foresec academy - blogerahman.staff.unisbank.ac.id · lapisan fisik sistem dan jaringan kami sangat...
TRANSCRIPT
FORESEC ACADEMY
© FORESEC
FORESEC ACADEMY
© FORESEC
Physical Security
Keamanan (Securiti) fisik, dalam dunia praktisi keamanan informasi, yaitu praktekmemberikan perlindungan untuk teknologi informasi (TI) pada orang, proses, dan alat-alat melaluipenerapan kontrol yang jelas. Keamanan fisik adalah yang paling penting dan paling seringdiabaikan dari prinsip-prinsip yang mendasari keamanan informasi secara keseluruhan. Pada akhirbab ini, Anda harus memiliki pemahaman yang jauh lebih besar dari peran keamanan fisik dalamprogram keamanan informasi.
Tindakan fisik selalu menjadi tindakan pertama yang diambil orang untuk melindungi asetmereka. Bahkan pada saat komputasi menjadi komponen substansial dari kalangan bisnis danmiliter di tahun 1960-an dan 1970-an, aturan keamanan yang sama yang telah mendominasi selamaribuan tahun - fasilitas IT punya kunci dan pagar. The departemen "Corporate Security" muncul dibagan organisasi dan mengembangkan keterampilan secara eksklusif dalam kontrol keamanan fisik.
FORESEC ACADEMY
© FORESEC
Dalam lingkungan IT hari ini, departemen keamanan informasi dikembangkan olehdepartemen IT dengan penekanan pada proyek-proyek keamanan jaringan dan sistem. Akibatnya,banyak spesialis informasi keamanan saat ini kurang informasi dari para pendahulu mereka tentangpilihan yang tersedia untuk perlindungan fisik dan lebih mengkhawatirkan lagi, menyadarikerentanan sistem fisik mereka. Keamanan perusahaan dan keamanan informasi harus membangunaliansi untuk memastikan perlindungan terhadap aset teknologi perusahaan.
Sistem informasi jaringan sering direpresentasikan dalam sebuah struktur yang disebutmodel interkoneksi sistem terbuka (Open Systems Interconnect / OSI). Model OSI membangunsebuah representasi dari sistem informasi berbasis pada tujuh lapisan. Lapisan pertama, lapisan dimana enam lainnya juga tergantung, adalah lapisan fisik.
Model keamanan informasi sering berurusan langsung dengan hubungan keamanan antarasetiap lapisan dan logika kontrol dan protokol yang beroperasi pada setiap tingkat untuk menjaminkeamanan dipelihara di seluruh transaksi. Yang paling sering diabaikan adalah kenyataan bahwakontrol ini didasarkan pada satu premis dasar: lapisan fisik lingkungan yang aman.
Mari kita lihat beberapa contoh tentang bagaimana asumsi ini dapat membawa kita ke suatukesimpulan yang salah bahwa sistem kami aman. Perhatikan tiga contoh berurusan denganpassword, enkripsi dan redundansi, yang menyoroti bagaimana umumnya cek keamananinformasi yang dapat dipercaya dapat dibuat tidak efektif oleh kompromi keamanan fisik.
FORESEC ACADEMY
© FORESEC
Woman Kidnapped, Forced to Cooperate in Computer EquipmentTheft (12
wanita diculik dipaksa untuk bekerja sama dalam pencurian peralatan komputer)
Seorang wanita Inggris diculik dari rumahnya, dibawa ke warehouse tempatnya bekerjadan dipaksa untuk membantu para penculiknya mencuri hampir $ 800.000 dalam bentuk peralatankomputer. Para pencuri memaksanya menyerahkan kunci dan kode akses ke gudang yangdigunakan untuk menyimpan peralatan komputer. Para pencuri membawa kabur laptop komputerCompaq dan monitor layar datar Compaq, serta meninggalkan wanita di belakang, terluka.
Dalam kasus ini, kurangnya keamanan fisik ternyata berakibat mahal pada perusahaankorban. Orang yang diculik adalah CFO perusahaan dan memiliki akses penuh ke fisik barangdisimpan di perusahaannya, dimana tidak ada tindakan perlindungan di tempat lain untuk mencegahpencurian properti. Hal ini dapat disimpulkan dari Pasal kurangnya peralatan pemantauan, yangjuga akan memberitahu pihak berwenang pada kejahatan yang sedang berlangsung.
PasswordsSistem sering dilindungi oleh password, token securiti, dan metode lainnya. Sebuah
password sistem operasi melindungi sistem dengan menolak akses ke data pada server sampaisistem operasi telah memverifikasi bahwa pengguna ter-otentikasi dan otorisasi dalam databaseuser-nya.
Namun, banyak sistem berbasis password dapat dikompromikan jika seseorang mendapatakses fisik ke workstation atau server, seperti melalui penggunaan boot disk - sebuah sistem operasisederhana yang terkandung dalam sebuah disket. Karena kebanyakan sistem masih dikonfigurasiuntuk memeriksa drive disket sebelum hard drive lokal (untuk kenyamanan memecahkan masalah),cukup dengan memasukkan disk boot dan restart sistem akan memberikan penyerang sesi dengansistem operasi, yang memiliki tingkat account administrator. Dengan akses ini, penyerang dapatmemulihkan informasi yang dienkripsi dalam sistem
Selain itu, dengan diberikan kesempatan untuk menghapus instalasi server, penyusup dapatmelakukan sejumlah serangan pada server yang dicuri untuk mengambil semua informasi yangberada pada disk
EncryptionDalam lingkungan yang aman dengan enkripsi pada hard drive, enkripsi adalah kontrol yang
digunakan untuk memastikan bahwa hanya membaca hard drive tidak cukup untuk memahami datamereka. Teknik ini efektif untuk mengacak data pada hard disk dan membutuhkan passphrase(lewat susunan kata-kata) untuk dimasukkan sebelum data dapat didekripsi. Teknik ini akan efektifmencegah keberhasilan penggunaan boot disk untuk membaca data karena sistem operasi baru tidakakan mengandung unsur-unsur yang diperlukan untuk mendekripsi data
Keamanan fisik masih diperlukan, sebagian untuk melindungi dari perangkat sepertikeycatcher. Keycatcher adalah adaptor kecil (dua inci) yang cocok ke kabel PS / 2 keyboard standar,antara CPU dan keyboard. Alat ini hampir tidak bisa dibedakan dari kabel keyboard normal, danbeberapa pengguna memeriksa sambungan di bagian belakang komputer dalam keadaan normal.Dengan akses fisik ke komputer pengguna selama 30 detik, penyerang bisa menyisipkan perangkatseperti keycatcher. Perangkat akan mencatat setiap keystroke user, sampai batas memori saat inisekitar 8 MB. Dengan infiltrasi kedua, perangkat dengan mudah dapat diambil. Setelah pulih,perangkat dapat menampilkan semua penekanan tombol yang digunakan, termasuk username,password, dan passphrase enkripsi. Dengan demikian, kontrol enkripsi secara teknis tidak lagiefektif, dan kompromi keamanan fisik merupakan penyebabnya.
FORESEC ACADEMY
© FORESEC
RedundancyUntuk menghindari kehilangan data melalui kegagalan perangkat keras, data penting sering
dikelola dengan teknik penyimpanan seperti RAID-5. Dalam skema ini, data tersebar di disk dengancara yang memungkinkan rekonstruksi sebuah disk gagal dari informasi yang disimpan pada diskyang tersisa. Bergantian, untuk redundansi yang lebih canggih, beberapa server dapat digunakan.Setiap teknik di mana semua komponen berlebihan, apakah disk atau server, yang terletak bersama-sama dapat ditangani dengan mudah oleh penyabot yang hanya memiliki akses fisik ke pusat data.Meskipun upaya logis terbaik dalam redundansi, pencurian fisik server secara efektif akanmengakhiri ketersediaan data yang memadai.
Langkah-langkah keamanan fisik harus diletakkan di tempat untuk melindungi dari jeniskompromi baru saja kita periksa. Tindakan tersebut diperlukan untuk memberikan jaminan bahwalapisan fisik sistem dan jaringan kami sangat aman. Sekarang kita beralih perhatian kita kepadahubungan antara keamanan fisik dan logika keamanan dan bagaimana program keamanan fisikdapat membantu kita mencapai tujuan kita pada keamanan global.
Selain integritas, kerahasiaan dan ketersediaan, bidang keamanan fisik mencakup tujuantambahan di samping tradisi CIA (Confidentiality, Integrity, and Availability) keamanan informasiyaitu : keamanan.
SafetyKeselamatan yaitu kebutuhan untuk memastikan bahwa orang yang terlibat dengan
perusahaan - termasuk karyawan, pelanggan dan pengunjung - dilindungi dari bahaya. Umumnya,keselamatan adalah prioritas utama sebagai pelaksanakan langkah-langkah keamanan fisik, danbanyak praktisi keamanan informasi yang akan mempertimbangkan keselamatan menjadi prioritasutama untuk lingkungan perusahaan mereka.
Dengan perkecualian yang langka adalah di Dinas militer atau Rahasia, di mana seorangindividu dapat terluka untuk melindungi seseorang atau dalam suatu instalasi fisik yang tak terlihatdi mana orang hanya di dalam fasilitas ini seharusnya diasumsikan striker karena tidak ada"personil yang berwenang"
Sebelum masuk ke dalam analisis ancaman keamanan dan kontrol, mari kita segerameninjau kontrol keselamatan yang paling komprehensif - evakuasi - karena sangat penting untukkeselamatan personil.
FORESEC ACADEMY
© FORESEC
Safety FirstThe need to ensure personnel safety will in many cases require accepting weaknesses inother objectives. Let's look at two examples where safety concerns take precedence overother physical security priorities.Example 1: During a building evacuation, employees will be exiting the building
rapidly. Doors may be propped open to facilitate escape. During thisscenario, employees would NOT be expected to stand at a reception deskto ensure unauthorized personnel do not access the employee-only areas.
Example 2: When a fire is detected, automatic sprinklers may deploy to prevent thefire from spreading. This deployment, while protecting the safety ofpersonnel, easily could damage assets required to maintain businessfunction. Employees would not be required or have the time to place allimportant documents into waterproof containers before the sprinklerswould deploy!
EvacuationEvakuasi telah menyelamatkan ribuan nyawa dalam insiden mulai dari kebakaran bangunan
kecil hingga daerah bencana besar. Untuk hampir semua ancaman personel keamanan dan fasilitasevakuasi harus efektif. Selain itu, untuk daerah bencana, evakuasi personil merupakan langkahpertama yang penting bagi keluarga untuk berkumpul kembali dan melarikan diri ke daerah lain.Prosedur evakuasi harus disiapkan dan dipraktekkan. Koordinasi dengan Sumber Daya Manusia,Business Continuity dan Disaster Recovery Planning, dan manajemen eksekutif harus diuji dandiperbaiki.
Setiap prosedur evakuasi harus mencakup rute evakuasi dan titik pertemuan (meetingpoints). Setiap prosedur harus jelas menunjukkan rute dari lokasi saat ini ke pintu keluar terdekat,untuk pintu keluar kedua, dan salinannya harus diberikan dan dibawa oleh individu pengungsi.Prosedur ini harus mencakup instruksi untuk teknik keselamatan, seperti tiara di lantai jika ada asap,pengujian pintu untuk panas sebelum dibuka, dan menghitung pintu-pintu untuk menemukan pintukeluar darurat.
FORESEC ACADEMY
© FORESEC
Meeting PointSetiap prosedur harus mengidentifikasi titik pertemuan khusus untuk mengevakuasi personil
dari fasilitas tersebut. Titik pertemuan harus mudah dijangkau dengan berjalan kaki dari masing-masing lokasi. Tanda-tanda sederhana dari "Titik Pertemuan A", misalnya harus terlihat jelas untukmemanggil karyawan.
PostingProsedur harus diposting secara bebas di seluruh area kerja, jangan lupa daerah tambahan
seperti ruang berhenti, ruang istirahat dan lobi. Tanda signal harus secara jelas ditandai dan dicetakdengan kontras tinggi, dengan ukuran font yang besar. Penggunaan warna merah sangat dianjurkankarena warna ini berhubungan dengan prosedur darurat - dengan pengecualian bahwa teks tidakharus diwarnai dengan cara yang sulit untuk dibedakan bagi individu dengan buta warna merah-hijau.
PracticeEvakuasi harus dilakukan secara berkala untuk memastikan bahwa karyawan dapat
melakukan prosedur keadaan darurat yang sebenarnya. Karyawan harus diminta untuk mengambillatihan ini secara serius dan harus dikenakan tindakan disiplin jika mereka mengabaikan peringatanatau instruksi dari staf manajemen pelatihan.
Sekali pengujian karyawan telah menunjukkan bahwa karyawan dapat keluar dari gedungsecara teratur dan dalam jangka waktu yang direkomendasikan untuk fasilitas tersebut, organisasidapat mempertimbangkan untuk melakukan latihan dengan tim layanan darurat. Latihan ini, seringdilakukan oleh layanan darurat untuk praktek mereka, yang menerima relawan dari perusahaanlokal.
RolesPemimpin titik pertemuan (Meeting Point ) bertanggung jawab untuk menemukan titik
awal pertemuan dan proses menghitung semua karyawan. Pemimpin Titik Pertemuan harusberusaha untuk menjadi "keluar pertama" untuk memulai proses secepat mungkin. Pemimpin TitikPertemuan sering kali individu-individu seperti manajer personalia, orang yang paling mungkinmengetahui karyawan yang berada di kantor. Setelah Petugas Keselamatan tiba, yang kedua harus
FORESEC ACADEMY
© FORESEC
diputuskan siapa di antara para karyawan yang belum dihitung sehingga informasi dapat diberikanke Layanan Darurat.
Petugas Keselamatan bertanggung jawab untuk memeriksa bahwa setiap individu dalamwilayahnya sudah mulai dievakuasi. Dia harus memeriksa tempat bagi karyawan yangmembutuhkan bantuan atau tidak mendengar / melihat alarm. Setelah area jelas, dia mengevakuasigedung. Petugas Keselamatan biasanya keluar yang terakhir, dan sering adalah kepala perusahaanatau petugas eksekutif.
Akhirnya, jika tidak memenuhi peran sebagai Pemimpin Titik Pertemuan atau PengawasKeselamatan, karyawan memiliki tanggung jawab untuk mengevakuasi secepat dan seamanmungkin. Karyawan akan segera mengikuti instruksi Petugas Keselamatan dan lapor ke PemimpinTitik Pertemuan segera setelah dievakuasi dari gedung.
Setiap karyawan harus tahu bagaimana bereaksi dalam semua peran dan harus tahu secaradefault siapa yang memegang masing-masing peran. Selama latihan, karyawan yang berbeda akanmemiliki pelatihan silang (bergantian) dengan peran masing-masing.
Evacuation of 750,000During Hurricane Andrew, which hit Southern Florida in August 1992, hurricane
watches and warnings allowed emergency services to issue a voluntary, then mandatory,evacuation order. Eventually, more than 750,000 individuals were evacuated out of harm'sway. This notification and evacuation is considered the primary reason for the remarkablylow number of injuries and fatalities during and immediately after the storm.
Threats to Safety
Sekarang kita melihat pada kontrol yang lebih penting – evakuasi - kita akan melihatancaman terhadap keamanan dan kontrol khusus untuk menhadapi setiap ancaman.Ancaman terhadap keselamatan personil ada beberapa kategori
• Smoke & Fire• Toxins• Water/Flood
FORESEC ACADEMY
© FORESEC
• Temperature Extremes• Structural Failures• Power Loss• External bomb threat, civil unrest
Smoke & FireAsap dan api adalah salah satu ancaman yang paling sering terjadi pada keselamatan staf.
Api terjadi ketika bahan bakar yang mudah terbakar dari jenis apa pun yang menyala, biasanyadengan menggunakan suhu tinggi dan terbakar dengan oksigen. Untungnya, banyak perangkatuntuk mendeteksi ancaman api, terutama detektor asap dan sensor panas, dan banyak perangkatuntuk memadamkan api yang sudah menyala, terutama alat pemadam kebakaran, sistem sprinklerdan sistem pemadam kebakaran halon untuk api.
Ada berbagai cara untuk detektor asap mengidentifikasi keberadaan partikel yangmenunjukkan bahwa api mungkin sudah mulai. Sensor optik termasuk sinar dan pelat deteksi. Jikapartikel asap masuk ke detektor dan mengaburkan cahaya, detektor akan waspada. Detektor asaplain bekerja dengan mendeteksi keberadaan partikel terionisasi dalam asap udara. Sensor panas,termometer biasanya bekerja dengan menentukan kenaikan suhu di atas ambang standar yang dapatditerima.
Sensor ini biasanya cukup kecil dan murah. Mereka dapat diterapkan dengan mudah, bahkanuntuk fasilitas yang ada, untuk memancarkan sinyal yang bisa terdengar atau terlihat. Perangkatyang lebih canggih yang SNMP-mampu dan dapat mengirim peringatan ke konsol dari jaringanatau fasilitas stasiun pemantauan untuk mengingatkan operator remote konsol. Setiap unit dapatdengan mudah diuji dengan sumber asap kecil atau pemanas.
The Effects of Smoke in Computer Rooms
Dalam kasus kebakaran di ruang komputer, perhatian harus ditujukan pada peralatankomputer sebelum kembali dioperasikan. Kipas pada peralatan komputer secara alami akan menarikpartikel debu dan jelaga dari api, mendistribusikannya diatas motherboard dan komponen-komponen komputer. Dikombinasikan dengan air yang dikumpulkan dari peralatan sprinkler ataupemadaman api, menghidupkan komputer dapat menyebabkan elektrik arus pendek atau gagal.
FORESEC ACADEMY
© FORESEC
Pemulihan kembali alat elektronik mengikuti perekomendasikan bahwa pelanggan merekamelakukan apa pun kecuali panggilan pada perusahaan pemulihan bencana untuk menilaikerusakan. Bahkan dengan niat baik, berusaha untuk membersihkan peralatan di sekitarnya ataufasilitas, termasuk dinding, plafon, rak komputer mungkin akan membuat masalah lebih buruk.Sebuah perusahaan yang berpengalaman akan segel pemulihan bencana dan melokalisasi kerusakanuntuk mencegah bahan-bahan dari udara mempengaruhi peralatan lainnya yang akan memperluaskerusakan, sebelum memulai membersihkan dengan hati-hati dan proses penghapusan
SuppressionSetelah api terdeteksi, bagaimanapun, dan dapat dimatikan oleh sistem atau perangkat
portabel yang tetap. Berbagai bahan kimia yang tersedia dalam bentuk alat pemadam kebakaranportabel. Jenis portabel biasanya cukup untuk satu atau lebih dari ketiga jenis kebakaran:
• A: material mudah terbakar seperti kayu dan kertas• B: cairan mudah terbakar seperti minyak bumi dan beberapa pelarut• C: kabel dan peralatan listrikPemadam kebakaran menggunakan konvensi yang berlaku umum untuk setiap jenis daftar
api yang dapat diatasi. Label atau piktogram biasanya ditandai, yang menunjukkan jenis pemadam.Label untuk alat pemadam kebakaran untuk menggunakan segitiga untuk jenis "A", persegi untuktipe "B", dan lingkaran untuk tipe "C".
Berbagai piktogram menggambarkan tipe bahan bakar dalam tiap jenis api: kertas atau kayuuntuk tipe "A", bensin untuk tipe "B", dan listrik untuk tipe "C". Selain itu, konvensi baru denganpelabelan pemadam dengan garis merah pada jenis pemadam kebakaran dianggap tidak efektif.
Sebelum alat pemadam portabel dapat dicapai untuk memadamkan ancaman, sistempermanen, seperti sistem sprinkler atau sistem halon gas, mungkin mulai memadamkan api.Sprinklers umumnya terdiri dari jaringan pipa yang mengandung penekan api, seperti air atau bahankimia penekan. Sistem sprinkler memerlukan perubahan instalasi dan infrastruktur, seperti pipatambahan dan palang dukungan. Selain itu, sprinklers bisa sulit untuk diuji sejak penyebaransprinklers yang biasanya menyebabkan beberapa kerusakan. Oleh karena itu, beberapa sistemmenggunakan mekanisme pipa-kering untuk memungkinkan pra-aktivasi. Mekanisme Pipa-keringtermasuk biaya penekan api di atas kepala sprinkler, tapi sisa sistem diisi dengan debit awal. Selainitu, setiap sprinkler menanggapi seacra individual, karena itu, hanya daerah di mana asap ataukebakaran yang terdeteksi akan mendatangkan malapetaka dari aktivasi sprinkler.
Sistem sprinkler harus diperiksa triwulanan untuk kebocoran, yang menimbulkan risiko baikdalam bagian tak terduga dari bahan kimia maupun kurangnya penekan-penekan dalam sistem iniyang diaktifkan.
Meskipun demikian bahan kimia tidak hanya digunakan dalam sistem pipa kering. Banyakruang komputer dilindungi secara built-in sistem pencegah kebakaran halon. Sistem ini bekerjadengan mengisi area dengan halon, yang secara efektif ‘mencekik’ api dengan menghilangkanoksigen dari atmosfer. Namun, penghilangan oksigen ini berbahaya bagi personel manusia,sehingga penyebaran halon harus didahului dengan evakuasi personil dari daerah tersebut. Halontidak beracun untuk personil, tetapi karena pengurangan oksigen, menyajikan ancaman sesak napasdalam konsentrasi lebih dari beberapa persen. Kebanyakan fasilitas dengan sistem pencekikan halonmenggunakan saklar aktivasi tunggal - "tombol merah besar" - yang dapat digunakan untukmengaktifkan sistem oleh karyawan terakhir yang mengevakuasi daerah tersebut.
Namun, halon diyakini menjadi faktor dalam penipisan lapisan ozon. Karena pertimbanganlingkungan, penggunaan halon secara signifikan dibatasi oleh Protokol Montreal pada tahun 1987,yang berisi daftar faktor penipisan ozon untuk berbagai chlorofluorocarbon dan Halons.
FORESEC ACADEMY
© FORESEC
Halon-1211 secara signifikan kurang merusak daripada Halon-1301. Mengacu pada theMontreal Protocol, sistem halon juga memerlukan pengisiian atau diisi ulang yang harus diisikanoleh daur ulang bank-halon.
Storage ProtectionSelain kontrol deteksi dan pemadaman kebakaran, lingkungan TI harus mencakup
penyimpanan yang dilindungi dari api, seperti lemari besi kaset atau lemari besi dokumen. Bahanpenting dan catatan harus disimpan dalam lemari besi jika tidak digunakan.
Beberapa standar digunakan untuk mengevaluasi rating proteksi kebakaran yang disediakanoleh standar lemari besi tahan api. Yang paling umum adalah Underwriters Laboratories Inc (UL)rating. UL adalah independen, tidak untuk keuntungan produk-pengujian keamanan dan organisasisertifikasi. Produk telah lulus pengujian UL diizinkan untuk menggunakan tanda UL. Peringkat ULuntuk lemari besi tahan api harus bersertifikat, aman dan melindungi isi dan tidak pernah melebihisuhu yang dinilai atau "kelas" selama pengujian. Dua karakteristik peringkat yaitu - kelas, yangmerupakan temperatur maksimum yang diijinkan di ruangan, dan Jangka Waktu, panjang waktuyang aman dimana harus melindungi isi ketika mengalami suhu sampai 2000 derajat Fahrenheit (F).
