Após a atividade incomum ter sido reconhecida, o primeiro passo é identificar o tipo de ataque e se houve roubo de informações.
Em seguida, eventuais danos são reduzidos com a aplicação de medidas de segurança emergênciais, como bloqueio de acessos.
Finalmente, vestígios do ataque são então eliminados com a exclusão de dados infectados e a remoção de permissões indevidas.
O Relatório Executivo contendo sugestões de melhorias de longo prazo, para diminuir a possibilidade de novos ataques é emitido.