4 Physical Security

Tugas Mata KuliahProteksi dan Keamanan Sistem Informasi (IKI-838408T)

Physical SecurityDan Penerapannya pada UKM

Tri Hasmoro - 7204000144

Dosen:Rahmat M. Samik-Ibrahim

Johny MoningkaArrianto Mukti Wibowo

Magister Teknologi InformasiUniversitas Indonesia

© 2005 Kelompok 130p IKI-838408T MTI UI. Dipersilahkan memperbanyak bahan ajaran ini melaluiasalkan mencantumkan pernyataan hak cipta ini

DAFTAR ISI

DAFTAR ISI....................................................................................................................... 2BAB 1. PENDAHULUAN .......................................................................................... 3

1.1. Ruang Lingkup.................................................................................................... 51.2. Definisi................................................................................................................ 5

BAB 2. PEMBAHASAN TEORI ................................................................................ 62.1. Ancaman Pada Physical Security............................................................................ 62.2. Kontrol atas Physical Security ................................................................................ 7

2.2.1 Kontrol Administratif .................................................................................. 72.2.2 Kontrol Lingkungan dan Keselamatan Hidup .......................................... 102.2.3 Kontrol Fisik dan Teknis........................................................................... 152.2.4 Kontrol Inventori Komputer ..................................................................... 23

2.3. Tren Teknologi Keamanan Fisik .......................................................................... 25BAB 3. PHYSICAL SECURITY PADA UKM........................................................... 283.1. Kontrol Administratif............................................................................................ 283.2. Kontrol Lingkungan dan Keselamatan Hidup ...................................................... 313.3. Kontrol Fisik dan Teknis ...................................................................................... 323.4. Kontrol Inventori Komputer ................................................................................. 333.5. Contoh Penerapan Physical Security pada UKM ................................................. 34


DAFTAR TABEL

Tabel 1. Istilah Gangguan Daya Listrik............................................................................ 11Tabel 3. Kerusakan Akibat Listrik Statik ......................................................................... 12Tabel 4. Kelas Kebakaran, dan Media Peredam............................................................... 12Tabel 5. Suhu yang Menyebabkan Kerusakan oleh Panas ............................................... 15Tabel 6. Kebutuhan Ketinggian Pagar .............................................................................. 16Tabel 7 Tipe Kartu Security Access ................................................................................. 19


DAFTAR GAMBAR

Gambar 1. Crossover Error Rate (CER) .......................................................................... 20


BAB 1. PENDAHULUAN

1.1. Ruang LingkupRanah persoalan (domain) keamanan fisik (physical security) dalam keamanan sisteminformasi amatlah jelas dan ringkas. Domain kemanan fisik menguji elemen-elemenlingkungan fisik dan infrastruktur pendukung yang menjaga kerahasiaan (confidentiality),keutuhan (integrity), dan ketersediaan (availability) sebuah sistem informasi. Di sinitidak dibahas mengenai logical control, akan tetapi beberapa physical control yangdideskripsikan di sini dalam beberapa domain lainnya, seperti operation control, danaccess control. Bencana alam adalah contoh ancaman fisik pada keamanan. Kontrolfasilitas terhadap akses yang tidak berwenang atau pencurian adalah elemen darikeamanan fisik. Area yang dikenal sebagai indsutrial security banyak mengenal hal-haldemikian, seperti CCTV (Closed-Circuit Television), penjagaan, pemagaran,pencahayaan, dan sebagainya.

1.2. DefinisiDomain keamanan fisik membahas ancaman, kerawanan, dan tindakan yang dapatdiambil untuk memberi perlindungan fisik terhadap sumber daya organisasi daninformasi yang sensitif. Sumberdaya ini meliputi personel, fasilitas tempat merekabekerja, data, peralatan, sistem pendukung, dan media yang mereka gunakan,. Keamananfisik sering mengacu pada tindakan yang diambil untuk melindungi sistem, gedung, daninfrastruktur pendukung yang terkait terhadap ancaman yang berhubungan denganlingkungan fisik. Keamanan fisik komputer dapat juga didefinisikan sebagai proses yangdigunakan untuk mengontrol personel, bangunan fisik, peralatan, dan data yang terlibatdalam pengolahan informasi.


BAB 2. PEMBAHASAN TEORI

2.1. Ancaman Pada Physical SecuritySebelum memulai berbagai macam investigasi dan antisipasi terhadap keamanan, kitaperlu mengetahui aspek apa saja dari lingkungan yang bisa mengancam infrastrukturkomputer. Ketika analisa resiko atau penilaian dampak bisnis dilakukan, ancaman yangmungkin terjadi harus didaftarkan. Tidak peduli kemungkinan terjadinya kerawanantersebut rendah atau tidak mungkin, daftar semua ancaman yang mungkin harus disusun.Beberapa metode assessment seperti CMM atau IAM membuat praktisi melakukanpenyusunan daftar yang lengkap atas kemungkinan terjadinya ancaman keamanan fisik.

Ketiga aspek CIA juga merupakan resiko yang harus dilindungi oleh keamanan fisik.Beberapa contoh resiko CIA dalam keamanan fisik adalah seperti berikut ini:

i. Interupsi dalam menyediakan layanan komputer—ketersediaanii. Kerusakan fisik—ketersediaaniii. Keterungkapan informasi—kerahasiaaniv. Kehilangan kendali atas sistem—keutuhanv. Pencurian—kerahasiaan, keutuhan, dan ketersediaan

Sedangkan beberapa contoh ancaman terhadap keamanan fisik di antaranya:Emergensi

- Kebakaran dan kontaminasi asap- Kerusakan bangunan- Kehilangan fasilitas utilitas /infrastruktur (listrik, AC, dan pemanas)- Kerusakan jaringan air (perusakan Pipa)- Limbah atau bahan beracun

3. CairanMeliputi air dan bahan kimia. Contohnya adalah banjir, kebocoran pipa airledeng, endapan salju, kebocoran bahan bakar, minuman yang tumpah, bahankimia pembersih asam dan basa, dan cairan printer.

4. OrganismeVirus, bakteri, manusia, binatang, dan serangga. Misalnya adalah sakitnyapegawai penting, jamur, kontaminasi minyak dari kulit dan rambut,kontaminasi cairan tubuh organisme, dan korslet microcircuit akibat jaringlaba-laba

5. ProyektilObyek nyata yang bergerak cepat dengan tenaga seperti meteor, benda jatuh,mobil dan truk, peluru dan roket, ledakan, dan angin.

6. Pergerakan bumiKeruntuhan, kemiringan, goncangan akibat gempa bumi dan lainnya, getaran,aliran lava, gelombang laut, dan tanah longsor yang dapat mengakibatkanjatuhnya atau berguncangnya perangkat yang rentan goncangan sehinggamenjadi rusak.

7. Anomali energiBerbagai tipe anomali listrik adalah gelombang listrik, magnetisme, listrikstatik, radiasi, gelombang suara, cahaya, radio, microwave, atom, danelektromagmetik. Contohnya adalah kegagalan elektrik, kedekatan dengansumber magnet dan elektromagnet, listrik statik dari karpet, penghancurankertas dan disk magnetik, Electro-Magnetik Pulse (EMP) dari ledakan nuklir,laser, loudspeaker, senjata High-Energy Radio Frequency (HERF), sistemradar, radiasi kosmik, dan ledakan.

2.2. Kontrol atas Physical SecurityAda beberapa area dalam kontrol keamanan fisik. Secara umum, kontrol ini harus sesuaidengan ancaman yang terdaftar. Dalam bab ini, kontrol keamanan fisik dibagi dalam 3grup: kontrol administratif, kontrol lingkungan dan keamanan hidup, serta kontrol fisikdan teknis.

2.2.1 Kontrol AdministratifKontrol administratif, sebagai lawan dari kontrol fisik dan teknis, adalah areaperlindungan keamanan fisik yang dilakukan dengan langkah-langkah administratif.Langkah ini mencakup prosedur emergensi, kontrol personel (dalam area sumber dayamanusia), perencanaan, dan penerapan kebijakan. Di bawah ini adalah pembahasanelemen kontrol administratif yang terdiri dari perencanaan kebutuhan fasilitas,manajemen keamanan fasilitas, dan kontrol personel administratif.

2.2.1.1 Perencanaan Kebutuhan Fasilitas

Perencanaan kebutuhan fasilitas adalah konsep akan perlunya perencanaan kontrolkeamanan fisik pada tahap awal dari pembangunan fasilitas data. Beberapa elemenkeamanan fisik dalam tahap pembangunan meliputi memilih dan merencanakan lokasisite yang aman.


Memilih Site yang AmanLokasi lingkungan dari fasilitas juga menjadi pertimbangan dalam perencanaa awal.Beberapa pertanyaan yang perlu dipertimbangkan di antaranya :

- VisibilitasLingkungan bertetangga seperti apa sebuah lokasi diajukan? Akankah lokasitersebut memiliki penanda eksternal yang akan mencirikannya sebagai area yangsensitif? Visibilitas yang rendah adalah keharusan.

- Pertimbangan LokasiApakah tempat yang diajukan berlokasi dekat dengan sumber bahaya (sebagaicontoh, tempat pembuangan sampah)? Apakah daerah tersebut memiliki tingkatkriminalitas tinggi?

- Bencana AlamApakah tempat tersebut memiliki kemungkinan terjadinya bencana alam yanglebih tinggi dibanding daerah lainnya? Bencana alam bisa termasuk kendala cuaca(angin, salju, banjir, dsb) dan keberadaan lempengan gempa bumi.

- TransportasiApakah lokasi tersebut memiliki masalah akibat lalu lintas darat, laut, atau udarayang berlebihan?

- Persewaan bersamaApakah akses terhadap kontrol lingkungan atau HVAC (heating, ventilation andair conditioning) dipersulit dengan adanya tanggungjawab bersama? Sebuah datacenter tidak boleh memiliki akses penuh ke sistem ketika keadaan emergensiterjadi.

