Kontrol fisik dan jaringan berdasarkan ISO 27001 Data Center

Apa itu data center?

Apa itu data center? Data center adalah fasilitas yang digunakan secara khusus untuk menyimpan data dari ratusan sampai ribuan server. Saat mengunggah file secara online, misalnya ke Google Drive, data tersebut disimpan pada data center penyedia layanan tersebut. Apa yang terjadi pada data center akan berdampak pada data yang ada didalamnya. Kontrol keamanan untuk data center menjadi tantangan besar karena jumlah perangkat dan peralatan yang selalu bertambah.

Data Center merupakan bangunan atau ruang khusus yang dapat menampung semua sistem atau infrastruktur Teknologi Informasi organisasi. Seiring dengan jumlah serangan keamanan yang meningkat setiap harinya (termasuk yang memengaruhi Data Center). Hal ini mendorong Data Center untuk meningkatkan keamanannya melalui ISO 27001 Sistem Manajemen Keamanan Informasi. Standar tersebut dapat membantu dalam identifikasi dan penerapan kontrol keamanan informasi yang efektif.

Data Center berisi semua informasi penting organisasi sehingga keamanan informasi adalah prioritas utama yang harus dijaga. Dimana harus mempertahankan standar tinggi untuk memastikan kerahasiaan, integritas, dan ketersediaan lingkungan TI (Teknologi Informasi) yang dihostingnya. Bagaimana membangun Data Center yang sesuai dengan ISO 27001?

Baca juga: Persiapkan Penyusunan Dokumen dan Implementasinya dengan Konsultan ISO 27001

Keamanan Data Center dengan ISO 27001

ISO 27001 adalah standar internasional yang dirancang untuk membantu perusahaan melindungi Sistem Manajemen Keamanan Informasi (SMKI). Kebutuhan layanan data center di Indonesia semakin meningkat secara eksponensial. Dalam aspek teknologi, data center menjadi semakin kecil dengan kapasitas penyimpanan yang besar. Kebutuhan data center di Indonesia didominasi oleh layanan perbankan yang membutuhkan fasilitas penyimpanan, pengolahan dan keamanan data, serta pemanfatan e-commerce oleh perusahaan-perusahaan kecil.

Dengan ISO 27001, perusahaan dibantu dalam mengidentifikasi risiko, mengelola, atau mengurangi risiko informasi. Selain itu, perusahaan juga dapat meninjau dan memperbaiki metode yang diterapkan secara berkelanjutan. Information Security Management Systems (ISMS) ISO 27001 mampu melindungi reputasi bisnis. Sehingga dapat meningkatkan nilai bisnis dan keunggulan kompetitif dengan memberikan kepercayaan kepada pelanggan dan para pemangku kepentingan. Sistem ini memiliki prinsip dasar, yaitu:

1. 1. Kerahasiaan (Confidentiality)
   2. Integritas (Integrity)
   3. Ketersediaan (Availability)

Data center menyimpan berbagai data informasi yang tidak ternilai bagi perusahaan, termasuk informasi sensitif dan eksklusif, mulai dari kekayaan intelektual dan rahasia perdagangan hingga informasi pribadi dan keuangan pelanggan. Sehingga, segala bentuk kebocoran data baik disengaja maupun tidak tentu dapat menyebabkan berbagai masalah, yaitu:

1. 1. Rusaknya reputasi
   2. Hilangnya kepercayaan pelanggan
   3. Kerugian finansial dan pendapatan
   4. Denda ketidakpatuhan dari peraturan industri

Dengan semakin meningkatnya ancaman cyber yang terjadi saat ini, data center perlu menerapkan tingkat keamanan yang tinggi. Setiap perusahaan pasti akan memastikan data dan informasi penting disimpan di tempat yang tepat agar terjaga keamanannya. Salah satunya dengan menggunakan fasilitas data center.

Penting bagi pelaku bisnis mempertimbangkan berbagai hal saat memilih fasilitas data center. Salah satunya dengan memilih data center yang telah memiliki sertifikasi keamanan dan kepatuhan regulasi. Hal ini tentu saja sebagai jaminan atas kredibilitas yang dimiliki data center. Sertifikasi data center adalah bentuk verifikasi bahwa data center memiliki dan menerapkan standar yang dapat berdampak langsung atau tidak langsung terhadap keberlangsungan bisnis klien.

Baca juga: Pentingnya Implementasi ISO 27001 Sistem Keamanan Informasi Perusahaan

Bagaimana memilih kontrol keamanan dalam memenuhi persyaratan ISO 27001 dalam pengamanan Data Center?

Pendekatan terbaik untuk memilih kontrol keamanan untuk Data Center adalah dengan penilaian risiko. Dalam penilaian risiko, perusahaan akan menganalisis ancaman, kerentanan, dan risiko yang mungkin muncul pada Data Center. Dalam hal ini perusahaan dapat menggunakan metode yang digunakan pada ISO 27001. Melalui penilaian risiko organisasi dapat mengidentifikasi ancaman dan kerentanan yang mungkin muncul pada data center.

Beberapa contoh ancaman (threats) yang paling umum pada Data Center.

1. 1. Pelanggaran informasi rahasia
   2. Serangan Denial of Service (DoS).
   3. Akses tidak sah dan penggunaan sumber daya komputasi
   4. Pencurian identitas
   5. Pencurian atau pengubahan data

Kerentanan (Vulnerabilities) yang umum terjadi.

