Kesalahan yang merugikan perusahaan jutaan dolar bisa datang dari mana saja. Untuk satu agen kredit terkenal, kesalahannya berada dalam framework yang belum di update di salah satu database-nya. Masalah ini memakan biaya sekitar US$575 juta ketika informasi pribadi milik hampir 150 juta orang hilang.
Ini adalah peringatan betapa pentingnya dan mahalnya data kalau dicuri. Dan dengan pekerjaan jarak jauh atau work from home (WFH) menjadi suatu keharusan, semakin penting bagi bisnis untuk fokus pada keamanan digital.
Bagi banyak perusahaan di Timur Tengah dan Afrika, awal tahun 2020 berfokus pada kekhawatiran yang lebih mendesak seputar kelangsungan bisnis. Prioritas nomor satu adalah mencari cara bagaimana para karyawan bisa terus bekerja secara jarak jauh tanpa gangguan.
Tetapi lambat laun, ancaman yang lebih berbahaya muncul kembali.
Meskipun karyawan tidak berada di kantor secara fisik saat ini, mereka masih berkolaborasi dengan aset-aset penting yang berisi data sensitif. Mereka tidak hanya masuk ke lingkungan perusahaan dan aplikasi lini bisnis, tetapi juga mengakses, mengedit, dan berbagi data sensitif. Meskipun beberapa aktivitas ini mungkin terjadi melalui perangkat yang dikelola perusahaan, banyak profesional bekerja dari komputer pribadi atau perangkat sharing lainnya.
Perusahaan sudah mulai merasakan konsekuensinya. Dalam survei terbaru oleh Microsoft, 73 persen chief information security officers (CISO) mengungkapkan bahwa organisasi mereka telah mengalami kebocoran data sensitif selama 12 bulan terakhir.
Di seluruh dunia, departemen TI berfokus pada peralihan ke pekerjaan jarak jauh dan, dalam banyak kasus, manajemen data mulai terlantar. Sebagai contoh, 75 persen data yang disimpan oleh satu organisasi di Uni Emirat Arab masih belum diklasifikasikan atau sudah obsolete.
Mungkin bisa dikatakan tahun 2020 telah menciptakan badai yang dahsyat bagi kepatuhan (compliance) terhadap peraturan.
Bisnis sekarang mengalami peningkatan risiko eksposur
COVID-19 memiliki dampak luar biasa pada laju transformasi digital untuk bisnis di seluruh dunia. Tetapi bagi banyak organisasi, ini berarti mereka harus cepat meluncurkan teknologi baru sebelum check and balances yang diperlukan bisa diterapkan. Dalam survei yang dilakukan oleh firma hukum global, Baker McKenzie, lebih dari sepertiga bisnis mengatakan perusahaan mereka menerapkan teknologi baru tanpa memikirkan potensi risiko regulasi.
Mungkin tidak mengherankan bahwa laju digitalisasi yang cepat telah meningkatkan risiko keterpaparan (exposure). Sudah 41 persen yang disurvei oleh Baker McKenzie mengatakan organisasi mereka telah menjadi sasaran penyelidikan penegakan hukum karena teknologi baru diterapkan dengan salah.
Baru awal tahun ini Undang-Undang Perlindungan Data Dubai International Financial Center (DIFC) mulai berlaku, memberikan peraturan baru seputar pemrosesan data pribadi. Undang-undang tersebut merupakan pendorong bagi undang-undang perlindungan data di kawasan Teluk, di mana Qatar sudah memiliki Undang-undang Privasi serta Perlindungan Data Pribadi dan Bahrain memiliki undang-undang privasi data.
Di Afrika, Undang-Undang Perlindungan Informasi Pribadi (POPI) mulai berlaku di Afrika Selatan mulai Juli 2021. Undang-undang tersebut mengatur bagaimana bisnis harus mengumpulkan, menangani dan menghapus data, Kalau tidak mengikuti peraturan ini, hukumannya bisa sampai R10 juta (US$ 652.609,50) atau maksimal 10 tahun penjara.
