Diterbitkan: 5 April 2024
Kontributor: Annie Badman, Matthew Kosinski
Perlindungan data adalah praktik menjaga informasi sensitif dari kehilangan data dan korupsi. Tujuannya adalah untuk melindungi data dan memastikan ketersediaan dan kepatuhannya terhadap persyaratan peraturan.
Strategi perlindungan data yang efektif lebih dari sekadar melindungi data. Strategi ini juga mereplikasi dan memulihkan data jika terjadi kehilangan atau kerusakan. Ini karena prinsip utama perlindungan data adalah untuk melindungi data dan mendukung ketersediaan data. Ketersediaan berarti memastikan pengguna dapat mengakses data untuk operasi bisnis, bahkan jika data rusak, hilang, atau korup, seperti dalam pelanggaran data atau serangan malware.
Fokus pada ketersediaan data ini membantu menjelaskan mengapa perlindungan data terkait erat dengan manajemen data, praktik yang lebih besar yang berfokus pada pengelolaan data sepanjang seluruh siklus hidupnya untuk memastikannya akurat, aman, dan dapat dimanfaatkan untuk keputusan bisnis strategis.
Saat ini, strategi perlindungan data mencakup strategi tradisional langkah-langkah perlindungan data, seperti fungsi pencadangan dan pemulihan data, serta rencana keberlangsungan bisnis dan pemulihan bencana (BCDR). Oleh karena itu, banyak organisasi yang mengadopsi layanan seperti pemulihan bencana sebagai layanan (DRaaS) sebagai bagian dari strategi perlindungan data mereka yang lebih luas.
Sementara banyak yang menggunakan istilah perlindungan data dan keamanan data secara bergantian, mereka adalah dua bidang yang berbeda dengan perbedaan penting.
Keamanan data adalah bagian dari perlindungan data yang berfokus pada perlindungan informasi digital dari akses yang tidak sah, korupsi, atau pencurian. Ini mencakup berbagai aspek keamanan informasi, yang mencakup physical security, kebijakan organisasi, dan kontrol akses.
Sebaliknya, perlindungan data mencakup semua keamanan data dan melangkah lebih jauh dengan menekankan ketersediaan data.
Perlindungan data dan keamanan data mencakup privasi data. Privasi data berfokus pada kebijakan yang mendukung prinsip umum bahwa seseorang harus memiliki kendali atas data pribadi mereka, termasuk kemampuan untuk memutuskan bagaimana organisasi mengumpulkan, menyimpan, dan menggunakan data mereka.
Dengan kata lain, keamanan data dan privasi data merupakan bagian dari bidang perlindungan data yang lebih luas.
Untuk memahami pentingnya perlindungan data, pertimbangkan peran data dalam masyarakat kita. Kapan pun seseorang membuat profil online, melakukan pembelian di aplikasi, atau menjelajahi halaman web, mereka meninggalkan jejak data pribadi yang terus bertambah.
Untuk bisnis, data ini sangat penting. Data membantu bisnis dalam merampingkan operasi, melayani pelanggan dengan lebih baik dan membuat keputusan bisnis yang penting. Faktanya, banyak organisasi yang sangat bergantung pada data sehingga waktu henti yang singkat atau kehilangan data dalam jumlah kecil saja bisa sangat merugikan operasi dan keuntungan mereka.
Menurut Cost of a Data Breach dari IBM, biaya rata-rata global untuk pelanggaran data pada tahun 2023 adalah USD 4,45 juta—meningkat 15 persen selama tiga tahun.
Akibatnya, banyak organisasi berfokus pada perlindungan data sebagai bagian dari upaya keamanan siber mereka yang lebih luas. Dengan strategi perlindungan data yang kuat, organisasi dapat menanggulangi kerentanan dan melindungi diri mereka sendiri dari serangan siber dan pelanggaran data dengan lebih baik. Jika terjadi serangan siber, tindakan perlindungan data dapat menyelamatkan nyawa, mengurangi waktu henti dengan memastikan ketersediaan data.
Langkah-langkah perlindungan data juga dapat membantu organisasi mematuhi persyaratan peraturan yang terus berkembang, yang banyak di antaranya bisa dikenai denda yang besar. Misalnya, pada Mei 2023, otoritas perlindungan data Irlandia mengenakan denda sebesar USD 1,3 miliar pada Meta yang berbasis di California untuk pelanggaran GDPR (tautan berada di luar ibm.com). Perlindungan data—melalui penekanannya pada privasi data—dapat membantu organisasi menghindari pelanggaran ini.
Strategi perlindungan data juga dapat memberikan banyak manfaat dari manajemen siklus hidup informasi yang efektif (ILM), seperti merampingkan pemrosesan data pribadi dan penambangan data penting yang lebih baik untuk insight utama.
Di dunia tempat data yang menjadi sumber kehidupan banyak organisasi, semakin penting bagi bisnis untuk mengetahui cara memproses, menangani, melindungi, dan memanfaatkan data penting mereka dengan kemampuan terbaik mereka.
Menyadari pentingnya perlindungan data, pemerintah dan otoritas lainnya telah menciptakan semakin banyak peraturan privasi dan standar data yang harus dipenuhi perusahaan untuk melakukan bisnis dengan pelanggan mereka.
Beberapa peraturan dan standar data yang paling umum meliputi:
Peraturan Perlindungan Data Umum (GDPR) adalah kerangka kerja privasi data komprehensif yang diberlakukan oleh Uni Eropa (UE) untuk melindungi informasi pribadi yang disebut sebagai “subjek data.“
GDPR berfokus terutama pada informasi identifikasi pribadi, atau PII, dan menempatkan persyaratan kepatuhan yang ketat pada penyedia data. GDPR mengamanatkan bahwa organisasi di dalam dan di luar Eropa harus transparan tentang praktik pengumpulan data mereka. Organisasi juga harus mengadopsi beberapa langkah perlindungan data khusus, seperti menunjuk petugas perlindungan data untuk mengawasi penanganan data.
GDPR juga memberikan warga negara Uni Eropa kontrol yang lebih besar atas PII mereka dan perlindungan yang lebih besar atas data pribadi seperti nama, nomor ID, informasi medis, data biometrik, dan lainnya. Satu-satunya kegiatan pemrosesan data yang dikecualikan dari GDPR adalah keamanan nasional atau kegiatan penegakan hukum dan penggunaan data murni pribadi.
Salah satu aspek paling mencolok dari GDPR adalah sikap tegasnya terhadap ketidakpatuhan. GDPR memberlakukan denda besar bagi mereka yang gagal mematuhi peraturan privasinya. Dendanya dapat mencapai hingga 4 persen dari omzet global tahunan suatu organisasi atau €20 juta, mana yang lebih besar.
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan, atau HIPAA, disahkan di Amerika Serikat pada tahun 1996. Undang-undang ini menetapkan pedoman tentang cara entitas dan bisnis layanan kesehatan menangani informasi kesehatan pribadi (PHI) pasien untuk menjamin kerahasiaan dan keamanannya.
Di bawah HIPAA, semua "entitas yang tercakup" harus menjunjung tinggi keamanan data dan standar kepatuhan tertentu. Entitas ini tidak hanya mencakup penyedia layanan kesehatan dan paket asuransi, tetapi juga rekan bisnis dengan akses ke PHI. Layanan transmisi data, penyedia layanan transkripsi medis, perusahaan peranti lunak, perusahaan asuransi, dan lainnya harus mematuhi HIPAA jika mereka menangani PHI.
California Consumer Privacy Act (CCPA) adalah undang-undang privasi data penting di Amerika Serikat.
Seperti GDPR, ini juga menempatkan tanggung jawab pada bisnis untuk bersikap transparan tentang praktik data mereka dan memberdayakan individu untuk memiliki kontrol lebih besar atas informasi pribadi mereka. Di bawah CCPA, penduduk California dapat meminta detail tentang data yang dikumpulkan oleh bisnis, memilih untuk tidak ikut serta dalam penjualan data, dan meminta penghapusan data.
Namun, tidak seperti GDPR, CCPA (dan banyak undang-undang perlindungan data AS lainnya) lebih memilih untuk tidak ikut serta daripada ikut serta. Bisnis dapat menggunakan informasi konsumen sampai secara khusus diberitahu sebaliknya. CCPA juga hanya berlaku untuk perusahaan yang melebihi ambang pendapatan tahunan tertentu atau menangani data pribadi dalam jumlah besar, sehingga relevan bagi banyak bisnis California, meskipun tidak semua.
Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) adalah seperangkat pedoman peraturan untuk melindungi data kartu kredit. PCI-DSS bukanlah peraturan pemerintah, melainkan serangkaian komitmen kontrak yang diberlakukan oleh badan pengatur independen yang dikenal sebagai Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC).
PCI-DSS berlaku untuk setiap bisnis yang menangani data pemegang kartu, baik dengan mengumpulkan, menyimpan, atau mengirimkannya. Meskipun pemroses pihak ketiga terlibat dalam transaksi kartu kredit, perusahaan yang menerima kartu tetap bertanggung jawab atas kepatuhan PCI-DSS dan harus mengambil tindakan yang diperlukan untuk mengelola dan menyimpan data pemegang kartu dengan aman.
Seiring dengan berkembangnya lingkungan perlindungan data, beberapa tren membentuk strategi yang digunakan organisasi untuk melindungi informasi sensitif mereka.
Beberapa tren ini meliputi:
Portabilitas data menekankan pergerakan data yang mulus di seluruh platform dan layanan. Tren ini memberi individu kontrol yang lebih besar atas data mereka dengan memfasilitasi transfernya antara aplikasi dan sistem. Portabilitas data juga selaras dengan tren umum menuju transparansi dan pemberdayaan pelanggan yang lebih besar, memungkinkan pengguna untuk mengelola data pribadi mereka dengan lebih efisien
Dengan meluasnya penggunaan ponsel pintar, organisasi semakin peduli dengan keamanan data pada perangkat seluler. Akibatnya, banyak bisnis yang lebih berfokus pada perlindungan data seluler, yang menerapkan langkah-langkah keamanan data yang tangguh untuk ponsel cerdas dan tablet, termasuk enkripsi dan metode autentikasi yang aman.
Munculnya serangan ransomware telah menyebabkan banyak organisasi mengadopsi strategi perlindungan data tingkat lanjut.
Ransomware adalah jenis Malware yang mengunci data atau perangkat korban dan mengancam untuk tetap terkunci—atau lebih buruk—kecuali korban membayar uang tebusan kepada penyerang. Menurut IBM Security X-Force Threat Intelligence Index 2023, serangan ransomware mewakili 17 persen dari seluruh serangan siber pada tahun 2022. Selain itu, serangan ransomware diperkirakan menimbulkan kerugian sekitar USD 30 miliar secara keseluruhan pada tahun 2023 (tautan berada di luar ibm.com).
Sifat serangan yang terus berkembang mengharuskan organisasi untuk menerapkan langkah-langkah keamanan proaktif seperti pencadangan rutin, deteksi ancaman real time, dan pelatihan karyawan untuk mengurangi dampak ransomware dan melindungi informasi sensitif.
Seiring dengan semakin canggihnya serangan siber, organisasi menyadari pentingnya menjaga kesinambungan saat terjadi bencana. Fakta ini mengakibatkan banyak yang berinvestasi dalam Disaster Recovery as a Service (DRaaS).
DRaaS adalah solusi pihak ketiga yang memberikan kemampuan perlindungan data dan pemulihan bencana (DR). Menggunakan otomatisasi tingkat tinggi untuk membatasi waktu henti dan mengalihdayakan layanan pemulihan bencana, memberikan solusi yang dapat diskalakan dan hemat biaya bagi organisasi untuk memulihkan data penting dan infrastruktur TI mereka saat terjadi bencana.
Saat memutuskan solusi DRaaS, organisasi dapat memilih di antara tiga opsi: pusat data, solusi berbasis cloud, dan backup hybrid yang menggabungkan pusat data fisik dan penyimpanan cloud.
Copy Data Management (CDM) membantu organisasi mengelola dan mengontrol data duplikat dengan lebih baik, sehingga mengurangi biaya penyimpanan dan meningkatkan aksesibilitas data. CDM merupakan bagian penting dari manajemen siklus hidup informasi (ILM) karena membantu memaksimalkan nilai data sekaligus meminimalkan redundansi dan inefisiensi penyimpanan.
Organisasi sering kali menggunakan beberapa solusi dan teknologi perlindungan data untuk melindungi dari ancaman siber dan memastikan integritas, kerahasiaan, dan ketersediaan data.
Beberapa solusi ini meliputi:
- Pencegahan kehilangan data (DLP) mencakup strategi, proses, dan teknologi yang digunakan tim keamanan siber untuk melindungi data sensitif dari pencurian, kehilangan, dan penyalahgunaan. DLP melacak aktivitas pengguna dan menandai perilaku mencurigakan untuk mencegah akses, transmisi, atau kebocoran informasi sensitif yang tidak sah.
- Pencadangan data melibatkan pembuatan dan penyimpanan versi sekunder informasi penting secara rutin. Pencadangan mendukung ketersediaan data dengan memastikan bahwa organisasi dapat dengan cepat memulihkan sistem mereka ke kondisi sebelumnya jika terjadi kehilangan atau kerusakan data, sehingga meminimalkan waktu henti dan potensi kerugian.
- Firewall bertindak sebagai garis pertahanan pertama untuk data dengan memantau dan mengendalikan lalu lintas jaringan yang masuk dan keluar. Hambatan keamanan ini menegakkan aturan keamanan yang telah ditentukan, mencegah akses yang tidak sah.
- Teknologi autentikasi dan otorisasi , seperti autentikasi multifaktor, memverifikasi identitas pengguna dan mengatur akses mereka ke sumber daya tertentu. Bersama-sama, mereka memastikan bahwa hanya orang yang berwenang yang dapat mengakses informasi sensitif, sehingga meningkatkan keamanan data secara keseluruhan.
- Solusi manajemen identitas dan akses (IAM) memusatkan administrasi identitas dan izin pengguna. Dengan mengelola akses pengguna berdasarkan peran dan tanggung jawab, organisasi dapat mengurangi risiko akses data yang tidak sah dan mengurangi ancaman orang dalam, yang dapat membahayakan data penting.
- Enkripsi mengubah data menjadi format kode, menjadikannya tidak dapat dibaca tanpa kunci dekripsi yang sesuai. Teknologi ini melindungi transfer data dan penyimpanan data, menambahkan lapisan perlindungan ekstra terhadap akses yang tidak sah.
- Keamanan endpoint berfokus pada pengamanan perangkat individual, seperti komputer dan perangkat seluler, dari aktivitas berbahaya. Ini dapat mencakup berbagai solusi, seperti peranti lunak antivirus, firewall, dan langkah-langkah keamanan lainnya.
- Solusi antivirus dan anti-malware mendeteksi, mencegah, dan menghapus peranti lunak berbahaya yang dapat membahayakan data, termasuk virus, spyware, dan ransomware.
- Manajemen tambalan memastikan bahwa peranti lunak, sistem operasi, dan aplikasi memiliki tambalan keamanan terbaru. Pembaruan rutin membantu menutup kerentanan dan melindungi dari potensi serangan siber.
- Solusipenghapusan data memastikan penghapusan data yang aman dan lengkap dari perangkat penyimpanan. Penghapusan sangat penting ketika menonaktifkan perangkat keras untuk mencegah akses yang tidak sah ke informasi sensitif.
- Teknologi pengarsipan memfasilitasi penyimpanan dan pengambilan data historis secara sistematis. Pengarsipan membantu kepatuhan dan membantu organisasi mengelola data secara efisien, mengurangi risiko kehilangan data.
- Perangkat sertifikasi dan audit membantu organisasi menilai dan menunjukkan kepatuhan terhadap peraturan industri dan kebijakan internal. Audit rutin juga memastikan langkah-langkah perlindungan data diterapkan dan dipelihara secara efektif.
- Solusi pemulihan bencana, seperti DRaaS, memulihkan infrastruktur TI, dan data setelah terjadi peristiwa yang mengganggu. Pemulihan bencana sering kali mencakup perencanaan komprehensif, strategi pencadangan data, dan mekanisme untuk meminimalkan waktu henti.
Melindungi data di seluruh hybrid cloud dan menyederhanakan persyaratan kepatuhan.
Lindungi data sensitif lokal dan di cloud. IBM Security Guardium adalah solusi keamanan data yang dapat beradaptasi seiring perubahan lingkungan ancaman, memberikan visibilitas, kepatuhan, dan perlindungan lengkap di seluruh siklus hidup keamanan data.
Dapatkan perlindungan data skala perusahaan. IBM Storage Protect adalah peranti lunak pencadangan dan pemulihan data.