Protección de datos personales - Parte 2: "Marcos para la Protección de los Datos y de la Intimidad"
Guía para seleccionar y adoptar un marco de protección de la intimidad
Autor: Minaz Khan, CISA, CIPT
Fecha de publicación: 26 febrero 2021
中文
Tomando una página del libro de juego de ciberseguridad, los equipos de privacidad pueden adoptar un marco de privacidad (o múltiples marcos) para agilizar los esfuerzos de cumplimiento, construir una estrategia de privacidad unificada y establecer o avanzar programas de privacidad. Los equipos deben determinar cómo preparar una empresa para la adopción del marco, cómo seleccionar un marco que sea el adecuado y cómo integrarlo en la empresa.
Introducción al marco de protección de la intimidad
Antes de profundizar en los matices de la selección y adopción de un marco de privacidad, es importante entender cómo se define un marco y qué marcos de privacidad están disponibles. Un marco de privacidad es una colección completa de procesos que protegen la información personal y abordan el riesgo de privacidad. Las dos características principales de un marco de protección de la intimidad son una estructura clara y principios amplios que los hacen universalmente aplicables y fáciles de adoptar. Debido a estas características, los marcos pueden ayudar a las empresas de todos los tamaños, en todas las industrias y en todos los niveles de madurez evaluar y supervisar sus programas de privacidad.
En los Estados Unidos, los marcos de protección de la intimidad comenzaron a aparecer en el decenio de 1970, con el debut de los Principios de Práctica Justa de la Información (PIFP). 2 Algunos marcos, como el Marco de Privacidad del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos, son simplemente un conjunto de recomendaciones y no son aplicados por ningún organismo regulador. Pero las regulaciones, principios y estándares como GDPR, FIPPs o la Organización Internacional para la Normalización (ISO) ISO 29100 también se pueden aprovechar como marcos. Algunas organizaciones han optado por hacer del RGPD algo más que un mero requisito reglamentario, utilizándolo como marco orientador debido a sus sólidos principios de privacidad y requisitos específicos que establecen sólidas prácticas de protección de datos. Aquí el término "marco" se utilizará en términos generales para incluir también las normas y los reglamentos que pueden (y son) utilizados para construir, gobernar y mantener programas de privacidad. En la figura 1 se muestran algunos de los principales marcos y reglamentos relativos a la privacidad.
Preparación para la selección del marco
La selección de un marco requiere aportaciones desde diversas perspectivas y una preparación minuciosa. Una empresa no debe elegir el marco de privacidad del NIST simplemente porque ya está siguiendo el CSF del NIST. Del mismo modo, una empresa no debe construir todo su programa de privacidad en el GDPR porque tiene operaciones en la Unión Europea. En lugar de ello, antes de seleccionar un marco (o marcos) deben considerarse varias cuestiones clave.
Pregunta 1: ¿Quién debe participar?
Aunque un marco de privacidad será utilizado principalmente por aquellos que se centran en los esfuerzos de privacidad (por ejemplo, el equipo de privacidad, legal, cumplimiento, gestión del riesgo), afectará a muchas otras partes de la empresa. Por el contrario, los marcos y reglamentos seguidos por otras partes de la empresa pueden influir en el marco de privacidad que se seleccione.
Para evaluar adecuadamente los marcos disponibles, es necesario crear el equipo de selección adecuado. Los equipos de selección pueden variar según el tamaño y la estructura de la organización, la industria y el entorno normativo. Sin embargo, las siguientes funciones pueden tener un interés en la elección de un marco porque trabajan directa o indirectamente con información personal identificable (PII).
- Ciberseguridad-Las funciones de ciberseguridad y privacidad deberían trabajar juntas muy estrechamente. La ciberseguridad puede ya estar utilizando un marco que tiene una contraparte de privacidad. Además, la ciberseguridad puede ofrecer información sobre qué recomendaciones de seguridad de datos son adecuadas para la empresa.
- Tecnología de la información: Los líderes con conocimiento de los sistemas que tocan la información personal son una parte crítica de este proceso. Los directores de información (CIO) y los directores de tecnología (CTO) pueden influir en la forma en que los sistemas y controles de TI se verán afectados por un marco.
- Seguridad de la información-Los líderes en seguridad de la información se dedican a proteger los datos que entran y salen de una empresa y pueden ofrecer información crítica sobre cómo se maneja y almacena la información personal en toda la empresa.
- Legal-Los equipos jurídicos y de privacidad suelen estar estrechamente vinculados, a veces son la misma cosa. El equipo legal puede hablar sobre cómo las diferentes obligaciones regulatorias (federales, estatales, regionales) se intersectarán con el marco seleccionado.
- Cumplimiento (es decir, auditoría interna, gestión de riesgos): las funciones de cumplimiento, como la gestión del riesgo y la auditoría interna, están muy familiarizadas con los reglamentos y marcos que ya se siguen en una empresa. También tienen una amplia experiencia en pruebas y validación, documentación, retención, verificación de remediación y presentación de informes sobre el cumplimiento y habilidades de presentación que pueden aprovecharse al evaluar e implementar marcos. (Aunque la función de auditoría interna puede ofrecer información importante durante el proceso de selección, es importante que estas personas no participen en actividades que puedan afectar a su independencia en el futuro.)
- Los principales responsables de los procesos empresariales -Además de las partes mencionadas anteriormente, otras funciones comerciales -por lo general aquellas que manejan información personal- se ven afectadas por las decisiones sobre privacidad de datos. Estas funciones varían según la empresa, pero el marketing y los recursos humanos (RRHH) suelen ser los más directamente afectados. Incluirlos desde el principio puede asegurar una adopción más fluida.
Es importante incluir una serie de funciones empresariales en el proceso de selección, pero debe haber alguien que tenga la autoridad para tomar la decisión final. Esta autoridad variará, según la estructura organizativa y la madurez, pero debe ser alguien que esté muy involucrado en los esfuerzos de privacidad. En algunas empresas, podría ser el director de protección de la intimidad (CPO); en otras, podría ser el jefe de cumplimiento o gestión del riesgo. Pero, como en cualquier comité o equipo, debe haber una persona a cargo de sopesar las opiniones y tomar decisiones.
EL MARCO ADECUADO PUEDE MEJORAR LA CONFIANZA DEL CLIENTE SIMPLIFICANDO LOS PROCESOS DE SOLICITUD DEL CONSUMIDOR, REDUCIENDO EL RIESGO DE PRIVACIDAD Y PROPORCIONANDO A LAS PERSONAS UN MAYOR CONTROL SOBRE SU INFORMACIÓN.
Pregunta 2: ¿Cómo beneficiaría un marco a la empresa?
Para orientar el proceso de selección, el equipo de selección debe determinar los problemas de privacidad a que se enfrenta la empresa y cómo podría abordarlos un marco. Tener una comprensión clara de los problemas y las soluciones puede ayudar tanto en la selección como en la aplicación. Cada empresa tiene un conjunto diferente de problemas, y cada marco puede ofrecer ventajas diferentes. Algunos de los beneficios potenciales incluyen la simplificación del cumplimiento, la obtención de resultados mensurables, la reducción de los costos y una mejor mitigación de los riesgos (figura 2).
Pregunta 3: ¿Qué operaciones comerciales se verán afectadas?
Al seleccionar un marco, es fundamental saber qué operaciones comerciales (por ejemplo, la industria, los esfuerzos de cumplimiento ya en marcha, las geografías) estarán dentro de su alcance. Los ejercicios de cartografía de datos, las sesiones exploratorias y los diagramas de flujo de datos pueden ayudar a identificar estas operaciones incluidas en el ámbito. Comprender cómo un marco podría apoyar, avanzar o interrumpir las operaciones actuales puede influir en la decisión de seleccionarlo. Dependiendo de la industria, estructura y modelo de negocio, los procesos dentro del ámbito variarán, pero el equipo de selección probablemente tendrá que estudiar el impacto en TI, seguridad, marketing, recursos humanos y todos los procesos específicos de privacidad.
Pregunta 4: ¿Qué marcos ya se están utilizando?
Antes de seleccionar un marco, el equipo de selección debe conocer los marcos ya existentes en la empresa. Los marcos ya utilizados podrían incluir la norma ISO 29100, las normas de protección de datos personales o los principios de privacidad generalmente aceptados (GAPP). Uno de estos marcos podría servir de base para el proceso de adopción. Además, comenzar con un marco ya establecido y adoptado ayudará a garantizar la eficiencia de los procesos. Las organizaciones que deseen perfeccionar sus programas de privacidad podrían considerar la posibilidad de vincular los marcos de privacidad a los marcos de ciberseguridad. El equipo debe prestar especial atención a los marcos de ciberseguridad (por ejemplo, NIST CSF, NIST SP 800-53, ISO 27001) junto con sus homólogos de privacidad (por ejemplo, NIST Privacy Framework, ISO 29100).
Pregunta 5: ¿Qué reglamentos deben considerarse?
Para muchas empresas, la privacidad ha sido tradicionalmente impulsada por regulaciones como el GDPR, la CCPA y la Ley de Portabilidad y Responsabilidad del Seguro Médico de los Estados Unidos (HIPAA). Muchos de los marcos disponibles coinciden con los requisitos y principios contenidos en estos reglamentos. Al comprender el panorama normativo de la organización, el equipo de selección puede elegir un marco que se ajuste a estos requisitos, agilizando los esfuerzos de cumplimiento. Sin embargo, si se hace caso omiso de las reglamentaciones, el marco se convertirá en una carga adicional a los actuales desafíos reglamentarios.
Con las respuestas a estas cinco preguntas, el equipo de selección debería estar preparado para empezar a evaluar los marcos de trabajo con el fin de encontrar el que mejor se adapte a la empresa.
Evaluación y selección de un marco
Cuando se evalúan los marcos, hay que tener en cuenta muchos factores organizativos. La consideración más importante es: ¿apoya este marco los objetivos empresariales? Por encima de todo, el marco seleccionado debe ajustarse a los objetivos de la empresa, la estrategia organizativa y las necesidades de las partes interesadas. Si no se ajusta a ninguno de estos elementos, la adopción por parte de toda la empresa será difícil, lo que inhibirá el éxito del marco.
Por ejemplo, una empresa puede querer invertir en el fortalecimiento de las relaciones con los consumidores. El marco adecuado puede mejorar la confianza del cliente al simplificar los procesos de solicitud de los consumidores, reducir el riesgo de privacidad y proporcionar a las personas un mayor control sobre su información.
Teniendo en cuenta estos objetivos, el equipo de selección puede iniciar el proceso de evaluación.
Encontrar el ajuste correcto
Durante el período de evaluación, el equipo de selección debe determinar si un marco es adecuado para la empresa en función de su sector, su tamaño y la madurez de sus operaciones. La madurez es una consideración esencial. Las empresas deben preguntarse: ¿Qué tan sólidos son los procesos de recopilación, gestión, almacenamiento y transferencia de datos? ¿Se han establecido controles de privacidad y seguridad para proteger estos datos? ¿Existen políticas que regulen estos procesos? ¿Cumplen las políticas y los procedimientos la normativa pertinente? Más allá de las consideraciones operativas, las empresas deberían preguntarse: ¿Existen los conjuntos de competencias adecuadas para apoyar estos procesos? ¿Hay suficiente personal para aplicar y alinear las operaciones actuales con este marco? ¿Fortalecerá o inhibirá este marco al equipo de privacidad?
Las empresas que adoptan un enfoque de la privacidad basado en el cumplimiento pueden desarrollar una mentalidad de éxito o fracaso. Sin embargo, la privacidad es una disciplina en constante evolución, y es importante centrarse en madurar el programa de privacidad, no solo marcando las casillas correctas. El marco (o los marcos) seleccionados deben servir como herramienta para supervisar continuamente las políticas y prácticas de privacidad e identificar oportunidades para avanzar en los componentes del programa cuando sea apropiado.
Cada empresa es única, pero la buena noticia es que los marcos están diseñados para ser de carácter general, por lo que sus conceptos y principios pueden aplicarse a una amplia variedad de empresas.
Puede haber más de una respuesta correcta
Con una serie de marcos entre los que elegir, muchas empresas tienen dificultades para encontrar uno que se ajuste a la situación. Esto no es inusual. Sin embargo, en lugar de adaptar el marco a la empresa, muchos intentan introducir sus procesos organizativos en el marco. Esto es un error.
El mejor enfoque es encontrar un marco que se ajuste razonablemente bien a la industria, los objetivos y la madurez de la empresa. La armonización entre los objetivos de la empresa y los objetivos del marco es fundamental. A continuación, el equipo de selección debe iniciar una serie de evaluaciones para identificar las operaciones o los factores de riesgo que no entran en el marco. Las partes de otros marcos pueden entonces ser adoptadas para abordar estas áreas, o la empresa puede diseñar controles adicionales que se aplican a ellos.
También podría ser una oportunidad para examinar los marcos empresariales existentes a fin de determinar si abordan alguna de estas áreas. Esta es una ventaja clave para elegir un marco de privacidad que se integre bien con otros marcos. Por ejemplo, el Marco de Privacidad del NIST está estrechamente vinculado al CSF del NIST y al NIST SP 800-53. Los tres utilizan la misma estructura, lo que facilita la alineación. Aunque el marco de privacidad no ofrece descripciones detalladas de las medidas de seguridad de los datos, sí ofrecen las secciones correspondientes del marco de ciberseguridad. La elección de un marco de privacidad con un marco de ciberseguridad complementario puede ofrecer un mayor grado de flexibilidad, extensibilidad y coherencia.
También es fundamental no reaccionar ante cada nueva regulación de la privacidad, ya que este enfoque puede dar lugar a más costes o a cambios significativos en el entorno empresarial. El marco (o marcos) elegido debe proporcionar una visión holística de la privacidad dentro de la empresa, identificando los solapamientos entre las diversas regulaciones de privacidad y luego alineándolos en función del entorno organizativo (es decir, donde se procesan los datos).
