Crisis en el Centro de Datos: ¿Decisión Correcta o Catástrofe?
Charla Temática CH-CIB-01 · Colpensiones · Alineado con AGE-GIR-MAN-019
Usted es el Vicepresidente de Tecnología de Colpensiones. Es lunes por la mañana y recibe una llamada urgente de su CISO: «Vicepresidente, tenemos un posible incidente de seguridad. Los sistemas de pago de pensiones están comportándose de forma extraña. Necesito su autorización para activar el protocolo de respuesta.»
Son las 7:32 AM. Su CISO le llama con urgencia. Los sistemas de pago muestran comportamiento anómalo. Múltiples archivos se están cifrando en los servidores. Detección temprana del EDR sugiere posible ransomware en propagación activa. Los backups automatizados registran actividad inusual.
El ERI confirma: ransomware LockBit 3.0 detectado en 3 servidores del sistema de pagos. Tiene 10 minutos para decidir. Los sistemas aún están parcialmente activos pero el cifrado avanza. 1,3 millones de pensionados reciben su pago mensual esta semana.
Han pasado 60 minutos. El incidente está contenido pero no resuelto. Jurídica le recuerda que la SFC debe ser notificada. Comunicaciones quiere publicar en redes sociales para evitar rumores. Los pensionados empiezan a llamar.
Han pasado 4 horas. Los backups están íntegros, los servidores afectados han sido aislados y el equipo forense trabaja en la eliminación del malware. El RTO de 4 horas está a punto de cumplirse. Debe decidir sobre la reanudación del servicio de pagos de pensiones.
Una semana después. El incidente está cerrado. El CISO presenta el Informe Post-Incidente (PIR) con hallazgos técnicos y brechas de control identificadas. El informe incluye 12 recomendaciones de mejora con costos estimados. Como directivo, debe decidir qué hacer con los hallazgos.