Excelentes noticias para la seguridad informática de los residentes de la ciudad de Nueva York. A partir del próximo 21 de marzo, cualquier compañía que opere datos de forma digital, incluyendo la información personal de cualquier residente de la ciudad, deberá implementar controles y protecciones estrictos para garantizar la protección de dichos datos.
El año pasado, el congreso de Nueva York aprobó una ley destinada a mejorar las protecciones para el manejo digital de información privada de los residentes de la ciudad. La Ley para Detener el Hacking y Mejorar la Seguridad Electrónica de los Datos (Ley SHIELD, por sus siglas en inglés) exige a las empresas implementar garantías adecuadas para el manejo esta información, además de establecer requisitos más estrictos para la notificación de incidentes de brechas de datos.
¿En qué consisten estas modificaciones?
Uno de los principales cambios que traerá esta ley es la inclusión del concepto de “información privada”, definido en la Ley SHIELD como:
- Cualquier nombre de usuario o dirección email, con sus respectivas contraseñas, empleados para acceder a una cuenta en línea
- Información personal (nombres, números
telefónicos o cualquier otro dato de identificación personal), en combinación
con cualquiera de los siguientes datos:
- Número de seguridad social
- Número de licencia de conducir o número de tarjeta de identificación de no conductor
- Número de cuenta bancaria y número de tarjetas de pago, en combinación con cualquier código de seguridad, código de acceso, contraseña u otra información requerida que permita el acceso a la cuenta financiera de un individuo
- Datos biométricos como huellas digitales, registro de voz, imagen de retina o iris, etcétera
A partir de la entrada en vigor de SHIELD, cualquier compañía en posesión de registros digitales de información deberá garantizar la implementación de los programas y políticas de ciberseguridad pertinentes. Estas medidas de seguridad deberán incluir:
- Garantías administrativas adecuadas.
Las compañías que operen información privada de los residentes de Nueva York,
deberán:
- Designar personal para la coordinación de los programas de seguridad
- Identificar riesgos previsibles de forma interna y externa
- Evaluar el rendimiento de estas medidas de seguridad
- Garantías técnicas adecuadas. Las
empresas deberán:
- Evaluar potenciales riesgos en el diseño de redes y software utilizado
- Evaluar riesgos en el procesamiento, transmisión y almacenamiento de la información privada
- Detectar y prevenir fallas en el sistema, además de llevar la respuesta a incidentes
- Garantías físicas adecuadas, por lo
que las compañías deberán:
- Evaluar los riesgos de almacenamiento y eliminación segura de datos
- Detectar, prevenir y responde a intrusiones maliciosas de forma adecuada
Cabe mencionar que las pequeñas empresas están exentas de ajustarse a esta legislación. La Ley SHIELD considera como “pequeñas empresas” aquellas con las siguientes características:
- Negocios con menos de 50 empleados
- Empresas con que hayan generado menos de 3 millones de dólares de ingresos brutos en cada uno de los últimos tres años fiscales
Quedan unos cuántos días para que las compañías sujetas a esta legislación implementen las medidas de seguridad pertinentes. En caso contrario, el gobierno de Nueva York podría imponer serias acciones legales.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.