Percaya, tapi verifikasi. Ini adalah nasihat yang baik dalam banyak konteks, termasuk pendekatan Anda terhadap perusahaan yang Anda pekerjakan untuk memproses data sensitif Anda. Sekalipun pelanggaran tersebut pada akhirnya disebabkan oleh perilaku penyedia layanan, dari sudut pandang pelanggan atau karyawan yang informasi pribadinya disita, tanggung jawab ada pada Anda. Oleh karena itu, inisiatif Mulai dengan Keamanan memperingatkan perusahaan untuk memastikan bahwa penyedia layanan mereka menerapkan langkah-langkah keamanan yang wajar.
Sebelum melibatkan penyedia layanan, jelaskan apa yang Anda harapkan dalam hal keamanan. Pastikan mereka memiliki keterampilan teknis untuk menyelesaikan pekerjaan. Bangun prosedur sehingga Anda dapat memantau manfaatnya bagi Anda. Pastikan mereka menepati janjinya.
Berdasarkan tindakan penegakan hukum FTC, investigasi, dan pertanyaan yang kami terima dari perusahaan, berikut adalah beberapa contoh langkah yang dapat Anda ambil untuk mendorong penyedia layanan Anda untuk memulai — dan tetap berpegang pada — keamanan.
Lakukan uji tuntas Anda.
Anda tidak akan membeli mobil bekas sebelum memeriksa kap mesinnya, dan Anda tidak akan membeli rumah hanya berdasarkan janji penjual bahwa kondisinya sempurna. Keamanan data juga demikian. Informasi seringkali merupakan salah satu aset terpenting yang dimiliki perusahaan. Sebelum menempatkannya di bawah kendali orang lain, pastikan Anda mengetahui bagaimana informasi ini akan digunakan dan diamankan.
contoh: Sebuah perusahaan sedang mencari kontraktor untuk menangani pemrosesan datanya. Anda mendapatkan tawaran dari dua kontraktor – satu dengan nama terkenal di bidangnya dan pendatang baru yang mengenakan biaya jauh lebih murah. Daripada hanya memilih nama merek yang sudah mapan atau penawar yang rendah, perusahaan ini malah menanyakan pertanyaan rinci kepada kedua kontraktor tentang — antara lain — bagaimana perusahaan akan mengamankan data perusahaan, siapa yang akan memiliki akses ke data tersebut, dan bagaimana perusahaan akan melatih karyawannya. . Karyawan untuk menyimpan data dengan aman. Perusahaan hanya boleh memberikan kontrak jika puas dengan tanggapan yang diterimanya. Bahkan dalam kasus ini, perusahaan harus memasukkan dalam kontraknya ketentuan-ketentuan khusus yang memerlukan jaminan yang wajar.
Tuliskan.
Keamanan data terlalu penting untuk direduksi menjadi kesepakatan “mari kita bicarakan” yang tidak jelas. Kedua belah pihak mendapatkan keuntungan ketika ekspektasi, standar kinerja, dan metode pemantauan hanya sebatas tertulis dalam kontrak.
contoh: Perusahaan menunjuk penyedia layanan untuk mengirimkan data tagihan bulanan kepada pelanggan. Perusahaan memberi penyedia layanan akses ke informasi akun — termasuk metode pembayaran pilihan pelanggan — dan penyedia layanan membuat spreadsheet datanya. Kontrak yang dibuat antara Perusahaan dan Penyedia Layanan tidak mencakup persyaratan apa pun untuk menjaga tingkat keamanan yang wajar. Penyedia layanan tidak memiliki firewall, tidak mengenkripsi data saat diam atau dalam perjalanan, dan tidak menerapkan log sistem atau sistem deteksi intrusi. Karena tidak mensyaratkan jumlah keamanan yang wajar dalam kontrak dan gagal menentukan langkah-langkah keamanan yang harus diterapkan oleh penyedia layanan, perusahaan kehilangan kesempatan untuk melindungi informasi rahasia pelanggannya.
contoh: Badan Ketenagakerjaan Nasional merekrut karyawan dari seluruh negeri untuk bekerja dari rumah guna melakukan entri data. Perusahaan mempekerjakan kontraktor sumber daya manusia regional untuk membantu karyawan baru mengisi dokumen awal karyawan. Kontraktor SDM pergi ke rumah karyawan baru untuk melengkapi formulir yang sesuai, yang berisi informasi pribadi sensitif, termasuk nomor Jaminan Sosial. Kontraktor sumber daya manusia memfotokopi formulir tersebut dan kemudian menggunakan komputer pribadi karyawan baru untuk mengunggah informasi dan mengirimkannya melalui email ke agen perekrutan. Praktik terbaiknya adalah lembaga kepegawaian menentukan dalam kontraknya metode transmisi informasi yang lebih aman dan segera menghubungi kontraktor SDM jika data sensitif dikirimkan yang melanggar ketentuan ini.
Verifikasi kepatuhan.
Anda dapat menghitung kembalian, mengonfirmasi reservasi hotel, dan meninjau laporan kartu kredit Anda. Pemeriksaan ganda masuk akal. Itulah sebabnya perusahaan yang teliti memeriksa apakah penyedia layanan mematuhi ketentuan kontrak terkait keamanan.
contoh: Pengecer yang menjual peralatan berkemah menyewa perusahaan untuk mengembangkan aplikasi yang berisi informasi tentang jalur pendakian. Pengecer bermaksud memasarkan aplikasi dengan klaim bahwa mereka tidak akan mengumpulkan data geolokasi kecuali pengguna telah mengonfirmasi bahwa pengecer telah memasukkan klausul mengenai hal tersebut dalam kontraknya dengan pengembang aplikasi. Sebelum meluncurkan aplikasi, pengecer mengujinya dan menentukan bahwa aplikasi tersebut mengumpulkan informasi geolokasi dari semua pengguna dan mengirimkannya ke jaringan iklan. Dengan menyatakan ekspektasinya dalam kontrak dan melakukan pengujian untuk memastikan bahwa pengembang mematuhinya, retailer dapat memperbaiki masalah tersebut sebelum merilis aplikasi.
Pesannya bagi perusahaan yang berfokus pada keamanan adalah untuk memasukkan ekspektasi ke dalam kontrak Anda dengan penyedia layanan yang akan memiliki akses ke informasi sensitif. Selain itu, pastikan Anda memiliki cara untuk memantau apa yang mereka lakukan atas nama Anda.
Seri berikutnya: Terapkan langkah-langkah untuk menjaga keamanan Anda tetap mutakhir dan mengatasi kerentanan yang mungkin timbul.