Del RGPD a la CCPA: Cómo Mantenerse Al Día en Un Panorama Normativo en Rápida Evolución
En 1986, Estados Unidos promulgó una ley conocida como Ley de Fraude y Abuso Informático (CFAA, por sus siglas en inglés) para hacer frente al aumento de los delitos informáticos. La CFAA penaliza muchos delitos informáticos, como la piratería, el acceso no autorizado a ordenadores y redes informáticas, y el uso de ordenadores para cometer fraude o acceder a información de seguridad nacional.
Conforme los delitos informáticos han ido evolucionando, la ley se ha ido modificando para incluir actividades ilegales más recientes, como el tráfico de contraseñas y códigos de acceso, la distribución de códigos maliciosos y los ataques de denegación de servicio. Países de todo el mundo han seguido su ejemplo, promulgando leyes y reglamentos para proteger los sistemas informáticos y la información personal de los ciberataques.
A pesar de las leyes y de las amenazas de acciones legales, el número de organizaciones criminales y de delincuentes informáticos solitarios se ha disparado, y los expertos en seguridad calculan que se produce un ataque cada 11 segundos. Las empresas que ofrecen servicios esenciales, productos financieros o infraestructuras críticas, como Colonial Pipeline, Capital One, y CNA Financial Corp, son demasiado grandes y públicas como para no denunciar públicamente los ciberincidentes, pero alrededor del 85% de los ciberdelitos no se denuncian, según el Departamento de Justicia de Estados Unidos.
Esto sucede por multitud de razones. Algunas empresas pueden no ser conscientes deque han sido atacadas. Otras, como Uber, encubren los incidentes a sabiendas, creyendo que pagar el rescate les costará menos que todos los gastos asociados a una investigación y a la reacción pública. Puede que teman los daños a su reputación, la pérdida de confianza de clientes e inversores y las acciones legales si se demuestra su negligencia, o puede que piensen que mantener el incidente en secreto evitará exponer secretos comerciales.
Aunque reconocer un ciberincidente puede ayudar a prevenir daños mayores, identificar el origen del ataque y proporcionar a los expertos en seguridad ideas sobre cómo prevenir futuros ataques, muchas empresas optan por no hacerlo. Esta situación ha llevado a numerosos países a decidir que deben aplicar normativas adicionales.
Cómo cumplir la normativa
En todo el mundo, las normas en materia de ciberseguridad comparten similitudes, pero también existen diferencias cruciales. Por ejemplo, el RGPD se aplica a las empresas que manejan datos personales de ciudadanos de la UE, independientemente de la ubicación de las empresas, mientras que la CCPA solo se aplica a las empresas que realizan negocios en California. Algunas normas abarcan todos los datos personales, mientras que otras solo protegen la información personal utilizada con fines comerciales.
Independientemente de los diferentes marcos y leyes vigentes, las empresas y los proveedores de servicios deben seguir cumpliendo la legislación y pueden hacerlo de forma responsable centrándose en una serie de estrategias y procesos clave.
Conocer la normativa
La ignorancia no es una excusa que acepte ningún gobierno, inversor o cliente. Las empresas deben invertir tiempo y recursos en familiarizarse con la normativa de su lugar de residencia y con cualquier otra relativa a la ubicación de sus clientes. Las organizaciones también pueden tener que cumplir marcos de seguridad específicos del sector, como la ley estadounidense HIPAA para el sector sanitario o NERC-CIP para los sectores de servicios públicos y energía.
Para las empresas con menos recursos, trabajar con consultores de seguridad y abogados puede ser la mejor manera de comprender plenamente estos marcos regulatorios y sus repercusiones en la infraestructura y la protección de datos.
Llevar a cabo una auditoria
Una auditoría puede proporcionar información valiosa sobre los riesgos y la estrategia de seguridad de una empresa al identificar vulnerabilidades y puntos débiles en la seguridad de sus redes y aplicaciones, en la protección de datos y en los controles de acceso. También puede ayudar a evaluar el cumplimiento de la legislación y la normativa en materia de ciberseguridad, así como los planes de respuesta a incidentes y la capacidad de la empresa para detectar ciberincidentes, responder a ellos y recuperarse.
La auditoría debería tener como resultado recomendaciones prácticas, tales como qué herramientas deberían incorporarse y qué controles de seguridad, políticas y procedimientos deberían implantarse o perfeccionarse para reforzar la seguridad y reducir el riesgo.
Seleccionar las herramientas y los procesos adecuados
Dado que la normativa no depende de ninguna tecnología concreta, las empresas pueden elegir los proveedores de soluciones que prefieran. Todas las empresas deben utilizarfirewalls, antivirus y software antimalware. Los sistemas de información de seguridad y gestión de eventos (SIEM) pueden ser increíblemente útiles, ya que supervisan el tráfico de red y los datos de los registros, detectan incidentes de seguridad y automatizan la respuesta a las amenazas.
Una de las soluciones de cumplimiento más valiosas es un centro de operaciones de seguridad (SOC) gestionado que combine herramientas tecnológicas con procesos de buenas prácticas y un equipo de analistas, buscadores de amenazas y otros especialistas en seguridad. Los SOC cubren todos los ángulos de la seguridad proporcionando vigilancia continua 24 horas al día, 7 días a la semana, detección de amenazas, servicios forenses digitales y de respuesta a incidentes, análisis de registros, gestión de vulnerabilidades e inteligencia sobre amenazas. Los SOC también incluyen supervisión del cumplimiento, gestión de vulnerabilidades, inteligencia sobre amenazas e informes, todo lo cual ayuda a las empresas a evitar sanciones, proteger proactivamente los sistemas y demostrar su compromiso con la ciberseguridad.
Dependiendo de la normativa del sector, las empresas también pueden recurrir a pruebas de detección de vulnerabilidades y de penetración, sistemas de prevención de pérdida de datos (DLP), sistemas de control de acceso y gestión de identidades, y tecnologías de cifrado para garantizar el cumplimiento de la normativa.
Una Visión General de las Regulaciones Actuales de Ciberseguridad y Protección de Datos
Aunque el cuadro siguiente no es exhaustivo, debería proporcionar algunas ideas y orientaciones a las empresas.
PAÍS/PAÍSES | AÑO | NOMBRE DE LA NORMATIVA | RESUMEN |
---|---|---|---|
Unión Europea | 2016 | RGPD – Reglamento general de protección de datos | Se aplica a: Cualquier empresa situada en la UE o que recopile y almacene datos privados de ciudadanos de la UE
Región: Todo el mundo Qué abarca: 99 artículos relacionados con los derechos de acceso a los datos de los consumidores, las políticas de protección de datos, los requisitos de notificación de las infracciones de datos, etc. |
Estados Unidos | 2014 | FISMA – Ley federal de gestión de la seguridad de la información | Se aplica a: Agencias federales de EE.UU.
Región: EE.UU. Qué abarca: Exige que las agencias federales y los proveedores externos realicen un inventario de los activos digitales e identifiquen las integraciones entre redes y sistemas. |
Estados Unidos | 2011 | FedRAMP – Programa federal de gestión de riesgos y autorizaciones | Se aplica a: Agencias federales estadounidenses que utilizan servicios en la nube proporcionados por organizaciones comerciales y sin ánimo de lucro.
Región: EE.UU. Qué abarca: Una amplia gama de controles de seguridad, incluidos el control de acceso, la respuesta a incidentes, la gestión de la configuración y el análisis de vulnerabilidades, entre otros, para los proveedores de servicios en la nube que ofrecen servicios a organismos federales. |
Estados Unidos | 1996 | HIPAA – Ley de portabilidad y responsabilidad de los seguros médicos | Se aplica a: Organizaciones médicas
Región: EE.UU. Qué abarca: Exige controles para proteger y asegurar la privacidad de los datos médicos electrónicos. Página oficial |
Estados Unidos | 1999 | GLBA – Ley Gramm-Leach-Bliley | Se aplica a: Instituciones financieras
Región: EE.UU. Qué abarca: Exige a las instituciones financieras que expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles. Página oficial |
Estados Unidos | 2018 | CCPA | Se aplica a: Consumidores residentes en California
Región: EE.UU. Qué abarca: Regula la protección de los datos personales de los residentes en California |
Estados Unidos | 2022 | SEC Cyber Disclosure | Se aplica a: Todas las empresas públicas y entidades emisoras privadas del extranjero
Región: EE.UU. Qué abarca: Requiere que las empresas públicas informen de los incidentes de ciberseguridad en los cuatro días hábiles siguientes a la identificación del suceso. |
Reino Unido | 2018 | Ley de protección de datos | Se aplica a: Organizaciones profesionales o comerciales que trabajan con datos personales en el Reino Unido
Región: Reino Unido Qué abarca: Controla cómo utilizan la información personal del usuario las organizaciones, las empresas y el gobierno. |
Reino Unido | 2018 | Reglamento NIS – Reglamento sobre redes y sistemas de información | Se aplica a: Operadores de servicios esenciales (OES) y proveedores de servicios digitales (DSP) que prestan servicios en el Reino Unido.
Región: Reino Unido Qué abarca: Nivel general de seguridad virtual y física de los sistemas de redes y datos que son críticos para la prestación de servicios digitales y servicios esenciales. |
China | 2017 | Ley de ciberseguridad | Se aplica a: Todos los operadores de red de China
Región: China Qué abarca: Establece un mecanismo de revisión de la ciberseguridad de los productos y servicios de red que puedan poner en riesgo la seguridad nacional de China. |
Australia | 1988 | Ley de privacidad | Se aplica a: Organismos gubernamentales y organizaciones del sector privado con una facturación anual igual o superior a 3 millones de dólares.
Región: Australia Qué abarca: Protege el tratamiento de la información personal sobre las personas, incluida la recopilación, el uso, el almacenamiento y la divulgación de información personal en el sector público federal y en el sector privado. |
Singapur | 2013 | PDPA – Ley de protección de datos personales | Se aplica a: Todas las comunicaciones electrónicas y no electrónicas que impliquen la recopilación, el tratamiento o la transferencia de datos dentro de Singapur, independientemente de que la empresa se encuentre físicamente en Singapur
Región: Singapur Qué abarca: Se aplica a los datos personales almacenados en formatos electrónicos y no electrónicos. |
Canadá | PIPEDA – Ley de protección de datos personales y documentos electrónicos | Se aplica a: Todas las empresas canadienses y las empresas extranjeras que tengan alguna relación con Canadá
Región: Canadá Qué abarca: La forma en que las organizaciones privadas recopilan, utilizan y divulgan información personal en el transcurso de actividades comerciales con ánimo de lucro en todo Canadá, y la información personal de los empleados de empresas reguladas por el gobierno federal. |
|
Alemania | 2021 | KRITIS | Se aplica a: Organizaciones e instituciones relacionadas con infraestructuras críticas
Región: Alemania Qué abarca: Exige a las organizaciones del sector de las infraestructuras críticas que adopten las medidas de seguridad oportunas para protegerse de las ciberamenazas y que notifiquen los incidentes significativos a las autoridades competentes. |
Global | 2006 | PCI DSS – Norma de seguridad de los datos del sector de las tarjetas de pago | Se aplica a: Todas las e ntidades implicadas en el procesamiento de pagos con tarjeta, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios.
Región: GlobalQué abarca: Todos los componentes técnicos y operativos del sistema incluidos en los datos de los titulares de tarjetas o relacionados con ellos. |
Estados Unidos | 2002 | SOX – Ley Sarbanes-Oxley | Se aplica a: Empresas estadounidenses que cotizan en bolsa y sus auditores
Región: EE.UU. Qué abarca: Protege a los inversores de los informes financieros fraudulentos de las empresas. |
Brasil | 2018 | Brasil GDPR – Reglamento General de Protección de Datos | Se aplica a: Se aplica a cualquier organización que procese datos personales en Brasil, independientemente de donde esté ubicada la organización.
Región: Global Qué abarca: La regulación abarca la recopilación, almacenamiento, procesamiento y compartición de datos personales, y establece los derechos de los individuos con respecto a sus datos.
|
México | 2020 | Ley de Protección de Datos Personales en México | Se aplica a: Se aplica a individuos y organizaciones que procesan datos personales en México.
Región: México Qué abarca: Establece principios, obligaciones y procedimientos para garantizar la protección de los datos personales. El objetivo de la ley es salvaguardar la privacidad de los individuos y brindarles control sobre sus datos. |
Argentina | 2020 | Ley de Protección de Datos en Argentina | Se aplica a: se aplica al procesamiento de datos personales, garantizando la protección de la privacidad y otorgando derechos a los individuos con respecto a sus datos.
Región: Argentina Qué abarca: Cubre a todas las personas y organizaciones que procesan datos personales en Argentina, independientemente de su ubicación. |
Chile | 1999/2018 | Ley de Protección de Datos Personales en Chile | Se aplica a: se aplica al procesamiento de datos personales realizado por individuos y organizaciones en Chile.
Región: Chile Qué abarca: Establece principios, obligaciones y derechos relacionados con la protección de datos personales y privacidad. |
Perú | 2011 | Ley de Protección de Datos Personales en Perú | Se aplica a: se aplica al procesamiento de datos personales en Perú. Su objetivo es garantizar la protección de datos personales y los derechos de privacidad de los individuos.
Región: Perú Qué abarca: La ley se aplica a individuos y organizaciones que recopilan, almacenan, procesan o transfieren datos personales. |
Colombia | 2012 | Ley de Protección de Datos en Colombia | Se aplica a: Se aplica a individuos y organizaciones que recopilan, almacenan, utilizan, circulan o eliminan datos personales de ciudadanos colombianos
Región: Colombia Qué abarca: El objetivo de la ley es proteger la privacidad de las personas y otorgarles control sobre sus datos personales. |
En términos simples, un SOC supervisa los datos de registro, manteniendo el cumplimiento de las organizaciones bajo control. En función de los requisitos normativos, cada organización debe configurar los registros para cumplir las normas. Una vez configurados y enviados a un SIEM, un SOC supervisa y escribe reglas para detectar las actividades que no cumplen los requisitos normativos.
Conclusión
Estos son solo algunos ejemplos de las numerosas normativas que deben cumplir las empresas en el panorama digital actual. Comprender las disposiciones clave e implantar las medidas de protección adecuadas, como establecer normas mínimas de seguridad y exigir que se informe de los incidentes, forma ahora parte de los requisitos más recientes de los reguladores de todo el mundo que buscan minimizar el impacto de los ciberataques.
Constantemente se redactan y aprueban nuevas normativas, como CIRCIA en Estados Unidos. Además, hay muchos países, como Singapur, que están empezando a animar a las empresas a contratar únicamente a proveedores de servicios de ciberseguridad autorizados porque entienden que contar con la ayuda de un proveedor de servicios para mantener a las empresas al día en materia de cumplimiento simplifica el proceso y garantiza que las organizaciones estén al corriente de los últimos cambios en la normativa.