L’onere della prova è l’obbligo di supportare un’affermazione, un rifiuto o un’eccezione con prove e una motivazione documentata. Nelle operazioni di cybersecurity e privacy, ciò significa spesso mostrare log, ticket, riferimenti alle policy e note di revisione prima che una decisione sia considerata valida. Non basta dire che una richiesta era “abusiva”, che un utente era “non autorizzato” o che un alert era “chiaramente malevolo”; l’organizzazione deve essere in grado di spiegare il perché.
Questo è importante perché le controversie sulla sicurezza si decidono sui registri, non sulle ipotesi. Nelle difese reali, buoni audit trail aiutano a dimostrare perché l’accesso è stato bloccato, i dati sono stati redatti o un incidente è stato escalato. Negli attacchi, i criminali possono cercare di sfruttare una documentazione debole inondando i team di richieste o creando confusione su ciò che è accaduto. Una registrazione solida, un triage coerente e una motivazione scritta rendono più facile difendere le decisioni e più difficile far valere affermazioni false.