در نظرسنجی اخیری که مرکز تحقیقاتی Yankee Group انجام داده است، 86درصد از 500 پاسخ‏دهنده در این نظرسنجی گفته‏اند که حداقل از یکی از تکنولوژی‏های مورد بحث در این مقاله در محل کار استفاده می‏کنند.
متاسفانه این تکنولوژی‏ها باعث بروز برخی مشکلات در واحدهای IT سازمان‌ها هم شده‏اند. استفاده از برخی تکنولوژی‏ها نوعی ریسک محسوب می‏شود. از سوی دیگر کاربران توقع دارند که واحد IT از دستگاه‏ها و سرویس‌ها به ويژه آنهایی که با آنها در برنامه‏ها سر و کار دارند، پشتیبانی کند.ممنوع کردن استفاده از برخی تکنولوژی‏ها در بسیاری از شرکت‌های بر خلاف فرهنگ آن سازمان است ولی از طرفی دیگر نمی‏توانند تمام ریسک‌های امنیتی را نیز نادیده بگیرند «من فکر نمی‏کنم كاركنان وقت این را داشته باشند که در مورد تمام تکنولوژی‏ها مطالعه کنند و همه جنبه‏های آن را در نظر بگیرند، آنها مشغول کار خودشان هستند و وقت چنین کارهایی را ندارند.» این صحبت‌های«شارون فايني»، مدیر بخش امنیت اطلاعات مرکز درمانی Dekalb است. او ادامه می‏دهد: «من فکر می‏کنم این وظیفه من است که در مورد این تکنولوژی‏ها تحقیق کنم و به‌صورت ساده به آنها آموزش دهم و در عین حال مسائل امنیتی آن را هم در نظر بگیرم.»
برخی دیگر مانند «مايكل ميلر»، معاون بخش امنیت سرویس‌های ارتباطی شرکت Global Crossing معتقد است که ابتدا واحد IT باید صبر کند تا ببیند استفاده از این دستگاه‏ها تاثیری مثبت بر روی راندمان کار دارد یا باعث بروز مشکلاتی مانند نفوذ Worm و یا افزایش ترافیک شبکه می‏شود. براساس نظر او واکنش به این تکنولوژی‏ها بايد ترکیبی از پیروی از فرهنگ سازمان و دادن حق دسترسی (در حد منطقی) به کارکنان و مطمئن بودن از سطح امنیتی شبکه باشد.«جاش‌ها لبروك» تحلیلگر Yankee Group می‏گوید: «مقابله با مشکلاتی که این تکنولوژِی‏ها باعث آن هستند، منابع زیادی از بخش IT سازمان را به خود اختصاص می‏دهد. استفاده از برخی تکنولوژی‏ها برای بخش‌های IT سازمان‌ها به یک کابوس تبدیل خواهد شد، مگر آنکه کارکنان سیاست‌های سازمان در خصوص استفاده از تکنولوژی‏های جدید را به خوبی بپذیرند. در همان حال بی‏توجهی به زیر نظر داشتن تکنولوژی‏های جدید خطر بالقوه‏ای در خصوص امنیت اطلاعات سازمان است.»
برای نمونه در زیر به بررسی خطرهاي 8 تکنولوژی معروف پرداخته می‏شود:

1. Instant Messaging
این روزها مردم از IMها (Instant Messaging) برای هر چیزی استفاده می‏کنند، از مطمئن شدن رسیدن بچه‏ها به منزل تا گفت‌وگو با همکاران و یا حتی شرکای تجاری. براساس تحقیق Y،Yankee Groupن40 درصد از پاسخگویان گفته بودند که از IM در محل کار استفاده می‏کنند.  IMها  مسائل امنیتی متعددی را به چالش می‏کشاند. به‌خصوص که تبادل اطلاعات در IM و در محیط اینترنت، خط ارتباطی ناامنی محسوب می‏شود و چه‌بسا یک نفوذگر از همین طریق بتواند به اطلاعات محرمانه‏ای که مثلا یک کارمند با یک مشتری در خارج از سازمان و بر روی بستر اینترنت در حال تبادل آن هستند، دسترسی پیدا کند.یک راه برای مقابله با تهدیدات IMها استفاده از سرورهای IMهای درون‏سازمانی است. مثلا در اواخر سال 2005، شرکت Global Crossing از نرم‏افزار Live Communications Server یا به اختصار LCS، برای این منظور استفاده کرد. این شرکت در ادامه در آگوست 2006، کارکنانش را از استفاده از IMهای شرکت‌هایی نظیر AOL، MSN و Yahoo منع کرده است. در حال حاضر تمام تبادل اطلاعاتی که از طریق سرورهای داخلی انجام می‏شود، رمز شده (Encrypted) و تمامی IM
 برون سازمانی محافظت شده‏اند.همچنین به کارگیری سرورهای IMهای داخلی به واحد امنیت آن سازمان کنترل بیشتری می‏دهد. «ميلر» می‏گوید: «از این طریق ما این توانایی را داریم که سیاست‌های امنیتی را به راحتی اعمال کنیم. برایی نمونه ما می‏توانیم تبادل فایل از طریق IM را محدود کنیم یا کاربران اجازه استفاده از URLهای ارسال شده از طریق شخصی که با آن مشغول چت هستند، نداشته باشند. اینها روش‌های متداولی برای جلوگیری از ورود Wormها به درون سازمان است.» او ادامه می‏دهد: «این روش از اتلاف وقت هم جلوگیری می‏کند.»
روش‌های سخت‏گیرانه‏تری هم وجود دارد. سیاست امنیتی مرکز درمانی DeKalb، استفاده از IMها را کلا ممنوع كرده است. «فايني» برای اطمینان بیشتر نیز اکثر سایت‌هایی را که از طریق آنها می‏توان IMها دانلود کرد را نیز محدود کرده است. اما او نمی‏تواند سایت‌های AOL یا Yahoo را هم بلاک کند؛ چرا که بسیاری از پرسنل از این سایت‌ها برای ایمیل استفاده می‏کنند. گروه او همچنین از یک نرم‏افزار کمکی که وظیفه آن پیدا کردن کامپیوترهایی است که بر روی آنها نرم‏افزار IM نصب شده است نیز استفاده می‏کنند. در صورتی که این نرم‏افزار وجود چنین کامپیوتری را اعلام کند، به کارمند خاطی تذکر داده و سیاست امنیتی سازمان به او یادآور می‏شود. فايني همچنین متدهای مختلفی را برای بلاک کردن ارسال اطلاعات از درون سازمان به بیرون به‌کار گرفته است. در حال حاضر او از یک برنامه کمکی متعلق به شرکت Vericept برای مانیتور کردن اطلاعات استفاده می‏کند. همچنین تیم او اکثر پورت‌های کامپیوترها را بسته‏اند تا نرم‏افزارها راهی جز استفاده از پورت 80 (HTTP Port) برای تبادل اطلاعات با بیرون از سازمان را نداشته باشند.مرکز درمانی DeKalb به دنبال یافتن ایده‏هایی برای استفاده از نرم‏افزارهایی نظیر IBM Lotus Notes یا حتی نرم‏افزارهای رایگان IM نظیر Jabber برای افرادی که برای امور کاری می‏خواهند در داخل سازمان چت کنند مي‌گردد. فايني در آخر می‏گوید: «هیچ چیز 100درصد نیست. IM هنوز نگرانی بزرگی برای امنیت و همین‌طور کارایی سازمان است .»
Web Mail.2
50درصد پاسخگویان نظرسنجی Yankee Group گفته‏اند که آنها از ایمیل‌ها برای اهداف تجاری سازمان استفاده می‏کنند. مشکل استفاده از ایمیل‌های سرویس‏دهنده‏هایی نظیر G،Google Gmail، Microsoft Hotmail، AOL و Yahoo این است که کاربران به ناامن بودن آنها توجه نمی‏کنند. چرا که اطلاعات بر روی سرورهای ISPها و همان میل‏سرورها ذخیره می‏شوند. کارکنان بی‏توجه به این مسائل، اطلاعات بسیار مهمی نظیر شماره‏های امنیتی، کلمه عبور و بسیاری دیگر از اطلاعات محرمانه سازمان را از این طریق بر روی اینترنت جابه جا می‏کنند.یکی از راه‏های کاهش دادن خطر لو رفتن اطلاعات سازمان از طریق ایمیل‌ها استفاده از برنامه‏های مانیتورینگ و اعمال فیلترها برای بررسی محتوای ایمیل‌ها و بلاک کردن آنها در صورت مغایر بودن با سیاست‌های امنیتی سازمان است. در این زمینه «مايكل ماشادو» مدیر بخش IT شرکت   WebEx  از برنامه‏ای متعلق به شرکت Reconnex برای مانیتور و فیلتر کردن ایمیل‌ها استفاده می‏کند.همچنین مرکز درمانی DeKalb از نرم‏افزار Vericept برای مانیتور کردن تمامی ایمیل‌ها استفاده می‏کند. در صورت وجود مشکل، بخش IT به کاربر مربوطه آموزش مي‌دهد و او را از خطرات احتمالی چنین اقداماتی آگاه می‏سازد. 
3. دستگاه‏های ذخیره‏سازی قابل‏حمل (Portable Storage Devices)
یکی از اصلی‏ترین نگرانی‏های مدیران IT، افزایش روزافزون دستگاه‏های ذخیره‏سازی اطلاعات از Apple iPhone و iPodها گرفته تا حافظه‏های فلش و ورود آنها به سازمان است. «هالبروك» این رابطه می‏گوید: «مردم براحتی می‏توانند با این وسایل تمامی اطلاعات محرمانه سازمان را کپی کنند و آنها را به محلی ناامن منتقل کنند.» «تنها در این سه هفته اخیر، من 6 مطلب مختلف در مورد خطرات این دستگاه‏ها شنیدم» اینها مطلبی بود که « مارك رودس اوسلي» معمار امنیت اطلاعات و نویسنده کتاب «Network Security: The Complete Reference» بیان می‏کند.
در حالی که بستن پورت‌های USB کار آسانی است، اما بسیاری از مدیران شبکه این روش را روشی درست نمی‏دانند. «ميلر» در خصوص استفاده از این روش می‏گوید: «اگر مردم بخواهند اطلاعاتی جابه جا کنند، به هرحال راهی برای آن پیدا می‏کنند. اگر شما پورت‌های USB را بلاک کنید، در مورد Infrared، و CD Writer و سایر موارد چه می‏خواهید بکنید؟»

او پیشنهاد می‏دهد بايد حفاظت از اطلاعات به خود کارکنان آموزش داده شود و آنها را توجیه کرد که استفاده نادرست از این وسایل چه خطراتی برای سازمان می‏تواند به‌همراه داشته باشد. ميلر ادامه می‏دهد: «بسیاری از فاجعه‏هایی که در این رابطه اتفاق می‏افتد، غیرعمدی بوده است و به همین خاطر است که کارکنان باید آموزش ببینند.»
«ماشادو» هم موافق بلاک کردن USBها در شرکت WebEx نیست. چرا که این موضوع باعث درخواست‌های بی‏شمار به واحد IT سازمان می‏شود و کم‏کم مسوولان ناچار می‏شوند در خصوص این درخواست‌ها استثناهایی را لحاظ کنند و پس از اندک مدتی مدیریت این استثناها غیرکنترل می‏شود. او می‏گوید: «همه یک استثنا دارند که از نظر خودشان مهم‌ترین کار سازمان است. پاسخگویی به این کاربران زمان‏بر است.» او معتقد است که بهترین کار استفاده از ابزاری است که به‌صورت خودکار به کاربری که در حال کپی کردن اطلاعات بر روی این دستگاه‏ها است، پیغام هشدار دهد. او می‏گوید: «در این صورت او خواهد دانست که به او حق انتخاب داده شده است اما کارش نیز قابل ردیابی خواهد بود.»  اما فايني خود را طرفدار بلاک کردن USB در مرکز درمانی DeKalb می‏داند و از نرم‏افزار Vericept برای این منظور استفاده می‏کند. او همچنین دادن یپغام هشدار به کاربر را نیز ایده جالبی می‏داند. در همین حال دانشگاه ایالتی Grand Valley میشیگان و برخی دیگر از دانشگاه‏ها به‌دنبال روشی برای استاندارد کردن رمزگذاری حافظه‏های فلش برای بالا بردن امنیت این دستگاه‏ها هستند.
4. PDA ها و گوشی‏های هوشمند
هر روز بر تعداد کسانی که از PDAها استفاده می‏کنند، افزوده می‏شود. اما زمانی که آنها می‏خواهند اطلاعات را از روی PC به آن منتقل کنند یا بالعکس، می‏توانند مسبب مشکلاتی شوند. از ایجاد یک اشکال کوچک گرفته تا صفحه آبی ویندوز. «هالبروك» در این خصوص می‏گوید: «این نوع مشکلات، اشکالات غیررایجی نیستند. اشکالات ناخوشایندی هستند که مدام تکرار می‌شوند.»مساله اینجا است که آیا پرسنل باید برای استفاده از این دستگاه‏ها آزاد باشند. یک کارمند می‏تواند از در خارج شود، در حالی که اطلاعات زیادی از سازمان را در درون PDA خود ذخیره کرده است.مانند بسیاری از سازمان‌ها، شرکت WebEx خطرات این دستگاه‏ها را از طریق استاندارد کردن استفاده از یک برند خاص PDA کاهش داده است. کارکنان تنها اجاز استفاده از نوع خاصی از PDA را در محل کار دارند که مسائل امنیتی آن به‌شدت تحت کنترل واحد IT است. این شرکت همین کار را در مورد Laptopها نیز انجام داده است که بنا به عقیده «ماشادو» از PDAها بسیار خطرناکترند؛ چرا که می‏توانند اطلاعات بیشتری را در خود ذخیره کنند. کارکنان اجازه آوردن Laptop با برند دیگر را به درون سازمان ندارند.
5. گوشی‏های دوربین‏دار
یک کارگر بیمارستان در مقابل اتاق پرستاران ایستاده بود و با پرستاران بسیار خودمانی مشغول صحبت بود. هیچ‌کس متوجه این موضوع نبود که او مدام دکمه کوچک موبایلش را می‏فشارد. این یک صحنه از دزدی اطلاعات با گوشی دوربین‏دار می‏تواند باشد.«فايني» در این مورد می‏گوید: «یکی از این تست‌ها که من برای مرکز درمانی DeKalb انجام داده بودم، رفتن به اتاق پرستاران (در حالی که خودشان در اتاق بودند) و عکس گرفتن از اتاق آنها به‌صورت نامحسوس بود. من می‏خواستم ببینم که آیا از این طریق می‏توان به اطلاعات پرونده‏ها و کاغذهایی که روی میز قرار داشتند، دسترسی داشت یا خیر.» وقتی او به اتاق کارش باز می‏گردد، اطلاعات خاصی در مورد آن پرونده‏ها از آن عکس‌ها به‌دست نمی‏آید اما به‌صورت تصادفی نام کامپیوتر (نه IP) را که بر روی مانیتور نمایش داده شده بود، در یکی از عکس‌ها می‏بیند.
«این نوع اطلاعات می‏تواند در کنار سایر اطلاعات به‌دست آمده از روش‌های دیگر باعث ایجاد دیدی روشن برای طرح‌ریزی یک حمله شود.»
او در این مورد با کارکنان صحبت کرده است و در مورد خطرناک بودن در معرض دید قرار دادن اطلاعات کلیدی هشدار داده است.
6. Skype و دیگر سرویس‌های VoIP
تکنولوژی دیگری که به شدت در حال رشد است Skype است، نرم‏افزاری قابل‏دانلود که کاربران از طریق آن می‏توانند تماس‌های تلفنی رایگان برقرار کنند. 20درصد از پاسخگویان به این نظرسنجی گفته‏اند از این سرویس برای اهداف تجاری استفاده می‏کنند.
خطری که Skype یک سازمان را تهدید می‏کند، همان خطری است که هر نرم‏افزار کوچک قابل‏دانلود دیگر را تهدید می‏کند. هالبروك در این خصوص می‏گوید: «نرم‏افزارهای تجاری برای یک سازمان از لحاظ امنیتی مطمئن‏تر از برنامه‏های کوچک قابل‏دانلود بر روی اینترنت می‏باشند. بنابراین دانلود هر نرم‏افزاری می‏تواند نوعی ریسک برای سازمان محسوب شود.»
Skype    حداقل 4  مورد مشکل امنیتی را اعلام کرده است و برای آنها آپدیت ارائه کرده است. متاسفانه اغلب بخش‌های IT سازمان‌ها آماری در مورد اینکه چه تعداد از پرسنل از این نرم‏افزار استفاده می‏کنند و از این تعداد چند نفر از آخرین نسخه استفاده نمی‏کنند، اطلاعاتي ندارند. لذا نمی‏تواند کنترل صحیحی را اعمال کند.بنا به نظر شرکت Gartner ایمن‏ترین راه، محدود کردن ترافیک‌های مربوط به این نرم‏افزار در شبکه است و اگر قرار شد برخی افراد از آن استفاده کنند، بايد ویرایش آخر این نرم‏افزار را به‌همراه آپدیت‏هایش اجرا کنند.
7. برنامه‏های کوچک قابل‏دانلود
براساس تحقیق Yankee Group استفاده‏کنندگان این برنامه‏ها از دستگاه‏هایی نظیر Q و Nokia E62 جهت دسترسی سریع به اینترنت برای دانلود آنها استفاده می‏کنند. این برنامه‏ها می‏توانند به آسانی وارد یک کامپیوتر شوند و این درگاهی دیگر برای ورود اطلاعات ناخواسته به اکوسیستم سازمان است که با معیارهای امنیتی بخش IT سازگار نیست.
مشکل اینجا است که این برنامه‏های کوچک قدرت پردازش کامپیوتر و پهنای باند شبکه را اشغال می‏کنند. هالبروك می‏گوید: «من نمی‏خواهم بگویم اینها ویروس هستند اما شما در حال دانلود کردن نرم افزاری هستید که اطمینان زیادی به آن ندارید.» WebEx   به کارکنانش  در خصوص ریسک‌های این برنامه‏های کوچک آموزش می‏دهد و از Reconnex برای مانیتور برنامه‏های نصب شده بر روی کامپیوترها استفاده می‏کند، ضمن اینکه برخی از حق دسترسی‏هایی را که به صورت پیش فرض برای دانلود فعال می‏باشند نیز غیرفعال کرده است.
8. دنیاهای مجازی (Virtual Worlds)
کارکنان شرکت‌های تجاری در حال تجربه کردن زندگی کاری در دنیاهایی مجازی هستند، دنیاهایی که برخی معتقدند زندگی دوم ما انسان‌ها است. اما وظیفه بخش IT سازمان این است که در خصوص خطرات آن آگاه باشد.
در همان حال ذات این محیط‌ها براساس دانلود حجم زیادی از اطلاعات و برنامه‏ها است که با عبور از Firewall و ورود به سازمان شروع به اجرا شدن می‏کنند.Gartner پیشنهاد می‏کند که کارکنان حتی‏الامکان در خارج از شبکه درونی سازمان و یا منزل در حالی که توسط Firewall بیرونی سازمان کامپیوترشان محافظت می‏شود، از این محیط‌ها استفاده کنند. در واقع سازمان دارای دو دیواره آتش باشد. اولی از کامپیوترهایی که می‏خواهند به این محیط‌ها دسترسی داشته باشند محافظت کند و دومین دیواره آتش بعد از دیواره آتش اول از شبکه داخلی سازمان محافظت کند.
رویدادهای امنیتی و اقدامات لازم در برخورد با آنها
ابتدا ببینیم یک رویداد امنیتی (Security Incident) چیست. هر سازمان باید رویداد امنیتی را برای تشکیلاتش کند. تعاریف زیر نمونه هایی از این دست هستند:
هر رویداد مضر مشخص یا مشکوکی که به امنیت سیستم ها یا شبکه های کامپیوتری مربوط باشد. یا عمل نقض کردن آشکار یا ضمنی سیاست امنیتی.
فعالیت هایی زیر مثال هایی از یک رویداد امنیتی هستند:
• تلاشهایی (چه موفق و چه ناموفق) برای حصول دسترسی غیرمجاز به یک سیستم یا دیتای آن
 • ازکار افتادن ناخواسته یا عدم پذیرش سرویس
• استفاده غیرمجاز از یک سیستم به هدف پردازش یا ذخیره سازی دیتا
• تغییراتی در مشخصات سخت افزار یا نرم افزار بدون آگاهی یا اجازه یا دخالت صاحب آن.
فعالیت شبکه یا میزبان که بالقوه امنیت کامپیوتر را تهدید می کند نیز می تواند بعنوان رویداد امنیتی کامپیوتری تعریف گردد.
برخورد با رویداد منظور از این عبارت نحوه مقابله و اقداماتی است که در هنگام وقوع یک مسأله امنیتی انجام می گیرد. در حقیقت این اقدامات به سه بخش تقسیم می شود. گزارش رویداد، تحلیل رویداد و واکنش به رویداد.
اهمیت واکنش به رویدادهای امنیتی سیستم ها، کمتر از تشخیص آنها نیست. اقداماتی که شما بدنبال تشخیص یک رویداد انجام می دهید، نه تنها عملیات سازمان را تحت تأثیر قرار می دهد، بلکه ممکن است باعث تغییرات بسیاری در آینده چنین روندهایی و وضعیت امنیتی خودتان گردد.
در این مقاله به برخورد با رویدادهای امنیتی نه از دیدگاه تکنیکی بلکه از دیدگاه عواملی مانند عوامل انسانی، سیاست برخورد و زمان پرداخته می شود. برای اینکه بتوان بیشتر با نحوه برخورد یک سازمان به یک رویداد امنیتی آشنا شد، به مثالی در این باره می پردازیم. مثالی از واکنش به یک رویداد در یک سازمان بزرگ
 این مثال فقط برای نشان دادن تلاش های ممکن برای واکنش ارائه شده است و یک مدل کلی نیست.
هنگام مشاهده ثبت وقایع مربوط به نفوذ در ساعت ۲ بامداد، پرسنل ۲۴ ساعته مراقبت از شبکه کشف می کنند که حمله ای با موفقیت انجام شده است. برای بسیاری از سازمان ها، واکنش فوری، قطع شبکه برای تأخیر یا قطع افشای اطلاعات بیشتر خواهد بود، اما ما سعی داریم که از چنین واکنشی پرهیز کنیم و پرسنل بخش مراقبت نیز از این قضیه مطلع هستند. درعوض، چک لیست هایی را که در اختیار دارند برای برخورد با این نوع رویداد به اجرا می گذارند.
قدم اول خبرکردن و ارائه گزارشی مختصر به رئیس بخش امنیت سیستمها (یا نماینده اش) است. تا این فرد از خواب بیدار گردد و از حمله مطلع گردد، چهار دقیقه از اطلاع دهی اولیه سپری شده است. با اطلاعاتی که موجود است، نماینده امنیت shutdown کامل سیستم را نمی پذیرد، اما اجازه فراخوانی یک گروه امداد را می دهد. در حالیکه نماینده بخش امنیت به سمت محل حرکت می کند، پرسنل بخش مراقبت شروع به این فراخوانی می کند. نمایندگانی از بخشهایی چون عملیات شبکه، قانونی، مهندسی، اجرایی و مدیریت آگاه شده اند و به محل فراخوانده شده اند. مجری قانون محلی نیز خبر شده است و ثبت رویدادها به ترتیب وقوع آغاز می شود. حالا از اخطار اولیه ۲۸ دقیقه گذشته است. نماینده بخش امنیت که اولین فرد باخبر شده است، اولین کسی است که می رسد. این شخص تنظیم و آماده سازی مرکز امداد را آغاز می کند. کیف امداد باز است که در آن یک لپ تاپ، باتری اضافه، لامپ، ابزار، چک لیست ها و صفحات یادداشت برای تمام اعضای تیم امداد، و ابزار گوناگون دیگر وجود دارد. کپی هایی از اطلاعات موجود نیز برای توزیع بین اعضای تیم و مدیریت ارشد آن آماده شده است. ۵۷ دقیقه از زمان اخطار اولیه گذشته است. سایر اعضای گروه به صورت پراکنده در طول این زمان وارد شده اند و پرسنل بخش مراقبت نیز تحقیق بیشتری در مورد نفوذ انجام داده است. بررسی اولیه آشکار می کند که نفوذگر به سیستم یک کاربر وارد شده است، اما هنوز به نقاط دیگر شبکه پیشروی نکرده است. حمله از طریق استفاده یک کاربر از یک اتصال dial-up که مورد تأیید نبوده صورت گرفته است. نفوذ واقعی هشت ساعت قبل از کشف اولیه صورت گرفته است. کل گروه ۹۲ دقیقه بعد از اولین اخطار گرد هم می آیند. تمام اعضاء با سرعت در محل حاضر و شروع به فکر کردن و نقشه کشیدن و ارائه راه حل شده اند. مناظرات به موافقت هایی منجر می شود. سیستم مورد نفوذ از شبکه جدا خواهد شد و عملیات تعیین و تشخیص آغاز خواهد شد. خلاصه ای برای مدیر ارشد تهیه و مراحل اولیه کامل می شوند. ۱۰۸ دقیقه گذشته است. نماینده عملیات شبکه، مسؤول قطع کردن سیستم مذکور می شود. نماینده اجرایی ثبت وقایع را روی لپ تاپ به روز و بررسی مجدد می کند. این فرد با ثبت لحظه به لحظه از تمام رویدادها، بعنوان نقطه مرکزی تمام فعالیت ها و ارتباطات گروه عمل می کند. نماینده قانونی با آگاه شدن از وضعیت موجود و راهنمایی هایی داده شده به وی، به خانه برمی گردد تا ابتدای صبح به محل برگردد. پرسنل بخش مهندسی و امنیت، اطلاعاتی را که تا کنون جمع آوری شده و شامل دیتای حاصل از سیستم تحت نفوذ قرار گرفته است، بررسی می کنند. این اطلاعات روی بستر یک شبکه مجزا بررسی و تحلیل می شود تا نفوذگر، ابزار حمله و روش هایی ممکن برای بستن آسیب پذیری در کل سازمان مشخص شود. با سپری شدن ۱۴۱ دقیقه از آغاز، گروه برای مرور و به روز رسانی پیشرفت کار دوباره دور هم جمع می شوند. مشخص شده است که نفوذگر از یک IP بیگانه جعلی از طریق اتصال dial-up استفاده کرده است و فقط قادر به دستیابی به همان سیستم بوده است. بررسی کامل شبکه احتیاج به این دارد که سرورها از شبکه جدا شوند و این عملیات ۶ ساعت زمان نیاز دارد. گروه با مشورت و تصویب مدیریت ارشد، تصمیم به این بررسی می گیرد اما بعد از بسته شدن سازمان در انتهای روز کاری بعد. هنگامی که روز کاری آغاز می شود، فعالیت ها به بیرون فاش می شود و فردی که سیستمش مورد نفوذ قرار گرفته مورد مصاحبه قرار می گیرد و سیستم مورد نفوذ پاکسازی می گردد و به افراد ارشد گزارشها بصورت خلاصه ارائه می شود. بهرحال، عملیات امداد به اوج خود می رسد و مرتفع سازی آغاز می شود. تا ساعت ۲۳ رویداد برطرف شده است و گزارش نهایی روز بعد آماده خواهد شد. کسانی هستند که به فوریت مستندسازی تهدید بوجود آمده و عملیات آنی اصرار می ورزند که باید ۲ ساعت اضافه نیز برای آنها دید. برای سازمان شما، ممکن است چنین موردی رخ دهد، و شما بخواهید اولین گام بعد از تعیین رویداد، جداسازی یکطرفه و ناگهانی از شبکه و سیستم ها باشد. اما در این حالت خاص، مزیت انتخاب یک روند سیستماتیک، حفظ عملیات عادی برای یک روز کامل کاری بود، (بجای خاموش کردن کل سیستم سازمان برای یک روز کاری) که نتیجه آن نیم دوجین افراد خسته، چند ساعت کار جبرانی و اضافه کاری و خاموش بودن تنها یک سیستم در طول یک روز کاری بود. از نظر افراد درگیر این عملیات، هزینه ای که توسط این روش صرفه جویی شد، ارزش ریسک را داشت