Adopción de un marco
Al igual que en cualquier proyecto de integración, no existe un enfoque único para adoptar un marco de privacidad. Al igual que con todos los demás aspectos del proceso, la forma en que se integra un marco en la empresa varía según el sector, la madurez y la cultura organizativa. No obstante, el equipo de integración puede adoptar cuatro medidas para garantizar que la aplicación se lleve a cabo sin problemas (figura 3).
Si la empresa ha seleccionado varios marcos o tiene una serie de reglamentos que debe cumplir, es probable que se produzca un solapamiento. La delimitación de las zonas de control y su agrupación por reglamento y marco puede reducir la complejidad. También puede identificar lagunas en un marco y garantizar la alineación con los requisitos de cumplimiento. Los equipos centrados en el cumplimiento (por ejemplo, auditoría interna, gestión de riesgos) pueden aprovechar su experiencia y conocimientos para orientar la cartografía del marco.
Etapa 2: Adaptación a la empresa
Adaptar el marco a las preocupaciones específicas de una empresa en materia de privacidad y los requisitos reglamentarios hará que la adopción sea más fluida. Cuando un marco se adapta a la empresa, es más fácil para las partes interesadas integrarlo en las operaciones comerciales. La modificación de los controles con funciones específicas para alinearlos con la empresa y con los sistemas de información y el entorno operativo hará que el marco sea más fácil de aplicar.
Etapa 3: Documento
Puede haber casos en los que un área de control específica de un marco no se aplique a una empresa. En estos casos, es mejor documentar las razones técnicas y de negocio por las que la empresa decidió no utilizar esa zona de control específica. El equipo no debería ignorar simplemente esa sección del marco. Disponer de documentación adecuada sobre el razonamiento que subyace a cada excepción será útil durante las auditorías y evaluaciones. Además, la documentación es vital para proporcionar transparencia y comprensión de las operaciones y estrategias de la empresa.
Etapa 4: Comunicación y gestión de proyectos
Al igual que en cualquier proyecto, la comunicación es fundamental para el éxito de la adopción del marco. La información sobre los nuevos marcos debe comunicarse con antelación para que las funciones básicas sepan que se esperan cambios. La comunicación frecuente es vital; el envío regular de actualizaciones y recordatorios mantiene la adopción del marco en primer lugar en la mente de las personas. La transparencia también es clave. Si es necesario introducir cambios como resultado de la adopción del marco, el equipo de aplicación no debe ocultarlo a las partes interesadas. Al estar al tanto de los cambios, el equipo puede obtener el apoyo adecuado para garantizar que la adopción se lleve a cabo sin problemas.
Conclusión
La existencia de un marco de protección de datos es muy importante para la inversión y priorización de los esfuerzos de una empresa en materia de protección de datos. Sin embargo, no basta con que las recomendaciones del marco y los controles correspondientes estén escritos en papel. La empresa debe contar con procesos sólidos para aplicar, gestionar y mejorar estos controles y garantizar su eficacia. Cualquiera que sea el marco o la combinación de marcos que elija una empresa, debe contar con una estrategia integral para llevar a cabo las recomendaciones del marco para proteger la información personal y garantizar la seguridad de los datos.
Nota final
1 International Association of Privacy Professionals (IAPP), TrustArc, Measuring Privacy Operations 2019; Cookies, Local vs. Global Compliance, DSARs and More, USA, 2019, https://download.trustarc.com/dload.php/? f=SFYUMOCK-841
2 Departamento de Salud y Servicios Humanos de los Estados Unidos, Oficina del Secretario Adjunto de Planificación y Evaluación (ASPE), "Records, Computers, and the Rights of Citizens," 1973, https://aspe.hhs.gov/report/records-computers-and-rights-citizens
Minaz Khan, CISA, CIPT
Es consultor principal en la práctica de seguridad cibernética y privacidad de datos del Punto Focal. Su experiencia incluye la realización de evaluaciones de privacidad y ciberseguridad, centrándose en regulaciones como el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Portabilidad y Responsabilidad del Seguro Médico de los Estados Unidos (HIPAA), y especializada en marcos creados por el Instituto Nacional de Normas y Tecnología (NIST) y la Organización Internacional para la Normalización/Comisión Electrotécnica Internacional (ISO/IEC). Anteriormente, trabajó como auditora de tecnología de la información para Boeing Distribution Services, donde llevó a cabo evaluaciones de riesgos, auditorías de sistemas de información y pruebas de cumplimiento de la Ley Sarbanes-Oxley (SOX) de los Estados Unidos.
Artículo original en inglés: https://www.isaca.org/resources/isaca-journal/issues/2021/volume-2/a-guide-to-selecting-and-adopting-a-privacy-framework