TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY Titien S. Sukamto
AUDIT DATA CENTER DAN DISASTER RECOVERY Audit terhadap fasilitas pengolahan TI, biasanya merujuk pada Data Center, yang merupakan inti dari operasional dalam organisasi, dimana Data Center menjadi pendukung terhadap semua aktivitas penting bisnis. Area dalam audit Data Center dan Disaster Recovery : Pengendalian keamanan dan lingkungan fisik Operasional Data Center Persiapan bencana
AUDIT DATA CENTER DAN DISASTER RECOVERY Ancaman yang mungkin dihadapi Data Center : Ancaman dari alam seperti, cuaca, banjir, gempa bumi, dan kebakaran Ancaman akibat ulah manusia, seperti, insiden teroris, pencurian dan sabotase Kerusakan lingkungan, seperti, temperatur yang ekstrem dan kelembaban Hilangnya fasilitas seperti, energi listrik dan telekomunikasi Area Audit terhadap Data Center : Pengendalian keamanan dan lingkungan fisik Pengendalian sistem Kebijakan, perencanaan dan prosedur untuk mengelola operasional Data Center Pengendalian perencanaan bencana (disaster)
PENGENDALIAN KEAMANAN DAN LINGKUNGAN FISIK Data Center biasanya memiliki beberapa jenis pengendalian untuk fasilitasnya, salah satunya pengendalian keamanan dan lingkungan fisik. Pengendalian ini berfungsi untuk mencegah unauthorized intrusion, deteksi masalah sebelum berakibat fatal, dan penyebaran api/kebakaran. Pengendalian yang dilakukan : Sistem pengendalian terhadap akses Fasilitas Pemasangan sistem Alarm Jaringan HVAC (heating, ventilation and air conditioning)
PENGENDALIAN OPERASIONAL DATA CENTER Data Center harus dilengkapi dengan kebijakan, perencanaan dan prosedur. Auditor harus dapat menemukan ruang lingkup dalam kebijakan, perencanaan dan prosedur, yaitu : Pengendalian akses fisik Pengawasan sistem dan fasilitas Perencanaan, pelacakan dan perawatan fasilitas serta peralatan Respon terhadap prosedur
PENGENDALIAN PERSIAPAN BENCANA (DISASTER) Semua Data Center tidak akan terhindar dari bencana yang dakibatkan oleh alam dan manusia. Ketika bencana menyerang Data Center, pelayanan organisasi akan terhenti. Tugas Auditor untuk mengidentifikasi dan mengukur pengendalian fisik dan administratif, seperti : System resiliency Data backup dan restore Disaster recovery planning
TAHAP PENGUJIAN UNTUK AUDIT DATA CENTER DAN DISASTER RECOVERY Area ruang lingkup pengujian : A. Faktor kemunculan risiko dari lingkungan eksternal B. Pengendalian akses fisik C. Pengendalian lingkungan D. Power and electricity E. Fire suppression F. Operasional Data Center G. System resiliency H. Data backup and restore I. Disaster recovery planning
A. FAKTOR KEMUNCULAN RISIKO DARI LINGKUNGAN EKSTERNAL 1. Review pencahayaan, bangunan, karakteristik lingkungan untuk mengidentifikasi risiko Caranya : Jalankan inspeksi fisik terhadap fasilitas data center Tetapkan di lantai berapa Data Center berada. 2. Teliti lokasi data center untuk deteksi kerusakan lingkungan dan menentukan jarak antara layanan darurat. Caranya : Jalankan penelitian untuk mengidentifikasi kerusakan lingkungan. Cari informasi untuk : level banjir, ancaman cuaca, tingkat kejahatan lokal
B. PENGENDALIAN AKSES FISIK Mekanisme pengendalian akses fisik termasuk : Pintu Prosedur pengendalian akses Mekanisme dan otentifikasi fisik Security guard 3. Review pintu dan dinding Data Center untuk mengetahui apakah ia terlindungi dengan baik Caranya: Melalui interview dan observasi, identifikasi potensi entry points ke dalam Data Center.
