Estrategias para abordar los riesgos asociados con el uso de la geolocalización

No está claro si las empresas tienen una obligación legal con los usuarios y desarrolladores de los datos de geolocalización. Sin embargo, a pesar de las pautas legales o la ausencia de ellas, existen dos caminos que pueden reducir el riesgo de la geolocalización a través de las medidas de seguridad de la tecnología y a través del usuario.

Existe una urgencia implícita en abordar ese riesgo porque el genio de la geolocalización está fuera de la botella, por así decirlo.

El proveedor de geolocalización y otros terceros deben implementar las protecciones pertinentes y un programa de gobierno de la seguridad y privacidad. Las empresas no deben ver la privacidad como un obstáculo normativo. El programa implementado debe ser proactivo. Por lo tanto, la empresa debe recibir capacitación sobre lo que necesita en ausencia de un mandato legal, guías de auditoría o normas, o en la presencia del riesgo de la confidencialidad. Cada departamento dentro de una empresa debería gestionar proactivamente los datos de entrada y salida de la tecnología y proporcionar una retroalimentación sobre la estrategia.

Se deben aplicar controles generales adecuados dentro de la tecnología de geolocalización. Por ejemplo, el sistema operativo y el software deben actualizarse periódicamente con software antivirus, deben aplicarse parches y realizarse copias de seguridad periódicamente. Además, deben existir controles de acceso físico y lógico que restrinjan el acceso a “aquellos que necesiten tenerlo” y bajo monitoreo para prevenir accesos no autorizados.

Así mismo, se recomienda seguir el principio de “mantener lo mínimo por el período de tiempo más corto”, siendo recomendable el uso de técnicas de conversión de información en anónima. Es posible que estos controles generalizados no impacten directamente la protección de la información personal, pero son extremadamente importantes y proporcionan las bases para una infraestructura de tecnología de defensa fuerte y en profundidad.

Otra tarea de gran importancia es la clasificación de los datos. Si no se sabe dónde se encuentran los datos, quiénes son sus propietarios ni su origen, éstos no pueden protegerse de forma adecuada.

Mediante la clasificación de los datos, la empresa debe identificar los datos que se consideran información personal y confirmar que existan mecanismos apropiados, tales como la encriptación, para reducir el riesgo de divulgación. Además, los datos que se consideran información personal deben ser redactados o bien convertidos en anónimos. Se deben utilizar controles adecuados de integridad en caso de que puedan requerirse los datos de ubicación e información personal identificable asociada para propósitos forenses o de descubrimiento.

La empresa debe verificar que se rige por su política de privacidad para los servicios basados en la ubicación. La empresa puede ser responsable de prácticas comerciales engañosas o desleales si utiliza los datos recopilados para un propósito que no esté incluido en su reglamento. Por lo tanto, debe confirmar sus guías documentadas relativas a sus reglamentos, elección y transferencia posterior para validar que sus prácticas están en sincronía con su normatividad.

Marco de gobierno

A continuación, la empresa necesita diseñar un marco de gobierno para abordar las implicaciones de seguridad y privacidad. El marco debe utilizar un enfoque descendente y ser general para toda la empresa.

En primer lugar, la empresa necesita identificar la estrategia que se va a implementar para la geolocalización. La estrategia debe vincularse con otras tecnologías y seguir los mismos estándares de privacidad y seguridad para proteger la información personal.

En segundo lugar, dependiendo de la estrategia, se deben implementar y seguir las políticas, los procedimientos y la nomenclatura coherente.

En tercer lugar, se deben establecer los programas de comunicación, capacitación y concienciación para educar a los usuarios, desarrolladores y otras partes que recolectarán o utilizarán los datos.

Por último, se debe implementar una estructura de monitoreo e información para gestionar de forma proactiva los problemas, brechas y excepciones.
Existen preguntas importantes que una empresa debe plantearse y que deben ser parte del proceso concreto de debida diligencia de la compañía cuando se trabaja con datos de los usuarios

  • ¿Qué hace la aplicación basada en la ubicación?
  • ¿Qué tipo de datos recopila?
  • ¿Se comparten esos datos con empresas afiliadas, socios o terceros?

Una organización debe plantearse las preguntas correctas con respecto a los datos que se agregan, si los datos pueden identificar a un individuo, cuáles son los flujos de datos procedentes de su oferta consciente de su ubicación y si la organización va a compartir datos con otras partes.

El rol del usuario

Además de las medidas de protección aplicadas en la geolocalización de la organización, el usuario también debe desempeñar un papel clave en proteger su información personal. Como primer paso, el usuario debe identificar, dentro de la aplicación o servicio, cómo deshabilitar, cancelar su uso voluntariamente y entender las capacidades de la tecnología.

Los usuarios también deben informarse y aumentar la concientización entre las demás personas sobre las tecnologías en evolución. En la medida en que los usuarios se informan y comienzan a comprender el riesgo correspondiente, se espera que piensen cuidadosamente antes de publicar o etiquetar información personal. Esto requerirá un esfuerzo colaborativo entre la empresa y el usuario y un cambio en el comportamiento del usuario, para mantener la privacidad en un mundo digital.

Los usuarios también deben educar a sus familiares, amigos y compañeros de trabajo ya que sus acciones pueden divulgar información basada en la ubicación que un usuario desea mantener privada. Por ejemplo, la tecnología de reconocimiento facial de Facebook y/o las capacidades de etiquetado pueden inadvertidamente identificar a un individuo y revelar datos de geolocalización asociados. Este tipo de colaboración y cambio en el comportamiento requerirá que el usuario examine nuevamente cómo mantener la privacidad en un mundo digital.

Fuente: ISACA, Geolocalización: Riesgo, problemas y estrategia. Adaptada por la Divisón Consultoría de EvaluandoSoftware.com

Adaptado por la División Consultoría de EvaluandoSoftware.com

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario