Ingredientes claves para la planificación de la privacidad de la información

Las métricas asociadas con violaciones de datos de privacidad son asombrosas. En el año 2016, se registraron 554.454.942 registros de 974 incidentes reportados.¹ Para desglosar el tipo de datos afectados, 48 por ciento de los incidentes de violación de datos fueron para información de identificación personal (PII), 27 por ciento para datos de tarjetas de crédito y 11 por ciento fueron para información de salud física (PHI).²

Las causas principales de los incidentes de privacidad incluyen la subcontratación de datos, información privilegiada maliciosa, fallos del sistema, ataques cibernéticos y la falta de fragmentación o eliminación de datos de privacidad correctamente. El elemento humano de las brechas de datos es el resultado de la ingeniería social, la pretextación financiera (la práctica de obtener información personal bajo pretextos falsos), la extorsión digital, la amenaza interna y el uso indebido de los socios.³ Los dispositivos de conducción utilizados incluyen la infección Universal Serial Bus (USB) Conexiones de red, manipulación de saldos de cuenta y cuentas de acceso de puerta trasera. La explotación de la configuración y el software malicioso son también causas de los compromisos de datos.

Este artículo revisará muchos aspectos de la privacidad y se piensa como una cartilla para la privacidad de la información.

Los temas a revisar son categorías de privacidad, asuntos relacionados con el oficial de privacidad (OP), estrategia de gobierno, controles de privacidad y el plan de privacidad.

Categorías de privacidad

ISACA ha identificado siete categorías de privacidad que cada empresa debe abordar, como se muestra en la figura 1.⁴

Información sobre privacidad

Para abordar las preocupaciones personales y organizacionales de la privacidad de los datos, se creó la posición del PO. La figura 2⁵ muestra las preocupaciones sobre los datos, las áreas de riesgo y las preguntas que la OP debe hacer.

Todas estas preocupaciones ayudan a identificar el alcance y la complejidad del trabajo. Los métodos y técnicas de administración de datos que se deben emplear incluyen la identificación de datos, medidas de protección, monitoreo e informes de detección de intrusos, respuesta a eventos e incidentes de privacidad y recuperación de la organización a la normalidad (cuando sea posible).

Actividades de gobierno

La gobernabilidad de la información relacionada con la privacidad requiere que se desarrolle una estrategia personalizada para cualquier organización. Las actividades de gobernabilidad deben incluir:

