Compte tenu de la probabilité croissante d'une violation de données, les organisations doivent être prêtes à gérer les retombées – tout en minimisant les dommages à leurs clients, finances et réputation. Cela nécessite une planification minutieuse dans le calme d'un environnement pré-abri, pour garantir que des plans et des ressources adéquats sont en place pour gérer une réponse de crise sous pression.
Experian propose trois niveaux de cabinet de conseil en matière de préparation à Data-Freach pour aider les entreprises à explorer les réalités d'une violation de données et à mettre en œuvre des plans pour une réponse efficace et appropriée.
1. Réponse Conscient – Service de préparation gratuit
Ce service gratuit Permet aux entreprises d'établir une relation avec notre équipe spécialisée, des termes et conditions de déconnexion pour les services post-abri et de convenir des tarifs fixes pour ces services, qui comprennent les notifications des consommateurs, les ressources de l'appel et la surveillance de l'identité.
Cela signifie que, en cas de violation de données, nous pouvons simplement fournir une déclaration de travail sur mesure – sans avoir besoin d'approbations contractuelles supplémentaires qui pourraient retarder la réponse – et se lancer rapidement en action. Ce service suit essentiellement rapidement la capacité d'une entreprise à statuer sur nos ressources après une violation.
Nous constatons que ce niveau de service fait appel à deux types d'entreprises. La première est de très grandes organisations qui souhaitent éviter tout processus d'approvisionnement prolongé après une violation, qui pourrait retarder de manière critique une réponse efficace. La seconde est de petites entreprises qui ne peuvent pas se permettre de dépenses financières initiales, mais qui veulent avoir nos ressources sur la main en cas de besoin en crise.
2. Réponse prête – planification de la réponse détaillée
Ici, nous appliquons nos compétences de conseil pour aider les clients à se préparer à une réponse de violation. Nous travaillons ensemble pour développer un plan de réponse structuré, en définissant les processus post-abri du début à la fin. Nous examinons qui doit être impliqué dans la réponse et lorsque – y compris les ressources internes et externes.
Nous nous plongeons dans les processus de notification du client. Quelle est la qualité des données clients disponibles? Où est-il tenu et peut-il être accessible rapidement en cas d'urgence? Quels canaux seront utilisés pour informer les clients – e-mail ou lettre, avis de site Web ou annonce de presse? Il y a des avantages et des inconvénients à chacun, nous devons donc nous assurer que les bons canaux sont déployés pour différents scénarios.
Nous avons mis en place des messages et des modèles pour notifier différents groupes, y compris les employés, les clients, les anciens employés, les détenteurs de pensions et bien d'autres. Nous examinons les ressources et la manipulation des réponses d'appel, évaluant quelles équipes internes ont la capacité d'intensifier et où les ressources externes seront nécessaires. En pensant à tout cela à l'avance, nous nous assurons que les bonnes décisions sont prises et les plans convenus bien avant que toute violation de données ne se produise.
3. Réponse Protect – Préparation approfondie de la récupération de la violation
Notre troisième niveau de conseil comprend des scénarios de bureau, des exercices de simulation et une modélisation des ressources. Dans les scénarios de bureau, nous parcourons le client à travers une réponse de réalisation de données, à partir du moment où ils découvrent d'abord la brèche, par l'assurance et les notifications juridiques et les actions destinées aux consommateurs. En parcourant tout le cycle de vie d'un scénario post-abri, nous identifions où les plans doivent être affinés et où il y a des lacunes de ressources ou de données.
Pour mettre des plans de réponse à l'épreuve, nous exécutons des simulations régulières. Dans ces exercices virtuels, nous passons par une réponse complète post-abri; Nous envoyons des notifications et faisons un petit centre de contact pour gérer les requêtes. C'est plus impactant qu'une procédure de bureau parce que les individus doivent promulguer physiquement les processus en temps réel, comme ils le feraient dans une vraie crise. Les simulations nous permettent de travailler sur différents types de violation, tels que des attaques de ransomwares, des menaces d'initiés, des violations des fournisseurs ou des attaques de déni de service – pour voir comment l'entreprise réagit et où les améliorations sont nécessaires.
L'expertise que nous avons accumulée nous permet également de prévoir les ressources que les clients devront répondre aux violations de données de différentes amplitudes. Notre expérience signifie que nous comprenons les volumes probables des appels entrants après une violation, afin que nous puissions nous assurer que les clients ont un niveau de ressources approprié disponible – sans trop dépenser sur des ressources excédentaires dont ils n'auront pas besoin.
Qui bénéficie d'un conseil avant les abritions?
Les entreprises qui sont confrontées aux plus grands défis pour répondre à une violation de données sont généralement de petites et moyennes entreprises avec une grande clientèle. Avec des ressources internes limitées, il est difficile pour ces entreprises de maintenir des activités commerciales comme d'habitude tout en prenant le travail supplémentaire de notification des clients, de la réponse aux requêtes et de la gestion de la reprise.
Ces sociétés, qui sont peu susceptibles d'avoir une expertise spécialisée en crise-réponse en interne, obtiennent fréquemment le plus de valeur du conseil de violation de données – et d'avoir retenu les ressources en place pour fournir une réponse réussie.
