A12 - Keamanan Operasional tulisan 1 dari 2
Ini adalah annex terbanyak karena terdapat 7 bagian yang harus dikendalikan. Dengan konteks itu maka tulisan akan dibagi menjadi 2 bagian agar tidak menjadi horor saat melihat tampilan artikel ini
1. Prosedur dan Tanggung Jawab
A.12.1 Operational procedures and responsibilitiesPersyaratan pengendalian keamanan operasional bertujuan untuk memastikan fasilitas pemrosesan informasi dalam keadaan aman dan benar
Objective: To ensure correct and secure operations of information processing facilities
A. Prosedur Operasional
Pengendalian yang diminta adalah sbb :
A.12.1.1 Documented operating procedures
Control
Operating procedures shall be documented and made available to all users who need them.
Risiko yang dikendalikan adalah kepastian bahwa semua orang dalam perusahaan melakukan proses secara benar dan sesuai dengan standar. Risk ini berhubungan dengan klausul 8.1 Perencanaan dan Pengendalian Operasional. Dengan risiko ini maka diharapkan semua dept mempunyai prosedur untuk proses utama yang dimiliki
B. Manajemen Perubahan
A.12.1.2 Change managementPrinsip manajemen perubahan adalah mengelola risiko bila terjadi perubahan terutama perubahan yang dianggap penting dan berpengaruh terhadap operasional perusahaan. Apa yang harus kita lakukan ?
Control
Changes to the organization, business processes, information processing facilities and systems that affect information security shall be controlled.
a) identifikasi dan pencatatan perubahan
b) perencanaan dan pengujian perubahan;
c) penilaian dampak potensial, termasuk dampak keamanan informasi, dari perubahan tersebut;
d) prosedur persetujuan formal untuk perubahan yang diusulkan;
e) verifikasi bahwa persyaratan keamanan informasi telah dipenuhi;
f) komunikasi detail perubahan kepada semua orang yang relevan;
g) prosedur rollback/mundur, termasuk prosedur dan tanggung jawab untuk membatalkan dan memulihkan perubahan yang tidak berhasil dan kejadian yang tidak terduga;
h) penyediaan proses perubahan darurat untuk memungkinkan implementasi perubahan yang cepat dan terkontrol diperlukan untuk menyelesaikan suatu insiden
Dengan persyaratan tersebut maka silahkan membuat prosedur untuk change management yang mencakup langkah - langkah dalam huruf a) hingga h)
C. Manajemen Kapasitas
A.12.1.3 Capacity managementKapasitas apa yang dikelola? tentunya kapasitas untuk mengelola informasi. Informasi membutuhkan data, sedangkan data membutuhkan tempat penyimpanan serta jalan untuk lalulintas data diambil dan disimpan.
Control
The use of resources shall be monitored, tuned and projections made of future capacity requirements to ensure the required system performance.
SLA ( service level agreement) adalah salah satu contoh parameter kapasitas yang dijanjikan.
Dengan konteks aplikasi yang dikelola maka kita bisa mengidentifikasi kapasitas yang dibutuhkan agar aplikasi berjalan normal misal : berapa kapasitas penyimpanan data di server (disk space)? berapa jumlah akses yang diijinkan berbarengan pada satu waktu(bandwith)? dan seterusnya termasuk jumlah node yang dibutuhkan untuk pengelolaan proses di aplikasi
Kita diminta untuk
- mengidentifikasi kapasitas yang berpengaruh pada availability dan integrasi aplikasi kita,
- lalu melakukan pengumpulan data secara periodik (biasanya bulanan)
- dan menentukan batas threshold masing2 kapasitas
- agar kita dapat melakukan tindakan bila batas threshold terlampaui
Punya gambaran kan kan gimana cara bikin prosedurnya?
Oh ya untuk kapasitas ini bisa jadi bukan hanya terkait infrastruktur server tetapi bisa diukur juga dari kapasitas personil pelaksana tugas tertentu serta peralatan atau infrastruktur lainnya sesuai dengan core business perusahaan
D. Pemisahan lingkungan proses
A.12.1.4 Separation of development, testing and operational environmentsPada saat membuat sebuah aplikasi atau menambah, mengurangi, perbaikan atau perubahan lainnya kita diminta untuk melakukan pemisahan terhadap lingkungan proses pada tahapan pengembangan (development), pengujian (testing/QA) serta operasional aplikasi untuk pelanggan.
Control
Development, testing, and operational environments shall be separated to reduce the risks of unauthorized access or changes to the operational environment.
Tentunya kita harus membuktikan juga apakah source code dimasing2 area pada tahapan tetap merujuk file yang sama (nanti ada ketentuan soal source code), kemudian memastikan spesifikasi lingkungan proses di tahapan juga sama serta bagaimana proses pemindahan dari masing - masing tahapan. Teknis soal ini akan kita bahas nanti di annex 14
2. anti malware
Kita masuk ke pengendalian operasional dibagian 2
A.12.2 Protection from malwareBahasa sederhananya anti virus. Pengelolaan antivirus di laptop dan komputer operional harus dilaksanakan dengan manajemen yang baik. Misal : memastikan update antivirus di server sehingga setiap laptop yg tersambung di jaringan wifi atau pc yang tersambung di jaringan LAN akan melakukan automatic update melalui active directory. Atau cara lain yang dipastikan setiap pc/laptop mendapatkan update terbaru daru antivirus.
Objective: To ensure that information and information processing facilities are protected against malware.
A.12.2.1 Controls against malware
Control
Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.
Dengan konteks spt itu, maka antivirus yang digunakan harus legal. Baik berbayar maupun dalam bentuk freeware alias gratis. Boleh pake windows defender bawaan windows ga? yang emang gratis. Boleh kok, boleh banget. yang pasti tidak melangar hak cipta dari sebuah aplikasi.
Tunjukkan secara langsung bahwa laptop dan atau pc yang anda gunakan telah melakukan update antivirus sebagai pembuktian bahwa anda mengendalikan risiko keterlambatan update antivirus. eh sebenernya malware itu bukan cuma antivirus doang sih tp sementara itu dulu deh hehehe
3. back up dan restore
'Back up banyak dilakukan oleh developer. Restore? sepertinya belum terbiasa
A.12.3 Backup
Objective: To protect against loss of data.
A.12.3.1 Information backup
Control
Backup copies of information, software and system images shall be taken and tested regularly in accordance with an agreed backup policy.
Restore disini adalah anda melakukan pengujian terhadap file back up yang telah anda buat sehingga memastikan file tersebut tidak mengalami kendala jika diperlukan untuk back up. Apakah semua file back up perlu di uji dengan restore? tidak juga. Anda dapat memilih secara acak tgl file back up dan melakukan restore untuk membuktikan bahwa anda melaksanakan back up dengan benar dan tidak ada kendala dalam penyimpanan file back up tsb
4. logging & monitoring
Bagian ke empat dari keamanan operasional adalah terkait dengan catatan (log) dan monitoring atas catatan tsb
A.12.4 Logging and monitoring
Objective: To record events and generate evidence.
A.12.4.1 Event logging
Control
Event logs recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.
A.12.4.2 Protection of log information
Control
Logging facilities and log information shall be protected against tampering and unauthorized access.
A.12.4.3 Administrator and operator logs
Control
System administrator and system operator activities shall be logged and the logs protected and regularly reviewed.
A.12.4.4 Clock synchronisation
Control
The clocks of all relevant information processing systems within an organization or security domain shall be synchronised to a single reference time source
yang pertama kali anda harus pastikan adalah aplikasi yang anda miliki harus mengeluarkan log / catatan terkait aktifitas pengguna, pengecualian, kesalahan dan informasi keamanan lain. Log ini harus di tinjau secara berkala.
Berikutnya adalah memastikan file log yang diproduksi oleh aplikasi anda terlindungi dan tidak mudah diakses oleh orang yang tidak diberi wewenang untuk mengakses file tsb.
Untuk memastikan bahwa hanya orang yang diberi wewenang mengakses file tsb, pastikan bahwa perlindungan terhadap log tsb dibuat dengan mencatat siapa saja yang melakukan akses terhadap filenya sehingga kita bisa mengetahui siapa yang mengakses
Dan untuk memastikan waktu akses terhadap log atau akses ke aplikasi, pastikan anda melakukan sinkronisasi terhadap jam yang diserver / aplikasi sehingga kita bisa mengetahui jam berapa mengaksesnya
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments