Saber en cada país en que estarán tus datos es un buen comienzo. No hay muchas leyes aplicadas a nivel mundial en esta área, por lo que terminará queriendo conocer todas las leyes relevantes del país. El libro " ¿Quién controla Internet? " fue una lectura realmente interesante sobre ese tema (para mí, fue una gran libro de audio).
A partir de ahí, es útil poder categorizar qué tipo de datos tienes en tus manos. Leyes & Las regulaciones generalmente se pueden clasificar en grupos según la industria y el tipo de datos. Una buena manera de comenzar es observar primero los procesos de su empresa: qué se está vendiendo, qué está comprando, qué tipo de información tiene que moverse para que eso suceda. Asegúrese de realizar un seguimiento de los datos externos necesarios para que sus productos o servicios se realicen, y de los datos internos típicos de cualquier empresa, como los registros de personal.
En general (y mucho de lo que viene de la guía de examen CISSP de Shon Harris : no es la mejor en ningún tema único, pero una buena captura para todos): existen los siguientes tipos básicos de ley:
-
Leyes de propiedad intelectual: protección de los secretos comerciales, derechos de autor, marcas comerciales, patentes y otros derechos de propiedad intelectual de su empresa. Ciertamente, si su empresa es de un tamaño mayor, ya tiene al menos un abogado disponible que tiene cierta experiencia en esto.
-
Ley de privacidad: un conjunto de leyes que protegen a las personas, empresas, empleados y otros de la divulgación de información que no debe hacerse pública. Todo, desde información personal, información relacionada con la salud, informes correctos de contabilidad, protección contra piratería y espionaje corporativo, y problemas de privacidad de los empleados. Algunos se aplican a casi todas las compañías en los EE. UU. Y otros son específicos de una industria o tipo de información dada.
-
Ley de enjuiciamiento: no es algo en lo que generalmente se involucra hasta que tenga que procesarlo, pero si se muestra arrepentido, saber al menos un poco acerca de las cadenas de evidencia y lo que se debe hacer para protegerlo puede ayudarlo. Usted está estableciendo procedimientos de recuperación que no causan daños en su capacidad para rastrear y procesar a alguien que ha atacado a su compañía.
-
Ética específica de su industria en particular
-
También hay algunas áreas especiales de la ley si su empresa recibe fondos federales para cualquier cosa y aún más áreas de la ley si desarrolla o está involucrado en algo relacionado con la seguridad nacional. Es muy fácil: si no ha firmado ningún tipo de contrato con el gobierno federal, estatal o local, es probable que estas leyes no se apliquen a usted.
Por lo que sé, no hay un gran sitio de preguntas y respuestas en línea donde pueda responder, por ejemplo, una serie de preguntas y obtener información sobre CADA ley en los EE. UU. que se aplique a su situación. Por lo general, debe tomarlo como venga y averiguar cómo se ven sus datos y qué leyes se aplican a usted. En general, comenzaría con su industria, porque es probable que encuentre otras personas preocupadas por las mismas cosas por las que debería preocuparse en los foros basados en la industria. Por ejemplo, los contratistas de defensa son aves de ave, no sabemos casi nada acerca de las leyes de atención médica como HIPPA, pero sabemos demasiado acerca de las leyes que rodean a los sistemas clasificados. :)