Indonesia telah memperhatikan hal ini dan DPR RI telah mengambil langkah-langkah untuk mewujudkan RUU Pelindungan Data Pribadi, diusulkan oleh Kementerian Komunikasi dan Informatika (Kemenkominfo), yang memberikan hak penuh kepada pemilik data untuk mengontrol dan mengelola data pribadi mereka.
Hal ini akan memberikan hak milik dan tanggung jawab kepada organisasi untuk patuh. Kepatuhan memang sering kali harus memikirkan ulang praktik organisasi saat ini, termasuk pelatihan dan pendidikan karyawan. Karyawan sering memandang persyaratan kepatuhan dalam sudut pandang berbeda, dilihat sebagai gangguan daripada hal mendasar dari kesuksesan sebuah bisnis. Meski sering diabaikan, karyawan dapat memebuat atau menghancurkan strategi kepatuhan organisasi, karena pada akhirnya mereka menangani data setiap hari.
Membangun transparansi dan akuntabilitas
Masalah pokok yang berulang di sebagian besar regulasi dan standar industri yaitu kurangnya akuntabilitas dan kepatuhan. Regulasi dan standar, seperti GDPR, PCI DSS, dan ISO/IEC 27001 mengamanatkan bahwa organisasi menjaga laporan dari beberapa proses organisasi, seperti mekanisme keamanan jaringan dan sistem, kebijakan keamanan informasi, sistem manajemen identitas, dan lain-lain. Yang juga penting, membuktikan riwayat kepatuhan, yang bisa menjadi tantangan tanpa sistem dan kontrol yang tepat. Organisasi perlu menggabungkan metode untuk memantau dan mencatat berbagai aspek, mulai data karyawan, transaksi keuangan, dan log jaringan untuk menunjukkan kesesuaian.
Selain itu, perusahaan perlu memastikan bahwa pihak ketiga yang berkolaborasi juga turut patuh. Banyak pelanggaran berakar dari kerentanan pihak ketiga yang mungkin di bawah radar kerangka kepatuhan organisasi. Sulit memang untuk memastikan kepatuhan pihak ketiga, tapi ini bisa menjadi dasar bagi strategi kepatuhan organisasi secara keseluruhan.
Beradaptasi dengan teknologi yang berubah
Kemajuan teknologi, seperti IoT, BYOD, AI, serta pembelajaran mesin (ML), dan penggunaan perangkat keras/lunak TI di luar divisi TI, seperti cloud atau dikenal sebagai shadow IT, dapat membuat kepatuhan lebih menantang dari sebelumnya. Sementara kemajuan itu menguntungkan, teknologi juga memiliki serangkaian kerentanan dan celah keamanan sendiri, seperti mengelola perangkat tidak sah, residensi dan enkripsi data, kurangnya visibilitas, dan lain-lain.
Untuk memerangi risiko kepatuhan secara efektif, sangat penting untuk melakukan penilaian risiko menyeluruh sebelum memasukkan teknologi baru ke dalam proses bisnis. Ketika teknologi yang ada berkembang, organisasi menghadapi diri dalam bauran yang rumit dari sistem yang lama dan baru. Dalam kondisi seperti ini, penting untuk mengetahui sistem mana yang digunakan untuk tujuan apa dan memastikan bahwa seluruh komponen perangkat keras dan perangkat lunak diperbarui secara berkala.
Praktik seperti BYOD, shadow IT, dan data gelap (dark data) bisa sangat sulit untuk dikelola karena sebagian besar implementasinya menghindari sistem TI terpusat. Jika dibiarkan, organisasi dapat menghadapi upaya terus-terusan dalam mengendalikan sistem dan proses ilegal.
Membangun rencana kepatuhan yang sukses
Regulasi global pasti akan berkembang. Oleh karenanya, organisasi perlu bersiap untuk skenario seperti itu dan menetapkan dasar yang benar. Karena banyak regulasi yang harus dipatuhi oleh organisasi dan besarnya praktik terbaik yang tersedia, mungkin sulit untuk memahami apa yang paling cocok untuk bisnis. Kuncinya, memahami persyaratan spesifik organisasi dan mengadopsi kerangka kerja yang paling cocok dan diadopsi secara universal sebagai standardisasi proses kepatuhan.Mengimplementasikan rencana tata kelola, risiko, dan kepatuhan (GRC) bisa membantu organisasi mengembangkan kerangka kerja utama untuk mengatasi masalah manajemen yang penting ini.
Mari kita lihat beberapa prinsip dasar rencana GRC yang efektif yang dapat menjadi dasar program kepatuhan organisasi.