Durante el ataque
5. Mitigue la infección y elimine el vector de ataque: la remoción de la pieza maliciosa implica un análisis minucioso del código para comprender su funcionamiento. Si los atacantes no son erradicados de la red, pueden retomar sus actividades fraudulentas sobre los equipos infectados a través de otro vector de ataque. Por último, se debe fortalecer el análisis de los paquetes que transitan la red para evitar que otros equipos sean infectados y cambiar las contraseñas en las redes corporativas.
Después del ataque
6. Determine el alcance de la infección: en este paso, la rapidez de reacción es sumamente importante: si previamente se tomaron los recaudos necesarios y se invirtió en el desarrollo de sistemas de gestión de contingencias, se puede lograr una rápida respuesta a ciertas preguntas, como, por ejemplo: ¿Qué sistemas han sido comprometidos y de qué manera?, ¿La infección se limita a un único equipo o subred? ¿Se han filtrado datos sensibles? ¿Se trata de datos corporativos, o de datos privados de los empleados o clientes?
7. Asegure la continuidad del servicio: si la fuga de información compromete a los empleados o usuarios finales, se deberá alertar y aconsejar a los mismos para que estén al tanto de cualquier movimiento extraño que puedan apreciar sobre sus datos. Si algún equipo físico resultó severamente comprometido, deben ponerse en marcha procesos de activación de recursos de respaldo, a fin de mantener el servicio al cliente. Por ello, resulta importante contar con una planificación de defensas contra ataques a la disponibilidad y con un procedimiento de acción definido a nivel organizacional.
8. Aprenda de los errores: realizar una profunda investigación de lo acontecido, ayuda a mejorar los procesos dentro de la organización. La eliminación de vulnerabilidades, brinda la oportunidad de fortalecer el perímetro de las redes empresariales, identificando otros potenciales puntos de acceso al sistema que antes no habían sido considerados dentro del abanico de vectores de ataque.
4. Contenga la infección: La suspensión de los segmentos de red, evita que la infección continúe propagándose a través de la red corporativa. Resulta crucial la implementación de una solución de seguridad corporativa integral. Ésta permitirá bloquear los estragos que intente causar cualquier agente malicioso que haya logrado saltar las barreras de defensa.