• Identificar las partes interesadas y las asociaciones internas.
• Desarrollar declaraciones de visión, misión y valor con metas y objetivos. Esta información sería una referencia y un recurso para una carta de privacidad que se puede utilizar a lo largo del curso del esfuerzo de desarrollo de la política de privacidad.
• Establecer conexiones dentro de la organización para asegurar la cooperación y la eficiencia.
• Escribir una política de privacidad (descrita en la siguiente sección) para dirigir banderas de advertencia; alertas de compromiso del sistema; personas clave a contactar; y los procesos y procedimientos de respuesta, contención y recuperación.
• Desarrollar una estrategia de gestión de datos que incluya la recopilación de datos, el uso autorizado, los controles de acceso, la seguridad de la información y la destrucción de los datos/ información. Los aspectos funcionales clave son la evaluación, la protección, el mantenimiento de las operaciones de privacidad y la respuesta a los compromisos.
• Establecer un presupuesto de privacidad que incluya actividades de extensión y una reserva de contingencia para gastos de recuperación y emergencia. Los gastos incluirían investigaciones forenses, notificación a víctimas, apoyo de centros de llamadas, asesoramiento externo (por ejemplo, costos de litigios), mejoras de seguridad, pérdida de ingresos y valor de acciones, seguros, acciones de remediación, costos punitivos (por ejemplo, sanciones civiles y multas), reemplazo de tarjetas, daños por víctimas y costos de oportunidad.
• Realización de evaluaciones de impacto/auditorías. Se debe usar un cuestionario de evaluación de impacto sobre la privacidad (PIA) para informar al OP de posibles preocupaciones y posibles problemas cuando se desarrolle o cambie un sistema informático. La EIPA debe identificar los tipos de datos, el alcance de las personas afectadas, el tipo de información, cualquier nueva información obtenida y las otras preocupaciones descritas anteriormente. Las auditorías de privacidad pueden medir la efectividad, demostrar cumplimiento, aumentar la conciencia, revelar brechas y proporcionar una base para los planes de remediación y mejora. Los PIA pueden estar en todos los niveles, por ejemplo, departamento, sistema y proceso.
• Establecer un programa de monitoreo continuo. ¿El PO recibe información de seguimiento del sistema y de seguimiento del acceso a la red? ¿Está la OP informada de los resultados de las evaluaciones de sistemas independientes y/o internas? ¿Cubre la evaluación todos los controles de privacidad necesarios (que se mencionan en la sección siguiente)? ¿Se han realizado todas las acciones correctivas para limitar la posibilidad de un incidente de privacidad? Los informes de incumplimiento deben responder a las preguntas qué, dónde, cuándo, por qué, quién y cómo.
• Establecimiento de métricas. Las métricas deben ser específicas/sencillas, manejables, procesables, relevantes/orientadas a los resultados y oportunas (SMART). Ejemplos de métricas de privacidad incluyen el número de sistemas de datos de privacidad, el porcentaje de datos perdidos, el número de incidentes de privacidad, el número de sistemas afectados, el tiempo medio entre incidentes y el tiempo medio de recuperación. Los eventos de privacidad pueden no ser siempre grandes o orientados por computadora en naturaleza, pero pueden ocurrir a pequeña escala, por ejemplo, robo de identidad.
• Implementar un plan de respuesta a incidentes de privacidad (PIRP). Para responder rápidamente a las brechas de datos, el OP debe ser informado de todas las infracciones y tener información sobre los datos y sistemas comprometidos. El plan de incumplimiento debe incluir un cuestionario/formulario, roles y responsabilidades, puntos de información de contacto (por ejemplo, seguridad, administración, legal, relaciones públicas, organizaciones que gobiernan) y procedimientos de comunicación.
• Proporcionar un programa de concientización y capacitación sobre privacidad de la información. Esto podría incluir el desarrollo de folletos informativos y volantes para el personal interno y los contratistas. Todos los empleados, socios comerciales y contratistas deben recibir capacitación sobre la política y procedimientos de privacidad.
• Desarrollar un sitio web de privacidad para explicar el programa y mostrar a quién contactar con las preguntas. También podría incluir preguntas frecuentes.
• Asegurar que los planes de contingencia y recuperación de desastres puedan recuperar los datos

Controles de privacidad

Existen cuatro tipos de controles de privacidad gestión, operaciones informáticas, operaciones comerciales y técnicas. La implementación de los controles es fundamental para un programa de privacidad exitoso. Si el tiempo lo permite, deben implementarse en el siguiente orden: identificar áreas de preocupación, implementar medidas de protección, instalar mecanismos de detección y emplear técnicas de gestión de respuesta.

Los cuatro tipos de controles de privacidad se describen a continuación:⁶

1. Controles de gestión

• Identificación—Las responsabilidades de identificación incluyen la documentación de la autoridad legal, el escrutinio de los nuevos usos de la IIP y el inventario de los programas y sistemas de IIP.
• Medidas de protección—La administración de medidas de protección debe monitorear las leyes para los cambios; designar el PO; proporcionar financiación; procedimientos y herramientas de actualización; explicar el programa de privacidad; asignar funciones y responsabilidades; definir declaraciones de privacidad en contratos, documentos de adquisición y sitios web; publicar avisos de privacidad, políticas y procedimientos; desarrollar un plan estratégico de privacidad; identificar y explicar por qué se recopila la IIP; limitar la recolección y retención de PII; sistemas de diseño para apoyar la privacidad (por ejemplo, minimización de datos); emitir guía de integridad de datos; tener acuerdos de compartición externa; y designar una junta de integridad de datos y retener PII.
• Detección—Esta actividad incluye la realización de PIA, la evaluación del riesgo y el seguimiento de incidentes.
• Gestión de respuesta—Esta actividad incluye reportar incidentes a la administración y los órganos de gobierno de acuerdo con la ley.

2. Controles de operaciones de computadora

• Identificación—Identificar los sistemas y archivos afectados.
• Medidas de protección—Las responsabilidades incluyen la implementación y mantenimiento de sistemas de protección de datos y prevención de derrames; proteger las IIP en las pruebas, la capacitación y la investigación; desarrollar y mantener un PIRP; y personal de capacitación y monitoreo.
• Detección—Las operaciones deben escribir informes de incidentes y de actividad para la gestión.
• Gestión de respuesta—Las responsabilidades incluyen la capacitación y el apoyo forense; emisión de alertas de derrames y de violaciones de datos; y utilizando métodos aprobados para eliminar o destruir PII según lo prescrito por la administración.

3. Controles de operaciones comerciales

• Identificación—Identificar qué operaciones comerciales se ven afectadas.
• Medidas de protección—Las medidas incluyen aprobar el contenido del sitio web, explicar el consentimiento y el programa de uso de la información, y obtener el consentimiento de la parte afectada cuando sea aplicable.
• Detección—Esta actividad incluye el monitoreo de las prácticas comerciales para el fraude, el robo de identidad y el uso incorrecto de los datos.
• Gestión de respuesta—Esta área cubre actividades de manejo de derrames de datos, seguimiento y retención de registros de divulgación, notificación a los afectados, suministro de información a los solicitantes, corrección de PII errónea, explicación de derechos individuales, manejo de quejas y respuesta a incidentes de derramamiento de privacidad.

4. Controles técnicos

• Identificación—Esta actividad incluye revisar y evaluar herramientas de seguridad y determinar si otras herramientas necesitan ser adquiridas e implementadas.
• Medidas de protección—Las medidas incluyen autenticación de cuenta (por ejemplo, cuenta con una contraseña); proporcionar tarjetas de acceso de usuario; utilizando autenticación multifactor, tiempo de espera automático y controles de acceso externos/remotos; cifrado de datos en tránsito y en reposo, dispositivos de protección de red y software; actualizaciones de software y parches; controles de integridad de datos; pruebas de control técnico; y desinfectar y destruir datos de acuerdo con las regulaciones gubernamentales.
• Detección—Esta categoría incluye el uso de software de minería de datos y técnicas de detección cibernética. También podría incluir el uso de software de vigilancia en la infraestructura de sistemas y dispositivos en el edificio, así como controles de auditoría de transacciones de sistemas y aplicaciones.
• Gestión de respuesta—Se necesitan técnicas y software de análisis forense de computadoras.

Plan de privacidad

Un plan de privacidad debe incluir información para la administración, operaciones de manejo de datos (por ejemplo, el centro de datos o proveedor de servicios), operaciones comerciales y controles técnicos. El contenido del plan debe incluir lo siguiente:

• Lista de autoridades—Esta lista identifica quién está dictando los requisitos de cumplimiento e información y también podría incluir la fuente de orientación y normas.
• Definiciones—Los tipos de datos de privacidad deben definirse para respaldar la información contenida en el plan
• Alcance y propósito—El plan debe indicar quién es afectado por el plan, una descripción general del plan y por qué se escribió.
• Roles y responsabilidades—Los roles de varias áreas de la empresa, incluyendo el PO, la oficina de seguridad de la información, departamento legal, recursos humanos, relaciones públicas, mercadeo, desarrollo comercial, finanzas y atención al cliente deben ser listados en el plan de privacidad. Es importante que cada área sepa qué necesita ser comunicado y qué debe hacerse, en qué orden y en qué plazo. Esto debe complementarse con ejercicios de entrenamiento y periódicos de mesa.
• Controles de privacidad—El plan debe describir los requisitos de las cuatro categorías de controles (descritas anteriormente) y cómo se implementarán los controles.
• Otras consideraciones—Esta parte del plan abordaría áreas de la estrategia de gobernabilidad no cubiertas y podría orientarse a la industria o área de interés personal (por ejemplo, financiera, médica). También puede ser necesaria una lista de acrónimos.

Conclusión

El PO debe identificar los datos, entender el uso comercial de los datos, proteger los datos, detectar cuándo los datos están en peligro o han sido expuestos, y saber cómo y qué hacer al respecto. Unirse a asociaciones de privacidad, suscribirse a revistas relacionadas con la privacidad, seguir las mejores prácticas de las organizaciones de privacidad y tener un plan integral de privacidad ayudará a proteger los datos ya todos los involucrados.

Notas finales

¹ Gemalto, 2016 It’s All About Identity Theft, 2016, www6.gemalto.com/breach-level-index-report-1H-2016-press-release
² Verizon, 2016 Data Breach Investigations Report, 2016
³ Verizon, Verizon Data Breach Digest: Perspective Is Reality, 2017, www.verizonenterprise.com/resources/reports/rp_data-breach-digest_xg_en.pdf
⁴ ISACA, “The Seven Categories of Privacy That Every Enterprise Must Address”
⁵ International Association of Privacy Professionals (IAPP), Privacy Program Management: Tools for Managing Privacy Within Your Organization, USA, 2013
⁶ National Institute of Standards and Technology (NIST), Security and Privacy Controls for Federal Information Systems and Organizations, Special Publication (SP) 800-53 Rev. 4, USA, 2013, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf