TB 2 Prof Dr. Apollo "Audit Storage"

TB 2 Prof Dr Apollo "Audit Storage"

AUDIT STORAGE

Audit storage adalah suatu verifikasi, pemeriksaan sistematis, profesional, terhadap keamanan dan informasi pengendalian manajemen dalam infrastruktur storage/penyimpanan.

Hasil dari audit storage berupa opini auditor terhadap keefektifan, konsistensi, dan kesesuaian, berdasarkan bukti, dan merekomendasikan perubahan yang diperlukan pada aktivitas dan infrastruktur storage/penyimpanan sebagai area perbaikan.

Audit storage difokuskan pada dua hal, yaitu: platform dan data.

Patform didefinisikan sebagai sebuah kombinasi asitektur perangkat keras (hardware) dan perangkat lunak (software). Secara sederhana, platform adalah media atau wadah yang digunakan untuk menjalankan software.

Data adalah unit informasi, seringkali numerik, yang dikumpulkan melalui observasi. Dalam pengertian yang lebih teknis, data adalah sekumpulan nilai variabel kualitatif atau kuantitatif tentang satu atau lebih orang atau objek.

Infrastruktur Storage adalah komponen yang terdiri dari host, network/jaringan, dan storage yang saling terhubung menyediakan fasilitas storage/penyimpanan bagi user/pengguna dan aplikasi.

Terdapat dua jenis arsitektur storage, yaitu: direct/langsung, dan sharing (shared), sebagaimana gambar berikut ini:

                                                                                                    Storage langsung

shared-storage-page-0001-60a230a4d541df4b76644d72.jpeg

                                                                                                   Storage berbagi (shared storage)

Secara umum, audit storage, terbagi atas:

• Audit general storage (umum)
• Audit security storage (keamanan storage)
• Audit compliance storage (kepatuhan)

dengan penjelasan sebagai berikut:

• Audit general storage (umum)

Audit general storage melihat sistem storage secara keseluruhan dari sudut pandang efisiensi, keamanan, dan efektivitas biaya.

Audit general storage ditujukan untuk menemukan cara mendapatkan lebih banyak manfaat dari penyimpanan yang ada dan cara mengembangkan arsitektur storage dengan cara yang paling efektif.

Audit ini melihat seberapa baik penyimpanan storage saat ini dan di masa depan. Area tipikal termasuk pemanfaatan penyimpanan, manajemen kapasitas penyimpanan, pertumbuhan penyimpanan dan efektivitas biaya.

• Audit security storage (keamanan storage)

Audit security storage berfokus pada keamanan data, dengan melihat seluruh sistem penyimpanan, dari perangkat keras, arsitektur hingga kebijakan dan prosedur, untuk mengidentifikasi kelemahan yang dapat digunakan untuk menembus sistem.

Seperti audit umum, audit keamanan penyimpanan biasanya akan memiliki cakupan yang terbatas. Misalnya, pemeriksaan sistem cadangan (backup) dan rencana pemulihan bencana (recovery disaster).

Audit security storage memeriksa operasi berdasarkan praktik terbaik untuk memaksimalkan perlindungan terhadap pencurian informasi dan bentuk kehilangan data lainnya.

Idealnya, audit keamanan penyimpanan harus memastikan organisasi memahami eksposur keamanannya dan merekomendasikan tindakan korektif yang memungkinkan.

• Audit compliance storage (kepatuhan)

Audit compliance storage adalah jenis audit keamanan penyimpanan khusus yang dirancang untuk memeriksa penyimpanan terhadap persyaratan hukum dan peraturan.

Audit kepatuhan digunakan oleh perusahaan dan organisasi publik yang tunduk pada peraturan lain yang berkaitan dengan perlindungan dan pelestarian jenis informasi tertentu.

