Etiqueta: plan-seguridad-digital

2.04 Protocolo de seguridad digital

📝A diferencia de un plan, un protocolo es un conjunto de medidas o acciones relacionadas con la seguridad digital que están conectadas a una actividad o proceso específico dentro de una organización o colectivo. Los protocolos son prácticas continuas que siguen vigentes incluso cuando un plan de seguridad digital se ha implementado por completo, y evolucionará con el tiempo en respuesta a los cambios que implementes en tu organización.

¿Cuándo debo crear mi protocolo de seguridad digital?

Es recomendable que implementes tu protocolo al mediano plazo, para que identifiques lo que funciona y lo que no y que lo revises cada cierto tiempo (a tu discreción). Recomendamos también que armes el protocolo organizacional de manera colectiva para que refleje las necesidades, intereses, fortalezas y vulnerabilidades de todo tu equipo.

¿Cómo creo mi protocolo de seguridad digital?

Júntate con tu colectiva y contesten juntxs las siguientes preguntas:

  • 🖋️Amenazas y riesgos: ¿A qué amenazas y riesgos nos enfrentamos actualmente? ¿A cuál podríamos enfrentarnos potencialmente en el futuro?
  • 🖋️Vulnerabilidades identificadas: ¿Cuáles de nuestras prácticas como individuos, o circunstancias como organización, podría exponernos a ser atacados?
  • 🖋️Fortalezas y capacidades: Como organización, ¿Con qué capacidades contamos que nos den una ventaja en la respuesta a amenazas y riesgos identificados?
  • 🖋️Acciones para mitigar: ¿Qué acciones necesitamos emprender para mitigar riesgos identificados? 
  • 🖋️Recursos requeridos: ¿Qué recursos (económicos, humanos, etc.) y herramientas necesitamos para implementar estas acciones? 
  • 🖋️¿Quién debe estar involucradx? ¿Qué áreas o personas dentro de nuestra organización tienen que estar involucradas en la implementación? ¿Se requerirá alguna autorización u otros permisos?
  • 🖋️Plan de monitoreo: ¿Cómo sabremos que las acciones están funcionando? ¿Cómo identificar los obstáculos? ¿Qué tan seguido revisaremos este protocolo?

Con toda esta información, podrás diseñar protocolos concretos para cada tipo de amenaza.

 

2.03 Plan de seguridad digital

📝Un plan de seguridad digital es el conjunto de medidas que tomará una persona o colectiva para mejorar su seguridad digital. El plan debe estar basado en nuestro perfil de riesgos y enfocado en crear respuestas y soluciones para atenderlos.

No hay una opción perfecta para la seguridad. No todxs tienen las mismas prioridades, preocupaciones o acceso a los recursos. En esa línea, tu plan de acción te permitirá planificar la estrategia adecuada: equilibrando la conveniencia, el costo y la privacidad — elementos centrales a la hora de elaborar tu plan. 

¿Cómo armo mi plan?

Para armar tu plan debes tomar nota de todo lo que te gustaría hacer para mitigar las amenazas que tu colectiva y tú experimentan. Para cada amenaza, pregúntate: ¿Qué puedo hacer para abordar un riesgo y / o evitar que ocurra?

Ten en cuenta tus capacidades y si tienes restricciones financieras, técnicas o sociales.

 

 

Recuerda que las medidas que tomes para abordar tu amenaza pueden ser divididas en reactivas y proactivas. Por ejemplo, si lo que quiero es una medida que atienda a una situación que ya ocurrió y mitigue los riesgos más inmediatos, buscaría una solución reactiva. Pero si quiero anticiparme a una posible situación de riesgo a futuro, buscaré una medida proactiva.

¿Por qué tener un plan de seguridad digital?

  1. 🤓Te permite tomar pasos concretos para reducir los riesgos a los que está expuesta tu colectiva, y así proteger su información y a tu comunidad.
  2. 🤓Tener un plan de acción le puede dar tranquilidad y serenidad a quienes manejan las redes sociales y tecnologías de tu organización.
  3. 🤓Te da ideas y crea una base sólida para diseñar un protocolo de seguridad digital para tu organización que puedes implementar de manera sistemática.

