TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY
AUDIT DATA CENTER DAN DISASTER RECOVERY
merupakan inti dari operasional dalam organisasi, dimana Data Center menjadi pendukung terhadap semua aktivitas penting bisnis.
Area dalam audit Data Center dan Disaster Recovery :
Pengendalian keamanan dan lingkungan fisik Operasional Data Center
Persiapan bencana
AUDIT DATA CENTER DAN DISASTER RECOVERY
Ancaman dari alam seperti, cuaca, banjir, gempa bumi, dan kebakaran Ancaman akibat ulah manusia, seperti, insiden teroris, pencurian dan sabotase
Kerusakan lingkungan, seperti, temperatur yang ekstrem dan kelembaban Hilangnya fasilitas seperti, energi listrik dan telekomunikasi
Area Audit terhadap Data Center :
Pengendalian keamanan dan lingkungan fisik Pengendalian sistem Kebijakan, perencanaan dan prosedur untuk mengelola operasional Data Center PENGENDALIAN KEAMANAN DAN LINGKUNGAN FISIK satunya pengendalian keamanan dan lingkungan fisik.
Pengendalian ini berfungsi untuk mencegah unauthorized intrusion, deteksi masalah sebelum berakibat fatal, dan penyebaran api/kebakaran.
Pengendalian yang dilakukan :
Sistem pengendalian terhadap akses Fasilitas Pemasangan sistem Alarm Jaringan HVAC (heating, ventilation and air conditioning)
PENGENDALIAN OPERASIONAL DATA CENTER
harus dapat menemukan ruang lingkup dalam kebijakan, perencanaan dan prosedur, yaitu :
Pengendalian akses fisik Pengawasan sistem dan fasilitas Perencanaan, pelacakan dan perawatan fasilitas serta peralatan
Respon terhadap prosedur
PENGENDALIAN PERSIAPAN BENCANA ( DISASTER )
dan manusia. Ketika bencana menyerang Data Center, pelayanan organisasi akan terhenti.
Tugas Auditor untuk mengidentifikasi dan mengukur pengendalian fisik dan administratif, seperti :
System resiliency Data backup dan restore Disaster recovery planning
TAHAP PENGUJIAN UNTUK AUDIT DATA CENTER
DAN DISASTER RECOVERY Area ruang lingkup pengujian :A. Faktor kemunculan risiko dari lingkungan eksternal
B. Pengendalian akses fisik
C. Pengendalian lingkungan
D. Power and electricity
E. Fire suppression
F. Operasional Data Center
G. System resiliency
A. FAKTOR KEMUNCULAN RISIKO DARI LINGKUNGAN EKSTERNAL
risiko Caranya :
Jalankan inspeksi fisik terhadap fasilitas data center Tetapkan di lantai berapa Data Center berada.
2. Teliti lokasi data center untuk deteksi kerusakan lingkungan dan menentukan jarak antara layanan darurat.
Caranya :
B. PENGENDALIAN AKSES FISIK
Pintu Prosedur pengendalian akses
Mekanisme dan otentifikasi fisik Security guard
3. Review pintu dan dinding Data Center untuk mengetahui apakah ia terlindungi dengan baik Caranya: Melalui interview dan observasi, identifikasi potensi entry points ke dalam Data Center. B. PENGENDALIAN AKSES FISIK CONT...
bekerja dengan baik. Contoh perangkat otentifikasi fisik : card-key reader, badges, biometrik, dll. Caranya :
Identifikasi mekanisme otentifikasi di setiap entry point Dapatkan sampel log pada perangkat otentifikasi
Review proses peninjauan dan investigasi log perangkat secara periodik B. PENGENDALIAN AKSES FISIK CONT...
Data Center Caranya : review prosedur pengendalian akses fisik
Pastikan kebutuhan otorisasi akses terdokumentasi dan didefinisikan dengan jelas untuk pegawai Verifikasi bahwa prosedur akses tamu termasuk larangan pengambilan gambar/foto Review sampel permintaan otorisasi akses tamu dan ID pegawai untuk menjamin bahwa prosedur pengendalian akses dipatuhi
Review prosedur yang menjamin akses Data center dihapus ketika tidak lagi dibutuhkan Dapatkan daftar semua individu yang memiliki akses ke Data center B. PENGENDALIAN AKSES FISIK CONT...
kerusakan fisik Caranya :
Review penempatan sensor, verifikasi bahwa area penting tercover dengan baik
Review kualitas dan penempatan kamera, yang menjamin bahwa diletakkan di tempat yang strategis
verifikasi sistem surveillance diawasi dan di evaluasi Verifikasi bahwa video direkam agar dapat dilakukan playback B. PENGENDALIAN AKSES FISIK CONT...
efektivitas dari fungsi personal keamanan. Caranya :
Verifikasi bahwa dokumentasi log akses dan laporan ada, serta informasi dicatat dengan baik, dengan melihat sampel 8. verifikasi bahwa area sensitif dalam data Center terlindungi dengan baik.
Caranya :
Evaluasi kebutuhan untuk mengakses pemisahan antara jumlah pegawai dan peralatan yang dibutuhkan dalam Data Center
C. PENGENDALIAN LINGKUNGAN
Sistem komputer membutuhkan kondisi lingkungan spesifik, seperti, temperatur dan kelembaban yang teratur.
9. Verifikasi bahwa sistem HVAC dapat mempertahankan temperatur yang tetap dalam Data Center.
Caranya : review area lingkup berikut dan dapatkan informasinya dari Manajer Fasilitas
Log temperatur dan kelembaban untuk verifikasi bahwa semuanya berada pada level yang dapat diterima
Alarm temperatur dan kelembaban untuk menjamin Personal Data Center tahu akan kondisi Data Center pada level
yang tidak dapat diterima Rancangan HVAC untuk verifikasi semua area Data Center ter-cover seluruhnya Konfigurasi sistem HVAC C. PENGENDALIAN LINGKUNGAN CONT...
high-risk area di Data Center Caranya :
Identifikasi sumber air yang berpotensi seperti kebocoran, unit AC, dll, untuk verifikasi adanya sensor
air yang ditempatkan di lokasi yang paling dapat me-mitigasi risiko Review catatan perawatan untuk menjamin bahwa alarm dirawat secara periodik
11. tentukan apakah Data Center memiliki daya cadangan Caranya : wawancara Manajer Fasilitas untuk mengetahui apakah Data Center tidak hanya memiliki 1 sumber daya C. PENGENDALIAN LINGKUNGAN CONT...
meskipun saat black-out. Cara :
Wawancara dengan manajer fasilitas dan observasi UPS sistem backup untuk verifikasi bahwa UPS dapat melindungi semua sistem komputer penting
Review daftar kebutuhan peralatan yang berhubungan dengan UPS dan pastikan semua sistem penting terpenuhi
13. Pastikan bahwa generator dapat melindungi Data Center dari kehilangan Daya Cara :
Melalui observasi dan wawancara, verifikasi bahwa Data Center memiliki generator C. PENGENDALIAN LINGKUNGAN CONT...
Cara : review fitur fire suppression yang ada dalam bangunan. Dan lakukan wawancara degan Manajer fasilitas 15. pastikan bahwa personal di Data Center mendapatkan pelatihan Cara :
Review laporan bencana dan materi pelatihan terhadap bencana serta prosedur lainnya, juga lakukan wawancara dengan staff Data Center
Melalui observasi, tentukan apakah ada hal-hal yang tidak perlu dalam penyimpanan di Data Center,
jika iya, usulkan pengurangan.D. OPERASIONAL DATA CENTER
perencanaan yang formal, dengan ruang lingkup sebagai berikut :
Pengawasan fasilitas
Peran dan tanggung jawab masing-masing personal Data Center Pembagian/pemisahan tugas Respon terhadap keadaan darurat dan bencana Perencanaan kapasitas Data Center Manajemen aset D. OPERASIONAL DATA CENTER CONT...
Checklist
16. Review pengawasan, laporan dan prosedur alarm
17. Verifikasi bahwa pengawasan jaringan, SO, dan aplikasi dapat memberikan informasi untuk identifikasi
potensi masalah 18. pastikan bahwa peran dan tanggung jawab masing-masing personal terdefinisi dengan baik19. Verifikasi bahwa pekerjaan dan fungsi personal Data Center dipisahkan dengan baik 20. pastikan bahwa prosedur respon kondisi darurat dapat menyelesaikan ancaman potensial 21. verifikasi bahwa sistem di Data Center dirawat dengan baik
E. SYSTEM RESILIENCY (KETAHANAN SISTEM)
24. Pastikan bahwa Data Center memiliki hardware lebih yang dapat memberikan ketersediaan yang tinggi terhadap sistem saat diperlukan
25. Verifikasi bahwa sistem duplikat digunakan dimana kebutuhan akan sistem sangat tinggi diperlukan
F. DATA BACKUP DAN RESTORE diuji pertama kali saat dibutuhkan karena terjadi masalah.
Checklist :
26. Pastikan bahwa prosedur dan kapasitas backup cukup untuk sistem
27. Verifikasi bahwa sistem dapat di-Restore dari media backup
28. Pastikan bahwa media backup dapat segera diambil dari fasilitas penyimpanan off-site
G. DISASTER RECOVERY PLANNING efisien setelah terjadi bencana.
Checklist :
29. Pastikan bahwa DRP ada dan komprehensif. Pegawai paham akan peran mereka saat terjadi bencana
30. Pastikan bahwa DRP diperbaharui dan diuji secara periodik
31. Verifikasi bahwa persediaan dan persetujuan dengan vendor akurat dan terbaru