Hari-hari ini tidak ada topik penting yang layak disebut jika tidak ada satu hari pun yang dikhususkan untuk itu. Hari ini (28 Januari) giliran privasi data — atau perlindungan data tergantung pada siapa Anda berbicara — untuk mendapat sorotan.
Ketika organisasi mengumpulkan lebih banyak data, kekhawatiran tentang bagaimana data disimpan dan digunakan telah berkembang yang menyebabkan legislator juga tertarik.
Jadi, apa masalah besar saat ini seputar privasi data dan bagaimana penanganannya? Kami meminta pendapat beberapa pakar industri.
“Hari Privasi Data ini, kami ingin menarik perhatian pada bagaimana ancaman keamanan memengaruhi masalah privasi data,” kata Raffael Marty, EVP dan GM keamanan siber di ConnectWise. “Bisnis harus tetap gesit dan responsif terhadap lanskap ancaman yang terus berkembang untuk menjaga privasi data mereka dan pelanggan serta pengguna. Kami akan melihat peningkatan permintaan dari pelanggan yang akan menuntut transparansi yang lebih besar tentang bagaimana bisnis menjaga keamanan dan privasi data . Semua ini akan menghadirkan model yang sama sekali baru untuk keamanan siber yang mengandalkan verifikasi terus-menerus, bukan hanya memperkuat jaringan dan sistem.”
“Pembuatan data telah meledak dalam beberapa tahun terakhir, dengan seluruh industri dibangun untuk memiliki akses ke data yang unik dan berguna,” kata Thomas LaRock, kepala geek di SolarWinds. “Informasi ini dapat memungkinkan hasil bisnis yang lebih baik, menjadikannya aset yang tak ternilai bagi perusahaan mana pun. Sayangnya, peningkatan penekanan pada data ini juga dapat menghadirkan risiko. Sangat penting bagi perusahaan untuk fokus pada Secure by Design untuk memastikan kebijakan data yang kuat dengan meningkatkan Data Loss mereka Solusi Pencegahan (DLP) dan mengadopsi keamanan tanpa kepercayaan.”
Okey Obudulu, CISO di Skillsoft, percaya bahwa setiap orang perlu bertanggung jawab atas data:
Perubahan telah menjadi satu-satunya hal yang konstan dalam beberapa tahun terakhir, tidak terkecuali perlindungan data. Penundaan RUU Reformasi Data Pemerintah Inggris telah mempersulit bisnis untuk merencanakan ke depan, bergulat dengan seperti apa masa depan privasi data pasca-Brexit.
Meskipun tidak ada garis waktu yang jelas, kerangka peraturan yang berkembang seputar topik ini membutuhkan masukan dan pengawasan kepatuhan yang lebih besar di semua area bisnis. Organisasi perlu menyadari bahwa setiap karyawan memiliki peran untuk dimainkan. Dari CISO ke bawah, perlindungan data adalah tanggung jawab setiap orang.
Ini digaungkan oleh W. Curtis Preston, kepala penginjil teknis di Druva:
Privasi kini menjadi yang terdepan dan menjadi salah satu perhatian utama konsumen, menjadikannya tanggung jawab semua orang di TI. Pada Hari Privasi Data, organisasi memiliki kesempatan untuk merefleksikan dan berkomitmen pada pendekatan holistik dalam tim TI mereka untuk memastikan standar privasi data ditegakkan dan ketahanan data tercapai.
Dalam tim TI, tugas pengembang web adalah memastikan bahwa setiap data pribadi yang diterima melalui web disimpan langsung dalam database khusus yang dirancang untuk informasi pribadi.
Adalah tugas administrator basis data (DBA) untuk memastikan bahwa basis data diperlakukan secara berbeda, dengan bijaksana menerapkan proses dengan hak istimewa paling rendah, untuk memastikan hanya beberapa orang terpilih yang diberikan akses, dan semua orang (termasuk aktor jahat) melihat omong kosong terenkripsi.
Adalah tugas administrator sistem untuk menerapkan konsep yang sama di mana pun basis data itu berada. Merupakan tanggung jawab orang cadangan untuk memastikan cadangan basis data ini mengikuti praktik terbaik, dan dienkripsi serta diberi celah udara.
Akhirnya, tentu saja, tugas petugas keamanan untuk memeriksa dengan semua orang untuk membantu mereka memahami tanggung jawab mereka dan memastikan mereka memenuhinya.
Ketika semua bagian tim ini selaras, organisasi dapat yakin bahwa mereka telah melakukan segala yang mungkin untuk menjaga ketahanan data mereka dalam menghadapi ancaman dan kesulitan yang tidak terduga.
