Marco de privacidad de NIST

El NIST Privacy Framework es una herramienta voluntaria creada por el Instituto Nacional de Estándares y Tecnología, que establece estrategias para que las organizaciones del sector privado mejoren sus prácticas de gestión de riesgos de datos.

El propósito del marco es ayudar a las organizaciones a mantener sus prácticas de manejo de datos seguras, privadas y legalmente compatibles en todos los niveles organizacionales y estaba destinado a tomadores de decisiones de nivel C sin antecedentes técnicos.

El Marco de privacidad de NIST, lanzado en enero de 2020, sigue la misma estructura que el Marco de seguridad cibernética de NIST 2014 para alentar a las organizaciones a usarlos juntos. Al igual que el marco de ciberseguridad, el marco de privacidad se compone de tres secciones principales: núcleo, perfiles y niveles de implementación.

  • El Nuestros es el cuerpo de actividades específicas de protección de la privacidad recomendadas por NIST.
  • perfiles Evaluar las prácticas y los recursos existentes y compararlos con la privacidad de los datos de la organización.
  • Implementación Niveles son una escala para medir el grado en que una organización exhibe características del marco.

El marco de privacidad no es una solución única para la gestión de la privacidad. Como es una herramienta voluntaria y no un reglamento o ley, las organizaciones pueden optar por adoptar o ignorar cualquiera de sus contenidos. El uso del marco hasta cierto punto se recomienda para todas las organizaciones que recopilan y procesan datos de clientes, especialmente aquellas que recopilan datos confidenciales.

La recopilación y el uso de datos de clientes son una parte clave de muchas tecnologías beneficiosas para el consumidor. Sin embargo, la recopilación y el almacenamiento de datos personales, especialmente los datos confidenciales, pueden presentar graves riesgos tanto para los clientes como para las organizaciones si no se protegen adecuadamente. Por lo tanto, NIST redactó el Marco de privacidad para ayudar a las organizaciones a protegerlos a ellos y al consumidor de las consecuencias del mal manejo de los datos, sin desalentar la innovación.

Estructura del marco

La estructura del Marco de privacidad de NIST se puede desglosar de la siguiente manera.

Núcleo. El conjunto de actividades y resultados de protección de la privacidad individual. El Core se divide en tres elementos: funciones, categorías y subcategorías. Las funciones son la unidad más grande y se dividen en categorías y subcategorías.

  • Las funciones clave organizar grupos de actividades de privacidad por un propósito amplio. La -P muestra que estas son funciones en el núcleo del marco de privacidad, que no deben confundirse con las del núcleo del marco de ciberseguridad.
      • Identificar-P. Desarrolla la comprensión de la organización de los posibles riesgos de privacidad en sus operaciones. Incluye evaluaciones de riesgos y comprensión de los clientes.
      • Gobierno-P. Desarrolla una comprensión continua de las prioridades de riesgo de privacidad de una organización.. Se centra en las políticas de privacidad, las consideraciones legales y reglamentarias y la tolerancia al riesgo.
      • Control-P. Se enfoca en el desarrollo e implementación de actividades para la gestión de riesgos de privacidad, tanto desde el punto de vista de la organización como del individuo.
      • Comunicarse-P. Se centra en la educación continua dentro de la organización sobre las prácticas y los riesgos adecuados de procesamiento de datos de los clientes.
      • Proteger-P. Desarrolla e implementa medidas de protección del procesamiento de datos.
  • Categorías son subdivisiones de una función en grupos relacionados.
  • subcategorías Hay más subdivisiones de categorías en resultados específicos de las actividades de gestión de la privacidad. 

Estructura del núcleo de NIST

NIST

Estructura del núcleo

Perfiles. Selección priorizada de actividades de gestión de riesgos de privacidad. Los perfiles utilizan una selección personalizada de funciones, categorías y subcategorías priorizadas del núcleo para definir un perfil actual de actividades de gestión de la privacidad y un perfil objetivo de preparación para la gestión de la privacidad. Para identificar las lagunas en su enfoque de gestión de la privacidad, desarrolle un plan concreto para superarlas e identifique los recursos necesarios.

Niveles de implementación. Una escala que se utiliza para evaluar hasta qué punto una organización exhibe las características del Marco de privacidad. Los niveles de implementación se pueden utilizar como puntos de referencia para el progreso y para comprender la escala de recursos y procesos. Los niveles de implementación incluyen cuatro tipos:

  • Parcial (nivel 1)
    • Las medidas de gestión de riesgos no están formalizadas y solo cuando son necesarias.
    • Conocimiento limitado del riesgo de privacidad.
    • Comprensión limitada del papel de una organización en los riesgos de privacidad.
    • Falta de responsabilidades específicas de gestión de riesgos de privacidad en el personal.
  • Riesgo informado (Nivel 2)
    • Prácticas de gestión de riesgos aprobadas por la dirección pero no aceptadas de forma inequívoca a nivel de toda la organización.
    • Conciencia a nivel organizativo del riesgo de privacidad, pero sin un enfoque formal en vigor.
    • Comprensión de los riesgos de una organización con respecto a sus propios productos y servicios ofrecidos y utilizados, pero no se han tomado medidas consistentes.
    • Comprensión limitada del papel de una organización en el ecosistema de procesamiento de datos.
    • Personal con algunas responsabilidades en materia de privacidad, capacitación regular en materia de privacidad implementada; sin embargo, no hay procesos consistentes para monitorear las mejores prácticas.
  • Repetible (Nivel 3)
    • Prácticas de gestión de riesgos de privacidad implementadas como política formal.
    • Prácticas de gestión de riesgos de privacidad en toda la organización
    • La organización comprende su papel en el ecosistema de procesamiento de datos y puede contribuir a una mayor comprensión de los riesgos en la comunidad.
    • La organización es consciente de los riesgos derivados de sus propios productos y servicios ofrecidos y utilizados y toma medidas formales para minimizarlos.
    • Personal dedicado a la gestión de la privacidad en el personal.
  • Adaptable (nivel 4)
    • La organización adapta sus políticas y prácticas a los riesgos de privacidad nuevos y existentes.
    • El enfoque para administrar el riesgo de privacidad es integral y en toda la organización.
    • Actúa constantemente sobre los riesgos de privacidad con los que está asociado.
    • Contribuye a que la comunidad comprenda los riesgos de privacidad.

Marco de privacidad del NIST frente al marco de ciberseguridad del NIST

El marco de privacidad de NIST sigue la misma estructura que el marco de ciberseguridad de 2014 (núcleo, perfiles, niveles) para fomentar el uso de los dos marcos en conjunto.

Funciones principales de NIST

NIST

Diagrama que muestra las funciones principales superpuestas entre el marco de privacidad y el marco de ciberseguridad

Aunque la gestión de los riesgos de ciberseguridad contribuye a gestionar el riesgo general de privacidad de la información de una organización, el marco de ciberseguridad del NIST, por sí solo, no es suficiente para gestionarlo de forma eficaz. Esto se debe a que existen riesgos de privacidad no relacionados con la ciberseguridad. NIST define los riesgos de ciberseguridad como asociados con incidentes de ciberseguridad que surgen de la pérdida de confidencialidad, integridad o disponibilidad. Los riesgos de privacidad se definen como problemas potenciales que las personas podrían experimentar derivados de las operaciones del sistema, producto o servicio con datos.

Sin embargo, los riesgos de privacidad relacionados con la ciberseguridad son un área de superposición entre estos dos marcos e incluyen eventos como violaciones de datos. Según el sitio web de NIST, Protect-P from the Privacy Framework, junto con las funciones Detect, Respond and Recover del Cybersecurity Framework, para la gestión de los riesgos de privacidad relacionados con la ciberseguridad.

Los casos de uso

El marco de privacidad del NIST está destinado a abrir el diálogo sobre la seguridad de los datos en todos los niveles organizativos y se redactó especialmente con los responsables de la toma de decisiones de nivel C sin antecedentes técnicos en mente.

El marco puede ayudar a las organizaciones a:

  • optimizar la innovación tecnológica y el uso de datos, minimizando al mismo tiempo los riesgos asociados para las organizaciones;
  • apoyar la toma de decisiones éticas en operaciones que afectan la gestión de la privacidad;
  • Cumplir con ciertas leyes, como la Ley de Privacidad del Consumidor de California (CCPA) y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE);
  • planificar, diseñar e implementar productos y servicios que prioricen la privacidad de los datos;
  • informar las decisiones de compra sobre productos y servicios relacionados con la privacidad de los datos; y
  • establecer o mejorar las políticas o el programa de privacidad de una organización.