Il est préférable de pécher par excès de prudence, surtout en ce qui concerne les questions de sécurité. On suppose qu'une violation de sécurité se produira à un moment donné dans l'avenir et vous préparer à cette éventualité. Avoir un plan d'urgence vous aidera à gagner un temps précieux; agissant rapidement est crucial de faire des dégâts efficaces. Commission de l'enquête de violation à une société externe, comme vous pouvez manquer de ressources pour traiter le cas correctement. Si une violation a été causé par un de vos employés, une enquête interne pourrait entraîner un conflit d'intérêts.
Réponse à une atteinte à la sécurité sera différente dans chaque cas, comme chaque entreprise est différente. Cependant, il y a quelques directives générales que vous devez suivre. Une réaction typique à un événement de cyber se compose de cinq étapes: initiation, capture de preuves médico-légales, Web et d'analyse comportementale, l'analyse d'impact des risques, et les rapports des groupes constitutifs internes et externes.
1. Ouverture
Commencez par la formation d'une équipe de gestion de violation qui devrait consister en des rôles et des responsabilités suivantes:
- Conseiller juridique. Interne si la personne a l'expérience avec des infractions ou externes si l'agent juridique interne ne possède pas les qualifications nécessaires.
- Sponsor exécutif
- La sécurité intérieure
- infrastructure informatique interne
- Ressources humaines. L'homme devrait réviser le programme de sensibilisation à la cybersécurité et intervenir si la violation a été causée par l'un des employés.
- Les communications d'entreprise. Ils façonneront un message aux médias.
- Vie privée ou la conformité réglementaire
- Gestion des risques
A ce stade, vous devez établir des normes de communication, les protocoles et le chiffrement pour la communication orale et écrite. Désigner une personne responsable de la communication avec des conseillers externes ou consultants (généralement, il sera le conseiller juridique), et avec le comité d'audit et des risques du conseil d'administration. Établir une fréquence et le mode de communication des progrès - au début des réunions d'étape devraient avoir lieu deux fois par jour. Prenez soin de divulguer les nouvelles au sujet de la violation au plus petit nombre possible de personnes dans le cas où l'un des employés était en faute. Le temps pour les employés d'informer viendra plus tard.
2. Capture preuves médico-légales
détection de violation prend parfois des années. Confirmer qu'une violation a eu lieu. Déterminer quels types d'informations ont été compromis - des informations d'identification personnelle (santé, carte de crédit et de l'information financière), l'information de la famille des employés, la propriété intellectuelle, les secrets commerciaux, des renseignements commerciaux exclusifs (partenaires de l'alliance, les clients, les fournisseurs tiers, les investisseurs). Déterminer si la violation est terminée ou si elle est toujours en cours. Modifier les mots de passe dans toute l'entreprise afin d'éviter une fuite supplémentaire d'information. Déterminer si les informations ont été chiffrées et quel type de cryptage a été utilisé. Isoler et de l'image des disques durs, de sorte qu'un professionnel indépendant puisse les examiner. Si ce n'est pas la première violation de l'entreprise connaît, regardez l'histoire des violations pour essayer de trouver des parallèles.
3. Web et analyse comportementale
Analyser les adresses IP dans l'environnement et les classer en trois catégories: autorisées et bénignes, non autorisées et toxiques, et autorisé mais toxiques. Déterminer si la violation est venue de l'intérieur ou à l'extérieur - si de l'extérieur, ce qui était sa source? Déterminer la méthode de la violation, et recherchez les programmes malveillants dans le système. Est-ce que la violation d'une intrusion physique impliquent? Y at-il une menace physique pour les employés?
4. Analyse de l'impact des risques
Vérifiez quel type de données a été affecté, vérifier les formats électroniques et papier. Si toute information relative à des informations personnelles identifiables, des renseignements personnels sur la santé, la propriété intellectuelle et les secrets commerciaux, les infrastructures essentielles, l'information de la défense a été divulgué, assurez-vous avisez application de la loi sur l'événement. De plus, demandez à votre conseiller juridique des conseils en ce qui concerne les exigences de reporting interne - vous devrez peut-être informer les clients des entreprises et des partenaires à risque, les régulateurs et les membres du conseil d'administration. Mettre en place des protocoles de notification appropriés et une stratégie de notification.
5. Rapports aux groupes constitutifs internes et externes
Ajustez vos stratégies de rapports pour différents publics - rappelez-vous qu'un rapport technique peut causer de la confusion et de l'incompréhension entre les publics non techniques, tels que le conseil d'administration. Au lieu d'un langage technique, utiliser la langue des affaires et risques. Le rapport exécutif doit contenir: une introduction (conditions générales de risque et tendances), une description de la société ébréché (dans le cas où le public ne le sait pas), une description de l'événement d'intrusion, la date d'intrusion, une description à données -risque, une analyse des mesures d'atténuation préliminaires, les conclusions et recommandations (cette partie est essentielle pour convaincre les clients que l'entreprise est engagée à gérer l'impact et des risques), et un résumé technique.
Sources:
Ulsch, N MacDonnell, « cybermenace! Comment gérer le risque croissant de cyberattaques », Wiley, 2014
No comments:
Post a Comment