Tenemos un servidor de aplicaciones web y una base de datos en AWS.
¿Existe alguna política de "acción inmediata" en algún lugar que podamos adoptar en cuanto a los pasos que podemos tomar cuando sospechamos o detectamos una violación de datos?
Hay libros sobre este tema bajo el encabezado del tema "forense cibernética".
Normalmente, querrá obtener una imagen de toda la memoria de las computadoras involucradas y luego de las unidades, para poder averiguar qué se ha tomado. También desea revisar y organizar todos sus registros de red. También desea quitar las máquinas infectadas para capturar el flujo de paquetes por motivos de vigilancia. Esto se puede hacer en el switch o utilizando hardware especializado como un sniffer SharkTap básico. Es recomendable que te prepares para tocar y copiar antes de tiempo, así que si necesitas hacerlo, no hay demora.
También debes evitar evitar que los piratas informáticos los noten. No vayas a cerrar cosas, porque entonces se irán y se esconderán. Quieres fingir que no ha pasado nada, así que siguen haciendo cosas. Si puede descubrir cómo mirarlos, estará en una posición mucho mejor para determinar qué se puede haber copiado y tal vez incluso poder atraparlos.
Lea otras preguntas en las etiquetas threat-mitigation