Minta Bantuan Pakar
Perencanaan solusi yang tepat membutuhkan pemahaman tentang tujuan keamanan proyek. Biarkan pakar Kingston memandu Anda.
Minta Bantuan PakarSeiring mulai tumbuhnya pemahaman organisasi dengan jumlah serangan siber yang makin meningkat, pemahaman dan kepatuhan terhadap peraturan terbaru menjadi hal yang penting bagi organisasi.
Sebelumnya, kami telah mewawancarai David Clarke, pakar keamanan siber berpengalaman, untuk membahas perubahan sikap terhadap penyimpanan terenkripsi. Kali ini, kami meminta David untuk memberikan pendapatnya tentang Pedoman NIS2 dan Undang-Undang Ketahanan Operasional Digital (DORA - Digital Operational Resilience Act) serta implikasinya.
Pengalaman luas Clarke mencakup pengelolaan keamanan untuk jaringan perdagangan swasta terbesar di dunia dan menjalankan salah satu pusat operasi keamanan terbesar di Eropa. Berikut adalah wawasan utamanya, bersama dengan video lengkap dari wawancara ini.
Pedoman NIS2 bertujuan untuk meningkatkan ketahanan keamanan siber pada infrastruktur krusial di seluruh UE. Clarke menjelaskan bahwa pedoman ini menargetkan sektor-sektor yang jika terkena serangan, dapat berdampak besar terhadap populasi dalam jumlah besar. Sektor tersebut mencakup industri seperti penerbangan, pengiriman, pertanian, jaringan ritel besar, dan banyak lagi. Selain itu, NIS2 kini juga mencakup penyedia layanan TI terkelola, mengingat potensinya dalam memengaruhi banyak klien jika terkena serangan.
Pedoman ini menekankan pentingnya ketahanan siber dan manajemen pihak ketiga. Perusahaan juga harus memperlihatkan pengelolaan yang efektif terhadap pemasok TI yang digunakannya guna memenuhi standar keamanan siber yang diwajibkan. Kelalaian dalam kepatuhan dapat mengakibatkan denda hingga 2% dari pendapatan global (atau €10 juta, tergantung nilai yang lebih tinggi). Meskipun tidak terjadi pembobolan data, perusahaan masih dapat dikenai denda apabila tidak dapat menunjukkan bukti memadai tentang kepatuhan.
Di sisi lain, DORA (Undang-Undang Ketahanan Operasional Digital), secara eksklusif berfokus pada sektor keuangan. Mulai berlaku Januari 2025, peraturan ini mengamanatkan langkah keamanan siber yang ketat untuk memastikan ketahanan operasional pada lembaga keuangan.
Clarke menyoroti bahwa denda DORA dapat mencapai 1% dari pendapatan global, dengan kemungkinan denda harian jika masalah tidak segera diperbaiki. DORA mewajibkan lembaga keuangan untuk melakukan pengujian penetrasi berbasis ancaman dan memastikan tidak ada titik tunggal kegagalan pada sistem mereka.
Baik NIS2 maupun DORA mewajibkan pelaporan insiden yang mendetail ke badan regulasi yang relevan. Clarke menyebutkan bahwa DORA menetapkan periode pelaporan selama 72 jam dengan pedoman yang jelas tentang informasi yang harus disertakan, seperti jumlah pelanggan yang terpengaruh dan sifat dari risikonya.
Mengenai transfer data internasional, Clarke menekankan perlunya praktik yang aman. Misalnya, DORA mewajibkan perusahaan untuk menguji rencana kelangsungan bisnisnya dan memberikan bukti efektivitasnya. Hal ini memastikan bahwa perusahaan dapat menangani insiden dan menunjukkan kesiapannya.
Clarke percaya bahwa kepatuhan regulasi dapat menjadi peluang bisnis yang signifikan. Kemampuan menunjukkan kesesuaian dengan standar keamanan siber dan perlindungan data dapat membuka peluang untuk mendapatkan kontrak pemerintah serta kemitraan dengan perusahaan yang lebih besar. Kedua jenis entitas ini sering kali mewajibkan perusahaan lebih kecil untuk memberikan bukti langkah keamanan sibernya guna mengurangi risiko tanggung jawab hukum.
Untuk kepatuhan NIS2 dan DORA, drive USB harus dilengkapi dengan fitur keamanan yang kuat. Clarke menekankan pentingnya enkripsi berbasis perangkat keras yang memberikan beberapa keunggulan dibandingkan dengan solusi yang berbasis perangkat lunak. Enkripsi berbasis perangkat keras adalah ekosistem tertutup yang memberikan keamanan dan perlindungan yang kuat terhadap penyerang.
Di sisi lain, enkripsi perangkat lunak pada penyimpanan seluler dapat dengan mudah dihapus melalui pemformatan ulang sehingga membahayakan kepatuhan dan meningkatkan risiko pembobolan data. Selain itu, file dengan perlindungan kata sandi dan terenkripsi perangkat lunak dapat diretas dengan menggunakan alat penebak kata sandi yang mudah diakses secara online.
Ketika ditanya tentang perlu tidaknya organisasi mempertimbangkan sertifikasi FIPS NIST sebagai “standar emas” atau yang terbaik. “Tentu saja”. Clarke menegaskan “Ada cukup banyak kasus ketika orang mengeklaim telah memiliki keamanan dan enkripsi yang lebih baik, tetapi kemudian sistem tersebut tidak memenuhi harapan dan berhasil diserang”.
Drive Kingston IronKey D500S dan Keypad 200 menawarkan sertifikasi FIPS 140-3 Level 3 (dalam proses) agar organisasi dapat yakin bahwa data sensitif mereka dilindungi dengan salah satu perlindungan enkripsi tingkat militer yang terkuat di pasar saat ini. Untuk penyimpanan berkapasitas tinggi, drive SSD Eksternal IronKey Vault Privacy 80 yang tersertifikasi FIPS 197 menawarkan kapasitas hingga 8TB sehingga memungkinkan pencadangan data krusial secara terisolasi dari jaringan (air-gapped).
Ancaman keamanan siber terus meningkat dan menyebar sehingga pedoman dan peraturan seperti NIS2 dan DORA berperan penting dalam menjamin ketahanan infrastruktur dan lembaga keuangan yang krusial. Wawasan Clarke menekankan pentingnya kepatuhan, pelaporan insiden yang efektif, penerapan langkah keamanan yang kuat, dan penggunaan penyimpanan terenkripsi perangkat keras. Dengan menerima peraturan tersebut, organisasi tidak hanya dapat meningkatkan postur keamanannya, tetapi juga memperoleh keunggulan dengan memanfaatkan kepatuhan sebagai keunggulan kompetitif.
#KingstonIronKey
Perencanaan solusi yang tepat membutuhkan pemahaman tentang tujuan keamanan proyek. Biarkan pakar Kingston memandu Anda.
Minta Bantuan PakarBahkan peminat teknologi yang paling berpengalaman sekalipun dapat lupa melakukan pencadangan dengan sering. Kami akan membahas beberapa tip sederhana yang akan memastikan Anda dengan mudah dapat melakukan pencadangan secara rutin.