Cos'è un incidente di sicurezza nella sicurezza delle informazioni?
Un attacco non riuscito (ad esempio bloccato da un IPS) o un attacco senza impatto reale (ad esempio una scansione delle porte) può essere considerato un incidente di sicurezza?
Per essere chiari, a te come membro di un'organizzazione, un incidente di sicurezza è definito dalla politica di sicurezza della tua organizzazione; non è solo "la tua opinione personale su ciò che è rischioso" o "qualsiasi evento che mette in pericolo l'organizzazione". Verifica con la tua organizzazione, leggi la loro politica di sicurezza e segui le sue indicazioni.
Se non hanno una tale politica e tu stai facendo questa domanda, questo è un segno che potrebbe averne bisogno.
In assenza di una politica, dovresti prenderla in considerazione dal tuo punto di vista. Se hai trovato una vulnerabilità o una possibile evidenza di un attacco, dovresti documentarlo e segnalarlo al tuo supervisore il più rapidamente possibile. È compito del management decidere cosa è rischioso e cosa no, non tu. Se non lo denuncia, e il problema si rivela abbastanza serio da coinvolgere i tribunali, ci sarà una causa. Le prime due cose che gli avvocati vorranno sapere sono "chi lo sapeva e quando lo sapevano?" Se scoprono che hai saputo dell'incidente ma non lo hai segnalato, il pasticcio legale potrebbe rovinarti.
E una volta che l'hai segnalato, hai assolto il tuo dovere. Se decidono di non agire, è la loro decisione; anche se ti sembra sciocco o rischioso per loro di ignorarlo. Assicurati di aver documentato l'incidente in modo che le persone possano capire che hai fatto ciò che era ragionevole date le circostanze in cui ti trovavi e hanno informato la persona o le persone corrette.
Lo stesso vale se sei un supervisore o un manager e un dipendente ti informa di una situazione rischiosa o pericolosa. Devi segnalarlo secondo la politica di sicurezza della tua organizzazione, oppure segnalarlo verso l'alto se non ne hai uno.
Leggi altre domande sui tag incident-analysis incident-response