Mục đích của Kế hoạch phản hồi
Kế hoạch phản hồi vi phạm dữ liệu cung cấp lộ trình để tuân theo khi phát hiện vi phạm.
Nó là một công cụ tiết kiệm thời gian và giảm căng thẳng. Khi kế hoạch của bạn đã sẵn sàng, bạn sẽ không phải lãng phí thời gian và năng lượng để quyết định phải làm gì mỗi lần xảy ra vi phạm. Bạn chỉ cần làm theo các bước mà bạn đã thiết lập trước. Một kế hoạch phản hồi được suy nghĩ cẩn thận có thể giúp bạn tránh được những sai lầm mà bạn có thể thực hiện khi hành động trong chế độ khủng hoảng.
Các yếu tố của Kế hoạch phản hồi
Để có hiệu quả, kế hoạch phản hồi vi phạm dữ liệu phải bao gồm:
- Định nghĩa vi phạm
- Danh sách thành viên nhóm phản hồi
- Các bước hành động để xử lý vi phạm
- Một thủ tục tiếp theo
Xác định vi phạm
Một bước quan trọng trong việc xây dựng một kế hoạch ứng phó là quyết định những gì cấu thành một vi phạm . Đó là, những loại sự cố nào sẽ kích hoạt kế hoạch của bạn? Một số sự kiện, chẳng hạn như email lừa đảo, có thể có ít hoặc không ảnh hưởng đến hoạt động của công ty bạn. Những người khác, như nhiễm trùng ransomware hoặc tấn công từ chối dịch vụ, có thể gây ra sự gián đoạn nghiêm trọng.
Mặc dù định nghĩa vi phạm có thể thay đổi từ kế hoạch này sang gói khác, nó thường bao gồm bất kỳ hành vi trộm cắp hoặc xâm nhập tệp dữ liệu điện tử nào chứa thông tin nhạy cảm về khách hàng, bệnh nhân, khách hàng hoặc nhân viên. Nó cũng nên bao gồm bất kỳ hành vi trộm cắp (hoặc cố gắng trộm cắp) thông tin công ty nhạy cảm như bằng sáng chế, bí mật thương mại và tài sản trí tuệ khác.
Nhóm phản hồi của bạn
Kế hoạch phản hồi của bạn nên xác định các thành viên của nhóm phản hồi của bạn. Đây là những cá nhân sẽ thực hiện kế hoạch phản ứng của bạn khi xảy ra vi phạm. Họ nên được tin cậy nhân viên đã quen thuộc với doanh nghiệp của bạn. Họ phải coi trọng trách nhiệm của mình là thành viên tổ.
Kích thước của nhóm của bạn và thành phần của nó phụ thuộc vào nhiều yếu tố. Chúng bao gồm quy mô của công ty bạn, ngành mà bạn hoạt động và tính phức tạp của doanh nghiệp của bạn. Tại nhiều công ty, nhóm phản hồi bao gồm ít nhất một đại diện từ mỗi lĩnh vực sau:
- Nguồn nhân lực
- Công nghệ thông tin hoặc bảo mật dữ liệu
- Truyền thông
- Quản lý rủi ro
- Hợp pháp
- Quản lí cấp cao
Một số vi phạm dữ liệu có thể quá lớn hoặc quá phức tạp để nhân viên của bạn xử lý một mình. Để đối phó với những sự kiện này, nhóm của bạn sẽ cần sự giúp đỡ từ các chuyên gia bên ngoài. Các chuyên gia tư vấn bên ngoài này cần được xác định trong kế hoạch ứng phó của bạn. Họ có thể bao gồm luật sư, nhân viên thực thi pháp luật và chuyên gia bảo mật hoặc khôi phục dữ liệu.
Các bước hành động trong kế hoạch của bạn
Kế hoạch phản hồi của bạn nên cung cấp hướng dẫn từng bước cho các thành viên nhóm phản hồi của bạn về những việc cần làm khi xảy ra vi phạm dữ liệu. Mỗi thành viên nên được chỉ định một vai trò phản ánh chuyên môn của mình.
Ví dụ, trách nhiệm xác định cách thức vi phạm xảy ra nên được giao cho một nhân viên bảo mật dữ liệu. Tương tự như vậy, nhiệm vụ thông báo cho công ty bảo hiểm đã ban hành chính sách trách nhiệm pháp lý mạng của bạn phải được chỉ định cho nhân viên quản lý rủi ro. Kế hoạch sẽ cho phép nhóm của bạn phân tích vi phạm, xác định điều gì đã xảy ra, hạn chế thiệt hại và thực hiện bất kỳ cải tiến nào cần thiết để ngăn các sự kiện tương tự xảy ra trong tương lai.
Các thành viên trong nhóm phản hồi của bạn nên cẩn thận ghi lại tất cả các hành động mà họ đã thực hiện sau khi xảy ra vi phạm. Điều này quan trọng vì nhiều lý do. Đầu tiên, các hồ sơ sẽ xác minh rằng các thành viên trong nhóm tuân thủ các hướng dẫn được nêu trong kế hoạch của bạn. Thứ hai, tài liệu sẽ cung cấp thông tin có giá trị khi bạn tiến hành đánh giá sau vi phạm.
Thứ ba, các hồ sơ có thể được yêu cầu bởi chính quyền tiểu bang hoặc liên bang nếu vi phạm liên quan đến dữ liệu được luật pháp bảo vệ. Một số loại thông tin nhận dạng cá nhân (chẳng hạn như số thẻ tín dụng hoặc thông tin sức khỏe) phải tuân thủ luật riêng tư của tiểu bang hoặc liên bang. Nếu bạn lưu trữ dữ liệu nhạy cảm về khách hàng, bệnh nhân hoặc nhân viên trên hệ thống máy tính của bạn và thông tin bị xâm phạm, bạn có thể được pháp luật yêu cầu phải thông báo cho những cá nhân có dữ liệu bị vi phạm. Bạn cũng có thể được yêu cầu báo cáo vi phạm cho một cơ quan tiểu bang hoặc liên bang. Nhiều luật chỉ định khung thời gian để thông báo. Các yêu cầu thông báo, bao gồm cả những người phải được thông báo và khoảng thời gian bắt buộc, phải được nêu trong kế hoạch phản hồi của bạn.
Theo sát
Khi kế hoạch của bạn đã được triển khai đầy đủ và vi phạm đã được đưa vào, bạn nên tiến hành một phiên thảo luận với nhóm phản hồi của bạn. Yêu cầu tất cả các thành viên phải thực hiện các bước họ đã thực hiện và các bài học mà họ đã học được từ quá trình này. Thành viên nên mô tả bất kỳ vấn đề nào họ gặp phải trong quá trình để kế hoạch có thể được điều chỉnh khi cần thiết.