ハッカーによる侵入を引き起こすセキュリティインシデントの発生は, 間違いなく, 今日、どの企業にとっても最大の悪夢の一つ. ビジネスへの即時の影響に加えて, 法的および reputationalな影響は数ヶ月または数年にわたって続く可能性があります. ブラジルでは, 一般データ保護法(LGPD)は、企業がそのような事件が発生した後に従うべき一連の要件を定めている
最近のFederasulの報告によると – リオグランデドスul企業団体連盟 -, ブラジルの企業の40%以上が何らかのサイバー攻撃の標的になったことがある. しかし, 多くの企業は、LGPDによって定められた法的要件を満たすのにまだ苦労しています. 国家データ保護機関(ANPD)のデータによると、侵害を受けた企業のうち公式に事件の発生を報告したのは約30%に過ぎない. この不一致はさまざまな要因に起因する可能性があります, 意識の欠如を含む, コンプライアンスプロセスの複雑さと企業の評判に対する悪影響の恐れ
事件の翌日:最初の一歩
ハッカー侵入の確認後, 最初の対策は、事故を抑制してその拡大を防ぐことです. これには影響を受けたシステムを隔離することが含まれます, 不正アクセスを遮断し、損害制御措置を実施する
並行して, インシデント対応チームを編成することは重要です, 情報セキュリティの専門家が含まれるべきこと, ITプロフェッショナル, 弁護士とコミュニケーションコンサルタント. このチームは一連の意思決定を担当します – 主に翌日のビジネスの継続に関わるもの
LGPDに関するコンプライアンスの観点から, インシデント対応中に行ったすべての行動を文書化する必要があります. この文書は、企業が法的要件に従って行動したことの証拠として機能し、ANPDによる監査や調査において使用される可能性があります
最初の日々, 対応チームは侵入の起源を特定するために詳細なフォレンジック分析を実施する必要があります, ハッカーによって使用される手法と侵害の範囲. このプロセスは、攻撃の技術的側面を理解するためだけでなく、重要です, しかし、事件を適切な当局や保険会社に報告するために必要な証拠を収集するためでもあります – 企業がサイバー保険を契約している場合
ここには非常に重要な側面があります:フォレンジック分析は、攻撃者がまだ企業のネットワーク内にいるかどうかを判断するためにも役立ちます – 状況が, 残念ながら, とても一般的です, さらに、事件後に企業が犯罪者が盗んだ可能性のあるデータの開示を通じて何らかの形の金銭的脅迫を受けている場合はなおさらです
さらに, LGPD, あなたの第48条で, データ管理者は、データ主体に対して、データ主体に重大なリスクや損害をもたらす可能性のあるセキュリティインシデントの発生について、国家データ保護機関(ANPD)および影響を受けたデータ主体に通知することを要求される. このコミュニケーションは合理的な期間内に行われるべきです, ANPDの特定の規制に従って, データに影響を与える性質に関する情報を含める必要があります, 関与している当事者, データ保護のために使用される技術的および安全対策, インシデントに関連するリスクと、損害の影響を逆転させるために採用された、または採用される予定の対策
この法的要件に基づいて, それは不可欠です, 初期分析の後すぐに, LGPDに記載されているすべての情報を含む詳細な報告書を準備する. それに対して, フォレンジック分析は、データの抽出や盗難があったかどうかを判断するのにも役立ちます – 犯罪者が最終的に主張している範囲で
この報告書は、ANPDに提出される前に、コンプライアンスの専門家と会社の弁護士によってレビューされるべきです. 法律はまた、企業が影響を受けたデータの主体に対して明確かつ透明なコミュニケーションを行うことを定めている, 発生した事象の説明, 個人データの保護を確保するために講じられた措置と今後のステップ
透明性と効果的なコミュニケーション, ちなみに, セキュリティインシデント管理における基本的な柱です. 管理は内部および外部のチームとの継続的なコミュニケーションを維持する必要があります, すべての関係者が行動の進捗と今後のステップについて情報を得られるように保証する
セキュリティポリシーの評価は必要な行動である
利害関係者とのコミュニケーションと並行して, 企業はそのセキュリティポリシーと実践の評価および見直しプロセスを開始する必要があります. これはすべてのセキュリティコントロールの再評価を含みます, アクセス, 高レベルのアクセス権を持つ認証情報, 将来の事故を防ぐための追加措置の実施
影響を受けたシステムとプロセスの見直しと分析と並行して, 企業は焦点を当てるべきです, また, システムの回復とその運用の復元において. これは影響を受けたすべてのシステムのクリーンアップを含みます, セキュリティパッチの適用, バックアップの復元とアクセス制御の再検証. システムが再稼働する前に完全に安全であることを保証することが不可欠です
システムが再び稼働するようになったら, インシデント後のレビューを実施して、学んだ教訓と改善点を特定する必要があります. このレビューはすべての関連部分を含むべきであり、事件の原因を強調した最終報告書を作成することになる, 取られた措置, 企業のセキュリティ姿勢を将来改善するための影響と推奨事項
技術的および組織的な行動に加えて, セキュリティインシデントの管理には、ガバナンスとセキュリティ文化に対するプロアクティブなアプローチが必要です. これは、サイバーセキュリティの継続的な改善プログラムの実施と、安全性とプライバシーを重視する企業文化の促進を含みます
セキュリティインシデントへの対応には、調整された計画的な一連の行動が必要です, LGPDの要件に沿った. 初期の封じ込めと利害関係者とのコミュニケーションから、システムの回復およびインシデント後のレビューまで, 各ステップは、ネガティブな影響を最小限に抑え、法的遵守を確保するために不可欠です. それ以上のこと, 正面から欠点を見つめ、それを修正する必要がある – 何よりも, インシデントは企業のサイバーセキュリティ戦略を新たなレベルに引き上げるべきである
