Aprenda a integrar sistemáticamente las prácticas de privacidad en su organización o vida digital personal mediante la adopción de un marco estructurado de privacidad.

"Un enfoque de cuatro pasos para adoptar un marco de privacidad"

Reflexiona sobre cómo puedes aplicar estos principios en sus propias prácticas de privacidad o políticas organizativas.

Un enfoque de cuatro pasos para la adopción de un marco de privacidad

Autor: Minaz Khan, CISA, CIPT
Fecha de publicación: 1 abril 2021

Las organizaciones con programas de privacidad maduros están cosechando más beneficios que la media y están encontrando más fácil cumplir con las nuevas regulaciones de privacidad, según el Privacy Benchmark Study 2021 de Cisco. Pero ¿cuál es la mejor manera de construir y medir la madurez de la privacidad? Los marcos de privacidad son una excelente herramienta para evaluar, supervisar y mejorar los programas de privacidad. Debido a que actualmente solo existen unos pocos marcos tradicionales para la privacidad (por ejemplo, el National Institute of Standards and Technology [NIST] Privacy Framework), en este caso el término "marco" se utiliza más ampliamente para incluir normas y reglamentos (por ejemplo, la Organización Internacional de Normalización [ISO] 29100 y el Reglamento General de Protección de Datos de la UE [GDPR]) que las organizaciones pueden aprovechar para construir, gobernar y madurar sus prácticas de privacidad. Independientemente del marco que una organización seleccione, puede avanzar en la madurez de la privacidad cuando se implementa correctamente. Selección de un marco
Muchas organizaciones seleccionan un marco cuando intentan resolver desafíos de privacidad, tales como cambios en los requisitos reglamentarios, políticas/procedimientos contradictorios o cambiantes, duplicación de esfuerzos de cumplimiento y aumento de los costos operativos. La elección de un marco único como base para un programa resuelve muchos de estos desafíos y facilita la adaptación al cambio organizativo y regulatorio.

Sin embargo, la selección de un marco de privacidad no está exenta de sus propios obstáculos. Para superar o evitar estos problemas, hay algunas preguntas clave que se deben hacer:

• ¿Quién debe participar?
• ¿Cómo beneficiará un marco a la organización?
• ¿Qué procesos empresariales pueden verse afectados?
• ¿Qué marcos se están utilizando ya en la organización?
• ¿Qué requisitos reglamentarios (por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro Médico [HIPAA], la Ley de Privacidad del Consumidor de California [CCPA], el GDPR) deben tenerse en cuenta?

Aunque un marco de privacidad se centra en los esfuerzos de privacidad, afecta a muchas otras partes de la organización y puede superponerse con otros marcos utilizados por otras funciones comerciales.

Puede ser útil involucrar a personal de diversas funciones, como seguridad cibernética, TI, seguridad de la información, legal, cumplimiento, auditoría interna y gestión de riesgos, así como a los principales propietarios de procesos comerciales. Incluir una gama de funciones comerciales en el proceso de selección es importante, pero es importante establecer una autoridad (probablemente la persona que dirige los esfuerzos de privacidad de la organización) para tomar la decisión final.

Cualquiera que sea el marco elegido, debe apoyar los objetivos de la organización, la estrategia empresarial y las necesidades de las partes interesadas. Si no se ajusta a ninguno de estos elementos, la adopción en toda la empresa será difícil, lo que inhibirá el éxito del marco.

Implementación de su marco de privacidad

No existe un enfoque único para la selección y adopción de un marco. Sin embargo, la aplicación eficaz del marco puede garantizarse siguiendo los cuatro pasos siguientes:

1. Mapeo del marco y la regulación: si una organización necesita cumplir con múltiples regulaciones de privacidad, necesitará mapear cómo se solapan con su marco y entre sí. Además, este es el momento de tener en cuenta cualquier otro marco (por ejemplo, el NIST Cybersecurity Framework, ISO 27001) que la organización utiliza para asegurarse de que todo esté alineado. La delimitación de las zonas de control y su agrupación por reglamento y marco puede reducir la complejidad.
2. Adaptación a la empresa-Adaptar su marco al riesgo de privacidad específico de la organización y los requisitos reglamentarios ayudará a hacer que el proceso de implementación sea más suave. Esto significa modificar los controles para adaptarlos a funciones específicas del negocio y al entorno operativo, lo que requerirá la participación de otras partes del negocio. Pero trabajar con otros equipos para integrar su marco debería ayudar a asegurar la adopción en toda la empresa.
3. Documentación-Puede haber casos en los que un control específico no se aplica a la organización. Es una buena práctica documentar las razones comerciales para no aplicar el control. Si se mantiene una documentación adecuada del razonamiento detrás de la excepción, será un recurso para cualquier auditoría y evaluación futuras.
4. Comunicación-Una parte clave de la adopción exitosa es la comunicación. Es importante comunicar cualquier cambio que se produzca a los equipos de negocios centrales dentro de la organización. Es beneficioso prestar el apoyo adecuado a los equipos que puedan tener que hacer cambios como resultado de la adopción del marco.

Cualquiera que sea el marco o la combinación de marcos elegidos, debe haber una estrategia para llevar a cabo los controles necesarios para garantizar la privacidad y seguridad de la información. Simplemente tener un programa de privacidad y utilizar un marco en el papel no es suficiente. La organización debe contar con un proceso para poder aplicar, gestionar y mejorar los controles, así como procesos para revisar periódicamente los controles a fin de garantizar su eficacia.

Los beneficios de un marco de privacidad

Una vez que la organización ha instalado con éxito un marco de privacidad, implementado los controles correspondientes y establecido un programa para el monitoreo, la organización puede cosechar todos los beneficios maravillosos que proporciona un marco. Entre ellos se incluyen:

• Cumplimiento simplificado
• Resultados mensurables
• Reducción de los costes
• Mejora de la reducción del riesgo
• Evaluación eficaz del programa
• Alineamiento con la estrategia empresarial
• Unificación de los esfuerzos en materia de privacidad, seguridad y cumplimiento
• Un programa de privacidad sostenible

Elegir e implementar un marco de privacidad requiere una inversión significativa de tiempo y esfuerzo desde el principio, pero en última instancia proporciona a la organización un programa de privacidad eficiente y maduro que protege la información crítica y apoya los objetivos comerciales.

Nota del editor: Para obtener más información y ejemplos sobre este tema, lea el artículo reciente de la revista Minaz Khan, "Guía para seleccionar y adoptar un marco de privacidad," ISACA Journal, volumen 2, 2021.

Artículo original en inglés: https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2021/a-four-step-approach-to-adopting-a-privacy-framework