Qué es una política de violación de datos y por qué necesita una

Tabla de contenido:

Qué es una política de violación de datos y por qué necesita una
Qué es una política de violación de datos y por qué necesita una
Anonim

Las filtraciones de datos siempre han sido desastrosas, y las nuevas leyes de privacidad de datos obligan a las organizaciones a proteger a los interesados, lo que empeora aún más el impacto de las filtraciones. Una política de violación de datos lo ayudará a protegerlo.

Legislación de protección de datos y privacidad

Las organizaciones que conservan o procesan datos personales tienen el deber de protegerlos y salvaguardarlos. La legislación moderna normalmente incluye restricciones sobre la venta y compra de datos personales y sobre los propósitos detrás de la recopilación de los datos. El sujeto de los datos o el consumidor tiene derechos relacionados con sus datos personales, y se imponen obligaciones adicionales a las organizaciones para defender y atender esos derechos.

El incumplimiento de la legislación local sobre protección de datos o privacidad, o cualquier legislación similar de otras regiones geográficas que se aplique a usted, tendrá graves consecuencias. La pérdida de confianza por parte de los clientes daña lo que suele ser el mayor activo de una organización: su reputación.

Por supuesto, también hay más daños cuantificables. La mayor parte de la legislación tiene el poder de imponer sanciones económicas. El Reglamento General de Protección de Datos (GDPR) puede contemplar multas de 20 millones de euros o el 4 por ciento de la facturación global anual del año anterior, lo que sea mayor, impuestas por las infracciones más graves. Estas multas son impuestas por la Autoridad supervisora de protección de datos del país europeo correspondiente, o por la Comisión Europea si la infracción afecta a ciudadanos de varios países.

La Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) también prevé la aplicación de multas por incumplimiento. Son aplicados por la oficina del fiscal general de California. Hay multas civiles de USD 2500 por cada infracción o USD 7500 por cada infracción subsiguiente después del primer incidente, después de una ventana de oportunidad de 30 días para aplicar la remediación para corregir la deficiencia técnica o de procedimiento que condujo a la falla original. -cumplimiento.

Es probable que tenga un mayor impacto, la CCPA también prevé que los demandantes privados presenten una acción civil contra la organización si el incidente fue una violación (acceso no autorizado y exfiltración, robo o divulgación de datos personales) que ocurrió porque de no implementar procedimientos y prácticas de seguridad razonables proporcionales a la naturaleza de la información personal que se perdió.

La CCPA se considera una especie de modelo para que otros estados promulguen sus propias leyes de protección de datos y privacidad. Nevada ya ha promulgado algunos cambios. La Ley de Privacidad de Nueva York (NYPA) y la Ley de Privacidad del Estado de Washington (WSPA) no lograron aprobar sus sesiones legislativas en 2019, pero se espera que se vuelvan a presentar con cambios.

Investigaciones de violación de datos

Obviamente, se debe hacer todo lo posible para evitar que ocurran filtraciones de datos. Pero, no importa qué tan segura sea su red, pueden ocurrir filtraciones de datos. Las infracciones pueden resultar de un ciberataque exitoso, como un doxxing. Y en Europa, vale la pena señalar que el RGPD considera un ataque de ransomware una violación de datos porque ha perdido el control de los datos. Las filtraciones de datos pueden deberse a las intenciones maliciosas de un interno descontento o de un abandono del personal. Pueden surgir de un error humano o de un error inocente.

Si sufre una infracción que es lo suficientemente grave como para llamar la atención de la autoridad detrás de su legislación de protección de datos, habrá una investigación. Por lo general, los investigadores considerarán algunos o todos los siguientes puntos. Sus hallazgos en cada caso serán un punto a tu favor o en tu contra. El tamaño de las multas en algunos casos se puede reducir o aumentar según la calificación que le den a la seguridad de su red, el gobierno y la protección de datos, y los hechos del incidente en sí.

  • La gravedad de la infracción ¿Qué sucedió y qué fue lo que permitió que ocurriera la infracción? ¿Cuántos interesados individuales se han visto afectados? Si se tratara de datos de categoría especial, como información médica o política, o datos personales de niños, el incidente se considerará más grave.
  • Causa raíz de la infracción Una mirada más profunda a las circunstancias que permitieron que se produjera la infracción. Por ejemplo, ¿se violó la seguridad de la red o un infiltrado ignoró los procedimientos operativos? ¿Cuál fue la falla de seguridad y cómo podría haberse evitado? Decir que fue un empleado que no siguió el procedimiento no es suficiente para sacarlo del apuro. Debido a los conceptos legales de responsabilidad vicaria y responsabilidad superior, una organización puede ser responsable por las acciones de uno de sus empleados.
  • Comunicación y mitigación ¿Hubo alguna acción que podría haber tomado para disminuir el impacto de la violación para los interesados afectados, y las tomó? ¿Advirtió a los interesados lo antes posible y les brindó asesoramiento? ¿Sabían lo que sucedió, cómo podría afectarlos, qué estabas haciendo al respecto y qué acciones deberían tomar?
  • Seguridad de la red ¿Qué medidas tomó para fortalecer y proteger su red? Será obvio para los investigadores si se toma en serio la seguridad cibernética (usando medidas tecnológicas, políticas y procedimientos, y capacitación de concientización del personal) o si ejecuta una red sencilla y espera que no le sucedan cosas malas.
  • Registro anterior ¿Tiene un historial de filtraciones de datos? Si esta es su primera violación de datos, estará en una posición ligeramente mejor que si esta es la última de una serie de violaciones.
  • Cooperación Se observará su disposición a cooperar con los investigadores y la Autoridad de Supervisión. Lo mejor es un enfoque abierto y honesto. No trate a los investigadores como enemigos. Podrán brindarle excelentes consejos para elegir la fruta madura para reforzar su seguridad. Una seguridad más estricta no tiene por qué costar una fortuna. Obtenga su opinión y actúe en consecuencia. Y darles el acceso y la información que solicitan.
  • Denuncia formal ¿Denunció el incumplimiento a la Autoridad de Supervisión dentro de los plazos prescritos? El peor de los casos es cuando un sujeto de datos lo informa antes que usted. Si la infracción fue el resultado de una acción malintencionada, interna o externa, recuerde informarlo a las fuerzas del orden.
  • Certificación ¿Está certificado por algún esquema de calidad relevante como ISO/IEC 27001 o Cyber Essentials del Reino Unido? No existen esquemas de certificación para las legislaciones de protección de datos, incluidos CCPA y GDPR, por lo que es difícil demostrar que cumple. Debe implementar la documentación y el gobierno, los avisos en su sitio web y mejorar su seguridad y prácticas operativas según sea necesario, pero nadie lo respaldará y aprobará sus esfuerzos. Tener una certificación en un sistema de calidad de gestión de seguridad o seguridad cibernética no demostrará que cumple con la legislación, pero demostrará que se toma en serio la protección de datos y la privacidad y que se está ejecutando en un sistema aprobado y reconocido.

Planificación de su póliza

Imagen
Imagen

Hecho a fondo, hay mucho trabajo preliminar y recopilación de información por hacer antes de que se pueda redactar la Política de manejo de violaciones. Algunos de estos pasos de acción deberán repetirse periódicamente porque las situaciones cambian. Y si cambian, es posible que su política deba reflejar el impacto de esos cambios.

Identifique sus mayores riesgos

Esto le muestra cómo serán los escenarios de incumplimiento más probables. Mientras está en eso, haga la remediación o mitigación que pueda para minimizar los riesgos. Puede optar por segmentar su red, usar encriptación, implementar un sistema de detección de intrusos, configurar la recopilación y el escaneo automáticos de registros, o algún otro paso tecnológico que proporcione alertas de que algo anda mal y un grado de contención si hay un incidente.

Realizar ejercicios de mapeo

Cree o actualice su registro de activos de hardware y mapee su red. Comprenda cómo se ve su patrimonio de hardware, cómo está envejeciendo, qué necesitará reemplazar o actualizar, y cuándo.

Realice un ejercicio de mapeo de datos, también llamado data landscaping, y registre dónde residen sus datos, qué contienen, quién tiene acceso a ellos y toda la demás información requerida sobre sus datos que exige la legislación. Es posible que deba registrar sus propósitos para recopilar, procesar o almacenar los datos, y con quién los comparte. Es posible que deba registrar y conservar evidencia de consentimiento si no tiene otra base legal para tener esos datos. Todo esto formará su Registro de Activos de Datos.

Identificar y racionalizar los derechos y privilegios de los usuarios. Limitarlos tanto como sea posible. Asegúrese de tener un procedimiento de "cambio de función/cambio de función/nuevo titular" para regir cómo crea o ajusta los privilegios para nuevas cuentas y cambios de funciones, y para bloquear cuentas antiguas cuando alguien deja la organización.

La detección temprana es vital

La infiltración de una red puede pasar desapercibida. A menos que se detecte la infracción y se alerte al personal de TI, los actores de amenazas pueden acechar en su red durante días, semanas o meses.

Un sistema de detección de intrusos (IDS) es una buena idea, existen excelentes ofertas de código abierto como Snort. Es importante establecer una referencia de la actividad normal para poder identificar la actividad sospechosa.

Si su IDS detecta intentos de conexión sospechosos, es posible que pueda detener la infracción antes de que ocurra. Si el análisis de registro descubre conexiones inexplicables, pero exitosas, hechas fuera de horas o desde direcciones IP geográficamente desconcertantes, puede indicar que los actores de amenazas lograron obtener acceso.

El objetivo es detectar y actuar sobre las amenazas a medida que surgen, y evitar el acceso en tiempo real, y detectar comportamientos sospechosos para identificar accesos no autorizados si han logrado conectarse.

Ensayos generales

Una vez que haya redactado su póliza, pruébela. En medio de una crisis, se necesita personal que la siga, que no se salga de pista. Ensayar el plan con las partes interesadas y otros actores (el equipo del incidente) ayuda a entender que la mejor estrategia es seguir la política, no tener personas dispersas y sobreemocionadas que actúen de manera independiente y, a menudo, se tambaleen de manera contraproducente. Las infracciones reales pueden tener un efecto de "ocupado pero paralizado".

