6 Coses que no heu de fer després d'una infracció de dades

Mantenir i fer complir la seguretat de les TI és una cosa que hem tractat des de diversos angles, sobretot, com evolucionar i evolucionar les tendències de seguretat i, sens dubte, és informació que heu de digerir a fons. A més, heu d’assegurar-vos que la vostra empresa estigui ben equipada per protegir-se i defensar-se dels atacs cibernètics, especialment mitjançant la protecció d’endpoints de grau informàtic i la gestió granular d’identitat i les mesures de control d’accés. Un procés sòlid i provat de còpia de seguretat de dades també és imprescindible. Malauradament, el quadern de reproducció per a un incompliment de dades continua canviant, cosa que significa que algunes de les vostres accions durant un desastre poden ser tan perjudicials com útils. Per aquí entra aquesta peça.

, discutirem què les empreses han d'evitar fer una vegada que s'adonin que els seus sistemes han estat incomplits. Hem parlat amb diversos experts d’empreses de seguretat i empreses d’anàlisi de la indústria per entendre millor els possibles entrebancs i escenaris de desastres que es desenvolupen arran dels ciberataques.

1. No improviseu

En cas d’atac, el primer instint us dirà que comenceu el procés de rectificació de la situació. Pot incloure la protecció dels endpoints objectius o tornar a les còpies de seguretat anteriors per tancar el punt d’entrada utilitzat pels atacants. Malauradament, si no haguéssiu desenvolupat una estratègia prèvia, les decisions precipitades que prengueu després d’un atac poden empitjorar la situació.

"El primer que no heu de fer després d'una infracció és crear la vostra resposta sobre la marxa", va dir Mark Nunnikhoven, vicepresident de Cloud Research del proveïdor de solucions de seguretat cibernètica Trend Micro. "S’elabora una part crítica del vostre pla de resposta a incidents. Els contactes claus han de ser mapejats amb antelació i emmagatzemats digitalment. També ha d’estar disponible en còpia impresa en cas d’incompliment catastròfic. Quan es respongui a una infracció, l’últim és que El que heu de fer és intentar esbrinar qui és el responsable de quines accions i qui pot autoritzar respostes diverses ".

Ermis Sfakiyanudis, president i conseller delegat de l’empresa de serveis de protecció de dades Trivalent, està d’acord amb aquest plantejament. Va dir que és crític que les empreses "no es desprenguin" després que hagin estat afectades per una violació. "Si bé la manca de preparació davant d'un incompliment de dades pot causar danys irreparables a una empresa, el pànic i la desorganització també poden ser molt perjudicials", va explicar. "És crític que una empresa incomplida no s'allunyés del seu pla de resposta a incidents, que hauria d'incloure la identificació de la causa sospitosa de l'incident com a primer pas. Per exemple, va ser la violació causada per un atac ransomware amb èxit, programari maliciós al sistema, tallafoc amb un port obert, un programari obsolet o una amenaça involuntària involuntària? A continuació, aïlleu el sistema efectuat i eradiqueu la causa de la violació per assegurar-vos que el vostre sistema no està en perill."

Sfakiyanudis va dir que és vital que les empreses demanin ajuda quan se’ls caigui el cap. "Si determineu que s'ha produït un incompliment després de la vostra investigació interna, aporteu coneixements de tercers per ajudar a gestionar i mitigar la conseqüència de la consecució", va dir. "Això inclou assessors legals, investigadors externs que poden dur a terme una investigació forense a fons, i experts en relacions públiques i comunicació que poden crear estratègia i comunicar-se als mitjans de comunicació en nom seu.

"Amb aquesta orientació experta combinada, les organitzacions poden mantenir-se tranquils a través del caos, identificant quines vulnerabilitats van causar el trencament de les dades, remediant per tal que el problema no torni a produir-se i assegurant que la seva resposta als clients afectats sigui adequada i oportuna. també col·laboreu amb el seu advocat legal per determinar si i quan s’ha de notificar l’aplicació de la llei ".

