Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a los profesionales? Dan Raywood analiza las razones del cambio.

El año pasado se presentó la segunda versión del NIST Marco de ciberseguridad, una actualización de su versión de 2014 para ampliar el uso del marco, mejorar la orientación sobre la implementación y enfatizar la importancia de la gobernanza.

Naturalmente, la ciberseguridad y la privacidad van de la mano, y 12 meses después del Marco de Ciberseguridad revisado, el NIST anunció un período de revisión de dos meses en abril de 2025 para que el Marco de Privacidad considere nuevas incorporaciones y revisiones.

Gestionar los riesgos de privacidad

El año pasado vio el primer anuncio de las revisiones a la versión 1.1, con la Papel de conceptos lanzado en junio de 2024 antes de la Borrador público inicial que se publicó en abril.

El NIST afirma que se necesitan cambios en el Marco de Privacidad debido a la relación con su Marco de Ciberseguridad: los dos marcos tienen la misma estructura de alto nivel para que sean fáciles de usar juntos.

Julie Chua, directora de la División de Ciberseguridad Aplicada del NIST, calificó la actualización de "modesta pero significativa". Añadió: "El Marco de Privacidad puede utilizarse de forma independiente para gestionar los riesgos de privacidad, pero también hemos mantenido su compatibilidad con el Marco de Ciberseguridad 2.0 para que las organizaciones puedan utilizarlos conjuntamente para gestionar todo el espectro de riesgos de privacidad y ciberseguridad".

Actualización menor

Meghan Anderson, estratega de riesgos de privacidad del Programa de Ingeniería de Privacidad del NIST, explica que, en lugar de una revisión importante, se trata de "una actualización muy leve y menor".

En declaraciones a ISMS.online, Anderson afirma que el marco de privacidad «es una herramienta dinámica que evolucionará para satisfacer las necesidades de nuestros grupos de interés». En los cinco años transcurridos desde la publicación del primer marco de privacidad, estos han podido identificar áreas donde podrían implementarse las mejoras necesarias y considerar cambios tecnológicos.

Ella restó importancia a las revisiones de la versión 1.1, llamándolas “simplemente revisiones menores o reestructuraciones de las categorías en subcategorías”.

Sin embargo, reconoció que después de cinco años de la versión original, era hora de un cambio. "Fue como decir: 'Esto es un hito, actualicémoslo'", dice.

En concreto, Anderson afirma que, dado que el marco de privacidad se diseñó a partir del marco de ciberseguridad, es necesario mantener una conexión entre ambos. «Creo que lo mejor del marco de privacidad es su gran flexibilidad, lo que permite que muchas organizaciones o partes interesadas que lo utilizan puedan adaptarlo a sus necesidades, resultados y objetivos de privacidad».

Nuevos elementos

Uno de los cambios significativos en esta revisión es crear un versión en línea del marco. Más allá de simplemente publicarlo en el sitio web, esto significa que el NIST puede publicar actualizaciones oportunas y relevantes según las necesidades de los usuarios. Anderson afirma que se ha trasladado la sección tres, donde se incluye la guía sobre cómo usar el marco de privacidad.

“Esperamos que así sea un poco más interactivo y podamos actualizarlo con más frecuencia que en un documento PDF que permanece inmóvil”, dice. “Así, podemos publicarlo en el sitio web de forma más instantánea, a diferencia del PDF, cuya actualización, revisión y republicación requieren tiempo”.

También dice que los comentarios sobre las nuevas tendencias, como la IA, fueron comunes, por lo que se agregaron pautas adicionales sobre la relación entre la IA y la gestión de riesgos de privacidad, y ahora es una nueva sección en el borrador público inicial del marco de privacidad.

El borrador público inicial afirma que el marco revisado «puede ayudar a las organizaciones a identificar y gestionar los riesgos de privacidad que pueden surgir del procesamiento de datos dentro de los sistemas de IA a lo largo de su ciclo de vida». Esto incluye los riesgos de privacidad que surgen cuando los sistemas de IA se entrenan con datos recopilados sin el consentimiento de las personas o cuando las garantías de privacidad son insuficientes o inexistentes.

En algunos casos, la tecnología de IA puede ser el factor clave que genera riesgos para la privacidad y generar problemas de privacidad para individuos y grupos. La IA puede afectar la privacidad de individuos y grupos, lo que conlleva importantes impactos organizacionales, que van desde pérdidas de ingresos hasta daños a la reputación.

