Neden bir şirket potansiyel bir veri güvenliği olayının farkına vardığında, üzerinde çalışan ekip (ve “bir şeyler” olduğunun farkına varılan diğer kişiler) şirketin sonunun geldiğine dair anında ve karşı konulmaz bir duyguya kapılıyor? Peki yine de, etik soruşturması gibi başka türde yüksek riskli bir olay olduğunda, aynı kıyamet duygularına neden olmuyor mu?
Bu, hazırlık eksikliği olduğunda meydana gelir, ancak hepimiz olaya müdahale sırasında sıcaklığı düşürmek için uygulanabilir adımlar atmayı ve hem başkalarına hem de kendimize konuyu yeniden çerçevelendirmeye yardımcı olmayı seçebiliriz.
Hazırlık çok önemlidir
Güvenilir iç ve dış ilişkiler kuranlar, zorlu kararları planlayanlar ve şirket için neyin en önemli olduğunu anlayanlar, bir siber güvenlik olayını varoluşsal bir kriz olarak algılanmadan etkili bir şekilde yönetebilecektir.
Bizim görüşümüze göre, işletmeler etkili hazırlığı iki genel kategoriye ayırabilir:
1. Ekip odaklı planlama (yani ilişki kurma) ve
2. Süreç odaklı planlama (yani bilgi toplama ve şirketin yeteneklerinin hem makro hem de mikro düzeyde geliştirilmesi ve test edilmesi).
Aşağıda şirketlerin bu metodolojiye dayanarak atabileceği adımları özetledik.
1. Ekip odaklı planlama
İlişkiler ve güven oluşturun
Hukuk ve BT güvenliği departmanlarındaki siber güvenlik profesyonelleri, bir veri güvenliği olayı üzerinde çalışırken kilit rollere sahiptir, ancak çoğu zaman önceden güvenilir bir ilişki kurmakta başarısız olurlar. Bu üzücü çünkü birbirlerine güvendiklerinde ve diğerlerinin oynayacağı rolleri anlayıp takdir ettiklerinde, tepki süreci çok daha sorunsuz oluyor ve şirkete yönelik riskleri azaltıyor.
Odaklanmış bir operasyonel masa üstü tatbikatı, sorumlulukları netleştirmenin ve bir olay sırasında her grubun sorumlu olacağı belirli adımlar üzerinde çalışmanın bir yoludur. Aramaları kim organize edecek? Adli tıp uzmanına kim ulaşacak ve onlar nasıl elde tutulacak? Kolluk kuvvetleriyle kim iletişime geçecek ve bu karar nasıl verilecek?
(Hukuk ve BT güvenlik personeli uyum sağladıktan sonra, bir olay sırasında sizinle ortak olabilecek diğer işlevlerle (insan kaynakları, halkla ilişkiler ve finans gibi) aynı tartışmaları yapmak çevrenin genişletilmesine yardımcı olur.)
Bu tartışmalar sırasında hukuk ve BT güvenlik personeli, diğerlerinin bir plan olduğunu anlamalarına yardımcı olabilir ve ayrıca bir olayın yaşam döngüsünü açıklayabilir. “İşte burada başlıyoruz” ve “işte nereye gidiyoruz” şeklinde açıklama yaparak olaya müdahalenin gizemi ortadan kaldırılabilir ve bu önceden belirlenmiş açıklamalar, gerçek bir olay sırasında mantıksal adımlar ve disiplinle sonuçlanabilir.
Şirketinizden kimlerin işe alınacağı üzerinde çalışmak ve onlarla güvenilir ilişkiler kurmak bulmacanın yalnızca bir parçasıdır. Şirketler, kolluk kuvvetleri, kriz iletişim firmaları, adli tıp müfettişleri ve dışarıdan hukuk müşavirleriyle dış ilişkiler de kurmaya çalıştıklarında, bir olaya müdahale etmek için en iyi konumdadırlar.
Tedarikçilerinizi etkileyen olaylar şirketinizde önemli aksaklıklara neden olabileceğinden, bu aynı zamanda ana tedarikçilerinizle bu ilişkileri kurduğunuzdan ve anladığınızdan emin olmanızı da kapsar.
Karar vericileri ve karşı çıkanları belirleyin
Bir olay devam ederken, kimin önemli kararları verme yetkisine sahip olduğunu bilmek çok önemlidir.
Tavsiyelerde bulunan (çoğunlukla çelişkili) pek çok insan olacak ve bazıları eleştirecek ancak hiçbir çözüm sunmayacak. Gerçek karar vericilerin bu statiği nasıl filtreleyeceklerini ve karar vermek için kime ve neye güveneceklerini bilmeleri gerekir.
