Die Datenschutzbestimmungen in den USA verstehen und wie SOAR dabei helfen kann

Während die Die globale Datenschutzverordnung (DSGVO) gilt in der gesamten Europäischen Union., Die Datenschutzbestimmungen in den USA variieren von Bundesstaat zu Bundesstaat. Dies könnte sich jedoch mit der Zeit ändern. Verbraucherdatenschutz- und Sicherheitsgesetz (CDPSA) von 2020, das sich derzeit im Gesetzgebungsverfahren befindet. In der Zwischenzeit wird das California Consumer Privacy Act (CCPA) ist landesweit führend in der Datenschutzregulierung.

Die Gemeinsamkeiten zwischen DSGVO und CCPA liegen in den übereinstimmenden Zielen hinsichtlich des Auskunftsrechts, des Rechts auf Vergessenwerden und des Widerspruchsrechts. Der CCPA unterscheidet sich insofern, als er Webseiten zur Veröffentlichung einer Datenschutzerklärung verpflichtet. Die DSGVO hingegen ermöglicht das Recht auf Berichtigung unrichtiger Daten und erfordert eine ausdrückliche Einwilligung. Beide Gesetze verfolgen ähnliche Ziele in Bezug auf die Meldung von Datenschutzverletzungen, unterscheiden sich jedoch hinsichtlich des Zeitpunkts, der Meldebehörden und der Fristen für die Benachrichtigung der betroffenen Personen.

Der CCPA setzt weiterhin Maßstäbe im Inland, doch auch diese Regelung kann aktualisiert oder sogar komplett überarbeitet werden. Dies ist in den kommenden Jahren wahrscheinlich, da der California Privacy Rights Act (CPRA) im November 2020 zur Abstimmung stand. Darüber hinaus befinden sich derzeit etwa 15 weitere Gesetze auf Landes- und Bundesebene im Gesetzgebungsverfahren. Kurz gesagt: Der Datenschutz schreitet rasant voran und weitet sich aus.

Darüber hinaus gibt es in den USA Datenschutzbestimmungen, die entweder auf bestimmte Branchen wie HIPAA oder GLBA oder auf bestimmte Bevölkerungsgruppen wie die Children’s Online Privacy Protection Rule (COPPA) zugeschnitten sind. Unternehmen, die sich in diesem komplexen Geflecht von Datenschutzbestimmungen erfolgreich bewegen, erreichen dies durch die enge Zusammenarbeit von GRC-, Rechts-, IoT- und Cybersicherheitsteams. Diese gemeinsame Anstrengung fördert zudem einen Kultur- und Mentalitätswandel im Unternehmen.

Datenschutz darf bei der Planung von Geschäftsabläufen und technologischen Veränderungen nicht länger eine Nebensache sein.

Ähnlich wie bei der DSGVO erkennen die USA zunehmend die Herausforderungen fragmentierter, von einzelnen Bundesstaaten erlassener und durchgesetzter Regelungen. Hier kommt der bereits erwähnte CDPSA ins Spiel. Er zielt nicht nur darauf ab, diese Herausforderung durch eine zentralisierte, bundesweit durchgesetzte Regulierung zu bewältigen, sondern legt auch Schwellenwerte für drei Unternehmenskategorien fest. Ein kleines Unternehmen ist laut CDPSA definiert als ein Unternehmen mit weniger als 500 Mitarbeitern, einem durchschnittlichen Bruttoumsatz von unter 1,5 Millionen US-Dollar über drei Jahre und ohne Schwellenwert für die verarbeitete Datenmenge.

Dies unterscheidet sich geringfügig von der DSGVO und weist Ähnlichkeiten mit dem CCPA hinsichtlich explizit definierter Schwellenwerte auf, die sich nach Umsatz, Mitarbeiterzahl und Geschäftstätigkeit richten. Die USA streben ein Gleichgewicht zwischen den Kosten der Einhaltung der Vorschriften und den Vorteilen des Schutzes von Verbraucherdaten an. Erfahrungsgemäß wird die US-Gesetzgebung eher den Interessen des Handels entgegenkommen. Es wäre jedoch denkbar, dass die US-Gesetzgebung die Datenschutzgesetze der einzelnen Bundesstaaten außer Kraft setzen wird. Kann die Bundesgesetzgebung die vom CCPA gesetzten Standards erfüllen oder sogar übertreffen? Bis dahin können wir unsere Datenschutzprogramme auf Basis bewährter Verfahren weiterentwickeln.

Die Herausforderung

Die meisten, wenn nicht sogar alle Organisationen, ob groß oder klein, haben Schwierigkeiten, mit den sich ständig ändernden Vorschriften im In- und Ausland Schritt zu halten. Die Einhaltung der Datenschutzbestimmungen stellt für alle Organisationen eine Herausforderung dar.

Die Umsetzung und Aufrechterhaltung der Datenschutzkonformität in einem Unternehmen sollte nicht die Aufgabe einer einzelnen Person oder eines Teams sein, sondern eine gemeinsame Anstrengung des gesamten Unternehmens erfordern, um die Herausforderungen zu besprechen und das weitere Vorgehen festzulegen. Entscheidend für den erfolgreichen Start ist es, die Daten über ihren gesamten Lebenszyklus hinweg zu verstehen, die Systemklassifizierung für die datenverarbeitenden Umgebungen zu klären, die beteiligten Drittanbieter zu identifizieren und die Dokumentation zu erstellen. Ja, die guten alten Richtlinien und Verfahren. Auch wenn Ihnen der Gedanke an Richtlinien und Verfahren vielleicht gefällt, heben wir uns das für ein anderes Mal auf. Wichtig ist nur: Ohne ein dokumentiertes Verständnis Ihrer Daten und Systeme riskieren Sie schnell, Bedenken bei Prüfern oder Aufsichtsbehörden hervorzurufen.

Bei der Abbildung des Datenlebenszyklus sollten Sie unbedingt alle möglichen Eingangs- und Ausgangswege sowie jegliche automatisierte Verarbeitung berücksichtigen. Dies kann besonders dann eine Herausforderung darstellen, wenn Sie Marketing auslagern oder E-Mail-Kampagnen durchführen. Recht auf Vergessenwerden In diesem Fall und wenn Ihre Organisation einer Anfrage eines EU-Bürgers nachkommen kann, der die Löschung aller personenbezogenen Daten, einschließlich E-Mails, wünscht, steigt das Risiko von Verstößen gegen die Datenschutzbestimmungen bei sekundären oder ausgelagerten Geschäftsprozessen, wie beispielsweise automatisierten E-Mail-Kampagnen.

Die SOAR-Lösung

Da Datenschutzbestimmungen Organisationen weiterhin vor Herausforderungen stellen, gibt es Hoffnung und Strategien, Technologien, Mitarbeiter und die Einhaltung der Vorschriften mit einem Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)-Lösung. Durch die Integration einer SOAR-Plattform in die entsprechenden Systeme sind Unternehmen in der Lage, Daten im gesamten Security Operations Center (SOC), in der IT, im Compliance-Bereich und in anderen Prozessen zu synchronisieren und zu nutzen.

SOCs und IT-Abteilungen sind bereits stark ausgelastet. Zusätzliche Compliance-Verantwortlichkeiten könnten ihre ohnehin schon wertvolle Zeit und Aufmerksamkeit zusätzlich beanspruchen. Hier kann Automatisierung Abhilfe schaffen.

SOAR unterstützt Unternehmen dabei, ihre vorhandenen Mitarbeiter, Prozesse und Technologien optimal zu nutzen. Dies ist besonders hilfreich, wenn neue Compliance-Funktionen in Teams integriert werden müssen. Da bestimmte Compliance-Elemente menschliches Eingreifen erfordern, wie beispielsweise die Identitätsprüfung von Betroffenen, kann eine SOAR-Lösung festgelegte Workflow-Prozesse automatisch ausführen und die Mitarbeiter benachrichtigen, sobald eine manuelle Aufgabe erforderlich ist. Noch besser: Der SOAR-Prozess eliminiert alle unnötigen Aufgaben, indem er alles außer der manuellen Bewertung und Entscheidung übernimmt. Sobald die Entscheidung getroffen und die entsprechende Maßnahme festgelegt ist, automatisiert und orchestriert SOAR den restlichen Prozess.

Durch die Nutzung der Erkenntnisse aus den genannten Compliance-Ressourcen und automatisierten Workflows können Teams schnell auf Anfragen betroffener Personen reagieren und gleichzeitig die kritische Sicherheitslage des Unternehmens aufrechterhalten. Unternehmen, die die Automatisierung ihrer SOAR-Lösung nutzen, können ihre SOC- und IT-Teams entlasten, indem sie Workflows erstellen, die die meisten, wenn nicht sogar alle dieser Prozesse ohne menschliches Eingreifen abwickeln.

Möchten Sie mehr erfahren?

Wenn Sie dies lesen, ist Ihr Unternehmen wahrscheinlich mit der täglichen Flut an Warnmeldungen aus der sich ständig verändernden Bedrohungslandschaft überfordert und sieht sich mit regulatorischen und Compliance-Prozessen und -Verfahren konfrontiert. Swimlane kann helfen! Sehen Sie sich dieses On-Demand-Webinar an., Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)-Lösung Erfahren Sie, wie SOAR Ihnen bei der Automatisierung Ihrer Compliance-Berichterstattung helfen kann.

Webinar: Optimierung der Anforderungen an die Reaktion auf Vorfälle und die Berichterstattung im Rahmen der Compliance

Während SOC-Teams weiterhin Cyberbedrohungen abwehren und sich an sie anpassen, bleibt eines konstant: Die Reaktion auf Sicherheitsvorfälle erfordert weiterhin Dokumentation und Berichterstattung. Eine gängige Compliance-Anforderung in der Energiewirtschaft ist der Critical Infrastructure Protection (CIP)-Ansatz der North American Electric Reliability Corporation (NERC). Dieser umfasst Anforderungen zum Schutz der Anlagen, die für den Betrieb und die Stabilisierung des nordamerikanischen Stromnetzes unerlässlich sind. In dieser Aufzeichnung des Webinars erläutern Bob Swanson, Compliance Research Consultant, und Jay Spann, SOAR-Experte, wie SOAR die Erstellung von Compliance-Berichten und Audit-Dokumentationen optimieren und unterstützen kann. Jetzt ansehen!

Jetzt ansehen