Hacer recorridos de incidentes y simulaciones para ensayar la política permite ajustar y mejorar la política. Establece quién tiene la responsabilidad de qué y en qué orden se deben realizar los pasos. Tiene poco sentido alertar a su Autoridad de Supervisión, por ejemplo, antes de haber caracterizado la infracción. Espere hasta que sepa cuántos registros han sido expuestos y qué tipo de datos personales contienen.

La comunicación es vital

No olvides la comunicación. Esta es una forma en que será medido por la Autoridad de Supervisión, los clientes y los interesados afectados por igual. Asigne la responsabilidad de las comunicaciones a un equipo o departamento. Asegúrese de que solo se utilicen los canales oficiales para proporcionar actualizaciones y tener un único punto de publicación de comunicaciones. Actualice temprano y con frecuencia y use un inglés simple y sencillo. Sea honesto y transparente.

Recuerde informar a su propio personal sobre lo sucedido. Después de todo, sus propios datos están en su red, por lo que también podrían verse afectados por la infracción. Como mínimo, necesitan saber lo suficiente para responder a las consultas y para dirigir a las personas que llaman preocupadas a la declaración oficial en su sitio web.

También deberá mantener informado al C-suite o a la junta directiva sobre el incidente y progresar a medida que avanza hacia la resolución.

Proporcionar orientación detallada

Cuando se sospecha de una posible infracción, se debe informar al equipo del incidente como un aviso y se debe seguir la política para verificar si la infracción es genuina. Si es así, el equipo puede ser revuelto y comenzar a evaluar el alcance y el impacto. ¿Hubo datos personales involucrados en la violación? De ser así, ¿cuántos interesados están involucrados? ¿Se han expuesto datos personales de categoría especial?

Armado con este conocimiento, el equipo de TI puede pasar a la contención y la remediación, y el equipo de comunicación puede comenzar su ciclo de actualizaciones y asesoramiento. Dependiendo de la legislación bajo la que esté operando, podría ser necesario contactar directamente a todos los interesados afectados. GDPR requiere esto.

Los pasos deben ser detallados y claros, pero no tan extensos como para que los equipos pasen su tiempo leyendo en lugar de hacer. Los diagramas de flujo y las listas de viñetas priorizadas son mejores que las páginas de texto denso.

Las infracciones a veces son inevitables, pero un plan de respuesta sólido lo ayudará a minimizar la interrupción de las operaciones comerciales, el efecto sobre los interesados y las medidas punitivas de la Autoridad de Supervisión.

Tema popular

Recomendado

Cómo controlar Plex Media Center con Amazon Echo
2023

Cómo controlar Plex Media Center con Amazon Echo

Cómo ver TV en vivo en tu Apple TV
2023

Cómo ver TV en vivo en tu Apple TV

Cómo reemplazar las teclas de su teclado mecánico (para que pueda vivir para siempre)
2023

Cómo reemplazar las teclas de su teclado mecánico (para que pueda vivir para siempre)

Cómo convertir PDF a JPG en Windows 10
2023

Cómo convertir PDF a JPG en Windows 10

Cómo comprobar la cantidad, el tipo y la velocidad de la memoria RAM en Windows 11
2023

Cómo comprobar la cantidad, el tipo y la velocidad de la memoria RAM en Windows 11

Cómo cambiar la imagen de tu perfil de Google
2023

Cómo cambiar la imagen de tu perfil de Google

Cómo ver cálculos básicos sin fórmulas en Hojas de cálculo de Google
2023

Cómo ver cálculos básicos sin fórmulas en Hojas de cálculo de Google

Cómo hacer que Alexa te avise cuando una persona te envía un correo electrónico
2023

Cómo hacer que Alexa te avise cuando una persona te envía un correo electrónico

Cómo ocultar o mostrar extensiones en la barra de herramientas de Microsoft Edge
2023

Cómo ocultar o mostrar extensiones en la barra de herramientas de Microsoft Edge

Cómo rastrear la ubicación de tu hijo en Android
2023

Cómo rastrear la ubicación de tu hijo en Android

Cómo seleccionar todos los correos electrónicos en Gmail
2023

Cómo seleccionar todos los correos electrónicos en Gmail

¿Qué es una pantalla Super Retina (XDR)?
2023

¿Qué es una pantalla Super Retina (XDR)?

¿Qué son las notificaciones automáticas?
2023

¿Qué son las notificaciones automáticas?

Cómo editar, reiniciar o continuar una lista numerada en Google Docs
2023

Cómo editar, reiniciar o continuar una lista numerada en Google Docs

La edad de oro de los CD de shareware
2023

La edad de oro de los CD de shareware

Cómo transferir tus listas de reproducción de Apple Music a Spotify
2023

Cómo transferir tus listas de reproducción de Apple Music a Spotify

Cómo subir un video a YouTube desde iPhone o Android
2023

Cómo subir un video a YouTube desde iPhone o Android

Cómo limitar el tiempo de pantalla de su hijo en Android
2023

Cómo limitar el tiempo de pantalla de su hijo en Android