FORESEC
©
ACADEMY
FORESEC
FORESEC
ACADEMY
Physical Security Keamanan (Securiti) fisik, dalam dunia praktisi keamanan informasi, yaitu praktek memberikan perlindungan untuk teknologi informasi (TI) pada orang, proses, dan alat-alat melalui penerapan kontrol yang jelas. Keamanan fisik adalah yang paling penting dan paling sering diabaikan dari prinsip-prinsip yang mendasari keamanan informasi secara keseluruhan. Pada akhir bab ini, Anda harus memiliki pemahaman yang jauh lebih besar dari peran keamanan fisik dalam program keamanan informasi. Tindakan fisik selalu menjadi tindakan pertama yang diambil orang untuk melindungi aset mereka. Bahkan pada saat komputasi menjadi komponen substansial dari kalangan bisnis dan militer di tahun 1960-an dan 1970-an, aturan keamanan yang sama yang telah mendominasi selama ribuan tahun - fasilitas IT punya kunci dan pagar. The departemen "Corporate Security" muncul di bagan organisasi dan mengembangkan keterampilan secara eksklusif dalam kontrol keamanan fisik.
©
FORESEC
FORESEC
ACADEMY
Dalam lingkungan IT hari ini, departemen keamanan informasi dikembangkan oleh departemen IT dengan penekanan pada proyek-proyek keamanan jaringan dan sistem. Akibatnya, banyak spesialis informasi keamanan saat ini kurang informasi dari para pendahulu mereka tentang pilihan yang tersedia untuk perlindungan fisik dan lebih mengkhawatirkan lagi, menyadari kerentanan sistem fisik mereka. Keamanan perusahaan dan keamanan informasi harus membangun aliansi untuk memastikan perlindungan terhadap aset teknologi perusahaan. Sistem informasi jaringan sering direpresentasikan dalam sebuah struktur yang disebut model interkoneksi sistem terbuka (Open Systems Interconnect / OSI). Model OSI membangun sebuah representasi dari sistem informasi berbasis pada tujuh lapisan. Lapisan pertama, lapisan di mana enam lainnya juga tergantung, adalah lapisan fisik. Model keamanan informasi sering berurusan langsung dengan hubungan keamanan antara setiap lapisan dan logika kontrol dan protokol yang beroperasi pada setiap tingkat untuk menjamin keamanan dipelihara di seluruh transaksi. Yang paling sering diabaikan adalah kenyataan bahwa kontrol ini didasarkan pada satu premis dasar: lapisan fisik lingkungan yang aman. Mari kita lihat beberapa contoh tentang bagaimana asumsi ini dapat membawa kita ke suatu kesimpulan yang salah bahwa sistem kami aman. Perhatikan tiga contoh berurusan dengan password, enkripsi dan redundansi, yang menyoroti bagaimana umumnya cek keamanan informasi yang dapat dipercaya dapat dibuat tidak efektif oleh kompromi keamanan fisik.
©
FORESEC
FORESEC
ACADEMY
Woman Kidnapped, Forced to Cooperate in Computer Equipment Theft (12 wanita diculik dipaksa untuk bekerja sama dalam pencurian peralatan komputer
)
Seorang wanita Inggris diculik dari rumahnya, dibawa ke warehouse tempatnya bekerja dan dipaksa untuk membantu para penculiknya mencuri hampir $ 800.000 dalam bentuk peralatan komputer. Para pencuri memaksanya menyerahkan kunci dan kode akses ke gudang yang digunakan untuk menyimpan peralatan komputer. Para pencuri membawa kabur laptop komputer Compaq dan monitor layar datar Compaq, serta meninggalkan wanita di belakang, terluka. Dalam kasus ini, kurangnya keamanan fisik ternyata berakibat mahal pada perusahaan korban. Orang yang diculik adalah CFO perusahaan dan memiliki akses penuh ke fisik barang disimpan di perusahaannya, dimana tidak ada tindakan perlindungan di tempat lain untuk mencegah pencurian properti. Hal ini dapat disimpulkan dari Pasal kurangnya peralatan pemantauan, yang juga akan memberitahu pihak berwenang pada kejahatan yang sedang berlangsung.
