Australia 
Kanada 
Denmark 
Prancis 
Jerman 
Irlandia 
Belanda 
Selandia Baru 
Norwegia 
Spanyol dan Portugal 
Inggris Raya 
Amerika Serikat 27 Januari 2023
Oleh Eric Schmitt – Kepala Keamanan Informasi Global dan Brenda G. Corey – Wakil Presiden Senior Kepatuhan dan Regulasi
Dalam dunia yang semakin peduli terhadap privasi dan perlindungan, perusahaan harus menyeimbangkan kesadaran mereka terhadap risiko dengan kepatuhan di tengah peraturan yang terus berubah dengan cepat.
Dari sudut pandang perlindungan data, dalam 24 bulan terakhir, telah terjadi penekanan yang lebih besar pada memastikan data hanya disimpan selama periode yang diperlukan, atau sesuai dengan ketentuan hukum. Dengan undang-undang transparansi dan hak data yang kini berlaku di dua negara bagian AS (California CPRA,Virginia) dan akan berlaku di tiga negara bagian AS tambahan pada tahun 2023 (Colorado,Connecticut,Utah), saat ini adalah waktu yang tepat bagi perusahaan untuk mengevaluasi infrastruktur mereka, mengidentifikasi area yang berpotensi dieksploitasi oleh pihak yang tidak bertanggung jawab, dan mendidik karyawan tentang praktik terbaik dalam melindungi data sensitif.
Penyimpanan catatan
Salah satu fokus utama adalah kepatuhan penuh terhadap jadwal penyimpanan dokumen. Jadwal penyimpanan dokumen sangat penting untuk memastikan bahwa data hanya disimpan selama periode yang diperlukan, mengurangi risiko dengan mengurangi jumlah data yang disimpan, dan mematuhi peraturan perundang-undangan yang baru berlaku. Perusahaan-perusahaan di seluruh dunia saat ini sedang menjalani proses ini dan sedang mengevaluasi kembali kebijakan yang ada untuk memastikan kepatuhan. Penting untuk memastikan kewajiban penyimpanan catatan dipenuhi untuk berbagai pemangku kepentingan – pemerintah, klien, dan perusahaan asuransi – serta di yurisdiksi tertentu maupun secara global.
Ketahanan siber
Dari sisi teknologi bisnis, penting bagi tim keamanan siber, pencadangan, dan pemulihan bencana untuk bekerja sama dan menyusun program yang lebih terpadu di bawah bendera "ketahanan siber". Tingkat kolaborasi ini membantu memastikan bahwa rencana kelangsungan bisnis, termasuk aspek bisnis dan teknologi, memperhitungkan cara menerapkan perlindungan dalam menghadapi ancaman siber, sehingga organisasi dapat merespons ancaman yang muncul dengan cepat. Perusahaan harus memastikan bahwa program kelangsungan bisnis mereka mencakup isu-isu terkait siber.
Pencarian ancaman
Dengan misi "menguji diri sendiri sebelum orang lain melakukannya," tim keamanan siber berusaha menyerang lingkungan siber organisasi dengan cara yang sama seperti yang dilakukan oleh pelaku jahat – sebuah proses yang disebut threat hunting. Hal ini memberikan visibilitas tidak hanya untuk mengidentifikasi titik lemah di mana serangan mungkin terjadi, tetapi juga untuk membangun respons yang lebih cepat sehingga data cadangan dapat dilindungi dan memastikan tidak semua data hilang dalam kasus ancaman. Threat hunting seharusnya melengkapi program pengujian kerentanan dan penetrasi yang kuat, bukan menggantikannya. Ada dua manfaat besar dari threat hunting – para pertahanan belajar mengidentifikasi serangan saat bekerja sama dengan para pemburu ancaman, dan perusahaan dapat membantu mengidentifikasi area yang mungkin memerlukan kontrol tambahan untuk diterapkan.
Membangun garis pertahanan
Anda harus mengetahui apa yang Anda miliki sebelum dapat melindunginya. Dengan memetakan data untuk semua lini bisnis dan jenis data yang mengalir di antaranya – termasuk informasi yang dibagikan oleh vendor – Anda dapat memperoleh gambaran yang jelas tentang bagaimana dan di mana data dilindungi. Menggunakan latihan "crown jewel" MITRE memungkinkan identifikasi kerentanan seputar data yang perlu dilindungi, sehingga pertahanan dapat ditingkatkan secara berlapis sesuai kebutuhan.
Pendidikan karyawan merupakan tingkatan lain dalam upaya optimalisasi privasi dan perlindungan data. Dalam hal risiko keamanan siber, karyawan Anda adalah garis pertahanan pertama dan terakhir. Pertanyaan tentang bagaimana karyawan dapat dididik dengan lebih baik untuk mengenali ancaman yang masuk, seperti email phishing, dan aktivitas berbahaya lainnya – serta bagaimana memperkuat perilaku ini secara positif – harus selalu menjadi prioritas utama. Latihan pelatihan email phishing harus dilakukan secara rutin untuk seluruh organisasi. Rekan kerja di tim yang secara terus-menerus menangani data sensitif mungkin memerlukan penilaian yang lebih sering untuk pencegahan kebocoran data.
Di industri klaim, petugas privasi bertugas memastikan permintaan hak data ditangani dengan cepat dan efisien untuk para pemohon klaim. Sesuai dengan undang-undang privasi, kecerdasan buatan dapat dimanfaatkan untuk memberikan layanan yang lebih baik kepada individu, misalnya dalam hal tinjauan klaim otomatis.
Privasi berdasarkan desain
Privasi dan keamanan data dapat menjadi faktor pembeda bagi sebuah perusahaan dan kliennya ketika hal tersebut diintegrasikan secara mendalam ke dalam strategi investasi dan operasional. Saat sebuah perusahaan mengembangkan proses dan program barunya, termasuk aliran informasi di dalam sistem, sangat penting bagi tim di lini depan untuk memahami cara menerapkan privasi sejak awal (privacy by design). Lembaga regulasi semakin gencar mendorong pengurangan jejak data; perusahaan harus melakukan due diligence dengan mengajukan pertanyaan mendalam tentang program keamanan data mereka dan mempertimbangkan investasi dalam intelijen ancaman.
