• Beranda
  • Artikel
  • Pemasaran
  • Privasi Data Pelanggan: 10 Praktik Terbaik yang Tidak Dapat Dinegosiasikan untuk Melindungi Bisnis Anda

Privasi Data Pelanggan: 10 Praktik Terbaik yang Tidak Dapat Dinegosiasikan untuk Melindungi Bisnis Anda

Diterbitkan: 2022-11-23

Pada Juli 2020, seorang peretas mengakses alat internal Twitter untuk menyita 130 akun Twitter profil tinggi—seperti Elon Musk, Bill Gates, Barack Obama, dan Jeff Bezos—untuk melakukan penipuan "gandakan bitcoin Anda".

privasi data peretasan twitter 2020

Ribuan pengguna Twitter tertipu, dan hanya dalam beberapa jam, peretas mencuri bitcoin senilai lebih dari $118.000. Sejak saat itu, ribuan organisasi telah diretas, dari perusahaan multinasional besar seperti Apple dan Facebook hingga universitas, hotel, rumah sakit, departemen pemerintah, dan bahkan gereja dan situs web penggalangan dana.

Faktanya adalah, organisasi mana pun yang mengumpulkan, memproses, atau menyimpan data pelanggan berisiko mengalami pelanggaran—termasuk milik Anda. Itu sebabnya Anda harus bertindak sekarang untuk melindungi data ini. Artikel ini akan menunjukkan caranya.

Daftar Isi

  • Pentingnya privasi data
  • Peraturan & standar privasi data yang perlu diketahui
  • Ancaman terbesar terhadap privasi data & keamanan data
  • 10 praktik terbaik untuk melindungi data pelanggan Anda

Pentingnya privasi data

Tindakan dan kontrol privasi data memiliki tiga tujuan utama: Untuk melindungi kerahasiaan dan integritas informasi, untuk membangun kepercayaan dengan pelanggan, dan untuk mematuhi undang-undang privasi data. Kegagalan untuk menerapkan kontrol ini dapat menyebabkan pelanggaran yang dapat menimbulkan konsekuensi serius bagi individu dan organisasi.

Dampak pada individu

Individu yang datanya dicuri dapat menjadi korban pencurian identitas atau penipuan. Peretas dapat menggunakan data yang dicuri untuk menyamar sebagai korban dan membuka jalur kredit, mengajukan pinjaman, dll.

Hilangnya data sensitif atau pribadi juga dapat menyebabkan korban menghadapi penghinaan, diskriminasi, kerugian finansial, atau kerusakan psikologis. Dalam kasus yang serius, kesehatan, kehidupan, atau keluarga mereka mungkin terancam.

Dampak terhadap organisasi

Pelanggaran data juga merugikan organisasi, terutama secara finansial. Menurut IBM, biaya rata-rata pelanggaran telah naik menjadi $4,35 juta pada tahun 2022. Biaya pelanggaran dapat mencakup tuntutan tebusan penyerang, ditambah "biaya pembersihan" terkait perbaikan pelanggaran dan penyelidikan forensik. Denda peraturan dan tuntutan hukum juga dapat menambah biaya.

Pelanggaran juga dapat merusak reputasi perusahaan, persepsi pelanggan, dan harga saham. Ini mungkin kehilangan kepercayaan dan perjuangan pelanggannya untuk memenuhi kewajiban kontraktualnya, yang dapat memengaruhi hubungan bisnis dan keuntungannya.

biaya pelanggaran data di AS vs global

Peraturan & standar privasi data yang perlu diketahui

Menyusul serentetan pelanggaran data dalam beberapa tahun terakhir, banyak pemerintah telah menerapkan undang-undang privasi data. Undang-undang ini mengatur bagaimana data konsumen dikumpulkan, diproses, disimpan, dan dibuang oleh organisasi. Mereka dimaksudkan untuk melindungi privasi data konsumen dan melindungi konsumen dari dampak merusak dari pelanggaran data.

