El control de daños es bastante amplio, por lo que en realidad quisiera que los clasificara más, por ejemplo, pregunte:
¿Qué información necesita la compañía para evitar una infracción?
Idealmente, nadie quiere ser violado, o como mínimo queremos que nuestro tiempo de reacción sea tan bueno como para limitar el daño. Esto puede ser seguimiento de ubicación, seguimiento de tiempo de uso, seguimiento de hábitos, nombre de usuario / contraseña estándar con 2FA, uso de dispositivos, políticas, etc.
Esto es algo que una empresa hace activamente para:
- Avisar de posibles problemas
- Interactúe con sus clientes de forma segura
- Desarrolle aplicaciones de forma segura
¿Qué información necesita la empresa para resolver la infracción?
El adagio de "no es si, pero cuando sucede algo" es bastante frecuente. Una vez que ocurre algo, ¿cuál es la forma más rápida de resolverlo? ¿Qué van a necesitar o querer los auditores, legales y / o policiales?
Esto podría ser registros de auditoría, registros de transacciones, registros de ubicación.
Esto realmente se centra en:
- Información para recopilar
- Equipos / política de respuesta de seguridad de la información
- Mitigación de riesgos
- Cumplimiento
¿Cómo te comunicas con el usuario?
Los dos primeros son sencillos, este varía mucho ya que es su interacción directa con los usuarios. Esto es realmente PR / empresa impulsada y las cosas que podría pensar son:
- ¿Qué detalles estás dispuesto a revelar?
- ¿Qué es una compensación adecuada?
- ¿Qué está regulado?
Honestamente, este último no es mi fuerte. Personalmente quiero todos los detalles y siento que el Quién, Qué, Cuándo, Por qué y Cómo de una violación deben estar totalmente comunicados. Conozco a muchas personas en la comunidad de seguridad que no se sienten así, y ciertamente no a mi nivel ejecutivo que tienen que considerar a toda la compañía.
Por encima de todo, esto no es un problema individual, ni siquiera una responsabilidad de unidades de negocio, realmente necesita manejarlo en todos los niveles.