2. Operate
Diese Phase umfasst die täglichen Überwachungs- und Administrationsaufgaben, die zur Einhaltung der Richtlinien erforderlich sind. Hierzu gehört, Serviceprobleme und Sicherheitsverstöße sowie unberechtigte oder potenziell schädigende Modifikationen zu erkennen und zu beheben. Ferner umfasst sie das Incident-Management. Bei effektiver Implementierung sind Sicherheitsaufgaben wie Incident-, Problem- und Change-Management gewöhnlich in die bestehenden Arbeitsabläufe und IT-Prozesse des Unternehmens integriert. Hierbei gilt es jedoch zu beachten, dass spezielle Vorkehrungen für sicherheitsbezogene Incidents getroffen werden, für die häufig Security-Fachkenntnisse (etwa Computerforensik) sowie eine ordnungsgemäße Beweissicherung erforderlich sind. Die "Operate"-Phase besteht aus drei Schritten:
Effiziente Analyse von Security-Logs und -Events. Viele IT-Sicherheitsvorschriften (etwa HIPAA Security Rule) und -standards (zum Beispiel Cobit) erfordern eine Überprüfung der System- oder Sicherheitsaktivitäten. Das bedeutet, dass Logs in regelmäßigen Abständen zu überprüfen sind, was nicht nur zeitaufwändig und mühsam sein kann. Erschwerend kommt hinzu, dass in vielen Organisationen die Konsolidierung und Archivierung der Logfiles vorgeschrieben sind, damit sie für spätere Nachprüfungen oder Ermittlungen zur Verfügung stehen. Daher kommt der effizienten Analyse von Security-Logs und -Events eine hohe Bedeutung zu.
Bedrohungen, Änderungen und Richtlinienverstöße erkennen. Ebenso bedeutend ist es, Bedrohungen, Änderungen und Richtlinienverstöße zu identifizieren. Das Spektrum reicht von automatisch ablaufenden Schadprogrammen wie Würmern und Viren über verärgerte Mitarbeiter bis hin zu Hackern und Kriminellen - und kann unerwartet auftreten. Vor allem unberechtigte Änderungen sowie Richtlinienverstöße gefährden die Sicherheit von Systemen und können sich direkt auf die Performance auswirken.
Security-Incidents managen. Neben versuchten und vollendeten Angriffen umfasst der Begriff "Security Incident" Verstöße gegen Richtlinien - etwa einen unberechtigten Zugriff auf Ressourcen sowie berechtigte beziehungsweise unberechtigte Änderungen an Sicherheits- und Kontrollmechanismen. Die Art des Incident bestimmt, auf welche Weise, wie schnell und mit welchem IT-Personal das Problem zu beheben ist. Darüber hinaus gibt es Sicherheitsvorfälle, die keine weiteren Maßnahmen erfordern, jedoch zu statistischen Zwecken oder für mögliche spätere Ermittlungen aufzuzeichnen sind.