Sumber : Asmag.com

Data merupakan hal berharga baik bagi orang, perusahaan, maupun negara. Dapat di ilustrasikan data merupakan “Bahan bakar dari ekonomi digital.” Banyak data center, mengharuskan pertahanan yang kuat. Demikian keamanan secara fisik yang sangat krusial dimana tindakan penerobosan dapat mengakibatkan potensi kerugian besar bagi para pemilik. Standar keamanan data center dan kepatuhan terhadap potensi tersebut menjadi lebih penting dari sebelumnya.

Tetapi bagaimana cara yang sebenarnya dalam melindungi kawasan yang memiliki nilai aset yang sangat tinggi? Artikel ini membahas berbagai ancaman, tantangan, dan praktik terbaik.

Apa Saja Ancaman Besar Pada Keamanan Fisik Data Center?

Data center biasanya memiliki lumayan banyak keamanan fisik dalam lingkup ruang yang kecil, dimana itu akan menjadi sangat menantang bagi para pemimpin keamanan untuk mengelolanya. Sayangnya, bagi seorang customer, memberikan prioritas yang sama seperti ruang kantor tidak akan cukup untuk perlindungan data center.

1. Tindakan “Set it and forget it”
Ryan Schonfeld,CEO dari RAS Watch, menyatakan bahwa banyak data certer yang bersalah atas pengadopsian pola piker “set it and forget it” saat membangun sebuah fasilitas. Ini memberikan penampilan dari keamanan tinggi tetapi membiarkan software menjadi tertinggal dan tidak ada orang yang memonitor mereka.

“Saat makin banyak perusahaan yang beralih pada pekerjaan jarak jauh dan penyimpanan data krusial via cloud dan akibatnya, mengarah pada data center ini kebutuhan bagi fasilitas-fasilitas tidak menciut, ini berkembang, melainkan melindungi hal tersebut menjadi lebih penting” Kata Schonfeld.

“Dan yang lebih penting lagi, fokus bagi fasilitas-fasilitas ini terutama dalam menjaga data yang tersimpan, pemantauan untuk pemadaman atau aktifitas tidak normal, yang mengartikan program keamanan fisik telah mengambil peran utama. Tapi bisa dikatakan, perlindungan fasilitas itu sendiri sama pentingnya dengan memastikan data aman dari ancaman luar”.

2. Ancaman Fisik Melalui Eksploitasi Cyber
Jammy Desousa, Product Manager di Johnson Controls, menunjukkan bahwa ancaman keamanan pusat data utama saat ini adalah pergumulan antara fisik, logika, dan keamanan jaringan. Vektor serangan pertama untuk serangan fisik, sekarang bisa melalui keamanan cyber atau dengan mengeksploitasi kerentanan keamanannya.

3. Perlindungan Data Dari Ancaman Orang Dalam
Masalah umum lainnya yang menjadi masalah keamanan data center adalah ancaman orang dalam. Dimana pencurian data berasal dari dalam data center. Nigel Waterton, CRO dari Arcules, mengatakan bahwa mereka telah melihat pencurian data yang terkenal dalam beberapa tahun terakhir dimana ditembusnya keamanan cyber terus menjadi ancaman yang melibatkan pemeran internal dan external.

“Ancaman lainnya adalah keberadaan fasilitas, baik di kawasan yang ramai, kawasan industri atau lokasi yang terpencil tanpa ada aktifitas lainnya, keduanya memerlukan tingkat keahlian teknis tertentu untuk mengatasi ancaman keamanan fisik secara nyata.” Waterton menambahkan.

Standar Keamanan Yang Harus Dipenuhi Atau Dipatuhi Dari Data Center

Mematuhi standar keamanan fisik data center adalah “wajib” untuk persetujuan peraturan dan perlindungan yang tepat. Kegagalan untuk memenuhi hal ini dapat mengakibatkan denda yang akan sangat merugikan pelanggan akhir, dan oleh karena ini, ini sangat penting untuk dikenali secara mendalam. Beberapa esensi standar data center adalah :

1. ISO 27001
Standar ISO 27001 mengamanatkan persyaratan untuk sistem pengelolaan keamanan informasi. Mematuhi standar ini memungkinkan pelanggan melindungi data dalam bentuk apa pun. Seperti semua standar ISO, ini tergolong tidak wajib tetapi akan memberikan tingkat jaminan tertentu untuk para pelanggan atas keamanan yang berkualitas.

2. ISO 20000-1
ISO 20000-1 mengatur sistem manajemen layanan TI untuk pelanggan. Solusi-solusi yang memenuhi standar ini akan membantu pelanggan mengetahui bahwa layanan terkelola dan berkualitas tinggi.

3. SSAE 18 SOC 1 Type II, SOC 2 Type II, dan SOC 3
Pernyataan tentang standar untuk keterlibatan pengesaan NO 18 (SSAE 18) adalah peningkatan penting dari SSAE 16 (Sebelumnya) dalam standar layanan audit di perusahaan. Banyak sekali tipe SOCs yang berada di standar ini, dan organisasi memilih yang terbaik serta yang paling cocok bagi usaha mereka.

4. HIPAA, PCI DSS, dan lainnya
Hal-hal ini mengatur keamanan informasi dalam lingkup domain tertentu. HIPAA misalnya, berkaitan dengan keamanan informasi dalam perawatan kesehatan. PCI DSS berkaitan dengan keamanan data di industri kartu pembayaran. Selain itu, ada standar data center lain berdasarkan sifat informasi yang ditangani. Misalnya, jika data penting bagi keamanan nasional, mungkin ada standar tertentu yang ingin diberlakukan oleh departemen keamanan dalam negeri.

Praktis Terbaik Untuk Keamanan Data Center

Menjadi keamanan fisik dalam data center memerlukan pertimbangan yang hati-hati atas beberapa faktor. Pakar industri mencantumkan beberapa keamananan data center terbaik dalam hal ini.

1. Multi-Layered Approach
Tidak ada solusi sistem keamanan tunggal dalam perlindungan data center. Waterton menyarankan pendekatan secara berlapis-lapis dalam penerapan teknologi yang relevan, misalkan pemagaran di sekeliling perimeter, titik kontrol, kamera pemantauan, penghalang fisik pada pintu, gerbang masuk dan keluar dengan turnstile, dan juga kemampuan untuk mengontrol akses pada seluruh bagian ruangan.

“Semua elemen ini semestinya harus bekerja sama dengan mulus untuk memberikan perlindungan aset fisik dan kekayaan intelektual di mana pun mereka berada di dalam fasilitas," tambah Waterton.

2. Pengecekan Latar Belakang
Mencegah ancaman orang dalam / luar adalah langkat besar selanjutnya. Orang Ini bisa jadi orang yang dipekerjakan oleh badan intelijen yang disponsori negara atau aktor jahat untuk spionase perusahaan.

“Orang-orang ini bukanlah persona mata-mata utama “Mission Impossible”, mereka lebih tidak berbahaya, seperti orang-orang rendah hati yang terbang di bawah radar," kata Waterton. "Sangat penting bagi pemimpin keamanan untuk mempertimbangkan individu yang dipekerjakan dalam fasilitas pusat data. Metode untuk mengurangi risiko yang terkait dengan ancaman orang dalam mencakup pemeriksaan latar belakang, audit keamanan, serta kebijakan dan prosedur yang kuat untuk menjaga perlindungan data dan aset."

3. Akses Kontrol dan Manajemen Identitas Data Center
Mengontrol akses dan manajemen identitas dari orang yang diberikan wewenang untuk memasuki data center sangat penting. Bagi Schonfeld, banyak data center menerapkan jenis tindakan pencegahan yang sama dengan yang orang biasa lakukan dalam keamanan elektronik, seperti proses otentikasi multi-faktor, deteksi anomali, manajemen identitas vs manajemen kredensial, dan pemantauan dan tindakan real-time dari keamanan fisik perangkat.

"Jika beberapa protokol yang sama digunakan dalam menetapkan tindakan-tindakan keamanan cyber di seluruh keamanan fisik fasilitas, Fasilitas tersebut dapat lebih siap untuk melindungi aset fisik dari ancaman luar (atau orang dalam)," tambah Schonfeld.

4. Arsitektur Keamanan Data Center yang Kokoh
Yang terakhir, perlindungan pusat data memerlukan sebuah arsitektur keamanan yang memenuhi semua standar. Menurut DeSousa, hal ini berarti merencanakan keamanan dari awal dan memikirkan desain keamanan cyber serta mempertimbangan desain keamanan fisik. Menggunakan konsultan atau seseorang yang memiliki pengalaman dengan perlindungan pusat data akan menjadi tindakan penting pertama untuk melindungi dari ancaman-ancaman.

Tantangan-tantangan Yang Membatasi Tindakan Perlindungan Data Center

Tentunya, tantangan terbesar untuk memastikan keamanan data center adalah adopsi perusahaan. Secara tradisional, IT dan keamanan fisik tidak bekerja bersama-sama menuju tujuan bersama atau rencana adopsi perusahaan yang solid yang mewajibkan kolaborasi antara lintas fungsi demi membangun strategi yang kompak. "Ada banyak sekali risiko yang terkait dengan data center, dan kemampuan mengenali risiko tersebut penting untuk menerapkan keamanan yang tepat di lokasi ini," jelas Waterton. "Ketika ada ratusan juta dolar yang dituangkan untuk membangun dan mengembangkan generasi baru fasilitas yang berefisiensi tinggi, sangat penting untuk mengakui risiko yang dapat ditimbulkan oleh ancaman di luar (dan di dalam)."

Faktor lainnya adalah biaya, menurut Schonfeld. Banyak organisasi meremehkan pentingnya keamanan fisik pusat data,yang tentunya sering kehilangan gambaran besar dan bagaimana hal ini terkait dengan keamanan cyber. Gagasan bahwa Anda tinggal memasang beberapa kamera pengintai dan meletakkan beberapa pembaca kartu di pintu dan menyebutnya sebagai program keamanan tentunya tidak layak dalam fasilitas semacam ini.