Tindakan teknis dalam keamanan informasi

Konten

• Informasi perusahaan sebagai target serangan yang didambakan
• Tiga langkah baru untuk keamanan informasi yang lebih baik
• Penghapusan informasi
• Penyembunyian data
• Pencegahan kebocoran data
• Langkah-langkah teknis dalam keamanan informasi - sebuah kesimpulan
• Apa arti pembaruan ini bagi sertifikasi Anda?
• DQS: Mitra kompeten Anda untuk keamanan informasi bersertifikat

Informasi perusahaan adalah target serangan yang didambakan

Studi "Wirtschaftsschutz 2022"(Perlindungan Bisnis 2022) oleh asosiasi industri Jerman, Bitkom, menegaskan bahwa para peretas sangat menyadari nilai ekonomi dari informasi dan data di dunia bisnis saat ini: 36 persen perusahaan yang disurvei telah terpengaruh oleh pencurian data sensitif dan informasi digital. Target yang sangat populer adalah data komunikasi sebesar 68 persen dan data pelanggan sebesar 45 persen.

Kerusakan yang disebabkan oleh pemerasan, pelanggaran paten, dan kehilangan penjualan yang secara langsung disebabkan oleh pencurian data berada dalam kisaran beberapa miliar euro setiap tahunnya.

Perusahaan dan organisasi perlu lebih memperkuat perlindungan saat memproses data penting mereka. Panduan tambahan membantu untuk lebih meningkatkan konsep keamanan secara keseluruhan dan mengurangi permukaan serangan.

Tiga langkah teknis baru untuk keamanan informasi yang lebih baik

93 langkah dalam Lampiran A ISO/IEC 27001:2022 yang baru telah ditata ulang menjadi empat topik:

• Tindakan organisasi
• Tindakan pribadi
• Tindakan fisik
• Tindakan teknis

Tiga tindakan baru untuk perlindungan informasi yang akan kita lihat lebih detail di bawah ini berasal dari area topik "Tindakan Teknis":

• 8.10 Penghapusan informasi
• 8.11 Penyembunyian data
• 8.12 Pencegahan kebocoran data

Penghapusan informasi

Kontrol 8.10 dalam ISO 27001 membahas risiko yang ditimbulkan oleh informasi yang tidak lagi diperlukan tetapi masih ada di sistem informasi, perangkat, atau media penyimpanan lainnya. Menghapus data yang sudah tidak diperlukan ini akan mencegah pengungkapannya - memastikan kepatuhan terhadap persyaratan hukum, undang-undang, peraturan, dan kontrak untuk penghapusan data.

Dalam melakukannya, perusahaan dan organisasi harus mempertimbangkan hal-hal berikut ini:

• Memilih metode penghapusan yang sesuai dengan lingkungan bisnis dan hukum, seperti penimpaan elektronik atau penghapusan kriptografi
• Mendokumentasikan hasil
• Menyediakan bukti saat menggunakan penyedia layanan untuk menghapus informasi

Jika pihak ketiga mengambil alih penyimpanan data atas nama perusahaan Anda, persyaratan untuk penghapusan harus dituliskan dalam perjanjian kontrak untuk memberlakukan hal ini selama dan bahkan setelah penghentian layanan ini.

Untuk memastikan penghapusan informasi sensitif yang dapat diandalkan - sambil memastikan kepatuhan terhadap kebijakan penyimpanan data yang relevan dan hukum serta peraturan yang berlaku - standar baru ini menyediakan prosedur, layanan, dan teknologi berikut ini:

• Pembentukan sistem khusus yang memungkinkan pemusnahan informasi secara aman, misalnya, sesuai dengan kebijakan penyimpanan atau atas permintaan individu yang terkena dampak
• Penghapusan versi, salinan, atau file sementara yang sudah tidak berlaku di semua media penyimpanan
• Penggunaan hanya perangkat lunak penghapusan yang disetujui dan aman untuk menghapus informasi secara permanen dan permanen
• Penghapusan melalui penyedia layanan pembuangan aman yang disetujui dan bersertifikat
• Menggunakan metode pembuangan yang sesuai untuk media penyimpanan tertentu yang dibuang, seperti demagnetisasi hard drive

Saat menggunakan layanan cloud, penting untuk memeriksa izin prosedur penghapusan yang ditawarkan. Jika hal ini diberikan, organisasi harus menggunakan prosedur penghapusan atau meminta penyedia layanan cloud untuk menghapus informasi tersebut. Jika memungkinkan, proses penghapusan ini harus diotomatiskan sebagai bagian dari panduan khusus subjek.

Untuk mencegah pengungkapan informasi sensitif yang tidak disengaja, semua penyimpanan perangkat yang dikembalikan ke vendor harus dihapus sebelum dikembalikan. Pada beberapa perangkat, seperti ponsel pintar, penghapusan data hanya dapat dilakukan melalui penghancuran atau fungsi internal (misalnya, memulihkan pengaturan pabrik). Tergantung pada klasifikasi informasi, penting untuk memilih prosedur yang sesuai.

Proses penghapusan harus didokumentasikan, tergantung pada sensitivitasnya, agar dapat membuktikan penghapusan data jika ada keraguan.

Penyembunyian data

Untuk berbagai informasi sensitif seperti pemrosesan data pribadi, perusahaan dan industri tertentu atau persyaratan peraturan menetapkan penyamaran, penyamaran, atau anonimisasi informasi. Panduan untuk langkah-langkah ini disediakan di Kontrol 8.11.

Teknik penyamaran atau anonimisasi memungkinkan untuk menyembunyikan data pribadi, mengaburkan data yang sebenarnya, dan mengaburkan hubungan silang informasi. Untuk menerapkan hal ini secara efektif, penting untuk menangani semua elemen yang relevan dari informasi sensitif secara memadai.

Meskipun anonimisasi mengubah data secara permanen, dalam kasus pseudonimisasi, sangat mungkin untuk mendapatkan kesimpulan tentang identitas asli melalui informasi silang tambahan. Oleh karena itu, informasi silang tambahan harus dipisahkan dan dilindungi selama proses pseudonimisasi.

Teknik-teknik lain untuk penyembunyian data meliputi:

• Enkripsi
• Nol atau penghapusan karakter
• Angka dan tanggal yang berbeda
• Substitusi - mengganti satu nilai dengan nilai lain untuk menyembunyikan data sensitif
• Mengganti nilai dengan hash-nya

Saat menerapkan Tindakan Teknis untuk Keamanan Informasi ini, penting untuk mempertimbangkan sejumlah aspek:

• Pengguna tidak boleh memiliki akses ke semua data, tetapi hanya dapat melihat data yang benar-benar mereka butuhkan.
• Dalam beberapa kasus, tidak semua data dalam kumpulan data harus dapat dilihat oleh pengguna. Dalam kasus ini, prosedur penyamaran data harus dirancang dan diimplementasikan. Contoh: data pasien dalam rekam medis yang seharusnya tidak dapat dilihat oleh semua staf, tetapi hanya oleh karyawan dengan peran tertentu yang relevan dengan perawatan.
• Dalam beberapa kasus, pengaburan data tidak boleh terlihat oleh mereka yang mengakses data (pengaburan pengaburan) jika, misalnya, kesimpulan dapat diambil tentang tanggal aktual melalui kategori data (kehamilan, tes darah, dll.).
• Persyaratan hukum atau peraturan, misalnya persyaratan untuk menyamarkan data kartu pembayaran selama pemrosesan atau penyimpanan.

Secara umum, penyembunyian data, pseudonimisasi, atau anonimisasi memerlukan beberapa poin umum:

• Kekuatan penyembunyian data, pseudonimisasi, atau anonimisasi sangat bergantung pada penggunaan data yang diproses.
• Akses ke data yang diproses harus dijamin dengan mekanisme perlindungan yang tepat.
• Pertimbangan perjanjian atau pembatasan mengenai penggunaan data yang diproses.
• Melarang data yang diproses dicocokkan dengan informasi lain untuk mengidentifikasi subjek data.
• Melacak dan mengontrol penyediaan dan penerimaan data yang diproses dengan aman.

Pencegahan kebocoran data

Kontrol 8.12 dirancang untuk mencegah kebocoran data dan merumuskan langkah-langkah khusus untuk diterapkan pada semua sistem, jaringan, dan perangkat lain yang memproses, menyimpan, atau mengirimkan informasi sensitif. Untuk meminimalkan kebocoran data sensitif, organisasi harus mempertimbangkan hal-hal berikut:

• Mengidentifikasi dan mengklasifikasikan informasi, misalnya, data pribadi, model penetapan harga, dan desain produk
• Memantau saluran yang dapat digunakan untuk membocorkan data, seperti email, transfer file, perangkat seluler, dan perangkat penyimpanan seluler
• Tindakan yang mencegah kebocoran data, misalnya, mengkarantina email yang berisi informasi sensitif

Untuk mencegah kebocoran data dalam struktur TI modern yang kompleks dengan berbagai data yang berbeda, organisasi juga membutuhkan alat yang tepat untuk

• Mengidentifikasi dan memantau informasi sensitif yang berisiko pengungkapan yang tidak sah, misalnya, dalam data yang tidak terstruktur pada sistem pengguna
• Mendeteksi pengungkapan data sensitif, seperti saat data diunggah ke layanan cloud pihak ketiga yang tidak tepercaya atau dikirim melalui email
• Memblokir tindakan pengguna atau transfer jaringan yang mengekspos informasi penting, seperti mencegah entri basis data disalin ke spreadsheet

Organisasi harus secara kritis mempertanyakan perlunya membatasi izin pengguna untuk menyalin, menempel, atau mengunggah data ke layanan, perangkat, dan media penyimpanan di luar organisasi. Jika perlu, mungkin juga perlu menerapkan alat yang tepat untuk mencegah kebocoran data atau mengonfigurasi teknologi yang ada dengan tepat.

Sebagai contoh, pengguna dapat diberikan izin untuk melihat dan mengedit data dari jarak jauh - namun tidak diberikan izin untuk menyalin dan menempelkannya di luar kendali organisasi Anda. Jika ekspor data masih diperlukan, pemilik data dapat menyetujuinya berdasarkan kasus per kasus dan meminta pertanggungjawaban pengguna atas aktivitas yang tidak diinginkan jika perlu.