Passwords Sistem sering dilindungi oleh password, token securiti, dan metode lainnya. Sebuah password sistem operasi melindungi sistem dengan menolak akses ke data pada server sampai sistem operasi telah memverifikasi bahwa pengguna ter-otentikasi dan otorisasi dalam database user-nya. Namun, banyak sistem berbasis password dapat dikompromikan jika seseorang mendapat akses fisik ke workstation atau server, seperti melalui penggunaan boot disk - sebuah sistem operasi sederhana yang terkandung dalam sebuah disket. Karena kebanyakan sistem masih dikonfigurasi untuk memeriksa drive disket sebelum hard drive lokal (untuk kenyamanan memecahkan masalah), cukup dengan memasukkan disk boot dan restart sistem akan memberikan penyerang sesi dengan sistem operasi, yang memiliki tingkat account administrator. Dengan akses ini, penyerang dapat memulihkan informasi yang dienkripsi dalam sistem Selain itu, dengan diberikan kesempatan untuk menghapus instalasi server, penyusup dapat melakukan sejumlah serangan pada server yang dicuri untuk mengambil semua informasi yang berada pada disk
Encryption Dalam lingkungan yang aman dengan enkripsi pada hard drive, enkripsi adalah kontrol yang digunakan untuk memastikan bahwa hanya membaca hard drive tidak cukup untuk memahami data mereka. Teknik ini efektif untuk mengacak data pada hard disk dan membutuhkan passphrase (lewat susunan kata-kata) untuk dimasukkan sebelum data dapat didekripsi. Teknik ini akan efektif mencegah keberhasilan penggunaan boot disk untuk membaca data karena sistem operasi baru tidak akan mengandung unsur-unsur yang diperlukan untuk mendekripsi data Keamanan fisik masih diperlukan, sebagian untuk melindungi dari perangkat seperti keycatcher. Keycatcher adalah adaptor kecil (dua inci) yang cocok ke kabel PS / 2 keyboard standar, antara CPU dan keyboard. Alat ini hampir tidak bisa dibedakan dari kabel keyboard normal, dan beberapa pengguna memeriksa sambungan di bagian belakang komputer dalam keadaan normal. Dengan akses fisik ke komputer pengguna selama 30 detik, penyerang bisa menyisipkan perangkat seperti keycatcher. Perangkat akan mencatat setiap keystroke user, sampai batas memori saat ini sekitar 8 MB. Dengan infiltrasi kedua, perangkat dengan mudah dapat diambil. Setelah pulih, perangkat dapat menampilkan semua penekanan tombol yang digunakan, termasuk username, password, dan passphrase enkripsi. Dengan demikian, kontrol enkripsi secara teknis tidak lagi efektif, dan kompromi keamanan fisik merupakan penyebabnya.
©
FORESEC
FORESEC
ACADEMY
Redundancy Untuk menghindari kehilangan data melalui kegagalan perangkat keras, data penting sering dikelola dengan teknik penyimpanan seperti RAID-5. Dalam skema ini, data tersebar di disk dengan cara yang memungkinkan rekonstruksi sebuah disk gagal dari informasi yang disimpan pada disk yang tersisa. Bergantian, untuk redundansi yang lebih canggih, beberapa server dapat digunakan. Setiap teknik di mana semua komponen berlebihan, apakah disk atau server, yang terletak bersamasama dapat ditangani dengan mudah oleh penyabot yang hanya memiliki akses fisik ke pusat data. Meskipun upaya logis terbaik dalam redundansi, pencurian fisik server secara efektif akan mengakhiri ketersediaan data yang memadai. Langkah-langkah keamanan fisik harus diletakkan di tempat untuk melindungi dari jenis kompromi baru saja kita periksa. Tindakan tersebut diperlukan untuk memberikan jaminan bahwa lapisan fisik sistem dan jaringan kami sangat aman. Sekarang kita beralih perhatian kita kepada hubungan antara keamanan fisik dan logika keamanan dan bagaimana program keamanan fisik dapat membantu kita mencapai tujuan kita pada keamanan global. Selain integritas, kerahasiaan dan ketersediaan, bidang keamanan fisik mencakup tujuan tambahan di samping tradisi CIA (Confidentiality, Integrity, and Availability) keamanan informasi yaitu : keamanan.
Safety Keselamatan yaitu kebutuhan untuk memastikan bahwa orang yang terlibat dengan perusahaan - termasuk karyawan, pelanggan dan pengunjung - dilindungi dari bahaya. Umumnya, keselamatan adalah prioritas utama sebagai pelaksanakan langkah-langkah keamanan fisik, dan banyak praktisi keamanan informasi yang akan mempertimbangkan keselamatan menjadi prioritas utama untuk lingkungan perusahaan mereka. Dengan perkecualian yang langka adalah di Dinas militer atau Rahasia, di mana seorang individu dapat terluka untuk melindungi seseorang atau dalam suatu instalasi fisik yang tak terlihat di mana orang hanya di dalam fasilitas ini seharusnya diasumsikan striker karena tidak ada "personil yang berwenang" Sebelum masuk ke dalam analisis ancaman keamanan dan kontrol, mari kita segera meninjau kontrol keselamatan yang paling komprehensif - evakuasi - karena sangat penting untuk keselamatan personil.
