Cómo la microsegmentación lo ayuda a cumplir con las obligaciones de seguridad de la CCPA

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020, y la auditoría y la aplicación comenzaron el 1 de julio. Esta nueva regulación de privacidad tendrá un impacto significativo en las iniciativas de privacidad no sólo en California, sino también en las organizaciones que tienen operaciones comerciales importantes en el estado y, por lo tanto, recopilan o tienen acceso a los datos de los residentes de CA.

La mayoría de las discusiones iniciales sobre CCPA se centraron en la obligación de las compañías de cumplir con las solicitudes de los residentes de California para acceder, eliminar y optar por no participar en la recopilación de datos. Si es residente de California, está muy familiarizado con los incesantes avisos de privacidad que aparecen cada vez que visita un sitio web. El otro tema de conversación en torno a la CCPA se centró en la obligación de dejar de vender datos de los consumidores a petición de un individuo.

Hay una pequeña sección en el documento CCPA que se centra en las violaciones de datos y la seguridad. En mi opinión, las violaciones descritas en estas cláusulas tienen un impacto significativamente mayor en la marca de una compañía y en su crecimiento futuro de los ingresos. Los litigantes privados no perdieron tiempo en presentar demandas bajo la nueva ley. Por ejemplo, Marriott International anunció una violación de seguridad que afectó a 5,2 millones de clientes el 31 de marzo de 2020. Un par de días después (el 3 de abril), un consumidor de CA presentó una demanda colectiva contra la compañía en virtud de la cláusula de violación de datos de la CCPA. Si desea obtener más información sobre este caso y acciones legales similares, el bufete de abogados especializado en privacidad Kelley Drye publica trimestralmente un Resumen de litigios de la CCPA.

Con toda esta charla sobre regulaciones, es posible que se pregunte qué papel juega la microsegmentación en la CCPA y cómo puede usar la microsegmentación para abordar su exposición a la violación de datos de la CCPA.

Entonces, con eso en mente, profundicemos en qué es CCPA y centrémonos en los requisitos de seguridad y protección contra violaciones de datos. (Descargo de responsabilidad legal: aunque consulté con los equipos legales y de seguridad de Illumio sobre el contenido de este blog, la información no debe considerar como asesoramiento legal.

¿Qué es la CCPA?

Oficialmente llamada AB-375, la Ley de Privacidad del Consumidor de California (CCPA) es un estatuto estatal destinado a mejorar los derechos de privacidad y la protección del consumidor para los residentes de California, Estados Unidos. El proyecto de ley fue aprobado por la Legislatura del Estado de California y promulgado el 28de junio de 2018 y entró en vigor el 1de enero de 2020.

¿Quién está obligado a cumplir con la CCPA?

Su organización está legalmente obligada a cumplir con la CCPA si cumple con los siguientes criterios: (1) opera con fines de lucro y (2) recopila información personal del consumidor sobre los residentes de California, y (3) está haciendo negocios en California, Y también cruza al menos uno de los umbrales enumerados: (1) los ingresos brutos anuales superan los $ 25 millones, o (2) compra, recibe, comparte o vende anualmente información personal de 50,000 o más consumidores, hogares o dispositivos, o (3) obtiene más del 50% de sus ingresos anuales de la venta de información personal de los consumidores.

Además, una entidad se considera un "negocio" y está cubierta por la CCPA si controla o está controlada por una entidad que cumple con los criterios anteriores y comparte una marca común con esa entidad.

La jerga legal en esta sección es un poco confusa, por lo que, como recordatorio, consulte con su asesor legal para determinar si su compañía está cubierta por CCPA.

¿Cuáles son las obligaciones de las organizaciones cubiertas en virtud de la CCPA?

Muchos bufetes de abogados de nivel 1 y nivel 2 publicaron artículos sobre este tema, por lo que no dedicaré mucho tiempo a esto. Google es tu colega. En resumen, las obligaciones incluyen, entre otras:

1. Brindar a los consumidores una forma clara de optar por no participar en la venta de su información personal por parte de la compañía. (Tenga en cuenta que la información personal no es igual a PII. Consulte la siguiente pregunta para obtener más detalles).
2. Notificar al consumidor sobre sus prácticas de recopilación, venta y divulgación de datos.
3. Proporcionar al consumidor la posibilidad de acceder a la información personal recopilada.
4. Proporcionar al consumidor la capacidad de borrar/aplicar la eliminación de la información personal recopilada por la compañía.
5. Implemente procedimientos de seguridad razonables para proteger los datos de los consumidores de las violaciones de datos.

¿Qué se considera información personal según la CCPA?

Tenga en cuenta que el lenguaje de la CCPA se refiere a la información personal y no solo a la PII (información de identificación personal). La definición de información personal según la CCPA también es bastante amplia e incluye, entre otras, las siguientes categorías:

• Identificadores directos: nombre real, alias, dirección postal, números de seguro social, licencia de manejar, información del pasaporte y firma. Estos se consideran PII.
• Identificadores indirectos: cookies, balizas, etiquetas de pixeles, números de teléfono, direcciones IP, nombres de cuentas.
• Datos biométricos: rostro, retina, huellas dactilares, ADN, grabaciones de voz, datos de salud. Estos se consideran PII.
• Geolocalización: historial de ubicaciones a través de dispositivos.
• Actividad en el Internet: historial de navegación, historial de búsqueda, datos sobre la interacción con un sitio web, aplicación o anuncio.
• Información confidencial: características personales, comportamiento, convicciones religiosas o políticas, preferencias sexuales, datos de empleo y educación, información financiera y médica.

