Los ejecutivos de seguridad corporativos deben reunirse con sus equipos legales para averiguar si la forma en que protegen los datos de los clientes los mantendrá fuera de problemas con la Comisión Federal de Comercio en caso de que esa información se vea comprometida en una violación de datos.
Basado en una decisión de la Corte de Apelaciones del Circuito de EE. UU. De ayer, el mejor curso de acción es saber qué tipo de acciones ha tomado la FTC en el pasado, y por qué, contra compañías cuyas defensas están rotas y cuyos datos de clientes han sido robados.
Lisa Sotto
Luego, las organizaciones deberían tomar medidas para garantizar que la seguridad cumpla con los "estándares razonables de la industria", dice Lisa Sotto, abogada de Hunton & Williams que se enfoca en las leyes de privacidad y seguridad cibernética..
Esto se debe a que el tribunal dice que está bien que la FTC encuentre empresas culpables de violaciones de datos y las vincule con decretos de consentimiento que los obliguen a someterse a evaluaciones de seguridad de terceros cada dos años durante 20 años, dice..
MÁS SOBRE EL MUNDO DE LA RED: 26 cosas locas y aterradoras que la TSA ha encontrado en los viajerosPero aún se desconoce qué impacto tendrá el fallo sobre el fervor con el que la FTC persigue a las empresas quebradas, dice Jason Straight, vicepresidente senior y director de privacidad de UnitedLex, una consultora legal y tecnológica. "La preocupación es que [la decisión de Wyndham] permitirá que la FTC sea más agresiva", dice. "El tribunal dice que permitirá que la FTC decida lo que es razonable".
El fallo judicial de 3-0 derribó la afirmación de Wyndham Worldwide Corp. de que la ley federal no le otorga a la FTC el poder de castigar a las empresas por su mala seguridad que resulta en el robo de datos de clientes. "Los 3rd Circuit dice firmemente que la FTC tiene autoridad para regular en el campo de información ", dice Sotto.
Evitar sanciones por parte de la FTC no suele ser tan oneroso, dice, porque históricamente la comisión solo persigue a las empresas "por no tener seguridad razonable para los datos que los consumidores les confían ... Por lo general, solo persiguen a empresas que tienen sistemas profundamente inseguros". "
Wyndham sufrió tres infracciones en 2008 y 2009 y no pudo cifrar los datos de la tarjeta de crédito, dice Straight.
Los más de 50 casos que la FTC ha llevado a cabo desde principios de la década de 2000 han sido claramente sobre empresas que no han creado dicha seguridad, dice ella. Todos menos Wyndham y otro firmaron decretos de consentimiento con la FTC, y el otro está cerrando su negocio.
+ TAMBIÉN EN LA RED MUNDIAL Corte: FTC puede derribar el martillo sobre las empresas con ciberseguridad descuidada +
Algunas empresas están exentas de la autoridad de la FTC (la banca y la atención médica suelen estar entre ellas), pero de lo contrario, los ejecutivos de seguridad deberían averiguar cuál ha sido la agenda reguladora de la FTC con respecto a las violaciones de datos. Eso representa 10 años o más de decisiones de que no es probable que los profesionales de la seguridad tengan tiempo para investigar por sí mismos, por lo que deben solicitar ayuda legal, dice Sotto..
La FTC no emite una lista de protecciones específicas que las empresas deben proporcionar para evitar ser citados por no brindar una seguridad razonable, pero es probable que las OSC y otras personas encargadas de proteger los datos de los clientes que intenten cumplir con un estándar más alto: el mejor corporativo Prácticas para la seguridad: no entrará en conflicto con la comisión, dice ella.
Los profesionales de seguridad que intentan mantenerse al día con la defensa contra las últimas amenazas conocidas deberían estar en buena forma, dice Sotto. En los últimos dos años, la FTC ha mejorado en mantenerse al día con los pasos que son razonables, y ha contratado a un tecnólogo jefe para dirigir ese esfuerzo..
Alguna orientación de la FTC sería bienvenida, dice Pat Clawson, CEO de Blancco Technology Group. Él dice que la FTC es "más confiada y dispuesta a trabajar juntos para lograr una resolución con una compañía" que ha informado de una violación a los agentes de la ley apropiados y ha cooperado con ellos ". Por lo tanto, establecer parámetros escritos sobre cómo se toman esos pasos, y la comunicación posterior al respecto, podría muy bien afectar qué empresas caen en la buena voluntad de la FTC y cuáles se convierten en objetivos principales para la investigación y los casos judiciales ”.
Wyndham podría apelar a los 3rd La decisión del circuito ante la Corte Suprema de los Estados Unidos, pero la corte tendría que decidir escucharla, dice Sotto, y eso es algo muy difícil de lograr..
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
