В случае компрометации безопасности системы необходимо прореагировать на инцидент. На команду безопасности ложится ответственность по быстрому и эффективному разрешению проблемы.
10.1. Определение реакции на инцидент
Реакция на инцидент — это быстрые действия в ответ на происшествие или проблему в системе безопасности. Например, в области информационной безопасности, это действия команды безопасности, направленные против взломщика, проникшего через брандмауэр и прослушивающего трафик внутренней сети. Здесь инцидент — взлом системы безопасности. Реакция включает в себя действия команды, борьбу за сохранение целостности данных, меры, предпринимаемые для снижения ущерба и сроки восстановления ресурсов.
Подумайте о своей организации и о том, насколько она зависит от технологий и компьютерных систем. Если вы думаете о компромиссе, представьте себе худшие последствия. Это может быть не просто выход компьютеров из строя или похищение данных, но и искажение данных, похищение личных сведений (из базы данных персонала), нежелательная огласка или даже негативные финансовые результаты, если клиенты и партнёры по бизнесу узнают об этом и отреагируют отрицательно.
Исследования в области внутренней и внешней безопасности показывают, что некоторые компании даже прекращают существование в результате серьёзных атак. Взлом может привести к недоступности ресурсов и похищению, либо искажению данных. Но нельзя недооценивать факты, ни имеющего денежного выражения, например, негативное общественное мнение. Чтобы ясно понять, насколько важна эффективная реакция на инцидент, организация должна рассчитать стоимость прямых потерь от взлома системы безопасности плюс краткосрочные и длительные финансовые эффекты нежелательной известности.