&#39Honrar&#39 los principios vinculantes de CCPA a nivel nacional …



Incluso las empresas con el alcance, el money y la capacidad innovadora de Microsoft o Google tendrán dificultades para adherirse a los principios de la nueva ley de privacidad del consumidor de California.

En noviembre, Microsoft publicó una publicación de blog site anunciando la intención de la compañía de «honrar» los principios vinculantes de la Ley de Privacidad del Consumidor de California, conocida como CCPA, en los Estados Unidos. Cuando CCPA entre en vigencia en el estado de California el 1 de enero de 2020, Microsoft se ha comprometido a extender su cumplimiento a la regulación en todos los estados de EE. UU.

CCPA es considerado por los defensores de la privacidad de datos como una de las regulaciones de privacidad de datos más amplias en los Estados Unidos hasta la fecha. CCPA es algo equivalent al Reglamento Common de Protección de Datos (GDPR), la ley de privacidad de datos en la Unión Europea, en el sentido de que las empresas deben revelar a sus usuarios qué datos personales se recopilan, si se venden y a quién . También permite a los usuarios optar por no vender sus datos. Los usuarios también deben tener acceso a sus datos y poder solicitar que una empresa los elimine, mejor conocido como el «derecho al olvido».

¿Truco de relaciones públicas o liderazgo en ciberseguridad?
Como profesor, investigador de ciberseguridad y emprendedor, me alegra ver que una empresa del tamaño de Microsoft reconoce que la privacidad de los datos del consumidor debería ser una prioridad mayor en la industria de la tecnología. Hemos visto una y otra vez cómo las empresas abusan de su acceso a los datos de los clientes y no brindan la protección adecuada a su alrededor. (Fb es un excelente ejemplo). Vale la pena señalar que otras grandes empresas tecnológicas como Apple también están hablando y proporcionando liderazgo con respecto a la privacidad de los datos. Incluso Google está escuchando el mensaje con una serie de iniciativas para proteger la privacidad de sus usuarios.

Si bien aplaudo a Microsoft, Google y otras compañías por liderar el camino con ambiciosas políticas de privacidad de datos, también tengo una buena dosis de escepticismo sobre las motivaciones para hacerlo, y también sobre su capacidad para ejecutar esto. Cuando leí las noticias por primera vez, mi reacción inmediata fue: Esto me parece un truco de relaciones públicas, excelente en teoría, pero hacer el trabajo llevará mucho más tiempo que unas pocas semanas, que es el tiempo que tenemos antes de que el CCPA entre en vigencia. Incluso una empresa con el alcance, el cash y la capacidad innovadora de Microsoft o Google tendrá dificultades para adherirse a los principios de CCPA a nivel nacional.

Ya hemos visto esta lucha con el cumplimiento de GDPR en Europa. Hasta la fecha, casi medio billón de euros Se han impuesto multas contra empresas que han violado el RGPD. Algunas de estas violaciones fueron abusos flagrantes, como el Hospital holandés multado por controles laxos sobre el acceso a los registros de pacientes. En ese caso, 197 empleados del healthcare facility accedieron a los registros médicos de una celebridad holandesa.

Pero en otros casos, la compañía multada violó GDPR a través de políticas laxas de terceros o por el comportamiento de sus propios clientes. En una de las primeras columnas de Dark Looking at, exploré las ramificaciones de la violación de datos de British Airways que involucraba una campaña de phishing orquestada que comprometía los datos personales de casi 500,000 clientes de la aerolínea. En ese caso, los clientes fueron atacados con correos electrónicos de phishing y fueron dirigidos a sitios world-wide-web falsos que se parecían lo suficiente al sitio serious de British Airways para engañarlos y que renunciaran a sus credenciales de cuenta.

Responsabilidad por los datos que controla y comportamiento que no puede
En el weblog de Microsoft, la compañía declara:

Además de garantizar los derechos de las personas para controlar su información personalized, creemos que las leyes de privacidad deben fortalecerse aún más mediante la imposición de requisitos de responsabilidad más sólidos a las empresas. Esto incluye hacer que las empresas minimicen los datos que recopilan sobre las personas, especificar los propósitos para los que recopilan y utilizan los datos de las personas, y hacerlos más responsables de analizar y mejorar los sistemas de datos para garantizar que utilicen los datos personales de manera adecuada.

Según sus propios estándares, Microsoft debe analizar detenidamente su enfoque para detectar y responder a las campañas de phishing si la empresa pretende adherirse a CCPA en todo el país. Los sitios world wide web de Microsoft están consistentemente entre los más buscados por sitios web falsos como parte de ataques de phishing orquestados. De hecho, solo PayPal es más frecuentemente atacado por ataques de suplantación de identidad. Además, ataques de phishing contra Microsoft Los usuarios de Place of work 365 están en aumento, y los métodos utilizados por los atacantes son cada vez más sofisticados.

En respuesta a la proliferación de ataques de phishing, Microsoft ha dicho que los usuarios que habiliten la autenticación multifactor (MFA) para sus cuentas terminarán bloqueando el 99.9% de los ataques automatizados. Pero como el reciente Ataque de phishing de YouTube ilustra, MFA no es el salvador que todos esperábamos que fuera. Hay varias herramientas disponibles en Darkish World wide web que ayudan a los piratas informáticos a eludir fácilmente MFA, sin que la víctima lo sepa.

Los límites de MFA y SSL
Tampoco se puede confiar en SSL como una forma de verificar qué sitios son seguros para visitar. los último informe del Grupo de Trabajo Anti-Phishing (APWG) revela que dos tercios de todos los sitios de phishing reportados en el tercer trimestre de 2019 estaban empleando protección SSL. El informe señala que este fue el porcentaje más alto de sitios falsos que utilizan SSL desde que comenzó el seguimiento a principios de 2015, y «es un claro indicador de que los usuarios no pueden confiar solo en SSL para comprender si un sitio es seguro o no».

El informe APWG también revela que SaaS y los sitios world-wide-web de correo electrónico siguen siendo los principales objetivos del phishing. Microsoft es uno de los mayores proveedores de estos servicios en el mundo. Si la empresa se toma en serio el cumplimiento de los mandatos de CCPA en todo el país, será essential un enfoque más sólido para la detección y respuesta de phishing. El CCPA en su núcleo tiene la intención de regular las empresas para proporcionar protección de los datos de sus clientes. Los phishers lo atraviesan fácilmente y engañan a los usuarios para que proporcionen acceso a sus datos en el sitio web de origen.

Las compañías que se preparan para cumplir con CCPA solo en el estado de California, sin importar si deciden expandir el cumplimiento a nivel nacional, ahora deben ser capaces de detectar ataques de phishing rápidamente. Hasta la fecha, se ha puesto demasiado énfasis en el componente de correo electrónico del ataque de empuje. Pero filtrar los correos electrónicos sospechosos de phishing no es suficiente. Los sitios internet falsos deben identificarse rápidamente y luego eliminarse antes de que puedan robar datos de los clientes. De lo contrario, no solo se generarán multas, sino que también se dañará la reputación de la marca y disminuirá la confianza del cliente.

Contenido relacionado:

El Dr. Salvatore Stolfo es el fundador y CTO de Attract Safety. Como profesor de inteligencia synthetic en la Universidad de Columbia desde 1979, el Dr. Stolfo ha dedicado una carrera a descubrir cómo piensan las personas y cómo hacer que las computadoras y los sistemas piensen como las personas. Dr. Stolfo has … Ver biografía completa

Más strategies





Enlace a la noticia unique