Institusi Keuangan, seperti yang kita ketahui, telah ada selama berabad-abad. Meskipun cara kita melakukan transaksi perbankan telah banyak berubah, prinsip dasarnya tetap sama. Bank selalu memiliki banyak informasi pribadi dan keuangan tentang nasabah mereka. Saat ini, semua data tersebut menjadi lebih mudah diakses, yang menuntut langkah-langkah keamanan siber yang lebih kuat untuk melindunginya. Perkembangan teknologi keuangan telah membawa banyak inovasi dan perubahan dalam beberapa dekade terakhir, seperti transfer uang, kartu kredit/debit, perbankan online, dan pembayaran mobile. Bank tidak hanya harus memperbarui sistem mereka untuk menyesuaikan dengan perubahan ini, tetapi juga mengubah proses mereka untuk memastikan keamanan tetap terjaga saat mengimplementasikan teknologi baru. Melindungi informasi sensitif dan menerapkan langkah-langkah keamanan untuk mencegah serangan dari para penjahat siber, termasuk phishing dan upaya malware, juga sangat penting saat ini. Peraturan perbankan terus berubah sesuai dengan persyaratan yang diterapkan oleh sistem perbankan modern. Bank memiliki tanggung jawab hukum untuk menjaga data nasabah tetap aman dan melindunginya dari serangan siber atau akses yang tidak sah. Dalam artikel ini, kita akan melihat bagaimana bank dan perusahaan layanan keuangan modern memastikan bahwa mereka memenuhi tanggung jawab ini. Praktik Terbaik Keamanan Data untuk Bank Untuk mengamankan data sensitif, bank harus mengikuti pendekatan 360 derajat untuk memastikan bahwa kebocoran data tidak terjadi baik secara internal maupun eksternal. Ini melibatkan pengamanan baik di sisi nasabah (interaksi nasabah dengan sistem) maupun di sisi internal yang terkait dengan karyawan, vendor, dan sistem. Berikut adalah lima tips untuk mengamankan data di industri perbankan: 1. Autentikasi Autentikasi mengharuskan setiap transaksi di bank dilakukan setelah memastikan identitas orang yang memulai transaksi. Ini berlaku bagi nasabah yang login ke sistem perbankan online atau mobile, bagi mereka yang mengunjungi bank secara langsung, atau yang menggunakan kartu kredit/debit di terminal POS dan ATM. Ini juga berlaku bagi karyawan bank yang memiliki akses ke data nasabah dan bank. Meskipun autentikasi sebelumnya hanya membutuhkan ID dan kata sandi atau PIN, banyak bank kini telah menerapkan autentikasi dua faktor (2FA) dan autentikasi multi-faktor untuk memastikan bahwa orang tersebut benar-benar siapa yang mereka klaim. Bank juga menggunakan teknik autentikasi biometrik untuk memverifikasi identitas nasabah, termasuk biometrik perilaku saat mereka berinteraksi dengan sistem perbankan seperti Interactive Voice Response (IVR). Ini adalah bagian penting dari strategi keamanan informasi bank secara keseluruhan. 2. Jejak Audit Sejarah transaksi perbankan selalu tersedia dalam bentuk laporan atau buku tabungan. Selain itu, sistem perbankan juga mencatat jejak audit untuk setiap kejadian yang terjadi selama interaksi nasabah dengan sistem. Hal ini penting untuk merespons insiden dengan cepat, termasuk pelanggaran keamanan atau serangan ransomware. Baik itu nasabah yang menggunakan perbankan telepon atau perbankan online, waktu interaksi dicatat bersama dengan rincian interaksi tersebut. Data ini dibackup setiap hari dan tidak pernah dihapus sepenuhnya, melainkan diarsipkan dalam interval waktu tertentu. Sebagian dari jejak audit ini mencakup pemeliharaan rencana respons untuk insiden keamanan. 3. Infrastruktur yang Aman Infrastruktur yang aman melibatkan sistem database dan server tempat data disimpan, serta batasan yang ditetapkan untuk mengamankan ini. Data produksi biasanya dienkripsi dalam setiap sistem perbankan inti. Akses ke sistem produksi dibatasi, hanya penyedia yang berwenang yang menangani infrastruktur penting. Manajemen akses yang efektif adalah kunci untuk mengamankan database ini. Jika diperlukan untuk pengujian, data penting seperti nomor rekening bank, nama nasabah, dan alamat harus disamarkan. Vendor yang menangani infrastruktur umumnya berbeda dari yang menangani aplikasi. Karyawan bank biasanya diberikan peralatan khusus di mana akses ke situs web sosial, email pribadi, dan port USB diblokir. Karyawan hanya bisa mengakses jaringan bank melalui VPN saat menggunakan Wi-Fi publik. 4. Proses yang Aman Bank telah menetapkan banyak proses untuk memastikan bahwa keamanan diterapkan dan diuji. Contohnya, pembaruan Know Your Customer (KYC) untuk nasabah, perjanjian kerahasiaan (NDA) untuk karyawan dan vendor, serta pengamanan zona khusus di dalam gedung dan pusat data jarak jauh. Dengan solusi Data Loss Prevention (DLP), bank dapat mengurangi ancaman dari pihak internal dan melindungi data pribadi nasabah seperti nama dan nomor kartu kredit. Solusi ini juga membantu memenuhi persyaratan kepatuhan terhadap regulasi perlindungan data seperti PCI DSS dan GDPR, sehingga memastikan bahwa keamanan bank memenuhi standar yang disepakati dan menjaga informasi nasabah tetap aman. Proses yang berkaitan dengan peraturan global dan lokal juga diterapkan, dan penilaian risiko dilakukan untuk memastikan bahwa proses ini sesuai dengan persyaratan yang ada. 5. Komunikasi Berkelanjutan Bank juga berkomunikasi secara teratur dengan nasabah tentang pembaruan sistem, pengenalan prosedur autentikasi baru, dll., selain laporan rekening yang secara berkala dikirimkan kepada nasabah. Nasabah juga bisa menetapkan batas dan pemberitahuan berdasarkan kondisi tertentu untuk memastikan bahwa mereka diberitahu jika ada aktivitas yang tidak terduga pada akun mereka. Meskipun ada banyak saluran komunikasi yang tersedia, pengaturannya fleksibel untuk memenuhi kenyamanan nasabah. Memperkuat Keamanan Data dengan Endpoint Protector Dengan mengikuti lima tips ini, bank dapat memastikan bahwa data pribadi dan keuangan nasabah tetap aman. Menggunakan berbagai solusi keamanan untuk melindungi data nasabah juga sangat penting. Solusi DLP seperti Endpoint Protector dari CoSoSys memberikan solusi komprehensif yang disesuaikan untuk mengatasi tantangan unik yang dihadapi oleh industri perbankan serta sektor keuangan yang lebih luas. Endpoint Protector membantu mencegah gangguan operasional, masalah peraturan, denda, dan kerusakan reputasi akibat kebocoran data di endpoint. Melindungi data sensitif seperti informasi pribadi nasabah dan data pembayaran, Endpoint Protector secara terus-menerus memantau dan mengontrol bagaimana informasi digunakan untuk mengurangi risiko ancaman dari pihak internal dan kehilangan data akibat pengguna yang berbahaya, lalai, atau terkompromi. Salah satu fitur unggulan dari Endpoint Protector adalah kemampuan Optical Character Recognition (OCR) yang canggih. Teknologi ini memungkinkan bank untuk memindai dan memantau berbagai jenis file yang ditemukan dalam gambar dan dokumen yang dipindai dengan akurat. Ini sangat berguna untuk mendeteksi informasi sensitif dalam format yang mungkin dilewatkan oleh solusi OCR berbasis server, memastikan perlindungan data yang komprehensif dan membantu memenuhi peraturan keuangan. Penuhi kewajiban kepatuhan Anda, termasuk GDPR, CCPA, PCI DSS, GLBA, dan lainnya, serta jaga kontrol atas endpoint karyawan Anda – bahkan saat mereka bekerja dari jarak jauh atau offline.
Month: January 2025
3 Pelanggaran Data Terbesar dalam Sejarah
Biaya dari Pelanggaran Data untuk sebuah perusahaan bisa sangat besar, baik secara langsung, akibat tindakan hukum dan regulasi, maupun secara tidak langsung melalui kehilangan reputasi dan pelanggan. Setiap CISO (Chief Information Security Officer) tentu sudah sangat menyadari hal ini, dan tidak mengherankan jika perusahaan besar adalah yang paling mungkin berinvestasi besar dalam sumber daya dan teknologi untuk mencegah insiden semacam itu. Namun, meskipun telah ada investasi besar, tahun demi tahun kita masih mendengar tentang pelanggaran data besar lainnya yang mempengaruhi jutaan orang dan menghabiskan miliaran dolar. Pertama, Bagaimana Pelanggaran Data Terjadi? Kelemahan utama yang menyebabkan pelanggaran data adalah kompleksitas sistem perusahaan dan kesalahan manusia yang terjadi saat merancang, memelihara, dan menggunakan sistem tersebut selama siklus hidup sistem. Semakin besar dan kompleks sistemnya, semakin sulit untuk menjaga keamanannya secara terus-menerus. Dan semakin besar perusahaan, semakin besar pula kemungkinan pihak jahat tertarik untuk mengakses data sensitif perusahaan. Sebuah kelemahan kecil dapat memicu reaksi berantai – seperti satu bilah kipas pesawat yang sedikit rusak bisa terlepas dan merusak mesin lainnya, yang akhirnya membunuh semua orang di dalam pesawat. Alat keamanan siber saat ini sangat mendalam dan efektif. Lingkup produk keamanan yang tersedia mencakup setiap aspek infrastruktur perusahaan: cloud, server lokal, jaringan, endpoint, IoT, dan lainnya. Mereka menyediakan pengujian, pencegahan, deteksi, dan reaksi. Namun, semua alat ini harus diterapkan dan dipelihara dengan benar oleh manusia, dan bahkan ahli keamanan pun bisa melakukan kesalahan. Hampir semua pelanggaran besar dalam sejarah, meskipun diatur oleh penyerang canggih seperti organisasi spionase asing, pada akhirnya disebabkan oleh kesalahan manusia yang sederhana. Kesalahan semacam ini sering kali terkait dengan langkah-langkah keamanan yang tidak memadai, kurangnya ketelitian dalam pemeliharaan, atau terjebak dalam trik rekayasa sosial yang canggih. Berikut adalah beberapa pelanggaran data perusahaan terbesar dalam sejarah dan cerita di baliknya. Yahoo! – Cukup dengan satu klik Yahoo! muncul dalam daftar pelanggaran terbesar beberapa kali, menjadi contoh terbaik bahwa perusahaan teknologi tinggi sama rentannya dengan perusahaan dari sektor lain – atau bahkan lebih rentan, karena begitu banyak aset yang harus terekspos secara publik. Pelanggaran Yahoo! 2014 bukan hanya yang terbesar, yang memengaruhi hingga 500 juta orang, tetapi juga yang paling menarik dari sudut pandang teknologi. Hal ini karena longsoran yang menyebabkan pelanggaran dimulai dengan satu email spear phishing sederhana, yang menunjukkan dengan jelas bagaimana satu kesalahan manusia kecil dapat menghabiskan biaya perusahaan hingga miliaran dolar. Satu klik salah oleh satu karyawan memungkinkan penyerang untuk mendapatkan akses ke dalam jaringan internal, berpindah dari mesin endpoint ke server, dan akhirnya memperoleh akses ke database pengguna dan alat manajemennya. Fakta yang paling menakutkan tentang serangan ini adalah bahwa hal itu bisa terjadi pada siapa saja – sangat sulit untuk menjamin bahwa setiap karyawan di organisasi akan cukup hati-hati untuk tidak terjebak dalam serangan rekayasa sosial yang dipersiapkan dengan baik. Dan, yang lebih buruk lagi, perangkat lunak keamanan endpoint dan email yang biasa, seperti antivirus dan alat anti-phishing, tidak mampu menangani serangan spear phishing, yang dipersiapkan secara individu menggunakan alat kustom dan hampir tidak terdeteksi. Equifax – Beberapa kegagalan kecil berujung pada tragedi Pelanggaran Equifax 2017, yang memengaruhi 143 juta orang, adalah cerita menarik lainnya untuk dipelajari. Pelanggaran ini menunjukkan bagaimana beberapa kelemahan keamanan kecil yang digabungkan dapat memungkinkan penyerang yang terampil untuk meningkatkan kehadiran mereka dalam sistem target hingga hampir menguasai seluruh sistem. Jika ada yang bisa kita pelajari dari Equifax, itu adalah bahwa bukan hanya pengguna akhir yang membuat kesalahan keamanan yang serius – seluruh rangkaian peristiwa ini merupakan hasil dari kegagalan langkah-langkah keamanan. Serangan ini, yang kemungkinan besar diatur oleh kekuatan spionase China, dimulai dengan kegagalan petugas keamanan yang bertanggung jawab untuk patching perangkat lunak server. Portal pengaduan konsumen menjalankan versi server aplikasi web yang memiliki kerentanannya yang sudah dikenal – yang bisa diperbaiki dengan menerapkan patch keamanan yang disarankan, dan yang dapat ditemukan dengan pemindaian keamanan sederhana. Kegagalan berikutnya adalah kurangnya segmentasi sistem dan menyimpan kata sandi akses sistem dalam file teks sederhana. Praktik ini, sayangnya, sangat umum di kalangan banyak administrator server, yang salah menganggap bahwa hanya pengguna yang sah yang bisa mengakses server mereka dan oleh karena itu membuat hidup mereka lebih mudah dengan menyimpan kredensial akses sistem dalam file yang tidak aman. Praktik ini sebetulnya mudah dideteksi dengan perangkat lunak DLP (Data Loss Prevention) – akses pengguna ke file yang berisi pola yang mudah dikenali seperti nama pengguna dan kata sandi yang disimpan dalam teks terbuka, tidak hanya akan dicegah tetapi juga langsung memicu alarm akses yang tidak tepat. Capital One – Bukan hanya mata-mata asing Sementara dua pelanggaran data sebelumnya diatur oleh kekuatan asing, yang menyewa tim spesialis yang terlatih dan terbiayai dengan baik, ini ternyata bukan skenario yang paling umum dengan pelanggaran data besar. Beberapa pelanggaran terbesar justru disebabkan oleh amatir atau ditemukan oleh ahli keamanan “white-hat” (pihak baik) sebelum ada pihak yang bisa memanfaatkan informasi sensitif tersebut. Contohnya adalah serangan Capital One, yang disebabkan oleh seseorang tanpa niat jahat yang hanya ingin membuat kesan pada teman-temannya. Kasus Paige Thompson adalah contoh bagaimana dia hampir menjadi model buku teks dari seseorang yang menyebabkan kerusakan besar karena kombinasi keadaan. Pertama, dia adalah ancaman internal, seorang mantan karyawan Amazon, dan Capital One menggunakan layanan Amazon untuk menyimpan data sensitif mereka. Kedua, Paige sedang mengalami masalah kesehatan mental dan perjuangan identitas gender, yang membuatnya lebih cenderung mencari validasi teman dan membuat penilaian buruk. Akibatnya, tindakannya terburu-buru dan emosional, tetapi beruntung baginya, hal itu tidak menyebabkan dia menghabiskan sisa hidupnya di penjara. Apakah ada harapan untuk mencegah pelanggaran data? Harapan terbaik Anda untuk membantu mencegah pelanggaran data di organisasi Anda adalah dengan belajar dari kesalahan yang dilakukan oleh orang lain. Tiga pelanggaran besar ini menunjukkan banyak kesalahan umum seperti kepercayaan berlebihan pada personel keamanan dan kurangnya perlindungan terhadap beberapa celah permukaan serangan keamanan siber. Tidak ada satu solusi keamanan all-in-one dari perusahaan keamanan terkemuka yang dapat menutupi semua celah yang perlu Anda tutup. Hanya program keamanan yang dirancang dengan baik yang dapat membantu Anda memastikan bahwa Anda tidak memiliki celah seperti kurangnya perangkat lunak DLP untuk melindungi endpoint Anda. Pendekatan terbaik untuk menghindari pelanggaran data adalah…
Memahami Tata Kelola DLP
Tulang punggung yang mendukung efektivitas banyak strategi keamanan siber adalah kerangka tata kelola yang terstruktur dengan baik. Tata kelola DLP memastikan bahwa setiap elemen dari program perlindungan data—mulai dari kebijakan, prosedur, teknologi, hingga pelatihan—bekerja sama untuk melindungi informasi sensitif dengan efektif. Berikut adalah gambaran umum tentang tata kelola DLP, termasuk komponen yang berhasil dari program tata kelola DLP, praktik terbaik, dan lainnya. Memahami Tata Kelola DLP Tata kelola DLP merujuk pada strategi, kebijakan, dan langkah-langkah yang diterapkan oleh perusahaan untuk mencegah akses, penggunaan, pengungkapan, modifikasi, atau penghancuran data sensitif yang tidak sah. Tata kelola DLP berfokus pada cara untuk mencegah kebocoran dan kehilangan data secara koheren dengan menekankan aspek keamanan dalam pengelolaan data dan bagaimana itu diterapkan di perusahaan Anda. Tata kelola data secara umum, di sisi lain, memiliki fokus yang lebih luas, termasuk aspek seperti kualitas data, manajemen siklus hidup data, dan arsitektur data. DLP memainkan peran penting dalam mendukung keamanan data dan kepatuhan terhadap regulasi dengan: Mengidentifikasi data sensitif di seluruh jaringan, perangkat akhir, dan lingkungan cloud Anda. Setelah teridentifikasi, Anda dapat menerapkan kebijakan dan teknologi DLP untuk melindungi data ini dari akses atau pengambilan yang tidak sah. Memberikan visibilitas tentang bagaimana data diakses, digunakan, dan dipindahkan di dalam dan di luar ekosistem TI Anda. Pemantauan ini memungkinkan Anda mengontrol pergerakan data sesuai dengan kebijakan yang telah ditetapkan, yang membantu mencegah kebocoran atau pelanggaran data. Mengurangi risiko kehilangan finansial, kerusakan reputasi, dan konsekuensi hukum yang terkait dengan pelanggaran data. Menegakkan kebijakan kepatuhan secara otomatis membantu Anda mematuhi aturan regulasi yang berbeda. Misalnya, DLP dapat memblokir upaya tidak sah untuk mengirim informasi sensitif melalui email, mengunduhnya ke flash drive, atau mengunggahnya ke penyimpanan cloud eksternal. Mengklasifikasikan dan memetakan data Anda, yang sering kali merupakan persyaratan dalam regulasi perlindungan data. Mengetahui di mana data sensitif berada dan bagaimana aliran data melalui lingkungan TI Anda sangat penting untuk menunjukkan kepatuhan terhadap prinsip perlindungan data—sulit untuk membuktikan kepatuhan jika Anda bahkan tidak tahu di mana data sensitif Anda berada. Pentingnya Tata Kelola DLP untuk CISO dan Manajer TI Bagi CISO dan manajer TI yang bertugas melindungi aset data, tata kelola DLP memberikan kerangka kerja untuk mengarahkan tindakan dan keputusan bisnis secara keseluruhan untuk melindungi aset ini dengan sebaik-baiknya. Dengan mendefinisikan data apa yang dianggap sensitif dan menetapkan kebijakan, praktik, serta alat untuk penanganannya, program tata kelola DLP mengurangi risiko pelanggaran data. Tata kelola DLP mencakup penerapan enkripsi dan langkah-langkah perbaikan lainnya untuk melindungi data sensitif, bahkan dalam skenario di mana pengguna yang tidak sah mengaksesnya. Kerangka tata kelola DLP biasanya mencakup mekanisme untuk menghasilkan laporan dan menjaga jejak audit penanganan data dan pelanggaran. Kemampuan ini sangat penting untuk menunjukkan kepatuhan kepada badan pengawas selama audit dan investigasi. Selain itu, dari perspektif manajemen risiko yang lebih luas, tata kelola DLP yang efektif memberikan mitigasi risiko strategis dengan menyelaraskan kebijakan DLP dengan strategi manajemen risiko organisasi Anda. CISO dan manajer TI dapat memastikan pendekatan strategis untuk mengurangi risiko terkait data. Komponen Utama dari Program Tata Kelola DLP yang Sukses Ada empat komponen utama untuk program tata kelola DLP yang sukses: 1) Pengembangan Kebijakan, 