A Caso o dano e o escopo de um incidente sejam muito amplos, pode ser necessário realizar uma ação que invoque as cláusulas penais especificadas nos contratos. Por isso é importante que as ações a serem realizadas em caso de um incidente sejam discutidas com antecedência e estejam descritas no plano de respostas.
B Tentar impedir que os invasores saibam que a equipe está atenta às atividades deles. Isso pode ser difícil, pois algumas respostas essenciais podem alertá-los, mas é importante que seja tentado. Caso a invasão seja interna, por exemplo, uma reunião de emergência da CSIRT ou a solicitação de alteração imediata de todas as senhas poderia alertá-los.
C Determinar o(s) ponto(s) de acesso usado(s) pelo invasor e implementar medidas que impeçam o acesso futuro. As medidas podem incluir: desabilitar um modem, adicionar entradas de controle de acesso a um roteador ou firewall ou aumentar as medidas de segurança física.
D Considerar a criação de um sistema totalmente novo com novos discos rígidos, mudando todas as senhas. Neste caso os discos rígidos existentes devem ser removidos e armazenados, porque podem ser usados como evidência caso se opte por processar os invasores.
E O sistema deve ser imediatamente desconectado da rede, antes mesmo de avaliar a gravidade do dano e os níveis de SLA. Depois deve-se comparar os custos de deixar os sistemas comprometidos offline com os riscos da continuidade das operações.