1. Pendahuluan
Tujuan dari Physical
and environment controls adalah untuk mencegah penyalahgunaan akses dan
gangguan terhadap layanan TI. Dalam memenuhi tujuan ini, peralatan komputer dan
informasi yang dikandungnya dan juga kontrol yang harus dilindungi dari
pengguna yang tidak berhak. Hal tersebut juga harus dilindungi dari kerusakan
lingkungan, yang disebabkan oleh api, air (baik air seutuhnya atau kelembaban
yang berlebihan), gempa bumi, semak terbakar, tanah
longsor, lonjakan daya listrik atau pemadaman listrik.
Menurut Information Systems Audit and Control Association (ISACA) yang menjadi penyebab paling mungkin dari kedua kesalahan tersebut adalah bencana alam (kesalahan pengguna menjadi yang nomor 1, penipuan nomor 3, dan kesalahan pada perangkat keras nomor 4).
longsor, lonjakan daya listrik atau pemadaman listrik.
Menurut Information Systems Audit and Control Association (ISACA) yang menjadi penyebab paling mungkin dari kedua kesalahan tersebut adalah bencana alam (kesalahan pengguna menjadi yang nomor 1, penipuan nomor 3, dan kesalahan pada perangkat keras nomor 4).
2.Risiko
yang terkait dengan keburukan/ketiadaan fisik atau lingkungan Pengendalian
2.1 Fisik
Kecelakaan
atau kerusakan disengaja oleh staf;
Karyawan TI;
Pembersih,
penjaga keamanan;
Karyawan lain;
Pencurian
komputer atau komponen-komponen perangkat tersebut (pencurian komputer sedang
dalam kondisi yang meningkat dan kemungkinannya akan berlanjut. Pertimbangannya
adalah, weight for weight, chip
computer yang bernilai lebih dari emas dan sangat menarik bagi pencuri);
Daya lonjakan
atau konsleting listrik yang dapat menyebabkan kerusakan komponen dan kerugian
atau korupsi data
Terlepas dari
kendali akses logis: misalnya telah memiliki akses fisik ke fileserver dapat
dimanfaatkan untuk membatasi kontrol logis seperti password, dan menyalin atau
melihat informasi sensitif atau rahasia, misalnya saja seperti kebijakan harga,
pra mempublikasikan hasil, kebijakan-kebijakan pemerintah.
2.2 Lingkungan
Kerusakan
api/air (atau kerusakan dari bencana alam lainnya);
Daya:
potongan, yang menyebabkan hilangnya data dalam penyimpanan volatil (RAM);
Lonjakan:
menyebabkan kegagalan system, pengolahan kesalahan;
Kerusakan
peralatan karena suhu ekstrim atau kelembaban (atau di luar batas kewajaran
beberapa derajat);
Kerusakan
karena bom, terlebih sepertinya terorisme sedang mengalami peningkatan di
seluruh dunia. Pusat-pusat komputer akan mudah melakukan penyerangan dan
penghancuran tersebut sehingga akan berdampak yang signifikan kepada
pemerintah;
Listrik
statis: dapat merusak secara bertahap komponen listrik pada klip computer (ROM,
RAM, and processor) yang rapuh dan mudah rusak oleh guncangan listrik statis;
Lain-lain:
misalnya sambaran petir.
Beberapa risiko tersebut juga dibahas secara lebih
mendalam dalam perencanaan Bisnis kontinuitas di bab modul pengendalian TI.
Perhatian utama auditor keuangan IS adalah insiden
yang terkait karena longgarnya pengendalian fisik atau lingkungan akan
meningkatkan risiko kebaikan:
Kerusakan pada
client computer dan data keuangan,
membatasi kemampuan mereka untuk merekam transaksi keuangan dan menghasilkan
satu set laporan audit keuangan;
Kesalahan
dalam akun, yang disebabkan oleh penipuan atau kesalahan.
3. Pendekatan client untuk mengatasi risiko fisik dan
lingkungan
Tanggung jawab manajemen ini adalah untuk memastikan
bahwa pengendalian internal yang memadai ada untuk melindungi asset bisnis dan
sumber daya. Untuk melakukan hal ini, manajemen harus membawa sebuah penilaian
risiko.
Hal
ini akan melibatkan identifikasi ancaman terhadap sistem, kerentanan sistem
komponen dan kemungkinan dampak dari terjadinya suatu insiden. Manajemen
kemudian akan mengidentifikasi penanggulangan untuk mengurangi tingkat paparan
pada tingkat yang memadai.
Manajemen
harus menyeimbangkan risiko yang teridentifikasi dengan biaya pelaksanaan
kendali.
Beberapa
kendali akan mahal untuk diterapkan dan hanya akan dapat digunakan pada risiko
lingkungan yang besar. Kendali lain akan dianggap sebagai dasar control,
misalnya kunci pintu dan akan dapat ditemukan di kebanyakan client.
