Cara melindungi dari ancaman eksternal dan lingkungan menurut ISO 27001 A.11.1.4
Keamanan fisik memainkan peran penting dalam perlindungan informasi, karena bahkan kontrol teknis dan administratif yang dirancang, diimplementasikan, dan dipelihara dengan baik, baik yang terkait dengan TI atau dari beberapa area lain, tidak banyak membantu jika suatu peristiwa secara fisik memengaruhi lingkungan atau aset tempat kontrol tersebut bekerja.
Misalnya, prosedur dan perangkat lunak canggih untuk pencadangan tersebut tidak banyak membantu jika seseorang, atau sesuatu, merusak media atau perangkat keras tempat operasi dilakukan, atau jika Anda tidak dapat mencapai lokasi media cadangan untuk mengambilnya.
Dan, untuk membuat segalanya sedikit lebih rumit, ada peristiwa fisik dengan kemungkinan kecil untuk terjadi, tetapi itu dapat menyebabkan banyak kerusakan, dan yang Anda miliki sedikit atau tidak memiliki pengaruh atau kendali atas. Bagaimana cara menghadapi situasi ini?
Untungnya, ISO 27001 menawarkan serangkaian rekomendasi tentang apa yang harus Anda pertimbangkan untuk membuat keamanan fisik Anda lebih andal. Dalam artikel ini saya akan fokus pada kontrol A.11.1.4 – Melindungi dari ancaman eksternal dan lingkungan.
Lanskap ancaman dan solusi umum
Dengan ancaman eksternal dan lingkungan, kontrol ISO 27001 A.11.1.4 mengacu pada peristiwa yang disebabkan oleh alam (misalnya, kebakaran, banjir, gempa bumi, kilat, cuaca buruk, hewan, dll.) dan tindakan buatan manusia, baik disengaja atau tidak disengaja, dilakukan oleh orang-orang yang tidak berada di bawah tanggung jawab, pengaruh, atau kendali organisasi (misalnya, vandalisme, kerusuhan sipil, tabrakan, dll.).
Karakteristik ini membuat identifikasi ancaman sedikit lebih kompleks, karena mereka sebagian besar bergantung pada informasi yang ada di luar organisasi (misalnya, sejarah lokasi, demografi, populasi, aspek budaya, statistik kriminal, dll.). Untuk membantu mengumpulkan informasi ini, organisasi dapat menggunakan ISO 31000 (Manajemen risiko – Prinsip dan pedoman), klausul 5.3.2, dan ISO 27005 (Teknologi informasi — Teknik keamanan — Manajemen risiko keamanan informasi), Lampiran C, sebagai panduan untuk menentukan masalah eksternal yang relevan untuk Sistem Manajemen Keamanan Informasi (ISMS).
Namun, terlepas dari kekhususan masalah eksternal, ada beberapa praktik baik yang umumnya dapat diamati: situs dapat dikeraskan terhadap kecelakaan dan bencana lingkungan, dan hambatan dapat ditempatkan untuk mencegah atau menunda agen potensial. Kita akan melihat beberapa di antaranya di bagian selanjutnya.
Pengerasan konstruksi
Selain perangkat keras dan perangkat lunak, langkah-langkah konstruksi dapat dimasukkan yang mengurangi kemungkinan kompromi, seperti:
Lokasi: Dengan mengetahui sejarah suatu tempat sebelumnya, sebuah organisasi dapat menghindari peristiwa alam seperti gempa bumi, banjir, dan angin topan, atau kegiatan seperti tindakan kriminal dan vandalisme. Jika tidak memiliki pilihan lain, setidaknya dapat mempersiapkan situs/fasilitas untuk menghadapi situasi semacam itu (misalnya, fondasi yang diperkuat dan pemilihan situs alternatif).
Dinding: Dinding dan perawatan yang diperkuat untuk melindunginya dari agen seperti api, air, dan bahan kimia dapat membantu meminimalkan atau menunda efek agen tersebut atas aset organisasi.
Pintu masuk: Jendela dan pintu merupakan dilema, karena mereka harus mempertimbangkan penguatan terhadap akses yang tidak sah serta memfasilitasi keluarnya orang jika terjadi keadaan darurat. Untuk titik masuk lain yang tidak terlalu jelas (misalnya, port ventilasi dan poros), mereka harus mempertimbangkan langkah-langkah untuk mencegah orang dan hewan menyelinap ke situs atau mendapatkan akses ke kabel atau pipa.
Layanan eksternal: Tidak ada organisasi yang sepenuhnya otonom, dan itu berarti mereka bergantung pada beberapa layanan eksternal seperti energi, komunikasi, transportasi umum, dan, jika terjadi kecelakaan dan bencana, layanan darurat. Organisasi harus mempertimbangkan kebutuhannya akan lokasi yang dapat diakses oleh beberapa rute dan penyedia.
Pencegahan Kejahatan Melalui Desain Lingkungan (CPTED)
CPTED adalah metode yang digunakan dalam perencanaan keamanan yang berfokus pada desain, penempatan, dan cara bangunan digunakan sebagai sarana untuk meningkatkan keamanan, dan seperti standar ISO, dapat digunakan di hampir semua jenis bangunan atau skenario, baru atau yang sudah ada. Dan meskipun prinsip-prinsipnya dapat bervariasi dari satu tempat ke tempat lain, ada tiga aspek umum yang selalu Anda temukan:
Pengawasan alami: Lihat dan lihat adalah faktor kunci untuk mitigasi ancaman, dan penghalang lansekap dapat menyebabkan titik-titik kerentanan. Sambil memikirkan lingkungan situs, cobalah untuk memastikan ada pandangan yang jelas tentang orang-orang, untuk membuat kegiatan yang mengancam lebih mudah dikenali. Pagar kokoh rendah, dedaunan pohon tinggi dan titik pengamatan adalah contoh yang baik.
Kontrol akses alami: Gunakan lanskap alam untuk mengarahkan arus lalu lintas. Pintu masuk yang berdampingan dengan perbukitan rendah menawarkan perlindungan lebih dari yang berdampingan dengan medan datar. Satu pintu masuk lebih baik daripada banyak. Garis berwarna yang menandakan rute adalah alternatif lain untuk membuat pengguna secara alami menemukan jalan masuk dan keluar dan meningkatkan peluang untuk menemukan dan mencegah perilaku yang mencurigakan.
Penguatan teritorial: Dan meskipun ruang dapat menyambut, mereka harus didefinisikan dengan baik dan memiliki batas yang jelas. Dengan cara ini Anda dapat mengubah cara orang menggunakan area tersebut, melalui aturan tidak sadar yang membantu mencegah atau menemukan perilaku yang tidak diinginkan. Perubahan halus dalam tata letak dan pensinyalan adalah contoh yang baik dari penguatan teritorial.
Elemen lain yang dapat dianggap sebagai CPTED adalah penenang lalu lintas, zona transisi, pemeliharaan, dan pencahayaan.
Jangan berharap peristiwa tidak akan pernah terjadi. Buat mereka tidak relevan
Insiden selalu menjadi pertanyaan kapan, bukan jika. Dengan tren bisnis yang sebenarnya, kontrol teknis dan administratif mungkin menarik lebih banyak perhatian dari praktisi keamanan, tetapi mereka tidak pernah bisa lupa bahwa kontrol tersebut pada akhirnya bergantung pada aset fisik yang harus dilindungi juga, dalam banyak kasus dengan tingkat keandalan yang unggul.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
