A medida que evoluciona el panorama de la ciberseguridad, también lo hacen los requisitos de cumplimiento para las empresas de todos los sectores. Mantenerse al día con estas normativas de cumplimiento de ciberseguridad puede ser un reto, pero es crucial para proteger tu negocio.
En esta guía, cubriremos las normativas de cumplimiento de ciberseguridad para empresas de varios sectores:
- Sanidad
- Venta al por menor
- Servicios financieros
- Derecho
- Gobierno
- Energía
- Seguros
- Vehicular
- Manufactura
- Cumplimiento específico de cada Estad
Sanidad
El sector sanitario está regulado por la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA), la información sanitaria protegida (PHI) y la información de identificación personal (PII).
El cumplimiento de la HIPAA exige a las empresas tomar medidas para proteger la confidencialidad, integridad y disponibilidad de la PHI. Esto incluye garantizar que sólo las personas autorizadas tengan acceso a la PHI, utilizar el cifrado para proteger la PHI en tránsito, y tener un plan de recuperación de desastres en caso de una violación de datos.
La IPI es cualquier información que pueda utilizarse para identificar a una persona. También es importante proteger estos datos. Las empresas del sector sanitario deben tomar medidas para proteger la IIP del acceso, uso, divulgación o destrucción no autorizados.
Comercio minorista
El sector minorista está regulado principalmente por la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos (GDPR).
PCI DSS requiere que las empresas tomen medidas para proteger la información de las tarjetas de crédito de los clientes contra el acceso y la divulgación no autorizados. El cumplimiento de la PCI DSS incluye la aplicación de salvaguardias físicas, administrativas y técnicas, así como la realización de evaluaciones de riesgos periódicas.
El cumplimiento del GDPR exige que las empresas tomen medidas para proteger los datos personales de los individuos en la Unión Europea. Esto incluye garantizar que los datos personales se recopilan y procesan de forma legal, transparente y justa, y que las personas tienen derecho a acceder a sus datos personales y solicitar su supresión.
Servicios financieros
Las empresas del sector de los servicios financieros están sujetas a diversas normativas de cumplimiento en materia de ciberseguridad, como la Ley Gramm-Leach-Bliley (GLBA), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), el Reglamento General de Protección de Datos (GDPR) y la Ley Sarbanes-Oxley (SOX).
La SOX se creó especialmente para proteger a los inversores de la posibilidad de prácticas contables fraudulentas por parte de empresas que cotizan en bolsa. El cumplimiento de la ciberseguridad es una parte fundamental de SOX y se aplica a cualquier empresa que ofrezca productos o servicios en el comercio interestatal, así como a cualquier empresa con valores cotizados en bolsas nacionales.
Derecho
Los bufetes de abogados son un objetivo de los ciberataques porque manejan mucha información sensible. Están sujetos a todo tipo de cumplimiento en materia de ciberseguridad en función del sector en el que se especialice el bufete. La normativa también varía de un estado a otro.
Algunas de las normas de ciberseguridad más comunes que deben cumplir los bufetes de abogados son la Ley Gramm-Leach-Bliley (GLBA), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y la Ley Sarbanes-Oxley (SOX).
Gobierno
Las agencias federales deben cumplir con la Ley Federal de Gestión de la Seguridad de la Información (FISMA) y el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). En Europa, las agencias federales también deben cumplir la ley de ciberseguridad de la UE y el GDPR.
FISMA requiere que las agencias desarrollen, documenten e implementen un programa para toda la agencia para proporcionar seguridad de la información para la información y los sistemas de información que respaldan las operaciones y los activos de la agencia.
El NIST es una agencia no reguladora y proporciona el marco de ciberseguridad del NIST, una guía voluntaria que ayuda a las organizaciones a gestionar y reducir mejor los riesgos de ciberseguridad. Las organizaciones pueden utilizar el marco para evaluar sus riesgos de ciberseguridad, identificar controles de ciberseguridad para mitigar esos riesgos y seguir sus progresos a lo largo del tiempo.
La Ley de Ciberseguridad de la UE se creó para mejorar la ciberseguridad de las redes y los sistemas de información en la Unión Europea. La ley obliga a los Estados miembros a designar una autoridad nacional de ciberseguridad, crear un sistema de certificación de ciberseguridad y establecer una Agencia Europea de Ciberseguridad.
Energía
Las empresas del sector de la energía y los servicios públicos están sujetas a la normativa de ciberseguridad de la Comisión Federal Reguladora de la Energía (FERC).
La normativa de ciberseguridad de la FERC está diseñada para proteger la red eléctrica del país de las amenazas de ciberseguridad. La normativa obliga a las empresas eléctricas a desarrollar y aplicar un programa de ciberseguridad que incluya evaluaciones de riesgos, controles de seguridad y planes de respuesta a incidentes.
Seguros
Las compañías de seguros también están sujetas a una serie de normativas de cumplimiento en materia de ciberseguridad, en función del sector al que pertenezcan. Las normativas de ciberseguridad típicas para las compañías de seguros incluyen la Ley Gramm-Leach-Bliley (GLBA), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), el Reglamento General de Protección de Datos (GDPR) y la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Vehicular
A medida que los vehículos están cada vez más conectados, se están desarrollando normativas de cumplimiento de la ciberseguridad para protegerlos contra las amenazas a la ciberseguridad. La National Highway Traffic Safety Administration (NHTSA) ha publicado directrices sobre ciberseguridad para la industria del automóvil.
La guía de la NHTSA es voluntaria, pero proporciona recomendaciones sobre las mejores prácticas de ciberseguridad para la industria del automóvil y menciona formas de proteger los vehículos contra la piratería informática.
Manufatura
Las empresas de la industria manufacturera están sujetas a la norma de ciberseguridad de la Organización Internacional de Normalización (ISO). Y si los contratistas prestan servicios al Departamento de Defensa (DoD), deben cumplir los requisitos de ciberseguridad del Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS).
La norma ISO de ciberseguridad es una norma internacional voluntaria que proporciona orientación sobre riesgos y controles de ciberseguridad. Los requisitos de ciberseguridad del DFARS son obligatorios. La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) fue creada por el DoD para ayudar a evaluar el cumplimiento de la ciberseguridad. Sustituirá al DFARS para convertirse en la norma de protección de la información no clasificada controlada (CUI).
La Connectivity Standards Alliance ha publicado recientemente la norma Matter 1.0, que define una nueva forma de que los dispositivos IoT se comuniquen e interactúen entre sí. Matter utiliza una infraestructura de clave pública para autenticar los dispositivos y proporciona una transmisión de mensajes cifrada para la seguridad de los datos. Esto garantizará que los usuarios puedan conectar de forma segura sus dispositivos IoT a la nube y a otros sistemas conectados.
Cumplimiento específico de cada estado
El cumplimiento en cualquier industria también variará según las regulaciones estatales y locales, incluso a nivel internacional.
Por ejemplo, en 2018, California aprobó la Ley de Privacidad del Consumidor de California (CCPA). La CCPA es una ley estatal que regula la forma en que las empresas manejan los datos personales de los residentes de California, independientemente de dónde se encuentre la empresa. La CCPA obliga a las empresas a revelar qué datos personales recogen, por qué los recogen y con quién los comparten. Las empresas también deben proporcionar una manera para que los consumidores opten por la venta de sus datos personales.
En 2017, Nueva York aprobó el Reglamento de Ciberseguridad del NYDFS. El reglamento se aplica a cualquier empresa que esté sujeta a la jurisdicción del NYDFS y que posea, almacene o utilice información no pública. Requiere que las empresas desarrollen un programa de ciberseguridad y describe lo que las empresas deben incluir.
El reglamento de identificación electrónica, autenticación y servicios de confianza (eIDAS) es un reglamento de la Unión Europea que se creó en 2014. El reglamento establece un marco jurídico para las firmas electrónicas y otros métodos de identificación electrónica, como las identificaciones electrónicas. El reglamento eIDAS se aplica a las empresas que proporcionan firmas electrónicas u otros métodos de identificación electrónica.
Recientemente, se creó finalmente el Consejo de Ciberseguridad del Reino Unido a partir del documento Estrategia Nacional de Ciberseguridad (NCSS) 2016-2021 del Reino Unido. Las empresas británicas deben cumplir las normas de cumplimiento de ciberseguridad establecidas por el consejo. El consejo da forma e informa a las políticas nacionales y tiene como objetivo ayudar a las empresas del Reino Unido con el cumplimiento de la ciberseguridad proporcionando recursos y orientación.
Facilita el cumplimiento de la ciberseguridad con GlobalSign
Mantener tu empresa en conformidad con normativas aparentemente interminables puede ser desalentador, pero no tiene por qué serlo. En GlobalSign, podemos ayudar a tu empresa a proteger sus datos y cumplir las normativas de su sector. Pónte en contacto hoy mismo con nuestro experimentado equipo para obtener más información sobre nuestras soluciones de cumplimiento de la ciberseguridad.
