Vprasanja, ki bi jih morali vodilni zastaviti svoji varnostni ekipi - in odgovori, ki bi jih morali pricakovati.
Osnovna vprasanja
- "Kdaj smo bili nazadnje testirani in kaj so bile ugotovitve?"
- "Ali so bile vse kriticne ugotovitve iz zadnjega testa odpravljene?"
- "Ali bi zaznali, ce bi nekdo danes vdrl v nase sisteme?"
- "Kaksna je nasa reakcijska sposobnost ob incidentu?"
- "Kdo ima administratorski dostop in ali res vsi potrebujejo?"
Vprasanja, ki razkrijejo resnico
- "Ce nam nekdo danes ukrade vse podatke, kdaj bi to izvedeli?"
- "Kaksna je nasa varnostna kapaciteta brez kljucne osebe X?"
- "Kateri sistem, ce bi bil kompromitiran, bi nas najbolj prizadel?"
- "Kaj bi se zgodilo, ce bi vsi nasi zaposleni prejeli prepricljiv phishing?"
Rdeci zastavice v odgovorih
- "Vse je varno" - Nihce ne ve vsega
- "Imamo [vendor resitev]" - Orodja niso strategija
- "To upravlja IT/vendor" - Odgovornost ni prenosljiva
- "Nikoli nismo imeli problema" - Pomanjkanje detekcije ni isto kot pomanjkanje napadov