2.02 Modelo de riesgos con enfoque de género

📝Un modelo de riesgos es una herramienta que te permite medir y evaluar las amenazas que vives en el ámbito digital. Te sirve para conocer el perfil de riesgo de tu organización, y así determinar el tipo de protección que necesitas para cuidar tu información.

¿Qué tan seguido debería modelar mis riesgos?

Es recomendable hacer un modelado de riesgos cada cierto tiempo – puede ser cada 3 ó 6 meses, ó cada año. Depende de qué tanto cambie el panorama de seguridad digital de tu colectiva.

Recuerda tomarte un descanso cuando estés mapeando esta información. Este es un proceso en el que las personas involucradas estarán expuestas a situaciones de recordar amenazas y esto podría perturbar el bienestar individual y grupal. Recomendamos prestar mucha atención a nuestro sentir propio y el de los demás y cuidarse mucho en este proceso. 

¿Cómo creo un modelo de riesgos?

Para crear tu modelo de riesgo y conocer el perfil de riesgo de tu organización debes identificar lo siguiente:

💎1. Identifica qué es lo que quieres proteger o tus activos: Estos son los datos o información que quieres proteger porque pone en riesgo a tu organización o a tu comunidad. Recuerda que la información que guardas en tus dispositivos o que compartes en tus redes sociales puede revelar mucho sobre ti y las personas que quieres cuidar.

💎2. Identifica de quién quieres proteger a tus adversarios: las personas, organizaciones o comunidades que quieren hacerte daño y buscan censurar, bloquear o detener tu activismo por diferentes motivos. Un adversario puede ser una ex pareja, una colectiva organizada, o el gobierno.

💎3. Identifica la capacidad de tus adversarios: o los recursos económicos, sociales y tecnológicos que tiene tu adversario. Existen diferentes niveles de adversario de acuerdo a sus capacidades:

💥 Adversarios poco sofisticados. Usuarios comunes sin conocimiento profundo de tecnología, pero que buscan hacer daño social o emocional. Por ejemplo, usan redes sociales de manera convencional, pero las utilizan para hacer comentarios agresivos o enviar mensajes directos a quienes no piensen como ellos. Pueden ser compañeros de trabajo, de estudio, roommates, etc.

💥 Medianamente sofisticados. Estas personas saben cómo utilizar herramientas para realizar ataques menores a páginas web y podrían tener acceso a información sensible a partir de su círculo social o laboral. Por ejemplo, un empleado de una empresa de telecomunicaciones podría acceder al registro de llamadas o consultar a quién le pertenece un número celular gracias a su posición.

💥 Muy sofisticados. Este adversario tiene mucho alcance y muchos recursos. Por ejemplo, el gobierno puede adquirir o desarrollar herramientas para la vigilancia de activistas o un miembro de la Policía podría solicitar acceso a la ubicación de tu celular en los últimos tres meses sin necesidad de una orden judicial (DL 1182). Mayor información en hiperderecho.org/dl1182.

💎4. Identifica las amenazas o los ataques: incidentes o cualquier evento que tus adversarios podrían llevar a cabo para amenazar la seguridad de nuestros activos y la posible consecuencia de esta amenazas.

¡Tomen un enfoque de género cuando identifiquen amenazas!  Asegúrense de identificar los ataques específicos que como activistas feministas que trabajan en defensa de mujeres, disidencias, y la comunidad LGTBIQ+, podrían recibir. 

💎5. Mide el riesgo o la posibilidad de que una amenaza se vuelva realidad.

¿Cómo mido el riesgo de mi amenaza?

