Dua hari ini berita terkait kebocoran data penumpang sebuah maskapai ramai diberitakan di berbagai media. Pasalnya, seperti yang dikutip dalam detik finance, data yang yang bocor terdiri dari informasi kartu penduduk atau KTP penumpang, alamat, nomor telpon, email hingga nomor paspor. Data tersebut diakses dari sebuah penyimpanan virtual yang dapat dibuka melaui web. Data yang bocor terbagi dalam dua database, pertama berisi 21 juta data, dan database lainnya berisi 14 juta data yang tersimpan dalam file backup yang dibuat pada Mei 2019.
Kebocoran data merugikan
Kebocoran data ini tentu saja merugikan dan membahayakan. Pasalnya data yang tersebar berkaitan dengan identitas seseorang. Jika data ini disalahgunakan, seperti kasus yang ditangani Lembaga Bantuan Hukum (LBH) Jakarta pada situs CNN, orang tersebut bisa menjadi target penipuan, kehilangan pekerjaan bahkan persekusi. Belum lagi, kemungkinan pengiriman malware dan virus melalui email. Jika data sudah tersebar akan sangat sulit untuk menanggulanginya.
“Protecting the security of the information in our possession is a responsibility” – Huntsman
Dari segi bisnis, kebocoran ini tentu saja menurukan kredibilitas. Ini mengindikasikan Anda lalai dalam menjalankan tanggungjawab Anda untuk memastikan keamaan informasi yang Anda miliki, kerahasiaan bisnis, dan bahkan kepercayaan pengguna Anda. Yang paling mungkin Anda lakukan jika masalah seperti ini terjadi ialah dengan mengakui bahwa kebocoran data merupakan salah Anda, sambil lebih lanjut menyelidiki apa yang sebenarnya terjadi. Jika kemudian Anda merasa bahwa ini bukan kesalahan Anda sepenuhnya, Anda tinggal memaparkan hasil penyelidikan.
Lalu bagaimanakah sebaiknya Anda mengelola data dan informasi yang Anda miliki untuk mencegah kebocoran?
- Memperlakukan informasi seolah-olah dimiliki oleh subjek data dan bukan sebagai properti organisasi.
- Memastikan bahwa itu dilindungi dari akses, kehilangan, kebocoran, atau korupsi yang tidak sah;
- Memiliki kemampuan pemantauan, deteksi dan analisis yang sesuai untuk mengidentifikasi pelanggaran atau penyalahgunaan; dan
- Ketika masalah terungkap, mampu bergerak dengan cepat untuk mencegah kerugian, memperbaiki masalah, memahami paparan dan membuat semuanya menjadi benar.
ISO 27001: 2013, adalah sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam usaha rangka mengimplementasikan konsep-konsep keamanan informasi. ISO 27001:2013 berisi 14 group (klausa) yang juga mencakup 113 kontrol yang dapat membantu Anda bertanggung jawab terhadap informasi yang Anda miliki.
Semoga setelah memiliki kesadaran akan pentingnya sebuah keamanan informasi dapat menurunkan nilai resiko yang dapat menggangu tercapainya tujuan.
IT Governance Indonesia ( ITGID ) siap membantu Anda untuk mengelola IT security dengan mengadakan Training ISO 27001.