Respuesta a Incidentes

Transcript

1. www.kahoot.it

2. Respuesta a Incidentes Masterclass Ejecutiva: De la Teoría a la

   Acción Mario Orellana – Torres AICI – [email protected]

3. Son las 3:00 AM del Domingo Sus sistemas están cifrados.

   Una nota exige $5 millones en Bitcoin. Sus clientes empiezan a publicar en redes que no pueden acceder a sus cuentas.

4. La Realidad: El Caos es la Norma 50% CEOs No

   Informados Más de la mitad de los CEOs no son informados del peor incidente del año 10 Semanas de Detección Promedio para detectar una brecha de seguridad 72h Plazo Regulatorio Tiempo para notificar al regulador según GDPR/NIS 55% Reducción de Impacto Con un plan bien ejecutado y ensayado Promedio de 4-5 semanas adicionales para entender completamente qué pasó durante el incidente.

5. Evento vs Incidente vs Brecha Evento Actividad anómala o inesperada

   que puede ser benigna Incidente Evento que afecta activos de información de la organización Brecha Pérdida, robo o exposición de datos sensibles

6. ¿Qué es respuesta a incidentes? Procesos estructurados Conjunto de procesos

   para detectar, analizar, contener, erradicar y recuperar de un incidente de seguridad Estándares internacionales Basado en estándares reconocidos como NIST SP 800-61 e ISO/IEC 27035 Coordinación multidisciplinar Requiere coordinación técnica, legal y comunicacional entre múltiples equipos

7. Ransomware Activo 1 Hora 0 (03:00) Servidores de producción cifrados.

   Pantallas muestran nota de rescate. 2 Hora 1 (04:00) Equipo TI descubre backups también cifrados. Clientes reportan caídas en redes sociales. 3 Hora 3 (06:00) Medios contactan. "¿Confirman brecha de seguridad?" Trending en Twitter. Usted es el CEO. ¿Qué hace AHORA?

8. Sus Primeras 4 Decisiones Críticas 1. ¿Pagamos el rescate? CFO

   presiona por pagar, CISO recomienda no hacerlo 2. ¿Apagamos todo? Perder $500K/hora vs. contener amenaza 3. ¿Qué decimos públicamente? Clientes exigen respuestas en redes sociales 4. ¿Notificamos al regulador? Multas por no hacerlo vs. daño reputacional

9. Lo Que Pasó en Casos Reales Maersk (2017) Decisión: Pagó

   $0 Impacto: Perdió $300M reconstruyendo en 10 días Resultado: Reputación intacta Colonial Pipeline (2021) Decisión: Pagó $4.4M Impacto: Paró gasolina costa Este EEUU Resultado: CEO en Congreso Decisión correcta: Activar War Room en menos de 15 minutos con CEO, CISO, Legal, CFO y PR

10. Ciclo de Respuesta (NIST SP 800-61) 1. Preparación Playbooks, roles

    claros, herramientas, simulacros regulares 2. Detección y Análisis SOC, SIEM, logs, correlación de eventos, priorización 3. Contención y Recuperación Aislar, erradicar amenaza, restaurar servicios 4. Post-Incidente Lecciones aprendidas, mejora continua

11. ¿Qué pasa en la vida real? Sin plan • Las

    crisis inician de forma caótica • Decisiones contradictorias • Falta de coordinación entre equipos • Pérdida de evidencia crítica Con plan • Lo técnico y estratégico actúan juntos • Contención quirúrgica del incidente • Preservación adecuada de evidencia • Comunicación clara y efectiva

12. ¿Qué Pasa en la Vida Real? Crisis Visible La crisis

    inicia con un síntoma visible como lentitud o caída de sistema Amenaza Oculta Mientras todos apagan fuegos, el atacante ya está adentro operando Presión Ejecutiva Presión por "volver a la normalidad" rápido sin resolver la raíz Sin Coordinación Sin playbook: decisiones contradictorias, falta de coordinación

13. Caso real: Ataque compuesto Análisis de incidente complejo (Deloitte) 1

    Fase 1 Ataque DoS masivo como distracción visible 2 Fase 2 Infiltración silenciosa con credenciales comprometidas 3 Fase 3 Exfiltración de información crítica Error crítico: Se respondió al síntoma visible (DoS), no a la causa real del ataque. El ruido ocultaba la verdadera amenaza.

14. No responder solo al síntoma El ruido visible (como un

    ataque DoS) frecuentemente oculta el verdadero ataque en curso. Los atacantes sofisticados utilizan tácticas de distracción deliberadamente. Lección fundamental: Hay que investigar más allá de la alerta inicial. Buscar patrones anómalos secundarios y correlacionar eventos aparentemente no relacionados.

