En términos generales, una violación de la seguridad es una violación de cualquier política o ley diseñada para asegurar algo. Cuando las personas o los vehículos pasan por alto los puntos de control de control o ingresan a edificios seguros sin presentar las credenciales adecuadas, las violaciones de seguridad son generalmente obvias. Menos obvias son las brechas de seguridad que involucran datos o información. En un contexto de datos, una brecha de seguridad es cualquier actividad que compromete la naturaleza confidencial de cierta información.
La mayoría de las veces, lo que es o no una infracción de seguridad está definido por la ley. Los estatutos de muchos países establecen medidas de seguridad para una serie de cosas, desde los cruces fronterizos hasta el intercambio de datos y las transacciones de comercio electrónico. Una infracción generalmente se define como cualquier acción, intencional o de otro tipo, que debilita una determinada garantía real definida.
Las brechas de seguridad más conocidas suelen causar algún daño notable. Una brecha en la seguridad del aeropuerto que permite a un pasajero abordar un avión con un arma, o una pérdida de datos que conduce al robo de identidad son claros ejemplos. Sin embargo, según la mayoría de las leyes sobre violaciones de la seguridad, el daño no siempre es un requisito. La amenaza de daño, o la probabilidad de daño, suele ser suficiente.
Las leyes de violación de seguridad en la mayoría de los países operan sobre la base de la probabilidad de daño tanto para crear incentivos para prácticas de seguridad sólidas como para castigar las malas acciones sin esperar a ver si alguien o algo se lesiona primero. Aunque los castigos por infracciones pueden ser estrictos según la ley, el objetivo primordial suele ser la seguridad. Particularmente en lo que respecta a las violaciones de datos y las violaciones de la seguridad de la información, incluso la probabilidad de daño suele ser suficiente para impulsar acciones de protección importantes.
A medida que se almacena más y más información confidencial en línea, las posibilidades de que se produzca una infracción de la seguridad de Internet y de la seguridad informática se vuelven cada vez más reales y, con ello, la posibilidad de robo de identidad, pérdidas económicas graves u otros daños. La mayoría de las leyes de seguridad de datos requieren que cualquier entidad que recopile o almacene información confidencial con regularidad tome ciertas precauciones cuando se trata de proteger esa información. La mayoría de las veces, los datos deben protegerse con una serie de contraseñas y claves electrónicas. Los datos móviles, en particular los datos almacenados en las computadoras portátiles de los empleados u otro hardware portátil, generalmente deben protegerse contra la divulgación inadvertida o la filtración de datos en caso de pérdida o robo.
Las leyes suelen estar más especializadas por industria. Muchos países tienen leyes de seguridad de datos de salud que son diferentes a las leyes que rigen la información financiera y la posibilidad de violación de la seguridad de la tarjeta de crédito, por ejemplo. Cada país, y a veces dentro de cada país, cada estado o provincia, tiene diferentes leyes y políticas de seguridad obligatorias. La mayoría también tiene leyes relacionadas con la forma en que las personas afectadas deben ser notificadas en caso de que su información haya sido parte de una violación de seguridad. Los pacientes cuyos archivos se publicaron inadvertidamente en Internet, los estudiantes cuyos registros académicos fueron pirateados de una base de datos universitaria y otros cuya información se vio comprometida de alguna manera generalmente tienen derecho a al menos una notificación, si no también una remuneración y restitución.
Las diferencias entre lo que requieren las leyes pueden dificultar que las empresas que operan en múltiples jurisdicciones se aseguren de que sus prácticas de seguridad cumplan universalmente. A medida que las leyes cambian y evolucionan con la tecnología, también deben hacerlo los procedimientos de seguridad individuales. La mayoría de las veces, las empresas emplean oficiales de cumplimiento, abogados y analistas de seguridad de datos para supervisar todos los datos y otros intercambios de información y garantizar que se sigan todas las leyes de seguridad pertinentes.