Kebijakan keamanan klien TI harus
mencakup pertimbangan fisik dan risiko-risiko lingkungan.
Langkah-langkah
penanggulangan, atau kendali yang klien tempatkan akan bervariasi dari satu
klien yang lain. Sebagai contoh, sebuah Departemen besar pemerintah dengan
tujuan tersendiri dibangunlah pusat data biasanya dengan level yang lebih
tinggi dari kendali atas fasilitas TI dari sebuah organisasi kecil dengan
menggunakan system otomatisasi kantor seperti pengolah kata dan spreadsheets.
4. Kontrol Spesifik Lingkungan dan Fisikal
4.1 Kontrol
Fisik Area Aman
Physical access control secara
rinci mengarahkan dalam memastikan hanya mereka saja yang telah diberi hak oleh
manajemen memiliki akses fisik ke dalam sistem komputer. keamanan sekuriti
fisik harus berdasarkan konsep perimeter penunjukan yang disekitar fasilitas
IT. sebagai contoh, klien dapat menunjuk perimeter IT disekitar gedung, sekitar
komputer, sekitar ruangan printer dan lain sebagainya. perimeter harus memeliki
definisi yang pasti dan staff harus berhati-hati terhadap batasan-batasan
berada.
Akses menuju situs klien dan area aman harus dikontrol oleh layer
kontrol, berawal dari pagar perimeter dan bekerja dari seluruh pintu masuk
gedung sampai ke komputer dan terminal. kontrol fisik dapat berarti eksplisit,
seperti kunci pintu; atau secara implisit seperti job description karyawan
termasuk kebutuhan untuk memauki area IT operation.
4.2 Kontrol
Administrative
staff
memakai nama atau lencana identititas (kartu identitas)
mencabut
hak akses staff yang telah pergi.: contoh, penjaga sekuriti telah
diinformasikan apabila staff pergi. atau kunci dikembalikan ketika pekerja
dipecat. harus ada prosedur untuk mengidentifikasi kepergian dan memastikan
bahwa akses fisik yang mereka gunakan sudah tidak berlaku untuk seluruh gedung.
pengunjung
: pembukuan pengunjung, termasuk siapa mereka, untuk siapa mereka bekerja,
siapa yang mereka kunjungi, waktu kedatangan, waktu keluar. pengunjung mungkin
diminta untuk menyerahkan beberapa bentuk identifikasi sebelum diizinkan masuk,
seperti Surat Izin Mengemudi atau Kartu Tanda Pengenal. pengunjung mungkin
diberikan pengamanan pada setiap waktu.
prosedur
ketidakhadiran kantor : seperti, apa yang haru diselesaikan ketika staff
meninggalkan kantor, lalu diperbolehkan pulang saat malam atau keluar makan
siang. tindakan ini termasuk mengunci keyboard, menyimpan laptop di lemari
penyimpanan dan mengunci floppy disk.
mengunci
pintu – kunci fisik di pintu membutuhkan satu dari dua hal untuk akse tambahan
Apakah seseorang mempunyai atau
seseorang tau. metode apapun yang digunakan, “kunci” ke tiap tipe pengamanan
harus secara ketat di kontorol, sebagai contoh siapa yang seharusnya diberi
kunci dan kepada siapa kunci kombinasi seharusnya diberitahukan. kunci yang
umunya ditemukan termasuk :
kunci
mekanis : kunci pintu harus diberi tanda “jangan di duplikat” dan kunci jangan
diindikasikan kemana kunci itu dapat diakses
pintu
kunci kombinasi atau kunci sandi rahasia : biasanya keypad dengan tombol angka.
staff yang bersangkutan diberikan kombinasi untuk dapat mengakses.
Kombinasi harus bervariasi antar 3-6
angka dan diganti secara berkala, atau ketika staff IT meninggalkan atau
dipindahkan ke bagian organisasi yang lain;
kunci
elektronik : biasanya menggunakan kartu plastik dengan garis magnet di
belakangnya. garis magnetik berguna untuk menyimpan kode spesial yang dapat
dibaca oleh card reader. jika kode benar kunci mekanik akan terbuka dan kita
diizinkan masuk.
Kunci elektronik menawarkan keunggulan
daripada kunci manual, diantaranya :
dapat
di set up untuk indentifikasi orang dan menyimpan aktifitas mereka
membatasi
akses ke area khusus dalam organisasi tergantung dari kebutuhan pengguna
sukar
untuk di duplikat, terlebih lagi jika dalam bentuk smar-card dengan microchip
di dalamnya
mudah
untuk di kontrol dari pusat kontrol, misalnya, jikia karyawan pergi, hanya
membutuhkan waktu beberapa detik untuk me non-aktifkan hak akses pengguna; dan
dapat
dihubungkan ke alarm sunyi yang aktif di ruangan kontrol ketika akses yang
tidak diinginkan terjadi.
kunci
biometric : kunci ini diprogram untuk mengenali fitur biometric pengguna yang
telah dikenal. fitur biometric yang mungkin digunakan termasuk handprints,
pengenal suara, sidik jari, pemeriksaan retina atau tanda tangan. sistem
biometric cenderung mahal dan biasanya digunakan dalam ruangan fasislitas
komputer yang sensitif
Kontrol fisikal lainnya termasuk :
kamera
video : kamera video dapat diletakan di tempatkan di titik strategis untuk
memonitor dan merekam kedatangan dan kepergian. jika kamera video memonitor 24
jam sehari, dapat juga digunakan untuk kontrol pencegahan. dapat juga digunakan
sebagai detektif kontrol karna menghasilkan rekaman visual.
sekuriti
penjaga : sekuriti penjaga dapat disebar di tempat pintu masuk klien. mereka
dapat digunakan untuk mengecek identitas siapa saja yang memasuki fasilitas.
Mereka juga dapat digunakan untuk
berpatroli selama bukan jam kerja;
pagar
perimeter : disekitar instalasi komputer
alarm
maling : berguna untuk memonitor pintu masuk tidak aktif seperti pintu keluar
kebakaran, atau ketika fasilitas IT tidak digunakan
kontrol
jam luar karyawan : untuk kebanyakan klien hal ini termasuk pembersihan kantor,
pemeliharaan staff dan sekuriti penjaga dan kontraktro tambahan. hal ini tidak
biasa untuk menemukan bahwa klien memiliki kontrol yang kuat terhadap
pergerakan staff, tetapi kontrol yang lemah terhadap kontraktor diluar jam
kerja. sebagai contoh, sekuriti penjaga memiliki akses ke beberapa tempat klien
dan juga memungkinkan untuk datang dan pergi dari jam kantor tanpa diperlakukan
prosedur normal sekuriti. terdapat banyak kasus dimana para pembersih tidak
hanya membersihkan tetapi memiliki agenda lain (seperti memata-matai atau
mencuri)
deadman
doors : deadman doors dapat dijumapai pada pintu masuk area yang sensitif
seperti ruangan komputer. terdiri dari 2 pintu, hanya satu diantaranya yang
dapat dibuka setiap saat. hal ini berguna dalam hal mencegah orang yang tidak
dikenal dari mengikuti orang yang dikenal saat memasuki fasilitas, kontrol
serupa dari deadman doors adalah pintu putar dan pintu masuk tunggal. hal
lainnya adalah mencegah piggybacking (followers)
pengunci
komputer : beberapa komputer dibuat memiliki kunci untuk mengunci keyboard atau
mekanime komputer input/output untuk mencegah akses dari orang yang tidak
dikenal
Masalah dalam kontrol ini adalah
pengguna sering kali kehilangan kuncinya atau meninggalkannya begitu saja di
pintu.
Ketika resiko yang tinggi terhadap
kejahatan dan pencurian komputer telah teridentifikasi, terdapat beberapa
kontrol yang dapat dipertimbangkan oleh pengguna;
security
cabinets : semakin meningkatnya pencurian chip, suplier produk keamanan telah
memproduksi metal security cabinets (lemari keamanan metal). terdapat cangkang
metal dipermukaannya. lalu komputer dikunci dalam cangkang metal tersebut. hal
ini membuat sulit maling untuk membuka komputer dan mengambil chip-nya.
intelligent
water : berupa air dengan campuran kimia yang unik. ketika premises klien rusak
oleh pencuri atau sebagainya, maka intelligent water akan keluar dengan cara
menyemprot lantai. maka semua orang (pencuri) akan terlacak karna inteligent
water ini menuju tempat kriminal
“fog
screens” : alat ini aktif ketika penyusup terdeteksi dan lalu menyemprotkan
asap yang dapat menciptakan kabut tebal. hal ini mengurangi penglihatan dan
akan mempersulit pencuri untuk mengetahui apa yang dilakukannya dan apa yang
ada disekitarnya.
4.3 Environmental
controls
Pencegahan Kebakaran, Deteksi dan
proteksi:
Sistem ini dirancang untuk mencegah
api muncul di suatu tempat dan jika kebakaran terjadi dapat dihadapi dengan
cara yang efisien.
Kontrol dalam mencegah Kebakaran
yaitu:
Membuat fasilitas
dengan menggunakan bahan bangunan yang tahan terhadap api;
Aturan tidak
merokok didalam gedung atau ruangan komputer;
ruangan komputer
harus bersih;
kontrol terhadap
deteksi api misalnya terdapat detektor asap dan panas.
