История с донесением до топов темы с инцидентами всегда не очень простая. В отличие от демонстрации уровня зрелости, инициатив ИБ, метрик и т.п., много и подробно разговаривать о том, что стало результатом упущения CISO. Поэтому и презентация этой темы обычно не очень детальная. Однако даже в этом примере видно, что информация об имевших место инцидентах носит бизнес-ориентированный характер, но без особых подробностей.
Однако, несмотря на это, всегда надо быть готовым к ответам на ряд вопросов, которые могут прозвучать на встрече с руководством. Иностранные CISO, чей опыт я передаю на страницах блога последние несколько дней, делятся списком возможных вопросов:
- Сколько критичных для бизнеса инцидентов было?
Вы же можете отделить рядовой инцидент с фишинговой атакой на секретаршу с простоем критического для бизнеса актива? У вас есть система классификации инцидентов по уровню критичности?
- Что произошло?
- Что известно об атакующем?
Ответ на этот вопрос не означает, что вам надо выстраивать функцию атрибуцию у себя в ИБ.
- Насколько компания была готова к этому инциденту?
Ответ на этот вопрос показывает среди прочего и насколько выстроен процесс моделирования угроз / анализа рисков.
- В чем причина инцидента?
- Как компания отреагировала?
- Насколько быстро было проведено реагирование?
- Какой ущерб от инцидента для бизнеса?
- Были ли уже инциденты такого типа в компании и насколько успешно ими управляли раньше?
Если инцидент такого типа не первый, то готовьтесь к вопросу, почему такой инцидент произошел повторно?
В отдельных случаях CISO спрашивали об инцидентах со стороны третьих лиц, потерях для бизнеса из-за неспособности клиентов выполнить требования по ИБ, а также касательно нашумевших уязвимостей, например, Log4j.
Заметка С чем CISO ходят к своему руководству? Критические инциденты была впервые опубликована на Бизнес без опасности .
