Avtorjev Blog O Finančnem In Poslovnem

Zakaj vaše podjetje potrebuje načrt odzivanja na kršitev podatkov

Načrt odzivanja na kršitev podatkov zagotavlja časovni načrt, ki ga lahko vaše podjetje sledi vsakič, ko ugotovi kršitev podatkov.


Medtem ko lahko vsako podjetje, ki uporablja internet, doživi kršitev podatkov, so mala podjetja še posebej ranljiva, saj imajo omejena sredstva, namenjena varnosti. Vendar lastniku majhnega podjetja ni treba sedeti in čakati, da pride do katastrofe. Svoje podjetje lahko vnaprej pripravijo tako, da ustvarijo načrt odzivanja na kršitev podatkov.

Namen odzivnega načrta

Načrt odzivanja na kršitev podatkov zagotavlja časovni načrt, ki ga je treba upoštevati, ko je kršitev odkrita. Je orodje, ki prihrani čas in zmanjša stres. Ko je vaš načrt pripravljen, vam ne bo treba izgubljati časa in energije za odločanje, kaj storiti vsakič, ko pride do kršitve. Enostavno sledite korakom, ki ste jih predhodno določili. Dobro premišljen načrt odzivanja vam lahko pomaga, da se izognete napačnim korakom, ki jih boste verjetno storili, ko delujete v kriznem načinu.

Elementi odzivnega načrta

Da bi bil učinkovit, mora načrt odzivanja na kršitev podatkov vključevati naslednje:

  • Opredelitev kršitve
  • Seznam članov odzivne skupine
  • Ukrepi za odpravo kršitve
  • Nadaljnji postopek

Določitev kršitve

Pomemben korak pri razvoju načrta odzivanja je odločitev o tem, kaj pomeni kršitev. Se pravi, katere vrste incidentov bodo aktivirale vaš načrt? Nekateri dogodki, na primer lažno pošiljanje z e-poštnimi sporočili, lahko slabo vplivajo na delovanje vašega podjetja. Drugi, na primer okužba z odkupno programsko opremo ali napad za zavrnitev storitve, lahko povzročijo resne motnje.

Medtem ko je opredelitev kršitev se lahko razlikujejo od enega do drugega načrta, običajno vključuje krajo ali vdore elektronskih podatkovnih datotek, ki vsebujejo občutljive podatke o kupcih, pacientih, strankah ali zaposlenih. Vključevati naj bi tudi vsako krajo (ali poskus tatvine) občutljivih informacij o podjetju, kot so patenti, poslovne skrivnosti in druga intelektualna lastnina.

Vaša odzivna skupina

V vašem odzivnem načrtu naj bodo opredeljeni člani vaše odzivne skupine. To so posamezniki, ki bodo izvedli vaš odzivni načrt, ko pride do kršitve. Zaupati bi jim morali zaposleni, ki poznajo vaše podjetje. Svoje odgovornosti kot člani skupine morajo vzeti resno.

Velikost vaše ekipe in njena sestava sta odvisna od več dejavnikov. Ti vključujejo velikost vašega podjetja, panogo, v kateri poslujete, in zahtevnost vašega podjetja. V mnogih podjetjih skupina za odzive vključuje vsaj enega predstavnika z vsakega od naslednjih področij:

  • Človeški viri
  • Informacijska tehnologija ali varnost podatkov
  • Komunikacije
  • Upravljanje s tveganji
  • Pravni
  • Višje vodstvo

Nekatere kršitve podatkov so lahko prevelike ali preveč zapletene, da bi se lahko zaposleni spopadli sami. Za reševanje teh dogodkov bo vaša ekipa potrebovala pomoč zunanjih strokovnjakov. Te zunanje svetovalce je treba identificirati v vašem načrtu odzivanja. Vključujejo lahko odvetnike, osebje na področju kazenskega pregona in strokovnjake za varnost ali obnovo podatkov.

Akcijski koraki vašega načrta

Vaš načrt odzivov mora za člane vaše odzivne skupine zagotavljati navodila po korakih, kaj storiti, ko pride do kršitve podatkov. Vsakemu članu je treba dodeliti vlogo, ki odraža njegovo strokovno znanje. Na primer, odgovornost za določitev, kako je prišlo do kršitve, bi bilo treba dodeliti uslužbencu za varstvo podatkov. Prav tako je treba nalogo obveščanja zavarovalnice, ki je izdala vašo polico kibernetske odgovornosti, dodeliti uslužbencu za upravljanje tveganj. Načrt naj bi vaši skupini omogočil, da analizira kršitev, ugotovi, kaj je šlo narobe, omeji škodo in izvede vse potrebne izboljšave, da se prepreči, da bi se podobni dogodki pojavili v prihodnosti.

Člani vaše odzivne skupine morajo skrbno dokumentirati vse ukrepe, ki so jih sprejeli po kršitvi. To je pomembno iz več razlogov. Najprej bodo v evidencah preverjeno, ali so člani skupine upoštevali navodila, opisana v vašem načrtu. Drugič, dokumentacija bo zagotovila dragocene informacije, ko izvajate oceno po kršitvi.

Tretjič, evidence lahko zahtevajo državni ali zvezni organi, če je kršitev vključevala podatke, ki jih ščiti zakon. Za nekatere vrste osebnih podatkov (na primer številke kreditnih kartic ali zdravstvene informacije) velja državna ali zvezna zakonodaja o zasebnosti. Če v računalniškem sistemu shranjujete občutljive podatke o kupcih, pacientih ali zaposlenih in so podatki ogroženi, boste morda morali zakonsko obvestiti posameznike, katerih podatki so bili kršeni. Morda boste morali kršitev prijaviti tudi državi ali zvezni agenciji.

Številni zakoni določajo časovni okvir za obveščanje. Zahteve za obveščanje, vključno s tem, kdo mora biti obveščen in določeno časovno obdobje, morajo biti navedene v vašem odzivnem načrtu.

Nadaljnje spremljanje

Ko je vaš načrt v celoti izpeljan in je kršitev zajeta, morate opraviti sestavo, v kateri se boste seznanili s svojo ekipo za odzive. Prosite vse člane, naj tečejo po korakih in izkušnjah iz procesa. Člani bi morali opisati vse težave, ki so jih naleteli na poti, da bi lahko načrt prilagodili po potrebi.


Sorodni Članki:

✔ - Ultimate Crash tečaj podjetništva

✔ - Ustvarjanje mesečnega programa za dajanje neprofitnih organizacij

✔ - Ali lahko majhno podjetje trgovino pokaže, da najde dobavitelje?


Pomoč? Delite To S Svojimi Prijatelji!