Lanskap privasi dan kepatuhan yang terus berubah

Lanskap privasi dan kepatuhan yang terus berubah

Dalam dekade terakhir, undang-undang terkait privasi telah berkembang pesat. ‘Industri privasi’ telah mengalami metamorfosis yang tidak terlihat di banyak disiplin ilmu lainnya. Sekarang, saat kita merenungkan masa depan pasca-pandemi, kita harus menyadari bahwa dapat dengan cepat mengakses dan membagikan data yang akurat adalah hal mendasar bagi semua orang.

Saat memikirkan hal ini, penting untuk diingat bahwa ada banyak tumpang tindih antara aspek bisnis dan pribadi, contohnya adalah pengelola kata sandi. Ini akan memiliki kredensial pribadi dan terkait pekerjaan yang disimpan untuk mereka, yang mungkin sulit dibedakan, dan inilah mengapa ada rencana penggunaan keluarga perusahaan.

Sebagai sebuah organisasi, bagaimana Anda mengukur kepatuhan dalam bisnis Anda ketika semakin banyak data yang dibagikan? Dan bagaimana Anda memutuskan kapan ‘cukup baik’ sebenarnya cukup baik?

Untuk individu, bagaimana Anda merahasiakan informasi Anda?

Persamaan semua atau tidak sama sekali?

Data sebagai komoditas telah berkembang dari pandangan lama tentang struktur dan kekakuan menjadi penyimpanan informasi big data yang sebagian besar akurat. Penyimpanan data ini dapat digunakan untuk memahami perilaku individu, seringkali untuk tujuan komersial.

Misalnya, Anda mungkin mulai menerima iklan tentang mobil karena Anda memposting foto kendaraan baru Anda di media sosial. Ini adalah pelanggaran privasi yang halus jika Anda tidak tahu ini terjadi (kami menyebutnya membutuhkan persetujuan) dan dapat sangat mengganggu jika Anda tidak lagi berada di pasar mobil dan tidak ingin menjadi sasaran iklan semacam itu.

Sebagai individu, kami dapat diyakinkan bahwa setidaknya ada upaya dari beberapa teknologi besar untuk menerapkan privasi secara default. Ini sangat berharga, karena ini berarti banyak dari kita dapat memperoleh manfaat dari tindakan privasi tersebut, seperti yang diberlakukan oleh GDPR dan CPRA, bahkan tanpa menyadarinya.

Namun untuk bisnis, lebih banyak upaya perlu dilakukan untuk ini.

Kita sering mengukur kesuksesan bisnis semata-mata dari segi menang dan kalah, seperti berada di posisi hitam atau merah, patuh atau tidak patuh. Misalnya, Anda tidak dapat memiliki anggaran berimbang 80 persen atau perangkat medis yang aman 90 persen. Data tidak selalu mengikuti aturan ini.

Akan ada pengecualian penting untuk tingkat akurasi yang sangat tinggi untuk, katakanlah, organisasi nuklir atau aset militer. Namun pada umumnya, dunia sektor komersial dan publik memiliki sumber daya yang terbatas dan perlu memilih dengan bijak untuk mendapatkan keuntungan terbaik.

Ini baru dan dapat menyebabkan fungsi ya/tidak bisnis terasa tidak nyaman. Terutama dalam menghadapi teknologi baru (seperti ChatGPT) dan standar kepatuhan yang baru saja diperbarui (ISO 27001/2 2022) atau yang baru (NIST Mengumumkan Empat Algoritma Kriptografi Tahan Kuantum Pertama | NIST). Ini berarti memilih dan memprioritaskan kerangka kerja kepatuhan apa yang akan diterapkan, kode etik apa yang harus diikuti, dan sertifikasi mana yang harus dikejar.

Apa yang ‘cukup baik’ untuk kepatuhan dan menjaga privasi?

Ini adalah pertanyaan yang terus menerus menantang kita. Pada titik manakah kita harus menganggap upaya kita memuaskan? Ada dua hal yang perlu dipertimbangkan:

Seberapa penting kegiatan Anda untuk keseluruhan strategi atau tujuan hidup? Apa risiko yang terlibat dalam skenario?

