Acción 1

Crear una lista de control

¿Qué sistemas se ven afectados? ¿Qué datos se ven afectados? ¿Qué métodos puede utilizar para contener la situación? ¿Qué impacto tendrán estos métodos en:

• Operaciones normales de la empresa
• Protección de la exfiltración de datos
• Preservación de las pruebas

Estas listas pasan a formar parte de la documentación del incidente y deben actualizarse a medida que éste avanza.

---

Acción 2

Documentar todas las actividades

Mantenga un registro de todas las acciones realizadas y de la hora en que se produjeron. Esto es especialmente importante cuando se toman acciones que pueden afectar a las pruebas. También es útil a la hora de restaurar los sistemas y determinar qué sistemas pueden seguir estando en peligro. Deben mantenerse registros de los sistemas que no son accesibles.

---

Acción 3

Back Up!

Los sistemas de producción y los datos deben ser respaldados antes de realizar cambios. Esta política se aplica especialmente a los programas maliciosos. Incluso si el software antivirus informa de que un archivo es una variante concreta, es probable que haya información adicional que se pueda recopilar de los archivos maliciosos, incluidas las direcciones IP de los servidores de mando y control, los enlaces a otras cargas útiles maliciosas y los datos de la línea de tiempo. También es posible que cualquier malware identificado como un tipo por el software antivirus sea una variante de una familia con comportamiento y capacidades diferentes o adicionales.

---

Acción 4

Triangular la plataforma y los sistemas en riesgo

Una vez identificado un incidente, los sistemas inmediatamente afectados son fácilmente identificables. También hay que tener en cuenta cómo interactúan esos sistemas con el resto de la red, qué información puede haber en ellos y cómo esa información podría permitir a un atacante pivotar hacia otros sistemas. Esta información va desde la configuración del sistema y de las aplicaciones (por ejemplo, relaciones de confianza, credenciales de cuentas, API) hasta la inteligencia (por ejemplo, plantillas de correo electrónico estándar, diagramas de red, organigramas). Los atacantes utilizan muchos métodos para explotar los sistemas comprometidos y obtener acceso a otros sistemas y datos del entorno.

---

Acción 5

Contener y mantener

Una vez que conozca los sistemas en riesgo y tenga una cierta comprensión de la violación, podrá determinar el método más eficaz para proteger sus sistemas y datos. Debe tener en cuenta que la contención es un enfoque a corto plazo diseñado para "detener la hemorragia". Algunas acciones de contención sólo pueden durar el tiempo suficiente para permitirle aplicar soluciones más completas. Por ejemplo, desconectar toda la red mientras se revisan y actualizan las reglas del cortafuegos. Al aplicar las acciones de contención, considere el impacto en los sistemas de producción y las posibles pruebas.

---

Acción 6

Obligaciones de la Ley de Notificación de Infracciones de Datos

Los requisitos de notificación de violaciones varían significativamente de una jurisdicción legal a otra. Debe tener en cuenta tanto el lugar en el que se ha producido la violación como la ubicación de cualquier persona cuyos datos estén en peligro. En algunos casos (por ejemplo, en la UE), aunque sus sistemas no estén ubicados en esa jurisdicción, si la información personal de las personas que se encuentran en esa región se ve afectada, usted está obligado a notificarles. Debe tener en cuenta las leyes estatales y federales y las relaciones comerciales junto con el tipo de datos en riesgo. Por ejemplo, se aplican normas diferentes a los datos de las tarjetas de crédito y a la información médica.

---

Acción 7

Pedir un abogado!

Un método para estar seguro de que está cumpliendo con las obligaciones legales es contratar a un bufete de abogados que se especialice en la ley de infracción cibernética.  GM Sectec tiene una lista preferida de bufetes de abogados líderes con los que trabajamos regularmente.

---

Acción 8

Notificar!

Además de los requisitos legales para notificar a las partes afectadas, considere cómo el incidente y las acciones de contención influirán en sus usuarios y socios. ¿Hay efectos inmediatos que deban conocer? ¿Existe el riesgo de que los sistemas de los socios se vean afectados? ¿Hay acciones que sus usuarios deban tomar para ayudar a contener la brecha?