En NIST Marco de privacidad, finalizado a principios de este año, es un conjunto de directrices para ayudar a las organizaciones a gestionar los riesgos de privacidad. Creado por Instituto Nacional de Estándares y Tecnología (NIST)El marco de privacidad establece un entendimiento común y un conjunto de prácticas para mejorar las posturas de privacidad de datos y reducir el riesgo, y puede servir como base sobre la cual las organizaciones construyen sus programas de privacidad.
Los programas tradicionales de seguridad de datos ya no son suficientes para gestionar las preocupaciones sobre la privacidad de los datos, cumplir con las regulaciones y proteger los datos de los consumidores. Deben coordinarse con programas de privacidad de datos específicos para construir una estrategia de seguridad más sólida en todo el entorno de datos.
Los objetivos clave del Marco de Privacidad del NIST son:
- Ayudar a las organizaciones a mejorar sus estándares de privacidad de datos a través de la gestión de riesgos empresariales
- Proporcionar a las organizaciones un conjunto de pautas que aborden las prácticas de privacidad actuales.
- Adaptarse a los próximos cambios y desafíos que presentan las nuevas regulaciones de privacidad de datos
- Alinearse con el Marco de Ciberseguridad del NIST
La privacidad se basa en la seguridad: Marco de ciberseguridad del NIST
El Marco de Privacidad del NIST complementa el Marco de Ciberseguridad del NIST (CSF) existente, y ambos ofrecen pasos para que las organizaciones adopten una postura más firme sobre el riesgo, la privacidad y la seguridad.
El Marco de Ciberseguridad (CSF) del NIST se redactó originalmente para abordar la brecha existente en los estándares de ciberseguridad de terceros, con el fin de abordar el problema emergente (y creciente) de los ciberataques y las fugas de datos, manteniendo al mismo tiempo un enfoque de defensa en profundidad. Estas directrices se elaboraron para fomentar una mentalidad compartida, crear coherencia y capacitar mejor a las organizaciones para desarrollar posturas de seguridad sólidas que permitan abordar el aumento de riesgos.
El CSF permite a las organizaciones evaluar y desarrollar su capacidad para prevenir, detectar y responder a ciberataques. Todo con el objetivo de proteger los datos, para que las organizaciones puedan minimizar el riesgo y desarrollar un programa de ciberseguridad sostenible.
Tuvo tanto éxito y fue tan bien recibido que decidieron crear un marco de privacidad, como directrices paralelas y complementarias para gestionar privacidad riesgo.
Juntos, estos dos marcos están diseñados para ayudar a las empresas a priorizar y desarrollar la estrategia adecuada para la privacidad y la protección de datos, y cerrar la brecha entre la privacidad y la seguridad.
Elementos fundamentales para la privacidad de datos
El CSF del NIST se divide en cinco funciones principales clave: Identificar, proteger, detectar, responder y recuperar. El Marco de Privacidad adopta esa misma estructura, pero se centra en las funciones clave para Identificar, gobernar, controlar, comunicar y proteger.
Identifique: Desarrollar la comprensión organizacional para gestionar el riesgo de privacidad de las personas que surge del procesamiento de datos.
Dentro de la función de identidad, las organizaciones deben ser capaces de: conocer sus datos con el fin de realizar un inventario preciso y mapear sus datos (junto con todo su entorno comercial), evaluar el riesgo y obtener un panel único para tener visibilidad completa de sus datos, donde sea que se encuentren.
Para identificar eficazmente el riesgo que surge de los datos tratamiento, las organizaciones deberían tomar una enfoque de descubrimiento en profundidad poder crear un inventario de cuyos datos están siendo procesados, registrar el propósito del procesamiento, e identificar datos de alto riesgo.
Gobernar: Desarrollar e implementar la estructura de gobernanza organizacional para permitir una comprensión continua de las prioridades de gestión de riesgos de la organización que se basan en el riesgo de privacidad.
La función de gobernanza destaca la necesidad de una sólida estrategia de gestión de riesgos: para gestionar los riesgos, las organizaciones deben identificar los requisitos regulatorios y de cumplimiento, establecer un flujo de trabajo de políticass, promulgar políticas de retención de datos y establecer puntos de referencia de calidad de datos.
Control: Desarrollar e implementar actividades apropiadas para permitir que las organizaciones o personas gestionen datos con suficiente granularidad para gestionar los riesgos de privacidad.
La función de control del Marco de Privacidad del NIST describe la necesidad de políticas, procesos y procedimientos de procesamiento de datos. El primer paso para abordar esto es crear un inventario de datos unificado que mapee todos los datos, en todas partes, junto con un catálogo de datos Vista para gestionar, supervisar y rastrear fácilmente los datos que se procesan. Las organizaciones pueden incorporar inteligencia de acceso para identificar quién puede (y quién debe) acceder a datos personales y confidenciales, aplicar y hacer cumplir políticas sobre datos confidenciales y Obtenga visibilidad completa de sus entornos de datos para gestionar eficazmente el riesgo.
Comunicar: Desarrollar e implementar actividades apropiadas para permitir que las organizaciones y las personas tengan una comprensión confiable y participen en un diálogo sobre cómo se procesan los datos y los riesgos de privacidad asociados.
Las organizaciones deben poder comunicar qué datos se procesan y por qué, garantizando así la transparencia en la recopilación y el procesamiento de datos. Deben poder informar sobre qué datos se procesan (y por qué). supervisar (y divulgar) el intercambio de datos, informar y validar la eliminación de datos y poder identificar y notificar a las personas si sus datos se han visto comprometidos en una violación.
Proteger: Desarrollar e implementar salvaguardas adecuadas para el procesamiento de datos.
Para proteger los datos personales y sensibles, las organizaciones deben establecer prácticas de seguridad básicas, identificar y gestionar riesgos, y mantener políticas coherentes para proteger los datos sensibles y personales. Esto abarca desde el establecimiento de planes de respuesta a incidentes hasta la gestión y monitorización proactiva de datos sensibles en toda la organización, tanto para datos en reposo como en movimiento. Es fundamental poder gestionar y monitorizar el acceso a datos sensibles, proteger los datos vulnerables contra posibles fugas de datos y ciberataques, y poder aplicar automáticamente las medidas de control ante infracciones de políticas.
Un marco para la gestión de la privacidad
A medida que las regulaciones sobre privacidad y protección de datos continúan evolucionando, es más importante que nunca establecer un marco para la gestión de la privacidad.
Las regulaciones desde la Ley SHIELD de Nueva York hasta la CCPA y el RGPD de la UE subrayan la importancia de establecer un programa de privacidad que no solo se alinee con la seguridad, sino que también pueda adaptarse a las definiciones cambiantes de datos confidenciales:
“Una clase de datos personales que hoy consideramos de poco valor puede tener un uso completamente nuevo en un par de años”. dice Naomi Lefkovitz, asesora senior de políticas de privacidad del NISTO puede que tenga dos clases de datos que no son sensibles por sí solos, pero si los combina, de repente podrían volverse sensibles como un todo. Por eso necesita un marco para la gestión de riesgos de privacidad, no solo una lista de tareas: necesita un enfoque que le permita reevaluar y adaptarse continuamente a los nuevos riesgos.
BigID está diseñado específicamente para la era de la privacidad: como una plataforma de inteligencia de datos moderna con una base de descubrimiento en profundidad, BigID se alinea con los marcos de privacidad para brindar cumplimiento de privacidad sostenible, protección de datos procesable e inteligencia de datos de próxima generación. Vea cómo BigID se relaciona con el Marco de privacidad del NIST con una demostración en vivo – y aprenda cómo tomar medidas para garantizar la privacidad, la protección y la perspectiva.
Autor
