El tiempo se agota (er) en las violaciones de datos – ley de seguridad cibernética bitcoin indonesia adalah

La continua falla del Congreso para promulgar cualquier norma federal de violación de datos significa que los estados continúan tomando el control de cómo las organizaciones deben proteger legalmente la información confiada. El ciclo legislativo más reciente presentó numerosos estados que modificaron el cronograma de notificación. Esta tendencia no debe pasar desapercibida para las empresas, grandes o pequeñas, como la línea de tiempo de incumplimiento para responder crece más corto por el día. De la ambigüedad a la especificidad

Las leyes estatales de notificación de violación en todo el país solían tener marcos temporales abiertos a la interpretación. Las enmiendas recientes señalaron un cambio en la línea de tiempo por la cual una empresa debe responder, una evolución previamente marcada con ambigüedad a especificidad repentina. Las leyes estatales en Arizona, Colorado y Louisiana anteriormente requerían notificación “de la manera más conveniente posible y sin demoras irrazonables”. ¿Qué era exactamente conveniente? 50 días? ¿Qué hay de 100 días desde la fecha del descubrimiento? La ley de Infracción de seguridad de datos de Arizona ahora requiere que se notifique dentro de los 45 días posteriores al descubrimiento de la infracción. Colorado, por su parte, se unió a Florida en la implementación del plazo de notificación más corto para cualquier estado registrado, 30 días. La enmienda de Luisiana ahora significa que el estado cae en medio de sus vecinos occidentales con un plazo de notificación de 60 días.

Si le preguntas a un especialista en seguridad cibernética respuesta de incumplimiento, el estribillo es casi siempre el mismo: cada situación puede ser diferente, pero el tiempo para evaluar, mitigar y responder es invariablemente corto. Estas enmiendas ahora imponen a las empresas la responsabilidad de adoptar enfoques proactivos y reactivos para la seguridad de los datos. En ausencia de un plan de respuesta a incidentes que describa claramente las directivas, como a quién llamar, qué hacer y cuándo, el resultado final para las empresas no preparadas suele ser el mismo: una breve notificación precipitada y respuestas a las preguntas de los consumidores (p. Ej. , Equifax). Aunque un tema para otro hora, Vale la pena señalar que el Reglamento General de Protección de Datos (GDPR) requiere que una organización informe una infracción dentro de las setenta y dos horas de descubrimiento. ¡Tres días! “Tomaremos nuestras posibilidades”

Una vez recibí una llamada de una empresa que aceptó la información de la tarjeta de pago. Al monitorear el tráfico web sobre los servicios que brinda, la Compañía tiene conocimiento de los comentarios de los clientes que mencionaron reiteradamente los cargos no autorizados. La compañía (con gran inquietud, puedo agregar) realizó una auditoría interna de su red. Los hallazgos de la auditoría revelaron una violación que tuvo lugar más de un año desde la fecha del descubrimiento. El intruso había salido con un gran caché de crédito Información de la tarjeta.

Esta empresa me llamó para preguntar sobre las obligaciones legales y las ramificaciones de su incumplimiento recientemente descubierto. Hice preguntas preliminares como el número estimado y la ubicación general de los afectados. ¿Por qué? Porque las respuestas a estas preguntas dictan en gran medida el dolor / costo legal que enfrenta una empresa con la respuesta de incumplimiento. Cuando terminé, las voces en el otro lado del teléfono se silenciaron. Finalmente, una respuesta: “Creo que vamos a arriesgarnos.” Queriendo decir exactamente, pregunté. “No vamos a notificar a las personas que esto ocurrió”. Y así, la llamada terminó. Yale, por otro lado

Dejando a un lado las percepciones personales sobre el error de la línea de acción de esta empresa, no debe sorprender que, con demasiada frecuencia, las empresas barren discretamente los incidentes de incumplimiento bajo la alfombra. La esperanza ignorante es el paso del tiempo sin informes de uso indebido de información sin daño, sin falta, ¿verdad? Mal, según la Universidad de Yale, cuyas acciones recientes no prescribieron a este punto de vista. Hace dos meses, Yale descubrió una violación de una base de datos de la Universidad más de una década después del hecho. El intruso extrajo los nombres, fechas de nacimiento y números de seguridad social de ex alumnos, profesores y personal. Más vale tarde que nunca, Yale tomó la decisión de notificar a más de 119,000 afectados (aviso aquí). Vale la pena señalar que el descubrimiento de junio de Yale y la notificación posterior de julio del incumplimiento tuvieron lugar dentro del período de tiempo requerido por Connecticut de noventa días o menos. Conclusión

Sin un marco federal que exija que todas las empresas cumplan con las mismas reglas, el mosaico de estados leyes de notificación de incumplimiento hacer una variedad vertiginosa de fechas límite. Si los consumidores afectados viven en todo el país, las empresas no tienen más remedio que comprender los diferentes plazos por los cuales deben notificar legalmente a las personas sobre el incidente. Como notificación de incumplimiento las líneas de tiempo se acortan cada día, la dirección ejecutiva, el departamento de TI y el departamento legal de la empresa deben trabajar en conjunto para planificar en consecuencia.

banner