Os profissionais da segurança da informação devem aprender sobre o direito informático para entender melhor os riscos legais que enfrentam as organizações que operam no espaço digital. O direito informático fornece um marco para a forma como os dados, os dispositivos eletrônicos, a informática e os programas são usados, armazenados e protegidos. Isso está incluído desde a proteção da propriedade intelectual até a regulamentação da recuperação de dados, segurança da informação e privacidade. Os profissionais da segurança da informação necessária entendem como se aplicam o direito informático às suas práticas de segurança para garantir que estejam cumprindo com as regulamentações aplicáveis.
Los regulamentos a menudo son redactados por personas con formación jurídica. Muitas vezes, el trazo de un bolígrafo regulador puede criar una regla que é benéfica para la privacidad individual, mas não necessariamente fácil de logar desde el ponto de vista técnico o fácil de mantener desde el ponto de vista administrativo. Por exemplo, um exame superficial de algumas normas de privacidade em todo o mundo revela alguns sentimentos de muitas pessoas. Los regulaments de China , África do Sul , el Reglamento General de Protección de Datos ( RGPD ) de la Unión Europea y a Índia compare os seguintes princípios:
- Consentimiento para recopilar informações
- Requisitos de ofuscação de dados
- Limites de retenção de dados
- Portabilidade de dados
- Derecho a saber se os dados de uma pessoa foram tratados
- Direito de retirar o consentimento
Quando se vem da perspectiva do abogado, esses temas comuns têm muito sentido. No entanto, nenhuma dessas regras pode ser realizada sem uma consulta técnica. Alguns exemplos incluem:
- Um advogado compreenderá o significado legal de “consentimento” quando se relacionar com a coleta de informações, mas como se traduz isso no método de execução? Portanto, é necessário consultar um profissional de segurança da informação. Os temas de discussão incluem o tempo para apresentar a solicitação de consentimento, bem como o acompanhamento da resposta. Isso também é certo se uma pessoa retirar o consentimento em um momento posterior.
- Um advogado entenderá que a ofuscação de dados irá mascarar dados, mas é possível que você não conheça os diferentes métodos para fazê-lo, ou as melhores implementações para qualquer conjunto de dados dados, como dados estruturados versus não estruturados. O profissional de segurança da informação poderá esclarecer os meios adequados para cumprir este requisito.
- Um advogado compreenderá a necessidade de limites na retenção de dados, mas é possível que não tenha conta do fluxo de dados, assim como onde armazenar todos os dados em uma organização. A assistência de um profissional de segurança da informação seria vital para este esforço.
- Um advogado compreenderá a necessidade de portabilidade de dados, sem embargo, um profissional de segurança da informação poderá trazer orientações sobre como cumprir com os técnicos padrão para sistemas diferentes.
Os bons programas de segurança da informação consideram e incorporam requisitos legais. A documentação interna de uma organização deve ser alinhada com as leis e regulamentos e sua ação (prática).
Partiendo de lo anterior, imagine se no conocemos la ley ni sus principios generales. Estaríamos em desventaja.
Muchos abogados son maravillosos y explican bien la ley, mas não podemos consultá-los para todo. Imagine preguntarle a um abogado sobre conceitos básicos como renovar o seguro de seu carro, como cumprir com o limite de velocidade ou a forma mais diligente de evitar um acidente em uma resbaladiza de carro. Por supuesto, não fazemos isso porque entendemos as leis de trânsito lo suficientemente bem como para manejar nosso cumprimento, e somente após um incidente grave, precisamos consultar um advogado.
As leis sobre segurança, privacidade, resposta a incidentes e descoberta eletrônica podem ser complicadas, mas assim podemos entendê-las.
De vez em quando, uma organização tem uma política ou procedimento cujo propósito é a linguagem não se sabe bem, con termos inciertos que aparentemente não tem sentido, mas alguns dizem: “Vino de los abogados”, e a discussão se deteve ali. (Por outro lado, los abogados podem estar tendo conversas semelhantes sobre algo técnico que no entienden bien).
Este é o ponto das conversas reflexivas para que os profissionais legais e de segurança da informação possam ouvir as preocupações dos demas, justificar suas posições e escrever de uma maneira que todas as partes possam entender. Para ter essas conversas, cada lado precisa saber algo sobre a área de especialização do outro. Al aprender mais sobre la ley, está haciendo precisamente eso.