「Planning for Failure」は、情報流出の後でもインシデントレスポンスへの支出の増加が全体的に見られないというデータに言及したうえで、このデータは、まずはインシデントレスポンス計画の策定について企業を啓発する必要があることを示していると考えたようだ。「適切な計画を事前に講じていなければ、いったん検出したインシデントを封じ込め、あるいは抑制し、さらにITサービスの復旧を行いながら、犯罪の証拠を適切に保存することは極めて難しい」(同報告書)
「驚くことに、過去12カ月に既に情報流出の被害に遭っている企業でも、その結果としてインシデントレスポンスプログラムの支出を増加したと報告したのは、ネットワークセキュリティの意志決定者のうち24%に過ぎない(中略)。
有効な対策としては、継続したインシデント管理プログラムを構築して、潜在的なリスクを特定することが必要である。そうすることで、適切なインシデントレスポンス計画を作成し、その計画を試して、計画を新しくしておくことができる。
インシデントレスポンスは、情報セキュリティの中で最も見落とされやすい領域の1つだ。あらゆる情報流出を防ぐことは不可能であり、情報流出が起こった時に、セキュリティおよびリスクの専門家らは、対応する準備が十分ではないことに気付く」
ここで言っていることは全く正しい。あなたがインシデントレスポンス計画を立てている多くの企業の1つでないのなら、もっともな話だ。実際には、大半の企業がインシデントレスポンス計画を立てているのである。
Mike Murray氏は、さまざまな業界のインシデントレスポンスに関わってきた。現在は、GE Healthcareのグローバル製品群について、サイバーセキュリティとプライバシーの評価、およびアーキテクチャサービスに携わっている。
Murray氏は米ZDNetに対して、大半の企業がインシデントレスポンス計画を立てていないというわけではないと語った。実際には、同氏はインシデントレスポンス計画のない企業に遭遇したことはない。同氏は「時代遅れのものもあるが、どの企業もインシデントレスポンス計画を立てている」と述べている。