Che ci sia o meno un riscatto, le violazioni dei dati hanno sempre implicazioni finanziarie. Le organizzazioni possono subire sanzioni normative, perdite operative e danni alla reputazione. Un'attenta pianificazione può farti risparmiare tempo e denaro.
L'impatto di una violazione dei dati
Le violazioni dei dati si verificano quando c'è una debolezza nella sicurezza che porta all'esposizione di dati privati. A volte è un lavoro interno. Il personale potrebbe commettere un errore, o nutrire rancore e rilasciare dati in modo doloso, oppure qualcuno potrebbe essere un informatore. Ma le violazioni dei dati sono più comunemente causate da attacchi informatici. Attacchi ransomware, campagne di attivisti informatici, attacchi doxxing e spionaggio industriale possono portare a violazioni dei dati.
RELAZIONICome prepararsi e combattere un attacco ransomware
L'impatto finanziario di una violazione dei dati può essere enorme. Ad esempio, gli attacchi ransomware fanno perdere alle organizzazioni entrate dal momento in cui vengono colpite. Anche se alcune parti di un'azienda sono in grado di funzionare, potrebbe comunque perdere entrate. Nell'attacco ransomware Colonial Pipeline del maggio 2021, i depositi di produzione di carburante sono stati in grado di funzionare, ma ciò non ha aiutato. Colonial Pipeline aveva perso i suoi sistemi di fatturazione. Potevano produrre combustibili, ma non potevano né consegnarli né fatturarli.
Se le informazioni di identificazione personale (PII) vengono violate, è probabile che la legislazione locale, nazionale o persino internazionale sulla protezione dei dati ti imporrà una multa. Le sanzioni tengono conto di fattori quali il numero di interessati interessati e le circostanze della violazione. Anche se nessun dato lascia la tua rete, un attacco ransomware è considerato una violazione perché hai perso il controllo dei tuoi dati.
Pubblicità
Le entrate perse e i riscatti sono facili da enumerare. Così come il costo della bonifica e del ripristino. È molto più difficile quantificare in che modo un calo di fiducia da parte di clienti e dipendenti influirà sulla tua organizzazione. I danni alla reputazione e al marchio possono far crollare le azioni, i dipendenti più importanti abbandonare la nave e i clienti lasciare.
Le violazioni dei dati sono in aumento e quasi ogni giorno vengono segnalati attacchi notevoli. Per ogni headliner, ci sono numerose altre violazioni su piccola scala nelle organizzazioni più piccole. Per ridurre al minimo il danno finanziario, devi essere in grado di reagire rapidamente in caso di violazione. Ciò significa che devi prepararti in modo proattivo per un tale incidente.
Comprendi il tuo patrimonio IT
RELAZIONIPotere alle persone ? Perché l'hacktivism è tornato
I giorni del classico ambiente IT on-premise sono finiti. Pochissime organizzazioni conservano l'infrastruttura interamente on-premise degli anni precedenti al 2000. Anche se si tratta solo di un backup fuori sede, un repository Git remoto o Microsoft 365, è quasi impossibile non avere una sorta di componente cloud nelle tue operazioni IT.
E durante il cloud l'informatica può portare vantaggi in termini di costi, scalabilità e disponibilità, può anche portare le proprie complessità. Quando aggiungi contenitori, microservizi, dispositivi mobili, dispositivi intelligenti e API, la tua superficie di attacco diventa molto più ampia. Rende difficile la difesa dell'IT e delle reti e diventa più complicato ripristinarlo in caso di disastro.
Ecco perché è imperativo fare un bilancio e quantificare esattamente in cosa consiste il tuo patrimonio IT. Documenta tutti i sistemi operativi, le applicazioni e l'hardware. Crea registri delle risorse hardware e software e includi i ruoli e le funzioni delle risorse. Questo ti aiuterà nella creazione del tuo piano di risposta agli incidenti. Questo sarà il manuale da seguire quando si verifica un incidente.
RELAZIONATO: Come prepararsi e combattere un attacco di ransomware
Cosa ripristini prima?
Se tutto è inattivo, cosa ripristini prima? Più velocemente puoi ripristinare la capacità operativa, più velocemente puoi riattivare i tuoi flussi di entrate. Ecco perché i registri delle risorse IT devono includere i ruoli e le funzioni delle applicazioni, dei server e del software. Tali informazioni guideranno la creazione del tuo piano di risposta agli incidenti (IRP).
Provare il piano di risposta agli incidenti, con tutte le parti interessate presenti e coinvolte, rivelerà i sistemi critici che devono essere ripristinati prima che tutto funzioni. Una volta fatto ciò, puoi determinare insieme l'ordine in cui le funzioni lavorative o i reparti vitali devono essere ripristinati.
Pubblicità
Un piano di risposta agli incidenti ti aiuterà a ridurre al minimo i tempi di inattività complessivi. Ciò non può essere ridotto oltre certi limiti pratici, dettati dalle dimensioni e dalla complessità della tua infrastruttura IT e dalla gravità dell'attacco. Il meglio che puoi fare è stabilire l'ordine in cui i team o i reparti finanziariamente critici vengono riportati online.
Se hai un'emorragia di denaro da un luogo particolare, è lì che premi il pulsante ferro caldo.