Audit compliance storage memeriksa penyimpanan dan praktik organisasi terhadap persyaratan hukum, seperti Undang-Undang Informasi dan Transaksi Elektronik, Sistem Pemerintahan Berbasis Elektronik, dan peraturan lain yang mungkin harus diikuti oleh organisasi. Sama pentingnya, audit kepatuhan membantu mendokumentasikan kepatuhan organisasi terhadap persyaratan. Biasanya lebih terbatas daripada jenis audit lainnya.

Semua jenis audit storage akan memberi organisasi inventaris terbaru dari storage dan sumber daya terkait, serta peta cara penerapannya.

Proses audit umumnya dimulai dengan entry meeting untuk mendefinisikan secara tepat ruang lingkup audit dan mengumpulkan informasi yang ada di dalam organisasi.

Biasanya, auditor akan tertarik dengan kebijakan dan prosedur yang ada, serta tujuan strategis dan rencana bisnis. Langkah selanjutnya biasanya meninjau dokumentasi tentang sistem penyimpanan/storage dan cara penggunaannya. Audit akan mencakup inventaris lengkap sumber daya penyimpanan dan tingkat penggunaan, serta pemeriksaan bagaimana kebijakan dan prosedur diterapkan.

Produk akhir akan berupa laporan yang biasanya disajikan pada rapat atau rapat dengan tingkat manajemen yang sesuai. Laporan auditor harus menunjukkan kekuatan dan kelemahan organisasi penyimpanan/storage dan merekomendasikan perbaikan.

Bagi administrator storage salah satu hasil penting dari audit storage adalah mengidentifikasi area di mana organisasi dapat menghemat biaya melalui konsolidasi penyimpanan atau cara lain. Rekomendasi biasanya didasarkan pada praktik terbaik industri (best practices) dan biasanya juga menawarkan metode untuk meningkatkan kinerja.

Berikut ini adalah beberapa tahapan audit storage, antara lain:

A. Pengaturan dan Pengendalian Umum

• Dokumentasikan arsitektur manajemen storage secara keseluruhan, termasuk perangkat keras dan infrastruktur jaringan pendukung.

Tim yang bertanggung jawab untuk mengelola penyimpanan harus memelihara dokumentasi yang menggambarkan arsitektur penyimpanan dan bagaimana penyimpanan berinteraksi dengan lingkungan lainnya.

Informasi ini harus mencakup data yang mencakup sistem yang didukung dan infrastruktur jaringan yang menghubungkan. Informasi ini akan digunakan oleh auditor untuk membantu menafsirkan hasil dari langkah audit selanjutnya.

Dapatkan versi perangkat lunak dan bandingkan dengan persyaratan kebijakan.

• Tinjau versi perangkat lunak untuk memastikan bahwa host sesuai dengan kebijakan. Perangkat lunak yang lebih lama mungkin memiliki masalah keandalan, kinerja, atau keamanan dan meningkatkan kesulitan dalam mengelola platform storage/penyimpanan. Selain itu, versi perangkat lunak yang berbeda dapat meningkatkan cakupan tanggung jawab administrator saat ia mencoba untuk mempertahankan kontrol atas versi berbeda yang berjalan di platform penyimpanan/storage.

• Verifikasi bahwa kebijakan dan prosedur tersedia untuk mengidentifikasi kapan patch tersedia dan untuk mengevaluasi serta menerapkan patch yang berlaku. Pastikan bahwa semua patch yang disetujui dipasang sesuai dengan kebijakan organisasi.

Sebagian besar vendor storage memiliki rilis patch yang dijadwalkan secara rutin. Auditor perlu bersiap untuk rilis terjadwal sehingga dapat merencanakan dengan tepat untuk pengujian dan penginstalan patch. Jika semua patch tidak diinstal, kerentanan keamanan yang diketahui secara luas atau masalah kinerja kritis mungkin ada.

• Tentukan layanan dan fitur apa yang diaktifkan pada sistem dan validasi kebutuhannya dengan administrator sistem.

Layanan dan fitur yang tidak diperlukan meningkatkan risiko terpapar kesalahan konfigurasi, kerentanan, dan masalah kinerja serta mempersulit upaya pemecahan masalah.

B. Manajemen Akun

• Tinjau dan evaluasi prosedur untuk membuat akun administratif dan memastikan bahwa akun dibuat hanya jika ada kebutuhan bisnis yang sah. Juga tinjau dan evaluasi proses untuk memastikan bahwa akun dihapus atau dinonaktifkan secara tepat waktu jika terjadi pemutusan hubungan kerja atau perubahan pekerjaan.

Kontrol yang efektif harus mengatur pembuatan dan penghapusan akun. Kontrol yang tidak tepat atau kurang dapat mengakibatkan akses yang tidak perlu ke sumber daya sistem, menempatkan integritas dan ketersediaan data sensitif dalam risiko.

• Evaluasi proses dan kebijakan yang digunakan untuk memberikan dan mencabut akses ke penyimpanan.
• Kebijakan tertulis harus mengatur proses yang digunakan untuk membuat alokasi penyimpanan baru, termasuk proses persetujuan dan prosedur untuk menyiapkan area kerja baru dan pengguna yang harus memiliki akses ke alokasi penyimpanan baru. Kebijakan atau prosedur juga harus ada untuk "membersihkan" atau menghilangkan hak yang tidak lagi diperlukan saat proyek selesai. Kegagalan untuk mengelola alokasi penyimpanan dapat meningkatkan kapasitas penyimpanan yang tidak perlu, dan kegagalan untuk mengatur manajemen hak dapat memungkinkan pengguna yang seharusnya tidak lagi memiliki akses ke penyimpanan untuk mempertahankan tingkat akses yang tidak sesuai.

C. Manajemen Storage

• Evaluasi bagaimana kapasitas dikelola untuk lingkungan penyimpanan untuk mendukung persyaratan bisnis yang ada dan diantisipasi.

Persyaratan teknis dan bisnis untuk penyimpanan dapat berubah dengan cepat dan sering, didorong oleh perubahan infrastruktur, hubungan bisnis, kebutuhan pelanggan, dan persyaratan peraturan.

Infrastruktur storage yang tidak memadai menempatkan bisnis pada risiko kehilangan data penting dan dapat menghalangi fungsi bisnis penting yang membutuhkan lebih banyak penyimpanan.

• Evaluasi bagaimana kinerja dikelola dan dipantau untuk lingkungan penyimpanan guna mendukung persyaratan bisnis yang ada dan diantisipasi.

Kinerja penyimpanan didorong oleh beberapa faktor, termasuk media penyimpanan fisik, protokol komunikasi, jaringan, ukuran data, CPU, memori, arsitektur Redundant Array of Independent Disks (RAID), strategi tingkat data, dan sejumlah faktor lainnya.

Infrastruktur penyimpanan yang tidak memadai menempatkan bisnis pada risiko kehilangan data penting dan dapat menghalangi fungsi bisnis penting yang membutuhkan lebih banyak penyimpanan atau kinerja yang lebih baik.

• Evaluasi kebijakan, proses, dan kontrol untuk frekuensi backup data, penanganan, dan penyimpanan jarak jauh.

Proses dan kontrol harus memenuhi persyaratan kebijakan, mendukung Business Continuity / Disaster Recovery (BC / DR), dan melindungi informasi sensitif.

Pencadangan data menghadirkan tantangan yang monumental bagi organisasi, terutama jika menyangkut repositori data pusat dalam organisasi, yaitu database dan platform penyimpanan. Vendors menawarkan beberapa solusi untuk mengelola frekuensi, penanganan, dan penyimpanan jarak jauh data dan cadangan sistem. Campuran solusi yang diterapkan harus sesuai untuk memenuhi tujuan rencana BC / DR yang direncanakan.

