Bienvenido, no tengas miedo, si has llegado a este artículo temiendo que el 2021 traerá aún más protocolos de seguridad de datos para que tu empresa los cumpla, tenemos buenas noticias. La pandemia, aunque obviamente sigue siendo una noticia horrible en todos los sentidos, ha puesto presión en la promulgación de leyes que garantizan la seguridad y privacidad de tus datos, actividad que se había aplazado durante gran parte del año pasado.
La buena noticia es que este año no ha traído nuevas regulaciones para la mayoría de las empresas en los Estados Unidos de Norteamérica, pero también hay algunas malas noticias; en primer lugar, el mundo de la seguridad cibernética es un ambiente que está en continuo desarrollo, y las tendencias de amenazas cibernéticas del 2021 indican que tus datos están más expuestos que nunca, y que el costo promedio de una violación de datos ha aumentado a unos $3,86 millones, también tenemos que lidiar con el hecho de que muchas empresas todavía les cuesta trabajo alcanzar y cumplir con los protocolos de seguridad para los datos que deben tener a resguardo.
Entonces, nos toca tomar un descanso forzado y ponernos al día, estos son los cinco principales protocolos de seguridad para datos empresariales que deben adoptarse en Estados Unidos de Norteamérica en el 2021, además te ofrecemos un poco de información sobre cómo puedes adoptarlos.
1. RGPD
El Reglamento General de Protección de Datos (GDPR, según sus siglas en inglés) o RGPD es para la mayoría de las empresas, el protocolo de seguridad de datos más estricto que podemos conseguir en la actualidad. La Unión Europea lo puso en vigor en el año 2018, este se centra en gran medida en otorgar a los ciudadanos europeos mayores derechos a la privacidad, sin embargo, junto al derecho a saber cómo se utilizan tus datos, el RGPD también establece la expectativa que hay por parte del estado para que las empresas protegerán los datos que poseen.
En principio puede parecer que una directiva europea afecta poco a las empresas estadounidenses, pero el rango de acción de este reglamento es amplio, esto se debe a que se aplica a todos los ciudadanos europeos, ya sea que se encuentren físicamente en Europa o no, y ya sea que estén mirando un sitio Norteamericano o no, lo que significa que si tu sitio web está disponible fuera de los Estados Unidos, este debe estar certificado para cumplir con los requisitos del RGPD, para lo cual, afortunadamente, te ofrecemos una guía práctica en este enlace.
2. CMMC
La Certificación del Modelo de Madurez de Seguridad Cibernética (CMMC, según sus siglas en inglés) es un protocolo de seguridad de datos mucho más limitado que el RGPD, que se aplica únicamente a aquellas empresas que tienen contratos con el Departamento de Defensa de Estados Unidos de Norteamérica, lo que suena como un pequeño subconjunto de empresas hasta que nos toca darnos cuenta que tan grande es el Departamento de Defensa de la nación y con cuántas empresas hace negocios constantemente. ¿Quieres saber, por ejemplo, por qué la reciente violación de datos de LinkedIn fue tan importante? Es porque esta red social es un contratista del Departamento de Defensa.
Si deseas hacer negocios con el Departamento de Defensa, esto significa que el primer paso que debes realizar es verificar el CMMC y comprender qué «nivel» de «madurez» debe alcanzar tu negocio para presentar una oferta de licitación.
3. HIPAA
HIPAA, al igual que CMMC, solo se aplica a un subconjunto de empresas estadounidenses, sin embargo, en este caso el rango de acción es mucho más amplio ya que las normativas de HIPAA están diseñadas para proteger la información personal recopilada por los proveedores de atención médica de Estados Unidos. Esta ley ha cobrado mayor importancia en los últimos años, sobre todo con las numerosas violaciones de datos de salud causadas por ataques cibernéticos y ataques de ransomware contra aseguradoras y proveedores de salud.
HIPAA es el protocolo de seguridad de datos más amplio de esta lista, porque reconoce explícitamente que los datos en la actualidad se comparten de múltiples maneras diferentes, lo que significa que, para lograr el cumplimiento de esta normativa, las empresas deben analizar una amplia gama de sistemas, desde las bases de datos de sus servidores hasta las prácticas de seguridad para su infraestructura de correos electrónicos.
4. Directrices de la SEC
La Comisión de la Bolsa y Valores (SEC) es el organismo que supervisa los mercados financieros y empresariales de Estados Unidos, al igual que organismos similares en otros sectores, esta publica su propia guía sobre la seguridad de los datos manejados en este ámbito.
Desafortunadamente, es difícil dar un consejo general sobre las pautas a seguir para la aplicación de las normativas de la SEC, por dos razones; una es que la gama de empresas a las que se aplican es amplia y muy diversa. La otra es que dichas normativas se actualizan constantemente, lo que hace que sea aún más importante verificar qué orientación de la SEC se aplica a tu compañía y de ser necesario, buscar asesoramiento profesional (y legal) para lograr un cumplimiento efectivo.
5. Regulaciones Estatales
Por último, pero no menos importante, debemos tener en cuenta que pronto habrá un mosaico de regulaciones estatales que definen y controlan la forma en que recopilas, almacenas y procesas los datos de tu empresa. Las empresas en el estado de California ya están conscientes del proceso regulador en su estado gracias a la CCPA, pero las empresas de otros estados están a punto de sumarse con sus propias normativas, gracias a una serie de leyes que se están aprobando en las legislaturas estatales que siguen el modelo de las normativas impuestas en California.
La Ley de Privacidad del Consumidor de California (CCPA) es una ley que permite a cualquier consumidor de California exigir ver toda la información que una empresa ha guardado sobre ellos, así como una lista completa de todos los terceros con los que han compartido sus datos. Esta ley también les permite a los consumidores demandar a las empresas si se violan sus pautas de privacidad, incluso si no hay incumplimiento.
Para mantenerse al tanto de estas normativas, te invitamos a mantenerte al tanto con la prensa local estatal y asegurarte de estar comprometido con la comunidad empresarial local, lo que te permitirá recibir una advertencia previa sobre los nuevos protocolos de seguridad para el manejo de datos que podrían aprobarse en tu estado.
El futuro
Con el proceso legislativo estancado por la pandemia en los Estados Unidos, este año se ha dado un respiro a las empresas que están luchando por cumplir con los protocolos de seguridad de los datos que almacenan, sin embargo, es de suma importancia no desperdiciar esta oportunidad. Cumplir con los protocolos de seguridad de datos incluidos en esta lista no solo te protege legalmente, sino que hace que sea menos probable que seas víctima de ataques cibernético, tal como señalamos en nuestro Informe de investigaciones de violación de datos.