Powiadamiaj o „incydencie w toku”
Nie jesteś jedyną osobą, która musi wiedzieć, co się dzieje. Informacje o przebiegu zdarzeń powinny trafiać także do innych ludzi, również spoza twojej organizacji.

Twoja organizacja W twojej organizacji pracują ludzie, którzy powinni wiedzieć, że coś się dzieje: kierownictwo, użytkownicy i personel techniczny. Musisz powiedzieć im przynajmniej tyle, że próbujesz uporać się z incydentem i nie będziesz mógł pomóc im w innych sprawach. Zwykle warto poinformować ich, dlaczego muszą znosić niewygody i co powinni zrobić, aby wszystko wróciło do normy (nawet jeśli mogą tylko pójść sobie i zostawić cię w spokoju).

Szczególnie ważne jest powiadomienie kierownictwa i pozostałego personelu technicznego. W innym przypadku ryzykujesz, że ktoś będzie działał przeciwko tobie. Gdy na przykład zerwiesz połączenie z Internetem, ktoś zapewne to zauważy i będzie próbował temu zaradzić. Jeśli tym kimś będzie inny członek personelu, masz problem, ale jeśli to zarządzenie dyrekcji, problem może obrócić się w katastrofę.

Jeśli ludzie dzwonią do kierownictwa i skarżą się na efekty uboczne twoich poczynań, ale kierownik został o wszystkim poinformowany, prawdopodobnie stanie w twojej obronie. W najgorszym wypadku kierownik zadecyduje, co jest ważniejsze: reakcja na incydent czy inne potrzeby firmy. Jeśli jednak kierownik nie wie, co się dzieje, prawdopodobnie udzieli odpowiedzi, której zwykle udzielają kierownicy w razie awarii sieci: „To straszne, uporamy się z tym najszybciej, jak to możliwe”. Kierownik składa więc obietnicę, której zapewne nie zechce odwołać. Oznacza to, że twoja reakcja na incydent będzie ograniczoną potrzebą szybkiego przywrócenia dostępu do usług.

W zależności od charakteru twojej sieci i incydentu, być może będziesz musiał poinformować także działy: prawny, nadzoru, public relations i ochrony. Zawsze powinieneś skontaktować się z działem ochrony, jeżeli:

chcesz poprosić o współpracę stróżów prawa podejrzewasz, że w sprawę zamieszany jest ktoś z wewnątrz podejrzewasz, że w grę wchodzi fizyczny dostęp do komputerów.

Jeśli w twojej organizacji jest więcej ośrodków komputerowych, powinieneś jak najszybciej poinformować je o sytuacji są prawdopodobnym źródłem lub celem podobnych ataków.