Por lo tanto, las organizaciones pueden utilizar el nuevo marco para “gestionar eficazmente los riesgos de privacidad de la IA y garantizar que los valores de privacidad organizacional se reflejen en el desarrollo y uso de los sistemas de IA”.

Evolución esencial

No es una solución completa, pero sin duda supone un avance. ¿Y desde la perspectiva del profesional? ¿Es suficiente para afrontar los desafíos actuales?

En declaraciones a ISMS.online, Tarun Samtani, miembro del consejo asesor de la IAPP, dice que la revisión propuesta “representa una evolución esencial” y elogia su alineación con el Marco de Ciberseguridad del año pasado.

Dijo que la revisión “cierra brechas operativas críticas entre seguridad y privacidad, un problema que he presenciado repetidamente”.

En particular, Samtani afirma que el marco actual ofrece una teoría sólida, pero presenta dificultades en su aplicación práctica. Al analizar el borrador de la versión 1.1, elogia la introducción de medidas para abordar los riesgos emergentes de la IA, pero afirma: «Carece de vías prácticas de implementación para organizaciones con recursos limitados».

Insuficiente No Obsoleto

Desde la perspectiva de un profesional, ¿considera que esta revisión es necesaria? ¿Estaban especialmente desactualizadas las directrices de la versión de 2020? Afirma que no están obsoletas, pero son cada vez más insuficientes. «Desde el lanzamiento de la versión 1.0 en 2020, hemos visto un crecimiento explosivo en el uso de sistemas de IA y la toma de decisiones automatizada, lo que ha generado nuevos riesgos para la privacidad», afirma.

La propuesta PFW 1.1 incorpora con acierto las nuevas consideraciones de IA, a la vez que refleja las lecciones aprendidas de los regímenes regulatorios en desarrollo. Esta oportuna actualización reconoce que la gestión de riesgos para la privacidad ahora se extiende más allá del procesamiento tradicional de datos y abarca la transparencia algorítmica.

Por otro lado, Samtani no elogió del todo las revisiones posteriores y afirmó que el borrador necesita métricas más claras más allá de los niveles de madurez y enfoques más prescriptivos para las empresas más pequeñas que navegan por el desafiante panorama actual de datos e inteligencia artificial.

Afirma: “Las mejoras estructurales de PFW 1.1 podrían abordar algunas preocupaciones de usabilidad, pero sin una guía de implementación estructurada, el cumplimiento podría resultar difícil de alcanzar, en particular para las organizaciones que carecen de programas de privacidad maduros”.

Afirma que la alineación estructural propuesta entre PFW 1.1 y CSF 2.0 aborda la fricción operativa, que ha observado al asesorar a organizaciones multinacionales. Recomendó tres mejoras prácticas para mejorar la usabilidad para los profesionales:

• En primer lugar, manuales de implementación integrados que demuestren una operacionalización simultánea.
• En segundo lugar, métricas estandarizadas entre marcos de trabajo para generar informes consistentes.
• En tercer lugar, perfiles tecnológicos específicos para escenarios comunes como las implementaciones de IA.

“Estas mejoras transformarían los marcos de referencia en herramientas operativas que impulsarían mejoras medibles en la gobernanza de la privacidad”, concluye. En respuesta,

Anderson dice que todos los comentarios sobre la revisión de la versión 1.1 son bienvenidos.

Revisar algo como esto conlleva desafíos, y los cambios tecnológicos de los últimos cinco años exigen esta revisión. Desde la perspectiva del cumplimiento normativo, la nueva versión no debería ser demasiado problemática, ya que los cambios no son demasiado significativos y deberían permitir a las empresas superar la brecha entre los marcos de ciberseguridad y privacidad.

Para muchos, estos cambios serán bienvenidos, pero las organizaciones más pequeñas o con menos recursos podrían tener dificultades sin vías de implementación más claras. Es aquí donde la transición a una versión en línea más dinámica del marco podría resultar más valiosa, permitiendo al NIST responder con mayor rapidez a los problemas emergentes y ofrecer una guía más práctica y evolutiva. Si bien el marco no satisfará a la perfección las necesidades de todos la primera vez, esta transición hacia un recurso dinámico y receptivo representa un avance significativo.