Ketika meletakkan data perusahaan di pusat data milik pihak ketiga, tentu keamanan data jadi fokus utama. Dari sisi keamanan fisik, apa yang harus diperhatikan?
Dalam beberapa dekade ini telah diketahui bahwa data memiliki peran penting dalam dunia bisnis. Hal ini membuat peran data center yang dikenal sebagai penjaga data-data dan informasi bisnis mempunyai peran yang sangat substansial, ibarat sebuah bank.
Seperti bank, data center juga dikenal dan dipercaya sebagai tempat menyimpan aset penting yaitu “data” dari sebuah perusahaan dan menjadikannya sebagai target utama sejumlah penyerang jahat. Pertimbangan ini disimpulkan berdasarkan angka yang didapat di tahun 2014, saat terjadi pemadaman listrik selama 8 jam yang merugikan bisnis rata-rata senilai US$2,7 juta. Jumlah ini tidak diragukan lagi tumbuh secara eksponensial selama enam tahun terakhir akibat meningkatnya ketergantungan digital di seluruh dunia.
Meskipun kesadaran akan pentingnya keamanan di bank telah diketahui dan (sebagian besar) diterapkan dengan baik secara fisik maupun dunia maya, hal ini tidak berlaku untuk data center. Banyak data center di seluruh dunia masih gagal untuk secara komprehensif mengamati berbagai persyaratan Penilaian Risiko Ancaman dan Kerentanan atau biasa dikenal dengan Threat and Vulnerability Risk Assessment (TVRA). Berbicara mengenai peraturan dan regulasi, tetapi tidak berhasil mengenali pelanggaran mendasar dalam menentukan tindakan keamanan.
Di Asia Pasifik, hal ini sangat penting karena data-data penting bisnis dihadapkan pada ancaman unik yang ada di wilayah ini. Pertama, serangan teroris jauh lebih umum ditemukan di Asia daripada di Eropa atau Amerika Utara.
Kedua, negara-negara tertentu di Asia dihadapkan pada tingkat korupsi ekonomi yang lebih tinggi, yang membuat spionase perusahaan atau negara, dan pencurian serta penjualan data digital sensitif jauh lebih mungkin menjadi ancaman.
Terakhir, Asia adalah benua yang paling rentan terhadap banjir dan badai. Asia menyumbang 44% dari semua peristiwa bencana di seluruh dunia. Frekuensi bencana alam akan meningkat akibat perubahan iklim yang terus berlangsung. Peristiwa alam semacam itu tidak membeda- bedakan atau berpihak sehingga dapat terjadi kapan pun dan dimana pun, dan bisa mengakibatkan beberapa kerusakan berskala paling besar di berbagai bisnis dalam sejarah data center.
Delapan Lapis Keamanan Fisik
Apa yang harus diperhatikan perusahaan dalam konteks terkait keamanan fisik saat memilih data center yang tepat untuk memercayakan data perusahaan mereka? Dianjurkan bagi perusahaan untuk membuat penilaian risiko di wilayah tersebut secara komprehensif terlebih dahulu untuk memastikan bahwa setiap data center yang dibangun akan memiliki tingkat keamanan terbaik dengan fasilitas tingkat atas.
Setelah itu, terdapat delapan komponen untuk keamanan fisik yang dapat melindungi data penting bisnis perusahaan. SpaceDC menyarankan pelanggan atau pengguna memeriksa delapan komponen berikut. Pemaparan delapan komponen ini juga memberikan gambaran pengalaman pengunjung pada umumnya untuk data center yang memiliki keamanan maksimum, dari titik masuk awal hingga tingkat akses rak.
Lapisan keamanan data yang paling dasar namun penting adalah upaya mencegah penyerang selama ini: melalui sebuah tembok. Tembok ini menjadi garis pertahanan terluar di lapisan pertama yang memberikan perlindungan bahkan sebelum pengunjung memasuki fasilitas.
