
Kontrol terhadap penyimpanan arsip (Archives)
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk
pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
Prosedur pengoperasian harus didokumentasikan, dipelihara dan tersedia untuk semua
pengguna yang memerlukannya.
Kontrol terhadap penyusunan (Configuration)
Tugas dan lingkup tanggung jawab harus dipisahkan untuk mengurangi peluang bagi
modifikasi yang tidak sengaja atau tidak sah atau penyalahgunaan terhadap asset
organisasi.
Kontrol terhadap cadangan data (Back-up)
Metadata disimpan dalam sistem database relasional yang menyimpan konten / dokumen
dalam sistem file ke file server. Sebuah back-up metadata penuh dilakukan setidaknya
sekali sehari. Sebuah back-up online penuh konten juga dilakukan pada server back-up
sekali sehari. Ditambahkannya, setidaknya sekali seminggu memiliki salinan lengkap dari
metadata dan konten disimpan ke media back-up yang terpisah. Parameter berikut
diramalkan sebagai bagian dari keamanan data :
a. Recovery Point Objective (RPO) : Dalam kasus pemulihan darurat jangka waktu
maksimum selama data mungkin hilang adalah 30 menit.
b. Pemulihan Sisa Tujuan (RTO) : Dalam kasus pemulihan darurat waktu untuk
memulihkan layanan adalah maksimal 48 jam setelah infrastruktur jaringan,
hardware dan software yang tersedia.
c. Retensi Waktu : Back-up disimpan hingga 6 bulan.
d. Log Audit : Audit Log disimpan selama minimal 12 bulan.
8. Access Control
Access control dapat diaplikasikan terhadap setiap objek yang dapat diamankan dalam sistem
operasi. Sebagai contoh dalam Windows NT, terdapat objek berkas (file object), objek proses
(process object), objek ancaman (thread object) dan beberapa objek lainnya yang terdaftar
-
Universitas Mercu Buana | 25
dalam Windows NT Object Manager. Objek-objek dalam Active Directory Windows 2000 dan
Windows Server 2003 juga dapat diamankan, meski seringnya diaplikasikan terhadap sebuah
group atau direktori.
Access control umumnya diimplementasikan dengan memberikan izin (permisi) dan hak
terhadap objek secara spesifik. Izin diberikan terhadap objek untuk menentukan siapa saja yang
dapat mengakses objek tersebut dan sebatas apa ia berhak mengaksesnya. Izin tersebut, dapat
diaplikasikan oleh administrator sistem atau pemilik objek tersebut (orang yang membuat objek).
Jenis izin yang dapat diaplikasikan bergantung pada objek yang hendak diamankan. Sebagai
contoh objek berkas dalam keluarga sistem operasi Windows NT yang disimpan dalam sebuah
partisi dengan sistem berkas NTFS dapat diamankan.
Selain izin, access control juga diimplementasikan dalam bentuk hak (right). Hak dapat
diberikan kepada sebuah pengguna atau sebuah group pengguna untuk memberikan kepada
mereka hak untuk melakukan beberapa tugas yang menyangkut administrasi sistem, seperti
halnya melakukan back-up, mematikan server, atau melakukan logon secara interaktif.
Aspek keamanan data/informasi atau disebut juga keamanan virtual pada data center
menyangkut hal-hal sebagai berikut.
o Kontrol akses logikal, menyangkut apa, siapa dan bagaimana data diakses secara virtual.
Contohnya seperti password untuk menentukan hak akses.
o Kontrol penyimpan, menyangkut berapa lama data disimpan dan jenis keamanan apa
yang digunakan pada media penyimpan dan data yang disimpan. Contohnya sistem back-
up data yang dipakai dan enkripsi yang digunakan.
o Keamanan jaringan baik jaringan intranet maupun internet terkait dengan konfigurasi
jaringan, hak akses jaringan, firewall, intrusion detection dan lainnya.
o Keamanan sistem terkait dengan sistem operasi yang digunakan.
a. Kontrol Akses Terhadap Perangkat Teknologi Pusat Data
Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi
yang berbeda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password
-
Universitas Mercu Buana | 26
bersifat rahasia sehingga diharapkan hanya pemiliknya yang mengetahui password. Setelah
pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai
dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol
akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data
mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi
berkas tersebut.
Jika pendekatan tradisional hanya mengandalkan pada password, sistem-sistem yang lebih
maju mengombinasikan dengan teknologi lain. Misalnya, mesin ATM (anjungan tunai mandiri)
menggunakan magnetic card atau bahkan kartu cerdas sebagai langkah awal untuk mengakses
sistem dan kemudian baru diikuti dengan pemasukan PIN (personal identification number).
Teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia yang bersifat unik,
seperti sidik jari dan retina mata, sebagai kunci untuk mengakses sistem.
Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet) dapat
dicegar dengan menggunakan firewall. Firewall dapat berupa program ataupun perangkat keras
yang memblokir akses dari luar intranet.
Berikut beberapa hak akses yang diterapkan dalam memberikan keamanan terhapad data center.
o Physical Access Control
Pengamanan terhadap hak akses secara fisik berarti mengamankan asset organisasi secara
fisik. Pengendalian hak akses fisik ini berupa hanya memberikan hak akses kepada yang
berhak atas teknologi yang digunakan pada pusat data. Standar yang digunakan dalam
pengendalian hak akses berupa :
a. Memberikan password pada asset fisik tekologi pusat data. Contoh : sebuah
komputer yang diberikan password, dengan seperti itu maka hanya orang-orang
berhak yang dapat mengaksesnya.
o Network Access Control
Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet)
dapat dicegah dengan menggunakan firewall. Firewall dapat berupa program ataupun
perangkat keras yang memblokir akses dari luar intranet.
-
Universitas Mercu Buana | 27
o System Access Control
Keamanan sistem terkait dengan sistem operasi yang digunakan. untuk melakukan
pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-
beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat
rahasia sehingga diharapkan hanya pemiliknyalah yang tahu password-nya. Setelah
pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses
sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh
waktu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh,
administrator basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai
Y hanya bisa membaca isi berkas tersebut.
o Data Access Control
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil
membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).
Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi
tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang
cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain
dikenal dengan istilah kriptografi. Adapun sistemnya disebut sistem kripto. Secara
lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks
yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya,
dari chiphertext menjadi cleratext, disebut dekrpisi.
Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key
encryption.
DES merupakan teknik untuk melakukan enskripsi dan deskripsi yang dikembangkan
oleh IBM pada tahun 1970-an. Kunci yang digunakan berupa kunci privat yang
bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit. Algoritma yang
digunakan mengonversi satu blok berukuran 64 bit (8karakter) menjadi blok data
berukuran 64 bit.
Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada
keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang menjadi titik
rawan untuk diketahui oleh pihak penyadap.
-
Universitas Mercu Buana | 28
Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut
kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang
menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan
menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim S
mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R
melakukan deskripsi dengan menggunakan kunci privat R.
o Application Access Control
Akan berkaitan dengan layer 4 (transport layer) dan layer 5 (session layer) untuk
meningkatkan waktu respon suatu server. Layer 4 adalah layer end-to-end yang paling
bawah antara aplikasi sumber dan tujuan, menyediakan end-to-end flow control, end-to-
end error detection & correction, dan mungkin juga menyediakan congestion
controltambahan. Sedangkan layer 5 menyediakan 11 riteri dialog (siapa yang memiliki
giliran berbicara/mengirim data), token management (siapa yang memiliki akses ke
resource bersama) serta sinkronisasi data (status terakhir sebelum link putus). Berbagai
isu yang terkait dengan hal ini adalah load balancing, caching, dan terminasi SSL, yang
bertujuan untuk mengoptimalkan jalannya suatu aplikasi dalam suatu sistem.
9. Information System Acquisition, Development And Maintanance
Adapun kebijakan maupun prosedur dalam manajemen ini harus mencakup hal-hal berikut :
Security requirements of information systems
Kontrol ini bertujuan untuk memastikan bahwa keamanan adalah bagian integral dari
sistem informasi dengan cara menganalisa persyaratan keamanan dan spesifikasinya.
Correct processing in applications
Kontrol ini bertujuan untuk mencegah kehilangan, kesalahan, modifikasi serta
penyalahgunaan informasi yang terdapat di dalam operating system (PC yang
digunakan oleh user) maupun dalam aplikasi. Seperti :
a. Validasi input data
b. Kontrol pengolahan internal
c. Integritas pesan
-
Universitas Mercu Buana | 29
d. Validasi data output
Cryptographic controls
Untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan kriptografi.
Seperti :
a. Kebijakan penggunaan kontrol kriptografi
b. Manajemen kunci
c. Keamanan sistem file
d. Kontrol perangkat lunak operasional
e. Perlindungan data pengujian sistem
f. Kontrol akses ke kode sumber program
Security in development and support processes
Untuk menjaga keamanan aplikasi sistem perangkat lunak dan informasi. Seperti :
a. Merubah prosedur pengendalian
b. Teknis review aplikasi setelah perubahan sistem operasi
c. Pembatasan perubahan paket perangkat lunak
d. Pengembangan perangkat lunak outsorcing
e. Manajemen kerentanan teknis untuk mengurangi risiko yang dihasilkan dari
eksploitasi kerentanan teknis yang diterbitkan.
10. Information Security Incident Management
Incident Management diperlukan dalam data center berdasarkan ISO 27001. Manajemen ini
berisi tentang :
a. Disaster Recovery System
Disaster Recovery System terdiri dari 4 komponen diantaranya :
Emergency Plan
Identifikasi ancaman (threat)
Penyebab dari ancaman ?
Buat scenario terjadinya ancaman
Kemungkinan terjadinya
-
Universitas Mercu Buana | 30
Kerugian yang didapat
Mengspesifikasikan langkah yang harus dilakukan apabila terjadi
Back-up Plan
Mengspesifikasikan hal-hal yang perlu di back-up seperti :
Menentukan lokasi dari sumber daya untuk back-up.
Prosedur dalam back-up.
Dimana / bagaimana prosedur untuk sumber daya yang dibutuhkan dalam
operasi.
Mempertimbangkan sumber daya apa saja yang perlu di back-up. Misalnya
back-up hardware, menyediakan hardware yang berkaitan dengan sistem di
lokasi yang berbeda atau melakukan perjanjian dengan perusahaan lain bisa
menyewa hardware atau meminjam dan mungkin menyediakan hardware
apabila dibutuhkan. Bisa juga mengasuransikan beberapa hardware yang
dianggap penting. Misal lainnya seperti bagaimana back-up karyawan ?
dengan memback-up mereka dengan diberikan latihan mengenai disaster-
disaster tertentu.
Recovery Plan
Rencana ini dimaksudkan untuk mengetahui bagaimana caranya memulihkan
operasi dengan cepat. Rencana ini harus menspesifikasikan :
Aplikasi dan data yang harus di restore.
Menentukan tanggung jawab komite untuk mengambil langkah-langkah
tertentu dalam recovery.
Test Plan
Test plan berfungsi untuk mengidentifikasi kekurangan dari emergency plan,
backup plan dan recovery plan. Dalam test ini disaster tersebut dan rencana-
rencananya harus di simulasikan sehingga dapat mengetahui apa saja yang
dibutuhkan atau yang perlu dilengkapi dalam komponen-komponen sebelumnya.
Testplan dilakukan agar disaster plan system ini dapat berjalan lebih efektif serta
efisien.
-
Universitas Mercu Buana | 31
b. Ketahanan Sistem (Resiliance)
Resiliance system, mencakup hal-hal yang berkaitan dengan pengukuran ketahanan
sistem terhadap bencana. Seberapa kuat sistem yang ada bertahan dari insiden-insiden
yang dispesifikasikan.
11. Business Continuity Management
Kelangsungan bisnis sangat penting untuk keberhasilan bisnis. Ini tidak bisa lagi tetap
menjadi perhatian dari departemen IT sendiri. Bagaimana Anda menentukan kelangsungan dan
pemulihan kebutuhan bisnis Anda untuk melindungi terhadap bencana? Bagaimana Anda
mengidentifikasi dan mengintegrasikan bisnis dan TI prioritas penting dalam program
kontinuitas yang komprehensif? Darimana Anda memulai ?
Data PTS ini pusat rencana pemulihan bencana untuk kelangsungan bisnis meliputi :
Identifikasi unit bisnis dan tujuan operasional.
Mengidentifikasi persediaan dan asset berdasarkan peringkat kekritisan untuk tujuan bisnis.
