Manajemen Risiko dan Audit

Manajemen Risiko dan Audit

Bab ini berfokus pada manajemen risiko - seni menganalisis ancaman dan kerentanan, dan menentukan dampak risiko yang dapat terjadi perusahaan Anda. Manajemen risiko jauh lebih dari sekedar menentukan berbagai risiko yang mengarah pada Anda. Ini merupakan eksplorasi dari berbagai pendekatan dan teknik untuk mengelola risiko ini.

Anda mungkin bertanya pada diri sendiri: Mengapa manajemen risiko sangat penting? Hal ini karena setiap perangkat keras komputer atau implementasi perangkat lunak memiliki beberapa resiko keamanan yang berkaitan dengan penggunaannya. Ambil contoh situasi di mana perusahaan Anda ingin menerapkan arsitektur LAN nirkabel untuk disandingkan dengan jaringan kabel. Ada risiko yang terdokumentasi (dan sebagian tidak terdokumentasi) yang terkait dengan teknologi nirkabel (WLAN) LAN. Apakah Anda hanya mengabaikan risiko dan menanamkan WLAN tanpa ada kekhawatiran? Di sinilah teknik manajemen risiko yang digunakan untuk menentukan tingkat risiko, dan jika kita bisa hidup dengan tingkat risiko itu.

Fokus utama manajemen risiko adalah untuk mengurangi risiko sampai pada tingkat yang dapat diterima. Tingkat yang dapat diterima yang sebenarnya akan bervariasi dari perusahaan ke perusahaan. Namun, manajemen risiko berarti bahwa kita perlu mengidentifikasi, mengontrol, dan meminimalkan kerugian yang berhubungan dengan risiko masing-masing. Kita mulai dengan memahami proses manajemen risiko, konsep ancaman dan kerentanan, dan hubungan kesemuanya dengan penilaian risiko.

Awal Proses Manajemen Risiko

Manajemen risiko melibatkan pemahaman tentang bagaimana keamanan diimplementasikan dalam organisasi Anda, dan bagaimana ancaman keamanan mempengaruhi operasi bisnis Anda. Sebagai aturan umum, sebelum Anda dapat mulai mengelola risiko, Anda perlu memahami operasi bisnis Anda dan jenis risiko yang mungkin dapat dialami.

Kebutuhan Manajemen Risiko

Mengapa manajemen risiko sangat penting untuk sebuah organisasi? Faktanya adalah ada risiko di sekitar kita. Beberapa risiko sifatnya tidak merusak, meskipun ada beberapa yag dapat menyebabkan bencana. Pertanyaannya adalah apakah Anda tahu apa risiko-risiko tersebut. Lebih penting lagi, apa yang akan Anda lakukan jika risiko-risiko itu menjadi nyata?

Ambil contoh dari seseorang yang tinggal di sebuah rumah tiga juta dolar di pantai di Malibu, California. Setiap beberapa tahun badai besar menghantam Pantai Barat dan menyebabkan laut menghasilkan beberapa gelombang yang cukup mengagumkan yang membentur pantai. Setiap tahun banyak rumah yang hancur akibat badai. Anda mungkin bertanya pada diri sendiri mengapa ada orang yang memilih untuk tinggal di daerah di mana rumah mereka kemungkinan besar akan dihancurkan oleh badai. Kemungkinan besar pemilik telah melakukan beberapa bentuk penilaian risiko dan manajemen risiko. Artinya, mereka telah menentukan risiko yang terkait dengan kepemilikan sebuah rumah di pantai (badai), menganalisis dampak dari risiko tersebut (rumah bisa hancur), dan menentukan suatu tindakan tentang bagaimana untuk menangani risiko (asuransi pembelian) . Dalam contoh ini, kita telah membahas penyebab, efek, dan respon terhadap kondisi risiko.

Seperti yang Anda bayangkan, setiap industri memiliki bagian mereka dalam risiko operasional. Sama halnya dengan bidang teknologi informasi. Setiap komputer atau sistem di Internet atau jaringan lain rentan terhadap serangan. Memiliki sistem di Internet seperti mengambil kelas seni bela diri - Anda akan mendapatkan pukulan. Pertanyaan-pertanyaan yang perlu Anda tanyakan pada diri Anda adalah: Seberapa keras Anda akan mendapatkan pukulan? Apa kerusakan jika saya terpukul? Apa yang bisa saya lakukan untuk meminimalkan kerusakan? Ingat, dalam manajemen risiko kita focus terhadap penyebab, efek, dan tanggapan kita terhadap insiden risiko.

Dalam bab ini, kita menyusun definisi dan asumsi tentang risiko seputar konsep tiga serangkai keamanan informasi: kerahasiaan, integritas, dan ketersediaan. Kita harus mengingat-ingat konsep-konsep ini ketika melakukan penilaian risiko dan keputusan manajemen risiko. Dalam manajemen risiko, kita mencari cara untuk meminimalkan dampak yang dapat mempengaruhi kerahasiaan informasi kita, integritas sistem dan data, dan ketersediaan infrastruktur.

Manajemen risiko membantu menejemen sistem informasi (IS) mencapai keseimbangan antara dampak risiko dan perhitungan biaya langkah-langkah perlindungan. Tujuan dari manajemen risiko adalah untuk mengidentifikasi, mengukur, mengendalikan, dan meminimalkan atau menghilangkan kemungkinan serangan.

catatan:

Apakah aset yang kita lindungi? Dari perspektif IS, aset kita dapat mencakup: hardware (PC, server, disk drive, dan router), perangkat lunak (program, utilitas, dan sistem operasi), data dan informasi (diproses, disimpan, backup, log audit, dan database) , orang, dokumentasi (program, perangkat keras, sistem, dan prosedur administratif lokal), dan persediaan (kertas, bentuk, pita, dan media magnetik).

Proses Manajemen Risiko

Tujuan dari manajemen risiko adalah untuk mengidentifikasi di area-area mana perlindungan (atau penanggulangan) diperlukan untuk mencegah pengungkapan langsung yang kurang hati-hati dan tidak sah atau informasi yang dimodifikasi.

Langkah-langkah dalam proses manajemen risiko yang efektif adalah:

1. Melakukan penilaian cepat terhadap risiko sehingga Anda tahu apa kebijakan keamanan yang perlu Anda cakup. Ini membentuk dasar bagi kebijakan keamanan Anda, disertai masukan dari berbagai departemen bisnis.

2. Sepenuhnya menganalisis risiko, atau mengidentifikasi praktik industri sebagai perhatian, menganalisis kerentanan.

3. Mengatur infrastruktur keamanan.

4. Kntrol Desain, menulis standar untuk setiap teknologi.

5. Menentukan sumber daya apa yang tersedia, memprioritaskan penanggulangan, dan melaksanakan penanggulangan prioritas yang utama yang dapat anda lakukan.

6. Melakukan review periodik dan tes-tes yang memungkinkan.

7. Melaksanakan deteksi intrusi dan respon insiden.

Kita perlu mulai dengan kebijakan karena ini akan menentukan sikap keamanan yang diinginkan perusahaan utnuk melindungi dengan hormat sumber daya perusahaan. Jika Anda memiliki kebijakan keamanan yang sangat terbuka (misalnya, Anda membiarkan segala hal keluar masuk jaringan perusahaan Anda), dan Anda memperhatikan risiko pada jaringan Anda, maka kebijakan yang Anda inginkan tidak sesuai implementasi Anda. Kebijakan keamanan akan mengarahkan Anda ke area operasi bisnis Anda yang membutuhkan perlindungan. Tidaklah mungkin untuk menerapkan perlindungan 100% untuk perusahaan Anda. Pendekatan yang terbaik adalah dengan berkonsentrasi terlebih dahulu untuk melindungi daerah-daerah organisasi Anda yang jika terganggu, bisa mendatangkan kerusakan paling besar. Pengembangan kebijakan keamanan dicakup lebih rinci dalam Bab 8.

Langkah kedua dalam manajemen risiko adalah untuk menganalisis risiko dan menentukan dampaknya terhadap organisasi Anda. Ini juga melibatkan penlikan praktek industri terbaik untuk menjaga keamanan. Sebagai contoh, kita tahu bahwa sistem operasi Windows memiliki kerentanan yang luas dan bahwa konfigurasi default Windows 2000 tidak aman. Jika organisasi telah memutuskan bahwa mereka akan menggunakan Windows 2000 sebagai pilihan sistem operasi mereka, maka langkah selanjutnya adalah menentukan apa yang dapat dilakukan untuk lebih mengamankan sistem. Ada banyak sumber daya, seperti Panduan Step-by-step Pengamanan Windows 2000 yang dikembangkan oleh Institut SANS. Dokumen ini didasarkan pada masukan dari pakar keamanan Windows dari berbagai latar belakang. Pada akhirnya, dokumen yang dihasilkan adalah mengenai istilah apa dalam praktek industri terbaik.. untuk mengamankan sistem Windows 2000. Tapi pekerjaan tersebut tidak berhenti di situ. Kerentanan ditemukan setiap hari, sehingga Anda perlu untuk menganalisis kelemahan dan menentukan apakah dan bagaimana mereka mempengaruhi jaringan Anda.

Perlu diketahui bahwa paradigma mengenai penerapan praktik industri terbaik ini berlaku untuk versi-versi lain dari sistem operasi Windows dan lain sebagainya, seperti beberapa varian sistem operasi mirip-Unix.

Gunakan Internet untuk meneliti risiko spesifik yang biasanya terlihat dalam industri Anda. Banyak organisasi seperti Gartner (http://www.gartner.com) dan Computer Economics (http://www.computereconomics.com) terlibat dalam penelitian dan menghasilkan laporan yang menyebut mengenai kerentanan dan risiko berbasis industri.

 Seperti yang kita nyatakan sebelumnya, analisis risiko melibatkan menentukan risiko dan menentukan dampaknya terhadap infrastruktur. Gambar di atas adalah matriks analisis resiko. Sumbu X adalah kekerasan konsekuensi, dinilai dari rendah ke tinggi. Artinya, karena risiko atau tingkat keparahan meningkat, maka demikian juga kerusakan yang diakibatkannya. Sumbu Y adalah besaran kemungkinan bahwa risiko tersebut benar-benar bisa terjadi, juga dinilai dari rendah ke tinggi. Tujuannya adalah untuk berkonsentrasi pada bidang-bidang tersebut yang menghasilkan kekerasan konsekuensi menengah-ke-tinggi  dan sebuah kemungkinan menengah-ke-tinggi yang mungkin benar-benar terjadi. Sebagai contoh, tingkat keparahan konsekuensi dari sebuah meteor besar memukul bumi tinggi, tetapi besaran kemungkinannya rendah. Skenario ini tidak akan menjadi bidang perhatian. Namun, menempatkan e-commerce kita di Internet dan tidak melindunginya dengan firewall dapat mengakibatkan probabilitas tinggi bahwa sistem akan dibahayakan dan keparahan konsekuensi. Yang tinggi

Setelah kebijakan keamanan Anda terdefinisi, langkah selanjutnya adalah menyiapkan infrastruktur keamanan. Ini bisa menjadi kombinasi dari kontrol keamanan administratif, teknis, atau fisik untuk mengatasi risiko yang teridentifikasi. Kontrol administrasi termasuk kebijakan dan prosedur dan pelatihan kesadaran keamanan bagi pengguna akhir. Kontrol teknis adalah solusi berbasis teknologi. Firewall, sistem deteksi intrusi, perlindungan software anti-virus, dan penggunaan enkripsi adalah contoh dari kontrol teknis.

