¿Cómo se puede determinar fácilmente qué regulaciones relacionadas con la seguridad de TI se aplican?

Navega tus respuestas
8

Joe Tech consigue un trabajo administrando los servicios de TI de Acme Startup. Acme Startup maneja la información de los tipos de datos X, Y y Z, y ofrece los servicios A, B y C. Joe Tech es consciente de que algunos de estos tipos de datos y / o servicios pueden estar incluidos en las regulaciones gubernamentales, pero no está seguro de cuál. También sabe que el CEO y / o fundadores de Acme Startup probablemente no tengan mucho más conocimiento del tema que él.

Sin incorporar un equipo legal, ¿hay alguna manera en que Joe Tech pueda determinar fácilmente qué leyes y / o regulaciones se aplican a los datos y servicios que maneja Acme Startup?

(Nota: el escenario particular de la vida real con el que se relaciona está en Florida, EE. UU., pero las respuestas aplicables en todo el mundo, si las hay, son bienvenidas).

    
pregunta Iszi 23.05.2011 - 19:50
fuente

2 respuestas

14

Preguntas básicas que debe hacer, que están cubiertas por algunas de las respuestas en las preguntas que @AviD ha vinculado y en alto nivel con @Beth:

  • ¿Estás manejando datos de la tarjeta de pago? Si es así, PCI-DSS
  • ¿Estás manejando información médica? Si es así, HIPAA en los Estados Unidos, DPA en el Reino Unido
  • ¿Estás manejando información personal? Si es así, DPA en el Reino Unido
  • ¿Está manejando los datos personales de algún tema europeo? Si es así, GDPR desde el 25 de mayo de 2018
  • ¿Eres una organización financiera? GLBA en los EE. UU., FSA en el Reino Unido
  • ¿Usted comercia en NYSE? SOX en EE. UU., JSOX en Japón, pero requisitos similares en todo el mundo
  • ¿Eres un banco minorista? BASEL II (pronto BASEL III )
  • ¿Eres una aseguradora europea? Solvencia II

Hay equivalentes para estos en muchas jurisdicciones

    
respondido por el Rory Alsop 23.05.2011 - 22:31
fuente
6

Saber en cada país en que estarán tus datos es un buen comienzo. No hay muchas leyes aplicadas a nivel mundial en esta área, por lo que terminará queriendo conocer todas las leyes relevantes del país. El libro " ¿Quién controla Internet? " fue una lectura realmente interesante sobre ese tema (para mí, fue una gran libro de audio).

A partir de ahí, es útil poder categorizar qué tipo de datos tienes en tus manos. Leyes & Las regulaciones generalmente se pueden clasificar en grupos según la industria y el tipo de datos. Una buena manera de comenzar es observar primero los procesos de su empresa: qué se está vendiendo, qué está comprando, qué tipo de información tiene que moverse para que eso suceda. Asegúrese de realizar un seguimiento de los datos externos necesarios para que sus productos o servicios se realicen, y de los datos internos típicos de cualquier empresa, como los registros de personal.

En general (y mucho de lo que viene de la guía de examen CISSP de Shon Harris : no es la mejor en ningún tema único, pero una buena captura para todos): existen los siguientes tipos básicos de ley:

  • Leyes de propiedad intelectual: protección de los secretos comerciales, derechos de autor, marcas comerciales, patentes y otros derechos de propiedad intelectual de su empresa. Ciertamente, si su empresa es de un tamaño mayor, ya tiene al menos un abogado disponible que tiene cierta experiencia en esto.

  • Ley de privacidad: un conjunto de leyes que protegen a las personas, empresas, empleados y otros de la divulgación de información que no debe hacerse pública. Todo, desde información personal, información relacionada con la salud, informes correctos de contabilidad, protección contra piratería y espionaje corporativo, y problemas de privacidad de los empleados. Algunos se aplican a casi todas las compañías en los EE. UU. Y otros son específicos de una industria o tipo de información dada.

  • Ley de enjuiciamiento: no es algo en lo que generalmente se involucra hasta que tenga que procesarlo, pero si se muestra arrepentido, saber al menos un poco acerca de las cadenas de evidencia y lo que se debe hacer para protegerlo puede ayudarlo. Usted está estableciendo procedimientos de recuperación que no causan daños en su capacidad para rastrear y procesar a alguien que ha atacado a su compañía.

  • Ética específica de su industria en particular

  • También hay algunas áreas especiales de la ley si su empresa recibe fondos federales para cualquier cosa y aún más áreas de la ley si desarrolla o está involucrado en algo relacionado con la seguridad nacional. Es muy fácil: si no ha firmado ningún tipo de contrato con el gobierno federal, estatal o local, es probable que estas leyes no se apliquen a usted.

Por lo que sé, no hay un gran sitio de preguntas y respuestas en línea donde pueda responder, por ejemplo, una serie de preguntas y obtener información sobre CADA ley en los EE. UU. que se aplique a su situación. Por lo general, debe tomarlo como venga y averiguar cómo se ven sus datos y qué leyes se aplican a usted. En general, comenzaría con su industria, porque es probable que encuentre otras personas preocupadas por las mismas cosas por las que debería preocuparse en los foros basados en la industria. Por ejemplo, los contratistas de defensa son aves de ave, no sabemos casi nada acerca de las leyes de atención médica como HIPPA, pero sabemos demasiado acerca de las leyes que rodean a los sistemas clasificados. :)

    
respondido por el bethlakshmi 23.05.2011 - 22:16
fuente

Lea otras preguntas en las etiquetas

Usando RSA con 3DES en lugar de 3DES sin formato. ¿Tiene sentido? ¿Cómo puedo detectar una conexión VPN (incluso en algunos casos) para obtener la ubicación real del usuario?