并非每一次数据泄露都有相同的原因(即恶意软件、勒索软件、内部威胁、社会工程学)和影响(即财务损失、身份盗用、欺诈)。
然而,有一些特定步骤——一些最佳实践,另一些植根于合规性和法规——是任何有效的数据泄露响应的关键。这五个步骤是:
1.遏制
虽然 60% 的数据泄露是在几天内发现的,但Verizon 的一份报告指出,20% 的数据泄露可能需要几个月的时间才能被发现。无论过去了多长时间,任何组织在发现数据泄露时应该采取的第一个行动是控制其对数据的影响。
数据泄露遏制是识别泄露来源和范围并将其隔离在组织的数据生态系统中的过程。这就像找到并修补划艇中的漏洞:一旦发现问题,就可以将其隔离并确保它不会继续对资源产生有害影响。为了干预和隔离违规行为,遏制是数据泄露响应中合乎逻辑的第一步。
2. 评估
现在你已经控制了违规并限制了任何进一步的影响,你可以开始评估对数据的损害。在评估过程中,你的团队应该设法回答以下问题:
哪些类型的数据受到了违规影响?
有多少数据受到影响?
哪些人受到了违规行为的影响?
对你的数据生态系统及其他方面的影响程度如何?
此信息收集阶段将使团队了解违规的影响,并告知补救过程中的后续步骤。
4.调查
在必要的各方收到违规通知后,你的组织及其行业的权威机构都可以开始更全面地调查该事件。这使团队能够从反应转变为研究,深入挖掘数据泄露的根本原因以及可能受其影响的数据。
团队和当局将希望收集违规证据,并评估可能受到损害的系统和资源。这项调查必须非常彻底,因为在此过程中发现的“取证数据”对于修复你的系统以及确保数据资源和个人安全向前发展至关重要。
5.政治与评估
完成深入调查后,你的团队可以全面应对违规行为并尝试修复由此造成的任何损害。通过实施纠正措施和恢复资源和/或受影响的平台和工具,数据生态系统可以恢复到安全和功能状态。理想情况下,补救措施应该使平台和资源比违规前更安全。
修复后,评估结束数据泄露响应流程。通过诚实地评估他们响应的优势和劣势,你可以更好地了解团队行动的有效性,同时为未来的任何安全事件做好更充分的准备。这可能包括实施额外的数据安全政策、程序和实践,以主动防范未来的任何违规行为。
参与数据泄露响应的团队
鉴于现代数据泄露的频率,许多组织已经创建了事件响应团队 (IRT),可以在发生此类安全事件时动员起来。这些团队通常包括来自以下团体的利益相关者:
信息技术与安全
这些技术利益相关者最接近受违规影响的实际系统。IT 应该能够使用数据堆栈中的平台和工具帮助立即遏制违规行为,并且可以在整个评估和调查过程中提供有价值的技术见解。安全团队将拥有有关组织保护策略和功能的最有价值的知识,因此对于遏制和安全补救任何违规行为也至关重要。
合法的
法律团队在响应的通知和补救部分非常重要。他们将了解根据一系列法律法规必须将违规行为通知哪些个人、机构和监督团体的最新信息。法律利益相关者还可以确保响应以及采取的主动措施符合任何其他当前或未来的合规需求。
公共关系
公共关系团队是组织与公众的直接联系。它们对于通知过程至关重要,因为它们可以帮助向受影响的个人制定最准确和直接的信息。他们还可以帮助制定和控制向员工、股东、媒体机构或任何其他需要通知违规行为以保持信息清晰合法的实体的信息。这将有助于告知公众并减少任何不准确或声誉损害。
管理
与对组织有显着影响的任何事件一样,在整个数据泄露响应过程中都应通知管理层并征求其意见。这些领导者在流程中可能扮演不同的角色——例如,CTO 或 CISO 可能比 CEO 更直接地参与——但无论职能如何,他们都应该在响应期间参与。
使用数据安全平台缓解数据泄露
涉及合适团队的全面数据泄露响应计划可以最大限度地减少数据泄露对资源、个人和未来运营的影响。重要的是,你的组织还实施了安全工具,使响应团队能够高效、安全地履行职责。
*文章来源:www.immuta.com
*原标题:有效响应数据泄露的 5 个步骤
*整理编辑:A隐小私(yinxiaosi00)
在线客服
微信