Tergantung di mana Anda berada dalam perjalanan privasi Anda, Anda akan fokus pada area yang berbeda. Sebagai seorang individu, itu mungkin sesederhana memahami cara melindungi dan mengelola kata sandi Anda dan menghapus atau menonaktifkan akun media sosial. Selain itu, Anda dapat mengaktifkan mode Penguncian Apple jika Anda kemungkinan menjadi sasaran kejahatan terorganisir.

Suatu organisasi mungkin menemukan bahwa mereka harus memenuhi persyaratan sertifikasi atau akreditasi minimum tertentu untuk melakukan bisnis — dan mungkin ada banyak hal berbeda yang perlu Anda penuhi! Seringkali ada tumpang tindih dalam kerangka kerja ini. Pencarian online cepat untuk pemetaan NIST ke ISO 27001 dan beberapa spreadsheet akan menunjukkan kepada Anda bahwa memenuhi satu kerangka kerja mencapai 75 persen dari yang lain.

Terlepas dari kerangka kerja apa yang Anda fokuskan, itu tidak melakukan apa pun tentang celah yang akan menjadi perhatian serius. Jika Anda adalah UKM, pertimbangkan untuk memulai dengan panduan di situs web kami dan situs web CISA dan NCSC.

Memperbaiki perilaku karyawan dan membiasakan diri dengan privasi

Pernahkah Anda mengikuti pengarahan staf dan menjelang akhir ada pernyataan singkat bahwa pelatihan kepatuhan Anda akan dilakukan minggu depan? Kemungkinan banyak karyawan akan terburu-buru dan melupakan banyak hal yang baru saja mereka jejalkan.

Trik untuk meningkatkan proses ini bukanlah trik sama sekali — kuncinya adalah terlihat dan terlibat dengan rekan kerja Anda. Dengarkan tantangan mereka secara aktif dan bersiaplah untuk mengubah pendapat Anda tentang bagaimana kepatuhan dapat dicapai. (Ingat, ada lebih dari satu cara untuk mendapatkan kepatuhan!). Ketika rekan kerja Anda bahkan peduli sedikit pun tentang keamanan dan privasi seperti Anda, itu adalah momen positif dan risiko aktif manusia Anda akan lebih rendah.

Menjadi nyaman dengan mengelola privasi pribadi adalah kurva pembelajaran bagi kita semua. Beberapa tahun yang lalu, mengobrol tentang penggunaan pengelola kata sandi sangat jarang. Sayangnya, jumlah penipuan yang menargetkan orang-orang yang rentan masih terus meningkat. Berhenti untuk berpikir dan berbicara tentang izin apa yang diminta aplikasi pada ponsel pintar Anda semakin umum. Ini berkat beberapa hal, tidak terkecuali pelatihan kesadaran dalam bisnis, dan para korban kejahatan yang malang yang telah belajar dengan susah payah untuk berbagi pengalaman tersebut di media.

Tongkat

Baik itu FTC, FCA, ICO, CNIL, Dept of HHS, atau beberapa badan publik lainnya yang dapat memberlakukan penegakan hukum, tema yang konsisten adalah meningkatnya ukuran dan frekuensi denda. Sekarang sulit untuk tidak melihat tajuk utama tanpa memperhatikan pelanggaran atau denda. Meta, Clearview AI, Nissan, LastPass, Amazon, Vodafone, Dialpad, dan Universitas Yale semuanya mendapati diri mereka terkena peretasan atau melanggar kewajiban kepatuhan mereka. Ditemukan tidak berinvestasi dalam alat, orang, dan keputusan desain untuk menjaga kerahasiaan informasi tidak hanya menjadi lebih penting tetapi juga lebih mahal jika Anda tidak melakukannya.

Kredit gambar: BeeBright/depositphotos.com

Kevin Tunison adalah Petugas Perlindungan Data, Egres. Produk Egress Defend, Egress Prevent, dan Egress Protect menjaga informasi Anda tetap terenkripsi. Untuk bisnis, menggunakan Defend juga berarti kepatuhan akan lebih mudah ditunjukkan saat memperbarui sertifikasi ISO 27001 untuk Threat Intelligence.

Author: Kenneth Henderson