Podcast diario de CyberWire: Alastair Parr sobre el RGPD y los riesgos de terceros

Patrocinador (CrashPlan): Estás escuchando la red Cyberwire, impulsada por N2K. Y ahora, unas palabras de nuestro patrocinador CrashPlan. El método más eficaz y probado para garantizar tu protección es contar siempre con un plan de respaldo. CrashPlan se toma muy en serio la conservación de datos. Proporciona resiliencia de datos mediante la copia de seguridad automática de los archivos de los terminales en la nube cada 15 minutos con cifrado AES de 256 bits en tránsito y en reposo. CrashPlan le ayuda a abordar retos relacionados con los datos, como violaciones de ransomware, migraciones y retenciones legales. La solución indiscutible para la inevitable copia de seguridad: mejore con CrashPlan. Pruébelo gratis en crashplan.com.

Dave Bittner: El Gobierno federal de EE. UU. publica unas directrices de seguridad voluntarias. Posible escalada de privilegios con Google Cloud y compromisos APT. Jump Cloud Thin 8 rediseña su sarcástica puerta trasera y continúa su transición hacia el ransomware. Ben Yellin analiza la legislación sobre privacidad que se está gestando en Massachusetts. Nuestro invitado es Alastair Parr, un destacado experto en el RGPD y los riesgos de terceros. Y algunos delitos cibernéticos rusos dignos de mención. No parecen estar al servicio de ningún amo político. Solo quieren que les paguen, ja. Soy Dave Bittner con su informe de inteligencia cibernética para el martes 18 de julio de 2023.

El Gobierno federal de los Estados Unidos ha publicado una serie de normas y directrices que afectan a las prácticas de ciberseguridad. La NSA y la CISA han publicado directrices para el segmentado de redes 5G, que consiste en la preparación de un conjunto de redes lógicas que se superponen a una infraestructura común. Según sus propias palabras, la guía tiene por objeto ayudar a fomentar la comunicación entre los operadores de redes móviles, los fabricantes de hardware, los desarrolladores de software, los operadores de redes no móviles, los integradores de sistemas y los clientes de segmentación de redes, con la esperanza de que ello facilite una mayor resiliencia y seguridad dentro de la segmentación de redes. La CISA también ha publicado una hoja informativa en la que se describen herramientas gratuitas para entornos en la nube, con el fin de ayudar a las empresas que están pasando a un entorno en la nube a identificar las herramientas y técnicas adecuadas necesarias para la protección de los activos críticos y la seguridad de los datos. Y esta misma mañana, la Casa Blanca ha anunciado un programa de etiquetado de ciberseguridad para dispositivos inteligentes. Se prevé que, en el marco del nuevo programa propuesto, los consumidores vean una nueva marca de confianza cibernética estadounidense en forma de un distintivo logotipo en forma de escudo aplicado a los productos que cumplan los criterios de ciberseguridad establecidos. El objetivo del programa es proporcionar herramientas para que los consumidores tomen decisiones informadas sobre la seguridad relativa de los productos que deciden llevar a sus hogares. Entre los fabricantes y minoristas que se han comprometido con el programa voluntario se encuentran Amazon, Best Buy, Google, LG Electronics, Logitech y Samsung.

Orca Security informa de una vulnerabilidad de escalada de privilegios en Google Cloud que podría abrir la puerta a ataques a la cadena de suministro al permitir que un atacante infecte a usuarios y clientes. Orca ha escrito esta mañana que, como hemos visto con estos vientos solares y los recientes ataques a la cadena de suministro de 3CX y Move It, esto puede tener consecuencias de gran alcance. El informe de Orca explica que, al abusar de este fallo que permite suplantar la cuenta predeterminada del servicio Cloud Build, un atacante puede manipular imágenes en el registro de artefactos de Google e inyectar código malicioso. Cualquier aplicación creada a partir de las imágenes manipuladas se ve afectada, con posibles consecuencias como ataques de denegación de servicio, robo de datos y propagación de malware. Orca Security ha alertado a Google y Google ha cerrado la vulnerabilidad. Sin embargo, Orca sugiere que las organizaciones afectadas presten mucha atención a los detalles de sus instancias. Orca afirma que el permiso revocado no estaba relacionado con el registro de artefactos, lo que convierte el riesgo de la cadena de suministro en uno persistente. En vista de ello, es importante que las organizaciones presten mucha atención al comportamiento de la cuenta predeterminada del servicio de compilación de Google Cloud para detectar cualquier posible comportamiento malicioso. Aplicar el principio del mínimo privilegio e implementar capacidades de detección y respuesta en la nube para identificar anomalías son algunas de las recomendaciones para reducir el riesgo.

Jumpcloud anunció que sus sistemas fueron vulnerados en un sofisticado ataque llevado a cabo por un agente malicioso patrocinado por un Estado el 27 de junio. Descubrieron un acceso no autorizado a un área específica de su infraestructura y determinaron que parte de ese acceso había comenzado ya el 22 de junio. Inicialmente no vieron ninguna evidencia de que esto hubiera afectado a los clientes, pero tomaron varias precauciones, entre ellas la rotación de credenciales y la reconstrucción de la infraestructura, en un esfuerzo por reforzar su red y su perímetro. La empresa está convencida de que el ataque fue patrocinado por un Estado-nación, pero Jumpcloud no está segura de qué Estado estuvo detrás del ataque. En una investigación forense más profunda, Jump Cloud descubrió más actividades no autorizadas en forma de actividad inusual en el marco de comandos para un pequeño grupo de clientes. En respuesta, Jumpcloud realizó una rotación forzada de todas las claves API de administrador el 5 de julio, el mismo día en que se descubrió la actividad inusual. Como explica Ars Technica, Jump Cloud alberga una base de usuarios de más de doscientas mil organizaciones con cinco mil clientes de pago, entre los que se incluyen cars.com, GoFundMe y Foursquare. Jumpcloud también puso en marcha su plan de respuesta a incidentes, que incluía la participación de su socio de respuesta a incidentes, y notificó a las autoridades policiales.

El equipo Symantec Thread Hunter ha publicado un informe en el que se detalla una nueva variante de la puerta trasera Sardonic asociada al grupo ciberdelincuente Sisfinx, también conocido como Finn 8. Esta nueva variante de Sardonic está diseñada para distribuir el ransomware Nobaris. La herramienta sysfix se descubrió en 2022, cuando se descubrió que distribuía el ransomware White Rabbit. Semantic explicó que el cambio de Finn 8 hacia el ransomware se observó en 2021, después de que la banda infectara varios sistemas comprometidos del sector financiero con el ransomware Ragnar. Symantec escribe que el cambio de los grupos sysfix hacia el ransomware sugiere que los autores de las amenazas pueden estar diversificando su enfoque en un esfuerzo por maximizar los beneficios de las organizaciones comprometidas. Symantec explica que la banda de ciberdelincuentes ha revisado sus herramientas, señalando principalmente que la puerta trasera recientemente rediseñada ha sido reescrita en C, a diferencia de su versión anterior, que estaba escrita en C plus. Además, una nueva variante de puerta trasera parece estar incrustada indirectamente en un script de Powershell, lo que difiere de su versión anterior, en la que se incluía un código Shell descargador intermedio que descargaba y ejecutaba la puerta trasera. Symantec concluye su informe con una instantánea de la banda, afirmando que sysfinks sigue desarrollando y mejorando sus capacidades y su infraestructura de distribución de malware, perfeccionando periódicamente sus herramientas y tácticas para evitar ser detectada. La decisión del grupo de pasar de los ataques a puntos de venta al despliegue de ransomware demuestra la dedicación del actor malicioso a maximizar los beneficios obtenidos de las organizaciones víctimas. Las herramientas y tácticas detalladas en este informe sirven para subrayar cómo este actor malicioso altamente cualificado sigue siendo una grave amenaza para las organizaciones.

