Leyes de notificación de violación de datos:cómo fabricar una respuesta segura
Dado que el número de violaciones de datos denunciadas aumenta constantemente cada año, aparecen en las noticias con tanta frecuencia que es difícil aclararlas. En 2017, Equifax sufrió una violación masiva y se robaron casi 150 millones de registros de clientes (que representan casi la mitad de la población de EE. UU.). En 2018, Marriott International experimentó una violación en la que cientos de millones de registros de clientes, incluida información personal, números de tarjetas de crédito e incluso números de pasaporte, se vieron comprometidos.
Las filtraciones de datos afectan a todo tipo de organizaciones:grandes y pequeñas, populares y poco conocidas. Si bien las infracciones de las grandes empresas son noticia, rara vez se oye hablar de empresas más pequeñas que a menudo son vulnerables y pueden encontrarse en la mira de los ciberdelincuentes. La mayoría implica algún tipo de piratería, como ataques de phishing o malware, en los que un atacante obtiene acceso a información privada o protegida.
Leyes de notificación de violación de datos:es complicado
Si su empresa de fabricación experimenta una infracción, ¿qué hará? ¿Debería notificar a la policía de inmediato? ¿Notificar a los clientes? ¿Hay alguien más a quien informar? ¿Cuánto tiempo tienes?
Las respuestas son complicadas. Si bien no existen leyes federales integrales, cada estado y territorio tiene su propia ley de notificación de violación de datos. Estas leyes requieren que cualquier persona que sufra, o incluso sospeche, una infracción, notifique a los clientes sobre cualquier cosa que involucre información de identificación personal. Las leyes también exigen notificar a las fuerzas del orden y tomar medidas específicas para remediar la situación. Pero las leyes estatales varían considerablemente cuando se trata de los tipos de información cubierta, el momento de las notificaciones y los estándares de presentación de informes. Quién debe cumplir e incluso lo que constituyen datos personales varía de un estado a otro. Además de la complejidad, los requisitos también están cambiando y algunos estados han actualizado recientemente sus leyes.
¿Cuánto tiempo tengo para informar una violación de datos?
La mayoría de las leyes de notificación de datos requieren que las empresas notifiquen a los clientes sin demoras injustificadas. El período de tiempo varía según el estado y el sector industrial. Cuando se trata de una violación de datos, los fabricantes tienen responsabilidades en competencia:con su empresa, con otros en la industria, con los clientes y con las fuerzas del orden. Incluso hay circunstancias en las que la policía está investigando una infracción y debe ocultarse temporalmente.
Prepárese para las filtraciones de datos antes de que sucedan
Trate los planes de notificación de violación de datos como lo haría con cualquier otro plan de desastre, ¡no espere! Dado que no existe una respuesta única y estándar a una violación de datos, los fabricantes de EE. UU. Deben comprender las leyes estatales y federales específicas que se les aplican. Los fabricantes deben tener en cuenta las leyes de todos los estados en los que realizan negocios.
Afortunadamente, existen varios recursos excelentes a los que los fabricantes pueden recurrir para obtener más claridad. Varias organizaciones resumen las leyes estatales sobre violación de datos, incluida la Conferencia Nacional de Legislaturas Estatales, Gobernanza de TI y Perkins Coie.
Para asegurarse de que su empresa de fabricación cumpla con las leyes de protección de datos, debe estar al tanto de las regulaciones vigentes para su estado e industria. Una violación de datos siempre será un evento estresante. El conocimiento de sus obligaciones y un plan establecido pueden aliviar parte del estrés y ayudarlo a evitar multas elevadas. A continuación, se ofrecen algunos consejos:
- Identifique las leyes estatales y de la industria que cubren su empresa
- Documente los requisitos de notificación de violación de datos que afectan a su empresa, junto con los procesos para cumplir con esos requisitos en el peor de los casos
- Cree una política sobre los requisitos de notificación de infracciones que afectan a su empresa
- Si existen normativas superpuestas, utilice la más estricta para la política de su empresa
- Cree borradores de cartas de notificación y correos electrónicos con anticipación
- Cree una estrategia de comunicación clara para las filtraciones de datos y póngala en contacto con los departamentos legales y de relaciones públicas de su empresa con anticipación, si es necesario
La Red Nacional MEP está lista para ayudarlo
Para obtener ayuda para comprender las leyes de notificación de violación de datos de su estado y otras preguntas de seguridad cibernética, puede comunicarse con uno de los 51 Centros MEP, ubicados en los 50 estados y Puerto Rico, que forman parte de la Red Nacional MEP TM .
Tecnología Industrial
- ¿Cómo proteger la tecnología en la nube?
- Cómo convertirse en un campeón digital en la fabricación
- Cómo evitar errores con los proyectos de análisis de datos
- Cómo los datos están habilitando la cadena de suministro del futuro
- Cómo crear una estrategia de inteligencia empresarial exitosa
- Cómo hacer que los datos de la cadena de suministro sean confiables
- Cómo la tecnología Blockchain mejorará la atención médica móvil
- Cómo los fabricantes pueden impulsar la agilidad en un mundo pospandémico
- Cómo la IA aborda el problema de los datos "sucios"
- Metrología remota:así es como se recopilan datos críticos de fabricación
- Qué es SPC:cómo los fabricantes estabilizan la producción de mecanizado