Perlunya pengelolaan informasi dan klasifikasi data untuk mematuhi Peraturan Perlindungan Data Umum (GDPR)

Mendekati Peraturan Perlindungan Data Umum (GDPR) baru, yang berlaku mulai Mei 2018, perusahaan yang berlokasi di Eropa atau dengan data pribadi orang-orang yang tinggal di Eropa sedang berjuang untuk menemukan aset mereka yang paling berharga di perusahaan – data sensitif mereka.

Peraturan baru mengharuskan organisasi untuk mencegah pelanggaran data informasi identitas pribadi (PII) dan menghapus data apa pun jika individu tertentu meminta untuk melakukannya. Setelah semua data PII dihapus, perusahaan perlu membuktikan bahwa data tersebut telah dihapus sepenuhnya untuk orang tersebut dan pihak berwenang.

Sebagian besar perusahaan saat ini memahami kewajiban mereka untuk menunjukkan akuntabilitas dan kepatuhan, dan dengan demikian telah mulai mempersiapkan peraturan baru.

Ada begitu banyak informasi tentang cara melindungi data sensitif Anda, sehingga orang bisa lelah dan mulai menunjuk ke arah yang berbeda, berharap untuk mencapai target dengan tepat. Jika Anda berencana untuk mengelola data Anda, Anda masih dapat mencapai tenggat waktu dan menghindari hukuman.

Beberapa organisasi, sebagian besar bank, perusahaan asuransi, dan produsen memiliki data dalam jumlah besar, karena mereka menghasilkan data dengan kecepatan yang dipercepat, dengan mengubah, menyimpan, dan berbagi file, sehingga menghasilkan terabyte dan bahkan petabyte data. Kesulitan untuk jenis perusahaan ini adalah untuk menemukan data sensitif mereka dalam jutaan file, dalam data terstruktur dan tidak terstruktur, yang sayangnya dalam banyak kasus adalah tugas yang mustahil untuk dilakukan.

Data pengenal pribadi berikut ini diklasifikasikan sebagai informasi pengenal pribadi di bawah identifikasi yang digunakan oleh National Institute of Standards and Technology (NIST):

o nama lengkap

o alamat rumah

o Alamat email

o Nomor ID Nasional

o Nomor paspor

o Alamat IP (saat menautkan, tetapi bukan PII per se di AS)

o Nomor plat kendaraan

o Nomor Surat Izin Mengemudi

o Wajah, sidik jari atau tulisan tangan

o Nomor kartu kredit

o identitas digital

o tanggal lahir

o tempat lahir

o informasi genetik

o nomor telepon

o Nama login, nama layar, alias atau pegangan

Sebagian besar organisasi yang memegang PII untuk warga negara Eropa memerlukan pengungkapan dan perlindungan terhadap pelanggaran data PII, dan penghapusan PII (sering disebut sebagai hak untuk dilupakan) dari data perusahaan. Jurnal Resmi Uni Eropa: Regulasi (EU) 2016/679 Parlemen Eropa dan Dewan 27 April 2016 menyatakan:

“Otoritas pengawas harus memantau penerapan ketentuan sesuai dengan Regulasi ini dan berkontribusi pada penerapannya secara konsisten di seluruh Uni, untuk melindungi individu sehubungan dengan pemrosesan data pribadi mereka dan untuk memfasilitasi aliran bebas data pribadi dalam pasar dalam.”

Untuk memungkinkan perusahaan dengan PII warga negara Eropa untuk memfasilitasi aliran bebas PII di pasar Eropa, mereka harus dapat mengidentifikasi dan mengklasifikasikan data mereka sesuai dengan tingkat sensitivitas kebijakan peraturan mereka.

Ini mengidentifikasi aliran data dan tantangan pasar sebagai berikut:

“Perkembangan teknologi yang cepat dan globalisasi telah menciptakan tantangan baru untuk perlindungan data pribadi. Volume pengumpulan dan pembagian data pribadi telah meningkat secara dramatis. Teknologi memungkinkan perusahaan swasta dan otoritas publik untuk menggunakan data pribadi dalam skala yang belum pernah terjadi sebelumnya untuk mengejar tujuan mereka. aktivitas Orang yang semakin alami Dengan membuat informasi pribadi tersedia untuk umum dan global Teknologi telah mengubah ekonomi dan kehidupan sosial, dan juga harus memfasilitasi aliran bebas data pribadi di dalam Uni dan transfernya ke negara ketiga dan organisasi internasional, sambil memastikan perlindungan data pribadi tingkat tinggi.”

Tahap 1 – Deteksi Data

Oleh karena itu, langkah pertama yang harus diambil adalah membuat urutan data yang memungkinkan untuk memahami ke mana data PII mereka dilemparkan ke seluruh organisasi, dan akan membantu pengambil keputusan menemukan jenis data tertentu. Uni Eropa merekomendasikan untuk memiliki teknologi otomatis yang dapat menangani data dalam jumlah besar dengan memindainya secara otomatis. Tidak peduli ukuran tim Anda, ini bukan proyek yang dapat ditangani secara manual ketika dihadapkan dengan jutaan jenis file berbeda yang tersembunyi di berbagai area: di cloud, di penyimpanan, dan di desktop lokal.

Perhatian utama untuk jenis organisasi ini adalah bahwa jika mereka tidak dapat mencegah pelanggaran data, mereka tidak akan mematuhi peraturan UE yang baru tentang Peraturan Perlindungan Data Umum dan dapat menghadapi hukuman berat.

Mereka perlu menunjuk personel khusus yang akan bertanggung jawab atas keseluruhan proses seperti Data Protection Officer (DPO) yang terutama menangani solusi teknologi, Chief Information Officer (CIGO), biasanya seorang pengacara yang bertanggung jawab atas kepatuhan, dan/atau Pejabat Risiko Kepatuhan (CRO). Orang ini harus mampu mengendalikan seluruh proses dari awal hingga akhir, dan mampu memberikan transparansi penuh kepada manajemen dan otoritas.

“Pengendali harus memberikan perhatian khusus pada sifat data pribadi, tujuan dan durasi pemrosesan atau operasi yang diusulkan, serta situasi di negara asal, negara ketiga, dan negara tujuan akhir, dan harus menyediakan informasi yang sesuai. perlindungan untuk melindungi hak-hak dasar dan kebebasan individu sehubungan dengan pemrosesan data pribadi mereka.”

Data PII dapat ditemukan di semua jenis file, tidak hanya dalam PDF dan dokumen teks, tetapi juga dapat ditemukan dalam dokumen gambar – misalnya, pindaian, file CAD/CAM yang dapat berisi IP produk, gambar, kode, atau file biner rahasia, dll. ‘. Teknologi populer saat ini dapat mengekstrak data dari file sehingga membuat data tersembunyi dalam teks, mudah ditemukan, tetapi sisa file yang di beberapa organisasi seperti manufaktur mungkin memiliki sebagian besar data sensitif dalam file gambar. Jenis file ini tidak dapat dideteksi secara akurat, dan tanpa teknologi yang tepat yang mampu mendeteksi data PII dalam format file selain teks, informasi penting ini dapat dengan mudah terlewatkan dan menyebabkan kerugian besar bagi organisasi.

Tahap 2 – Klasifikasi Data

Tahap ini terdiri dari operasi penambangan data di belakang layar, yang dihasilkan oleh sistem otomatis. Petugas perlindungan data (DPO)/pengontrol atau pembuat keputusan keamanan informasi perlu menentukan apakah akan melacak data tertentu, memblokir data, atau mengirim peringatan tentang pelanggaran data. Untuk melakukan tindakan ini, dia perlu menampilkan datanya dalam kategori terpisah.

Klasifikasi data terstruktur dan tidak terstruktur memerlukan identifikasi data yang lengkap dengan tetap menjaga skalabilitas – pemindaian yang efisien dari semua database tanpa “mendidih lautan”.

Petugas perlindungan data juga diperlukan untuk menjaga visibilitas data di berbagai sumber, dan dengan cepat menyajikan semua file yang terkait dengan orang tertentu menurut entitas tertentu seperti: nama, tanggal lahir, nomor kartu kredit, nomor jaminan sosial, telepon, alamat email , dll.

Jika terjadi pelanggaran data, Petugas Perlindungan Data harus melapor langsung ke tingkat manajemen tertinggi dari pengontrol atau pemroses, atau kepada Petugas Keamanan Informasi yang akan bertanggung jawab untuk melaporkan pelanggaran tersebut kepada pihak yang berwenang.

Pasal 33 Peraturan Perlindungan Data Umum UE mengharuskan pelanggaran ini dilaporkan kepada pihak berwenang dalam waktu 72 jam.

Setelah petugas perlindungan data mengidentifikasi data, langkah selanjutnya adalah memberi label/tag pada file sesuai dengan tingkat sensitivitas yang ditetapkan oleh organisasi.

Sebagai bagian dari kepatuhan terhadap peraturan, file organisasi harus diberi tag secara akurat sehingga file ini dapat dilacak di tempat dan bahkan saat dibagikan di luar organisasi.

Tahap 3 – Pengetahuan

Setelah data ditandai, Anda dapat memetakan informasi pribadi di seluruh jaringan dan sistem, baik terstruktur maupun tidak terstruktur, dan mudah dilacak, memungkinkan organisasi untuk melindungi data sensitif mereka dan memungkinkan pengguna akhir untuk menggunakan dan berbagi file dengan aman, sehingga meningkatkan pencegahan kehilangan data .

Aspek lain yang perlu dipertimbangkan adalah melindungi informasi sensitif dari ancaman orang dalam – karyawan yang mencoba mencuri data sensitif seperti kartu kredit, daftar kontak, dll. Atau memanipulasi data untuk mendapatkan keuntungan. Sulit untuk mendeteksi jenis tindakan ini tepat waktu tanpa pelacakan otomatis.

Tugas yang memakan waktu ini berlaku untuk sebagian besar organisasi, mendorong mereka untuk mencari cara yang efektif untuk mendapatkan wawasan dari data perusahaan mereka sehingga mereka dapat mendasarkan keputusan mereka di atasnya.

Kemampuan untuk menganalisis pola data intrinsik membantu organisasi mendapatkan pandangan yang lebih baik tentang data organisasi mereka sendiri dan menunjukkan ancaman spesifik.

Integrasi teknologi enkripsi terkontrol memungkinkan pelacakan dan pemantauan data yang efektif, dan dengan menerapkan sistem pemisahan fisik internal, dapat membuat geo-pagar data dengan definisi pemisahan data pribadi, lintas geo-domain/domain, dan berbagi laporan pelanggaran setelah aturan tersebut dilanggar. Menggunakan kombinasi teknologi ini, konsol dapat memungkinkan karyawan untuk mengirim pesan dengan aman ke seluruh organisasi, antara departemen yang sesuai dan di luar organisasi tanpa melewati pemblokiran.

Tahap 4 – Kecerdasan Buatan (AI)

Setelah data dipindai, diberi tag, dan dilacak, nilai yang lebih tinggi bagi organisasi adalah kemampuan untuk secara otomatis memeriksa perilaku eksternal data sensitif dan memicu tindakan perlindungan untuk mencegah peristiwa ini berkembang menjadi insiden pelanggaran data. Teknologi canggih ini dikenal sebagai “kecerdasan buatan” (AI). Di sini fungsi AI biasanya terdiri dari komponen pengenalan pola yang kuat dan mekanisme pembelajaran untuk memungkinkan perangkat membuat keputusan ini atau setidaknya merekomendasikan petugas perlindungan data tentang tindakan yang diinginkan. Kecerdasan ini diukur dengan kemampuannya untuk mendapatkan lebih banyak kebijaksanaan dari setiap survei dan masukan pengguna atau perubahan dalam pemetaan data. Pada akhirnya, fungsionalitas AI membangun jejak digital organisasi yang menjadi lapisan penting antara data mentah dan aliran bisnis seputar perlindungan data, kepatuhan, dan manajemen data.

Leave a Reply

Comment
Name*
Mail*
Website*