É inevitável uma rede sofrer intrusões ou o uso maléfico de seus recursos. Esta parte aborda algumas medidas pró-ativas que um administrador pode tomar para evitar quebras na segurança, tais como formar uma equipe de resposta a emergências, capaz de responder rápida e efetivamente a questões de segurança. Além disso, esta parte também detalha os passos a tomar para agupar e analisar as evidências de uma quebra na segurança após o fato ter ocorrido.