Jesteś nowym CISO w dynamicznie rozwijającej się firmie e-commerce. Po kilku miesiącach pracy zauważyłeś, że poziom akceptacji ryzyka po stronie kierownictwa jest bardzo wysoki. A właściwie poziom świadomości na temat cyberzagrożeń jest bardzo niski. Planowałeś to zmienić, ale niestety hakerzy byli szybsi.

Odbierasz telefon o 6:14 od spanikowanego pracownika IT, który zauważył niespodziewanie duży transfer danych z jednego serwera i potwierdził, że jest to trwający od kilku godzin wyciek informacji. Co robisz w pierwszej kolejności? Zarządzasz:

1. wyłączenie serwera oraz odcięcie źródła zasilania
2. odłączenie serwera od sieci informatycznej
3. poinformowanie organów ścigania o cyberataku oraz brak jakichkolwiek czynności, by nie zakłócić policji działań operacyjnych
4. monitorowanie ruchu sieciowego w celu ukrycia przed hakerem faktu jego wykrycia a następnie zaplanowanie kolejnych kroków

Wśród informacji, które wyciekły, jest między innymi baza systemu CRM, zawierająca dane ok. 2,6 tys. klientów (m.in. imię, nazwisko, adres korespondencyjny, adres e-mail, nr telefonu, NIP (w przypadku osób fizycznych prowadzących działalność gospodarczą), historia zakupów). Wiesz, że zgodnie z przepisami RODO, naruszenie ochrony danych osobowych powinno zostać zgłoszone do organu nadzorczego w ciągu 72h, dlatego:

1. przygotowujesz notatkę dla Rady Nadzorczej z opisem sytuacji, zakresu przetransferowanych danych oraz podjętych przez Ciebie działań ograniczających negatywne skutki zdarzenia i w ciągu 3 dni przekazujesz ją do RN, zgodnie z obowiązującymi wewnętrznymi procedurami
2. niezwłocznie (nie później niż w ciągu 72h) piszesz maila na adres kancelaria@uodo.gov.pl (skrzynka Urzędu Ochrony Danych Osobowych), w którym opisujesz charakter naruszenia ochrony danych osobowych, kategorie i przybliżoną liczbę osób, których dane dotyczą, możliwe konsekwencje naruszenia ochrony danych osobowych, środki zastosowane w celu zaradzenia naruszeniu oraz w celu zminimalizowania jego negatywnych skutków
3. natychmiast zawiadamiasz o zdarzeniu Inspektora Ochrony Danych i przekazujesz mu wszystkie informacje niezbędne do dokonania oceny, czy zdarzenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, a jeśli tak – współpracujesz z IOD w przygotowaniu zgłoszenia do UODO, dostarczając mu niezbędne informacje, opisujące charakter naruszenia ochrony danych osobowych, kategorie i przybliżoną liczbę osób, których dane dotyczą, możliwe konsekwencje naruszenia ochrony danych osobowych, środki zastosowane w celu zaradzenia naruszeniu oraz w celu zminimalizowania jego negatywnych skutków
4. nie musisz podejmować żadnych działań – poinformowałeś organy ścigania o cyberataku, w takiej sytuacji obowiązkiem policji jest zawiadomienie właściwych urzędów, w tym UODO

Wygląda na to, że ze wsparciem zewnętrznej firmy doradczej udało się skutecznie pozbyć intruza z sieci. Która odpowiedź najlepiej charakteryzuje działania, które należy podjąć w kolejnym kroku?

1. testy penetracyjne infrastruktury informatycznej
2. analiza dojrzałości procesów zarządzania cyberbezpieczeństwem
3. wyciągnięcie wniosków z zakończonego incydentu
4. wszystkie odpowiedzi powyżej

Z przeprowadzonej analizy dojrzałości procesów zarządzania cyberbezpieczeństwem wynika, że w firmie trzeba praktycznie od podstaw zbudować system zabezpieczeń.

Która odpowiedź właściwie ilustruje kolejność inicjatyw w ramach budowania bezpieczeństwa:

1. wdrożenie zabezpieczeń prewencyjnych, monitorowanie bezpieczeństwa, reagowanie na incydenty, inwentaryzacja zasobów
2. reagowanie na incydenty, wdrożenie zabezpieczeń prewencyjnych, monitorowanie bezpieczeństwa, inwentaryzacja zasobów
3. inwentaryzacja zasobów, wdrożenie zabezpieczeń prewencyjnych, monitorowanie bezpieczeństwa, reagowanie na incydenty
4. monitorowanie bezpieczeństwa, reagowanie na incydenty, wdrożenie zabezpieczeń prewencyjnych, inwentaryzacja zasobów

Zarząd zastanawia się nad poziomem wymaganych inwestycji w zabezpieczenia przed cyberatakami. Potrzebuje Twojej porady. Jakie jest właściwe podejście do priorytetyzacji inwestycji w cyberbezpieczeństwo?

1. należy dążyć do wdrożenia możliwie największej liczby zabezpieczeń, aby całkowicie wykluczyć ryzyko cyberataku,
2. należy przede wszystkim inwestować w świadomość pracowników w zakresie cyberzagrożeń, gdyż jest to najsłabsze ogniwo systemu zabezpieczeń,
3. należy zapewnić kompletność wdrożenia mechanizmów kontrolnych wyspecyfikowanych w zestawach najlepszych praktyk jak ISO 27001, czy NIST Cyber Security Framework,
4. wszystkie inwestycje w cyberbezpieczeństwo powinny być uzasadnione biznesowo

Podczas tworzenia strategii i polityki cyberbezpieczeństwa pojawił się temat przypisania ról i odpowiedzialności. Jaka jest właściwa rola CISO (Chief Information Security Officer) w organizacji?

1. Podejmowanie wszelkich decyzji dotyczących cyberbezpieczeństwa,
2. Tworzenie wymagań w zakresie cyberbezpieczeństwa oraz kontrola ich realizacji
3. Wsparcie biznesu w podejmowaniu właściwych decyzji w zakresie bezpieczeństwa
4. Edukacja pracowników w zakresie cyberzagrożeń

Na koniec pojawił się temat umiejscowienia funkcji cyberbezpieczeństwa w organizacji. Która odpowiedź jest najlepsza?

1. Nie można umieścić cyberbezpieczeństwa w strukturach IT z uwagi na brak niezależności
2. Aby nadać cyberbezpieczeństwu właściwy priorytet, odpowiedzialność za jego zapewnienie powinna zostać przypisana na poziomie zarządu
3. Organizacja cyberbezpieczeństwa w strukturach IT jest korzystna, pod warunkiem zapewnienia możliwości eskalacji potencjalnych nieprawidłowości na poziom zarządu
4. Dedykowany specjalista w zakresie cyberbezpieczeństwa powinien raportować do członka zarządu