Cuando ocurre una brecha de seguridad de la información, por lo general la atención se centra en todo el proceso que se adelanta para identificar, analizar, controlar y asegurar el incidente, donde con frecuencia los profesionales de tecnología de información son los protagonistas, como quiera que la disponibilidad y el servicio son prioridades para recuperar la operación.

Sin perjuicio de lo anterior, la falla en sí misma genera un cambio en las condiciones de un servicio o producto que tenemos pactados con un cliente o con un tercero y por lo tanto, se tendrá que adelantar el tratamiento del riesgo jurídico, que impone exigencias diferentes a las prácticas propias de los estándares de seguridad de la información.

En este ejercicio, el área jurídica de la organización debe estar enterada de la dinámica que la organización tiene alrededor del tratamiento de la información, habida cuenta que ellos deberán configurar los argumentos necesarios para enfrentar las reclamaciones propias de los clientes y/o terceros, así como el cumplimiento de las obligaciones establecidas tanto en contratos como en regulaciones o normativas propias de su sector de negocio o del orden nacional.

Así las cosas, como mínimo los profesionales del derecho deberán tener claro al menos las respuestas a las siguientes preguntas, como marco general del entendimiento del incidente, para luego indagar en profundidad sobre el gobierno y gestión de la seguridad de la información en la empresa:

1. ¿Se tenía la responsabilidad de proteger la información?
2. ¿El tipo de información que se comprometió estaba cubierto con las prácticas de seguridad y control definidas por la organización?
3. ¿Dicha información contaba con el nivel de protección requerido?
4. ¿La medidas de seguridad y control implementadas sobre la información comprometida, estaban acordes con su nivel de sensibilidad y exposición al riesgo identificado?
5. ¿Se ha comunicado adecuadamente a los clientes y entes reguladores la brecha de seguridad de la información que ha ocurrido?