Auditoría básica: Auditando la privacidad de los datos

Me considero una persona reservada, así que naturalmente esta tendencia se refleja en mi perfil on-line. Tengo cuenta en Facebook e Instagram, pero estas fueron creadas inicialmente para monitorear la actividad de mis hijos en Internet y yo raramente, si alguna vez, posteo en ellas. También tengo cuenta en Twitter y LinkedIn, las que utilizo para publicar noticias relacionadas con tecnología, auditoría y ciberseguridad. Mi única presencia real on-line se ve reflejada en esta columna, en blogs relacionados y en cualquier posteo de ISACA para promover el mismo.

Entonces, ¿se mantiene mi privacidad? Con el advenimiento del aprendizaje de máquina (machine learning), es posible clasificar un texto de varias maneras. Existen servicios Web¹ que utilizan textos de entrenamiento etiquetados para determinar el estado de ánimo, el género, la edad y la personalidad de los autores de los contenidos.² He puesto algunas de mis columnas anteriores en ese sitio y algunas de sus clasificaciones son aterradoramente precisas.

Privacidad es el derecho de una persona a confiar en que otros usarán, almacenarán, compartirán y eliminarán de forma adecuada y respetuosa su información personal, sensible dentro del contexto, y de acuerdo con los propósitos para los cuales fue recolectada u obtenida.³ El contexto es importante. Soy consciente de que esta columna se publica on-line y no requiere una contraseña para acceder a ella, por lo tanto, no es razonable esperar que mi privacidad se mantenga por completo.

Sin embargo, tenga ahora en cuenta su último informe de auditoría. ¿Cómo se sentiría si se utilizara para clasificar su personalidad? ¿Podría su próximo ascenso ser resuelto por inteligencia artificial (AI)? ¿Es esto aceptable? Probablemente no sin un consentimiento. Entonces, ¿cómo podemos auditar para ayudar a mitigar éste y otros riesgos de privacidad?

En columnas anteriores,^{4, 5} defendí el uso de un documento de ISACA sobre la creación de programas de auditoría.⁶ Este artículo aplicará nuevamente este proceso para crear un programa de auditoría para la privacidad de su organización.

Determine el objeto de la auditoría

Lo primero que se debe establecer es el objeto de la auditoría. ¿Qué significa privacidad en su organización? Si existen distintas categorías de datos en uso para diferentes áreas del negocio, probablemente deberían registrarse como elementos separados del universo de auditoria. Sin embargo, fundamentalmente al considerar la privacidad, los datos pueden ser desglosados a datos almacenados en clientes y empleados (el derecho de una persona).⁷ Además de las bases de datos, los archivos y los documentos, también es importante considerar dónde se almacenan y/o desde dónde se obtienen los datos, incluyendo:⁸

• Medios de comunicación social
• Computación en la nube
• Dispositivos móviles
• Análisis de grandes datos/aprendizaje automático/IA
• Internet de las Cosas (IoT)
• Dispositivos personales (traiga su propio dispositivo [BYOD])
• Tecnologías de rastreo y vigilancia – drones, etiquetas de identificación por radio frecuencia (RFID), circuito cerrado de televisión (CCTV), dispositivos de posicionamiento global satelital (GPS)

La clave es considerar las categorías de datos y determinar el (los) sujeto (s) de auditoría. Usted necesita responder la pregunta clave: ¿Qué está auditando?

Defina el objetivo de la auditoria

Una vez que haya decidido lo que está auditando, necesita establecer el objetivo de la auditoría. ¿Por qué lo audita? Desde el punto de vista de un auditor, es recomendable adoptar una visión basada en el riesgo y definir los objetivos en consecuencia:

• Primero considere las siete categorías de privacidad:
  1. Privacidad de la persona
  2. Privacidad del comportamiento y la acción
  3. Privacidad de la comunicación
  4. Privacidad de datos e imagen (información)
  5. Privacidad de pensamientos y sentimientos
  6. Privacidad de la ubicación y el espacio (territorial)
  7. Privacidad de asociación⁹
• A continuación, considere el riesgo en las siete categorías (figura 1).¹⁰ El riesgo de privacidad puede generar publicidad adversa y daños a la reputación que resulten en pérdidas económicas y de clientes, incluyendo multas.
• Por último, considere los objetivos de auditoría. Es probable que esto incluya el cumplimiento de las leyes y regulaciones (por ejemplo, la Ley de Portabilidad y Responsabilidad del Seguro de Salud de Estados Unidos [HIPPA],¹¹ el Reglamento General de Protección de Datos de la UE [GDPR].^{12, 13} Y posiblemente el uso de un marco como el de la Organización Internacional de Normalización (ISO) y la norma de la Comisión Electrotécnica Internacional (IEC) ISO/IEC 29100:2011 Tecnología de la información—Técnicas de seguridad—Marco de privacidad.¹⁴ Sin embargo, también recomiendo considerar los Principios de Privacidad de ISACA (figura 2) para los Objetivos de Auditoría. ¿Porqué? Porque los principios fueron desarrollados considerando las leyes de privacidad, estándares, marcos y principios de todo el mundo. Por lo tanto, pueden actuar como un marco general y probablemente cubrirá todos los objetivos de privacidad.

Establecer el alcance de la auditoría

Cuando haya definido los objetivos de la auditoría, debe utilizar un proceso para identificar el alcance de los datos reales que deben auditarse. En otras palabras, ¿cuáles son los límites de la auditoría? Esto podría incluir datos en una aplicación, proceso, ubicación específica o almacenado por un determinado dispositivo. De nuevo, esto debería basarse en el riesgo.

Realizar una planificación previa a la auditoría

Ahora que ha identificado el riesgo, éste debe ser evaluado para determinar su importancia. Conducir una evaluación de riesgo es fundamental para establecer el alcance final de una auditoría basada en el riesgo. Cuanto más significativo es el riesgo, mayor es la necesidad de aseguramiento. Las consideraciones de aseguramiento de las muestras basadas en los principios de privacidad incluyen:¹⁵

• Elección y consentimiento—¿La organización garantiza que se ha obtenido el consentimiento apropiado antes de transferir información personal a otras jurisdicciones?
• Especificación de propósito legítimo y limitación de uso—¿La organización especifica el (o los) propósito (s) para el cual se recolecta la información personal?
• Información personal y ciclo de vida de la información sensible—¿La organización conserva la información personal por solo el tiempo que es necesario?
• Precisión y calidad—¿La organización implementa prácticas y procesos para asegurar que la información personal sea precisa, completa y actualizada?
• Apertura, transparencia y comunicación—¿La organización proporciona información clara y fácilmente accesible sobre sus políticas y prácticas de privacidad?
• Participación individual—¿La organización proporciona a los interesados un proceso para acceder a su información personal?
• Rendición de cuentas—¿La organización asigna roles, responsabilidades y autoridad para realizar procesos de privacidad?
• Medidas de seguridad—¿La organización se asegura de que existan medidas de seguridad apropiadas para toda la información personal?
• Monitoreo, medición y reporte—¿La organización reporta el cumplimiento de las políticas, normas y leyes?
• Prevención de daños—¿La organización establece procesos para mitigar cualquier daño personal que pueda ocurrir a los interesados?
• Gestión de terceros/proveedores—¿La organización implementa procesos de gobernanza para garantizar protección y uso apropiado de la información personal que se transfiere a terceros?
• Gestión del incumplimiento—¿La organización ha establecido una política y un procedimiento de apoyo documentado para identificar, escalar y reportar incidentes?
• Seguridad y privacidad en el diseño—¿La organización garantiza el apoyo ejecutivo para la identificación de la información personal y el riesgo de privacidad dentro de los eventos empresariales?
• Libre flujo de información y restricciones legítimas—¿La organización cumple con los requisitos de las autoridades de protección de datos aplicables para la transferencia de información personal a través de las fronteras de los países?

Deberían incluirse en el alcance del trabajo el entrevistar al auditado para indagar sobre actividades o áreas de preocupación. Una vez que están definidos el objeto, el objetivo y el alcance, el equipo de auditoría puede identificar los recursos que serán necesarios para realizar el trabajo de auditoría.¹⁶

Determinar los procedimientos de auditoría y los pasos para la recolección de datos

En esta etapa del proceso de auditoría, el equipo de auditoría debería tener suficiente información para identificar y seleccionar el enfoque o estrategia de auditoría y comenzar a desarrollar el programa de auditoría.¹⁷ Ahora tiene suficiente información para decidir qué documentos espera ver, qué leyes y regulaciones aplican, los criterios y a quién va a entrevistar. Sin embargo, usted necesita definir los pasos de prueba. En la segunda mitad del año 2017, ISACA lanzó un programa de auditoría/aseguramiento que define los pasos de prueba para la privacidad de los datos.¹⁸ Como siempre, esto debería considerarse como un punto de partida y debería ser ajustado basándose en los riesgos y criterios que sean relevantes para la organización que se está auditando. Vale la pena tomarse un tiempo para considerar el riesgo y la necesidad resultante del aseguramiento (figura 3).

Los pasos de prueba clave en el programa de auditoría están relacionados con la seguridad. Sin embargo, es importante recordar que seguridad no significa privacidad. La confidencialidad preserva las restricciones autorizadas de acceso y divulgación, incluyendo los medios para proteger la privacidad y la información propietaria.¹⁹ La privacidad es un posible resultado de la seguridad.²⁰

Conclusión

Las tecnologías nuevas y emergentes permitirán a las empresas obtener una mayor percepción y, por lo tanto, valor de los datos. Esto, sin duda, proporcionará una ventaja competitiva. Los Principios de Privacidad de ISACA pueden usarse como un marco general junto con estas tecnologías para proporcionar aseguramiento de que una organización respeta los derechos de privacidad de un individuo. Demostrar esto a esas personas también proporcionará una ventaja competitiva.

Notas finales

¹ uClassify is a free machine learning web service. https://www.uclassify.com/
² The Myers and Briggs Foundation, The Myers-Briggs Type Indicator, www.myersbriggs.org/my-mbti-personality-type/mbti-basics/
³ ISACA, ISACA Privacy Principles and Program Management Guide, USA, 2016
⁴ Cooke, I.; “Audit Programs,” ISACA Journal, vol. 4, 2017, https://www.isaca.org/resources/isaca-journal/issues
⁵ Cooke, I.; “Auditing Mobile Devices,” ISACA Journal, vol. 6, 2017, https://www.isaca.org/resources/isaca-journal/issues
⁶ ISACA, Information Systems Auditing: Tools and Techniques, Creating Audit Programs, USA, 2016
⁷ Op cit ISACA, ISACA Privacy Principles and Program Management Guide, p.11
⁸ Ibid. p. 31
⁹ Ibid. p. 28
¹⁰ Ibid. p. 31
¹¹ Department of Health and Human Services, Health Insurance Portability and Accountability Act, USA, https://www.hhs.gov/hipaa/index.html
¹² European Commission, 2018 Reform of EU Data Protection Rules, https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
¹³ Herold, R.; “Using ISACA Privacy Principles for GDPR Compliance,” COBIT Focus, August 2017
¹⁴ International Organization for Standardization, ISO/IEC 29100:2011, Information technology—Security techniques—Privacy framework, https://www.iso.org/standard/45123.html
¹⁵ Op cit ISACA, ISACA Privacy Principles and Program Management Guide, p. 44
¹⁶ ISACA, Audit Plan Activities: Step-By-Step, 2016
¹⁷ Ibid.
¹⁸ ISACA, IS Audit/Assurance Program, Data Privacy, USA, 2017
¹⁹ Op cit ISACA, ISACA Privacy Principles and Program Management Guide, p. 13
²⁰ Ibid.