Фаза повідомлення про інцидент і ескалації

На цьому етапі група безпеки призначить інцидент відповідній команді. Спочатку команда безпеки проконсультується з відповідним налаштуванням, щоб перевірити, чи є втрата прийнятним для бізнесу чи ні. Це може бути пов’язано з такими причинами, як зміна політик на бэкенде та інші. Якщо так, інцидент буде вважатися помилково позитивним і буде перенесений на етап налаштування. Якщо ні, то служба безпеки загострить інцидент разом з доказами для відповідної команди.

Після ескалації група безпеки підготує звіт, як частина щомісячного звіту по DLP системі або для аудиту, і після цього група безпеки закриє інцидент і разархивирует його. Архівування етапу важливо, так як деякі регламенти вимагають його дотримання в ході судового розслідування.

На етапі налаштування розглядаються всі інциденти, які помилково вважаються позитивними. Відповідальність команди безпеки полягає в тонкій настройці політик, після неправильних налаштувань які були встановлені раніше або у зв’язку з деякими змінами внесеними продукту DLP.

Із збільшенням функціональної сумісності систем ця задача стає набагато складніше, особливо на локальній основі. SIEM – це технологія, яка може сприймати і інтерпретувати інформацію, що надходить від пристроїв мережевої безпеки і журналів сервера, що дозволяє краще бачити використання, передачу та зберігання даних. Використання DLP і SIEM систем може ще більше спростити роботу відділу інформаційної безпеки щодо захисту організаційних даних, запобігання порушень і виконання нормативних вимог.