GDPR

GDPR berlaku untuk perusahaan mana pun yang beroperasi di negara mana pun yang mengumpulkan informasi penduduk UE. Ini mengatur bagaimana perusahaan mengumpulkan, menggunakan, mengirimkan, dan mengamankan data ini. Organisasi yang gagal mematuhi undang-undang dapat didenda $20+ juta atau 4% dari total omzet global.

undang-undang privasi data AS

AS tidak memiliki undang-undang privasi data federal tunggal. Sebaliknya, banyak undang-undang khusus sektor atau negara bagian yang mengatur cara organisasi mengumpulkan, memproses, atau menggunakan data konsumen. Misalnya, Undang-Undang Portabilitas dan Akuntansi Asuransi Kesehatan (HIPAA) bertujuan untuk menjaga privasi informasi kesehatan yang dilindungi (PHI). Demikian pula, Undang-Undang Privasi Konsumen California (CCPA) mengontrol bagaimana entitas dapat mengumpulkan informasi pribadi penduduk California.

hak di bawah CCPA

Sumber gambar

Standar privasi khusus industri

Beberapa badan industri telah mengembangkan standar privasi yang berlaku untuk organisasi di industri tertentu. Salah satu contohnya adalah PCI-DSS, yang berlaku untuk semua pedagang di seluruh dunia yang mengumpulkan informasi kartu kredit konsumen. Meskipun standar tersebut tidak diberlakukan oleh pemerintah mana pun, pedagang harus mematuhinya karena hubungan kontrak mereka dengan perusahaan kartu kredit. Tujuannya adalah untuk memastikan bahwa bisnis menerapkan pengamanan yang diperlukan untuk melindungi data pemegang kartu dan mencegah penipuan kartu kredit.

Dalam industri teknologi dan periklanan, kami telah melihat sejumlah perubahan dalam beberapa tahun terakhir atas nama privasi. Misalnya, Google mengurangi visibilitas ke dalam laporan istilah pencarian dan Facebook mengamanatkan Pengukuran Peristiwa Gabungan.

Panduan gratis: 10 Strategi Penargetan Facebook Ramah Privasi

Ancaman terbesar terhadap privasi & keamanan data

Privasi data adalah tentang mengontrol bagaimana data dikumpulkan, dibagikan, dan digunakan, sementara keamanan data berkaitan dengan melindungi data dari penyerang eksternal dan orang dalam yang jahat. Terlepas dari perbedaan-perbedaan ini, ada beberapa tumpang tindih antara ide-ide ini. Selain itu, ada banyak ancaman yang dapat memengaruhi privasi dan keamanan data.

Penipuan phishing

Dalam penipuan phishing, penyerang mengirimkan email yang tampaknya berasal dari sumber tepercaya. Email tersebut mungkin berisi tautan berbahaya atau lampiran berbahaya. Ketika pengguna mengklik tautan tersebut, mereka akan dibawa ke situs web tempat mereka akan diminta untuk memberikan informasi pribadi mereka.

Penyerang kemudian mencuri informasi ini, mengakibatkan pelanggaran. Jika pengguna membuka lampiran, penyerang dapat membahayakan perangkat mereka. Mereka juga dapat memperoleh akses ke sumber daya lain di jaringan perusahaan dan menyebabkan kerusakan yang meluas. Oleh karena itu, penting untuk memastikan Anda berinvestasi dalam solusi anti-phishing yang tepat untuk bisnis Anda.

contoh email phising

Sumber gambar

Malware dan Ransomware

Malware dan ransomware adalah ancaman besar terhadap keamanan dan privasi data. Dalam serangan ransomware, penyerang menginfeksi perangkat perusahaan dengan malware yang mengenkripsi sistem dan mengunci pengguna. Sebagai ganti kunci dekripsi, penjahat menuntut uang tebusan yang besar dari organisasi. Banyak jenis ransomware dapat menyebar ke seluruh jaringan dan mengekstrak data dalam jumlah besar.

Ancaman orang dalam

Ancaman orang dalam adalah ancaman serius lainnya terhadap privasi data. Sejak tahun 2020, frekuensi insiden orang dalam telah meningkat sebesar 44%, dan biaya per insiden meningkat menjadi $15,38 juta.

Beberapa ancaman datang dari orang dalam yang berbahaya atau disusupi seperti karyawan atau vendor pihak ketiga. Lainnya berasal dari orang dalam yang tidak berbahaya atau ceroboh dengan kebersihan keamanan siber yang buruk. Misalnya, seorang pengguna dapat membagikan kata sandinya dengan rekannya sementara yang lain dapat menyimpan data sensitif di folder publik. Kesalahan semacam itu dapat mengakibatkan kebocoran atau paparan data yang tidak disengaja.

Kerentanan perangkat lunak

Kerentanan keamanan pada perangkat dan aplikasi membuka pintu bagi penjahat dunia maya. Banyak penyerang mengeksploitasi kerentanan ini untuk menyerang organisasi dan mengekstraksi atau mengkompromikan data pelanggan.

10 praktik terbaik untuk melindungi privasi data pelanggan

Berikut sepuluh cara untuk melindungi data pelanggan Anda yang berharga dari penyerang dunia maya dan peretas.

1. Ketahui data apa yang Anda kumpulkan

Anda hanya dapat melindungi data jika Anda tahu apa itu dan di mana disimpan. Pahami jenis data yang Anda kumpulkan dari pelanggan, cara penggunaannya, dan siapa yang menggunakannya. Anda juga harus mengetahui seberapa sensitif data tersebut, di mana disimpan, dan kapan dibagikan.

Melakukan audit data untuk mengidentifikasi data di seluruh perusahaan. Kemudian kategorikan setiap tipe data menurut sensitivitas, kasus penggunaan, dan kebutuhan aksesibilitas. Terakhir, siapkan inventaris data untuk memahami data apa yang perlu dilindungi dan undang-undang kepatuhan mana yang berlaku untuk organisasi Anda.

klasifikasi data umum

Sumber gambar

Berikut adalah beberapa klasifikasi data yang perlu dipertimbangkan:

  • Data publik: Siaran pers, pernyataan misi, informasi daftar direktori.
  • Data internal: Jadwal kerja, anggaran, rencana proyek, proses bisnis, strategi, data pemasaran.
  • Data rahasia: Informasi pribadi, informasi kesehatan yang dilindungi, catatan personel, keuangan.
  • Data yang dibatasi: Kata sandi, rencana merger/akuisisi, kekayaan intelektual.

2. Hanya kumpulkan informasi penting

Anda dapat meminimalkan potensi kerusakan dari pelanggaran data dengan mengumpulkan data pribadi dalam jumlah terbatas. Kumpulkan hanya data pribadi atau sensitif yang Anda perlukan agar bisnis Anda mencapai tujuan tertentu, misalnya, untuk meningkatkan pengalaman dan retensi pelanggan.

Untuk mengevaluasi data mana yang penting, lakukan audit data secara berkala. Kemudian menilai apakah Anda benar-benar membutuhkan data tersebut. Jika tidak, berhentilah mengumpulkannya. Dengan cara ini, Anda dapat mengurangi kemungkinan kerugian jika terjadi pelanggaran.

3. Membuat dan mempublikasikan penggunaan data dan kebijakan privasi yang transparan

Tetapkan dan terapkan kebijakan privasi data yang jelas dan komunikasikan kepada semua pemangku kepentingan. Kebijakan tersebut harus menentukan siapa yang diizinkan untuk mengakses data dan bagaimana caranya. Itu juga harus dengan jelas menyatakan bagaimana data harus dan tidak boleh digunakan.

Selain itu, publikasikan kebijakan privasi untuk pelanggan di situs web bisnis Anda. Kebijakan tersebut harus menyatakan bagaimana perusahaan Anda mengumpulkan, menyimpan, menggunakan, dan melindungi data pelanggan. Jika Anda membuat perubahan pada kebijakan, pastikan untuk terus memberi informasi kepada pelanggan.

4. Enkripsi semua data sensitif pengguna

Data yang tidak terenkripsi dan disimpan dengan buruk memberikan alasan bagi peretas untuk menyerang organisasi. Enkripsikan semua data Anda, baik saat transit maupun saat istirahat. Gunakan enkripsi panjang bit 256 kunci untuk mengamankan data dalam email dan enkripsi tingkat file untuk melindungi data pada sistem dan server.

Selain itu, ambil cadangan data secara teratur dan simpan cadangan di lokasi yang aman. Dengan cara ini, meskipun Anda menjadi target serangan siber seperti ransomware, Anda tetap dapat mengakses datanya. Selain itu, Anda tidak perlu membayar uang tebusan.

jenis data sensitif

Sumber gambar

5. Lindungi dari penipuan phishing

Untuk mengurangi risiko kerugian akibat serangan phishing, terapkan filter spam email di seluruh organisasi. Perbarui juga semua perangkat dengan perangkat lunak antivirus dan anti-malware yang memperbarui secara otomatis untuk menghadapi ancaman yang muncul dan terus melindungi data.

Orang memainkan peran penting dalam meminimalkan dampak serangan phishing. Dorong karyawan untuk melaporkan penipuan email apa pun yang mereka temui kepada orang atau departemen yang tepat.

6. Perbarui semua perangkat lunak

Peretas memanfaatkan kerentanan keamanan pada perangkat dan perangkat lunak untuk menyerang organisasi dan membahayakan data pelanggan. Vendor perangkat lunak biasanya merilis tambalan setelah mereka mendeteksi kerentanan pada produk mereka. Terapkan tambalan ini untuk memperbarui perangkat lunak Anda dan melindungi data pelanggan Anda.

