1. Tujuan

Tujuan dari kebijakan pencegahan kebocoran data adalah untuk mencegah terjadinya kebocoran data yang dimiliki PT Metalogix infolink Persada.

2. Ruang lingkup

Ruang lingkup dari kebijakan pencegahan kebocoran data meliputi seluruh aspek yang memiliki data atau informasi milik PT Metalogix infolink Persada. Ini mencakup berbagai aspek yang harus diperhatikan seperti pengelolaan identitas dan akses, perlindungan dari ancaman intrenal dan eksternal, serta keamanan pernagkat keras dan perangkat lunak.

3. Tanggung jawab

3.1 Semua karyawan bertanggung jawab atas pelaksanaan kebijakan ini.

3.2 Tim IT bertanggung jawab memantau kepatuhan implementasi kebijakan ini.

4. Definisi

4.1 Pencegahan kebocoran data adalah serangkaian tindakan dan kebijakan yang diimplementasikan oleh organisasi atau individu untuk melindungi informasi rahasi dan data sensitif dari akses yang tidak sah atau pengungkapan yang tidak diijinkan.

4.2 Enkripsi Data adalah proses mengubah informasi atau data menjadi bentuk yang tidak dapat dibaca atau tidak dimengerti oleh pihak yang tidak berwenang.

4.3 Konfigurasi adalah proses dari hasil mengatur atau menyesuaikan komponen, perangkat atau sistem agar dapat berfungsi sesuai dengan kebutuhan atau prefensi tertentu.

5. Referensi

ISO/IEC 27001:2022, A.8.12 Pencegahan Kebocoran Data

6. Kebijakan

6.1 Kebijakan Pencegahan Kebocoran untuk Karyawan

6.1.1 Semua karyawan PT Metalogix infolink Persada perlu menyelesaikan pelatihan kesadaran keamanan dan setuju untuk menegakkan kebijakan penggunaan yang dapat diterima.

6.1.2 Jika karyawan mengidentifikasi orang yang tidak dikenal, tidak dikawal atau tidak sah berada di area PT Metalogix infolink Persada, karyawan harus segera memberitahu orang yang bertanggung jawab pada area yang dituju.

6.1.3 Tamu perusahaan harus selalu dikawal oleh pegawai yang berwenang, jika karyawan bertanggung jawab untuk mengawal pengunjung, karyawan harus membatasi tamu/pengunjung kearea yang sesuai dengan tujuan kedatangan.

6.1.4 Karyawan diminta untuk tidak merujuk subjek atau konten yang sensitif atau rahasia, data publik atau melalui sistem atau saluran komunikasi yang tidak dikendalikan oleh PT Metalogix infolink Persada. Contohnya, tidak diperbolehkan karyawan menggunakan sistem email eksternal yang tidak diijinkan oleh PT Metalogix infolink Persada untuk mendistribusikan data.

6.1.5 Harap menjalankan dan menjaga Clean Desk & Clear Screen Policy. Untuk menjaga keamanan informasi, karyawan perlu memastikan bahwa semua data tercetak dalam ruang lingkup tidak ditinggalkan tanpa pengawasan di workstation karyawan.

6.1.6 Karyawan harus menggunakan kata sandi yang aman disemua sistem sesuai dengan kebijakan kata sandi. Ini kredensial harus unik dan tidak boleh digunakan pada sistem eksternal atau jasa.

6.1.7 Karyawan yang diberhentikan akan diminta untuk mengembalikan semua catatan, dalam format apapun yang berisikan informasi pribadi. Persyaratan ini harus menjadi bagian dari proses orientasi karyawan, dan karyawan harus menandatangani dokumen untuk mengkonfirmasi bahwa mereka akan melakukan ini.

6.1.8 Karyawan harus segera menginformasikan kepada pihak berwenang dalam hal perangkat yang mengalami kehilangan (misalnya: ponsel, laptop dll) yang dimana di dalam perangkat tersebut memiliki data atau informasi milik PT Metalogix infolink Persada.

6.1.9 Jika karyawan menemukan sistem atau proses yang karyawan curigai tidak sesuai dengan kebijakan ini atau tujuan keamanan informasi, karyawan memiliki kewajiban untuk memberitahu otoritas yang tepat sehingga mereka dapat mengambil tindakan yang tepat.

6.1.10 Jika karyawan telah diberikan ijin untuk bekerja dari jarak jauh, karyawan harus berhati-hati untuk memastikan bahwa data ditangani dengan tepat.

6.1.11 Wajib dipastikan bahwa aset yang menyimpan data dalam ruang lingkup tidak dibiarkan terlalu terbuka.

6.1.12 Data yang harus dipindahkan hanya dapat ditaransfer melalui fitur/fpatform yang disediakan mekanisme transfer aman (misalnya berbagi file dengan acces sharing folder, cloud, email dll). PT Metalogix infolink Persada akan memberikan karyawan sistem atau perangkat yang sesuai dengan tujuan ini. Karyawan tidak boleh menggunakan mekanisme lain untuk menangani dalam lingkup data, jika karyawan memiliki pertanyaan tentang penggunaan mekanisme transfer file atau tidak memenuhi bisnis karyawan, karyawan harus mengajukan ini deng Risk Manager atau manajemen PT Metalogix infolink Persada.

