Qubit Technologies
CA ES EN

Publicat el 29 de maig del 2026 · per Qubit Technologies

Què fer (i què no) en la primera hora d'un incident

Els primers seixanta minuts d'un incident de seguretat marquen bona part del que ve després. Quins passos fer, quins errors evitar i per què apagar la màquina sol empitjorar-ho tot.

Quan una empresa descobreix que alguna cosa va malament, un equip xifrat, un accés estrany a mitjanit, una transferència que ningú no reconeix, el que passa en els primers seixanta minuts marca bona part del que vindrà després.

És també el moment en què més errors es cometen, perquè la reacció instintiva gairebé mai no és la correcta. El primer impuls sol ser apagar el que falla, arreglar-ho en silenci i no alarmar ningú. Les tres coses, fetes a la lleugera, us poden costar molt cares.

Això és el que convé fer en aquesta primera hora. I, sobretot, el que no.

No apagueu la màquina

És el reflex més comú i un dels més perjudicials. Davant d’un equip compromès, el natural sembla apagar-lo per tallar de soca-rel.

El problema és que bona part de la informació que necessita un analista per entendre què ha passat viu a la memòria de la màquina mentre està encesa. Processos en execució, connexions obertes, claus de xifratge que encara no s’han escrit al disc. En apagar, tot això desapareix. Haureu tallat l’incident, però també haureu esborrat els rastres que expliquen com van entrar i fins on van arribar.

Aïllar no és el mateix que apagar. I aïllar és el que sí que cal fer.

Aïlleu sense destruir

El que voleu és tallar-li l’accés a l’atacant sense perdre l’estat del sistema. Desconnecteu l’equip de la xarxa, retireu el cable o deshabiliteu el wifi, però deixeu-lo encès. Si és una màquina virtual, suspeneu-la en lloc d’apagar-la, que conserva la memòria.

La idea és la mateixa per a tota la primera hora. Contenir el dany sense tocar més del que és imprescindible. Cada acció improvisada sobre el sistema afectat és una pista que es perd o, pitjor, una prova que es contamina si l’incident acaba en una denúncia o en una reclamació a l’assegurança.

Anoteu l’hora de tot des del minut zero

Tan bon punt sospiteu que hi ha un incident, obriu un document i comenceu a registrar. Què s’ha vist, a quina hora, qui ho ha vist, què s’ha fet en resposta i a quina hora.

Sembla burocràcia enmig d’una urgència, però aquesta línia temporal val or després. És el que permet reconstruir l’incident, justificar les decisions que vau prendre i respondre a les preguntes de l’assegurança, del regulador o d’un client afectat. La memòria de les persones es deforma amb l’estrès. El registre escrit en calent no.

Aviseu en l’ordre correcte

Aquí és on la majoria improvisa, i on un pla previ es nota moltíssim.

La persona que detecta el problema gairebé mai no és la que ha de decidir, així que el primer és escalar a qui té autoritat per prendre decisions. A partir d’aquí entren l’equip tècnic que contindrà i la direcció que assumeix les decisions de negoci. Segons el cas, també l’assessor legal i la companyia d’assegurances. Si hi ha dades personals pel mig, el rellotge de la notificació a l’autoritat de protecció de dades ja està corrent.

El que no heu de fer és escriure a l’atacant, ni tocar res que delati que us n’heu adonat, fins que l’equip tècnic tingui una foto clara de la situació.

No improviseu l’arreglada ràpida

El “ho soluciono jo en cinc minuts” és comprensible i sol sortir caríssim.

Esborrar els fitxers del ransomware, reinstal·lar el servidor o restaurar una còpia damunt del sistema compromès sense entendre abans com van entrar té dues conseqüències. Destruïu la informació que explica l’atac i molt probablement deixeu oberta la porta per on van arribar, així que tornaran. Primer s’entén l’abast, després es neteja. En aquest ordre.

Amb el ransomware, a més, hi ha una regla afegida. No pagueu ni respongueu res per impuls. Aquesta decisió es pren amb assessorament legal i tècnic, mai a les dues de la matinada amb l’ensurt al cos.

Prepareu-vos abans de necessitar-ho

Tot l’anterior és moltíssim més fàcil si està decidit per endavant. Qui escala a qui, quins telèfons s’usen si el correu corporatiu està caigut, on són les còpies de seguretat i qui les sap restaurar, quin proveïdor extern truqueu si la cosa us supera.

I aquí convé recordar una cosa que ja vam explicar quan vam parlar de per què passar una auditoria de compliment no significa estar segurs. Tenir un pla de resposta escrit en un document no és el mateix que ser capaços d’executar-lo sota pressió. El pla s’assaja, igual que un simulacre d’incendi. La primera vegada que el proveu no hauria de ser el dia real.

La primera hora d’un incident és caòtica per definició. No la viureu amb calma, però sí que la podeu viure amb mètode. I el mètode, gairebé sempre, és la diferència entre un mal dia i una crisi que es recorda durant anys.

Si voleu preparar la vostra organització per respondre bé quan arribi el moment, escriviu-nos a [email protected].

Voleu auditar de debò la vostra seguretat?

Si després de llegir aquest article voleu posar a prova la seguretat real de la vostra organització, escriviu-nos i plantegem un abast ajustat al vostre context.

Contactar amb nosaltres