De fleste virksomheder vil opleve et brud eller en sårbarhed, der udsætter følsomme data. Hvordan man minimerer indvirkningen på forretningen og omdømmet afhænger i høj grad af hvor gennemarbejdet en reaktionsplan man har før hændelsen indtræffer.
At være den første til at bringe nyheden om en sikkerhedshændelse, kan også betyde at du ikke har det fulde billede af hændelsens karakter eller dine talsmænd ikke fuldt ud forstår situationen og formidler forkerte oplysninger, der ofte ikke let kan afhjælpes. I denne 24/7 nyhedsverden kan det at være for kommunikativ for tidligt i processen og bringe unødvendig kontrol til dit sikkerhedsproblem. Du ønsker ikke at være den første til at kommunikere, eller den sidste. Der er altid en mellemvej af kommunikation, der bør følges ved meddelelser af hændelser.
Det er derfor klogt at have en plan på plads for, hvordan organisationen skal reagere og kommunikere på et brud.
Kend din cyberforsikringsbærers brudprocesser
Først og fremmest koordiner og aftal med organisationens forsikringsselskab før et brud opstår for at sikre, hvilken proces dine forsikringsselskaber ønsker, der bliver fulgt, hvis en hændelse opstår. Forsikringsselskabet bør være en af de første, der kontaktes, når der er mistanke om et brud. Forsikringsselskabet kan også have kommunikationseksperter, der enten vil hjælpe med kommunikationsprocessen eller være dine talsmænd under og efter forløbet.
Hav en kommunikationsplan på plads
Identificer hvem der vil repræsentere virksomheden, når et brud opstår. Få en skabelon udarbejdet af den meddelelse, der ønskes præsenteret. Sørg for at kommunikationen om, hvad virksomhedens kunder og kunder skal forvente efter et brud opstår, er skarp og klar. Følg vejledningen fra cyberforsikringsudbyderen og advokater vedrørende kommunikation på kundevendte websteder og PR-meddelelser. Når der opstår en meddelelse om brud, skal der overvejes opfølgningskommunikation, der kan være nødvendig, efterhånden som situationen ændrer sig.
Forstå de relevante retningslinjer og bestemmelser for underretning om overtrædelse
I USA, ransomware har ramt så hårdt, at lovgiverne er begyndt at træffe foranstaltninger for at sikre bedre kommunikation og undersøgelse. Her kræves en streng 24-timers grænse for rapportering ransomware betalinger for virksomheder med mere end 50 ansatte, specifikt: “senest 24 timer efter opdagelsen af en ransomware operation, der kompromitterer, er rimeligt tilbøjelige til at gå på kompromis, eller på anden måde væsentligt påvirker udførelsen af en kritisk funktion af en føderal agentur eller dækket enhed, den føderale agentur eller dækket enhed, der opdagede ransomware operation skal indsende en ransomware meddelelse til systemet.” Vær forberedt på at få en meget kortere anmeldelsesproces. Selvom der måske ikke er den samme lovgivning I EU endnu, så kan den offentlige ”domstol” være hård og betyde tab af kunder, hvis de føler der mangler information og åbenhed.
Hav et program til afsløring af sårbarhed på plads
En anden proces, du bør gennemgå på forhånd, er et program til offentliggørelse af sårbarheder og hændelser. Efterhånden som flere virksomhedsoplysninger er placeret på internettet og kundesider, du ofte ikke har ressourcer til fuldt at kortlægge og identificere i forhold til sikkerhedshuller, der kan været uforvarende udsat.
Køreplanen for modernisering af organisationen
Større virksomheder har bug bounty programmer, men de fleste af os ikke har sådanne programmer og er derfor afhængige af tredjeparts bug bounty programmer såsom Zero Day, der koordinerer indsatsen, når der er en hændelse.
Overvej penetrationstesttjenester
Man bør stærkt overveje at investere i en penetrationstest af it-systemerne og flere virksomheder har længe brugt penetrationstest teams eller røde hold som det hedder til at styrke deres forsvar.
Vigtigst er at gennemgå virksomhedens processer til håndtering af sikkerhedsproblemer og brud. Sørg for at du har etablerede processer på plads til at håndtere et brud. Vid at det ikke handler om, hvis et brud vil forekomme, men hvornår.
Kilde: CSOonline