Keamanan Data Kandidat: Perusahaan Harus Melakukan 5 Cara Ini | | HR NOTE Indonesia

Keamanan Data Kandidat: Perusahaan Harus Melakukan 5 Cara Ini

Keamanan data kandidat sama pentingnya seperti informasi bisnis maupun dokumen perusahaan. Dengan kata lain, perusahaan wajib menjaga kerahasiaan data-data tersebut.

Pasalnya, curriculum vitae (CV) kandidat memuat informasi penting, seperti biodata, pengalaman kerja, informasi pendidikan, referensi kerja, dan lainnya.

Jika perusahaan abai, data kandidat bisa diretas dan/atau disalahgunakan oleh pihak tak bertanggung jawab. Bukan tak mungkin, peretas mencuri semua data karyawan dan dokumen rahasia sehingga menyebabkan perusahaan merugi.

Dampaknya kandidat akan enggan melamar bekerja dan klien ogah menggunakan jasa dan/atau produk perusahaan. Sebuah survei melaporkan bahwa 75% konsumen atau klien tidak akan menggunakan produk atau jasa perusahaan yang tidak melindungi data mereka.

Pada akhirnya, reputasi perusahaan pun menjadi negatif. Tentu, Anda tidak menginginkan hal itu, kan?

Apa Itu Keamanan Data?

Saat bisnis semakin berkembang dan ekonomi sedang merangkak naik, maka yang wajib diperhatikan oleh perusahaan adalah keamanan data.

Keamanan data bukan hanya laporan keuangan, data operasional bisnis, informasi laba rugi saja. Namun keamanan data juga mencakup data kandidat, yang kemungkinan mereka akan menjadi karyawan di perusahaan Anda.

Keamanan data merupakan praktik melindungi informasi digital dari akses tidak sah, korupsi, atau pencurian di seluruh siklus hidup seseorang.

Aspek keamanan data mencakup keamanan fisik perangkat keras, perangkat penyimpanan, kontrol administratif dan akses, hingga keamanan aplikasi perangkat lunak. Keamanan juga melibatkan kebijakan dan prosedur organisasi.

Tujuan keamanan data

Tujuan perusahaan mengamankan data adalah melindungi aset informasi organisasi dari aktivitas kejahatan dunia maya sekaligus melindungi dari ancaman insider (orang dalam) dan human error (kesalahan manusia).

Untuk mencapai tujuan tersebut, perusahaan harus memiliki strategi keamanan data yang kuat. Seperti yang sudah disinggung di atas, yakni keamanan yang mencakup penerapan alat dan teknologi.

Sistem keamanan dapat menerapkan enkripsi, penyembunyian data, penyusunan file sensitif, mengotomatiskan pelaporan untuk merampingkan audit, serta mematuhi persyaratan peraturan. Hasilnya data-data penting milik perusahaan, termasuk data kandidat akan tersimpan dengan aman.

Tantangan perusahaan dalam keamanan data

Transformasi digital telah mengubah setiap aspek dalam berbisnis saat ini. Mulai dari pola pikir, budaya, hingga cara beroperasi.

Selain itu, lingkungan komputasi lebih kompleks daripada sebelumnya. Sebut saja kehadiran cloud publik, perusahaan data center, server jarak jauh, hingga robot. 

Di sisi lain, kesadaran konsumen terhadap privasi data semakin meningkat. Karena adanya kebocoran data, baik di badan pemerintahan maupun perusahaan. Kondisi tersebut melahirkan undang-undang (UU) perlindungan data di berbagai negara, yaitu:

  • Di Eropa terdapat General Data Protection Regulation (GDPR), yakni UU kemananan dan privasi yang dinilai sangat memberatkan pelanggar standar privasi dan keamanan. 
  • Australia memiliki Privacy Act 1988. UU ini mengatur bagaimana informasi pribadi seseorang dapat dikumpulkan, digunakan, dan diungkapkan, termasuk membuat persetujuan sebelum informasi tersebut digunakan.
  • Kanada mempunyai Personal Information Protection and Electronic Documents Act (PIPEDA). UU menetapkan aturan dasar bagi organisasi swasta yang ingin mengumpulkan, menggunakan, dan mengungkapkan informasi pribadi dalam rangka kegiatan komersial di seluruh Kanada.

