Cara menerapkan perlindungan fisik peralatan sesuai dengan ISO 27001 A.11.2
Sebagian besar perusahaan saat ini memiliki metode dan kontrol perlindungan peralatan fisik untuk melindungi diri dari perangkat lunak berbahaya (virus, trojan, dll.), Untuk mencegah karyawan mengakses situs berbahaya (memfilter alamat melalui server proxy), atau untuk mengenkripsi informasi saat dikirim/diterima melalui email. Namun, saya sering menemukan perusahaan yang mengabaikan perlindungan fisik peralatan, mungkin karena banyak perusahaan berpikir bahwa masalah keamanan ditangani jika mereka membeli anti-virus, proxy, atau solusi perangkat lunak bagus lainnya.
Mengenai perlindungan fisik peralatan, saya suka membedakan antara dua jenis tindakan: tindakan yang secara langsung mempengaruhi peralatan (misalnya: pemeliharaan peralatan, penggunaan kembali peralatan, dll.), Dan yang secara tidak langsung mempengaruhi peralatan (seperti utilitas pendukung, keamanan kabel, dll.).
Omong-omong, artikel tentang keamanan fisik ini mungkin menarik bagi Anda: Keamanan fisik dalam ISO 27001: Cara melindungi area aman.
Pada artikel ini, pertama, saya akan memberi Anda beberapa saran dan praktik terbaik tentang langkah-langkah yang secara tidak langsung mempengaruhi peralatan, dan pada bagian kedua saya akan memberikan penjelasan tentang perlindungan peralatan fisik yang akan membantu organisasi Anda untuk menjaga keamanan informasi perusahaan Anda. Untuk tips ini, saya akan mengikuti subbagian A.11.2 dari Lampiran A ISO 27001: 2013, yang berfokus pada keamanan fisik peralatan.
Beberapa kontrol utama untuk perlindungan fisik peralatan yang akan diterapkan sesuai dengan ISO 27001:
- Utilitas pendukung (kontrol A.11.2.2)
- Meja yang jelas dan kebijakan layar yang jelas (kontrol A.11.2.9)
- Dudukan dan perlindungan peralatan (kontrol A.11.2.1)
- Pemeliharaan peralatan (kontrol A.11.2.4)
- Penghapusan aset (kontrol A.11.2.5)
Jadi, mari kita mulai dulu dengan kontrol yang secara tidak langsung memengaruhi peralatan.
Utilitas pendukung (kontrol A.11.2.2)
Tampak jelas bahwa peralatan harus terhubung ke stopkontak, dan dalam banyak kasus ada UPS dan / atau generator yang dapat menyediakan daya jika pemasok energi utama gagal. Tapi, seringkali saya menemukan perusahaan yang belum pernah mencoba pasokan energi alternatif mereka, atau tidak tahu kapasitasnya, yaitu waktu bisnis dapat bekerja dengan energi alternatif ini. Oleh karena itu, tidak hanya penting untuk menetapkan alternatif, tetapi juga penting untuk menentukan rencana pemeliharaan dan menentukan tugas-tugas yang akan dilakukan. Dan, sangat disarankan agar Anda membuat laporan dengan hasil (kesimpulan, kegagalan, durasi tes, dll.).
Saya juga menemukan perusahaan yang bekerja di fasilitas bersama, dan mereka memiliki generator yang dikelola oleh pihak ketiga. Yah, itu seharusnya tidak menjadi masalah – Anda dapat meminta dari penyedia layanan Anda rencana pemeliharaan dan tes (dan rekomendasi saya adalah bahwa ini harus didefinisikan dalam perjanjian).
Keamanan kabel (kontrol A.11.2.3)
Dalam hal ini, juga tampak jelas bahwa teknologi saat ini tidak mungkin tanpa kabel (kabel jaringan, kabel catu daya, kabel untuk telepon, dll.), Dan sangat umum bahwa tidak ada yang repot-repot memesan kabel secara terstruktur. Tapi, untuk menghindari kesalahan (seseorang dapat melepaskan kabel secara tidak sengaja, atau bahkan mematahkannya):
- kabel tidak boleh longgar atau tidak lepas
- itu harus dikumpulkan dan disalurkan melalui cara-cara yang disiapkan untuk meletakkan kabel (di dekat dinding, di sepanjang rak server, dll.)
- rak kabinet, panel listrik, atau bahan lain untuk melindungi dan mengkanalisasi kabel harus digunakan, dan harus dikunci
Dalam hal ini, saya juga menemukan perusahaan yang memiliki rak yang kuat dan mengesankan yang dilindungi dengan gembok, tetapi dengan kunci yang tertinggal di kunci; Tolong, jangan lakukan ini! Ini tidak lebih baik daripada tidak memiliki rak sama sekali.