La organización Level-Up nos sugiere un gran método:

1. Identifica la probabilidad de que esa amenaza ocurra y se convierta en realidad. Para evaluar la probabilidad hay que tomar en cuenta factores técnicos y sociales. Toma en cuenta el género y la defensa de los derechos humanos como factores de riesgo. Para medir las probabilidades de estos riesgos, formula una escala simple de 1 a 5, donde 5 equivale a una probabilidad «Muy alta» de que el riesgo podría convertirse en real y 1 es una probabilidad «Muy baja.»

Si no estás segura, puedes revisar tu ficha de documentación de incidentes para notar si es algo que pasa frecuentemente.

2. Determina el impacto que estas amenazas tendrían sobre una persona, organización, ó colectiva si una amenaza se hiciera realidad y cuál sería su reacción. Crea una escala para medir el impacto; esta puede ser otra escala cuantitativa (numérica) similar a la que se utilizó para medir la probabilidad, o puede ser una escala cualitativa (descriptiva).

 

La naturaleza de un impacto y su gravedad dependen de una serie de factores externos. Por ejemplo, una amenaza puede impactar poco la seguridad de información, pero puede impactar mucho la salud mental de tus compañeras. Eso ya la hace urgente de atender. Debes decidir en qué quieres enfocarte, priorizando el bienestar de tu comunidad. 

Este análisis te permitirá saber cuales son las amenazas en las que te tienes que enfocar. Prioriza las que sean más probables, las que crearían un mayor estrés sobre tus compañeras, y las que generen mayor impacto sobre la seguridad de tu información.

¿Por qué debería utilizarla?

  1. 🧚‍♀️ El modelo de riesgos nos permite identificar de manera proactiva las amenazas a las que queremos darle prioridad en nuestros planes o protocolos de seguridad digital.
  2. 🧚‍♀️Es una oportunidad para planear y tomar decisiones conjuntas sobre cómo abordaremos estas amenazas y crear estrategias de respuesta y prevención. ¡El diálogo y la construcción colectiva de la seguridad digital es muy importante!
  3. 🧚‍♀️Es una herramienta que te permitirá cuidar a tu equipo y manejar el nivel de estrés que generan las amenazas de seguridad digital. Cuando hagan un modelo de riesgos,  asegúrense de tomar intervalos frecuentes y recordar que este proceso les ayudará a enfrentar riesgos en el futuro.

2.01 Ficha de documentación de incidentes

📝La ficha de documentación de incidentes es una herramienta para registrar incidentes que hayan ocurrido en el ámbito digital. Por “incidente” nos referimos a cualquier evento que ocurra que pueda constituir un abuso, acoso o alguna forma de violencia en línea en Internet y que haya supuesto algún riesgo o peligro para ti o alguien de tu colectiva.

¿Cuándo debería utilizarla?

Es importante utilizar esta herramienta una vez que los sucesos ya han ocurrido. Idealmente, inmediatamente después de un incidente o unos días después como máximo, de modo que puedes documentar cómo esto les afectó a les integrantes de tu colectiva y a ti. En ese sentido es una medida de tipo reactiva porque se enfoca en registrar sucesos ya acontecidos.

¿Por qué debería utilizarla?

⭐ 1. Documentar los incidentes convierte a las amenazas digitales en algo real, que podemos ver y podemos medir. Esto nos ayuda a luchar contra la normalización de la violencia.

Debemos cuestionar la normalización de situaciones de violencia de género en línea: No, no es normal que en Internet solo algunas personas puedan expresar libremente su identidad e ideas, afectos y luchas, ¡conociendo y poniendo nombre a los riesgos a los que nos enfrentamos comenzamos a actuar contra ellos!

⭐2. Nos invita a generar el hábito de conservar evidencia de los incidentes que más adelante nos pueden servir para reportar los incidentes ante las plataformas intermediarias, o denunciarlas ante las autoridades.

⭐ 3. Nos permite encontrar patrones de abuso o ataques que de otra manera no te hubieras dado cuenta o que, en general, pasan desapercibidos. Con la información recabada podemos luego diseñar planes de acción y prevención aterrizados en situaciones puntuales.