Apa Itu Pembuangan Media & Peralatan Dan Bagaimana Melakukannya Sejalan dengan ISO 27001

Saat ini, hard drive dan perangkat media lainnya kurang umum daripada beberapa tahun yang lalu, karena tren saat ini adalah menggunakan cloud, meskipun masih banyak orang yang menggunakan pen drive, hard drive eksternal, dll. Dan, tentu saja, semua informasi di cloud pada akhirnya disimpan di server, yaitu hard disk-nya, yang juga merupakan perangkat media. Oleh karena itu, pembuangan media yang aman sangat penting untuk memastikan data sensitif tidak bocor.

ISO 27001 adalah standar internasional untuk perlindungan informasi, dan kita akan melihat bagaimana standar ini dapat membantu kita dengan pembuangan hard drive dan pembuangan perangkat media lainnya.

 

Lima Tips Untuk Hard Drive dan Pembuangan Media Lainnya

1. Hancurkan media secara fisik, misalnya, dengan membakar atau merobek-robek.
2. Hapus informasi dengan aman.
3. Pilih pihak eksternal dengan menentukan perjanjian kerahasiaan.
4. Hindari efek agregasi.
5. Catat pembuangan (media apa yang telah dihancurkan, atau media apa yang dapat digunakan kembali, dll.)

Media Apa yang Perlu Dibuang dengan Aman?

Pertama, mari kita identifikasi media apa yang perlu kita jaga, serta mengapa dan bagaimana kita dapat membuangnya dengan aman.

Dengan mempertimbangkan bahwa, dalam ISO 27001, yang paling penting adalah informasi, kita perlu menjaga media yang kita gunakan untuk menyimpan informasi sensitif. Tapi apa yang saya maksud dengan “media”?

Umumnya, dalam konteks ini, media adalah perangkat yang digunakan untuk menyimpan informasi, sehingga media akan mencakup hard drive, pen drive USB, hard drive eksternal, CD, DVD, dll.

 

Pikirkan tentang skenario berikut:

Dokumen cetak (misalnya, draf anggaran, atau proposal klien yang ditolak) tidak lagi diperlukan dan digunakan sebagai kertas gores, atau diakumulasikan di ruang tunggu untuk dihapus.

Peralatan yang rusak (misalnya, tablet CEO, atau buku catatan tim proyek) dibuang oleh staf pemeliharaan, dimasukkan langsung ke tempat sampah, atau dijual sebagai memo.

Peralatan yang dianggap usang (misalnya, server berusia lima tahun dalam kondisi baik) dijual untuk menutup sebagian investasi, atau disumbangkan untuk meningkatkan citra bisnis.

Dalam situasi ini, bagaimana seseorang memastikan bahwa pemulihan atau penggunaan kembali dokumen/peralatan tidak akan memberikan informasi yang dapat membahayakan aktivitas bisnis atau privasi orang? Dalam pencarian Internet, Anda dapat menemukan kasus di mana pembuangan aset dan dokumen yang tidak tepat adalah akar penyebab insiden tersebut:

• Hard drive organisasi dijual di Internet yang berisi ribuan dokumen rahasia, nama karyawan, Nomor Jaminan Sosial, dan memo rahasia kepada CEO
• Komputer yang dibuang di universitas berisi nama, nomor jaminan sosial, dan informasi bantuan keuangan ribuan siswa
• Sebuah organisasi menggunakan kertas daur ulang yang berisi kredit, kartu debit, dan informasi pribadi, yang berpotensi mengekspos ribuan catatan

Untungnya, ISO 27001 dapat memberikan beberapa orientasi dan panduan tentang cara membuang media dan aset dengan aman dengan cara yang meminimalkan risiko mengekspos informasi yang membahayakan.

 

Informasi Rahasia

Masukan penting untuk pembuangan media adalah klasifikasi informasi.

Banyak perusahaan mengklasifikasikan informasi mereka, karena tidak semua media memiliki informasi yang sama, dan tidak semua informasi memiliki nilai yang sama untuk bisnis. Misalnya, ada perbedaan besar antara pen drive USB yang berisi file PDF dengan presentasi bisnis (yang dapat dianggap sebagai informasi publik), dan pen drive USB yang berisi database klien perusahaan (yang dapat dianggap rahasia).

Jadi, kita perlu mengklasifikasikan informasi, dan dalam Lampiran A ISO 27001 kita memiliki kontrol A.8.2.1 Klasifikasi informasi, yang dapat membantu kita untuk tujuan ini. Anda dapat menemukan informasi lebih lanjut tentang ini di sini: Klasifikasi informasi menurut ISO 27001.

