Daftar regulasi yang harus dipatuhi perusahaan saat ini yaitu sepanjang kekuasan penegak hukum (the arm of the law). Meski hal ini menakutkan bagi organisasi untuk mengikuti semua regulasi yang berlaku dan merumuskan rencana lengkap untuk mematuhinya, ada keberkahan yang tersembunyi karena regulasi melindungi bsinis dan konsumen.
Kepatuhan terhadap regulasi mengalami pergeseran momentum di Indonesia seiring dengan pertumbuhan yang meroket di sektor teknologi. Bahkan, organisasi yang memiliki fokus kuat pada kepatuhan, berjuang untuk mengikuti daftar persyaratan karena ketidakpastian regulasi, visibilitas yang tak memadai, penegakan yang ketat, dan perubahan lingkungan teknologi.
Menurut Laporan Biaya Kepatuhan 2022 (Cost of Compliance Report 2022) yang disusun Thomson Reuters, lebih dari separuh (67 persen) perusahaan di Asia yang memperkirakan volumen informasi peraturan akan meningkat pada 2022.
Priyanka Roy (Enterprise Evangelist ManageEngine) mengatakan teknologi menjadi kunci utama tantangan di masa depan, sebagai pengarah dan penggerak perubahan, yang memungkinkan penerapan lingkungan kerja jarak jauh untuk organisasi. Namun, tantangan kepatuhan terbesar yang timbul dari pandemi dan perubahan teknologi, terlihat dari bekerja jarak jauh.
"Kekhawatiran utama lainnya yang muncul selama beberapa tahun terakhir ialah mengelola pengumpulan data pribadi skala besar untuk memerangi pandemi COVID-19," katanya.
Sementara analisis data memainkan peran yang tidak dapat diabaikan dalam mempelajari pertumbuhan dan penyebaran infeksi, sangat penting memantau bagaimana organisasi memproses data yang dikumpulkan dari ponsel, aplikasi pemeriksaan kesehatan, dan sebagainya. Saat ini, tidak ada transparansi bagaimana data tersebut digunakan dan disimpan.
Ada kekhawatiran pula secara luas bahwa data yang dikumpulkan untuk analisis COVID-19 nantinya bisa dipakai kembali untuk tujuan pengawasan. Bisnis perlu menerapkan praktik pengumpulan dan pemrosesan data yang bertanggung jawab agar tetap memetahui regulasi privasi data.
Mengikuti perubahan regulasi
Lingkup regulasi selalu berubah; peraturan yang ada menghadapi pembaruan berkala, sedangkan peraturan baru dirumuskan untuk mengatasi masalah keamanan dan privasi yang berkembang. Masalah menjadi makin rumit, banyak organisasi harus tunduk dalam berbagai undang-undang, bukan hanya satu atau dua.
Seiring berkembangnya persyaratan kepatuhan, begitu pula dengan strategi kepatuhan. Infrastruktur, kebijakan, dan kerangka kerja organisasi perlu beradaptasi untuk mengimbangi perubahan persyaratan. Ambil contoh Regulasi Perlindungan Data Umum (GDPR). GDPR mencerminkan perubahan signifikan dalam cara anggota parlemen melihat privasi dan keamanan data saat ini.
Regulasi ini mengatur rantai perubahan peraturan di seluruh dunia, masing-masing negara merumuskan versi peraturannya. Sekilas, peraturan ini tampaknya hanya menjadi perhatian organisasi yang berbasis di negara masing-masing. Namun, melihat lebih dekat pada “fine print” (batasan detail) dari regulasi ini memperlihatkan jangkauan global dan berdampak di semua organisasi, selama organisasi memproses data milik warga negara tertentu.
Selain itu, karena sebagian regulasi itu diamanatkan oleh undang-undang, mengabaikannya juga bukan pilihan, kecuali jika sebuah organisasi ingin membayar denda jutaan dolar. Regulasi seperti GDPR memaksa organisasi untuk melihat kerangka kerja tata kelola data secara cermat.
