Sistem Keamanan Privasi | Pelanggaran Privasi

Semua organisasi harus mengatasi masalah privasi

Tujuan Organisasi harus menjaga privasi :

  • Mempertahankan kepercayaan pelanggan
  • Mempertahankan loyalitas dan dukungan pelanggan
  • Meningkatkan merk korporat

Organisasi mulai mengatasi beberapa masalah privasi, tetapi masih ada pelanggaran privasi yang signifikan yang semakin banyak dialami oleh organisasi

Organisasi harus bersiap untuk mengatasi pelanggaran privasi ini sehingga mereka dapat meresponsnya dengan cara yang paling efektif dan efisien, meminimalkan tidak hanya dampak bisnis yang negatif tetapi juga dampak pribadi yang negatif kepada pelanggan.

Insiden dapat terjadi melalui berbagai cara

Semakin banyak pelanggaran yang terjadi

Privacy Rights Clearinghouse (PRC) mencatat 705 pelanggaran yang telah mereka temukan dilaporkan dalam berita di Amerika Serikat antara 15 Februari 2005, dan 25 Oktober 2007. Pelanggaran ini secara kumulatif melibatkan informasi lebih dari 168 juta orang. Attrition.org juga melacak pelanggaran, banyak di antaranya tidak ada dalam daftar RRC. Penulis juga menemukan lebih banyak pelanggaran tidak ada dalam daftar, dan sejumlah besar insiden tidak dilaporkan dalam berita.

Menurut studi pelanggaran privasi Ponemon yang dirilis pada Oktober 2006, * kerugian yang melibatkan PII membebani perusahaan AS sekitar $ 182 per catatan individu yang dikompromikan. Nilai ini naik dari $ 138 per catatan individu pada tahun 2005. Mengingat bahwa sebagian besar pelanggaran berdampak pada ribuan orang, ini sangat berarti. Masing-masing dari 56 perusahaan yang disurvei memiliki $ 2,5 juta dalam bisnis yang hilang sebagai akibat dari setiap insiden.

Pencegahan Jauh Lebih Murah Daripada Respons dan Pemulihan

Organisasi harus siap untuk menanggapi insiden terkait privasi. Keamanan informasi dan area privasi harus bekerja bersama mengikuti rencana respons pelanggaran yang teruji secara matang dan teruji agar efektif. Merencanakan mengatasi pelanggaran privasi :

  • Definisikan kemungkinan pelanggaran privasi
  • Buat rencana respon untuk pelanggaran privasi
  • Tahu kapan pelanggaran privasi telah terjadi
  • Ketahui kapan pemberitahuan perlu
  • Lanjutkan kegiatan pemulihan setelah terjadi pelanggaran

Definisikan kemungkinan pelanggaran privasi

Ada banyak jenis potensi pelanggaran privasi.

Sebagian besar tumpang tindih dengan dan merupakan bagian dari insiden keamanan informasi, menyoroti perlunya praktisi privasi dan keamanan informasi untuk bekerja sama untuk mengatasi pelanggaran privasi.

Buat rencana pelanggaran identifikasi

Mengidentifikasi item Personally Identifiable Information (PII) yang ditangani organisasi Anda.

Anda tidak dapat mengetahui apakah pelanggaran privasi telah terjadi kecuali jika Anda tahu PII apa yang ada dan di mana PII itu berada.

Temukan PII

  • Identifikasi semua hukum dan peraturan yang berlaku
  • Identifikasi dan dokumentasikan semua jenis PII yang dirujuk dalam UU dan peraturan
  • Dokumentasikan semua jenis PII dalam kontrak dan kebijakan privasi situs Web
  • Buat inventaris semua PII yang digunakan dalam organisasi
  • Identifikasi dan dokumentasikan di mana PII dikumpulkan di seluruh organisasi
  • Identifikasi dan dokumentasikan di mana PII disimpan dan diakses di seluruh organisasi
  • Identifikasi dan dokumentasikan semua poin di mana PII meninggalkan organisasi

Buat rencana respon pelanggaran privasi

Berkoordinasi dengan dan memasukkan tindakan rencana dengan rencana respons insiden keamanan informasi. Pastikan rencana respon dengan mempertimbangkan Intrusion Detection System (IDS).

Tujuan utama penanganan insiden pelanggaran privasi :

  • Mengontrol dan meminimalkan kerusakan dengan cepat
  • Simpan bukti
  • Beri tahu individu jika perlu
  • Pulihkan sesegera mungkin
  • Terus memantau dampak hilir
  • Belajar dari insiden tersebut dan membuat perubahan untuk membantu mencegah insiden serupa terjadi lagi

Ketahui kapan pelanggaran privasi terjadi

Insiden dapat dilaporkan dari banyak sumber berbeda :

  • Personil
  • Pelanggan
  • Masyarakat umum
  • Mitra bisnis
  • Media berita
  • Sistem otomatis

Pemberitahuan Pelanggaran

Biasanya Anda harus memberi tahu orang lain ketika terjadi pelanggaran yang melibatkan PII.

  • Pelanggan
  • Mitra bisnis
  • Penyedia telekomunikasi
  • Jaksa Agung negara bagian
  • Badan pengawas regulasi, seperti FTC
  • Penegakan hukum
  • Vendor perangkat lunak
  • Penyedia Layanan Internet (ISP)
  • Media berita
  • Tim respons insiden lainnya
  • Pemilik sumber insiden
  • jaringan perusahaan
  • Pengacara

Pemulihan

  1. Kembalikan program dari media yang disediakan vendor yang tepercaya
  2. Kembalikan data dari cadangan tepercaya
  3. Pasang patch atau perbaikan yang sesuai
  4. Ubah akun dan kata sandi sesuai kebutuhan
  5. Monitor sistem untuk serangan lebih lanjut
  6. Memodifikasi sistem dan prosedur untuk mencegah insiden berikutnya

.

Materi lainnya :

  1. Privasi Informasi dan Keamanan | Identifikasi dan Otentifikasi
  2. Sistem Keamanan Informasi | Manajemen Ancaman Terpadu
  3. Sistem Keamanan Informasi | Sistem Manajemen Keamanan Informasi
  4. Sistem Keamanan Privasi | Pelanggaran Privasi

3 thoughts on “Sistem Keamanan Privasi | Pelanggaran Privasi

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.