Keamanan Informasi - Ini Tentang Integritas
Bagaimana perusahaan Anda menangani keamanan sering dilihat sebagai persamaan biaya-nilai sederhana. Anda mungkin tidak menyadari bahwa pelanggan Anda mungkin melihatnya dengan sangat berbeda, dan cara Anda mendekati keamanan informasi saat ini sering kali memengaruhi cara publik memandang integritas Anda secara keseluruhan, baik Anda suka atau tidak.
Kembali di awal 90-an, Layanan Pabean AS memperlakukan penanganan informasi dengan sangat serius. Kebijakan ditinjau secara teratur, akses dan aktivitas terus dipantau, dan keamanan informasi fisik dan teknologi hampir merupakan latihan fanatik dalam dedikasi terhadap detail dan pengawasan. Terlepas dari penegakan hukum, beberapa organisasi bahkan mempertimbangkan keamanan informasi sama sekali.
Selama 30 tahun terakhir, saya telah melihat beberapa perbedaan yang agak mencolok dalam bagaimana keamanan informasi ditangani baik di sektor publik maupun swasta. Dalam masing-masing, perhatian yang diberikan sangat bervariasi. Pemerintah daerah, misalnya, sering tertinggal jauh di belakang sektor swasta hanya karena ada sikap bahwa mereka tidak perlu terlalu memusingkan hal itu. Banyak dari ini berkaitan dengan kepuasan sederhana, tetapi informasi yang saling bertentangan yang berasal dari lembaga negara bagian dan federal dan persyaratan kepatuhan seringkali tidak jelas dan diberlakukan secara berbeda setiap kali auditor muncul.
Pengamatan saya terhadap lingkungan swasta dan publik lainnya sebagian besar merupakan campuran dari ambivalensi, keengganan, dan mandat peraturan yang ditulis dengan buruk. Upaya penegakan dan audit ada di seluruh peta pada konsistensi, kelengkapan dan kepatuhan.
Salah satu contoh: penegakan standar CJIS di Negara Bagian Idaho misalnya sangat menghebohkan. Mendapatkan siapa pun dari kantor keamanan negara adalah latihan yang sia-sia dengan sendirinya. Saya pernah menelepon kantor itu 15 kali dan menunggu selama 4 bulan untuk mendapatkan jawaban sederhana ketika saya menanyakan secara spesifik mengenai persyaratan kompleksitas frasa sandi. Departemen TI Penegakan Hukum sering dibiarkan dengan interpretasi mereka sendiri tentang persyaratan CJIS, dan seringnya perubahan dalam cara negara menafsirkan kembali pedoman CJIS membuat mereka berebut untuk mematuhi pedoman yang kemudian tertunda selama bertahun-tahun pada suatu waktu.
Kabar baiknya adalah bahwa selama bertahun-tahun, langkah-langkah keamanan informasi telah tumbuh dan matang. Berita buruknya adalah ini hanya terjadi karena pelanggaran keamanan perusahaan dan pemerintah yang berulang telah menimbulkan ketakutan publik secara signifikan.
Ketika Sarbanes - Oxley menyerang setelah Enron, perusahaan publik bergegas untuk memenuhi harapan minimum dan menyebutnya sebagai kemenangan. Apakah respons ini terdengar familier? "Selama kotak centang ini diisi, saya baik untuk satu tahun lagi." Tentu saja tidak semua perusahaan mengambil pendekatan ini, dan di situlah persepsi pelanggan dan persepsi mereka tentang Integritas Anda mulai mengambil peran yang lebih menonjol.
Sebuah perusahaan Informasi Faktual benar-benar menganggap anti-virus sebagai kemewahan dan menyatakan pada rapat departemen suatu hari bahwa menginstal perangkat lunak anti-virus akan menjadi "sesuatu untuk dilihat di masa depan."
Masa depan itu menjadi sangat nyata hanya seminggu kemudian...
Seluruh jaringan mereka terinfeksi dalam satu peristiwa. 4 hari kemudian, 30 teknisi yang bekerja sepanjang waktu akhirnya membersihkan kekacauan yang telah menyebar di 5 fasilitas mereka yang berdampak signifikan pada bisnis mereka. Tentu saja, sebagai kasino Vegas, opini publik tentang integritas sudah rendah untuk seluruh industri dan opini publik tentang kualitas tertentu tidak terlalu menjadi faktor.
Dapatkah Anda membayangkan seseorang mengambil pandangan itu hari ini? Belum lama ini lebih dari 100k catatan Medicaid Negara Bagian Idaho hilang, jadi jangan berpikir itu masih terjadi.
Bahkan Idaho Power harus belajar dengan cara yang sulit. Dalam kasus mereka, hard drive yang salah penanganan menjadi sumber rasa malu publik saat informasi pribadi pelanggan masuk ke Internet. Kedua kasus ini menimbulkan kemarahan publik dan pertanyaan sulit harus dijawab dan perubahan segera diperlukan.