Confirma una brecha que expone datos personales de clientes, y el área legal duda en divulgarla. ¿Qué impulsa el CISO?
Respuesta breve
La gestión de una brecha se rige por la ley y el contrato: trabajar con el área legal para cumplir los plazos de notificación obligatorios (como las 72 horas del RGPD ante la autoridad de control) e informar a las personas afectadas con exactitud. El ocultamiento expone a multas mucho mayores, sanciones y daño reputacional cuando sale a la luz. Difundir prematuramente detalles técnicos en bruto y sin verificar puede confundir a los clientes y ayudar a los atacantes. Culpar públicamente a un empleado no es exacto, ni legal, ni una gestión de crisis eficaz.
Una brecha confirmada de datos personales de clientes ya no es un evento puramente técnico — es uno legal y regulatorio. El escenario evalúa si el CISO entiende que las obligaciones de divulgación no son opcionales y que «proteger la marca» ocultando la brecha es la forma más rápida de destruirla.
Por qué la divulgación legal y oportuna es lo correcto
La mayoría de las jurisdicciones imponen deberes obligatorios de notificación de brechas. Bajo el RGPD, el responsable del tratamiento debe notificar a la autoridad de control en un plazo de 72 horas desde que tiene conocimiento de una brecha de datos personales, e informar a las personas afectadas «sin dilación indebida» cuando exista un alto riesgo para sus derechos. La función del CISO es impulsar el proceso de respuesta a incidentes mientras trabaja con el área legal para mapear cada obligación aplicable — reguladores, clientes, socios contractuales — y divulgar con exactitud, incluso cuando el panorama aún se está formando. Una divulgación honesta y por etapas («esto es lo que sabemos, esto es lo que seguimos investigando») cumple la ley y preserva la confianza.
Por qué fallan las otras opciones
- Guardar silencio para proteger la marca. El ocultamiento es lo opuesto a la protección. Suele convertir un incidente manejable en una infracción regulatoria con multas mucho mayores, y el encubrimiento normalmente daña más la reputación que la propia brecha.
- Publicar de inmediato todos los detalles técnicos. Las difusiones prematuras y sin verificar pueden ser erróneas, confundir a los clientes afectados y entregar a los atacantes una hoja de ruta. La divulgación debe ser exacta, no solo rápida y en bruto.
- Culpar públicamente a un empleado. Buscar un chivo expiatorio es inexacto (las brechas suelen ser sistémicas), legalmente imprudente y corrosivo para la cultura necesaria para que la gente reporte incidentes a tiempo.
Qué busca el entrevistador
Quiere ver que usted trata la divulgación como una obligación legal impulsada por el CISO en colaboración con el área legal, no como una decisión de comunicación para evitar la vergüenza. La respuesta madura equilibra velocidad (el plazo de 72 horas) con exactitud, resiste el instinto de ocultar y nunca recurre a un chivo expiatorio. El candidato débil optimiza la comodidad de la marca a corto plazo — precisamente lo que reguladores y tribunales castigan.
Posibles preguntas de seguimiento
- ¿A qué reguladores y partes contractuales asignaría las obligaciones de notificación, y cómo controla el plazo?
- ¿Cómo se divulga con exactitud cuando la investigación sigue en curso y los hechos están incompletos?
- ¿Qué diferencia hay entre notificar a una autoridad de control y notificar a las personas afectadas?