- Layanan EksternalBerapakah jarak lokasi dengan layanan emergensi, seperti polisi, pemadamkebakaran, rumah sakit, atau fasilitas medis?

Merancang Site yang AmanArea sebuah sistem informasi adalah fokus utama dalam kontrol fisik. Contoh area yangperlu mendapat perhatian selama tahap perencanaan pembangunan adalah

- TembokKeseluruhan tembok, dari lantai hingga langit-langit, harus memiliki standarkeamanan terhadap kebakaran yang cukup. Lemari atau ruangan yang dijadikantempat penyimpanan media harus memiliki standar yang tinggi.

- Langit-langitMasalah yang dipertimbangkan adalah standar kemampuan menahan beban danstandar keamanan terhadap kebakaran

- LantaiBerikut ini adalah hal yang perlu diperhatikan mengenai lantai:Lempengan, Jika lantai adalah lempengan beton, pertimbangannya adalah bebanyang sanggup didukung (disebut sebagai loading, yang biasanya adalah 150 ponper kaki persegi), dan ketahanannya terhadap api.Raised, ketahanannya terhadap api, dan materinya yang tidak menghantarkanlistrik menjadi pertimbangan.

- JendelaJendela biasanya tidak dibuat pada sebuah data center. Jika ada, jendela harustembus cahaya dan anti pecah.


- PintuPintu pada sebuah data center harus tahan terhadap pembobolan, dan memilikiketahanan terhadap api yang sama seperti pada tembok. Jalan keluar darurat harusdicirikan dengan jelas, terawasi/termonitor, dan beralarm. Ketika emergensi,kunci pintu elektrik harus dalam keadaan tidak dapat digunakan jika daya listriklumpuh agar memungkinkan evakuasi yang aman. Meskipun hal ini dianggapsebagai masalah bagi keamanan, keselamatan personel harus didahulukan, danpintu ini harus dijaga dalam keadaan darurat.

- Pemancar AirLokasi dan tipe sistem pemadaman api harus direncanakan.

- Jaringan pipa dan gasKatup pipa air dan gas di seluruh bangunan harus diketahui. Begitu pula drainaseyang baik, yaitu yang mengalir ke luar bangunan, sehingga tidak membawa zatkontaminan ke dalam bangunan

- ACSumber daya listrik untuk AC harus disediakan khusus, dan diketahui dimanalokasi saklar EPO (Emergency Power Off)-nya. Sebagaimana halnya drainase air,udara dari sistem pendingin harus mengalir keluar dengan tekanan udara yangpositif, serta memiliki ventilasi yang melindungi fasilitas dari udara yangmengandung racun.

- Kebutuhan KelistrikanFasilitas harus memiliki sumber daya listrik cadangan dan alternatif yang layak.Kontrol akses terhadap panel distribusi listrik harus dijaga.

2.2.1.1 Manajemen Keamanan FasilitasManajemen keamanan fasilitas terdiri dari jejak audit dan prosedur emergensi. Keduanyaadalah elemen kontrol keamanan administratif yang tidak berhubungan denganperencanaan awal penentuan site yang aman, namun dibutuhkan sebagai dasaroperasionalnya.Jejak AuditJejak audit atau log audit adalah rekaman kejadian. Sebuah sistem komputer dapatmemiliki beberapa jejak audit, yang masing-masing fokus pada jenis kegiatan tertentu—seperti mendeteksi pelanggaran keamanan, masalah kinerja serta mendeteksi cacat desaindan pemrograman dalam aplikasi. Dalam domain keamanan fisik, jejak audit dan logkontrol akses adalah penting karena manajemen perlu mengetahui dari mana usaha akseske sistem dilakukan dan siapa pelakunya.Jejak audit atau log akses harus merekam hal berikut:

- Tanggal dan tempat usaha akses- Apakah usaha akses berhasil- Dimana akses diberikan (contoh: pintu yang mana)- Siapa yang mengusahakan akses- Siapa yang mengubah hak akses pada level supervisor

Beberapa sistem jejak audit dapat mengirimkan alarm atau tanda pada personel jika usahaada akses yang berkali-kali gagal dilakukan.Jejak audit dan log akses adalah pendeteksian dan bukan pencegahan. Keduanya tidakdapat menghentikan penyusupan—meskipun diketahui bahwa jejak audit dari usahaakses yang disusun mungkin mempengaruhi penyusup untuk tidak melakukan usaha


- Pelatihan pegawai, pendalaman pengetahuan secara periodik- Testing sistem dan peralatan secara periodik

Kontrol Personel AdministratifKontrol personel administratif mencakup proses administratif yang biasadiimplementasikan oleh departemen SDM selama perekrutan dan pemecatan pegawai.Contoh kontrol personel yang diterapkan adalah sebagai berikut:

- Screening pra kepegawaian:Pengecekan sejarah kepegawaian, pendidikan, dan referensi. Penyelidikan latarbelakang atau penghargaan untuk posisi yang penting dan sensitif

- Pengawasan kepegawaianKejelasan tingkat keamanan—dibuat jika pegawai memiliki akses ke dokumenrahasia. Penilaian atau review pegawai oleh penyelia mereka

- Prosedur pasca kepegawaianWawancara ketika pegawai keluar. Penghapusan akses ke jaringan danpenggantian password. Pengembalian inventaris komputer dan laptop.

2.2.2 Kontrol Lingkungan dan Keselamatan HidupKontrol lingkungan dan keselamatan hidup dianggap sebagai kontol kemanan fisik yangdibutuhkan untuk menjamin baik lingkungan operasi komputer maupun lingkunganoperasi personel. Hal di bawah ini adalah tiga area utama dari kontrol lingkungan:2.2.2.1 Daya ListrikSistem kelistrikan adalah darah bagi pengoperasian komputer. Suplai listrik kontinyuyang bersih dan stabil dibutuhkan untuk memelihara lingkungan personel yang layak danjuga pengoperasian data. Banyak hal yang mengancam sistem daya listrik, yang palingumum adalah noise, brownout, dan kelembapanNoise, Noise dalam sistem kelistrikan mengacu pada adanya radiasi listrik dalam sistemyang tidak dikehendaki dan berinterferensi dengan listrik yang bersih. Beberapa masalahdaya listrik telah dibahas dalam Bab 3,”Keamanan Jaringan dan Telekomunikasi”, sepertiUPS (Uninterruptable Power Supplies), dan daya listrik cadangan. Dalam bab ini akandibahas lebih detil mengenai tipe masalah kelistrikan dan solusi yang direkomendasikanAda beberapa jenis noise, yang paling umum adalah Electromagnetic Interference (EMI)dan Radio Frequency Interference (RFI). EMI adalah noise yang disebabkan oleh adanyaradiasi akibat perbedaan tegangan listrik antara tiga kabel listrik—hot wire, kabel netral,dan kabel ground. Dua tipe EMI yang umum disebabkan oleh sistem kelistrikan:

- common-mode noise. Noise dari radiasi yang dihasilkan oleh perbedaan teganganantara hot wire dan kabel ground


- traverse-mode noise. Noise dari radiasi yang dihasilkan oleh perbedaan teganganantara hot wire dan kabel netral.RFI dihasilkan oleh komponen-komponen dalamsebuah sistem kelistrikan, seperti radiasi kabel listrik, pencahayaan denganfluoresens, dan pemanas listrik. RFI bisa menjadi masalah serius karena tidakhanya tidak hanya menginterferensi komputer, tapi juga bisa mengakibatkankerusakan permanen pada komponen yang sensitif.

Beberapa tindakan perlindungan terhadap noise di antaranya adalah:- Pengkondisian jaringan sistem kelistrikan- Grounding yang baik- Membatasi kedekatan dengan magnet, cahaya fluorensens, motor listrik, dan

pemanas.

Tabel 1. Istilah Gangguan Daya Listrik

Elemen DeskripsiFault Hilang daya listrik sementaraBlackout Mati listrikSag Turun tegangan listrik sementaraBrownout Turun tegangan listrik yang lamaSpike Naik tegangana listrik sementaraSurge Naik tegangan listrik yang lamaInrush Arus listrik pada waktu permulaanNoise Gangguan interferensi yang kontinyuTransient Gangguan interferensi sementaraClean Arus listrik asal yang tidak naik-turunGround Kabel dalam sirkuit listrik yang disambungkan

ke tanahBrownoutBrownout adalah turunnya tegangan listrik yang agak lama yang bisa menyebabkankerusakan fisik serius komponen elektronik yang sensitif. ANSI (American NationalStandard Institute) mengizinkan 8 persen penurunan antara sumber listrik denganmeteran listrik bangunan, dan 3,5 persen penurunan antara meteran listrik dengancolokan listrik.Sebagai tambahan, surge dan spike terjadi ketika daya listrik kembali pulih daripenurunan dan kenaikan tegangan yang juga bisa merusak komponen elektronik. Semuakomputer harus dilindungi oleh peredam surge, dan peralatan penting memerlukan UPS(Uninterruptable Power Supply)KelembapanKelembapan yang aman adalah 40% dan 60%. Kelembapan tinggi yang lebih besar dari60% dapat mengakibatkan masalah karena membuat pengembunan pada komponenperangkat komputer. Kelembapan tinggi juga membuat masalah dengan pengkaratanpada koneksi elektrik. Proses seperti pengkerakan elektrik terjadi, menyebabkan partikelperak berpindah dari konektor ke sirkuit tembaga sehingga menghambat efisiensi listrikdari komponen.Kelempapan rendah yang kurang dari 40% meningkatkan potensi kerusakan yangdiakibatkan listrik statik. Listrik statik sebesar 4000 volt mungkin terjadi pada keadaankelembapan normal di lantai yang terbuat dari kayu atau vinyl, dan tegangan listrik statik


C Listrik CO2, atau Halon

Untuk terjadinya oksidasi yang cepat (pembakaran), harus ada tiga elemen: oksigen,panas, dan bahan bakar. Masing-masing medium pemadam mempengaruhi elemen yangberbeda sehingga cocok untuk memadamkan tipe kebakaran yang berbeda pula

- Air, Menurunkan suhu yang dibutuhkan api agar tetap menyala.- Asam soda, Meredam pasokan bahan bakar untuk api.- CO2, Menurukan kadar pasokan oksigen yang dibutuhkan untuk mempertahankan

nyala api- Halon, Meredam pembakaran melalui reaksi kimia yang mematikan api.

Detektor Api


Detektor api mengindra panas, nyala api atau asap untuk mendeteksi adanya pembakaranatau hasil samping pembakaran. Tipe detektor yang berbeda memiliki atribut yangberbeda dan digunakan untuk mendeteksi atribut api yang berbeda pula untuk memicualarm.

- Pengindra panas. Perangkat sensor pengindra panas mendeteksi dengan salahsatu dari dua keadaan: 1) suhu mencapai ambang batas yang telah ditentukan,atau 2) suhu meningkat cepat tanpa memperhatikan suhu awal. Tipe pertama,perangkat pendeteksi suhu yang tetap, memiliki tingkat kesalahan alarm yanglebih rendah dibanding yang kedua, detektor pendeteksi perubahan suhu.

- Pemicu api. Perangkat sensor pemicu api teramat mahal karena merekamendeteksi baik energi infra merah dari nyala api maupun denyut nyala apinamun memiliki waktu tanggap yang sangat cepat. Perangkat ini biasanyadigunakan pada aplikasi khusus untuk perlindungan peralatan berharga.

- Pemicu asap. Perangkat sensor pemicu asap biasa digunakan pada sistemventilasi dimana perangkat tersebut sangat berguna. Perangkat fotoelektrik dipicuoleh variasi dalam cahaya yang menerpa sel fotoelektrik sebagai hasil darikeadaan asap. Tipe detektor asap yang lain, Radioactive Smoke Detection,membangkitkan alarm ketika arus ionisasi yang dihasilkan oleh bahanradioaktifnya diganggu oleh asap

- Alarm Automatic Dial-up Fire. Ini adalah tipe mekanisme respon sinyal yangmenghubungi nomor telepon pemadam kebakaran atau polisi setempat danmenjalankan rekaman pesan ketika kebakaran terjadi. Alarm ini sering digunakansebagai tambahan detektor kebakaran yang telah disebutkan sebelumnya.Perangkat ini tidak mahal namun dapat disalahgunakan dengan mudah.

Karbon Dioksida (CO2). CO2 adalah gas yang tidak berwarna dan tidakberasa yang digunakan dalam pelepasan gas pada sistem pemadamkebakaran. CO2 sangat efektif dalam memadamkan api karena faktanyagas ini dengan cepat menghilangkan oksigen yang digunakan dalam prosepembakaran ketika terjadi kebakaran. Penghilangan oksigen inimembahyakan personel dan dapat mematikan. Sangat disarankandigunakan pada fasilitas komputer tanpa awak, atau jika digunakan dalampusat operasi berawak, sistem pendeteksi api dan alarm harusmemungkinkan personel mempunyai cukup waktu untuk keluar ruanganatau membatalkan pelepasan gas CO2

Alat pemadam api portabel biasanya mengandung CO2 atau asam soda danharus:

a. Ditempatkan di jalan keluarb. Ditandai dengan tipe apinyac. Diperiksa oleh personel berlisensi secara teratur

Halon. Suatu saat Halon pernah dinyatakan sebagai metode pemadamanapi yang sempurna pada pusat operasi komputer, berkaitan dengan faktabahwa zat ini tidak berbahaya bagi peralatan komputer, menyatu denganbaik dengan udara, dan menyembur dengan sangat cepat. Keuntunganmenggunakan Halon adalah zat ini tidak meninggalkan bekas residu cairmaupun padat. Oleh karena itu, zat ini lebih disukai untuk area yangsensitif, seperti ruangan komputer atau area data storage.Beberapa masalah muncul dalam pengembangannya, seperti bahwa zat initidak boleh dihirup pada konsentrasi lebih dari 10%, dan ketikadisemprotkan ke api dengan suhu melebihi 900°F, zat ini terurai menjadibahan kimia beracun—hidrogen fluorida, hidrogen bromida, dan bromin.Pemakaian pemadam berhalogen dalam ruangan komputer harusdirancang dengan sangat baik, agar memungkinkan personel dievakuasiketika zat ini dilepaskan baik dari langit-langit maupun dari lantai.Oleh protokol Montreal tahun 1997, Halon dinyatakan sebagai zat yangmenipiskan ozon untuk penggunaan senyawa CFC (chlorofluorocarbon)olehnya. Halon memiliki potensi merusak ozon yang tinggi (tiga sampaisepuluh kali CFC), dan penggunaanya akan melepas CFC ke lingkunganTidak ada instalasi Halon 1301 yang dibolehkan, dan instalasi yang telahada disarankan untuk mengganti Halon dengan bahan yang tidak beracun.Peraturan federal Amerika telah melarang produksi Halon, juga importdan eksport Halon kecuali dengan izin. Ada peraturan yang mengontrolpenggunaan, pelepasan, penghapusan wajib Halon.

Pemanasan (heating), ventilasi (ventilation), dan AC atau (HVAC)HVAC terkadang disebut juga HVACR, sebagai tambahan dengan refrigeration(pembekuan). Sistem HVAC bisa menjadi sangat rumit dalam gedung-gedung modernyang menjulang tinggi, dan merupakan titik fokus bagi pengendalian lingkungan.Seorang manajer TI harus tahu siapa yang bertanggung jawab atas HVAC, dan langkah-langkah yang jelas harus didefinisikan dengan baik sebelum insiden yang mengancamlingkungan terjadi. Departemen yang sama bertanggung jawab atas api, air, dan potensibencana lain yang berdampak pada ketersediaan sistem komputer.

2.2.3 Kontrol Fisik dan Teknis

Pada bagian ini, dibahas mengenai elemen keamanan fisik yang dianggap secara spesifikbukan bagian dari solusi administratif, walaupun jelas sekali memiliki aspekadministratif. Area yang dicakup adalah kontrol lingkungan, perlindungan kebakaran,daya listrik, penjaga, dan kunci. Elemen-elemen kontrol dibahas sebagaimana kaitannya


dengan area kebutuhan kontrol fasilitas, perangkat kontrol akses fasilitas, pendeteksianpenyusupan dan alarm, kontrol invrentori komputer, kebutuhan media storage.

2.2.3.1 Kebutuhan Kontrol FasilitasBeberapa elemen dibutuhkan untuk memelihara keamanan fisik atas kontrol fasilitasPenjagaPenjaga merupakan bentuk tertua dari pengawasan keamanan. Penjaga masih memilikifungsi yang sangat penting dan utama dalam proses keamanan fisik, terutama dalamkontrol garis batas (perimeter). Seorang penjaga dapat melakukan sesuatu yang perangkatkeras atau perangkat keamanan otomatis lain tidak dapat lakukan karena kemampuannyauntuk menyesuaikan diri dengan kondisi yang berubah dengan cepat, belajar danmengubah pola-pola yang telah dikenali, dan merespon berbagai keadaan di lingkungan.Penjaga memiliki kemampuan menangkis, merespon, dan mengontrol, sebagai tambahandari fungsi resepsionis dan pemandu. Penjaga juga merupakan sumber daya terbaikselama periode resiko keselamatan personel karena mereka menjaga perintah,mengendalikan massa, dan evakuasi serta lebih baik dalam pengambilan keputusan ketikaterjadi bencana. Mereka cocok ketika keputusan yang segera dan diskrimatif diperlukanoleh entitas keamanan.Bagaimanapun, penjaga memiliki beberapa kekurangan, seperti:

- Ketersediaan, Mereka tidak dapat hadir dalam lingkungan yang tidak mendukungcampur tangan manusia.

- Kehandalan, Seleksi pra kepegawaian penjaga tidak dijamin aman- Pelatihan, Penjaga bisa ditipu, atau tidak selalu memiliki daftar otorisasi akses

yang up-to-date.- Biaya, Memelihara fungsi penjaga dengan menggunakan layanan sendiri atau

eksternal memerlukan biaya tinggi.AnjingMenggunakan anjing penjaga hampir sama tuanya dengan konsep menggunakan penjagauntuk menjaga sesuatu. Anjing sangat setia, dapat diandalkan, dan memiliki indrapendengaran dan penciuman yang tajam. Anjing penjaga dapat diterima untuk penjagaanfisik garis batas luar (perimeter), namun tidak seberguna manusia yang dapat membuatkeputusan. Beberapa kelemahan lain termasuk biaya, pemeliharaan, dan masalah asuransiserta pertanggungjawabanPagarPemagaran adalah sarana utama untk kontrol akses garis batas luar (perimeter) fasilitas.Kategori pemagaran mencakup pagar, gerbang, pintu pagar, dan mantrap.Pemagaran dan penghalang lain menyediakan kontrol kerumunan dan menolongmenghalangi penerobosan yang kebetulan dengan mengendalikan akses ke pintu masuk.Kelemahan dari pemagaran adalah biaya, penampilannya (yang mungkin buruk), danketidakmampuannya untuk menghentikan penyusup yang gigih. Tabel berikutmenunjukan kebutuhan ketinggian pagar

Tabel 5. Kebutuhan Ketinggian Pagar

Ketinggian Perlindungan3 sampai 4 kaki Menghalangi penerobos yang kebetulan6 sampai 7 kaki Sulit didaki dengan mudah


MantrapMantrap adalah metode kontrol akses fisik dimana pintu masuk diarahkan melalui pintuganda yang dapat dimonitor oleh penjaga.PencahayaanPencahayaan juga merupakan bentuk umum dari perlindungan batas. Pencahayaanpelindung yang kuat dan mengarah keluar di pintu masuk dan area parkir dapatmenyurutkan pencari dan penyusup. Gedung atau bangunan yang terproteksi dengankritis harus disinari sampai ketinggian 8 kaki. Tipe-tipe umum pencahayaan mencakupfloodlight, lampu jalan, fresnel light, dan lampu pencari.KunciSetelah menggunakan penjaga, kunci mungkin menjadi salah satu metode kontrol aksesyang pernah digunakan. Kunci dapat dibagi menjadi dua jenis: preset dan yang dapatdiprogram (programmable)

- Kunci Preset.Ini adalah kunci pintu pada umumnya. Kombinasi untuk membuka tidak dapatdiubah kecuali dengan menghilangkannya secara fisik dan mengganti mekanismeinternalnya. Ada beberapa variasi kunci preset, termasuk key-in-knob, mortise,dan rim lock. Semua ini terdiri dari berbagai gerendel, silinder, dan selot.

- Kunci Programmable.Kunci ini bisa berbasis mekanik ataupun elektronik. Kunci programmable yangmekanik sering berupa kunci putar kombinasi, seperti yang digunakan pada lokerdi arena olahraga. Jenis lain dari kunci programmable yang mekanik adalah kuncitombol lima-angka yang membutuhkan pengguna untuk memasukkan kombinasiangka. Kunci ini sangat populer untuk pusat operasi TI.Kunci programmable yang elektronik membutuhkan pengguna untukmemasukkan pola angka digit pada keypad numerik, dan mungkin menampilkandigit secara random setiap kalinya untuk mencegah pengintip pola input. Ini jugadikenal sebagai kunci sandi atau kontrol akses keypad.

CCTV (Closed-Circuit Television)Pengawasan visual atau perangkat perekam seperti CCTV digunakan sebagai tambahanpenjaga untuk meningkatkan kemampuan pengawasan dan merekam peristiwa untukanalisis di masa depan atau untuk kepentingan bukti kejahatan dan penuntutan. Perangkatini bisa berupa fotografik seperti kamera foto atau kamera video, atau elektronik sepertikamera CCTV. CCTV dapat digunakan untuk memonitor peristiwa langsung yang terjadidi daerah yang jauh dari jangkauan penjaga, atau dapat digunakan bersama VCR sebagaimetode yang efektif dalam biaya untuk merekam peristiwa.Perlu diingat, bahwa memonitor peristiwa adalah tindakan pencegahan, dan merekamperistiwa dianggap sebagai tindakan pendeteksian.2.2.3.2 Perangkat Kontrol Akses FasilitasAkses ini mencakup kontrol akses personel terhadap fasilitas dan pusat operasi yangumum, sebagai tambahan kontrol akses data center yang spesifik.Hal yang berkaitan dengan pengendalian akses fisik berikut merupakan sebagian daribeberapa faktor otentikasi. Ada tiga faktor yang berkaitan dengan otentikasi: 1. sesuatu


yang Anda punya (something you have) seperti kartu pengenal, 2. sesuatu yang anda tahu(something you know), seperti PIN atau password, dan 3. Siapa diri anda (something youare) seperti biometrik.Kartu Akses Keamanan (Security Access Card)Kartu akses keamanan adalah metode umum dalam kontrol akses fisik. Ada dua tipeumum kartu—kartu gambar foto dan kartu bersandi digital. Kedua grup kartu ini jugadisebut sebagai kartu bodoh (dumb card) dan kartu pintar (smart card). Kartu bodohmembutuhkan penjaga untuk membuat keputusan mengenai keabsahannya, sementarakartu pintar membuat keputusan masuk secara elektronik.

- Kartu berfoto (Photo-Image Card). Kartu berfoto adalah kartu identifikasi yangsederhana dengan adanya foto pemegang kartu sebagai alat identifikasinya. Iniadalah kartu ID standar yang berfoto, seperti kartu SIM ataupun kartu pegawai.Kartu ini disebut bodoh karena tidak mempunyai kecerdasan di dalamnya, danperlu dibuat keputusan aktif oleh personel di pintu masuk sebagai otentikasi

- Kartu Sandi Digital (Digital-Coded Card). Kartu sandi digital mengandung chipatau sandi garis magnetik (sebagai tambahan atas foto pemegang kartu). Pembacakartu dapat diprogram untuk menerima akses berdasarkan komputer kontrol aksesonline yang juga menyediakan informasi mengenai tanggal dan waktu aksesmasuk. Kartu jenis ini juga bisa membuat pengelompokan akses banyak tingkat.Ada dua bentuk umum kartu sandi digital, yaitu smart card dan smarter card.Kartu smart card memiliki kode garis magnetik atau chip IC (Integrated Circuit)kecil yang tertanam di dalamnya. Penggunaan kartu ini membutuhkanpengetahuan password atau PIN (Personal Identification Number) untukmendapat akses masuk. Kartu ATM adalah contoh dari kartu model ini. Kartu inimengandung prosesor tersandikan dengan protokol otentikasi sistem, ruangmemori read-only untuk program dan data, dan beberapa diantaranya dilengkapidengan sejenis antarmuka pengguna (user interface).Dalam beberapa skenario kartu smart card dapat dipasangkan dengan tokenotentikasi yang membangkitkan password atau PIN yang sekali pakai (one-time)atau berupa challenge-response. Sementara otentikasi dual-factor paling banyakdigunakan untuk akses logik layanan jaringan, kartu smart card bisadikombinasikan dengan card reader yang pintar untuk menyediakan kontrol yangsangat kuat terhadap akses fasilitas.

- Wireless Proximity Reader. Proximity reader tidak membutuhkan penggunauntuk memasukkan kartu. Kartu ini juga biasa disebut sebagai wireless securitycard. Card reader mengindra kartu milik pengguna di area umum pada jarakatau kedekatan tertentu dan membolehkan akses. Ada dua tipe umum proximityreader—yang diaktifasi oleh pengguna (user activated) atau yang mendeteksisistem (system sensing).

Proximity card yang diaktifasi pengguna memancarkan urutan input masukan ke wirelesskeypad pada reader. Keypad pada reader mengandung pola kode unik yang permanenmaupun yang dapat diprogram.Proximity card yang mendeteksi sistem mengenali kehadiran perangkat bersandi dalamarea umum reader. Berikut ini adalah tiga tipe umum kartu yang mendeteksi sistem, yangdidasarkan pada cara daya listrik dibangkitkan pada perangkatnya:


Perangkat BiometricAlternatif lain dari penggunaan password atau kartu identitas dalam kontrol akses secaralojik maupun teknis adalah biometrik. Biometrik didasarkan pada faktor atau tipe ketigadalam mekanisme otentikasi : siapa diri Anda (something you are). Biometrikdidefinisikan sebagai alat otomasi untuk mengidentifikasi dan mengotentikasi identitasseseorang berdasarkan ciri-ciri fisiologis atau kebiasaan. Dalam biometrik, identifikasiadalah pencarian dari satu-ke-banyak dari karakteristik individu dalam basisdata .Otentikasi dalam biometrik adalah pencarian dari satu-ke-satu untuk memverifikasipengakuan identitas yang dilakukan seseorang. Biometrik digunakan untuk identifikasidalam kontrol fisik, dan untuk otentikasi dalam kontrol lojik.Ada tiga ukuran kinerja dalam biometrik:

1. False Rejection Rate (FRR) atau error tipe I. Persentase subjek valid yangditolak secara salah

2. False Acceptance Rate (FAR) atau error tipe II. Persentase subjek tidakvalid yang diterima secara salah.

3. Crossover Error Rate (CRR). Persen dimana nilai FRR sama dengan nilaiFAR.

Hampir semua tipe deteksi membolehkan kepekaan sistem untuk ditingkatkan atauditurunkan selama proses inpeksi. Jika kepekaan sistem ditingkatkan, seperti detektormetal di bandar udara, sistem menjadi sangat selektif dan memiliki nilai FRR yang tinggi.Sebaliknya, jika kepekaan diturunkan, nilai FAR akan naik. Jadi, untuk memiliki ukuranyang tepat dari kinerja biometrik CER digunakan sebagaimana yang tergambar padagambar di bawah ini


FAR FRR

CER%

Kepekaan

Gambar 1. Crossover Error Rate (CER)

Sebagai tambahan akurasi sistem biometrik, ada beberapa faktor yang harus diperhatikan.Faktor ini mencakup enrollment time, tingkat throughput, dan akseptabilitas. Enrollmenttime adalah waktu yang dibutuhkan untuk mendaftarkan pada sistem denganmenyediakan sampel ciri-ciri biometrik untuk dievaluasi. Enrollment time yang diterimaadalah sekitar dua menit. Sebagai contoh, dalam sistem sidik jari, sidik jari aktualdisimpan membutuhkan sekitar 250KB per jari untuk gambar berkualitas tinggi. Tingkatinformasi seperti ini dibutuhkan dalam pencarian dari satu-ke-banyak oleh aplikasiforensik pada basisdata yang sangat besar. Dalam teknologi pindai jari (finger scan),sidik jari penuh tidak disimpan, melainkan ciri yang diekstrak dari sidik jari disimpanmenggunakan template kecil yang membutuhkan kira-kira 500 sampai 1000 byte ruangpenyimpanan. Teknologi finger scan digunakan untuk verifikasi satu-ke-satu denganmenggunakan basisdata yang lebih kecil. Pembaruan (update) dari informasi enrollmentdibutuhkan karena beberapa ciri biometrik, seperti suara dan tandatangan, boleh jadiberubah seiring berjalannya waktu.Tingkat throughput adalah kecepatan dimana sistem memproses dan mengidentifikasiatau mengotentikasi individu. Tingkat kecepatan throughput yang dapat diterima adalah10 subyek per menit. Akseptabilitas mengacu pada pertimbangan privasi, dankenyamanan fisik dan psikologis ketika menggunakan sistem. Sebagai contoh, masalahpada pindai retina (retina scan) bisa berupa pertukaran cairan tubuh pada bola mata.Masalah lain yang mungkin terjadi adalah pola retina bisa menunjukkan kondisikesehatan seseorang, seperti menderita diabetes atau tekanan darah tinggi.Gambar atau citra biometrik disimpan pada seuatu area yang disebut sebagai corpus.Corpus disimpan pada sebuah basisdata gambar. Sumber kesalahan yang potensial adalahperubahan pada gambar selama pengumpulan dan kesalahan memberi label atau masalahpenulisan lain yang berhubungan dengan basisdata. Oleh karena itu, proses pengumpulangambar dan penyimpanannya harus dilakukan dengan cermat melalui pengecekan.


Gambar-gambar ini dikoleksi selama proses enrollment dan dengan demikian menjadikritikal terhadap pengoperasian sistem biometrik yang benar.Berikut ini adalah ciri-ciri biometrik yang umum digunakan untuk mengotentikasiidentitas seseorang:

a. Sidik jarib. Pindai retina (retina scan)c. Pindai iris (iris scan)d. Pindai wajah (facial scan)e. Pindai telapak tangan (palm scan)f. Geometri tangang. Suarah. Pengenal tanda tangan (handwritten signature dynamics)

Pendeteksian Penyusupan dan AlarmPendeteksian penyusup mengacu pada proses identifikasi usaha masuk ke dalam sistematau gedung untuk memperoleh akses tak berwenang. Sementara pada Bab 3 dijelaskandengan detil sistem identifikasi yang mendeteksi pelanggaran lojik pada infrastrukturjaringan, di Bab ini dibicarakan mengenai perangkat yang mendeteksi pelanggaran fisikdari keamanan batas area, seperti alarm pencuri.

a. Detektor Penyusup AreaDua tipe detektor batas area fisik yang paling umum adalah yang berbasissensor fotoelektrik dan dry contact switches.Sensor Fotoelektrik. Sensor fotoelektrik menerima cahaya dari perangkatpemancar cahaya yang menciptakan kisi cahaya putih yang terlihat ataucahaya infra merah yang tidak terlihat. Alarm diaktivasi ketika pancarancahaya terganggu. Pancaran cahaya ini dapat dihindari jika terlihat, makacahaya infra merah yang tidak terlihat lebih sering digunakan.Dry Contact Switches. Dry contact switch mungkin adalah tipe detektor batasyang paling umum. Alat ini memiliki pita timah metalik yang tertempel padajendela, atau saklar kontak yang terbuat dari logam pada rangka pintu. Tipependeteksian penyusup macam ini adalah yang paling murah dan palingmudah dipelihara, dan sangat umum digunakan di pintu depan toko-toko.

b. Detektor Geraksebagai tambahan dua tipe pendeteksi penyusup yang telah disebutkan di atas,detektor gerak digunakan untuk mengindra pergerakan yang tidak umum didalam sebuah area keamanan. Perangkat ini dapat digolongkan menjadi tigagolongan: detektor gerak pola gelombang, detektor kapasitansi, dan alatamplifikasi audio.Pola gelombang. Detektor pola gelombang membangkitkan pola gelombangfrekuensi dan mengirimkan alarm jika pola tersebut terganggu ketikadipantulkan kembali ke penerima gelombang. Frekuensi yang digunakandapat berupaa gelombang rendah, ultrasonik, ataupun gelombang microwave.Kapasitansi. Detektor kapasitansi memonitor medan listrik yang melingkupiobjek yang diawasi. Kapasitansi digunakan untuk perlindungan terfokusdalam jarak beberapa inci dari objek yang diawasi. Adanya benda yang masukke dalam medan listrik akan mengubah kapasitansi listrik dari medan tersebutyang cukup untuk membunyikan alarm.


c. Detektor Suara.Detektor suara dalah alat yang pasif, dalam arti alat ini tidak membangkitkanmedan atau pola apapun seperti halnya dua metode sebelumnya. Detektorsuara hanya memonitor ruangan dari gelombang suara yang tidak normal danmembangkitkan alarm. Tipe pendeteksian seperti ini mempunyai angkakesalahan alarm yang lebih tinggi dari dua metode sebelumnya danseharusnya digunakan pada area yang tidak memiliki banyak gangguan suara.

d. Sistem AlarmPerangkat deteksi yang telah disebutkan di atas memonitor dan melaporkanperubahan spesifik pada lingkungan. Detektor ini dapat dipasangkan bersamauntuk menciptakan sebuah sistem alarm. Ada empat tipe umum sistem alarm:Sistem Alarm Lokal. Sebuah sistem alarm lokal membunyikan alarm yangdapat didengar di tempat yang dilindunginya. Alarm ini harus dilindungi dariperusakan dan harus dapat didengar pada jarak paling sedikit 400 kaki (130meter). Sistem ini juga membutuhkan penjaga untuk bereaksi secara lokalterhadap penyusupan.Sistem Stasiun Pusat. Perusahaan keamanan swasta mengoperasikan sistemini yang memonitor sepanjang waktu. Stasiun pusat dikirimkan sinyal olehdetektor melalui leased line. Stasiun ini biasanya menawarkan beberapa fiturtambahan, seperti monitor CCTV dan laporan cetakan, dan lokasi yangdiamankan berjarak kurang dari 10 menit perjalanan dari kantor monitoringpusat.Sistem Propietary. Sistem ini serupa dengan sistem stasiun pusat, hanya sajasistem monitoringnya dimiliki dan dioperasikan oleh pemilik. Sistem ini miripdengan sistem alarm lokal, hanya saja sistem komputer yang canggihmenyediakan banyak fitur yang disediakan seperti halnya sistem stasiun pusat.Sistem Stasiun Auxiliary. Ketiga sistem sebelumnya dapat memiliki sistemalarm auxiliary (penolong) yang berbunyi pada kantor polisi atau kantorpemadam kebakaran setempat. Sebagian besar sistem stasiun pusat memilikimencakup sistem ini, yang membutuhkan izin dari otoritas setempat sebelumpengimplementasiannya.Dua buah istilah lain yang berkaitan dengan alarm adalah:Line Supervision. Line supervision adalah proses dimana media transmisipensinyalan alarm dimonitor untuk mendeteksi adanya jalur komunikasi yangmengganggu keefektifannya. Standar 611-1968 Underwriters Laboratory(LU) menyatakan “jalur koneksi antara stasiun pusat dan daerah perlindunganharus diawasi sehingga mendeteksi secara otomatis usaha-usaha yangmembahayakan jalur koneksi”. Pendeteksian yang aman dan sistem alarmmembutuhkan pengawasan jalur koneksi.Power Supply. Sistem alarm membutuhkan pendayaan terpisah danpendayaan cadangan selama minimal 24 jam. Perangkat ini membantumengurangi kemungkinan kegagalan sistem alarm yang diakibatkanketiadaan daya listrik.


2.2.4 Kontrol Inventori KomputerKontrol inventori komputer adalah kontrol terhadap komputer dan peralatan komputerdari pencurian fisik dan perlindungan terhadap kerusakan. Dua area perhatian utamaadalah kontrol fisik komputer dan kontrol laptop

2.2.4.1 Kontrol Fisik Komputer

Berkaitan dengan perkembangan komputasi tersebar dan perkembangan laptop, kontrolinventori pada level mikrokomputer adalah masalah besar. Beberapa kelompokmemperkirakan bahwa 40% penyusutan inventori komputer disebabkan oleh hilangnyakomponen-komponen mikrokomputer. Beberapa kontrol fisik harus diambil untukmeminimalkan kerugian ini:Kunci Kabel. Kunci kabel terdiri dari kabel baja berselaput vinyl yang menempelkankomputer atau periferal pada meja. Kabel ini sering terdiri dari obeng (screw kit), kuncicelah (slot lock), dan perangkap kabel (cable trap).Kontrol Port (Port Control). Port control adalah alat yang mengamankan port data(seperti floppy drive atau port serial atau pararel) dan mencegah penggunaannya.Kontrol Saklar (Switch Control). Sebuah switch control adalah penutup dari saklaron/off, yang mencegah pengguna mematikan daya listrik dari server file.Kontrol Saklar Periferal (Peripheral Switch Control). Kontrol tipe ini adalah saklaryang dapat dikunci yang mencegah penggunaan keyboard.Electronic Security Board. Papan ini dimasukkan pada slot tambahan pada komputer danmemaksa pengguna untuk memasukkan password ketika komputer dinyalakan. Ini jugamerupakan bagian standar dari BIOS (Basic Input Output System) dari komputer-komputer yang tersedia di pasaran. Ini juga biasa disebut kunci kriptografik.

2.2.4.2 Kontrol Laptop

Perkembangan jumlah laptop dan perangkat portabel adalah evolusi berikutnya darikomputasi tersebar dan meningkatkan tantangan bagi praktisi keamanan. Sekarangsumber daya komputer bertebaran di seluruh dunia., dan kontrol inventori fisik hampirtidak mungkin dilakukan oleh organisasi. Pencurian laptop adalah masalah serius kerenamengakibatkan kegagalan dalam ketiga elemen C.I.A: Confidentiality (kerahasiaan),karena data pada laptop dapat dibaca oleh seseorang di luar lingkungan yang termonitor;Availability (ketersediaan) karena pengguna telah kehilangan unit komputasi; danIntegrity (Keutuhan) karena data yang ada di dalamnya dan telekomunikasi darinya dapatdicurigai tidak otentik dan tidak utuh lagi.

2.2.4.3 Kebutuhan Media Storage

Penyimpanan data media serta pembuangan media dan laporan yang sudah tidakdigunakan adalah masalah serius bagi praktisi keamanan. Kadangkala organisasi akanmencurahkan sejumlah besar sumber daya untuk perlindungan perimeter dan keamananjaringan, dan akan membuang dokumen laporan secara tidak layak. Atau juga, merekaterbiasa menggunakan ulang laptop atau disket tanpa benar-benar menghapus data yangtelah ada sebelumnya.Oleh karena pencurian laptop kian merajalela, enkripsi data yang sensitif pada perangkatportabel menjadi kebutuhan mutlak. Pernah terjadi kasus dimana seseorang telahdipinjami sebuah laptop ketika bekerja pada perusahan broker saham top, dan ia


e. Kertas hasil printout dan berkas laporanSedangkan area penyimpanan yang umum untuk media tersebut adalah:On-site. Area dalam fasilitas, seperti pusat operasi, kantor, meja, lemari penyimpanan,laci, kotak pengaman, dan sebagainya.Off-site. Area di luar fasilitas, seperti data backup vault service, rekanan dan vendor,serta sistem pembuangan. Transportasi dari dan ke vendor external data vault servicejuga merupakan masalah keamanan, dan harus diuji terhadap masalah-masalah yangberkaitan dengan pencurian, penyalinan, pengubahan, atau pengrusakan data.Sumber daya dan elemen berikut perlu dikontrol untuk melindungi media:

1. Kontrol akses fisik pada area penyimpanan2. Kontrol lingkungan, seperti perlindungan api dan air3. Kontrol dan pemantauan inventori disket4. Audit penggunaan media

Penghancuran dan Data RemanenceData yang tidak digunakan atau tidak diperlukan lagi harus dihancurkan. Informasi padamedia magnetik biasanya dihancurkan dengan degaussing atau menimpanya denganinformasi lain. Memformat disk sekali tidak menghancurkan data secara keseluruhan, jadikeseluruhan data harus ditimpa semuanya atau diformat tujuh kali untuk memenuhistandar penggunaan ulang objekBerkas laporan harus disobek oleh personel dengan tingkat keamanan jarak sobekan yangbaik. Beberapa shredder memotong dalam sebuah garis lurus atau strip, sedangkan yanglain memotong menyilang atau menguraikannya menjadi bubur kertas. Kehati-hatiandiperlukan untuk membatasi akses pada berkas laporan sebelum pembuangan dan berkasyang disimpan dalam jangka waktu yang lama. Berkas laporan tidak boleh dibuangsebelum di-shredding, sebagaimana ketika berkas tersebut ditempatkan dalam tempatpembuangan dalam keadaan utuh. Pembakaran juga terkadang digunakan untukmenghancurkan berkas laporan, terutama di Departemen Pertahanan dan militer.Penggunaan Ulang Objek dan Data RemanencePenggunaan ulang objek adalah konsep penggunaan ulang media penyimpanan datasetelah penggunaan awal. Data remanence adalah masalah berupa informasi sisa yangtertinggal pada media setelah penghapusan, yang dapat direstorasi oleh pengguna lain,sehingga berakibat hilangnya kerahasiaan. Disket, hard drive, tape, dan media magnetikatau yang dapat ditulis merupakan kelemahan terhadap data remanence. Memperoleh bit-bit, dan sepotong data yang belum dihapus secara permanen dari media penyimpananmetode umum bagi forensik komputer, dan sering digunakan oleh aparat penegak hukum


untuk mempertahankan barang bukti dan untuk merekonstruksi jejak penyalahgunaan.Kapanpun sebuah media penyimpanan digunakan (dan juga dibuang), ada potensiinformasi dalam media tersebut untuk diperoleh kembali. Suatu metode harus dilakukanuntuk menghancurkan data dengan baik agar menjamin tidak ada sisa data yang tertinggaldapat tersedia bagi pengguna yang baru. Standar Orange Book merekomendasikan mediamagnetik untuk diformat tujuh kali sebelum dibuang atau dipakai ulang.Beberapa istilah yang berhubungan dengan tingkat penghapusan data adalah sebagaiberikut:

- Clearing. Istilah ini mengacu pada penimpaan data pada media (terutam a mediamagnetik) yang dimaksudkan untuk dipakai ulang pada organisasi yang sama ataulingkungan yang termonitor

- Purging. Istilah ini mengacu pada degaussing atau penimpaan media yangdimaksudkan untuk disingkirkan dari lingkungan termonitor, seperti pada masapenjualan laptop bekas atau disumbangkan

- Destruction. Istilah ini mengacu pada penghancuran media secara keseluruhantermasuk sisa data atau informasi yang tertinggal di dalamnya. Berkas laporan,disket, media optik (CD-ROM) perlu dihancurkan secara fisik sebelum dibuang.

Ada sedikit kontrol yang harus dilakukan untuk melindungi disket atau media magnetiklainnya dari kerusakan ataupun kehilangan data, seperti:

1. Menjaga disket berada pada kotak yang terkunci.2. Jangan membengkokan disket3. Memelihara temperatur dan kelembapan yang layak4. Hindari medan magnet eksternal seperti TV dan radio5. Jangan menulis langsung pada sampulnya.

Berikut ini adalah permasalahan yang umum dengan penghapusan terhadap mediamagnetik yang dapat mengakibatkan data remanence

1. Menghapus data melalui sistem operasi tidak menghilangkan data, hal itu hanyamengubah FAT (File Allocation Table) dan mengganti karakter (huruf) pertamapada file. Melalui hal inilah, penyelidik forensik komputer dapatmengembalikan file.

2. Sektor disk yang rusak bisa jadi tidak terhapus oleh pemformatan. Degaussingdapat digunakan untuk hal itu, atau memformatnya tujuh kali sangatdirekomendasikan.

3. Menulis data file menimpa file-file yang lama tidak menjamin menimpa semuaarea data yang ada pada disk, karena file baru mungkin tidak sepanjang fileyang lama, dan data dapat diperoleh kembali setelah control character penandaakhir file.

4. Kegagalan peralatan degausser atau kesalahan operator dapat berakibatpenghapusan yang tidak sempurna

5. Ada sejumlah format yang tidak cukup baik. Media magnetik yang mengandunginformasi yang sensitif harus diformat tujuh kali atau lebih.

2.3. Tren Teknologi Keamanan Fisik

gambar atau bentuk muka. Data struktur muka ini bisa terdiri dari jarak antar mata,bentuk mata, panjang hidung, jarak antara pipi dan dagu, dan sebagainya sehinggadiharapkan bisa lebih sahih /tepat dalam mengidentifikasi dibanding face scanner.Face recognizer lebih fleksibel digunakan karena hanya membutuhkan data berupagambar atau foto wajah untuk registrasi maupun identifikasi serta tidak perlu melakukanpemindaian (scanning) wajah yang memakan waktu lebih lama dan membutuhkankerelaan orang yang akan dipindai wajahnya. Perangkat ini sudah diterapkan di beberapabandara internasional untuk mencekal penjahat dan di beberapa stadion untuk mencekalpara perusuh pertandingan sepak bola (hooligans)Anti passbackAnti passback adalah cara untuk mencegah kembalinya tanda identitas otorisasi kebelakang untuk diberikan kepada orang lain. Anti passback dapat dilakukan denganpemasangan pintu satu arah yang hanya bisa dibuka dari satu sisi. Pengecekan di banyakcheckpoint juga dapat dilakukan agar pemegang kartu selalu membutuhkan kartunya disetiap checkpoint.MantrapMantrap adalah perangkat keamanan kontrol akses fisik untuk mencegah otorisasi izinmasuk bagi seseorang digunakan lebih dari satu orang. Mantrap juga akan mencegahadanya pengekor yang memanfaatkan akses orang yang sah terotorisasi dengan caramengikutinya diam-diam di belakangnya.Perangkat mantrap biasanya berupa sebuah kompartemen tertutup yang hanya bisadimasuki oleh satu orang. Di kompartemen itulah dilakukan pengecekan otorisasi untukmemperoleh hak akses memasuki area keamanan.Keep inKeep (the thief) in adalah salah satu metoda penanggulangan pencurian. Selama ini,metoda keamanan yang lazim adalah dengan keep out yang mencegah pencuri agar tidakdapat masuk ke area keamanan. Ada kalanya pencuri berhasil menaklukan sistemkeamanan model seperti ini dan terus melakukan kejahatannya. Keep the thief inmerupakan metoda tambahan terhadap cara keep the thief out dengan cara mencegahpencuri keluar area keamanan setelah terjadinya kejahatan.Contoh cara dan perangkat metoda ini adalah sistem kerangkeng. Begitu terjadi peristiwapencurian setelah pencuri berhasil menaklukan sistem pencegahan pencurian, selain akanmembangkitkan alarm, sistem juga akan mengaktifkan kerangkeng di area keamanan.Kerangkeng ini akan mengurung pencuri di tempat kejadian sehingga ia tidak dapat kaburdan melarikan barang curiannya. Perangkat ini biasanya digunakan di tempat keamananyang banyak diakses publik seperti museum. Museum Louvre di Paris Perancis adalahsalah satunya.Integrasi keamanan fisik dengan TIOSE (Open Security Exchange) adalah badan yang mempelopori upaya integrasi antaraperangkat keamanan fisik dengan sistem komputer organisasi. OSE merupakan badankolaborasi antara beberapa perusahaan yang bertujuan untuk menciptakan standar desainspesifikasi interoperabilitas yang memungkinkan beberapa perangkat keamanan dapatberkomunikasi dan berinteroperasiModel standar seperti ini berguna menjembatani kedua area. Sebagai contoh, selama inibelum ada korelasi langsung antara TI dengan perangkat anti-passback sebagai kontrolakses fisik Model standar dan spesifikasi ini juga akan memberikan para profesional


keamanan kemampuan untuk mengontrol dan memonitor even keamanan dengan carayang lebih terpusat daripada melakukannya dengan pelacakan terhadap banyak sistemyang terpisah dan independen.


Jika UKM mengelola sistem pemrosesan transaksi dan data center yang standalone atauterkoneksi dalam sebuah jaringan lokal, kantor UKM harus memiliki keamanan fisikyang baik untuk perlindungan terhadap sistem komputer maupun aset berharga lain yangdimiliki organisasi.Mula-mula harus dipikirkan tentang pemilihan lokasi dimana sistem komputerditempatkan dan dioperasikan. Semua syarat pemilihan lokasi yang telah disebutkandalam teori harus dipenuhi baik untuk bangunan kantor milik sendiri atau berlokasi digedung perkantoran bersama. Syarat ini meliputi:

- VisibilitasVisibilitas yang rendah adalah keharusan. Hal ini diperlukan agar sistemkomputer tidak menarik atau memancing perhatian orang yang berniat buruk.

- Pertimbangan Lingkungan Sosial LokasiPilihlah lokasi yang memiliki tingkat kriminalitas rendah, jauh dari tempatpembuangan sampah, jauh dari sumber bahaya dan indikasi lingkungan sosiallain yang buruk.

- Bencana AlamPastikan memilih lokasi yang bersiko rendah terhadap bencana alam. Caritahu lebih lanjut informasi tentang banjir, angin, resiko kebakaran sertakemungkinan terjadnya gempa bumi di lokasi yang direncanakan

- TransportasiLokasi yang cukup jauh dari masalah akibat lalu lintas darat, laut ataupunudara yang berlebihan sangat disukai. Masalah ini bisa jadi kemacetan, tingkatkecelakaan yang tinggi, atau lokasi yang terlalu dekat dengan pelabuhan ataubandara yang sibuk. Hal ini diperlukan untuk mencegah terhambatnyatindakan pertolongan oleh layanan eksternal (polisi, pemadam kebakaran,ambulans) ketika terjadi peristiwa ancaman keamanan fisik

- Tanggungjawab bersamaAdanya tanggungjawab bersama terhadap kontrol lingkungan atau HVAC(heating, ventilation and air conditioning) harus diperhatikan. Perjelas batasan


dan akses terhadap fasilitas bersama tersebut. Sebuah data center tidak bolehmemiliki akses penuh ke sistem ketika keadaan emergensi terjadi.

- Layanan EksternalSangat disarankan lokasi yang direncanakan berada dalam jangkauan layanangawat darurat, kantor polisi, kebakaran, dan rumah sakit atau fasilitas medisyang dekat sehingga cepat dalam mengantisipasi kejadian

- Untuk UKM dengan dengan sistem pemrosesan transaksi dan data center yangterhubung ke internet, sebaiknya UKM menempatkan mesin server aplikasidan server basisdata milik sendiri pada sebuah provider koneksi layananinternet. Salah satu pilihan yang bisa diambil adalah dengan melakukan co-location di IDC (Indonesia Data Center) di gedung Cyber, Jakarta. Provideryang menyediakan layanan co-location biasanya sudah memiliki layanan daninfrastruktur keamanan fisik yang sudah layak sehingga tidak perlu dipikirkanlagi oleh UKM

- Pilihan melakukan penempatan aplikasi dan basisdata dengan hosting tidakdianjurkan, mengingat kita tidak mengetahui tingkat kredibilitas perusahaanyang menyediakan layanan hosting sehingga tidak ada jaminan keamanan datadan transaksi bagi perusahaan UKM.

Perancangan siteBagi UKM yang memutuskan untuk memelihara site sistem pemrosesan transaksioperasional atau data center secara mandiri, perusahaan harus memikirkan perancanganpembangunan site yang aman bagi sistem komputer mereka. Hal yang menjadi perlumenjadi perhatian selama tahap perencanaan pembangunan site adalah seperti dijabarkandi bawah ini:

- TembokKeseluruhan tembok, dari lantai hingga langit-langit, harus memiliki standarkeamanan terhadap kebakaran yang cukup. Lemari atau ruangan yangdijadikan tempat penyimpanan media harus memiliki standar yang tinggi pula,yaitu tahan api.

- Langit-langitUntuk bangunan bertingkat masalah yang dipertimbangkan adalah standarkemampuan menahan beban. Di luar itu standar keamanan dan ketahananterhadap kebakaran juga menjadi permasalahan bersama berbagai jenisbangunan. Hindari penggunaan bahan yang mudah terbakar atau bahanberacun seperti asbes.Langit-langit juga biasa digunakan sebagai akses masuk bagi pencuri. Perkecilresiko terjadinya penyusupan melalui langit-langit dengan membuat langit-langit yang tebal dan tidak mudah dibuka atau dibongkar.

- LantaiLantai harus memiliki kemampuan menahan beban yang memadai, khususnyauntuk bangunan bertingkat. Tidak hanya pada keadaan biasa, kemampuanlebih diperlukan untuk menahan beban bangunan agar tidak runtuh ketikaterjadi kebakaran. Bahan yang kuat dan tahan api mutlak diperlukan. Hal iniperlu diperhatikan karena banyak terjadi kasus daya dukung struktur sebuahbangunan menjadi lemah ketika terjadi peningkatan suhu akibat kebakaran.


Oleh karena itu pondasi lantai bangunan bertingkat, apapun bentuknya, harusterbuat dari beton, bukan frame kayu atau frame logam.

- JendelaSebuah ruangan sistem komputer berupa data center boleh tidak memilikijendela. Tapi jika ingin ada jendela, buatlah jendela yang tembus cahaya(bukan tembus pandang) dan anti pecah.

- PintuPintu bangunan harus tahan terhadap pembobolan, dan memiliki ketahananterhadap api yang sama seperti pada tembok. Jalan keluar atau akses keluar-masuk harus diawasi, minimal oleh penjaga atau alarm. Pintu elektrik dinilaitidak terlalu perlu untuk beberapa UKM, terutama untuk UKM-UKM skalakecil karena harga pintu elektrik cukup mahal, dan bisa digantikan denganalternatif lain yang lebih sederhana dan terjangkau, yaitu penjaga atau alarm.

- Pemancar AirPemancar air merupakan perangkat keamanan fisik yang handal untukmenanggulangi terjadinya kebakaran. Akan tetapi, untukmengimplementasikan pemancar air membutuhkan biaya cukup banyak. Halini akan memberatkan bagi UKM. Penyediaan fire extinguiher dapatmenggantikan pemancar air. Agar optimal, fire extinguisher harusditempatkan di beberapa tempat, dan perlu komitmen untuk melakukankontrol berkala.

- Jaringan pipa dan gasJika bangunan memiliki jaringan pipa, gas atau saluran AC, harus dipastikanjaringan tersebut dirancang dan dipasang atau ditanam dengan aman. Akanlebih baik pula jika dilakukan prosedur pengecekan dan pemeliharaan berkala.

- ACSumber daya listrik untuk AC harus disediakan khusus dengan EPO(Emergency Power Off)-nya jika UKM membutuhkan dukungan reliabilitastinggi dari sistem komputer pada saat daya listrik turun. Untuk perangkatkomputer yang menurut penilaian UKM sangat kritis dan sensitif, AC harusbisa menyediakan kestabilan suhu, dan kelembapan. Tekanan udara positifdari AC juga dibutuhkan jika ingin melindungi komputer dari debu.

- Kebutuhan Kelistrikan.Jika memiliki anggaran berlebih, UKM sebaiknya memiliki fasilitas sumberdaya listrik cadangan yang layak. Jika tidak, UKM harus membentengipasokan daya listrik pada perangkat sistem komputernya dengan stabilizer danUPS (Uninterruptable Power Supply).

3.1.2. Manajemen Keamanan FasilitasJejak AuditModel jejak audit yang cocok untuk diterapkan oleh UKM sebagai salah satu bentukperlingunan fisik terhadap sistem komputernya adalah berupa:

- pencatatan log pengunjung ruang komputer- pencatatan log pemakaian komputer yang dilakukan oleh sistem software

dengan mengaktifkan fitur otentikasi dan mode multiuser untuk melindungiinformasi yang ada dalam komputer.

Untuk UKM,. informasi yang dicatat dalam log sudah mencukupi jika mencakup


- Pelatihan pegawai, pendalaman pengetahuan secara periodik- Testing sistem dan peralatan secara periodik

harus dimiliki pula oleh organisasi UKM. Prosedur-prosedur ini harus didokumentasikandengan jelas, siap akses (termasuk salinan yang disimpan di tempat lain pada kejadianbencana), dan di-update secara periodik. Terlebih dari semua itu, hal yang paling utamaadalah komitmen organisasi untuk melaksanakannya.dengan konsisten.Kontrol personel administratifKontrol personel administratif yang dapat diterapkan oleh UKM adalah sebagai berikut:

- Screening pra kepegawaian:Cukup hanya pengecekan sejarah kepegawaian, pendidikan, dan referensi.Penyelidikan latar belakang atau penghargaan untuk posisi yang penting dansensitif tidak terlalu dibutuhkan.

- Pengawasan kepegawaianKejelasan tingkat keamanan yang dibuat jika pegawai memiliki akses kedokumen rahasia. Penilaian atau review pegawai oleh penyelia mereka tidakdiperlukan namun cukup pengawasan atau monitoring atas pegawai saja

- Prosedur pasca kepegawaianProsedur wawancara ketika pegawai keluar tidak perlu dilakukan namunpenghapusan akses ke jaringan dan penggantian password adalah suatukeharusan. Lakukan juga pengembalian inventaris komputer, laptop, atau itemlain jika dipinjamkan ke pegawai.

3.2. Kontrol Lingkungan dan Keselamatan HidupDaya ListrikDalam kaitannya dengan daya listrik, gangguan yang mungkin terjadi adalah berupagangguan ketidakstabilan listrik, interferensi gelombang radio dan elektromagnetik, danlistrik statis. Gangguan ketidakstabilan daya listrik dapat ditanggulangi secara murahdengan penggunaan UPS (Uninterruptable Power Supply) dan stabilizer. Penempatan(positioning) barang-barang elektronik yang baik dapat mengurangi gangguaninterferensi gelombang radio dan elektromagnetik Solusi murah untuk gangguan listrikstatis dilakukan dengan:

- menyemprotkan spray anti listrik statik pada lantai, meja dan peralatanelektronik

- gedung, dan ruangan komputer harus di-ground dengan baik


- mengendalikan tingkat kelembapan ruangan berkomputer dengan AC.- Solusi di bawah ini dinilai kurang cocok diterapkan pada UKM dengan

pertimbangan biaya dan tingkat urgensinya yang rendah karena ada alternatiflain seperti di atas yang dipandang lebih ekonomis

- penggunaan lantai anti listrik statik pada ruangan pusat operasi atau pusatkomputer.

- penggunaan meja atau karpet anti listrik statik.Pendeteksian dan Pemadaman Kebakaran

- detektor apiKebutuhan UKM akan perangkat pendeteksi api tidak terlalu penting. UKMbiasanya menempati gedung atau bangunan yang tidak terlalu besar sehinggakeberadaan api dapt dengan mudah langsung diketahui dan dilihat. Padakenyataanya, kebanyakan kasus kebakaran justru disebabkan oleh kesalahanmanusia (human error) seperti korsleting, ledakan kompor, atau rokok.Kejadian pemicu api jenis tersebut mudah dideteksi pada bangunan yang kecildan ditempati manusia. Namun jika tetap ingin menggunakan detektor api,pilihan jenis detektor yang tepat bagi UKM adalah detektor api pendeteksipanas

- Sistem pemadam kebakaran : pipa kering, pipa basah,Sistem pemadam kebakaran berupa pemancar air menghabiskan investasiyang cukup besar sehingga tidak disarankan untuk UKM.

- Pemadam api (fire extinguisher)Seperti yang telah disebutkan di atas fire extinguisher dapat menggantikankeberadaan sistem pemancar air. Fire extinguisher perlu ditempatkan dibeberapa lokasi dan dicek secara berkala agar selalu siap digunakan. Fireextinguisher yang hampir atau sudah kadaluarsa dapat dimanfaatkan sebagaialat bantu dan sarana pelatihan pemadaman api.

3.3. Kontrol Fisik dan Teknis

Perangkat Kontrol FasilitasDua perangkat kontrol akses fisik terhadap fasilitas adalah kartu akses dan perangkatbiometrik. Dari berbagai jenis kartu akses yang telah dijelaskan pada bagian teori, jeniskartu yang cocok bagi UKM adalah kartu akses berfoto. Kartu sandi digital dan kartuwireless tidak cocok digunakan karena membutuhkan perangkat tambahan yang tidakmurah. Begitu pula halnya dengan perangkat biometrik.Pendeteksi Penyusup dan AlarmSegala bentuk detektor penyusup dan detektor gerak dinilai berlebihan untuk diterapkanpada industri UKM. Sistem alarm pun demikian, kecuali untuk sistem alarm manual,yaitu yang diaktifkan dengan menekan tombol secara manual, dan yang bukan dipicuoleh sinyal dari perangkat pendeteksi penyusup atau pendeteksi gerak.

3.4. Kontrol Inventori KomputerKontrol Fisik KomputerKontrol fisik komputer bertujuan mencegah perangkat komputer dari pecurian. Beberapakontrol fisik harus diambil untuk meminimalkan kerugian ini:

- Kunci Kabel. Kunci kabel terdiri dari kabel baja berselaput vinyl yangmenempelkan komputer atau periferal pada meja. Kabel ini sering terdiri dariobeng (screw kit), kunci celah (slot lock), dan perangkap kabel (cable trap).

- Kontrol Port (Port Control). Port control adalah alat yang mengamankan portdata (seperti floppy drive atau port serial atau pararel) dan mencegahpenggunaannya.

- Kontrol Saklar (Switch Control). Sebuah switch control adalah penutup darisaklar on/off, yang mencegah pengguna mematikan daya listrik dari serverfile.

- Kontrol Saklar Periferal (Peripheral Switch Control). Kontrol tipe ini adalahsaklar yang dapat dikunci yang mencegah penggunaan keyboard.

- Electronic Security Board. Papan ini dimasukkan pada slot tambahan padakomputer dan memaksa pengguna untuk memasukkan password ketikakomputer dinyalakan. Ini juga merupakan bagian standar dari BIOS (BasicInput Output System) dari komputer-komputer yang tersedia di pasaran. Inijuga biasa disebut kunci kriptografik.

Semua kontrol diatas cocok untuk digunakan oleh UKM karena harganya yang tidakmahal, namun tidak perlu diterapkan semuanya tapi bergantung pada kebutuhaannyaKontrol LaptopKontrol laptop yang bisa dilakukan dengan murah adalah dengan memberi kunci padaport daya listrik laptop. Kunci ini akan mencegah pencuri mengambil laptop, setidaknyaia harus berusaha mencabut kabel dayanya yang tertancap di tembok. Oleh karena ituUKM disarankan agar memiliki colokan listrik yang tersembunyi.Kebutuhan Media StorageUKM sebaiknya mengetahui dan menginventarisi atau mengontrol media-media yangmemungkinkan terjadinya kehilangan dan kebocoran data. Pada bagian pembahasan teoritelah diketahui bahwa media ini termasukatape untuk backup data, CD, disket, Hard driv,dan kertas hasil printout atau berkas laporan baik pada on-site maupun off-site. Kontrolini meliputi:

- Kontrol akses fisik pada area penyimpanan


Dengan cara membuat log dan penjagaan area penyimpanan- Kontrol lingkungan, seperti perlindungan api dan air

Dengan cara yang telah disebutkan dalam perancangan site pada bagiankontrol fisik dan teknis

- Kontrol dan pemantauan inventori disketMengontrol penggunaan media dan memastikan penghancuran media yangsudah tidak terpakai

- Audit penggunaan mediaTidak disarankan untuk dilakukan dengan pertimbangan hal ini akan cukupmerepotkan bagi UKM

Penggunaan media yang tidak terkontrol akan menyebabkan hilangnya atau bocornyainformasi dalam media tersebut. Bagi UKM kontrol yang berkaitan dengan penggunaanmedia dapat dilakukan dengan menerapkan prosedur sebagai berikut

- shredding dokumen. Jika dirasakan terlalu mahal atau berlebihan, shreddingdapat diganti dengan pembakaran

- menjaga disket berada pada kotak yang terkunci,- jangan membengkokan disket,- memelihara temperatur dan kelembapan yang layak,- menghindari medan magnet eksternal seperti TV dan radio,- memformat disket minimal 7 kali jika ingin menghapus data yang ada di

dalamnya- tidak menulis langsung pada sampul disket.- menerapkan kebijakan “clear desk” agar pegawai tidak sembarangan menaruh

mediaSemua prosedur kontrol penggunaan media yang telah disebutkan di atas dinilai cukupmudah dan murah bagi UKM

3.5. Contoh Penerapan Physical Security pada UKMDi bawah ini adalah beberapa contoh tips dan kebijakan best practice keamanan fisiksistem komputer untuk bisnis kecil (UKM) yang dikeluarkan oleh MicrosoftSubjek yang harus diperhatikan (what)Kunci, alarm, lemari arsip berkunci, log pengunjung, pengendalian komputer, pelabelanasetAlasan (why)Tidak semua bencana disebabkan oleh serangan orang luar dari internet. Kadangkala,pembobolan bisa lebih merusak. Bahkan firewall terbaik tidak dapat mencegah masuknyasesorang yang tidak berwenang memasuki ruang server atau workstation.Bagaimana (how)Panduan dan ceklis untuk memastikan keamanan fisik terhadap sistem informasi bisnisdan sistem komputer

1. Tetapkan batas perimeter di sekitar area keamanan menggunakan tembok, pintuyang menutup sendiri (self-shutting door), pintu berkunci, alarm, dan gorden.

2. Pastikan titik akses dari luar dijaga sehingga pengunjung diidentifikasi dan dicatatketika mereka datang dan pergi.

3. Jika memungkinkan, gunakan penghalang tambahan untuk membatasi akses kearea yang sensitif seperti ruang server atau catatan rekam jejak pegawai. Tinjau


ulang siapa-mengakses-apa secara teratur. Akses hanya diberikan pada orangyang berwenang untuk memasuki area. Pengunjung harus dikawal. Staf harusdidorong untuk menanyakan orang asing yang tidak terkawal di area keamanan.

4. Ketika mengambil lokasi untuk ruang server atau area vital lain, pertimbangkanresiko kebakaran dan banjir. Jika perlu pertimbangkan pemasangan alat pemadamapi (pemancar air atau fire extinguisher)

5. Kunci pintu dan jendela ketika sedang tidak digunakan6. Tes perangkat sistem alarm secara teratur7. Awali kebijakan “meja bersih” (“clear-desk” policy) sehingga pegawai dapat

mengamankan barang-barang yang sensitif atau berharga ketika mereka tidaksedang menggunakannya.

8. Tandai komputer dan komponen besarnya dengan informasi yangmengidentifikasikan perusahaan, lokasi komputer, dan penggunanya.

9. Catatan dan simpan nomor seri komputer dan komponennya sehingga dapatdiidentifikasi dan dikembalikan jika dicuri. Pahat nomor seri di area tersembunyipada casing komputer dengan pisau atau benda tajam jika memungkinkan

10. Dorong pengguna untuk mengambil dokumen dari printer dan mesin fotokopisegera. Adakan printer khusus untuk mencetak dokumen yang mengandunginformasi rahasia

11. Patikan kebijakan untuk pegawai mencakup peralatan apa saja yang boleh dibawake luar kantor. Tandai item berharga bagi setiap individu dan buat merekabertanggung jawab atas pengembaliannya

12. Berikan perhatian untuk melaksanakan penilaian resiko secara menyeluruh danjuga dalam kaitannya dengan institusi pencegah kejahatan setempat, dan bahkanpenasihat atau konsultan independen.


DAFTAR PUSTAKA

Krutz, R.L and Russel D. Vines, “The CISSP® Prep Guide: Gold Edition”, John WileyPublising, Inc., 2003.

Wilson, Donald, “eSecurity Guide for Small Business”, Association of Small BusinessDevelopmentCenter, http://download.microsoft.com/download/2/5/1/2518982c-228b-40a8-a7bf-f683b37a0f38/eSecurityGuideforS m allBusiness.pd f . Tanggalakses 29 November 2005

Tipton, Harold. F, “Information Security Management Handbook”, Auerbach PublishingInc., 1999.


Documents

4 Physical Security