2) Implementasi Teknologi, 3) Pendidikan dan Pelatihan Pengguna, dan 4) Pemantauan dan Pelaporan. Berikut adalah penjelasan lebih dalam tentang area ini. Pengembangan Kebijakan Tata kelola dimulai dengan menetapkan kebijakan yang jelas dan komprehensif yang mendefinisikan apa yang dianggap data sensitif dan bagaimana data tersebut harus ditangani oleh siapa pun yang memiliki akses kepadanya. Pengembangan kebijakan harus melibatkan pemangku kepentingan dari berbagai departemen (TI, hukum, SDM, dll.) untuk memastikan kebijakan DLP sejalan dengan tujuan bisnis, persyaratan hukum, dan praktik operasional Anda. Jangan lupa untuk menetapkan jadwal untuk meninjau dan memperbarui kebijakan secara berkala agar dapat beradaptasi dengan perkembangan lanskap perlindungan data dan kebutuhan bisnis. Implementasi Teknologi Faktor besar dalam program tata kelola DLP yang sukses adalah memilih solusi DLP yang tepat yang sesuai dengan kebutuhan perlindungan data spesifik Anda dan persyaratan kebijakan. Misalnya, jika Anda memiliki perangkat endpoint dengan berbagai sistem operasi, Anda perlu mempertimbangkan alat yang mencakup Windows, Linux, dan macOS sehingga Anda dapat mencegah kehilangan data di seluruh inventaris perangkat endpoint Anda. Pilih solusi DLP yang paling sesuai dengan lingkungan TI Anda (on-premises, cloud, hybrid) dan menawarkan skalabilitas, kemudahan integrasi, serta cakupan penuh untuk data yang diam, bergerak, dan sedang digunakan. Mengonfigurasi alat DLP berdasarkan kebijakan yang dikembangkan dan secara terus-menerus menyesuaikan pengaturannya juga penting. Pendidikan dan Pelatihan Pengguna Edukasi karyawan tentang kebijakan DLP, alat, dan praktik sangat penting dalam program tata kelola DLP. Tanpa arahan yang tepat tentang perilaku aman dalam perlindungan data sensitif, kemungkinan akan terjadi pelanggaran, kebocoran, dan insiden lainnya yang dapat dicegah dengan pendidikan dan pelatihan yang baik. Sebagai bagian dari pembelajaran ini, tawarkan sesi pelatihan khusus untuk berbagai peran dalam perusahaan yang berfokus pada tanggung jawab dan pedoman khusus terkait penanganan data. Selain itu, kembangkan dan jalankan program kesadaran yang menyoroti pentingnya perlindungan data dan potensi risiko kehilangan data, mungkin melalui hal-hal seperti buletin dan selebaran. Pemantauan dan Pelaporan Secara teratur menilai efektivitas program DLP Anda dengan menganalisis log insiden, waktu respons, dan informasi lain yang dapat memberi Anda wawasan. Kembangkan mekanisme pelaporan yang jelas untuk mendokumentasikan kepatuhan terhadap kebijakan internal dan persyaratan regulasi. Bagian dari pelaporan ini harus mencakup rencana respons insiden yang membantu menangani insiden kehilangan data dengan cepat dan tepat. Praktik Terbaik untuk Tata Kelola DLP Selain komponen penting dari tata kelola DLP yang efektif, ada juga beberapa praktik terbaik yang perlu diperhatikan saat Anda berusaha mengawasi arah strategi DLP Anda: Tetapkan jadwal reguler untuk meninjau kebijakan DLP Anda agar tetap relevan dengan perubahan praktik bisnis, kemajuan teknologi, dan persyaratan regulasi. Libatkan pemangku kepentingan utama dari TI, hukum, kepatuhan, dan unit bisnis dalam proses tinjauan untuk memastikan Anda mempertimbangkan semua perspektif; hanya mendengarkan satu departemen dapat menyebabkan frustrasi atau bahkan ketidakpatuhan terhadap praktik dan kebijakan DLP internal. Gunakan proses manajemen perubahan yang terstruktur dengan baik untuk memperbarui kebijakan atau proses apa pun agar perubahan dikomunikasikan, didokumentasikan, dan diluncurkan dengan cara yang terkendali. Cari alat dengan kemampuan untuk memindai dan mengidentifikasi informasi sensitif di seluruh jejak digital organisasi Anda. Ini mengurangi sebagian…
