Ingeniería de privacidad

La ingeniería de privacidad es un campo emergente de la ingeniería cuyo objetivo es proporcionar metodologías, herramientas y técnicas para garantizar que los sistemas proporcionen niveles aceptables de privacidad . Su objetivo es organizar y evaluar métodos para identificar y abordar las preocupaciones sobre privacidad dentro de la ingeniería de sistemas de información . [1]

En los EE. UU. , un nivel aceptable de privacidad se define en términos de cumplimiento de los requisitos funcionales y no funcionales establecidos a través de una política de privacidad , que es un artefacto contractual que muestra el cumplimiento de las entidades que controlan los datos con la legislación, como las Prácticas Justas de Información , la regulación de seguridad de registros médicos y otras leyes de privacidad . En la UE , sin embargo, el Reglamento General de Protección de Datos (RGPD) establece los requisitos que deben cumplirse. En el resto del mundo, los requisitos cambian según las implementaciones locales de las leyes de privacidad y protección de datos .

Definición y alcance

La definición de ingeniería de privacidad dada por el Instituto Nacional de Estándares y Tecnología (NIST) es: [2]

Se centra en proporcionar orientación que pueda utilizarse para disminuir los riesgos de privacidad y permitir a las organizaciones tomar decisiones útiles sobre la asignación de recursos y la implementación efectiva de controles en los sistemas de información.

Si bien la privacidad se ha ido desarrollando como un ámbito legal, la ingeniería de la privacidad recién ha cobrado importancia en los últimos años, ya que la necesidad de implementar dichas leyes de privacidad en los sistemas de información se ha convertido en un requisito definitivo para la implementación de dichos sistemas. Por ejemplo, IPEN describe su posición al respecto de la siguiente manera: [3]

Una de las razones de la falta de atención a las cuestiones de privacidad en el desarrollo es la falta de herramientas adecuadas y de mejores prácticas. Los desarrolladores tienen que entregar rápidamente sus productos para minimizar el tiempo de comercialización y el esfuerzo, y a menudo reutilizan componentes existentes, a pesar de sus fallas en materia de privacidad. Lamentablemente, existen pocos elementos básicos para aplicaciones y servicios que respeten la privacidad, y la seguridad también suele ser deficiente.

La ingeniería de privacidad involucra aspectos como la gestión de procesos, la seguridad , la ontología y la ingeniería de software . [4] La aplicación real de estos se deriva de los cumplimientos legales necesarios, las políticas de privacidad y los "manifiestos" como Privacy-by-Design . [5]

Relación entre PbD e Ingeniería de Privacidad

En los niveles más avanzados de implementación, la ingeniería de privacidad emplea tecnologías que mejoran la privacidad para permitir la anonimización y la desidentificación de los datos. La ingeniería de privacidad requiere la implementación de prácticas de ingeniería de seguridad adecuadas, y algunos aspectos de privacidad se pueden implementar utilizando técnicas de seguridad. Una evaluación del impacto de la privacidad es otra herramienta dentro de este contexto y su uso no implica que se esté practicando ingeniería de privacidad.

Un área de preocupación es la definición y aplicación adecuadas de términos como datos personales, información personalmente identificable, anonimización y pseudoanonimización , que carecen de significados suficientes y suficientemente detallados cuando se aplican a software, sistemas de información y conjuntos de datos.

Otra faceta de la privacidad de los sistemas de información ha sido el uso ético de dichos sistemas, con especial preocupación por la vigilancia , la recopilación de grandes datos , la inteligencia artificial , etc. Algunos miembros de la comunidad de privacidad e ingeniería de privacidad abogan por la idea de la ingeniería ética o rechazan la posibilidad de incorporar la privacidad en sistemas destinados a la vigilancia.

Los ingenieros de software suelen tener problemas a la hora de interpretar las normas jurídicas en relación con la tecnología actual. Los requisitos legales son, por naturaleza, neutrales respecto de la tecnología y, en caso de conflicto legal, un tribunal los interpretará en el contexto del estado actual de la tecnología y de las prácticas de privacidad.

Prácticas básicas

Como este campo en particular aún está en sus inicios y está dominado en cierta medida por los aspectos legales, la siguiente lista simplemente describe las áreas principales en las que se basa la ingeniería de privacidad:

A pesar de la falta de un desarrollo cohesivo de las áreas mencionadas, ya existen cursos para la formación en ingeniería de la privacidad. [8] [9] [10] El Taller Internacional sobre Ingeniería de la Privacidad, que se lleva a cabo en conjunto con el Simposio IEEE sobre Seguridad y Privacidad, ofrece un espacio para abordar "la brecha entre la investigación y la práctica en la sistematización y evaluación de enfoques para capturar y abordar cuestiones de privacidad durante la ingeniería de sistemas de información". [11] [12] [13]

Existen varios enfoques para la ingeniería de la privacidad. La metodología LINDDUN [14] adopta un enfoque centrado en el riesgo para la ingeniería de la privacidad, en el que se identifican los flujos de datos personales en riesgo y luego se protegen con controles de privacidad. [15] [16] Se ha proporcionado orientación para la interpretación del RGPD en los considerandos del RGPD, [17] que se han codificado en una herramienta de decisión [18] que mapea el RGPD en fuerzas de ingeniería de software [18] con el objetivo de identificar patrones de diseño de privacidad adecuados. [19] [20] Otro enfoque utiliza ocho estrategias de diseño de privacidad (cuatro técnicas y cuatro administrativas) para proteger los datos e implementar los derechos de los interesados. [21]

Aspectos de la información

La ingeniería de privacidad se ocupa particularmente del procesamiento de información sobre los siguientes aspectos u ontologías y sus relaciones [22] con su implementación en software:

  • Ontologías de procesamiento de datos
  • Ontologías de tipos de información (a diferencia de PII o tipos de máquinas)
  • Nociones de controlador y procesador [23]
  • Las nociones de autoridad e identidad (aparentemente de la(s) fuente(s) de datos)
  • Procedencia de la información, incluida la noción de interesado [24]
  • Propósito de la información, a saber: recopilación primaria vs. recopilación secundaria
  • Semántica de la información y de los conjuntos de datos (véase también ruido y anonimización )
  • Uso de la información

Además de esto, se puede medir o calcular cómo lo anterior afecta la clasificación de seguridad, la clasificación de riesgo y, por lo tanto, los niveles de protección y flujo dentro de un sistema.

Definiciones de privacidad

La privacidad es un área dominada por aspectos legales, pero que requiere su implementación utilizando, aparentemente, técnicas, disciplinas y habilidades de ingeniería. La ingeniería de la privacidad como disciplina general se basa en considerar la privacidad no solo como un aspecto legal o de ingeniería y su unificación, sino también utilizando las siguientes áreas: [25]

  • La privacidad como aspecto filosófico
  • La privacidad como aspecto económico, en particular la teoría de juegos
  • La privacidad como aspecto sociológico

El impulso hacia el progreso tecnológico en la ingeniería de privacidad proviene de leyes generales de privacidad y varios actos jurídicos particulares:

Véase también

Notas y referencias

  1. ^ Gürses, Seda y Jose M. Del Alamo. "Ingeniería de la privacidad: dando forma a un campo emergente de investigación y práctica". IEEE Security & Privacy 14.2 (2016): 40-46.
  2. ^ "Ingeniería de privacidad en el NIST". NIST . Consultado el 3 de mayo de 2015 .
  3. ^ "Antecedentes y finalidad" . Consultado el 9 de mayo de 2015 .
  4. ^ Oliver, Ian (julio de 2014). Ingeniería de la privacidad: un enfoque ontológico y de flujo de datos (1.ª ed.). CreateSpace. ISBN 978-1497569713Archivado desde el original el 14 de marzo de 2018 . Consultado el 3 de mayo de 2015 .
  5. ^ Gürses, Seda; Troncoso, Carmela; Díaz, Claudia (2011). Ingeniería de la privacidad por diseño (PDF) . Libro de la Conferencia Internacional sobre Privacidad y Protección de Datos (CPDP) . Consultado el 11 de mayo de 2015 .
  6. ^ Dennedy, Fox, Finneran (23 de enero de 2014). El manifiesto del ingeniero de privacidad (1.ª ed.). APress. ISBN 978-1-4302-6355-5.{{cite book}}: CS1 maint: varios nombres: lista de autores ( enlace )
  7. ^ MITRE Corp. «Privacy Engineering Framework». Archivado desde el original el 4 de mayo de 2015. Consultado el 4 de mayo de 2015 .
  8. ^ "Ingeniería de privacidad MSIT". Universidad Carnegie Mellon.
  9. ^ "Ingeniería de privacidad". cybersecurity.berkeley.edu . Universidad de California, Berkeley.
  10. ^ Oliver, Ian (17 de marzo de 2015). «Introducción a la privacidad y la ingeniería de la privacidad». EIT Summer School, Universidad de Brighton. Archivado desde el original el 18 de mayo de 2015. Consultado el 9 de mayo de 2015 .
  11. ^ "Taller internacional sobre ingeniería de privacidad". IEEE Security.
  12. ^ "Simposio IEEE sobre seguridad y privacidad". IEEE Security.
  13. ^ Gurses, Del Alamo (marzo de 2016), Ingeniería de la privacidad: dando forma a un campo emergente de investigación y práctica , vol. 14, IEEE Security and Privacy
  14. ^ "INICIO". LINDDUN .
  15. ^ "Un marco basado en LINDDUN para el análisis de amenazas a la privacidad en procesos de identificación y autenticación". Computadoras y seguridad .
  16. ^ Wuyts, K. y Joosen, W. (2015). Modelado de amenazas a la privacidad de LINDDUN: un tutorial. CW Reports. Consultado el 10 de diciembre de 2019.
  17. ^ "Considerandos del RGPD (Reglamento General de Protección de Datos)".
  18. ^ ab "Herramienta GDPR".
  19. ^ Colesky, M.; Demetzou, K.; Fritsch, L.; Herold, S. (1 de marzo de 2019). "Ayudar a los arquitectos de software a familiarizarse con el Reglamento general de protección de datos". 2019 IEEE International Conference on Software Architecture Companion (ICSA-C) . págs. 226–229. doi :10.1109/ICSA-C.2019.00046. ISBN 978-1-7281-1876-5.S2CID155108256  .
  20. ^ Lenhard, J.; Fritsch, L.; Herold, S. (1 de agosto de 2017). "Un estudio de la literatura sobre la investigación de patrones de privacidad". 2017 43.ª Conferencia Euromicro sobre ingeniería de software y aplicaciones avanzadas (SEAA) . págs. 194–201. doi :10.1109/SEAA.2017.28. ISBN 978-1-5386-2141-7. Número de identificación del sujeto  26302099.
  21. ^ Colesky, M.; Hoepman, J.; Hillen, C. (1 de mayo de 2016). "Un análisis crítico de las estrategias de diseño de privacidad". Talleres de seguridad y privacidad del IEEE de 2016 (SPW) . págs. 33–40. doi :10.1109/SPW.2016.23. ISBN 978-1-5090-3690-5. Número de identificación del sujeto  15713950.
  22. ^ Stanford Encyclopedia of Philosophy. «Concepciones semánticas de la información» . Consultado el 9 de mayo de 2015 .
  23. ^ Artículo 29 Grupo de Trabajo de Protección de Datos (16 de febrero de 2010), Dictamen 1/2010 sobre los conceptos de "responsable del tratamiento" y "encargado del tratamiento" , vol. 00264/10/EN WP 169{{citation}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
  24. ^ Paul Groth, Luc Moreau. "Una descripción general de la familia de documentos PROV". W3C . Consultado el 10 de mayo de 2015 .
  25. ^ Gurses, Seda; del Alamo, Jose M. (marzo de 2016). "Ingeniería de la privacidad: dando forma a un campo emergente de investigación y práctica". IEEE Security & Privacy . 14 (2): 40–46. doi :10.1109/MSP.2016.37. ISSN  1540-7993. S2CID  10983799.
  26. ^ "Privacidad por diseño | Karlstads universitet". www.kau.se.
  27. ^ Fischer-Hübner, Simone; Martucci, Leonardo A.; Fritsch, Lothar; Pulls, Tobias; Herold, Sebastian; Iwaya, Leonardo H.; Alfredsson, Stefan; Zuccato, Albin (2018). "Un MOOC sobre privacidad por diseño y el RGPD" (PDF) . En Drevin, Lynette; Theocharidou, Marianthi (eds.). Educación en seguridad de la información: hacia una sociedad cibersegura . IFIP Avances en tecnología de la información y la comunicación. Vol. 531. Springer International Publishing. págs. 95–107. doi :10.1007/978-3-319-99734-6_8. ISBN 978-3-319-99734-6.
  28. ^ "Programa de Ingeniería de Privacidad de la Universidad Carnegie Mellon".
  29. ^ "Blogs y trabajos de estudiantes de ingeniería de privacidad de CMU".
Obtenido de "https://es.wikipedia.org/w/index.php?title=Ingeniería_de_privacidad&oldid=1241167663"