Keamanan fisik dalam ISO 27001: Cara melindungi area aman
Informasi dan aset TI Anda tidak terletak di antah berantah. Mereka membutuhkan atap, dinding, pintu, dan kondisi operasi yang memadai. Sama seperti manusia. Perangkat lunak memiliki pintu belakang (tidak selalu dieksploitasi untuk tindakan jahat) seperti halnya bangunan mana pun. Banyak fitur keamanan TI dibangun di atas prinsip dan solusi keamanan fisik “lama”. Adapun TI, tanpa kontrol keamanan fisik yang tepat, aset informasi kami berisiko.
Apa itu area aman?
Area aman adalah situs tempat Anda menangani informasi sensitif atau melindungi peralatan dan personel TI yang berharga untuk mencapai tujuan bisnis. Dalam konteks keamanan fisik, istilah “situs” berarti bangunan, kamar, atau kantor yang menampung semua layanan dan fasilitas (listrik, pemanas, AC).
Peran utama keamanan fisik adalah untuk melindungi aset informasi Anda – material dan kurang nyata – dari ancaman fisik: akses tidak sah, tidak tersedianya dan kerusakan yang disebabkan oleh tindakan manusia, dan peristiwa lingkungan dan eksternal yang merugikan.
Aset material, tentu saja, perangkat keras dan media informasi. Aset informasi yang kurang nyata adalah kata-kata yang diucapkan dan data yang ditampilkan (di layar dan poster).
Elemen konteks fisik
Situs, bangunan, area publik, area kerja, dan area aman tidak berada di antah berantah atau di suatu tempat di udara. Mereka berada di tempat yang cocok untuk orang-orang. Tiga elemen harus diperhitungkan sebagai konteks fisik Anda untuk memutuskan perlindungan yang sesuai:
Perimeter & perbatasan. Kami memiliki hingga empat garis pertahanan untuk dipertimbangkan:
- Pertama: situs (pagar) atau bangunan (dinding)
- Kedua: (akhirnya) lantai atau lantai bangunan
- Ketiga: ruangan
- Keempat: “kotak yang lebih kecil” tempat Anda meletakkan aset (kabinet, lemari, brankas)
Gates. Jelas ada kebutuhan untuk masuk dan keluar dari lingkungan fisik. Pintu dan jendela pertama kali dipikirkan, tetapi kebanyakan orang mengabaikan saluran kabel, saluran masuk / keluar udara, dll.
Jangan lupa cara ke dan dari gerbang: jalan akses dan keluar, baik normal maupun “darurat” – diwajibkan oleh peraturan keselamatan.
Lingkungan. Ini menyangkut koridor, jalan setapak, jalan, ruang hijau, atau area parkir yang terletak di sekelilingnya.
Langkah-langkah Keamanan
Lingkungan fisik, dan terutama area aman, harus memenuhi harapan keamanan. Ini terjadi melalui pemberian tingkat kekuatan yang memadai sebagaimana didefinisikan oleh kegiatan manajemen risiko untuk masing-masing elemennya. Lihat juga artikel ini: Penilaian risiko ISO 27001: Cara mencocokkan aset, ancaman, dan kerentanan.
Perimeter & batas
Persyaratan pertama jelas: kekuatan perimeter harus disesuaikan dengan isinya.
Kedua: keenam wajah (4 dinding + lantai dan langit-langit) dari tiga perimeter terakhir (lantai, ruangan, kabinet) harus memiliki kekuatan yang sama. Ini berfungsi sedikit untuk memiliki dinding yang kuat jika Anda bisa masuk ke ruangan melalui langit-langit atau lantai palsu.
Berdasarkan “alam” (seperti yang selalu terjadi dalam sejarah), aset yang paling sensitif harus ditempatkan dalam perimeter terkuat (“area aman”), yang dilindungi oleh yang lain dan seterusnya (“teknik bawang”).
Konsep “zonasi” menggambarkan berbagai kategori “kamar” tergantung pada apa yang dikandungnya dan bagaimana mereka berada dalam hubungannya dengan yang lain.
Ketika datang untuk bekerja di area yang aman, Anda mungkin diminta untuk mengontrol:
- kehadiran (jika kontrol akses gerbang tidak beroperasi): perlindungan volumetrik (hal yang sama seperti detektor asap atau kebakaran)
- Apa yang dilakukan orang di dalam: misalnya, jangan pernah bekerja sendiri atau menggunakan kamera
Kontrol A11.5 juga membatasi penggunaan area aman ini. Mereka hanya boleh dikhususkan untuk menangani informasi sensitif dan menyelenggarakan TI dan fasilitas yang berharga. Mereka tidak boleh berfungsi sebagai tempat penyimpanan kertas, peralatan, atau perangkat pemeliharaan lainnya. Lokasi mereka juga tidak boleh diindikasikan kepada orang asing.
Untuk beberapa bagian dari fasilitas Anda, seharusnya tidak diizinkan untuk mengambil gambar.
Ketika datang ke area pengiriman dan pemuatan, Anda hanya perlu memastikan mereka tidak memberikan akses langsung ke area aman.
Gates…
Pintu dan jendela harus memiliki kekuatan yang sama dengan perimeter: dinding yang kuat dan pintu atau jendela yang lemah (atau terbalik, seperti yang telah terlihat) tidak masuk akal.
Gerbang harus memungkinkan tingkat kontrol akses yang memadai tentang siapa yang ingin masuk (atau keluar). Sekali lagi, hak dan aturan diselaraskan dengan kekuatan dinding (dan nilai dari apa yang ada di dalamnya). Misalnya, Anda dapat menggunakan aturan seperti ini: Untuk area aman, airlock (pintu ganda keamanan) mungkin diperlukan yang memastikan untuk hanya mengotorisasi satu orang pada satu waktu (dan mencegah tailgating dan piggybacking).
Semua gerbang harus memberikan perlindungan yang diperlukan: jika Anda perlu membiarkan udara (atau kabel) masuk dan keluar, aperture tidak boleh cukup besar untuk membiarkan hewan apa pun (pintar atau tidak) masuk, sehubungan dengan kerusakan yang dapat ditimbulkannya.
Kehadiran meja selamat datang di mana semua pengunjung harus didahulukan adalah salah satu kemungkinan. Memiliki personel yang menantang orang tak dikenal atau penjaga keamanan yang berpatroli juga merupakan solusi.
Jika Anda cukup melindungi gerbang “normal”, akan lebih bijaksana untuk juga merancang, memasang, dan melindungi gerbang “darurat” (baik untuk pintu keluar, jelas, dan pintu masuk – ketika gerbang normal diblokir, untuk melindungi ketersediaan / aksesibilitas dari apa yang ada di dalamnya).
Lingkungan
Semua ruang di sekeliling perimeter dapat dipantau (sesuai dengan nilai atau sensitivitas dari apa yang ada di dalamnya) untuk mencegah, mencegah, dan mendeteksi setiap upaya untuk masuk (atau keluar) melalui gerbang alternatif dan dibuat khusus. Pemantauan lingkungan umumnya dilakukan dengan kamera atau patroli.
Jangan meremehkan keamanan fisik
Mengamankan lingkungan fisik Anda, dan terutama area aman Anda, mengikuti pendekatan yang sama yang Anda gunakan untuk informasi digital Anda: menentukan konteks, menilai risiko, dan menerapkan kontrol keamanan yang paling tepat: nilai dan risiko tertinggi, tingkat perlindungan Anda tertinggi. Kontrol akses dan aktivitas pemantauan yang diperlukan mengikuti aturan yang sama seperti untuk informasi digital.
Namun, ketika berbicara tentang keamanan fisik, ini tidak cukup: Anda juga perlu mengamankan peralatan dan menangani ancaman lingkungan – tetapi itu adalah topik untuk artikel lain.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