Lebih rumit lagi, petugas kepatuhan perusahaan yang menangani masalah ini harus memikul pengurangan anggaran, karena pada tahun 2020 banyak bisnis di bawah tekanan untuk mengurangi biaya.
Menggunakan teknologi untuk membantu menegakkan kebijakan perusahaan
Alat dan proses yang tepat dapat membantu meringankan beban ini.
Perlindungan Informasi Microsoft (atau Microsoft Information Protection), misalnya, bisa membantu bisnis mengelola peningkatan risiko data yang ditimbulkan oleh pekerjaan jarak jauh. Platform memahami dan mengklasifikasikan data perusahaan, memastikan agar tetap terlindungi, dan mencegah kehilangan data di aplikasi Microsoft 365, online services, aplikasi software-as-a-service (SaaS) pihak ketiga, dan lainnya — di kantor atau di cloud. Pendekatan pencegahan kehilangan data (Unified Data Lost Prevention – DLP) terpadu ini bisa membantu membuat prosesnya lebih mudah, memungkinkan bisnis untuk menyetel kebijakan DLP sekali dan menerapkannya di seluruh layanan, jaringan, perangkat, dan aplikasi pihak pertama dan ketiga.
Endpoint DLP kemudian memberikan label dan klasifikasi di Microsoft Information Protection dan memperluas kapabilitas DLP yang ada di Microsoft 365, membantu perusahaan melindungi informasi sensitif pada titik akhir (endpoint). Fitur ini sudah ada di dalam Windows 10, Microsoft 365Apps, dan Microsoft Edge — tanpa perlu menerapkan perangkat lunak tambahan, yang membuatnya jauh lebih mudah untuk mengakses data perusahaan. Bagi pengguna, ini memastikan keamanan, tanpa mengorbankan produktivitas.
Fungsi utama dari Endpoint DLP menyediakan tips kebijakan untuk membantu mendidik pengguna saat mereka melanggar kebijakan. Ini juga terintegrasi dengan Microsoft Defender for Endpoint, yang dapat membantu bisnis memprioritaskan respons insiden berdasarkan faktor-faktor tambahan.
Platform seperti Conditional Access juga membantu mengamankan akses ke aplikasi cloud. Melalui proses otentikasi dengan sign-in dan fitur keamanan lainnya, perusahaan bisa menegakkan kebijakan organisasi seputar akses ke informasi. Pada dasarnya, kontrol diterapkan pada basis kontekstual, memblokir akses bila perlu, tetapi juga membuka akses saat diperlukan.
Pada saat menyiapkan kebijakan akses bersyarat, bisnis perlu mempertimbangkan mengadopsi otentikasi multi-faktor (atau multi-factor authentication – MFA). Karena MFA meminta pengguna untuk memberikan beberapa kredensial untuk masuk ke sistem, ini membantu mencegah orang di luar organisasi mendapatkan akses ke jaringan. Misalnya, kebijakan memberlakukan MFA saat pengguna masuk dari perangkat atau lokasi baru.
MFA sangat mudah diterapkan oleh tim TI dan dapat menghentikan hingga 99,9 persen serangan penyusupan akun. Manfaat utama lainnya adalah memungkinkan tim TI untuk menggantikan penggunaan kata sandi dengan menerapkan sejumlah langkah otentikasi lainnya – seperti sidik jari, pemindaian iris mata dan pengenalan wajah. Teknologi seperti ini tidak hanya jauh lebih sulit untuk dieksploitasi – diperkirakan sekitar 81 persen dari pelanggaran terkait peretasan dikarenakan kata sandi yang lemah atau dicuri – tetapi ini juga menawarkan pengalaman pengguna yang jauh lebih mulus kepada karyawan.
Alat seperti ini akan sangat membantu organisasi tetap patuh pada regulasi. Tetapi teknologi saja tidak cukup. Untuk mengatasi daftar tantangan kepatuhan yang terus bertambah, bisnis harus memastikan praktik yang aman menjadi standar bagi karyawan dalam perilaku dan solusi kerja jarak jauh mereka. Dalam lingkungan kerja saat ini, dibutuhkan yang terbaik dari manusia dan komputer untuk berhasil.