Setelah Anda memilih kontrol, dan sebelum Anda menggunakannya, Anda harus menulis standar (atau pedoman) untuk setiap jenis kontrol yang digunakan. Standar-standar ini akan menentukan bagaimana kontrol akan digunakan untuk perlindungan keamanan. Misalnya, jika Anda memutuskan untuk menerapkan sistem perlindungan anti-virus sebagai tindakan pencegahan terhadap virus dan kode berbahaya, maka Anda juga dimungkinkan untuk mengembangkan standar pelaksanaan dapat diterima untuk itu juga, seperti frekuensi pemindaian hard disk. Kadang-kadang Anda mungkin harus memodifikasi standar-standar ini. Misalnya, jika anti-virus signature update anda dijadwalkan bulanan, tetapi Anda menemukan bahwa hal ini tidak cukup sering karena perkembangbiakan virus baru, Anda akan mengubah frekuensi update menjadi mingguan, harian, atau bahkan per jam.

Kemungkinan besar Anda akan perlu menentukan apa sumber daya yang tersedia (dalam hal personil dan teknologi), dan memprioritaskan penanggulangan untuk setiap risiko yang diidentifikasi. Karena bisa jadi sulit untuk mengelola semua risiko pada saat yang sama, Anda perlu menentukan tindakan pencegahan mana yang merupakan prioritas utama, dan menerapkannya terlebih dahulu.

Ulasan dan pengujian berkala infrastruktur keamanan Anda sangatlah penting, karena tanpa hal-hal tersebut, Anda tidak akan memiliki gambaran yang akurat tentang seberapa baik sistem Anda dijamin. Metode yang khas untuk mencapai ini termasuk menampilkan tes kerentanan, meninjau kebijakan keamanan dan prosedur, serta pengujian berbagai kontrol administratif dan teknis.

Dan akhirnya, itu adalah praktek terbaik yang diterima untuk melaksanakan beberapa bentuk deteksi intrusi dan untuk mengembangkan rencana respon insiden di dalam acara di mana sistem Anda dikompromikan. Kita akan mencakup manfaat dari deteksi intrusi dan penanganan insiden kemudian dalam bab ini.

Penekanan pada manajemen risiko adalah pada proses, bukan hanya serangkaian tindakan. Proses ini memungkinkan kami mengidentifikasi informasi dan data yang terancam, terutama oleh kelemahan dalam sistem informasi kami, mengukur unsur risiko dengan misi kami, mengidentifikasi di mana kita dapat menerapkan kontrol atau penanggulangan, dan menyediakan dasar untuk memutuskan bagaimana ancaman yang ditimbulkan oleh masing-masing risiko akan berkurang. Kita dapat melakukan upaya untuk menghilangkan semua risiko, tapi ini hampir tidak mungkin. Oleh karena itu, kita harus menghubungkan masalah keamanan kita dengan nilai dari informasi dan data yang berada pada IS kita, dan memusatkan sumber daya dan upaya untuk mengurangi risiko yang terkait dengan isu-isu keamanan yang paling mungkin mengancam aset kita.

mendefinisikan Risiko

Sekarang kita telah membahas secara rinci proses manajemen risiko, kita harus mendefinisikan konsep ancaman dan kerentanan, dan bagaimana hal tersebut berhubungan dengan risiko analisis. Identifikasi risiko melibatkan pemahaman ancaman dan kerentanan terkait yang mungkin anda alami. Apa definisi risiko? Definisi klasik risiko adalah:

Risiko = Ancaman X Kerentanan

Kerentanan didefinisikan sebagai suatu kelemahan dalam sebuah sistem yang bisa dimanfaatkan. Anda telah mendengar hal ini sebelumnya. Sebuah kerentanan ditemukan dalam layanan klien FTP XYZ yang jika dieksploitasi, bisa mengakibatkan kualahan dalam pelindungan,atau semacamnya. Kerentanan adalah kenyataan bahwa klien FTP memiliki cacat, kelemahan yang dapat menyebabkan kompromi sistem. Bahayanya terletak pada kenyataan bahwa kerentanan tersembunyi ini ditemukan dan kemudian tereksploitasi.

Ancaman adalah setiap peristiwa yang dapat menyebabkan hasil yang tidak diinginkan. Ancaman bisa menjadi eksploitasi kerentanan. Ancamannya adalah bahwa seseorang benar-benar bisa memanfaatkan kelemahan ini dan melemahkan sistem Anda.

Identifikasi potensi risiko bisa menjadi pekerjaan yang menakutkan. Kebanyakan setiap produk teknologi - dari sistem operasi untuk aplikasi perangkat - memiliki kerentanan terekam (dan tidak terekam) mereka sendiri. Misalnya, Anda mungkin menyadari kerentanan terekam yang terkait dengan penggunaan Microsoft Internet Information Server (IIS). Namun, sudahkah semua kerentanan diidentifikasi? Kita bisa melindungi diri dari risiko yang kita ketahui tapi bagaimana dengan risiko yang tidak kita ketahui keberadaannya? Anda sudah berada dalam risiko hanya dengan mengetahui fakta bahwa sistem Anda terhubung ke Internet.

Variabel lain yang harus dipertimbangkan dalam manajemen risiko adalah nilai dari aset. Aset bisa berupa sumber daya, produk, proses, atau apa pun yang telah dianggap memiliki nilai oleh perusahaan. Saat menghitung efek dari ancaman terhadap aset, bisa jadi dalam hal kerugian keuangan, atau dalam hal hilangnya kerahasiaan, integritas, atau ketersediaan terhadap aset tersebut. Nilai aset bisa berwujud atau tidak berwujud, dan terdiri dari berbagai elemen yang terkait dengan aset. Unsur-unsur dapat mencakup biaya pengembangan, nilai penggantian, nilai kepemilikan, dan nilai publik yang dirasakan.

catatan

Kadang-kadang Anda mungkin melihat resiko didefinisikan sebagai:

Risiko = Ancaman x Kerentanan x nilai Aktiva

Dalam skenario ini, kita memasukkan nilai aset sebagai variabel dalam persamaan kita. Ini berarti bahwa ada faktor risiko yang lebih tinggi ketika nilai aset juga lebih tinggi. Di sisi lain, saat nilai aset mendekati nol, tingkat risiko kita juga akan mendekati nol. Nilai aset tidak selalu mengenai nilai moneter, tetapi bisa menjadi nilai subyektif sebagai gantinya.

  

Manajemen Risiko Pilihan

Sekarang Anda Setelah mengidentifikasi berbagai risiko, langkah berikutnya adalah untuk memutuskan apa yang akan Anda lakukan mengenai hal itu. Pilihan Anda adalah

• Menerima resiko apa adanya.

• Mengurangi atau mengurangi risiko.

• Transfer risiko.

Menerima risiko berarti bahwa Anda memahami risiko tetapi Anda bersedia untuk hidup dengan konsekuensi tereksploitasinya resiko-resiko tersebut. Penerimaan Risiko adalah pilihan yang benar - akan tetapi disertai dengan konsekuensi. Idealnya, Anda ingin meredakan atau minimal, mengurangi risiko ke tingkat yang dapat diterima. Tingkat risiko yang dapat diterima adalah subyektif - apa yang diterima oleh seseorang mungkin tidak dapat diterima yang lain.

Apakah mungkin untuk menghilangkan risiko sepenuhnya? Hal ini dimungkinkan, tapi sekali lagi, berapa biayanya? Misalnya, jika situs internet e-commerce Anda beresiko terhack, yang bisa Anda lakukan adalah menghubungkan server dari Internet, sehingga menghilangkan risiko sepenuhnya. Tapi jika Anda melakukan itu, bagaimana mungkin Anda melakukan bisnis? Jadi tujuannya adalah untuk mengurangi risiko ke tingkat yang dapat diterima dan masih dapat menggunakan sistem seperti yang Anda mau. Ada garis tipis antara menggabungkan kontrol keamanan yang cukup untuk mengurangi (atau menghilangkan) risiko, versus kegunaan dari sistem.

Pilihan lain adalah untuk mentransfer risiko. Hal ini juga dikenal sebagai pilihan model asuransi. Dalam skenario ini, Anda menyerahkan risiko kepada pihak ketiga yang menjamin Anda terhadap ancaman hingga batasan tertentu.

Contoh manajemen risiko di dunia nyata

Mari kita lihat apakah kita dapat menerapkan situasi kehidupan nyata lain untuk manajemen risiko. Banyak orang mengendarai mobil untuk pergi bekerja, pergi ke sekolah, atau mengajak keluarga untuk berkendara di hari Minggu yang cerah. Ada beberapa risiko yang terlibat dengan mengemudi mobil. Terutama, kita berpikir tentang kecelakaan mobil dan fakta bahwa ada risiko bahwa kita akan mengalami salah satunya. Jika kita hanya menerapkan apa yang kita dilputi sehubungan dengan manajemen risiko, kita dapat mengasumsikan bahwa kerentanan (kelemahan) adalah kenyataan bahwa mobil kita bisa ditotal jika ditabrak mobil lain. Ancamannya adalah kenyataan bahwa seseorang menabrak mobil kita. Oleh karena itu, risiko adalah kelemahan kali ancaman seseorang benar-benar menabrak mobil kita. Jadi apa pilihan kita? Nah, kebanyakan dari kita menerima kenyataan bahwa kita bisa mengalami kecelakaan dan membeli asuransi untuk mentransfer risiko kepada orang lain.

Pilihan lain adalah mencoba untuk mengurangi risiko ke tingkat yang dapat diterima. Di sisi yang lebih drastis, kita bisa memutuskan untuk tidak mengemudi lagi, sehingga menghilangkan risiko mengalami kecelakaan. Apakah ini layak? Saya kira demikian, tapi ada banyak pengorbanan pribadi jika kita mengambil pendekatan ini. Kita bisa mengurangi risiko dengan mengemudi di sisi jalan yang jarang dilalui atau mengemudi di jam-jam sepi. Namun, bersama setiap keputusan yang kita buat mengenai mengurangi risiko datang pula pergeseran dalam cara normal kita melakukan berbagai hal.