Pencegahan kebocoran data secara eksplisit juga berlaku untuk perlindungan informasi rahasia atau rahasia dagang yang mungkin disalahgunakan untuk tujuan spionase atau mungkin sangat penting bagi masyarakat. Dalam hal ini, langkah-langkah juga harus dirancang untuk membingungkan penyerang - misalnya, dengan mengganti dengan informasi palsu, rekayasa sosial terbalik, atau menggunakan honey pot untuk memancing penyerang.

Kebocoran data bisa didukung oleh kontrol keamanan standar, misalnya, melalui kebijakan khusus topik untuk kontrol akses dan manajemen dokumen yang aman (lihat juga Tindakan/Kontrol 5.12 dan 5.15).

Hal yang penting saat menggunakan alat bantu pemantauan

Untuk melindungi informasi mereka sendiri, banyak alat bantu yang juga mau tidak mau memantau komunikasi karyawan dan aktivitas online serta pesan pihak ketiga. Pemantauan ini menimbulkan masalah hukum yang berbeda yang harus dipertimbangkan sebelum menggunakan alat pemantauan yang sesuai. Ada kebutuhan untuk menyeimbangkan tingkat pemantauan dengan berbagai undang-undang privasi, perlindungan data, ketenagakerjaan, penyadapan data, dan telekomunikasi.

Tindakan teknis dalam keamanan informasi - sebuah kesimpulan.

Dalam konteks keseluruhan tujuan perlindungan keamanan informasi dari integritas kerahasiaan dan ketersediaan, prosedur pemrosesan data yang dijelaskan di sini memainkan peran kunci dalam peningkatan perlindungan data sensitif.

Dengan pemantauan terus menerus terhadap aliran data dan informasi, penyembunyian informasi sensitif dan kebijakan penghapusan data yang ketat, perusahaan dapat secara berkelanjutan meningkatkan perlindungan mereka terhadap kebocoran data dan kehilangan data - serta menangkal publikasi informasi penting yang tidak disengaja. Selain itu, prosedur ini memberikan kontribusi yang menentukan bagi keamanan siber di seluruh perusahaan dan meminimalkan permukaan serangan bagi para peretas dan spionase industri.

Bagi perusahaan dan organisasi, sekarang adalah masalah menetapkan prosedur dan alat yang diperlukan secara tepat dan mengintegrasikannya ke dalam proses bisnis mereka untuk menunjukkan penerapan persyaratan yang sesuai standar dalam audit sertifikasi di masa mendatang.

Dengan pandangan profesional dari para auditor kami yang berpengalaman dan keahlian sertifikasi kami selama lebih dari 35 tahun, kami merekomendasikan diri kami sebagai kontak Anda untuk topik-topik keamanan informasi dan sertifikasi menurut ISO 27001.

Apa arti pembaruan ini bagi sertifikasi Anda?

ISO/IEC 27001:2022 diterbitkan pada tanggal 25 Oktober 2022. Hal ini menghasilkan tenggat waktu dan periode transisi berikut untuk pengguna:

Tanggal terakhir untuk audit awal dan sertifikasi ulang menurut ISO 27001:2013 yang "lama".

• Setelah 30 April 2024, DQS akan melakukan audit awal dan sertifikasi ulang hanya sesuai dengan standar baru ISO/IEC 27001:2022

Konversi semua sertifikat yang ada sesuai dengan ISO/IEC 27001:2013 "lama" ke ISO/IEC 27001:2022 yang baru

• Ada masa transisi selama tiga tahun mulai 31 Oktober 2022
• Sertifikat yang diterbitkan berdasarkan ISO/IEC 27001:2013 atau EN ISO/IEC 27001:2017 berlaku hingga paling lambat 31 Oktober 2025 atau harus ditarik pada tanggal tersebut.

DQS Mitra kompeten Anda dalam masalah keamanan informasi bersertifikat

Berkat masa transisi, perusahaan memiliki cukup waktu untuk menyesuaikan manajemen keamanan informasi mereka dengan persyaratan baru dan mendapatkan sertifikasi. Namun, durasi dan upaya dari seluruh proses perubahan tidak boleh diremehkan - terutama jika Anda tidak memiliki personel khusus yang memadai. Jika Anda ingin berada di sisi yang aman, Anda harus menangani masalah ini lebih cepat daripada nanti dan memanggil spesialis berpengalaman jika perlu.

Sebagai ahli audit dan sertifikasi dengan pengalaman lebih dari 35 tahun, kami akan dengan senang hati membantu Anda dalam melakukan audit delta. Cari tahu dari banyak auditor berpengalaman kami tentang perubahan yang paling penting dan relevansinya bagi organisasi Anda. Kami menantikan kabar dari Anda.

Kepercayaan dan keahlian

Teks kami ditulis secara eksklusif oleh para ahli sistem manajemen internal kami dan para auditor berpengalaman. Jika Anda memiliki pertanyaan untuk penulis, jangan ragu untuk menghubungi kami .