Los profesionales de la seguridad de la información deben aprender sobre el derecho informático para entender mejor los riesgos legales que enfrentan las organizaciones que operan en el espacio digital. El derecho informático proporciona un marco para la forma en que los datos, los dispositivos electrónicos, la informática y los programas se usan, se almacenan y se protegen. Esto abarca desde la protección de la propiedad intelectual hasta la regulación de la recopilación de datos, la seguridad de la información y la privacidad. Los profesionales de la seguridad de la información necesitan entender cómo se aplica el derecho informático a sus prácticas de seguridad para garantizar que estén cumpliendo con las regulaciones aplicables.
Los reglamentos a menudo son redactados por personas con formación jurídica. Muchas veces, el trazo de un bolígrafo regulatorio puede crear una regla que es beneficiosa para la privacidad individual, pero no necesariamente fácil de lograr desde el punto de vista técnico o fácil de mantener desde el punto de vista administrativo. Por ejemplo, un examen superficial de algunas de las normas de privacidad en todo el mundo revela algunos sentimientos muy comunes. Los reglamentos de China , Sudáfrica , el Reglamento General de Protección de Datos ( RGPD ) de la Unión Europea y la India comparten los siguientes principios:
- Consentimiento para recopilar información
- Requisitos de ofuscación de datos
- Límites de retención de datos
- Portabilidad de datos
- Derecho a saber si los datos de una persona han sido tratados
- Derecho a retirar el consentimiento
Cuando se ven desde la perspectiva del abogado, estos temas comunes tienen mucho sentido. Sin embargo, ninguna de estas reglas se puede lograr sin una consulta técnica. Algunos ejemplos incluyen:
- Un abogado comprenderá el significado legal de “consentimiento” cuando se relaciona con la recopilación de información, pero ¿cómo se traduce eso en el método de ejecución? Eso requiere consultar con un profesional de seguridad de la información. Los temas de discusión incluirían el tiempo para presentar la solicitud de consentimiento, así como el seguimiento de la respuesta. Esto también es cierto si una persona retira el consentimiento en un momento posterior.
- Un abogado entenderá que la ofuscación de datos enmascarará datos, pero es posible que no conozca los diferentes métodos para hacerlo, o las mejores implementaciones para cualquier conjunto de datos dado, como datos estructurados versus no estructurados. El profesional de seguridad de la información podrá aclarar los medios apropiados para cumplir con este requisito.
- Un abogado comprenderá la necesidad de límites en la retención de datos, pero es posible que no se dé cuenta del flujo de datos, así como de dónde se almacenan todos los datos en una organización. La asistencia de un profesional de seguridad de la información sería vital para este esfuerzo.
- Un abogado comprenderá la necesidad de la portabilidad de datos, sin embargo, un profesional de seguridad de la información puede brindar orientación sobre cómo cumplir con los estándares técnicos para diferentes sistemas.
Los buenos programas de seguridad de la información consideran e incorporan requisitos legales. La documentación interna de una organización debe alinearse con las leyes y reglamentos y su acción (práctica).
Partiendo de lo anterior, imagínense si no conocemos la ley ni sus principios generales. Estaríamos en desventaja.
Muchos abogados son maravillosos y explican bien la ley, pero no podemos consultarlos para todo. Imagínate preguntarle a un abogado sobre conceptos básicos como renovar el seguro de tu coche, cómo cumplir con el límite de velocidad o la forma más diligente de evitar un accidente en una carretera resbaladiza. Por supuesto, no hacemos esto porque entendemos las leyes de tránsito lo suficientemente bien como para manejar nuestro cumplimiento, y solo después de un incidente grave necesitaríamos consultar a un abogado.
Las leyes sobre ciberseguridad, privacidad, respuesta a incidentes y descubrimiento electrónico pueden ser complicadas, pero aun así podemos entenderlas.
De vez en cuando, una organización tiene una política o procedimiento cuyo propósito o lenguaje no se conoce bien, con términos inciertos que aparentemente no tienen sentido, pero alguien dice: “Vino de los abogados”, y la discusión se detiene allí. (Por otro lado, los abogados pueden estar teniendo conversaciones similares sobre algo técnico que no entienden bien).
Este es el punto de las conversaciones reflexivas para que los profesionales legales y de seguridad de la información puedan escuchar las preocupaciones de los demás, justificar sus posiciones y escribir de una manera que todas las partes puedan entender. Para tener esas conversaciones, cada lado necesita saber algo sobre el área de especialización del otro. Al aprender más sobre la ley, está haciendo precisamente eso.