Propósito de un plan de respuesta
Un plan de respuesta de violación de datos proporciona una hoja de ruta para seguir cuando se descubre una infracción.
Es una herramienta para ahorrar tiempo y reducir el estrés. Una vez que su plan esté en su lugar, no tendrá que perder tiempo y energía para decidir qué hacer cada vez que ocurra una infracción. Simplemente siga los pasos que ha establecido de antemano. Un plan de respuesta bien pensado puede ayudarlo a evitar los pasos en falso que usted probablemente cometa cuando actúa en modo crisis.
Elementos de un plan de respuesta
Para ser efectivo, un plan de respuesta a la violación de datos debe incluir lo siguiente:
- Una definición de incumplimiento
- Una lista de miembros del equipo de respuesta
- Los pasos de acción para manejar la violación
- Un procedimiento de seguimiento
Definiendo una Brecha
Un paso importante en el desarrollo de un plan de respuesta es decidir qué constituye una infracción . Es decir, ¿qué tipos de incidentes activarán su plan? Algunos eventos, como un correo electrónico de phishing, pueden tener poco o ningún efecto en las operaciones de su empresa. Otros, como una infección de ransomware o un ataque de denegación de servicio, pueden causar una interrupción seria.
Si bien la definición de incumplimiento puede variar de un plan a otro, por lo general incluye cualquier robo o intrusión de archivos de datos electrónicos que contengan información confidencial sobre clientes, pacientes, clientes o empleados. También debe incluir cualquier robo (o intento de robo) de información sensible de la compañía, como patentes, secretos comerciales y otra propiedad intelectual.
Su equipo de respuesta
Su plan de respuesta debe identificar a los miembros de su equipo de respuesta. Estas son las personas que llevarán a cabo su plan de respuesta cuando ocurra una infracción. Deben ser empleados de confianza que estén familiarizados con su negocio. Deben tomar en serio sus responsabilidades como miembros del equipo.
El tamaño de tu equipo y su composición dependen de varios factores. Estos incluyen el tamaño de su empresa, la industria en la que opera y la complejidad de su negocio. En muchas empresas, el equipo de respuesta incluye al menos un representante de cada una de las siguientes áreas:
- Recursos humanos
- Tecnología de la información o seguridad de datos
- Comunicaciones
- Gestión de riesgos
- Legal
- Gerencia senior
Algunas violaciones de datos pueden ser demasiado grandes o demasiado complejas para que sus empleados las manejen solos. Para lidiar con estos eventos, su equipo necesitará la ayuda de expertos externos. Estos consultores externos deben estar identificados en su plan de respuesta. Pueden incluir abogados, personal policial y expertos en seguridad o recuperación de datos.
Pasos de acción de su plan
Su plan de respuesta debe proporcionar instrucciones paso a paso para los miembros de su equipo de respuesta sobre qué hacer cuando ocurre una violación de datos. A cada miembro se le debe asignar un rol que refleje su experiencia.
Por ejemplo, la responsabilidad de determinar cómo se produjo el incumplimiento debe asignarse a un empleado de seguridad de datos. Del mismo modo, la tarea de notificar a la aseguradora que emitió su política de responsabilidad cibernética debe asignarse a un empleado de gestión de riesgos. El plan debe permitir que su equipo analice la brecha, determine qué falló, limite el daño y haga las mejoras necesarias para evitar que ocurran eventos similares en el futuro.
Los miembros del equipo de respuesta deben documentar cuidadosamente todas las acciones que tomaron después de que se produjo la infracción. Esto es importante por varias razones. Primero, los registros verificarán que los miembros del equipo siguieron las instrucciones descritas en su plan. En segundo lugar, la documentación brindará información valiosa cuando realice su evaluación posterior a la infracción.
En tercer lugar, los registros pueden ser requeridos por las autoridades estatales o federales si el incumplimiento involucra datos protegidos por la ley. Algunos tipos de información de identificación personal (como números de tarjetas de crédito o información de salud) están sujetos a la legislación de privacidad estatal o federal. Si almacena datos confidenciales sobre clientes, pacientes o empleados en su sistema informático y la información se ve comprometida, es posible que la ley le exija notificar a las personas cuyos datos se han violado. También se le puede solicitar que informe el incumplimiento a una agencia estatal o federal. Muchas leyes especifican un marco de tiempo para la notificación. Los requisitos de notificación, incluyendo a quién se debe notificar y el período de tiempo exigido, se deben indicar en su plan de respuesta.
Seguir
Una vez que su plan se haya implementado por completo y la brecha haya sido contenida, debe llevar a cabo una sesión informativa con su equipo de respuesta. Pida a todos los miembros que repasen los pasos que dieron y las lecciones que aprendieron del proceso. Los miembros deben describir cualquier problema que encuentren en el camino para que el plan se pueda ajustar según sea necesario.