Data Security: Pengertian, Jenis, dan Cara Pengamanan

      Comments Off on Data Security: Pengertian, Jenis, dan Cara Pengamanan
Share ke:

Halo sobat aliy hafiz kali ini kita akan bahas mengenai data security mulai dari pengertian, jenis dan kebijakannya. Selain itu kita akan bahas juga beda data security, data masking dan data proteksi. Disimak yuk.

data security dan keamanan data serta jenisnya
Pengertian Data Security dan Pengamanannya

Pengertian Data Security

Menurut para ahli, Data security atau Keamanan data adalah praktik melindungi Data dari akses yang tidak sah, kehilangan yang disengaja atau tidak, pengungkapan dan modifikasi, manipulasi atau korupsi sepanjang siklus hidupnya, dari pembuatan hingga penghancuran.

Secara bahasa atau kamus, data security berasal dari data dan security yang artinya aman. Jadi, data security adalah mengamankan data. Itulah pengertian sederhana dari data security atau keamanan data.

Oleh karena itu, data security atau keamanan data adalah proses untuk membuat data menjadi aman.

Praktik ini adalah kunci untuk menjaga kerahasiaan, integritas, dan ketersediaan data organisasi. Kerahasiaan mengacu pada menjaga kerahasiaan data, integritas untuk memastikan data lengkap dan dapat dipercaya, dan ketersediaan untuk menyediakan akses ke entitas yang berwenang.

Dikenal secara kolektif sebagai triad CIA, jika salah satu dari ketiga komponen tersebut dikompromikan, perusahaan dapat menghadapi kerusakan reputasi dan keuangan.

Triad CIA adalah dasar dari strategi keamanan data yang dibangun. Strategi semacam itu harus mencakup kebijakan, teknologi, kontrol, dan prosedur yang melindungi data yang dibuat, dikumpulkan, disimpan, diterima, dan dikirim oleh perusahaan.

Mengapa Data Security Penting

Data adalah sumber kehidupan setiap organisasi. Ini menginformasikan pengambilan keputusan, menemukan solusi untuk masalah, meningkatkan efisiensi dan kemanjuran operasi, meningkatkan layanan pelanggan.

Selain itu, menginformasikan upaya pemasaran, mengurangi risiko, meningkatkan produktivitas, meningkatkan kolaborasi dan, pada akhirnya, berperan penting dalam meningkatkan pendapatan dan keuntungan.

Data sering disebut sebagai permata mahkota perusahaan; untuk sesuatu yang sangat penting, perlindungannya harus ditanggapi dengan serius.

Sama seperti resep rahasia Coca-Cola yang dikunci dalam lemari besi, laboratorium rahasia Hershey yang meramu Kisses yang terkenal dan 11 bumbu dan rempah KFC yang terkenal namun tidak diketahui, sangat penting untuk menjaga data tertentu dari pengintaian.

Ini tidak selalu semudah meletakkan sesuatu di bawah kunci dan kunci – terutama di lingkungan digital. Banyak karyawan, pemangku kepentingan, dan mitra memerlukan akses ke data yang sangat dihargai oleh perusahaan. Tetapi lebih banyak orang yang memiliki akses berarti lebih banyak peluang untuk kesalahan.

Pelanggaran data, yang terjadi ketika data diakses dengan cara yang tidak sah, menjadi perhatian utama bagi organisasi dari segala bentuk, ukuran, dan industri. Faktanya, 63% responden studi KPMG mengatakan bahwa mereka mengalami pelanggaran data atau insiden dunia maya pada tahun 2021 — dan jumlah itu diproyeksikan akan terus bertambah.

Pelanggaran Data Security

Berikut ini adalah pelanggaran keamanan data yang sering terjadi berupa insiden kejahatan siber di dunia maya, seperti:

  1. Kebocoran Data yang tidak disengaja
  2. Serangan phishing
  3. Serangan denial-of-service
  4. Pelanggaran fisik
  5. Kurangnya kontrol akses
  6. Back Doors

Keamanan data merupakan komponen penting dalam kepatuhan data, proses yang mengidentifikasi tata kelola dan menetapkan kebijakan dan prosedur untuk melindungi data. Prosesnya melibatkan pemilihan standar yang berlaku dan penerapan kontrol untuk mencapai kriteria yang ditentukan dalam standar tersebut.

Standar kepatuhan terhadap peraturan memerlukan penggunaan kontrol dan teknologi tertentu untuk memenuhi kriteria yang ditentukan di dalamnya. Berikut ini adalah beberapa peraturan kepatuhan yang paling umum:

  1. PCI-DSS
  2. HIPA
  3. Undang-Undang Modernisasi Keamanan Informasi Federal tahun 2014
  4. Sarbanes-Oxley Act
  5. GDPR
  6. CCPA

HIPAA, misalnya, menguraikan ketentuan untuk melindungi informasi medis di AS. Di antara mandat lainnya, organisasi layanan kesehatan harus mematuhi standar untuk keamanan data pasien atau akan menghadapi denda dan penalti ketidakpatuhan.

PCI DSS adalah standar global yang ditujukan untuk melindungi data transaksi kartu kredit, debit, dan tunai. Ini menetapkan pedoman untuk data pemegang kartu, kontrol akses, dan jaringan yang memproses informasi pembayaran.

Selain mencegah pelanggaran dan mematuhi peraturan, keamanan data penting untuk menjaga kepercayaan pelanggan, membangun hubungan, dan menjaga citra perusahaan yang baik. Ini juga merupakan kunci untuk mempertahankan keunggulan kompetitif. Lagi pula, jika setiap orang memiliki resep dan sarana untuk membuat Hershey’s Kisses, pembuat cokelat akan mengeluarkan banyak uang.

Jenis Data Security

Sebelum sebuah organisasi dapat mengamankan data, ia harus mengetahui data apa yang dimilikinya. Di sinilah inventaris data –catatan semua data yang dibuat, digunakan, dan disimpan oleh perusahaan — adalah kuncinya. Prosesnya dimulai dengan penemuan data, atau mempelajari apa dan di mana data itu berada.

Klasifikasi data mengikuti, yang melibatkan pelabelan data agar lebih mudah dikelola, disimpan, dan diamankan. Empat kategori klasifikasi data standar adalah sebagai berikut:

  1. Informasi Publik
  2. Informasi rahasia
  3. Informasi sensitif
  4. Informasi pribadi

Data sering kali dipecah lebih lanjut oleh bisnis menggunakan label klasifikasi umum, seperti hanya untuk penggunaan bisnis dan rahasia. Data sensitif sering diklasifikasikan sebagai rahasia atau rahasia. Ini mencakup jenis data berikut:

  1. Informasi yang dapat diidentifikasi secara pribadi
  2. Informasi kesehatan yang dilindungi
  3. Informasi kesehatan elektronik yang dilindungi
  4. Data PCI
  5. Kekayaan intelektual

Teknik Data Security

Bagaimana mengamankan data? Berikut ini teknik untuk mengamankan data yaitu:

  1. Enkripsi
  2. Data Masking
  3. Kontrol akses
  4. Data loss prevention (DLP)
  5. Backup data

Enkripsi

Enkripsi adalah proses mengubah teks biasa yang dapat dibaca menjadi teks sandi yang tidak dapat dibaca menggunakan algoritma enkripsi, atau cipher. Jika data terenkripsi dicegat, tidak ada gunanya karena tidak dapat dibaca atau didekripsi oleh siapa pun yang tidak memiliki kunci enkripsi terkait.

Enkripsi simetris dan asimetris adalah dua cipher yang umum digunakan:

Enkripsi simetris menggunakan kunci rahasia tunggal untuk enkripsi dan dekripsi. Standar Enkripsi Lanjutan adalah algoritme yang paling umum digunakan dalam kriptografi kunci simetris.

Enkripsi asimetris menggunakan dua kunci yang saling bergantung: kunci publik untuk mengenkripsi data dan kunci pribadi untuk mendekripsi data. Pertukaran kunci Diffie-Hellman dan Rivest-Shamir-Adleman adalah dua algoritma asimetris yang umum.

Enkripsi simetris dan asimetris memiliki pro dan kontra. Pakar keamanan Michael Cobb menjelaskan perbedaan antara cipher dan membahas mengapa kombinasi keduanya bisa menjadi opsi enkripsi tercepat dan teraman.

Data Masking

Penyembunyian data atau data masking melibatkan pengaburan data sehingga tidak dapat dibaca. Data bertopeng terlihat mirip dengan kumpulan data asli tetapi tidak mengungkapkan informasi sensitif. Data yang sah diganti sehingga data yang disamarkan mempertahankan karakteristik kumpulan data serta integritas referensial di seluruh sistem, sehingga memastikan data tersebut realistis, tidak dapat diubah, dan dapat diulang.

Di bawah ini adalah beberapa teknik penyamaran data atau data masking yang paling umum:

  1. Scrambling
  2. Substitution
  3. Shuffling
  4. Data aging
  5. Variance
  6. Masking out
  7. Nullifying

Penyembunyian data berguna saat data tertentu diperlukan untuk pengujian perangkat lunak, pelatihan pengguna, dan analisis data — tetapi bukan data sensitif itu sendiri.

Kontrol Akses

Salah satu cara terbaik untuk mengamankan data adalah dengan mengontrol siapa yang memiliki akses ke sana. Jika hanya individu yang berwenang yang dapat melihat, mengedit, dan menghapus data, ini secara inheren lebih aman daripada akses gratis untuk semua.

Kontrol akses melibatkan dua proses utama:

Otentikasi adalah proses memastikan pengguna adalah seperti yang mereka katakan. Otorisasi adalah proses memastikan pengguna yang diautentikasi memiliki akses ke data dan sumber daya yang diperlukan.

Autentikasi dan otorisasi adalah komponen dari strategi identitas perusahaan dan manajemen akses (IAM). Proses dan teknik IAM mendasar lainnya termasuk autentikasi multifaktor (MFA), prinsip akses dengan hak istimewa terkecil, kontrol akses berbasis peran, dan manajemen akses istimewa.

Yang juga penting adalah mengikuti praktik terbaik kebersihan kata sandi, seperti menyetel panjang kata sandi minimum, mewajibkan kata sandi unik, dan mempertimbangkan perubahan kata sandi secara teratur. Selami lebih dalam topik-topik ini dan lebih banyak lagi di panduan IAM kami.

Menggunakan strategi kontrol akses tanpa kepercayaan semakin populer. Framework ini memberikan kontrol akses yang ketat secara terus menerus. Dapatkan informasi lebih lanjut tentang tren yang sedang naik daun ini dalam panduan kami menuju nol kepercayaan.

Data Loss Prevention

Alat integral untuk setiap strategi keamanan perusahaan adalah platform DLP. Ini memantau dan menganalisis data untuk anomali dan pelanggaran kebijakan. Banyak fiturnya dapat mencakup penemuan data, inventarisasi data, klasifikasi data, dan analisis data bergerak, diam, dan digunakan. Banyak alat DLP terintegrasi dengan teknologi lain, seperti sistem SIEM, untuk membuat peringatan dan respons otomatis.

Data Backup

Pencadangan data melibatkan pembuatan salinan file dan database ke lokasi sekunder, dan seringkali tersier dan kuaterner. Jika data utama gagal, rusak, atau dicuri, cadangan data memastikannya dapat dikembalikan ke keadaan sebelumnya daripada hilang sama sekali. Pencadangan data sangat penting untuk rencana pemulihan bencana.

Data Security Vs Data Privacy Vs Data Protection

Keamanan data, privasi data, dan perlindungan data merupakan konsep yang tumpang tindih tetapi secara teknis berbeda.

