La clave para minimizar la responsabilidad personal de las CSO y CISO después de una violación de datos es actuar de manera responsable y razonable. El estado actual de la ley es que se espera que aquellos involucrados en una organización que está amenazada o afectada por una violación de datos reaccionen razonablemente dadas las circunstancias. Para cumplir con este estándar, uno debe involucrarse y seguir el asesoramiento legal, comunicarse de manera efectiva y demostrar un compromiso para abordar la infracción y prevenir incidentes futuros. Siguiendo estas recomendaciones, los CSO y CISO pueden navegar por el desafiante terreno de una violación de datos y al mismo tiempo minimizar su propio riesgo de responsabilidad personal.
Una filtración de datos puede tener importantes implicaciones financieras, reputacionales, legales y emocionales para una organización, su personal, sus clientes y una amplia gama de otros. Cuando se produce un dato, las personas afectadas se preocupan por lo que pudo haber sucedido y cómo podría impactarlos negativamente. No sólo existe una amenaza real a su bienestar financiero, sino que también se percibe un inquietante ataque a la privacidad personal. Y más allá de esas reacciones, los reguladores gubernamentales y los políticos a menudo entran en acción para una amplia gama de propósitos.
Para los directores de seguridad (CSO) y los directores de seguridad de la información (CISO), una infracción presenta desafíos únicos, incluida la posible responsabilidad personal. Si bien es poco común, la responsabilidad personal de las OSC y CISO no está completamente descartada. En los casos en los que se pueda demostrar que el CSO o CISO actuó de manera negligente o no cumplió con sus deberes, podrían ser considerados personalmente responsables. Esto podría resultar en sanciones financieras, descalificación para ocupar puestos de director o funcionario y, en casos extremos, cargos penales.