Debe consultar con su asesor legal y equipos de seguridad para confirmar las categorías cubiertas por las cláusulas de seguridad de privacidad y violación de datos de la CCPA. Este análisis lo ayudará a determinar el alcance de sus obligaciones de seguridad relacionadas con la CCPA.

Dado que es probable que esté pensando en CCPA desde la perspectiva de la exposición a la violación de datos, quiero hacer doble clic en este tema.

¿Cuáles son las obligaciones de seguridad en virtud de la CCPA?

El documento oficial de la CCPA es sorprendentemente breve y, si tienes la oportunidad de leerlo, te darás cuenta de que no hay un lenguaje prescriptivo sobre la seguridad de los datos. Incluye la cláusula de violación de datos, que crea un derecho de acción privado por violaciones de datos que surjan por no mantener una “seguridad razonable” según el Código Civil de California 1798.81.5 (d)(1)(A). (Otro recordatorio para que consultes con tu abogado).

También incluye lenguaje sobre los derechos de violación de datos de un consumidor, que penaliza a las compañías cubiertas por infracciones derivadas de una "violación del deber de implementar y mantener procedimientos y prácticas de seguridad razonables".

¿Cuál es la recomendación para implementar "medidas de seguridad razonables"?

La CCPA no proporciona orientación prescriptiva sobre "seguridad razonable". Kamala Harris, quien era la fiscal general del estado de California durante el tiempo en que se redactó la ley, opinó en el Reporte de violación de datos de CA 2012-2015 que el estado considera que los 20 principales controles de seguridad del Centro para la Seguridad de Internet (CIS) son la línea de base para procedimientos y prácticas de seguridad razonables. No hubo ninguna actualización de esta opinión por parte del actual fiscal general del estado de California, Xavier Becerra, por lo que podemos suponer que las recomendaciones de 2016 siguen en pie.

¿Cuáles son los 20 principales controles de seguridad del CIS?

El marco de controles de seguridad de los 20 principales del CIS existe desde hace más de 10 años y se actualiza con frecuencia. El marco se deriva de los patrones de ataque más comunes destacados en los principales reportes de amenazas y examinados por una comunidad muy amplia de profesionales del gobierno y la industria. Refleja el conocimiento combinado de expertos forenses y de respuesta a incidentes comerciales y gubernamentales. No sorprende que el CA State AG recomiende este marco como línea de base, porque muchas organizaciones ya adoptan este enfoque y luego aumentan los controles para abordar los requisitos específicos de su entorno.

Para que quede claro, no se puede confiar en un solo producto para implementar estos controles. Idealmente, querrá una solución que admita la habilitación de estos controles y tenga API estables para funcionar bien con sus otras inversiones en seguridad, como su SIEM, escáneres de vulnerabilidades, CMDB, SCM, orquestación de contenedores, etc.

Illumio cumple y apoya directamente 16 de los 20 principales controles de seguridad de la CEI. Aquí hay un mapeo de alto nivel para facilitar la visualización. Recientemente escribí un blog separado sobre la asignación de Illumio a los 20 controles principales de CIS si desea hacer doble clic en cada uno de estos controles. (Nota: "admite" en la columna de capacidad de Illumio significa que los clientes usan datos o características de Illumio para habilitar una parte del control.

¿Cómo pueden las organizaciones emplear Illumio y el Marco de Controles de Seguridad de los 20 Principales del CIS para cumplir con los requisitos de "medidas de seguridad razonables" de la CCPA?

Si adoptó los 20 controles principales del CIS para cumplir con sus obligaciones de seguridad de la CCPA, puede usar Illumio para:

1. Obtenga una mejor visibilidad y evalúe eficazmente el alcance de las obligaciones de seguridad. La CCPA requiere que las organizaciones creen y mantengan un inventario de todos los recursos y aplicaciones que recopilan y almacenan datos de los consumidores. Para abordar esto, Illumio proporciona visibilidad en tiempo real. Puede emplear el mapa de dependencia de la aplicación para comenzar a crear su inventario y validar la precisión de la información que normalmente se encuentra en herramientas estáticas y puntuales, como los sistemas de gestión de activos y CMDB. Con poco esfuerzo, puede ver qué aplicaciones, almacenes de datos, máquinas, cargas de trabajo y puntos finales están dentro del alcance de la CCPA y qué conexiones y flujos están autorizados.
2. Reduzca su superficie de ataque y dificultar que los malos actores accedan a sus datos de la CCPA. Illumio lo ayuda a diseñar y aplicar políticas para delimitar las aplicaciones y el tráfico entre cargas de trabajo, entre cargas de trabajo y usuarios, y entre puntos finales de usuario mediante la programación de los firewalls con estado de capa 3/capa 4 que residen en cada host.
3. Mantenga y monitorear su microsegmentación postura de seguridadLos agentes de Illumio, mejor conocidos como VEN, actúan como sensores y monitorean continuamente su entorno para detectar nuevas cargas de trabajo y conexiones de usuarios finales, y también para detectar cambios en la conectividad con cualquier dato o aplicación que esté dentro del alcance de la CCPA. También puede bloquear conexiones o intentos de conexión no autorizados.
4. Aumente el tiempo para el cumplimiento de la seguridad. La fecha límite de la CCPA era el 1de enero de 2020. La aplicación, las auditorías y la presentación de reportes comenzaron el 1de julio de 2020. Illumio ayudará a cumplir con los controles de CIS 20 rápidamente al acelerar la planeación y el diseño con visibilidad en tiempo real y modelado de políticas basado en etiquetas. Una solución de microsegmentación a nivel de host con múltiples sistemas operativos significa que no tiene que rediseñar su red/SDN.

Si desea obtener más información sobre las capacidades de Illumio, consulte Illumio Core.