Manajemen Risiko Pertanyaan

Untuk memutuskan antara menerima, mengurangi, atau mentransfer resiko, kita perlu lebih memahami risiko dan bagaimana hal itu mempengaruhi kita. Ketika mengevaluasi risiko, akan sangat membantu untuk bertanya pada diri sendiri beberapa pertanyaan kunci:

• Apa yang bisa terjadi?

• Jika hal itu terjadi, bisa menjadi seburuk apakah hal itu?

• Seberapa sering hal itu bisa terjadi?

• Seberapa bisa diandalkannya jawaban atas pertanyaan-pertanyaan di atas?

Jawaban atas pertanyaan-pertanyaan ini membantu kita fokus pada ancaman yang sebenarnya dan mendapatkan pemahaman yang lebih baik mengenai dampaknya jika ancaman tersebut benar-benar terjadi. Pertanyaan pertama adalah bertanya kepada diri sendiri: apa sebenarnya yang kita takutkan? Apakah ancaman yang sebenarnya? Apakah ancaman tersebut sesuatu yang nyata? Dapatkah kita mendefinisikan ancaman stersebut secara akurat?

Dan jika kita dapat mendefinisikan ancaman, kerusakan apa  yang bisa disebabkan? Seberapa besar kemungkinan kerusakan? Misalnya, kerusakan bisa berupa apa saja mulai dari file rusak sampai terhapusnya semua file penting. Dengan kata lain, apa dampak dari ancaman tersebut?

Variabel lain yang perlu dipertimbangkan adalah frekuensi ancaman. Seberapa sering ancaman ini bisa terjadi? Apakah hanya sekali atau bisa terjadi lebih sering?

Pertanyaan terakhir berhubungan dengan pengenalan ketidakpastian. Artinya, seberapa yakin Anda atas jawaban untuk ketiga pertanyaan diatas? Dapatkah Anda memvalidasi dan membuktikan jawaban Anda? Ini mungkin pertanyaan yang sulit dijawab, karena mungkin akan sulit untuk melakukan perhitungan secara akurat mengenai risiko kita pada sistem operasi atau program baru saat kerentanan baru terus-menerus ditemukan.

Risiko melibatkan ketidakpastian. Ambil contoh kasus pengoperasian server Web. Anda tahu bahwa di dalam sebuah jaringan, server Web yang tidak memiliki patch dan tidak terlindungi akan terancam. Ini mungkin tidak terjadi hari ini atau mungkin tidak terjadi besok, tapi ini akan terjadi.

Kehadiran, ketahanan, dan kekuatan dari ancaman, serta efektivitas pengamanan, harus dipertimbangkan ketika menilai kemungkinan terjadnya ancaman.

  

Menghitung Risiko.

Ekspektasi kerugian tunggal dan ekspektasi kerugian tahunan

Ketika semua sudah diutarakan dengan jelas, pada akhirnya, itu semua bermuara pada uang. Apa yang akan dipertimbangkan oleh manajemen adalah, "Berapa banyak kerugian finansial yang kita bisa tenerima dalam satu ancaman?" Jika database perusahaan terganggu sedangkan database tersebut berisikan formula rahasia milik anda (yang sangat berharga) untuk obat revolusioner Anda berikutnya,maka Anda tidak akan membiarkan satu resikopun masuk ke dalam system anda yang mana resiko tersebut mungkin mengarah pada tercurinya formula ini. Ingatlah bahwasanya kita menyatakan bahwa risiko melibatkan ketidakpastian. Ketidakpastian di sini adalah bahwa kita tidak bisa secara akurat menentukan nilai pasti dari formula tersebut (mungkin hal ini menghasilkan jutaan dolar, atau mungkin tidak menghasilkan uang sama sekali karena formula tersebut mungkin tidak bekerja).

Ini semua mengarah pada perhitungan Single Loss Expectancy atau SLE (Ekspektasi Rugi Tunggal). SLE adalah nilai dolar yang ditetapkan untuk satu even. Artinya, itu adalah kerugian organisasi dari sebuah peristiwa tunggal. Rumusnya adalah:

SLE  = Nilai Aset ($) X Faktor Eksposur (EF)

Faktor Eksposur (paparan) (EF) adalah persentase kerugian yang dapat dicapai oleh sebuah ancaman terhadap asset. EF ini dinyatakan dalam 0 sampai 100% kerugian terhadap aset. Sebagai contoh, jika sebuah bom nuklir yang meledak di sebuah kota kecil, dan kota tersebut memiliki nilai 90 juta dolar, ekspektasi rugi tunggal (SLE) akan menjadi 90 juta dolar, karena kita dapat mengasumsikan bahwa sebuah bom nuklir akan menghasilkan kerugian 100%.

Apa yang terjadi ketika peristiwa itu terjadi lebih dari sekali? Kita kemudian menghitung Annualized Loss Expectancy (Ekspektasi Kerugian Tahunan) atau ALE. ALE adalah kerugian keuangan tahunan yang diperkirakan dari ancaman tersebut.

Rumusnya adalah:

Ekspektasi Kerugian Tahunan = Ekspektasi kerugian tunggal X Rata-rata kejadian tahunan (Annualized Rate of Occurrence (ARO)

Annualized Rate of Occurrence (ARO) atau rata-rata kejadian tahunan adalah frekuensi di mana perkiraan ancaman diperkirakan terjadi. Nilainya dapat berkisar dari nol sampai dengan jumlah besar. Kadang-kadang nilai ARO mudah untuk dihitung. Kadang sangat sulit untuk dihitung, pada kenyataannya, sering kali jumlah ini menjadi faktor ketidakpastian dalam perhitungan manajemen risiko.

Sebagai skenario kasus nyata, bayangkan Anda perlu menghitung jumlah kerugian pendapatan karena karyawan Anda. Surfing web selama jam kerja (tidak terkait dengan pekerjaan, tentu saja). Kita mulai dengan menghitung SLE tersebut. Untuk ini kita perlu nilai aset dan faktor eksposur. Jika 25 persen dari 1.000 karyawan Anda membuang satu jam dari waktu mereka setiap minggu untuk surfing web dan biaya per jam adalah $ 50, maka rumusnya menjadi:

SLE = $ 50/jam x 250 atau $ 12.500 per minggu

Biaya yang signifikan. Jika kita ingin menghitung biaya tahunan, rumus menjadi:

ALE = $ 12.500 x 50 minggu (dengan asumsi liburan 2 minggu) atau $ 650.000 per tahun

Penilaian Risiko Kualitatif vs Kuantitatif

Ada dua pendekatan penilaian risiko: kualitatif dan kuantitatif. Dalam penilaian risiko kuantitatif, kita mencoba untuk menetapkan nilai numerik obyektif, biasanya nilai ini menggambarkan nilai kerugian moneter. Penilaian risiko kualitatif, di sisi lain, lebih berkaitan dengan nilai-nilai intangible, dan berfokus pada variabel dan bukan hanya pada kerugian moneter.

Penilaian risiko kualitatif jauh lebih mudah untuk dilakukan dan dapat mengidentifikasi daerah berisiko tinggi. Misalnya, Anda perlu melakukan penilaian risiko untuk menentukan dampak dari menginstal jalur akses LAN nirkabel dalam organisasi Anda. Hal yang pertama adalah untuk menentukan kerentanan, ancaman, dan juga risiko menggunakan LAN nirkabel. Kemudian Anda menentukan apakah risiko tersebut berlaku untuk organisasi Anda dan menentukan kemungkinan bahwa Anda beresiko. Salah satu risiko menggunakan LAN nirkabel adalah kemungkinan seseorang mengendus lalu lintas jaringan nirkabel, dan jalur akses yang salah konfigurasi dapat memungkinkan koneksi klien nakal. Ini adalah resiko yang nyata yang perlu ditangani. Dapatkah Anda menempatkan nilai moneter terhadap risiko-risiko ini? Jika seseorang terhubung ke jaringan Anda melalui jalur akses terbuka, berapa banyak perusahaan anda akan kehilangan biaya dalam pendapatannya?

Seperti yang dapat Anda lihat dari contoh ini, analisis risiko kuantitatif dalam situasi ini tidak cukup bekerja. Pendekatan kualitatif jauh lebih baik, karena kita bisa sampai pada hasil yang lebih subjektif. Dalam penilaian risiko kualitatif, hasilnya biasanya dikategorikan sebagai rendah, sedang, atau risiko tinggi kejadian. Seseorang mengoperasikan jalur akses LAN nirkabel di rumah di pedesaan, di mana tetangga terdekat berjarak 5 mil, maka risiko akan adanya seseorang yang mencoba untuk masuk ke jaringannya sangat rendah. Sebuah perusahaan di tengah-tengah taman berteknologi tinggi, dengan jalur akses yang memungkinkan koneksi nakal, memiliki risiko tinggi.

Penilaian risiko kuantitatif adalah alat bisnis yang jauh lebih berharga, karena ia bekerja dalam system  metrik - biasanya dalam dolar. Dan biaya total dalam dolar adalah yang dicari oleh manajemen ketika manajemen mencoba untuk memahami implikasi tentang bagaimana sebuah risiko dapat mempengaruhi organisasi.

Praktek Penilaian Risiko Terbaik

Salah satu masalah yang dihadapi oleh organisasi adalah bahwa sistem administrasi adalah pekerjaan financial yang tinggi, terutama dalam organisasi besar. Selain itu, kebanyakan system administrator banyak memfokuskan pada “kereta datang tepat waktu” (berhubungan dengan dedline). Ini berarti bahwa mereka berkonsentrasi pada sistem operasi dengan benar, dan menghadapi situasi darurat yang muncul. Sayangnya, ini berarti bahwa mereka tidak dapat melihat gambaran yang lebih besar. Mereka mungkin tidak dapat menerapkan perbaikan atau penambalan yang diperlukan karena ini akan memungkinkan untuk diberhentikannya system untuk jangka waktu tertentu, dan hal ini mungkin dianggap tidak dapat diterima. Selain itu, konfigurasi keamanan yang efektif mungkin tidak dapat dipahami. Artinya, seorang administrator sistem mungkin menginstal dan mengelola server Microsoft IIS tetapi tidak sepenuhnya memahami semua masalah keamanan konfigurasi. Ada juga masalah bahwa kerentanan baru sedang terekspos setiap hari. Bertahan dengan kerentanan berakhir menjadi pekerjaan penuh-waktu. Bayangkan memiliki jaringan yang terdiri dari beberapa server yang menjalankan Windows 2000 Advanced Server dan Sun Solaris. Selanjutnya, tambahkan Windows 2000 workstation dan beberapa system Linux Red Hat. Sekarang bayangkan memastikan bahwa sistem ini dikonfigurasi dengan benar untuk keamanan yang optimal, dan Anda juga harus menguji setiap sistem untuk memastikan bahwa itu benar-benar terjamin. Sekarang tambahkan fakta bahwa kerentanan baru ditemukan hampir setiap hari. Bagaimana Anda tetap bertahan? Bagaimana Anda mempertahankan konfigurasi keamanan tingkat-tinggi? Pengujian manual untuk kelemahan sistem adalah proses yang panjang dan sulit.

