Panduan CISO Untuk Perlindungan Data Sensitif – Serangan rantai pasokan perangkat lunak SolarWinds, yang dikirimkan ke lebih dari 18.000 pelanggan melalui proses pembaruan perangkat lunak perusahaan sendiri, adalah hasil dari kode berbahaya yang disebarkan dalam perangkat lunak pemantauan jaringan Orion SolarWinds.

Panduan CISO Untuk Perlindungan Data Sensitif

eldos – The Wall Street Journal melaporkan bahwa serangan itu memberi peretas akses potensial ke data perusahaan dan pribadi yang sensitif, dan The Verge melaporkan bahwa “9 agen federal dan sekitar 100 perusahaan sektor swasta telah disusupi.”

Takeaways dari serangan rantai pasokan SolarWinds

Serangan rantai pasokan bukanlah hal baru, dan berita utama baru-baru ini merupakan pengingat penting bagi organisasi untuk melihat lebih dekat risiko rantai pasokan.

Itu berlaku untuk produsen perangkat lunak komersial (perusahaan yang menghasilkan produk dan layanan untuk organisasi lain atau untuk publik) dan konsumen rantai pasokan perangkat lunak (perusahaan yang mengonsumsi bahan, produk, dan layanan dari berbagai pihak ketiga). Beberapa takeaways dari serangan baru-baru ini adalah:

  • Produsen perlu meningkatkan cara mereka memodernisasi dan mengamankan lingkungan pengembangan dan proses DevSecOps mereka.
  • Konsumen harus memastikan bahwa mereka menggunakan perangkat lunak rantai pasokan yang bersertifikat dan sah dari produsen/pihak ketiga tepercaya. Mereka juga harus meningkatkan kriteria penerimaan perangkat lunak mereka.
  • Perusahaan harus mengevaluasi kembali bagaimana mereka merancang dan mengimplementasikan sistem dan perangkat lunak mereka untuk melindungi diri mereka sendiri dengan lebih baik dari serangan dunia maya yang semakin canggih .
  • Ini adalah yang pertama dari serangkaian posting blog yang berfokus pada perlindungan data sensitif dan bagaimana organisasi dapat melindungi data sensitif dan kekayaan intelektual perusahaan mereka dengan lebih baik, dengan fokus pada keamanan aplikasi .

Perlindungan data membutuhkan kolaborasi

Salah satu tanggung jawab utama CISO adalah melindungi aset digital penting perusahaan mereka, yang dapat mencakup kekayaan intelektual perusahaan seperti kode sumber berpemilik dan teknologi lain yang dipatenkan atau informasi rahasia.

Baca Juga : Mengapa Keamanan Data Penting & Bagaimana Pengujian Keamanan Membantu?

Namun, karena undang-undang dan standar privasi dan peraturan yang muncul, CISO dan petugas perlindungan data sekarang juga perlu melindungi data pengguna informasi pengenal pribadi (PII), informasi kesehatan pribadi (PHI), dan data industri kartu pembayaran (PCI).

Undang-undang privasi baru ini meningkatkan pembatasan penggunaan, penyimpanan, dan residensi geografis data pengguna. Ini membutuhkan banyak organisasi untuk melindungi data ini dan penggunaannya baik secara internal maupun dengan vendor pihak ketiga yang menangani data ini.

CISO perlu bekerja dengan kolega mereka dalam perlindungan data, perlindungan privasi, infrastruktur TI, kepatuhan, dan pengembangan perangkat lunak untuk memastikan kepatuhan terhadap undang-undang, standar, dan pedoman perlindungan data dan privasi ini.

Selain itu, kemunculan dan adopsi cloud hybrid dan layanan multicloud menciptakan tantangan baru untuk keamanan data. Faktor lain—asal geografis data, lokasi penyimpanan, dan titik lokasi akses pengguna—semakin memperumit apa yang perlu dilakukan oleh penyedia layanan dan penyedia infrastruktur cloud utama untuk mengamankan data mereka.

Konsumen mengkhawatirkan privasi data mereka

Konsumen menjadi lebih waspada tentang bagaimana informasi pribadi mereka digunakan. Konferensi Nasional Legislator Negara Bagian, mengutip sebuah laporan oleh Pew Research Center , mencatat “Lebih dari 80% orang Amerika mengatakan bahwa mereka online setiap hari.

Dari jumlah tersebut, 28% online hampir terus-menerus dan 45% online beberapa kali sehari. Konsumen sekarang lebih sadar bahwa bisnis, situs media sosial, dan situs web lain dapat mengumpulkan dan membagikan informasi pribadi mereka dengan pihak ketiga. Mereka juga mendengar lebih banyak tentang pelanggaran keamanan , serangan dunia maya, dan pembagian informasi pribadi yang tidak sah.”

Demikian pula, survei terhadap 1.000 konsumen dari AS dan Inggris yang dilakukan oleh Entrust menunjukkan bahwa 79% konsumen mengatakan mereka khawatir tentang privasi data, dan 64% mengatakan bahwa kekhawatiran telah meningkat dalam 12 bulan terakhir. Menurut sebuah artikel dari Security Boulevard , alasan utama meningkatnya kekhawatiran konsumen adalah berita tentang pelanggaran data dan melihat peningkatan iklan bertarget di media sosial.

Lonjakan baru-baru ini dalam pekerjaan jarak jauh juga mengakibatkan meningkatnya masalah privasi data pekerja . “Apa yang kami temukan adalah bahwa kira-kira dua tahun lalu sebagian besar perusahaan hampir tidak memiliki tim privasi; itu tersimpan di kantor hukum,” kata Robert Waitman, direktur privasi data di Cisco. “Tetapi dengan peralihan ke pekerjaan jarak jauh karena pandemi, privasi menjadi lebih penting, terutama karena karyawan tidak nyaman dengan privasi alat yang tersedia dan kebutuhan perusahaan untuk menyediakan tempat kerja yang aman.”

Peran keamanan aplikasi dalam perlindungan data

Memahami bagaimana keamanan aplikasi terkait dengan perlindungan data dan privasi sangat penting. Dengan transformasi digital yang terjadi di banyak industri, organisasi terpaksa mendigitalkan kehadiran web bisnis mereka untuk lebih cepat mendapatkan dan mempertahankan pelanggan baru dibandingkan pesaing mereka.

Hal ini terutama berlaku di segmen pasar industri jasa keuangan , perawatan kesehatan , dan e-niaga/ritel, di mana penggunaan aplikasi seluler dan web serta situs web telah meningkat secara signifikan. Namun, situs web dan aplikasi ini juga dapat berfungsi sebagai vektor serangan bagi peretas yang memanfaatkannya sebagai pintu masuk ke basis data organisasi, yang berisi data pengguna sensitif yang dapat dimonetisasi di web gelap.

Buku putih ini memberikan ringkasan undang-undang privasi terbaru dan menjelaskan bagaimana kerangka kerja dan alat keamanan yang berbeda termasuk alat keamanan aplikasi—dapat membantu memastikan perlindungan data dan privasi. Layanan keamanan perangkat lunak, analisis arsitektur , dan pemodelan ancaman sistem baru dari perspektif keamanan dan rekayasa sistem sama pentingnya.

CISO harus bekerja secara kolaboratif dengan kepala pengembangan aplikasi perangkat lunak, pengadaan aplikasi pihak ketiga, dan rekayasa sistem untuk melindungi data sensitif dengan lebih baik dari potensi serangan keamanan siber yang dapat menyebabkan pelanggaran data yang mahal. Pelanggaran rantai pasokan perangkat lunak SolarWinds baru-baru ini menunjukkan kebutuhan mendesak untuk peningkatan DevSecOpsproses, manajemen rahasia, dan deteksi data sensitif di seluruh tahapan siklus hidup pengembangan perangkat lunak.

Close
Secondary Navigation