Proteksi terhadap
kebakaran meliputi:
Tabung
pemadam kebakaran: perawatan atau pengecekan berkala perlu dilakukan untuk memastikan bahwa alat pemadam berfungsi dengan
baik. Alasannya karena terdapat beberapa alat pemadam yang
tidak dapat digunakan pada kebakaran yang disebabkan listrik. Alat pemadam
kebakaran halon (BCF) adalah jenis yang cocok digunakan untuk kebakaran yang
disebabkan listrik. Posisi alat pemadam harus berada tidak jauh dengan
perangkat komputer, misalnya dekat dengan kertas printer dan alat tulis;
Sistem proteksi otomatis: sistem ini
aktif secara otomatis ketika api terdeteksi. Ketika aktif biasanya terdengar
suara alarm dan kemudian fire suppression
system akan bekerja. Sistem harus terbagi di beberapa bagian. Sistem akan
aktif ditempat ketika api benar-benar muncul. Fire suppression system biasanya menggunakan air atau halon.
Halon adalah pilihan tepat, sebab tidak
seperti air yang dapat merusak peralatan dan tidak terlalu berbahaya untuk
kesehatan dibanding alat pemadam yang menggunakan karbon dioksida.
Fire suppression system harus dipelihara dengan baik supaya berada
dalam kondisi yang tepat. Tempat juga harus dapat terpantau oleh pemadam
kebakaran atau pihak terkait.Staf harus dilatih dalam menggunakan peralatan
pemadam kebakaran agar dapat dioperasikan dengan baik.
Diperlukan proteksi terhadap peralatan
komputer dari kerusakan yang disebabkan oleh air, khususnya yang bermuatan
listrik. Oleh karena itu fasilitas komputer harus berada jauh dari kontak
langsung dengan air.
Air dapat masuk ke ruang komputer dari
beberapa kejadian, seperti;
- banjir;kebocoran atap;
- kebocoran pipa air;
- air meluap dari toilet;
- radiator bocor; dan
- proses kondensasi
Karena air mengalir di bawah pengaruh
gravitasi, resiko dapat diantisipasi dengan menempatkan komputer pada tempat
yang lebih tinggi, yaitu tidak ditempatkan di tempat yang rendah. Fasilitas
komputer umumnya berada di lantai tiga sampai lantai enam.
Alat pendeteksi air ditempatkan khusus di
kolong lantai. Alat tersebut kemudian harus terhubung kepada tanda peringatan
(alarm) baik audio maupun visual. Fasilitas
komputer yang sudah terletak dengan benar pun sangat mungkin terkena resiko
kerusakan oleh air, misalnya berasal dari pipa atau atap yang bocor. Penggunaan
atap yang datar seringkali mengalami kebocoran.
Perlindungan dan kontrol terhadap power supply
Kepentingan utama auditor berhubungan dengan
dampak yang terjadi pada listrik yang berada di sistem dan proses data yang
terintegrasi. Sistem klien
harus selalu terkontrol untuk meminimalkan efek padamnya listrik. Hal ini
biasanya dicapai melalui instalasi:
Electrical surge protectors: tegangan dan frekuensi
daya listrik yang bervariasi. Regulator tegangan memantau listrik masuk sesuai
dengan persyaratan dalam sistem. Electrical surge protectors umumnya dibangun
ke perangkat uninterruptible power supply;
Uninterruptible power supplies (UPS):
uninterruptible power supplies berfungsi untuk menyimpan cadangan listrik untuk
komputer, system dapat diaktifkan dan ditutup dengan cara yang terkontrol.
Kontrol daya tambahan dapat meliputi:
generator cadangan : generator cadangan
biasanya digunakan ketika kekuatan listrik putus lebih dari beberapa jam.
Terdapat dua jenis generator, yaitu diesel dan turbin gas;
Alternative power cabling: dalam keadaan
tertentu, perlu untuk menghubungkan fasilitas komputer langsung ke sumber
listrik dengan harapan bahwa gangguan dari satu power supply tidak akan
berpengaruh terhadap yang lain.
Penghangat,
ventilasi dan pendingin udara:
Seluruh jenis komputer memerlukan kondisi
lingkungan yang terkendali agar dapat beroperasi dengan baik. Semua memerlukan kontrol suhu dan
kelembaban. Mainframe dapat menghasilkan panas yang besar. Apabila tidak ada
ventilasi yang semestinya, maka muncul resiko kerusakan.
Adanya pendingin udara (AC) di sekitar
komputer karena ini penting untuk komputer yang beroperasi terus menerus.
Auditor harus meninjau pemeliharaan prosedur dan kontrak.
Pemeliharaan
Pengguna harus menjaga area sekitar komputer
bersih. Di setiap tempat perangkat komputer harus terdapat larangan untuk makan
dan minum
0 komentar:
Post a Comment