B. PENGENDALIAN AKSES FISIK CONT... 4. Evaluasi perangkat otentifikasi fisik untuk mengetahui apakah ia cukup dan bekerja dengan baik. Contoh perangkat otentifikasi fisik : card-key reader, badges, biometrik, dll. Caranya : Identifikasi mekanisme otentifikasi di setiap entry point Dapatkan sampel log pada perangkat otentifikasi Review proses peninjauan dan investigasi log perangkat secara periodik
B. PENGENDALIAN AKSES FISIK CONT... 5. pastikan prosedur pengendalian akses fisik komprehensif dan dipatuhi oleh staff Data Center Caranya : review prosedur pengendalian akses fisik Pastikan kebutuhan otorisasi akses terdokumentasi dan didefinisikan dengan jelas untuk pegawai Verifikasi bahwa prosedur akses tamu termasuk larangan pengambilan gambar/foto Review sampel permintaan otorisasi akses tamu dan ID pegawai untuk menjamin bahwa prosedur pengendalian akses dipatuhi Review prosedur yang menjamin akses Data center dihapus ketika tidak lagi dibutuhkan Dapatkan daftar semua individu yang memiliki akses ke Data center Tentukan apakah manajemen secara teratur meninjau otorisasi akses fisik
B. PENGENDALIAN AKSES FISIK CONT... 6. Pastikan bahwa alarm dan sistem surveillance dapat melindungi Data Center dari kerusakan fisik Caranya : Review penempatan sensor, verifikasi bahwa area penting tercover dengan baik Review kualitas dan penempatan kamera, yang menjamin bahwa diletakkan di tempat yang strategis verifikasi sistem surveillance diawasi dan di evaluasi Verifikasi bahwa video direkam agar dapat dilakukan playback
B. PENGENDALIAN AKSES FISIK CONT... 7. Review round log dari security guard dan dokumentasi lainnya untuk mengevaluasi efektivitas dari fungsi personal keamanan. Caranya : Verifikasi bahwa dokumentasi log akses dan laporan ada, serta informasi dicatat dengan baik, dengan melihat sampel 8. verifikasi bahwa area sensitif dalam data Center terlindungi dengan baik. Caranya : Evaluasi kebutuhan untuk mengakses pemisahan antara jumlah pegawai dan peralatan yang dibutuhkan dalam Data Center Review lokasi dari sistem Data Center, termasuk di dalamnya power supply, peralatan HVAC, server, dll.
C. PENGENDALIAN LINGKUNGAN Sistem komputer membutuhkan kondisi lingkungan spesifik, seperti, temperatur dan kelembaban yang teratur. 9. Verifikasi bahwa sistem HVAC dapat mempertahankan temperatur yang tetap dalam Data Center. Caranya : review area lingkup berikut dan dapatkan informasinya dari Manajer Fasilitas Log temperatur dan kelembaban untuk verifikasi bahwa semuanya berada pada level yang dapat diterima Alarm temperatur dan kelembaban untuk menjamin Personal Data Center tahu akan kondisi Data Center pada level yang tidak dapat diterima Rancangan HVAC untuk verifikasi semua area Data Center ter-cover seluruhnya Konfigurasi sistem HVAC
C. PENGENDALIAN LINGKUNGAN CONT... 10. Pastikan bahwa water alarm system terkonfigurasi untuk mendeteksi air pada high-risk area di Data Center Caranya : Identifikasi sumber air yang berpotensi seperti kebocoran, unit AC, dll, untuk verifikasi adanya sensor air yang ditempatkan di lokasi yang paling dapat me-mitigasi risiko Review catatan perawatan untuk menjamin bahwa alarm dirawat secara periodik 11. tentukan apakah Data Center memiliki daya cadangan Caranya : wawancara Manajer Fasilitas untuk mengetahui apakah Data Center tidak hanya memiliki 1 sumber daya
