Conclusiones clave
- La FCC ha propuesto tres cambios en el procedimiento que siguen las empresas de telecomunicaciones en caso de una violación de datos.
- La FCC sostiene que las propuestas se hacen a la luz de la evolución del panorama de la seguridad.
-
Los expertos de la industria dieron la bienvenida a la medida argumentando que los cambios ayudarán a que las divulgaciones sean más transparentes.
Los expertos de la industria acogieron con beneplácito una propuesta presentada por la Comisión Federal de Comunicaciones (FCC) para obligar a las empresas a compartir detalles sobre cualquier violación de datos con los usuarios afectados sin demora.
La propuesta presentada por la presidenta de la FCC, Jessica Rosenworcel, surge a la luz de las recientes violaciones de datos y busca revisar las reglas actuales dada la mayor frecuencia, sofisticación y escala de las filtraciones de datos.
"Las nuevas propuestas de la FCC son un paso en la dirección correcta", dijo Jack Chapman, vicepresidente de Threat Intelligence del proveedor de seguridad Egress, a Lifewire por correo electrónico. "[Reforzarán] la protección de los interesados y mejorarán la transparencia entre los operadores, los consumidores y el propio regulador, lo que debería ayudar a respaldar los derechos de los interesados en el panorama actual de amenazas".
Panorama de amenazas en evolución
Según el comunicado de prensa de la FCC, las actualizaciones propuestas pretenden equiparar las normas que rigen la industria de las telecomunicaciones con las leyes que rigen los demás sectores.
"La ley actual ya exige que los operadores de telecomunicaciones protejan la privacidad y la seguridad de la información confidencial de los clientes. Pero estas reglas deben actualizarse para reflejar completamente la naturaleza cambiante de las violaciones de datos y la amenaza en tiempo real que representan para los consumidores afectados ", señaló Rosenworcel en la propuesta.
Chapman está de acuerdo y dice que las actualizaciones abordan la realidad de que la industria de las telecomunicaciones está siendo atacada por un "maremoto de ataques cibernéticos sofisticados", citando el ejemplo de T-Mobile, que recientemente sufrió una brecha que expuso los datos de más de 50 millones de sus clientes.
La propuesta de la FCC describe tres actualizaciones significativas a las reglas actuales de notificación de incumplimiento. El primero busca eliminar el requisito obligatorio del período de espera de siete días para notificar a los clientes sobre un incumplimiento.
Al argumentar a favor de eliminar el período de espera, Rosenworcel dijo que los clientes deben estar protegidos contra las filtraciones de datos cuyas consecuencias pueden durar años después de la exposición inicial.
Garantizar que estas empresas respondan de manera responsable y rápida ante cualquier violación de datos ayuda a crear una mejor cultura colectiva de privacidad y seguridad de datos…
Viendo el mérito de la medida, Chapman dijo que si los clientes se enteran de una violación inmediatamente en lugar de una semana después, pueden estar más atentos a los ataques de seguimiento, como el phishing y el vishing. Creía que esto es fundamental y podría ayudar a los usuarios a protegerse contra ataques que podrían hacer que los usuarios pierdan más datos.
"Al eliminar el período de espera de siete días para que los operadores notifiquen a los clientes sobre una violación de datos, la FCC está devolviendo el poder a las personas, ayudándolas a tomar medidas para protegerse si sus datos han sido violado ", opinó Chapman.
Determinación de culpabilidad
La FCC también quiere ampliar el alcance de la protección del cliente al obligar a las empresas a compartir detalles sobre "infracciones inadvertidas".
Calificando la medida como un "paso de bienvenida", Chapman le dijo a Lifewire que las infracciones involuntarias podrían ser tan graves como los ataques cibernéticos. Argumentó que una vez que el daño está hecho, a los usuarios les importa poco si su información fue robada a través de un ataque a la red o de un servidor inseguro.
El tercer cambio propuesto por la FCC requiere que la empresa de telecomunicaciones afectada notifique a las personas y a la FCC, al FBI y al Servicio Secreto de EE. UU.
Nuevamente, Chapman ve mérito en la medida y considera que vincular a otras agencias federales podría brindar beneficios a largo plazo a los consumidores al fortalecer la respuesta regulatoria a las infracciones. Dijo que la medida garantizaría que el regulador pueda responder de manera más rápida y efectiva y ayudaría a garantizar que las organizaciones culpables sean debidamente reprendidas.
"Los operadores recopilan una enorme cantidad de información sobre sus clientes, gran parte de la cual consiste en datos privados y altamente confidenciales", dijo Trevor J. Morgan, gerente de producto de los especialistas en seguridad de datos de Comforte AG, a Lifewire por correo electrónico. "Garantizar que estas empresas respondan de manera responsable y rápida a cualquier violación de datos (hackeo intencional o fuga de datos inadvertida) ayuda a crear una mejor cultura colectiva de privacidad y seguridad de datos y, de paso, fomenta la confianza pública."