Community · Cyber & Compliance

Intelligence Forumcomunidad abierta

Donde CISOs, compliance officers, auditores y equipos técnicos ponen sobre la mesa los casos reales: cómo aterrizar DORA, NIS2 o el AI Act, qué controles funcionan de verdad, dudas de implementación y aprendizajes post-incident. Lee libremente; para publicar basta con tener cuenta.

Casos difíciles resueltos

Casos reales, decisiones técnicas, lecciones aprendidas.

18votos
Casos difíciles resueltos pinned@alvaro.ciso14 d

Cliente cree que NIS2 no le aplica y sí le aplica. ¿Cómo lo argumentáis?

Logística mediana, ~300 empleados, ofrece servicios postales B2B. El CEO insiste que NIS2 es "para infraestructura crítica". Anexo I incluye servicios postales sin umbral mínimo si es "important entity". ¿Cómo le hacéis ver el riesgo sin asustarle? La sanción de hasta 7M€ no es teórica.

5 respuesta(s)

21votos
Casos difíciles resueltos pinned@monica.ir15 d

Incidente con proveedor cloud — comms con cliente y regulador

Proveedor SaaS tuvo brecha. Nuestros datos estaban en su plataforma. Cliente final pregunta si están afectados antes de que el proveedor publique RCA. ¿Esperáis confirmación o comunicáis proactivo? El reloj DORA corre.

6 respuesta(s)

47votos
Casos difíciles resueltos@incident_lead_madrid14 d

Ransomware en cliente con backups encriptados también: cómo lo gestionamos

Cliente del sector salud, ransomware Akira, backups en el mismo dominio AD = también encriptados. Reconstrucción desde 0 con datos de hace 21 días. Lecciones: backups offline AHORA, segmentación AD, MFA en consolas. Pregunto: ¿alguien tiene checklist post-mortem que esté usando en producción?

3 respuesta(s)

18votos
Casos difíciles resueltos@ciso_fintech16 d

Cliente DORA con función crítica en proveedor cloud sin contrato Art.30: cómo regularizamos

Fintech con core bancario en proveedor cloud. Contrato firmado en 2021, sin las cláusulas obligatorias del Art. 30 DORA. Renegociación va a tardar 4-6 meses. ¿Cómo documentáis esto al supervisor mientras tanto? ¿Plan de contingencia formal sirve?

2 respuesta(s)

16votos
Casos difíciles resueltos@patricia.dpo19 d

GDPR breach con notificación dudosa al afectado — vuestra experiencia

Incident: leak de 4.300 emails de clientes (sin contraseñas, sin datos sensibles). ¿Cuándo cumple Art. 34 "alto riesgo para los derechos"? El equipo legal interno dice notificar siempre, yo creo que solo si hay riesgo real. AEPD ha matizado en su última guía.

4 respuesta(s)