Peringkat ancaman yang menimbulkan risiko terhadap aset kritis.
Mengidentifikasi tingkat keparahan kerentanan dalam aset kritis.
Prioritaskan risiko dengan fokus pada aset yang terkena ancaman bencana yang kredibel dan
kerentanan yang ada.
Mengembangkan strategi yang meminimalkan risiko bencana dan memaksimalkan ROI.
PTS bekerja dengan Anda dalam menciptakan data center rencana pemulihan bencana dan
memberikan perkiraan biaya untuk beradaptasi fasilitas dan teknologi sumber daya Anda untuk
ketersediaan berkelanjutan :
Backup dan opsi pemulihan untuk teknologi informasi multi-vendor Anda.
Bandingkan pemulihan bencana pilihan situs internal dan eksternal.
Menilai dan meningkatkan pemulihan infrastruktur penting Anda.
Menilai dan meningkatkan perlindungan proses bisnis penting Anda.
-
Universitas Mercu Buana | 32
Data Center Disaster Recovery
Disaster (bencana) didefinisikan sebagai kejadian yang waktu terjadinya tidak dapat diprediksi
dan bersifat sangat merusak. Pengertian ini mengidentifikasikan sebuah kejadian yang tiba-tiba,
tidak diharapkan, bersifat sangat merusak, dan kurang perencanaan. Bencana terjadi dengan
frekuensi yang tidak menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang
tidak mempersiapkan diri terhadap kemungkinan-kemungkinan timbulnya bencana. Berbagai
bencana yang mungkin terjadi antara lain adalah:
Bencana alam disebabkan oleh kondisi geografis dan geologis dari lokasi
Kebakaran disebabkan oleh faktor lingkungan dan pengaturan sistem elektrik yang dapat
menyebabkan korsleting
Kerusakan pada jaringan listrik disebabkan oleh sistem elektrik
Serangan teroris disebabkan oleh lemahnya keamanan fisik dan non fisik data center
Sistem atau perangkat yang rusak terkait dengan kesalahan manajemen pengawasan
perangkat
Kesalahan operasional akibat ulah manusia
Virus misalkan disebabkan oleh kesalahan pemilihan anti virus yang digunakan.
Bisnis menggunakan teknologi informasi dengan cepat dan efektif memproses informasi.
Karyawan menggunakan surat elektronik dan Voice Over Internet Protocol (VOIP) sistem
telepon untuk berkomunikasi. Pertukaran data elektronik (EDI) digunakan untuk mengirimkan
data termasuk pesanan dan pembayaran dari satu perusahaan ke perusahaan lain. Server
memproses informasi dan menyimpan data dalam jumlah besar. Komputer desktop, laptop dan
perangkat nirkabel digunakan oleh karyawan untuk menciptakan, proses, mengelola dan
menyampaikan informasi. Apa yang Anda ketika teknologi informasi Anda berhenti bekerja?
Sebuah teknologi informasi rencana pemulihan bencana (DRP TI) harus dikembangkan dalam
hubungannya dengan rencana kesinambungan bisnis. Prioritas dan tujuan waktu pemulihan
untuk teknologi informasi harus dikembangkan selama analisis dampak bisnis. Strategi
pemulihan Teknologi harus dikembangkan untuk memulihkan perangkat keras, aplikasi dan data
pada waktunya untuk memenuhi kebutuhan pemulihan bisnis.
-
Universitas Mercu Buana | 33
Bisnis besar dan kecil membuat dan mengelola volume besar informasi elektronik atau data.
Sebagian besar data yang penting. Beberapa data sangat penting untuk kelangsungan hidup dan
melanjutkan operasi bisnis. Dampak kehilangan data atau korupsi dari kegagalan perangkat
keras, kesalahan manusia, hacking atau malware bisa menjadi signifikan. Sebuah rencana untuk
backup data dan pemulihan informasi elektronik sangat penting.
a. Strategi Pemulihan Teknologi Informasi
Strategi pemulihan harus dikembangkan teknologi informasi (TI) sistem, aplikasi dan data.
Ini termasuk jaringan, server, desktop, laptop, perangkat nirkabel, data dan konektivitas.
