La ley CCPA desde la perspectiva del CISO

Compártelo en

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigencia a partir de Enero de 2020.

Al igual que su regulación hermana en Europa, la GDPR, la CCPA, está intensificando las regulaciones sobre el uso de información de identificación personal (IIP). Para muchas organizaciones, estas regulaciones se ven como algo negativo que solo agrega más requisitos y trabajo.

Como CISO, estoy absolutamente afectado por estas regulaciones de privacidad, ya que el título de mi trabajo incluye el cumplimiento de regulaciones externas. Por un lado, eso significa trabajo adicional, pero por otro lado me alegro de que esas regulaciones estén ahí, y a continuación les explico el por qué:

  • - Como CISO soy responsable de proteger la información crítica. La IIP es solo otra categoría de información crítica que debe protegerse. La razón por la que esto se ha convertido en un problema es porque esta categoría de información no ha recibido la misma atención y protección anteriormente.
  •  
  • - Las regulaciones de privacidad brindan un incentivo adicional para hacer lo que deberíamos haber hecho todo el tiempo, es decir, identificar qué tipo de información estamos procesando, dónde procesamos esa información y por qué motivo, y protegerla en consecuencia.
  •  
  • - Todos los datos deben clasificarse según su criticidad. Se crean miles de documentos cada semana, o incluso todos los días. Estos documentos pueden contener información confidencial que debe protegerse. Las regulaciones como las leyes de privacidad ayudan a centrarse en clasificar estos documentos y protegerlos de acuerdo con su clasificación.
  •  
  • - La necesidad de identificar qué información de identificación personal procesamos y dónde la procesamos es solo otro argumento para implementar una buena arquitectura de información. La necesidad de proteger la confidencialidad, integridad y disponibilidad de la información crítica y sensible comienza con la arquitectura de la información. Si no se sabe dónde están sus datos críticos, ¿cómo puede asegurarse de que estén suficientemente protegidos? El derecho de eliminación de los interesados ​​también requiere que conozca todos los lugares donde se almacena la información.

La amenaza de multas relacionadas con infracciones de PII me da un argumento más de por qué debemos invertir más en seguridad y no menos. Con la gestión de riesgos se realiza un análisis de costes y beneficios de las actividades de mitigación. Si el costo de proteger los datos es mayor que las consecuencias de no proteger, entonces es malo para las empresas protegerlos. Con las posibles multas por no cumplir con esta normativa las consecuencias pueden llegar a ser realmente elevadas. Esto nuevamente significa que más medidas de seguridad ahora serán beneficiosas para la empresa.

Los propietarios de los datos de IIP no son el CISO ni nadie que trabaje con la seguridad. Por lo general, ni siquiera es alguien que trabaje en TI. Los propietarios de los datos estarían en los departamentos de RR.HH., Finanzas o Marketing / Ventas. Esto ahora significa que estos propietarios de datos también deben comenzar a pensar en la seguridad de los datos. Cuanta más gente piense en la seguridad de los datos, mejor para mí.

Finalmente, las regulaciones como la CCPA están ayudando a los CISO a enfocarse en la seguridad de la información y hacer que todos avancen hacia un procesamiento de datos más seguro. La amenaza de multas que pueden alcanzar hasta $ 2,500 por infracciones no intencionales y $ 7,500 por infracciones intencionales. El consumidor también puede cobrar entre $ 100 y $ 750 por cada incidente. Estas sumas pueden sumarse fácilmente a millones y deberían hacer que cualquier miembro del Consejo de Administración asuma un nuevo interés en la seguridad de la información.

Si se encuentra en búsqueda de herramientas para prevenir la fuga de información, puede solicitar un Assessment gratuito al correo demo@kriptos.io y conocer qué tan segura se encuentra su organización.

Ole Christian Olsen es Director de Seguridad de la información en Kriptos. Su experiencia incluye líder de auditoría de TI y Arquitecto Senior de Seguridad en firmas como E&Y y Sopra Steria.

Artículos relacionados

No items found.