dalam Professional Opinion

Audit Data Center, Apa Saja yang Perlu Diperhatikan?

Google-data-center-storm-trooper

Dalam hal jam layanan, nasabah perbankan tak ubahnya seperti pelanggan warung burjo. Tersebutlah Pepe Sudarmaji, seorang pelanggan burjo yang bertempat tinggal di Jogja. Jam berapa pun mas Pepe ini lapar, beliau menuntut warung burjo dapat menyediakan Indomie goreng dan Coffemix hangat saat itu juga. Jika saat itu mas Pepe sedang tidak punya uang tunai, maka mas Pepe juga menuntut Bank agar bisa menyediakan layanan tarik tunai dari tabungannya saat itu juga. Mungkin juga transfer atau debit, tergantung level warung burjo yang dikunjungi mas Pepe.

Akibat tuntutan tersebut, Bank harus mempunyai sistem yang reliable, handal 24 jam sehari, 7 kali seminggu, sepanjang tahun. Sistem tersebut tentunya harus didukung sebuah data center yang handal juga. Karenanya, penyelenggaraan data center menjadi salah satu poin dalam Peraturan Bank Indonesia tentang Manajemen Risiko TI.

Berbekal PBI tersebut dan Surat Edaran terkait, sepanjang tahun kemarin saya bolak-balik mengunjungi beberapa data center. Tentu saja kunjungan tersebut tidak sekedar untuk ngadem, mengingat suhu data center yang diatur hingga 21 C. Sesuai dengan peraturan terkait, beberapa hal dalam penyelenggaraan data center tersebut diperika. Berikut poin-poin pemeriksaan sebuah data center :

Operasional Data Center
Terkait dengan operasional data center, Bank harus mempunyai kebijakan yang menentukan pejabat yang bertanggung jawab terhadap data center. Kebijakan tersebut juga menunjuk orang-orang yang berhak untuk mengakses ruangan data center. Setiap kunjungan ke data center oleh pihak lain, harus mendapat izin dari pejabat berwenang dan wajib ditemani oleh petugas yang berhak mengakses. Selain itu, setiap kunjungan juga wajib dicatat di buku log.

Perencanaan Kapasitas
Bank perlu melakukan perencanaan kapasitas untuk memastikan bahwa perangkat keras dan perangkat lunak yang digunakan oleh Bank telah sesuai dengan kebutuhan operasional bisnis dan mengantisipasi perkembangan usaha Bank.
Setiap hari, data center harus diperiksa oleh petugas untuk memastikan beberapa parameter data center seperti suhu, kelembaban, serta utilitas sistem seperti hard disk, prosesor, UPS dan sebagainya. Data utilitas (presentase penggunaan terhadap kapasitas maksimal) harian ini, bisa dipakai dalam kajian perencanaan kapasitas yang dilakukan.

Pengelolaan Perangkat Keras dan Perangkat Lunak
Bank wajib memiliki daftar invetaris yang dikinikan, yang memuat informasi perangkat keras, perangkat lunak, perangkat jaringan, media penyimpanan, dan perangkat pendukung lainnya yang terdapat di data center. Tanpa adanya catatan yang akurat dan lengkap, maka Bank tidak dapat meyakini, hanya perangkat yang benar dan sah yang terdapat di data center. Selain itu, Bank juga akan kesulitan mendeteksi jika ada perangkat yang hilang.

Perawatan preventif secara berkala juga harus dilakukan oleh Bank untuk meminimalkan kegagalan pengoperasian serta mendeteksi secara dini permasalahan yang mungkin muncul. Untuk perangkat pendukung data center yang biasanya diperoleh dari vendor seperti UPS dan power control, fire detection dan fire extinguisher, air conditioner, dan sebagainya, Bank harus mempunyai kontrak perawatan dengan vendor. Perawatan berkala tersebut juga harus didokumentasikan dalam buku log yang direview secara berkala.

Pengamanan Fisik Data Center
Ruangan fasilitas data center harus dilindungi secara fisik dari akses yang tidak berkepentingan. Agar tidak sembarang orang bisa masuk, pintu data center harus selalu terkunci, dilengkapi dengan akses biometrik atau kartu akses. Lebih jauh lagi, penentuan lokasi gedung tempat lokasi data center juga harus aman baik dari bencana alam seperti banjir, gempa bumi, juga aman dari kerusuhan, kebakaran dan sebagainya. Karenanya, lingkungan yang berpotensi bahaya seperti pom bensin, pasar, pusat pemerintahan, bukan merupakan lingkungan yang ideal sebagai lokasi data center.

Selain melalui kunci pintu dan petugas keamanan, pengamanan fisik data center bisa dipastikan dengan CCTV yang dapat merekam kegiatan di dalam ruang data center mulai dari pintu masuk. Idealnya, data rekaman CCTV disimpan secara live 3 bulan terakhir.

Beberapa Bank, karena berbagai pertimbangan, menggunakan jasa co-location untuk data center mereka. Mereka menyewa space pada layanan data center yang diselenggarakan oleh pihak ketiga. Artinya, server mereka akan berada di satu tempat dengan server milik orang lain. Pada kasus seperti ini, sebaiknya server milik Bank tetap dijaga dalam satu rack khusus yang dikunci dan dijaga dari akses oleh pihak lain.

cage-540px

Pengendalian Lingkungan Data Center
Pembahasan pengendalian lingkungan data center ternyata memerlukan ulasan yang cukup panjang. Jika pembahasan tersebut dijadikan satu pada artikel ini, maka artikel ini tidak akan bisa dibaca dalam waktu sekali duduk di burjo terdekat. Karena, sudilah kiranya pembaca yang budiman maupun yang tidak budiman untuk membaca tulisan terpisah tentang pengendalian lingkungan data center.

Manajemen Perubahan (Change Management)
Change management adalah prosedur yang mengatur penambahan, penggantian, maupun penghapusan objek di lingkungan produksi. Objek yang dimaksud bisa berupa perangkat komputer, perangkat jaringan, data, menu, program, aplikasi, hingga proses.

Dalam kaitannya dengan data center, setiap adanya perubahan pada data center, Bank harus mempunyai dokumentasi yang lengkap. Setiap perangkat yang masuk dan keluar, harus dilengkapi dengan surat-surat yang diantaranya menjelaskan tentang jenis dan spesifikasi perangkat. Proses implementasi juga harus dicatat dan memperhatikan kelangsungan operasional pada lingkungan produksi.

TIA 942 (Telecommunication Industry Association) telah membuat suatu standard untuk data center. Dalam standard tersebut, data center dikelompokkan berdasarkan 4 tier berdasarkan ketersediaannya. Data center terbaik (tier 4) harus mempunyai ketersediaan 99,995%. Artinya dalam satu tahun, data center tersebut hanya boleh down selama sekitar 20 menit saja. Sedangkan tier terburuk, yakni tier 1, tingkat ketersediaan adalah 99.671% yang berarti waktu down yang diperbolehkan sekitar 28 jam setahun. Jika ada data center mempunyai waktu down lebih dari itu, maka sepertinya tempat tersebut tidak layak menyandang nama data center menurut definisi TIA 942.

Dengan adanya PP no 82 tahun 2012 yang mewajibkan setiap penyelenggara sistem elektronik di Indonesia mempunyai data center di dalam negeri, sepertinya perkembangan industri data center di Indonesia akan meningkat seiring dengan naiknya permintaan. Di waktu-waktu mendatang, mungkin saya bisa berharap adanya data centerdata center unik di Indonesia, layaknya data center Google seperti yang terlihat pada gambar.

Pustaka

PBI 9/15 tahun 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan TI oleh Bank Umum
http://www.bpkp.go.id/public/upload/unit/maluku/files/PBI%209-15-2007%20MRTI-Bahasa.pdf

Lampiran 1 – SE No. 9/15/DPNP tahun 2007 tentang Pedoman Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
http://directory.umm.ac.id/tik/Pedoman_Penerapan_Manajemen_Risiko.pdf

New South Wales Fire Brigades – SABRE
http://www.fire.nsw.gov.au/gallery/files/pdf/translated_factsheets/indonesian/pdf/30_SABRE.pdf

TIA 942 : Data Center Standards Overview
http://www.herts.ac.uk/__data/assets/pdf_file/0017/45350/data-centre-standards.pdf

PP no. 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
http://dittel.kominfo.go.id/wp-content/uploads/2013/09/PP-82-2012.pdf

Galeri Data Center Google
http://www.google.com/about/datacenters/gallery/

Tulis Komentar

Komentar

Webmentions

  • Pengendalian Lingkungan Data Center | Andi Miftachul

    […] hal yang perlu diperhatikan saat audit terhadap data center telah dijabarkan dalam tulisan sebelumnya. Khusus tentang pengendalian lingkungan, […]