1. 1. Kegagalan implementasi (seperti pada perangkat lunak dan protokol, desain perangkat lunak yang salah atau pengujian yang tidak lengkap, dll).
   2. Kesalahan konfigurasi (seperti penggunaan kredensial default, elemen tidak dikonfigurasi dengan benar, kerentanan yang diketahui, sistem kedaluwarsa, dll).
   3. Desain keamanan yang tidak efektif
   4. Implementasi redundansi yang tidak efektif untuk sistem kritis
   5. Kontrol akses fisik tidak efektif/kurangnya kontrol lingkungan, dll.

Berdasarkan daftar risiko yang telah teridentifikasi, setiap risiko harus dipetakan dengan kontrol keamanan ISO 27001 (Kontrol Lampiran A) atau kontrol keamanan standar keamanan informasi lokal/internasional lainnya. Terdapat berbagai jenis kontrol yang dapat diterapkan untuk mengurangi risiko yang teridentifikasi, contohnya pada kontrol fisik dan kontrol virtual/jaringan.

Baca juga: ISO 27001 Solusi Keamanan Data Internet Provider di Indonesia

Kontrol Fisik

Keamanan fisik Data Center adalah seperangkat protokol untuk mencegah berbagai kerusakan fisik pada sistem yang menyimpan data penting organisasi. Kontrol keamanan yang dipilih harus mampu menangani segala bentuk risiko mulai dari bencana alam, spionase perusahaan, hingga serangan teroris.

Contoh kontrol keamanan fisik.

1. 1. Pemilihan lokasi yang aman dengan mempertimbangkan faktor lokasi. Seperti layanan jaringan, kedekatan dengan jaringan listrik, infrastruktur telekomunikasi, jalur transportasi dan layanan darurat, risiko geologis dan iklim, dll.
   2. Lokasi bebas risiko bencana alam atau situs Pemulihan Bencana.
   3. Kontrol Akses Fisik dengan gerbang pintu putar anti-tailgating/anti-pass-back yang hanya mengizinkan satu orang untuk melewatinya setelah otentikasi.
   4. Titik masuk tunggal (single entry point) terhadap fasilitas.
   5. Pembatasan akses fisik tambahan ke private racks.
   6. Pengawasan kamera CCTV dengan retensi video sesuai kebijakan organisasi
   7. Penjaga keamanan 24×7, Layanan Pusat Operasi Jaringan (NOC), dan tim teknis
   8. Pemeliharaan rutin perangkat keras yang digunakan
   9. Memantau kontrol akses/aktivitas
   10. Penyejuk udara (AC) dan pendinginan tidak langsung untuk mengontrol suhu dan kelembaban
   11. Pemantauan suhu dan kelembaban
   12. Catu Daya Tak Terputus – Uninterruptible Power Supply (UPS)
   13. Detektor asap untuk memberikan peringatan dini tentang kebakaran pada tahap awal
   14. Sistem proteksi kebakaran, termasuk alat pemadam kebakaran (direkomendasikan menggunaakan penyiram pipa kering yang dikategorikan).
   15. Pengamanan Kabel termasuk pemasangan kabel lantai yang ditinggikan. Hal ini untuk keamanan dan untuk menghindari penambahan sistem pendingin di atas rak.

Baca juga: Standar Operating Procedure (SOP) Keamanan Informasi untuk mendapatkan Sertifikat ISO 27001

Kontrol Jaringan

Keamanan virtual atau keamanan jaringan adalah tindakan yang dilakukan untuk mencegah akses tidak sah yang dapat memengaruhi kerahasiaan, integritas, atau ketersediaan data yang disimpan di server atau perangkat komputasi. Keamanan jaringan cukup sulit untuk ditangani karena ada banyak cara untuk mengkompromikan jaringan organisasi. Tantangan terbesar keamanan jaringan adalah metode peretasan atau serangan jaringan yang selalu berkembang dari tahun ke tahun.

Pencegahan serangan virtual dapat dilakukan dengan beberapa teknik.

1. 1. Enkripsi untuk aplikasi web, file, dan database.
   2. Log Audit dari semua aktivitas pengguna dan pemantauannya.
   3. Menggunakan praktik terbaik untuk keamanan kata sandi.
      Penggunaan kata sandi yang kuat dan nama pengguna yang aman dan dienkripsi melalui SSL 256-bit, dan tidak menyimpannya dalam teks biasa, pengaturan kedaluwarsa terjadwal, dan pencegahan penggunaan ulang kata sandi.

1. 4. Kontrol akses berbasis peran.
   5. Integrasi AD (Active Directory)/LDAP (Lightweight Directory Access Protocol).
   6. Kontrol berdasarkan alamat IP (Internet Protocol).
   7. Enkripsi sesi cookie ID untuk mengidentifikasi setiap pengguna unik.
   8. Otentikasi faktor ganda.
   9. VAPT (Pengujian Kerentanan dan Penetrasi) pihak ketiga yang sering dilakukan.
   10. Pencegahan malware melalui firewall dan perangkat jaringan lainnya.

Baca juga: Pengenalan SMAP ISO 37001:2016 Sistem Manajemen Anti Penyuapan

Hubungi Kami

Jika membutuhkan informasi lebih lanjut mengenai Konsultasi ISO 9001, Kami akan senantiasa untuk membantu.