7. Terapkan autentikasi multifaktor

Otentikasi multi-faktor (MFA) memberikan perlindungan yang lebih kuat untuk akun dan data perusahaan. MFA membutuhkan faktor otentikasi tambahan, bukan hanya kata sandi. Jadi, bahkan jika peretas mencuri kata sandi pengguna resmi, mereka masih membutuhkan faktor kedua untuk masuk ke akun perusahaan. Biasanya, faktor ini tetap berada dalam kendali pengguna yang berwenang, sehingga sulit bagi peretas untuk berkompromi atau mencurinya.

autentikasi dua faktor vs multi faktor

Sumber gambar

8. Latih orang tentang praktik keamanan siber

Pendidikan keamanan siber sangat penting untuk menghilangkan kelemahan terkait orang dalam keamanan siber. Mendidik karyawan Anda tentang praktik terbaik keamanan siber. Latih mereka untuk mengenali tanda-tanda serangan phishing dan cara menghindari penipuan rekayasa sosial.

Jelaskan pentingnya kata sandi dan MFA yang kuat. Juga, tunjukkan kepada mereka mengapa mereka tidak boleh menggunakan jaringan Wi-Fi publik untuk bekerja dan selalu mematuhi kebijakan keamanan dan privasi organisasi.

9. Batasi akses ke data

Membatasi akses ke data berdasarkan kebutuhan untuk mengetahui meminimalkan ancaman internal terhadap data. Kapan pun memungkinkan, terapkan prinsip hak istimewa terkecil (PoLP), sehingga pengguna hanya dapat mengakses atau mengedit data yang mereka perlukan untuk peran mereka. Kelola tingkat akses dan izin dengan alat pengelolaan akses dan identitas (IAM).

10. Menerapkan infrastruktur perlindungan data yang komprehensif

Untuk mengamankan data pelanggan dan menghindari pelanggaran, Anda memerlukan infrastruktur keamanan yang komprehensif dengan semua alat ini:

  • Perangkat lunak antivirus dan anti-malware
  • Perangkat lunak anti-adware dan anti-spyware
  • Firewall web generasi berikutnya
  • Pemblokir pop-up
  • Alat deteksi dan respons titik akhir (EDR).
  • Pemindai kerentanan
  • Pengelola kata sandi
  • MFA

Sisihkan anggaran untuk alat-alat ini. Mereka akan membantu melindungi organisasi Anda dari pelanggaran data, dan Anda akan memulihkan investasi Anda dengan cukup cepat.

Amankan bisnis, pelanggan & data Anda

Jumlah dan frekuensi pelanggaran data telah meningkat pesat dalam beberapa tahun terakhir. Lima tahun terakhir sangat buruk, dengan peretas menargetkan sejumlah organisasi terkenal dan memengaruhi jutaan orang.

Untungnya, semuanya tidak hilang. Anda memiliki kendali atas data yang Anda kumpulkan dan gunakan. Lebih penting lagi, Anda dapat mengamankan data ini dan menjaganya agar tidak jatuh ke tangan yang salah. Dengan menggunakan ide dan praktik terbaik yang dibagikan di sini, Anda dapat mengurangi risiko bagi perusahaan dan pelanggan Anda.

  1. Ketahui data apa yang Anda kumpulkan
  2. Hanya kumpulkan informasi penting
  3. Buat dan publikasikan penggunaan data yang transparan dan kebijakan privasi
  4. Enkripsi semua data pengguna yang sensitif
  5. Melindungi dari penipuan phishing
  6. Perbarui semua perangkat lunak
  7. Terapkan autentikasi multifaktor
  8. Latih orang-orang tentang praktik keamanan siber
  9. Batasi akses ke data
  10. Menerapkan infrastruktur perlindungan data yang komprehensif

Tentang Penulis

Irina Maltseva adalah Pemimpin Pertumbuhan di Aura dan Pendiri ONSAAS. Selama tujuh tahun terakhir, dia telah membantu perusahaan SaaS untuk meningkatkan pendapatan mereka dengan pemasaran masuk. Di perusahaan sebelumnya, Hunter, Irina membantu pemasar 3M untuk membangun hubungan bisnis yang penting. Sekarang, di Aura, Irina menjalankan misinya untuk menciptakan internet yang lebih aman bagi semua orang. Untuk menghubunginya, ikuti dia di LinkedIn.