Mejores prácticas para el reporte de violaciones de datos y seguridad
Los tiempos de respuesta al público ante las brechas de seguridad de Target y Neiman Marcus fueron muy diferentes. Joseph Granneman lo explica mejor y ofrece algunas recomendaciones.
He visto dos enfoques por separado, adoptados recientemente para la remediación de una violación de datos. Por un lado, el gerente general de Target al momento de la brecha fue muy franco y la compañía ha estado comunicándose activamente con los clientes afectados desde que se descubrió la infracción. Por otro lado, la CEO de Neiman Marcus, Karen Katz, esperó varios días para emitir una declaración pública después de que se confirmaron los rumores de una brecha en su empresa. En general, ¿cómo usted, como CISO, asesoraría a un director general respecto a manejar una brecha públicamente? ¿Hay algo que aprender de estos dos ejemplos?
Hay varios factores que contribuyen a la rapidez con la que una empresa puede reportar una violación de datos que hay que tener en cuenta al comparar estos dos incidentes. Las circunstancias de cada violación de datos son únicos, por lo que no es justo comparar o examinar las respuestas de una empresa sin el conocimiento de primera mano de cada incidente. Neiman Marcus pudo no haber tenido toda la información necesaria para salir al público, por ejemplo. La exactitud de lo que se informa al público es tan importante como la puntualidad del informe. Puede llevar mucho tiempo identificar el punto de entrada y el número de registros o dispositivos que se han comprometido. Aplicar la ley puede requerir una demora en la notificación hasta que se tenga más información también sobre los autores.
La desafortunada realidad de hoy en día es que hay una buena probabilidad de que ocurra una brecha de datos. Es ingenuo para una organización operar con el modo de pensar que sus sistemas son impenetrables y de que todos sus datos están siempre completamente protegidos, porque es un entorno de riesgo en constante cambio. Las organizaciones mejor preparadas han aceptado esta nueva realidad y han desarrollado planes de respuesta formales ante incidentes para cuando se produzca una violación de datos.
Un plan de respuesta a incidentes bien pensado es fundamental para la capacidad de una organización de navegar a través de todas las acciones requeridas durante un incidente de seguridad. El plan de respuesta a incidentes debe guiar a la organización a través de cada fase de la respuesta a una violación de datos, incluyendo el descubrimiento, la investigación, la mitigación, la comunicación y el procesamiento.
Debe tener roles definidos para cada miembro del equipo de respuesta a incidentes, incluyendo la supervisión, las relaciones públicas, las finanzas y los equipos técnicos. Estos roles permitirán a la organización responder lo más rápido y preciso posible, dada la gran variedad de posibles incidentes de violación de datos.
Hay demasiados factores que juegan en la rapidez con que una organización comunica una violación de datos al público para hacer comparaciones entre las respuestas. Las organizaciones mejor preparadas utilizan un plan de respuesta a incidentes como su libro de jugadas durante una investigación de violación de datos. Prefiero juzgar a una organización por lo bien que su plan de respuesta a incidentes la ayudó a través del incidente que por el tiempo que toma para reportar el incidente. Las organizaciones que merecen un examen más detallado son las que están haciendo caso omiso de la realidad del entorno de las amenazas modernas y no cuentan con ningún plan de respuesta a incidentes.