Un plan de brecha de datos que se ocupe de las muchas variaciones que un hackeo puede tomar debe considerar estos ocho puntos.
Al prepararse para un desastre, el CIO Jonathan Feldman toma pistas de los profesionales de la seguridad pública: Ellos entrenan para varios escenarios posibles, a pesar de que no pueden prever todas las situaciones posibles.
"Ellos tienen una cierta cantidad de preparación. Tienen protocolos y planes", dijo Feldman, CIO de la ciudad de Asheville, Carolina del Norte.
Feldman dijo que su planificación de recuperación de desastres y continuidad del negocio sigue esa lógica. Como tal, el plan contiene procedimientos que entran en juego para diversos tipos de eventos –incluyendo las violaciones de datos– a pesar de que su equipo de TI no puede prever de antemano exactamente cómo se desarrollaría un evento.
El enfoque de Feldman está en consonancia con las últimas ideas sobre la manera de formar y poner a prueba un plan de DR/BC. Un plan contra brecha de datos que es igualmente flexible deben tener en cuenta estos puntos clave:
- Comience con una evaluación de riesgos. Los CIOs y sus colegas ejecutivos deben identificar cuáles son las funciones de negocio más críticas para que puedan priorizar qué sistemas recuperar y restaurar primero, dijo David Phillips, director gerente de la consultoría de seguridad cibernética en Berkeley Research Group LLC.
- Establezca umbrales. No todas las violaciones de datos tienen el mismo nivel de impacto; algunas brechas solo podrán causar interrupciones mínimas. Un plan contra brecha de datos debe establecer umbrales y relacionarlos con los niveles de respuestas correspondientes, dijoDamian Walch, director de servicios de riesgo estratégicos en Deloitte Advisory y líder nacional para servicios de resiliencia de Estados Unidos.
- Planee la intervención. Detalle cómo el equipo de TI va a determinar qué sistemas se ven afectados por una brecha, el alcance de ese impacto, cuáles sistemas son más cruciales y por lo tanto necesitan atención primero, cómo acordonar y proteger los datos, y por cuánto tiempo se espera que dure la interrupción, dijo Walch.
- Integre flexibilidad. Los planes contra brechas de datos deben ser granulares, pero modulares, según los expertos. "Usted quiere construir flexibilidad en el plan, para que la empresa pueda responder de la manera que sea mejor", dijo la abogada Melissa Ventrone, presidenta de la práctica de privacidad de los datos y seguridad de Wilson Elser Moskowitz Edelman y Dicker LLP.
- Identifique qué persona se encargará de qué el papel. "Todo el mundo debe saber su parte y la parte de su organización", dijo Phillips. La lista de contactos debe enumerar a las personas encargadas de cada función específica, junto con su información de contacto, así como el nombre de una firma forense (preferiblemente una de retén, para garantizar una respuesta oportuna y posiblemente una o dos firmas de respaldo).
- Tenga en cuenta los requisitos legales y reglamentarios. Detalle cuándo y cómo integrar al bucle al equipo de gestión de crisis ejecutivo para que se cumplan los requisitos legales y reglamentarios apropiados en relación con las brechas de datos, y la gente de relaciones públicas de la compañía pueden ayudar adecuadamente a informar a los clientes y consumidores, dijo Ventrone.
- Establezca sistemas alternativos. Algunas compañías tienen sistemas alternativos siempre listos, algún plan para volver a los procesos manuales, y otros describen cómo ellos rápidamente pondrán de pie sistemas alternativos. “TI tiene que tener un plan detallado que dice: ‘Si este sistema se ve comprometido, ¿cómo podemos seguir haciendo negocios sin ese sistema funcionando?’. Depende de TI averiguar cuáles son las alternativas", dijo Phillips.
- Ejecute simulacros. Configure eventos simulacros basados en tipos específicos de desastres, incluidas las brechas. Cada organización debe determinar si necesitan ayuda externa para ejecutar los ejercicios, con qué frecuencia realizarlos y qué escenarios probar. Pero Feldman y otros dijeron que es crucial que el plan contra brechas de datos estipule cómo se hacen estas pruebas. "No hay sustituto para eso, y los simulacros no suceden por accidente. Son planificados, están priorizados y eso significa que están dotados de recursos", dijo Feldman, quien señaló que su organización ejecuta simulacros periódicamente.
