Informados Más de la mitad de los CEOs no son informados del peor incidente del año 10 Semanas de Detección Promedio para detectar una brecha de seguridad 72h Plazo Regulatorio Tiempo para notificar al regulador según GDPR/NIS 55% Reducción de Impacto Con un plan bien ejecutado y ensayado Promedio de 4-5 semanas adicionales para entender completamente qué pasó durante el incidente.
para detectar, analizar, contener, erradicar y recuperar de un incidente de seguridad Estándares internacionales Basado en estándares reconocidos como NIST SP 800-61 e ISO/IEC 27035 Coordinación multidisciplinar Requiere coordinación técnica, legal y comunicacional entre múltiples equipos
Pantallas muestran nota de rescate. 2 Hora 1 (04:00) Equipo TI descubre backups también cifrados. Clientes reportan caídas en redes sociales. 3 Hora 3 (06:00) Medios contactan. "¿Confirman brecha de seguridad?" Trending en Twitter. Usted es el CEO. ¿Qué hace AHORA?
presiona por pagar, CISO recomienda no hacerlo 2. ¿Apagamos todo? Perder $500K/hora vs. contener amenaza 3. ¿Qué decimos públicamente? Clientes exigen respuestas en redes sociales 4. ¿Notificamos al regulador? Multas por no hacerlo vs. daño reputacional
$0 Impacto: Perdió $300M reconstruyendo en 10 días Resultado: Reputación intacta Colonial Pipeline (2021) Decisión: Pagó $4.4M Impacto: Paró gasolina costa Este EEUU Resultado: CEO en Congreso Decisión correcta: Activar War Room en menos de 15 minutos con CEO, CISO, Legal, CFO y PR
crisis inician de forma caótica • Decisiones contradictorias • Falta de coordinación entre equipos • Pérdida de evidencia crítica Con plan • Lo técnico y estratégico actúan juntos • Contención quirúrgica del incidente • Preservación adecuada de evidencia • Comunicación clara y efectiva
inicia con un síntoma visible como lentitud o caída de sistema Amenaza Oculta Mientras todos apagan fuegos, el atacante ya está adentro operando Presión Ejecutiva Presión por "volver a la normalidad" rápido sin resolver la raíz Sin Coordinación Sin playbook: decisiones contradictorias, falta de coordinación
Fase 1 Ataque DoS masivo como distracción visible 2 Fase 2 Infiltración silenciosa con credenciales comprometidas 3 Fase 3 Exfiltración de información crítica Error crítico: Se respondió al síntoma visible (DoS), no a la causa real del ataque. El ruido ocultaba la verdadera amenaza.
ataque DoS) frecuentemente oculta el verdadero ataque en curso. Los atacantes sofisticados utilizan tácticas de distracción deliberadamente. Lección fundamental: Hay que investigar más allá de la alerta inicial. Buscar patrones anómalos secundarios y correlacionar eventos aparentemente no relacionados.
amenazas, triage inicial y escalamiento de incidentes CSIRT Análisis forense, contención de amenazas, erradicación y coordinación técnica CISO Estrategia de respuesta, decisiones críticas y comunicación ejecutiva Legal Notificaciones regulatorias, gestión de contratos y preservación de evidencia legal
críticos CISO CEO CTO Notificar regulador Legal CISO CEO Comunicación pública CEO Legal PR Pagar rescate CEO CFO Legal/CISO Cada minuto cuenta en una crisis. La demora amplifica exponencialmente el daño.
- todos enfocados en "apagar el fuego" visible 02 Fase 2: Infiltración Infiltración silenciosa con credenciales comprometidas durante el caos 03 Fase 3: Exfiltración Exfiltración de datos críticos mientras la atención está en el DDoS Lección crítica: No responder solo al síntoma visible. Los ataques sofisticados usan múltiples vectores simultáneos.
Descarga masiva de datos Alerta UEBA (User Entity Behavior Analytics) Actuar 1. Revocar permisos sin notificar al empleado 2. Preservar evidencia (logs, cadena de custodia) 3. Investigar alcance de exfiltración 4. Activar Legal y RRHH para decisión de acciones
regulador ahora o esperamos más evidencia? Continuidad vs Contención ¿Apagamos sistemas críticos o mantenemos continuidad operativa? Comunicación ¿Comunicamos públicamente o manejamos internamente? Portavoz y Mensaje ¿Quién habla en nombre de la organización y qué mensaje damos?
regulador? (72h GDPR/NIS) - Evaluar obligaciones legales y plazos 2 Continuidad operativa ¿Apagamos sistemas críticos o seguimos operando? - Balance entre contención y negocio 3 Comunicación externa ¿Quién comunica externamente y qué se dice? - Proteger reputación sin ocultar hechos 4 Respaldo legal y técnico ¿Tenemos respaldo técnico y legal para cada acción? - Documentar decisiones y justificaciones La claridad en decisiones puede contener o amplificar una crisis. Cada minuto cuenta.
y Contención Responsable: Equipo técnico (CSIRT) Actúa de inmediato sin esperar autorización. Tiempo = daño. Contención técnica es automática. Evaluación y Contexto Responsable: CISO Filtra información técnica, evalúa alcance real, contextualiza para ejecutivos. Coordina evaluación técnica completa. Análisis de Impacto Responsable: Comité de crisis Legal evalúa obligaciones, CFO cuantifica pérdidas, Comunicaciones prepara mensajes. Decisión de NEGOCIO. Decisión Final Responsable: CEO Asume responsabilidad final con asesoría completa. Balancea riesgo técnico vs impacto de negocio vs reputación. La respuesta a incidentes NO es solo técnica - es un proceso de negocio que requiere coordinación ejecutiva clara.
Éxito y Fracaso Velocidad de Contención Equipo técnico NO espera autorización ejecutiva para contener. Cada minuto cuenta. La contención técnica es automática y no negociable. Filtrado Inteligente CISO contextualiza antes de escalar. No despiertes al CEO con datos crudos. Presenta alcance, impacto y opciones claras. Coordinación Multidisciplinar Legal + Finanzas + Comunicaciones trabajan en paralelo. No es solo un problema técnico - es una crisis de negocio completa. Responsabilidad Ejecutiva CEO asume decisión final con asesoría completa. Balancea riesgo técnico, impacto financiero, obligaciones legales y reputación. 72h Plazo GDPR Tiempo máximo para notificar autoridades tras confirmar brecha con acceso a datos personales. $5M Rescate Promedio Demanda típica en ataques de ransomware a empresas medianas y grandes. 48h Impacto Operativo Tiempo estimado de paralización al cortar integración con proveedor comprometido.
un incidente escala desde detección técnica hasta decisión de CEO es más valioso que memorizar roles individuales. Los ejecutivos aprenden de la secuencia completa, no solo de respuestas aisladas. Detección Equipo técnico identifica amenaza y activa protocolos de contención inmediata. Evaluación CISO analiza alcance, impacto y opciones disponibles con contexto de negocio. Coordinación Comité de crisis evalúa impacto legal, financiero, operativo y reputacional. Decisión CEO asume responsabilidad final balanceando todos los factores críticos. Comunicación Transparencia controlada con stakeholders antes de que descubran por su cuenta. Investigación Análisis forense completo para entender qué pasó y prevenir recurrencia. Usa estos 4 casos secuenciales para mostrar que la respuesta a incidentes requiere coordinación ejecutiva clara y decisiones rápidas bajo presión extrema.
en 10 días con un plan ensayado Target Perdió su CEO y $200M en demandas por improvisación La diferencia: un plan ensayado vs. improvisación Discusión Ejecutiva ¿Cuánto tiempo tomaría activar su War Room AHORA? ¿Tiene los 5 playbooks documentados y ensayados?