Um dos seus fornecedores sofrerá uma violação de dados. É um quando, não um se. Eles podem já ter sofrido, mas ainda não sabem. Porquê o marketing lida com muitos dados de clientes, é precípuo saber o que fazer quando uma violação acontece.
Haverá uma violação
em 2023, 61% das empresas relataram uma violação de terceirosde harmonia com um estudo da Prevalent, uma provedora terceirizada de gerenciamento de risco. Isso é um aumento de quase 50% nos 12 meses anteriores e três vezes mais do que em 2021.
Outrossim, essas violações são caras e demoram para serem descobertas. O dispêndio médio de uma violação de dados neste ano é de US$ 4,88 milhões, a maior média já registrada, de harmonia com a Relatório IBM/Ponemon sobre o dispêndio de uma violação de dados de 2024. O tempo médio entre uma violação ocorrer e ser invenção é de 194 dias, segundo o relatório. Outrossim, o tempo médio entre a invenção e a contenção da violação é de 292 dias.
Cá estão exclusivamente algumas das principais violações até agora neste ano:
- A Rússia usou um ataque aos sistemas de e-mail da Microsoft para roubar dados e informações pessoais do governo dos EUA.
- Informações pessoais de aproximadamente 6,5 milhões de clientes do Bank of America foram roubadas pelos sistemas da Infosys McCamish.
- Quase um terabyte de dados foi roubado da Disney via Slack.
“Um problema de segurança com SaaS é a crédito implícita”, disse Paul Shread, editor internacional do The Cyber News do fornecedor de perceptibilidade de ameaças Cyble. “Você convidou o fornecedor para o fundo do seu envolvente.”
O que fazer antes que aconteça
Qualquer empresa de tamanho significativo já tem uma unidade de segurança de TI com políticas e procedimentos para calcular fornecedores. Isso envolve verificar as práticas de segurança dos fornecedores, entender porquê eles lidam com seus dados e prometer que eles sigam seus padrões de segurança e requisitos de tratamento de dados.
Vá mais fundo: IA e segurança são o foco das últimas aquisições da Salesforce
Se você for uma empresa menor, essa “unidade” de segurança de TI deve ser uma pessoa em pessoal no seu departamento de TI. Se isso estiver além do escopo de expertise da sua equipe, portanto você provavelmente deve terceirizar sua função de TI.
“Quando você estiver fazendo a integração de um fornecedor, observe certas padronizações de regulamentações de conformidade e configure-as da maneira correta”, disse James Alliband, dirigente de marketing da Risk Ledger, uma provedora de soluções de gerenciamento de risco da prisão de suprimentos. “Pergunte a eles qual é a melhor prática para prometer que o software esteja sendo executado de forma segura e patível.”
Outras etapas incluem:
- Usando autenticação multifator.
- Manter um inventário preciso dos fornecedores.
- Determinando se você precisa de seguro cibernético para ocultar o dispêndio de danos financeiros.
- Colete exclusivamente os dados que você realmente precisa e não os guarde por mais tempo do que o necessário.
- Limitar o número de funcionários com chegada àqueles que realmente precisam.
- Criptografando dados.
“O melhor que você pode Sua visita nos ajuda a continuar oferecendo o melhor para você! é manter boas práticas de segurança para limitar os danos: controle de chegada fundamentado em funções, controle de dispositivos, registro, monitoramento, MFA, segmentação, criptografia, feitio”, disse Shread.
Por termo, se você ainda não tem um projecto de resposta a incidentes, obtenha um. A Percentagem Federalista de Transacção tem vários recursos úteis para isso.
A primeira coisa a fazer
Na maioria dos casos, o fornecedor notificará você por e-mail. Você deve agir mal ele chegar.
“Informe sua equipe de segurança ou a pessoa importante que gerencia o software”, disse Alliband. “Deixe-os saber o que aconteceu, qual é o e-mail, encaminhe o e-mail para eles.”
Quanto mais você esperar, maior será o problema. Para isso, certifique-se de ter as informações de contato disponíveis o tempo todo.
Alliband disse para não presumir que a equipe de segurança saiba quais dados estão naquele pedaço de software ou a que ele se conecta. Logo, a segunda coisa é obter essas informações (se você ainda não as tiver) e passá-las adiante.
“Deixe-os saber qual é a solução, quais dados estão lá, se há certas coisas que são confidenciais lá”, ele disse. “Dê a eles um escopo completo do que é isso e rapidamente os eduque sobre isso e quem tem chegada aos dados internamente também.”
Estabeleça linhas de notícia claras com o fornecedor
Uma pessoa precisa ser responsável pela notícia com o fornecedor, caso contrário, a confusão reinará. Essa pessoa pode ser da Infosec, mas pode querer que seja alguém da sua equipe que conheça muito a solução.
A primeira coisa a fazer é confirmar se o fornecedor está protegendo os dados. Porquê fazer isso deve estar no seu projecto de resposta a incidentes. Acompanhe-os regularmente sobre isso.
Revise o contrato
Há momentos nos negócios em que um jurisconsulto é necessário. Oriente é, com certeza, um deles. Revise o contrato com um perito jurídico. Ele pode orientá-lo nas partes legais, e você pode ajudá-lo com as partes técnicas. O contrato deve ter um requisito de notificação de violação de dados e, possivelmente, qual remediação é necessária do fornecedor.
Violações de dados colocam muito estresse no relacionamento fornecedor-cliente. É precípuo que você possa prometer que o fornecedor esteja cumprindo com suas obrigações.
Defina expectativas claras para os próximos passos
Quando ocorre uma violação de dados, é crucial estabelecer um caminho evidente para o porvir. Cá estão algumas coisas a considerar.
Teste de auditoria profunda
Isto é precípuo para:
- Identificar a razão raiz da violação.
- Avaliando a extensão totalidade dos danos.
- Desenvolver estratégias para prevenir incidentes futuros.
Cooperação de fornecedores
A disposição do seu fornecedor em trabalhar com você determinará para onde o relacionamento vai. A cooperação deles deve incluir:
- Fornecer chegada totalidade aos sistemas e dados relevantes.
- Alocar recursos necessários para a auditoria.
- Compartilhando todas as informações pertinentes de forma transparente.
Ser relutante ou resistente a isso é um grande sinal de alerta. Por outro lado, um comprometimento com a cooperação e a transparência significa que você tem uma boa parceria.
Aprofunde-se: Leis de privacidade de dados dos estados dos EUA: o que você precisa saber
Notificar clientes
O pior cenário é que seus clientes descubram sobre essa violação pela prelo antes de ouvirem sobre ela de você. No final, todas as empresas vendem o mesmo resultado: crédito. Seus clientes devem ser informados o mais rápido provável, com o sumo de informações provável. Não espere até ter todas as informações sobre a remediação. Diga a eles o que você sabe e quais etapas você está planejando tomar. Quando tiver informações substanciais, passe-as adiante.
Mantenha contato mesmo que não haja novidades, para que eles saibam que você não os esqueceu.
Depois a violação
Mesmo que a violação tenha ocorrido externamente, há várias coisas a serem feitas internamente para mourejar com ela.
- Determine o tamanho da violação: você precisa saber quantos clientes foram afetados e quantos dos seus sistemas foram comprometidos.
- Notifique as Sua visita nos ajuda a continuar oferecendo o melhor para você! governamentais corretas: Dependendo do seu setor e localização, pode ser necessário entrar em contato com as autoridades policiais, reguladores ou o Procurador-Universal do Estado.
- Encontre a razão raiz: A violação identificou uma fraqueza no seu sistema. Encontre-a e conserte-a.
- Revise os processos de segurança: Solitaire nos ensina que é Sua visita nos ajuda a continuar oferecendo o melhor para você! fazer tudo visível e ainda perder. Reserve um tempo para revisar os processos e deslindar se você fez tudo visível.
- Documente o incidente: Por razões legais e revisão interna, é importante documentar o sumo provável. Faça isso em tempo real, incluindo notícia eletrônica e verbal com os fornecedores, clientes e instituições governamentais. Isso ajudará no processo de revisão de segurança.
“O mais importante é proteger totalmente os relacionamentos com os clientes, mas também não cause pânico desnecessário, porque isso pode consumir muito tempo dos clientes”, disse Alliband. “Tantas violações de dados acontecem das quais os clientes nunca ouvem falar porque eles não foram realmente afetados pela violação em si.”
Tags:
Crédito: Natividade Original