D. Pengendalian Keamanan Tambahan Lainnya

• Verifikasi bahwa enkripsi data-at-rest diterapkan jika sesuai.

Enkripsi data-at-rest melibatkan enkripsi data saat disimpan. Langkah ini tidak sesuai untuk semua lingkungan dan dapat dicakup oleh kontrol atau aplikasi lain. Enkripsi data-at-rest lebih penting daripada bentuk enkripsi lain karena masa pakai data pada disk jauh lebih lama daripada masa pakai data di jaringan. Jika Anda melihat di mana data kemungkinan besar akan dicuri, data itu langsung dari penyimpanan saat tidak digunakan dan bukan saat melintasi jaringan.

• Verifikasi bahwa enkripsi jaringan data-in-motion diterapkan jika sesuai.

Persyaratan kebijakan mungkin memerlukan lalu lintas terenkripsi untuk aplikasi yang berisi informasi sensitif atau untuk mencadangkan penyimpanan ke lokasi lain. Enkripsi jaringan diimplementasikan karena dua alasan utama: untuk melindungi kredensial otentikasi saat mereka bergerak melintasi jaringan, dan untuk melindungi data aktual saat berpindah melalui jaringan.

Jaringan bukanlah lingkungan yang aman — alamat IP dapat dipalsukan, dan lalu lintas jaringan dapat dialihkan dan diketahui.

• Evaluasi pengendalian teknis tingkat terendah untuk memisahkan atau mem-firewall data yang sangat sensitif dari lingkungan penyimpanan lainnya.

Kontrol harus ada yang membatasi akses ke informasi sensitif seperti data pelaku usaha/pemegang kartu/carholders data (CHD), informasi identitas pribadi/personally identifiable information (PII), source code/kode sumber, dan jenis data kepemilikan lainnya, termasuk hak administratif ke host. Jika enkripsi digunakan, jelaskan di sini dan evaluasi penanganan password/kunci, termasuk pemberian dan pencabutan hak, password/kunci, dan sertifikat.

• Tinjau dan evaluasi prosedur administrator sistem untuk pemantauan keamanan.

Administrator penyimpanan harus secara teratur memantau lingkungan untuk perubahan dan juga meninjau lingkungan untuk kerentanan keamanan.

Program pemantauan yang buruk dapat menyebabkan insiden keamanan terjadi tanpa sepengetahuan administrator. Pemantauan secara aktif mengawasi masalah (deteksi) dan secara aktif mencarinya (menemukan dan mengurangi kerentanan).

• Pastikan bahwa kontrol fisik dan operasi yang sesuai tersedia untuk memberikan perlindungan dan ketersediaan sistem, antara lain:

• Persediaan aset

• Keamanan fisik

• Pengendalian lingkungan

• Perencanaan kapasitas

• Manajemen Perubahan

• Pemantauan sistem

• Proses backup

            • Perencanaan pemulihan bencana (disaster recovery)

Demikianlah, beberapa tahapan yang dapat dilakukan dalam melakukan audit sorage, sebagaimana gambar berikut ini:

tahapan-audit-storage-page-0001-60a234538ede483d2b18fcb2.jpeg

                                                                                                   Tahapan audit storage

Kesimpulan:

Audit Storage perlu dilakukan untuk perbaikan terhadap kinerja storage/penyimpanan suatu organisasi, baik yang menggunakan Direct Attached Storage, maupun Shared Storage. Dengan perbaikan pada sistem penyimpanan, dapat dilakukan efisiensi, penghematan biaya, dan keefektifan serta kepatuhan terhadap peraturan perundangan yang berlaku.

Daftar Pustaka

Budnik, Leroy , 2007. Preparing for a Storage Security Audit. Storage Networking Association Industry

Cook, Rick, 2007. What to expect from storage audit. TechTarget

Davis, Chris & Schiller, Mike, 2011. IT Auditing. Using Controls to Protect Information Asset. The McGraw-Hill Companies. Second Edition.