Dampak implementasi UU PDP terhadap pentingnya ketahanan dan keamanan siber korporasi

Pentingnya ketahanan dan keamanan siber korporasi akibat berlakunya UU PDP

Negara Indonesia menempati peringkat ketiga sebagai negara yang paling terkena dampak pelanggaran data pada kuartal ketiga tahun 2022, dan selama periode ini terdapat kebocoran data, sekitar 12,7 juta akun yang dibobol di Indonesia telah dilaporkan¹. Menurut laporan The State of Cyber Resilience 2022 yang dirilis oleh Marsh bersama Microsoft Corp., sebanyak 64% perusahaan di Asia terkena dampak serangan siber, dan risiko pelanggaran privasi yang mana menjadi sumber kekhawatiran utama yang mereka hadapi. 

Undang-Undang Pelindungan Data Pribadi (UU PDP) yang telah disahkan dan diresmikan oleh pemerintah dengan Nomor 27 Tahun 2022, adalah untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi, guna menjamin hak konstitusional subjek data pribadi. Perkembangan regulasi yang disambut baik ini, akan mengarah pada tingkat perlindungan data pribadi yang lebih tinggi dalam ekonomi digital Indonesia yang sedang berkembang.

Bagi perusahaan yang melakukan pengumpulan, pemrosesan, dan penyimpanan, serta pengelolaan data pribadi tentunya harus memahami dampak diberlakukannya UU PDP, termasuk kesiapsiagaan perusahaan dari potensi risiko ancaman siber. Indonesia memiliki skor kesiapan serangan siber yang rendah dan berada di peringkat 83 dari 160 negara di dunia². 

Dampak bagi subjek data dan korporasi

UU PDP berlaku untuk setiap orang, entitas, lembaga publik dan organisasi internasional yang memproses data pribadi di Indonesia, atau di luar Indonesia tetapi memiliki dampak hukum di Indonesia dan/atau subjek data Indonesia di luar Indonesia, serta berlaku untuk semua sektor industri yang tidak hanya untuk Penyedia Sistem Elektronik (PSE). 

Secara luas, UU PDP mengatur hal subjek data pribadi atau hak perseorangan yang pada dirinya melekat data pribadi, ketentuan pengumpulan, penyimpanan, pemrosesan, dan transfer data pribadi pengguna Indonesia, kewajban para Pengendali Data Pribadi dan Prosesor Data Pribadi, serta pengenaan sanksi.

Beberapa poin penting dari UU PDP dan sanksinya jika melanggar

1. Kategorisasi Pengendali Data Pribadi dan Prosesor Data Pribadi

Pengendali Data Pribadi adalah orang atau entitas yang menentukan tujuan dan melakukan kendali atas pemrosesan Data Pribadi. Sedangkan Prosesor Data Pribadi adalah, orang atau entitas yang melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.

2. Analisis risiko

UU PDP mewajibkan Pengendali Data Pribadi untuk melakukan analisis risiko dan menilai dampak terhadap Pelindungan Data Pribadi jika pemrosesan Data Pribadi yang dilakukan oleh Pengendali Data Pribadi memiliki risiko tinggi dan mempengaruhi Subjek Data Pribadi.

3. Petugas Pelindungan Data Pribadi

UU PDP menetapkan jabatan 'Petugas Pelindungan Data' secara resmi ke dalam hukum Indonesia. Pengendali Data Pribadi dan Prosesor Data Pribadi harus menunjuk Petugas Pelindungan Data jika melakukan pemrosesan Data Pribadi untuk tujuan layanan publik dan dalam suatu skala besar.

4. Hak subjek data dan kewajiban korporasi sebagai Pengendali dan Prosesor Data Pribadi³

5. Sanksi administratif dan ketentuan pidana 

Pemenuhan kepatuhan terhadap UU PDP demi mengurangi dampak cyber risk melalui manajemen risiko yang efektif

Organisasi yang memprioritaskan manajemen cyber risk yang efektif, dapat meningkatkan ketahanan dan kesiapsiagaan perusahaan terhadap risiko siber, terutama dalam upaya pemenuhan kepatuhan terhadap UU PDP, termasuk mencegah risiko kebocoran data dan meminimalisir potensi kerugian yang timbul. Hal ini juga membantu pertumbuhan dan ketahanan bisnis yang berkelanjutan di tengah risiko siber yang terus berkembang.

Beberapa cara yang harus dipertimbangkan dan diterapkan oleh perusahaan adalah melakukan penilaian, kuantifikasi, transfer risiko, dan manajemen tanggapan insiden terhadap risiko siber. 

Berikut adalah layanan dari Marsh untuk membantu ketahanan dan keamanan siber organisasi Anda:

1. Layanan gratis Marsh Cyber Self-Assessment

Anda dapat menggunakan alat diagnostik eksklusif kami, Marsh Cyber Self-Assessment secara online dan gratis. Hasil laporan diagnostik akan memberikan pandangan menyeluruh tentang kematangan keamanan siber organisasi Anda dengan lebih dalam (Identify, Protect, Detect, Respond, and Recover) dan dapat digunakan sebagai diagnostik untuk semua pemangku kepentingan di organisasi.

Dengan standar NIST CSF, CIS CSC-20, dan ISO 27001, hasil laporan diagnostik akan membantu organisasi Anda dalam pemenuhan kewajiban terhadap ketentuan UU PDP.

2. Kuantifikasi Risiko Siber

Merupakan tindakan pendukung untuk manajemen risiko keamanan siber (cyber security) dan sangat penting bagi korporasi yang sangat bergantung pada sistem Teknologi Informasi (TI) dan Teknologi Operasional (OT). Kuantifikasi risiko siber adalah proses mengevaluasi risiko siber yang teridentifikasi, dan kemudian divalidasi, diukur, dan dianalisis menggunakan teknik pemodelan matematika agar secara akurat mewakili skenario kerugian finansial terbesar bagi organisasi dalam hal gangguan bisnis yang akan dihadapi.

Memahami lebih banyak tentang kemungkinan kerugian finansial yang timbul dari peristiwa siber serta dampak yang dihasilkan, akan dapat membantu perusahaan.

3. Konsultasi Risiko Siber