Anda pernah mendengar tentang hukum Newton tentang benda diam dan benda bergerak. Konsekuensi abad ke-21 adalah melindungi informasi sensitif ketika berada di jaringan Anda dan menerapkan perlindungan yang efektif ketika informasi tersebut sedang bergerak – misalnya, ketika pelanggan mentransfer data rahasia dari komputer mereka ke sistem Anda. Perusahaan yang berhati-hati mengambil saran untuk “memulai dengan aman” dengan menyimpan informasi pribadi sensitif secara aman dan melindunginya saat transit.
Salah satu strateginya ternyata sangat sederhana. Peretas tidak dapat mencuri apa yang tidak Anda miliki, jadi kumpulkan dan simpan data rahasia hanya jika Anda membutuhkannya. Menanyakan informasi sensitif kepada pelanggan apakah suatu hari nanti Anda akan menggunakannya untuk sesuatu bukanlah kebijakan yang baik. Praktik yang paling bijaksana adalah membatasi apa yang Anda kumpulkan secara bijaksana dan kemudian menyimpannya dengan aman. Ini juga merupakan pendekatan yang hemat biaya, karena lebih murah untuk mengamankan sejumlah kecil data yang disimpan di lokasi tertentu, dibandingkan kumpulan besar data sensitif yang tersebar di seluruh perusahaan Anda.
Salah satu alat keamanan penting adalah enkripsi. Enkripsi adalah proses mengubah informasi sehingga hanya orang (atau komputer) yang memiliki kunci yang dapat membacanya. Bisnis dapat menggunakan teknologi enkripsi untuk data sensitif saat disimpan dan dalam perjalanan untuk membantu melindunginya di seluruh situs web, di perangkat, atau di cloud.
Bagaimana perusahaan Anda dapat mengamankan data dengan aman, termasuk saat sedang dalam perjalanan? Berikut beberapa saran yang diambil dari penyelesaian FTC, investigasi tertutup, dan pertanyaan yang diajukan oleh perusahaan.
Jaga keamanan informasi sensitif sepanjang siklus hidupnya.
Anda tidak dapat menjaga keamanan informasi kecuali Anda memiliki gambaran yang jelas tentang apa yang Anda miliki dan di mana Anda memilikinya. Salah satu langkah awalnya adalah memahami bagaimana data sensitif masuk, berpindah, dan keluar dari perusahaan Anda. Setelah Anda dapat mengontrol perjalanannya melalui sistem Anda, akan lebih mudah untuk tetap waspada di setiap pemberhentian di sepanjang jalan.
contoh: Pengecer barang olahraga online mengharuskan konsumen untuk memilih nama pengguna dan kata sandi. Perusahaan menyimpan semua nama pengguna dan kata sandi dalam teks yang jelas dan mudah dibaca. Dengan tidak menyimpan informasi ini dengan aman, pengecer meningkatkan risiko akses tidak sah.
contoh: Situs resep memungkinkan pelanggan membuat profil individual. Saat merancang halaman pendaftaran, Perusahaan mempertimbangkan berbagai kategori informasi yang dapat diminta dan mempersempitnya menjadi informasi yang dibenarkan oleh alasan bisnis. Misalnya, perusahaan mempertimbangkan untuk meminta tanggal lahir pengguna untuk menyesuaikan situs agar sesuai dengan resep yang mungkin menarik bagi orang-orang dalam demografi tersebut, namun kemudian memutuskan untuk membiarkan konsumen memilih kelompok usia. Dengan mempertimbangkan kebutuhannya akan informasi dan mengumpulkan jenis data yang kurang sensitif, perusahaan membuat pilihan yang lebih aman yang memungkinkannya mempersonalisasi pengalaman pengguna.
contoh: Perusahaan real estat perlu mengumpulkan data keuangan sensitif dari calon pembeli rumah. Perusahaan menggunakan enkripsi yang sesuai untuk mengamankan informasi ketika dikirim dari browser Pelanggan ke server Perusahaan. Namun ketika informasi tersebut tiba, penyedia layanan mendekripsinya dan mengirimkannya dalam bentuk teks yang jelas dan dapat dibaca ke kantor anak perusahaan perusahaan. Dengan mengenkripsi transmisi awal informasi, perusahaan real estate telah mengambil langkah bijak untuk menjaga keamanannya. Namun dengan mengizinkan penyedia layanan mengirimkan data tidak terenkripsi ke cabang, perusahaan tidak memberikan pertimbangan yang memadai terhadap pentingnya menjaga keamanan yang tepat di seluruh siklus hidup informasi sensitif.
contoh: Satu perusahaan menggunakan teknologi enkripsi terbaru, namun menyimpan kunci dekripsi dengan data yang dienkripsi. Perusahaan harus menyimpan kunci dekripsi secara terpisah dari data yang digunakan kunci tersebut untuk membuka kuncinya.
Gunakan metode yang teruji dan dapat diterima industri.
Beberapa pemasar mendesain produknya agar memiliki tampilan yang unik dan eksotis. Namun “unik” dan “unik” bukanlah kata-kata yang ingin Anda terapkan pada keamanan perusahaan Anda. Daripada menemukan kembali roda kripto, pendekatan yang lebih bijaksana adalah dengan menggunakan metode yang telah teruji di industri yang mencerminkan kebijaksanaan kolektif para ahli di bidangnya.
contoh: Dua pengembang aplikasi sedang mempersiapkan produk serupa untuk pasar. ABC menggunakan metode kebingungan datanya sendiri. Sebaliknya, Perusahaan XYZ menggunakan metode enkripsi yang teruji dan diterima oleh para pakar industri. Dengan menggunakan model pengkodean yang telah terbukti, Perusahaan XYZ membuat pilihan bijak dalam mengembangkan produknya. Selain itu, kampanye periklanan XYZ dapat dengan jujur mempromosikan penggunaan enkripsi standar industri.
Pastikan konfigurasi yang benar.
Seorang pemanjat tebing mungkin memiliki peralatan terbaik, namun jika ia tidak memasang cincin dan katrol dengan benar atau jika ia menggunakannya dengan cara yang tidak diperingatkan oleh produsen, ia dapat mengalami bencana saat turun. Demikian pula, bahkan ketika perusahaan memilih enkripsi yang kuat, mereka perlu memastikan bahwa mereka telah mengonfigurasinya dengan benar.
contoh: Sebuah perusahaan perjalanan sedang mengembangkan aplikasi yang memungkinkan konsumen membeli tiket mengunjungi tempat-tempat wisata populer. Aplikasi perusahaan perjalanan menggunakan protokol Transport Layer Security (TLS) untuk menjalin komunikasi terenkripsi dengan konsumen. Saat data berpindah antara aplikasi dan perusahaan yang menjual tiket, sertifikat TLS digunakan untuk memastikan aplikasi terhubung ke layanan online asli. Namun, saat mengonfigurasi aplikasinya, perusahaan perjalanan menonaktifkan proses validasi sertifikat TLS. Perusahaan perjalanan melakukan hal ini meskipun ada peringatan dari penyedia platform hingga pengembang aplikasi agar tidak menonaktifkan pengaturan verifikasi default atau gagal memvalidasi sertifikat TLS. Perusahaan perjalanan harus mengikuti rekomendasi default platform pengembangan aplikasi.
Pengingat bagi bisnis adalah bahwa data rahasia dapat masuk, berpindah, dan keluar dari sistem Anda dengan cara yang mungkin tidak terpikirkan oleh Anda. Apakah Anda menerapkan perlindungan yang wajar selama ini?
Seri berikutnya: Segmentasikan jaringan Anda dan pantau siapa yang mencoba masuk dan keluar.
