Banyak perusahaan hari ini memiliki kontrol untuk menjaga perusahaannya dari malicious software (viruses, trojans, dll.), untuk mencegah karyawan dari mengakses situs berbahaya (menyaring alamat web dengan proxy servers), atau untuk to encrypt information ketika mengirim atau menerima email. Namun, Antonio sering menemukan perusahaan yang sering mengabaikan physical protection of equipment (perangkat keras), mungkin karena banyak perusahaan berpikir bahwa security issues dapat ditangani jika mereka membeli anti-virus yang bagus, proxy atau solusi software yang terbaik lainnya.
Mengenai physical protection of equipment, Antonio ingin membedakan antara dua jenis tindakan : mereka yang secara langsung mempengaruhi peralatan (sebagai contoh : maintenance of equipment, reuse of equipment, dll), dan mereka yang secara tidak langsung mempengaruhi peralatan (seperti utilitas penunjang, keamanan kabel, dll).
Ngomong-ngomong artikel ini membahas mengenai physical security (kemanan peralatan) yang mungkin menarik untuk anda : keamanan peralatan dalam ISO 27001 : bagaimana menjaga daerah yang aman.
Dalam artikel ini Antonio akan memberikan beberapa saran dan best practices indirectly affect the equipment (tidak langsung mempengaruhi peralatan), yang akan membantu anda perusahaan anda untuk lebih berhati-hati dengan menjaga kemanan informasi di perusahaan. Antonio akan memberikan tips mengacu subsection A.11.2 of Annex A of ISO 27001:2013 yang berfokus pada physical security of the equipment.
Supporting utilities (control A.11.2.2)
Tampak jelas bahwa peralatan harus berhubungan dengan stopkontak, dan mungkin banyak kasus dimana UPS dan tau mungkin generator yang bisa menyediakan daya jika supply energi utama mengalami kegagalan. Tapi seringkali ditemukan perusahaan tidak pernah mencoba supply energi alternative atau tidak tahu kapasitas, yaitu waktu dimana sebuah bisnis bisa bekerja dengan energi alternative. Karena tidak hanya ini, pentingnya untuk membangun sebuah alternative, tapi ini juga penting untuk menetapkan tugas-tugas yang akan dilakukan. Dan, itu sangat disarankan agar Anda menghasilkan laporan dengan hasil (kesimpulan, kegagalan, durasi tes, dll).
Cabling security (control A.11.2.3)
Dalam kasus ini, tampak jelas teknologi saat ini tidak mungkin tanpa kabel (kabel jaringan, kabel power supply, kabel untuk telepon, dll), dan sangat umum bahwa tidak ada orang yang mengganggu memesan kabel dalam cara yang terstruktur. Tapi untuk menghindari kesalahan (seseorang dapat memustukan kabel dengan kesalahan, atau bahkan mematahkannya)
- kabel tidak harus longgar atau diberi tag
- harus disalurkan dengan cara meletakkan kabel (di dinding, sepanjang rak server, dll)
- rak kabinet, panel listrik, atau materi lainnya untuk melindungi kabel yang seharusnya digunakan, dan mereka harus dikunci
Clear desk and clear screen policy (control A.11.2.9)
Umumnya saat ini perusahaan sadar dan tahu bahwa mereka tidak hanya menuliskan password pada sticky note dan stick pada layar kopmuter atau desktop. Namun, issu ini tidak boleh diabaikan, atau harusnya berpikir bahwa perusahaan menyadari pentingnya screen atau desktop yang bersih. Jadi, anda harus membuat kebijakan yang mengingatkan mereka bahwa mereka tidak boleh meninggalkan informasi yang sensitive disekitar tempat kerja (password, users, setting, data from clients, suppliers dll.).
Software is not the solution for everything
Antonio yakin, anda tahu bahwa software bukan sebuah solusi untuk semua yang berhubungan dengan information security dari bisnis anda., karena hackers bisa melacak perangkat anda dengan berbafai cara. Pointnya adalah banyak ancaman yang berhubungan dengan keamanan perangkat keras, dan karena hackers tahu bahwa perangkat keras adalah kelemahan dari banyak perusahaan. Jadi belajar dari artikel ini dan terapkan langkah-langkah untuk perangkat keras jika anda tidak ingin seperti kebanyakan perusahaan.
Antonio Segovia
