Kesalahan terbesar yang dilakukan para pemimpin TI dalam mencoba mengamankan data sensitif adalah tidak memahami di mana data mereka berada dan bagaimana alirannya, kata wakil presiden dan kepala petugas privasi Cisco Systems.
“Beberapa tantangan di mana ada kesalahan adalah ketika organisasi tidak sepenuhnya memahami atau mengetahui arsitektur aliran data mereka,” Harvey Jang, wakil presiden perusahaan, kepala petugas privasi dan kepala hukum untuk privasi dan keamanan, mengatakan dalam sebuah wawancara yang luas.
“Anda benar-benar harus memahami data Anda. Anda harus memahami apa yang Anda kumpulkan, apa yang Anda proses, dan dengan siapa Anda membagikannya. Saya pikir itu bagian yang kritis …
“Pahami kapan [data] akan dari satu [data] pemroses ke pemroses lainnya … dan itu harus didokumentasikan … dari titik pengumpulan hingga pemrosesan, hingga berbagi hingga penyimpanan dan penghapusan arsip. Anda harus meluangkan waktu dalam tata kelola informasi dan memahami siklus hidup data dan setiap langkah kerentanan di sepanjang jalan dan mengatasinya. …
“Harus ada uji tuntas dalam manajemen vendor, tinjauan keamanan yang kuat — yang mencakup penilaian privasi — untuk benar-benar memahami risiko kumpulan data yang Anda minta pihak ketiga untuk memproses data untuk Anda.”
“Anda dapat mengamankan satu lingkungan,” tambahnya, “tetapi ketika Anda menggunakan pihak ketiga, atau cloud pihak ketiga atau API, mereka mungkin tidak seaman atau dalam pengawasan seperti lingkungan Anda sendiri.
“Kami memiliki seluruh divisi keamanan dan layanan konsultasi di mana saya melihat banyak hal meningkat karena pihak ketiga. Jadi, jika Anda memiliki organisasi tanpa kepercayaan, Anda memiliki standar yang sangat ketat dan mengendalikan lingkungan Anda. Saat itulah pemilihan vendor menjadi kritis. Dapatkah vendor Anda memenuhi persyaratan dan standar privasi dan keamanan yang telah ditetapkan organisasi Anda? Jadi saat Anda berpindah dari satu vendor ke vendor berikutnya dan ke berikutnya dan lebih jauh ke hilir, di situlah menurut saya bahaya atau risikonya [to data] meningkat. Risiko pihak ketiga dan risiko orang dalam mungkin adalah dua area terbesar yang saya lihat.”
Seorang pengacara dan anggota dewan penasihat penelitian International Association of Privacy Professionals (IAPP), Jang memimpin tim yang bertanggung jawab untuk mengembangkan dan mengatur kebijakan perlindungan data global Cisco, kemampuan kepatuhan, metodologi rekayasa privasi, sertifikasi, dan kerangka akuntabilitas.
Sebelum bergabung dengan Cisco, dia adalah direktur senior urusan hukum di McAfee, penasihat utama untuk privasi, keamanan, pemasaran, perlindungan konsumen, dan antimonopoli di Intel, dan direktur manajemen privasi dan informasi serta kepala penasihat privasi dan keamanan untuk HP.
Dua tahun lalu dia pindah dari sisi hukum Cisco ke sisi operasionalnya untuk fokus pada privasi. Bulan ini dia pindah kembali ke bagian hukum untuk membantu mengubah pendekatan departemen terhadap privasi dan masalah lainnya.
Dia berbicara tentang “melakukan yang benar oleh pelanggan dan pemangku kepentingan kami, termasuk karyawan kami, dan melampaui kepatuhan.”
“Jika Anda mendekati privasi atau etika data atau lingkungan demi kepatuhan, Anda mungkin sudah gagal. Itu bukan arah yang ingin Anda tuju, itu bukan arah yang harus kami tuju sebagai perusahaan.”
Ini membantu bahwa privasi menjadi perhatian utama bagi pelanggan Cisco, katanya. Sebuah survei baru-baru ini terhadap pelanggan di 28 negara tahun ini menunjukkan lebih dari 90 persen responden percaya privasi adalah misi penting. “Pelanggan kami yang mengemudi [Cisco] cukup sedikit dalam hal privasi dan keamanan, ”katanya. “Dan mereka sering melampaui apa yang diwajibkan undang-undang … dan mereka benar-benar memaksakan diri untuk membatasi apa yang kami di Cisco lakukan dengan [their] data. Pertama, mereka ingin memastikan keamanannya. Jadi untuk Webex, kami memberi tahu mereka bahwa itu aman. Tapi kami melangkah lebih jauh dan mencapai beberapa standar industri ini, sertifikasi melalui standar keamanan dan privasi yang ISO. Kami mencapai Kode Etik Cloud UE dengan memastikan bahwa cloud Webex kami memenuhi standar privasi Eropa. Pelanggan mendorongnya di atas dan di luar apa yang diharuskan oleh hukum. ”
Perusahaan kecil yang tidak memiliki program privasi yang kuat “bersyukur bahwa kami memiliki pelanggan perusahaan dan pemerintah yang telah mendorong ini semua … mereka mendapatkan semua standar tinggi [in our products] yang diperoleh pelanggan pemerintah Eropa kami.”
Namun, dia mengakui, “hacker sangat canggih. Sayangnya apa yang telah kita lihat dalam pelanggaran adalah tidak begitu banyak serangan brute force lagi. Apa yang kami lihat lebih banyak adalah rekayasa sosial, ”dengan peretas menebak kata sandi atau memasang keylogger. “Peretas tidak menghancurkan firewall,” katanya. “Mereka menemukan cara untuk mendapatkan kredensial login melalui serangan phishing atau cara lain dan masuk melalui itu.”
Ditanya apakah organisasi didorong untuk mengumpulkan terlalu banyak data, Jang mengatakan ada ketegangan yang melekat antara data besar dan ilmuwan data dan persyaratan privasi.
“Privasi mendorong gagasan minimalisasi data ini — hanya [collect] apa yang Anda butuhkan untuk melayani tujuan eksplisit dan terartikulasi yang Anda tetapkan. Data dan ilmuwan data [say] ‘Beri saya semua data yang mungkin ada di luar sana, kami akan menjalankan beberapa algoritme, dan pola akan muncul, lalu kami akan memberi tahu Anda arti di baliknya.’ Jadi ada sedikit ketegangan. Tetapi hal yang menarik di mana Anda dapat mengelola ketegangan itu adalah [asking], ‘apakah pola yang Anda cari, apakah Anda perlu membuatnya dapat diidentifikasi secara individual?’ Setiap kali muncul di Cisco, jawabannya adalah ‘Tidak … kami ingin melihat pola tingkat makro’. Di situlah kecerdasan buatan dan pembelajaran mesin berperan. Jadi kami memberikan teknik peningkatan privasi untuk menghapus atau menutupi pengidentifikasi yang sebenarnya dan menggantinya dengan a [generic] rangkaian. Jadi, ketika Anda melakukan hal-hal seperti menggunakan teknik peningkatan privasi itu, Anda dapat bermain lebih banyak dengan datanya.”
CPO harus bertanya kepada CEO apa hasil yang ingin dicapai organisasi dengan semua data yang dikumpulkannya, katanya. “Lebih sering daripada tidak mereka tidak membutuhkan individu, atau menghubungkan ke orang tertentu, atau melihat pola perilaku tingkat mikro,” kata Jang.
Ditanya mengapa organisasi tidak memprioritaskan teknologi perlindungan data seperti enkripsi dan pemisahan jaringan, Jang mengatakan dia tidak yakin mereka tidak melakukannya. “Anda ingin memastikan data dienkripsi dalam penyimpanan dan transit,” katanya. Namun dia juga mencatat bahwa “kami telah melihat kesalahan di mana karyawan membiarkan ember Amazon S3 terbuka yang tidak terenkripsi, dan itu menyebabkan banyak masalah. Enkripsi dan [secure storage] … adalah beberapa aspek dasar keamanan. Ada lebih banyak panduan di luar sana daripada sebelumnya, jadi lebih sulit untuk berpura-pura bodoh.” Panduan itu mencakup kerangka Institut Standar dan Teknologi Nasional (NIST) Departemen Perdagangan AS, serta kerangka kerja keamanan siber lainnya.
Tidak ada yang bisa mengatakan mereka terlalu kecil untuk keamanan, dia menambahkan: Mereka hanya perlu memprioritaskan.
“Orang-orang kurang bisa membuat alasan lagi untuk keamanan yang ceroboh atau buruk.”
Untuk itu, tambahnya, penerapan otentikasi multifaktor untuk melindungi login sangat penting.
Privasi “bisa sangat rumit. Anda bisa kewalahan dengan hukum, aturan, standar, semua hal itu.” Namun, dia bersikeras, “semuanya bermuara pada tiga prinsip inti: Transparansi, keadilan, dan akuntabilitas. Jika saya mencoba menyaring semua hukum, apa yang mereka maksudkan? Bahkan seratus halaman GDPR [Europe’s General Data Protection Regulation] turun ke, Anda harus transparan, Anda harus adil dan Anda harus memiliki akuntabilitas dan kontrol untuk memenuhi janji yang Anda buat. Saya pikir semakin transparan Anda, semakin banyak kesempatan yang Anda miliki bagi orang lain untuk menguji keadilan Anda. Dan bahwa Anda bersedia dengan jujur mengatakan, ‘Saya percaya pada apa yang kita lakukan, saya percaya apa yang kita lakukan bertanggung jawab, jadi saya akan memberi tahu orang-orang tentang itu.’ Bagian itu sangat penting. ”
Ditanya apakah setiap organisasi membutuhkan kepala petugas privasi, Jang samar-samar. “Apakah Anda membutuhkannya, Anda harus memiliki seseorang yang bertanggung jawab atas data pribadi … Apakah itu harus menjadi pekerjaan penuh waktu dengan tim yang sangat besar? Itu tergantung pada risiko dan kumpulan data yang ditangani organisasi Anda.
“Kemana CPO harus melapor? Tidak ada jawaban tunggal. Karena itu [privacy] multidisiplin, tidak peduli di mana laporan individu itu, mereka akan memanfaatkan keahlian dari banyak tim. Jika Anda menjual produk yang menangani data pribadi, Anda harus memiliki titik penghubung ke tim teknik. Apakah itu garis putus-putus atau komunitas praktik atau eksekutif atau pemimpin yang dirancang dengan tanggung jawab itu, itu bervariasi dari satu organisasi ke organisasi lainnya. Saya tidak berpikir ada satu cara untuk melakukannya. Anda harus melihat risiko privasi organisasi, dan di mana orang itu cocok siapa yang bertanggung jawab untuk menangani data pribadi dengan benar. Di mana pun orang itu berada, otoritas untuk mengarahkan perilaku adalah yang terpenting.”
Kami tentu saja selamanya menggunakan sumber terpercaya sebagai referensi no keluaran sydney untuk memelihara mutu pelayanan. Perlu kamu ketahui seluruh sydney prize 2020 berikut kami ambil dari situs formal pengelola judi togel sidney yaitu sydneypools.com. Sydney pools sendiri telah di akui oleh WLA sebagai organisasi resmi yang menjalankan undian result keluaran sdy prize live draw dengan adil dan fair.