Y, por último, integritas. Eso es lo que, según hemos oído, decían los legionarios romanos a su centurión para informar de que su armadura y el resto de su equipo estaban intactos y en orden, y que ellos mismos se mantenían erguidos y con buen aspecto. Integritas, un todo sólido y coherente con el deber de uno o, más en general, con los valores de uno, eso es la integridad. Y vale la pena recordar que puede haber una especie de integridad incluso entre los delincuentes. Un poco de honor entre ladrones. Nos hemos acostumbrado a ver a las bandas criminales y a los hacktivistas actuar durante la guerra híbrida que Rusia ha desatado contra Ucrania como corsarios o auxiliares que operan en interés de uno de los beligerantes, normalmente Rusia. Y el grado en que los agentes de seguridad e inteligencia rusos han hecho uso de las clases criminales de su país es una de las características más llamativas de la guerra en el ciberespacio. Sin embargo, parece que al menos una banda cibernética rusa, o al menos rusófona, llamada Red Curl, ha seguido actuando de forma puramente criminal. No parece que trabaje en interés de ningún gobierno. Los investigadores han descubierto que, según los registros, se trata de una ramificación del grupo IB, y describen las acciones de Red Curl contra objetivos rusos y australianos. El enfoque inicial de la banda es el phishing. Su objetivo no es la instalación de ransomware ni la amenaza de extorsión mediante doxing, sino que Red Curl se dedica al espionaje comercial con el fin de robar información empresarial valiosa para su posterior reventa en el mercado C2C. Aproximadamente la mitad de los ataques de Red Curl han afectado a objetivos rusos. La otra mitad se ha distribuido entre Ucrania, Canadá y varios países europeos. Admitimos a regañadientes que hay algo refrescante en una banda que solo busca cobrar. No les importan los intereses nacionales ni la gloria. Hay una especie de integridad criminal aquí. Es una integridad básica y deplorable, pero hay coherencia en sus valores. Aun así, esperamos que reciban algo parecido a la justicia y que alguna autoridad, ya sea el FBI, el FSB, la policía o la milicia, los lleve ante la justicia. Buena caza, John o Jane Law, dondequiera que estén. Por cierto, esperamos que eso de los legionarios, los centuriones y la integritas sea cierto. Nuestra sección de historia es la fuente y suelen acertar, pero a veces nos preguntamos si obtienen su historia romana de Tácito o de ver reposiciones de Gladiator en Netflix. En cualquier caso, entegritas después de la pausa.

Patrocinador (Strata): Ben Yellin analiza la legislación sobre privacidad que se está elaborando en Massachusetts. Nuestro invitado es Alastair Par, de Prevalent, que hablará sobre el RGPD y los riesgos de terceros. Quédese con nosotros. ¿Le cuesta proteger las aplicaciones locales con identidades modernas? No se preocupe, no es el único. Únase a los líderes del sector de las organizaciones de la lista Fortune 500 para proteger sus aplicaciones en cualquier nube con cualquier IDP, independientemente de la complejidad de su entorno. Conozca Mavericks, la plataforma de coordinación de identidades de Strata. Diga adiós a los dolores de cabeza que suponen la refactorización de aplicaciones y la deuda tecnológica heredada. Con la coordinación de identidades, puede modernizar las aplicaciones heredadas para utilizar la autenticación multifactorial (MFA) o sin contraseña en pocas semanas. Migre de un IDP a otro y mucho más sin cambiar la aplicación. Independientemente de su caso de uso de IAM, Strata amplía el valor de sus inversiones actuales en identidades. Y lo mejor de todo es que puede probarlo gratis hoy mismo. Visite strata.io cyberwire para compartir su mayor reto en materia de identidad y le regalarán unos AirPods Pro. No se lo pierda. Visite strata.io cyberwire, es decir, strata.io cyberwire.

Patrocinador (Cinteot): Y ahora unas palabras de nuestra patrocinadora Cynthia. Como pequeña empresa minoritaria y propiedad de mujeres, Synthet se especializa no solo en ingeniería de software, sino también en inteligencia artificial y ciberseguridad. Entre los clientes de Synthet, que conserva fielmente, se encuentran el Departamento de Defensa de los Estados Unidos, la comunidad de inteligencia y los Departamentos de Estado y Justicia. Su misión es proteger los sistemas que protegen a las personas que nos protegen. Si está buscando un socio para cumplir su misión, visite cynthia.com, es decir, c-i-n-t-e-o-t.com. Sus socios en todo lo relacionado con la seguridad de los datos y la ciberseguridad.

Dave Bittner: Gracias. El RGPD lleva en vigor algo más de cinco años. Y en su estudio de 2023 sobre la gestión de riesgos de terceros, el equipo de la empresa de seguridad Prevalent analizó el impacto del RGPD en la práctica de la gestión de terceros, con su tratamiento de la privacidad como requisito fundamental. Alastair Parr es vicepresidente sénior de productos globales y entrega en Prevalent.

Alastair Parr: Lo que estamos experimentando es un aumento en aspectos como la cantidad de violaciones de datos identificadas o los impactos de terceros. Y, de hecho, atribuimos y equiparamos parte de ello al hecho de que las personas tienen una mayor visibilidad. Y esa es una tendencia general cuando se empieza a analizar la información general del sector: vemos un aumento en el volumen de problemas e incidentes. Y eso se debe al hecho de que hay una gran cantidad de herramientas y tecnologías disponibles para agregar datos a gran escala que la gente no tenía necesariamente hace varios años. Así que la visibilidad sin duda ha mejorado, pero la gente sigue teniendo, en última instancia, problemas de automatización y de corrección en todo el sector.

Dave Bittner: A mí me parece que, a primera vista, es una tarea abrumadora, porque cuando piensas en todos tus proveedores externos y en los proveedores de estos, ¿qué recomiendas en cuanto al enfoque para dividir esto en partes más manejables?

Alastair Parr: Totalmente de acuerdo. Sin duda, el reto es que normalmente estamos hablando de miles, decenas de miles de terceros, y es un reto muy abrumador y desalentador. Por lo general, vemos que la gente intenta comprender cómo puede adaptar eso a algo que sea manejable, independientemente de las herramientas de automatización que tenga, del grado de compromiso de los terceros o de la precisión del inventario del proveedor. En última instancia, la gente necesita comprender cómo puede ajustar el tamaño para poder invertir el tiempo y el esfuerzo limitados de que dispone en las áreas adecuadas. ¿Existen elementos comunes entre las personas que tienen éxito en este sentido?

Dave Bittner: Sí.

Alastair Parr: Por supuesto. Los programas de riesgo y ciclo de vida de terceros más exitosos que vemos suelen centrarse tanto en el enfoque interno como en el externo. Por supuesto, las interacciones con los proveedores son importantes para poder agregar los datos y trabajar con los terceros para remediar las deficiencias y dependencias fundamentales. Pero el aspecto interno es igualmente importante, ya que poder crear ese inventario de proveedores con el negocio, conseguir que el negocio y las partes interesadas se involucren y, en última instancia, inviertan en el programa es fundamental. Así que, ¿cuáles son las conclusiones clave que hemos encontrado? Bueno, creo que el 71 % de los programas son en realidad propiedad del equipo de seguridad de la información. Estamos viendo que alrededor del 63 % o el 53 % de las relaciones con terceros son propiedad de los responsables de compras o de los propietarios de las empresas, respectivamente. Por lo tanto, existe una especie de enfoque oscilante en el que es necesario contar con la aceptación, las capacidades y el apoyo de la empresa para poder impulsar el programa de forma eficaz.

Dave Bittner: ¿ Y hasta qué punto se trata de un problema tecnológico, es decir, de disponer de las herramientas adecuadas para abordar esta cuestión, frente a un problema de personal, es decir, de formar a los empleados en este tipo de cuestiones?

Alastair Parr: Yo diría que, en la mayoría de los casos, se trata primero de una cuestión de procesos. Las tecnologías están ahí para complementar, automatizar y ampliar los procesos. Pero, fundamentalmente, si los procesos no son los adecuados en cuanto a quién y cómo nos ponemos en contacto con terceros, cómo reaccionamos e interactuamos con los datos que obtenemos, todo se orienta mucho hacia los procesos. Es necesario que el negocio se implique, que se realicen auditorías de cumplimiento, que los propietarios de las empresas y los ejecutivos, por supuesto, y los responsables de la gestión de riesgos de la información trabajen realmente juntos y formen una especie de unidad cohesionada.

Dave Bittner: ¿Qué recomendaciones le darías a ese responsable de seguridad que tiene que defender ante la junta directiva y las autoridades competentes la necesidad de un programa como este?

Alastair Parr: Creo que uno de los mayores retos a los que se enfrentan es el hecho de que no se trata necesariamente de una función generadora de ingresos. Se trata de un mecanismo de seguro con el que abordan y gestionan el riesgo de forma proporcionada para que no ocurra nada. Y lo que sin duda ayuda es cuando empiezas a ver que se producen incidentes y sucesos en los que terceros han sufrido violaciones de datos o incidentes y has sido capaz de detectarlos y reaccionar en consecuencia. Por lo tanto, utilizar mecanismos de seguros tradicionales que te han permitido evitar daños reputacionales adversos derivados de acontecimientos históricos es sin duda útil. Pero también lo es identificar cómo se puede utilizar el programa para ahorrar realmente a lo largo del ciclo de adquisición. Por ejemplo, hemos identificado problemas e incidentes relacionados con la resiliencia operativa de terceros o sus contratos pendientes, y hemos utilizado esa ventaja en el ciclo de renegociación para ofrecer mejores servicios, reducir costes, etc. Por lo tanto, también hay un elemento económico potencial.

Dave Bittner: ¿Qué cree que depara el futuro para la gestión de riesgos de terceros? ¿Hacia dónde cree que nos dirigimos?

Alastair Parr: Buena pregunta. Uno de los problemas que desde hace tiempo me preocupa en la gestión de riesgos de terceros es la interacción entre los proveedores y, por supuesto, la propia empresa. Existe una gran dependencia de aspectos como las evaluaciones. Existe una falta de estandarización en las estructuras de evaluación que no va a desaparecer, simplemente porque cada organización suele tener sus propias variantes. De hecho, más de 70 de nuestros clientes utilizan cientos de programas que gestionamos y que, en realidad, utilizan contenidos y evaluaciones personalizados en sus programas. Eso no va a desaparecer. Por lo tanto, lo que empezamos y lo que esperamos ver son componentes como la IA que, en última instancia, ayuden a traducir y adaptar diversas fuentes de contenido a las respuestas que necesitamos. A los programas no les importan las evaluaciones, les importan los resultados, les importan los riesgos. Por lo tanto, independientemente de cómo agreguemos los datos, ya sean informes SOC 2 o documentación de políticas propias, siempre que podamos analizarlos a gran escala y ser capaces de traducirlos en riesgos tangibles y contexto, ahí es donde realmente se dirige todo el patrimonio y el entorno de terceros.

Dave Bittner: Sí, es una perspectiva muy interesante. Creo que esa capa de traducción para poder presentar tu caso ante la junta directiva y tus compañeros es muy importante. Sin embargo, según mi experiencia, mucha gente sigue teniendo dificultades con eso.

Alastair Parr: Sí, por supuesto. La capacidad de traducir el lenguaje técnico de los colores de la barra de riesgos, ya sabes, el rojo es malo, puede perderse en algunos programas. Así que tienes toda la razón. Cuando creamos indicadores clave de rendimiento (KPI) y material de indicadores clave de riesgo (KRI) para los consejos de administración y los ejecutivos, solemos centrarnos mucho en las personas. Queremos asegurarnos de que tenemos los datos correctos que les interesan y les ayudan a comprender si están en riesgo.

Dave Bittner: Es Alastair Parr, de Prevalent. Y una vez más me acompaña Ben Yellin. Es del Centro para la Salud y la Seguridad Nacional de la Universidad de Maryland y también mi copresentador en el podcast Caveat. Ben, siempre es un placer tenerte aquí.

Ben Yellin: Me alegro de estar contigo, Dave.

Dave Bittner: Es muy interesante la propuesta legislativa que ha surgido en Massachusetts en relación con la compra y venta de datos de localización. ¿Qué está pasando aquí, Ben?

Ben Yellin: Así que esta ley sería la primera de este tipo en una legislatura estatal de todo el país. Los legisladores de Massachusetts, tanto en la Cámara de Representantes como en el Senado, están sopesando una prohibición casi total de la compra y venta de datos de localización obtenidos de dispositivos móviles en el estado. Otras leyes controladas por legislaturas tanto demócratas como republicanas han aprobado una amplia legislación sobre la privacidad de los datos. Pero esta sería la primera que establecería una prohibición casi total de la compra y venta de estos datos de localización. Así pues, un elemento de la ley establecería el requisito de una orden judicial para que las fuerzas del orden puedan acceder a estos datos, lo cual es importante. En realidad, codifica la decisión del Tribunal Supremo en el caso Carpenter de 2018, que impide las búsquedas con órdenes judiciales de información histórica sobre la localización de teléfonos móviles.

Dave Bittner: ¿Esto también impediría que las fuerzas del orden compraran esos datos sin una orden judicial?

Ben Yellin: Sí. Cualquier acceso por parte de las fuerzas del orden sin una orden judicial estaría prohibido.

Dave Bittner: De acuerdo.

Ben Yellin: La prohibición más amplia que se describe en esta ley, y que creo que es más significativa, es que se prohibiría a los corredores de datos comprar y vender información sobre la ubicación de los residentes del estado sin la autorización de un tribunal. Por lo tanto, hay excepciones y circunstancias limitadas en las que sería útil para el consumidor. Cosas como compartir la ubicación con fines de transporte compartido para aplicaciones meteorológicas, etc. Pero la ley sería sin duda la más amplia de este país y tendría un impacto importante. Hay una coalición de grupos de libertades civiles y privacidad que apoyan esta legislación, pensando que podría ser un caso de prueba para una legislación más amplia a nivel nacional que prohibiría la compra y venta de datos de ubicación. Hemos visto leyes similares propuestas a nivel federal, aunque hasta ahora no se han promulgado. Pero también hay una oposición bastante amplia. Hay una asociación comercial que ha expresado su oposición en una reciente audiencia conjunta sobre este proyecto de ley. Un abogado llamado Andrew Kingman, que representaba a esta asociación comercial, la Coalición Estatal de Privacidad y Seguridad, dijo que, aunque apoyan una mayor protección de ciertos tipos de datos personales, esta ley es demasiado amplia. Deberían fijarse en otros estados, como el vecino Connecticut, que aprobó una ley de privacidad de datos, pero no llegó a prohibir totalmente a los corredores de datos la compra y venta de estos datos. Más bien, da a los consumidores la posibilidad de optar por no vender sus datos. Así que sigue ofreciendo a los consumidores la posibilidad de elegir: si consideran que los datos que estas empresas recopilan no son útiles para sus propios fines, pueden dar su consentimiento para ese tipo de recopilación. Pero creo que eso no es suficiente para algunos de los defensores de la privacidad y las libertades civiles, que ven que no solo las empresas compran estos datos, sino que también los departamentos de policía locales y las agencias federales han comprado información de localización y la están utilizando con fines policiales, lo que supone una especie de elusión de la cuarta enmienda que grupos como la ACLU consideran muy peligrosa.

Dave Bittner: Correcto, y hay una gran diferencia entre una suscripción voluntaria y una exclusión voluntaria por defecto.

Ben Yellin: Por supuesto. Me refiero a que la opción de exclusión significa que hay que tener suficientes conocimientos tecnológicos para tomar medidas y excluirse. Es muy probable que lo oculten en algún lugar.

Dave Bittner: Lo esconderán en algún lugar recóndito de la configuración, sí.

Ben Yellin: Exacto. Te vas a cansar los pulgares intentando encontrar la página donde puedes darte de baja. Mientras que con la opción de participar, sabes que es realmente lo contrario, lo que nos lleva, irónicamente, a un concepto del propio académico de Massachusetts Sunstein sobre la idea de un empujón, según el cual el valor predeterminado marca una gran diferencia, porque las personas son tan incapaces o reacias a tomar medidas para participar o darse de baja que el hecho de que el valor predeterminado sea participar o darse de baja acaba marcando una gran diferencia.

Dave Bittner: Sí, es interesante que esto también haya llamado la atención de los defensores del derecho al aborto. ¿Cuál es su interés en este tema?

Ben Yellin: Sí, los defensores del derecho al aborto han argumentado de manera convincente que los datos de localización telefónica, especialmente cuando están disponibles para su venta, podrían llevar a los gobiernos estatales y a los estados donde se han restringido o prohibido por completo los abortos tras la decisión de Dobbs del año pasado, a rastrear a las personas que viajan fuera del estado para someterse al procedimiento con el fin de iniciar o iniciar un proceso judicial. Y esa es sin duda una preocupación válida para los defensores del derecho al aborto. Creo que el hecho de que estos datos estén ampliamente disponibles, que se pueda acceder a ellos sin una orden judicial y que solo se necesite una pequeña cantidad de dinero para comprarlos Creo que es especialmente peligroso para las personas que desean viajar fuera del estado para abortar. Y no solo los abortos han suscitado preocupaciones particulares en materia de privacidad, sino que también se mencionan en este artículo el acoso digital y las amenazas a la seguridad nacional, todas ellas cuestiones que pueden plantear problemas cuando los datos están disponibles para su venta. Así pues, nos encontramos con este tipo de circunstancias particulares que han suscitado preocupación entre estos grupos. Creo que eso es parte del impulso que hay detrás de la promoción de esta legislación.

