Semua Yang Perlu Anda Ketahui Keamanan Data – Keamanan data adalah salah satu tugas paling menakutkan bagi para profesional TI dan infosec. Setiap tahun, perusahaan dari semua ukuran menghabiskan sebagian besar anggaran keamanan TI mereka untuk melindungi organisasi mereka dari peretas yang bermaksud mendapatkan akses ke data melalui kekerasan, mengeksploitasi kerentanan, atau rekayasa sosial.
Semua Yang Perlu Anda Ketahui Keamanan Data
eldos – Sepanjang panduan ini terdapat tautan yang akan membantu Anda mempelajari lebih lanjut tentang tantangan terkait mengamankan data sensitif, memastikan kepatuhan terhadap mandat pemerintah dan industri, serta menjaga privasi pelanggan. Seiring dengan tantangan, Anda akan menemukan saran tentang cara menyelesaikannya.
Biaya rata-rata pelanggaran data pada tahun 2019 dihitung sebesar $3,92 juta, menurut laporan oleh Ponemon Institute dan IBM Security.
Perusahaan terkenal seperti Capital One, Evite, dan Zynga mengalami pelanggaran data yang masing-masing mengekspos lebih dari 100 juta akun pelanggan.
Rata-rata insiden keamanan pada 2019 melibatkan 25.575 akun, menurut laporan tersebut. Lebih buruk lagi, informasi ini harus diungkapkan kepada pelanggan, dan organisasi berpotensi berakhir sebagai kisah peringatan.
Baca Juga : Ulasan Software Keamanan Data Trend Micro
Pelajaran dari pelanggaran ini sangat banyak, termasuk kebutuhan untuk melakukan hal berikut:
- meninjau persyaratan dan kebijakan kredensial
- melacak data apa yang disimpan dan di mana disimpan
- periksa kesalahan konfigurasi cloud secara teratur dan
- paksa reset password jika ada dugaan pelanggaran.
Perpindahan ke cloud menghadirkan vektor ancaman tambahan yang harus dipahami dengan baik sehubungan dengan keamanan data.
Survei SANS State of Cloud Security 2019 menemukan bahwa 19% responden survei melaporkan peningkatan akses tidak sah oleh pihak luar ke lingkungan cloud atau aset cloud, naik 7% sejak 2017.
Ransomware dan phishing juga sedang meningkat dan dianggap sebagai ancaman utama . Perusahaan harus mengamankan data agar tidak bocor melalui malware atau rekayasa sosial.
Pelanggaran dapat berupa peristiwa mahal yang menghasilkan tuntutan hukum class action jutaan dolar dan dana penyelesaian korban. Jika perusahaan memerlukan alasan untuk berinvestasi dalam keamanan data, mereka hanya perlu mempertimbangkan nilai yang ditempatkan pada data pribadi oleh pengadilan.
Sherri Davidoff, penulis Data Breaches: Crisis and Opportunity , mencantumkan lima faktor yang meningkatkan risiko pelanggaran data: akses jumlah waktu data disimpan jumlah salinan data yang ada betapa mudahnya mentransfer data dari satu lokasi ke lokasi lain dan memprosesnya dan nilai yang dirasakan dari data oleh penjahat.
Banyak organisasi menyadari bahwa nilai data dan biaya untuk melindungi data meningkat secara bersamaan, sehingga hampir tidak mungkin untuk melindungi data hanya dengan menambahkan lebih banyak keamanan. Sebaliknya, tim TI dan infosec harus berpikir secara proaktif dan kreatif tentang strategi perlindungan data mereka.
Mereka juga harus menilai risiko mereka versus perlindungan yang diberikan oleh investasi keamanan mereka saat ini dan membuat keputusan yang sesuai. Untuk melakukannya memerlukan tingkat visibilitas yang belum pernah ada sebelumnya yang tidak dimiliki sebagian besar organisasi saat ini.
Pakar keamanan Ashwin Krishnan menyarankan profesional TI dan keamanan untuk fokus pada tiga aspek utama ketika mencoba meningkatkan keamanan data di perusahaan modern semakin banyak data yang dihasilkan dan dikumpulkan menghadirkan “permukaan” yang lebih besar untuk pelanggaran data.
Hak pelanggan diperluas dengan kepatuhan peraturan baru dan mandat kepatuhan privasi , seperti GDPR dan California Consumer Privacy Act ; dan perusahaan harus waspada jika mereka terlibat dalam perantara data .
Jenis keamanan data
Keamanan data memiliki banyak sekali aspek yang melindungi informasi saat diam, bergerak, dan digunakan. Berikut adalah beberapa teknologi yang banyak digunakan oleh perusahaan untuk melindungi data.
Salah satu konsep paling dasar dari keamanan data adalah enkripsi , karena hanya mengenkripsi data sensitif dapat sangat membantu dalam memenuhi mandat privasi dan kepatuhan serta menjaga keamanan informasi sensitif dari peretas.
Enkripsi bukanlah proposisi satu ukuran untuk semua, karena organisasi harus memilih algoritme enkripsi yang sesuai dengan persyaratan keamanan perusahaan mereka. Tutorial enkripsi kami menguraikan perbedaan dan membantu Anda memilih pendekatan terbaik untuk organisasi Anda.
Bentuk enkripsi yang paling umum simetris melibatkan konversi plaintext ke ciphertext menggunakan kunci yang sama untuk enkripsi dan dekripsi.
Enkripsi asimetris menggunakan dua kunci yang saling bergantung satu untuk mengenkripsi data dan satu lagi untuk mendekripsinya.
Enkripsi simetris memiliki banyak “rasa”, termasuk Standar Enkripsi Lanjutan dan Triple DES. Asimetris memiliki pertukaran kunci Diffie-Hellman dan RSA, antara lain. Perusahaan yang tidak ingin mengenkripsi semua informasinya harus menentukan prioritas data melalui klasifikasi.
Keamanan Perimeter
Sistem deteksi penyusupan dan sistem pencegahan penyusupan, bersama dengan daftar kontrol akses, meningkatkan batas keamanan organisasi dan mengurangi keparahan serangan yang masuk.
Sementara itu, manajemen keamanan titik akhir dapat melacak tanda tangan malware dan mencegahnya menyebabkan kerusakan. Pakar jaringan Kevin Tolly menjelaskan perlunya pendekatan multi cabang untuk keamanan data , serta ciri-ciri unik serangan cepat dan frontal dibandingkan dengan serangan rendah dan lambat.
Pencegahan kehilangan data (DLP)
DLP mencegah pengguna mentransfer data sensitif, dan organisasi dapat meluncurkannya sebagai perangkat lunak keamanan perusahaan.
Alat DLP dapat digunakan sebagai agen di titik akhir atau tanpa agen di tingkat jaringan. Pelajari cara memilih produk DLP serta pertimbangan untuk penerapan DLP.
Perangkat lunak DLP sering kali menyertakan template untuk membantu kepatuhan dengan mandat tertentu, seperti HIPAA dan PCI DSS.
Broker keamanan akses cloud ( CASB ) juga melakukan tugas DLP dan dapat membantu mengurangi ancaman terhadap data di cloud. CASB secara aktif campur tangan dalam sesi aplikasi pengguna-ke-cloud dengan mencegat lalu lintas sesi, membantu memantau dan menegakkan kebijakan keamanan perusahaan.
CASB memindai objek data, seperti file dan dokumen, untuk memastikan mereka mematuhi standar perusahaan dan peraturan pemerintah.
Praktik terbaik untuk mengembangkan strategi keamanan data
Keamanan data, yang sering dianggap sebagai alat pencegahan, deteksi, dan mitigasi yang digunakan organisasi, sama pentingnya dengan strategi dan penerapan praktik terbaik. Awal yang baik untuk mengembangkan strategi terletak pada fokus pada area berikut.
Tata kelola, risiko, dan kepatuhan (GRC)
Beberapa perusahaan menggunakan GRC sebagai kerangka kerja untuk memastikan keamanan data dan kepatuhan privasi.
Tata kelola mengacu pada bagaimana perusahaan menggunakan sistem manajemen informasi dan kontrol hierarkis untuk memastikan kepatuhan. Manajemen risiko adalah identifikasi, analisis, dan respons terhadap potensi risiko.
Kepatuhan adalah jaminan kesesuaian terhadap peraturan dan kebijakan perusahaan saat menangani data. Manajemen risiko terintegrasi membawa GRC selangkah lebih maju untuk mempercepat pengambilan keputusan dan kinerja.
dalam Aspek manusia atau ancaman orang dalam sering kali diremehkan atau bahkan diabaikan ketika perusahaan mengembangkan strategi keamanan data.
Pakar privasi dan manajemen risiko Sudeep Venkatesh mengatakan serangan phishing yang ditargetkan dan serangan kompromi email bisnis, yang ditujukan untuk orang-orang teratas dalam organisasi, menyebabkan kerugian paling besar dalam hal kehilangan data.
Untuk memerangi tren ini, perusahaan harus memberlakukan praktik terbaik yang menggabungkan pencegahan dan perlindungan sehingga komunikasi aman dan tersampaikan kepada orang yang tepat.
Jika tidak ada tindakan yang diambil, perusahaan akan rentan terhadap pelanggaran yang diprakarsai oleh tindakan yang dilakukan oleh orang dalam baik yang berbahaya maupun tidak disengaja.
Media sosial Media
Sosial adalah pengguna vektor lain yang menjadi mangsa dalam hal mengundang malware ke dalam perusahaan. Misalnya, peretas akan memanfaatkan pengguna yang mencari “kode cheat” untuk mengakses aplikasi pihak ketiga, seperti game di platform seperti Facebook, secara gratis.
Kode cheat dapat berupa Trojan yang memungkinkan pelaku jahat untuk mengontrol perangkat, menginstal ransomware, mengaktifkan kamera atau mikrofon, dan merekam penekanan tombol untuk mencuri kata sandi.
Aplikasi pihak ketiga hanyalah salah satu dari banyak risiko media sosial perusahaan yang harus dipantau dan dikurangi.
Visibilitas dan penemuan
Organisasi juga tersandung di bagian depan tata kelola data ketika mereka tidak dapat menemukan data penting yang hidup di sudut-sudut di seluruh perusahaan.
Misalnya, melindungi data adalah tugas yang sangat berat ketika pengguna dapat mengunduh informasi sensitif ke hard drive mereka dan alat kepatuhan yang tidak terlihat.
Peraturan pemerintah dan standar perusahaan mendorong perusahaan untuk mendapatkan visibilitas yang lebih baik tentang cara mereka menangani, menyimpan, dan memproses data.
Data berbasis cloud juga memerlukan mekanisme penemuan untuk memastikan tata kelola . Sebelum menerapkan proyek apa pun ke cloud, tim TI dan keamanan harus memahami tipe data yang akan terlibat, dan masing-masing harus dikategorikan dan dinilai risikonya.
Kebersihan kata sandi
Salah satu praktik terbaik keamanan data yang lebih langsung berpusat pada kata sandi, yang merupakan titik kerentanan universal bagi organisasi.
Laporan Investigasi Pelanggaran Data Verizon 2019 menemukan bahwa 80% pelanggaran terkait peretasan dapat dikaitkan dengan kredensial yang dicuri dan digunakan kembali.
Penyemprotan kata sandi, serangan keylogger, dan teknik peretasan brute force lainnya menunjukkan sepenuhnya kelemahan kata sandi tradisional.
Selain itu, sebagian besar pengguna memiliki terlalu banyak kata sandi aplikasi bisnis untuk mudah diingat, sehingga kebersihan kata sandi menjadi buruk, yang berarti tidak cukup unik atau cukup sering diubah.
Membuat kata sandi lebih lama belum tentu jawabannya. Mereka harus lebih kompleks atau digunakan bersama dengan token, biometrik, atau jenis otentikasi lainnya.
Pengguna juga dapat menggunakan pengelola kata sandi perusahaan, yang menyimpan kata sandi terenkripsi yang mereka gunakan di seluruh aplikasi, untuk meringankan beban mengingat setiap aplikasi masuk.