“Data yang dicuri secara diam-diam oleh organisasi dapat menimbulkan dampak yang merusak dan bertahan lama. Pelanggan, mitra, dan karyawan memercayai bisnis untuk menjaga data mereka, dan ketika dicuri, kepercayaan itu rusak. Orang kehilangan kepercayaan pada layanan digital, yang kemudian dapat menyebabkan kerusakan reputasi jangka panjang serta pukulan finansial yang signifikan,” kata Ronan David, kepala strategi di EfficientIP. “Organisasi harus dapat menghentikan eksfiltrasi data sedini mungkin. Bisnis perlu melihat lalu lintas DNS real-time sehingga tim keamanan dapat mendeteksi, menemukan, dan menggagalkan ancaman keamanan tersembunyi. Selain itu, akses aplikasi berbasis DNS kontrol di tingkat pengguna perlu diterapkan untuk mengurangi permukaan serangan bisnis dan memblokir gerakan lateral, dan pada akhirnya, memperkuat rantai keamanan mereka.”
“Persimpangan antara keamanan dan privasi telah terbukti selama bertahun-tahun — dan pada akhirnya, Anda tidak dapat memiliki satu tanpa yang lain,” kata Clar Rosso, CEO (ISC)2. “Saat kami terus berinteraksi, memproses, dan mengonsumsi data dengan kecepatan eksponensial, perlu ada pemahaman yang jelas tentang di mana data berada, dikelola, dan diakses untuk menghindari jatuh ke tangan yang salah. Dengan fungsi privasi dan keamanan siber menjadi semakin sinergis, privasi dan profesional keamanan siber harus bekerja secara kolaboratif untuk memastikan penatagunaan data yang kuat dan efektif. Tidak hanya akan meningkatkan postur keamanan dan privasi, tetapi kolaborasi tersebut akan membantu meringankan tantangan sumber daya.”
Ellison Anne Williams, pendiri dan CEO Enveil, mengatakan:
Transformasi digital, bangkitnya ekonomi digital, dan pengakuan luas atas data sebagai aset telah mengubah kebutuhan data global secara signifikan, sehingga penting bagi kami untuk memajukan kesadaran seputar tantangan dan peluang di arena privasi data. Hari Privasi Data berhasil mendorong diskusi semacam itu.
Dengan banyaknya data yang tersedia saat ini, organisasi semakin perlu menemukan keseimbangan yang tepat antara ekstraksi nilai dan manajemen risiko. Regulator berebut untuk mengikuti kecepatan perubahan sehingga sering ada ketidakjelasan mengenai batas-batas penggunaan data yang dapat diterima. Organisasi terkemuka yang digerakkan oleh data dipaksa untuk bertanya pada diri sendiri: ‘seberapa besar risiko yang dapat kita toleransi?’
Eve Maler, CTO di ForgeRock, yakin data anak-anak membutuhkan perlindungan yang lebih baik. “Generasi anak-anak saat ini tumbuh secara digital asli, masuk ke beberapa perangkat, dan mengakses ekosistem layanan online yang luas. Namun, anak-anak tidak mampu untuk benar-benar menyetujui penggunaan data mereka, membuat ‘keikutsertaan’ standar, praktik autentikasi ‘menyisih’ tidak berarti. Organisasi perlu menemukan keseimbangan antara mengetahui informasi yang cukup tentang pengguna ini, tanpa mengetahui terlalu banyak, dan memastikan bahwa orang tua dan wali memiliki kemampuan untuk menyetujui tingkat berbagi data yang tepat. Pada tahun 2023, kita dapat berharap untuk melihat perubahan yang berarti seputar undang-undang di bidang ini.”
“Organisasi yang ingin melindungi data pelanggan dengan lebih baik harus mempertimbangkan seberapa baik mereka dapat memvalidasi kebijakan, kontrol, dan konfigurasi keamanan mereka,” kata Song Peng, SVP teknik di NetBrain. “Bahkan perangkat keras dan perangkat lunak keamanan terbaik mengembangkan kerentanan dari waktu ke waktu, biasanya sebagai konsekuensi yang tidak diinginkan dari aktivitas TI lainnya. Dan dengan permukaan serangan yang lebih besar yang dibuat melalui layanan berbasis cloud, kebutuhan untuk terus memverifikasi bahwa profil keamanan tetap utuh sangatlah penting.”
Kredit foto: Rawpixel.com / Shutterstock
