El RGPD de la UE se centra fundamentalmente en los riesgos para la privacidad. Evitar violaciones de la privacidad implica comprender y mitigar dichos riesgos. Pero ¿qué es el riesgo para la privacidad? El RGPD de la UE lo menciona 75 veces, pero nunca explica cómo medirlo. Si bien advierte que las conductas de riesgo incluyen el procesamiento de datos a gran escala con fines de elaboración de perfiles personales, incluso incluye una recomendación para eliminar los riesgos de identificación mediante la desidentificación, no explica cómo una organización puede implementar la monitorización de los riesgos para la privacidad y hacerla viable.
Identificando la inseguridad
La medición de riesgos se ha puesto de moda en el ámbito de la seguridad en las últimas dos décadas. Resulta que la inseguridad no surge de la nada. Es la acumulación de pequeños errores involuntarios. Pequeños errores, equivocaciones y comportamientos deficientes dan lugar a vulnerabilidades. Identificar y eliminar estos factores que contribuyen al riesgo no garantiza la ausencia total de violaciones de seguridad, pero puede contribuir considerablemente a reducir su probabilidad. Por ello, las organizaciones actuales utilizan herramientas para medir el riesgo de seguridad del código, el riesgo de código abierto, el riesgo de firewall, el riesgo de sitios web y el riesgo de socios, por ejemplo. Sin embargo, el riesgo en la privacidad no ha alcanzado el mismo nivel de atención ni de operacionalización.
Riesgo de privacidad redux
Existen varias razones por las que las mediciones de riesgos de privacidad nunca alcanzaron la misma popularidad que la medición de riesgos de seguridad. En primer lugar, los abogados —los responsables tradicionales de las políticas de privacidad— tenían una reticencia natural al término. En segundo lugar, nunca se hizo mucho hincapié en la tecnología en la privacidad; personas y procesos, sí, pero no productos, lo que dificultaba la cuantificación del riesgo y la hacía prácticamente imposible de implementar. Por último, la idea de la puntuación de riesgos en la privacidad carecía de un catalizador que la impulsara. La seguridad estaba sujeta a la amenaza de infracciones o a regulaciones con fuertes multas como la SOX; el riesgo de privacidad no tenía una urgencia similar, hasta la llegada del RGPD.
El riesgo en cifras
El Reglamento General de Protección de Datos (RGPD), junto con otras nuevas normativas nacionales de privacidad, si bien no especifica cómo medir el riesgo para la privacidad, detalla un conjunto de expectativas claras de privacidad para los recopiladores y procesadores de datos personales. No cumplir con estas expectativas constituye una posible infracción del reglamento. Por lo tanto, los derechos y obligaciones en materia de datos que las organizaciones deben satisfacer definen un conjunto de métricas para medir el riesgo para la privacidad, asumiendo que estas métricas pueden cuantificarse y compararse fácilmente. No obstante, la mayoría de las empresas también querrán la flexibilidad de complementar estos parámetros de riesgo impulsados por la normativa con configuraciones específicas de la empresa basadas en los datos encontrados, los metadatos y los comportamientos de acceso a los datos, como el tipo de datos, el uso de los datos, la confidencialidad del interesado, la confidencialidad de los procesos de negocio (a través de un mapa de flujo de datos), el consentimiento o el comportamiento de acceso. Este tipo de datos no siempre es fácil de descubrir. No obstante, las nuevas herramientas de mapeo de datos como BigID facilitan la búsqueda y el uso de esta información, lo que hace viable su utilidad en el análisis de riesgos.
Pero una vez que una organización adopta una herramienta de mapeo de datos basada en datos, también se dispone de otras medidas objetivas de riesgo. Por ejemplo, muchas organizaciones promulgan políticas internas para la retención de datos, los flujos transfronterizos, la reidentificación de datos anonimizados o qué datos tokenizar. Todo esto puede medirse y, por lo tanto, utilizarse en una puntuación de riesgo con una herramienta de mapeo de datos como BigID.
Conócelo si lo mides
Como los profesionales de la seguridad aprendieron hace mucho tiempo, medir el riesgo de seguridad puede ser útil para gestionarlo. Históricamente, la idea de una medición de riesgos práctica era problemática en el ámbito de la privacidad, ya que los parámetros eran más legales que basados en datos. Sin embargo, a medida que se implementan nuevas regulaciones como el RGPD y las organizaciones obtienen una mejor comprensión de los datos que recopilan y procesan en respuesta, es posible trasladar el riesgo de un ámbito de "lo sé si lo veo" a uno prescriptivo y preciso.
Autor