Dave Bittner: ¿Es probable, dada la composición de la legislatura de Massachusetts, que esto siga adelante? ¿Qué opinas?

Ben Yellin: Sí. Diría que el pronóstico es bastante positivo. Las legislaturas de Massachusetts están dominadas por los demócratas. Hay como cinco republicanos en toda la legislatura estatal de Massachusetts. La actual líder de la mayoría del Senado estatal de Massachusetts es la promotora de esta ley. Ella testificó a favor de ella en la audiencia. Así que hay una persona bastante poderosa alineada con esta ley. El gobernador también es demócrata. Aunque eso realmente no importa, ya que la legislatura tiene mayorías a prueba de veto.

Dave Bittner: Correcto.

Ben Yellin: Pero sí, creo que el pronóstico para esta legislación es bastante positivo.

Dave Bittner: Muy bien, estaremos atentos a eso. Sin duda, es un avance interesante. Ben Yellin, gracias por acompañarnos.

Ben Yellin: Gracias.

Patrocinador (Drata): No es divertido, pero tampoco lo es sufrir una filtración de datos o perder un cliente. Por eso, Drata lo ha automatizado con la recopilación automatizada de pruebas. Con más de 80 integraciones y supervisión las 24 horas del día, Drata automatiza el proceso de cumplimiento normativo y le mantiene preparado para las auditorías durante todo el año. Drata es compatible con más de 14 marcos, incluidos SOC 2, GDPR, HIPAA e ISO 27001. Con más de 455 reseñas de 5 estrellas, Drata es la plataforma de cumplimiento normativo en la nube mejor valorada en G2. Los oyentes de The CyberWire Daily pueden obtener un 10 % de descuento en Drata y la exención de las tarifas de implementación en drada.com/partner/cyberwire.

Dave Bittner: Gracias. Y esto es todo por hoy en CyberWire. Para ver los enlaces a todas las noticias de hoy, consulte nuestro resumen diario en cyberwire.com. Nos encantaría saber qué opina de este podcast. Puede enviarnos un correo electrónico a cyberwire n2k.com. Sus comentarios nos ayudan a garantizar que le proporcionamos la información y los conocimientos que le permiten ir un paso por delante en el cambiante mundo de la ciberseguridad. Tenemos el privilegio de que N2K y podcasts como Cyber Wire formen parte de la rutina diaria de inteligencia de muchos de los líderes y operadores más influyentes del sector público y privado. Así como de los equipos de seguridad críticos que dan soporte a las empresas de la lista Fortune 500 y a muchas de las agencias de inteligencia y fuerzas del orden más destacadas del mundo. La inteligencia estratégica sobre la fuerza laboral de N2K optimiza el valor de su mayor inversión: su personal. Le ayudamos a conocer mejor a su equipo y, al mismo tiempo, hacemos que su equipo sea más inteligente. Obtenga más información en N2K.com. Este episodio ha sido producido por Liz Ervin y la productora sénior Jennifer Iben. Nuestro mezclador es Trey Hester, con música original de Elliot Peltzman. El programa ha sido escrito por nuestro equipo editorial. Nuestro editor ejecutivo es Peter Kilpi. Y yo soy Dave Bitner. Gracias por escucharnos. Nos vemos mañana aquí mismo.

Patrocinador (M-Wise): De las mega conferencias sobre ciberseguridad, M Wise es diferente. Con una agenda centrada y enfocada en la resolución de problemas, M Wise es el lugar al que acuden los mejores en seguridad para mejorar. Del 18 al 20 de septiembre en Washington D. C., se unirá a una comunidad especial de las mentes más brillantes en seguridad. Obtendrá perspectivas que no encontrará en ningún otro lugar y alcanzará un nuevo nivel de maestría que lo preparará para lo que viene. Inscríbase pronto y ahorre en mwise.mandient.com conf23. Es decir, mys.mandient.com barra c-o-n-f-2-3.