インシデントが発生したことを知ることは、このプロセスの中で最も困難なことかもしれません。セキュリティ侵害やインシデントは、誰かが最終的に発見するまで1年以上も気づかれないこともあります。検知は最初の一歩に過ぎず、どのように封じ込め、根絶し、復旧させるかがインシデント対応の重要なポイントです。しかし、最も重要なのはアフターフォローであり、インシデントの根本的な原因を分析してピンポイントで特定し、経営陣と力を合わせて、二度と起こらないように適切な対策を施すことです。

外部のインシデント対応では、インシデントをノンベースで多面的に捉えることができ、社内のセキュリティリソースを解放してセキュリティオペレーションに集中することができます。セキュリティチームの専門知識を組み合わせることで、防御側と敵側の視点でインシデントを追跡することができ、インシデントを全体的に把握することができます。

予防は治療に勝るものであり、組織がどのような方針や慣行を調整するかは、インシデント発生時にどのような行動をとるかと同様に重要です。壁の穴を塞ぐだけでは十分ではなく、インシデントの発生は脆弱性のパターンを示唆している可能性があるため、組織はインシデントの根本原因を分析し、必要なポリシーの変更を実施し、インシデントに対するスタッフの意識を高めるための教育を行わなければなりません。