- Aislar los sistemas infectadosDesconecte inmediatamente los sistemas infectados de la red para evitar la propagación del ransomware. Esto puede incluir deshabilitar Wi-Fi, desconectar cables de red y apagar Bluetooth.
- Asegurar las copias de seguridadLas copias de seguridad son el recurso más importante para recuperarse de un ataque de ransomware, lo que las convierte en un objetivo para los ciberdelincuentes. Para evitar su compromiso, asegúrese de que los sistemas de respaldo estén completamente desconectados de la red y restrinja el acceso a ellos hasta que el incidente sea resuelto.
- Activar el equipo de respuestaEstablezca una comunicación fluida y frecuente entre los miembros clave del equipo de respuesta a incidentes, incluyendo los departamentos legales, de TI, seguridad, comunicaciones, negocio y soporte externo.
- Evaluar el impacto en el negocioLa magnitud del impacto en las operaciones determinará la prioridad de las medidas de respuesta y recuperación.
- Escalar internamenteSegún la gravedad del incidente, escale el problema de manera oportuna a los ejecutivos y la junta directiva.
- Involucrar a las autoridadesLas fuerzas de seguridad pueden proporcionar indicadores de compromiso e información adicional sobre variantes específicas de ransomware para ayudar en la investigación y protección de los sistemas. En algunos casos, podrán proporcionar claves de descifrado o rastrear y recuperar los pagos del rescate.
- Obtener apoyo externoInvolucre expertos externos según sea necesario para asistir en la investigación forense, negociar con los actores de la amenaza, facilitar pagos de ransomware, brindar apoyo en comunicación de crisis, analizar datos comprometidos e identificar personas afectadas, así como gestionar las notificaciones requeridas.
- Desarrollar e iniciar una estrategia de recuperaciónEvalúe la viabilidad de restaurar los sistemas y datos a partir de copias de seguridad. Si no es posible y no se dispone de una clave de descifrado, desarrolle una estrategia para negociar con los atacantes y realice la debida diligencia para garantizar que cualquier pago cumpla con las regulaciones y restricciones legales aplicables.
- Considerar la estrategia de comunicación y las obligaciones legalesPrepare y ejecute una estrategia para comunicarse con aseguradoras, clientes, empleados, inversores, personas afectadas y organismos reguladores, como reguladores sectoriales y fiscales estatales. Esto incluye evaluar las obligaciones de notificación y divulgación legales, regulatorias y contractuales.
- Documentar la investigación y las lecciones aprendidas
También es importante valorar la preparación de un informe confidencial sobre el incidente, la respuesta, las medidas correctivas y la resolución. Asimismo, identifique oportunidades para mejorar la postura de seguridad de la empresa y los procedimientos de respuesta ante incidentes futuros.
