Explorando la protección de datos y la sobrecarga regulatoria
¿Te preocupan las regulaciones de datos como NIS2, RGPD, CCPA/CPRA o HIPAA (por nombrar sólo algunas)? Relájate. Descubre cómo aplicar las mejores prácticas y asociarte con las personas adecuadas puede marcar la diferencia.
Las organizaciones están recopilando y gestionando más datos que nunca. A medida que el uso de la tecnología se expande a todas las funciones comerciales, los datos no cesan de multiplicarse.
Los gobiernos y las industrias están continuamente implementando y renovando los marcos de protección de datos y privacidad. Algunas leyes conllevan fuertes multas por incumplimiento, otras simplemente proponen pautas a seguir. En todo caso, la mayoría tiene un mismo objetivo: alentar a las organizaciones a seguir las mejores prácticas en las formas en que recopilan, almacenan, gestionan y protegen los datos.
Si bien mantenerse al día con todas las regulaciones de datos puede parecer abrumador, no tiene por qué serlo. Las distintas normativas y directrices de protección de datos se superponen entre sí de muchas formas. Entérate de cómo puedes seguir cumpliendo con las regulaciones vigentes y nuevas.
EBOOK
Resumen de las principales normativas de protección y privacidad
Un factor importante para esta sobrecarga son las numerosas diferentes regulaciones sobre privacidad y protección de datos. Recordar todas las siglas y lo que significan es bastante difícil. Conocer los detalles, requisitos y consecuencias de cada una aumenta la complejidad.
Lo crucial es comprender que todas comparten principios y requisitos similares sobre la protección de datos. De muchas formas se complementan entre sí. Antes de profundizar en los puntos en común, veamos algunas regulaciones diferentes en todo el mundo:
Reglamento General de Protección de Datos |
El Reglamento General de Protección de Datos (RGPD) es una de las normativas de protección de datos y la privacidad más importantes en Europa. Regula cómo las organizaciones recopilan, utilizan y comparten los datos personales de los residentes de la Unión Europea (UE). El RGPD es reconocido en todo el mundo, principalmente porque se aplica internacionalmente a todas las organizaciones que manejan datos de los residentes de la UE y establece un punto de referencia para las multas por incumplimiento: hasta el 4% de los ingresos anuales o 20 millones de euros, lo que sea mayor.
WHITEPAPER
Directiva sobre Redes y Sistemas de Información |
La Directiva sobre Redes y Sistemas de Información (NIS2) es una ampliación de la NIS1, una directiva anterior de la UE sobre ciberseguridad. Garantiza que todas las organizaciones que prestan sus servicios o realizan sus actividades dentro de la UE y se consideran parte de una infraestructura esencial adopten y mantengan prácticas estrictas de ciberseguridad. También aborda aspectos como la seguridad perimetral, el acceso a edificios, la gestión de visitantes y la recuperación ante desastres. Evalúa tu sistema actual con esta lista de verificación.
WHITEPAPER
ISO 27001 |
La normativa ISO 27001 es el principal estándar internacional para la gestión de la seguridad de la información. Establece un marco con requisitos específicos diseñados para ayudar a las organizaciones a gestionar y proteger efectivamente los riesgos de seguridad de la información. Si bien los requisitos de la ISO no son obligatorios, muchas empresas obtienen la certificación para gestionar mejor el riesgo y mostrar a sus socios comerciales y clientes que se toman en serio la seguridad de los datos.
Ley de Inteligencia Artificial de la Unión Europea |
La Ley de Inteligencia Artificial de la Unión Europea (Ley de IA de la UE) regula cómo deben desarrollarse y utilizarse los sistemas de IA. Tiene por objetivo garantizar que los sistemas de inteligencia artificial presentes en la UE sean seguros, transparentes, rastreables, no discriminatorios y ambientalmente sostenibles. Asigna diferentes categorías de riesgo a las aplicaciones de IA y estipula sanciones por incumplimiento de hasta 35 millones de euros o el 7% de la facturación anual global.
Más normativas de protección de datos y la privacidad en todo el mundo |
- Ley de Protección de Datos, Reino Unido
- Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA), Canadá
- Bundesdatenschutzgesetz (BDSG), Alemania
- Lei Geral de Proteção de Dados (LGPD), Brasil
- Ley Federal de Protección de Datos (LFPD), Suiza
- Ley de Derechos de Privacidad de California (CPRA), California, EE. UU.
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), Estados Unidos
BLOG
Los principios fundamentales de la normativa de protección de datos
Cada ley, reglamento o directiva normalmente tiene requisitos específicos que pueden o no aplicarse a tu negocio y tus operaciones. Sin embargo, si tu organización ya está pensando o invirtiendo de manera proactiva en prácticas de privacidad y protección de datos, es probable que estés en el camino correcto hacia el cumplimiento.
Las organizaciones responsables hacen lo correcto. Entienden el valor y la urgencia de proteger todos los datos en su posesión, ya sean propios o de sus proveedores, socios o clientes. Realizan evaluaciones, invierten en herramientas e implementan procesos que se alineen con los principios básicos de las regulaciones de protección de datos y privacidad. No es porque tengan que hacerlo, sino porque saben que así se preservará la continuidad del negocio y la confianza de sus socios y clientes.
¿Cuáles son los principios básicos de protección de datos que sustentan la mayoría de las regulaciones de datos? Este es un breve resumen:
Permiso para recopilar y utilizar |
Debes tener los permisos adecuados para recopilar y utilizar datos, alineados con un propósito u objetivo legítimo.
Limitaciones de almacenamiento y uso |
Debes limitar los datos que conservas y utilizar o almacenar únicamente los datos que sean necesarios para cumplir requisitos u objetivos específicos.
Transparencia y exactitud |
Debes ser transparente en cuanto a tus prácticas de datos y asegurarte de que la información sea precisa para poder manejarla adecuadamente.
Protección y seguridad |
Debes tomar las medidas adecuadas para proteger y asegurar tus datos y garantizar que sólo las personas que necesitan acceder a ellos puedan hacerlo.
Derechos individuales |
Debes respetar los derechos de las personas sobre sus propios datos, incluidos los derechos de acceso, rectificación, eliminación y otros.
Rendición de cuentas |
Debes asumir la responsabilidad del manejo de los datos, lo que incluye contar con medidas y registros adecuados que muestren cómo los manejas y qué haces para mantener los principios de la protección de datos y privacidad.
MÁRCALO
3 malentendidos comunes sobre las regulaciones de datos
Seguir las mejores prácticas y conocer los detalles de las regulaciones de protección de datos son pasos en la dirección correcta. Sin embargo, incluso así, puede surgir cierta confusión. Estas, entre otras, son preguntas muy comunes “¿Es esto una ley o directriz de protección de datos?”, “¿Los datos deben residir en nuestro país?” o “¿Es este requisito de datos nuestra responsabilidad?”.
Comprender las regulaciones versus las directivas y directrices |
Hay mucho revuelo hoy en día en torno a la última Directiva NIS2. Hace algunos años ocurrió lo mismo con el RGPD. En los próximos años, es probable que aparezcan otros nuevos marcos que llamen la atención.
WEBINAR
Si bien es fundamental estar al día con lo que sucede, no es necesario creerse todo el revuelo publicitario. Esto es particularmente cierto si ya estás aplicando las mejores prácticas de seguridad de datos y privacidad eligiendo socios confiables a lo largo del camino. Adoptar un enfoque práctico e integral para proteger tus datos te ayuda en gran medida a que cumplas con las normas.
Asimismo, es importante tener esto en cuenta: no todos los marcos son leyes. Por ejemplo, el RGPD es un reglamento que tiene fuerza jurídica vinculante en todos los estados miembros de la UE. En cambio, la NIS2 es una directiva. Esto significa que establece requisitos que deben cumplirse, pero también exige que los estados miembros traduzcan estas obligaciones en leyes nacionales. Puede haber diferencias en la forma en que se implementa y se hace cumplir la NIS2 en los distintos estados miembros.
De hecho, muchos organismos de certificación nacionales en toda Europa, comoANSSI en Francia, BSI en Alemania, GovPass en Reino Unido, y Rijkspas en Países Bajos han adoptado variaciones en los requisitos de la NIS2. En general, estos países están siguiendo la NIS2, pero adaptándola a sus realidades de manera diferente. Si bien cada una abarca medidas integrales de ciberseguridad, hay un enfoque específico en certificar la solidez de los sistemas de control de acceso físico.
La implementación de un sistema de control de acceso de alta seguridad con módulos de E/S seguros y soportados puede ayudarte a cumplir con estas estrictas regulaciones europeas de ciberseguridad. Un sistema de control de acceso de alta seguridad proporciona protocolos totalmente encriptados y capacidades avanzadas de ciberseguridad, desde la credencial y el lector hasta el controlador y el software. Todo esto permite un control seguro de puertas y garantiza que la información confidencial permanezca dentro del perímetro seguro. Esto significa que puedes reducir el riesgo de interceptación de datos o clonación de credenciales.
PRODUCTO
Por último, la ISO 27001 es una norma y una certificación. Si bien no es legalmente obligatoria, el cumplimiento de la ISO 27001 puede ayudar a las organizaciones a cumplir con varias otras regulaciones porque las recomendaciones que ofrece se alinean bien con las descritas en el RGPD, la NIS2 y otras similares.
Saber esto te ayudará a navegar mejor entre las expectativas y requisitos a medida que surjan nuevas legislaciones o pautas.
GUÍA GRATUITA
La verdad sobre la gobernanza de datos y la geografía |
Hoy en día, cada vez más organizaciones están adoptando soluciones en la nube o ejecutando implementaciones de nube híbrida. Al hacerlo, surge la pregunta sobre si necesitan mantener los datos dentro de sus propios países para cumplir con las regulaciones. Aquí está la respuesta corta: la mayoría de los datos están cubiertos por embargos de residencia de datos y, por lo tanto, pueden exportarse y manejarse legítimamente en otros países, siempre que se implementen ciertas medidas de privacidad y seguridad.
Sin embargo, hay algunas excepciones. Por ejemplo, ciertos tipos de datos manejados por actores de industrias altamente reguladas (como la banca, el gobierno y la infraestructura crítica) pueden, debido a la sensibilidad de sus operaciones, estar sujetos a restricciones de residencia de datos. En otros casos, algunas organizaciones pueden simplemente tener una preferencia o política para mantener los datos dentro de ciertos límites geográficos, sin que esa medida sea un mandato legal.
Los datos personales parecen ser otra gran excepción. Sin embargo, en realidad, mayormente no existen requisitos regulatorios para los datos personales que residen dentro de tu país. Lo que realmente importa es si los datos se manejan y protegen de manera tal que se cumpla con las regulaciones aplicables del país de origen.
Por eso es fundamental trabajar con un proveedor confiable. Los proveedores informados y capaces también deberían poder ofrecer múltiples opciones de ubicaciones de centros de datos para responder a tus necesidades y preferencias, y al mismo tiempo ayudarte a determinar qué es lo mejor para tu organización en vista de los requisitos comerciales y regulatorios específicos.
Conoce tus roles y responsabilidades |
Es probable que a lo largo de tu cadena de suministro haya muchas organizaciones diferentes con distintos roles que manejan tus datos. Si bien en última instancia tú decides quién tiene acceso a qué, los socios que elijas también tienen la responsabilidad de garantizar que tus datos se gestionen y protejan adecuadamente.
Por ejemplo, como controlador de datos, es tu trabajo ser diligente y examinar a los socios de negocio y proveedores con los que trabajas. También debes confirmar a qué datos tienen acceso y cómo piensan gestionarlos, almacenarlos y protegerlos. Asimismo, eres responsable de evaluar continuamente sus prácticas para garantizar que apliquen las mejores prácticas y cumplan con sus compromisos.
Sin embargo, no todo depende de ti. Estos socios y proveedores tecnológicos generalmente actúan como tus procesadores de datos. Esto significa que deben rendir cuentas de los resultados tecnológicos y deben permanecer transparentes sobre cómo manejarán y protegerán tus datos. También deben asumir la responsabilidad de sus propias acciones (incluidas las de sus respectivos proveedores) que puedan afectar a tu organización y que no estén alineadas con los compromisos que puedan tener contigo.
Cómo las soluciones que elijas pueden facilitar el cumplimiento
No todas las soluciones de seguridad electrónica del mercado están diseñadas para cumplir con las mejores prácticas de ciberseguridad y privacidad. Algunos sistemas más antiguos y distintos no fueron diseñados para cumplir con los diversos requisitos y marcos regulatorios.
Si el cumplimiento continuo de estas regulaciones es tu máxima prioridad, es importante elegir una plataforma de seguridad electrónica unificada diseñada teniendo en cuenta la ciberseguridad y la privacidad. Otros factores, como los modelos de implementación y las prácticas de IA responsables, pueden ayudarte a avanzar hacia tus objetivos de cumplimiento.
Acá te contamos cómo:
Herramientas de privacidad y protección de datos integradas
Las soluciones de seguridad electrónica diseñadas teniendo en cuenta la ciberseguridad y la privacidad vienen con una serie de herramientas que te ayudan a mejorar la resiliencia y proteger los datos. La encriptación, autorización y autenticación son métodos que te ayudan a proteger tus datos y evitar que caigan en las manos equivocadas.
Las avanzadas herramientas y servicios te alertan sobre posibles vulnerabilidades y te ayudan a optimizar las actualizaciones. Otras funcionalidades te ayudan a restringir el acceso al sistema y los privilegios de los usuarios, y te ofrecen índices de seguridad para garantizar que alcances una alta resiliencia del sistema a gran escala.
HUB
Un enfoque de seguridad electrónica unificada
Una plataforma de seguridad electrónica unificada te ayuda a implementar una única estrategia global de protección de datos y de la privacidad. Security Center simplifica ese proceso al ayudarte a estandarizar tus medidas de ciberseguridad en todos tus sistemas de seguridad electrónica.
Una plataforma unificada evita que pierdas tiempo comprobando diferentes soluciones para garantizar la higiene cibernética, realizar un seguimiento del estado de salud de tu sistema o gestionar los controles de privacidad. En cambio, podrás gestionar todas tus configuraciones de seguridad y protección de datos y la privacidad relacionadas con todos tus sistemas a través de una sola interfaz.
EBOOK
Implementaciones de nube y de nube híbrida
Las soluciones basadas en la nube alivian la carga del mantenimiento para tus equipos de TI y seguridad. Ya sea que tengas una implementación en la nube o de nube híbrida, podrás supervisar de forma remota los controles de estado del sistema y de privacidad desde cualquier lugar. También obtendrás mayores niveles de automatización para garantizar la resiliencia cibernética.
Optar por una solución de seguridad electrónica como servicio (PSaaS) significa que podrás obtener las últimas versiones y correcciones enviadas automáticamente a tu sistema. También tendrás acceso a las últimas funcionalidades de ciberseguridad y privacidad tan pronto como estén disponibles. Esto ayuda a garantizar que tus sistemas de seguridad electrónica estén siempre actualizados y protegidos contra vulnerabilidades.
PRODUCTO
La importancia de la IA responsable
La inteligencia artificial (IA) puede procesar una gran cantidad de datos muy rápidamente. Debido a ello, el interés en la IA ha ido creciendo en la industria de la seguridad electrónica. Sin embargo, si no se manejan de manera responsable, las tecnologías basadas en IA pueden desarrollarse o utilizarse de maneras que invadan la privacidad. Todo es posible, desde prejuicios y discriminación hasta resultados y decisiones sesgadas.
A esto se debe un mayor enfoque regulatorio en las innovaciones impulsadas por la IA, y por qué cada organización necesita ser consciente de las soluciones que elige e implementa. Elegir proveedores que prioricen la IA responsable es una necesidad para mantener el cumplimiento de regulaciones.
En Genetec, una IA responsable significa garantizar que nuestras tecnologías de IA se desarrollen teniendo en cuenta principios específicos:
- Privacidad y gobernanza de datos: Asumir la responsabilidad de cómo utilizamos la IA en el desarrollo de nuestras soluciones. Sólo utilizamos los conjuntos de datos que respetan las regulaciones de protección de datos. Mantener la protección de datos y la privacidad como prioridad en todo lo que hacemos.
- Confiabilidad y seguridad: Consideramos las formas de minimizar el sesgo y mejorar la precisión en el desarrollo de modelos de IA. Siempre nos esforzamos por hacer que los resultados de la IA sean explicables.
- Humanos informados: Priorizar la toma de decisiones centrada en el ser humano y garantizar que los modelos de IA no puedan tomar decisiones críticas por sí solos.
BLOG
Cómo elegir el proveedor adecuado para mantener el cumplimiento de regulaciones
Los datos están en todas partes, no hay forma de evitarlos. Vivimos en un mundo conectado y movido por datos. Aunque las nuevas regulaciones sobre la protección de datos y la privacidad pueden parecer abrumadoras, no deberían ser una sorpresa.
Las organizaciones responsables saben que estos marcos regulatorios y estándares se alinean con prácticas comerciales críticas. Eso viene acompañado de una comprensión más amplia de lo que realmente implica el cumplimiento: adoptar un enfoque pragmático e integral hacia la protección de datos y la privacidad, y asociarse con proveedores confiables.
BLOG
Después de todo, garantizar el cumplimiento de los marcos regulatorios en evolución no sólo tiene que ver con la tecnología que elijas, sino también con quienes te asocies. Contar con socios que valoren y prioricen el cumplimiento de estas regulaciones, es importante.
Tendrán los recursos, la tecnología, el conocimiento legal, los contratos y las asociaciones que te ayudarán a mantener una supervisión adecuada, sin importar cómo evolucionen las regulaciones.También pueden proporcionar una lista de certificaciones de autoridades y organismos regulatorios, tanto para sus productos como para sus operaciones comerciales. Estas certificaciones son fundamentales para evaluar el compromiso de un proveedor con el cumplimiento y la protección de datos.