Objetivo de um plano de resposta
Um plano de resposta de violação de dados fornece um roteiro a seguir quando uma violação é descoberta.
É uma ferramenta de redução de estresse e economia de tempo. Uma vez que seu plano está em vigor, você não terá que perder tempo e energia decidindo o que fazer cada vez que uma violação ocorrer. Você simplesmente segue os passos que você estabeleceu com antecedência. Um plano de resposta bem pensado pode ajudá-lo a evitar os erros que você provavelmente fará quando estiver atuando no modo de crise.
Elementos de um plano de resposta
Para ser eficaz, um plano de resposta de violação de dados deve incluir o seguinte:
- Uma definição de violação
- Uma lista de membros da equipe de resposta
- As etapas da ação para lidar com a violação
- Um procedimento de acompanhamento
Definindo uma violação
Um passo importante no desenvolvimento de um plano de resposta é decidir o que constitui uma violação . Ou seja, que tipos de incidentes ativarão seu plano? Alguns eventos, como e-mails de phishing, podem ter pouco ou nenhum efeito nas operações da sua empresa. Outros, como uma infecção por ransomware ou um ataque de negação de serviço, podem causar uma séria perturbação.
Embora a definição de violação possa variar de um plano para outro, ela normalmente inclui qualquer roubo ou invasão de arquivos de dados eletrônicos contendo informações confidenciais sobre clientes, pacientes, clientes ou funcionários. Também deve incluir qualquer roubo (ou tentativa de roubo) de informações confidenciais da empresa, como patentes, segredos comerciais e outras propriedades intelectuais.
Sua equipe de resposta
Seu plano de resposta deve identificar os membros da sua equipe de resposta. Estes são os indivíduos que realizarão seu plano de resposta quando ocorrer uma violação. Eles devem ser funcionários confiáveis que estão familiarizados com o seu negócio. Eles devem levar a sério suas responsabilidades como membros da equipe.
O tamanho da sua equipe e sua composição dependem de vários fatores. Isso inclui o tamanho da sua empresa, o setor em que você opera e a complexidade do seu negócio. Em muitas empresas, a equipe de resposta inclui pelo menos um representante de cada uma das seguintes áreas:
- Recursos humanos
- Tecnologia da informação ou segurança de dados
- Comunicações
- Gerenciamento de riscos
- Legal
- Gestão sênior
Algumas violações de dados podem ser muito grandes ou muito complexas para que seus funcionários lidem sozinhos. Para lidar com esses eventos, sua equipe precisará da ajuda de especialistas externos. Esses consultores externos devem ser identificados em seu plano de resposta. Eles podem incluir advogados, policiais e especialistas em segurança ou recuperação de dados.
Etapas de ação do seu plano
Seu plano de resposta deve fornecer instruções passo a passo para os membros da equipe de resposta sobre o que fazer quando ocorre uma violação de dados. Cada membro deve receber um papel que reflita sua experiência.
Por exemplo, a responsabilidade de determinar como a violação ocorreu deve ser atribuída a um funcionário de segurança de dados. Da mesma forma, a tarefa de notificar a seguradora que emitiu sua política de responsabilidade cibernética deve ser atribuída a um empregado de gerenciamento de risco. O plano deve permitir que sua equipe analise a violação, determine o que deu errado, limite os danos e faça as melhorias necessárias para evitar que eventos semelhantes ocorram no futuro.
Seus integrantes da equipe de respostas devem documentar cuidadosamente todas as ações tomadas depois que a violação ocorreu. Isto é importante por várias razões. Primeiro, os registros verificarão se os membros da equipe seguiram as instruções descritas no seu plano. Em segundo lugar, a documentação fornecerá informações valiosas quando você estiver conduzindo sua avaliação pós-violação.
Em terceiro lugar, os registros podem ser exigidos pelas autoridades estaduais ou federais se a violação envolver dados protegidos por lei. Alguns tipos de informações pessoalmente identificáveis (como números de cartão de crédito ou informações de saúde) estão sujeitos à legislação de privacidade estadual ou federal. Se você armazenar dados confidenciais sobre clientes, pacientes ou funcionários em seu sistema de computador e as informações estiverem comprometidas, você pode ser obrigado por lei a notificar os indivíduos cujos dados foram violados. Você também pode ser obrigado a denunciar a violação a uma agência estadual ou federal. Muitas leis especificam um período de tempo para notificação. Os requisitos de notificação, incluindo quem deve ser notificado e o período de tempo obrigatório, devem ser indicados no seu plano de resposta.
Acompanhamento
Uma vez que seu plano tenha sido totalmente implementado e a violação tenha sido contida, você deve conduzir uma sessão de esclarecimento com sua equipe de resposta. Peça a todos os membros que percorram os passos que deram e as lições que aprenderam com o processo. Os membros devem descrever quaisquer problemas encontrados ao longo do caminho para que o plano possa ser ajustado conforme necessário.