15. Roles Clave: ¿Quién Hace Qué? SOC Monitoreo 24/7, detección de

    amenazas, triage inicial y escalamiento de incidentes CSIRT Análisis forense, contención de amenazas, erradicación y coordinación técnica CISO Estrategia de respuesta, decisiones críticas y comunicación ejecutiva Legal Notificaciones regulatorias, gestión de contratos y preservación de evidencia legal

16. Matriz RACI: Decisiones Críticas Decisión Responsable Aprueba Consulta Apagar sistemas

    críticos CISO CEO CTO Notificar regulador Legal CISO CEO Comunicación pública CEO Legal PR Pagar rescate CEO CFO Legal/CISO Cada minuto cuenta en una crisis. La demora amplifica exponencialmente el daño.

17. Flujo de Escalamiento en Crisis SOC Detección inicial y triage

    CSIRT Análisis técnico profundo CISO Decisiones estratégicas Comité de Crisis Coordinación ejecutiva Cada minuto cuenta. La demora amplifica el daño.

18. Caso Real: Ataque Compuesto 01 Fase 1: Distracción DDoS masivo

    - todos enfocados en "apagar el fuego" visible 02 Fase 2: Infiltración Infiltración silenciosa con credenciales comprometidas durante el caos 03 Fase 3: Exfiltración Exfiltración de datos críticos mientras la atención está en el DDoS Lección crítica: No responder solo al síntoma visible. Los ataques sofisticados usan múltiples vectores simultáneos.

19. Ransomware: Playbook ejecutivo Detectar • Archivo cifrado • Nota de

    rescate • Host no responde Actuar 1. Aislar host de la red inmediatamente 2. Capturar evidencia forense (memoria, logs) 3. Restaurar desde backup limpio offline 4. Decisión ejecutiva: pagar/no pagar (Legal + CISO + CEO)

20. Phishing: Playbook ejecutivo 01 Detectar Usuario reporta correo sospechoso o

    login desde ubicación extraña 02 Revocar acceso Forzar cambio de credenciales inmediatamente 03 Revisar logs ¿Correos enviados? ¿Datos descargados? 04 Alertar usuarios Notificar a potencialmente afectados 05 Buscar patrones Identificar más usuarios comprometidos

21. Amenaza interna: Playbook ejecutivo Detectar Acceso fuera de horario laboral

    Descarga masiva de datos Alerta UEBA (User Entity Behavior Analytics) Actuar 1. Revocar permisos sin notificar al empleado 2. Preservar evidencia (logs, cadena de custodia) 3. Investigar alcance de exfiltración 4. Activar Legal y RRHH para decisión de acciones

22. Brecha en la nube y Proveedor comprometido Brecha en la

    nube Detectar: Alerta CSPM, bucket público, claves expuestas en GitHub Actuar: Revocar credenciales IAM comprometidas, hacer privado bucket expuesto, snapshot antes de cambios, revisar CloudTrail (¿quién accedió? ¿qué descargó?), corregir configuraciones erróneas Proveedor comprometido Detectar: Notificación del proveedor o tráfico anómalo hacia sus APIs Actuar: Cortar acceso e integraciones inmediatamente, buscar IoCs en logs históricos (6 meses), evaluar impacto contractual y SLAs, decidir notificación regulatoria si hubo compromiso interno

23. Decisiones que Solo Usted Puede Tomar Notificación Regulatoria ¿Notificamos al

    regulador ahora o esperamos más evidencia? Continuidad vs Contención ¿Apagamos sistemas críticos o mantenemos continuidad operativa? Comunicación ¿Comunicamos públicamente o manejamos internamente? Portavoz y Mensaje ¿Quién habla en nombre de la organización y qué mensaje damos?

24. ¿Qué debe decidir un ejecutivo? 1 Notificación regulatoria ¿Notificamos al

    regulador? (72h GDPR/NIS) - Evaluar obligaciones legales y plazos 2 Continuidad operativa ¿Apagamos sistemas críticos o seguimos operando? - Balance entre contención y negocio 3 Comunicación externa ¿Quién comunica externamente y qué se dice? - Proteger reputación sin ocultar hechos 4 Respaldo legal y técnico ¿Tenemos respaldo técnico y legal para cada acción? - Documentar decisiones y justificaciones La claridad en decisiones puede contener o amplificar una crisis. Cada minuto cuenta.

25. Anatomía de un Playbook Ejecutivo 1 Escenario específico Ransomware, Phishing,

    Insider, Cloud, Proveedor 2 TTPs (MITRE ATT&CK) Tácticas y técnicas del atacante documentadas 3 Indicadores de activación Logs SIEM, alertas EDR, reportes usuarios 4 Controles preventivos EDR, backups offline, MFA, DLP, segmentación 5 Acciones inmediatas Timeline minuto a minuto con responsables asignados 6 Evidencia forense Memoria (Volatility), logs, CloudTrail, tráfico de red 7 Normativa aplicable ISO 27035, NIST 800-61, ENS, GDPR

26. Matriz de Decisiones Críticas ¿Quién Tiene la Última Palabra? Ransomware

    - Pagar Rescate Decisor final: CEO Con asesoría de: Legal + CFO + CISO Legal evalúa legalidad, CFO impacto financiero, CISO viabilidad técnica. CEO asume responsabilidad final. Proveedor - Cortar Acceso Decisor final: COO/CEO Con asesoría de: CISO + Legal + Operaciones CISO recomienda técnicamente, Legal revisa contratos, Ops cuantifica impacto operativo. Cloud - Notificar 2M Clientes Decisor final: CEO Con asesoría de: Legal + Comunicaciones Legal lidera obligaciones regulatorias, Comunicaciones ejecuta estrategia de mensaje. Producción - Apagar Sistemas Decisor final: CEO/COO Con asesoría de: CISO + CFO CISO recomienda contención, CFO confirma pérdida operativa estimada.

27. El Patrón Ejecutivo Común La Secuencia que Salva Organizaciones Detección

    y Contención Responsable: Equipo técnico (CSIRT) Actúa de inmediato sin esperar autorización. Tiempo = daño. Contención técnica es automática. Evaluación y Contexto Responsable: CISO Filtra información técnica, evalúa alcance real, contextualiza para ejecutivos. Coordina evaluación técnica completa. Análisis de Impacto Responsable: Comité de crisis Legal evalúa obligaciones, CFO cuantifica pérdidas, Comunicaciones prepara mensajes. Decisión de NEGOCIO. Decisión Final Responsable: CEO Asume responsabilidad final con asesoría completa. Balancea riesgo técnico vs impacto de negocio vs reputación. La respuesta a incidentes NO es solo técnica - es un proceso de negocio que requiere coordinación ejecutiva clara.

28. Lecciones Clave para Ejecutivos Lo que Marca la Diferencia Entre

    Éxito y Fracaso Velocidad de Contención Equipo técnico NO espera autorización ejecutiva para contener. Cada minuto cuenta. La contención técnica es automática y no negociable. Filtrado Inteligente CISO contextualiza antes de escalar. No despiertes al CEO con datos crudos. Presenta alcance, impacto y opciones claras. Coordinación Multidisciplinar Legal + Finanzas + Comunicaciones trabajan en paralelo. No es solo un problema técnico - es una crisis de negocio completa. Responsabilidad Ejecutiva CEO asume decisión final con asesoría completa. Balancea riesgo técnico, impacto financiero, obligaciones legales y reputación. 72h Plazo GDPR Tiempo máximo para notificar autoridades tras confirmar brecha con acceso a datos personales. $5M Rescate Promedio Demanda típica en ataques de ransomware a empresas medianas y grandes. 48h Impacto Operativo Tiempo estimado de paralización al cortar integración con proveedor comprometido.

29. La Secuencia es Más Valiosa que la Respuesta Ver cómo

    un incidente escala desde detección técnica hasta decisión de CEO es más valioso que memorizar roles individuales. Los ejecutivos aprenden de la secuencia completa, no solo de respuestas aisladas. Detección Equipo técnico identifica amenaza y activa protocolos de contención inmediata. Evaluación CISO analiza alcance, impacto y opciones disponibles con contexto de negocio. Coordinación Comité de crisis evalúa impacto legal, financiero, operativo y reputacional. Decisión CEO asume responsabilidad final balanceando todos los factores críticos. Comunicación Transparencia controlada con stakeholders antes de que descubran por su cuenta. Investigación Análisis forense completo para entender qué pasó y prevenir recurrencia. Usa estos 4 casos secuenciales para mostrar que la respuesta a incidentes requiere coordinación ejecutiva clara y decisiones rápidas bajo presión extrema.

30. Stack Tecnológico y Marcos de Referencia Stack Tecnológico Esencial •

    SIEM: Exabeam, Splunk - Correlación eventos 24/7 • EDR: CrowdStrike, SentinelOne - Detección endpoint + rollback • Forense: Volatility (memoria), Wireshark (red), CloudTrail (cloud) • DLP: Prevención fuga datos, monitoreo transferencias • UEBA: Análisis comportamiento usuarios anómalo • SOAR: Orquestación respuesta automatizada Marcos de Referencia • NIST SP 800-61 Rev 2: Guía completa IR (estándar oro) • ISO/IEC 27035: Gestión incidentes seguridad información • NIS Directive (EU): Requisitos regulatorios notificación • GDPR Art. 33: 72 horas notificación brecha datos • ENS (España): Respuesta operativa marco nacional

31. La Diferencia Entre Caos y Control Maersk Reconstruyó 4,000 servidores

    en 10 días con un plan ensayado Target Perdió su CEO y $200M en demandas por improvisación La diferencia: un plan ensayado vs. improvisación Discusión Ejecutiva ¿Cuánto tiempo tomaría activar su War Room AHORA? ¿Tiene los 5 playbooks documentados y ensayados?