©
FORESEC
FORESEC
ACADEMY
Safety First The need to ensure personnel safety will in many cases require accepting weaknesses in other objectives. Let's look at two examples where safety concerns take precedence over other physical security priorities. Example 1: During a building evacuation, employees will be exiting the building rapidly. Doors may be propped open to facilitate escape. During this scenario, employees would NOT be expected to stand at a reception desk to ensure unauthorized personnel do not access the employee-only areas. Example 2: When a fire is detected, automatic sprinklers may deploy to prevent the fire from spreading. This deployment, while protecting the safety of personnel, easily could damage assets required to maintain business function. Employees would not be required or have the time to place all important documents into waterproof containers before the sprinklers would deploy!
Evacuation Evakuasi telah menyelamatkan ribuan nyawa dalam insiden mulai dari kebakaran bangunan kecil hingga daerah bencana besar. Untuk hampir semua ancaman personel keamanan dan fasilitas evakuasi harus efektif. Selain itu, untuk daerah bencana, evakuasi personil merupakan langkah pertama yang penting bagi keluarga untuk berkumpul kembali dan melarikan diri ke daerah lain. Prosedur evakuasi harus disiapkan dan dipraktekkan. Koordinasi dengan Sumber Daya Manusia, Business Continuity dan Disaster Recovery Planning, dan manajemen eksekutif harus diuji dan diperbaiki. Setiap prosedur evakuasi harus mencakup rute evakuasi dan titik pertemuan (meeting points). Setiap prosedur harus jelas menunjukkan rute dari lokasi saat ini ke pintu keluar terdekat, untuk pintu keluar kedua, dan salinannya harus diberikan dan dibawa oleh individu pengungsi. Prosedur ini harus mencakup instruksi untuk teknik keselamatan, seperti tiara di lantai jika ada asap, pengujian pintu untuk panas sebelum dibuka, dan menghitung pintu-pintu untuk menemukan pintu keluar darurat.
©
FORESEC
FORESEC
ACADEMY
Meeting Point Setiap prosedur harus mengidentifikasi titik pertemuan khusus untuk mengevakuasi personil dari fasilitas tersebut. Titik pertemuan harus mudah dijangkau dengan berjalan kaki dari masingmasing lokasi. Tanda-tanda sederhana dari "Titik Pertemuan A", misalnya harus terlihat jelas untuk memanggil karyawan.
Posting Prosedur harus diposting secara bebas di seluruh area kerja, jangan lupa daerah tambahan seperti ruang berhenti, ruang istirahat dan lobi. Tanda signal harus secara jelas ditandai dan dicetak dengan kontras tinggi, dengan ukuran font yang besar. Penggunaan warna merah sangat dianjurkan karena warna ini berhubungan dengan prosedur darurat - dengan pengecualian bahwa teks tidak harus diwarnai dengan cara yang sulit untuk dibedakan bagi individu dengan buta warna merahhijau.
Practice Evakuasi harus dilakukan secara berkala untuk memastikan bahwa karyawan dapat melakukan prosedur keadaan darurat yang sebenarnya. Karyawan harus diminta untuk mengambil latihan ini secara serius dan harus dikenakan tindakan disiplin jika mereka mengabaikan peringatan atau instruksi dari staf manajemen pelatihan. Sekali pengujian karyawan telah menunjukkan bahwa karyawan dapat keluar dari gedung secara teratur dan dalam jangka waktu yang direkomendasikan untuk fasilitas tersebut, organisasi dapat mempertimbangkan untuk melakukan latihan dengan tim layanan darurat. Latihan ini, sering dilakukan oleh layanan darurat untuk praktek mereka, yang menerima relawan dari perusahaan lokal.
Roles Pemimpin titik pertemuan (Meeting Point ) bertanggung jawab untuk menemukan titik awal pertemuan dan proses menghitung semua karyawan. Pemimpin Titik Pertemuan harus berusaha untuk menjadi "keluar pertama" untuk memulai proses secepat mungkin. Pemimpin Titik Pertemuan sering kali individu-individu seperti manajer personalia, orang yang paling mungkin mengetahui karyawan yang berada di kantor. Setelah Petugas Keselamatan tiba, yang kedua harus
©
FORESEC
FORESEC
ACADEMY
diputuskan siapa di antara para karyawan yang belum dihitung sehingga informasi dapat diberikan ke Layanan Darurat. Petugas Keselamatan bertanggung jawab untuk memeriksa bahwa setiap individu dalam wilayahnya sudah mulai dievakuasi. Dia harus memeriksa tempat bagi karyawan yang membutuhkan bantuan atau tidak mendengar / melihat alarm. Setelah area jelas, dia mengevakuasi gedung. Petugas Keselamatan biasanya keluar yang terakhir, dan sering adalah kepala perusahaan atau petugas eksekutif. Akhirnya, jika tidak memenuhi peran sebagai Pemimpin Titik Pertemuan atau Pengawas Keselamatan, karyawan memiliki tanggung jawab untuk mengevakuasi secepat dan seaman mungkin. Karyawan akan segera mengikuti instruksi Petugas Keselamatan dan lapor ke Pemimpin Titik Pertemuan segera setelah dievakuasi dari gedung. Setiap karyawan harus tahu bagaimana bereaksi dalam semua peran dan harus tahu secara default siapa yang memegang masing-masing peran. Selama latihan, karyawan yang berbeda akan memiliki pelatihan silang (bergantian) dengan peran masing-masing.
Evacuation of 750,000 During Hurricane Andrew, which hit Southern Florida in August 1992, hurricane watches and warnings allowed emergency services to issue a voluntary, then mandatory, evacuation order. Eventually, more than 750,000 individuals were evacuated out of harm's way. This notification and evacuation is considered the primary reason for the remarkably low number of injuries and fatalities during and immediately after the storm.
Threats to Safety Sekarang kita melihat pada kontrol yang lebih penting – evakuasi - kita akan melihat ancaman terhadap keamanan dan kontrol khusus untuk menhadapi setiap ancaman. Ancaman terhadap keselamatan personil ada beberapa kategori • Smoke & Fire • Toxins • Water/Flood
©
FORESEC
FORESEC • • • •
ACADEMY
Temperature Extremes Structural Failures Power Loss External bomb threat, civil unrest
Smoke & Fire Asap dan api adalah salah satu ancaman yang paling sering terjadi pada keselamatan staf. Api terjadi ketika bahan bakar yang mudah terbakar dari jenis apa pun yang menyala, biasanya dengan menggunakan suhu tinggi dan terbakar dengan oksigen. Untungnya, banyak perangkat untuk mendeteksi ancaman api, terutama detektor asap dan sensor panas, dan banyak perangkat untuk memadamkan api yang sudah menyala, terutama alat pemadam kebakaran, sistem sprinkler dan sistem pemadam kebakaran halon untuk api. Ada berbagai cara untuk detektor asap mengidentifikasi keberadaan partikel yang menunjukkan bahwa api mungkin sudah mulai. Sensor optik termasuk sinar dan pelat deteksi. Jika partikel asap masuk ke detektor dan mengaburkan cahaya, detektor akan waspada. Detektor asap lain bekerja dengan mendeteksi keberadaan partikel terionisasi dalam asap udara. Sensor panas, termometer biasanya bekerja dengan menentukan kenaikan suhu di atas ambang standar yang dapat diterima. Sensor ini biasanya cukup kecil dan murah. Mereka dapat diterapkan dengan mudah, bahkan untuk fasilitas yang ada, untuk memancarkan sinyal yang bisa terdengar atau terlihat. Perangkat yang lebih canggih yang SNMP-mampu dan dapat mengirim peringatan ke konsol dari jaringan atau fasilitas stasiun pemantauan untuk mengingatkan operator remote konsol. Setiap unit dapat dengan mudah diuji dengan sumber asap kecil atau pemanas.
The Effects of Smoke in Computer Rooms Dalam kasus kebakaran di ruang komputer, perhatian harus ditujukan pada peralatan komputer sebelum kembali dioperasikan. Kipas pada peralatan komputer secara alami akan menarik partikel debu dan jelaga dari api, mendistribusikannya diatas motherboard dan komponenkomponen komputer. Dikombinasikan dengan air yang dikumpulkan dari peralatan sprinkler atau pemadaman api, menghidupkan komputer dapat menyebabkan elektrik arus pendek atau gagal.
