Scopo di un piano di risposta
Un piano di risposta alla violazione dei dati fornisce una tabella di marcia da seguire quando viene scoperta una violazione.
È uno strumento per risparmiare tempo e riduzione dello stress. Una volta che il piano è a posto, non dovrai sprecare tempo ed energia per decidere cosa fare ogni volta che si verifica una violazione. Segui semplicemente i passi che hai stabilito in anticipo. Un piano di risposta ben congegnato può aiutarti a evitare i passi falsi che potresti commettere quando agisci in modalità di crisi.
Elementi di un piano di risposta
Per essere efficace, un piano di risposta alla violazione dei dati dovrebbe includere quanto segue:
- Una definizione di violazione
- Un elenco di membri del team di risposta
- I passaggi di azione per gestire la violazione
- Una procedura di follow-up
Definire una violazione
Un passo importante nello sviluppo di un piano di risposta è decidere cosa costituisce una violazione . Cioè, quali tipi di incidenti attiveranno il tuo piano? Alcuni eventi, come l'e-mail di phishing, possono avere un effetto minimo o nullo sulle operazioni della tua azienda. Altri, come un'infezione da ransomware o attacco denial of service, possono causare gravi interruzioni.
Sebbene la definizione di violazione possa variare da un piano a un altro, in genere include qualsiasi furto o intrusione di file di dati elettronici contenenti informazioni sensibili su clienti, pazienti, clienti o dipendenti. Dovrebbe anche includere qualsiasi furto (o tentativo di furto) di informazioni aziendali sensibili come brevetti, segreti commerciali e altre proprietà intellettuali.
Il tuo team di risposta
Il piano di risposta dovrebbe identificare i membri del team di risposta. Queste sono le persone che eseguiranno il piano di risposta quando si verificherà una violazione. Dovrebbero essere dipendenti fidati che hanno familiarità con la tua azienda. Devono prendere sul serio le loro responsabilità come membri del team.
La dimensione della tua squadra e la sua composizione dipendono da diversi fattori. Questi includono le dimensioni della tua azienda, il settore in cui operi e la complessità della tua attività. In molte aziende il team di risposta include almeno un rappresentante per ciascuna delle seguenti aree:
- Risorse umane
- Tecnologia dell'informazione o sicurezza dei dati
- comunicazioni
- Gestione del rischio
- legale
- Direzione
Alcune violazioni dei dati potrebbero essere troppo grandi o troppo complesse da gestire solo per i dipendenti. Per far fronte a questi eventi il tuo team avrà bisogno dell'aiuto di esperti esterni. Questi consulenti esterni dovrebbero essere identificati nel piano di risposta. Possono includere avvocati, personale delle forze dell'ordine e esperti in sicurezza o recupero dati.
Passi di azione del tuo piano
Il piano di risposta dovrebbe fornire istruzioni dettagliate per i membri del team di risposta su cosa fare quando si verifica una violazione dei dati. Ad ogni membro dovrebbe essere assegnato un ruolo che rifletta la sua esperienza.
Ad esempio, la responsabilità di determinare come si è verificata la violazione deve essere assegnata a un addetto alla sicurezza dei dati. Allo stesso modo, il compito di notificare l' assicuratore che ha emesso la propria politica sulla responsabilità informatica dovrebbe essere assegnato a un dipendente della gestione dei rischi. Il piano dovrebbe consentire al tuo team di analizzare la violazione, determinare cosa è andato storto, limitare il danno e apportare eventuali miglioramenti necessari per evitare che eventi simili si verifichino in futuro.
I membri del team di risposta devono documentare attentamente tutte le azioni intraprese dopo la violazione. Questo è importante per diverse ragioni. Innanzitutto, i record verificheranno che i membri del team hanno seguito le istruzioni delineate nel piano. In secondo luogo, la documentazione fornirà informazioni preziose quando condurrà la valutazione post-violazione.
In terzo luogo, i registri possono essere richiesti dalle autorità statali o federali se la violazione riguarda dati protetti dalla legge. Alcuni tipi di informazioni personali identificabili (come numeri di carte di credito o informazioni sulla salute) sono soggetti alla legislazione sulla privacy statale o federale. Se memorizzi dati sensibili su clienti, pazienti o dipendenti sul tuo computer e le informazioni sono compromesse, potrebbe essere richiesto dalla legge di informare le persone i cui dati sono stati violati. Potrebbe inoltre essere richiesto di segnalare la violazione a uno stato o un'agenzia federale. Molte leggi specificano un periodo di tempo per la notifica. I requisiti di notifica, inclusi chi deve essere informato e il periodo di tempo richiesto, devono essere indicati nel piano di risposta.
Azione supplementare
Una volta che il piano è stato completamente implementato e la violazione è stata contenuta, è necessario condurre una sessione di debriefing con il proprio team di risposta. Chiedi a tutti i membri di seguire i passaggi che hanno seguito e le lezioni apprese dal processo. I membri dovrebbero descrivere tutti i problemi incontrati lungo il percorso in modo che il piano possa essere adattato secondo necessità.