Kelas 350 merupakan standar umum yang digunakan untuk lemari besi yang berisi "catatan"karena kertas mulai mengalami kerusakan akibat kebakaran sekitar 400 derajat Fahrenheit.Peringkat Kelas 350 meliputi : 4 jam, 2 jam, 1 jam, dan 1 / 2 jam. Kelas 150 dan Kelas 125merupakan standar umum digunakan untuk lemari besi "data" karena media magnetik rusak padatemperatur yang lebih rendah daripada kertas. Kelas 150 meliputi nilai: 4 jam, 3 jam, 2 jam, 1 jam,dan 1 / 2 jam. Kelas umum meliputi 125 peringkat 1 jam dan 1 / 2 jam. Selain itu, peringkat untukdata lemari besi harus memastikan bahwa kelembaban di ruangan tidak pernah melebihi 85 persen.
Underwriters Laboratories (UL) TestingPengujian UL ketat dan meliputi tidak hanya menguji suhu, tetapi penyelidikan lain yang
terkait dengan aspek konstruksi keselamatan. Sebagai contoh, uji dampak terdiri dari pemanasanyang aman untuk 1550 derajat Fahrenheit selama 30 menit, kemudian menjatuhkannya kepermukaan yang tidak teratur dari 30 kaki. Kemudian dibolak balik dan dipanaskan selama 30menit. Untuk lulus, keselamatan harus menanggung semua tanpa mengekspos interior untuk suhumelebihi 350 derajat Fahrenheit. Tes ledakan terdiri dari pemanasan cepat alat keamanan menuju2000 derajat Fahrenheit untuk memastikan bahwa suhu meningkat dengan cepat tapi tetap amanbertahan hidup tanpa meledak
FORESEC ACADEMY
© FORESEC
Toxins
Racun yang menimbulkan ancaman bagi kesehatan dan keselamatan pada umumnya beradadi udara. Contoh racun: Radon atau karbon monoksida dalam konsentrasi tinggi, asap, gas beracun,seperti yang pernah dirilis dalam sebuah kecelakaan industri, dan partikel udara, seperti ledakangunung berapi.
Organisasi perlindungan lingkungan PBB (www.uneptie.org) menyediakan daftar umumkecelakaan lingkungan yang dikumpulkan dari arsip mereka. Sumber ini adalah daftar kecelakaanberacun 1988-1997, selama setidaknya satu kecelakaan besar, terjadi setiap tahun. Ini termasukinsiden yang mendorong evakuasi lebih dari 100.000 warga sipil atau insiden yang menghasilkancedera dalam jumlah besar. Sebuah kecelakaan industri pada tahun 1993 di Richmond, Virginia, AS,melukai lebih dari 6.000 warga sipil dalam hitungan jam.
Ancaman racun udara dideteksi oleh detektor khusus yang diinstal maupun perhatian darilembaga-lembaga luar. Detektor khusus biasanya hanya dilaksanakan di fasilitas diketahui yangberada pada risiko ancaman tertentu. Detektor ini sangat bervariasi dalam biaya, kemudahanpelaksanaan, dan kemudahan penggunaan. Fakta bahwa beberapa ancaman datang dari luar fasilitasmenunjukkan kebutuhan untuk koneksi ke detektor eksternal. Manajemen krisis personil setempatdan asosiasi negara atau manajemen darurat lokal dapat menjadi sumber daya yang baik untukmengetahui bagaimana sebuah perusahaan dapat waspada dalam hal keadaan darurat publik. Selainitu, perusahaan harus mengambil langkah-langkah untuk memastikan bahwa buletin daruratsetempat diterima oleh personil.
FORESEC ACADEMY
© FORESEC
Radon is a common toxin that has affected many businesses. A naturally occurringradioactive gas, radon is the second highest contributor to lung cancer in the U.S.,resulting in 1800 deaths per month. Radon levels are highest in North America andEurope, with the highest concentration levels in Canada and Northern Europe.Businesses in Ireland are faced with the option of installing expensive radon monitoring
equipment, or face a law suit by the Radiological Protection Institute of Ireland (RPII). In2001, the RPII ordered 3,000 companies to install and monitor the radon levels inbusinesses. Two years later, only 500 companies have complied with the order. As aresult, the RPII is taking legal action against the remaining companies, prioritizingbusinesses that are located in areas with the highest radon levels. Testing in these areashas indicated that radon levels are much higher than what is considered safe forbusinesses, the level of which would cause 1 in 50 non-smokers to contract fatal lungcancer. Businesses that have ignored the demands of the RPII can expect law suits fromemployees, if they have been subjected to unsafe work environments despite the efforts ofthe RPII.Sources:
“Environmental Radon Newsletter.” National Radiological Protection Board,http://www.nrpb.org/publications/newsletters/environmental_radon/archive/1995/ern5.pdf.
“Radiation Watchdog to Sue Employers Over High Radon Gas Levels." IrishIndependent, July 7 2003.
“American Radon Scientists Call on EPA Administrator Whitman to ActDecisively - 1,800 Deaths a Month from Radiation Exposure." PR Newswire,May 12 2003.
Ancaman Toksin udara sulit untuk dinetralisir, dan sering satu-satunya pilihan adalah untukmenunggu sampai ancaman menghilang. Akibatnya, respons paling umum adalah untukmengevakuasi personil untuk lokasi yang aman. Dalam instalasi di mana ancaman tertentu telahdiidentifikasi, langkah-langkah reaktif yang unik, seperti topeng filtrasi atau lemari besi tertutuprapat sekali, bisa dikembangkan untuk mencoba mengurangi dampak.
Ancaman racun udara menjadi jelas bagi banyak organisasi di Amerika Serikat sebelumserangan Anthrax. Beberapa organisasi menerima surat atau paket pada bulan September danOktober 2001, termasuk agen kimia Anthrax. Perusahaan ini dipaksa untuk mengungsi dan individudikarantina untuk evaluasi medis. Serangan-serangan palsu juga dihasilkan, di mana beberapa orangditangkap karena mengirimkan zat seperti Anthrax, bubuk putih melalui sistem pos di AmerikaSerikat. Organisasi dapat, setiap saat, dipaksa untuk sepenuhnya mengevakuasi layanan dan tidakdapat masuk kembali sampai seluruh fasilitas dan seluruh staf diperiksa oleh jejak bakteri Anthraxyang mematikan. Dengan hanya satu sendok teh baking powder, orang jahat bisa menutup fasilitasdi Amerika Serikat selama beberapa hari. Organisasi harus mengevaluasi cepat kebijakan keamananmereka untuk menjamin keselamatan karyawan dan operasi bisnis yang berkesinambungan.
FORESEC ACADEMY
© FORESEC
Water/FloodAir di lingkungan dapat dideteksi oleh dua detektor untuk kelembaban permukaan dan
detektor kelembaban untuk uap air. Detektor ini sangat penting dalam fasilitas dengan kabel dankonsumsi daya tinggi karena air mengalirkan listrik dan dapat menyebabkan kerusakan yangsignifikan dalam hal sebuah sirkuit listrik pendek. Detektor air umumnya dipasang di bawahpermukaan lantai, karena permukaan lantai kadang tidak terlihat, dan di daerah rawan banjir
On April 13, 1992, the city of Chicago faced a daunting challenge when anabandoned underground tunnel system flooded with water from the Chicago River. Onceused by the Illinois Tunnel Company for underground transit of materials throughout thecity, the 60-mile tunnel system was home to telephone switching equipment, copper, fiber-optic cabling systems, cable television feeds, and electrical and gas distribution systems.At its peak, water rushed into the abandoned tunnel system at a rate of 250 gallons asecond.
Without power or telephones for emergency management systems, businesses thatwere located in the path of the tunnel system had to quickly evaluate the threats to theirphysical security. The Chicago Board of Trade was one company that quickly put itsdisaster recovery plan into effect. Evaluating the threat to personnel was their first priority,which prompted the safe evacuation of all employees. Without the availability of telephoneservices, emergency response staff re-routed emergency support lines to a cellulartelephone network to maintain a channel of communication throughout the disaster. Off-site facilities were activated after communication channels were secured, with the mostrecent backups for critical business applications.
The most damaging effect of the disaster was the lack of power to facilities forseveral weeks. Without lighting or the ability to pump water out of flooded facilities, manybusinesses that were unprepared for such an attack were forced to shutdown until the cityutility service was restored.References:
“The Chicago Tunnel Flood," http://www.toad.net/~le0p0ld/tae.html,
FORESEC ACADEMY
© FORESEC
September 17 2003. “Underground Flood Hits Chicagoís Loop, Shutting Down Businesses for Weeks,"
Disaster Recovery Journal, http://www.drj.com/special/chicago.html,September 17 2003.
Seperti dengan ancaman udara, tetap berhubungan dengan komunitas ancaman potensialmaupun peringatan National Weather Service adalah penting untuk memastikan supaya hal ini tidakmenunjukkan sebuah perusahaan kurang dipersiapkan. Untuk membantu organisasimengidentifikasi ancaman ini, Komisi Komunikasi Federal telah membentuk Emergency AlertSystem (EAS) untuk segera mengirimkan informasi darurat yang penting untuk daerah tertentu darinegara. Pola cuaca yang buruk akan ditangani melalui Layanan Cuaca Nasional, melalui PusatPrediksi Iklim, yang menawarkan analisis ancaman harian dan mingguan berdasarkan wilayahgeografis yang berbeda di ASPeringatan ancaman cuaca saat ini tersedia di berikut
http://www.cpc.noaa.gov/products/predictions/threats/threats.html
Analisis ancaman cuaca mingguan tersedia dihttp://www.cpc.noaa.gov/products/predictions/threats/
Untuk informasi lebih lanjut tentang Alert System Darurat dan Dinas Cuaca Nasional, kunjungihttp://www.weather.gov/.
Air dan ancaman banjir dapat diperbaiki dengan menerapkan pompa lambung kapal, yangmembuang air dari daerah yang dilindungi. Pompa ini sering ditaruh di ruang bawah tanah gedungdan dapat diaktifkan secara otomatis ketika dihasilkan alarm tingkat air. Pompa ini harus memilikikapasitas yang diindikasikan secara jelas dan harus mampu mendorong jumlah tertentu air per jam.Pembangunan daerah harus mencakup rencana drainase yang benar yang akan memungkinkankelebihan air dialirkan ke daerah kritis yang kehabisan air. Tidak ada pompa atau penguras lambungkapal, namun, mungkin untuk mencegah kerusakan dari banjir atau gelombang pasang. Sepertidengan ancaman lainnya, jika tingkat air meningkat terlalu ektrim bagi pompa untukmengakomodasinya, maka evakuasi adalah ukuran yang tepat untuk melindungi personil.
FORESEC ACADEMY
© FORESEC
Temperature Extremes and Air QualitySuhu ekstrem adalah ancaman kepada personil di lingkungan di mana wilayah geografis
atau lingkungan kebutuhan bisnis cenderung terlalu dingin atau panas.Suhu ekstrim dideteksi dengan mudah oleh kontrol berbasis termometer. Termometer mudah
tersedia dan dapat diperoleh dan dipasang dengan pengeluaran yang minimal. Seperti asap dansensor api, mereka dapat memancarkan sinyal yang dapat didengar atau dilihat dan dapat mampuSNMP.
Alat pemanas biasanya di tempatkan dalam lingkungan di mana suhu luar sering lebih dari10 derajat di bawah tingkat kenyamanan operator atau parameter sistem operasi. Dalam kasuspemanas utama gagal, pemanas sekunder diimplementasikan. Biaya redundansi biasanya tidakmahal dan biasanya sangat mudah dioperasikan sehingga tidak memerlukan pelaksanaan otomatis.Meskipun suhu mungkin drop beberapa derajat sebelum mesin komputer dipengaruhi, suhu rendahsering menyebabkan ketidaknyamanan operator yang signifikan.
Bila suhu sering lebih dari 10 derajat lebih tinggi dari tingkat kenyamanan atau parametersistem, AC diimplementasikan. Sama seperti kegagalan pemanasan, AC sekunder adalah solusisederhana untuk ancaman ini. Komputer umumnya toleran terhadap suhu operasi yang tinggi, danbanyak sistem memiliki kipas internal untuk menghindari shutoffs overheating dan otomatismemaksa sistem untuk berhenti jika suhu melebihi yang ditetapkan.
Produsen peralatan akan sering memberikan metrik yang mendefinisikan operasi yang dapatditerima dan suhu penyimpanan untuk peralatan komputer. Rekomendasi ini harus dipertimbangkandengan cermat, karena kegagalan untuk menjaga suhu operasi yang diperlukan dapat membatalkangaransi peralatan.
Selain suhu ekstrim, kelembaban harus diperhitungkan. Kelembaban yang tidak memadai
FORESEC ACADEMY
© FORESEC
akan menyebabkan kemungkinan peningkatan listrik statis, yang dapat merusak komponen.Kelembaban yang tinggi meningkatkan kuantitas kondensasi air di komponen komputer,meningkatkan kesempatan korosi. Kelembaban diukur dengan hydrometer, yang dapatmengingatkan pada kelembaban di luar rentang operasi yang dapat diterima. Bahan hidrofilik bisaterkena udara lembab untuk memindahkan uap air dan dengan demikian menurunkan kelembaban.Uap air dapat dipindahkan ke udara kering menggunakan sistem ventilasi.
Ventilasi di fasilitas TI harus dipantau untuk memastikan bahwa mereka mempertahankankualitas udara yang memadai. Tingkat partikulat harus dipantau karena tingkat tinggi dari partikelmenimbulkan risiko terhadap sistem dan staf. Tingkat yang dapat diterima partikel, berdasarkanBadan Nasional Kualitas Lingkungan Udara diatur sesuai dengan dua ukuran dari partikel terhiruppernafasan.
Perlindungan
Di daerah dimana tingkat partikulat biasanya tinggi, printer, yang sering menghasilkansejumlah besar partikel karena kertas dan toner, harus dipisahkan dari area kerja dan sistem. Filtertambahan harus dipasang untuk mengurangi partikel di udara yang meninggalkan ruang untukprinter.