Biết một sự cố đã xảy ra có thể là phần khó nhất của quá trình, các vi phạm an ninh hoặc sự cố đôi khi có thể không được chú ý trong hơn một năm trước khi ai đó tìm ra nó. Phát hiện chỉ là phần đầu tiên, cách bạn kiểm soát, loại bỏ và phục hồi là yếu tố quan trọng của việc phản ứng sự cố. Tuy nhiên, phần quan trọng nhất của tất cả là hậu quả, nơi chúng tôi phân tích và xác định nguyên nhân gốc rễ của sự cố, hợp nhất nỗ lực với ban quản lý và áp dụng các biện pháp thích hợp để ngăn chặn sự cố tái diễn.
Phản ứng sự cố bên ngoài cung cấp một cái nhìn phi cơ sở và đa khía cạnh về sự cố và nó mang ra các nguồn lực bảo mật nội bộ để tập trung vào các hoạt động bảo mật. Kết hợp kiến thức chuyên môn của đội ngũ an ninh, chúng tôi có thể theo dõi sự cố dưới góc độ của người bảo vệ và kẻ tấn công, cung cấp một cái nhìn tổng thể về sự việc.
Phòng bệnh hơn chữa bệnh. Những thứ mà một tổ chức có thể làm để điều chỉnh lại chính sách cho phù hợp còn quan trọng hơn nhiều so với những thứ mà doanh nghiệp làm khi gặp sự cố. Chỉ lấp lại những cái lỗ trên tường là không đủ, sự xuất hiện của sự cố có thể gây ra các mô hình tổn thương đến doanh nghiệp. Doanh nghiệp cần phân tích ngọn nguồn của sự cố và áp dụng các thay đổi cần thiết vào chính sách, và hướng dẫn nhân viên trong công ty để nâng cao cảnh giác với các sự cố.
Chuẩn ISO/IEC 27035 là một quy trình 5 bước để quản lý sự cố bảo mật, bao gồm: