Cómo la microsegmentación le ayuda a cumplir con las obligaciones de seguridad de la CCPA

La Ley de Privacidad del Consumidor de California (CCPA) entró en vigor el 1 de enero de 2020, y la auditoría y ejecución comenzaron el 1 de julio. Esta nueva regulación de privacidad tendrá un impacto significativo en las iniciativas de privacidad no solo en California, sino también en las organizaciones que tienen operaciones comerciales significativas en el estado y, por lo tanto, están recopilando o tienen acceso a los datos de los residentes de CA.

La mayoría de las discusiones iniciales sobre CCPA se centraron en la obligación de las empresas de cumplir con las solicitudes de los residentes de California para acceder, eliminar y optar por no participar en la recopilación de datos. Si es residente de CA, está muy familiarizado con los incesantes avisos de privacidad que aparecen cada vez que visita un sitio web. El otro tema de conversación en torno a la CCPA se centró en la obligación de dejar de vender datos del consumidor a petición de un individuo.

Hay una pequeña sección en el documento de la CCPA que se centra en las violaciones de datos y la seguridad. En mi opinión, las violaciones descritas en estas cláusulas tienen un impacto significativamente mayor en la marca de una empresa y el crecimiento futuro de primera línea. Los litigantes privados no perdieron el tiempo interponiendo demandas en virtud de la nueva ley. Por ejemplo, Marriott International anunció una violación, que impactó a 5.2 millones de clientes, al 31 de marzo de 2020. Un par de días después (3 de abril), un CA consumidor presentó una demanda colectiva contra la empresa bajo la cláusula de violación de datos CCPA. Si desea obtener más información sobre este caso y acciones legales similares, el bufete de abogados de privacidad Kelley Drye publica un trimestral Balance de Litigios de la CCPA.

Con toda esta charla de regulaciones, tal vez te estés preguntando qué papel microsegmentación juega en CCPA y cómo puede usar la microsegmentación para abordar su exposición a la violación de datos de la CCPA.

Entonces, con eso en mente, profundizemos en lo que es CCPA y enfoquémonos en los requerimientos de seguridad y protección contra violaciones de datos. (Descargo de responsabilidad legal: aunque consulté con los equipos de seguridad y jurídico de Illumio sobre los contenidos de este blog, la información no debe ser considerada como asesoría legal.

¿Qué es CCPA?

Oficialmente llamada AB-375, la Ley de Privacidad del Consumidor de California (CCPA) es un estatuto estatal destinado a mejorar los derechos de privacidad y la protección del consumidor para los residentes de California, Estados Unidos. El proyecto de ley fue aprobado por la Legislatura del Estado de California y se convirtió en ley el 28 de junio de 2018 y entró en vigencia el 1 de enero de 2020.

¿Quién está obligado a cumplir con la CCPA?

Su organización está legalmente obligada a cumplir con la CCPA si cumple con los siguientes criterios: (1) opera con fines de lucro, y (2) recopila información personal del consumidor sobre los residentes de California, y (3) están haciendo negocios en California — Y también cruza al menos uno de los umbrales enumerados: 1) los ingresos brutos anuales superan los 25 millones de dólares, o (2) compra, recibe, comparte o vende anualmente información personal de 50,000 o más consumidores, hogares o dispositivos, o (3) obtiene más del 50% de sus ingresos anuales de la venta de información personal de los consumidores.

También, una entidad se considera un “negocio” y está cubierta por la CCPA si controla o está controlada por una entidad que cumple con los criterios anteriores y comparte una marca común con esa entidad.

La legalese en esta sección es un poco confusa, así que como recordatorio, consulte con su asesor legal para determinar si su empresa está cubierta por la CCPA.

¿Cuáles son las obligaciones de las organizaciones cubiertas bajo la CCPA?

Muchos bufetes de abogados Tier 1 y Tier 2 han publicado artículos sobre este tema, así que no voy a dedicar mucho tiempo a esto. Google es tu amigo. En resumen, las obligaciones incluyen pero no se limitan a:

1. Proporcionar a los consumidores una manera clara de optar por no participar en la venta del consumidor por parte de la empresa información personal. (Tenga en cuenta que la información personal no es igual a PII. Consulte la siguiente pregunta para obtener más detalles.)
2. Notificar al consumidor sobre sus prácticas de recolección, venta y divulgación de datos.
3. Proporcionar al consumidor la posibilidad de acceder a la información personal recopilada.
4. Proporcionar al consumidor la capacidad de borrad/solicitar la eliminación de la información personal recopilada por el negocio.
5. Implementar procedimientos de seguridad razonables para proteger los datos de los consumidores de las violaciones de datos.

¿Qué se considera información personal en virtud de la CCPA?

Tenga en cuenta que el lenguaje de la CCPA se refiere a la información personal y no solo a la PII (información de identificación personal). La definición de información personal en virtud de la CCPA también es bastante amplia e incluye pero no se limita a las siguientes categorías:

• Identificadores directos: nombre real, alias, dirección postal, números de seguro social, licencia de conducir, información del pasaporte y firma. Éstos se consideran PII.
• Identificadores indirectos: cookies, balizas, pixel tags, números de teléfono, direcciones IP, nombres de cuenta.
• Datos biométricos — cara, retina, huellas dactilares, ADN, grabaciones de voz, datos de salud. Éstas se consideran PII.
• Geolocalización: historial de ubicación a través de dispositivos.
• Actividad en Internet: historial de navegación, historial de búsqueda, datos sobre la interacción con una página web, aplicación o anuncio.
• Información sensible — características personales, comportamiento, convicciones religiosas o políticas, preferencias sexuales, datos de empleo y educación, información financiera y médica.

Debe consultar con su asesor legal y equipos de seguridad para confirmar las categorías cubiertas por las cláusulas de seguridad de privacidad y violación de datos de la CCPA. Este análisis le ayudará a determinar el alcance de sus obligaciones de seguridad relacionadas con la CCPA.

Dado que probablemente esté pensando en la CCPA desde la perspectiva de la exposición a la violación de datos, quiero hacer doble clic en este tema.

¿Cuáles son las obligaciones de seguridad en virtud de la CCPA?

El documento oficial de la CCPA es sorprendentemente breve, y si tiene la oportunidad de leerlo, se dará cuenta de que no existe un lenguaje prescriptivo sobre seguridad de datos. Incluye la cláusula de violación de datos, que crea un derecho privado de acción para las violaciones de datos derivadas del incumplimiento de la “seguridad razonable” en virtud del Código Civil de California 1798.81.5 (d) (1) (A). (Otro recordatorio para consultar con su abogado).

También incluye lenguaje sobre los derechos de violación de datos de un consumidor, que penaliza a las empresas cubiertas por infracciones derivadas de una “violación del deber de implementar y mantener procedimientos y prácticas de seguridad razonables”.

¿Cuál es la recomendación para implementar “medidas de seguridad razonables”?

La CCPA no proporciona orientación prescriptiva sobre “seguridad razonable”. Kamala Harris, quien fue la AG Estatal de CA durante el tiempo en que se redactó la ley, opinó en el Informe de violación de datos de CA 2012-2015 que el estado considera al Centro de Seguridad en Internet (CIS) Top 20 Controles de Seguridad como la línea de base para procedimientos y prácticas de seguridad razonables. No ha habido actualización a este dictamen por parte del actual AG estatal de CA, Xavier Becerra, por lo que podemos suponer que las recomendaciones de 2016 siguen en pie.

¿Cuáles son los 20 mejores controles de seguridad de CIS?

El Marco de Controles de Seguridad Top 20 de CIS existe desde hace más de 10 años y se actualiza con frecuencia. El marco se deriva de los más comunes patrones de ataque destacado en los principales informes sobre amenazas y examinado en una comunidad muy amplia de profesionales gubernamentales y de la industria. Refleja el conocimiento combinado de expertos forenses y de respuesta a incidentes comerciales y gubernamentales. No es de extrañar que CA State AG recomiende este marco como base, porque muchas organizaciones ya adoptan este enfoque y luego aumentan los controles para atender los requerimientos específicos de su entorno.

Para ser claros, no puede confiar en un solo producto para implementar estos controles. Idealmente, querrá una solución que soporte la habilitación de estos controles y que tenga API sólidas para jugar bien con sus otras inversiones en seguridad como su SIEM, escáneres de vulnerabilidades, CMDB, SCM, orquestación de contenedores, etc.

Illumio cumple y soporta directamente 16 de los 20 Controles de Seguridad Top 20 de CIS. Aquí hay un mapeo de alto nivel para una fácil visualización. Recientemente he escrito un blog separado en Mapeo de Illumio a los 20 mejores controles de CIS si desea hacer doble clic en cada uno de estos controles. (Nota: “soportes” en la columna de capacidad de Illumio significa que los clientes utilizan datos o funciones de Illumio para habilitar una parte del control.

¿Cómo pueden las organizaciones utilizar Illumio y el Marco de Controles de Seguridad Top 20 de CIS para permitir los requerimientos de “medidas de seguridad razonables” de la CCPA?

Si ha adoptado los 20 controles principales de CIS para cumplir con sus obligaciones de seguridad de la CCPA, puede usar Illumio para:

1. Obtenga una mejor visibilidad y evalúe de manera efectiva el alcance de las obligaciones de seguridad. La CCPA requiere que las organizaciones creen y mantengan un inventario de todos los recursos y aplicaciones que recopilan y almacenan datos de los consumidores. Para hacer frente a esto, Illumio proporciona visibilidad en tiempo real. Puede utilizar el mapa de dependencia de aplicaciones para comenzar a crear su inventario y validar la precisión de la información que normalmente se encuentra en herramientas estáticas puntuales como la administración de activos y los sistemas CMDB. Con poco esfuerzo, puede ver qué aplicaciones, data stores, máquinas, cargas de trabajo y endpoints están dentro del alcance de CCPA y qué conexiones y flujos están autorizados.
2. Reduzca su superficie de ataque y hacer que sea más difícil para los malos actores llegar a sus datos de CCPA. Illumio le ayuda a diseñar y aplicar políticas a las aplicaciones ringfence y al tráfico entre cargas de trabajo, entre cargas de trabajo y usuarios, y entre endpoints de usuario mediante la programación de los firewalls con estado de Capa 3/Capa 4 que residen en cada host.
3. Mantenga y supervise su microsegmentación postura de seguridad. Los agentes de Illumio, mejor conocidos como VENS, actúan como sensores y monitorean continuamente su entorno en busca de nuevas cargas de trabajo y conexiones de usuario final, y también para cambios en la conectividad con cualquier dato y aplicación que esté dentro del alcance de CCPA. También puede bloquear conexiones no autorizadas o intentos de conexión.
4. Aumente el tiempo de cumplimiento de normas de seguridad. El plazo de la CCPA fue el 1 de enero de 2020. El cumplimiento, las auditorías y la presentación de informes comenzaron el 1 de julio de 2020. Illumio ayudará a cumplir con los controles CIS 20 rápidamente al acelerar la planificación y el diseño con visibilidad en tiempo real y modelado de políticas basado en etiquetas. Una solución de microsegmentación a nivel de host con múltiples sistemas operativos significa que no tiene que volver a diseñar su red/SDN.

Si desea obtener más información sobre las capacidades de Illumio, consulte Núcleo Illumino.