Un IRP è un documento commerciale
Il tuo piano di risposta agli incidenti non è solo un documento del team IT o di sicurezza. È una politica e una procedura aziendale critica. È fondamentale che quando viene rivisto, approvato e provato che tutti gli stakeholder aziendali siano coinvolti. Oltre a fornire input e guida, acquisiranno una comprensione dei problemi e delle sfide di un incidente reale.
RELATEDCos'è il doxxing e come viene armato?
Questa comprensione avrà due vantaggi principali. Il primo è che capiranno che in un incidente della vita reale il team di sicurezza deve poter andare avanti, risolvere i problemi e affrontare l'incidente. Stare sopra di loro non aiuta. Il secondo è che l'azienda apprezzerà la necessità di competenze specializzate. E se tale esperienza non è disponibile internamente, dovrebbero vedere il valore nell'individuare un fornitore competente e interagire con loro, ora e non nel bel mezzo di un incidente.
Cercare competenze esterne durante una crisi è troppo tardi. Se trovi qualcuno, pagherai le tariffe di emergenza. Da un punto di vista tecnico, saranno meno efficaci quando arrivano a freddo rispetto a quando sono stati ingaggiati, in stand-by, in anticipo, e gli è stato dato il tempo di familiarizzare con la tua operazione.
Naturalmente, potrebbe non essere solo la sicurezza o altre competenze tecniche a cui devi fare affidamento. Le pubbliche relazioni, le risorse umane, i call center e le funzioni dei social media potrebbero necessitare di supporto esterno.
Preparare la documentazione normativa
Quando si verifica una violazione, un orologio inizia a ticchettare. A seconda della legislazione sulla protezione dei dati che entra in gioco—dettata dalla residenza degli interessati, non dalla sede della tua organizzazione—avrai un breve periodo di tempo in cui eseguire diversi passaggi obbligatori. Non eseguire questi passaggi o non rispettare le scadenze aumenterà le multe imposte a te.
Pubblicità
Ad esempio, il periodo di tempo entro il quale è necessario notificare la violazione all'organismo competente per la protezione dei dati—all'autorità di controllo—può essere di appena 72 ore. Chiaramente, devi comprendere tutta la legislazione sulla protezione dei dati che si applica a te e ciò che ciascuno richiede da te.
Se elabori i dati personali dei cittadini del Regno Unito, devi soddisfare il Data Protection Act 2018, che contiene la versione britannica del GDPR. Se tratti dati personali di cittadini di paesi UE, devi soddisfare la versione europea del GDPR. Se soddisfi i criteri di qualificazione del CCPA e rientri nel suo campo di applicazione, anche la tua organizzazione deve soddisfare il CCPA. E così via, per ogni atto legislativo applicabile. Il tuo responsabile della protezione dei dati o CIO dovrebbe aver fornito input al piano di risposta agli incidenti in modo che le azioni e le tempistiche richieste da ogni atto legislativo siano chiare.
Le comunicazioni inviate alle autorità di controllo e agli interessati che informano della violazione devono contenere sezioni obbligatorie e dettagli sufficienti per soddisfare l'autorità di controllo. Ciò rende impossibile avere dichiarazioni precompilate preparate in anticipo. Ma puoi preparare documenti con le informazioni obbligatorie sui tuoi sistemi IT e sull'organizzazione. Con un pacchetto di documenti pronti per l'incidente per ogni atto legislativo, la sfida di completare i requisiti normativi entro i tempi previsti si riduce a una serie di esercizi di raccolta dati e compilazione di moduli.
Forse è 8217 ;sarò multato per la violazione dei dati. Assicurarsi che gli aspetti relativi alla conformità dell'incidente siano corretti evita di aumentare le multe inutilmente.
RELAZIONATO: Il CCPA non è solo per le aziende californiane. Ecco di cosa hai bisogno per essere conforme
Responsabilità a monte e a valle
Le organizzazioni che elaborano dati per conto di altre organizzazioni sono note come responsabili del trattamento dei dati. Le organizzazioni che interagiscono con loro sono responsabili del trattamento dei dati. Responsabili del trattamento dei dati sono i responsabili del trattamento e i responsabili del trattamento. Se un responsabile del trattamento ha una violazione, la moderna legislazione sulla protezione dei dati considera responsabili entrambe le parti. Il titolare del trattamento ha scelto il responsabile del trattamento e il responsabile del trattamento ha avuto la violazione.
Pubblicità
Entrambe le parti possono ricevere multe e gli interessati possono citare in giudizio entrambi. se il responsabile del trattamento afferma che il motivo della violazione è dovuto a qualche omissione o svista da parte del responsabile del trattamento, può citare in giudizio il responsabile del trattamento.
È importante avere un responsabile del trattamento dei dati accordi in essere con tutti i vostri responsabili del trattamento. E se sei un responsabile del trattamento, assicurati che i termini degli accordi del responsabile del trattamento a cui sei vincolato non siano ingiustamente punitivi dal punto di vista finanziario.
Prevenire è meglio Than Cure
Ma la preparazione è meglio del pandemonio se dovesse accadere il peggio. Avere un piano di gioco olistico che regoli i team tecnici interni, l'assistenza specialistica esterna e i team legali e di conformità ti guiderà attraverso una violazione dei dati in un modo che contribuirà a ridurre le implicazioni finanziarie.