2. No vagis en silenci

Un cop heu estat atacats, és reconfortant pensar que ningú fora del vostre cercle interior no sap el que acaba de passar. Malauradament, el risc aquí no val la pena recompensar. Voleu comunicar-vos amb personal, venedors i clients perquè tothom sàpiga què s’ha accedit, què heu fet per solucionar la situació i quins plans voleu dur a terme per tal que no es produeixin atacs similars en el futur. "No ignoreu els vostres propis empleats", va aconsellar Heidi Shey, analista principal de Seguretat i Risc de Forrester Research. "Heu de comunicar-vos amb els vostres empleats sobre l'esdeveniment i proporcionar orientació als vostres empleats sobre què cal fer o dir si han preguntat sobre l'incompliment".

Shey, com Sfakiyanudis, va dir que és possible que vulgueu contractar un equip de relacions públiques per ajudar a controlar la missatgeria de la vostra resposta. Això és especialment cert per a incompliments de dades que tenen grans consumidors i costosos. "L'ideal seria que voldríeu que un proveïdor així fos identificat amb antelació com a part de la planificació de resposta a incidents, per tal que estigueu a punt per donar-vos la resposta", va explicar.

Només perquè sigueu proactius per avisar al públic que heu estat incomplit, no vol dir que pugueu publicar declaracions i proclames salvatges. Per exemple, quan es va incomplir el toymaker VTech, un pirata informàtic va accedir a fotos de nens i registres de xat. Després d'haver-se enderrocat la situació, el mèdic va canviar les seves Condicions de servei per renunciar a la seva responsabilitat en cas d'incompliment. No cal dir que els clients no estaven contents. "No voldreu semblar que recorreu per amagar-vos darrere de mitjans legals, ja sigui per evitar responsabilitats o controlar la narració", va dir Shey. "És millor tenir un pla de resposta a incompliments i de gestió de crisis per ajudar-vos en les comunicacions relacionades amb incompliments".

3. No feu declaracions falses o enganyoses

Això és obvi, però voldreu ser el més exacte i honest del possible quan us dirigiu al públic. Això és beneficiós per a la vostra marca, però també és beneficiós per la quantitat de diners que obtindreu de la vostra pòlissa d’assegurança cibernètica si en teniu. "No emeti declaracions públiques sense tenir en compte les implicacions del que estàs dient i com sona", va dir Nunnikoven.

"Va ser realment un atac" sofisticat "? Etiquetar-lo com a tal no ho fa necessàriament", va continuar. "El seu conseller delegat necessita realment anomenar-ho com a" acte de terrorisme "? Ha llegit la lletra petita de la pòlissa de ciberseguretat per entendre les exclusions?

Nunnikhoven recomana elaborar missatges que siguin "sense toro, freqüents i que indiquin clarament les accions que es fan i les que s'han de fer". Segons va dir, intentant convertir la situació, va empitjorar les coses. "Quan els usuaris senten un incompliment d'un tercer, es produeix una erosió immediata de la confiança difícil", va explicar. "Sortiu de la situació i poseu-vos davant, amb un flux continu de comunicacions concises a tots els canals on ja esteu actius".

4. Recordeu atenció al client

Si l’incompliment de dades afecta un servei en línia, l’experiència dels vostres clients o algun altre aspecte del vostre negoci que pugui tenir els clients que us envien consultes, assegureu-vos de centrar-vos en això com un problema diferent i important. Ignorar els problemes dels vostres clients o fins i tot intentar excessivament convertir la seva mala sort en el vostre guany pot convertir ràpidament un greu incompliment de dades en una pèrdua pesada de negocis i ingressos.

Prenent com a exemple la violació de Equifax, la companyia va dir inicialment als clients que podrien tenir un any de denúncia de crèdit gratuïta si només no demandessin. Fins i tot va intentar convertir l’incompliment en un centre de beneficis quan volia cobrar més als clients si demanaven que es congelessin els seus informes. Va ser un error i va afectar les relacions amb els clients a llarg termini. L’empresa hauria d’haver fet és col·locar els seus clients en primer lloc i simplement oferir-los tots els informes incondicionals, potser fins i tot de forma gratuïta, durant el mateix període de temps per emfatitzar el seu compromís de mantenir els clients en seguretat.

5. No tanqui els incidents massa aviat

Heu tancat els terminis danyats. Heu contactat amb els vostres empleats i clients. Heu recuperat totes les vostres dades. Els núvols s'han separat i un raig de sol ha caigut sobre el vostre escriptori. No molt ràpid. Tot i que pot semblar que la vostra crisi ha acabat, voldreu continuar supervisant de manera agressiva i proactiva la vostra xarxa per assegurar-vos que no hi hagi atacs de seguiment.

"Hi ha una pressió enorme per restaurar els serveis i recuperar-se després d'una infracció", va dir Nunnikhoven. "Els atacants es mouen ràpidament a través de les xarxes un cop guanyen peu, de manera que és difícil prendre una determinació concreta que heu abordat tot el problema. Mantenir-se diligent i fer un seguiment més agressiu és un pas important fins que esteu segurs que l'organització estigui clara. ".

Sfakiyanudis està d’acord amb aquesta valoració. "Després que es resolgui un incompliment de dades i es reprenguin les operacions comercials periòdiques, no suposeu la mateixa tecnologia i els plans que teníeu en marxa pre-incompliment seran suficients", va dir. "Hi ha mancances en la vostra estratègia de seguretat que van ser explotades i, fins i tot després que es resolguin aquestes llacunes, no vol dir que no hi haurà més en el futur. Per tal d’avançar un enfocament més proactiu de la protecció de dades, tracta el vostre pla de resposta per incompliment de dades com a document viu. A mesura que les persones canvien de rol i l’organització evoluciona mitjançant fusions, adquisicions, etc., el pla també ha de canviar."

6. No oblideu investigar

"Quan s'investiga un incompliment, documenteu-ho tot", va dir Sfakiyanudis. "La recopilació d'informació sobre un incident és fonamental per validar que es va produir una violació, quins sistemes i dades van afectar i com es va abordar la mitigació o la reparació. Registre els resultats de les investigacions mitjançant la captura i l'anàlisi de dades perquè estiguin disponibles per a la revisió post mortem.

"Assegureu-vos també d'entrevistar a qualsevol persona implicada i documenteu detingudament les seves respostes", va continuar. "La creació d'informes detallats amb imatges de disc, així com detalls sobre qui, què, on i quan es va produir l'incident, us ajudaran a implementar qualsevol mesura de mitigació o de protecció de dades nova o desapareguda."

Aquestes mesures són òbviament per a possibles conseqüències legals després del fet, però aquest no és l’únic motiu per investigar un atac. Esbrinar qui era el responsable i qui va ser afectat és un coneixement clau per als advocats i, sens dubte, s'hauria d'investigar. Però la manera com es va produir l’incompliment i el que es va orientar és informació clau per a les TI i el vostre personal de seguretat. Quina part del perímetre necessita de millora i quines porcions de les vostres dades són (aparentment) valuoses per als bons recursos propis? Assegureu-vos que investigueu tots els angles valuosos d’aquest incident i assegureu-vos que els investigadors ho sàpiguen des del primer moment.

Si la vostra empresa és massa analògica per dur a terme aquesta anàlisi pel seu compte, probablement voldreu contractar un equip extern per a realitzar aquesta investigació (com es va dir anteriorment a Sfakiyanudis). Preneu notes també sobre el procés de cerca. Tingueu en compte quins serveis us van oferir, amb quins proveïdors parlava i si esteu o no satisfets amb el procés d’investigació. Aquesta informació us ajudarà a determinar si seguiu o no amb el vostre venedor, escolliu un venedor nou o contracteu personal propi que sigui capaç de dur a terme aquests processos en cas que la vostra empresa tingui la mala sort de patir una segona violació.