C. PENGENDALIAN LINGKUNGAN CONT... 12. Verifikasi bahwa baterai untuk sistem backup ada untuk menjamin kelanjutan proses meskipun saat black-out. Cara : Wawancara dengan manajer fasilitas dan observasi UPS sistem backup untuk verifikasi bahwa UPS dapat melindungi semua sistem komputer penting Review daftar kebutuhan peralatan yang berhubungan dengan UPS dan pastikan semua sistem penting terpenuhi 13. Pastikan bahwa generator dapat melindungi Data Center dari kehilangan Daya Cara : Melalui observasi dan wawancara, verifikasi bahwa Data Center memiliki generator Tetapkan kemampuan generator untuk memberikan daya kepada semua operasi untuk waktu tertentu Review log perawatan dan pengujian
C. PENGENDALIAN LINGKUNGAN CONT... 14. Pastikan bahwa bangunan Data Center mendukung fitur fire suppression Cara : review fitur fire suppression yang ada dalam bangunan. Dan lakukan wawancara degan Manajer fasilitas 15. pastikan bahwa personal di Data Center mendapatkan pelatihan Cara : Review laporan bencana dan materi pelatihan terhadap bencana serta prosedur lainnya, juga lakukan wawancara dengan staff Data Center Melalui observasi, tentukan apakah ada hal-hal yang tidak perlu dalam penyimpanan di Data Center, jika iya, usulkan pengurangan.
D. OPERASIONAL DATA CENTER Operasional Data Center yang efektif membutuhkan kebijakan, prosedur dan perencanaan yang formal, dengan ruang lingkup sebagai berikut : Pengawasan fasilitas Peran dan tanggung jawab masing-masing personal Data Center Pembagian/pemisahan tugas Respon terhadap keadaan darurat dan bencana Perencanaan kapasitas Data Center Manajemen aset
D. OPERASIONAL DATA CENTER CONT... Checklist 16. Review pengawasan, laporan dan prosedur alarm 17. Verifikasi bahwa pengawasan jaringan, SO, dan aplikasi dapat memberikan informasi untuk identifikasi potensi masalah 18. pastikan bahwa peran dan tanggung jawab masing-masing personal terdefinisi dengan baik 19. Verifikasi bahwa pekerjaan dan fungsi personal Data Center dipisahkan dengan baik 20. pastikan bahwa prosedur respon kondisi darurat dapat menyelesaikan ancaman potensial 21. verifikasi bahwa sistem di Data Center dirawat dengan baik 22. pastikan bahwa personal Data Center dilatih dengan benar untuk menyelesaikan tugasnya 23. pastikan bahwa kapasitas data center direncanakan untuk menghindari pengeluaran yang tidak perlu
E. SYSTEM RESILIENCY (KETAHANAN SISTEM) Checklist : 24. Pastikan bahwa Data Center memiliki hardware lebih yang dapat memberikan ketersediaan yang tinggi terhadap sistem saat diperlukan 25. Verifikasi bahwa sistem duplikat digunakan dimana kebutuhan akan sistem sangat tinggi diperlukan
F. DATA BACKUP DAN RESTORE Backup sistem dilakukan secara reguler pada kebanyakan sistem. Seringnya, restore diuji pertama kali saat dibutuhkan karena terjadi masalah. Checklist : 26. Pastikan bahwa prosedur dan kapasitas backup cukup untuk sistem 27. Verifikasi bahwa sistem dapat di-restore dari media backup 28. Pastikan bahwa media backup dapat segera diambil dari fasilitas penyimpanan off-site
G. DISASTER RECOVERY PLANNING Tujuan Disaster Recovery Planning adalah untuk membangun ulang sistem secara efisien setelah terjadi bencana. Checklist : 29. Pastikan bahwa DRP ada dan komprehensif. Pegawai paham akan peran mereka saat terjadi bencana 30. Pastikan bahwa DRP diperbaharui dan diuji secara periodik 31. Verifikasi bahwa persediaan dan persetujuan dengan vendor akurat dan terbaru 32. Pastikan bahwa rencana operasi darurat membahas berbagai skenario bencana
REFERENSI Davis. IT Auditing. 2011