Indonesia telah memperhatikan hal ini dan DPR RI telah mengambil langkah-langkah untuk mewujudkan RUU Pelindungan Data Pribadi, diusulkan oleh Kementerian Komunikasi dan Informatika (Kemenkominfo), yang memberikan hak penuh kepada pemilik data untuk mengontrol dan mengelola data pribadi mereka.
Hal ini akan memberikan hak milik dan tanggung jawab kepada organisasi untuk patuh. Kepatuhan memang sering kali harus memikirkan ulang praktik organisasi saat ini, termasuk pelatihan dan pendidikan karyawan. Karyawan sering memandang persyaratan kepatuhan dalam sudut pandang berbeda, dilihat sebagai gangguan daripada hal mendasar dari kesuksesan sebuah bisnis. Meski sering diabaikan, karyawan dapat memebuat atau menghancurkan strategi kepatuhan organisasi, karena pada akhirnya mereka menangani data setiap hari.
Membangun transparansi dan akuntabilitas
Masalah pokok yang berulang di sebagian besar regulasi dan standar industri yaitu kurangnya akuntabilitas dan kepatuhan. Regulasi dan standar, seperti GDPR, PCI DSS, dan ISO/IEC 27001 mengamanatkan bahwa organisasi menjaga laporan dari beberapa proses organisasi, seperti mekanisme keamanan jaringan dan sistem, kebijakan keamanan informasi, sistem manajemen identitas, dan lain-lain. Yang juga penting, membuktikan riwayat kepatuhan, yang bisa menjadi tantangan tanpa sistem dan kontrol yang tepat. Organisasi perlu menggabungkan metode untuk memantau dan mencatat berbagai aspek, mulai data karyawan, transaksi keuangan, dan log jaringan untuk menunjukkan kesesuaian.
Selain itu, perusahaan perlu memastikan bahwa pihak ketiga yang berkolaborasi juga turut patuh. Banyak pelanggaran berakar dari kerentanan pihak ketiga yang mungkin di bawah radar kerangka kepatuhan organisasi. Sulit memang untuk memastikan kepatuhan pihak ketiga, tapi ini bisa menjadi dasar bagi strategi kepatuhan organisasi secara keseluruhan.
Beradaptasi dengan teknologi yang berubah
Kemajuan teknologi, seperti IoT, BYOD, AI, serta pembelajaran mesin (ML), dan penggunaan perangkat keras/lunak TI di luar divisi TI, seperti cloud atau dikenal sebagai shadow IT, dapat membuat kepatuhan lebih menantang dari sebelumnya. Sementara kemajuan itu menguntungkan, teknologi juga memiliki serangkaian kerentanan dan celah keamanan sendiri, seperti mengelola perangkat tidak sah, residensi dan enkripsi data, kurangnya visibilitas, dan lain-lain.
Untuk memerangi risiko kepatuhan secara efektif, sangat penting untuk melakukan penilaian risiko menyeluruh sebelum memasukkan teknologi baru ke dalam proses bisnis. Ketika teknologi yang ada berkembang, organisasi menghadapi diri dalam bauran yang rumit dari sistem yang lama dan baru. Dalam kondisi seperti ini, penting untuk mengetahui sistem mana yang digunakan untuk tujuan apa dan memastikan bahwa seluruh komponen perangkat keras dan perangkat lunak diperbarui secara berkala.
Praktik seperti BYOD, shadow IT, dan data gelap (dark data) bisa sangat sulit untuk dikelola karena sebagian besar implementasinya menghindari sistem TI terpusat. Jika dibiarkan, organisasi dapat menghadapi upaya terus-terusan dalam mengendalikan sistem dan proses ilegal.
