Oleh Eric Schmitt - kepala keamanan informasi global dan Brenda G. Corey - SVP kepatuhan & peraturan
Di dunia yang semakin peduli dengan privasi dan perlindungan, perusahaan harus menyeimbangkan kesadaran akan risiko dengan kepatuhan di tengah peraturan yang berubah dengan cepat.
Dari sudut pandang perlindungan data, selama 24 bulan terakhir, telah terjadi peningkatan penekanan untuk memastikan data disimpan hanya selama periode yang diperlukan, atau sebagaimana diwajibkan oleh hukum. Dengan adanya undang-undang transparansi dan hak-hak data yang kini aktif di dua negara bagian AS(California CPRA, Virginia) dan mulai berlaku di tiga negara bagian AS lainnya pada tahun 2023(Colorado, Connecticut, Utah), kini saatnya bagi perusahaan untuk menilai infrastruktur mereka, mengisolasi area-area yang berpotensi untuk dieksploitasi oleh pihak-pihak yang tidak bertanggung jawab, serta mengedukasi para pegawai mengenai praktik-praktik terbaik untuk melindungi data sensitif.
Penyimpanan arsip
Fokus utama kami adalah kepatuhan penuh terhadap jadwal penyimpanan arsip. Jadwal penyimpanan arsip sangat penting untuk memastikan bahwa kita menyimpan data hanya untuk periode yang diperlukan, mengurangi risiko dengan mengurangi data yang disimpan, dan untuk mematuhi undang-undang yang berlaku. Perusahaan-perusahaan di seluruh dunia sedang dalam perjalanan ini dan memvalidasi ulang kebijakan yang ada untuk memastikan kepatuhan. Sangat penting untuk memastikan kewajiban penyimpanan arsip dipenuhi untuk berbagai pemangku kepentingan - badan hukum, klien, dan operator asuransi - dan dalam yurisdiksi tertentu serta di tingkat global.
Ketahanan siber
Di sisi teknologi bisnis, penting bagi tim keamanan siber, pencadangan, dan pemulihan bencana untuk bekerja sama dan menyediakan program yang lebih terpadu di bawah bendera "ketahanan siber." Tingkat kemitraan ini membantu memastikan bahwa rencana keberlanjutan, termasuk bisnis dan teknologi, mempertimbangkan cara menerapkan perlindungan jika terjadi ancaman siber, sehingga organisasi dapat dengan cepat merespons ancaman yang muncul. Perusahaan harus memastikan bahwa program kontinuitas mereka mencakup isu-isu yang berhubungan dengan dunia maya.
Berburu ancaman
Berbekal misi "hancurkan diri Anda sendiri sebelum orang lain melakukannya," tim keamanan siber berupaya menyerang lingkungan siber organisasi dengan cara yang sama seperti yang dilakukan oleh pelaku kejahatan - sebuah proses yang disebut dengan perburuan ancaman. Hal ini memberikan visibilitas untuk tidak hanya menemukan titik-titik rawan di mana serangan dapat terjadi, tetapi juga untuk membangun respons yang lebih cepat sehingga data cadangan dapat dilindungi untuk memastikan tidak semua data hilang jika terjadi ancaman. Perburuan ancaman seharusnya melengkapi program pengujian kerentanan dan penetrasi yang kuat, bukan menggantikan. Ada dua manfaat besar dari perburuan ancaman - petugas keamanan Anda belajar mengidentifikasi serangan saat mereka bekerja dengan pemburu ancaman, dan perusahaan dapat membantu mengidentifikasi area yang mungkin memerlukan kontrol tambahan untuk diterapkan.
Menyiapkan garis pertahanan
Anda harus mengetahui apa yang Anda miliki sebelum bisa melindunginya. Dengan memetakan semua lini bisnis dan jenis data yang mengalir di dalamnya - termasuk vendor mana yang membagikan informasi tersebut - Anda bisa mendapatkan gambaran yang jelas tentang bagaimana dan di mana data diamankan. Dengan menggunakan "latihan permata mahkota" MITRE, Anda dapat menyoroti kerentanan di sekitar data yang harus dilindungi, sehingga pertahanan dapat berlapis-lapis.
Edukasi kolega adalah tingkat lain dari upaya privasi dan perlindungan data yang optimal. Dalam hal risiko keamanan siber, karyawan Anda adalah garis pertahanan pertama dan terakhir. Pertanyaan tentang bagaimana karyawan dapat dididik dengan lebih baik untuk mengidentifikasi ancaman masuk secara positif, seperti email phishing, dan aktivitas berbahaya lainnya - dan bagaimana memperkuat perilaku ini secara positif - harus selalu menjadi perhatian utama. Latihan pelatihan email phishing harus dilakukan secara teratur untuk seluruh organisasi. Rekan kerja dalam tim yang terus-menerus menangani data sensitif mungkin perlu penilaian yang lebih sering untuk pencegahan pelanggaran data.
Dalam industri klaim, petugas privasi bekerja untuk memastikan permintaan hak data ditangani dengan cepat dan efisien untuk penuntut individu. Selaras dengan undang-undang privasi, kecerdasan buatan dapat dimanfaatkan untuk memberikan layanan yang lebih baik kepada individu, seperti dalam kasus tinjauan klaim otomatis.
Privasi berdasarkan desain
Privasi dan keamanan data dapat menjadi pembeda bagi perusahaan dan kliennya ketika hal ini "dipadukan" ke dalam strategi investasi dan operasi. Ketika perusahaan membangun proses dan program barunya, termasuk aliran informasi di dalam sistem, sangat penting bagi tim di bagian depan untuk mengetahui cara menangani privasi secara terencana. Badan-badan pengatur membuat dorongan yang lebih kuat untuk mengurangi jejak data; bisnis harus melakukan uji tuntas dengan mengajukan pertanyaan mendalam tentang program keamanan data mereka dan menimbang investasi mereka dalam intelijen ancaman.
Tags: Tags: Merek, Klaim, Kepatuhan, dunia maya, ketahanan siber, keamanan siber, ancaman siber, keamanan siber, Data, Privasi data, Hari Privasi Data, keamanan data, hukum, Melestarikan merek, Privasi, Privasi berdasarkan desain, undang-undang privasi, Peraturan, ketahanan, Ketahanan, Resiliensi, Keamanan