¿Está finalmente listo el Congreso para asumir la ciberseguridad?

 los esfuerzos del Congreso para proteger la privacidad no han logrado abordar la seguridad de manera adecuada

El Congreso de los Estados Unidos hizo un progreso significativo en esta sesión cuando se trata de privacidad de datos, pero la ciberseguridad sigue siendo un punto ciego para los legisladores.

El Congreso actualmente está considerando una ley nacional de privacidad que refleja la legislación promulgada en la Unión Europea. Permitiría a las personas acceder, corregir y solicitar la eliminación de la información personal recopilada de ellos. Aunque hay varias ideas sobre la forma final que debe tomar el proyecto de ley, el camino se hizo claro durante la audiencia de privacidad del Comité de Comercio del Senado el mes pasado.

El Congreso también parece estar dispuesto a abordar las consecuencias de las nuevas tecnologías. El mes pasado aprobó la Ley de Iniciativa Cuántica Nacional que se espera que disperse US $ 1.275 mil millones para la investigación cuántica en los próximos cuatro años. Algunos han argumentado que este nuevo entusiasmo por la tecnología podría usarse para arreglar el proceso de destitución .

Sin embargo, cuando se trata de ciberseguridad, el Congreso todavía está en la edad oscura. Los esfuerzos para aprobar una ley de privacidad a menudo se consideran abordando tanto la privacidad de los datos como la ciberseguridad, pero en realidad no lo hacen. Las empresas y los consumidores se han visto obligados a tomar el asunto en sus propias manos, lo que se refleja en el reciente anuncio de que Facebook ha prohibido las falsificaciones profundas y el creciente uso de VPN entre la población en general.

La privacidad no significa nada sin seguridad

Esta supervisión con respecto a la seguridad podría tener enormes consecuencias para la eficacia de la legislación sobre privacidad de datos. Aunque la privacidad y la seguridad de los datos son preocupaciones separadas, existe un vínculo inherente entre ellas. La seguridad se ha pasado por alto en la ley propuesta actual, así como en una legislación similar, como el GDPR de Europa y el proyecto de ley de privacidad de Australia aprobado hace dos años .

Para comprender cómo se vinculan la privacidad y la seguridad, considere una aplicación que recopila datos de ubicación de sus usuarios. Los tipos de ley de privacidad de datos propuestos (o ya vigentes) impondrían requisitos estrictos a la empresa detrás de esta aplicación, como decirle a sus usuarios qué está recopilando y qué hace con los datos. Sin embargo, si la aplicación no está asegurada adecuadamente y la información es robada o filtrada, las políticas de privacidad sólidas serán de poca comodidad para los usuarios.

Esta supervisión es evidente en casi toda la legislación sobre privacidad de datos en los Estados Unidos. La Ley de Transparencia de la Información y Control de Datos Personales que fue presentada en la Cámara la primavera pasada, contiene un pasaje que requiere que los legisladores y las compañías tecnológicas "protejan a los consumidores de los malos actores en el espacio de privacidad y seguridad", pero no lo hace. incluir más detalles. La Ley de Derechos de Privacidad en Línea del Consumidor va un poco más allá, pero solo dos de sus 59 páginas dan vagos requisitos de ciberseguridad para empresas privadas.

Incluso la Ley de Privacidad de Datos del Consumidor de los Estados Unidos de 2019 proporciona solo la instrucción general de que las empresas deben "mantener políticas y prácticas de seguridad de datos administrativos, técnicos y físicos razonables para proteger contra riesgos a la confidencialidad, seguridad e integridad de los datos confidenciales cubiertos".

Una falta de liderazgo

En el mejor de los casos, el fracaso del Congreso para abordar la ciberseguridad ha dejado desprotegidos los datos de millones de estadounidenses. En el peor de los casos, representa una falta de liderazgo que ha dejado a las empresas responsables completamente confundidas sobre cuáles son sus responsabilidades legales, morales y éticas cuando se trata de proteger los datos de los usuarios.