Membangun rencana kepatuhan yang sukses
Regulasi global pasti akan berkembang. Oleh karenanya, organisasi perlu bersiap untuk skenario seperti itu dan menetapkan dasar yang benar. Karena banyak regulasi yang harus dipatuhi oleh organisasi dan besarnya praktik terbaik yang tersedia, mungkin sulit untuk memahami apa yang paling cocok untuk bisnis. Kuncinya, memahami persyaratan spesifik organisasi dan mengadopsi kerangka kerja yang paling cocok dan diadopsi secara universal sebagai standardisasi proses kepatuhan.Mengimplementasikan rencana tata kelola, risiko, dan kepatuhan (GRC) bisa membantu organisasi mengembangkan kerangka kerja utama untuk mengatasi masalah manajemen yang penting ini.
Mari kita lihat beberapa prinsip dasar rencana GRC yang efektif yang dapat menjadi dasar program kepatuhan organisasi.
1. Identifikasi dan prioritaskan tujuan kerangka kerja GRC
Langkah pertama ialah menentukan apa yang organisasi ingin capai dari kerangka kerja tersebut. Jadi, pahami dulu proses bisnis, identifikasi dan beri peringkat tujuan berdasarkan apa yang terpenting bagi organisasi, lalu tentukan alat yang akan diperlukan untuk mencapai tujuan tersebut.
2. Adopsi strategi implementasi tambahan
Meski mungkin tampak seperti ide bagus untuk mengimplementasikan seluruh kerangka kerja pada satu waktu, biasanya lebih aman untuk meluncurkan program di seluruh organisasi secara bertahap. Mencapai hasil mendasar di awal, kemudian membangun di atas kerangka awal akan menentukan, bahwa itu mencakup berbagai aspek dan masing-masing diberi perhatian yang tepat.
3. Tentukan indikator kunci keberhasilan dengan jelas
Tentukan metrik kunci keberhasilan untuk setiap tujuan yang diidentifikasi di awal proses kerangka kerja GRC. Sangat penting untuk menentukan metrik keberhasilan yang jelas untuk setiap tujuan, karena hal tersebut akan memberikan cerminan sejati dari kekuatan kerangka kerja.
4. Tentukan alat yang dibutuhkan kerangka kerja
Teknologi dapat secara signifikan merampingkan implementasi rencana GRC sebuah organisasi. Mengenali alat akan membantu mencapai tujuan lebih cepat dan memastikan kemudahan penerapan, kehadiran cloud, dan pertimbangan keamanan aplikasi saat memilih.
5. Menyesuaikan strategi operasional organisasi
Rencana GRC mempengaruhi seluruh proses dan sistem organisasi sehingga kerangka kerja GRC harus cukup fleksibel untuk berkembang saat vektor ancaman atau regulasi baru muncul. Sangat penting untuk menyinkronkan operasi organisasi dengan rencana GRC untuk memastikan kesuksesan yang berkelanjutan.
Apakah ini melibatkan pembentukan komite kepatuhan dan penilaian risiko yang berdedikasi atau melakukan program pelatihan karyawan secara teratur, ada kebutuhan untuk mengidentifikasi dan memperhitungkan perubahan yang akan dibawa oleh program GRC ke operasi sehari-hari.
Fungsi dan kerangka peraturan organisasi perlu berkembang dari sekadar reaktif menjadi pendekatan yang lebih proaktif dan taktis. Ketika dunia menjadi semakin sadar akan keamanan dan privasi, organisasi berada di bawah pengawasan yang lebih ketat dari sebelumnya.
Merencanakan secara cermat kerangka kepatuhan komprehensif bisa membantu untuk memastikan tidak hanya kepatuhan hukum, tapi juga menanamkan keyakinan dan kepercayaan pada produk dan layanan. Selama perlindungan data dan privasi tertanam dalam budaya organisasi, setiap celah atau risiko yang mungkin muncul dapat diidentifikasi dan diselesaikan dengan relatif mudah.