Una società IT ha già la maggior parte delle procedure / precauzioni standard in atto per svolgere le attività quotidiane in modo sicuro, ad es. politiche per gli utenti cosa fare e cosa non fare, soluzioni tecniche come antivirus / protezione antispam / gestione dei log / .... Ci sono anche piani per ripristinare i sistemi e quale servizio ha quali dipendenze, ecc. quando qualcosa va veramente a sud (o a causa di un attacco o di semplici errori di sistema) e pianifica come gestire gli incidenti "normali" come l'incendio nel datacenter, l'infezione da virus del server / client, il totale fallimento del servizio X. Ora voglio prepararmi per un grande fallout come il compromesso di più sistemi e servizi senza una chiara comprensione di dove si trova la violazione e di come l'hacker potrebbe ottenere l'accesso e probabilmente non ha idea di quali sistemi siano compromessi.
Domanda / e : come si preparerebbe qualcuno per un incidente che non è prevedibile? Ci sono modelli che qualcuno potrebbe creare per aiutare a guidare la situazione (sconosciuta)? Come prendersi cura del panico (naturale) che questo incidente causerebbe? La direzione dovrebbe avere delle linee guida su cosa fare o dire in questa situazione (nella mia esperienza non capiscono cosa sta succedendo, non sono utili e si preoccupano solo di identificare chi dare la colpa)? Tutta la speranza è persa in una situazione del genere e dovrebbe essere chiamato un fornitore di servizi esterno per affrontare la situazione? Il problema principale qui è che non riesco a produrre un manuale passo-passo per una situazione che non è prevedibile. Inoltre, un problema è che una squadra non può controllare quali sistemi sono eventualmente compromessi a causa della separazione dei poteri e dei diritti limitati e non so quali squadre chiamare quando nessuno può dire quali sistemi sono interessati.
Nota: non sono disponibili team di risposta agli incidenti o team di analisi della sicurezza dedicato. Gli unici che conoscono veramente l'infrastruttura e il modo in cui funzionano i loro sistemi sono le persone che eseguono il carico di lavoro standard, ad es. windows team, linux team, vmware team, storage team, team di rete, ... e per la maggior parte dei team c'è lo standby 24/7.