Propósito dun plan de resposta
Un plan de resposta á violación de datos proporciona un mapa de ruta a seguir cando se descobre unha violación.
É unha ferramenta de redución de estrés e aforro de tempo. Unha vez que o seu plan estea en vigor, non terá que gastar tempo e enerxía decidindo o que facer cada vez que se produce unha violación. Simplemente segue os pasos que estableceu con antelación. Un plan de resposta ben pensado pode axudar a evitar as perdas que probabelmente faga cando actúen en modo crise.
Elementos dun plan de resposta
Para ser efectivo, un plan de resposta a infraccións de datos debe incluír o seguinte:
- Unha definición de violación
- Unha lista de membros do equipo de resposta
- Os pasos de acción para xestionar o incumprimento
- Un procedemento de seguimento
Definir unha violación
Un paso importante no desenvolvemento dun plan de resposta é decidir que constitúe unha violación . É dicir, que tipos de incidentes activarán o seu plan? Algúns eventos, como un correo electrónico de phishing, poden ter pouco ou ningún efecto nas operacións da túa empresa. Outros, como unha infección ransomware ou ataque de denegación de servizo, poden causar unha grave interrupción.
Aínda que a definición de violación pode variar dun plano a outro, normalmente inclúe calquera roubo ou intrusión de ficheiros de datos electrónicos que conteñen información sensible sobre clientes, pacientes, clientes ou empregados. Tamén debería incluír calquera roubo (ou intento de roubo) de información sensible da empresa como patentes, segredos comerciais e outras propiedades intelectuais.
O teu equipo de resposta
O seu plan de resposta debe identificar os membros do seu equipo de resposta. Estas son as persoas que realizarán o seu plan de resposta cando ocorre unha violación. Deberían ter confianza nos empregados que estean familiarizados co seu negocio. Deben tomar en serio as súas responsabilidades como membros do equipo.
O tamaño do teu equipo e a súa composición dependen de varios factores. Estes inclúen o tamaño da túa empresa, a industria en que opera e a complejidad da túa empresa. En moitas empresas o equipo de resposta inclúe polo menos un representante de cada unha das seguintes áreas:
- Recursos humanos
- Tecnoloxía da información ou seguridade de datos
- Comunicacións
- Xestión de risco
- Legal
- Dirección Senior
Algunhas infraccións de datos poden ser demasiado grandes ou demasiado complexas para que os seus empregados poidan manexarse só. Para xestionar estes eventos, o teu equipo necesitará axuda de expertos externos. Estes consultores externos deben identificarse no seu plan de resposta. Poden incluír avogados, persoal de aplicación da lei e expertos en seguridade de datos ou de recuperación.
Pasos de acción do teu plan
O seu plan de resposta debe proporcionar instrucións paso a paso para os membros do seu equipo de resposta sobre o que facer cando se produce unha infracción de datos. Cada membro debe ser asignado un papel que reflicta a súa experiencia.
Por exemplo, a responsabilidade de determinar como se produciu o incumprimento debería ser asignado a un empregado de seguridade de datos. Do mesmo xeito, a tarefa de notificar á aseguradora que emitiu a súa política de responsabilidade cibernética debe ser asignada a un empregado de xestión de riscos. O plan debe permitir que o equipo analice a infracción, determine o que deu mal, limita os danos e fai que se necesiten melloras para evitar que se produzan eventos similares no futuro.
Os membros do equipo de resposta deben documentar cuidadosamente todas as accións que tomaron despois de que se produciu o incumprimento. Isto é importante por varias razóns. En primeiro lugar, os rexistros comprobarán que os membros do equipo seguiron as instrucións descritas no seu plan. En segundo lugar, a documentación proporcionará información valiosa cando estea a realizar a súa avaliación posterior ao fracaso.
En terceiro lugar, os rexistros poden ser obrigados polas autoridades estatais ou federales se a violación implica datos protexidos por lei. Algúns tipos de información de identificación persoal (como números de tarxeta de crédito ou información sobre a saúde) están suxeitos a lexislación de privacidade estatal ou federal. Se almacena datos sensibles sobre clientes, pacientes ou empregados no seu sistema informático e a información está comprometida, é posible que a lei teña que notificar aos individuos cuxos datos foron violados. Tamén pode ser obrigado a informar a violación a unha axencia estatal ou federal. Moitas leis especifican un marco de tempo para a notificación. Os requisitos de notificación, incluídos os que deben ser notificados e o prazo requirido, deberían indicarse no seu plan de resposta.
Seguimento
Unha vez que o seu plan estea plenamente implementado e que o incumprimento estivese contido, debes realizar unha sesión de debriefing co teu equipo de resposta. Solicite a todos os membros que executen os pasos que tomaron e as leccións que aprendeu do proceso. Os membros deben describir os problemas que atoparon ao longo do camiño para que o plan poida axustarse segundo sexa necesario.