El Instituto Nacional de Estándares y Tecnología (NIST) anunció la semana pasada la versión 1.0 de su Marco de Privacidad, una herramienta diseñada para ayudar a las organizaciones a administrar los riesgos de privacidad.
El NIST publicó un borrador preliminar del Marco de Privacidad en septiembre de 2019, cuando solicitó comentarios públicos. La agencia inicialmente esperaba lanzar la versión 1.0 a fines de 2019, pero se anunció oficialmente el pasado 16 de enero.
El Marco de privacidad de NIST está diseñado para ayudar a las organizaciones de todos los tamaños y en todos los sectores a administrar los riesgos de privacidad al enfocarse en tres aspectos principales: tener en cuenta la privacidad al desarrollar un producto o servicio, comunicarse sobre prácticas de privacidad y colaboración entre organizaciones.
El marco tiene tres partes principales: el núcleo, los perfiles y los niveles de implementación. El núcleo proporciona un conjunto granular de actividades y resultados cuyo objetivo es permitir la comunicación interna. Los perfiles representan funciones, categorías y subcategorías del núcleo que han sido priorizadas por una organización. Finalmente, los niveles de implementación ayudan a las organizaciones a optimizar los recursos necesarios para lograr su perfil objetivo.
NIST ha señalado que el Marco de Privacidad no es una ley o regulación, sino una herramienta voluntaria que puede usarse para gestionar riesgos y garantizar el cumplimiento de la legislación vigente, como el GDPR y el CCPA de California.
"Lo que encontrará en el marco son bloques de construcción que pueden ayudarlo a alcanzar sus objetivos de privacidad, que pueden incluir leyes que su organización debe cumplir obligatoriamente", dijo Naomi Lefkovitz, asesora principal de políticas de privacidad de NIST que dirigió el desarrollo del marco. . “Si desea considerar cómo aumentar la confianza del cliente a través de más productos o servicios de protección de la privacidad, el marco puede ayudarlo a conseguirlo. Pero lo diseñamos para ser independiente de cualquier ley, por lo que puede ayudarlo sin importar cuáles sean sus objetivos”.
Según Lefkovitz, el marco también debería facilitar a las organizaciones mantenerse al día con los avances tecnológicos y los nuevos usos de los datos.
"Una clase de datos personales que consideramos de poco valor hoy puede tener un uso completamente nuevo en un par de años, o puede tener dos clases de datos que no son sensibles por sí mismos, pero si los reúne, de repente pueden volverse sensibles como una unidad", explicó. "Es por eso que necesita un marco para la gestión del riesgo de privacidad, no solo una lista de verificación de tareas: necesita un enfoque que le permita reevaluar y adaptarse continuamente a los nuevos riesgos".
NIST dice que el Marco de Privacidad está destinado a complementar el Marco de Ciberseguridad de NIST, y ambos se actualizarán con el tiempo.
El Marco de privacidad de NIST: una herramienta para mejorar la privacidad a través de la gestión de riesgos empresariales está disponible en formato PDF en el sitio web de NIST.
Fuente: Security Week
0 Comentarios