¿Está pensando en expandir su negocio en el extranjero? Su cumplimiento en materia de seguridad cibernética se torna más complicado

La nueva norma de protección de datos de China, además de las leyes sancionadas por los Estados Unidos y la UE, tienen todas enormes implicancias para cualquier negocio con exposición internacional.

Las empresas estadounidenses que hacen negocios en el extranjero o manejen información en el extranjero ahora tendrán que cumplir con una gran cantidad de nuevas normas de seguridad cibernética luego de que China se convierta en el país más reciente que imponga normas sobre las firmas que lleven a cabo operaciones allí.

Esto sucedió inmediatamente después de la Clarifying Lawful Overseas Use of Data (CLOUD) Act (Ley de aclaración del uso legal de datos en el extranjero o Ley de la Nube), que entró en vigencia en los Estados Unidos en marzo de 2018 y el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea presentado dos meses después.

La implementación de estos nuevos protocolos está impulsada por el reciente aumento de los ataques cibernéticos y, en el caso de China, un mayor proteccionismo, agravado por la guerra de comercio con los Estados Unidos, dado que el mundo está más dividido que nunca antes.

En la actualidad, aun si usted tiene sede en los Estados Unidos, podría verse afectado por una ley en un país a miles de millas de distancia. Hasta el momento, 117 países cuentan actualmente con leyes vigentes en materia de seguridad cibernética, sin mencionar que cada estado de los Estados Unidos tiene sus propias normas.

Esto ha llevado únicamente a una mayor ambigüedad y conflicto entre las diferentes normas, incrementando la carga y el costo de cumplimiento de las organizaciones.

Para muchas compañías, estos mayores requisitos regulatorios las han obligado a reducir su actividad en ciertos países y, en algunos casos, se han recuperado todas juntas.

«Existe un gran llamado a la acción por parte de los gobiernos para que se los vea haciendo algo a fin de proteger a sus ciudadanos, pero no se está realizando de una manera uniforme», manifestó Shannon Groeber, líder de la práctica de E&O y cibernética de Specialty. «Es un verdadero desafío para las empresas que operan a escala mundial asegurarse de que conocen todas estas nuevas normas y cómo difieren de país a país o aún estado por estado.

«Además, para muchas empresas, parece que tan pronto se enteran de una nueva norma, se incorpora otra que tienen que cumplir», expresó.

La nueva ley de seguridad cibernética de China, sancionada en junio de 2018, les exige a las organizaciones que operan en sectores críticos como el financiero, el de telecomunicaciones y el de transporte almacenar la información personal y los datos comerciales en el país, brindar «respaldo técnico» indeterminado a las agencias de seguridad y pasar por revisiones de seguridad nacional. Asimismo, establece que los datos no deben transferirse al extranjero sin aprobación del gobierno.

Las sanciones por violaciones varían desde la suspensión de las actividades comerciales de una sociedad y del cierre de su sitio web hasta su cierre forzoso o pérdida de licencia. La multa máxima por una infracción es de RMB 1 millón (USD 150.000).

Carrie Yang, vicepresidenta auxiliar y líder de equipo del Grupo de Soluciones Cibernéticas de Aon, expresó que la nueva ley aumenta en forma significativa el costo del cumplimiento de las empresas. Asimismo, los expone a una acción regulatoria mucho mayor, manifestó.

En forma tan reciente como el mes pasado (noviembre), Yang expresó que China incorporó una nueva norma sobre la Supervisión e Inspección de la Seguridad en Internet, lo cual le otorga a la policía del país amplias facultades para inspeccionar las redes de la empresa en el lugar y en forma remota. También les exige a las firmas llevar a cabo evaluaciones de violación de la seguridad, expresó.

Un abogado de seguridad cibernética manifestó que este mayor análisis expone a las empresas a un mayor riesgo de malversación de su información, compartida con competidores o utilizada por el gobierno chino. En respuesta, muchos han anunciado planes de separar sus operaciones chinas del resto de su negocio al transferir datos a los centros de datos patrocinados por el gobierno, expresó.

«En pocas palabras esto significa que muchas empresas mundiales que llevan a cabo sus actividades comerciales en China están preocupadas acerca del hecho de que, en el texto amplio de la nueva ley y sus obligaciones en materia de cumplimiento, sus secretos comerciales, información y datos propios están actualmente cada vez más sujetos a la supervisión por las autoridades chinas, incluida la posible malversación», manifestó.

«Cualquier compañía internacional debe ser cautelosa acerca de operar en China y acerca de cómo proteger esta información esencial a la vez de cumplir simultáneamente con la ley».

Kevin Richards, líder mundial de consultoría en riesgos cibernéticos de Marsh Risk Consulting, expresó que, en el caso de una investigación penal, las firmas deben trabajar con la sanción de la ley china y brindar acceso completo a los datos y al «respaldo técnico» indeterminado ante su solicitud. Deben también almacenar los datos reunidos o desarrollados en China en los servidores locales y no debe transferirse en el extranjero sin el permiso del gobierno.

«El dominio de la información es un gran tema para muchos países — por ende, esa parte no es nueva — pero limita los tipos de prestadores de servicios o firmas de servicios de nube que están disponibles para su uso,» expresó. «Mínimamente, será necesario que las compañías revisen sus contratos con proveedores externos para garantizar que pueden alcanzar este requisito de «dominio de la información».

GPDR y la Ley de la Nube

GPDR es la mayor puesta a punto de las políticas en materia de privacidad de datos de la UE en más de 20 años, estandarizando la protección de datos en los 28 estados miembros y rigiendo el control y el procesamiento de la información personal. Se aplica a cualquier empresa que acceda a los datos desde los usuarios con sede en la UE, aún si no operan físicamente en ninguno de los estados miembros.

La sanción máxima por una violación es una multa de hasta EUR 20 m o el cuatro por ciento de la facturación anual mundial de una empresa, el que fuera mayor. Karen Schuler, líder de gobernanza de datos e información de los Estados Unidos de BDO, manifestó que GDPR sirvió como llamado para despertar a las organizaciones para que tengan sus políticas de privacidad de acuerdo con las normas mundiales. Para cumplir, expresó, algunos aún llegaron tan lejos como el establecimiento de centros de datos en la UE.

La Ley de la Nube exige a las empresas de tecnología con sede en los Estados Unidos que brinden la información almacenada en los servidores en cualquier jurisdicción si así lo solicita la aplicación de la ley federal. El año pasado, Nueva York también introdujo nuevas normas estrictas en materia de seguridad cibernética para los bancos, las aseguradoras y otras instituciones financieras.

Pero Annie O’Leary, del Grupo de Soluciones Cibernéticas de Aon, considera que la California Consumer Privacy Act (Ley de Privacidad del Consumidor de California) programada para 2020, tendrá un impacto mucho mayor sobre las compañías. Según manifestó, la nueva ley restringirá mucho más la recolección y el uso de la información personal por parte de las compañías.

«Esencialmente brinda una cantidad que un tercero puede presentar si existe un daño debido a la pérdida de su información o cualquier violación», expresó. «Para cualquier compañía que opere en el estado que maneja datos de los ciudadanos, esa es una gran inquietud.»

A fin de cumplir con estas nuevas leyes, es necesario que las compañías garanticen que sus políticas de seguridad cibernética y los sistemas de TI estén funcionando de la manera prevista, incluida la realización de las evaluaciones de riesgos. Asimismo, deben tener vigentes los planes adecuados de respuesta ante incidentes y de continuidad de negocios, así como la cobertura de seguros.

También deben mantener un diálogo frecuente con sus asesores corporativos y de liderazgo de seguridad informática interna para mantenerse actualizados y revisar sus políticas en materia de seguridad cibernética, manifestó.

«Un buen punto de partida para maximizar la utilidad de las políticas en materia de seguridad cibernética corporativa es cotejar las políticas existentes con uno de los marcos actuales de seguridad reconocidos a nivel internacional», manifestó.

«Las principales dos son las normas ISO 27.000 de la Organización Internacional de Normalización y el Marco de Seguridad Cibernética del Instituto Nacional de Normas y Tecnología de los Estados Unidos.»

Fuente: The Royal Gazette en las Islas Bermudas.

Photo by William Iven on Unsplash

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *