Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Leyes estatales de privacidad de datos, regulaciones que cambian las prioridades de CISO

Las empresas y sus CISO se enfrentan a un número creciente de leyes que rigen la seguridad cibernética, la protección de datos y la privacidad, en particular la Ley de Privacidad del Consumidor de California que entrará en vigor en 2020. Muchos otros estados también han promulgado o propuesto leyes nuevas o actualizadas dirigidas también a estas áreas. , y ciertamente hay más regulaciones en camino, dijo Scott Giordano, un abogado que se desempeña como vicepresidente de protección de datos en la compañía de software de seguridad de datos Spirion.

En esta sesión de preguntas y respuestas, Giordano analiza estas nuevas leyes estatales de privacidad de datos y cómo influirán en los procesos de gestión de datos de las empresas.. Según Giordano, los CISO deberán trabajar en estrecha colaboración con los equipos legales de su organización y ampliar el alcance de su trabajo si quieren cumplir con los innumerables requisitos establecidos por la gran cantidad de leyes estatales de privacidad de datos existentes y anticipadas.

Nota del editor: Esta entrevista ha sido editada para mayor claridad y extensión.

¿Qué es lo más importante en el campo de la privacidad en este momento?

Scott Giordano: Los estados individuales están tomando la iniciativa para abordar las preocupaciones de privacidad y seguridad de los consumidores estadounidenses. Comenzó en serio el año pasado, con una docena de estados aprobando leyes. Estas leyes de protección de datos incorporan seguridad y privacidad; consideran la protección de datos y la privacidad como una sola. Los europeos también ven la privacidad y la seguridad de los datos como una sola. Se remonta a la Directiva de protección de datos de 1995. Se requería que los miembros de la Unión Europea crearan sus propios estándares nacionales de privacidad basados ​​en un conjunto de principios. Eso estuvo vigente hasta que el Reglamento General de Protección de Datos (que se aprobó en 2016 y entró en vigencia en 2018) lo reemplazó.

CONTENIDO RELACIONADO  8 cosas que todos los equipos deben saber sobre las tendencias de las aplicaciones

Ha dicho que le gusta lo que está sucediendo en este espacio en Ohio. ¿Porqué es eso?

Scott Giordano, vicepresidente de protección de datos, SpirionScott Giordano

Giordano: Lo interesante de Ohio es que la ley de protección de datos no requiere que hagas nada, sino que te da incentivos. Dice si cumple con los estándares, como HIPAA [the Health Insurance Portability and Accountability Act of 1996], y puede probar la adherencia, y obtiene una infracción, obtiene [a safe harbor]. Se llama defensa afirmativa. Dice que si apunta alto y puede probarlo, no será castigado en un tribunal civil. Me encanta porque están usando una zanahoria, no un palo. Y un palo no ha funcionado hasta ahora.

¿Por qué no ha funcionado el palo?

Giordano: Los CISO siempre están hambrientos de dinero. Les encantaría implementar la familia de estándares ISO / IEC 27000, pero normalmente no van a obtener el dinero para hacerlo. Que los legales se acerquen a ellos y les digan: ‘Queremos esta defensa afirmativa, presionaremos al CFO para que lo haga, y ahora hay incentivos, dinero y necesidad’, eso lo cambia todo.

¿Qué necesitan saber los CIO y los CISO? la Ley de Privacidad del Consumidor de California?

Giordano: Lo más importante es que deben convertirse en los mejores amigos del abogado general o del [assistant general counsel] responsable de la privacidad porque esta ley incorpora tanto la privacidad como la protección de datos. Por ejemplo, la ley otorga al consumidor el derecho a que sus datos no se vendan a un tercero. Los consumidores pueden indicar a las empresas que no vendan sus datos, ni siquiera en el RGPD. Entonces, suponga que un consumidor envía un correo electrónico al servicio de atención al cliente de la empresa X y dice: «No venda mis datos a un tercero». ¿Que sigue? ¿A qué te dedicas? ¿Es eso un problema de seguridad de la información? No lo creo. Es un problema de cumplimiento; es un asunto legal. Pero el CISO se va a quedar atrapado [handling] esa tarea, pero no podemos pedirle a los CISO que sean abogados, por eso [organizations] Contamos con departamentos legales. Juntos, los CISO y el departamento legal tienen que descubrir cómo hacer que esto funcione.

CONTENIDO RELACIONADO  Datadog Log Management ahora cumple con HIPAA

No creo que las empresas se den cuenta de lo amplia que se ha vuelto la definición de datos personales.

Scott GiordanoAbogado y vicepresidente de protección de datos, Spirion

Necesitan determinar qué sucede cuando un consumidor hace una demanda y necesitan determinar si una demanda es legítima. [For example,] ¿Qué pasa si un consumidor le pide a un corredor de bolsa que elimine sus datos, pero la ley establece que el corredor de bolsa debe conservar los datos durante siete años? Hay excepciones a las solicitudes de los consumidores para eliminar datos. Los CISO y los servicios legales deben determinar qué les van a preguntar los consumidores, qué son capaces de hacer y dónde están los datos. Y no es solo por la ley de California; también están surgiendo otras leyes estatales.

Texas, por ejemplo, no tiene una, sino dos regulaciones que se están abriendo camino. A menos que los CISO incorporen lo legal a esto, se quedarán a la deriva. No pueden hacer esto por sí mismos. Se les está empezando a pedir que tomen determinaciones legales, y eso no es algo que puedan hacer. Se les empieza a pedir que hagan evaluaciones de riesgo. La legalidad y la seguridad están ahora unidas por la cadera. No hay forma de evitarlo.

¿Qué estrategias deberían considerar los CISO para mantener sus organizaciones lo más seguras posible, al mismo tiempo que protegen la privacidad?

Giordano: Todos estos estatutos van a requerir una gran auditoría de sus capacidades: ¿Qué está haciendo ahora por seguridad y privacidad? ¿Qué datos personales tienes? No creo que las empresas se den cuenta de lo amplia que se ha vuelto la definición de datos personales. los [proposed] La ley de Nueva York convierte casi todo en datos personales. Incluso las inferencias de datos personales son datos personales. Digamos que tengo su ubicación GPS y la rastreé durante una semana más o menos, puedo inferir mucho sobre usted: dónde trabaja, dónde le gusta ir para divertirse. Es notable la poca información que se necesita para inferir cosas sobre las personas. Las empresas no aprecian esto lo suficiente. Simplemente no entienden hasta dónde ha llegado la privacidad en muy poco tiempo.

¿Dónde están los CISO más vulnerables cuando se trata de cumplir con los requisitos de estas leyes estatales de privacidad y otras regulaciones nuevas?

Giordano: Son más vulnerables cuando se ocupan directamente de las demandas de los consumidores. Están acostumbrados a proteger sus organizaciones. No sé si los consumidores todavía están llamando a estas empresas, pero una vez que sepan cuáles son sus derechos, puede apostar que llamarán. En la UE, estaban llamando, o peor aún, quejándose ante las autoridades.

Y además del dinero, creo que el próximo es simplemente llamar la atención de la alta dirección, el director ejecutivo y la junta y hacer que comprendan lo importante que es esto. Todavía no tienen un asiento igual en la mesa. Espero que estas leyes cambien esa dinámica.

¿Qué pasos deberían tomar para cumplir mejor con las regulaciones?

Giordano: La identificación de datos personales es su propia disciplina y una disciplina que se subestima, pero será una disciplina que debe cultivarse en una organización. Quieres ser muy preciso y eso va a requerir algo de trabajo. Una vez que sea bueno en eso, debe determinar cómo controlarlo y asegurarse de que cumple con los requisitos de las leyes para usted y, en algunos casos, los terceros que también están obligados a cumplir con estas regulaciones.

En conjunto, todos estos estatutos estatales nos obligarán a analizar qué son los datos personales y si lo que estamos haciendo con ellos es legítimo. La actitud en Estados Unidos ha sido la de cobrarlo todo. Eso se ha puesto patas arriba.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿VMware Virtual Volumes es compatible con todos los productos?

La función VMware Virtual Volumes (VVOL) marca un cambio importante en el almacenamiento de máquinas virtuales. Por lo general, un administrador de vSphere aborda el almacenamiento proporcionando discos, arreglos, interfaces, protocolos y otros componentes; las

Cobertura de la conferencia Dreamforce 2017

Nota del editor En 2016, Salesforce se centró en adquisiciones y expandir sus herramientas y capacidades. La compañía acumuló una serie de compras, entre ellas SteelBrick, Quip, Implisit, MetaMind, PredictionIO y Demandware. A partir de

Consideraciones de seguridad de inteligencia empresarial

¿Cuáles son los componentes más importantes a considerar en la seguridad de la inteligencia empresarial? Cuando se trata de seguridad de inteligencia empresarial (BI), hay dos preguntas a considerar: ¿Quién debería tener acceso a qué?

¿Qué es la etapa 3 de uso significativo?

La etapa 3 de uso significativo es la tercera fase del programa de incentivos de EHR de uso significativo. Los Centros de Servicios de Medicare y Medicaid (CMS) y la Oficina del Coordinador Nacional de

¿Qué es VDA (acceso a escritorio virtual)?

Windows Virtual Desktop Access (VDA) es una estrategia de autorización que requiere que cada dispositivo que busca acceso a un escritorio virtual de Windows en una infraestructura de escritorio virtual (VDI) tenga una licencia. El

¿Qué es el procesamiento paralelo?

El procesamiento paralelo es un método de computación para ejecutar dos o más procesadores (CPU) para manejar partes separadas de una tarea general. Dividir diferentes partes de una tarea entre varios procesadores ayudará a reducir

¿Software hiperconvergente o servidores en rack?

El clúster de TI tradicional consta de bastidores con servidores, dispositivos de almacenamiento y conmutadores en la parte superior del bastidor. Esta idea está atravesando una gran metamorfosis en la actualidad, impulsada por la idea

La asociación Cerner-AWS profundiza los lazos

AWS re: Invent 2019 mostró noticias sobre el impulso del gigante tecnológico en la atención médica, incluida una nueva capa para la asociación Cerner-AWS. El proveedor de EHR está promoviendo su asociación con AWS, que

CI / CD realiza pruebas continuas en producción

Editor visual: Diseño online En 2018, la integración continua / entrega continua finalmente se convertirá en estándar, en gran parte porque las empresas no tienen otra opción. Solo el 6% de las empresas tienen del

Informe de disco RAW Win10 afortunadamente transitorio

OK entonces. Ayer estuve trabajando alegremente limpiando mi oficina para prepararme para el trabajo de otra semana. Al mirar mis carpetas de Descargas y Documentos, vi elementos que se remontan a agosto. Normalmente, barro estas

Redes LPWA: dando forma al futuro de IoT

Las redes inalámbricas de IoT están evolucionando para ayudar a satisfacer las necesidades de una amplia variedad de dispositivos conectados, desde automóviles conectados y hogares inteligentes hasta iluminación e infraestructura inteligentes. Las redes de área

¿Cuáles son los usos actuales de IoT en el espacio?

Paulista – stock.adobe.com La IoT en el espacio tiene actualmente más usos conceptuales que las aplicaciones reales porque tiene muchos obstáculos que superar antes de que las organizaciones puedan usar la IoT en el espacio

Windows 10 trae seguridad, Cortana para PC y hologramas

Los usuarios de Microsoft pudieron vislumbrar esta semana algunas características impresionantes de Windows 10, junto con nuevo hardware y una innovación sorpresa directamente de Guerra de las Galaxias. El sentimiento entre los profesionales de TI

AWS lanza una bomba en VMware, Citrix con Amazon WorkSpaces

llamado Amazon WorkSpaces. Los nuevos escritorios virtuales de Amazon Web Services (AWS) permiten a TI administrar y entregar imágenes de escritorio de manera centralizada sin los costos de hardware, software e infraestructura de la infraestructura

Hágase amigo de los proveedores de VDI

Fuente: zenzen/stock.adobe.com Redactor visual: sarah evans Después de determinar qué tipo de escritorios entregar, los profesionales de TI deben elegir el proveedor de VDI adecuado. Para empezar, es imperativo que el producto VDI que TI

Guías de Business Analytics / Business Intelligence

Herramientas de análisis aumentadas: usos comerciales, beneficios y barreras Esta guía examina las capacidades y los beneficios potenciales de las tecnologías analíticas aumentadas y ofrece orientación sobre cómo usarlas para simplificar los procesos analíticos y

7 errores de IoT para evitar

Los sistemas de IoT se presentarán en un momento u otro a muchas organizaciones. Existen algunas características clave de una implementación exitosa de IoT, como asociaciones en toda su organización, fácil administración de dispositivos e

¿Qué es Microsoft Windows Server 2016?

Microsoft Windows Server 2016, anteriormente denominado Windows Server vNext, es un sistema operativo (SO) de servidor. El sistema operativo del servidor está desarrollado específicamente para servir como plataforma para ejecutar aplicaciones en red. Una característica

Cómo afecta la vulnerabilidad de NetSpectre a la nube

La nube es una herramienta poderosa y transformadora, pero tiene algunos inconvenientes. Una de esas trampas ocurre cuando los usuarios de la nube hacen suposiciones incorrectas sobre la tecnología subyacente y diseñan una estrategia de

Optimización de discos duros virtuales con arreglos RAID

Leí su artículo reciente, «Diseño de almacenamiento en disco duro virtual». Comenzó a tocar un tema que no está muy bien publicado: Optimización de VHD’s (discos duros virtuales) con arreglos RAID. ¿Tiene más información específica

Deja un comentario