Solusi Keamanan Data

Kompleksitas transformasi digital dan kesadaran konsumen menciptakan tantangan bagi perusahaan. Maka perusahaan wajib memperkuat pengamanan data.

Perusahaan membutuhkan solusi keamanan yang komprehensif dan terpusat. Bahkan solusi tersebut mendukung penyederhanaan tugas pemantauan dan penegakan kebijakan.

Tool penemuan dan klasifikasi data

Solusi ini dapat digunakan untuk mengotomatiskan proses identifikasi informasi sensitif serta menilai dan memulihkan data-data yang rentan. Dengan demikian, informasi sensitif akan berada di repositori data terstruktur, sedangkan database, gudang data, big data, dan cloud environment ada di tidak terstruktur.

Pemantauan aktivitas file dan data 

Solusi pemantauan aktivitas file menganalisis pola penggunaan data, memungkinkan tim keamanan melihat siapa yang mengakses data, menemukan anomali, dan mengidentifikasi risiko. Pemblokiran dan peringatan secara cepat juga dapat diterapkan untuk pola aktivitas abnormal.

Tool analisis risiko dan penilaian kerentanan 

Tool ini memudahkan proses pendeteksian dan mitigasi kerentanan, seperti perangkat lunak yang tak terpakai lagi, kesalahan konfigurasi, kata sandi yang lemah, dan dapat mengidentifikasi sumber data dengan risiko paparan terbesar.

Pelaporan automated compliance 

Automated compliance menawarkan perlindungan data yang komprehensif dengan kemampuan pelaporan otomatis dan repositori terpusat untuk jejak audit kepatuhan di seluruh perusahaan.

3 Poin Mengamankan Data Kandidat

Kebocoran data tak hanya berdampak membuat kandidat yang selama ini dibutuhkan enggan bergabung atau sekadar mengirimkan CV ke perusahaan Anda.

Klien atau mitra bisnis perusahaan tidak mau bekerja sama dengan perusahaan. Mereka menganggap perusahaan tidak serius menangani bisnis secara keseluruhan.

Ironisnya, hal itu bisa memperlambat bisnis perusahaan. Karena perusahaan tidak memiliki kandidat terbaik maupun sokongan bisnis.

Untuk menghindari hal tersebut, manajemen bersama HR dapat mempertimbangkan tiga poin untuk mengamankan data kandidat.

Kontrol terhadap akses data

Perusahaan harus memiliki strategi manajemen risiko. Salah satunya adalah kontrol terhadap akses data. Misal hanya karyawan di divisi HR yang boleh mengakses data kandidat dan pengaksesan hanya dilakukan pada jam kerja.

Jika ada salah seorang tim HR mengundurkan diri, manajer HR menginformasikan kepada tim TI untuk menghentikan akses karyawan tersebut ke database manapun pada waktu yang telah ditentukan. Hal ini dapat menghindari kebocoran data dari pihak orang dalam.

Mengetahui risiko kebocoran data

Manajemen, HR, dan IT harus mengetahui risiko-risiko bagaimana dan perilaku apa saja yang menyebabkan data perusahaan mengalami kebocoran. Baik sengaja maupun tidak sengaja.

  • Perilaku yang disengaja seperti mengunggah dokumen perusahaan, sehingga mengakibatkan reputasi negatif.
  • Perilaku tidak disengaja seperti mengirimkan data melalui pesan singkat antar karyawan, salah menyimpan data di file yang tak aman, dan salah menangani data sensitif.

Peraturan keamanan data pribadi

Indonesia belum memiliki undang-undang yang melindungi data pribadi. Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) yang dijadwalkan selesai pada Mei 2021 molor hingga tahun depan. 

Saat ini, perlindungan data pribadi masih mengacu UU Nomor 19 Tahun 2016 tentang Perubahan atas UU Nomor 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE).

Untuk perlindungan ganda terhadap data, perusahaan harus membuat peraturan keamanan data. Misal peraturan berisi tentang perilaku berisiko seperti membocorkan data perusahaan, perbaikan untuk menangani data yang salah, hingga konsekuensi yang harus diterima oleh karyawan yang melakukan kesalahan.

5 Cara Melindungi Keamanan Data Kandidat

Divisi HR memiliki akses ke berbagai informasi pribadi yang sensitif, mulai dari nama, nomor telepon, KTP, BPJS, alamat tempat tinggal, serta data kandidat.

Oleh karena itu, sebaiknya manajer HR membuat kebijakan untuk melindungi keamanan data karyawan maupun kandidat. Jika tidak, bukan tak mungkin orang yang selama ini bertanggung jawab terhadap data HR malah membawa malapetaka untuk perusahaan.

1. Bekerja sama dengan tim TI dan hukum

Tim TI dan legal dapat menjadi sumber daya luar biasa dalam rencana keamanan data-data HR. Tim HR dapat mendiskusikan dengan TI dan legal tentang perubahan yang diperlukan dan sinkronisasi secara teratur untuk memastikan tidak ada proses pengamanan yang terlewatkan.

Misal memberi tahu mereka ketika HR berencana untuk mengevaluasi atau mengimplementasikan perangkat lunak baru, sehingga mereka dapat meninjau keamanan datanya, memberikan masukan, dan menyarankan pembaruan untuk langkah-langkah keamanan internal.

2. Enkripsi informasi sensitif

Sebagian besar profesional HR adalah pengguna Excel, karena mereka dapat mengekspor data dengan mudah. Misal mereka menggunakan spreadsheet yang berisi informasi pribadi.

Untuk melindungi data, HR perlu mengenkripsinya. Banyak perusahaan teknologi HR terkemuka mengenkripsi informasi sensitif. Tujuannya untuk mengamankan data-data.

3. Memilih piranti lunak yang tepat

Tim HR harus memahami bahwa tidak semua teknologi HR diciptakan dengan fitur sama, termasuk soal keamanan data.

Maka HR wajib memilih piranti lunak yang tepat agar data karyawan dan kandidat tetap terlindungi. Pastikan pula penyedia piranti lunak telah terbukti melakukan keamanan data secara teratur dan mengenkripsi data HR untuk keamanan dan privasi maksimum.

4. Batasi pengakses data

Manajer HR perlu membatasi pengakses data dalam rangka melindungi keamanan data kandidat maupun karyawan, seperti:

  • Siapa saja yang bisa mengakses data-data HR.
  • Data apa saja yang bisa diakses tim HR.
  • Persetujuan manajer jika karyawan HR yang ingin membuka data khusus.
  • Manajer divisi lain yang ingin melihat data kandidat harus menghubungi manajer HR.

5. Budayakan keamanan siber

HR memainkan peranan penting dalam menciptakan dan mengelola budaya perusahaan. Dalam hal keamanan siber, tim HR bersama TI dapat memulai budaya tersebut ke seluruh karyawan.

Budaya keamanan siber yang bisa dilakukan oleh tim HR dan TI antara lain:

  • Mengadakan pelatihan cyber security kepada karyawan hingga C-level.
  • Mengenali dan menangani masalah umum, seperti keamanan sandi, phishing, penggunaan perangkat kerja di kantor dan di rumah, akses jarak jauh, pemulihan perangkat setelah mengalami kendala, dan lainnya.
  • Pelatihan ulang jika ada perubahan perangkat lunak, aplikasi, kebijakan perusahaan, atau peraturan pemerintah.
  • Memiliki program manajemen risiko siber untuk menyelaraskan perilaku karyawan terhadap peraturan atau kebijakan dan undang-undang yang berlaku.

Penutup

Sekilas, keamanan data kandidat adalah hal kecil. Jika Anda mengabaikannya, perusahaan akan mendapatkan reputasi negatif. Namun, siapa yang ingin data pribadinya disalahgunakan? 

Oleh sebab itu, perusahaan bertanggung jawab melindungi semua data dan informasi, tak terkecuali data kandidat. Hal itu untuk menghindari peretasan dan/atau kebocoran data di tengah transformasi digital yang kian cepat dan masif.

Perusahaan juga harus meninjau keamanan data dan langkah-langkah kepatuhan secara teratur serta mengikuti perkembangan terkini.

Comment