📂 Asset: Data Pribadi
🛑 Issue: Penyalahgunaan Data Pribadi
| Kolom | Isi |
|---|---|
| Asset | Data Pribadi |
| Issue | Penyalahgunaan Data Pribadi |
| Pelaku Ancaman | Insider Threat, Outsider Threat |
| Root Cause | 1. Tidak ada kontrol ketat terhadap siapa yang boleh mengakses & untuk tujuan apa. 2. Kurangnya kebijakan yang jelas mengenai penggunaan data. 3. Tidak adanya audit periodik terhadap aktivitas akses & penggunaan data. 4. Lemahnya mekanisme NDA & pengawasan terhadap pihak ketiga. |
| WCGW (What Could Go Wrong) | People: Data pribadi karyawan, customer, atau BOD digunakan untuk penipuan atau marketing tanpa izin. Operation: Meningkatnya keluhan, tuntutan hukum, dan gangguan layanan akibat penyalahgunaan data. Business Reputation: Hilangnya kepercayaan publik, reputasi perusahaan jatuh di mata stakeholder. |
| Risiko Melekat | Possible — Major — High |
| Pengendalian Ancaman yang Ada | Man: 1. Sosialisasi kebijakan perlindungan & penggunaan data pribadi kepada karyawan & vendor. 2. Penandatanganan NDA bagi semua pihak yang mengakses data pribadi. Method: 1. Kebijakan pengelolaan & pembatasan penggunaan data hanya untuk keperluan yang sah. 2. Audit & review akses data secara berkala. 3. Persetujuan eksplisit dari pemilik data sebelum digunakan untuk tujuan tertentu. Machine: 1. Implementasi role-based access control (RBAC) pada sistem data. 2. Logging & monitoring aktivitas akses & penggunaan data secara real-time. |
| Control Dokumen | 1. Kebijakan Perlindungan & Privasi Data 2. NDA untuk internal & vendor 3. SOP Audit & Review Akses Data 4. Laporan Audit Penggunaan Data 5. Dokumen Persetujuan Penggunaan Data |
| Risiko Residual | Unlikely — Moderate — Moderate |
| Kerawanan | 1. Tidak semua vendor sudah memiliki NDA yang aktif. 2. Audit penggunaan data belum dilakukan secara rutin. 3. Beberapa unit kerja masih menyimpan & menggunakan data untuk keperluan yang tidak tercatat. |
| Risiko yang Diharapkan | Rare — Minor — Low |
| Rencana Penanganan Risiko | 1. Penegakan kewajiban NDA untuk semua vendor & pihak internal yang terkait data. 2. Menetapkan jadwal rutin audit & review penggunaan data tiap semester. 3. Integrasi persetujuan eksplisit ke dalam sistem saat pengumpulan & penggunaan data. 4. Implementasi dashboard monitoring akses data yang bisa diakses PIC. |
| PIC | IT Security Dept Head, Compliance Dept Head, HR Dept Head |
| Status | ✅ Accept |
📂 Asset: Data Pribadi
🛑 Issue: Kebocoran Data Pribadi
| Kolom | Isi |
|---|---|
| Asset | Data Pribadi |
| Issue | Kebocoran Data Pribadi |
| Pelaku Ancaman | Insider Threat, Outsider Threat |
| Root Cause | 1. Tidak ada kebijakan & prosedur pengelolaan data pribadi yang ketat. 2. Kurangnya kesadaran & pelatihan karyawan terkait perlindungan data pribadi. 3. Sistem penyimpanan data tidak terenkripsi & tidak memiliki akses terbatas. 4. Tidak adanya monitoring aktivitas akses data secara real-time. |
| WCGW (What Could Go Wrong) | People: Identitas pribadi karyawan/customer/VIP disalahgunakan. Operation: Gangguan operasional akibat penyelidikan & pemulihan data. Business Reputation: Kehilangan kepercayaan publik, tuntutan hukum, denda regulator. |
| Risiko Melekat | Possible — Major — High |
| Pengendalian Ancaman yang Ada | Man: 1. Pelatihan & sosialisasi perlindungan data pribadi kepada seluruh karyawan. 2. Penandatanganan NDA (Non Disclosure Agreement) untuk seluruh pihak terkait. Method: 1. SOP pengelolaan & permintaan akses data pribadi. 2. Kebijakan Data Privacy & Compliance (misalnya mengikuti GDPR/UU PDP). 3. Prosedur penanganan insiden kebocoran data. Machine: 1. Sistem penyimpanan dengan enkripsi & segmentasi akses berbasis peran. 2. Monitoring & alert system untuk aktivitas akses data mencurigakan. |
| Control Dokumen | 1. Kebijakan Perlindungan Data Pribadi 2. SOP Pengelolaan Data Pribadi 3. NDA untuk karyawan/vendor 4. Laporan Audit & Monitoring Data Access 5. Dokumen Respons Insiden Data Breach |
| Risiko Residual | Unlikely — Moderate — Moderate |
| Kerawanan | 1. Sebagian besar data pribadi belum terenkripsi. 2. SOP belum sepenuhnya disosialisasikan ke semua unit kerja. 3. Tidak semua vendor pihak ketiga memiliki NDA aktif. |
| Risiko yang Diharapkan | Rare — Minor — Low |
| Rencana Penanganan Risiko | 1. Enkripsi seluruh data pribadi pada sistem penyimpanan & backup. 2. Penegakan kebijakan “need to know” untuk semua akses data. 3. Audit kepatuhan vendor terhadap NDA & kebijakan perlindungan data secara periodik. 4. Latihan simulasi respons insiden kebocoran data minimal 1x per tahun. |
| PIC | IT Security Dept Head, HRGA Dept Head, Compliance Dept Head |
| Status | ✅ Accept |
Tidak ada komentar:
Posting Komentar