Cyberthreat.id – Operator seluler, XL Axiata, tak menutup mata ancaman nyata terkait dengan pelanggaran data pribadi. Ancaman tersebut tidak hanya berasal dari pihak luar perusahaan, tapi juga bisa dari kalangan internal.

Oleh karenanya, Regulatory Innovation Digital atau Member dari Data Protection Officer di PT. XL Axiata Tbk, Ella Herlany Mallarangan mengatakan, selama ini perusahaan rutin melakukan mitigasi secara internal ke karyawan.

Salah satunya, kata Ella, menekankan pentingnya bekerja sesuai prosedur operasional standar dan mengingatkan kepada setiap karyawan tentang integritas.

“Kami melakukan continuous education, setiap Jumat teman-teman dari data governance itu mengeluarkan email mengingatkan kami kenapa kita harus menjaga data pribadi dan data perusahaan. Karena orang-orang suka lupa kan ya, kita rutin ingatkan,” ujar Ella dalam sedaring bertajuk “Jual Beli Data: Apa Kabar Data Pribadi di Indonesia”, Kamis (13 Agustus 2020).

Di XL Axiata, kata Ella, juga memiliki tim respons insiden siber yang melibatkan, antara lain tim keamanan siber, data governance, dan regulation compliance.

Untuk itu, dalam hal keamanan siber, pihaknya menerapkan standar National Institute of Standards and Technology (NIST).

“Kami di operator, hampir semua operator saya rasa ya, sudah menerapkan standar NIST. NIST itu standar cybersecurity [yang dipakai] di AS,” ujar dia.

Menurut Ella, NIST telah mengeluarkan framework yang hampir digunakan di seluruh dunia ketika terjadi insiden siber. “Gimana identifikasi threat, gimana respon threat, gimana data breach, itu yang sudah kami adopsi di XL, dan saya yakin semua operator menerapkan hal yang sama,” ujar dia.

Selain itu, menurut Ella, perusahaannya juga sudah mengimplementasikan ISO 27001 terkait manajemen keamanan informasi yang diklaim setiap tahun diaudit oleh lembaga independen.

“Kami mulai 2016 sejak aturan registrasi kartu prabayar diterapkan, kami wajib punya ISO 27001,” kata dia.

“Orang suka anggap enteng, apa artinya ISO? Tapi, ISO itu adalah proses yang sangat mahal buat kami dan tiap tahun kami diaudit oleh independen auditor.”

“Buat kami punya cap ISO 27001 itu enggak main-main, kalau nanti ada ISO 27701 untuk data privasi, itu bisa juga dikembangkan ke arah sana,” kata Ella.

Menurut Ella, perlindungan data itu harus dilakukan oleh semua pihak, yaitu data controller yang tediri atas lembaga publik, swasta, dan individu. Ketiganya punya tanggung jawab yang sama dalam mengelola data pribadi.

Dalam sebuah kasus pelanggaran data, menurut Ella, perlu ada lembaga pengawas yang independen. Bisa saja disebut sebagai Data Protection Authority (DPA).

“Yang bisa jadi penengah harus independen, karena dia yang akan melihat apa yang menyebabkan kegagalan, berapa jumlah data yang bocor, dan apa yang sudah dilakukan. Dia yang jadi wasit untuk kita semua (lembaga publik, privat, dan individu),” ujar Ella.

Melindungi diri di internet

Di sisi lain, Ella menyinggung beberapa hal tentang berbagi data pribadi di internet, antara lain:

Menurut Ella, saat akan berbagi data pribadi di internet terapkan konsep data minimization atau hanya bagikan yang perlu saja. Jika yang diperlukan cukup nama dan alamat email, data pribadi lain tidak perlu dibagikan ke pihak lain.

“Kita harus berpikir kritis saat orang-orang minta data pribadi kita,” kata Ella.

“Jangan malas membaca data privacy policy dari suatu situs web/aplikasi/platform online karena disitu dijabarkan bagaimana mereka mengumpulkan, mengelola, menyimpan dan menghapus data kita di platform mereka,” kata Ella.

“Kemudian berapa lama masa retensi yang akan dilakukan terhadap data pribadi Anda ... kalau tidak nyaman privacy policy suatu platform, jangan masuk ke platform itu,” kata Ella.

Selanjutnya, terapkan self-censorship saat mengunggah suatu konten di internet. Tanyakan dulu apakah ini berguna dan penting? Yang paling penting tanya: apakah saya nyaman kalau keluarga saya melihat ini?[]

Redaktur: Andi Nugroho