La gente de negocios inteligente está buscando formas de minimizar el riesgo de sus empresas de violación de datos. Muchas empresas consultan las quejas y órdenes de la FTC, cada una de las cuales incluye una descripción detallada de la conducta que supuestamente violó la Ley de la FTC. Tal vez fue una promesa rota sobre la atención que la compañía dijo que se necesitaría al manejar los datos confidenciales de los consumidores. En otros casos, podría ser un patrón de fallas que, cuando se toman juntos, condujeron al robo y el mal uso de la información confidencial de los clientes.
Pero esa no es la única forma de aprender sobre nuestro enfoque para la seguridad de los datos. Comunicados de prensa de la FTC, publicaciones de orientación comercial, videos, discursos, talleres, informes, más de 150 publicaciones de blog comerciales centradas en la seguridad y otras comunicaciones ofrecen asesoramiento práctico sobre cómo se aplica la Ley FTC a la seguridad de los datos. Una fuente de información particularmente práctica es el comienzo con la seguridad, nuestro folleto de nueces y pernos que destila las lecciones aprendidas de los casos de la FTC hasta 10 fundamentos manejables aplicables a empresas de cualquier tamaño.
Las empresas nos han pedido que mantengamos la guía, por lo que estamos anunciando una nueva iniciativa, Quédate con la seguridad. Durante los próximos meses, publicaremos una publicación de blog de negocios todos los viernes centrados en cada uno de los 10 principios de inicio con los principios de seguridad. Esta vez, utilizaremos una serie de hipotéticos para sumergirse más en los pasos en los pasos que las empresas pueden tomar para salvaguardar los datos confidenciales en su poder. Ofreceremos consejos fáciles de aplicar para ayudar a su empresa no solo a comenzar con la seguridad, sino que no sean la seguridad para reforzar sus defensas.
¿De dónde sacamos nuestro Quédate con la seguridad ¿Ejemplos? Primero, de las más de 60 quejas y órdenes de la FTC, incluidos los nuevos acuerdos y casos litigados anunciados desde que Start with Security se publicó.
Otra fuente importante de nuestro Quédate con la seguridad Los ejemplos son las experiencias de las empresas de todo el país. Hemos escuchado los desafíos cotidianos que enfrenta para proteger la información confidencial y hemos aprendido de los enfoques prácticos que está tomando para abordar los desafíos de seguridad de datos.
Además, hay lecciones que aprender de las investigaciones que el personal cerró sin más acciones. Si bien no revelamos las identidades de los objetivos de esos asuntos a menos que haya habido una carta de cierre público, creemos que hay más que podemos hacer para explicar a otras compañías los principios generales que informaron nuestro pensamiento cuando decidimos cerrar esas investigaciones .
Una pregunta preliminar que a menudo recibimos de las empresas es si hay temas recurrentes que se extienden a través de las investigaciones que finalmente están cerradas sin la aplicación de la ley. Una cosa que hemos notado es que las prácticas de esas compañías a menudo se alinean con los fundamentos de seguridad de sentido común en el comienzo de la seguridad. Por ejemplo, las empresas generalmente tenían procedimientos efectivos para capacitar a su personal, mantener la información confidencial segura, abordar las vulnerabilidades y responder rápidamente a las nuevas amenazas.
Aquí hay otros temas que surgen que ofrecen información sobre por qué las investigaciones sobre violaciones de las que puede haber escuchado no necesariamente resultó en la aplicación de la ley de la FTC:
- Hay más (o menos) en la historia de lo que parece.
Al igual que usted, el personal de la FTC lee las noticias. Vemos historias sobre violaciones de datos y vulnerabilidades potenciales todo el tiempo. Pero los informes de prensa son solo el comienzo de una posible investigación y, a veces, aprendemos que hay más en la historia de lo que se informó inicialmente. Por ejemplo, un informe de noticias podría llamar la atención sobre una violación, pero no centrarse en el hecho de que los datos estaban encriptados, un factor que reduce sustancialmente el riesgo de lesiones del consumidor. O tal vez una supuesta persona interna afirma que una empresa no dispone de forma segura de los datos de los consumidores antiguos, pero la compañía nos proporcionó evidencia creíble de que sí. Entonces, en algunos casos, puede haber habido humo, pero una investigación adicional no reveló ningún fuego. - Proceder aún más no sería un buen uso de los recursos.
Nos gusta pensar en la FTC como una pequeña agencia federal que, en las circunstancias apropiadas, puede completar un poderoso golpe de aplicación de la ley. Pero siempre somos conscientes de la necesidad de ser buenos administradores de dólares de los contribuyentes. A veces, las prácticas de una empresa pueden plantear preocupaciones iniciales, pero hay otros factores que sugieren que la aplicación de la ley no sería de interés público. Por ejemplo, en algunos casos, una pequeña empresa puede haber recopilado pequeñas cantidades de información no sensible. En casos como ese, si se produce una violación, es menos probable que gaste recursos limitados para investigar. - No somos la agencia adecuada.
Dada la amplia jurisdicción de la FTC sobre la mayoría de las prácticas comerciales, somos el policía principal en el ritmo cuando se trata de seguridad de datos. Pero no somos el único policía en el ritmo. Como resultado, trabajamos en estrecha colaboración con otras agencias con misiones relacionadas: el Departamento de Justicia, el Departamento de Salud y Servicios Humanos, la Oficina de Protección Financiera del Consumidor, la Comisión Federal de Comunicaciones y la Administración Nacional de Seguridad del Tráfico en Carreteras, por nombrar solo algunos. A veces, un presunto incidente o práctica es más natural para otro agente de la ley. Si ese es el caso, podemos remitir asuntos a otras agencias y ofrecer cualquier ayuda que la ley nos permita dar. Esa es solo una de las formas en que trabajamos para evitar la duplicación, racionalizar las investigaciones y garantizar un enfoque consistente para la seguridad de los datos. - El riesgo para los datos es teórico.
En los últimos años, hemos visto un aumento en los investigadores centrados en problemas de privacidad y seguridad. Ese es un desarrollo de lo que agradecemos. Buscamos los últimos estudios, tanto la investigación presentada en PrivacyCon como en otros lugares, para educarnos sobre las tecnologías emergentes e identificar prácticas para la investigación. Pero no toda la investigación conduce a la aplicación de la ley. A veces, cuando los investigadores aportan prácticas que crean vulnerabilidades a nuestra atención, el riesgo de que se explote la vulnerabilidad para causar lesiones del consumidor es más teórico de lo probable. Por ejemplo, puede haber una vulnerabilidad en un dispositivo móvil que tomaría herramientas altamente sofisticadas para explotar, e incluso entonces, los datos podrían verse comprometidos solo si el hacker tuviera el teléfono del consumidor en la mano. Si ese es el caso, es más probable que transmitamos una investigación que proceder.
Siguiente en la serie Stick With Security: Pasos iniciales para comenzar con la seguridad
