Los proveedores de tecnología y software pueden requerido para notificar a los clientes del gobierno de EE. UU. en caso de una violación de datos o cualquier otro compromiso de seguridad, propone una orden ejecutiva del presidente Joe Biden.
Según Reuters, que escuchó a un portavoz del Consejo de Seguridad Nacional de Estados Unidos (CSN), el proyecto aún se encuentra en la fase de desarrollo y se presentará a las autoridades a finales de esta semana.
Si se aprueba, obligará a las empresas afectadas a trabajar directamente con el FBI y la Agencia de Infraestructura y Ciberseguridad (CISA) para resolver el caso..
Además, las organizaciones gubernamentales deben crear autenticación multifactor por defecto en sus sistemas, así como cifrado de datos.
El gobierno cree que la regla podría anular los acuerdos de no divulgación en casos de incidentes de seguridad de la información, evitando que los empleados tengan acceso a más datos durante la investigación, además de otros daños causados por la no divulgación de filtraciones.
Respuesta a incidentes de SolarWinds
El proyecto se desarrolló en respuesta al ataque a la cadena de suministro de SolarWinds, que se conoció como “Uno de los ataques más sofisticados de la década”.
Según una fuente de Reuters, “el gobierno federal debe poder investigar y remediar las amenazas a los servicios que brinda al pueblo estadounidense lo más rápido posible “.
Estados Unidos no tiene una ley única para todo el país con respecto a la seguridad y la fuga de datos., por lo que la criptografía y la autenticación multifactor aún no es un estándar entre las empresas gubernamentales. Algunos estados, como California, por ejemplo, requieren que cualquier empresa notifique a sus clientes sobre filtraciones de datos, pero esta no es una regla a nivel nacional.
Según Reuters, el congreso de Estados Unidos ha intentado establecer una ley de este tipo en el pasado., pero no se ha completado van en contra del interés de la industria. Este proyecto podría ser el punto de partida de una ley de este tipo, a nivel nacional.
Como la Ley General de Protección de Datos (LGPD) en Brasil y el Reglamento General de Protección de Datos (GDPR) en Europa, el proyecto propone la creación de una agencia reguladora, representada por miembros de agencias gubernamentales y empresas de seguridad de la información, pero en este caso, solo los proveedores gubernamentales interfieren.
Fuente: Reuters.
See the original post at: https://thehack.com.br/fornecedores-de-ti-do-governo-dos-eua-podem-ser-obrigados-a-divulgar-vazamentos-de-dados/?rand=48889
