Respuesta a Incidentes - Preguntas y Respuestas

Transcript

1. Caso 1: Ransomware Pregunta 1 de 4 03:00 AM: Tu

   equipo técnico descubre sistemas cifrados. Nota de rescate: $5M. ¿Quién toma la decisión de AISLAR los sistemas afectados? A) CEO debe autorizar primero B) Equipo técnico (CSIRT) actúa de inmediato sin esperar C) CISO debe consultar con Legal D) Comité de crisis debe reunirse Lección clave: Contención técnica NO requiere aprobación ejecutiva. Tiempo = daño.

2. Caso 1: Ransomware Pregunta 2 de 4 03:30 AM: Sistemas

   aislados. Equipo técnico confirma: "Backups también cifrados". ¿A quién debe informar PRIMERO el equipo técnico? A) CEO directamente B) CISO, quien evalúa alcance antes de escalar C) Legal y Comunicaciones D) Medios de comunicación Lección clave: Cadena correcta: Equipo técnico → CISO → Comité ejecutivo. CISO filtra y contextualiza antes de despertar al CEO.

3. Caso 1: Ransomware Pregunta 3 de 4 06:00 AM: CISO

   informa CEO: "Backups comprometidos. Sin recuperación rápida". ¿Qué áreas convoca el CEO de inmediato? A) Solo TI para resolver técnicamente B) Legal + Finanzas + Comunicaciones (comité de crisis) C) Recursos Humanos + Auditoría D) Clientes y proveedores Lección clave: Legal evalúa obligación regulatoria. Finanzas cuantifica pérdidas. Comunicaciones prepara mensajes. Es decisión de NEGOCIO ahora.

4. Caso 1: Ransomware Pregunta 4 de 4 09:00 AM: Comité

   reunido. Atacante mantiene presión: "24h o duplicamos precio". ¿Quién decide si PAGAR el rescate? A) CISO tiene autoridad técnica B) CFO evalúa costo-beneficio C) CEO con asesoría de Legal, CFO y CISO D) Junta Directiva debe aprobar Lección clave: Legal evalúa legalidad, CFO impacto financiero, CISO viabilidad técnica. CEO asume responsabilidad final.

5. Caso 2: Proveedor Comprometido Pregunta 1 de 4 10:00 AM:

   Tu proveedor crítico de software notifica: "Fuimos hackeados. Investigando alcance". ¿Qué hace tu equipo técnico PRIMERO? A) Esperar más detalles del proveedor B) Revisar conexiones activas y registros de acceso del proveedor C) Informar CEO y esperar instrucciones D) Notificar a clientes de inmediato Lección clave: No confíes solo en notificación del proveedor. Tu equipo debe verificar INTERNAMENTE si hubo actividad sospechosa.

6. Caso 2: Proveedor Comprometido Pregunta 2 de 4 11:00 AM:

   Equipo técnico confirma: "Proveedor tuvo acceso a nuestros sistemas hace 6 meses". ¿A quién escala el equipo técnico esta información? A) Departamento de Compras (ellos gestionan proveedores) B) CISO, quien evalúa exposición y activa protocolo C) Legal directamente D) CEO de inmediato Lección clave: CISO coordina evaluación técnica: ¿Qué accedió? ¿Cuándo? ¿Qué evidencia tenemos? Luego escala con contexto.

7. Caso 2: Proveedor Comprometido Pregunta 3 de 4 01:00 PM:

   CISO informa COO: "Necesitamos cortar integración con proveedor. Paraliza operaciones 48h". ¿Quién evalúa si cortar o no la conexión? A) CISO decide unilateralmente (es decisión técnica) B) COO/CEO balancea riesgo vs impacto operativo C) Legal evalúa responsabilidades contractuales D) Proveedor debe confirmar que está limpio Lección clave: CISO recomienda técnicamente. COO/CEO evalúa: ¿Riesgo de seguir conectado > pérdida operativa de 48h? Solo ejecutivo puede asumir esa decisión.

8. Caso 2: Proveedor Comprometido Pregunta 4 de 4 02:00 PM:

   CEO decide: "Cortamos conexión AHORA". Proveedor desconectado. ¿Qué área lidera DESPUÉS la investigación interna? A) Legal (por temas contractuales) B) CISO + Equipo forense buscan si hubo compromiso interno C) Compras renegocia contrato D) Auditoría interna revisa procesos Lección clave: Cortar conexión es paso 1. Paso 2 es investigar: ¿Dejaron algo en nuestros sistemas? Búsqueda forense puede tomar semanas.

9. Caso 3: Brecha en Cloud Pregunta 1 de 4 10:00

   AM: DevOps descubre almacenamiento en la nube con 2M de registros de clientes accesible públicamente. ¿Qué hace el equipo técnico INMEDIATAMENTE? A) Notificar clientes de inmediato B) Cerrar acceso público y revisar registros de quién accedió C) Informar CEO y esperar instrucciones D) Llamar al regulador (72h GDPR) Lección clave: Primero CONTENER (cerrar acceso). Luego investigar ALCANCE (¿alguien descargó datos?). Notificación viene después.

10. Caso 3: Brecha en Cloud Pregunta 2 de 4 02:00

    PM: Equipo técnico confirma: "Almacenamiento estuvo público 6 meses. Detectamos 47 accesos externos". ¿A quién se informa PRIMERO con esta confirmación? A) CEO directamente B) Legal + DPO (obligación regulatoria de 72h) C) Comunicaciones para preparar mensaje D) Clientes afectados Lección clave: Legal LIDERA ahora. GDPR exige notificar autoridades en 72h si hay acceso confirmado. DPO evalúa alcance de datos personales.

11. Caso 3: Brecha en Cloud Pregunta 3 de 4 Día

    2: Legal confirma: "Obligación de notificar. 2M clientes afectados". ¿Quién diseña la ESTRATEGIA de cómo notificar a los clientes? A) Legal (es tema regulatorio) B) CISO (fue falla técnica) C) Comunicaciones + Legal + CEO (reputación crítica) D) DPO solamente Lección clave: Legal define QUÉ notificar (obligaciones). Comunicaciones diseña CÓMO (mensaje, tono, canal). CEO aprueba estrategia (reputación en juego).

12. Caso 3: Brecha en Cloud Pregunta 4 de 4 Día

    3: Mensaje aprobado. Listos para notificar 2M clientes vía email. ¿Quién da la APROBACIÓN FINAL para enviar notificación masiva? A) Legal (cumple regulación) B) Comunicaciones (redactó mensaje) C) CEO (asume responsabilidad reputacional) D) DPO autoriza por GDPR Lección clave: CEO tiene última palabra. Una vez enviado, no hay vuelta atrás. Impacto reputacional masivo requiere decisión ejecutiva máxima.

13. Caso 4: Apagar Producción Pregunta 1 de 4 11:00 AM:

    Equipo técnico detecta exfiltración masiva de datos EN CURSO desde sistemas de producción. ¿Qué hace el equipo técnico PRIMERO? A) Apagar sistemas inmediatamente B) Evaluar si pueden contener SIN apagar (bloquear conexión atacante) C) Informar CEO y esperar autorización D) Dejar que continúe mientras investigan Lección clave: Equipo técnico intenta contención quirúrgica primero. Apagar producción es ÚLTIMO recurso (impacto masivo).

14. Caso 4: Apagar Producción Pregunta 2 de 4 11:20 AM:

    CISO evalúa: "No podemos contener sin apagar sistemas. Exfiltración continúa". ¿A quién informa CISO de inmediato? A) CTO (es tema técnico) B) COO/CEO (decisión de continuidad de negocio) C) CFO (evaluar pérdidas) D) Legal (evaluar responsabilidades) Lección clave: CISO escala DIRECTO a COO/CEO cuando decisión impacta operaciones. No hay tiempo para cadenas largas.

15. Caso 4: Apagar Producción Pregunta 3 de 4 11:25 AM:

    CISO a COO: "Necesito apagar producción YA. Pérdida estimada $500K/hora". ¿Qué pregunta hace el COO/CEO antes de decidir? A) "¿Cuánto tiempo para restaurar?" B) "¿Daño por seguir operando > pérdida por apagar?" C) "¿Qué dice Legal?" D) "¿Podemos esperar 1 hora más?" Lección clave: Ejecutivo balancea: Pérdida operativa conocida ($500K/h) vs daño desconocido pero creciente (exfiltración continua). Decisión en minutos.

16. Caso 4: Apagar Producción Pregunta 4 de 4 11:35 AM:

    CEO decide: "Apaguen AHORA. Minimicen daño mayor". ¿Qué área activa el CEO SIMULTÁNEAMENTE al apagado? A) Solo equipo técnico ejecuta apagado B) Comunicaciones notifica stakeholders (clientes, socios, regulador) C) Legal prepara defensa D) RRHH prepara comunicado interno Lección clave: Apagar producción afecta clientes, socios, proveedores. Comunicaciones debe notificar ANTES de que descubran por su cuenta. Transparencia controlada.