En este contexto, ha crecido un mercado enorme y no regulado para herramientas y servicios de ciberseguridad, cada uno de los cuales afirma ofrecer una protección líder en su clase contra el cibercrimen. Para las empresas, la seguridad del sitio web es ahora un componente importante de los costos de mantenimiento del sitio web . Esto se debe a que los CEO son muy conscientes de los riesgos del delito cibernético, una forma de criminalidad que le costará a la economía global $ 6 billones al año para 2021, según el informe anual de Cybersecurity Ventures.

Incluso el National La Agencia de Seguridad advirtió que los ciberdelincuentes "se están volviendo más sofisticados y capaces cada día en su capacidad de usar Internet para propósitos nefastos". Sin embargo, muchas empresas no toman las precauciones básicas como eliminar cuentas vencidas.

El futuro

Para ser justos con el Congreso, elaborar una ley de seguridad de datos que cubra a todas las empresas privadas es complejo. Hoy en día, es poco probable que una empresa tenga los datos en un solo lugar, y asignar la responsabilidad de protegerlos se ha convertido en un problema difícil. Cualquier ley de este tipo, por lo tanto, debería tener en cuenta la adopción generalizada del almacenamiento en la nube, modelos de negocio SaaS y otras formas de almacenamiento y procesamiento de datos distribuidos. En este contexto, es comprensible que la mayoría de las leyes estatales sobre seguridad de datos exijan que las compañías solo tomen prácticas de seguridad "razonables", sin especificar cuáles son.

Por otro lado, finalmente aparece ser un apetito en el Congreso para abordar estos temas. Un número cada vez mayor de leyes de protección de datos cubren industrias individuales, como instituciones de salud y instituciones financieras y la FTC ha incluido algunas acciones de cumplimiento relacionadas con la violación de datos bajo su poderes relativamente débiles y vagos de protección al consumidor .

Mirando hacia el futuro, estas leyes específicas de la industria podrían formar un modelo excelente para una ley nacional de protección de datos, al igual que la legislación a nivel estatal. El estado más mencionado a este respecto es Nueva York, que posiblemente tenga los requisitos más completos. Las compañías de servicios financieros en el estado deben cumplir con más de 10 requisitos específicos que incluyen cifrado de información no pública, pruebas de penetración, evaluaciones de vulnerabilidad y supervisión de la ciberseguridad de los proveedores de servicios.

Nueva York también ofrece otra lección para el Congreso Con el fin de redactar y promulgar la nueva ley, el estado convocó a un panel de expertos que reunió a legisladores, profesionales de ciberseguridad y directores generales de grandes empresas.

El desarrollo de una ley efectiva de protección de datos a nivel nacional requerirá El mismo nivel de experiencia y consulta. Es por eso que algunos han sugerido que un Departamento Federal de Ciberseguridad es el camino a seguir. Tal departamento podría reunir responsabilidades que actualmente están fragmentadas en una gran cantidad de departamentos.

Al carecer incluso de una indicación básica del gobierno sobre lo que constituye una seguridad cibernética adecuada, muchas personas están tomando la seguridad cibernética en sus propias manos. Las VPN, herramientas de seguridad que encriptan los datos de los usuarios en tránsito, están experimentando un crecimiento explosivo. Hace solo unos años, se los consideraba como herramientas semi-legales que permitían a los consumidores moverse por los geobloques de Netflix o evitar las prohibiciones de criptomonedas . Ahora, son utilizados por una proporción significativa de la población.

Cualquiera que sea el resultado de estas nuevas iniciativas legislativas, la protección de datos ya no es un tema que el Congreso puede ignorar. Proteger los datos del consumidor es importante para la economía. En el nivel más amplio, garantizar la seguridad de los datos también es fundamental para la eficacia de la legislación de privacidad de datos que ya se ha aprobado. Es decir, nada de la reputación del Congreso, que se vería gravemente dañada si no asumiera el liderazgo en uno de los problemas más importantes que enfrenta Estados Unidos en la actualidad.


Leave a Reply

Your email address will not be published. Required fields are marked *