5.6 Responsabilidades

5.6.1 Não cruzando a Linha

Uma coisa é proteger a sua própria rede, mas outra é assumir que deve proteger outras redes. Durante o tratamento de um incidente, certas vulnerabilidades dos próprios sistemas e os sistemas de outros ficam aparentes. É bastante fácil e pode ser tentador rastrear os intrusos para localizá-los. Tenha em mente que em certo momento é possível cruzar a linha e, com a melhor das intenções, comportar-se não melhor do que o intruso.

A melhor regra a seguir é não usar facilidades de sistemas remotos que não sejam públicas. Isto claramente exclui qualquer entrada em um sistema (usando um shell ou login remoto) que não seja explicitamente permitido. Isto pode ser muito tentador depois que uma brecha de segurança é descoberta; um administrador de sistema pode ter os meios para, averiguar que danos podem ter sido feitos ao site remoto. Não faça! Ao invés, tente buscar o contato apropriado para o site afetado.

5.6.2 Política de boa vizinhança na Internet

Durante um incidente de segurança há duas escolhas que a pessoa pode fazer. Primeiro, um site pode escolher observar o intruso na espectativa de pega0lo; ou, o site pode limpar o sistema depois do incidente e manter o intruso fora dos sistemas. Esta é uma decisão que deve ser tomada com muito cuidado, pois poderá haver consequências legais se você optar por deixar seu site aberto sabendo que um intruso está usando-o como um ponto de lançamento para atacar outros sites. Sendo um "bom vizinho" na Internet você deveria tentar alertar outros sites que podem ter sidos impactados pelo intruso. Estes locais afetados podem ser detectados após uma revisão completa de seus arquivos de log.

5.6.3 Resposta administrativa para Incidentes

Quando um incidente de segurança envolve um usuário, a política de segurança do site deveria descrever que ação será tomada. A transgressão deve ser levada a sério, mas é muito importante estar seguro sobre o papel do usuário. O usuário era ingênuo? Poderia haver um engano atribuindo a quebra de segurança ao usuário? Aplicar alguma penalidade administrativa assume que o usuário intencionalmente causou o incidente e isto pode não ser apropriado para um usuário que simplesmente cometeu um engano. Pode ser apropriado prever sanções adequadas a cada situação em sua política (por exemplo, educação ou repreenção a um usuário) além para medidas mais duras para atos intencionais de intrusão e abuso do sistema.