Ayrıca, kilit kararların o dönemde bilinen bilgilere dayanarak iyi niyetle alındığını ve olay müdahalesinin çoğunlukla eksik veya kusurlu bilgilerle ilgili olduğunu anlayarak nasıl sağlanacağını ve belgeleneceğini bilmek için hukukla ortaklık kurmuş olmaları da iyi bir hizmettir. Üzerinde düşünülmesi gereken temel kararlar şunları içerir:
- Şirketin potansiyel olarak etkilenen sistemleri çevrimdışına alıp almadığına kim karar verecek?
- Şirketin medyaya mı yoksa müşterilere mi açıklama yapacağına kim karar verecek?
- Kim her şeyi açıklığa kavuşturacak ve normal iş operasyonlarının devam edebileceğini söyleyecek?
Bu yüksek riskli kararları sürekli değişen ve çoğunlukla sınırlı bilgilerle uygulamak kritik öneme sahiptir. Bunları yapmayı planlamak ve lojistik zorlukları (örneğin, yönetimin zaman dilimlerine dağılabileceği küresel ve merkezi olmayan işletmelere sunulanlar) hesaba katmak fırtınayı sakinleştirebilir.
2. Sistem odaklı planlama
İşinizi tanıyın, potansiyelinizi ve sayısız yükümlülüklerinizi belirleyin
Şirketiniz için önemli coğrafyalar hangileri? Temel düzenleyicileriniz kimler? Pek çok ülke ve ABD’deki Menkul Kıymetler ve Borsa Komisyonu (SEC) gibi sektörel düzenleyiciler, vakaları raporlama süresini daraltırken aynı zamanda raporlanabilir vakayı ve olay sonrası soruşturmalarını da genişletiyor. Hazırlanmak, mevcut bildirim gereksinimleri ve beklentilerini takip etmek ve şirketinizin faaliyetlerini, işlenen verileri ve şirketinizin dijital ekonomide nasıl rol oynadığını anlamak.
Kimler etkilendi ve operasyonlarınızın kapanmasının etkisi nedir? Bu sorunlarla nasıl başa çıkacağınızı şimdiden planlamaya başlayın; böylece bir olay meydana geldiğinde, riskleri değerlendirmek ve olayı kime rapor edeceğinizi belirlemek için atacağınız ayrı adımları bilirsiniz. Bunları düşünürken listeleyebilmeniz, önemli bir olay meydana geldiğinde işleri yolunda tutmanıza yardımcı olacaktır.
Her testten ve olaydan ders alın
Şirketinizin olay müdahale planına aşina olun ve işe yarayıp yaramadığını öğrenin önce bir olay yaşanıyor.
Hukuk ve BT güvenlik departmanları, ister yanlış yönlendirilmiş bir e-posta ister kaybolan bir dizüstü bilgisayar olsun, her gün ortaya çıkan veri sorunlarını gerçek hayattaki test senaryoları olarak kullanmalıdır. Bunlar teknik ve operasyonel adımlar hakkında konuşmak için fırsatlardır ve bunlardan elde edilen bilgiler daha büyük ölçekli olaylarda yankı bulacaktır. Bir e-posta yanlış kişiye gittiğinde verilerin etkilenip etkilenmeyeceğini nasıl değerlendireceksiniz? Bir şirketin dizüstü bilgisayarında olmasını beklediğiniz teknik kontrolleri nasıl düşüneceksiniz? Ekibinizin yanıt vermeye hazır olma durumunu geliştirmek için bu anları kullanın.
Çözüm
Yukarıda açıklanan hükümler, gerçek dünyadaki olay müdahale süreçlerine bir miktar netlik (ve akıl sağlığı) getirmek için herkesin şimdi atabileceği önemli adımlardır.
Bir olay meydana geldiğinde hâlâ kaya ile sert yer arasında seçim yaptığınızı hissedebilirsiniz, ancak bu seçimi nasıl yapacağınızı bilmek ve süreçte ortaklarınıza güvenmek, olayı bir “günlerin sonu” olarak görmemenize yardımcı olabilir. etkinlik. Doğru planlamayla hepimiz veri güvenliği olaylarına varoluşsal krizler olarak değil, yönetilebilir iş riskleri olarak bakmaya başlayabiliriz.
Katkıda bulunan yazar: Linda Clark, Morrison Foerster’ın Gizlilik + Veri Güvenliği Grubu Ortağı