Kontrol Fisik dan Jaringan dalam Implementasi ISO 27001

Implementasi ISO 27001 di perusahaan menunjukkan kepada pemangku kepentingan dan customer bahwa perusahaan bisa menangani keamanan sistem informasi dengan serius serta mengetahui resiko dan cara mengatasinya.  Kontrol keamanan untuk Pusat Data menjadi tantangan besar karena semakin banyak perangkat dan peralatan yang ditambahkan. Berikut ini akan dijelaskan bagaimana cara membangun pusat data sesuai standar ISO 27001 dengan mengidentifikasi dan menerapkan kontrol keamanan informasi baik fisik maupun jaringan secara efektif sangat dibutuhkan. 

Baca juga : Inilah Pentingnya Pengkajian Risiko ISO 27001:2022

Bagaimana Cara Memilih Kontrol Keamanan untuk Memenuhi Persyaratan ISO 27001 untuk Pusat Data yang Aman?

Pendekatan terbaik untuk memilih kontrol keamanan untuk Pusat Data harus dimulai dengan penilaian risiko. Dalam penilaian risiko, kamu menganalisis ancaman, kerentanan, dan risiko yang dapat terjadi pada Pusat Data. Metodologi penilaian risiko dapat sama dengan yang kamu gunakan untuk ISO 27001.

• Ancaman (Threats)

Berikut beberapa ancaman yang berbahaya untuk pusat data.

1. Pelanggaran informasi rahasia
2. Serangan Denial of Service (DoS)
3. Akses dan penggunaan sumber daya komputasi yang tidak sah
4. Pencurian identitas
5. Pencurian atau perubahan data

• Kerentanan (Vulnerabilities)

Kerentanan yang paling umum terjadi pada pusat data, yaitu:

1. Kelemahan dalam mengimplementasikan perangkat lunak (software) dan protokol, desain perangkat lunak yang salah atau pengujian yang tidak lengkap
2. Kelemahan konfigurasi, seperti penggunaan kredensial default, elemen yang tidak dikonfigurasi dengan benar, kerentanan yang diketahui dan sistem yang sudah ketinggalan zaman
3. Desain keamanan yang tidak efektif
4. Implementasi redundansi yang tidak efektif untuk sistem yang kritis.
5. Kontrol akses fisik yang tidak efektif/kurangnya kontrol lingkungan.

Berdasarkan daftar risiko yang teridentifikasi, setiap risiko harus dipetakan ke kontrol keamanan berdasarkan ISO 27001 (Kontrol Annex A) atau kontrol keamanan dari standar keamanan informasi lokal/internasional lainnya. Ada berbagai jenis pengendalian yang dapat diterapkan untuk memitigasi risiko yang teridentifikasi. Namun, artikel ini hanya akan fokus pada pengendalian fisik dan pengendalian virtual/jaringan.

• Kontrol Keamanan Fisik (Physical security controls)

Keamanan fisik pusat data merupakan cara untuk mencegah semua jenis kerusakan fisik pada sistem yang menyimpan data penting perusahaan. Kontrol keamanan yang dipilih harus mampu menangani segala permasalahan mulai dari bencana alam hingga serangan dari luar. 

Contoh kontrol keamanan fisik meliputi:

1. Pemilihan Lokasi yang Aman dengan mempertimbangkan faktor lokasi seperti layanan jaringan, kedekatan dengan jaringan listrik, infrastruktur telekomunikasi, jalur transportasi dan layanan darurat, risiko geologi dan iklim, dll.
2. Lokasi bebas risiko bencana alam atau situs Disaster Recovery.
3. Kontrol Akses Fisik dengan gerbang pintu putar anti-tailgating/anti-pass-back yang hanya mengizinkan satu orang untuk melewatinya setelah otentikasi.
4. Titik masuk ke dalam fasilitas.
5. Pembatasan akses fisik tambahan ke private racks.
6. Pengawasan kamera CCTV dengan masa retensi sesuai kebijakan organisasi.
7. Penjaga keamanan di lokasi 24×7, Layanan Pusat Operasi Jaringan (NOC), dan tim teknis.
8. Pemeliharaan berkala terhadap perangkat keras (hardware) yang digunakan.
9. Pemantauan terhadap kontrol akses/aktivitas.
10. AC dan pendingin tidak langsung untuk mengontrol suhu dan kelembaban pada pusat data.
11. Pemantauan suhu dan kelembaban.
12. Catu Daya Tak Terputus/ Uninterruptible Power Supply (UPS).
13. Detektor asap untuk memberikan peringatan dini terjadinya kebakaran pada tahap awal.
14. Sistem proteksi kebakaran, termasuk alat pemadam kebakaran. Sebaiknya pencegahan kebakaran dilakukan dengan sprinkler pipa kering yang dikategorikan
15. Keamanan Pengkabelan termasuk pemasangan kabel di lantai yang ditinggikan, untuk alasan keamanan dan untuk menghindari penambahan sistem pendingin di atas rak.

Baca juga : Langkah-langkah Persiapan Audit ISO 27001:2022

• Kontrol keamanan jaringan (Network security controls)

Keamanan jaringan adalah tindakan yang dilakukan untuk mencegah akses yang tidak sah yang akan mempengaruhi kerahasiaan, integritas, dan ketersediaan data yang disimpan di server atau perangkat komputasi. Berikut ini beberapa cara untuk mencegah serangan virtual:

1. Enkripsi untuk aplikasi web, file dan database.
2. Pastikan Log Audit dari semua aktivitas pengguna dan pemantauannya sama.
3. Menggunakan Praktik Terbaik untuk keamanan kata sandi. Penggunaan kata sandi yang kuat dan nama pengguna yang aman yang dienkripsi melalui SSL 256-bit, dan tidak menyimpannya dalam teks biasa, pengaturan masa berlaku yang dijadwalkan, pencegahan penggunaan ulang kata sandi.
4. Kontrol Akses Berbasis Peran
5. Integrasi AD (Active Directory)/LDAP (Lightweight Directory Access Protocol).
6. Kontrol berdasarkan alamat IP (Internet Protocol).
7. Enkripsi cookie ID sesi untuk mengidentifikasi setiap pengguna unik
8. Dual factor authentication
9. Melaksanakan VAPT (Vulnerability and Penetration Testing) secara berkala.
10. Pencegahan malware melalui firewall dan perangkat jaringan lainnya.

• Pentingnya penilaian risiko 

Penting untuk melakukan penilaian risiko dan menerapkan kontrol keamanan yang tepat untuk mencapai kepatuhan terhadap ISO 27001 serta memastikan Pusat Data yang aman. Setiap menerapkan ISO 27001 atau standar keamanan informasi lainnya, organisasi perlu mempertimbangkan penilaian risiko Pusat Data untuk melindungi data sepenuhnya.