Zweck eines Reaktionsplans
Ein Antwortplan für Datenpannen bietet eine Roadmap, die zu befolgen ist, wenn ein Verstoß entdeckt wird.
Es ist ein zeitsparendes und stressreduzierendes Werkzeug. Sobald Ihr Plan in Kraft ist, müssen Sie nicht mehr Zeit und Energie verschwenden, um zu entscheiden, was bei jeder Verletzung zu tun ist. Sie folgen einfach den Schritten, die Sie im Voraus festgelegt haben. Ein gut durchdachter Reaktionsplan kann Ihnen helfen, Fehltritte zu vermeiden, die Sie wahrscheinlich machen, wenn Sie im Krisenmodus agieren.
Elemente eines Reaktionsplans
Um effektiv zu sein, sollte ein Antwortplan für Datenpannen Folgendes enthalten:
- Eine Definition von Verletzung
- Eine Liste der Mitglieder des Reaktionsteams
- Die Schritte zur Behandlung der Verletzung
- Ein Follow-up-Verfahren
Definieren einer Verletzung
Ein wichtiger Schritt bei der Entwicklung eines Reaktionsplans besteht darin, zu entscheiden, was einen Verstoß darstellt . Das heißt, welche Arten von Vorfällen werden Ihren Plan aktivieren? Einige Ereignisse, z. B. eine Phishing-E-Mail, haben möglicherweise keine oder nur geringe Auswirkungen auf die Vorgänge in Ihrem Unternehmen. Andere, wie eine Ransomware-Infektion oder eine Denial-of-Service-Attacke, können eine ernsthafte Störung verursachen.
Während die Definition der Verletzung von einem Plan zum anderen variieren kann, umfasst sie typischerweise den Diebstahl oder das Eindringen elektronischer Datendateien, die sensible Informationen über Kunden, Patienten, Kunden oder Mitarbeiter enthalten. Es sollte auch jeglichen Diebstahl (oder versuchten Diebstahl) sensibler Unternehmensinformationen wie Patente, Geschäftsgeheimnisse und anderes geistiges Eigentum umfassen.
Ihr Antwortteam
Ihr Reaktionsplan sollte die Mitglieder Ihres Reaktionsteams identifizieren. Dies sind die Personen, die bei einem Verstoß Ihren Reaktionsplan ausführen. Sie sollten vertrauenswürdige Mitarbeiter sein , die mit Ihrem Unternehmen vertraut sind. Sie müssen ihre Verantwortung als Teammitglieder ernst nehmen.
Die Größe Ihres Teams und seine Zusammensetzung hängen von mehreren Faktoren ab. Dazu gehören die Größe Ihres Unternehmens, die Branche, in der Sie tätig sind, und die Komplexität Ihres Geschäfts. In vielen Unternehmen umfasst das Response-Team mindestens einen Vertreter aus jedem der folgenden Bereiche:
- Humanressourcen
- Informationstechnologie oder Datensicherheit
- Kommunikation
- Risikomanagement
- Legal
- Geschäftsleitung
Manche Datenschutzverletzungen sind möglicherweise zu groß oder zu komplex, als dass Ihre Mitarbeiter sie allein bewältigen könnten. Um mit diesen Ereignissen fertig zu werden, benötigt Ihr Team Hilfe von externen Experten. Diese externen Berater sollten in Ihrem Reaktionsplan aufgeführt sein. Sie können Anwälte, Strafverfolgungsbeamte und Datensicherheits- oder Wiederherstellungsexperten einschließen.
Aktionsschritte Ihres Plans
Ihr Reaktionsplan sollte Schritt für Schritt Anweisungen für die Mitglieder Ihres Reaktionsteams enthalten, was bei einer Datenverletzung zu tun ist. Jedem Mitglied sollte eine Rolle zugewiesen werden, die seine oder ihre Expertise widerspiegelt.
Zum Beispiel sollte die Verantwortlichkeit für das Bestimmen, wie die Verletzung aufgetreten ist, einem Datensicherheitsangestellten zugewiesen werden. Ebenso sollte die Aufgabe, den Versicherer zu benachrichtigen, der Ihre Cyber-Haftpflichtpolice ausgestellt hat, einem Mitarbeiter des Risikomanagements zugewiesen werden. Der Plan sollte es Ihrem Team ermöglichen, den Verstoß zu analysieren, festzustellen, was schief gelaufen ist, den Schaden zu begrenzen und die erforderlichen Verbesserungen vorzunehmen, um zu verhindern, dass ähnliche Ereignisse in der Zukunft auftreten.
Ihre Mitglieder des Reaktionsteams sollten alle Maßnahmen, die sie nach dem Verstoß ergriffen haben, sorgfältig dokumentieren. Dies ist aus mehreren Gründen wichtig. Zuerst werden die Datensätze bestätigen, dass die Teammitglieder den Anweisungen in Ihrem Plan folgen. Zweitens liefert die Dokumentation wertvolle Informationen, wenn Sie Ihre Bewertung nach der Verletzung durchführen.
Drittens können die Aufzeichnungen von staatlichen oder bundesstaatlichen Behörden angefordert werden, wenn die Verletzung Daten betrifft, die gesetzlich geschützt sind. Einige Arten personenbezogener Daten (wie Kreditkartennummern oder Gesundheitsinformationen) unterliegen der staatlichen oder bundesstaatlichen Datenschutzgesetzgebung. Wenn Sie vertrauliche Daten über Kunden, Patienten oder Mitarbeiter auf Ihrem Computersystem speichern und die Informationen gefährdet sind, müssen Sie möglicherweise gesetzlich verpflichtet werden, die Personen zu benachrichtigen, deren Daten verletzt wurden. Möglicherweise müssen Sie den Verstoß auch einer staatlichen oder Bundesbehörde melden. Viele Gesetze geben einen Zeitrahmen für die Benachrichtigung vor. Die Benachrichtigungsanforderungen, einschließlich derer, die benachrichtigt werden müssen, und der vorgeschriebene Zeitraum sollten in Ihrem Reaktionsplan angegeben werden.
Nachverfolgen
Sobald Ihr Plan vollständig umgesetzt wurde und der Verstoß eingedämmt wurde, sollten Sie eine Nachbesprechung mit Ihrem Reaktionsteam durchführen. Bitten Sie alle Mitglieder, die Schritte, die sie gemacht haben, und die Lektionen, die sie aus dem Prozess gelernt haben, zu durchlaufen. Die Mitglieder sollten alle Probleme beschreiben, denen sie auf dem Weg begegnet sind, so dass der Plan nach Bedarf angepasst werden kann.