Apa itu perlindungan data?
Pelajari cara melindungi data di mana pun data berada dan kelola data yang sensitif dan penting bagi bisnis di seluruh lingkungan Anda.
Penjelasan tentang perlindungan data
Perlindungan data mengacu pada strategi dan proses keamanan yang membantu mengamankan data sensitif dari kerusakan, penyusupan, dan kehilangan. Ancaman terhadap data sensitif mencakup kebocoran data dan insiden kehilangan data.
Kebocoran data adalah hasil dari akses tidak sah ke informasi, jaringan, atau perangkat organisasi Anda dari sumber seperti serangan cyber, ancaman dari dalam, atau kesalahan manusia. Selain hilangnya data, organisasi Anda dapat dikenakan denda atas pelanggaran kepatuhan, menghadapi tindakan hukum atas terpaparnya informasi pribadi, dan rusaknya reputasi merek Anda dalam jangka panjang.
Insiden kehilangan data adalah gangguan yang disengaja atau tidak disengaja pada operasi organisasi keseharian Anda. Misalnya, laptop hilang atau dicuri, perangkat lunak rusak, atau virus komputer menyusup ke jaringan Anda. Dengan adanya kebijakan keamanan dan melatih karyawan Anda untuk mengenali ancaman dan cara merespons (atau tidak merespons) sangat penting bagi strategi perlindungan data Anda.
Prinsip utama perlindungan data
Dua prinsip utama perlindungan data adalah ketersediaan data dan manajemen data.
Ketersediaan data memungkinkan karyawan mengakses data yang mereka perlukan untuk operasi sehari-hari. Mempertahankan ketersediaan data memengaruhi rencana kelangsungan bisnis dan pemulihan bencana organisasi Anda, yang merupakan elemen penting rencana perlindungan data Anda yang bergantung pada salinan cadangan yang disimpan di lokasi terpisah. Memiliki akses ke salinan tersebut mengurangi waktu henti bagi karyawan dan menjaga pekerjaan mereka tetap berjalan sesuai rencana.
Manajemen data meliputi manajemen siklus hidup data dan manajemen siklus hidup informasi.
- Manajemen siklus hidup data mencakup pembuatan, penyimpanan, penggunaan dan analisis, serta pengarsipan atau pembuangan data. Siklus hidup ini membantu memastikan bahwa organisasi Anda mematuhi peraturan yang relevan dan bahwa Anda tidak menyimpan data dengan tidak perlu.
- Manajemen siklus hidup informasi adalah strategi untuk membuat katalog dan menyimpan informasi yang berasal dari himpunan data organisasi Anda. Tujuannya adalah untuk menentukan seberapa relevan dan akuratnya informasi tersebut.
Mengapa perlindungan data penting?
Perlindungan data penting untuk menjaga organisasi Anda tetap aman dari pencurian data, kebocoran, dan kehilangan. Hal ini mencakup penggunaan kebijakan privasi yang memenuhi peraturan kepatuhan dan menjaga nama baik organisasi Anda.
Strategi perlindungan data mencakup pemantauan dan perlindungan data dalam lingkungan Anda serta mempertahankan kontrol berkelanjutan atas visibilitas dan akses data.
Mengembangkan kebijakan perlindungan data memungkinkan organisasi Anda menentukan toleransi risikonya untuk semua kategori data serta mematuhi peraturan yang berlaku. Kebijakan ini juga membantu Anda menetapkan autentikasi dan otorisasi, yang menentukan siapa yang harus memiliki akses ke informasi dan alasannya.
Jenis solusi perlindungan data
Solusi perlindungan data membantu Anda memantau aktivitas internal dan eksternal, menandai perilaku berbagi data yang mencurigakan atau berisiko, dan mengontrol akses ke data sensitif.
-
Pencegahan kehilangan data
Pencegahan kehilangan data adalah solusi keamanan yang membantu organisasi Anda mencegah berbagi, mentransfer, atau menggunakan data sensitif melalui tindakan seperti memantau informasi sensitif di seluruh data estate Anda. Hal ini juga membantu memastikan kepatuhan Anda dengan persyaratan peraturan, misalnya Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) serta Peraturan Perlindungan Data Umum (GDPR) Uni Eropa (UE). -
Replikasi
Replikasi terus menyalin data dari satu lokasi ke lokasi lain untuk membuat dan menyimpan salinan terbaru data Anda. Hal ini memungkinkan failover ke data ini jika sistem utama Anda tidak berfungsi. Selain melindungi Anda dari kehilangan data, replikasi menyediakan data dari server terdekat sehingga pengguna yang berwenang dapat mengaksesnya lebih cepat. Memiliki salinan data organisasi Anda yang lengkap juga membebaskan tim Anda untuk melakukan analitik tanpa mengganggu kebutuhan data sehari-hari.
