Fique com a segurança: informações sobre investigações da FTC


Os empresários experientes estão à procura de maneiras de minimizar o risco de uma violação de dados de suas empresas. Muitas empresas consultam as queixas e ordens da FTC, cada uma das quais inclui uma descrição detalhada da conduta que supostamente violou a Lei da FTC. Talvez tenha sido uma promessa quebrada sobre o cuidado que a empresa disse que seria necessário ao lidar com os dados confidenciais dos consumidores. Em outros casos, pode ser um padrão de falhas que, quando tomadas em conjunto, levaram ao roubo e uso indevido das informações confidenciais dos clientes.

Mas essa não é a única maneira de aprender sobre nossa abordagem à segurança dos dados. Com comunicados à imprensa da FTC, publicações de orientações comerciais, vídeos, discursos, workshops, relatórios, mais de 150 postagens de blog de negócios centradas em segurança e outras comunicações oferecem conselhos práticos sobre como a Lei FTC se aplica à segurança de dados. Uma fonte particularmente prática de informação é começar com a segurança, nosso folheto de noz e parafusos que destilam as lições aprendidas de casos da FTC até 10 fundamentos gerenciáveis ​​aplicáveis ​​a empresas de qualquer tamanho.

As empresas nos pediram para manter a orientação chegando, e é por isso que estamos anunciando uma nova iniciativa, Fique com a segurança. Nos próximos meses, publicaremos uma postagem de blog de negócios toda sexta -feira, focada em cada um dos 10 iniciantes com os princípios de segurança. Desta vez, usaremos uma série de hipóteses para aprofundar o mergulho mais profundo que as empresas podem tomar para proteger dados confidenciais em sua posse. Ofereceremos dicas fáceis de aplicar para ajudar sua empresa a não apenas começar com a segurança, mas manter a segurança para reforçar suas defesas.

Onde estamos recebendo nosso Fique com a segurança exemplos? Primeiro, das mais de 60 reclamações e ordens da FTC, incluindo novos assentamentos e casos litigados anunciados desde que o início da segurança foi publicado.

Outra fonte importante de nosso Fique com a segurança Exemplos são as experiências de empresas de todo o país. Ouvimos os desafios do dia-a-dia que você enfrenta na proteção de informações confidenciais e aprendemos com as abordagens práticas que você adota para enfrentar os desafios de segurança de dados.

Além disso, há lições para aprender com as investigações que os funcionários fecharam sem nenhuma ação adicional. Embora não divulgamos as identidades dos alvos desses assuntos, a menos que tenha havido uma carta de encerramento público, achamos que há mais que podemos fazer para explicar para outras empresas os princípios gerais que informaram nosso pensamento quando decidimos fechar essas investigações .

Uma pergunta preliminar que geralmente obtemos das empresas é se há temas recorrentes que passam pelas investigações que estão finalmente fechadas sem a aplicação da lei. Uma coisa que notamos é que as práticas dessas empresas geralmente alinhavam-se com os fundamentos de segurança de senso comum no início da segurança. Por exemplo, as empresas normalmente tinham procedimentos eficazes para treinar sua equipe, manter informações confidenciais seguras, abordar vulnerabilidades e responder rapidamente a novas ameaças.

Aqui estão alguns outros temas que surgem que oferecem informações sobre o motivo pelo qual as investigações sobre violações de que você pode ter ouvido falar não resultaram necessariamente na aplicação da lei da FTC:

  • Há mais (ou menos) na história do que encontra os olhos.
    Assim como você, a equipe da FTC lê as notícias. Vemos histórias sobre violações de dados e vulnerabilidades em potencial o tempo todo. Mas os relatórios da imprensa são apenas o começo de uma investigação em potencial e, às vezes, aprendemos que há mais na história do que o que foi relatado inicialmente. Por exemplo, uma reportagem pode chamar a atenção para uma violação, mas não se concentrar no fato de que os dados foram criptografados – um fator que reduz substancialmente o risco de lesão do consumidor. Ou talvez um insider suposto afirme que uma empresa não descartava com segurança dados antigos do consumidor, mas a empresa nos forneceu evidências credíveis de que sim. Portanto, em alguns casos, pode ter havido fumaça, mas uma investigação mais aprofundada não revelou incêndio.
  • Processar não seria um bom uso dos recursos.
    Gostamos de pensar na FTC como uma pequena agência federal que – em circunstâncias apropriadas – pode levar um poderoso soco da aplicação da lei. Mas estamos sempre conscientes da necessidade de ser bons administradores de dólares dos contribuintes. Às vezes, as práticas de uma empresa podem levantar preocupações iniciais, mas há outros fatores que sugerem que a aplicação da lei não seria do interesse público. Por exemplo, em alguns casos, uma pequena empresa pode ter coletado pequenas quantidades de informações não sensíveis. Em casos como esse, se ocorrer uma violação, é menos provável que gastemos recursos limitados para investigar.
  • Não somos a agência certa.
    Dada a ampla jurisdição da FTC sobre a maioria das práticas comerciais, somos o policial principal na batida quando se trata de segurança de dados. Mas não somos o único policial na batida. Como resultado, trabalhamos em estreita colaboração com outras agências com missões relacionadas – o Departamento de Justiça, o Departamento de Saúde e Serviços Humanos, Departamento de Proteção Financeira do Consumidor, Comissão Federal de Comunicações e Administração Nacional de Segurança no Trânsito de Rodovias, para citar apenas alguns. Às vezes, um suposto incidente ou prática é um ajuste mais natural para outro executor da lei. Se for esse o caso, podemos referir assuntos a outras agências e oferecer qualquer assistência que a lei nos permita dar. Essa é apenas uma das maneiras pelas quais trabalhamos para evitar duplicação, otimizar investigações e garantir uma abordagem consistente à segurança dos dados.
  • O risco para os dados é teórico.
    Nos últimos anos, vimos um aumento nos pesquisadores focados em questões de privacidade e segurança. Esse é um desenvolvimento que recebemos. Observamos os estudos mais recentes – ambas as pesquisas apresentadas na PrivacyCon e em outros lugares – para nos educar sobre tecnologias emergentes e identificar práticas para investigação. Mas nem toda pesquisa leva à aplicação da lei. Às vezes, quando os pesquisadores trazem práticas criando vulnerabilidades à nossa atenção, o risco de a vulnerabilidade ser explorada para causar lesões no consumidor é mais teórica do que provável. Por exemplo, pode haver uma vulnerabilidade em um dispositivo móvel que levaria ferramentas altamente sofisticadas para explorar e, mesmo assim, os dados só poderiam ser comprometidos se o hacker tivesse o telefone do consumidor em mãos. Se for esse o caso, é mais provável que passemos uma investigação do que prosseguir.

Em seguida, na série Stick With Security: Etapas iniciais para começar com segurança

Source link

Photo of Rui Manuel Oliveira

Rui Manuel Oliveira

Artigos Relacionados

Nós nos mudamos para a cidade e não podemos suportar o barulho: qual é a melhor maneira de à prova de som nossa casa?

55 minutos atrás

Rachel Reeves deverá revisar o mono-colisão da pensão | Indústria de aposentadoria

1 hora atrás

O SJP Investment Boss adverte o perfil de risco dos EUA ‘mudou fundamentalmente’

1 hora atrás

Ameaças, atrasos e confusão: 10 pontos -chave para entender outra semana de tumulto tarifário Trump | Tarifas de Trump

1 hora atrás
Botão Voltar ao Topo