आपके व्यवसाय को डेटा उल्लंघन प्रतिक्रिया योजना की आवश्यकता क्यों है

जबकि इंटरनेट का उपयोग करने वाला कोई भी व्यवसाय डेटा उल्लंघन का अनुभव कर सकता है, छोटे व्यवसाय विशेष रूप से कमजोर होते हैं क्योंकि उनके पास सुरक्षा के लिए सीमित संसाधन हैं। फिर भी, एक छोटे से व्यवसाय के मालिक को वापस बैठने की जरूरत नहीं है और आपदा के लिए आपदा की प्रतीक्षा करनी चाहिए। वे डेटा उल्लंघन प्रतिक्रिया योजना बनाकर अपनी फर्म को पहले से तैयार कर सकते हैं।

एक प्रतिक्रिया योजना का उद्देश्य

एक डेटा उल्लंघन प्रतिक्रिया योजना उल्लंघन का पता लगाने के बाद एक रोडमैप प्रदान करता है।

यह एक समय बचाने और तनाव में कमी उपकरण है। एक बार आपकी योजना हो जाने के बाद, आपको प्रत्येक बार उल्लंघन होने पर क्या करना है, यह तय करने के लिए समय और ऊर्जा बर्बाद नहीं करनी पड़ेगी। आप बस उन चरणों का पालन करें जिन्हें आपने पहले से स्थापित किया है। एक अच्छी तरह से विचार-विमर्श प्रतिक्रिया योजना आपको संकट मोड में कार्य करते समय गलत तरीके से होने वाली समस्याओं से बचने में मदद कर सकती है।

एक प्रतिक्रिया योजना के तत्व

प्रभावी होने के लिए, डेटा उल्लंघन प्रतिक्रिया योजना में निम्नलिखित शामिल होना चाहिए:

• उल्लंघन की परिभाषा
• प्रतिक्रिया टीम के सदस्यों की एक सूची
• उल्लंघन को संभालने के लिए कार्रवाई कदम
• एक अनुवर्ती प्रक्रिया

एक उल्लंघन परिभाषित करना

एक प्रतिक्रिया योजना विकसित करने में एक महत्वपूर्ण कदम यह तय करना है कि उल्लंघन का क्या गठन होता है। यही है, किस तरह की घटनाएं आपकी योजना को सक्रिय करेगी? फ़िशिंग ईमेल जैसी कुछ घटनाओं का आपके कंपनी के संचालन पर बहुत कम या कोई प्रभाव नहीं पड़ सकता है। अन्य, एक ransomware संक्रमण या सेवा हमले से इनकार करने की तरह, एक गंभीर व्यवधान का कारण बन सकता है।

जबकि उल्लंघन की परिभाषा एक योजना से दूसरे में भिन्न हो सकती है, इसमें आम तौर पर ग्राहकों, मरीजों, ग्राहकों या कर्मचारियों के बारे में संवेदनशील जानकारी वाले इलेक्ट्रॉनिक डेटा फ़ाइलों की चोरी या घुसपैठ शामिल होती है। इसमें पेटेंट, व्यापार रहस्य, और अन्य बौद्धिक संपदा जैसे संवेदनशील कंपनी की जानकारी के किसी भी चोरी (या प्रयास की चोरी) भी शामिल होनी चाहिए।

आपकी प्रतिक्रिया टीम

आपकी प्रतिक्रिया योजना को आपकी प्रतिक्रिया टीम के सदस्यों की पहचान करनी चाहिए। ये वे व्यक्ति हैं जो उल्लंघन होने पर आपकी प्रतिक्रिया योजना करेंगे। उन्हें भरोसेमंद कर्मचारी होना चाहिए जो आपके व्यवसाय से परिचित हैं। उन्हें टीम के सदस्यों के रूप में अपनी जिम्मेदारियों को गंभीरता से लेना चाहिए।

आपकी टीम का आकार और इसकी संरचना कई कारकों पर निर्भर करती है। इनमें आपकी कंपनी का आकार, जिस उद्योग में आप काम करते हैं, और आपके व्यवसाय की जटिलता शामिल है। कई कंपनियों में प्रतिक्रिया टीम में निम्नलिखित क्षेत्रों में से प्रत्येक से कम से कम एक प्रतिनिधि शामिल होता है:

• मानव संसाधन
• सूचना प्रौद्योगिकी या डेटा सुरक्षा
• संचार
• जोखिम प्रबंधन
• कानूनी
• वरिष्ठ प्रबंधन

आपके कर्मचारियों के लिए अकेले संभालने के लिए कुछ डेटा उल्लंघनों बहुत बड़े या बहुत जटिल हो सकते हैं। इन घटनाओं से निपटने के लिए आपकी टीम को बाहरी विशेषज्ञों की मदद की आवश्यकता होगी। इन बाहरी सलाहकारों को आपकी प्रतिक्रिया योजना में पहचाना जाना चाहिए। उनमें वकील, कानून प्रवर्तन कर्मियों, और डेटा सुरक्षा या वसूली विशेषज्ञ शामिल हो सकते हैं।

आपकी योजना के कार्यवाही कदम

आपकी प्रतिक्रिया योजना को आपके प्रतिक्रिया टीम के सदस्यों के लिए चरण-दर-चरण निर्देश प्रदान करना चाहिए कि डेटा उल्लंघन होने पर क्या करना है। प्रत्येक सदस्य को एक भूमिका नियुक्त की जानी चाहिए जो उसकी विशेषज्ञता को दर्शाती है।

उदाहरण के लिए, यह निर्धारित करने की ज़िम्मेदारी कि डेटा सुरक्षा कर्मचारी को उल्लंघन कैसे किया जाना चाहिए। इसी प्रकार, बीमाकर्ता को सूचित करने का कार्य जो आपकी साइबर देयता नीति जारी करता है उसे जोखिम प्रबंधन कर्मचारी को सौंपा जाना चाहिए। इस योजना को आपकी टीम को उल्लंघन का विश्लेषण करने, यह निर्धारित करने के लिए कि क्या गलत हुआ, नुकसान को सीमित करें, और भविष्य में होने वाली समान घटनाओं को रोकने के लिए जो भी सुधार की आवश्यकता है, उसे सक्षम करना चाहिए।

आपके प्रतिक्रिया टीम के सदस्यों को उल्लंघन के बाद किए गए सभी कार्यों को ध्यान से दस्तावेज करना चाहिए। यह कई कारणों से महत्वपूर्ण है। सबसे पहले, रिकॉर्ड सत्यापित करेंगे कि टीम के सदस्यों ने आपकी योजना में उल्लिखित निर्देशों का पालन किया है। दूसरा, जब आप अपना पोस्ट-ब्रेच मूल्यांकन कर रहे हों तो दस्तावेज मूल्यवान जानकारी प्रदान करेगा।

तीसरा, राज्य या संघीय प्राधिकरणों द्वारा रिकॉर्ड की आवश्यकता हो सकती है यदि उल्लंघन में कानून द्वारा संरक्षित डेटा शामिल है। कुछ प्रकार की व्यक्तिगत पहचान योग्य जानकारी (जैसे कि क्रेडिट कार्ड नंबर या स्वास्थ्य जानकारी) राज्य या संघीय गोपनीयता कानून के अधीन हैं। यदि आप अपने कंप्यूटर सिस्टम पर ग्राहकों, मरीजों या कर्मचारियों के बारे में संवेदनशील डेटा संग्रहीत करते हैं और जानकारी से समझौता किया जाता है, तो आपको कानून के अनुसार उन व्यक्तियों को सूचित करने की आवश्यकता हो सकती है जिनके डेटा का उल्लंघन किया गया है। आपको किसी राज्य या संघीय एजेंसी को उल्लंघन की रिपोर्ट करने की भी आवश्यकता हो सकती है। कई कानून अधिसूचना के लिए समय सीमा निर्दिष्ट करते हैं। अधिसूचना आवश्यकताओं, जिनमें अधिसूचित होना चाहिए और समय अवधि अनिवार्य है, को आपकी प्रतिक्रिया योजना में बताया जाना चाहिए।

जाँच करना

एक बार आपकी योजना पूरी तरह लागू हो गई है और उल्लंघन निहित किया गया है, तो आपको अपनी प्रतिक्रिया टीम के साथ एक डेब्रीफिंग सत्र आयोजित करना चाहिए। सभी सदस्यों से उनके द्वारा उठाए गए कदमों और प्रक्रिया से सीखने वाले पाठों के माध्यम से भागने के लिए कहें। सदस्यों को जिस तरह से सामना करना पड़ा वह किसी भी समस्या का वर्णन करना चाहिए ताकि योजना आवश्यकतानुसार समायोजित की जा सके।