Kejadian insiden keamanan yang mengakibatkan peretasan adalah, tanpa ragu, salah satu mimpi buruk terbesar bagi perusahaan mana pun saat ini. Selain dampak langsung pada bisnis, ada implikasi hukum dan reputasi yang dapat bertahan selama berbulan-bulan atau bahkan bertahun-tahun. Di Brasil, Undang-Undang Perlindungan Data Umum (LGPD) menetapkan serangkaian persyaratan yang harus diikuti perusahaan setelah terjadinya insiden semacam itu
Sesuai dengan laporan terbaru dari Federasul – Federasi Entitas Bisnis Rio Grande do Sul -, lebih dari 40% perusahaan Brasil sudah menjadi target dari jenis serangan siber tertentu. Namun, banyak dari perusahaan-perusahaan ini masih menghadapi kesulitan untuk memenuhi persyaratan hukum yang ditetapkan oleh LGPD. Data dari Otoritas Nasional Perlindungan Data (ANPD) mengungkapkan bahwa hanya sekitar 30% perusahaan yang diserang secara resmi melaporkan terjadinya insiden tersebut. Discrepansi ini dapat disebabkan oleh berbagai faktor, termasuk kurangnya kesadaran, kompleksitas proses kepatuhan dan ketakutan akan dampak negatif terhadap reputasi perusahaan
Sehari setelah kejadian: langkah pertama
Setelah konfirmasi adanya peretasan hacker, langkah pertama adalah menahan insiden untuk mencegah penyebarannya. Ini termasuk mengisolasi sistem yang terpengaruh, menghentikan akses yang tidak sah dan menerapkan langkah-langkah pengendalian kerusakan
Secara paralel, penting untuk membentuk tim respons insiden, yang harus melibatkan ahli keamanan informasi, profesional TI, pengacara dan konsultan komunikasi. Tim ini akan bertanggung jawab atas serangkaian pengambilan keputusan – terutama yang melibatkan kelangsungan bisnis di hari-hari berikutnya
Dalam hal kepatuhan terhadap LGPD, perlu mendokumentasikan semua tindakan yang diambil selama respons terhadap insiden. Dokumentasi ini akan berfungsi sebagai bukti bahwa perusahaan bertindak sesuai dengan persyaratan hukum dan dapat digunakan dalam audit atau investigasi oleh ANPD
Di hari-hari pertama, tim respons harus melakukan analisis forensik yang mendetail untuk mengidentifikasi asal usul invasi, metode yang digunakan oleh peretas dan jangkauan kompromi. Proses ini sangat penting tidak hanya untuk memahami aspek teknis dari serangan, tetapi juga untuk mengumpulkan bukti yang akan diperlukan untuk melaporkan insiden tersebut kepada otoritas yang berwenang dan juga kepada perusahaan asuransi – jika perusahaan telah melakukan asuransi siber
Ada satu aspek yang sangat penting di sini: analisis forensik juga berfungsi untuk menentukan apakah para penyerang masih berada di dalam jaringan perusahaan – sebuah situasi yang, sayangnya, sangat umum, apalagi jika setelah insiden perusahaan mengalami semacam pemerasan finansial melalui pelepasan data yang mungkin telah dicuri oleh para penjahat
Selain itu, LGPD, dalam pasal 48 Anda, mengharuskan pengendali data untuk menginformasikan kepada Otoritas Nasional Perlindungan Data (ANPD) dan pemilik data yang terpengaruh tentang terjadinya insiden keamanan yang dapat menimbulkan risiko atau kerugian yang signifikan bagi pemilik data. Komunikasi ini harus dilakukan dalam jangka waktu yang wajar, sesuai dengan peraturan khusus ANPD, dan dan harus mencakup informasi tentang sifat data yang terpengaruh, para pemegang yang terlibat, ukuran teknis dan keamanan yang digunakan untuk melindungi data, risiko yang terkait dengan insiden dan langkah-langkah yang telah atau akan diambil untuk membalikkan atau mengurangi efek kerugian
Berdasarkan persyaratan hukum ini, adalah esensial, segera setelah analisis awal, menyiapkan laporan terperinci yang mencakup semua informasi yang disebutkan oleh LGPD. Dalam hal ini, analisis forensik juga membantu menentukan apakah ada ekstraksi dan pencurian data – dalam hal para penjahat mungkin mengklaim
Laporan ini harus ditinjau oleh profesional kepatuhan dan pengacara perusahaan sebelum diajukan ke ANPD. Peraturan juga menentukan bahwa perusahaan harus melakukan komunikasi yang jelas dan transparan kepada pemilik data yang terpengaruh, menjelaskan kejadian tersebut, langkah-langkah yang diambil dan langkah selanjutnya untuk memastikan perlindungan data pribadi
Transparansi dan komunikasi yang efektif, sebenarnya, merupakan pilar dasar selama pengelolaan insiden keamanan. Manajemen harus menjaga komunikasi yang konstan dengan tim internal dan eksternal, memastikan bahwa semua pihak yang terlibat diinformasikan tentang kemajuan tindakan dan langkah-langkah selanjutnya
Evaluasi kebijakan keamanan merupakan tindakan yang diperlukan
Secara paralel dengan komunikasi dengan para pemangku kepentingan, perusahaan harus memulai proses evaluasi dan revisi kebijakan serta praktik keamanannya. Ini mencakup penilaian ulang semua kontrol keamanan, akses, kredensial dengan tingkat akses tinggi, serta juga pelaksanaan langkah-langkah tambahan untuk mencegah insiden di masa depan
Secara paralel dengan tinjauan dan analisis sistem serta proses yang terpengaruh, perusahaan harus fokus, juga, dalam pemulihan sistem dan pemulihan operasinya. Ini melibatkan pembersihan semua sistem yang terpengaruh, penerapan tambalan keamanan, pemulihan cadangan dan revalidasi kontrol akses. Sangat penting untuk memastikan bahwa sistem sepenuhnya aman sebelum dioperasikan kembali
Setelah sistem beroperasi kembali, perlu melakukan tinjauan pasca-insiden untuk mengidentifikasi pelajaran yang dipelajari dan area perbaikan. Tinjauan ini harus melibatkan semua pihak yang relevan dan menghasilkan laporan akhir yang menyoroti penyebab insiden, langkah-langkah yang diambil, dampak dan rekomendasi untuk meningkatkan sikap keamanan perusahaan di masa depan
Selain tindakan teknis dan organisasi, manajemen insiden keamanan memerlukan pendekatan proaktif terhadap tata kelola dan budaya keamanan. Ini mencakup penerapan program berkelanjutan untuk perbaikan dalam keamanan siber dan promosi budaya perusahaan yang menghargai keamanan dan privasi
Reaksi terhadap insiden keamanan memerlukan serangkaian tindakan yang terkoordinasi dan direncanakan dengan baik, selaras dengan persyaratan LGPD. Dari penahanan awal dan komunikasi dengan pihak-pihak yang berkepentingan hingga pemulihan sistem dan tinjauan pasca-insiden, setiap langkah sangat penting untuk meminimalkan dampak negatif dan memastikan kepatuhan hukum. Lebih dari itu, perlu melihat secara langsung kesalahan dan memperbaikinya – di atas semua, sebuah insiden harus membawa strategi keamanan siber perusahaan ke tingkat yang baru