Meja yang jelas dan kebijakan layar yang jelas (kontrol A.11.2.9)
Umumnya, pengguna saat ini sadar dan tahu bahwa mereka tidak boleh menulis kata sandi mereka pada catatan tempel dan menempelkannya di layar komputer mereka, atau di desktop mereka. Namun, masalah ini tidak boleh diabaikan, Anda juga tidak boleh berpikir bahwa pengguna mengetahui praktik clear desk/clear screen. Jadi, Anda harus menetapkan kebijakan yang mengingatkan pengguna bahwa mereka tidak boleh meninggalkan informasi sensitif apa pun yang ada di ruang kerja mereka (kata sandi, pengguna, pengaturan, data dari klien, pemasok, dll.).
Perangkat lunak bukanlah solusi untuk semuanya
Saya yakin Anda tahu bahwa perangkat lunak bukanlah solusi untuk segala sesuatu yang berkaitan dengan keamanan informasi bisnis Anda, karena peretas dapat menyerang peralatan Anda dengan berbagai cara. Intinya adalah bahwa ada banyak ancaman yang terkait dengan keamanan fisik dan perlindungan peralatan fisik, dan karena penyerang tahu bahwa – peralatan adalah titik lemah di banyak perusahaan.
Di bagian kedua artikel ini Anda akan belajar lebih banyak tentang metode perlindungan peralatan fisik dan langkah-langkah yang dapat Anda gunakan untuk melindungi peralatan secara langsung (artinya bahwa tindakan tersebut secara langsung memengaruhi peralatan, misalnya, pemeliharaan peralatan, penggunaan kembali peralatan, dll.) dari organisasi Anda. Kami akan kembali mengikuti struktur Lampiran A ISO 27001 dan saran praktik terbaik ISO 27002.
Dudukan dan perlindungan peralatan (kontrol A.11.2.1)
Peralatan harus ditempatkan di lokasi yang aman di mana kondisi terpenuhi untuk operasi yang tepat (kelembaban, suhu, dll.). Oleh karena itu, penting untuk mengatur sensor kelembaban dan suhu, dan untuk mengontrol kondisi agar peralatan dapat beroperasi dengan benar. Ketika berbicara tentang kondisi kerja – ingatlah bahwa peralatan disiapkan untuk bekerja dalam kondisi tertentu, dan banyak komputer (terutama server) siap untuk dimatikan secara otomatis pada saat kondisi ini tidak terpenuhi (misalnya, suhu tinggi). Mereka melakukan ini terutama untuk mencegah kerusakan pada peralatan, yang akibatnya, menyiratkan gangguan pada bisnis Anda.
Di sini juga penting bahwa peralatan ditempatkan di lokasi yang aman untuk meminimalkan akses yang tidak perlu, dan untuk ini, Anda dapat menggunakan area kerja yang berbeda, melindunginya dengan kontrol akses fisik. Dan, penting juga bahwa fasilitas pemrosesan informasi yang menangani data sensitif diposisikan dengan hati-hati.
Ketika datang ke perlindungan peralatan fisik, di sisi lain, untuk menjaga lingkungan yang memadai, itu juga cenderung menjadi praktik yang baik untuk menetapkan norma bahwa karyawan tidak makan, merokok, atau minum di sekitar peralatan.
Pemeliharaan peralatan (kontrol A.11.2.4)
Ini adalah poin lain yang sering diabaikan perusahaan, yang memiliki potensi peningkatan yang signifikan. Karena semua peralatan memiliki siklus hidup – Anda harus melakukan pemeriksaan berkala terhadap statusnya, yaitu kesehatan umum. Dalam hal ini, perusahaan biasanya menyewa layanan pemeliharaan untuk peralatan (terutama untuk server dan desktop), terutama jika perusahaan tidak memiliki Departemen TI sendiri dengan pengetahuan spesialis. (Ingat: Pusat data saat ini bisa sangat kompleks dan mahal. Anda hanya boleh mengizinkan para ahli untuk membuka rak Anda dan menangani masalah perangkat keras.) Bagaimanapun, rencana peninjauan yang jelas harus ditetapkan (dengan tanggung jawab masing-masing) setidaknya setiap tahun. Status peralatan organisasi harus diperiksa, menghasilkan laporan yang menunjukkan peralatan yang ditinjau dan kondisinya (misalnya, bekerja dengan baik, HW (menyatakan yang mana) membutuhkan pemeliharaan / penggantian, dll.).
Penghapusan aset (kontrol A.11.2.5)
Peralatan tidak boleh meninggalkan fasilitas organisasi tanpa izin (ini juga berlaku untuk informasi dan perangkat lunak). Meskipun itu mungkin tampak jelas, cukup sering saya menemukan bahwa, misalnya, seorang karyawan membawa pulang laptop perusahaan ketika, dalam sebagian besar kasus, itu belum disetujui secara resmi. Dan, ini sangat mendasar: menetapkan kontrol peralatan yang meninggalkan fasilitas perusahaan dengan mendefinisikan, misalnya, apa alasannya, siapa yang bertanggung jawab atas peralatan, berapa lama waktu yang akan habis, di mana itu akan berada, dll. Kita tidak boleh lupa bahwa ini adalah peralatan organisasi, dan organisasi memiliki hak untuk mengetahui detail dari apa yang terjadi di luar fasilitasnya.
Jika perusahaan sangat kecil (kurang dari 10 karyawan), dan mereka biasanya bekerja dengan peralatan di luar kantor, disarankan juga agar CEO menulis surat edaran dengan aturan yang jelas untuk mengeluarkan peralatan dari kantor.
Satu hal lagi: Meskipun nama kontrol ini menyiratkan penghapusan aset, kontrol itu sendiri menjelaskan apa yang harus dilakukan, yaitu, bagaimana berperilaku ketika mengambil aset di luar situs. Mengenai aset, artikel ini dapat membantu Anda menangani daftar aset: Cara menangani Daftar aset (Inventaris aset) menurut ISO 27001.
Keamanan peralatan dan aset di luar lokasi (kontrol A.11.2.6)
Ketika peralatan keluar dari lokasi, tidak hanya penting untuk menetapkan bahwa isinya dienkripsi – karyawan yang mengeluarkan peralatan dari fasilitas juga harus memastikan keselamatan fisiknya setiap saat, dengan perhatian khusus di tempat-tempat umum, dan berhati-hatilah agar tidak rusak. Langkah-langkah yang sama ini juga harus berlaku jika karyawan bekerja dari rumah.
Pembuangan atau penggunaan kembali peralatan yang aman (kontrol A.11.2.7)
Seperti yang Anda ketahui, semua peralatan memiliki siklus hidup, setelah itu perlu untuk menyingkirkannya. Berhati-hatilah dengan poin ini: ingatlah bahwa informasi organisasi Anda disimpan di komputer/server, dan informasi tersebut dapat tetap ada bahkan jika Anda yakin telah menghapusnya. Oleh karena itu, untuk menghindari kemungkinan kebocoran informasi di komputer yang digunakan kembali atau dihilangkan, Anda harus membuang informasi dengan aman (melalui perangkat lunak), atau secara fisik menghancurkan hard drive yang berisi informasi tersebut. Jika Anda ingin menambahkan lapisan keamanan tambahan, Anda dapat mengenkripsi informasi sebelum menghancurkannya dengan cara ini, dalam kasus hipotetis bahwa seseorang dapat memulihkan informasi melalui beberapa mekanisme, mereka kemudian harus mendekripsinya.
Peralatan pengguna tanpa pengawasan (kontrol A.11.2.8)
Seperti yang Anda ketahui, pengguna harus dilatih untuk melindungi peralatan yang mereka gunakan. Misalnya, katakanlah seorang karyawan perlu pergi ke kamar mandi, atau pergi ke luar untuk berbicara di telepon atau merokok. Itu terjadi, berkali-kali, bahwa mereka meninggalkan sesi terbuka pada sistem mereka; yaitu, akses ke komputer tidak terkunci. Dalam kehidupan nyata, banyak perusahaan mengendalikan situasi seperti itu melalui server terpusat, memaksa sistem untuk mengeluarkan pengguna secara otomatis jika ia tidak berinteraksi dengan sistem setelah waktu tertentu. Namun, terlepas dari ini, juga disarankan untuk meningkatkan kesadaran, memberikan informasi tentang risiko peralatan pengguna tanpa pengawasan, yang juga akan menciptakan budaya keamanan informasi.
Organisasi ini tidak hanya bekerja dengan perangkat keras, perangkat lunak, atau data digital – tetapi juga bekerja dengan orang-orang
Metode dan tindakan perlindungan peralatan fisik ini membantu melindungi peralatan secara langsung di organisasi Anda, dan dalam hal ini penting untuk menekankan bahwa sangat penting untuk mendidik dan meningkatkan kesadaran di antara staf organisasi. Solusi perangkat lunak keamanan (firewall, anti-virus, dll.) tidak menyelesaikan semua masalah; Kita perlu menerapkan kontrol keamanan tambahan yang tidak terkait dengan perangkat lunak – mereka terkait dengan kesadaran orang-orang, yang perlu menerapkan kontrol keamanan yang memadai terkait langsung dengan peralatan yang mereka gunakan.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