©
FORESEC
FORESEC
ACADEMY
Pemulihan kembali alat elektronik mengikuti perekomendasikan bahwa pelanggan mereka melakukan apa pun kecuali panggilan pada perusahaan pemulihan bencana untuk menilai kerusakan. Bahkan dengan niat baik, berusaha untuk membersihkan peralatan di sekitarnya atau fasilitas, termasuk dinding, plafon, rak komputer mungkin akan membuat masalah lebih buruk. Sebuah perusahaan yang berpengalaman akan segel pemulihan bencana dan melokalisasi kerusakan untuk mencegah bahan-bahan dari udara mempengaruhi peralatan lainnya yang akan memperluas kerusakan, sebelum memulai membersihkan dengan hati-hati dan proses penghapusan
Suppression Setelah api terdeteksi, bagaimanapun, dan dapat dimatikan oleh sistem atau perangkat portabel yang tetap. Berbagai bahan kimia yang tersedia dalam bentuk alat pemadam kebakaran portabel. Jenis portabel biasanya cukup untuk satu atau lebih dari ketiga jenis kebakaran: • A: material mudah terbakar seperti kayu dan kertas • B: cairan mudah terbakar seperti minyak bumi dan beberapa pelarut • C: kabel dan peralatan listrik Pemadam kebakaran menggunakan konvensi yang berlaku umum untuk setiap jenis daftar api yang dapat diatasi. Label atau piktogram biasanya ditandai, yang menunjukkan jenis pemadam. Label untuk alat pemadam kebakaran untuk menggunakan segitiga untuk jenis "A", persegi untuk tipe "B", dan lingkaran untuk tipe "C". Berbagai piktogram menggambarkan tipe bahan bakar dalam tiap jenis api: kertas atau kayu untuk tipe "A", bensin untuk tipe "B", dan listrik untuk tipe "C". Selain itu, konvensi baru dengan pelabelan pemadam dengan garis merah pada jenis pemadam kebakaran dianggap tidak efektif. Sebelum alat pemadam portabel dapat dicapai untuk memadamkan ancaman, sistem permanen, seperti sistem sprinkler atau sistem halon gas, mungkin mulai memadamkan api. Sprinklers umumnya terdiri dari jaringan pipa yang mengandung penekan api, seperti air atau bahan kimia penekan. Sistem sprinkler memerlukan perubahan instalasi dan infrastruktur, seperti pipa tambahan dan palang dukungan. Selain itu, sprinklers bisa sulit untuk diuji sejak penyebaran sprinklers yang biasanya menyebabkan beberapa kerusakan. Oleh karena itu, beberapa sistem menggunakan mekanisme pipa-kering untuk memungkinkan pra-aktivasi. Mekanisme Pipa-kering termasuk biaya penekan api di atas kepala sprinkler, tapi sisa sistem diisi dengan debit awal. Selain itu, setiap sprinkler menanggapi seacra individual, karena itu, hanya daerah di mana asap atau kebakaran yang terdeteksi akan mendatangkan malapetaka dari aktivasi sprinkler. Sistem sprinkler harus diperiksa triwulanan untuk kebocoran, yang menimbulkan risiko baik dalam bagian tak terduga dari bahan kimia maupun kurangnya penekan-penekan dalam sistem ini yang diaktifkan. Meskipun demikian bahan kimia tidak hanya digunakan dalam sistem pipa kering. Banyak ruang komputer dilindungi secara built-in sistem pencegah kebakaran halon. Sistem ini bekerja dengan mengisi area dengan halon, yang secara efektif ‘mencekik’ api dengan menghilangkan oksigen dari atmosfer. Namun, penghilangan oksigen ini berbahaya bagi personel manusia, sehingga penyebaran halon harus didahului dengan evakuasi personil dari daerah tersebut. Halon tidak beracun untuk personil, tetapi karena pengurangan oksigen, menyajikan ancaman sesak napas dalam konsentrasi lebih dari beberapa persen. Kebanyakan fasilitas dengan sistem pencekikan halon menggunakan saklar aktivasi tunggal - "tombol merah besar" - yang dapat digunakan untuk mengaktifkan sistem oleh karyawan terakhir yang mengevakuasi daerah tersebut. Namun, halon diyakini menjadi faktor dalam penipisan lapisan ozon. Karena pertimbangan lingkungan, penggunaan halon secara signifikan dibatasi oleh Protokol Montreal pada tahun 1987, yang berisi daftar faktor penipisan ozon untuk berbagai chlorofluorocarbon dan Halons.
©
FORESEC
FORESEC
ACADEMY
Halon-1211 secara signifikan kurang merusak daripada Halon-1301. Mengacu pada the Montreal Protocol, sistem halon juga memerlukan pengisiian atau diisi ulang yang harus diisikan oleh daur ulang bank-halon.
