Cel planu reagowania
Plan odpowiedzi dotyczący naruszenia danych zapewnia plan działania, który należy wykonać po wykryciu naruszenia.
Jest to narzędzie oszczędzające czas i redukujące stres. Gdy Twój plan będzie już gotowy, nie będziesz musiał marnować czasu i energii, decydując, co robić za każdym razem, gdy nastąpi naruszenie. Po prostu postępuj zgodnie z instrukcjami, które ustaliłeś wcześniej. Dobrze przemyślany plan reakcji może pomóc ci uniknąć błędów, które możesz popełnić, gdy będziesz działać w trybie kryzysowym.
Elementy planu reakcji
Aby być skutecznym, plan reakcji na naruszenie danych powinien zawierać:
- Definicja naruszenia
- Lista członków zespołu reagującego
- Kroki postępowania w przypadku naruszenia
- Procedura uzupełniająca
Definiowanie naruszenia
Ważnym krokiem w opracowaniu planu reagowania jest decyzja, co stanowi naruszenie . To, jakie rodzaje incydentów aktywują Twój plan? Niektóre zdarzenia, takie jak e-maile phishingowe, mogą mieć niewielki wpływ lub nie mieć żadnego wpływu na działanie Twojej firmy. Inne, takie jak infekcja ransomware lub atak typu odmowa usługi, mogą spowodować poważne zakłócenia.
Chociaż definicja naruszenia może się różnić w zależności od planu, zwykle obejmuje kradzież lub wtargnięcie elektronicznych plików danych zawierających poufne informacje o klientach, pacjentach, klientach lub pracownikach. Powinna również obejmować kradzież (lub próbę kradzieży) wrażliwych informacji firmowych, takich jak patenty, tajemnice handlowe i inne prawa własności intelektualnej.
Twój zespół reagowania
Twój plan reagowania powinien określać członków Twojego zespołu reagowania. Są to osoby, które wykonają plan twojej reakcji, gdy dojdzie do naruszenia. Powinny być zaufanymi pracownikami, którzy znają Twój biznes. Muszą poważnie traktować swoje obowiązki jako członków zespołu.
Wielkość twojego zespołu i jego skład zależą od kilku czynników. Obejmują one wielkość Twojej firmy, branżę, w której działasz, oraz złożoność Twojej firmy. W wielu firmach zespół reagowania obejmuje co najmniej jednego przedstawiciela z każdego z następujących obszarów:
- Zasoby ludzkie
- Technologia informacyjna lub bezpieczeństwo danych
- Komunikacja
- Zarządzanie ryzykiem
- Prawny
- Kadra kierownicza
Niektóre naruszenia danych mogą być zbyt duże lub zbyt skomplikowane, aby pracownicy mogli samodzielnie nimi manipulować. Aby poradzić sobie z tymi zdarzeniami, twój zespół będzie potrzebował pomocy od zewnętrznych ekspertów. Tych zewnętrznych konsultantów należy zidentyfikować w planie odpowiedzi. Mogą to być adwokaci, pracownicy organów ścigania i eksperci ds. Bezpieczeństwa danych lub odzyskiwania danych.
Kroki działania twojego planu
Twój plan odpowiedzi powinien zawierać instrukcje krok po kroku dla członków zespołu ds. Odpowiedzi dotyczące tego, co zrobić, gdy nastąpi naruszenie danych. Każdemu członkowi należy przypisać rolę odzwierciedlającą jego wiedzę fachową.
Na przykład odpowiedzialność za ustalenie, w jaki sposób doszło do naruszenia, należy przypisać pracownikowi ds. Bezpieczeństwa danych. Podobnie zadanie powiadamiania ubezpieczyciela, który wydał twoją politykę odpowiedzialności cywilnej, powinno zostać przypisane pracownikowi zarządzania ryzykiem. Plan powinien umożliwić Twojemu zespołowi przeanalizowanie naruszenia, ustalenie, co poszło źle, ograniczenie szkód i wprowadzenie wszelkich usprawnień, aby zapobiec podobnym zdarzeniom w przyszłości.
Członkowie zespołu reagującego powinni dokładnie udokumentować wszystkie działania podjęte po naruszeniu. Jest to ważne z kilku powodów. Po pierwsze, zapisy sprawdzi, czy członkowie zespołu postępowali zgodnie z instrukcjami określonymi w twoim planie. Po drugie, dokumentacja dostarczy cennych informacji podczas przeprowadzania oceny po naruszeniu.
Po trzecie, rejestry mogą być wymagane przez władze stanowe lub federalne, jeżeli naruszenie dotyczyło danych chronionych prawem. Niektóre rodzaje danych osobowych (takie jak numery kart kredytowych lub informacje o stanie zdrowia) podlegają państwowym lub federalnym przepisom dotyczącym prywatności. Jeśli przechowujesz poufne dane o klientach, pacjentach lub pracownikach systemu informatycznego, a informacje te zostały naruszone, prawo może wymagać powiadomienia osób, których dane zostały naruszone. Możesz również zostać zobowiązany do zgłoszenia naruszenia agencji państwowej lub federalnej. Wiele przepisów określa ramy czasowe dla powiadomienia. Wymagania dotyczące powiadomień, w tym informacje o tym, kto musi zostać powiadomiony, a także wymagany okres, należy podać w planie odpowiedzi.
Kontynuacja
Po pełnym wdrożeniu planu i usunięciu naruszenia, należy przeprowadzić sesję podsumowującą z zespołem reagowania. Poproś wszystkich członków o wykonanie kroków, które podjęli i wyciągnięcie wniosków z procesu. Członkowie powinni opisywać wszelkie napotkane problemy po drodze, aby plan mógł zostać dostosowany w razie potrzeby.