-
Penyimpanan dengan perlindungan bawaan
Solusi penyimpanan harus memberikan perlindungan data, tetapi juga memungkinkan Anda memulihkan data yang telah dihapus atau diubah. Misalnya, beberapa tingkat bantuan redundansi dalam melindungi data Anda dari hal-hal seperti gangguan layanan, masalah perangkat keras, dan bencana alam. Penerapan versi mempertahankan status data Anda sebelumnya saat operasi overwrite membuat versi baru. Konfigurasikan kunci (misalnya, baca saja atau tidak dapat menghapus) di akun penyimpanan Anda untuk membantu melindunginya dari penghapusan yang tidak disengaja atau berbahaya.
-
Firewall
Firewall membantu memastikan bahwa hanya pengguna yang berwenang yang memiliki akses ke data organisasi Anda. Cara kerjanya adalah dengan memantau dan memfilter lalu lintas jaringan sesuai dengan aturan keamanan Anda dan membantu memblokir ancaman seperti virus dan upaya ransomware. Pengaturan firewall biasanya menyertakan opsi untuk membuat aturan masuk dan keluar, menentukan aturan keamanan koneksi, melihat log pemantauan, dan menerima pemberitahuan ketika firewall memblokir sesuatu.
-
Pengungkapan data
Pengungkapan data adalah proses untuk menemukan himpunan data apa yang ada di organisasi Anda dalam pusat data, laptop dan komputer desktop, berbagai perangkat seluler, serta di platform cloud. Langkah berikutnya adalah mengategorikan data Anda (misalnya, menandainya sebagai terbatas, privat, atau publik) dan memverifikasi bahwa data memenuhi kepatuhan terhadap peraturan.
-
Autentikasi dan otorisasi
Fungsi kontrol autentikasi dan otorisasi adalah memverifikasi kredensial pengguna dan mengonfirmasi bahwa hak akses ditetapkan dan diterapkan dengan benar. Kontrol akses berbasis peran adalah salah satu contoh penyediaan akses khusus bagi karyawan yang membutuhkannya untuk melakukan pekerjaan mereka. Hal ini dapat digunakan bersama dengan manajemen identitas dan akses untuk membantu mengontrol hal apa yang dapat dan tidak dapat diakses karyawan agar sumber daya organisasi Anda (seperti aplikasi, file, dan data) lebih aman.
-
Cadangan
Cadangan termasuk dalam kategori manajemen data. Cadangan dapat dilakukan sesering yang Anda butuhkan (misalnya, pencadangan penuh setiap malam dan pencadangan bertahap sepanjang hari) dan memungkinkan Anda memulihkan data yang hilang atau rusak dengan cepat untuk meminimalkan waktu henti. Strategi pencadangan umum termasuk menyimpan beberapa salinan data Anda dan menyimpan salinan lengkap yang ditetapkan pada server terpisah dan lainnya di lokasi di luar situs. Strategi pencadangan Anda akan selaras dengan rencana pemulihan bencana Anda.
-
Enkripsi
Enkripsi membantu menjaga keamanan, kerahasiaan, dan integritas data Anda. Ini digunakan pada data yang sedang tidak aktif atau bergerak untuk mencegah pengguna yang tidak sah melihat konten file meskipun mereka mendapatkan akses ke lokasinya. Teks biasa diubah menjadi ciphertext yang tidak dapat dibaca (dengan kata lain, data dikonversi menjadi kode) yang memerlukan kunci dekripsi untuk membaca atau memprosesnya.
-
Pemulihan bencana
Pemulihan bencana adalah elemen keamanan informasi (InfoSec) yang berfokus pada cara organisasi menggunakan pencadangan untuk memulihkan data dan kembali ke kondisi operasi normal setelah bencana (misalnya, bencana alam, kegagalan peralatan skala besar, atau serangan cyber). Ini adalah pendekatan proaktif yang membantu organisasi Anda mengurangi dampak kejadian yang tidak dapat diprediksi dan menanggapi lebih cepat terhadap gangguan yang direncanakan atau tidak terencana.
-
Perlindungan titik akhir
Titik akhir adalah perangkat fisik yang terhubung ke jaringan seperti perangkat seluler, komputer desktop, mesin virtual, perangkat yang disematkan, dan server. Perlindungan titik akhir membantu organisasi Anda memantau perangkat tersebut dan menghalau pelaku ancaman yang mencari kerentanan atau kesalahan manusia serta memanfaatkan kelemahan keamanan.
-
Snapshot
Snapshot adalah tampilan sistem file Anda pada waktu tertentu; mempertahankan tampilan tersebut dan melacak setiap perubahan yang dibuat setelah waktu tersebut. Solusi perlindungan data ini merujuk pada array penyimpanan yang menggunakan kumpulan drive, bukan server. Array biasanya membuat katalog yang mengarah pada lokasi data. Snapshot menyalin array dan menetapkan data menjadi baca saja. Entri baru dibuat dalam katalog saat katalog lama dipertahankan. Snapshot juga menyertakan konfigurasi sistem untuk memulihkan server.
-
Peniadaan data
Fungsi peniadaan adalah menghapus data tersimpan yang tidak lagi diperlukan organisasi Anda. Proses ini juga dikenal sebagai penghapusan data dan sering kali menjadi persyaratan peraturan. Terkait dengan GDPR, individu memiliki hak untuk menghapus data pribadi mereka berdasarkan permintaan. Hak untuk menghapus ini juga disebut “the right to be forgotten”, atau hak untuk dilupakan.
Perlindungan, keamanan, dan privasi
Ketiganya mungkin terdengar sama saja, tetapi tujuan perlindungan data, keamanan data, dan privasi data berbeda-beda. Perlindungan data meliputi strategi dan proses yang digunakan organisasi untuk membantu mengamankan data sensitif terhadap korupsi, penyusupan, dan kehilangan. Keamanan data menyangkut integritas data Anda dan berfungsi untuk melindunginya dari kerusakan oleh pengguna yang tidak sah atau ancaman dari dalam. Privasi data mengontrol siapa yang memiliki akses ke data Anda dan menentukan data apa yang dapat dibagikan dengan pihak ketiga.
Praktik terbaik perlindungan data
Praktik terbaik perlindungan data terdiri dari rencana, kebijakan, dan strategi untuk membantu Anda mengontrol akses ke data, memantau aktivitas penggunaan dan jaringan, serta merespons ancaman internal dan eksternal.
-
Tetap penuhi persyaratan Anda
Rencana tata kelola komprehensif mengidentifikasi persyaratan peraturan dan cara penerapannya ke data organisasi Anda. Pastikan bahwa Anda memiliki visibilitas di seluruh data dan mengklasifikasikannya dengan benar. Pastikan bahwa Anda mematuhi peraturan privasi industri.
-
Batasi akses
Kontrol akses menggunakan autentikasi untuk memastikan bahwa pengguna tersebut asli, dan otorisasi untuk menentukan informasi apa yang boleh dilihat dan digunakan. Jika terjadi kebocoran data, kontrol akses adalah salah satu kebijakan pertama yang akan diperiksa guna menentukan apakah diimplementasikan dan dikelola dengan benar.
-
Buat kebijakan keamanan cyber
Kebijakan keamanan cyber menentukan dan mengarahkan aktivitas TI dalam organisasi Anda. Kebijakan ini membuat karyawan sadar akan ancaman umum terhadap data Anda dan membantu mereka lebih waspada terhadap keselamatan dan keamanan. Selain itu juga dapat menjelaskan strategi perlindungan data Anda dan mempromosikan budaya penggunaan data yang bertanggung jawab.
-
Pantau aktivitas
Pemantauan dan pengujian yang sedang berlangsung membantu Anda mengidentifikasi potensi area risiko. Gunakan AI dan otomatiskan tugas pemantauan data Anda guna menemukan ancaman dengan cepat dan efektif. Sistem peringatan awal ini memberi tahu Anda tentang kemungkinan masalah dan data sebelum dapat menyebabkan kerusakan.
-
Buat rencana respons insiden
Anda akan dapat mengambil tindakan jika ada rencana respons insiden yang siap digunakan sebelum kebocoran data terjadi. Cara ini akan membantu tim respons (misalnya, kepala tim TI, InfoSec, dan kepala komunikasi Anda) dalam menjaga integritas sistem dan membuat organisasi Anda kembali bekerja sesegera mungkin.
-
Kenali risiko
Karyawan, vendor, kontraktor, dan mitra memiliki informasi tentang data, sistem komputer, dan praktik keamanan Anda. Guna mengenali akses tidak sah ke data dan membantu melindunginya dari penyalahgunaan, ketahui data apa yang Anda miliki dan bagaimana data tersebut digunakan di seluruh lingkungan digital Anda.