Data Security

Keamanan data memiliki cakupan yang lebih luas, bertujuan untuk melindungi informasi digital tidak hanya dari akses yang tidak sah tetapi juga dari kehilangan yang disengaja, kehilangan yang tidak disengaja dan korupsi.

Sementara privasi data terutama berfokus pada bagian kerahasiaan dari triad CIA, keamanan data sama-sama memperhatikan integritas dan aksesibilitas informasi.

Misalnya, bayangkan pelaku ancaman memperoleh file rahasia, tetapi enkripsi berhasil mencegah mereka membaca data. Informasi itu sendiri tetap tidak dapat diakses, dan privasi data tetap utuh. Namun, penyerang masih dapat merusak atau menghancurkan file yang tidak terbaca, yang merupakan kegagalan keamanan.

Data Privacy

Tujuan privasi data adalah untuk memastikan cara organisasi mengumpulkan, menyimpan, dan menggunakan data sensitif secara bertanggung jawab dan sesuai dengan peraturan hukum. Kebijakan dan tindakan privasi mencegah pihak yang tidak berwenang mengakses data, terlepas dari motivasi mereka dan apakah mereka adalah pengguna akhir internal, mitra pihak ketiga, atau pelaku ancaman eksternal.

Data Protection

Perlindungan data memastikan informasi digital dicadangkan dan dipulihkan jika hilang, rusak, atau dicuri. Perlindungan data adalah bagian penting dari strategi keamanan data yang lebih besar, berfungsi sebagai upaya terakhir jika semua tindakan lain gagal.

Cara Terbaik Mengamankan Data

Untuk secara efektif memitigasi risiko dan bergulat dengan tantangan yang tercantum di atas, perusahaan harus mengikuti praktik terbaik keamanan data yang telah ditetapkan.

Menurut Charles Kolodgy, kepala perusahaan penasihat keamanan siber, Security Mindsets, organisasi harus memulai dengan inventarisasi data apa yang mereka miliki, di mana data itu berada, dan bagaimana aplikasi mereka menggunakannya. Hanya setelah mereka memahami apa yang perlu dilindungi, mereka dapat melindunginya secara efektif.

Penilaian risiko data formal dan audit keamanan reguler dapat membantu perusahaan mengidentifikasi data sensitif mereka, serta bagaimana kontrol keamanan yang ada mungkin gagal.

Selanjutnya, perusahaan harus mempertimbangkan bagaimana mereka akan menutup celah keamanan data yang telah mereka tandai. Para ahli merekomendasikan untuk mempertimbangkan alat, teknologi, dan teknik seperti berikut ini:

Kontrol Akses.

Terlepas dari lokasi dan status data, kemampuan untuk membatasi siapa yang dapat membaca, mengedit, menyimpan, dan membagikannya adalah landasan keamanan data.

Cloud Security Atau Keamanan Awan.

Meskipun penggunaan cloud memiliki manfaat yang signifikan, seperti skalabilitas dan penghematan biaya, penggunaan cloud juga membawa banyak risiko. Perusahaan yang menggunakan SaaS, IaaS, dan PaaS harus bersaing dengan sejumlah masalah keamanan cloud, termasuk manajemen kredensial dan kunci, pengungkapan dan paparan data, serta eksfiltrasi penyimpanan cloud.

Pakar Dave Shackleford, konsultan utama di Voodoo Security, menjelaskan bagaimana organisasi dapat mencapai keamanan data dalam komputasi awan menggunakan enkripsi, MFA, pialang keamanan akses awan, IAM, dan lainnya.

Data Backup Atau Cadangan Data.

Nasihat terbaik adalah mengharapkan yang terbaik dan merencanakan yang terburuk. Pencadangan data bertindak sebagai polis asuransi jika informasi digital rusak, hilang, atau dicuri, seperti dalam kasus serangan ransomware.

Data Encryption Atau Enkripsi Data.

Jika kontrol akses adalah landasan kebijakan keamanan data, maka enkripsi adalah landasannya. Para ahli mengatakan itu harus tidak dapat dinegosiasikan untuk data sensitif, baik saat istirahat, sedang digunakan atau dalam perjalanan. Jika kontrol akses gagal dan entitas yang tidak sah melihat file rahasia, enkripsi membuat isinya tidak terbaca.

Data Masking Atau Penyamaran Data.

Penyembunyian data melengkapi enkripsi data dengan secara selektif mengganti informasi digital sensitif dengan informasi palsu. Ini berguna jika organisasi perlu berbagi versi data nonrahasia dengan pengguna tertentu, untuk alasan seperti administrasi basis data, penelitian dan pengembangan, pengujian perangkat lunak, dan pelatihan pengguna.

Database Security Atau Keamanan Basis Data.

Jika kumpulan data organisasi yang paling sensitif adalah permata mahkotanya, maka basis datanya harus tidak dapat ditembus seperti Menara London. Pakar keamanan siber Mike Chapple membagikan praktik terbaik untuk menjaga keamanan database, termasuk menegakkan prinsip hak istimewa terkecil, melakukan tinjauan akses reguler, dan memantau aktivitas database.

Data Loss Prevention Atau DLP.

Pencegahan kehilangan data memainkan peran penting dalam menegakkan kebijakan keamanan data pada tingkat terperinci — memblokir pengguna dari mengirim email atau mengunduh file yang dilindungi, misalnya. DLP dapat mencegah akses tidak sah dan memperingatkan staf keamanan siber terhadap pelanggaran dan perilaku mencurigakan.

Data Lifecycle Management Atau Manajemen Siklus Hidup Data.

DLM adalah pendekatan otomatis untuk menjaga akurasi, kerahasiaan, keamanan, dan ketersediaan informasi digital dalam jumlah besar dan menghancurkannya dengan cara yang aman dan tepat waktu, sesuai dengan kebijakan perusahaan sambil memenuhi persyaratan kepatuhan yang relevan.

Kebijakan DLM didasarkan pada atribut data seperti jenis, ukuran, usia, dan klasifikasi. Fase utama siklus hidup data dalam kerangka kerja DLM meliputi:

  1. Generation and collection
  2. Processing and storage
  3. Usage
  4. Archiving
  5. Destruction

Patch Management

Membiarkan kerentanan yang diketahui tidak ditambal seperti gagal memperbaiki kunci yang rusak di pintu samping rumah yang aman. Menambal atau patch perangkat lunak dengan cepat dan sering untuk membatasi cara penyerang mendapatkan akses ke properti perusahaan.

Security Awareness Training Atau Pelatihan Kesadaran Keamanan.

Kesalahan staf, kontraktor, dan mitra yang disengaja dan tidak disengaja merupakan salah satu ancaman terbesar terhadap keamanan data. Oleh karena itu, pelatihan kesadaran keamanan sangat penting untuk mengedukasi pengguna tentang kebijakan dan topik keamanan organisasi seperti serangan phishing.

User Behavior Analytics Atau Analitik Perilaku Pengguna.

UBA, juga dikenal sebagai analitik perilaku pengguna dan entitas (UEBA), menandai upaya untuk mendapatkan tingkat akses yang tidak sah atau tidak biasa ke data sensitif.

Di antara kasus penggunaan UEBA teratas, teknologi ini dapat membantu mendeteksi serangan jaringan lateral, mengidentifikasi akun pengguna yang disusupi, dan mengungkap ancaman orang dalam.

Cara Membuat Kebijakan Keamanan Data

Penting untuk mengembangkan strategi menyeluruh untuk menerapkan alat, teknologi, dan teknik keamanan data seperti yang tercantum di atas. Menurut konsultan Kirvan, setiap perusahaan memerlukan kebijakan keamanan data formal untuk mencapai tujuan penting yaitu terwujudnya data security sehingga keamanan data menjadi terjamin.

Share ke: