Comprender la regulación de la privacidad de datos en EE. UU. y cómo SOAR puede ayudar

Considerando que la El Reglamento General de Protección de Datos (RGPD) está en vigor en toda la Unión Europea, La regulación de la privacidad de datos en EE. UU. varía según el estado. Sin embargo, esto podría cambiar con el... Ley de Privacidad y Seguridad de Datos del Consumidor (CDPSA) de 2020, actualmente en trámite legislativo. Mientras tanto, el Ley de Privacidad del Consumidor de California (CCPA) Lidera la nación en regulación de la privacidad.

Las similitudes entre el RGPD y la CCPA residen en los objetivos comunes en torno al derecho de acceso, el derecho al olvido y el derecho a la exclusión voluntaria. La CCPA se diferencia en que exige que los sitios web incluyan un aviso de privacidad. Por otro lado, el RGPD facilita el derecho a corregir datos inexactos y exige el consentimiento explícito. Ambos comparten objetivos similares en cuanto a las notificaciones de infracciones, pero mantienen matices en cuanto a los plazos, las autoridades responsables de la notificación y el momento de las notificaciones obligatorias a los interesados.

La CCPA sigue marcando la pauta a nivel nacional, pero incluso esta regulación está sujeta a actualizaciones o incluso a un marco completamente renovado. Es probable que esto ocurra en los próximos años, ya que la Ley de Derechos de Privacidad de California (CPRA) se aprobó en el estado en noviembre de 2020. Además, unas 15 leyes estatales y federales están actualmente en proceso de aprobación. En definitiva, el cambio y la expansión de la privacidad de datos se están produciendo a un ritmo acelerado.

Además, EE. UU. también incluye regulaciones de privacidad de datos dirigidas a un sector específico, como HIPAA o GLBA, o a un subconjunto específico de la población, como la Regla de Protección de la Privacidad Infantil en Línea (COPPA). Las organizaciones capaces de navegar con éxito estas complejas redes de regulaciones de privacidad de datos lo hacen mediante un esfuerzo colaborativo entre los grupos de GRC, legal, IoT y ciberseguridad. Este esfuerzo colectivo también facilita un cambio cultural y de mentalidad en la empresa.

La privacidad de los datos ya no puede ser una cuestión de último momento a la hora de planificar las operaciones comerciales y los cambios tecnológicos.

Al igual que con el RGPD, EE. UU. está empezando a reconocer los desafíos inherentes a la fragmentación de las regulaciones emitidas y aplicadas por cada estado. Aquí es donde entra en juego la ya mencionada CDPSA. Esta ley no solo busca abordar este desafío mediante una regulación centralizada y de aplicación federal, sino que también establece umbrales según tres dinámicas empresariales. La CDPSA define a una pequeña empresa como aquella con menos de 500 empleados, menos de 1 millón de T/T en ingresos brutos promedio durante 3 años y sin umbral para los registros de datos procesados.

Esto difiere ligeramente del RGPD y presenta similitudes con la CCPA en cuanto a los umbrales definidos explícitamente según los ingresos, el número de empleados y las operaciones de una empresa. Estados Unidos busca un equilibrio entre el coste del cumplimiento normativo y los beneficios de proteger los datos de los consumidores. Si la historia influye en este proceso, la legislación estadounidense probablemente se adaptará al comercio. Ojalá tuviéramos una bola de cristal para determinar si la legislación estadounidense reemplazaría las leyes estatales de protección de datos. Además, ¿puede la legislación federal cumplir y superar el estándar establecido por la CCPA? Por ahora, aún podemos desarrollar nuestros programas de privacidad de datos basándonos en las mejores prácticas.

El desafío

La mayoría, si no todas, las organizaciones, grandes y pequeñas, tienen dificultades para adaptarse a estas regulaciones cambiantes en todo el país y el mundo. Mantenerse al día con todos estos cambios en la normativa de privacidad de datos es un desafío para todas las organizaciones.

El esfuerzo necesario para establecer y mantener el cumplimiento de la privacidad de datos dentro de una organización no debe recaer en una sola persona o equipo, sino en un esfuerzo colectivo de toda la organización para analizar los desafíos y comprender el curso de acción. Las claves para empezar son comprender los datos a lo largo de su ciclo de vida, la clasificación del sistema para los entornos que interactúan con ellos, los terceros involucrados y la documentación. Sí, las políticas y procedimientos de siempre. Aunque quizás le guste la idea de las políticas y los procedimientos, lo dejaremos para otro día. Simplemente tenga en cuenta que sin una comprensión documentada de sus datos y sistemas, esta es una forma rápida de plantear inquietudes a los auditores o a los organismos gubernamentales.

Al mapear el ciclo de vida de los datos, asegúrese de considerar todas las posibles vías de entrada y salida, junto con cualquier procesamiento automatizado. Esto puede ser un aspecto especialmente complejo si subcontrata el marketing o utiliza distribuciones y campañas de correo electrónico. Considere... Derecho al olvido En este caso, si su organización puede atender la solicitud de un ciudadano de la UE que desea eliminar todos sus datos personales, incluidos los correos electrónicos, los procesos comerciales secundarios o subcontratados, como las campañas de correo electrónico automatizadas, se vuelven más riesgosos de incumplimiento.

La solución SOAR

A medida que las regulaciones de privacidad de datos continúan desafiando a las organizaciones, hay esperanza y estrategias para alinear las tecnologías, las personas y el cumplimiento normativo con un Solución de orquestación, automatización y respuesta de seguridad (SOAR). Al integrar una plataforma SOAR en los sistemas aplicables, las empresas pueden sincronizar y utilizar datos en todo el centro de operaciones de seguridad (SOC), TI, cumplimiento y otros procesos.

Los SOC y los departamentos de TI ya tienen mucho que hacer. Añadir responsabilidades de cumplimiento podría desperdiciar su valioso tiempo y atención. Aquí es donde la automatización puede ser de gran ayuda.

SOAR puede ayudar a cualquier organización a aprovechar al máximo su personal, procesos y tecnología, lo cual resulta útil cuando se requiere incorporar nuevas funciones de cumplimiento a cualquier equipo. Dado que ciertos elementos de cumplimiento requieren intervención humana, como la validación de la identidad del titular de los datos, una solución SOAR puede ejecutar automáticamente los procesos de flujo de trabajo designados y notificar al personal cuando se requiere una tarea manual. Aún mejor, el proceso SOAR elimina la necesidad de que el personal realice tareas superfluas, ya que se encarga de todo excepto de la evaluación y la decisión manual. Una vez que se determina la decisión humana y se indica la acción apropiada, la automatización y la orquestación de SOAR entran en acción para completar el resto del proceso.

Al aprovechar los conocimientos de los recursos de cumplimiento mencionados, junto con la automatización de flujos de trabajo, los equipos pueden responder rápidamente a las solicitudes de los interesados, manteniendo al mismo tiempo la seguridad crítica de la organización. Las organizaciones que aprovechan la automatización de su solución SOAR pueden evitar sobrecargar a sus equipos de SOC y TI al crear flujos de trabajo que gestionan la mayoría, si no todos, de estos procesos sin intervención humana.

¿Interesado en aprender más?

Si está leyendo esto, es probable que su organización esté saturada con la avalancha diaria de alertas provenientes de un panorama de amenazas en constante evolución y se sienta abrumado por los procesos y procedimientos regulatorios y de cumplimiento. ¡Swimlane puede ayudarle! Vea este seminario web a la carta., Solución de orquestación, automatización y respuesta de seguridad (SOAR) para aprender cómo SOAR puede ayudarle a automatizar sus informes de cumplimiento.

Seminario web: Optimización de los requisitos de respuesta e informes de incidentes en materia de cumplimiento normativo

A medida que los equipos del SOC continúan mitigando y adaptándose a las ciberamenazas, hay algo que permanece constante: la respuesta a incidentes seguirá requiriendo documentación e informes. Un requisito de cumplimiento común en el sector energético es la Protección de Infraestructura Crítica de la Corporación de Confiabilidad Eléctrica de Norteamérica (NERC CIP), un conjunto de requisitos diseñados para proteger los activos necesarios para operar y estabilizar el sistema eléctrico de Norteamérica. En la grabación de este seminario web, Bob Swanson, consultor de investigación de cumplimiento, y Jay Spann, promotor de SOAR, analizan cómo SOAR puede optimizar y facilitar la creación de informes de cumplimiento y paquetes de auditoría. ¡Véalo ahora!

Mira ahora