Incidentes Asociados
Stephen Cavey: La seguridad, y la privacidad, es un problema comercial, y comienza en la parte superior y fluye hacia abajo. Dave Bittner: Hola a todos. Y bienvenido a "Caveat", el podcast sobre leyes y políticas de CyberWire. Este es el episodio 43 del 26 de agosto de 2020. Soy Dave Bittner. Y me acompaña mi coanfitrión Ben Yelin del Centro de Salud y Seguridad Nacional de la Universidad de Maryland. Hola Ben. Ben Yelin: Hola, Dave. Dave Bittner: En el programa de esta semana, describo cómo California proporciona datos, muchos datos, a investigadores privados. Ben explica cómo la policía de Miami usaba software de reconocimiento facial para identificar a los manifestantes. Y más adelante en el programa, mi conversación con Stephen Cavey. Es de Ground Labs. Él es el co-fundador y principal evangelista. Y vamos a hablar sobre la CCPA y lo que sucede ahora que el período de gracia de seis meses finalizó el 1 de julio. Dave Bittner: Si bien este programa cubre temas legales y Ben es abogado, las opiniones expresadas no no constituye asesoramiento legal. Para obtener asesoramiento legal oficial sobre cualquiera de los temas que cubrimos, comuníquese con su abogado. Dave Bittner: Muy bien, Ben, comencemos con algunas historias aquí. ¿Qué tienes para nosotros esta semana? Ben Yelin: Así que mi historia proviene de la estación local de NBC en Miami. Y me conoces, Dave; Leo todos los sitios web de noticias locales del país y trato de encontrar... Dave Bittner: Eres un sabueso de noticias, sí (risas). Ben Yelin: Sí. Prueba y encuentra las mejores historias para nosotros. Se trata del arresto de una joven en Miami llamada Oriana Albornoz. Ella participó en una protesta el 30 de mayo contra la violencia policial en Miami, y se alega que arrojó una piedra a un oficial de policía. Lo interesante de esta historia desde nuestra perspectiva es que las fuerzas del orden usaron Clearview AI como su pieza clave de evidencia para obtener un arresto. Ben Yelin: En pocas palabras, captaron a alguien con una cámara de circuito cerrado tirando una piedra. No pudieron discernir quién era. Pudieron hacer coincidir la camiseta que llevaba esa persona con una imagen más nítida que encontraron de otro video de vigilancia de la misma mujer con la misma camiseta. A partir de ese video, usaron el software Clearview AI, y a través de su tecnología de extracción de varios sitios web de redes sociales, incluidos los que todos usamos (Facebook, Twitter, LinkedIn), pudieron identificar a la sospechosa criminal, y ella acaba de ser arrestada y aprehendida. . Y, ya sabes, ahora estamos hablando de 2 1/2 meses después de que ocurriera el incidente original. Ben Yelin: Así que aquí tenemos un ejemplo tangible de aplicación de la ley que utiliza esta tecnología bastante controvertida para efectuar el arresto de alguien que asistía a una protesta. Y creo que hay muchas implicaciones potencialmente preocupantes de esto. Dave Bittner: ¿Hubo alguna orden de arresto involucrada aquí? ¿Tienen que presentar su caso ante un juez, o simplemente salieron y lo hicieron? Ben Yelin: No tenían que presentar su caso ante un juez porque lo que hace Clearview AI es recopilar información disponible públicamente. Así que no hay necesidad de obtener una citación. Ya sabes, no hay necesidad de pedirle a Facebook y Twitter que entreguen datos. Todo está disponible públicamente. Es solo Clearview AI que está extrayendo esos datos. Ahora, a diferencia de muchos otros departamentos de policía en todo el país, el Departamento de Policía de Miami en realidad tiene políticas bastante estrictas en lo que respecta al uso de Clearview AI y tecnología similar. Entonces, por un lado, no se le permite usarlo para obtener información de arresto basada únicamente en las actividades de la Primera Enmienda de una persona. Esa es un área un poco gris aquí que me molesta un poco. Dave Bittner: Está bien. Ben Yelin: Entonces, obviamente, ella terminó cometiendo un crimen. Le tiró una piedra a un oficial de policía. Eso es asalto. Dave Bittner: Correcto. Eso es lo que están alegando. Ben Yelin: Eso es lo que alegan. Exactamente. Dave Bittner: Correcto, correcto. Ben Yelin: Siempre debo decir: siempre use la palabra alegado allí. Pero esto ocurrió en lo que fue, ya sabes, una protesta política. Dave Bittner: Correcto. Ben Yelin: Entonces, si te encuentras en una situación en la que tienes cámaras de vigilancia en todas partes... Dave Bittner: ¿Cuál es la situación? Ben Yelin: Cuál es la situación. Dave Bittner: Quiero decir, ese es el mundo en el que vivimos, ¿verdad? (Risa). Ben Yelin: Correcto. Como hemos hablado un millón de veces, obtendrás imágenes de personas que están en estas protestas y potencialmente los atraparás cometiendo delitos. Supongo que mi pensamiento es que realmente no los absuelve de ningún comportamiento cuestionable decir, no usamos esto en actividades pacíficas, porque por supuesto no lo estás usando en actividades pacíficas; no está tratando de efectuar arrestos. La preocupación es que tiene esta tecnología de vigilancia disponible en protestas políticas a gran escala. Ese es un nivel de preocupación aquí. Ben Yelin: Sí, también tienen la política de mantener un registro que documente las búsquedas de reconocimiento facial. Hacen auditorías mensuales. Así que es un conjunto bastante completo de políticas. Pero a pesar de esas políticas, la denuncia penal no señaló que Clearview AI se había utilizado para efectuar este arresto. Simplemente decía que usaron, cito, "medios de investigación", lo cual, por supuesto, hicieron. (RISAS) Ben Yelin: No sé qué más usarían. Y fue solo hasta que esta emprendedora estación local de noticias hizo un poco de su propio trabajo de investigación que se dieron cuenta de que el Departamento de Policía de Miami estaba usando esta tecnología. Entonces, ya sabes, esta es otra forma en que las personas deben entender que su imagen no está protegida. No tienes una sensación de privacidad, incluso si estás en un área donde crees que nadie está mirando o piensas que no puedes ser identificado porque, ya sabes, tal vez ves una cámara de seguridad que parece estar a una milla. lejos y no piensas, ya sabes, van a poder mejorar la imagen y encontrarte. Dave Bittner: Correcto. Ben Yelin: Cuando tiene este tipo de tecnología de raspado, incluso si ha tratado de permanecer relativamente fuera de la red, hay suficiente información pública sobre usted en línea que su aplicación de la ley podrá efectuar. arrestos Así que creo que esta es una advertencia para los usuarios que usan estos sitios de redes sociales y también para las personas que asisten a estas protestas. Dave Bittner: Sí. Quiero decir, me parece que el cambio de juego aquí es la eficiencia que esto brinda a la aplicación de la ley, donde podría imaginar en el pasado, si tuvieran una foto, una imagen, algo que capturaron de uno de estos dispositivos de seguridad. cámaras, ya sabes, podrían sondear el vecindario. Podrían ir de puerta en puerta. Podrían pararse en la esquina de una calle y decir, ya sabes, perdóname, buen ciudadano; ¿Reconoces a esta persona cuya imagen está aquí en este video que capturamos? Ben Yelin: Así es como funciona en los episodios de "Law & Order"... Dave Bittner: Correcto (risas). Ben Yelin: ... Y en el trabajo policial tradicional, absolutamente. Dave Bittner: Correcto. Pero eso lleva mucho tiempo. Y entonces tienes este límite natural en su capacidad para hacer eso. Y, ya sabes, hablamos de: lo que pasa con la tecnología es que cambias la escala de las cosas; las cosas suceden a escala. Así que es interesante, supongo, un cambio de juego que la policía pueda cargar imágenes en algunas de estas plataformas de reconocimiento facial y limitar quién está en una multitud de manifestantes de una manera que no hubiera sido práctica anteriormente. Ben Yelin: Absolutamente. Quiero decir, creo que esto va a un tema de muchas de las historias de las que hemos hablado, ya sabes, específicamente en lo que se refiere a cosas como los datos de ubicación. Solía requerir un trabajo policial integral para rastrear a una persona, ¿sabes? El turno de un tipo terminaría. Empezaría el turno de otro tipo. Sabes, tendrías que estar siguiendo físicamente a alguien las 24 horas del día, los 7 días de la semana. Ahora ese no es el caso porque tenemos GPS. Tenemos rastreo de ubicación de teléfonos celulares, cosas de esa naturaleza. Creo que aquí está en juego una dinámica similar, donde el trabajo policial requería muchos recursos, requería mucho tiempo; requería mucho dinero, ahora es muy fácil. Ben Yelin: Y creo que, a la larga, eso eliminará los derechos de privacidad porque será más fácil para las fuerzas del orden descubrir personas a través de este tipo de tecnología. Y creo que es por eso que corresponde a los gobiernos estatales en particular desarrollar políticas que rijan el uso de esta tecnología. No hay ninguna guía, por ejemplo, del estado de Florida sobre cómo usar Clearview AI: cuándo está permitido, qué tipo de procedimientos de minimización existen para los datos. Entonces, ya sabes, es prácticamente cada departamento de policía local por sí mismo. Y, ya sabes, todos sabemos que el gobierno federal se va a mover como la melaza en esto. Ben Yelin: Entonces, creo que corresponde a los gobiernos estatales ser proactivos, salir al frente de este problema y tratar de averiguarlo: establezcamos una política aquí donde equilibremos el valor de, sí, queremos arrestar a las personas que arrojan piedras a los policías... Dave Bittner: (Risas) Correcto. Ben Yelin: ... Pero tampoco queremos que esta sea una herramienta tan omnipresente que termine siendo una invasión masiva de la privacidad. Dave Bittner: Sí. Está bien. Sí, ese es un ejemplo interesante de eso en este caso, seguro. Está bien. Bueno, mi historia de esta semana proviene de la gente de Vice Motherboard, una vez más Joseph Cox. Ben Yelin: Sí, bienvenido al podcast de Joseph Cox, Dave. Dave Bittner: (Risas) Realmente necesitamos enviarle a Joseph una canasta de frutas o algo así. Ben Yelin: Sí. Dave Bittner: O tal vez simplemente incluirlo en el programa. Ben Yelin: Sí. Dave Bittner: (Risas) Bueno, el artículo que escribe se titula "El DMV de California vende datos de conductores a investigadores privados". Y, básicamente, describe cómo la gente de Motherboard obtuvo un documento del DMV de California que enumera a casi todas las personas que tienen acceso a algún tipo de datos del DMV. Y son muchas organizaciones (risas). Ben Yelin: Seguro que lo es. Dave Bittner: Noventa mil – 98,000 organizaciones más o menos que tienen acceso a la información del DMV. Y también señalan que el DMV gana $50 millones al año vendiendo estos datos. Hay una línea aquí que me llamó la atención, antes de continuar, relevante para eso. Saqué una risita de esto. Dice que el DMV de California le dijo a Motherboard, cito: "El DMV no vende información, pero recupera el costo de proporcionar información según lo permite la ley". (RISAS) Ben Yelin: Eso fue extraordinario. Sí. Yo solo... Dave Bittner: No lo hago – distinción sin diferencia. Pero... Ben Yelin: Sí. Eso fue muy divertido para mí. Es como, eso es, eso se llama venta. Eso se llama vender cosas. Dave Bittner: (Risas) Correcto. Ben Yelin: Si te compensan por hacer algo, por ofrecer un producto... Dave Bittner: Correcto. Ben Yelin: ... Eso se llama venta. Sí. Dave Bittner: (Risas) Correcto, correcto. Y, también, quiero decir, el DMV de California señala que hay muchos, muchos usos legítimos para esta información, y quizás la gran mayoría se usa para cosas con las que la mayoría de la gente no tendría problemas. Por ejemplo, si usted o yo estamos contratando a un camionero en el estado de California y quisiéramos verificar su historial de manejo, eso estaría en esta lista. Eso... Ben Yelin: Claro. Dave Bittner: Y nadie tendría problemas con eso. Donde se pone un poco más difícil son algunas de estas cosas de las que usted y yo hablamos aquí, que son algunas de las cosas de privacidad. Y, en concreto, hablan de investigadores privados. Me parece interesante que este artículo hable sobre una ley de protección de la privacidad. Se llama la Ley de Protección de la Privacidad del Conductor, que se redactó en 1994 y surgió después de que un acosador contratara a un investigador privado para obtener la dirección de una actriz. Y el acosador luego asesinó a esa actriz, y eso provocó la creación de esta ley de protección de la privacidad. Pero lo interesante es que hay exenciones para las empresas, incluidos los investigadores privados. Ben Yelin: Sí, eso fue algo curioso para mí. Si ese fue el ímpetu para esa ley en la década de 1990, parece: ¿por qué se incluirían investigadores privados en la lista de exenciones si el incidente que provocó la promulgación de esta ley fue alguien contratado por un investigador privado? Así que eso fue algo que sin duda me llamó la atención sobre esto. La otra cosa que me llamó la atención es que solía tener una licencia de conducir del DMV de California, y ahora estoy un poco contento de tener una licencia de conducir de Maryland. Aunque estoy seguro de que también hacen todo tipo de cosas con mi información personal. Dave Bittner: (Risas) Correcto, correcto. Próximamente: cómo Maryland vende la información de su licencia de conducir. Ben Yelin: Sí. Exactamente. Dave Bittner: Correcto. Ben Yelin: Podríamos hacer una encuesta en 50 estados sobre esto. Dave Bittner: (Risas) Correcto, correcto. Ben Yelin: Ya sabes, algunos de los datos que incluyen son bastante personales cuando hablamos de direcciones, números de teléfono e incluso direcciones de correo electrónico. Dijeron que las direcciones residenciales solo se darán a conocer en excepciones limitadas, pero esas, en mi opinión, no están realmente enumeradas. Y la dirección de una persona es información extremadamente personal. Entonces, ya sabes, creo que ciertamente me llamó la atención que puedes comprar esos datos de lo que es una agencia gubernamental. Ben Yelin: Crecí en California. Sé lo que es tratar de desarrollar un presupuesto para ese estado, especialmente para una agencia individual. Así que soy... Dave Bittner: Sí. Ben Yelin: Sabes, empiezo comprendiendo un poco que el DMV querría recuperar lo que probablemente sean miles de millones de dólares en pérdidas cada año... Dave Bittner: Seguro. Ben Yelin: ... Al vender estos datos, y lo entiendo. Y creo que es bueno que tengan un estatuto, al menos en teoría, que protege estos datos contra el abuso. Pero cuando hablamos de datos que utilizan los investigadores privados para rastrear a alguien, si un cónyuge sospecha que su cónyuge está teniendo una aventura, puede contratar a un investigador privado. Ese investigador puede comprar datos del DMV de California y usarlos para acechar esencialmente a ese cónyuge. Dave Bittner: Sí. Ben Yelin: Y eso, obviamente, es un gran problema de privacidad. Dave Bittner: Sí. Otra cosa que señala el artículo es que hay algunos legisladores de California que se han comunicado con el DMV para buscar algunas respuestas sobre esto y profundizar un poco más. Entonces, supongo que no es sorprendente que, ya sabes, esta es un área candente en este momento: oh, privacidad de datos. Así que no me sorprende que esto atraiga algo de atención. Ben Yelin: Sí. Ya sabes, una miembro del Congreso, la congresista Anna Eshoo, que representa a Silicon Valley, por lo que siempre está a la vanguardia en muchos de estos temas: intervino, escribió una carta al DMV de California diciendo que es básicamente abominable que el DMV venda esta información para fiadores, investigadores privados, otros malos actores, diciendo que es una, cito, "traición" a la confianza pública. Ben Yelin: Sabes, en última instancia, este es un tema que se decidirá a nivel estatal. Creo que el camino de menor resistencia sería volver a la ley de protección de la privacidad del DMV de 1994 y, ya sabes, tratar de reducir las excepciones un poco más para que realmente proteja contra los investigadores privados en particular... **Dave Bittner: ** Sí. Ben Yelin: ... U otros actores potencialmente nefastos. Podría tener una excepción simplemente, ya sabe, si la necesita por razones de seguridad, como la instancia del conductor del camión de la que estaba hablando. Creo que esa sería la forma más fácil para que California enmiende esta ley. Quiero decir, no hay mucho a nivel federal que la congresista Eshoo pueda hacer sin simplemente ejercer presión pública sobre el DMV y tratar de llamar la atención sobre lo que está sucediendo. Dave Bittner: Sí. Es interesante para mí, y esta es otra razón por la que esta historia me llamó la atención, es cuánto el uso de nuestros automóviles: el uso necesario de nuestros automóviles se ha convertido en una ventana a nuestras vidas porque nuestros automóviles tienen placas y nosotros No se les permite cubrir esas placas. Sabes, solo se te permite una cierta cantidad de anonimato mientras conduces tu automóvil porque, obviamente, hay un buen caso de que los automóviles deben tener placas. Ben Yelin: Sí. Dave Bittner: Creo que la mayoría de nosotros estamos de acuerdo con eso. Eso tiene sentido en la regulación de la conducción de personas. Pero, y aquí estamos. Nos encontramos en esta situación en la que, nuevamente, la recopilación de esa información y la clasificación y organización de esa información se ha vuelto tan rutinaria que funciona a un nivel muy diferente al que tenía cuando el sistema se implementó originalmente. Ben Yelin: Sí. Quiero decir, tal vez todos deberíamos empezar a usar el transporte público. Parece que los autos son... Dave Bittner: (Risas). Ben Yelin: ... Conducir máquinas de vigilancia. Quiero decir, cuando combinas lectores de matrículas y tecnología GPS y el DMV vendiendo datos a investigadores privados, me dan ganas de subirme, ya sabes, al Muni Metro en San Francisco... *Dave Bittner: * Sí. Ben Yelin: ... En lugar de, ya sabes, subirme a mi auto y conducir. Dave Bittner: (Risas). Ben Yelin: Entonces, sí. Quiero decir, llega a un tema más amplio, que es que a menudo no tenemos la opción de participar en estas actividades. Si desea ser un miembro productivo de la sociedad, en la mayoría de los lugares de California y de todo el país, necesitará un automóvil y deberá conducir. Y, por lo tanto, realmente no hay una ruta de escape para exponerse al tipo de datos que se venden aquí. Dave Bittner: Sí. Ben Yelin: Y eso es algo que siempre me preocupa. Siempre quiero dar a los usuarios oa las personas que han obtenido la licencia de conducir algún tipo de posibilidad de optar por no participar. Y, ya sabes, una vez que obtienes la licencia de conducir, una vez que envías esa información, saber que es un juego justo para los investigadores privados, creo que ciertamente es algo que despertó mi interés. Dave Bittner: Sí. Me pregunto si alguna vez ha habido algún plan. Sé que hemos visto, tú y yo, creo, hemos hablado sobre el potencial de las matrículas digitales, ¿sabes? Ben Yelin: Correcto. Dave Bittner: Pero me pregunto si alguien ha imaginado un sistema en el que la matrícula en sí era una especie de código encriptado, ya sabes, que, ya sabes, no podía... *Ben Yelin: * Deja de darles ideas, Dave. Dave Bittner: (Risas) Bueno, mientras lo pienso en mi propia mente, pienso en todos los aspectos prácticos. Ben Yelin: Sí. Dave Bittner: Y si algo lo es, sí, sí. De todos modos, sí, un niño puede soñar, ¿verdad? Ben Yelin: Absolutamente. Dave Bittner: (Risas) Muy bien. Bueno, esa es mi historia esta semana. Dave Bittner: Nos encantaría saber de usted. Si tiene alguna pregunta para nosotros, puede llamarnos. Nuestro número es 410-618-3720. Eso es 410-618-3720. También puede enviarnos un correo electrónico. Es caveat@thecyberwire.com. Dave Bittner: Ben, recientemente tuve el placer de hablar con Stephen Cavey. Es cofundador y principal evangelista de una organización llamada Ground Labs. Y nuestra conversación se centró en la CCPA, la Ley de Privacidad del Consumidor de California y el final del período de gracia de seis meses, que finalizó el 1 de julio. Esta es mi conversación con Stephen Cavey. Stephen Cavey: Desde el punto de vista de la seguridad pura, creo que todos sabíamos sobre la CCPA, y estaba por llegar, y se lanzó a principios de año, y todos recibieron un aviso. Y es solo ahora, el 1 de julio, que ha comenzado su aplicación. Stephen Cavey: Y es algo para lo que creo que muchas empresas realmente no están preparadas porque hemos pasado por esto con GDPR en otros escenarios, y lo que es muy diferente aquí es que debido a la forma en que la ley de California funciona, hubo mucho menos tiempo para que las empresas se preparasen y estuvieran preparadas para esta nueva ley. Solo hubo seis meses o así de notificación de decir, correcto; así es como se ve ahora la ley; comience a prepararse, en comparación con si lo comparamos con GDPR porque es una comparación razonable, hubo dos años de notificación, ¿sabe? Fue en mayo de 2016 cuando se publicó por primera vez el RGPD y todos recibieron un aviso. Y la aplicación comenzó en mayo de 2018. Stephen Cavey: Y eso es muy diferente a cómo surgió la CCPA, y mucho menos antes de que comencemos a hablar sobre toda la situación de la pandemia, cómo se superpone también: es un momento muy interesante para presentar un nuevo conjunto de legislaciones sobre cómo las empresas deben administrar y tratar la información personal de las personas y existen sanciones muy severas si no se hace lo correcto. Dave Bittner: ¿Puede describir aquí algunos de los desafíos específicos que enfrentan las empresas cuando intentan alcanzar el cumplimiento? Stephen Cavey: Entonces, lo que encontramos más comúnmente debido a la industria en la que trabajamos es el hecho de que muchas organizaciones, incluso diría que la mayoría de las organizaciones, no tienen un control completo de toda la información personal. que existe dentro de su negocio. Y hemos estado haciendo esto durante los últimos 13 años, trabajando con empresas para ayudarlas a comprender dónde se esconden los datos personales en la empresa, en todos los lugares posibles en los que podría haber quedado dentro de la empresa y dentro de las cuatro paredes y hacia la nube también. Y la información personal puede existir dentro de una empresa por las razones más interesantes. Y a menudo está completamente fuera del radar del equipo de seguridad o, ya sabes, para las organizaciones que tienen el nivel adecuado de madurez, el equipo de privacidad, los tipos que son responsables de saber dónde está esa información. Y hay tantas razones diferentes, pero a menudo se trata de procesos fuera de banda que existen dentro de una organización. Y esos procesos, por el motivo que sea, requieren acceso o requieren la necesidad de recopilar información personal sobre los clientes o cualquiera que sea su negocio. Y también puede ser el resultado de procesos heredados sistémicos. Sabes, siempre lo hemos hecho así. Y es posible que las organizaciones hayan estado recopilando un gran conjunto de datos sobre sus clientes durante mucho tiempo, y esa información se ha recopilado y almacenado en todo tipo de plataformas diferentes, software y, en estos días, aplicaciones SAS y otras cosas que descansan en la nube. Stephen Cavey: Es un problema simple de entender. Cuanto más grande te vuelves, más datos terminas almacenando. Y cuanto más complejidad encuentre su camino hacia su negocio, más personas, más aplicaciones, más proveedores de nube, más procesadores, más puntos de captura potenciales a medida que interactúa con sus clientes de diferentes maneras a través de diferentes plataformas. Y como resultado, todo esto genera más almacenamiento de datos personales y, por lo tanto, hace que un programa de cumplimiento de la CCPA sea mucho más difícil de supervisar y comprender. Y así, en nuestra experiencia, esta es a menudo un área con la que las empresas realmente luchan. Stephen Cavey: Tradicionalmente, la forma en que una empresa abordaría esto es que adoptaría un enfoque más basado en el manual. Así que probablemente crearían una hoja de cálculo. Pasarían por todos los equipos, todos los departamentos, hablarían con los diferentes jefes de cada división y les harían una serie de preguntas estandarizadas sobre el manejo de datos. ¿Qué datos estás recopilando? ¿Por qué lo coleccionas? ¿Cuáles son todos los campos que está recopilando? ¿Necesita recopilarlos todos? ¿Y dónde terminan esos datos? ¿Qué aplicaciones estás usando? ¿En qué carpetas los almacena su personal? Y a través de eso, desarrolla una imagen y obtiene una comprensión general de dónde cree la empresa que se almacenan los datos. Stephen Cavey: Ahora, la realidad es que lo que la gente piensa y lo que realmente sucede son a menudo dos historias muy diferentes. Y esto ocurre cuando trabajas con un conjunto de personas muy experimentadas con experiencia en seguridad y privacidad de datos o contratas a un consultor independiente como un asesor de seguridad externo, un asesor de privacidad. Y revisan toda la evidencia que ha reunido de todas las diferentes fuentes en todo el negocio, y luego adoptarán de manera efectiva un enfoque sin suposiciones en el que realmente realizarán lo que llamamos un proceso de descubrimiento de datos en todo el todo el negocio Stephen Cavey: No es descubrimiento de datos en el sentido legal. Es el descubrimiento de datos en un sentido de seguridad, donde el objetivo del proceso es descubrir todos los datos personales y confidenciales que se esconden en todos los rincones de la empresa y en todos los depósitos de almacenamiento posibles que existen. Y muy a menudo, los resultados que surgen de ese proceso de descubrimiento de datos confidenciales son significativamente diferentes de lo que la empresa había informado. Y a menudo revelará muchas más áreas de almacenamiento donde se esconden datos personales, y a menudo revelará procesos fuera de banda, aplicaciones desconocidas, quizás incluso aplicaciones retiradas y una gran cantidad de datos heredados del pasado donde los datos que solían estar recopilados en el negocio por diferentes razones, diferentes procesos, diferentes aplicaciones, todavía están ahí porque miramos el pasado dentro de una organización típica, y la mentalidad normal era, simplemente almacenemos todo. Dave Bittner: Correcto. Stephen Cavey: Ya sabes, ese es el lugar más fácil para comenzar. Almacenaremos todo y luego veremos si lo necesitamos más tarde porque nunca se sabe lo que vamos a hacer más tarde. Y desafortunadamente, nadie ha retrocedido retrospectivamente y miró esas decisiones y realizó el trabajo de limpieza, particularmente en este nuevo mundo de regulación en el que vivimos. Dave Bittner: Sabes, me parece que como el almacenamiento se volvió barato, casi hasta el punto de ser, ya sabes, sin sentido (básicamente, podrías tener almacenamiento ilimitado), lo que condujo a este tipo de mentalidad de paquete de ratas que creo que estás describiendo aquí, donde la gente diría, bueno, esto los datos podrían tener valor algún día, por lo que también podríamos aferrarnos a ellos. Escuché que algunas personas describen una especie de cambio de actitud al considerar que los datos almacenados son casi radiactivos, en el sentido de que si reúnes demasiados en un solo lugar, pueden suceder cosas malas. Stephen Cavey: Eso es absolutamente cierto. Es divertido que este contraste o incluso conflicto, debería decir, puntos de vista dependiendo de en qué lado de la cerca se esté sentado; desde un punto de vista, es el plutonio con el que debe tener mucho cuidado. Desde otro punto de vista, es el aceite nuevo. Y es mucho más: es el activo más valioso que tiene una empresa en estos días. Y solo para aumentar la complejidad de lo que acaba de decir, Dave, IDC tuvo un gran comienzo hace unos años. Y pronosticaron que se esperaba que el volumen de datos creciera por un factor de 10. Y en términos reales, eso es, ya sabes, al norte de 160 zettabytes. Ya sabes, eso es más de 160 millones de petabytes. Y la mayoría de esos datos serán generados por negocios empresariales. Y es solo una prueba más de que, sí, el almacenamiento es barato. Y por lo tanto, estamos usando mucho más. Stephen Cavey: Pero desafortunadamente, cuando se trata del lado regulatorio y de cumplimiento de la ecuación, estamos creando muchos más problemas para nosotros como resultado. Y si no nos ponemos a prueba en lo que estamos haciendo con esos datos y dónde terminan y qué controles estamos poniendo alrededor de esos datos, nos dirigimos a un momento muy peligroso por delante si las empresas no lo hacen. empezar a abordar eso ahora. Y supongo que es por eso que puede entender por qué están surgiendo legislaciones como la CCPA, porque su consumidor promedio ahora, mi opinión es que están sufriendo fatiga por violación de datos. Las violaciones de datos se han informado en las noticias con tanta frecuencia de tantas compañías diferentes de todos los tamaños que ahora estamos insensibles. Y desafortunadamente, va a seguir pasando. Ya sabes, las violaciones de datos son algo normal ahora. Y hay tantas formas diferentes de entrar en una red y robar datos. Stephen Cavey: Entonces, en lugar de pensar que podemos evitar que los malos entren por la puerta principal, la puerta lateral o la puerta trasera, ¿por qué no nos enfocamos en por qué entran? ¿Y qué buscan? Bueno, normalmente están buscando datos. Entonces, si podemos encontrar una manera de quitarles lo que están buscando para que puedan ingresar al mercado negro y monetizar, entonces eso nos coloca en una posición mucho mejor para reducir el riesgo pero también reducir el daño potencial. eso proviene de la idea de que si alguien encontró una manera de ingresar a su red, bueno, si no queda mucho para robar, entonces el efecto de flujo tendrá un impacto mucho menor dentro de su negocio. Dave Bittner: ¿Cuáles son sus recomendaciones para esa organización? Pienso en particular en las pequeñas y medianas empresas que se enfrentan a esta cantidad cada vez mayor de elementos normativos que deben cumplir. Ya sabes, ¿cuál es una forma práctica y racional para que ellos comiencen, para tener una idea de lo que tienen y cuál es una buena manera de controlarlo? Stephen Cavey: Si solo observa la CCPA, su aplicabilidad es para empresas con ingresos de 25 millones o más. Entonces, ya sabes, lo traduces al tamaño de una empresa, probablemente sea de 100 a 150 empleados o más, según la industria, el tamaño y el lugar donde operen. Y entonces, esos tipos de empresas estarán en la etapa en la que tendrán personas en el negocio que tendrán conocimientos de seguridad. El mayor problema que hemos visto en el pasado cuando observamos empresas de ese tamaño y más pequeñas es que cuando surge algo como la CCPA, generalmente lo ven como un problema de TI. Ya sabes, la seguridad es un problema de TI. Esa es una de las declaraciones clásicas. Y no lo es Ya sabe, cuando analizó los diferentes problemas y la razón por la cual ocurren las violaciones de datos, la seguridad es, y la seguridad y la privacidad, es un problema comercial. Y comienza en la parte superior y fluye hacia abajo. Stephen Cavey: Sabes, ahora hay tantas conversaciones sobre las personas a nivel de la junta que necesitan ser mucho más conscientes de la seguridad y la privacidad de los datos hasta el punto en que el CISO ahora en muchas organizaciones ahora tiene una línea de informes. a la junta para decirle y asesorar a la junta sobre cuál es la postura de seguridad de la empresa. Y ahora está viendo representación a nivel de directorio donde la experiencia en seguridad es una necesidad solo para asegurarse de que ese punto de vista, esa voz esté sentada en la mesa cuando se trata de pensar en el riesgo y otros desafíos que la empresa probablemente enfrentará en el futuro. Pero cuando lo volvamos a traer a su negocio de tamaño cotidiano con el que debe lidiar, ya sea CPA, ya sea GDPR y, francamente, cualquier dato personal, a medida que miramos hacia el futuro, es probable que cualquier dato personal tenga regulación. él. Y vas a tener que ser consciente de eso. Y no puedes ignorar eso. Si está recopilando cualquier forma de datos de clientes, tendrá que asegurarse de que se implementen los procesos correctos. Y creo que Microsoft es un maravilloso ejemplo de hacia dónde se dirige el mundo, que terminará teniendo que tratar de la misma manera todos los datos personales que recopile. No debería necesitar diferenciar entre los clientes de California y los clientes de otros estados. Y, por lo tanto, si trata todos sus datos personales con el más alto nivel de seguridad, eso lo colocará en una posición mucho mejor para comenzar con la forma en que aborda este problema y cómo minimiza el riesgo de sufrir una violación de datos y proporciona solo una mejor postura de seguridad general dentro del negocio. Stephen Cavey: Entonces, ya sabes, creo que comienza con la responsabilidad. Ya sabe, debe designar a alguien dentro de la empresa para que lidere la iniciativa de cumplir con la CCPA y todas las demás regulaciones futuras. Y sería bueno si ese fuera un rol dedicado, pero eso no siempre es práctico o posible. Entonces puede comenzar siendo un rol virtual. Ya sabes, asigna esa responsabilidad a alguien y dale la iniciativa de llevarla al negocio y hacer que el negocio sea mucho más consciente de cuáles son las obligaciones en torno a los datos personales, ¿sabes? Stephen Cavey: Y a tu punto, Dave, debería verse como tóxico. Debe verse como algo muy, muy frágil. Y necesita ser tratado con el nivel correcto de respeto. No es algo que ahora pueda simplemente poner en una hoja de cálculo de Excel o en un documento de Word y simplemente enviarlo por correo electrónico libremente a sus colegas oa terceros. Hacer eso tiene consecuencias en el entorno regulatorio actual si no ha puesto las protecciones adecuadas en torno a ese tipo de datos. Entonces, tener a alguien que se haga cargo de la iniciativa, para alinear el negocio y hacer que todas las partes interesadas en el negocio sean más conscientes de las obligaciones, pero creo que volver a los conceptos simples, realmente comienza con los datos. Sabes, el mayor problema que estamos viendo es que las empresas no están al tanto de todos los datos que han recopilado. Stephen Cavey: Por lo tanto, si usted hace que ese sea un objetivo para empezar, si vamos a cumplir con la CCPA o con cualquier otro estándar de seguridad, la regulación de privacidad que se presente en el futuro, tenemos que detenernos. al comprender cuáles son los datos que existen dentro del negocio. Una vez que comprendamos esa posición completa, no me refiero solo a las áreas en las que sabemos que habrá problemas; estamos hablando de cualquier área del negocio que almacene datos. Eso incluirá sus correos electrónicos. Eso incluirá a todos sus proveedores de nube. Eso incluirá todas sus computadoras de escritorio y portátiles y cualquier servidor que todavía esté en las instalaciones dentro de su red y cualquier otra cosa que almacene datos. Cada byte de datos debe revisarse para garantizar que los datos confidenciales o los datos personales no se almacenen o no existan en lugares que usted desconoce. Stephen Cavey: Una vez que comprenda eso, bueno, ahora puede comenzar a crear un programa de trabajo sobre cómo garantizar que los datos permanezcan seguros y que pueda cumplir con la CCPA y otras regulaciones y que el negocio está manejando. esos datos de manera adecuada. Dave Bittner: Muy bien, Ben. Conversacion interesante. ¿Que haces de eso? Ben Yelin: Sí. Así que creo que el aspecto interesante para mí es la comparación con GDPR, en el que las empresas tuvieron un tiempo de transición más largo desde que se promulgó la regulación hasta que realmente tuvieron que cumplir. Seis meses es, en cualquier circunstancia normal, muy poco tiempo. Luego agrega una pandemia global, y se vuelve aún más corto. Entonces, ya sabes, es difícil para las empresas cumplir tan rápido. Ben Yelin: Y una cosa que también me resultó interesante es que las empresas no están tratando de tomar atajos; es solo que dependen de sistemas de procesos heredados, y esos son muy difíciles de cambiar. Sabes, se necesitaría mucha mano de obra para reemplazar esos sistemas heredados, y eso no es algo que muchas empresas, ya sabes, si tienes 26 empleados, en virtud de la Ley de Protección de la Privacidad del Consumidor de California, estás cubierto por esta ley, y se necesitaría mucha mano de obra para abandonar esos sistemas heredados si esos sistemas recopilan datos de usuario sin darse cuenta. Así que pensé que esta era una perspectiva muy interesante sobre el impacto de CCPA en algunas de estas empresas. Dave Bittner: Sí. Quiero decir, una de las cosas que creo que va a ser interesante es ver exactamente qué tipo de cumplimiento vemos aquí. ¿Con qué agresividad irá California tras las cosas? ¿Se relajarán un poco debido a la pandemia o, ya sabes, enviarán cartas redactadas con severidad (risas) primero? Ya sabes, ¿recibes una advertencia primero? Ben Yelin: Estimado señor o señora. Dave Bittner: (Risas) Correcto. Ben Yelin: Estoy muy enojado por qué, sí. Dave Bittner: Correcto. Así que creo que será interesante ver cómo se desarrolla eso. De la misma manera que muchas personas contuvieron la respiración y esperaron y vieron con GDPR, creo que es natural que muchas organizaciones hagan lo mismo con CCPA. Y apuesto a muchos de ellos, como si pasaran silbando por el cementerio, con la esperanza de que la gente de la calle llamara la atención de los reguladores antes que ellos. Ben Yelin: Absolutamente. Sabes, creo que California está lidiando con intereses en competencia aquí. Por un lado, no desea cargar injustamente a estas empresas. Muchos de ellos tienen su sede en su estado. Pero por otro lado, quiero decir, quieren demostrarles a los consumidores de California que se están tomando esta ley en serio como reguladores. Así que realmente tienen que lograr ese equilibrio. Dave Bittner: Muy bien. Bueno, nuevamente, nuestro agradecimiento a Stephen Cavey de Ground Labs por unirse a nosotros. Ese es nuestro programa, y nos gustaría agradecerles a todos ustedes por escuchar. Dave Bittner: El podcast "Caveat" se produce con orgullo en Maryland en los estudios de inicio de DataTribe, donde están construyendo conjuntamente la próxima generación de equipos y tecnologías de seguridad cibernética. Nuestros productores coordinadores son Kelsea Bond y Jennifer Eiben. Nuestro editor ejecutivo es Peter Kilpe. Soy Dave Bittner. Ben Yelin: Y yo soy Ben Yelin. Dave Bittner: Gracias por escuchar.