TEKNIK AUDIT
DATA CENTER
DAN
AUDIT
DATA CENTER
DAN
DISASTER RECOVERY
Audit terhadap fasilitas pengolahan TI, biasanya merujuk pada Data Center, yang merupakan inti dari operasional dalam organisasi, dimana Data Center menjadi pendukung terhadap semua aktivitas penting bisnis.
Area dalam audit Data Center dan Disaster Recovery :
Pengendalian keamanan dan lingkungan fisik
Operasional Data Center
AUDIT
DATA CENTER
DAN
DISASTER RECOVERY
Ancaman yang mungkin dihadapi Data Center :
Ancaman dari alam seperti, cuaca, banjir, gempa bumi, dan kebakaran
Ancaman akibat ulah manusia, seperti, insiden teroris, pencurian dan sabotase
Kerusakan lingkungan, seperti, temperatur yang ekstrem dan kelembaban
Hilangnya fasilitas seperti, energi listrik dan telekomunikasi
Area Audit terhadap Data Center :
Pengendalian keamanan dan lingkungan fisik
Pengendalian sistem
Kebijakan, perencanaan dan prosedur untuk mengelola operasional Data Center
PENGENDALIAN KEAMANAN DAN LINGKUNGAN
FISIK
Data Center biasanya memiliki beberapa jenis pengendalian untuk fasilitasnya, salah satunya pengendalian keamanan dan lingkungan fisik.
Pengendalian ini berfungsi untuk mencegah unauthorized intrusion, deteksi masalah sebelum berakibat fatal, dan penyebaran api/kebakaran.
Pengendalian yang dilakukan :
Sistem pengendalian terhadap akses Fasilitas
Pemasangan sistem Alarm
Jaringan
PENGENDALIAN OPERASIONAL
DATA CENTER
Data Center harus dilengkapi dengan kebijakan, perencanaan dan prosedur. Auditor harus dapat menemukan ruang lingkup dalam kebijakan, perencanaan dan prosedur, yaitu :
Pengendalian akses fisik
Pengawasan sistem dan fasilitas
Perencanaan, pelacakan dan perawatan fasilitas serta peralatan
PENGENDALIAN PERSIAPAN BENCANA (
DISASTER
)
Semua Data Center tidak akan terhindar dari bencana yang dakibatkan oleh alam dan manusia. Ketika bencana menyerang Data Center, pelayanan organisasi akan terhenti.
Tugas Auditor untuk mengidentifikasi dan mengukur pengendalian fisik dan administratif, seperti :
System resiliency
Data backup dan restore
TAHAP PENGUJIAN UNTUK AUDIT
DATA CENTER
DAN
DISASTER RECOVERY
Area ruang lingkup pengujian :
A. Faktor kemunculan risiko dari lingkungan eksternal
B. Pengendalian akses fisik
C. Pengendalian lingkungan
D. Power and electricity
E. Fire suppression
F. Operasional Data Center
G. System resiliency
H. Data backup and restore
A. FAKTOR KEMUNCULAN RISIKO DARI
LINGKUNGAN EKSTERNAL
1. Review pencahayaan, bangunan, karakteristik lingkungan untuk mengidentifikasi risiko
Caranya :
Jalankan inspeksi fisik terhadap fasilitas data center
Tetapkan di lantai berapa Data Center berada.
2. Teliti lokasi data center untuk deteksi kerusakan lingkungan dan menentukan jarak antara layanan darurat.
Caranya :
B. PENGENDALIAN AKSES FISIK
Mekanisme pengendalian akses fisik termasuk :
Pintu
Prosedur pengendalian akses
Mekanisme dan otentifikasi fisik
Security guard
3. Review pintu dan dinding Data Center untuk mengetahui apakah ia terlindungi dengan baik
Caranya:
B. PENGENDALIAN AKSES FISIK CONT...
4. Evaluasi perangkat otentifikasi fisik untuk mengetahui apakah ia cukup dan bekerja dengan baik.
Contoh perangkat otentifikasi fisik : card-key reader, badges, biometrik, dll. Caranya :
Identifikasi mekanisme otentifikasi di setiap entry point
Dapatkan sampel log pada perangkat otentifikasi
B. PENGENDALIAN AKSES FISIK CONT...
5. pastikan prosedur pengendalian akses fisik komprehensif dan dipatuhi oleh staff Data Center
Caranya : review prosedur pengendalian akses fisik
Pastikan kebutuhan otorisasi akses terdokumentasi dan didefinisikan dengan jelas untuk pegawai
Verifikasi bahwa prosedur akses tamu termasuk larangan pengambilan gambar/foto
Review sampel permintaan otorisasi akses tamu dan ID pegawai untuk menjamin bahwa prosedur pengendalian akses dipatuhi
Review prosedur yang menjamin akses Data center dihapus ketika tidak lagi dibutuhkan
Dapatkan daftar semua individu yang memiliki akses ke Data center
B. PENGENDALIAN AKSES FISIK CONT...
6. Pastikan bahwa alarm dan sistem surveillance dapat melindungi Data Center dari kerusakan fisik
Caranya :
Review penempatan sensor, verifikasi bahwa area penting tercover dengan baik
Review kualitas dan penempatan kamera, yang menjamin bahwa diletakkan di tempat yang strategis
verifikasi sistem surveillance diawasi dan di evaluasi
B. PENGENDALIAN AKSES FISIK CONT...
7. Review round log dari security guard dan dokumentasi lainnya untuk mengevaluasi efektivitas dari fungsi personal keamanan.
Caranya :
Verifikasi bahwa dokumentasi log akses dan laporan ada, serta informasi dicatat dengan baik, dengan melihat sampel
8. verifikasi bahwa area sensitif dalam data Center terlindungi dengan baik. Caranya :
Evaluasi kebutuhan untuk mengakses pemisahan antara jumlah pegawai dan peralatan yang dibutuhkan dalam Data Center
C. PENGENDALIAN LINGKUNGAN
Sistem komputer membutuhkan kondisi lingkungan spesifik, seperti, temperatur dan kelembaban yang teratur.
9. Verifikasi bahwa sistem HVAC dapat mempertahankan temperatur yang tetap dalam Data Center.
Caranya : review area lingkup berikut dan dapatkan informasinya dari Manajer Fasilitas
Log temperatur dan kelembaban untuk verifikasi bahwa semuanya berada pada level yang dapat diterima
Alarm temperatur dan kelembaban untuk menjamin Personal Data Center tahu akan kondisi Data Center pada level yang tidak dapat diterima
Rancangan HVAC untuk verifikasi semua area Data Center ter-cover seluruhnya
C. PENGENDALIAN LINGKUNGAN CONT...
10. Pastikan bahwa water alarm system terkonfigurasi untuk mendeteksi air pada high-risk area di Data Center
Caranya :
Identifikasi sumber air yang berpotensi seperti kebocoran, unit AC, dll, untuk verifikasi adanya sensor air yang ditempatkan di lokasi yang paling dapat me-mitigasi risiko
Review catatan perawatan untuk menjamin bahwa alarm dirawat secara periodik
11. tentukan apakah Data Center memiliki daya cadangan
C. PENGENDALIAN LINGKUNGAN CONT...
12. Verifikasi bahwa baterai untuk sistem backup ada untuk menjamin kelanjutan proses meskipun saat black-out.
Cara :
Wawancara dengan manajer fasilitas dan observasi UPS sistem backup untuk verifikasi bahwa UPS dapat melindungi semua sistem komputer penting
Review daftar kebutuhan peralatan yang berhubungan dengan UPS dan pastikan semua sistem penting terpenuhi
13. Pastikan bahwa generator dapat melindungi Data Center dari kehilangan Daya Cara :
Melalui observasi dan wawancara, verifikasi bahwa Data Center memiliki generator
Tetapkan kemampuan generator untuk memberikan daya kepada semua operasi untuk waktu tertentu
C. PENGENDALIAN LINGKUNGAN CONT...
14. Pastikan bahwa bangunan Data Center mendukung fitur fire suppression Cara : review fitur fire suppression yang ada dalam bangunan. Dan lakukan wawancara degan Manajer fasilitas
15. pastikan bahwa personal di Data Center mendapatkan pelatihan Cara :
Review laporan bencana dan materi pelatihan terhadap bencana serta prosedur lainnya, juga lakukan wawancara dengan staff Data Center
D. OPERASIONAL DATA CENTER
Operasional Data Center yang efektif membutuhkan kebijakan, prosedur dan perencanaan yang formal, dengan ruang lingkup sebagai berikut :
Pengawasan fasilitas
Peran dan tanggung jawab masing-masing personal Data Center
Pembagian/pemisahan tugas
Respon terhadap keadaan darurat dan bencana
Perencanaan kapasitas Data Center
D. OPERASIONAL DATA CENTER CONT...
Checklist
16. Review pengawasan, laporan dan prosedur alarm
17. Verifikasi bahwa pengawasan jaringan, SO, dan aplikasi dapat memberikan informasi untuk identifikasi potensi masalah
18. pastikan bahwa peran dan tanggung jawab masing-masing personal terdefinisi dengan baik
19. Verifikasi bahwa pekerjaan dan fungsi personal Data Center dipisahkan dengan baik
20. pastikan bahwa prosedur respon kondisi darurat dapat menyelesaikan ancaman potensial
21. verifikasi bahwa sistem di Data Center dirawat dengan baik
22. pastikan bahwa personal Data Center dilatih dengan benar untuk menyelesaikan tugasnya
E.
SYSTEM RESILIENCY
(KETAHANAN SISTEM)
Checklist :
24. Pastikan bahwa Data Center memiliki hardware lebih yang dapat memberikan ketersediaan yang tinggi terhadap sistem saat diperlukan
F. DATA BACKUP DAN RESTORE
Backup sistem dilakukan secara reguler pada kebanyakan sistem. Seringnya, restore diuji pertama kali saat dibutuhkan karena terjadi masalah.
Checklist :
26. Pastikan bahwa prosedur dan kapasitas backup cukup untuk sistem 27. Verifikasi bahwa sistem dapat di-Restore dari media backup
G.
DISASTER RECOVERY PLANNING
Tujuan Disaster Recovery Planning adalah untuk membangun ulang sistem secara efisien setelah terjadi bencana.
Checklist :
29. Pastikan bahwa DRP ada dan komprehensif. Pegawai paham akan peran mereka saat terjadi bencana
30. Pastikan bahwa DRP diperbaharui dan diuji secara periodik