Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Manajemen Pusat Data

Pengertian dan Konsep Manajemen Keamanan Fisik Pusat Data

Oleh Nikita Dini
Pengertian dan Konsep Manajemen Keamanan Fisik Pusat Data - Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi (TI) maupun industri lainnya. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek. Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Isi dari ISO 17799 meliputi : 10 control clauses, 36 control objectives dan 127 controls security.

Melalui artikel ini diharapkan mampu memahami pedoman standar ANSI/TIA-942, ISO/IEC-27001/2, SOP mengelola kendali akses keamanan seperti Entry/Exit control, manajemen akses, pengantaran barang, pengaksesan oleh pelanggan dan manajemen insiden keamanan.

MANAJEMEN KEAMANAN FISIK

Istilah dan Definisi di ISO-17799

  • ISO - the International Standards Organization adalah lembaga idependent yang mengeluarkan standar operasional prosedur (SOP) terhadap kualitas suatu layanan.
  • Information Security - merupakan gambaran dari 3 aspek penting keamanan informasi yang meliputi confidentiality, integrity dan availability.
  • Risk Assessment – perkiraan kemungkinan ancaman akibat kelemahan keamanan sistem informasi dan proses ketersediaan informasi sehingga bisa menyebabkan gangguan.
  • Risk Management – proses identifikasi, pengawasan, minimalisasi atau eliminasi resiko keamanan yang akan mempengaruhi sistem informasi, untuk biaya yang dapat diterima.
  • ISMS - Information Security Management System. Sistem manajemen keamanan informasi organisasi yang menyediakan pendekatan sistematik dalam mengatur informasi yang sensitif agar dapat memproteksinya. Ini meliputi pegawai, proses-proses dan sistem informasi.

Pengertian dan Konsep Manajemen Keamanan Fisik Pusat Data_
image source: blog.schneider-electric.com/
baca juga: Pengertian dan Contoh Prosedur Operasi Standar dan Prosedur Kerja

1. Pendahuluan
Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi (TI) maupun industri lainnya, seperti: perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur kritikal (penting).

Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan.

Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose, melatarbelakangi disusunnya ISO 17799, standar untuk sistem manajemen keamanan informasi.
Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok perusahaan besar seperti BOC, BT, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan BS (British Standard) 7799.

BS 7799 Part 1: the Code of Practice for Information Security Management. Februari 1998 BS 7799 Part 2: The Specification for Information Security Management Systems (ISMS) menyusul diterbitkan. Desember 2000 ISO (International Organization of Standardization) dan IEC (International Electro-Technical Commission) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara internasional.

2. Keamanan Informasi

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
  1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
  2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
  3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.

Gambar 1. Elemen-elemen keamanan informasi_
Gambar 1. Elemen-elemen keamanan informasi

3. Mengapa diperlukan keamanan informasi?
Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut:


Gambar 2. Grafik persentase ancaman keamanan sistem informasi_
Gambar 2. Grafik persentase ancaman keamanan sistem informasi

Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%).

Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.

Gambar 3. UK business network attack_
Gambar 3. UK business network attack

Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini.

4. Apa Isi dari ISO-17799
Isi dari ISO 17799 meliputi :
  • 10 control clauses (10 pasal pengamatan)
  • 36 control objectives (36 objek/sasaran pengamanan)
  • 127 controls securiy (127 pengawasan keamanan)

10 control clouses tersebut, antara lain:
  1. Security Policy 
  2. System Access Control 
  3. Communication & Operations Management 
  4. System Development and Maintenance 
  5. Physical and Environmental Security 
  6. Compliance 
  7. Personnel Security 
  8. Security Organization (Information Security) 
  9. Asset Classification and Control 
  10. Business Continuity Management (BCM) 


Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan informasi-informasi krusial yang dimiliki oleh perusahaan.

Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan.

Security Policy meliputi berbagai aspek, yaitu :
  1. Information security infrastructure
  2. Information security policy

System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobile-computing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :
  1. Access control.
  2. User Access Management.
  3. User Responsibilities.
  4. Network Access Control
  5. Operation System access Control
  6. Application Access Control.
  7. Monitor system Access and use.
  8. Mobile Computing and Telenetworking.

 Communication and Operations Management (manajemen komunikasi dan operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :
  1. Operational procedures and reponsibilities.
  2. System Planning and acceptance.
  3. Protection against malicious software.
  4. Housekeeping
  5. Network Management.
  6. Media handling and security.
  7. Exchange of Information and software.

 System Development and Maintenance (pengembangan sistem dan pemeliharaan), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan ke live environment.

Penelitian untuk pengembangan dan perawatan sistem yang ada meliputi berbagai aspek, yaitu :
  1. Security requirements of system.
  2. Security in application system.
  3. Cryptographic control
  4. Security of system files
  5. Security in development and support process.

 Physical and Environmental Security (keamanan fisik dan lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas antara lain:
  1. Secure Areas
  2. Equipment security
  3. General Control

 Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual melalui audit sistem secara berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan aturan – aturan sesuai dengan hukum yang berlaku meliputi berbagai aspek, yaitu :
  1. Compliance with legal requirements
  2. Reviews of security policy and technical comliance.
  3. System audit and consideration

 Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing.

Personnel Security meliputi berbagai aspek, yaitu :
  1. Security in Job Definition and Resourcing.
  2. User Training.
  3. Responding to Security Incidens and Malfunction.

 Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu :
  1. Security of third party access
  2. Outsourcing

 Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek, diantaranya :
  1. Accountability for Assets.
  2. Information Classification.

 Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan proses bisnis, dengan mempertimbangkan:
  1. Aspects of business continuity management
Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien.

36 objek pengamatan/pengawasan keamanan merupakan uraian dari aspek 10 control clouse tersebut.

Gambar 4 Struktur dari kesepuluh wilayah standar (10 control clouse)_
Gambar 4 Struktur dari kesepuluh wilayah standar (10 control clouse)


5. Aset dan aspek yang dinilai dalam ISO 17799

  • Information assets (aset informasi),
  • Software assets (aset perangkat lunak yang dimiliki),
  • Physical assets (aset fisik) dan
  • Services (pelayanan).

Sekian artikel tentang Pengertian dan Konsep Manajemen Keamanan Fisik Pusat Data. Semoga bermanfaat.

Daftar Pustaka
  1. Douglas Alger (2005), Build the Best Data Center Facility for Your Business, Cisco Press, Indianapolis, USA.
  2. Mauricio Arregoces, Maurizio Portolani (2003), Data Center Fundamentals, Cisco Press, USA.
  3. Kailas Jayaswal (2006), Administering Data Centers: Servers, Storage, and Voice over IP, Wiley Publishing, Inc, USA.
  4. Hubbert Smith (2011), Data Center Storage: Cost Effective Strategies, Implementation, and Management, CRC Press, USA
  5. Diah Eka Yulianti, Hafda Bayu Nanda (2008). Best Practice Perancangan Data Center.OPenContent License.
Nikita Dini
Nikita Dini Blogger, Internet Marketer, Web Designer