Prosedur dan Persyaratan Keamanan Data Digital

Prosedur dan persyaratan keamanan data dikategorikan ke dalam empat kelompok, atau yang dikenal dengan "The Four A's", yaitu Access, Audit, Authentication, dan Authorization. Selain itu, Entitlement juga seringkali diikutsertakan untuk mendukung kepatuhan terhadap regulasi data yang efektif. Klasifikasi informasi, hak akses, pengelompokan role, pengaturan users, dan password merupakan sarana untuk menerapkan kebijakan dan memenuhi "The Four A's". Pemantauan keamanan juga merupakan hal yang penting untuk membuktikan keberhasilan proses lainnya. Pemantauan maupun audit keamanan data dapat dilakukan secara terus menerus maupun berjangka waktu. Audit formal harus dilakukan oleh pihak ketiga agar dianggap sah, dimana pihak ketiga tersebut dapat berasal dari internal maupun eksternal.

The Four A’s

1. Akses (Access)

Pemberian akses memungkinkan individu yang memiliki otorisasi untuk mengakses sistem sesuai pada waktu yang dibutuhkan. Akses dalam hal ini dapat berupa kata kerja, yang berarti terhubung secara aktif ke sistem informasi dan bekerja dengan data. Serta dapat juga digunakan sebagai kata benda, yang menunjukkan bahwa orang tersebut memiliki otorisasi yang valid terhadap data.

2. Audit

Meninjau tindakan-tindakan terkait keamanan dan aktivitas pengguna untuk memastikan kepatuhan terhadap peraturan dan kesesuaian dengan kebijakan dan standar perusahaan. Profesional keamanan informasi secara berkala meninjau log dan dokumen untuk melakukan validasi kepatuhan terhadap peraturan, kebijakan, dan standar keamanan. Hasil audit ini perlu untuk dipublikasikan secara berkala.

3. Otentikasi (Authentication)

Otentikasi dapat diartikan sebagai validasi atas akses pengguna. Ketika pengguna mencoba masuk ke suatu sistem maka sistem tersebut perlu melakukan verifikasi bahwa orang tersebut adalah orang yang benar. Penggunaan kata sandi adalah salah satu cara untuk melakukan hal ini. Beberapa metode otentikasi yang lebih ketat diantaranya penggunaan token keamanan, menjawab pertanyaan, atau mengirimkan sidik jari. Seluruh transmisi data selama otentikasi perlu di-enkripsi untuk mencegah pencurian informasi otentikasi

4. Otorisasi (Authorization)

Berbeda dengan otentikasi, otorisasi merujuk pada pemberian hak (privileges) kepada individu untuk mengakses tampilan data tertentu sesuai dengan role mereka. Setelah penentuan otorisasi, Access Control System memeriksa setiap kali pengguna melakukan log in untuk melihat apakah mereka memiliki token otorisasi yang valid atau tidak. Secara teknis, hal ini berarti adanya catatan baru dalam Active Directory perusahaan yang menunjukkan bahwa orang tersebut telah diberikan wewenang oleh seseorang untuk mengakses data. Hal ini lebih jauh dapat menunjukkan bahwa seseorang yang bertanggung jawab memberikan keputusan untuk memberikan otorisasi ini karena pengguna tersebut berhak atasnya berdasarkan pekerjaan atau statusnya dalam perusahaan.

5. Kepemilikan (Entitlement)

Entitlement merujuk pada total elemen data yang diberikan aksesnya kepada suatu pengguna melalui satu keputusan otorisasi akses. Manajer yang bertanggungjawab harus memutuskan bahwa orang tersebut berhak untuk mengakses informasi dimaksud sebelum permintaan otorisasi diterbitkan. Penyusunan daftar data yang terekspos oleh masing-masing entitlement diperlukan untuk menentukan persyaratan sesuai peraturan dan kerahasiaan untuk keputusan pemberian hak ini.

Monitoring

Sistem keamanan data harus mencakup pemantauan yang mendeteksi kejadian tak terduga, termasuk potensi pelanggaran keamanan. Sistem yang berisi informasi rahasia seperti data gaji atau keuangan pada umumnya menerapkan pemantauan aktif dan real-time yang memberikan alerts kepada administrator akan aktivitas mencurigakan atau akses yang tidak sesuai.

Beberapa sistem keamanan akan melakukan interupsi secara aktif pada aktivitas-aktivitas yang tidak sesuai dengan profil akses tertentu. Akun atau aktivitas tetap terkunci hingga tim berwenang telah mengevaluasi secara detail.

Sebaliknya, pemantauan pasif akan melakukan pelacakan perubahan (track changes) dari waktu ke waktu dengan mengambil gambaran sistem secara berkala, dan membandingkan tren dengan benchmark atau kriteria yang telah ditentukan. Sistem mengirimkan laporan kepada data stewards atau administrator terkait keamanan data yang bertanggung jawab atas data tersebut. Dari penjelasan di atas dapat dilihat bahwa pemantauan aktif merupakan mekanisme deteksi, sementara pemantauan pasif merupakan mekanisme assessment.