GDPR dan pentingnya perlindungan data

id GDPR,IBM,Perlindungan Data

GDPR dan pentingnya perlindungan data

Direktur Program, Cyber Security dan Privasi IBM, Gant Redmon (Foto ANTARA / Agus Setiawan)

Beberapa waktu lalu dunia digegerkan dengan kasus penyalahgunaan data pengguna Facebook oleh lembaga analisis Cambridge Analytica. 

CEO Facebook Mark Zuckerberg berjanji memperbaiki sistem privasi penggunanya sehingga penyalahgunaan data tak akan terulang lagi. 

Sebelum Facebook menyatakan komitmen tersebut, Uni Eropa telah menekankan pentingnya perlindungan data pengguna internet yang tertuang dalam GDPR (General Data Protection Regulation). 

Pada 25 Mei mendatang, peraturan ini akan berlaku efektif di seluruh dunia.

Direktur Program, Cyber Security dan Privasi IBM, Gant Redmon telah berbincang dengan sejumlah media di Kuala Lumpur mendiskusikan hal tersebut, Senin (25/6). 

Bagi banyak organisasi, GDPR mewakili pertama kalinya mereka akan memiliki kewajiban formal untuk membuat pemberitahuan, baik kepada badan pengawas dan individu yang terkena dampak. 

GDPR menghadirkan garis waktu yang belum pernah dialami oleh organisasi sebelumnya, dan penting untuk memahami bahwa perusahaan harus melaporkan pelanggaran dalam waktu 72 jam setelah mengetahui pelanggaran tersebut, jika memungkinkan.

Menyadari pelanggaran data merupakan hal yang penting di sini. The Ponemon Institute menerbitkan laporan tahunan, yang disponsori oleh IBM, menganalisis biaya pelanggaran data. 

Laporan 2017 menunjukkan bahwa waktu rata-rata untuk mendeteksi insiden adalah 191 hari - dengan 66 hari lebih lanjut diperlukan untuk menahan insiden tersebut. 

Sementara garis waktu ini telah meningkat setiap tahun selama beberapa tahun terakhir, mereka jelas bertentangan dengan kemampuan organisasi untuk memberi tahu dalam waktu 72 jam.

Setelah insiden potensial terdeteksi, organisasi harus mengaktifkan proses respons insiden (IR). 

Ini berarti menentukan apa yang telah terjadi, jenis serangan apa yang terjadi dan kemudian bekerja tentang bagaimana pelanggaran dapat dikandung.

Kantor Komisaris Informasi Inggris (ICO) menyatakan bahwa mereka tidak akan mengharapkan untuk menerima laporan komprehensif pada awal penemuan atau deteksi insiden. 

Mereka akan ingin mengetahui ruang lingkup potensial dan penyebab pelanggaran, apa rencana aksi mitigasi dan bagaimana perusahaan bekerja untuk mengatasi masalah.

Banyak dari kami menerima email dari perusahaan yang memeriksa untuk melihat apakah kami memerlukan hubungan dengan mereka. 

Data ini "musim semi bersih" menyiratkan bahwa organisasi hanya menyimpan informasi yang relevan dengan bisnis mereka. 

Juga sangat penting bagi organisasi untuk mengetahui data apa yang ada dan di mana data disimpan. 

Akan sulit untuk menentukan risiko yang diwakili oleh pelanggaran data jika suatu organisasi tidak tahu data pribadi apa yang ada dan di mana data itu disimpan dan diproses. 

Ini adalah poin yang jelas, tetapi Anda tidak dapat mengamankan dan melindungi data pribadi jika Anda tidak jelas tentang keberadaannya.

GDPR memberikan alasan yang jelas bagi perusahaan untuk mengevaluasi kembali strategi keamanan mereka. Dalam Pasal 32, organisasi didorong untuk menempatkan tingkat keamanan yang sesuai dengan risiko. 

Jadi, bagaimana organisasi memutuskan apa yang tepat?

Panel ini membahas bagaimana perusahaan mencari standar industri yang beradaptasi untuk cybersecurity, apakah itu ISO 27001, Skema Cyber Essentials atau Kerangka Kerja Kontrol Keamanan Informasi. 

Memilih standar, mengevaluasi kemampuan dan kesenjangan organisasi terhadap standar dan kemudian menerapkan solusi untuk kesenjangan tersebut, dirasakan oleh panel untuk menjadi bagian penting dari kesiapan GDPR.

Memiliki catatan aktivitas pengolahan yang terperinci dan terkini akan menjadi aset besar dalam menentukan apakah data yang dilanggar bersifat pribadi. 

Ini sangat penting dalam membantu organisasi menilai apakah ada risiko bahaya atau pelanggaran hak-hak subyek data yang terpengaruh.

Ini akan membantu organisasi menentukan apakah mereka perlu memberitahukan suatu insiden dan jika mereka melakukannya, ke badan-badan mana dan pada skala berapa. 

Penting untuk memahami bahwa tidak setiap insiden kecil akan membutuhkan pemberitahuan. Anda harus menilai dampak dan risiko terhadap privasi dan keamanan individu.

Respons insiden yang efektif memerlukan kerja multidisipliner dari seluruh fungsi bisnis termasuk TI, sumber daya manusia (SDM), legal, petugas perlindungan data (DPO) dan komunikasi. 

Membuat semua fungsi ini berfungsi secara efektif bersama-sama, cepat, di bawah tekanan - mungkin dengan mata media dunia tentang mereka - tidak mungkin terjadi tanpa persiapan yang matang.

Jika organisasi belum melakukannya, sekarang saatnya untuk melatih rencana IR. Anda harus membuatnya memori otot, sama seperti tindakan layanan darurat di tempat kejadian kecelakaan. 

Latih rencana krisis pelanggaran Anda dan buat buku-buku yang Anda jalankan. 

Anda akan membutuhkan ini jika terjadi pelanggaran untuk menunjukkan bahwa Anda melakukan segala kemungkinan untuk memenuhi persyaratan pemberitahuan pelanggaran GDPR, dan melaporkan dalam waktu 72 jam setelah mengetahui insiden tersebut.

Uni Eropa telah menekankan pentingnya perlindungan data pengguna internet yang tertuang dalam GDPR (General Data Protection Regulation). Pada 25 Mei mendatang, peraturan ini akan berlaku efektif di seluruh dunia.