Cada etapa de la investigación realizada por un equipo durante una respuesta de incidentes es impactado por políticas, las cuales deben ser definidas mucho antes de ocurra la primera notificación. En muchas situaciones, las políticas para la seguridad de información son escritas y ejecutadas por el consejero legal de la organización, en cooperación con la oficina del CISO y oficiales de cumplimiento. Las políticas típicas incluyen:

Políticas de Uso Aceptable: Gobierna cual es el comportamiento esperado para cada usuario

Políticas de Seguridad: Establece expectativas para la protección de datos y recursos dentro de la organización. Subsecciones de esta política deben abordar asuntos de seguridad de datos, físicos y electrónicos.

Políticas de Acceso Remoto: Establece quien puede conectarse hacia los recursos de la organización, y cuales controles son implementados sobre las conexiones.

Políticas de Uso de Internet: Establece un uso apropiado general de los recursos de Internet, incluyendo expectativas de privacidad y notificación para la vigilancia por parte de la organización o en su nombre.

Las políticas por las cuales los equipos para respuesta de incidentes deberían estar más preocupadas, son sobre las expectativas de la búsqueda y captura de recursos propiedad de la compañía, además de la interceptación del tráfico de red. Si estos dos temas (ciertamente generales) son abordadas, el equipo debe ser capaz de realizar muchas acciones de investigación. Es importante considerar las leyes locales afectando el accionar. Una acción realizada en una oficina puede estar en contra de alguna ley.

Fuentes:

https://www.sans.org/information-security-policy/
https://www.iso.org/home.html