Todo el mundo es un objetivo. Su empresa debe tomarse la seguridad en serio. Covid-19 dejó a un lado la privacidad y el cumplimiento de los datos, pero las organizaciones ahora deben priorizar la seguridad.
Por Stephen Cavey
Este artículo fue traducido de nuestra edición en inglés.
Las opiniones expresadas por los colaboradores de Entrepreneur son personales
Si bien 2020 ha sido todo menos esperado, la ciberseguridad y la privacidad de los datos han dominado la conversación, ya que los consumidores y los gobiernos comenzaron a exigir más de las organizaciones que recopilan información personal. En menos de 12 meses, el entorno empresarial ha cambiado drásticamente en respuesta a Covid-19. Más personas que nunca están trabajando desde casa, y algunas nunca regresan a la oficina y, sin embargo, al mismo tiempo, el cumplimiento normativo de las leyes de privacidad de datos continúa disminuyendo. Una tendencia alarmante no solo para un director de seguridad de la información (CISO) o un oficial de cumplimiento, sino para todas las partes involucradas a medida que continuamos viviendo más de nuestras vidas detrás de una pantalla.
Y como los oficiales de seguridad y cumplimiento se toman un momento para mirar hacia atrás en 2020, puede verse como un año perdido para las operaciones comerciales, un momento en el que las organizaciones tuvieron que dejar lo que estaban haciendo en el frente del cumplimiento solo para permanecer en el negocio. Tener que girar en tan poco tiempo dejó a muchas empresas en una situación precaria y las que sobrevivieron a los desafíos de 2020 ahora deben mirar hacia el 2021. Pero con las prácticas comerciales aún alteradas por la pandemia, el trabajo remoto y las nuevas regulaciones de cumplimiento se avecinan. , ¿qué pueden esperar las organizaciones a partir de 2021? Vamos a explorar.
Ponerse al día con el cumplimiento en 2021
Ya en declive antes del inicio de la pandemia, el cumplimiento normativo luchó por recibir el nivel de atención que requiere en 2020, ya que las organizaciones desviaron presupuestos a requisitos reactivos como el trabajo remoto para mantener la productividad de sus organizaciones. Incluso las regulaciones de cumplimiento de larga data, bien conocidas y altamente efectivas como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) disminuyeron por tercer año consecutivo, alcanzando un poco menos del 28% según Verizon . Y ahora, a medida que estas empresas emergen de la brutal priorización de las tareas de seguridad y TI, tendrán que volver a encarrilar el cumplimiento.
Con la reciente aprobación de la Proposición 24, también conocida como Ley de Derechos de Privacidad de California (CPRA), por los votantes de California en noviembre, y el retraso de la Ley de Protección de Datos Personales de Tailandia (PDPA) hasta el próximo año, hay mucho para las organizaciones ponerse al día en términos de cumplimiento. Además de estas regulaciones de privacidad de datos, se espera que el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) publique una actualización importante de PCI DSS en el nuevo año, lo que marca otro cambio de regulación que debe abordarse.
Las organizaciones que no cumplen pueden esperar pasar desapercibidas en 2021, pero después de un año tranquilo de cumplimiento de la ley, probablemente debido a la pandemia, parece razonable esperar una afluencia de cumplimiento proactivo en el nuevo año. Si bien regresar a alguna forma de normalidad es completamente subjetivo y depende de cada negocio y de la industria en la que operan, tratar de volver a la normalidad será el tema principal de 2021 y comienza con la repriorización de las iniciativas de seguridad para comenzar el nuevo año. .
Relacionado: La autenticación sólida y la evaluación periódica del cumplimiento son fundamentales ...
Las organizaciones recopilarán menos información sobre los consumidores
A medida que vivimos una mayor parte de nuestras vidas en línea, realizando transacciones comerciales, comunicando y compartiendo información personal, las organizaciones se han llenado de información personal que hemos compartido con ellas. Y en respuesta al creciente riesgo de que una violación de datos o una multa de cumplimiento sea demasiado grande para ignorarla, las empresas tendrán que refinar sus políticas de recopilación de datos para que sean más ágiles, más eficientes y más seguras para todas las partes involucradas. Traducción: recopile solo los datos que necesite y descarte los datos que ya no tenga una razón comercial justificada para conservar.
En el pasado, las organizaciones tenían como objetivo recopilar la mayor cantidad posible de datos sobre sus clientes, pero ahora, a medida que los consumidores, los gobiernos y las organizaciones de terceros prestan más atención a cómo se usan, comparten y almacenan los datos, esta tendencia está bajo más escrutinio que nunca. En última instancia, la recopilación de todos estos datos ya no tiene mucho sentido comercial. Con la adopción generalizada de la autenticación de dos factores, ¿realmente necesita saber el apellido de soltera de la madre de alguien? ¿Qué tipos de campos de formulario se encuentran en los materiales de marketing? ¿Necesitas todo eso? ¿Qué campos de datos personales está marcando como obligatorios para que los completen sus clientes y cuáles son opcionales, y por qué? Si no lo necesita, ¿por qué lo está coleccionando? Estas son solo una pequeña muestra de las preguntas que las organizaciones tendrán que hacerse a sí mismas en 2021.
Reducir la cantidad de información que una organización recopila de sus clientes, empleados y socios es una de las mejores formas de limitar los riesgos de cumplimiento, pero las organizaciones también deben considerar qué datos tienen actualmente. En el entorno de trabajo remoto actual, es probable que los datos confidenciales se hayan perdido en algún lugar de la red y, como resultado, las organizaciones deberán remediar estos riesgos inspeccionando minuciosamente todos los datos almacenados en las estaciones de trabajo y los puntos finales, las aplicaciones empresariales y sus bases de datos, carpetas compartidas, almacenamiento en la nube y todos los demás puntos de procesamiento de datos tanto internos como externos.
Relacionado: Prácticas de ciberseguridad que protegen su pequeña empresa
California establecerá un nuevo punto de referencia de seguridad y privacidad en EE. UU.
Se espera que la CPRA recientemente votada de California reemplace la Ley de Privacidad del Consumidor de California (CCPA) en enero de 2023, pero hasta entonces, las organizaciones aún deben cumplir con la CCPA, algo que pocas organizaciones han podido hacer desde su implementación.
Si bien las organizaciones y el panorama general de cumplimiento se beneficiarían de un estándar de privacidad y seguridad de datos exigido por el gobierno federal, es poco probable que llegue en 2021. Sin embargo, California, la quinta economía más grande del mundo, parece decidida a liderar la carga sobre los derechos de privacidad de los datos del consumidor. La aprobación de la Proposición 24 también crea la primera agencia de los Estados Unidos dedicada por completo a crear conciencia, hacer cumplir y administrar la CCPA y, finalmente, la nueva CPRA. Esta nueva agencia, la Agencia de Protección de la Privacidad de California, elimina la necesidad de que el Fiscal General de California sea el encargado de hacer cumplir la ley, lo que con suerte conducirá a una mayor educación y cumplimiento de la ley. Sin embargo, aún queda por ver qué significa esto para la aplicación, pero con solo el 14% de haber completado su cumplimiento de la CCPA en junio de 2020, las organizaciones aún tienen una cantidad sustancial de trabajo por hacer para lograr el cumplimiento en California.
Además, como una de las economías más grandes del mundo, la mayoría de las empresas no pueden permitirse el lujo de no hacer negocios en California, lo que significa que a medida que evoluciona la privacidad de los datos en EE. UU., Las organizaciones que no pueden dar fe de su postura de cumplimiento pueden estar en desventaja competitiva.
Además, dado que otros estados de EE. UU. Buscan proteger la privacidad de los datos del consumidor, es probable que intenten recrear lo que California ha logrado con la CCPA y la CPRA. Los estados que están reflexionando sobre sus propias leyes de privacidad de datos, como Nueva York, Nueva Jersey y Massachusetts, están monitoreando de cerca a California, ya que sirve como un ejemplo destacado en la privacidad de los datos del consumidor. De cualquier manera, espere que el cumplimiento se convierta en un mosaico de regulaciones aún más complicado durante los próximos años.
Si bien 2020 nos mostró que cualquier cosa puede cambiar sin previo aviso, 2021 nos mostrará cómo recoger los pedazos y volver más fuertes. Eso no solo se aplica a la seguridad o el cumplimiento, sino a todas las empresas en general. El próximo año probablemente estará lleno de sus propios obstáculos y obstáculos, pero una cosa que las organizaciones pueden hacer ahora es desarrollar planes y protocolos que se centren en la privacidad y el cumplimiento de los datos como prioridad clave. Esto comienza con la comprensión del nuevo nivel de riesgo comercial, mitigando ese riesgo siempre que sea posible y estando constantemente al tanto de los últimos cambios en la industria. Y si se pregunta por dónde empezar, vaya directamente a la fuente: datos personales. Una vez que sepa dónde está, solo entonces podrá tomar las medidas necesarias para protegerlo.
Relacionado: Una guía de siete pasos para proteger la privacidad del cliente