Storage Protection Selain kontrol deteksi dan pemadaman kebakaran, lingkungan TI harus mencakup penyimpanan yang dilindungi dari api, seperti lemari besi kaset atau lemari besi dokumen. Bahan penting dan catatan harus disimpan dalam lemari besi jika tidak digunakan. Beberapa standar digunakan untuk mengevaluasi rating proteksi kebakaran yang disediakan oleh standar lemari besi tahan api. Yang paling umum adalah Underwriters Laboratories Inc (UL) rating. UL adalah independen, tidak untuk keuntungan produk-pengujian keamanan dan organisasi sertifikasi. Produk telah lulus pengujian UL diizinkan untuk menggunakan tanda UL. Peringkat UL untuk lemari besi tahan api harus bersertifikat, aman dan melindungi isi dan tidak pernah melebihi suhu yang dinilai atau "kelas" selama pengujian. Dua karakteristik peringkat yaitu - kelas, yang merupakan temperatur maksimum yang diijinkan di ruangan, dan Jangka Waktu, panjang waktu yang aman dimana harus melindungi isi ketika mengalami suhu sampai 2000 derajat Fahrenheit (F). Kelas 350 merupakan standar umum yang digunakan untuk lemari besi yang berisi "catatan" karena kertas mulai mengalami kerusakan akibat kebakaran sekitar 400 derajat Fahrenheit. Peringkat Kelas 350 meliputi : 4 jam, 2 jam, 1 jam, dan 1 / 2 jam. Kelas 150 dan Kelas 125 merupakan standar umum digunakan untuk lemari besi "data" karena media magnetik rusak pada temperatur yang lebih rendah daripada kertas. Kelas 150 meliputi nilai: 4 jam, 3 jam, 2 jam, 1 jam, dan 1 / 2 jam. Kelas umum meliputi 125 peringkat 1 jam dan 1 / 2 jam. Selain itu, peringkat untuk data lemari besi harus memastikan bahwa kelembaban di ruangan tidak pernah melebihi 85 persen. Underwriters Laboratories (UL) Testing Pengujian UL ketat dan meliputi tidak hanya menguji suhu, tetapi penyelidikan lain yang terkait dengan aspek konstruksi keselamatan. Sebagai contoh, uji dampak terdiri dari pemanasan yang aman untuk 1550 derajat Fahrenheit selama 30 menit, kemudian menjatuhkannya ke permukaan yang tidak teratur dari 30 kaki. Kemudian dibolak balik dan dipanaskan selama 30 menit. Untuk lulus, keselamatan harus menanggung semua tanpa mengekspos interior untuk suhu melebihi 350 derajat Fahrenheit. Tes ledakan terdiri dari pemanasan cepat alat keamanan menuju 2000 derajat Fahrenheit untuk memastikan bahwa suhu meningkat dengan cepat tapi tetap aman bertahan hidup tanpa meledak
©
FORESEC
FORESEC
ACADEMY
Toxins Racun yang menimbulkan ancaman bagi kesehatan dan keselamatan pada umumnya berada di udara. Contoh racun: Radon atau karbon monoksida dalam konsentrasi tinggi, asap, gas beracun, seperti yang pernah dirilis dalam sebuah kecelakaan industri, dan partikel udara, seperti ledakan gunung berapi. Organisasi perlindungan lingkungan PBB (www.uneptie.org) menyediakan daftar umum kecelakaan lingkungan yang dikumpulkan dari arsip mereka. Sumber ini adalah daftar kecelakaan beracun 1988-1997, selama setidaknya satu kecelakaan besar, terjadi setiap tahun. Ini termasuk insiden yang mendorong evakuasi lebih dari 100.000 warga sipil atau insiden yang menghasilkan cedera dalam jumlah besar. Sebuah kecelakaan industri pada tahun 1993 di Richmond, Virginia, AS, melukai lebih dari 6.000 warga sipil dalam hitungan jam. Ancaman racun udara dideteksi oleh detektor khusus yang diinstal maupun perhatian dari lembaga-lembaga luar. Detektor khusus biasanya hanya dilaksanakan di fasilitas diketahui yang berada pada risiko ancaman tertentu. Detektor ini sangat bervariasi dalam biaya, kemudahan pelaksanaan, dan kemudahan penggunaan. Fakta bahwa beberapa ancaman datang dari luar fasilitas menunjukkan kebutuhan untuk koneksi ke detektor eksternal. Manajemen krisis personil setempat dan asosiasi negara atau manajemen darurat lokal dapat menjadi sumber daya yang baik untuk mengetahui bagaimana sebuah perusahaan dapat waspada dalam hal keadaan darurat publik. Selain itu, perusahaan harus mengambil langkah-langkah untuk memastikan bahwa buletin darurat setempat diterima oleh personil.
©
FORESEC
FORESEC
ACADEMY
Radon is a common toxin that has affected many businesses. A naturally occurring radioactive gas, radon is the second highest contributor to lung cancer in the U.S., resulting in 1800 deaths per month. Radon levels are highest in North America and Europe, with the highest concentration levels in Canada and Northern Europe. Businesses in Ireland are faced with the option of installing expensive radon monitoring equipment, or face a law suit by the Radiological Protection Institute of Ireland (RPII). In 2001, the RPII ordered 3,000 companies to install and monitor the radon levels in businesses. Two years later, only 500 companies have complied with the order. As a result, the RPII is taking legal action against the remaining companies, prioritizing businesses that are located in areas with the highest radon levels. Testing in these areas has indicated that radon levels are much higher than what is considered safe for businesses, the level of which would cause 1 in 50 non-smokers to contract fatal lung cancer. Businesses that have ignored the demands of the RPII can expect law suits from employees, if they have been subjected to unsafe work environments despite the efforts of the RPII. Sources: “Environmental Radon Newsletter.” National Radiological Protection Board, http://www.nrpb.org/publications/newsletters/ environmental_radon/archive/1995/ern5.pdf. “Radiation Watchdog to Sue Employers Over High Radon Gas Levels." Irish Independent, July 7 2003.
“American Radon Scientists Call on EPA Administrator Whitman to Act Decisively - 1,800 Deaths a Month from Radiation Exposure." PR Newswire, May 12 2003.
Ancaman Toksin udara sulit untuk dinetralisir, dan sering satu-satunya pilihan adalah untuk menunggu sampai ancaman menghilang. Akibatnya, respons paling umum adalah untuk mengevakuasi personil untuk lokasi yang aman. Dalam instalasi di mana ancaman tertentu telah diidentifikasi, langkah-langkah reaktif yang unik, seperti topeng filtrasi atau lemari besi tertutup rapat sekali, bisa dikembangkan untuk mencoba mengurangi dampak. Ancaman racun udara menjadi jelas bagi banyak organisasi di Amerika Serikat sebelum serangan Anthrax. Beberapa organisasi menerima surat atau paket pada bulan September dan Oktober 2001, termasuk agen kimia Anthrax. Perusahaan ini dipaksa untuk mengungsi dan individu dikarantina untuk evaluasi medis. Serangan-serangan palsu juga dihasilkan, di mana beberapa orang ditangkap karena mengirimkan zat seperti Anthrax, bubuk putih melalui sistem pos di Amerika Serikat. Organisasi dapat, setiap saat, dipaksa untuk sepenuhnya mengevakuasi layanan dan tidak dapat masuk kembali sampai seluruh fasilitas dan seluruh staf diperiksa oleh jejak bakteri Anthrax yang mematikan. Dengan hanya satu sendok teh baking powder, orang jahat bisa menutup fasilitas di Amerika Serikat selama beberapa hari. Organisasi harus mengevaluasi cepat kebijakan keamanan mereka untuk menjamin keselamatan karyawan dan operasi bisnis yang berkesinambungan.
©
FORESEC
FORESEC
ACADEMY
Water/Flood Air di lingkungan dapat dideteksi oleh dua detektor untuk kelembaban permukaan dan detektor kelembaban untuk uap air. Detektor ini sangat penting dalam fasilitas dengan kabel dan konsumsi daya tinggi karena air mengalirkan listrik dan dapat menyebabkan kerusakan yang signifikan dalam hal sebuah sirkuit listrik pendek. Detektor air umumnya dipasang di bawah permukaan lantai, karena permukaan lantai kadang tidak terlihat, dan di daerah rawan banjir On April 13, 1992, the city of Chicago faced a daunting challenge when an abandoned underground tunnel system flooded with water from the Chicago River. Once used by the Illinois Tunnel Company for underground transit of materials throughout the city, the 60-mile tunnel system was home to telephone switching equipment, copper, fiberoptic cabling systems, cable television feeds, and electrical and gas distribution systems. At its peak, water rushed into the abandoned tunnel system at a rate of 250 gallons a second. Without power or telephones for emergency management systems, businesses that were located in the path of the tunnel system had to quickly evaluate the threats to their physical security. The Chicago Board of Trade was one company that quickly put its disaster recovery plan into effect. Evaluating the threat to personnel was their first priority, which prompted the safe evacuation of all employees. Without the availability of telephone services, emergency response staff re-routed emergency support lines to a cellular telephone network to maintain a channel of communication throughout the disaster. Offsite facilities were activated after communication channels were secured, with the most recent backups for critical business applications. The most damaging effect of the disaster was the lack of power to facilities for several weeks. Without lighting or the ability to pump water out of flooded facilities, many businesses that were unprepared for such an attack were forced to shutdown until the city utility service was restored. References:
©
“The Chicago Tunnel Flood," http://www.toad.net/~le0p0ld/tae.html,
FORESEC
FORESEC
ACADEMY
September 17 2003. “Underground Flood Hits Chicagoís Loop, Shutting Down Businesses for Weeks," Disaster Recovery Journal, http://www.drj.com/special/chicago.html, September 17 2003. Seperti dengan ancaman udara, tetap berhubungan dengan komunitas ancaman potensial maupun peringatan National Weather Service adalah penting untuk memastikan supaya hal ini tidak menunjukkan sebuah perusahaan kurang dipersiapkan. Untuk membantu organisasi mengidentifikasi ancaman ini, Komisi Komunikasi Federal telah membentuk Emergency Alert System (EAS) untuk segera mengirimkan informasi darurat yang penting untuk daerah tertentu dari negara. Pola cuaca yang buruk akan ditangani melalui Layanan Cuaca Nasional, melalui Pusat Prediksi Iklim, yang menawarkan analisis ancaman harian dan mingguan berdasarkan wilayah geografis yang berbeda di AS Peringatan ancaman cuaca saat ini tersedia di berikut http://www.cpc.noaa.gov/products/predictions/threats/ threats.html Analisis ancaman cuaca mingguan tersedia di http://www.cpc.noaa.gov/products/predictions/threats/ Untuk informasi lebih lanjut tentang Alert System Darurat dan Dinas Cuaca Nasional, kunjungi http://www.weather.gov/. Air dan ancaman banjir dapat diperbaiki dengan menerapkan pompa lambung kapal, yang membuang air dari daerah yang dilindungi. Pompa ini sering ditaruh di ruang bawah tanah gedung dan dapat diaktifkan secara otomatis ketika dihasilkan alarm tingkat air. Pompa ini harus memiliki kapasitas yang diindikasikan secara jelas dan harus mampu mendorong jumlah tertentu air per jam. Pembangunan daerah harus mencakup rencana drainase yang benar yang akan memungkinkan kelebihan air dialirkan ke daerah kritis yang kehabisan air. Tidak ada pompa atau penguras lambung kapal, namun, mungkin untuk mencegah kerusakan dari banjir atau gelombang pasang. Seperti dengan ancaman lainnya, jika tingkat air meningkat terlalu ektrim bagi pompa untuk mengakomodasinya, maka evakuasi adalah ukuran yang tepat untuk melindungi personil.
©
FORESEC
FORESEC
ACADEMY
Temperature Extremes and Air Quality Suhu ekstrem adalah ancaman kepada personil di lingkungan di mana wilayah geografis atau lingkungan kebutuhan bisnis cenderung terlalu dingin atau panas. Suhu ekstrim dideteksi dengan mudah oleh kontrol berbasis termometer. Termometer mudah tersedia dan dapat diperoleh dan dipasang dengan pengeluaran yang minimal. Seperti asap dan sensor api, mereka dapat memancarkan sinyal yang dapat didengar atau dilihat dan dapat mampu SNMP. Alat pemanas biasanya di tempatkan dalam lingkungan di mana suhu luar sering lebih dari 10 derajat di bawah tingkat kenyamanan operator atau parameter sistem operasi. Dalam kasus pemanas utama gagal, pemanas sekunder diimplementasikan. Biaya redundansi biasanya tidak mahal dan biasanya sangat mudah dioperasikan sehingga tidak memerlukan pelaksanaan otomatis. Meskipun suhu mungkin drop beberapa derajat sebelum mesin komputer dipengaruhi, suhu rendah sering menyebabkan ketidaknyamanan operator yang signifikan. Bila suhu sering lebih dari 10 derajat lebih tinggi dari tingkat kenyamanan atau parameter sistem, AC diimplementasikan. Sama seperti kegagalan pemanasan, AC sekunder adalah solusi sederhana untuk ancaman ini. Komputer umumnya toleran terhadap suhu operasi yang tinggi, dan banyak sistem memiliki kipas internal untuk menghindari shutoffs overheating dan otomatis memaksa sistem untuk berhenti jika suhu melebihi yang ditetapkan.
Produsen peralatan akan sering memberikan metrik yang mendefinisikan operasi yang dapat diterima dan suhu penyimpanan untuk peralatan komputer. Rekomendasi ini harus dipertimbangkan dengan cermat, karena kegagalan untuk menjaga suhu operasi yang diperlukan dapat membatalkan garansi peralatan.
Selain suhu ekstrim, kelembaban harus diperhitungkan. Kelembaban yang tidak memadai
©
FORESEC
FORESEC
ACADEMY
akan menyebabkan kemungkinan peningkatan listrik statis, yang dapat merusak komponen. Kelembaban yang tinggi meningkatkan kuantitas kondensasi air di komponen komputer, meningkatkan kesempatan korosi. Kelembaban diukur dengan hydrometer, yang dapat mengingatkan pada kelembaban di luar rentang operasi yang dapat diterima. Bahan hidrofilik bisa terkena udara lembab untuk memindahkan uap air dan dengan demikian menurunkan kelembaban. Uap air dapat dipindahkan ke udara kering menggunakan sistem ventilasi. Ventilasi di fasilitas TI harus dipantau untuk memastikan bahwa mereka mempertahankan kualitas udara yang memadai. Tingkat partikulat harus dipantau karena tingkat tinggi dari partikel menimbulkan risiko terhadap sistem dan staf. Tingkat yang dapat diterima partikel, berdasarkan Badan Nasional Kualitas Lingkungan Udara diatur sesuai dengan dua ukuran dari partikel terhirup pernafasan.
Perlindungan Di daerah dimana tingkat partikulat biasanya tinggi, printer, yang sering menghasilkan sejumlah besar partikel karena kertas dan toner, harus dipisahkan dari area kerja dan sistem. Filter tambahan harus dipasang untuk mengurangi partikel di udara yang meninggalkan ruang untuk printer.
©
FORESEC
