Suponiendo que este es su proceso completo, no un subconjunto donde ya se han tomado otras decisiones, sugeriría que su primer punto de decisión no es si hay una intrusión o no, sino si hay un impacto en el servicio comercial.
Alerta - > Revisar registros - > ¿Impacto en los servicios comerciales?
Una vez que haya determinado el impacto del servicio comercial, puede usarlo para dirigir el resto de la respuesta al incidente. Si su servicio se ve afectado, debe involucrar a las personas correctas en el negocio (que ya deberían estar documentadas) para notificarles el impacto, brindando una visión general del problema.
¿Impacto en los servicios empresariales? - > Sí - > Notificar al administrador de incidentes comerciales
Una vez que se notifique a la empresa, puede pasar a determinar la naturaleza exacta del problema y trabajar en el resto del flujo de su proceso.
Si no hay un impacto en el servicio de negocios, todavía se pasa a la determinación de problemas.
Impacto en los servicios empresariales - > No - > ¿Intrusión?
Mi siguiente punto sería que, incluso si el evento no es una Intrusión, aún puede ser un evento de seguridad que desee (o necesite) para realizar acciones como resultado de.
Por ejemplo, detecta algún tipo de análisis automatizado o manual de sus aplicaciones web. Puede decidir que desea bloquear la dirección IP del atacante. Este es solo un ejemplo simple.
Dicha decisión puede requerir la autorización de los representantes de negocios o tecnología apropiados, por lo que, nuevamente, los enganches necesarios para el negocio deben reflejarse en el flujo de su proceso.
En resumen, mis puntos de comentarios son:
-
No olvide que está defendiendo una aplicación empresarial, asegúrese de que el proceso de respuesta a incidentes refleje las necesidades de la empresa, no solo que detalla los pasos técnicos necesarios.
-
Una intrusión es obviamente el peor de los casos, pero no descuente las acciones requeridas para otros eventos relacionados con la seguridad. Puede que no sea simplemente una configuración errónea.
HTH !!