¿A quién va dirigido este Manual?
Este Manual se redactó con un objetivo sencillo: ayudar a su organización de la sociedad civil a desarrollar un plan de ciberseguridad comprensible y aplicable. A medida que el mundo se mueve cada vez más en línea, la ciberseguridad no es solo una palabra de moda, sino un concepto crítico para el éxito de una organización y la seguridad de un equipo. Especialmente para las organizaciones de la sociedad civil en los espacios de la democracia, la defensa, la rendición de cuentas y los derechos humanos, la seguridad de la información (tanto en línea como fuera de ella) es un desafío que requiere atención, inversión y vigilancia.
Es probable que su organización se encuentre, o haya estado ya, en la mira de un ataque de ciberseguridad. Esto no pretende ser alarmista; es una realidad incluso para las organizaciones que no se consideran objetivos particulares.
En un año normal, el Centro de Estudios Estratégicos e Internacionales, que mantiene una lista continua de lo que denominan “Incidentes Cibernéticos Significativos”, cataloga cientos de ciberataques graves, muchos de los cuales tienen como objetivo a docenas, y hasta cientos, de organizaciones a la vez. Además de estos ataques denunciados, es probable que cada año se produzcan cientos de otros ataques de menor envergadura que pasan desapercibidos o no se denuncian, muchos de ellos dirigidos a organizaciones de la sociedad civil que trabajan en apoyo de la democracia, la rendición de cuentas y los derechos humanos. Las organizaciones que representan a las mujeres o a otros grupos marginados suelen ser un objetivo especial.
Los ciberataques de este tipo tienen consecuencias importantes. Tanto si el objetivo de dichos ciberataques es quedarse con su dinero, reprimir su voz, interrumpir las operaciones de su organización, dañar su reputación o incluso robar información que pueda provocar daños psicológicos o físicos a sus socios o a su personal, estas amenazas deben tomarse en serio.
Lo bueno es que no es necesario convertirse en un codificador o un técnico para defenderse a sí mismo y a su organización contra las amenazas comunes. Pero hay que estar preparado para invertir algo de esfuerzo, energía y tiempo en el desarrollo y la implementación de un plan de seguridad organizacional sólido.
Si nunca ha pensado en la ciberseguridad en su organización, no ha tenido tiempo para concentrarse en eso, o conoce algunos aspectos básicos sobre el tema pero cree que su organización podría mejorar su ciberseguridad, este Manual es para usted. Independientemente de su procedencia, este Manual pretende dar a su organización la información esencial que necesita para poner en marcha un plan de seguridad sólido. Un plan que va más allá de escribir, poner las palabras sobre el papel, y le permite implementar las mejores prácticas.
¿Qué es un plan de seguridad y por qué debe tenerlo mi organización?
Un plan de seguridad es el conjunto de políticas, procedimientos e instrucciones escritas que su organización ha acordado para alcanzar el nivel de seguridad que usted y su equipo consideran adecuado para mantener la seguridad de su gente, sus socios y su información.
Un plan de seguridad organizacional bien elaborado y actualizado puede tanto mantenerlo a salvo como mejorar su eficacia al proporcionarle la tranquilidad necesaria para centrarse en el importante trabajo diario de su organización. Sin pensar en un plan integral, es muy fácil estar ciego ante algunos tipos de amenazas, al centrarse demasiado en un riesgo o ignorar la ciberseguridad hasta que haya una crisis.
Cuando se empieza a desarrollar un plan de seguridad, hay que hacerse algunas preguntas importantes que forman un proceso llamado evaluación de riesgos. Responder a estas preguntas ayuda a su organización a comprender las amenazas únicas a las que se enfrenta y le permite dar un paso atrás y pensar de forma exhaustiva en lo que necesita proteger y de quién debe protegerlo. Los asesores capacitados, con la ayuda de sistemas como la plataforma de auditoría SAFETAG de Internews, pueden ayudar a guiar a su organización a través de este proceso. Si puede acceder a ese nivel de experiencia profesional, merece la pena, pero incluso si no puede someterse a una evaluación completa, debería reunirse con su organización para considerar detenidamente estas cuestiones clave:
¿Qué activos tiene su organización y qué necesita proteger?
Puede empezar a responder estas preguntas creando un catálogo de todos los activos de su organización. La información como mensajes, correos electrónicos, contactos, documentos, calendarios y ubicaciones son todos los posibles activos. Los teléfonos, las computadoras y otros dispositivos pueden ser activos. Y las personas, las conexiones y las relaciones también pueden ser activos. Haga una lista de sus activos (recurso en inglés) y trate de catalogarlos por su importancia para la organización, dónde los guarda (quizás en varios lugares digitales o físicos) y qué impide que otros accedan a ellos, los dañen o los alteren. Tenga en cuenta que no todo es igual de importante. Si algunos de los datos de la organización son de dominio público, o información que se publica de todos modos, no son secretos que haya que proteger.
¿Quiénes son sus adversarios y cuáles son sus habilidades y motivaciones?
“Adversario” es un término comúnmente utilizado en la seguridad organizacional. En términos sencillos, los adversarios son los actores (individuos o grupos) que están interesados en atacar a su organización, interrumpir su trabajo y obtener acceso a su información o destruirla. En síntesis, los malos. Algunos ejemplos de adversarios potenciales podrían ser estafadores financieros, competidores, autoridades o gobiernos locales o nacionales, o hackers con motivaciones ideológicas o políticas. Es importante hacer una lista de sus adversarios y pensar de manera crítica en quién podría querer afectar negativamente a su organización y a su personal. Aunque es fácil imaginar que los factores externos (como un gobierno extranjero o un grupo político concreto) son adversos, también hay que tener en cuenta que los adversarios pueden ser personas conocidas, como empleados descontentos, exempleados y familiares o parejas que no los apoyan. Diferentes adversarios plantean diferentes amenazas y tienen diferentes recursos y capacidades para interrumpir sus operaciones y obtener acceso a su información o destruirla. Por ejemplo, los gobiernos suelen disponer de mucho dinero y de potentes capacidades que incluyen el cierre de internet o el uso de costosas tecnologías de vigilancia; las redes de telefonía móvil y los proveedores de internet probablemente tengan acceso a los registros de llamadas y a los historiales de navegación; los hackers expertos en redes wifi públicas tienen la capacidad de interceptar comunicaciones o transacciones financieras poco seguras. Incluso puede convertirlo en su propio adversario si, por ejemplo, borra accidentalmente archivos importantes o envía mensajes privados a la persona equivocada.
Es probable que los motivos de los adversarios difieran según su capacidad, intereses y estrategias. ¿Están interesados en desacreditar a su organización? ¿Quizás pretenden silenciar su mensaje? ¿O tal vez ven a su organización como competencia y quieren obtener una ventaja? Es importante entender la motivación de un adversario porque hacerlo puede ayudar a su organización a evaluar mejor las amenazas que podría implicar.
¿A qué amenazas se enfrenta su organización? ¿Qué tan probables y de alto impacto son?
Al identificar las posibles amenazas, es probable que acabe con una larga lista que puede resultar abrumadora. Puede sentir que cualquier esfuerzo sería inútil, o no saber por dónde empezar. Para ayudar a su organización a dar los siguientes pasos productivos, es útil analizar cada amenaza basándose dos factores: la probabilidad de que la amenaza tenga lugar y el impacto que puede tener si se produce.
Para medir la probabilidad de una amenaza (tal vez “Baja, Media o Alta” en función de si es poco probable que se produzca un evento determinado, si podría ocurrir o si sucede con frecuencia), puede utilizar la información que conoce sobre la capacidad y la motivación de sus adversarios, el análisis de incidentes de seguridad anteriores, las experiencias de otras organizaciones similares y, por supuesto, la presencia de cualquier estrategia de mitigación existente que su organización haya puesto en marcha.
Para medir el impacto de una amenaza, piense en cómo sería su mundo si la amenaza se produjera realmente. Hágase preguntas como “¿de qué forma nos ha perjudicado la amenaza como organización y como personas, tanto física como mentalmente?”, “¿cuán duradero es el efecto?”, “¿crea esto otras situaciones perjudiciales?” y “¿cómo obstaculiza nuestra capacidad de alcanzar nuestros objetivos organizacionales ahora y en el futuro?”. Al responder a estas preguntas, considere si la amenaza es de impacto bajo, medio o alto.
Para ayudarlo a gestionar este proceso de evaluación de riesgos, considere la posibilidad de utilizar una hoja de trabajo como esta desarrollada por la Electronic Frontier Foundation. Tenga en cuenta que la información que desarrolle como parte de este proceso (como una lista de sus adversarios y las amenazas que representan) podría ser en sí misma confidencial. Por lo tanto, es importante mantener la seguridad.
Una vez que haya clasificado sus amenazas por probabilidad e impacto, podrá empezar a elaborar un plan de acción más informado. Al centrarse en las amenazas que tienen mayor probabilidad de ocurrencia Y que tendrán importantes repercusiones negativas, estará canalizando sus limitados recursos de la manera más eficiente y eficaz posible. Su objetivo es siempre mitigar el mayor riesgo posible, pero nadie –ni el gobierno ni la empresa con más recursos del mundo– puede eliminar por completo el riesgo. Y eso está bien: puede hacer mucho para protegerse a sí mismo, proteger a sus colegas y a su organización ocupándose de las mayores amenazas.