Tentunya, jika informasi tersebut bersifat publik, kami dapat membagikannya di domain publik, karena tidak ada risiko kebocoran informasi rahasia.

Tetapi, jika informasi tersebut tidak bersifat publik (rahasia, terbatas, internal, dll.), Kita perlu menyimpan dan membuangnya dengan cara yang aman, karena dapat membawa risiko kebocoran informasi rahasia, yang dapat menghancurkan bisnis, serta menunjukkan ketidakpatuhan terhadap peraturan hukum (seperti GDPR).

 

Mengapa repot-repot dengan pembuangan media yang aman?

Selain menangani informasi rahasia dengan aman, ada alasan lain untuk pembuangan aset dan media yang aman. Mereka mungkin tampak seperti kegiatan sederhana, karena kita umumnya hanya membuang barang-barang that we deem no longer needed or not valuable. However, Berpikir tentang kegiatan daur ulang lingkungan, Anda dapat melihat bahwa apa yang tidak berharga bagi seseorang dapat sangat berharga bagi orang lain.

Hal yang sama berlaku untuk informasi. Beberapa informasi yang kami anggap tidak berharga dapat menyebabkan pesaing mendapatkan keuntungan bisnis, penjahat untuk mengeksplorasi kelemahan organisasi atau, lebih buruk lagi, menyebabkan kerusakan pada kehidupan pelanggan atau orang dengan menggunakan informasi pribadi atau pribadi untuk melakukan kejahatan yang menyamar sebagai orang-orang tersebut. Yang tidak kalah penting, dalam beberapa kasus klien dan calon mitra bisnis meminta sertifikat penghancuran hard drive.

 

Kontrol ISO 27001 dan rekomendasi ISO 27002

Dengan tujuan untuk melindungi informasi bisnis yang relevan selama seluruh siklus hidupnya, ISO 27001 menyediakan dua kontrol khusus yang terkait dengan pembuangan informasi:

Setiap kali media harus dibuang, penggunaan prosedur harus dipertimbangkan untuk memastikan pembuangan informasi yang tepat (kontrol.8.3.2 – Pembuangan media).

Peralatan yang mengandung media penyimpanan harus diverifikasi untuk memastikannya bebas dari informasi sensitif sebelum dibuang atau digunakan kembali (kontrol.11.2.7 – Pembuangan atau penggunaan kembali peralatan yang aman).

Sebagai bentuk kontrol lainnya, pembuangan yang aman harus didukung oleh kebijakan organisasi.

 

Pembuangan media

Mengenai pembuangan media, rekomendasi ISO 27002 dapat diringkas sebagai berikut:

Prosedur pembuangan harus proporsional dengan tingkat klasifikasi informasi: Semakin tinggi klasifikasi, semakin besar jaminan bahwa informasi tidak dapat diambil setelah pembuangan. Merobek-robek atau membakar media, atau data yang ditimpa, adalah contoh praktik yang baik.

Identifikasi Informasi yang jelas yang akan membutuhkan pembuangan yang aman: Dengan menggunakan tanda air, atau batas berwarna, lebih mudah bagi seseorang untuk mengidentifikasi informasi yang harus dibuang dengan aman.

Buang media yang mencampur berbagai jenis: Semakin besar campuran item yang berbeda (misalnya, CD, HDD, kertas, dll.) semakin sulit untuk memulihkan media tertentu, dan lebih aman.

Kontrol akses ke media yang terakumulasi untuk dibuang: Sejumlah besar informasi non-sensitif bersama-sama dapat memungkinkan untuk mengambil informasi sensitif (efek agregasi). Misalnya, sejumlah besar laporan pasar lama yang diterbitkan yang disatukan dapat memungkinkan seseorang untuk mengetahui tren related to a sensitive market strategy. Think about defining a short accumulation period or small storage volume to execute the disposal procedures.

Menjaga keterlacakan barang sekali pakai yang sensitif: Untuk memastikan barang dibuang dengan benar, Anda harus menyimpan daftar informasi log, minimal, siapa yang melakukan prosedur, kapan, dan metode apa yang digunakan.

Penggunaan kembali atau pembuangan peralatan

Sementara kontrol A.8.3.2 berkaitan dengan informasi dan media tempat penyimpanannya, kontrol A.11.2.7 diarahkan ke penanganan peralatan yang tepat yang memanfaatkan media, karena terkadang membutuhkan pengetahuan yang lebih khusus untuk mengakses media atau melindunginya. Berikut adalah kompilasi rekomendasi ISO 27002 untuk kontrol ini:

Verifikasi peralatan sebelum dibuang atau digunakan kembali: Anda harus memverifikasi apakah media penyimpanan terkandung di dalam peralatan atau tidak (misalnya, hard drive atau chip memori). Anda dapat menggunakan daftar periksa pembuangan untuk memastikan elemen penting diverifikasi.

Penggunaan metode yang tidak dapat diambil: Penghancuran fisik (misalnya, dengan menggiling atau mencabik-cabik) atau teknik penimpaan, dengan pola spesifik atau generik, harus digunakan untuk melakukan pembuangan informasi yang sangat sensitif.

Evaluasi peralatan yang rusak: Terkadang perangkat yang rusak perlu dikirim ke pihak eksternal untuk diperbaiki. Dalam situasi ini, perangkat harus dinilai untuk data sensitif untuk menentukan apakah item harus dihancurkan secara fisik daripada dikirim untuk diperbaiki atau dibuang. ISO 31010 menyajikan daftar teknik penilaian risiko yang baik yang dapat digunakan.

 

Penggunaan pihak ketiga

Kadang-kadang volume barang, atau persyaratan teknis untuk pembuangan, menjadikan penggunaan organisasi khusus sebagai pilihan yang baik, tetapi harus berhati-hati dalam memilih organisasi yang sesuai. Kriteria yang harus Anda pertimbangkan adalah bagaimana ia mengelola keamanannya, metode pembuangan yang digunakan, dan pengalamannya dengan industri Anda. Pastikan untuk memasukkan semua ini dalam kontrak layanan. Untuk rekomendasi tambahan, baca proses 6 langkah untuk menangani keamanan pemasok sesuai dengan ISO 27001.

 

5 tips untuk pembuangan media

Mari kita lihat contoh mudah tentang cara mengobati risiko mengorbankan informasi sensitif di media. Anda memiliki aset, yang, misalnya, hard drive yang berisi informasi rahasia tentang bisnis. Hard drive ini diinstal pada sistem informasi (server), tetapi Anda memutuskan untuk memindahkan informasi ke sistem informasi lain, misalnya, ke server lain atau ke cloud.

Untuk penanganan risiko ini, Anda dapat menguranginya dengan menerapkan kontrol ISO 27001 A.8.3.2 Pembuangan media, dan berikut adalah beberapa praktik terbaik untuk menerapkan kontrol keamanan ini:

• Hancurkan media secara fisik. Anda dapat melakukan ini, misalnya, dengan pembakaran atau penghancuran, dll. Penghancuran fisik ini juga berlaku untuk perangkat yang rusak. Tapi, hati-hati, karena perangkat media yang rusak juga dapat memiliki informasi sensitif yang dapat dipulihkan, jadi untuk menghindari hal ini, Anda harus menghancurkannya secara fisik.
• Hapus informasi dengan aman. Ada alat perangkat lunak yang dapat Anda gunakan untuk menimpa informasi, atau menghapusnya dengan cara yang aman.
• Pilih pihak eksternal. Ada banyak perusahaan yang menyediakan layanan penghancuran media Anda, tetapi di sini Anda perlu berhati-hati dengan pemilihan penyedia dengan mendefinisikan perjanjian kerahasiaan.
• Hindari efek agregasi. Lebih baik jika Anda menghindari memiliki banyak media yang berisi informasi non-sensitif, karena sesuatu di dalam grup bisa menjadi informasi sensitif.
• Daftarkan pembuangan: Mendaftarkan pembuangan memberi Anda informasi yang berguna untuk jejak audit (media apa yang telah dihancurkan, atau media apa yang dapat digunakan kembali, dll.).

 

Contoh Pembuangan Hard Drive

Terakhir, berikut adalah contoh pembuangan hard drive – mudah dan gratis untuk dilakukan.

1. Enkripsi seluruh hard disk, menggunakan algoritma yang kuat dan menggunakan kata sandi yang panjang.
2. Hapus semua informasi dengan cara yang aman, menggunakan solusi perangkat lunak (ada banyak solusi gratis).
3. Hancurkan perangkat media secara fisik (pembakaran atau penghancuran, dll.).

Pada kenyataannya, metode ini hanya akan berlaku untuk data yang paling kritis dan sensitif, dan untuk data dengan kekritisan yang kurang, hanya satu dari metode ini yang cukup.

 

Baca juga : Bagaimana Melakukan Pelatihan dan Awareness untuk ISO 27001 dan ISO 22301

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut