Wat een datalekbeleid is en waarom je er een nodig hebt

Inhoudsopgave:

Wat een datalekbeleid is en waarom je er een nodig hebt
Wat een datalekbeleid is en waarom je er een nodig hebt
Anonim

Datalekken zijn altijd rampzalig geweest, en nieuwe wetten inzake gegevensprivacy dwingen organisaties om betrokkenen te beschermen, waardoor de impact van inbreuken nog groter wordt. Een beleid voor gegevensinbreuken helpt u te beschermen.

Wetgeving gegevens- en privacybescherming

Organisaties die persoonlijke gegevens bewaren of verwerken, hebben de plicht om die gegevens te beschermen en te beveiligen. Moderne wetgeving omvat doorgaans beperkingen op het verkopen en kopen van persoonlijke gegevens en op de doeleinden achter het verzamelen van de gegevens. De betrokkene of consument heeft rechten met betrekking tot hun persoonlijke gegevens, en organisaties worden verder verplicht om deze rechten te handhaven en te onderhouden.

Het niet naleven van uw lokale gegevensbeschermings- of privacywetgeving - of soortgelijke wetgeving van andere geografische regio's die op u van toepassing zijn - zal ernstige gevolgen hebben. Het verlies van vertrouwen door klanten schaadt wat vaak het grootste goed van een organisatie is: haar reputatie.

Natuurlijk zijn er ook meer kwantificeerbare schades. De meeste wetgeving heeft de bevoegdheid om financiële sancties op te leggen. De Algemene Verordening Gegevensbescherming (AVG) kan boetes van EUR 20 miljoen of 4 procent van de jaarlijkse wereldwijde omzet van het voorgaande jaar - afhankelijk van wat het hoogste is - opgelegd voor de ernstigste overtredingen. Deze boetes worden opgelegd door de toezichthoudende autoriteit voor gegevensbescherming van het betreffende Europese land, of door de Europese Commissie als de overtreding gevolgen heeft voor de burgers van meerdere landen.

De Californian Consumer Privacy Act (CCPA) voorziet ook in boetes voor niet-naleving. Ze worden gehandhaafd door het kantoor van de procureur-generaal van Californië. Er zijn civielrechtelijke boetes van 2.500 USD voor elke overtreding of 7.500 USD voor elke volgende overtreding na het eerste incident, na een periode van 30 dagen om herstel toe te passen om de technische of procedurele tekortkoming te verhelpen die leidde tot de oorspronkelijke niet -naleving.

De CCPA zal waarschijnlijk een grotere impact hebben, maar voorziet ook in de mogelijkheid voor particuliere eisers om een civiele procedure tegen de organisatie in te stellen als het incident een inbreuk was - ongeoorloofde toegang en exfiltratie, diefstal of openbaarmaking van persoonlijke gegevens - die plaatsvonden omdat van een verzuim om redelijke beveiligingsprocedures en -praktijken te implementeren die evenredig zijn aan de aard van de persoonlijke informatie die verloren is gegaan.

De CCPA wordt gezien als een soort blauwdruk voor andere staten om hun eigen gegevens- en privacybeschermingswetten uit te vaardigen. Nevada heeft al enkele wijzigingen doorgevoerd. De New York Privacy Act (NYPA) en de Washington State Privacy Act (WSPA) hebben hun wetgevende sessies in 2019 niet gehaald, maar de verwachting is dat ze opnieuw zullen worden ingediend met wijzigingen.

Gegevensinbreukonderzoeken

Het is duidelijk dat alles in het werk moet worden gesteld om datalekken te voorkomen. Maar hoe veilig uw netwerk ook is, er kunnen gegevenslekken optreden. Inbreuken kunnen het gevolg zijn van een succesvolle cyberaanval zoals een doxxing. En in Europa is het vermeldenswaard dat de AVG een ransomware-aanval als een datalek beschouwt omdat u de controle over de gegevens bent kwijtgeraakt. Datalekken kunnen het gevolg zijn van de kwade bedoelingen van een ontevreden insider of een vertrekkende medewerker. Ze kunnen het gevolg zijn van een menselijke fout of een onschuldige fout.

Als u te maken krijgt met een inbreuk die ernstig genoeg is om de aandacht te trekken van de autoriteit achter uw wetgeving inzake gegevensbescherming, zal er een onderzoek worden ingesteld. Meestal zullen de onderzoekers enkele of alle van de volgende punten in overweging nemen. Hun bevindingen zullen in elk geval een punt in uw voordeel of een punt tegen u zijn. De hoogte van de boetes kan in sommige gevallen worden verlaagd of verhoogd op basis van de beoordeling die ze geven aan uw netwerkbeveiliging, gegevensbeheer en -bescherming, en de feiten van het incident zelf.

  • De ernst van de inbreuk Wat is er gebeurd en waardoor kon de inbreuk plaatsvinden? Hoeveel individuele betrokkenen zijn getroffen? Als het om gegevens van een bijzondere categorie gaat, zoals medische of politieke informatie, of de persoonlijke gegevens van kinderen, wordt het incident als ernstiger beschouwd.
  • Hoofdoorzaak van de inbreuk Een diepere kijk op de omstandigheden waardoor de inbreuk kon plaatsvinden. Werd bijvoorbeeld de netwerkbeveiliging doorbroken of werden operationele procedures genegeerd door een insider? Wat was de beveiligingsfout en hoe had deze kunnen worden voorkomen? Zeggen dat het een werknemer was die de procedure niet volgde, is niet genoeg om u van de haak te slaan. Vanwege de juridische concepten van plaatsvervangende aansprakelijkheid en superieuren kan een organisatie verantwoordelijk zijn voor de acties van een van haar werknemers.
  • Communicatie en mitigatie Waren er maatregelen die u had kunnen nemen om de impact van de inbreuk op de betrokken betrokkenen te verminderen, en heeft u die genomen? Heeft u de betrokkenen zo vroeg mogelijk geïnformeerd en advies gegeven? Wisten ze wat er gebeurde, hoe het hen waarschijnlijk zou beïnvloeden, wat je eraan deed en welke acties ze moesten ondernemen?
  • Netwerkbeveiliging Welke stappen had u ondernomen om uw netwerk te versterken en te beschermen? Het zal voor de onderzoekers duidelijk zijn of u cyberbeveiliging serieus neemt - met behulp van technologische maatregelen, beleid en procedures, en training voor het bewustzijn van het personeel - of als u een gewoon vanillenetwerk runt en gewoon hoopt dat de slechte dingen u niet overkomen.
  • Vorige record Heeft u een geschiedenis van datalekken? Als dit uw eerste datalek is, bevindt u zich in een iets betere positie dan wanneer dit de laatste in een reeks van inbreuken is.
  • Samenwerking Hoe graag u samenwerkt met de onderzoekers en de toezichthoudende autoriteit zal worden genoteerd. Een open en eerlijke benadering is het beste. Behandel de onderzoekers niet als de vijand. Ze kunnen u goed advies geven voor het plukken van het laaghangende fruit om uw veiligheid te vergroten. Strengere beveiliging hoeft geen fortuin te kosten. Vraag hun input en handel ernaar. En geef ze de toegang en informatie waar ze om vragen.
  • Formele rapportage Heeft u de inbreuk binnen de voorgeschreven termijnen gemeld aan de toezichthoudende autoriteit? Het worstcasescenario is wanneer een betrokkene dit eerder meldt dan u. Als de inbreuk het gevolg was van een kwaadwillige actie, intern of extern, denk er dan aan dit te melden aan de politie.
  • Certificatie Bent u gecertificeerd volgens een relevant kwaliteitsschema zoals ISO/IEC 27001 of de Cyber Essentials van het Verenigd Koninkrijk? Er zijn geen certificeringsschema's voor wetgeving op het gebied van gegevensbescherming, waaronder CCPA en AVG, dus het is moeilijk om te bewijzen dat u hieraan voldoet. U moet de documentatie en het bestuur, de kennisgevingen op uw website plaatsen en uw beveiligings- en bedrijfspraktijken verbeteren zoals vereist, maar niemand zal achter u staan en uw inspanningen afstempelen. Het hebben van een certificering in een kwaliteitssysteem voor cyberbeveiliging of beveiligingsbeheer bewijst niet dat u voldoet aan de wetgeving, maar het laat zien dat u gegevensbescherming en privacy serieus neemt en dat u naar een goedgekeurd en erkend systeem loopt.

Uw beleid plannen

Afbeelding
Afbeelding

Groot gedaan, er moet veel speurwerk en informatie worden verzameld voordat het beleid voor de behandeling van inbreuken zelfs maar kan worden opgesteld. Sommige van deze actiestappen zullen periodiek moeten worden herhaald omdat situaties veranderen. En als ze veranderen, moet uw beleid mogelijk de impact van die wijzigingen weerspiegelen.

Identificeer uw grootste risico's

Dit laat je zien hoe de meest waarschijnlijke inbreukscenario's eruit zullen zien. Terwijl u toch bezig bent, doet u wat u kunt om de risico's te verminderen of te verminderen. U kunt ervoor kiezen om uw netwerk te segmenteren, codering te gebruiken, een inbraakdetectiesysteem te implementeren, automatische logverzameling en -scanning in te stellen, of een andere technologische stap die waarschuwingen geeft dat er iets mis is, en een zekere mate van inperking als er een incident is.

Voer kaartoefeningen uit

Maak of update uw Hardware Asset Register en breng uw netwerk in kaart. Begrijp hoe uw hardware-domein eruitziet, hoe het veroudert, wat moet worden vervangen of geüpgraded en wanneer.

Voer een data mapping-oefening uit, ook wel data-landschapsarchitectuur genoemd, en leg vast waar uw gegevens zich bevinden, wat ze bevatten, wie er toegang toe heeft en alle andere vereiste informatie over uw gegevens die de wetgeving vereist. Mogelijk moet u uw doeleinden voor het verzamelen, verwerken of opslaan van de gegevens vastleggen en met wie u deze deelt. Mogelijk moet u bewijs van toestemming vastleggen en bewaren als u geen andere wettelijke basis hebt om over die gegevens te beschikken. Dit alles vormt uw Data Asset Register.

Identificeer en rationaliseer gebruikersrechten en privileges. Beperk ze zoveel mogelijk. Zorg ervoor dat u een procedure "nieuwe starter/verlater/rolwijziging" hebt om te bepalen hoe u privileges voor nieuwe accounts en rolwijzigingen aanmaakt of aanpast, en om oude accounts te vergrendelen wanneer iemand de organisatie verlaat.

Vroege detectie is essentieel

Infiltratie van een netwerk kan onopgemerkt blijven. Tenzij de inbreuk wordt gedetecteerd en aan het IT-personeel wordt gemeld, kunnen bedreigingsactoren dagen, weken of maanden op de loer liggen in uw netwerk.

Een inbraakdetectiesysteem (IDS) is een goed idee, er zijn uitstekende open-sourceaanbiedingen zoals Snort. Het is belangrijk om een basislijn van normale activiteit vast te stellen, zodat verdachte activiteit kan worden geïdentificeerd.

Als uw IDS verdachte verbindingspogingen detecteert, kunt u de inbreuk mogelijk stoppen voordat deze plaatsvindt. Als loganalyse onverklaarbare maar succesvolle verbindingen aan het licht brengt die zijn gemaakt van uren of van geografisch raadselachtige IP-adressen, kan dit erop wijzen dat bedreigingsactoren erin zijn geslaagd toegang te krijgen.

Het doel is om bedreigingen te detecteren en erop te reageren zodra ze zich voordoen, en toegang in re altime te voorkomen, en verdacht gedrag te detecteren om ongeautoriseerde toegang te identificeren als ze erin geslaagd zijn om verbinding te maken.

Repetities

Als je je polis eenmaal hebt opgesteld, probeer het dan eens. Midden in een crisis heb je personeel nodig om het te volgen, niet om off-piste te gaan. Het plan repeteren met de belanghebbenden en andere spelers - het incidententeam - helpt om erachter te komen dat de beste strategie is om het beleid te volgen, niet om verspreide en overenthousiaste mensen onafhankelijk te laten handelen en vaak contraproductief te werken. Echte inbreuken kunnen een "druk maar verlamd" effect hebben.

Door incidenten door te lopen en simulaties te doen om het beleid te oefenen, kan het beleid worden aangepast en verbeterd. Hierin wordt vastgelegd wie waarvoor verantwoordelijk is en in welke volgorde de stappen moeten worden uitgevoerd. Het heeft bijvoorbeeld weinig zin om uw toezichthoudende autoriteit te waarschuwen voordat u de inbreuk heeft gekarakteriseerd. Wacht tot je weet hoeveel records zijn blootgesteld en wat voor soort persoonlijke gegevens ze bevatten.

Communicatie is essentieel

Vergeet communicatie niet. Dit is een manier waarop u wordt gemeten door de toezichthoudende autoriteit, klanten en betrokken betrokkenen. Wijs de verantwoordelijkheid voor de communicatie toe aan een team of afdeling. Zorg ervoor dat alleen officiële kanalen worden gebruikt om updates te verstrekken en zorg voor een single point of communication release. Update vroeg en vaak en gebruik eenvoudig, duidelijk Engels. Wees eerlijk en transparant.

Vergeet niet om je eigen personeel te informeren over wat er is gebeurd. Hun eigen gegevens bevinden zich immers in uw netwerk, dus zij kunnen ook worden getroffen door de inbreuk. Ze moeten minimaal genoeg weten om vragen te beantwoorden en bezorgde bellers door te verwijzen naar de officiële verklaring op uw website.

Je moet ook de C-suite of de raad van bestuur op de hoogte houden van het incident en voortgang maken terwijl je werkt aan een oplossing.

Gedetailleerde begeleiding

Wanneer een mogelijke inbreuk wordt vermoed, moet het incidentteam als een waarschuwing worden geïnformeerd en moet het beleid worden gevolgd om te verifiëren of de inbreuk echt is. Als dat zo is, kan het team door elkaar worden gegooid en beginnen met het beoordelen van de reikwijdte en impact. Waren er persoonsgegevens betrokken bij de inbreuk, zo ja, om hoeveel betrokkenen gaat het? Zijn persoonlijke gegevens van een speciale categorie openbaar gemaakt?

Gewapend met deze kennis kan het IT-team overgaan tot inperking en herstel, en kan het communicatieteam hun cyclus van updates en advies starten. Afhankelijk van de wetgeving waaronder u opereert, kan het nodig zijn om rechtstreeks contact op te nemen met alle betrokken betrokkenen. AVG vereist dit.

De stappen moeten gedetailleerd en duidelijk zijn, maar niet zo langdradig dat de teams hun tijd besteden aan lezen in plaats van doen. Stroomdiagrammen en geprioriteerde opsommingstekens zijn beter dan pagina's met dichte tekst.

Inbreuken zijn soms onvermijdelijk, maar een sterk reactieplan helpt u de verstoring van de bedrijfsvoering, het effect op betrokkenen en de strafmaatregelen van de toezichthoudende autoriteit tot een minimum te beperken.

Populair onderwerp

Aanbevolen

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren
2023

Hoe Cryptocurrency-mijnwerkers in uw webbrowser te blokkeren

Hoe drieweglichtschakelaars werken
2023

Hoe drieweglichtschakelaars werken

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen
2023

Hoe u de eenvoudige, lichtgewicht YouTube Go-app in elk land kunt krijgen

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)
2023

Hoe groepsgesprekken op Facebook te dempen (tijdelijk of permanent)

Handtekeningen maken en wijzigen in Apple Mail op macOS
2023

Handtekeningen maken en wijzigen in Apple Mail op macOS

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen
2023

Hoe u het Dock van uw Mac kunt aanpassen en aanpassen

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken
2023

Hoe u uw mobiele telefoonsignaal gemakkelijk thuis kunt versterken

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo
2023

Hoe je bijna alles bij Amazon kunt bestellen met behulp van de Amazon Echo

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games
2023

Hoe u meer opslagruimte kunt toevoegen aan uw Android TV voor apps en games

Hoe contacten over te zetten tussen Google-accounts
2023

Hoe contacten over te zetten tussen Google-accounts

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen
2023

Hoe u uw iOS-apparaat kunt wissen na te veel mislukte toegangscodepogingen

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi
2023

Zoeken en spelen van terabytes aan retro-games vanaf je bank met Kodi

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat
2023

Automatisch beginnen met opnemen met veel wanneer een deur of raam opengaat

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken
2023

Hoe u tijdbesparende "Hot Corner" -snelkoppelingen op uw Mac kunt maken

Download.com is eindelijk gestopt met het bundelen van crapware
2023

Download.com is eindelijk gestopt met het bundelen van crapware

Een Google-agenda delen met andere mensen
2023

Een Google-agenda delen met andere mensen

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf
2023

Hoe u uw bestanden kunt herstellen van een met BitLocker versleutelde schijf

Hoe offline browsen in Firefox in te schakelen
2023

Hoe offline browsen in Firefox in te schakelen