Prioritas untuk pemulihan itu harus konsisten dengan prioritas untuk pemulihan fungsi
bisnis dan proses yang dikembangkan selama analisa dampak terhadap bisnis. ITU sumber
daya yang diperlukan untuk mendukung fungsi bisnis sensitif terhadap waktu dan proses
juga dapat diidentifikasi. Waktu pemulihan untuk sumber itu harus sesuai tujuan waktu
pemulihan fungsi bisnis atau proses yang tergantung pada sumber daya itu.
Sistem teknologi informasi memerlukan perangkat keras, perangkat lunak, data dan
konektivitas. Tanpa salah satu komponen dari "sistem", sistem mungkin tidak berjalan. Oleh
karena itu, pemulihan strategi harus dikembangkan untuk mengantisipasi kehilangan satu
atau lebih komponen sistem berikut :
o Computer ruang lingkungan (ruang komputer yang aman dengan kontrol iklim, ber- dan
cadangan listrik, dll)
o Hardware (jaringan, server, desktop dan laptop, perangkat nirkabel dan periferal)
o Connectivity layanan penyedia (serat, kabel, wireless, dll)
o Software aplikasi (pertukaran data elektronik, Surat elektronikmanajemen sumber daya
perusahaan, produktivitas kantor, dll)
o Data dan pemulihan.
Beberapa aplikasi bisnis tidak bisa mentolerir downtime apapun. Mereka memanfaatkan
pusat data ganda mampu menangani semua kebutuhan pengolahan data, yang berjalan
secara paralel dengan data cermin atau sinkronisasi antara dua pusat. Ini adalah solusi yang
sangat mahal yang hanya perusahaan besar yang mampu. Namun, ada solusi lain yang
-
Universitas Mercu Buana | 34
tersedia untuk ukuran kecil dan menengah bisnis dengan data dan aplikasi bisnis penting
untuk melindungi.
Internal Pemulihan Banyak Strategi
bisnis memiliki akses ke fasilitas yang lebih dari satu. Hardware di fasilitas alternatif
yang dapat dikonfigurasi untuk menjalankan serupa hardware dan software aplikasi bila
diperlukan. Dengan asumsi data didukung off-site atau data dicerminkan antara dua
situs, data dapat dipulihkan di situs alternatif dan pengolahan dapat melanjutkan.
Penjual Didukung Pemulihan Strategi
ada vendor yang bisa menyediakan "hot situs" untuk itu pemulihan bencana. Situs ini
adalah sepenuhnya dikonfigurasi data Center dengan produk hardware dan software
yang umum digunakan. Pelanggan dapat memberikan unik peralatan atau perangkat
lunak baik di saat bencana atau menyimpannya di lokasi panas siap untuk digunakan.
Aliran data, Layanan keamanan data dan aplikasi dapat host dan dikelola oleh vendor.
Informasi ini dapat diakses di situs utama bisnis atau situs alternatif menggunakan web
browser. Jika sebuah outage terdeteksi di situs klien oleh vendor, vendor otomatis
memegang data sampai sistem klien dipulihkan. Vendor tersebut juga dapat
memberikan data penyaringan dan deteksi ancaman malware, yang meningkatkan
keamanan Maya.
Rencana Pengembangkan Disaster Recovery
Bisnis IT harus mengembangkan rencana pemulihan bencana itu. Ini dimulai dengan
mengumpulkan inventarisasi data, aplikasi perangkat lunak dan perangkat keras
(misalnya server, desktop, laptop dan perangkat nirkabel). Rencana harus mencakup
strategi untuk memastikan bahwa semua informasi yang penting didukung.
Mengidentifikasi aplikasi perangkat lunak kritis dan data dan perangkat keras yang
diperlukan untuk menjalankan mereka. Menggunakan perangkat keras standar akan
membantu untuk meniru dan reimage hardware baru. Memastikan bahwa salinan
-
Universitas Mercu Buana | 35
program perangkat lunak tersedia untuk memungkinkan instalasi ulang pada
penggantian peralatan. Memprioritaskan hardware dan software pemulihan.
Dokumen rencana pemulihan bencana itu sebagai bagian dari rencana kesinambungan
bisnis. Uji rencana secara berkala untuk memastikan bahwa ia bekerja.
b. Data Back-Up
Usaha menghasilkan sejumlah besar data dan file data yang berubah sepanjang hari kerja.
Data dapat hilang, rusak, terganggu atau dicuri melalui kegagalan perangkat keras,
kesalahan manusia, hacking dan malware. Hilangnya atau korupsi data dapat mengakibatkan
gangguan bisnis yang signifikan.
Data backup dan pemulihan harus menjadi bagian integral dari rencana kesinambungan
bisnis dan rencana pemulihan bencana teknologi informasi. Mengembangkan strategi
backup data dimulai dengan mengidentifikasi apa data untuk cadangan, memilih dan
menerapkan perangkat keras dan perangkat lunak cadangan prosedur, penjadwalan dan
melakukan backup dan secara berkala memvalidasi bahwa data telah akurat back-up.
Mengembangkan Cadangan Data Rencana
mengidentifikasi data pada jaringan server, komputer desktop, laptop komputer dan
perangkat nirkabel yang didukung bersama dengan catatan hard copy dan informasi lainnya.
Rencana harus mencakup secara teratur jadwal backup dari perangkat nirkabel, komputer
laptop dan desktop komputer ke server jaringan. Data pada server dapat kemudian didukung.
Back up hard copy Catatan penting dapat dicapai oleh scanning catatan kertas ke dalam
format digital dan memungkinkan mereka untuk didukung bersama dengan data digital
lainnya.
Pilihan Untuk Data Cadangan Kaset
peluru dan kapasitas besar USB drive dengan data terintegrasi cadangan perangkat lunak
yang efektif bagi bisnis untuk data cadangan. Frekuensi backup, keamanan backup dan aman
-
Universitas Mercu Buana | 36
penyimpanan off-site harus diatasi dalam rencana. Backup harus disimpan dengan tingkat
yang sama keamanan sebagai data asli.
Banyak vendor menawarkan layanan backup online data termasuk penyimpanan di "awan".
Ini adalah solusi biaya-efektif untuk bisnis dengan koneksi internet. Perangkat lunak diinstal
pada server klien atau komputer secara otomatis di back-up.
Data harus didukung sesering yang diperlukan untuk memastikan bahwa, jika data hilang, itu
tidak dapat diterima untuk bisnis. Analisa dampak terhadap bisnis harus mengevaluasi
potensi untuk data yang hilang dan mendefinisikan "pemulihan titik tujuan." Data pemulihan
kali harus dikonfirmasi dan dibandingkan dengan itu dan tujuan waktu pemulihan fungsi
bisnis.
12. Compliance (Penyesuaian)
Berdasarkan ISO 27001 keamanan harus disesuaikan dengan hukum, peraturan, dan kontrak
persyaratan. Adapun hal-hal yang perlu disesuaikan seperti :
Audit
Kontrol terhadap sistem operasional dan peralatan audit. Selama dilakukan audit sistem harus
dilakukan untuk meminimalkan intervensi dari dan ke proses audit sistem tersebut. Dan
untuk melindungi integritasnya serta mencegah penyalahgunaan peralatan audit.
Company policies
Kadang-kadang Anda mungkin memiliki peraturan atau persyaratan kontrak untuk menulis
dokumen tertentu.
3rd party/client
Misalnya klien Anda mungkin mengharuskan Anda untuk menandatangani NDAs dengan
karyawan Anda.
Laws and regulation in company location
Kita perlu menyesuaikan sistem keamanan kita dengan peraturan yang berlaku di
daerah/teritory perusahaan. Misalkan ada beberapa peralatan yang tidak diizinkan untuk
-
Universitas Mercu Buana | 37
digunakan atau ada kebijakan khusus mengenai pelestarian lingkungan dan sebagainnya.
Jangan sampai kita harus membuat ulang sistem karena melanggar kebijakan dan
sebagainnya.
-
Universitas Mercu Buana | 38
REFERENSI
http://www.iso27001standard.com/blog/2015/03/26/iso-27001-risk-assessment-treatment-6-
basic-steps/
http://www.iso27001standard.com/blog/2015/03/26/seven-steps-for-implementing-policies-and-
procedures/
http://www.iso27001standard.com/?s=policy&lang=en
http://www.isaca.org/Groups/Professional-English/iso-iec-27000-
series/GroupDocuments/The%20new%20standard%20ISO27001.pdf