6.1.13 Setiap informasi yang dikirim melalui perangkat potable harus dienkripsi sesuai dengan praktik terbaik industri serta hukum dan peraturan yang berlaku.

6.1.14 Karyawan dilarang mengirimkan informasi yang bersifat rahasia kepada pihak yang tidak berkepentingan dengan bisnis perusahaan.

6.1.15 Setiap informasi rahasia yang dikiirmkan melalui media elektoinik wajib dienkripsi dan dikirimkan password pada pesan terpisah.

6.2 Pencegahan Kebocoran Data untuk Data yang Bergerak

6.2.1 Jaringan/konektivitas yang digunakan untuk pertukaran data sensitif dilindungi dengan menggunakan secure tunnel atau secure protocol seperti IPSEC, SSH, HTTPS.

6.2.2 Data/file berisi data sensitif dienkripsi sebelum dikirimkan melalui email atau removable media seperti CD/DVD, USB Flashdisk, External Harddisk dan kunci enkripsi atau password dikirimkan melalui media terpisah dari media yang digunakan untuk mengirimkan data.

6.2.3 Data sensitif diberikan label (misal: pada subjek email) Confidential, Internal Use, dsb.

6.2.4 Jika terdapat perhatian terhadap pelanggaran data, proses manajemen insiden TI akan dijalankan dengan pemberitahuan khusus yang diberikan kepada otoritas yang sesuai (misalnya IT CIRT (Computer Incident Response Teams), SDM, Manajemen Hukum dan Keamanan).

6.3 Kebijakan untuk Endpoint dan Workstation

6.3.1 Semua data dalam lingkup bisnis dan keamanan informasi yang bersifat sensitif wajib disimpan dalam keadaan terenkripsi. Penggunaan teknologi storage encryption dapat diterapkan untuk perangkat tertentu untuk menjaga keamanan data.

6.3.2 Kebijakan Penggunaan yang Dapat diterima (AUP/Acceptable Use Policy) dan pelatihan kesadaran keamanan PT Metalogix infolink Persada mengharuskan pengguna untuk beritahu pihak berwenang yang tepat jika mereka mencurigai atau mereka tidak mematuhi kebijakan ini.

6.3.3 Pelatihan AUP dan kesadaran keamanan informasi wajib mengharuskan pengguna untuk memberitahu otoritas yang tepat perangkat apapun yang hilang atau dicuri.

6.3.4 Kebijakan enkripsi harus dikelola dan kepatuhan divalidasi oleh otoritas yang tepat.

6.3.5 Jika manajemen tidak memungkinkan dan enskripsi dikonfigurasi secara mandiri (hanya sekali disetujui oleh penilaian risiko), pengguna perangkat harus memberikan salinan aktif kunci enkripsi untuk IT.

6.3.6 Hanya personil yang memiliki hak akses yang sesuai dijinkan untuk dapat mengakses perangkat yang terenkripsi untuk tujuan investigasi, pemeliharaan atau ketidakhadiran seorang karyawan dengan akses sistem file.

6.3.7 Teknologi enkripsi harus dikonfigurasi sesuai dengan best practice dalam industri yang relevan untuk dimaksimalkan penguatan infrastruktur dan sistem dari serangan luar.

6.3.8 Semua peristiwa terkait keamanan akan dicatat dan diaudit oleh PT Metalogix infolink Persada untuk mengidentifikasi yang tidak pantas akses ke sistem atau penggunaan berbahaya lainnya.

6.3.9 Helpdesk PT Metalogix infolink Persada diijinkan untuk menerbitkan out-of-band challenge/respons untuk memungkinkan akses ke sistem jika terjadi kegagalan, kredensial yang hilang atau persyaratan pemblokiran bisnis lainnya. Tantangan/respons ini hanya akan diberikan jika identitas pengguna dapat ditetapkan menggunakan atribut challenge dan respons yang didokumentasikan dalam kebijakan kata sandi.

6.3.10 Mungkin terdapat beberapa kelompok data sensitif yang akan diidentifikasi oleh pembatasan kebijakan data privasi. Helpdesk tidak diijinkan untuk mengakses sistem tersebut tanpa otorisasi. Sistem ini diidentifikasi memiliki akses ke sangat sensitif, dibatasi menggunakan data dan memiliki persyaratan pemisahan tugas dan tanggung jawab. Dimana terdapat identifikasi oleh otentikasi dan pembatasan privasi policy, sistem/user akan diminta untuk menggunakan otentikasi dua arah / two factor authentication.

6.3.11 Perubahan konfigurasi harus dilakukan melalui proses kontrol perubahan PT Metalogix infolink Persada dengan Prosedur Change Management, mengidentifikasi risiko dan perubahan implementasi yang patut diperhatikan pada manajemen keamanan.