古语云:“亡羊补牢,犹未为晚”。随着信息化的飞速发展,企业的信息安全正受到日益严峻的挑战,近年来,很多大企业都遭受到了攻击而泄露数据的事故,更何况一些中小企业或个人。最近的iCloud信息泄露事件,不仅“坑到”了众多好莱坞女星,也再一次在信息安全领域拉响了数据危机警报。
企业在受到攻击数据泄露后,尤其是对外部,如果不能正确处理,将导致事态恶化,并对企业品牌、业绩造成二次打击,更有甚者会带来进法律风险。如何有效的处理,这其实是《信息安全管理实施指南》即ISO/IEC17799:2005的最后三个部分的内容:信息安全事故管理、业务连续性管理和符合性。
一、没有外部安全管理团队协助
这是很多企业常犯的错误,对信息安全没有引起足够的重视。有时候数据泄露的严重程度超过了企业自身的处理能力,这时候企业最好能有外部安全服务团队的协助。尤其是对于一些中小企业,在自身技术和实力不够的情况下,犹为重要。
这不仅仅是在事故发生后,需要外部安全管理团队的支持,在日常的信息安全管理过程中,也需要外部安全管理团队提供信息安全方面的建议和信息安全审计。这类服务应当在制定业务连续性/事件响应计划中就予以考虑。
二、没有信息安全的唯一领导
数据泄露往往涉及公司多个部门,而各个部门都有自己的头,一旦发生数据泄露等重大影响的信息安全事故,各部门各自为阵,效率低下。
企业应该成立信息安全委员会,必须有一个首席信息安全官的职位,能够在信息安全事件响应计划中起到总指挥的作用,策划和协调整个灾难恢复过程,确保从公司高层到普通团队成员都随时了解最新进展。
三、缺乏沟通计划
沟通是两方面的,一方面是企业内部的沟通,业务连续性计划团队内部的沟通。另一方面是企业外部的沟通,对消费者、用户或公众的沟通,尤其是媒体的沟通,这可能是对于公众服务的企业适用。
缺乏透明的沟通机制会导致麻烦,而错误的沟通信息将导致错误的行动,这将延误整个事件的处理速度并制造新的混乱。事件响应团队成立后,每个人的职责都需要明确定义,并向外部顾问提供一个完整的联系列表,这在业务连续性计划中定义。
企业应当为数据泄露事件准备一个资料详实,切实可行的媒体沟通计划。快速有效的媒体沟通能避免以讹传讹式的报道。
四、谋定而后动
数据泄露事件往往需要在信息并不完整或者信息快速变化的情况下做出快速反应。企业在数据泄露事件发生的同时就应当启动应急处理流程,等待全面掌握信息再采取行动的做法可能会错过最佳时机。
五、不向消费者提供补救措施
消费者应当永远是信息安全事故的核心,这意味着在发生信息安全事故时,如数据泄露后企业应当尽可能通过各种渠道通知用户采取正确措施保护个人隐私数据,以避免更大的损失。
六、有计划但却无法执行
业务连续性计划一旦建立后,应初期测试并更新,以确保BCP的更新和有效。同时也需确保团队中的所有成员能够知道这个计划,能够明确他们在业务连续性和信息安全中的责任,知道计划启动后他们的角色。这样才能在信息安全事故发生时做到”养兵千日,用兵一时。”
七、没有外部法律顾问
在发生严重的数据泄露事故时,有可能会接收到来自用户或消费者的起诉。除非你的内部法务部门对所有数据隐私相关法律了如指掌,委托一位公司外部的,有数据泄露相关经验的律师几乎是必须的。
八、缺乏事故后的善后计划
很多企业经常”好了伤疤忘了疼“,信息安全事故处理完毕后,应当制定一个善后计划,一方面与顾客和利益相关者保持良好沟通,另一方面,寻找系统脆弱点并积极修复,避免类此事件再次发生。
与客户和投资者分享你在信息安全技术和服务上的投入和改进,这将有助于重建品牌和信任。
有兴趣的朋友也可参考《信息安全管理实施指南》,进一步发现自己企业中在这方面的漏洞,谢谢!