Gran pregunta!
Esta es una pregunta muy importante que debe decidirse de manera MUCHO antes de que necesite la respuesta. La respuesta de su empresa influirá en gran medida en el impacto financiero tanto para la empresa como para la reputación de la empresa (aunque el impacto de la reputación es solo una forma de impacto financiero más largo y más lento, dependiendo de la industria en mi experiencia).
Mi recomendación es establecer un equipo de Respuesta a Incidentes, que esté compuesto por miembros críticos de liderazgo legal, de alto nivel, y lo más crítico del personal de TI central de su negocio (CIO y personal dependiendo del tamaño), para responder esta pregunta. Comenzar por pedir consejo en Internet es, por supuesto, un gran comienzo, sin embargo, la respuesta que este equipo debe proporcionar debería ser mucho mejor.
- ¿Cuál es el mejor antivirus gratuito para Windows 8.1?
- ¿De dónde obtienen sus datos KeywordSpy y otras herramientas de inteligencia competitiva de palabras clave como Spyfu e Ispionage?
- Como administrador del sistema Linux, ¿qué utiliza para mantenerse actualizado con todas las actualizaciones de seguridad y versiones, fallas de seguridad y nuevas tecnologías?
- ¿Cuán seguros son nuestros datos en iCloud?
- Cómo evitar un ataque DDoS
Este equipo debe desarrollar los puntos de contacto de comunicación, los mecanismos de comunicación (¿Twitter? ¿Facebook? ¿Correo electrónico?) Y el nivel de comunicación (¿revelar números? ¿Delinear entre PII y PCI?). Inicialmente, defina una escala creciente de criticidad, comenzando con el acceso no autorizado a la información disponible públicamente, y terminando en algún lugar alrededor de la seguridad nacional, la vida o cualquier otra información catastróficamente dañina comprometida.
El equipo debe comenzar por revisar las obligaciones legales de su residencia política; Se aplica el derecho local, estatal, provincial, nacional e internacional, dependiendo de dónde residan usted y los clientes u otros terceros lesionados. Una vez que se ha compilado esta lista de requisitos de referencia, el equipo debe determinar la voz de la cultura corporativa en la comunicación. ¿Su empresa es conocida por estar involucrada en la experiencia del cliente? O, ¿es conocido por ser tacaño sobre las operaciones? Un experto en relaciones públicas puede ser valioso en este punto. Recuerde, debe tener este equipo desarrollado y todas estas cosas funcionaron mucho antes de tener que preocuparse por una violación.
Espero que esto ayude, mi respuesta más breve es que es una gran pregunta que tendrá que responder a sus mejores compañeros de equipo, y debe responderse lo antes posible.
-Jason