-
Tingkatkan kualitas keamanan penyimpanan data
Keamanan penyimpanan data menggunakan metode seperti kontrol akses, enkripsi, dan keamanan titik akhir untuk menjaga integritas dan kerahasiaan data Anda yang disimpan. Tindakan ini juga mengurangi risiko kerusakan yang disengaja atau tidak disengaja serta memungkinkan ketersediaan data Anda secara berkelanjutan.
-
Latih karyawan Anda
Baik disengaja maupun tidak, risiko dari dalam adalah penyebab utama pelanggaran data. Sampaikan kebijakan pencegahan data Anda dengan jelas di seluruh tingkat untuk membantu karyawan mematuhinya. Sering ulangi pelatihan dengan sesi pengingat dan panduan ketika masalah tertentu muncul.
Kepatuhan dan hukum perlindungan data
Setiap organisasi harus mematuhi standar, hukum, dan peraturan perlindungan data yang relevan. Kewajiban hukum mencakup, namun tidak terbatas pada, hanya mengumpulkan informasi yang Anda perlukan dari pelanggan atau karyawan, menjaga keamanannya, dan membuangnya dengan benar. Berikut ini adalah contoh undang-undang privasi.
GDPR adalah undang-undang privasi dan keamanan data yang paling ketat. Undang-undang ini dirancang dan disahkan oleh Uni Eropa, tetapi organisasi di seluruh dunia wajib mematuhinya jika mereka menargetkan atau mengumpulkan data pribadi dari warga negara atau penduduk Uni Eropa, atau menawarkan barang dan jasa kepada mereka.
California Consumer Privacy Act (CCPA) membantu mengamankan hak privasi bagi konsumen California, termasuk hak untuk mengetahui tentang informasi pribadi yang dikumpulkan bisnis serta bagaimana informasi itu digunakan dan dibagikan, hak untuk menghapus informasi pribadi yang dikumpulkan dari mereka, dan hak untuk memilih keluar dari penjualan informasi pribadi mereka.
HIPAA membantu melindungi informasi kesehatan pasien agar tidak diungkapkan tanpa sepengetahuan atau persetujuan pasien. Aturan Privasi HIPAA melindungi informasi kesehatan pribadi dan diterbitkan agar menerapkan persyaratan HIPAA. Aturan Keamanan HIPAA membantu melindungi informasi kesehatan yang dapat diidentifikasi yang dibuat, diterima, dipelihara, atau dikirim oleh penyedia layanan kesehatan secara elektronik.
Gramm-Leach-Bliley Act (GLBA) (juga dikenal sebagai Financial Services Modernization Act tahun 1999) mengharuskan lembaga keuangan untuk menjelaskan praktik berbagi informasi mereka kepada pelanggan dan untuk melindungi data sensitif.
Federal Trade Commission adalah badan perlindungan konsumen utama di Amerika Serikat. Federal Trade Commission Act menyatakan bahwa setiap metode persaingan yang tidak adil dan tindakan atau praktik yang tidak adil atau menipu yang memengaruhi perdagangan dianggap melanggar hukum.
Tren perlindungan data
Seiring berkembangnya strategi dan proses, ada beberapa tren perlindungan data yang harus diperhatikan oleh organisasi Anda. Hal tersebut mencakup kepatuhan peraturan, manajemen risiko, dan portabilitas data.
-
Peraturan perlindungan data umum lainnya
GDPR telah menjadi tolok ukur untuk bagaimana negara lain mengumpulkan, mengungkapkan, dan menyimpan data pribadi. Sejak diperkenalkan, CCPA di Amerika Serikat (California) dan General Personal Data Protection di Brasil telah berlaku untuk mengikuti proliferasi konsumerisme online serta produk dan layanan yang dipersonalisasi.
-
Perlindungan data seluler
Cara untuk mencegah pengguna tidak sah mengakses jaringan Anda termasuk melindungi data sensitif yang disimpan di perangkat portabel seperti laptop, tablet, dan smartphone. Perangkat lunak keamanan menggunakan verifikasi identitas untuk membantu mencegah perangkat disusupi.
-
Lebih sedikit akses untuk pihak ketiga
Pelanggaran data sering kali dapat dilacak ke pihak ketiga (seperti pemasok, mitra, dan penyedia layanan) yang memiliki terlalu banyak akses ke jaringan dan data organisasi. Manajemen risiko pihak ketiga menemukan adanya peraturan kepatuhan yang membatasi cara pihak ketiga mengakses dan menggunakan data.