Memang terdengar sederhana, tapi arsitektur perimeter luar data center dengan keamanan maksimum memiliki banyak aspek. Lapisan luar data center harus mampu menahan setiap kemungkinan jenis serangan dan bencana; yang artinya harus memiliki kepadatan tinggi, dinding tahan api, jendela anti peluru dan setidaknya titik masuk terbatas.
Selain itu, data center juga harus dikelilingi oleh CCTV - fitur umum dari delapan lapisan- dan diawasi oleh personel yang telah memiliki pelatihan ekstensif yang telah dipersiapkan secara khusus untuk situasi darurat. Semua penjaga harus sepenuhnya memenuhi syarat sesuai dengan standar yang ditentukan sebelumnya, termasuk memperoleh Sertifikat Pemadaman Kebakaran, diperiksa secara ekstensif dan dilengkapi dengan daftar pertanyaan lengkap untuk ditanyakan kepada pengunjung. Selain itu, posisi personel keamanan dan daftar nama shift mereka harus terus dirotasi saat di dalam fasilitas untuk mengurangi resiko perencanaan atau pengintaian yang mungkin melibatkan mereka.
Lapisan kedua adalah pos penjaga di dekat gerbang. Setiap pengunjung harus melakukan pra-registrasi kunjungan, setidaknya 48 jam sebelumnya, lalu setiap individu diharuskan melewati pemeriksaan sebelum memasuki bangunan. Jika mereka membawa mobil, pra-pendaftaran mereka harus menyertakan plat nomor dan tempat parkir yang telah dipesan sebelumnya, jika tidak, kunjungan mereka harus ditolak.
Pengunjung harus ditanyai tentang detail pra-pendaftaran mereka dan menjawab serangkaian pertanyaan keamanan mengenai latar belakang, tujuan kunjungan dan daftar orang yang menyertai, dan lain-lain. Pertanyaan ini adalah pertanyaan dari Sistem Aplikasi Permintaan Akses dan merupakan praktik terbaik yang dilakukan untuk syarat keamanan tinggi di data center. Informasi ini kemudian harus dikonfirmasi atau ditinjau lebih lanjut dan dicocokkan oleh petugas keamanan melalui detail di layar komputer mereka.
Selanjutnya, pengunjung harus menyerahkan kartu identifikasi pribadi yang akan disimpan oleh petugas keamanan selama kunjungan mereka. Jika mereka membawa komponen perangkat keras dalam bentuk apapun, mereka juga harus memberikan nama dan nomor aset barang tersebut.
Setelah disetujui, mereka akan diberi kartu izin yang memungkinkan mereka untuk mengakses area tertentu dari bangunan tersebut. Kartu ini didesain unik untuk setiap pengunjung, untuk pembatasan dan pemantauan yang mudah dari semua pergerakan di dalam fasilitas, yang dibagi menjadi zona akses yang jelas.
Untuk pengunjung yang bepergian dengan mobil, data center yang aman harus memiliki 'perangkap mobil' dua pintu, yang dirancang sesuai dengan standar TVRA. Di sini, mobil akan diperiksa sepenuhnya menggunakan detektor logam dan kaca spion undercarriage untuk memastikan bahwa tidak ada senjata, telepon, atau lainnya yang diselundupkan ke data center.
Seharusnya tidak ada yang namanya VIP atau perlakuan khusus untuk data center yang aman. Bahkan pergerakan staf pemeliharaan rutin harus dipantau secara ketat untuk memastikan akses manusia yang tidak sah tidak terjadi, baik disengaja maupun tidak.
Lapisan ketiga adalah pos jaga, yang dapat ditemukan di pintu masuk ke gedung data center. Pengunjung wajib untuk sekali lagi menjawab daftar pertanyaan keamanan dan memberikan identifikasi lengkap tentang diri mereka sendiri dan setiap barang yang mereka bawa.
Pengunjung kemudian akan melewati detektor logam dan setiap barang yang mereka bawa akan melewati alat X-ray. Kemudian, pengunjung akan pergi ke area tempat duduk untuk menunggu sponsor mereka, yang kemudian akan mengawal mereka sampai ke tempat tujuan.
Ketika pengunjung akhirnya mencapai resepsionis, pengunjung harus pergi ke area aman dan diberikan kartu upgrade jika telah disetujui. Kartu baru ini akan menentukan dengan tepat area mana yang boleh dan tidak boleh dimasuki di dalam gedung data center.
Setelah menerima kartu berwarna spesifik, pengunjung kemudian wajib diantar ke ruangan kecil yang mengunci udara (airlock)- ruang perangkap manusia (human trap) - tempat dimana pengunjung akan ditimbang. Perangkap manusia menggunakan teknologi pintar untuk mendaftarkan setiap pengunjung dan membandingkan berat badan mereka pada saat keberangkatan. Jika berat pengunjung bertambah atau berubah dibandingkan saat mereka datang, pintu akan secara otomatis terkunci dan penjaga keamanan akan tiba, memeriksa pengunjung dan menanyai mereka secara ekstensif untuk mengungkap penyebab perbedaan tersebut dan memutuskan tindakan selanjutnya yang akan diambil.
Untuk gedung data center yang bertingkat, pengunjung akan berpindah dari airlock melalui kontrol akses lift. Setiap pengunjung hanya diizinkan menggunakan lift yang ditentukan. Dari sana, kartu berwarna khusus pengunjung hanya akan memberi mereka akses ke lantai tertentu. Jika pengunjung tidak berhak atas lantai tertentu, mereka tidak akan dapat mengaksesnya melalui lift, meskipun berada dalam zona warna tersebut.
Orang-orang dalam daftar personel yang diizinkan berada di dekat rak hanya terbatas pada anggota staf, klien, dan subkontraktor klien - yang sebelumnya sudah membaca aturan dan regulasi data center dan menjalani tingkat pelatihan tertentu. Setidaknya harus ada lima hari peringatan lanjutan yang diberikan sebelum mengirim individu baru untuk mengakses rak data.
Lapisan enam adalah koridor keaman ruang data. Kebijakan tanpa tailgating penting untuk memungkinkan Network Operations Center (NOC) memantau setiap individu yang memasuki ruang data dan seterusnya. Saat masuk, sistem akan segera melakukan pemberitahuan ke tim Network Operations Center (NOC) yang kemudian akan mengkonfirmasi dan menolak individu yang diperbolehkan atau diizinkan untuk berada di dalam ruangan. Jika hanya satu kartu yang digunakan untuk masuk, seharusnya hanya ada satu orang yang ada di dalam ruang data. Jika ada satu orang tanpa izin yang berada di koridor keamanan ruang data pada saat tertentu, koridor tersebut secara otomatis akan terkunci dan petugas keamanan akan dipanggil.
Data center yang aman tidak mengizinkan pengunjung membuntuti orang yang mengawal mereka. Semua data center harus mematuhi secara ketat aturan 'satu orang, satu kartu' dan membuat pembuntutan tidak mungkin dilakukan, berkat pantauan sensor pintar dan CCTV. Prosedur ini sangat penting karena memastikan keakuratan semua data pengunjung yang akan diperlukan jika terjadi insiden di data center.
Lapisan ketujuh adalah lemari besi data center, tempat di mana semua rak diletakkan. Tidak akan ada pengawalan untuk setiap pengunjung sehingga kesalahan manusia yang mungkin dibawa pengawal turun ke nol. Data center yang aman akan memiliki pengawasan CCTV yang komprehensif di seluruh ruangan sehingga tim NOC dapat melihat posisi setiap pengunjung setiap saat.
Kapan pun, data center harus tahu persis siapa yang ada di lemari besi, di mana mereka berada, dan apa yang mereka lakukan. Jika ada lebih banyak orang di sana maka akan ada peringatan yang berbunyi.
Perbatasan terakhir adalah rak, lapisan keamanan tertinggi dari delapan lapisan. Hanya orang yang dipilih secara spesifik, dinilai, dan disetujui sebelumnya yang dapat mencapai akses tingkat rak. Harus ada batasan jumlah orang yang diberi tingkat pada akses ini per perusahaan, bergantung pada skalanya. Di sini, pengunjung akan membutuhkan kode pin atau kunci biometrik seperti sidik jari untuk mendapatkan akses. Akses ini merupakan hal yang tidak dapat dicuri atau diambil alih secara fisik. Selain itu, banyak pelanggan yang memiliki pengawasan rak sendiri, yang mungkin mencakup teknologi tambahan seperti detektor wajah, sesuai dengan kebutuhan spesifik mereka. Data Center yang baik akan dengan mudah memfasilitasi pelapisan teknologi keamanan tambahan.
Di Luar yang Delapan
Di luar dari delapan tingkat keamanan fisik yang penting ini, seluruh kampus data center harus memiliki personel keamanan di lokasi selama 24 jam setiap harinya yang berpatroli dan pengawasan CCTV 24 jam setiap harinya di seluruh lokasi dengan perekaman dan penyimpanan digital yang dapat digunakan untuk analitik data dan forensik digital. Semua staf yang bekerja di lokasi harus terus dilatih dalam proses keamanan dan semua sistem harus diuji dan diperbarui secara berkala.
Data Center juga harus memiliki pemantauan jarak jauh 24 jam setiap harinya, pengawasan dan kontrol dari NOC di luar lokasi. Jika ada masalah dengan peralatan, NOC di luar lokasi akan membantu menyelesaikan daftar periksa pemecahan masalah dan menyelesaikan masalah. Setiap keadaan darurat yang menghambat aliran data akan terdeteksi di sana, memperingatkan ahli keamanan siber tentang potensi malware, DDoS, dan APT (Ancaman Persisten Tingkat Lanjut).
Data center yang aman juga akan memiliki sistem cadangan cerdas untuk melakukan penguncian otomatis jika terjadi keadaan darurat. Dimana akan memelihara log akses sesuai sejarah penggunaan dan permintaan forensik di masa depan.
Masa Depan Keamanan Data Center
Data center yang tepat untuk Anda hari ini juga harus menjadi data center yang tepat untuk Anda esok hari. Tidak hanya meliputi pembaruan terus-menerus dan mengikuti kemajuan atau perkembangan baru dalam hal ancaman, tetapi juga mengantisipasinya secara proaktif dengan teknologi AI dan pemodelan prediktif untuk tetap menjadi yang terdepan.
Skalabilitas juga harus tertanam dalam desain data center Anda untuk memastikan bahwa, seiring dengan pertumbuhan Anda, sistem pertahanan yang ada tumbuh dan berkembang bersama Anda. Sebuah pertanda baik, jika data center dapat menampung hyperscaler seperti Google, Facebook, dan AWS.
Terakhir, data center kemungkinan besar akan berkembang dan tidak tersentuh akibat dampak dari COVID-19. Di mana, terjadi penghapusan persyaratan untuk pemindaian sidik jari dalam langkah-langkah keamanan dan pergeseran ke arah keamanan yang lebih berbasis biometrik seperti teknologi pengenalan wajah.
Keamanan data center yang Anda pilih untuk menampung data penting bisnis Anda sangat penting dan harus menjadi prioritas teratas dalam proses pengadaan.data center yang tepat akan mematuhi semua proses di atas dan persyaratan infrastruktur serta banyak hal lainnya. Bahkan seharusnya, tidak hanya mematuhi tetapi secara proaktif menetapkan standar industri, terutama karena undang-undang keamanan data adalah salah satu yang paling cepat berkembang di dunia. Jika suatu data center tidak mampu memenuhi Hukum Murphy, yaitu, beroperasi dengan asumsi bahwa segala sesuatu yang bisa salah akan menjadi salah, sebaiknya Anda tidak boleh memercayakan keamanan data Anda di sana.
Penulis | : | Liana Threestayanti |
Editor | : | Liana Threestayanti |
KOMENTAR