Guía Esencial

Navegue en las secciones
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Reglas de cumplimiento de privacidad configuran los futuros procesos de seguridad de TI

A medida que las empresas se esfuerzan por cumplir con los mandatos de cumplimiento de la privacidad de los datos del consumidor, como GDPR, CCPA y otros en el horizonte, seguridad de TI asumirá gran parte de la carga del proceso.

Ahora que las empresas de todo el mundo se están acostumbrando al GDPR, las que hacen negocios en California ahora deben prepararse para cumplir con la CCPA del estado, y hay más regulaciones de privacidad para el consumidor en el horizonte.

Las empresas que deben cumplir con estos mandatos de cumplimiento de privacidad están bajo presión para realizar grandes cambios en sus procesos de TI y seguridad, y hacerlo rápidamente.

«Existe una gran necesidad de tener un plan claro para los datos personales, no solo cómo se usan, sino cómo se distribuyen», dijo Derrick A. Butts, director de informática y seguridad cibernética de TI en Truth Initiative. «Se necesita más transparencia en cuanto a cómo las empresas están haciendo negocios porque van a ser responsables de ello».

Los expertos coinciden en que las reglas de cumplimiento de privacidad, como el GDPR de la UE y la Ley de Privacidad del Consumidor de California (CCPA), ciertamente son necesarias ya que los datos del consumidor siguen siendo un objetivo para los hackers. Pero los mandatos de privacidad dejan a las empresas luchando a medida que agregan personal, actualizan procesos e implementan tecnología como IA para mantener el cumplimiento.

Estos esfuerzos podrían resultar costosos: Una evaluación de impacto económico independiente preparada para la oficina del fiscal general de California descubrió que el CCPA podría costar a las empresas un total de hasta $ 55 mil millones en costos iniciales de cumplimiento.

Autorizar una ‹solicitud de consumidor verificable›

Los nuevos derechos de privacidad del consumidor bajo CCPA solo requerirán que muchas compañías implementen políticas y procedimientos para cumplir. Una de esas reglas es el requisito de solicitud de consumidor verificable que permite a los consumidores de California solicitar acceso a su información personal y solicitar que se elimine. Al recibir dicha solicitud, la empresa cubierta debe verificar la identidad de la persona solicitante y responder.

Las empresas deben establecer prácticas para verificar las identidades de los solicitantes o arriesgarse a proporcionar a terceros información no autorizada y fraudulenta. Esta carga probablemente recaerá en el departamento de seguridad, dijo Scott Giordano, vicepresidente de protección de datos en Spirion LLC, durante una sesión titulada «Lo que significa la Ley de Privacidad del Consumidor de California para su programa de seguridad» en el Congreso de Seguridad de (ISC)2 en Orlando, Florida

«Hay que verificar que esa persona sea quien dice ser», dijo Giordano. «¿Quiénes son los afortunados que probablemente obtengan ese trabajo en su empresa? No va a ser legal, legal va a referirse a TI. Luego, TI llama a seguridad de TI».

El manejo de este tipo de solicitudes probablemente se convertirá en una subindustria en sí misma en el futuro, dijo Giordano, pero hasta entonces, la organización es responsable de garantizar que el proceso de verificación sea seguro.

Para hacer este trabajo al menos un poco más fácil, dijo Giordano, pasos como crear un inventario de datos, establecer procesos para que los consumidores reciban su información dentro del plazo y hacer actualizaciones a la declaración de privacidad de la organización pueden ayudar.

«La responsabilidad recaerá sobre ustedes para establecer controles de seguridad para todo, ahora para CCPA», dijo Giordano a la audiencia en la conferencia de (ISC)2. «Será un enorme esfuerzo».

Diseñar soluciones con la privacidad en mente

Un gran obstáculo es que, en el pasado, la mayor parte de la ingeniería para nuevas tecnologías se enfocaba en reunir tanta información como fuera posible y luego construir un modelo de negocio a su alrededor, dijo Alan Conboy, de la oficina del CTO en Scale Computing.

Esto crea una gran carga para las empresas que crearon un modelo de negocio completo para compartir datos y minería de datos. Las reglas de cumplimiento de privacidad los obligan a tratar de rastrear exactamente qué datos tienen y luego establecer procesos para aislar ciertos datos para cumplir con los mandatos.

«Históricamente, no se han centrado en esa capacidad en lo absoluto», dijo Conboy.

Esto dejará a muchas compañías sin personal y sin preparación suficientes para implementar intrincados procesos de protección de datos y seguridad para cumplir con las regulaciones, agregó.

«Si los administradores ya están luchando hoy solo con piezas de subcomponentes, eso me dice que ya hay demasiada complejidad involucrada en su día a día», dijo Conboy. «Estas regulaciones se suman a esa complejidad exponencialmente».

Como resultado, más empresas están recurriendo a la tecnología, como la inteligencia artificial y el aprendizaje automático, para automatizar al menos algunos procesos de cumplimiento, como la ubicación o extracción de datos. Las técnicas de la vieja escuela, como los horarios de retención, también pueden ayudar, dijo el CEO y fundador de Ripcord Inc., Alex Fielding.

Pero, aunque Fielding dijo que los calendarios de retención en el pasado eran un poco flojos, las reglas de cumplimiento de privacidad aumentan el riesgo de exposición dramáticamente cuando los datos se mantienen más allá de la fecha de vencimiento.

«Usted podría estar sentado en un corpus gigante de información que contiene [información de identificación personal], y puede que ni siquiera lo sepa si no tiene las herramientas para rastrearlos», dijo Fielding.

Fielding agregó que muchas empresas tienen buenas intenciones para proteger la privacidad del consumidor pero, en el pasado, carecían de las herramientas para hacerlo. Los mandatos de cumplimiento obligan a las empresas a actuar más rápido sobre la implementación de la protección de la privacidad de datos, dijo.

Además, el cumplimiento de la privacidad ya no es opcional, y las multas y sanciones sustanciales por incumplimiento también ayudarán a cambiar los comportamientos, dijeron los expertos.

«Los días en que las compañías podían dar por sentado los datos de sus clientes y no preocuparse por las implicaciones de privacidad para el consumidor o las implicaciones de seguridad para la compañía han terminado», dijo Fielding.

Investigue más sobre Cumplimiento y control

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close