Cuando
ocurre una brecha de seguridad de la información, por lo general la
atención se centra en todo el proceso que se adelanta para identificar,
analizar, controlar y asegurar el incidente, donde con frecuencia los
profesionales de tecnología de
información son los protagonistas, como
quiera que la disponibilidad y el servicio son prioridades para
recuperar la operación.
Sin perjuicio de lo anterior, la falla en sí misma genera un cambio en
las condiciones de un servicio o producto que tenemos pactados con un
cliente o con un tercero y por lo tanto, se tendrá que adelantar el
tratamiento del riesgo jurídico, que impone exigencias diferentes a las
prácticas propias de los estándares de seguridad de la
información.
En este ejercicio, el área jurídica de la organización debe estar
enterada de la dinámica que la organización tiene alrededor del
tratamiento de la
información, habida cuenta que ellos deberán
configurar los argumentos necesarios para enfrentar las reclamaciones
propias de los clientes y/o terceros, así como el cumplimiento de las
obligaciones establecidas tanto en contratos como en regulaciones o
normativas propias de su sector de negocio o del orden nacional.
Así las cosas, como mínimo los profesionales del derecho deberán tener
claro al menos las respuestas a las siguientes preguntas, como marco
general del entendimiento del incidente, para luego indagar en
profundidad sobre el gobierno y gestión de la
seguridad de la
información en la empresa:
- ¿Se tenía la responsabilidad de proteger la información?
- ¿El tipo de información que se comprometió estaba cubierto con las
prácticas de seguridad y control definidas por la organización?
- ¿Dicha información contaba con el nivel de protección requerido?
- ¿La medidas de seguridad y control implementadas sobre la
información comprometida, estaban acordes con su nivel de sensibilidad y
exposición al riesgo identificado?
- ¿Se ha comunicado adecuadamente a los clientes y entes reguladores la brecha de seguridad de la información que ha ocurrido?