-
Manajemen salinan data
Manajemen salinan data mendeteksi data duplikat, membandingkan data serupa, dan mengizinkan organisasi Anda untuk menghapus salinan data yang tidak terpakai. Solusi ini meminimalkan hal yang tidak konsisten yang disebabkan oleh data duplikat, mengurangi biaya penyimpanan, dan membantu menjaga keamanan dan kepatuhan.
-
Portabilitas data
Di masa awal komputasi cloud, portabilitas data dan memigrasi kumpulan data besar ke lingkungan lain merupakan hal yang sulit. Saat ini, teknologi cloud membuat data lebih portabel, memungkinkan organisasi untuk memindahkannya antar lingkungan; misalnya, dari pusat data lokal ke cloud publik, atau antar penyedia cloud.
-
Pemulihan bencana sebagai layanan
Pemulihan bencana sebagai layanan membantu berbagai organisasi dengan menggunakan layanan cloud yang hemat biaya guna mereplikasi sistem mereka dan memulihkan operasi setelah peristiwa bencana. Cara ini memberikan fleksibilitas dan skalabilitas teknologi berbasis cloud dan dipandang sebagai solusi efektif untuk menghindari pemadaman layanan.
Pengungkapan dan klasifikasi data
Pengungkapan data dan klasifikasi data adalah proses terpisah yang bekerja sama untuk memberikan visibilitas ke dalam data organisasi Anda. Alat pengungkapan data memindai seluruh lingkungan digital untuk menemukan lokasi data terstruktur dan tidak terstruktur, yang penting bagi strategi perlindungan data Anda. Klasifikasi data mengatur data dari proses pengungkapan data berdasarkan jenis file, konten, dan metadata lainnya; membantu menghilangkan data duplikat; dan memudahkan untuk menemukan dan mengambil data.
Data yang tidak dilindungi adalah data yang rentan. Mengetahui data apa yang dimiliki serta lokasinya membantu Anda melindunginya sekaligus mematuhi persyaratan kepatuhan terhadap peraturan yang terkait dengan proses dan kontrol data.
Solusi perlindungan data
Solusi perlindungan data membantu melindungi dari kehilangan data dan menyertakan keamanan, pencadangan data, dan pemulihan, yang secara langsung mendukung rencana pemulihan bencana organisasi Anda.
Sederhanakan cara organisasi Anda memahami data sensitif yang dimiliki. Dapatkan visibilitas ke semua data Anda; dapatkan perlindungan yang lebih kuat di seluruh aplikasi, cloud, dan perangkat; dan mengelola persyaratan peraturan dengan solusi Microsoft Security.
Pelajari selengkapnya tentang Microsoft Security
Microsoft Purview
Cari tahu solusi tata kelola, perlindungan, dan kepatuhan untuk data organisasi Anda.
Membantu mencegah kehilangan data
Identifikasi aktivitas berbagi, transfer, atau penggunaan data sensitif yang tidak sah pada titik akhir, aplikasi, dan layanan.
Perlindungan informasi
Membantu melindungi dan mengatur data Anda dengan solusi bawaan, cerdas, terpadu, dan dapat diperluas.
Kepatuhan komunikasi
Gunakan pembelajaran mesin untuk mendeteksi pelanggaran komunikasi.
Tanya jawab umum
-
Contoh perlindungan data termasuk menjaga dari kerusakan berbahaya atau tidak disengaja, memiliki strategi pemulihan bencana, dan membatasi akses hanya untuk mereka yang membutuhkan data.
-
Tujuan perlindungan data adalah untuk melindungi data organisasi Anda dari penyusupan, bahaya, dan kehilangan.
-
GDPR menyatakan bahwa individu memiliki hak dan kebebasan mendasar dalam hal perlindungan data pribadi mereka. Setiap organisasi yang mengumpulkan data pribadi harus mendapatkan persetujuan eksplisit dari individu dan harus transparan tentang bagaimana data tersebut akan digunakan.
-
Alat perlindungan data mencakup pengungkapan dan inventarisasi data, enkripsi, penghapusan data, manajemen akses, dan keamanan titik akhir.
-
Untuk membantu melindungi data, bisnis dapat memulai dengan membuat kebijakan keamanan yang menentukan hal-hal seperti penggunaan yang disetujui dan pelaporan insiden. Mencadangkan data penting, memperbarui perangkat lunak, dan mengedukasi karyawan tentang perlindungan data adalah tindakan penting lainnya yang harus dilakukan.
Ikuti Microsoft 365