Σχέδιο Αντιμετώπισης Περιστατικών Παραβίασης Συστημάτων
& Απώλειας Δεδομένων Προσωπικού Χαρακτήρα
Πολλές εταιρίες ανεξαρτήτως μεγέθους έχουν πέσει θύματα περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών, για το λόγο αυτό θα πρέπει να έχουν ένα σχέδιο αντιμετώπισης περιστατικών.
Ας δούμε τι πρέπει να περιλαμβάνει ένα τέτοιο σχέδιο:
Βήμα 1 - Δημιουργήστε Ομάδα Αντιμετώπισης Περιστατικών
Η ομάδα αυτή περιλαμβάνει στελέχη από τα τμήματα της εταιρίας που πρέπει να συμμετέχουν στην αντιμετώπιση ενος τέτοιου περιστατικού:
- Information Security
- IT
- Νομική υπηρεσία
- Κανονιστική Συμμόρφωση
- Δημοσίων Σχέσεων & Επικοινωνίας
- Εξυπηρέτησης Πελατών
- Οικονομική Διεύθυνση
- Business Continuity
- Risk Management
- HR
- Marketing
και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους , επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.
Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.
Η ομάδα αυτή πρέπει να συντονίζεται από τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνoντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης.
Βήμα 2 - Κατηγοριοποιήστε τα δεδομένα που διατηρεί η εταιρία
Είναι πολύ σημαντικό να γνωρίζουμε τι είδους πληροφορίες διατηρεί η εταιρία, ποιοι τις διαχειρίζονται και που είναι αποθηκευμένες.
Πιο συγκεκριμένα θα πρέπει να γνωρίζουμε και να απαντήσουμε στα ακόλουθα ερωτήματα:
- Τι είδος πληροφορίες διατηρεί η εταιρία για το ανθρώπινο δυναμικό της, τους πελάτες της, τους συνεργάτες της, τους προμηθευτές της, κλπ;
- Που είναι αποθηκευμένες αυτές οι πληροφορίες;
- Ποια συστήματα χρησιμοποιούμε για την διαχείρισή τους, αν εφαρμόζουμε πολιτικές ασφάλειας πληροφοριών για αυτά και αν είναι ενημερωμένες;
- Ποια μέλη της Ομάδας είναι υπεύθυνα για τα συστήματα αυτά;
- Έχουμε συνεργασίες με τρίτους οι οποίοι διαχειρίζονται δεδομένα και εμπιστευτικές πληροφορίες της εταιρίας;
Βήμα 3- Γνωρίστε τις ευθύνες της εταιρίας λόγω της κατηγορίας των δεδομένων που διατηρεί
Πρέπει να γνωρίζουμε την νομοθεσία που διέπει κάθε κατηγορία δεδομένων που διατηρούμε και τις υποχρεώσεις που έχουμε σε περίπτωση περιστατικών απώλειας δεδομένων. Ποια αρχή πρέπει να ενημερώσουμε και πόσο γρήγορα πρέπει να γίνει αυτό; Χρειάζεται να ενημερώσουμε τους πελάτες των οποίων χάθηκαν τα δεδομένα;
Βήμα 4 - Δημιουργήστε μια λίστα επαφών με τους εμπλεκόμενους στην διαχείριση περιστατικών παραβίασης
Οι εμπλεκόμενοι στην διαχείριση περιστατικών παραβίασης και οι οποίοι θα πρέπει να ειδοποιηθούν άμεσα είναι:
- Τα μέλη της ομάδας που ανήκουν στην εταιρία.
- Νομικούς Συμβούλους οι οποίοι θα μπορούν να γνωρίζουν και να διαχειριστούν τις υποχρεώσεις της εταιρίας.
- Εξωτερικούς συνεργάτες (Forensics Investigators, επικοινωνιολόγους) οι οποίοι μπορούν να προσφέρουν εξειδικευμένη γνώση.
Βήμα 5 - Δημιουργείστε το επικοινωνιακό πλάνο αντιμετώπισης του περιστατικού
Οσο γρηγορότερα ειδοποιηθεί η Ομάδα Αντιμετώπισης Περιστατικών τόσο περισσότερος χρόνος υπάρχει για την διαχείριση τους.
Πρέπει να έχουμε μια διαδικασία ενημέρωσης και συγκρότησης της ομάδας:
- Πως και πότε θα είδοποιηθούν τα μέλη της Ομάδας
- Πως και πότε θα ειδοποιηθούν οι εξωτερικοί συνεργάτες.
- Πως θα γίνει η ενημέρωση των μέσων μαζικής ενημέρωσης, των πελατών, των συνεργατών, του ανθρώπινου δυναμικού.
- Ποιο είναι το μήνυμα που πρέπει να δώσουμε;
- Ποια μέσα θα χρησιμοποιήσουμε (direct mail, call center, social media, web site, you tube) ;
Βήμα 6 - Δεν πρέπει να υπάρξει πανικός
Λαμβάνοντας υπόψη τα προηγούμενα βήματα μπορούμε να δημιουργήσουμε ένα πλάνο αντιμετώπισης περιστατικών το οποίο θα πρέπει να ενεργοποιείται άμεσα όταν έχουμε ένα τέτοιο περιστατικό.
Με την εκδήλωση του περιστατικού θα πρέπει:
- Να ειδοποιήσουμε τα μέλη της Ομάδας Αντιμετώπισης Περιστατικών.
- Να προσδιορίσουμε το είδος των δεδομένων,την ποσότητα και τα συστήματα που έχουμε πρόβλημα και να φροντίσουμε να σταματήσουμε την διαρροή με την βοήθεια ειδικών
- Να ενημερώσουμε τους εξειδικευμένους νομικούς συμβούλους μας
- Να ενημερώσουμε την ασφαλιστική μας εταιρία αν έχουμε ασφάλιση Cyber Insurance
- Να ενημερώσουμε τρίτους που επηρεάζονται από το περιστατικό
- Να ενημερώσουμε τις αρμόδιες αρχές που επιβάλλει η νομοθεσία
- Να ακολουθήσουμε το επικοινωνιακό πλάνο που έχουμε δημιουργήσει
Κατεβάστε σχετικό άρθρο σε pdf