Sebuah praktik penilaian risiko yang terbaik dapat membantu sebuah organisasi yang tidak memiliki kemampuan sendiri untuk melakukan penilaian risiko yang lebih formal. Jenis penilaian risiko didasarkan pada checklist, dibangun oleh konsensus dari berbagai keamanan profesional. Alat otomatis yang baru membuat penilaian risiko menjadi sederhana dan mudah untuk dilakukan oleh kebnyakan administrator sistem.

Sumber daya apakah yang dapat membantu Anda menentukan konfigurasi aman terbaik untuk berbagai sistem Anda? Tidak ada organisasi tunggal atau orang yang kemungkinan akan menghasilkan rekomendasi praktik terbaik. Artinya, mungkin seseorang memiliki ide yang cukup bagus tentang bagaimana mengamankan sistem Windows 2000 tetapi orang ini ahli definitif pada subjek? Apakah rekomendasi mereka solusi terbaik untuk lingkungan spesifik Anda? Bahkan rekomendasi dari sebuah perusahaan harus diperhatikan dengan seksama. Sebuah perusahaan tunggal mungkin tidak melihat masalah (dan solusi) dari perspektif yang berbeda. Pendekatan yang lebih baik adalah memiliki banyak organisasi berpartisipasi dalam pengembangan rekomendasi ini. Dengan cara ini, rekomendasi termasuk masukan dari berbagai industri dan dari orang-orang dengan pengalaman yang beragam. Ada banyak sampel berbasis konsensus rekomendasi praktik terbaik.

The Center for Internet Security

Pusat Internet Security (CIS), www.cisecurity.org, mengembangkan alat untuk melakukan penilaian terhadap sistem Windows 2000. Alat CIS, ditampilkan dalam slide, dapat digunakan untuk memindai Windows 2000 sistem dan membandingkan pengaturan konfigurasi dengan konfigurasi template berbasis konsensus. Alat CIS akan memberikan skor pada seberapa baik sistem dikonfigurasi. Misalnya, alat akan membiarkan Anda tahu jika Anda tidak memiliki paket layanan terbaru diinstal atau jika Anda kehilangan perbaikan terbaru. Sistem administrator kemudian dapat men-download patch yang sesuai, dan scan ulang sistem untuk menentukan apakah skor keseluruhan telah membaik. Beberapa perbaikan untuk konfigurasi default mungkin mengambil beberapa pekerjaan. Mungkin Anda akan perlu untuk membuat modifikasi pada Kebijakan Keamanan Lokal atau bahkan membuat perubahan langsung ke Registry. CIS alat yang tersedia untuk Windows NT, Solaris, Linux, dan HP-UX. Windows XP dan Windows 2003 tidak didukung pada saat penulisan ini.

Langkah-demi-Langkah FORESEC Guides

Proyek lain praktik konfigurasi terbaik adalah Langkah-demi-Langkah FORESEC panduan. Panduan ini merupakan kompilasi masukan dari banyak ahli dalam organisasi yang berbeda. Misalnya, Windows Mengamankan 2000 panduan memiliki masukan dari komersial, pemerintah, dan lembaga pendidikan.

Daftar-pembanding cara lain untuk memastikan pekerjaan dilakukan dengan benar. Pendekatan checklist ini dirancang untuk dua orang. Satu orang melakukan cek dan orang lain double-memeriksa pekerjaan. Teknik pemeriksaan dan double-check adalah penting untuk pengetahuan berbasis penilaian risiko. Satu orang yang tahu keamanan dan risiko pada umumnya, dan lain yang tahu teknologi yang spesifik, membuat tim yang ideal dengan pemilik sistem.

Kasus Bisnis untuk Manajemen Risiko

Itu semua pada akhirnya bermuara untuk membuat presentasi kepada manajemen dan kebutuhan untuk menyampaikan gambaran besar. Hal ini tidak cukup untuk memahami teknologi inti kita gunakan untuk kita penanggulangan kontrol - host dan jaringan berbasis sistem deteksi intrusi, scanner kerentanan, honeypots, dan firewall. Pertanyaannya adalah, bisa Anda menunjukkan kepada mereka bagaimana teknologi bekerja sama untuk menghasilkan hasil yang dibutuhkan?

Setiap perusahaan akan memiliki kebutuhan yang berbeda dan harapan yang beragam. Sebuah lembaga keuangan memiliki prioritas yang berbeda dari sebuah organisasi militer. Aset berharga Sebuah perusahaan farmasi bisa menjadi formula untuk obat baru. Sebuah aset lembaga keuangan yang bisa menjadi klien daftar dan nomor rekening. Setiap orang memiliki sesuatu yang berbeda untuk melindungi dan toleransi yang berbeda terhadap risiko. Sangat menarik untuk dicatat bahwa bank kehilangan uang dalam jumlah besar setiap tahun dan tidak dapat menjelaskan bagaimana menghilang. Tapi untuk bank, kehilangan $ 1 juta per tahun tidak mungkin menjadi masalah besar. Bagi mereka, ini merupakan tingkat risiko yang dapat diterima dan ditoleransi - biaya melakukan bisnis.

Bisnis Kasus untuk Penilaian Risiko

Sekarang kita telah memperkenalkan proses penilaian risiko dasar, mari kita menerapkan proses ini untuk kasus bisnis untuk sistem deteksi intrusi. Pertama, mari kita mempertimbangkan skenario yang berbeda kita mungkin akan bekerja sama dengan:

• Organisasi tidak memiliki deteksi intrusi, dan Anda sedang melakukan presentasi kasus untuk menambahkan kemampuan ini.

• Organisasi memiliki sistem deteksi intrusi dasar, dan Anda mungkin merekomendasikan upgrade sistem.

• Organisasi memiliki sistem deteksi intrusi pemantauan pusat, dan Anda sedang melakukan presentasi kasus untuk kemampuan departemen.

Salah satu masalah yang mungkin Anda hadapi adalah bahwa banyak manajer yang tidak nyaman saat berhadapan dengan data aktual mengenai serangan dan kerentanan. Mereka jelas akan melihat ini sebagai suatu kelemahan pada bagian mereka untuk melakukan pekerjaan mereka. Bahkan sebagai konsultan luar Anda mungkin menghadapi hambatan yang sama. Bahkan, sebagai konsultan, Anda mungkin merasa banyak resistensi, bahkan dari administrator sistem. Hal ini karena mereka mungkin merasa bahwa Anda akan menunjukkan manajemen bahwa mereka belum melakukan pekerjaan mereka secara memadai.

Hal ini juga bisa terjadi bahwa manajer hanya tidak memahami keparahan situasi. Mereka mungkin tidak benar-benar percaya bahwa ada masalah. Jika Anda tidak dapat memberikan bukti bahwa sistem mereka beresiko, maka akan sulit untuk meyakinkan mereka untuk menghabiskan dana tambahan untuk penanggulangan Anda akan merekomendasikan. Anda sering dapat menggunakan sumber yang ada data, seperti log firewall dan sistem, untuk pembiayaan meningkatkan deteksi intrusi tambahan dengan menunjukkan mereka "pistol merokok."

Para Vektor Ancaman

Dengan menggunakan daftar ancaman vektor kita dapat mengidentifikasi peluang yang memungkinkan serangan dan karena itu memahami bagaimana untuk membela melawan mereka. Seperti yang kita mempertimbangkan sumber daya informasi yang dapat terancam oleh vektor ini, kita sekarang dapat fokus pada masalah. Setelah kita memahami masalah, kita dapat lebih fokus pada penanggulangan yang efektif.

Daftar vektor ancaman didefinisikan sebagai:

• Outsider serangan dari jaringan

• Outsider serangan dari telepon

• Insider serangan dari jaringan lokal

• Insider serangan dari sistem lokal

• Serangan dari kode berbahaya

Mari kita menggali lebih dalam ke dalam vektor untuk lebih memahami apa yang kita hadapi.

Serangan Outsider - Internet

Serangan yang datang dari luar ke jaringan internal Anda dari Internet telah didokumentasikan dengan baik. Beberapa sumber terbaik untuk informasi mengenai eksploitasi dari Internet adalah situs-situs seperti www.antionline.com. Pada situs ini Anda dapat mempelajari lebih lanjut tentang kemungkinan ancaman ke jaringan Anda.

Kita harap Anda telah menerapkan firewall dan sistem deteksi intrusi. Jika Anda memiliki, sumber terbaik informasi tentang apa yang akan datang ke dalam sistem Anda adalah log firewall. Jika Anda tidak memiliki sistem deteksi intrusi, Anda mungkin ingin mencoba satu untuk satu bulan atau lebih. Tempatkan IDS di DMZ Anda selama beberapa hari dan semuanya log. Log ini akan memberitahu Anda tentang ancaman yang sebenarnya ditujukan terhadap situs Anda.

catatan

Aku ingat situasi pertama di mana saya menginstal firewall pribadi di laptop saya. Suatu hari saya tinggal di sebuah hotel di Florida yang memiliki akses internet. Aku menyalakan fitur log pada firewall saya karena saya penasaran untuk melihat apakah ada orang akan berusaha untuk masuk ke dalam sistem saya setelah terhubung ke jaringan hotel. Saya tidak online selama lebih dari 5 menit ketika firewall saya mulai berbunyi pada saya. Melihat log saya menemukan bahwa komputer lain sedang berusaha untuk melakukan scan jaringan! Sayangnya, saya tidak menempatkan firewall pada setting tertinggi - mode siluman. Jadi mereka bisa melihat saya di jaringan. Saya segera dikonfigurasi sehingga aku benar-benar tersembunyi dari pandangan jaringan, dan menambahkan mesin mencoba untuk memindai saya ke daftar alamat IP yang diblokir. "

Baca Selengkapnya

TUGAS VIRUS

JENIS-JENIS VIRUS KOMPUTER DAN CARA KERJANYA

1.Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)

Jika Anda pengguna komputer sebaiknya perlu berhati-hati jika sering bertukar file melalui media external storage seperti Flashdisk atau External harddisk, karena akhir-akhir ini banyak pengguna komputer di Indonesia yang sudah terinfeksi oleh serangan malware ini, dan varian tersebut terdeteksi oleh Vaksincom sebagai Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC).

 1, Virus Alice terdeteksi oleh G Data sebagai Generic Worm

Beberapa gejala yang terjadi jika anda sudah terinfeksi

yaitu :

o Alice mencoba menyembunyikan file dokumen (doc, docx, rtf) dan mengganti-nya dengan membuat file virus dengan nama yang sama (duplikasi file). Tetapi file tersebut memiliki ekstensi file yang berbeda jika dilihat menggunakan Windows Explorer yang lain. Selain itu ukuran file virus yang semua sama.

2, Alice memalsukan diri sebagai file MS Office dengan menyembunyikan file asli

o Alice mencoba melakukan injeksi file htm/html dengan menambahkan kode file virus. Setelah diinjeksi maka dilakukan perubahan pada ekstensi file htm/html menjadi file hta (html application). Hal ini dilakukan agar file yang sudah dirubah tidak dapat diinjeksi oleh virus yang sama dan agar tidak mudah dilihat kode yang telah ditambahkan.

3, File html yang sudah di injeksi oleh Alice

ü Alicejuga akan melakukan perubahan pada icon file virus yang berekstensi *.vbe (VBScript Encode) dan juga mencoba melakukan perubahan pada tipe file virus tersebut menjadi file Microsoft Word (atau Wordpad jika belum ter-install MS Word).

4, File .vbe dipermak menjadi MS Word

o Alice akan mencoba mempertahankan diri-nya dengan menonaktifkan beberapa fungsi Windows yang digunakan oleh administrator komputer. Beberapa fungsi yang di-nonaktifkan yaitu diantaranya System Restore, Folder Option, Run, Search, Task Manager dan Command Prompt.

5, Bloking yang dilakukan Alice pada fungsi2 administrasi komputer

ü Alice juga akan mencoba mempertahankan diri- nya dengan menghilangkan ekstensi file pada semua file yang ada di komputer. Selain itu juga akan menghilangkan beberapa fungsi pada menu klik kanan seperti merge, install, edit, dan open with.

6, Beberapa menu pada klik kanan dihilangkan oleh Alice Alice merupakan jenis malware yang

menggunakan file Windows VBScript agar dapat aktif, sehingga file proses yang berjalan adalah file wscript.exe.

ü Alice juga meninggalkan sebuah jejak dengan mencoba merubah nama pemilik komputer dan

menghapus nama organisasi pemilik komputer. Hal ini dilakukan pada System Properties komputer.

7, Perubahan pada System Properties yang dilakukan Alice

Berikut ciri-ciri file Alice sebagai berikut :

- Memiliki ukuran file 8 kb

- Type file “VBScript Encode”.

- Memiliki ekstensi file “vbe”

- Berbentuk icon “VBScript”

8, Ciri file virus Alice

Malware Alice memiliki 3 file induk yaitu :

· C:\WINDOWS\system32\drivers\alice.sys

· Alice.calc (pada semua drive komputer)

· Autorun.inf (pada semua drive komputer)

Selain itu, malware Alice akan membuat duplikasi terhadap seluruh file yang memiliki ekstensi file doc, docx, rtf, dan akan melakukan injeksi file pada htm dan html, dengan membuat file yang sama dan berukuran 8 kb. Modifikasi registri yang dilakukan oleh malwareAlice

antara lain sebagai berikut :

HKEY_CURRENT_USER\Software\Policies\Microsoft\

Windows

HKEY_CLASSES_ROOT\VBEFile

HKEY_ CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies\Explorer

HKEY_ CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies\System

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\

Windows NT\System Restore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\Winlogon

Userinit = C:\WINDOWS\system32\userinit.exe,C:\

WINDOWS\system32\wscript.exe //e:vbscript.encode

C:\WINDOWS\system32\drivers\alice.sys

HKEY_CLASSES_ROOT\VBEFile

(Default) = Microsoft Word Document

Friendly TypeName = Microsoft Word Document

HKEY_CLASSES_ROOT\VBEFile\DefaultIcon

(Default) = C:\WINDOWS\Installer\

{90110409-6000-11D3-8CFE-0150048383C9}\

wordicon.exe,1

HKEY_CLASSES_ROOT\regfile\shell\open

HKEY_CLASSES_ROOT\inffile\shell\Install

HKEY_CLASSES_ROOT\VBEFile\shell\edit

HKEY_CLASSES_ROOT\VBEFile\shell\Open2

Cara malware Alice melakukan penyebaran yaitu memanfaatkan media storage seperti USB Flashdisk atau harddisk external. Bisa juga menyebar melalui media storage lain yang terkoneksi pada computer yang telah terinfeksi.

9, Alice menyebar melalui USB Flash Disk

Malware Alice membuat 2 file yaitu autorun.inf dan alice.alc. Kedua file tersebut lah yang akan aktif menyebarkan kedalam komputer lain secara otomatis (jika fitur autoplay Windows tidak dimatikan).

2. Cara Kerja Trojan
Trojan merupakan salah satu program jahat yang bersifat Stielt (siluman dan tidak terlihat) berbeda dengan Virus atau Worm yang cenderung lebih agrsif dengan merusak sistem atau aplikasi dan terkadang membuat sistem crash juga. Sistem Trojan di kendalikan oleh Sistem Komputer lain.
Penyebaran Trojan biasanya mkelalui internet, saat para pengguna menunduh game atau aplikasi tertentu kadang juga di sisipi dengan kode trojan yang sudah di integrasi di dalam game atau aplikasi yang di unduh. Karena trojan dapat di kendalikan, maka cracker dapat mengacak-acak sistem yang telah terinfeksi oleh trojan tersebut.
Jenis-jenis Trojan yang sudah dikenal dan beredar adalah pencuri password, pada jenis ini cara kerjanya adalah mencatat/mencari password yang ada poada sistem kita kemudian mengirimkan nya ke cracker. Selanjutnya trojan penekan tombol, jenis trojan ini hampir mirip dengan mata-Mata, semua tombol yang di gunakan akan di simpan dan di kirim ke cracker.

3. Cara Kerja Malware
Pembahasan terkahur yaiotu Cara Kerja Malware. Aksi yang dilakukan malwrae biasannya disebut Direct Action. Sekali aktif, malware akan menjalankan aksinya yaitu dengan mencari objek untuk di infeksi dan hal-hal berbahaya lainnya. Sekalipun tidak menetap di memori, jenis malware ini tetap berbahaya, jika komputer yang tanpa sengaja mengeksekusi malware ini berada pada sebuah jaringan komputer, malware tersbut langsung mencari dan menginfeksi semua file-file yang ada pada komputer dlm jaringan tersebut.
Ilustrasi nya seperti ini :
Malware akan meletakan file database.mdb, thumb.db, autorun.inf, shortcut folder, shortcut msoffice, Ink, dan shortcut new folder pada my document.
Malware akan mengkatifkan wscript.exe dan file thumb.db yang berada pada folder System32 untuk menjalankan file database.mdb pada my document.
Shortcut folder-folder tadi akan berkaitan dengan file thumb.db.
Jika kita membuka folder-folder maka kita akan mengkatifkan file wscript.exe dan file thumb.db selanjut nya akan membuat duplikat shortcut folder yang ada pada komputer kita, thumb.db dan autorun.inf di seluruh Drive C.
Jika komputer kita terjangkit Malware maka swluruh drive C akan terdapat duplikat shortcut folder yang ada pada komputer, dan juga menscan semua media yang ada pada komputer kita, CD, Flashdisk atau HDD potable.

Baca Selengkapnya

Standarisasi Keamanan Material Dokumen, software, hardware

Standarisasi Keamanan Material Dokumen, software, hardware

Dalam penggunaan komputer ada beberapa hal yang sering dilupakan atau dianggap kurang penting oleh pengguna, yaitu kemanan komputer.
Keamanan komputer sendiri terbagi tiga, yaitu :
• Keamanan Data
• Keamanan Software
• Keamanan Hardware
A. Keamanan Data
Keamanan data dalam komputer merupakan hal yang sangat vital. Pada banyak kasus pengguna harus mengulangi pekerjaan berhari-hari atau berminggu-minggu bahkan berbulan-bulan karena kerusakan atau kehilangan data.
Hal-hal yang dapat menyebabkan kerusakan data, adalah :
1. Virus
Virus merupakan program yang secara ilegal berjalan dikomputer dengan tujuan yang tidak diinginkan. Kerusakan yang ditimbulkan sangat bervariasi dari hanya menyembunyikan data hingga merusak bahkan
menghapus data. Penyebaran virus yang paling marak adalah lewat internet dan flashdisk.
2. Kesalahan Manusia / Human Error
Manusia sebagai pemilik data itu sendiri dapat dengan sengaja maupun tidak sengaja merusak data yang ada. Kesalahan dalam menghapus data atau menimpa data dengan nama yang sama sewaktu proses mengkopy atau simpan adalah contoh kesalahan yang umum terjadi.
3. Kesalahan Prosedur 97
Kesalahan prosedur adalah kesalahan pengoperasian komputer (tidak mengikuti prosedur yang berlaku). Misalnya mematikan komputer tanpa melalui proses shutdown.
4. Kerusakan Software
Karena beberapa sebab software dapat rusak baik software aplikasi maupun sistem operasi. Software yang rusak dapat menyebabkan data tidak tersimpan dengan benar atau tidak dapat diakses lagi.
5. Kerusakan Hardware
Kerusakan pada hardware tertentu akan merusak bahkan menghilangkan data-data yang ada. Misalnya: hard disk rusak secara fisik maka hampir dapat dipastikan data tidak dapat diakses lagi.
6. Kejahatan Komputer/Hacker
Pengrusakkan data dapat terjadi secara langsung maupun lewat internet/jaringan. Seseorang dapat menggunakan komputer kita secara ilegal dan menghapus/merusak data sewaktu kita tidak ada ditempat
adalah contoh pengrusakkan secara langsung. Lewat internet, seorang hacker dapat menerobos sistem komputer dan merusak data.
7. Bencana
Bencana dapat berupa bencana alam seperti gempa, banjir dan lainlain tetapi juga dapat berupa kecelakaan seperti kebakaran. Untuk mengantisipasi/mengatasi kerusakan ini beberapa hal yang dapat dilakukan adalah antara lain :
1. Memasang Antivirus
Antivirus dapat meminimalkan serangan virus yang telah diketahui sebelumnya!. Virus yang baru biasanya tidak dapat ditangkal dengan antivirus. Selain itu virus lokal (buatan dalam negeri) biasanya hanya dapat
ditangkal oleh antivirus lokal juga dan termasuk paling sulit diatasi. Oleh karena itu perlu kewaspadaan dari pengguna juga untuk tidak mengakses situs yang tidak terpercaya atau memasukkan flash disk tanpa discan.
2. Melakukan Backup secara rutin
Dibackup ke komputer atau media lain termasuk juga melakukan
proses save secara rutin sewaktu bekerja dengan dokumen.
3. Recovery/Restore 98
Proses recovery adalah proses mengembalikan kondisi data/sistem pada saat terakhir kali disimpan. Recovery ini kadang sulit dilakukan karena tingkat keberhasilan tidak dapat dijamin 100%. Dengan
menggunakan program tertentu dapat dilakukan.
4. Menggunakan password
Penggunaan password terhadap file akan membantu menghindari pengaksesan file oleh orang lain. Password dapat juga dipasang pada software/sistem operasi atau hardware(bios). Selain menggunakan kata andi, dapat juga menggunakan model finger print, yaitu pembacaan sidik ari. Ini dapat ditemukan pada beberapa laptop masa kini.
5. Firewall
Dengan adanya firewall yang merupakan sistem keamanan terhadap data yang masuk maupun keluar komputer lewat jaringan, kita dapat meminimalkan akses yang tidak diinginkan lewat jaringan.
6. Menggunakan komputer sesuai dengan prosedur Pengoperasian yang tepat akan menolong menghindarkan kerusakan data.
B. Keamanan Software
Software yang kita miliki dapat mengalami kerusakan yang membuat kita terpaksa harus memperbaiki atau memasang ulang. Oleh karena itu software yang kita miliki perlu dijaga apalagi bila kita beli dengan harga mahal atau perlu keahlian khusus dalam proses pemasangannya (apalagi bila kita tidak tahu proses
melakukannya !) atau vital dalam pekerjaan kita.
Kerusakan software dapat disebabkan oleh beberapa hal, antara lain :
1. Penggunaan software bajakan
Software yang bajakan karena tidak berasal dari pembuatnya langsung maka kualitas software tersebut tidak dapat dijamin sehingga resiko kerusakan akan besar dan kita tidak dapat melakukan komplain.
2. Kesalahan prosedur 99
Pemasangan/install software yang tidak benar dapat menyebakan crash/bertabrakan dengan software lain atau tidak lengkap sehingga menyebabkan software rusak.
3. Virus
Virus selain dapat merusak data, dapat juga merusak software dan biasanya menyerang sistem operasi dan aplikasi yang berjalan di sistem operasi Windows. Hal-hal yang dapat dilakukan untuk meminimalkan kerusakan komputer adalah antara lain :
1. Menggunakan software yang terpercaya baik itu yang berbayar atau open
source.
2. Memasang Antivirus.
Antivirus dapat menangkal dan memperbaiki virus yang merusak
software.
3. Backup sistem.
Sistem komputer dapat dibackup secara keseluruhan dengan menggunakan aplikasi tertentu sehingg bila terjadi kerusakan yang paling parah sekalipun dapat dikembalikan ke kondisi semula.
4. Lakukan sesuai prosedur.
Bila tidak ada sistem backup dan software serta data dalam komputer bersifat vital, ada baiknya tidak melakukan proses pemasangan software sendiri bila tidak yakin dengan langkah-langkahnya. Pada
dasarnya tidak ada software yang sempurna yang dapat mengatasi semua kesalahan pemakaian sehingga penggunaan sesuai prosedur sangat dianjurkan.
C. Keamanan Hardware
Keamanan hardware menjadi penting karena kerusakan pada hardware dapat menyebabkan kerusakan pada data dan sofware tetapi mungkin juga tidak mempengaruhi apapun, misalnya : kerusakan mouse tidak mempengaruhi data atau software, sedangkan kerusakan hard disk akan merusak data dan software. 100
Hal-hal yang dapat menyebabkan kerusakan hardware adalah antara lain:
1. Kelistrikan
Hardware komputer sangat tergantung pada listrik. Oleh karena itu ketidakstabilan listrik akan mempengaruhi kinerja dan ketahanan hardware. Komputer yang sering mati dengan tiba-tiba akibat kehilangan pasokan listrik dapat memicu kerusakan baik pada hard disk, motherboard bahkan power supply dan perangkat lainnya
2. Kesalahan prosedur
Penggunaan atau penempatan yang tidak sesuai aturan akan menyebabkan memperpendek masa pakai hardware. Menyalakan komputer diruang yang panas atau memaksakan komputer menyala terusmenerus
dapat menimbulkan kerusakan.
3. Bencana alam/kerusuhan.
Faktor ini adalah yang paling sulit dihindarkan karena diluar kemampuan kita. Banjir, gempa atau kerusuhan bila mencapai komputer maka kerusakan parah sangat mungkin terjadi.
Pencegahan yang dapat dilakukan adalah antara lain:
1. Memasang Stavolt atau UPS (Universal Power Saving)
Dengan adanya stavolt yang berfungsi menstabilkan arus listrik atau UPS yang berfungsi untuk menyediakan daya listrik selama beberapa waktu sehingga kita dapat melakukan proses shutdown secara baik, maka
kerusakan akibat listrik dapat diminimalkan. UPS ada yang dilengkapi dengan aplikasi untuk mengendalikan UPS, baik untuk melihat kapasitas bateray atau memantau kondisi UPS lewat internet.
2. Menggunakan sesuai prosedur
Penempatan komputer yang benar, menyalakan dan mematikan, serta pemakaian sesuai fungsinya akan membuat hardware lebih awet.Selain itu penggunaan sesuai dengan prosedur khususnya yang berhubungan dengan kelistrikan akan mengurangi resiko kebakaran, misalnya mematikan komputer hingga stavolt/UPS.

Baca Selengkapnya

Standarisasi Keamanan Ruangan terhadap Bencana

Standarisasi Keamanan Ruangan terhadap Bencana

 Keamanan Ruangan

Pembahasan utama tulisan ini mengenai keamanan fisik data center. Untuk itu akan dipaparkan terlebih dahulu definisi keamanan fisik. Berikut pengertian keamanan fisik.

·         Perlindungan terhadap peralatan pemrosesan informasi dari kehancuran, kerusakan atau kehilangan; fasilitas pemrosesan informasi dari kehancuran, kerusakan dan masukan yang tidak sah; dan personil dari situasi yang berpotensi berbahaya.
sam.dgs.ca.gov/TOC/4800/4840.4.htm

·         Penggunaan kunci, penjaga, lencana dan ukuran administratif sejenis untuk mengendalikan akses ke komputer dan peralatan yang berhubungan. Dan pengukuran yang dibutuhkan untuk melindungi struktur dari rumah komputer, peralatan yang berhubungan dan isinya dari kehancuran karena kecelakaan, kebakaran, bahaya lingkungan, kejahatan, pengrusakan, spionase industri dan lainnya. www.flashback.se/archive/BT/btcsmg.html

·         Keamanan fisik mendeskripsikan ukuran yang mencegah atau menanggulangi dari pengaksesan sebuah fasilitas, sumber daya, atau informasi yang disimpan pada media fisik. Dapat disederhanakan sebagai penguncian pintu atau sebagai rincian lapisan jamak dari penjagaan bersenjata.  en.wikipedia.org/wiki/Physical_security

Dapat disimpulkan keamanan fisik adalah tindakan atau cara yang dilakukan untuk mencegah atau menanggulangi dan menjaga orang, hardware, program, jaringan dan data dari bahaya fisik dan kejadian yang dapat menyebabkan kehilangan yang besar atau kehancuran. Keamanan fisik termasuk perlindungan terhadap kebakaran, bencana alam, pencurian, vandalism dan teroris. Lebih lanjut mengenai aspek keamanan fisik Data Center akan dijelaskan pada sub bagian 2.2.

2.1.2        Aspek Keamanan Data/Informasi Data Center (Virtual)

Aspek keamanan data/informasi atau disebut juga keamanan virtual pada data center menyangkut hal-hal sebagai berikut.

·         Kontrol akses logikal, menyangkut apa, siapa dan bagaimana data diakses secara virtual. Contohnya seperti password untuk menentukan hak akses.

·         Kontrol penyimpan, menyangkut berapa lama data disimpan dan jenis keamanan apa yang digunakan pada media penyimpan dan data yang disimpan. Contohnya sistem backup data yang dipakai dan enkripsi yang digunakan.

·         Keamanan jaringan baik jaringan intranet maupun internet terkait dengan konfigurasi jaringan, hak akses jaringan, firewall, intrusion detection dan lainnya.

·         Keamanan sistem terkait dengan sistem operasi yang digunakan.

2.1.3        Kebijakan Keamanan Data Center

Keamanan fisik dan keamanan virtual dalam data center tidak terlepas dari kebijakan keamanan yang diterapkan di sebuah data center. Prosedur dan kebijakan yang diterapkan harus dapat berhasil dengan efektif. Namun kebijakan dan prosedur yang diterapkan sangat terkait sumber daya manusia yang akan melakukan kebijakan. Secara umum kebijakan keamanan menyangkut pengaturan terhadap sistem, pengaturan terhadap hak akses dan pengguna, pengaturan pengoperasian, prosedur backup dan pengaturan penyimpanan, serta kebijakan yang terkait dengan kontrol akses fisik dan lainnya. Memberikan pelatihan kepada staf tentang pentingnya mematuhi dan menjalankan prosedur serta kebijakan yang berlaku merupakan sebuah cara yang dapat dilakukan agar kebijakan keamanan dapat mencapai tujuannya.

2.2  Keamanan Fisik Data Center

Jika dahulu keamanan fisik dianggap tidak penting dan sering diabaikan, namun sekarang pandangan tersebut telah mulai berubah. Ada banyak kejadian yang membuat pandangan ini berubah. Sebagai contoh adanya penelitian dari computer forensics experts Pinkerton bahwa 70% data dicuri dari sebuah perusahaan adalah pencurian fisik, dari laptop dan harddisk ke CD atau peningkatan tinggi kapasistas penyimpanan mini menyebabkan kemudahan dalam pencurian data.

Selain itu juga bencana alam, membuat orang menjadi berubah pandangan akan pentingnya keamanan fisik. Bagaimana menjaga data agar tetap aman jika terjadi bencana alam, bagaimana strategi pemulihan kembali setelah terjadi bencana adalah topik hangat yang diperbincangkan pada banyak artikel-artikel keamanan di internet.

Hal-hal tersebut di atas menjadi pertimbangan dalam pengamanan fisik data center. Keamanan fisik mulai diperhatikan, kebijakan keamanan yang terkait dengan keamanan fisik mulai dilihat ulang dan diperbaiki. Bagaimanan pengontrolan akses fisik, bagaimana standar ruangan server, bagaimana penyimpanan data, bagaimana prosedur backup, bagaimana standar keamanan gedung tempat data center dan lainnya, mulai mengimplementasikan aspek-aspek keamanan fisik. Untuk itu perlu mengetahui lebih lanjut mengenai resiko dan ancaman keamanan fisik serta metoda pengamanannya, sehingga dapat dilakukan tindakan pencegahan dan penanggulangan untuk bahaya keamanan fisik.

2.2.1        Jenis-Jenis Ancaman dan Resiko Keamanan Fisik pada Data Center

Ancaman dan resiko pada data center adalah sebagai berikut.

·         Keamanan fisik dan faktor lingkungan

Penerapan keamanan fisik harus memperhatikan faktor lingkungan dan menerapkan kontrol keamanan lingkungan. Dari hasil survei yang dilakukan, 70% manajer mengatakan resiko terbesar adalah bahaya lingkungan sebagai ancaman terbesar. Bahaya lingkungan ini berupa kebakaran, banjir, embun, suhu, listrik, gempa bumi dan bentuk-bentuk bencana alam lainnya yang memberikan pengaruh negatif untuk peralatan yang ada dalam data center. Namun banyak yang belum siap untuk mengatasi bahaya ini, karena menganggap bahwa bencana belum tentu akan terjadi.

·         Keamanan fisik dan faktor manusia

Manusia merupakan faktor penting dalam keamanan fisik. Eksploitasi keamanan komputer kebanyakan dilakukan oleh manusia. Jika menganggap bahwa sesorang yang tidak sah tidak mungkin masuk ke ruang server atau ruang penyimpanan data adalah sebuah hal yang salah. Hal ini dapat menjadi ancaman terbesar untuk data center. Namun demikian kita tidak hanya memperhatikan eksploitasi keamanan oleh orang dari luar, namun harus peduli pula dengan orang yang berasal dari dalam. Hal ini adalah ancaman terbesar karena orang berasal dari dalam dan lebih mengetahui dibandingkan penyusup dari luar.

·         Keamanan fisik dan faktor finansial

Perlu investasi yang cukup lumayan untuk mengimplementasikan keamanan fisik yang terintegrasi di sebuah data center. Namun terkadang karena alasan keuangan pengimplementasian tidak jadi dilakukan. Jika para manejer mengabaikan hal tersebut bisa jadi hal tersebut merupakan tindakan yang benar. Namun pandangan yang demikian adalah salah, pengimplementasian keamanan fisik harus diinvestasikan seefisien dan seefektif mungkin, karena jika terjadi sesuatu karena faktor lingkungan atau faktor manusia telah ada pencegahan dan penanggulangannya. Dengan penerapan keamanan fisik resiko kehilangan baik pada data ataupun perangkat keras menjadi lebih kecil, kerugian yang didapat tidak sebesar tanpa penerapan keamanan fisik. Jadi wajar saja jika diinvestasikan untuk keamanan fisik.

2.2.2        Metoda Pengamanan Fisik pada Data Center

Dalam bagian sebelumnya telah membahas resiko dan ancaman keamanan fisik dari berbagai faktor. Selanjut akan dibahas mengenai metoda keamanan untuk mengatasi dan menanggulangi kerugian serta ancaman dari faktor lingkungan dan faktor manusia. Banyak cara dan metoda yang dapat digunakan mulai dari cara sederhana sampai menggunakan teknologi canggih, namun perlu diingatkan manusia adalah faktor penentu untuk keberhasilan keamanan di sebuah data center. Selain itu juga cara yang akan digunakan terkait dengan kebijakan yang akan diterapkan, jadi pada dasarnya penerapan keamanan fisik haruslah terintegrasi dan menyeluruh dengan keamanan informasi.

Faktor Lingkungan

Bangunan Tempat Data Center

Faktor lingkungan berkaitan erat dengan bangunan tempat data center didirikan untuk itu sebagai awal pembahasan akan dimulai mengenai lokasi bangunan dan fisik bangunan untuk data center sebagai langkah awal pengamanan data.

·         Lokasi Data Center

Pemilihan lokasi bagunan mejadi hal yang harus diperhatikan. Kesadaran ini muncul sejak peristiwa 11 September, runtuhnya WTC membuat orang menjadi memperhatikan pemilihan lokasi yang tepat untuk Data Center. Hal-hal berikut dapat dijadikan bahan pertimbangan dari segi aspek keamanan dalam pemilihan lokasi. Lokasi yang dipilih sebaiknya yang memiliki sedikit resiko baik dari ancaman bencana alam (jalur gempa, daerah rawan banjir atau daerah rawan tornado) maupun dari ancaman teroris dan vandalisme. Data Center sebaiknya dibangun terpisah dari kantor pusat. Cukup jauh dari jalan raya utama. Tidak bertetangga dengan bandar udara, pabrik kimia, jalur pipa gas, pusat keramaian (pasar, stadium olahraga) dan pusat pembangkit listrik. Dan juga lokasi memiliki fasilitas yang memadai, seperti kecukupan tenaga listrik.

·         Kontruksi Bangunan Data Center

Setelah memilih lokasi yang baik selanjutnya kita harus memperhatikan bagunan yang akan didirikan untuk data center. Bangunan harus memperhatikan masalah sirkulasi udara karena hal ini terkait dengan suhu, ventilasi udara yang cukup, penggunaan AC yang direncanakan dengan baik. Karena biasanya bangunan data center dibuat dengan sedikit/bahkan tidak ada jendela dan tertutup. Bahan bangunan yang dipakai harus tidak mudah terbakar serta kontruksi bangunan yang tahan gempa. Adanya ruangan terpisah antara ruangan administratif dengan ruangan server dan data. Gunakan standar pendingin ruangan seperti TIA-942 dan perhatikan pengaturan kabel yang melalui bawah lantai. Menyiapkan kabel standar untuk instalasi listrik yang dibutuhkan dan konstruksi bangunan harus memperhatikan hal tersebut. Pintu masuk dirancang sangat terbatas. Pintu kebakaran dirancang untuk keluar saja. Segala aspek keamanan dalam bangunan sebuah data center harus direncanakan dengan baik. Kontruksi dan arsitektur bangunan harus dapat mengakomodasi semua hal berkaitan dengan keamanan fisik. Layout berikut ini menggambarkan contoh ruangan yang ada dalam Data Center.

·         Pengamanan disekililing bangunan

Disekeliling bangunan data center seharusnya adalah bidang kosong, bangunan data center sebaiknya memiliki jarak ± 10 meter dengan bangunan lain atau tanaman dan pohon, hal ini dimaksudkan untuk memudahkan pengawasan. Dinding dan tembok yang ada disekitar data center harus dapat dimonitor dengan baik. Penggunaan kamera CCTV sebagai pengawas adalah hal minimal yang harus dilakukan. Selain itu juga kamera yang digunakan sebaiknya memiliki kemampuan terhadap cahaya rendah, tahan terhadap suhu dan cuaca. Selain itu juga penggunaan landscape setelah bidang kosong pada data center baik dilakukan, adanya pepohonan dan taman akan membuat data center tersembunyi dari orang yang lewat disekitar data center serta pengintai.

Pengawasan juga tidak terlepas dari areal parkir yang ada didekat data center. Pengawasan orang yang masuk dan keluar di kawasan data center harus dimonitor dengan baik. Penggunaan detektor bom perlu dilakukan untuk memeriksa setiap mobil yang masuk ke kawasan data center. Penggunaan penjaga atau petugas keamanan yang profesional merupakan sebuah hal yang harus dilakukan. Intinya jadikanlah bangunan data center sebagai sebuah benteng yang harus memiliki pengamanan baik diluarnya, agar orang yang tidak berkepentingan tidak mudah untuk masuk kedalam bangunan.

·         Pengamanan didalam bangunan

Pengamanan didalam bangunan juga terkait dengan hal-hal lain seperti faktor manusia. Penggunaan kamera pengawas, sensor asap, sensor kebakaran merupakan hal standar yang harus diterapkan. Pengawasan terhadap pintu masuk dan keluar orang harus diperhatikan dengan baik. Pintu masuk yang menggunakan bahan dari baja serta penggunaan kaca dan dinding yang aman akan sulit dilalui. Namun penggunaan pendeteksi penyusup dapat pula diaplikasikan pada bangunan data center.

Kebakaran

Bahaya kebakaran sangat mungkin terjadi di data center. Kumpulan peralatan elektronik yang ada berpotensi untuk menyebabkan kebakaran. Suplai tenaga yang baik harus diperhatikan, bangunan yang tidak mudah terbakar, penggunaan sensor asap, sensor panas,  pemadam api dan sistem penyemprot air merupakan hal-hal yang harus dilakukan untuk mengurangi dan menanggulangi bahaya kebakaran. Pemasangan detektor dan sensor baik pada rungan komputer maupun di luar ruangan. Penggunaan alarm kebakaran dapat dilakukan baik secara manual maupun otomatis. Selain itu juga gunakan pemadam api yang sesuai dengan jenis kebakaran yang terjadi. Ada dua jenis pemadam api yaitu pemadam kimia kering dan pemadam dari gas halon. Serta perhatikan juga efek yang dapat ditimbulkan dari penggunaan pemadam api.

Berikut ini langkah-langkah yang ditulis oleh Lance D. Harry seorang manejer pengembang bisnis di Fenwal Protection System, yang dapat dilakukan untuk perencanaan kebakaran.

1.      Proteksi = deteksi + suppresi

Idealnya proteksi yang dilakukan yaitu dengan menerapkan deteksi asap dan sistem suppresi kebakaran. Suppresi kebakaran dapat dilakukan dengan pemasangan detektor asap dan sensor udara pada langit-langit. Dan lengkapi dengan sistem penyemprot air baik skala kecil maupun besar seperti FM200.

2.      Memahami secara keseluruhan strategi FP perusahaan.

3.      Dapatkan ahli yang terpercaya untuk memberikan saran penanggulangan bahaya kebakaran.

4.      Pahami kebutuhan lokal

Selain menerapkan standar tapi juga melihat kebutuhan perusahaan.

5.      Lakukan penilaian resiko yang mencakup analisis TCO dalam fasilitas.

6.      Lakukan perawatan sistem supaya dapat bertahan lama.

7.      Didik dan latih pekerja.

Diharapkan dengan pendidikan dan latihan pekerja dapat memahami bahaya kebakaran dan peduli untuk mencegah terhadap kemungkinan timbulnya bahaya.

Suhu

Data center sangat rentan terhadap temperatur yang tinggi. Oleh sebab itu penggunaan sensor suhu yang diletakkan di rack server menjadi sebuah solusi untuk mengendalikan suhu. Selain memperhatikan panas pada server, yang perlu diperhatikan adalah suhu ruangan. Untuk itu diperlukan sistem pendingin yang baik. Sejak mulai awal pembangunan data center hendaknya sudah diperhitungkan berapa kapasitas yang diperlukan untuk membuat ruangan tetap dingin, sehingga tidak kesulitan dalam menghitung listrik yang dibutuhkan. Meningkatnya suhu dapat diatasi dengan penambahan AC, namun akan dapat menimbulkan masalah karena membutuhkan listrik yang cukup besar.

Ada beberapa pendekatan yang dikembangkan untuk menghitung besarnya kebutuhan pendinginan. Pada dasarnya hal ini bergantung dari banyaknya jumlah peralatan yang ada didalam ruang komputer yang harus didinginkan. Cara sederhananya mungkin dengan melihat kapasitas ruangan yang dapat menampung berapa banyak rack server kemudian dari hal tersebut dapat diperkirakan berapa kebutuhan pendinginan yang diperlukan.

Sebuah teknologi baru yang dapat diterapkan untuk menyesuaikan kapasitas pendinginan dengan kebutuhan ruang komputer. Lantai terbaru meningkatkan ketepatan sistem pendingin yang secara otomatis menyesuaikan kapasitas dengan kebutuhan ruangan tanpa memutar kompresor dan meningkatkan efisiensi dan realibilitas. Hal ini memungkinkan peningkatan kapasitas ekstra dalam sistem tanpa peningkatan dalam biaya energi. Keuntungan menggunakan pre-piping adalah kemudahan untuk menambahkan atau memindahkan model pendingin, selain itu juga realibilitas akan dapat tercapai.

Listrik/Tenaga

Kebutuhan listrik merupakan hal yang penting pada sebuah data center. Karena semua peralatan komputer, peralatan komunikasi dan jaringan serta pendingin membutuhkan energi. Selain itu juga penggunaan listrik cadangan seperti Genset dan UPS harus dilakukan. UPS yang digunakan harus memenuhi kebutuhan listrik dari semua peralatan yang ada. Batere UPS diharapkan dapat bertahan cukup lama sebelum digantikan dengan listrik cadangan dari Genset.

Banyak metoda yang dapat diterapkan untuk menghitung kebutuhan tenaga pada data center. Berikut ini contoh penghitungan tenaga listrik yang dibutuhkan.

Sekarang ini telah timbul semacam pandangan untuk mengurangi konsumsi energi pada sebuah data center, misalnya penggunaan teknologi pendingin terbaru, penggunaan energi lain seperti matahari atau hidrogen. Teknologi untuk hal ini masih terus dikembangkan seiring dengan kesadaran para manajer untuk lebih mengefisiensikan konsumsi energi di sebuah data center.

Bencana Alam

Bencana alam memang tak dapat dihindari, namun kita dapat mengantisipasi untuk mengurangi resiko yang disebabkan oleh bencana alam. Pada awal telah disebutkan bangunan data center harus jauh dari daerah yang sering dilanda bencana alam seperti gempa bumi, gunung meletus, banjir, tornado dan sebagainya. Kontruksi bangunan yang memiliki ketahanan terhadap gempa adalah suatu cara yang dapat diterapkan. Selain itu juga rak server ditempatkan pada platform isolasi seismic sehingga resiko kerusakan jika terjadi gempa berskala kecil dapat dikurangi.

Namun demikian bencana alam bukan itu saja, untuk itu pentingnya penerapan backup yang kontinu pada sebuah data center dan tempat penyimpanan data hasil backup harus terpisah dari data center dan disimpan pada tempat yang aman pula. Antisipasi terhadap bencana alam, kebakaran atau kerusakan pada data center hanya dengan cara backup data. Teknologi backup data yang digunakan terkait erat dengan keamanan data secara virtual. Oleh sebab itu konvergensi keamanan fisik dan virtual pada keamanan data center merupakan hal yang tidak dapat ditawar. Backup dapat dilakukan langsung di data center menggunakan media backup seperti tape, cd, dvd atau alainnya. Namun dapat pula dilakukan secara virtual melalui jaringan. Backup yang dilakukan ini disebut dengan istilah remote replication jadi backup dilakukan dari hard disk ke hard disk. Karena dilakukan melalui jaringan diperlukan bandwidth yang cukup untuk melakukan hal ini dan aspek keamanan virtual harus lebih diperhatikan. Penyimpanan terhadap data hasil backup perlu diperhatikan. Gudang penyimpanan harus aman dari penyusup dan ruangan penyimpan harus baik, bebas debu, tidak lembab dan tidak mudah terbakar agar data tetap terjaga.

Backup yang dilakukan merupakan salah satu cara dalam perencanaan pemulihan bencana atau lebih dikenal dengan disaster recovery planning (DR planing). Dengan adanya perencanaan ini dimaksudkan setelah becana selesai dapat terus melanjutkan operasi bisnis. Data yang telah dibackup akan direstore sehingga bisnis dapat terus berlanjut.

Berikut ini cek list yang ditulis oleh Denis C. Brewer di newsletter searchdatacenter.com mengenai DR planning.

Rule 0

identifikasi semua proses bisnis kritikal dan aplikasi-aplikasi, bersama dengan perangkat keras, perangkat lunak, bisnis, dukungan staf IT yang menjalankan, dan LAN serta WAN yang mengkoneksikan mereka ke pengguna akhir. Kelanjutan bisnis dan rencana pemulihan IT harus memasukkan semua tindakan dalam setiap elemen yang diidentifikasi.

Rule 1

setiap harinya buat replika (dalam disk atau tape) dari "digital trio", yaitu :

·    Sistem operasi tempat aplikasi berjalan dan patch level saat itu yang ditampilkan  pada lingkungan produksi.

·    Aplikasi kritis yang berjalan pada system operasi pada patch saat ini.

·    Data.

Jangan ada istilah "no data loss." Bit-by-bit backup data  adalah berharga.

Rule 2

Miliki "carbon copy" dari perangkat keras yang dibutuhkan untuk menjalankan tiruan digital.  Penggunaan media backup terbaik adalah nilai kecil, jika tidak memiliki perangkat keras yang tepat ketika dan dimana data diperlukan dengan cepat untuk merestore digital trio ke peralatan baru atau yang siap.

Rule 3

Tulis langkah demi langkah untuk merestore tiruan digital ke carbon copy perangkat keras.

Rule 4

Selalu lakukan percobaan. Baik tiruan digital, perangkat keras dan dokumentasinya.

Rule 5

Capai praktek maksimum atau pemisahan yang mampu antar lokasi yang digunakan untuk operasi harian dan tempat penyimpanan tiruan, pemulihan perangkat keras dan dokumentasi. Lokasi backup pada kota yang sama hendaknya dihindari. Perhatikan batasan dari metoda komunikasi yang didukung oleh strategi jalur backup.

Rule 6

Respon dengan segera untuk kondisi yang beresiko tinggi. Badai Katrina memberikan pelajaran ketika kota tidak dapat berfungsi. Latihan teknis dan peroses bisnis untuk staf pada lokasi kerja alternatif.

Rule 7

Miliki dan sedikitnya identifikasi, koneksi alternatif, rute transmisi data dan sumber tenaga listrik. Bergantung di mana lokasi bisnis, alternatif rute dan sumber mungkin terbatas. Pelajari pilihan yang pada lokasi. Jika kantor cabang terhubung dengan kabel, putuskan investasi lain seperti penggunaan jalur satelit.

Rule 8

Aplikasikan konsep "Fort Knox", terapkan keamanan fisik lebih dari satu pada tempat penyimpanan tiruan.

Rule 9

Dokuentasi dan latihan perencanan bisnis keseluruhan. Uji coba dan recanakan dan jawab pertanyaan : Apakah proses bisnis operasi staf efisien setelah kejadian kurang baik.

Rule 10

Miliki dan operasikan alternative pengganti tenaga. Pertimbangkan tenaga generator listrik multi-fuel.

Rule 11

Tetapkan dan uji secara kontinu pada kondisi karantina.

Rule 12

Aplikasikan sumber daya yang diperoleh dan dirawat dari aturan 0-11 melalui daur hidup dalam aplikasi kritis.

Selain cek list diatas juga diperlukan strategi untuk menjalankan DR planning yang menyangkut hal-hal berikut : penilaian dampak bisnis, penemuan, anggaran, aturan dasar tim, proteksi data, logistik dan semiannual tes.

Faktor Manusia

Kesuksesan keamanan tergantung dari manusia. Eksploitasi keamanan dilakukan oleh manusia. Selain cara-cara yang telah disebutkan diatas. Faktor manusia perlu diatasi dengan menggunakan metoda dan teknik tertentu. Kebanyakan cara yang digunakan untuk mengatasi faktor manusia ini dengan menerapkan biometric, seperti yang dicontohkan pada bagian awal dari segi fisik. Teknologi biometric yang diterapkan pada sebuah data center merupakan cara yang dilakukan untuk menjamin privacy, integrity, authentication dan availability. Namun demikian karena ini menyangkut manusia keberhasilan penerapan biometric perlu juga didukung oleh staf dan kebijakan keamanan. Staf perlu dididik dan dilatih, dan diharapkan dapat timbul kesadaran akan keamanan dan mengurangi potensi keamanan yang dapat terjadi. Sekali lagi keamanan pada sebuah data center harus menyeluruh dan mengimplementasikan baik sisi keamanan fisik maupun sisi keamanan virtual.

Cara lain yaitu dengan melakukan zona keamanan pada data center. Cara ini dilakukan untuk membatasi orang terhadap ruang komputer dan peralatan vital lainnya. Seperti pusat pembangkit dan pusat pendingin juga harus diperhatikan karena dapat berpotensi mengganggu keamanan. Dalam setiap zona diterapkan kebijakan keamanan yang berbeda, penggunaan peralatan baik kamera pengawas, maupun teknologi biometric, password dan lainnya adalah cara yang dilakukan untuk pengamanan fisik.

Berikut ini penggunaan peralatan dan teknologi pada setiap zona untuk melakukan pengamanan fisik. Penggabungan keamanan fisik dan virtual mulai dilakukan disini. Penerapan detektor penyusup dapat pula diterapkan.

Zona 1 Wilayah sekeliling bangunan data center

Penggunaan kamera pengawas dan penjaga dapat dilakukan disini. Hal-hal tersebut telah diuraikan pada bagian pengamanan disekeliling bangunan.

Zona 2 Wilayah di dalam bangunan data center

Kita dapat membagi pengamanan dalam gedung menjadi beberapa level.

·         Level pertama

Untuk masuk kegedung diperlukan kode akses tertentu. Penggunaan perangkat keras untuk memasukkan password digunakan disini baik secara manual atau menggunakan smart card telah banyak ditentukan.

·         Level kedua

Tingkat kedua untuk masuk keruang administrasi yaitu penggunaan biometric, yang masuk kedalam seperti staf harus dapat dibaca oleh scaner untuk mendapatkan hak akses kegedung. Biometric yang digunakan tergantung dari kebijakan keamanan yang diterapkan dapat menggunakan handprint, fingerprint, iris atau identifikasi mata. Penggunaan voiceprint dan identifikasi kulit akan mulai diterapkan pada masa mendatang. Selain itu juga penggunaan biometric sangat mungkin diterapkan, jika dahulu mempunyai kendala pada biaya sekarang peralatan biometric relatif lebih murah. Selain itu juga data biometric yang ada perlu dienkripsi agar tidak mudah disalahgunakan oleh pihak lain.

·         Level ketiga

Untuk masuk kedalam ruangan server diperlukan kombinasi baik menggunakan password, card reader serta biometric. Hal ini dimaksudkan agar orang yang berhak yang masuk kedalam.

Selain itu juga monitor 24/7 perlu dilakukan baik di wilayah sekitar gedung atau didalam gedung, pintu keluar, ruang komputer dan lainnya wajib dilakukan. Kesadaran akan gangguan keamanan dari pengguna yang berasal dari dalam adalah wajib dilakukan. Kepercayaan perlu diberikan namun pengawasan harus tetap dilakukan. Penerapan kebijakan menjadi point penting dalam hal ini. Penggunaan teknologi lainnya yang dapat mendukung keamanan merupakan hal yang layak untuk dipertimbangkan.

Baca Selengkapnya