JAKARTA (IndoTelko) - Juli tahun lalu, dua bulan setelah diberlakukannya undang-undang California, Gedung Putih mengumumkan bahwa mereka sedang mengerjakan "kebijakan perlindungan privasi konsumen baru yang merupakan keseimbangan yang tepat antara privasi dan kemakmuran." Sejak itu, anggota Kongres telah memperkenalkan beberapa undang-undang perlindungan data.
Sebelumnya, jika organisasi Anda melakukan bisnis dengan organisasi atau individu apa pun di Uni Eropa (UE), Anda tentu sudah harus membuat perubahan signifikan pada cara Anda memproses, mengelola, dan menyimpan data penduduk Uni Eropa (UE).
Mulai sekarang, tidak hanya UE, Anda juga harus bersiap untuk memberikan perlindungan yang sama kepada partner bisnis yang berasal dari Amerika Serikat dan Kanada.
Country Director Fortinet Indonesia Edwin Lim menyarankan memperhatikan hal-hal berikut jika memiliki partner atau pelanggan dari AS, Kanada, atau Uni Eropa:
1.Menerapkan strategi keamanan yang komprehensif dan terintegrasi.
Tidak mungkin ada privasi data tanpa keamanan data yang baik. Karena itu, Anda harus mulai dengan memastikan bahwa data Informasi Identifikasi Pribadi (PII) apa pun yang disentuh oleh organisasi Anda dari saat memasuki jaringan hingga saat ia pergi.
Ini termasuk menerapkan langkah-langkah dan kebijakan keamanan yang dapat mengidentifikasi, mengikuti, dan mengamankan data dengan lancar saat bergerak antara domain dan perangkat jaringan, termasuk lintas multi-cloud atau lingkungan SD-WAN, serta ke dalam area area penyimpanan pribadi Anda (SAN).
Keamanan memainkan peran penting dalam membantu mengetahui di mana setiap bit data berada dan siapa saja yang memiliki akses ke sana. Kerangka kerja keamanan terpadu memungkinkan semua komponen keamanan untuk melihat perangkat lain, berbagi dan menghubungkan informasi di antara mereka, dan berpartisipasi dalam respons ancaman yang terkoordinasi.
Hal ini perlu dijalin ke dalam dan di setiap aspek jaringan Anda yang sedang berkembang untuk memungkinkan hal-hal seperti pembuatan kebijakan menjadi terpadu, orkestrasi terpusat, dan penegakan yang konsisten. Pendekatan ini memungkinkan Anda untuk memperluas visibilitas jauh ke infrastruktur untuk melihat setiap perangkat, melacak setiap aplikasi dan alur kerja, dan yang lebih penting, melihat dan mengamankan semua data. Ini juga memungkinkan Anda untuk menunjukkan kepatuhan sehubungan dengan persyaratan privasi yang dilindungi dan verifikasi penyimpanan, penggunaan, dan penghapusan yang aman.
2.Ubah apa dan bagaimana Anda mengumpulkan data PII.
Undang-undang privasi baru seperti GDPR mendefinisikan individu sebagai pemilik tunggal data mereka, dan bukan bisnis atau institusi. Akibatnya, individu-individu ini harus dapat menarik persetujuan mereka untuk pengumpulan data dengan cara yang cepat dan mudah sejak diberikannya data tersebut. Ini akan mengharuskan organisasi untuk mengumpulkan hanya jumlah minimum data yang diperlukan untuk tujuan tertentu, dan untuk kemudian dapat menghapus data sepenuhnya ketika tidak lagi diperlukan.
3. Atur kembali data Anda sehingga PII dapat dengan mudah diidentifikasi, ditandai, dan dihapus.
Bersiaplah untuk menunjukkan kepada petugas kebijakan bahwa Anda dapat mencegah data tertentu agar tidak dibagikan atau dijual kepada pihak ketiga dan bahwa Anda dapat menghapus semua Instansiasi PII individu di mana pun data tersebut disimpan atau digunakan. Untuk organisasi yang lebih besar, ini bukan tugas sepele. Ini akan memerlukan perbaikan signifikan dari basis data, penulisan ulang aplikasi perangkat lunak dan situs web, dan mendesain ulang proses internal untuk menyederhanakan dan mempercepat proses internal untuk mengidentifikasi semua data yang terkait dengan satu pelanggan.
"Hak untuk dilupakan" (RTBF) GDPR berarti bahwa data perlu ditemukan dan dihapus dengan cepat dan mudah, daripada mengandalkan manusia untuk berburu setiap contoh informasi pribadi yang tersebar di jaringan yang didistribusikan.
4. Enkripsi PII untuk memastikan bahwa tidak adanya risiko ketika dikompromikan.
Anda harus mempertimbangkan mengenkripsi data dalam perjalanan dan diam di jaringan Anda. Enkripsi meniadakan nilai data jika dikompromikan. Tetapi mengenkripsi data dalam volume besar bukanlah tugas yang mudah. Organisasi harus mempertimbangkan kemampuan kinerja enkripsi dan setiap penurunan kinerja yang terkait.
Undang-undang privasi data baru dan menjulang mencerminkan keprihatinan publik yang berkembang tentang perlindungan dan kepemilikan pribadi PII. Apakah solusi keamanan TI Anda dapat berkomunikasi secara efektif, di mana pun mereka ditempatkan, untuk melindungi data secara optimal dan memberikan visibilitas ke seluruh jaringan?
Apakah jaringan Anda menyertakan langkah-langkah perlindungan data yang canggih seperti pencegahan dan deteksi ancaman, nama samaran PII, dan segmentasi internal untuk mengisolasi dan melacak data pelanggan dan karyawan? Dan akhirnya, sudahkah Anda mendokumentasikan, dan yang lebih penting, menguji rencana respons pelanggaran data Anda
Organisasi saat ini harus dapat menjawab "ya" untuk pertanyaan ini jika mereka ingin dipersiapkan untuk peraturan privasi data baru dalam waktu dekat.(pg)